某医院计算机网络系统设计方案和对策

《某医院计算机网络系统设计方案和对策》由会员分享，可在线阅读，更多相关《某医院计算机网络系统设计方案和对策（69页珍藏版）》请在装配图网上搜索。

1、 XXX医院综合楼弱电及系统集成工程工程计算机网络系统设计方案目 录1工程概述42系统概述43设计原那么44系统设计方案54.1产品选择说明54.1.1设备应用规模及稳定性、兼容性64.1.2完善的研发体系和全系列的网络产品74.1.3健全的效劳支持和培训认证体系74.2系统需求分析84.2.1医院业务划分84.2.2应用系统分类84.2.3医院业务系统的需求94.2.4网络建立需求104.2.5核心层需求分析114.2.6接入层需求分析114.3系统设计124.4系统网设计134.4.1网建立需求134.4.2网设计及规划144.5系统外网设计154.5.1外网建立需求154.5.2外网设计

2、及规划155产品选型175.1核心交换机选型175.2接入交换机选型215.3路由器选型255.4入侵防御系统选型306网络管理356.1网络管理建立需求356.2iMC特性与系统构造376.2.1iMC特性376.2.2面向效劳的架构386.2.3根底资源管理386.2.4身份与接入管理386.2.5端点准入平安管理386.2.6VPN管理386.2.7网络智能分析386.2.8平安策略中心396.3iMC系统构造396.4智能管理的部署396.4.1系统平安管理396.4.2资源管理406.4.3拓扑管理416.4.4故障告警/事件管理466.4.5性能管理516.4.6设备管理组件546

3、.4.7WSM无线业务组件557EAD解决方案587.1技术背景587.2EAD方案介绍587.2.1EAD端点准入防御方案介绍597.2.2EAD端点准入防御方案特点607.2.3桌面资产管理方案介绍637.2.4桌面资产管理功能特点658存储系统668.1系统说明668.2产品选型678.2.1效劳器678.2.2主存储系统698.2.3灾备磁盘阵列698.2.4网关701 工程概述XXX医院医疗综合楼总体分为：地下一层为设备用房，一、二、三、四层为大厅及门诊，五层为血透中心，六、七层为科护理标准层，八层、十一层为科、外科护理单元，九层为儿科护理单元，十层为骨科护理单元，十二层为妇科护理单

4、元，十三层为产科护理单元，十四层为产房、ICU、手术准备层，十五层为手术层，十六层为手术设备和电梯机房层。大楼总建筑面积约2万，建筑高度66.40米，属于一类高层建筑。2 系统概述本局域网LAN主要为医院提供Internet接入和设备的联网需求。1设备产品选用著名华三H3C品牌产品。2充分考虑网络平安，该系统具备拒绝访问攻击DOS的防护。能实现交换机、防火墙/IDS/IPS联动与网管软件联动，自动的实现对网络蠕虫和黑客攻击防和屏蔽。3 设计原那么基于XXX医院目前网络现状和未来业务开展的要求，在XXX医院网络设计构建中，应始终坚持以下建网原那么：1、实用性：整个网络系统具有较高的实用性；2、时

5、效性：网络应保证各类业务数据流的及时传输，网络时效性要强，网络延时要小，确保业务的实时高效；3、可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持医院各业务系统的正常运行。必须满足724365 小时连续运行的要求。在故障发生时，网络设备可以快速自动地切换到备份设备上；4、完整性：网络系统应实现端到端的、能整合数据、语音和图像的多业务应用，满足全网围统一的实施平安策略、QoS 策略、流量管理策略和系统管理策略的完整的一体化网络；5、技术先进性和实用性-保证满足医院应用系统业

6、务的同时，又要表达出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到医院网络目前的现状以及未来技术和业务开展趋势。6、高性能医院网络性能是医院整个网络良好运行的根底，设计中必须保障网络及设备的高吞吐能力，保证各种信息数据、语音、图像的高质量传输，才能使网络不成为一眼业务开展的瓶颈。7、标准开放性-支持国际上通用标准的网络协议如IP、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络(如公共数据网、金融网络、外联机构其它网络)之间的平滑连接互通，以及将来网络的扩展。8、灵活性及可扩展性-根据未来业务的增长和变化，网络可以平滑地扩大和升级，减少最大

7、程度的减少对网络架构和现有设备的调整。网络要具有面向未来的良好的伸缩性能，既能满足当前的需求，又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩大性要求。9、可管理性-对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析功能以及可提供故障自动报警。10、平安性-制订统一的骨干网平安策略，整体考虑网络平台的平安性。能有效防止网络的非法访问，保护关键数据不被非法窃取、篡改或泄漏，使数据具有极高的平安性；4 系统设计方案4.1 产品选择说明按照标书的要求，在充分研究XXX医院网络工程的需求的根底上，我们对目前业

8、界的主流的网络厂商，H3C、CISCO、北电等做了较为详细的比照研究，综合考虑厂家产品及解决方案在政府及其他行业特别是在公检法系统的应用规模、产品技术的先进性、成熟度及兼容性、公司的研发实力和效劳体系保障等因素，我们建议采用华三通信技术以下简称H3C公司的网络产品作为此次工程的组网设备。根据标书的技术指标要求，H3C公司可以提供全线的包括交换机、路由器以及平安产品等性价比非常高的产品来满足此次工程的投标。投标所使用的设备性能指标均满足标书要求。4.1.1 设备应用规模及稳定性、兼容性H3C公司的网络产品目前已经广泛应用与全球的各个行业中，截至2007年1季度H3C公司在中国市场高端路由器的市场

