某医院计算机网络系统设计方案

XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 1 页 XXX 医院综合楼弱电及系统集成工程项目医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案计算机网络系统设计方案 目 录 1项目概述项目概述.4 2系统概述系统概述.4 3设计原则设计原则.4 4系统设计方案系统设计方案.5 4.1产品选择说明.5 4.1.1 设备应用规模及稳定性、兼容性.6 4.1.2 完善的研发体系和全系列的网络产品.7 4.1.3 健全的服务支持和培训认证体系.7 4.2系统需求分析.8 4.2.1医院业务划分.8 4.2.2应用系统分类.8 4.2.3医院业务系统的需求.9 4.2.4网络建设需求.10 4.2.5核心层需求分析.11 4.2.6接入层需求分析.11 4.3系统设计.12 4.4系统内网设计.13 4.4.1内网建设需求.13 4.4.2内网设计及规划.14 4.5系统外网设计.15 4.5.1外网建设需求.15 4.5.2外网设计及规划.15 5产品选型产品选型.17 5.1核心交换机选型.17 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 2 页 5.2接入交换机选型.21 5.3路由器选型.25 5.4入侵防御系统选型.30 6网络管理网络管理.35 6.1网络管理建设需求.35 6.2IMC 特性与系统结构 .37 6.2.1iMC 特性 .37 6.2.2面向服务的架构.38 6.2.3基础资源管理.38 6.2.4身份与接入管理.38 6.2.5端点准入安全管理.38 6.2.6VPN 管理.38 6.2.7网络智能分析.38 6.2.8安全策略中心.39 6.3IMC 系统结构 .39 6.4智能管理的部署.39 6.4.1系统安全管理.39 6.4.2资源管理.40 6.4.3拓扑管理.41 6.4.4故障（告警/事件）管理.46 6.4.5性能管理.51 6.4.6设备管理组件.54 6.4.7WSM 无线业务组件.55 7 7 EADEAD 解决方案解决方案.58 7.1 技术背景.58 7.2 EAD 方案介绍.58 7.2.1 EAD 端点准入防御方案介绍.59 7.2.2 EAD 端点准入防御方案特点.60 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 3 页 7.2.3 桌面资产管理方案介绍.63 7.2.4 桌面资产管理功能特点.65 8 8存储系统存储系统.66 8.1系统说明.66 8.2产品选型.67 8.2.1 服务器.67 8.2.2 主存储系统.69 8.2.3 灾备磁盘阵列.69 8.2.4 网关.70 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 4 页 1 1项目概述项目概述 XXX 医院医疗综合楼总体分为：地下一层为设备用房，一、二、三、四层 为大厅及门诊，五层为血透中心，六、七层为内科护理标准层，八层、十一层 为内科、外科护理单元，九层为儿科护理单元，十层为骨科护理单元，十二层 为妇科护理单元，十三层为产科护理单元，十四层为产房、ICU、手术准备层， 十五层为手术层，十六层为手术设备和电梯机房层。大楼总建筑面积约 2 万， 建筑高度 66.40 米，属于一类高层建筑。 2 2系统概述系统概述 本局域网（LAN）主要为医院提供 Internet 接入和设备的联网需求。 （1）设备产品选用著名华三 H3C 品牌产品。 （2）充分考虑网络安全，该系统具备拒绝访问攻击（DOS）的防护。能实 现交换机、防火墙/IDS/IPS 联动与网管软件联动，自动的实现对网络蠕虫和黑 客攻击防范和屏蔽。 