医院基础架构建设解决方案

XXXIT基础架构建设

解决方案

目录

1整体架构设计..................................................3

1.1综述.....................................................3

1.2内网架构设计.............................................3

1.3外网架构设计.............................................7

1.4无线网络架构设计........................................9

1.5信息点统计表............................................9

2网络及安全方案设计...........................................12

2.1网络虚拟化设计..........................................12

2.2安全虚拟化设计..........................................13

2.3虚拟交换机设计..........................................16

2.4数据库审计设备..........................................18

2.5防火墙设备..............................................20

2.6入侵防御设备............................................21

2.7运维堡垒机..............................................22

2.8互联网出口..............................................24

3业务系统虚拟化方案设计......................................26

3.1刀片服务器设计.........................................26

3.2计算虚拟化设计..........................................29

3.3数据中心管理设计.......................................43

4综合管理系统设计.............................................45

4.1网络管理设计............................................45

4.2业务监控设计............................................56

4.3终端管理设计............................................59

5无线系统设计.................................................63

5.1无线标准选择............................................63

5.2无线医疗业务............................................63

5.3病房区域无线覆盖设计...................................68

5.4门诊区域无线覆盖设计...................................69

5.5内网认证方式............................................70

5.6外网认证方式70

6产品清单....................................................73

1整体架构设计

1.1综述

楼宇接入交换机-外网

1.2如上图所示，为本次项目整体架构示意图。分为内外及外网两个部分。两

张网络之间通过H3csecPathF1070综合安全网关进行隔离防护，只允许

有权限的'业务访问。内外重要用于医院内部业务系统的支撑，涉及网络设

备，存储系统，服务器设备。外网重要用于医院进行对互联网的访问以及连

接省市医保专线。内网设计原则为千兆到桌面，万兆骨干的方式。外网设

计原则为千兆到桌面，下兆骨干的方式。内外之间通过T兆以太网链路连

接到综合安全网关。设计方案将依据《XXX信息化系统建设规定》及《河

南省数字化医院评审标准》进行设计。原则上符合上述两个文献的指导精

神。

1.3内网架构设计

内部网络核心互换机为两台H3cS7506E核心互换机，单台配置冗余主控，

冗余电源模块,3块16端口万兆以太网光接口模块，1块24端口千兆以太网电接口

+4端口万兆以太网光接口模块，配置相应光模块及连接电缆。万兆链路用于连接

楼宇接入互换机，连接刀片服务器系统，连接存储系统c通过万兆链路实现IRF2

虚拟化互联，支持跨设备的链路聚合技术。通过千兆以太网电接口连接H3c

F1070综合安全网关。

楼宇接入互换机为H3cs5130-EI系列互换机。根据弱电分布图（见本章节末

登记表）的记录情况，本次项目共计34个弱电井，每个弱电井相应的信息点不尽

相同。共计使用H3cS5130-52S-EI互换机15台，H3CS5130-28S-EI互换机26台。

每个弱电井内部署1台上行互换机，采用两个万兆以太网光接口分别上联至两台