9、份额为34.8，中低端路由器为32.6数据来源于CCID 2007年4月，名列前茅。截至2007年1季度H3C公司在中国市场交换机的市场份额为40.3%数据来源于CCID 2007年4月，排名第一。目前H3C的全系列产品进入英国、德国、俄罗斯、巴西、泰国、墨西哥等六十六个国家和地区，并承建了中国电信、中国移动、英国、泰国、巴西等14个国家级IP骨干网。 H3C目前在国的整个电子政务IT系统建立中已经得到了大规模的应用。大规模的应用不但大大拉近了用户和H3C公司的距离，使得H3C公司能够更快更好为市场、为用户提供产品，同时也验证了H3C公司产品的稳定性和兼容性。目前H3C的全系列网络产品在税务系

10、统的应用已经超过30个省、市，其中在省骨干的规模应用已经超过20个省市、自治区及直辖市。4.1.2 完善的研发体系和全系列的网络产品H3C每年将销售额的15以上用于研发投入，在中国的、以及印度的班加罗尔设有研发机构，在和设有产品鉴定测试中心。目前，H3C已申请专利超过700件，其中80是创造专利。H3C目前从事IP产品技术研发的研究所有6个，包括研究所、研究所、印度研究所、研究所、研究所、美国研究所，研发人员超过2000人。印度所、所、中央软件部、研究所等都通过“软件研发成熟度最高级的CMM5级国际认证，研究所、研究所通过CMM4级国际认证。H3C不但拥有全线路由器和以太网交换机产品，还在网络

11、平安、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。目前，平安产品中国市场份额位居前三，IP存储亚太市场份额第一，IP监控技术全球领先，H3C已经从单一网络设备供给商转变为多产品IToIP解决方案供给商。因此选择该厂商的网络产品能够有效的保障用户在网络建立方面的延续性和持续性。4.1.3 健全的效劳支持和培训认证体系H3C公司建立了遍布全国的效劳机构。除公司总部设有完备的技术支援平台外，H3C还在全国建立了36个售后效劳中心，建有完备的技术支援平台和备件系统，通过先进的通信技术与总部的技术支援平台连接，完成用户信息、故障处理流程、备件库存、产品分布等信息的共享，

12、形成覆盖全国地市级城市，专职人员规模超过200人的技术支援体系。同时还在各省市派遣有售后效劳工程师，以提高售后效劳的响应速度。H3C技术支持支援平台拥有一批高素质的效劳队伍，所有效劳人员都具有本科以上学历，且有3年以上大型网络效劳经历。为了满足不同客户不同层次的培训需求，H3C效劳公司建立了规、专业的用户培训体系，将总部培训与分部培训、集中培训与现场培训有机结合。目前，在数据通信网络技术领域，H3C培训面向全球，致力于培养专业务实网络人才。考虑客户不同层次需求, 提供全系列的网络产品培训,网络技术认证培训和客户化培训解决方案。同时建立起国际规的完整的网络技术认证体系。在中国建立30余家授权培训

13、中心，海外建立7家授权培训中心；覆盖中国各大中心城市以及拉美、亚太、中东、北非、俄罗斯等地区和国家。在中国建立60余家网络学院，海外建立1家网络学院。与40余所职业院校建立合作,支持中国职教IT专业课程改革工程。鉴于以上几个主要原因，我们在此次投标中选用了H3C公司的网络产品做为此次投标的网络产品。4.2 系统需求分析4.2.1 医院业务划分医院的业务系统有很多，而且不同的专科医院业务系统也有很大区别，但以下一些业务系统是医院都具有的：1) 门诊系统2) 住院系统3) 体检系统4) PACS系统5) 医院管理经济系统6) 区域医疗系统4.2.2 应用系统分类医院信息系统主要分成以下两类：1)

14、医院管理系统u 门、急诊挂号子系统u 门、急诊病人管理及计价收费子系统u 住院病人管理子系统u 药库、药房管理子系统u 病案管理子系统u 医疗统计子系统u 人事、工资管理子系统u 财务管理与医院经济核算子系统u 医院后勤物资供给子系统u 固定资产、医疗设备管理子系统u 院长办公综合查询与辅助决策支持系统2) 临床医疗信息系统u 住院病人医嘱处理子系统u 护理信息系统u 门诊医生工作站系统u 临床实验室检查报告子系统u 医学影像诊断报告处理系统u 放射科信息管理系统u 手术室管理子系统u 功能检查科室信息管理子系统u 病理卡片管理及病理科信息系统u 血库管理子系统u 营养与膳食方案管理子系统u

15、临床用药咨询与控制子系统4.2.3 医院业务系统的需求1门诊系统门诊业务作为医院直接面对患者的窗口具有非常重要的地位和自己的特点包括焦急的病人无法忍受长时间的等待、门诊业务主要集中在上午等，门诊业务具有可靠性高、并发性、实时性和突发性强等特点。因此门诊业务对网络提出了高可靠性、高带宽和QoS的要求。2住院系统住院业务是医院的另一个主要组成局部，是医院经济收入的主要来源，同时还直接关系到重病患者的生命平安，具有以下几个特点：住院业务的网络上流动着重症病人生命数据和各种新业务数据；住院业务保存有患者病案数据和住院费用数据；医生移动查房；病人呼叫系统；网上视频监控系统；针对住院业务的以上特点，住院业