3 3设计原则设计原则 基于 XXX 医院目前网络现状和未来业务发展的要求，在 XXX 医院网络设计 构建中，应始终坚持以下建网原则： 1 1、实用性：、实用性：整个网络系统具有较高的实用性； 2 2、时效性：、时效性：网络应保证各类业务数据流的及时传输，网络时效性要强，网 络延时要小，确保业务的实时高效； 3 3、可靠性：、可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络 设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略， 保证网络具有故障自愈的能力，最大限度地支持医院各业务系统的正常运行。 必须满足 724365 小时连续运行的要求。在故障发生时，网络设备可以快 速自动地切换到备份设备上； 4 4、完整性：、完整性：网络系统应实现端到端的、能整合数据、语音和图像的多业务 应用，满足全网范围统一的实施安全策略、QoS 策略、流量管理策略和系统管 理策略的完整的一体化网络； 5 5、技术先进性和实用性、技术先进性和实用性-保证满足医院应用系统业务的同时，又要体现出 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 5 页 网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结 合起来，充分考虑到医院网络目前的现状以及未来技术和业务发展趋势。 6 6、高性能、高性能医院网络性能是医院整个网络良好运行的基础，设计中必须保 障网络及设备的高吞吐能力，保证各种信息（数据、语音、图像）的高质量传 输，才能使网络不成为一眼业务开展的瓶颈。 7 7、标准开放性、标准开放性-支持国际上通用标准的网络协议（如 IP） 、国际标准的大 型的动态路由协议等开放协议，有利于以保证与其它网络(如公共数据网、金融 网络、外联机构其它网络)之间的平滑连接互通，以及将来网络的扩展。 8 8、灵活性及可扩展性、灵活性及可扩展性-根据未来业务的增长和变化，网络可以平滑地扩充 和升级，减少最大程度的减少对网络架构和现有设备的调整。网络要具有面向 未来的良好的伸缩性能，既能满足当前的需求，又能支持未来业务网点、业务 量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求。 9 9、可管理性、可管理性-对网络实行集中监测、分权管理，并统一分配带宽资源。选 用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析功能以及 可提供故障自动报警。 1010、安全性、安全性-制订统一的骨干网安全策略，整体考虑网络平台的安全性。 能有效防止网络的非法访问，保护关键数据不被非法窃取、篡改或泄漏，使数 据具有极高的安全性； 4 4系统设计方案系统设计方案 4.14.1 产品选择说明产品选择说明 按照标书的要求，在充分研究 XXX 医院网络项目的需求的基础上，我们 对目前业界的主流的网络厂商，H3C、CISCO、北电等做了较为详细的对比研 究，综合考虑厂家产品及解决方案在政府及其他行业特别是在公检法系统的应 用规模、产品技术的先进性、成熟度及兼容性、公司的研发实力和服务体系保 障等因素，我们建议采用杭州华三通信技术有限公司（以下简称 H3C 公司）的 网络产品作为此次项目的组网设备。 根据标书的技术指标要求，H3C 公司可以提供全线的包括交换机、路由器 以及安全产品等性价比非常高的产品来满足此次项目的投标。投标所使用的设 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 6 页 备性能指标均满足标书要求。 4.1.14.1.1 设备应用规模及稳定性、兼容性设备应用规模及稳定性、兼容性 H3C 公司的网络产品目前已经广泛应用与全球的各个行业中，截至 2007 年 1 季度 H3C 公司在中国市场高端路由器的市场份额为 34.8，中低端路由器 为 32.6（数据来源于 CCID 2007 年 4 月） ，名列前茅。 截至 2007 年 1 季度 H3C 公司在中国市场交换机的市场份额为 40.3%（数 据来源于 CCID 2007 年 4 月） ，排名第一。 