核心互换机。通过跨设备的链路聚合技术，达成上行链路带宽20G,故障切换时

间200ms的最佳冗余配置。H3CS5130-52S-EI互换机单台提供48个千兆以太网电

接口,4个万兆以太网光接口。H3CS5130-28S-EI互换机单台提供24个千兆以太网

电接口,4个万兆以太网光接口。配置相应数量光模块。每个弱电井其余互换机均

采用万兆电缆连接至上行互换机

业务服务器采用1台H3cUIS8000刀片式服务器，搭载4台B390服务器和2台

B590服务器。B390服务器单台配置2个E5-2620v3CPU（主频2.4GHz,6核心），

64GB高性能内存,2块300GB-10K硬盘,2个10GEFlexFabric网卡。Fabric网卡支持

1:4链路虚拟化技术，可以将物理网卡随意划分为指定带宽。B590服务器单台配

置2个E5-4620v3CPU（主频2.2GHz,8核心），32GB高性能内存,2块300GB-10K

硬盘,2个10GEFlexFabric网卡。Fabric网卡支持1:4链路虚拟化技术，可以将物理

网卡随意划分为指定带宽《B390服务器配合H3CCAS虚拟化系统，完毕医疗应用

业务的承载,B590服务器配合H3CCAS虚拟化系统，完毕应用数据库业务的承

我。

H3CUIS8000刀片服务器机箱搭载两块OA管理模块，10个航空级冗余风扇

模块,6个航空级冗余出源模块，1+1冗余管理模块,2个FlexFabric1024端口刀片

系统的VC模块。VC模块配置有8个万兆上行端口和16个万兆下行端口。上行端

口直接连接到核心互换机，下行端口通过无源背板连接到刀片服务器。2个VC模

块之间通过内部端口互联，实现冗余保障。VC模块支持1:4链路虚拟化技术，可

以将物理网卡随意划分为指定带宽，实现灵活的业务链路部署。

存储系统为一套H3cFlexStorageP5730IP存储系统。配置有25个900GB

10000转SAS硬盘,4个千兆以太网电接口，2个万兆以太网光接口。可用空间为

22.5TB。存储系统用于实现核心业务数据的存储以及虚拟化业务系统的共享存

储。存储系统通过万兆以太网链路直接连接到核心互换机，实现同业务系统之间

的数据交互。

业务系统承载于H3CCAS虚拟化管理系统之上。H3CCAS虚拟化管理系统

融合了计算、网络、存储资源的虚拟化，形成弹性的数据中心资源池，实现资源

的自动化调度，更好地为上层应用服务。通过虚拟化后，虚机之间为完全隔离状

态，具有独立CPU、内存、磁盘I/O、网络I/O,即任何一个虚机发生故障时，同一

物理机上的其他虚机不受其影响，每个虚机具有独立的用户管理权限，可安装独

立操作系统，不同虚机间操作系统可以异构。完全基于B/S架构的管理控制台，不

仅让您轻松组织和快速部署整个IT环境，并且还能对涉及CPU、内存、磁盘I/O、

网络I/O等重要资源在内的关键元件进行全面的性能监测，为管理员实行合理的

资源规划提供详尽的数据资料。H3cCAS虚拟化管理系统为虚拟机中运营的应用

程序提供简朴易用、成本效益高的高可用性功能。硬件故障导致的服务器或虚拟

机宕机再也不会导致劫难性的后果,H3cCAS提供的资源智能调度能力会自动重

新为这些服务器或虚拟机选择最佳的运营位置。

1.4认证管理方案，采用H3CEIA终端智能接入组件为内网用户提供接入认

证。限制用户随意进入内网，符合等保规定。本次项目中，认证系统采用

Portal认证方式,Portal网关部署于核心互换机。为每用户提供账号与口令,

绑定IP地址，绑定MAC地址，实现统一接入认证。Portal认证方式也非常

适合于无线医疗终端接入到网络中，为日后医院实现无线医疗全覆盖打好

基础。

1.5为保证内网信息化安全，符合数字化医院对于信息安全建设规定，为内网

部署堡总机以及数据库审计系统。通过十兆以太网电接口的方式直连核心

互换机。堡垒机用于平常运维审计管理平分，记录运维行为，统一对账号进

行管理。数据库审计系统用于对数据库的操作进行安全防护及记录审计。

上述两套系统配合使用，实现医院平常业务管理的同时，可以兼顾“反统

方”工作的开展。

1.6外网架构设计

外网核心互换机为1台H3cS7506E-S核心互换机。单台配置冗余电源模块，

冗余主控模块，1块48端口千兆以太网电接口模块，1块48端口千兆以太网光接口

模块，配置相应的光模块。通过千兆以太网光接口连接外网楼宇接入互换机，通

过千兆以太网电接口连接综合安全网关，医保前置机，出口安全网关，防火墙等

设备。

外网接入互换机为H3cs5110系列千兆互换机。外网信息点较为分散，故所

有接入互换机均通过千兆以太网光接口上行到核心互换机。通过对信息点的记录

分析，配置有H3cS5110-28P接入互换机12台,H3CS5110-52P接入互换机18台。

配置相应光模块。H3CS5110-28P接入互换机单台配置有24个千兆以太网电接口,

4个千兆以太网光接口，H3cS5110-52P接入互换机单台配置有48个千兆以太网电

接口,4个千兆以太网光接口。

外网互联网出口部署一台H3cACG-1000-M出口安全网关。单台配置有16个

千兆以太网电接口,4个复用的千兆以太网光接口，冗余电源模块。提供3年特性

库升级服务。提供管理软件。出口安全网关提供全院NAT功能，支持链路负载均

衡，能对网络中的网络社区、P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、

非法网站访问等行为进行精细化辨认和控制。运用智能流控、智能阻断、智能路

由等技术，配合创新的社交网络行为管理功能、清楚易管理日记等功能，可以提

供业界最全面、完善的上网行为管理解决方案。从而保障网络关键应用和服务的