16、务对网络提出了高可靠性、平安存储、QoS和无线局域网、VoIP和视频会议系统的需求。3体检系统现在很多医院建立专门的体检大楼，以满足民众不断扩大的体检需求。从业务角度上讲体检系统非常简单，它对网络的需求主要表达在平安性上，如何保护体检效劳器上体检人员数据平安和体检大楼网络平安是医院体检系统解决方案所关注的。4PACS系统医院的PACS系统主要是完成对患者的各种影像数据进展采集、存储、传输和处理，并在全院围进展共享，由于是各种图形图像数据，因此具有存储量大的特点，为了更好的效劳于医院业务，PACS业务对支撑系统提出以下要求：存储量大、扩展性强、数据快速存储、数据容灾、高带宽5管理经济系统医院管理

17、经济系统主要是人、财、物的管理，包括人事、财务管理、药品药库管理等，因此它最大的需数据在效劳器端和网络上的平安，保证这些数据不会泄露。6区域医疗系统一方面为了发挥中心医院的辐射和覆盖作用，另一方面充分利用各家医院的特色科室的力量，区域医疗把这些资源进展共享和整合，这需要稳定的广域网连接。根据初步的需求，我们按照外网物理别离的原那么进展设计。4.2.4 网络建立需求1、为HIS、PACS等应用系统提供一个强有力的网络支撑平台；2、网络设计不仅要表达当前网络多业务效劳的开展趋势，同时需要具有最灵活的适应、扩展能力；3、全千兆网络带宽；4、一体化网络平台：整合数据、语音和图像等多业务的端到端、以IP

18、 为根底的统一的一体化网络平台，支持多协议、多业务、平安策略、流量管理、效劳质量管理、资源管理；5、建立一个可管理、支持无线应用的系统；6、建立一个平安管理平台。4.2.5 核心层需求分析核心层设备担负着整个网络的流量。在网络核心层的流量是非常巨大的，所有的效劳器均在网络的核心层提供相关的效劳。对网络核心层的压力非常巨大。同时网络对平安性、稳定性的要求极高，由于网络也根本是一个金字塔的形状，那么最需要稳定的就是金字塔的顶端，即网络的核心层。网络核心层同时需要对网络的接入层提供不同的网络层的路由规划和信息转发的功能，同时还需要保证不同级别的网络QoS，对于效劳器的关键业务通过链路级和网络级的协议

19、实现严格的控制和优先级的保证。对于网络级的保护通常时间是非常长的，那么对一些关键业务，我们就必须通过结合二层快速收敛的协议一起来完成对网络平安性的提升和网络的自愈能力。设备必须支持对不同部门的规划，如实现全网统一VLAN的规划等。对每个系统分配不同的VLAN并且针对不同VLAN实现不同的平安和控制的策略等。但是在自身的网络核心层需要通过完全的三层策略来进展VLAN的终结和三层数据的交换工作，建议采用二层和三层协议相结合的方式共同实现网络的规划工作。4.2.6 接入层需求分析网络的接入是对用户直接进展数据透传的层次，但是由于网络的特殊性，本次的接入层主要是对一个局域网进展接入。对本次的接入层的主

20、要需求的分析如下：1、接入层用户数量的大直接产生大量的数据报文，直接通过三层的数据承载上来，同时造成碰撞域和冲突域，使网络瓶颈产生于网络的低层，直接影响接入质量。2、接入层用户数量大，而所应用的数据种类繁多，多种网络业务流量的产生，包括组播业务的产生，对所接入的网络设备要求很高，使整个接入层产生了一个业务接入瓶颈。3、网络的访问终结于共享数据的特定位置，因为接入层用户需要通过网络最终访问位于网络另一端的共享效劳器，而多个用户同时访问远端的同一台效劳器或者存在访问网络的其他节点的效劳器，就需要这几个用户争抢网络带宽，使接入层瓶颈提升到核心层，造成核心层资源的浪费。并且根据网络流量的分析得出用户的

21、访问方向是不规那么的，网络一定会出现闲置的带宽的现象，如何规划路由将非常重要。4、网络流量和网络流向是宽带网络的一个新瓶颈。对于宽带网络接入，接入层网络的通常是以新2/8原那么来划分的，其中有20%的流量是在接入层交换机的部进展交换的，而80%的网络流量是通过上联出口访问其他的网络设备。这里，就涉及到网络产生流量后，网络流向的问题，网络流向直接造成网络对于流量和流向所产生的网络瓶颈。5、网络用户是局域网用户，实际接入的用户就是一个网络，那么对于不同网络之间的互访的平安性控制更是由为重要，同时各个不同的机关对本机关部流通的局部文件是要求要有绝对的平安性的，对其他部门的用户的访问是分为很多的不同的

22、级别的。4.3 系统设计目前，HIS系统在很多医院已经部署，很多传统业务都逐渐迁移到网络上，对网络的性能、平安和稳定提出了很高的要求，主要表达在以下几个方面：1可靠迅速的响应以提供更好的医疗效劳一般大医院每天的门诊量很大， HIS系统每天对后台数据库的调用非常频繁，会产生很大的数据流量，如果这种访问流量出了问题而导致无常进展收费和医疗诊断，会产生严重的社会后果，因此医院对网络的访问性能有很高的要求。2平安的业务数据保证医院正常对外效劳在医院的业务系统中保存着大量患者的安康信息和过程费用信息，这些数据无论对患者还是医院都非常关键，需要严格，因此如何保护这些数据，对医院有着重大的意义。3高效的管理