目前 H3C 的全系列产品进入英国、德国、香港、俄罗斯、巴西、泰国、墨 西哥等六十六个国家和地区，并承建了中国电信、中国移动、英国、泰国、巴 西等 14 个国家级 IP 骨干网。 H3C 目前在国内的整个电子政务 IT 系统建设中 已经得到了大规模的应用。 大规模的应用不但大大拉近了用户和 H3C 公司的距离，使得 H3C 公司能 够更快更好为市场、为用户提供产品，同时也验证了 H3C 公司产品的稳定性和 兼容性。 目前 H3C 的全系列网络产品在税务系统的应用已经超过 30 个省、市，其 中在省骨干的规模应用已经超过 20 个省市、自治区及直辖市。 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 7 页 4.1.24.1.2 完善的研发体系和全系列的网络产品完善的研发体系和全系列的网络产品 H3C 每年将销售额的 15以上用于研发投入，在中国的北京、杭州、深圳 以及印度的班加罗尔设有研发机构，在北京和杭州设有产品鉴定测试中心。目 前，H3C 已申请专利超过 700 件，其中 80是发明专利。 H3C 目前从事 IP 产品技术研发的研究所有 6 个，包括北京研究所、杭州研 究所、印度研究所、南京研究所、深圳研究所、美国研究所，研发人员超过 2000 人。印度所、南京所、中央软件部、上海研究所等都通过“软件研发成熟 度”最高级的 CMM5 级国际认证，北京研究所、杭州研究所通过 CMM4 级国际 认证。 H3C 不但拥有全线路由器和以太网交换机产品，还在网络安全、IP 存储、 IP 监控、语音视讯、WLAN、SOHO 及软件管理系统等领域稳健成长。目前， 安全产品中国市场份额位居前三，IP 存储亚太市场份额第一，IP 监控技术全球 领先，H3C 已经从单一网络设备供应商转变为多产品 IToIP 解决方案供应商。 因此选择该厂商的网络产品能够有效的保障用户在网络建设方面的延续性 和持续性。 4.1.34.1.3 健全的服务支持和培训认证体系健全的服务支持和培训认证体系 H3C 公司建立了遍布全国的服务机构。除公司总部设有完备的技术支援平 台外，H3C 还在全国建立了 36 个售后服务中心，建有完备的技术支援平台和 备件系统，通过先进的通信技术与总部的技术支援平台连接，完成用户信息、 故障处理流程、备件库存、产品分布等信息的共享，形成覆盖全国地市级城市， 专职人员规模超过 200 人的技术支援体系。同时还在各省市派遣有售后服务工 程师，以提高售后服务的响应速度。H3C 技术支持支援平台拥有一批高素质的 服务队伍，所有服务人员都具有本科以上学历，且有 3 年以上大型网络服务经 验。 为了满足不同客户不同层次的培训需求，H3C 服务公司建立了规范、专业 的用户培训体系，将总部培训与分部培训、集中培训与现场培训有机结合。目 前，在数据通信网络技术领域，H3C 培训面向全球，致力于培养专业务实网络 人才。考虑客户不同层次需求, 提供全系列的网络产品培训,网络技术认证培训 和客户化培训解决方案。同时建立起国际规范的完整的网络技术认证体系。 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 8 页 在中国建立 30 余家授权培训中心，海外建立 7 家授权培训中心；覆盖中国 各大中心城市以及拉美、亚太、中东、北非、俄罗斯等地区和国家。 在中国建立 60 余家网络学院，海外建立 1 家网络学院。 与 40 余所职业院校建立合作,支持中国职教 IT 专业课程改革项目。 鉴于以上几个主要原因，我们在此次投标中选用了 H3C 公司的网络产品做 为此次投标的网络产品。 