带宽，对网络流量、用户上网行为进行进一步分析与全面的审计，为用户全面了

解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。

满足公安部82号令的同时，实现对网络流量的精细化管理。

1.7部署一台H3CF1050综合安全网关用于连接省市医保专线。提供16个千

兆以太网电接口，8个千兆以太网光接口，支持2个扩展槽位。支持多种

VPN业务，如L2TPVPN、GREVPN、IPSecVPN和SSLVPN等。采

用了先进的最新64位多核高性能解决器和高速存储器。支持H3CSCF虚

拟化技术，可将多台设备虚拟化为一台逻辑设备，对外呈现为一个网络节

点，资源统一管理，完毕业务备份同时提高系统整体性能。支持吞吐量为

5GBo

1.8部署一台H3CF1070综合安全网关作为内外网隔离屏障。搭载防病毒功能,

提供3年特性库升级。提供16个千兆以太网电接口，8个千兆以太网光接

口，2个万兆以太网光接口。支持2个扩展槽位。支持多维一体化安全防护,

可从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV、DLP

等一体化安全访问控制，可以有效的保证网络的安全。支持吞吐量为8GB。

1.9无线网络架构设计

L10本次无线网络的设计将采用同一套AP,分别连接内网和外网的部署方式。

内网部署PoE互换机，提供无线AP供电。规定无线AP具有有两个独立

的千兆以太网电接匚，可以分别连接内网和外网。通过两个端口分别分派

给不同的VLAN,实现对内网和外网的隔离。同一个AP提供不同的SSID,

通过认证系统保证内网用户不可以接入外网SSID,外网用户不可以接入

内网的SSIDo

1.11无线医疗业务重要应用范围在住院病房，重要应用涉及无线杳房，无线输

液，无线医嘱等内容，相对而言，公网应用较少。对于门诊部分和人员较为

密集的大厅，重要应用是公网应用。医院不应当允许陪护人员可以随意访

问公网，这并不符合数字化医院的规定，只可以访问到医院指定的微信平

台或是公网业务平台。无线网络的具体设计将在后文展现。

L12信息点登记表

内网信息点登记表

楼宇西南弱电井东南弱电井西北弱电井东北弱电井24口互换机48口互换机

1F927644306

2F428663014

3F6444244014

4F5270182615

5F16222

6F2202

7F26221-

8F26221▲

9F26221-

10F26221

111-26221-

12F26221,

13F16221-

屋顶21

总计2502762823221526

外网信息点登记表

楼宇西南弱电井东南弱电井西北弱电井东北弱电井24□互换机48口互换机

11'4433

2F3343

3F342

4F1243

5F65112

6F32462

7F44472

8F44472

9F44472

10F44472

11F44472

121-44472

13F16242

总计783234181218

2网络及安全方案设计

2.1网络虚拟化设计

面向园区网横向业务整合的需求,S7500E支持IRF2（第二代智能弹性架构）

技术，将多台高端设备虚拟化为一台逻辑设备，是业界首款支持4框虚拟化的核

心互换机产品，在可靠性、分布性和易管理性方面具有强大的优势。

IRF（IntelligentResilientFramework,智能弹性架构）是H3c自主研发,用于

在网络中同层设备之间进行整合的虚拟化技术。它的核心思想是将多台设备连接

在一起，进行必要的配置后，虚拟化成一台设备。使用这种虚拟化技术可以集合

多台设备的硬件资源和软件解决能力，实现多台设备的协同工作、统•管理和不

间断维护。

IRF重要具有以下优点：

简化管理。IRF形成之后，用户通过任意成员设备的任意端口都可以登录IRF

系统，对IRF内所有成员设备进行统一管理。

高可靠性。IRF的高可靠性体现在多个方面，例如：IRF由多台成员设备组成，主

设备负责IRF的运营、管理和维护，从设备在作为备份的同时也可以解决业务。

一旦主设备故障，系统会迅速自动选举新的主设备，以保证业务不中断，从而实

现了设备的1:N备份；此外，成员设备之间的IRF链路支持聚合功能,IRF和上、下

层设备之间的物理链路也支持聚合功能，多条链路之间可以互为备份也可以进

行负载分担，从而进一步提高了IRF的可靠性。

强大的网络扩展能力。通过增长成员设备，可以轻松自如的扩展IRF的端口数、

带宽。由于各成员设备都有CPU,可以独立解决协议报文、进行报文转发，所以

IRF还能轻松自如的扩展解决能力。

2.2使用IRF后，汇聚层的多个设备成为了一个单一的逻辑设备，接入设备直

接连接到这个虚拟设备。这种简化后的组网不再需要使用MSTP.VRRP

协议，简化了网络配置。同时依靠跨设备的链路聚合，在成员出现故障时不

再依赖MSTP、VRRP等协议的收敛，提高了可靠性。通过IRF还可以扩

展系统的解决能力和带宽。当原有设备的解决能力不能满足需求时，通过

新增多台设备形成IRF来提高总体解决能力。

2.3安全虚拟化设计

安全集群架构(SCF)为杭州华三通信技术有限公司(以下简称H3C)自主研发的

安全设备软件虚拟化技术，它的核心思想是将多台安全设备连虚拟为一台设备。

可以集合多台安全设备的软件解决能力，实现多台安全设备的协同工作、统一管

理和不间断维护。

swsw

SCF重要具有以卜优点:

1.简化管理。SCF形成之后，用户通过任意成员设备的任意端口都可以登录

SCF系统，对SCF内所有成员设备进行统一管理.