23、推动系统的稳定，提高维护的效果HIS经过几年的建立，已经初具规模。如何管好整个医院的业务系统，包括用户、效劳器、数据库、存储设备和网络等，提高医院管理效率，保证医院网络的正常运转已经成为医院急需解决的大问题。4医院数据的平安存储医院需要存储包括病人信息、病案信息、费用信息和影像等数据，对数据存储的平安性和扩展性要求非常高。5区域医疗的建立为了在区域围实现远程会诊、网上学术研讨等业务，迫切需要医院之间的资源共享。4.4 系统网设计4.4.1 网建立需求网是医院核心网络系统，用于开展日常医疗业务HIS、LIS、PACS、财务、体检系统等的部局域网，系统应稳定、实用和平安，具有高宽带、大容量和高速率

24、等特点，并具备将来扩容和带宽升级的条件。l 医院网络建立需求：1、实现千兆主干，桌面接入实现100/1000M自适应传输图像的桌面直接实现1000M接入；2、配备的网管软件应提供可视的形象化的图形界面，对整个网络中网络产品的全部端口进展监视和管理；3、核心交换机与会聚接入交换机互联采用双星型构造；4、外科楼、门诊楼布置无线AP，可为无线查房，病人上网提供接入效劳；5、由于医疗行业的特殊性，医护人员和病患者之间需要频繁地在院移动、同时处理大量的信息，要求网络具备可移动性、传输速率高等特点。同时考虑到医院业务量的增加，网络需要留出足够余地扩容而不影响医院正常的工作。l 网络应用设计要求：1、院核心

25、网络系统HIS、PACS和LIS、体检系统等应用分别单独组网。以子网的形式组成医院的整体网络。各网络功能独立应用，信息互通，资源共享；当任何一个子网出现故障，都不会影响到其他子网的使用。2、传输动态图像的部门有：放射影像科、PET/CT、核磁共振MRI、介入放射科DSA、B超室、心超室、脑超室、心电图室、肌电图室、胃肠镜室、窥镜室、重症监护室ICU、CCU等、手术室、麻醉科、视频示教室和会议室等。3、为了更好地效劳于医疗科研工作，需要将各类监护治疗仪器上的各项生命体征等信息以数字化手段采集并且保存下来，在需要时，可随时复原。因此，考虑将医院所有的监护仪器和大型设备都联网。4.4.2 网设计及规

26、划网是整个医院的核心网络，开展医院日常重要的医疗业务，对网络的可靠性、稳定性要求非常高，本次设计的网络按照千兆带宽可扩展万兆交换平台，网核心交换机双机冗余、负载分担。网拓扑设计采用二级双星型架构，分为核心层、接入层。核心层位于机房网络的中心，负责全网的路由交换，并与各效劳器、存储等核心医院应用相连；接入层位于各大楼的楼层，负责直接接入桌面系统，本次网采用千兆双绞线到桌面，与核心层进展千兆光纤连接。1、核心交换机由两台S7510E组成双星型网络，当任意一条链轮或任意一台设备出现问题时，保证网络正常运行；2、会聚层采用S5120-EI会聚交换机，通过双千兆光纤与核心交换机互联，保证链路的可靠，千兆

27、与接入层交换机互联。3、接入层，千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一，在诸如医疗行业的会诊、医疗影像、医疗科研协作等，应用在消耗大量带宽的同时，也在追求终端用户的满意度，基于双绞线的千兆以太网可以将更多的应用从低速链路中解放出来，并且为医务工作者创新提供了一个崭新高效能工作平台。4、无线：考虑到整体的无线接入点数量很多，建议使用Fit AP加AC控制器的方式，AC控制器部署在核心交换机，以AC无线控制器插卡的方式公用核心交换机的资源，做到有线、无线一体化的融合网络解决方案，采用瘦AP组网方式，医护人员在使用无线网络中能做到无缝漫游。5、管理：智能管理中心iMC，具备网络拓扑、网络

28、性能、网络配置、网络平安、网络告警、网络业务的统一管理，同时在其上可以配置有多种业务管理组件，本次配置有线无线一体化管理组件WSM，方便管理大规模的无线管理网络；端点准入解决方案(EAD)在身份接入根底上，支持平安状态评估、网络平安威胁定位、平安事件感知及保护措施执行等，预防因未打补丁、病毒泛滥、ARP攻击、异常流量、非法软件安装和运行等因素可能带来的平安威胁，并可根据终端的平安状态实现终端VIP、Guest、隔离、下线等多种控制策略。从端点接入上保证每一个接入网络的终端的平安，从而保证网络平安。4.5 系统外网设计4.5.1 外网建立需求1、实现千兆主干，桌面接入实现100/1000M自适应

29、传输图像的桌面直接实现1000M接入；2、核心交换机与接入交换机互联采用星型构造；3、防问互联网时采用一定的平安手段，如防火墙和IDS；4、能够提供强大的网络防问控制，路由功能。4.5.2 外网设计及规划由于外网主要用于医院OA办公、图书馆信息查询，外网相对于网来说可靠性要求相对级别次低一级，初期按照采单核心交换机、双引擎、百兆接入到桌面设计，采用接入直接到核心的简洁二层构造，根据用户后期细化可靠性需求、链路冗余性需求后，再做进一步调整。在接入层，选用H3C S5120系列千兆交换机，H3C S5120-EI系列交换机具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。通过H