4.24.2 系统需求分析系统需求分析 4.2.1 医院业务划分医院业务划分 医院的业务系统有很多，而且不同的专科医院业务系统也有很大区别，但 以下一些业务系统是医院都具有的： 1) 门诊系统 2) 住院系统 3) 体检系统 4) PACS 系统 5) 医院管理经济系统 6) 区域医疗系统 4.2.2 应用系统分类应用系统分类 医院信息系统主要分成以下两类： 1)1) 医院管理系统医院管理系统 门、急诊挂号子系统 门、急诊病人管理及计价收费子系统 住院病人管理子系统 药库、药房管理子系统 病案管理子系统 医疗统计子系统 人事、工资管理子系统 财务管理与医院经济核算子系统 医院后勤物资供应子系统 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 9 页 固定资产、医疗设备管理子系统 院长办公综合查询与辅助决策支持系统 2)2) 临床医疗信息系统临床医疗信息系统 住院病人医嘱处理子系统 护理信息系统 门诊医生工作站系统 临床实验室检查报告子系统 医学影像诊断报告处理系统 放射科信息管理系统 手术室管理子系统 功能检查科室信息管理子系统 病理卡片管理及病理科信息系统 血库管理子系统 营养与膳食计划管理子系统 临床用药咨询与控制子系统 4.2.3 医院业务系统的需求医院业务系统的需求 1 1）门诊系统）门诊系统 门诊业务作为医院直接面对患者的窗口具有非常重要的地位和自己的特点 （包括焦急的病人无法忍受长时间的等待、门诊业务主要集中在上午等） ，门诊 业务具有可靠性高、并发性、实时性和突发性强等特点。因此门诊业务对网络 提出了高可靠性、高带宽和 QoS 的要求。 2 2）住院系统）住院系统 住院业务是医院的另一个主要组成部分，是医院经济收入的主要来源，同 时还直接关系到重病患者的生命安全，具有以下几个特点： 住院业务的网络上流动着重症病人生命数据和各种新业务数据； 住院业务保存有患者病案数据和住院费用数据； 医生移动查房； 病人呼叫系统； 网上视频监控系统； XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 10 页 针对住院业务的以上特点，住院业务对网络提出了高可靠性、安全存储、 QoS 和无线局域网、VoIP 和视频会议系统的需求。 3 3）体检系统）体检系统 现在很多医院建立专门的体检大楼，以满足民众不断扩大的体检需求。从 业务角度上讲体检系统非常简单，它对网络的需求主要体现在安全性上，如何 保护体检服务器上体检人员数据安全和体检大楼网络安全是医院体检系统解决 方案所关注的。 4 4）PACSPACS 系统系统 医院的 PACS 系统主要是完成对患者的各种影像数据进行采集、存储、传输 和处理，并在全院范围内进行共享，由于是各种图形图像数据，因此具有存储 量大的特点，为了更好的服务于医院业务，PACS 业务对支撑系统提出以下要求： 存储量大、扩展性强、数据快速存储、数据容灾、高带宽 5 5）管理经济系统）管理经济系统 医院管理经济系统主要是人、财、物的管理，包括人事、财务管理、药品 药库管理等，因此它最大的需求是数据在服务器端和网络上的安全，保证这些 数据不会泄露。 6 6）区域医疗系统）区域医疗系统 一方面为了发挥中心医院的辐射和覆盖作用，另一方面充分利用各家医院 的特色科室的力量，区域医疗把这些资源进行共享和整合，这需要稳定的广域 网连接。 根据初步的需求，我们按照内外网物理分离的原则进行设计。 4.2.4 网络建设需求网络建设需求 1、为 HIS、PACS 等应用系统提供一个强有力的网络支撑平台； 2、网络设计不仅要体现当前网络多业务服务的发展趋势，同时需要具有最 灵活的适应、扩展能力； 3、全千兆网络带宽； 4、一体化网络平台：整合数据、语音和图像等多业务的端到端、以 IP 为 基础的统一的一体化网络平台，支持多协议、多业务、安全策略、流量管理、 服务质量管理、资源管理； XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 11 页 5、建设一个可管理、支持无线应用的系统； 6、建设一个安全管理平台。 4.2.5 核心层需求分析核心层需求分析 核心层设备担负着整个网络的流量。在网络核心层的流量是非常巨大的， 所有的服务器均在网络的核心层提供相关的服务。对网络核心层的压力非常巨 大。