2.高可靠性。SCF的高可靠性体现在多个方面，例如:SCF由多台成员设备组

成，主设备负责SCF的运营、管理和维护，从设备在作为备份的同时也可以解决

业务。一旦主设备故障，系统会迅速自动选举新的主设备，以保证业务不中断，

从而实现了设备的1：N备份；此外，成员设备之间的SCF链路支持聚合功能,SCF

和上、下层设备之间的物理链路也支持聚合功能，多条链路之间可以互为备份也

可以进行负载分担，从而进一步提高了SCF的可靠性。

3.强大的网络扩展能力。通过增长成员设备，可以轻松自如的扩展SCF的端

口数、带宽。由于各成员设备都有CPU,可以独立解决协议报文、进行报文转发,

所以SCF还能轻松自如的扩展解决能力。

SCF的部署方式全面突破了机框的限制，在简化管理和部署的基础上同时实

现了安全业务和安全性能的弹性扩展，可以实现业务流量通过一组SCF系统的自

动负载分担和冗余备份。

SCF组中每台设备都称为成员设备。成员设备按照功能不同，分为两种角色:

1.主用设备（简称为主设备）：负责管理整个SCF系统。

2.从属设备（简称为从设备）：作为主设备的备份设备运营。当主设备故障

时，系统会自动在从设备中选举一个新的主设备接替原主设备工作。

SOP技术杭州华三通信技术有限公司（以卜.简称H3C）自主研发的安全设备软

件虚拟化技术。它的核心思想是将一台安全设备连虚拟为多台台设备。可认为多

个安全出口分派独立的解决能力和配置。实现专享的安全策略。

F5000采用创新的基于容器的虚拟化技术实现了真王意义上的虚拟防火墙，

即安全ONE平台（SOP）o每一个安全ONE平台均完全继承F5000设备的所有特

性。

SOP之间实现了基于进程的真正互相隔离，而不是造统的通过路由方式的隔

离。每一个SOP系统都有自己独立的运营空间，涉及管理平面、控制平面、数据

平面、以及完整的安全业务功能。每一个SOP均可以独立的启动、暂停和关闭，单

个SOP故障不会对其他SOP和整个物理系统产生任何影响。

SOP通过统一的OS内核可以对系统的静态及动态的资源进行细粒度的划

分。其中，静态资源有内存、硬盘、接口、TCAM等，与此相关的逻辑资源涉及

并发会话、VPN隧道、安全策略、安全域、动态路由、VLAN等；动态资源有CPU,

与此相关的逻辑资源涉及吞吐量、新建速率、抗袭击能力、VPN解决能力等。

SOP数量可以按照系统需求的变化动态调整。基于SOP的全分布式解决能力,

在单个SOP能力不变的前提下，可以通过增长业务板的方式来扩展系统SOP数量

的上限。

2.4SOP能力可以根据用户需求动态的进行调整，当业务需求变更时可以在不

重启SOP的前提下在线平滑调整CPU、内存等资源，从而保障用户业务

完全不受影响。

2.5SOP能力可以基于SCF能力至少，F5000设备可以选择先使用SCF技术

完毕N:1的虚拟化，在此基础之上，使用SOP技术完毕1:N的虚拟化。

2.6虚拟互换机设计

本次项目中，医院将采用虚拟化技术完毕对所有业务系统的虚拟化部署一虚拟化

技术中，虚拟互换机是非常重要的一个环节。H3c的虚拟化互换机可以兼容

VMware平台，实现现有资源的统一管理。

海务ei渣务锐渣务单

回笆回回I回回回回回叵)回回

LVNszESXi'JMsreES力VMwiNESXi

VFE(MrtglForwvdngErgirw)

•GR方发报帙.云4#发"在VCE(\ArtuaiCortrdI"Engin®)

v$pbere«t»-电代VMvareGt整父悔8t・•8力按。不快.以或加风n彩我父4t.

•精次OpenFlo鄂第话平邮的角色.庆典虚•*，OrenFkH•控制幕的角色.X«VFE

持阳蜡哀。外双量校制与壮友.模轻的集中立0胸■.

•多个VF四双T分布式由疑父女加・•同S<grtwCenw发供台.

SerS1010V

Plugin(H#)

•均ctVCBft册和v%E«cServer,以掂龄

的也R&k&：vCenterServer中.