30、3C特有的IRF智能弹性架构功能，用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为千兆接入，同时还可以用于数据中心效劳器群的连接。在核心层，选用S7506E作为外网的核心交换机，S7500E作为高端多业务路由交换机，融合了MPLS、IPv6、网络平安、无线、无源光网络等多种业务，提供不连续转发、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有本钱TCO。在网络出口处部署网神千兆防火墙，网神企业级千兆防火墙SecGate 3600-G7T是一款接口数目多、配置灵活、网络适应性好的千兆防火墙产品。产品基于自主开发的

31、SecOS，在高性能硬件平台的支撑下，处理能力可达4Gbps；在出口路由器上采用H3C MSR5060，该系列产品可以为大型分支机构提供高性能、多业务的一体化网络方案，也可以作为大中型企业的核心网络设备，完成数据、语音、视频等多种流量的广域网交互。MSR50针对平安数据连接进展设计，采用置硬件加密功能的CPU和主板上置的硬件加密引擎，大大提高产品的数据加密性能，同时节省接口插槽。另外，MSR 50系列路由器还通过集成以太网交换模块提供二层数据交换功能，实现了真正的路由交换一体化解决方案。5 产品选型5.1 核心交换机选型核心交换机选用H3C的S7500E系列交换机有如下特点：一、丰富的业务，适

32、应融合业务网络开展趋势全面的MPLS业务能力H3C S7500E所有产品均支持Multi-VRF特性，可以做为MCE设备使用；支持三层的MPLS VPN和二层的MPLS VPNMartini、Kompella等，可扩展支持VPLS技术；支持MPLS OAM特性，方便用户的管理和维护；支持VPN组播；与H3C MPLS VPN Manager配合，实现图形化的MPLS部署与维护。 线速的IPv4/IPv6业务能力H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3C S7500E采用分布式体系架构

33、，实现IPv4/IPv6业务的线速无阻塞转发；H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段金色认证，是成熟商用的IPv6产品。有线无线一体化，有源无源一体化H3C S7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及平安机制、快速漫游、超强的QoS和对IPV6的支持等；无线控制模块通过与平安策略效劳器的联动，实现对无线接入用户的端点准入防御，提高了整网的平安性。H3C S7500E是业界最高密度的以太网无源光网络EPON设备，单台最大可接入10240个FTTH用户；H3C S7500E是高可靠的EPON系统，采用

34、分布式体系构造、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。支持Portal认证H3C S7500E支持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD平安认证功能；可以在大中型的校园网中担任会聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。二、灵活的配置，适应各种应用场景配线间融合业务网络的最正确选择H3C S7500E针对配线间的需求定制开发了SA板卡，单台设备可以提供480个千兆线速接口和4个万兆线速接口。H3C S7500E支持端点准入防御解决方案，解决终端平安问题；置2800W电源直

35、接提供PoE功能，对IP语音和无线接入提供良好的支持。政府电力城域网边缘和会聚的最正确选择H3C S7500E支持Multi-VRF特性，为用户提供高可靠高性能的MCE设备；通过配置Salience VI-Turbo引擎，可以提供集中式MPLS业务功能，适合在城域网边缘作为高性价PE设备使用；通过配置EA类板卡，可以提供分布式线速的MPLS业务功能，适合在城域网会聚层作为高性能的PE使用。IPv6网络的最正确选择H3C S7500E所有Salience VI引擎都可以提供集中式IPv6功能，H3C S7500E针对IPv4/IPv6高性能的要求还开发了分布式IPv4/IPv6转发的SC板卡，在

36、整机满配置状态下实现线速无收敛，为高校用户提供了高性能低本钱的双栈会聚核心设备，同时也满足其他行业用户IPv6 Ready的需求。三、全方位的平安保障，抵御多种网络平安威胁三平面平安保障机制H3C S7500E提供完善的平安防护机制，可从控制、管理、转发三平面全面保障网络的平安：在控制平面，置协议报文攻击识别模块，防止T、ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSH V2，基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的平安性；在转发平面，支持IP

37、、VLAN 、MAC和端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。H3C S7500E还支持置的高性能防火墙、异常流量清洗等模块，将专业的平安融入到交换机之中。有线无线全面支持EADH3C S7500E是EAD端点准入防御解决方案的重要组成局部，S7500E可以动态的接收来自平安策略效劳器的控制策略，根据终端的平安状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD，也支持无线终端用户的EAD，能够做到终端平安防无漏洞。增强的ACL特性H3C S7500E系列产品支持强大的ACL能力：支持标准和

38、扩展ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；支持出方向和入方向的ACL，每板最大可支持9K条ACL，满足金融等行业访问权限严格控制的需求。四、电信级的高可靠性，保障用户业务长期稳定运行电信级高可靠性设计H3C S7500E采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板防止了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3C S7500E系列可以在恶劣的环境下长时间稳定运行，到达99.999的电信级可靠性。多业务高可靠性运行H3C S7500E支持不连续转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等

39、值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议，提供小于200ms的环网故障保护；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3C S7500E可以在承载多业务的情况下不连续运行，实现业务的永续。支持热补丁技术H3C S7500E能够在不重启设备的前提下，通过热补丁技术，在线修改软件BUG，增加新的业务特性。H3C S7500E提供控制补丁单元状态切换的用户命令，使用户能够方便的加载、激活、去激活、运行或删除补丁单元。通过热补丁技术，降低了设备需要重启的次数，为客户提供更长的网络正常工作时间。主机机箱含系统软件、热拔插风扇1台；业务