同时网络对安全性、稳定性的要求极高，由于网络也基本是一个金字塔的 形状，那么最需要稳定的就是金字塔的顶端，即网络的核心层。 网络核心层同时需要对网络的接入层提供不同的网络层的路由规划和信息 转发的功能，同时还需要保证不同级别的网络 QoS，对于服务器的关键业务通 过链路级和网络级的协议实现严格的控制和优先级的保证。对于网络级的保护 通常时间是非常长的，那么对一些关键业务，我们就必须通过结合二层快速收 敛的协议一起来完成对网络安全性的提升和网络的自愈能力。设备必须支持对 不同部门的规划，如实现全网统一 VLAN 的规划等。对每个系统分配不同的 VLAN 并且针对不同 VLAN 实现不同的安全和控制的策略等。 但是在自身的网络核心层需要通过完全的三层策略来进行 VLAN 的终结和三 层数据的交换工作，建议采用二层和三层协议相结合的方式共同实现网络的规 划工作。 4.2.6 接入层需求分析接入层需求分析 网络的接入是对用户直接进行数据透传的层次，但是由于网络的特殊性， 本次的接入层主要是对一个局域网进行接入。 对本次的接入层的主要需求的分析如下： （1） 、接入层用户数量的大直接产生大量的数据报文，直接通过三层的数 据承载上来，同时造成碰撞域和冲突域，使网络瓶颈产生于网络的低层，直接 影响接入质量。 （2） 、接入层用户数量大，而所应用的数据种类繁多，多种网络业务流量 的产生，包括组播业务的产生，对所接入的网络设备要求很高，使整个接入层 产生了一个业务接入瓶颈。 （3） 、网络的访问终结于共享数据的特定位置，因为接入层用户需要通过 网络最终访问位于网络另一端的共享服务器，而多个用户同时访问远端的同一 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 12 页 台服务器或者存在访问网络的其他节点的服务器，就需要这几个用户争抢网络 带宽，使接入层瓶颈提升到核心层，造成核心层资源的浪费。并且根据网络流 量的分析得出用户的访问方向是不规则的，网络一定会出现闲置的带宽的现象， 如何规划路由将非常重要。 （4） 、网络流量和网络流向是宽带网络的一个新瓶颈。 对于宽带网络接入，接入层网络的通常是以新 2/8 原则来划分的，其中有 20%的流量是在接入层交换机的内部进行交换的，而 80%的网络流量是通过上联 出口访问其他的网络设备。这里，就涉及到网络产生流量后，网络流向的问题， 网络流向直接造成网络对于流量和流向所产生的网络瓶颈。 （5） 、网络用户是局域网用户，实际接入的用户就是一个网络，那么对于 不同网络之间的互访的安全性控制更是由为重要，同时各个不同的机关对本机 关内部流通的部分文件是要求要有绝对的安全性的，对其他部门的用户的访问 是分为很多的不同的级别的。 4.34.3 系统设计系统设计 目前，HIS 系统在很多医院已经部署，很多传统业务都逐渐迁移到网络上， 对网络的性能、安全和稳定提出了很高的要求，主要体现在以下几个方面： 1 1）可靠迅速的响应以提供更好的医疗服务）可靠迅速的响应以提供更好的医疗服务 一般大医院每天的门诊量很大， HIS 系统每天对后台数据库的调用非常频 繁，会产生很大的数据流量，如果这种访问流量出了问题而导致无法正常进行 收费和医疗诊断，会产生严重的社会后果，因此医院对网络的访问性能有很高 的要求。 2 2）安全的业务数据保证医院正常对外服务）安全的业务数据保证医院正常对外服务 在医院的业务系统中保存着大量患者的健康信息和过程费用信息，这些数 据无论对患者还是医院都非常关键，需要严格保密，因此如何保护这些数据， 对医院有着重大的意义。 3 3）高效的管理推动系统的稳定，提高维护的效果）高效的管理推动系统的稳定，提高维护的效果 HIS 经过几年的建设，已经初具规模。如何管好整个医院的业务系统，包 括用户、服务器、数据库、存储设备和网络等，提高医院管理效率，保证医院 网络的正常运转已经成为医院急需解决的大问题。 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 13 页 4 4）医院数据的安全存储）医院数据的安全存储 医院需要存储包括病人信息、病案信息、费用信息和影像等数据，对数据 存储的安全性和扩展性要求非常高。 