•我3■他3ftVDS的不附上.愿修wNIC病

。同境校制使力〔8PVLAN、VEPA

屯尊柒自等》・

H3csi010V是H3c公司面向公司和行业数据中心虚拟化环境推出的一款智

能软件互换机产品，合用于VMwareESXi公司增强版环境。通过与VMware公司

密切合作,H3CS1010V可以与VMware虚拟基础设施完全集成，其中，涉及

VMwarevCenterfllVMwareESXi,并替代VMware的基本虚拟互换机，为虚拟机

提供功能增强型的分布式虚拟互换能力。

H3CS1010V在设计上遵循OpenFlow标准体系架构，实现控制平面与转发平

面分离的可编程网络技术，整个产品涉及VCE、VFE和Plugin三个部分。

装和运营在ESXi服务器上，是VMwareESXi内核的一部分，可以完全取代

VMware虚拟互换机的功能。

从定位上看，相称于OpenFlow标准中的OpenFlow互换机，扮演数据转发平

面的角色，实现虚拟网络端口的流量控制与转发。VFE接受到数据包后，一方面

在本地的OpenFlow流表中查找转发目的端口，假如没有匹配，则把数据包转发

给VCE模块，由控制层决定转发策略和转发端口。

部署在多个ESXi上的VFE组成一个跨物理主机的分布式软件虚拟互换机。当

虚拟机发生迁移的时候，虚拟网卡上的网络策略可以在各个服务器上同步。

•VCE（VirtualControllerEngine,虚拟控制引擎）

以标准的OVF（OpenVirlualizalionFormal,开放虚拟化格式）虚拟机格式交

付，通过VMwarevCenter提供的OVF模板部署功能安装在一台单独的虚拟机上。

从定位上看，相称于OpcnFlow标准中的控制器（Controller）,通过WebGUI

界面，实现VFE的集中管理和配置。

,Plugin（插件）

2.7运营在VMwarevCenterServer上的一个插件，是H3CS1010V专为

VMware定制开发的第三方管理接口，重要提供端口策略组的配置界面。

2.8数据库审计设备

数据库审计设备将通过千兆以太网电接口连接到核心互换机。数据库审计设

备的部署位置和功能实现并无关联，只需要到数据库的【P地址可达就足够了。

H3CSecPathD2023数据库审计设备吞吐量为2GB,峰值事物解决能力为2万条/

秒，日记存储量为4亿条。

数据库是任何商业和公共安全中最具有战略性的资产，通常都保存着重要

的商业伙伴和客户信息，这些信息需要被保护起来，以防止竞争者和其他非法者

获取。互联网的急速发展使得公司数据库信息的价值及可访问性得到了提高，同

时，也致使数据库信息资产面临严峻的挑战，概括起来重要表现在以下三个层

面：

管理层面：重要表现为人员的职责、流程有待完善，内部员工的平常操作有

待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯

并定位真实的操作者。

技术层面：现有的数据库内部操作不明，无法通过外部的任何安全工具（比

如：防火墙、IDS、IPS等）来阻止内部用户的恶意操作、滥用资源和泄露公司机

密信息等行为。

审计层面：现有的依赖于数据库日记文献的审计方法，存在诸多的弊端,比如:

数据库审计功能的启动会影响数据库自身的性能、数据库日记文献自身存在被篡

改的风险，难于体现审计信息的真实性。

随着着数据库信息价值以及可访问性提高，使得数据库面对来自内部和外

部的安全风险大大增长，如违规越权操作、恶意入侵导致机密信息窃取泄漏，但

事后却无法有效追溯和审计。

为了解决数据库信息安全领域的深层次、应用及业务逻辑层面的安全问题及

审计需求，华三公司在数年数据库安全的理论和实践经验积累的基础上，成功推

出了业界首创的、面向政府、公司核心数据库的安全产品----华三数据库审计系

统，该产品重点实现细粒度审计、精确化行为回溯、全方位风险控制，为您的核

心数据库提供全方位、细粒度的保护功能，可帮助用户带来如下价值点：

全面记录数据库访问行为，辨认越权操作等违规行为，并完毕追踪溯源

跟踪敏感数据访问行为轨迹，建立访问行为模型，及时发现敏感数据泄漏

检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议

为数据库安全管理与性能优化提供决策依据

2.9提供符合法律法规的报告，满足等级保护、公司内控等审计规定

2.10防火墙设备

本次项目选用的是NGFW下•代防火墙作为出口安全（H3csecPath

F1050-8GB吞吐量）以及内外网隔离设备（H3csecPathF1070-12GB吞吐量）。防

火墙设备的部署位置涉及同医保互联的出口防火墙和内外网隔离用的综合安全

防火墙。其中，隔离用防火墙配置有IPS-入侵防御及AV.防病毒的功能授权以及3

年的特性库升级。综合安全防火墙通过万兆以太网光接口分别连接到内网核心互

换机及外网核心互换机.