40、引擎1个，交流电源2块，千兆SFP插槽24个，千兆RJ45接口24个，配置千兆单模光纤模块24个，配套支持IPv6、MPLS技术完整版软件；配置无线控制器业务板1块两台核心交换只需一块。l 机箱插槽式交换机，分布式体系构造，模块化设计，核心交换机配置的所有业务板均须支持分布式MPLSl Crossbar非阻塞交换阵列，最大交换容量1150Gbpsl 交换机IPV4包转发速率780Mpps，背板带宽2.4Tbpsl 整机总插槽12，配置冗余引擎后，业务接口的插槽10。l 千兆电口和百兆电口支持PoE特性，便于扩展多媒体业务l 三层1000M线速交换设备，支持万兆接口。l 支持带万兆接口的管理引擎

41、模块。l 支持双主控引擎冗余备份，两块电源即可提供电源冗余。l 支持IPv6 的ASIC代理技术，使不支持IPv6的板卡借助这项技术能够支持IPv6报文的硬件转发。l 配置的单业务板1000M同时可用端口数不少于24个。l 通过IPv6 Ready第二阶段金牌认证，并提供查询网址和测试机构正式证明函扫描件。l 整机最大支持1000M端口数90个。l IPv4路由表容量120K，IPv6路由表容量120K，MAC地址表120K，必须支持DHCP Server。l 支持IP+MAC+VLAN+PORT的任意组合绑定。l 硬件支持分布式IPv6线速处理，并提供中文版IPv6路由协议和隧道协议的操作手

42、册和命令行手册，其中路由协议必须支持RIPng、OSPF V3、IPv6 IS-IS和IPv6 BGP,隧道协议必须支持IPv6手动隧道、6to4隧道和ISATAP隧道；支持MLD Snooping和IPv6 PIM 。l 支持路由协议的多实例特性，VRF数量不小于32个。l 置 DHCP Server,可对用户分配IP地址。l 支持DHCP Snooping，防止欺骗的DHCP效劳器；l 支持动态ARP检测，防止中间人攻击和ARP拒绝效劳；l 支持BPDU guard， Root guard；支持uRPF(单播反向路径检测)，杜绝IP源地址欺骗，防病毒和攻击l 所有模块、风扇、电源支持冗余和

43、热插拔l 支持802.1x，radius认证。l 支持中文图形化网管，网管提供用户和设备一体化管理功能，可以直接提供Radius Serverl 支持基于第二层、第三层和第四层的ACL，平均每板提供ACl条目数不小于4000条；支持VLAN ACL和IPv6 ACL；支持出方向ACL，以便于灵活实现数据包过滤；支持IEEE 802.1x LAN用户认证, 802.1x动态VLAN分配；支持Portal认证并提供中文版操作手册；支持IP/Port/MAC的绑定功能l 支持防火墙模块，吞吐量6G，并发连接数200万，每秒新增连接6万。提供2Gbps以上VPN加密功能。l 支持千兆级入侵防御模块，支

44、持千兆负载均衡业务模块，支持SSL VPN业务板模块，投标文件中应提供产品彩页。提供信息产业部IPv6、IPV4入网证5.2 接入交换机选型接入交换机建议选用H3C公司的S5120-EI系列，该交换机具有如下特点：随着用户端速度不断提高，用户最终会使集群千兆链路到达饱和，而能够拥有多条10GE链路将是我们的未来开展方向。S5120-EI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆会聚或接入时保存进一步支持10GE的扩展能力，尽力保护用户投资。S5120-EI系列支持IPv4和IPv6的三层路由功能，并可以实现基于硬件的IPv4和IPv6的全线速转发。同时

45、支持IPv6的ACL和网管，实现IPv4到IPv6的平滑升级。智能弹性架构H3C S5120-EI系列交换机支持IRF2第二代智能弹性架构技术，就是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户可以将这多台设备看成一台单一设备进展管理和使用。IRF可以为用户带来以下好处： 简化管理 IRF架构形成之后，可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，通过对单台设备的配置到达管理整个智能弹性系统以及系统所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进展配置和管理。 简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由

46、协议会作为单一设备统一计算，而随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动乱时的收敛时间。 弹性扩展 可以按照用户需现弹性扩展，保证用户投资。并且新增的设备参加或离开IRF架构时可以实现“热插拔，不影响其他设备的正常运行。 高可靠 IRF的高可靠性表达在链路，设备和协议三个方面。成员设备之间物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了链路的可靠性；IRF系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务

47、不中断，从而实现了设备级的1：N备份；IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：N的协议可靠性。 高性能 对于高端交换机来说，性能和端口密度的提升会受到硬件构造的限制。而IRF系统的性能和端口密度是IRF部所有设备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。 完备的平安控制策略H3C S5120-EI系列交换机支持EAD端点准入防御功能，配合后台系统可以将终端防病毒、补丁修复等终端平安措施与网络接入控制、访问权限控制等网络平安措施整合为一个联动的平安体系，通过对网络接入终端

48、的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴平安威胁的整体防御能力。H3C S5120-EI系列交换机支持对试图接入网络的用户进展802.1x认证。可以在交换机上对802.1x客户端的版本和有效性进展验证，防止非法用户登录网络。支持集中式MAC地址认证，可以基于端口和MAC地址对用户的网络访问权限进展控制的认证方法，它不需要用户安装任何客户端软件，而且可以同时运行802.1x认证和基于MAC地址认证。提供Guest Vlan功能，使得为被授权的访问端只能接入访问特定的资源，并且会采取相应的策略，例如