5 5）区域医疗的建设）区域医疗的建设 为了在区域范围内实现远程会诊、网上学术研讨等业务，迫切需要医院之 间的资源共享。 4.44.4 系统内网设计系统内网设计 4.4.1 内网建设需求内网建设需求 内网是医院核心网络系统，用于开展日常医疗业务（HIS、LIS、PACS、财 务、体检系统等）的内部局域网，系统应稳定、实用和安全，具有高宽带、大 容量和高速率等特点，并具备将来扩容和带宽升级的条件。 医院网络建设需求： 1、实现千兆主干，桌面接入实现 100/1000M 自适应（传输图像的桌面直接 实现 1000M 接入）； 2、配备的网管软件应提供可视的形象化的图形界面，对整个网络中网络产 品的全部端口进行监视和管理； 3、核心交换机与汇聚接入交换机互联采用双星型结构； 4、外科楼、门诊楼布置无线 AP，可为无线查房，病人上网提供接入服务； 5、由于医疗行业的特殊性，医护人员和病患者之间需要频繁地在院内移动、 同时处理大量的信息，要求网络具备可移动性、传输速率高等特点。同时考虑 到医院业务量的增加，网络需要留出足够余地扩容而不影响医院正常的工作。 网络应用设计要求： 1、院内核心网络系统 HIS、PACS 和 LIS、体检系统等应用分别单独组网。 以子网的形式组成医院的整体网络。各网络功能独立应用，信息互通，资源共 享；当任何一个子网出现故障，都不会影响到其他子网的使用。 2、传输动态图像的部门有：放射影像科、PET/CT、核磁共振 MRI、介入放 射科 DSA、B 超室、心超室、脑超室、心电图室、肌电图室、胃肠镜室、内窥镜 室、重症监护室（ICU、CCU 等） 、手术室、麻醉科、视频示教室和会议室等。 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 14 页 3、为了更好地服务于医疗科研工作，需要将各类监护治疗仪器上的各项生 命体征等信息以数字化手段采集并且保存下来，在需要时，可随时还原。因此， 考虑将医院所有的监护仪器和大型设备都联网。 4.4.2 内网设计及规划内网设计及规划 内网是整个医院的核心网络，开展医院日常重要的医疗业务，对网络的可 靠性、稳定性要求非常高，本次设计的网络按照千兆带宽（可扩展万兆交换平 台） ，内网核心交换机双机冗余、负载分担。网内拓扑设计采用二级双星型架构二级双星型架构， 分为核心层核心层、接入层接入层。核心层位于机房网络的中心，负责全网的路由交换，并 与各服务器、存储等核心医院应用相连；接入层位于各大楼内的楼层，负责直 接接入桌面系统，本次内网采用千兆双绞线到桌面，与核心层进行千兆光纤连 接。 1、核心交换机由两台 S7510E 组成双星型网络，当任意一条链轮或任意一台设 备出现问题时，保证网络正常运行； XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 15 页 2、汇聚层采用 S5120-EI 汇聚交换机，通过双千兆光纤与核心交换机互联，保 证链路的可靠，千兆与接入层交换机互联。 3、接入层，千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一，在诸如 医疗行业的会诊、医疗影像、医疗科研协作等，应用在消耗大量带宽的同时， 也在追求终端用户的满意度，基于双绞线的千兆以太网可以将更多的应用从低 速链路中解放出来，并且为医务工作者创新提供了一个崭新高效能工作平台。 4、无线：考虑到整体的无线接入点数量很多，建议使用 Fit AP 加 AC 控制器的 方式，AC 控制器部署在核心交换机，以 AC 无线控制器插卡的方式公用核心交 换机的资源，做到有线、无线一体化的融合网络解决方案，采用瘦 AP 组网方式， 医护人员在使用无线网络中能做到无缝漫游。 