H3CSccPathF10X0系列防火墙是杭州华三通信技术有限公司（以下简称

H3c公司）随着Web2.0时代的到来并结合当前安全与网络进一步融合的技术趋势,

针对中小型公司、园区网互联网出口以及广域网分支市场推出的下一代高性能防

火墙产品。

2.11H3csecPathF10X0系列防火墙支持多维一体化安全防护，可从用户、应

用、时间、五元组等多个维度，对流量展开IPS、AV、DLP等一体化安全

访问控制，可以有效的保证网络的安全；支持多种VPN业务，如L2TP

VPN、GREVPN、IPSecVPN和SSLVPN等，与智能终端对接实现移

动办公；提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略及基于应用

与URL的策略路由；支持IPv4/IPv6双协议栈同时，可实现针对IPVG的

状态防护和袭击防范。

2.12H3CSecPathF10X0系列防火墙采用互为冗余备份的双电源（1+1备份）,

同时支持双机集群化部署的SCF技术，充足满足高性能网络的可靠性规

定；同时F10X0产品在1U高的设备上可提供至少24个千兆接口、2个万

兆的固定接口。

2.13入侵防御设备

入侵防御设备通过插卡的形式直接部署在核心互换机匕通过背板互联。用

于数据中心的安全防护。不需要额外的连接配置。当IPS板卡出现故障时，可以

通过自动旁路的方式对流量进行保护。本次部署两台，单个IPS插卡的吞吐量为

lOGBo

2.14SecBladeIPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS模

块。配合H3CFIRST（FullInspectionwithRigorousStateTest,基于精

确状态的全面检测）专有引擎技术，能精确辨认并实时防范各种网络袭击

和滥用行为。SecBladeIPS通过了国际权威组织CVE（Common

Vulnerabilities&Exposures,通用漏洞披露）的兼容性认证，在系统漏洞研

究和袭击防御方面达成了业界顶尖水平。集成卡巴斯基防病毒引擎和病毒

库。采用第二代启发式代码分析、Checker实时监控和独特的脚本病毒拦

截等多种最尖端的反病毒技术，能实时查杀各种文献型、网络型和混合型

病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、

未知病毒。

2.15H3c专业安全团队密切跟踪全球知名安全组织和厂商发布的安全漏洞公告,

通过准确的分析，快速生成保护操作系统、应用系统以及数据库漏洞的特

性库；H3c通过了微软的MAPP（MicrosoftActiveProtectionsProgram,

微软积极防御计划）认证，可以提前获得微软的漏洞信息。同时，通过部署

于全球的蜜罐系统，实时掌握最新的袭击技术和趋势，以定期（每周）和紧

急（当重大安全漏洞被发现）两种方式发布，并自动或手动地分发到

SecBladeIPS模块中，使用户的SecBladeIPS模块快速具有防御零时差

袭击的能力。

2.16运维堡垒机

运维堡垒机通过千兆以太网电接口直接连接到核心互换机。运维堡垒机的部

署位置同实际功能无关。

随着信息系统规模不断扩大，企事业单位需要管理的设备数量和类型都越

来越多、数据的敏感性越来越高、管理人员也越来越复杂，由此带来了一系列的

困难和安全隐患。如内部管理人员越权操作设备，导致数据泄漏，设备密码由于

修改工作量过大而长期不修改等。

H3CSecPathA2023及A2100是面向运营商及行业市场的高性能、高可管理的

运维审计系统，硬件上机遇X86解决架构,A2023为1U的独立盒式设备，提供6个

千兆以太电口，单电源设计，支持交流电源。A2100为2U的独立盒式设备，提供4

个千兆以太电口+2个千兆以太光口，，并提供一个扩展槽位用于进行端口及业

务扩充双电源设计，支持交流电源。

2.17在功能方面，SecPathA2023及A2100为用户提供了全面的运维管理体系

和运维能力，支持资产管理、用户管理、双因子认证、命令阻断、访问控

制、自动改密、审计等功能，可以有效的保障运维过程的安全。

2.18在协议方面，SecPathA2023及A2100全面支持SSH/TELNET/RDP（远

程桌面）/FTP/SFTP/VNC,并可通过应用中心remoteapp技术扩展支持

VMware/XEN等虚拟机管理、oracle等数据库管理、HTTP/HTTPS,小型

机管理等。

2.19互联网出口

互联网出口重要作用是提供全院的公网访问。涉及患者就医产生的公网流量

以及医院内部对外的互联网流量。为满足公安部82号令以及数字化医院的规定，

增长互联网出口网关,ACG1000-M设备吞吐量为800MB,支持同H3cE1A认证系

统进行配合，实现基于用户名或微信账号的审计。