49、可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。支持Secure Shell V2SSH V2特性可以提供平安的信息保障和强大的认证功能，以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。 丰富的QoS策略H3C S5120-EI系列交换机支持支持L2Layer 2L4Layer 4包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进展设置，支持SP、WRR、SP+WRR三种模式。支持CAR功能，粒度最小达64Kbps。支持出、入两个方向的端口

50、镜像，用于对指定端口上的报文进展监控，将端口上的数据包复制到监控端口，以进展网络检测和故障排除。 出色的管理性H3C S5120-EI系列交换机支持SNMPv1/v2/v3Simple Network Management Protocol，可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMPv2集群管理，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加平安。H3C S5120-EI系列交换机支持基于MAC地址划分VLAN，很好的解决了移动办公的智能灵活管理；结合特有的基于全局和VLAN下发ACL策略，在简化用户配置的

51、同时，也大幅节约了硬件资源。l 机箱插槽式交换机，分布式体系构造，模块化设计，核心交换机配置的所有业务板均须支持分布式MPLSl Crossbar非阻塞交换阵列，最大交换容量1150Gbpsl 交换机IPV4包转发速率780Mpps，背板带宽2.4Tbpsl 整机总插槽12，配置冗余引擎后，业务接口的插槽10。l 千兆电口和百兆电口支持PoE特性，便于扩展多媒体业务l 三层1000M线速交换设备，支持万兆接口。l 支持带万兆接口的管理引擎模块。l 支持双主控引擎冗余备份，两块电源即可提供电源冗余。l 支持IPv6 的ASIC代理技术，使不支持IPv6的板卡借助这项技术能够支持IPv6报文的硬件

52、转发。l 配置的单业务板1000M同时可用端口数不少于24个。l 通过IPv6 Ready第二阶段金牌认证，并提供查询网址和测试机构正式证明函扫描件。l 整机最大支持1000M端口数90个。l IPv4路由表容量120K，IPv6路由表容量120K，MAC地址表120K，必须支持DHCP Server。l 支持IP+MAC+VLAN+PORT的任意组合绑定。l 硬件支持分布式IPv6线速处理，并提供中文版IPv6路由协议和隧道协议的操作手册和命令行手册，其中路由协议必须支持RIPng、OSPF V3、IPv6 IS-IS和IPv6 BGP,隧道协议必须支持IPv6手动隧道、6to4隧道和ISA

53、TAP隧道；支持MLD Snooping和IPv6 PIM 。l 支持路由协议的多实例特性，VRF数量不小于32个。l 置 DHCP Server,可对用户分配IP地址。l 支持DHCP Snooping，防止欺骗的DHCP效劳器；l 支持动态ARP检测，防止中间人攻击和ARP拒绝效劳；l 支持BPDU guard， Root guard；支持uRPF(单播反向路径检测)，杜绝IP源地址欺骗，防病毒和攻击l 所有模块、风扇、电源支持冗余和热插拔l 支持802.1x，radius认证。l 支持中文图形化网管，网管提供用户和设备一体化管理功能，可以直接提供Radius Serverl 支持基于第二

54、层、第三层和第四层的ACL，平均每板提供ACl条目数不小于4000条；支持VLAN ACL和IPv6 ACL；支持出方向ACL，以便于灵活实现数据包过滤；支持IEEE 802.1x LAN用户认证, 802.1x动态VLAN分配；支持Portal认证并提供中文版操作手册；支持IP/Port/MAC的绑定功能l 支持防火墙模块，吞吐量6G，并发连接数200万，每秒新增连接6万。提供2Gbps以上VPN加密功能。l 支持千兆级入侵防御模块，支持千兆负载均衡业务模块，支持SSL VPN业务板模块，投标文件中应提供产品彩页。l 提供信息产业部IPv6、IPV4入网证5.3 路由器选型MSRMultip

55、le Services Routers多业务开放路由器是华三通信技术以下简称“H3C专门面向行业分支机构和大中型企业而推出的新一代网络产品。MSR先进的软件构造与硬件平台，能够在最小的投资围为企业边缘网络提供一体化解决方案，更能充分满足未来业务扩展的多元化应用需求，符合企业IT建立的现状与趋势。企业信息架构正在由C/S模式向B/S模式转变，MSR具备高数据转发能力与高加密能力，很好的解决了转变过程中凸现的网络带宽压力与平安隐患，保障企业关键业务流可以高速、的通过广域网传输。MSR集数据平安、语音通信、视频交互、业务定制等功能于一体，能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节

56、点，不仅能够最大程度的防止网络中多设备繁杂异构问题，而且极大降低了企业网络建立的初期投资与长期运维本钱。针对企业用户日益个性化的应用需求，MSR领先集成了可以定制开发的高性能开放业务平台，任何人都可以基于该平台开发自身需要的高级网络业务，企业用户只需安装软件便能在网络中方便的部署相应业务，节省了购置各类高昂专用网络设备的投资。MSR在突破性提高数据处理能力与插槽扩展性的同时，还能完全兼容原AR系列的硬件模块与软件功能，为客户提供了最为经济的网络升级方案。MSR产品包括MSR 50、MSR 30和MSR 20三个系列。MSR 50系列路由器还通过集成以太网交换模块提供二层数据交换功能，实现了真正