5、管理：智能管理中心 iMC，具备网络拓扑、网络性能、网络配置、网络安全、 网络告警、网络业务的统一管理，同时在其上可以配置有多种业务管理组件， 本次配置有线无线一体化管理组件 WSM，方便管理大规模的无线管理网络；端 点准入解决方案(EAD)在身份接入基础上，支持安全状态评估、网络安全威胁定 位、安全事件感知及保护措施执行等，预防因未打补丁、病毒泛滥、ARP 攻击、 异常流量、非法软件安装和运行等因素可能带来的安全威胁，并可根据终端的 安全状态实现终端 VIP、Guest、隔离、下线等多种控制策略。从端点接入上保 证每一个接入网络的终端的安全，从而保证网络安全。 4.54.5 系统外网设计系统外网设计 4.5.1 外网建设需求外网建设需求 1、实现千兆主干，桌面接入实现 100/1000M 自适应（传输图像的桌面直接 实现 1000M 接入）； 2、核心交换机与接入交换机互联采用星型结构； 3、防问互联网时采用一定的安全手段，如防火墙和 IDS； 4、能够提供强大的网络防问控制，路由功能。 4.5.2 外网设计及规划外网设计及规划 由于外网主要用于医院 OA 办公、图书馆信息查询，外网相对于内网来说可 靠性要求相对级别次低一级，初期按照采单核心交换机、双引擎、百兆接入到 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 16 页 桌面设计，采用接入直接到核心的简洁二层结构，根据用户后期细化可靠性需 求、链路冗余性需求后，再做进一步调整。 在接入层接入层，选用 H3C S5120 系列千兆交换机，H3C S5120-EI 系列交换机具 备丰富的业务特性，提供 IPv6 转发功能以及最多 4 个 10GE 扩展接口。通过 H3C 特有的 IRF（智能弹性架构）功能，用户能够简化对网络的管理。S5120-EI 系列千兆以太网交换机定位为千兆接入，同时还可以用于数据中心服务器群的 连接。 在核心层核心层，选用 S7506E 作为外网的核心交换机，S7500E 作为高端多业务 路由交换机，融合了 MPLS、IPv6、网络安全、无线、无源光网络等多种业务， 提供不间断转发、优雅重启、环网保护等多种高可靠技术，在提高用户生产效 率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本 （TCO） 。 在网络出口处部在网络出口处部署网神千兆防火墙，网神企业级千兆防火墙 SecGate 3600-G7T 是一款接口数目多、配置灵活、网络适应性好的千兆防火墙产品。产 品基于自主开发的 SecOS，在高性能硬件平台的支撑下，处理能力可达 4Gbps； XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 17 页 在出口路由器上在出口路由器上采用 H3C MSR5060，该系列产品可以为大型分支机构提供 高性能、多业务的一体化网络方案，也可以作为大中型企业的核心网络设备， 完成数据、语音、视频等多种流量的广域网交互。MSR50 针对安全数据连接进 行设计，采用内置硬件加密功能的 CPU 和主板上内置的硬件加密引擎，大大提 高产品的数据加密性能，同时节省接口插槽。另外，MSR 50 系列路由器还通过 集成以太网交换模块提供二层数据交换功能，实现了真正的路由交换一体化解 决方案。 5 5产品选型产品选型 5.15.1 核心交换机选型核心交换机选型 核心交换机选用 H3C 的 S7500E 系列交换机有如下特点： 一、丰富的业务，适应融合业务网络发展趋势 全面的 MPLS 业务能力 H3C S7500E 所有产品均支持 Multi-VRF 特性，可以做为 MCE 设备使用； 支持三层的 MPLS VPN 和二层的 MPLS VPN（Martini、Kompella 等） ，可扩展 支持 VPLS 技术；支持 MPLS OAM 特性，方便用户的管理和维护；支持 VPN 组播；与 H3C MPLS VPN Manager 配合，实现图形化的 MPLS 部署与维护。 