H3CSecPathACG1000是H3c公司新一代应用控制网关,ACG1000引入了全方

位上网行为管理要素，是面向客户业务而量身定制的全业务网关产品。

H3CSecPathACG1000能对网络中的网络社区、P2P/IM带宽滥用、网络游戏、

炒股、网络多媒体、非法网站访问等行为进行精细化辨认和控制。运用智能流控、

智能阻断、智能路由等技术，配合创新的社交网络行为管理功能、清楚易管理日

记等功能，可以提供业界最全面、完善的上网行为管理解决方案。从而保障网络

关键应用和服务的带宽，对网络流量、用户上网行为进行进一步分析与全面的审

计，为用户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务

提供有力的支撑。

3业务系统虚拟化方案设计

3.1刀片服务器设计

H3CFlexServerUIS8COO刀片机箱采用了一系列全新的技术，提供了简化的

管理、强大的解决能力、超强的网络带宽、更高效的供电和散热。1个UIS8000

刀片机箱可以支持16块半高刀片服务器或8块全高刀片服务器。U3CFlcxScrvcr

U1S8000机箱可提供模块化服务器、互连模块和存储组，牛、电源模块、散热模块

及网络模块。该机箱10U高，可容纳16块半高刀片服务器或8块全高刀片服务器以

及可选的冗余网络和存储互连模块。它内置一个共享的中置背板，可将刀片服务

器一次性连接到网络和共享存储设备。通过0A管理模决和远程管理模块来管理

服务器，并可实现全面地控制。

节能技术：与动态功率封顶的精确测量和控制相结合，可在无损性能的前提

下节能和回收闲置电能。

互联架构：连线一次便可动态添加、替换或恢复刀片服务器，不影响网络和

存储或产生其他操作。

中置背板：无单点故障，可使用户业务正常运营。

板载管理：提供了实用的管理工具并简化了平常管理，问题告警，便于用户

问题定位及恢复

高性能和高度灵活的网络连接:UIS8000刀片机箱背板带宽高达7TB,可以

支持多种不同的网络类型。

冗余设计：UIS8000刀片机箱采用模块化设计，所有组件都支持热插拔。

U1S8000刀片机箱背板是完全没有活动组件的背板，并且服务器和网络互联模块

之间采用冗余的链路连接，避免了单点失效的也许。UIS8000刀片机箱采用了由

多个ActiveCool风扇组成的冗余热插拔散热系统。

简化的初始安装和管理：创新的板载LCD管理面板可在短时间之内快速完毕

服务器的安装和配置，不管是在本地或远程管理，采用向导式的管理界面都可以

大大减化平常工作，加快故障的判断和修复。

更高效率：和传统机架式服务器相比，更低的功耗，占用空间更少，连接线

缆的数量更少。

模块化热插拔组件：刀片服务器、存储和其他模块化组件可以在不断电的情

况下方便地添加或移除。

管理灵活：对刀片模块和网络连接模块的管理不局限于一个刀片机箱内，系

统可以允许跨刀片机箱的资源整合和共享。

集成共享的电源和散热系统：刀片系统可以提供最佳的能耗比和最佳的冷

却效率。

简朴的管理方式：不需要复杂的规划就可以完毕数据中心的系统冗余、电源、

冷却和管理等方面的设计，模块化扩展的服务器、存储和网络设备所有可以通过

一个控制台来进行管理。

投资保护：刀箱中可以安装多种不同规格的服务器和网络设备。

下表为基本性最多支持16块半高刀片服务器

能参数列表：最多支持8块全高刀片服务器

设备托架支持混合配置

互联托架可以支持8个网络互联模块

机箱内集成，最多可以配置6个单相电源

电源

集中冗余风扇，最多可以配置10个积极智能散热风扇

风扇

冗余0A管理模块一LAN和串行访问

管理

支持本地KVM连接

尺寸44.7cm（宽）X81.3cm（深）X44.2cm（高）

满配重量W204Kg

额定电压范围：200V-240VAC,50/60Hz

交流

输入电压

额定电压范围:-36V〜-72VDC

直流

工作环境温度10℃~35℃

工作环境湿度10%〜90*

下行口:16*I0GE

表为网络模块列表：

端口上行□:10*10GE

形态淮叠口：4M0GE

1h准受口:4*10GE

支持端口虚拟化为4个虚端口:

Flex-1026端口VC模块网络

特性支持无状态计算：

下行口：16*I0GE

上行口:8+10GE（其中4个可切换

一端口为8GbI-C口）

▲形态

■回・回・»■a•回・回■'回.回尸淮叠口:2*10GE

;

■巧=E3E3*EZE2E3I2

4

VCMOM*J淮强□:2*10GE

支持端口虚拟化为4个虚端口:

FlcxFabric24端口VC模块网络

支持无状态计算：

特性

支持FCOE：

下行口：16*I0GE

端口上行口:8*10GE+4*40GE

E—_.1—曰IIk称太

■*0•>>■*»1/I/会、淮叠口：4*10GE

g■

c1

!-1o在费口:1*1OGE

支持FCOE,IRF2.IPv4/IPv6,VEPA.