57、的路由交换一体化解决方案。MSR 50系列产品采用H3C成熟商用的软件操作系统，提供丰富的QoS特性，全面支持IPv6，同时大增强部署MPLS VPN业务的能力。MSR50采用OAAOpen Application Architecture开放应用体系架构，产品提供了一个公开软硬件接口及标准规的开放平台，任何厂商与合作伙伴均可以基于此平台开发更为深层智能的网络应用功能，以形成业务定制、优势互补、深度集成、合作共赢。MSR50系列路由器还通过OAA架构提供基于路由器的统一通信功能，为用户提供灵活的语音呼叫处理、IP-PBX、IP会议和即时通讯等功能一体化的开放通信解决方案。H3C MSR50高性

58、能引擎主控模块先进的硬件体系架构MSR 50系列路由器在硬件设计方面充分地考虑到集成综合业务的需要，采用了先进的N-Bus多总线设计方案，语音、数据、交换、平安四大业务分别经由不同的总线，由专门的协处理引擎并行完成处理，消除总线和CPU性能瓶颈，大大提高了该系列路由器集成的多业务部署和实施能力。可满足企业网络部多种高质量并发业务无缝集成、完美融合。MSR系列路由器N-Bus体系构造开放式的增值业务平台MSR 50基于OAAOpen Application Architecture理念设计，创新性的推出了对外开放的业务平台。该平台提供了一套完整、标准的对外接口API接口。厂商与合作伙伴均可以在此

59、平台上直接开发各类高级功能例如应用层攻击抵御、网络病毒防护、多媒体集合通信、Web优化与加速等，用户只需安装开发出的软件，便可以将上述业务与MSR 50无缝融合，为日渐细分的个性化需求提供完整的解决方案。多业务集成并发能力 集成平安业务 平安已经成为网络的根本功能，由于平安性需要嵌于整个网络之中，因此路由器在网络防御战略中起着重要作用。MSR 50系列产品提供专门的平安数据连接设计技术，采用置硬件加密功能的CPU和主板上置的硬件加密引擎NDE，通过硬件的方式大大提高数据加密性能，保证转发和加密同步高性能，同时节省接口插槽。MSR 50提供了丰富的平安功能，包括Firewall、IPSec VP

60、N、MPLS VPN、CA、Secure ShellSSH协议2.0、入侵保护、DDoS防御、攻击防御等。 集成语音业务MSR 50系列路由器采用了全新的硬件语音设计方案，提供了FXS/FXO/VE1/VT1等各种语音接口类型，支持SIP等主流的语音通讯协议，实现了紧急呼叫/掉电求救/拨号策略/ /E-PHONE等各种语音业务。MSR 50提供TDM交换能力，使用户的TDM交换在本地完成，大大节省网络资源的同时，使本地话音的接通率和通话质量完全到达电信水准。MSR50系列路由器还支持高密度模拟语音模块：FIC-24FXS和DFIC-24FXS:24FXO，并通过支持FXS和FXO接口的1:1绑

61、定功能及DFIC-24FXS:24FXO单板的断电逃生功能，大大提高了路由器产品的语音部署的灵活性和组网能力。 集成数据交换MSR 50系列提供灵活扩展的以太网交换模块，支持丰富的二层交换特性，极满足了企业对于路由交换一体化组网方案的需要。 集成统一通信MSR 50系列路由器通过基于OAA架构的开放通信引擎模块OCE提供呼叫处理、IP-PBX、IP会议和即时通讯等功能,为用户提供基于MSR路由器完美的统一通讯解决方案。 多业务线速并发MSR 50系列路由器将全新的硬件架构和构造化的软件系统有机结合，可以为用户提供集成数据、平安、语音、视频以及各种上层应用业务的效劳，满足用户现有的以及未来的互联

62、网应用，而且路由器的原有数据传输性能丝毫未受影响。成熟商用的操作系统MSR 50系列采用了华三公司成熟商用的多业务、可扩展、组件化的先进操作系统平台，全面支持IPv6，并支持完善的MPLS VPN功能满足各种组网需求。 完善的下一代IP协议解决方案IPv6作为下一代网络的根底协议以其鲜明的技术优势得到广泛的认可， MSR全面支持IPv4/IPv6双协议栈，支持通用的IPv4路由协议、IPv6路由协议、组播路由协议和静态路由。MSR提供了丰富的IPv4向IPv6过渡方案，包括双栈技术、隧道技术、地址转换技术NAT-PT和MPLS 6PE技术。 领先的MPLS流量工程解决方案MPLS TE结合了M

63、PLS技术与流量工程，通过建立到达指定路径的LSP隧道进展资源预留，使网络流量绕开拥塞节点，到达平衡网络流量的目的。在资源紧的情况下，MPLS TE能够抢占低优先级LSP隧道带宽资源，满足大带宽LSP或重要用户的需求。同时，当LSP隧道故障或网络的某一节点发生拥塞时，MPLS TE可以通过备份路径和快速重路由FRRFast Reroute，提供瞬时恢复保护。 平安灵活的VPE功能VPEVPN PE是一种特殊的PE，它和CE之间的连接方式不是传统的DDN/E1/ POS/ETH/PVC等专线技术，而是IPSec/L2TP/GRE/UDP VPN等隧道技术。VPE完成IP VPN与MPLS VPN的融合，在网络边缘实现网络资源的逻辑划分及平安隔离，核心网与边缘网络形成了一个整体，实现了端到端的VPN功能。 简单便捷的网