线速的 IPv4/IPv6 业务能力 H3C S7500E 支持 IPv4/IPv6 双协议栈,支持多种隧道技术，支持 IPv4/IPv6 的组播技术，为用户提供完善的 IPv4/IPv6 解决方案；H3C S7500E 采用分布式 体系架构，实现 IPv4/IPv6 业务的线速无阻塞转发；H3C S7500E 已经通过了信 息产业部的 IPv6 入网认证和 IPv6 Ready 第二阶段金色认证，是成熟商用的 IPv6 产品。 有线无线一体化，有源无源一体化 H3C S7500E 集成的无线控制模块提供丰富的业务能力，包括精细的用户控 制管理、完善的 RF 管理及安全机制、快速漫游、超强的 QoS 和对 IPV6 的支 持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端 点准入防御，提高了整网的安全性。 H3C S7500E 是业界最高密度的以太网无源光网络（EPON）设备，单台最 大可接入 10240 个 FTTH 用户；H3C S7500E 是高可靠的 EPON 系统，采用分 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 18 页 布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双 路供电，具有电信级可靠性。 支持 Portal 认证 H3C S7500E 支持大容量的 Portal 认证功能，可以在数千用户的局域网中做 为 EAD 网关设备，为全网用户提供 EAD 安全认证功能；可以在大中型的校园 网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供 Portal 认证功能。 二、灵活的配置，适应各种应用场景 配线间融合业务网络的最佳选择 H3C S7500E 针对配线间的需求定制开发了 SA 板卡，单台设备可以提供 480 个千兆线速接口和 4 个万兆线速接口。H3C S7500E 支持端点准入防御解决 方案，解决终端安全问题；内置 2800W 电源直接提供 PoE 功能，对 IP 语音和 无线接入提供良好的支持。 政府电力城域网边缘和汇聚的最佳选择 H3C S7500E 支持 Multi-VRF 特性，为用户提供高可靠高性能的 MCE 设备； 通过配置 Salience VI-Turbo 引擎，可以提供集中式 MPLS 业务功能，适合在城 域网边缘作为高性价 PE 设备使用；通过配置 EA 类板卡，可以提供分布式线速 的 MPLS 业务功能，适合在城域网汇聚层作为高性能的 PE 使用。 IPv6 网络的最佳选择 H3C S7500E 所有 Salience VI 引擎都可以提供集中式 IPv6 功能，H3C S7500E 针对 IPv4/IPv6 高性能的要求还开发了分布式 IPv4/IPv6 转发的 SC 板卡， 在整机满配置状态下实现线速无收敛，为高校用户提供了高性能低成本的双栈 汇聚核心设备，同时也满足其他行业用户 IPv6 Ready 的需求。 三、全方位的安全保障，抵御多种网络安全威胁 三平面安全保障机制 H3C S7500E 提供完善的安全防护机制，可从控制、管理、转发三平面全面 保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止 TCN、ARP 等协议报文攻击，OSPF/BGP/IS-IS 路由协议采用 MD5 验证，防止非法路由更 新报文导致的网络瘫痪；在管理平面，SNMPv3 网管协议，SSH V2，基于 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 19 页 802.1x、AAA/Radius 的用户身份认证以及分级的用户权限管理保证了设备管理 的安全性；在转发平面，支持 IP、VLAN 、MAC 和端口等多种组合精细绑定； 支持 uRPF 单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转 发机制，有效抵御病毒的攻击。H3C S7500E 还支持内置的高性能防火墙、异常 流量清洗等模块，将专业的