B6300XLG以太网模块网络SPB、TRILL：

特性

下行□:16*GE

.HW-二一

端口上行口：4*GE+4+10GE

,物态

：（-准费口：1*1OGE

虚叠口:1+10GE

网络

B6300G/XG以太网模块支持IRF/VRRP/RRPP/：

特性

下行口：16*8Gb

端口

上行□:8*8Gb

产态

J卜-l行J口1・•O^OvU

K—支持无状态计算：

网络

支持NPIV模式，支持N_Port；

24端口FCVC模块特性

支持NPIV模式，支持N_Porl：

3.2计算虚拟化设计

服务器是云计算平台的核心，其承担着云计算平台的“计算”功能。对于云

计算平台上的服务器，通常都是将相同或者相似类型的服务器组合在一起，作为

资源分派的母体，即所谓的服务器资源池。在这个服务器资源池上，再通过安装

虚拟化软件，使得其计算资源能以一种云主机的方式被不同的应用和不同用户

使用。在x86系列的服务器上，其重要是以H3Cloud云生机的形式存在。后续的方

案描述中，都以云主机进行描述，如下为H3c虚拟化软件的构成。

CVK:CloudVirtualizationKernel,虚拟化内核平台

运营在基础设施层和上层操作系统之间的“元”操作系统，用于协调上层操

作系统对底层硬件资源的访问，减轻软件对硬件设备以及驱动的依赖性，同时对

虚拟化运营环境中的硬件兼容性、高可靠性、高可用性、可扩展性、性能优化等

问题进行加固解决。

CVM:CloudVirtualizationManager,虚拟化管理系统

重要实现对数据中心内的计算、网络和存储等硬件资源的软件虚拟化，形成

虚拟资源池，对上层应用提供自动化服务。其业务范围涉及：虚拟计算、虚拟网

络、虚拟存储、高可靠性（HA）、动态资源调度（DRS）、云主机容灾与备份、

云主机模板管理、集群文献系统、虚拟互换机策略等。

采用H3c的CAS虚拟化平台对多台服务器虚拟化后，连接到共享存储，构建

成计算资源池，通过网络按需为用户提供计算资源服务。同一个资源池内的云主

机可在资源池内的物理服务器上动态漂移，实现资源的动态调配。

CAS产品逻辑架构图如下所示:

计算资源池的构建可以采用以下四个环节完毕：计算资源池分类设计、主机

池设计、集群设计、云主机设计四个部分完毕。

1）计算资源池分类设计

在搭建服务器资源池之前，一方面应当拟定资源池的数量和种类，并对服务

器进行归类。归类的标准通常是根据服务器的CPU类型、型号、配置、物理位置

和用途来决定。对云计算平台而言，属于同一个资源池的服务器，通常就会将其

视为一组可互相替代的资源。所以，一般都是将相同解决器、相近型号系列并且

配置与物理位置接近的服务器一一比如相近型号、物理距离不远的机架式服务

器。在做资源池规划的时侯，也需要考虑其规模和功用，假如单个资源池的规模

越大，可以给云计算平台提供更大的灵活性和容错性：更多的应用可以部署在上

面，并且单个物理服务器的宕机对整个资源池的影响会更小些。但是同时，太大

的规模也会给出口网络吞吐带来更大的压力，各个不同应用之间的干扰也会更

大。

初期的资源池规划应当涵盖所有也许被纳管到云计算平台的所有服务器资

源，涉及那些为搭建云计算平台新购置的服务器、用户内部那些目前闲置着的服

务器以及那些现有的并正在运营着业务应用的服务器。在云计算平台搭建的初期,

那些目前正在为业务系统服务的服务器并不会直接被纳入云计算平台的管辖。但

是随着云计算平台的上线和业务系统的逐渐迁移，这些服务器也将逐渐地被并

入云计算平台的资源池中。

针对用户的需要，我们按照用途将云计算资源池划分为云主机&云存储区资

源池、管理和服务区资源池，以便云计算平台项目实行讨程以及平台上线以后运

维过程中使用。

在云计算平台搭建完毕以后，服务器资源池可以如下图所示：

云存儡鱼般务区责

源*毒池

计算资源池

H3CCVM虚拟化管理平台体系将云计算资源池的物理服务器资源以树形结

构进行组织管理，云资源中的被管理对象之间的关系可以用下图描述：

启用HA

:资源主机池集群

2）主机池设计

完毕在云计算软件体系架构中，主机池是一系列主机和集群的集合体，主机

可纳入群集中，也可单独存在。没有加入集群的主机所有在主机池中进行管理。

3）集群设计

集群目的是使用户可以像管理单个实体同样轻松地管理多个主机和云主机，

从而减少管理的复杂度，同时，通过定期对集群内的主机和云主机状态进行监测,

假如一台服务器主机出现故障，运营于这台主机上的所有云主机都可以在集群

中的其它主机上重新启动，保证了数据中心业务的连续性。

4）云主机设计

每台云主机都是一个完整的系统，它具有CPU、内存、网络设备、存储设备

和BIOS,因此操作系统和应用程序在云主机中的运营方式与它们在物理服务器

上的运营方式没有任何区别。与物理服务器相比，云主机具有如下优势：

在标准的x86物理服务器上运营。

可访问物理服务器的所有资源（如CPU、内存、磁盘、网络设备和外围设备）,

任何应用程序都可以在云主机中运营。

默认情况，云主机之间完全隔离，从而实现安全的数据解决、网络连接和数

据存储。

可与其它云主机共存于同一台物理服务器，从而达成充足运用硬件资源的

目的。

云主机镜像文献与应用程序都可以封装于文献之中，通过简朴的文献复制

便可实现云主机的部署、备份以及还原。

具有可移动的机灵特点，可以便捷地将整个云主机系统（涉及虚拟硬件、操

作系统和配置好的应用程序）在不同的物理服务器之间进行迁移，甚至还可以在

云主机正在运营的情况下进行迁移。

可将分布式资源管理与高可用性结合到一起，从而为应用程序提供比静态

物理基础架构更高的服务优先级别。

可作为即插即用的虚拟工具（包含整套虚拟硬件、操作系统和配置好的应用

程序）