河北省人民医院网络建设项目建议书.doc

河北省人民医院网络建设项目建议书河北龙信科技有限公司2007年1月 河北省人民医院网络建设项目建议书目 录 一、项目背景2二、医院的需求21. 总体要求22. 具体要求3三、客户问题应答：3四、网络方案设计51、内网网络拓扑图：52、外网网络拓朴图：7五、网络特点：8六、产品介绍：101、核心路由交换机神州数码dcrs-6808101) 产品概述102) 主要特征113) 技术指标132、汇聚交换机神州数码dcrs-5950-24171) 产品概述172) 主要特征173) 技术指标193、接入交换机神州数码dcs-3950系列231）产品概述232）主要特征233) 技术指标254、三层智能安全千兆路由交换机dcrs-5526s271) 产品概述272) 主要特征273) 技术指标294、网络管理软件linkmanager 4.3311）主要特征31七、设备预算清单：39一、项目背景随着信息技术发展的日新月异，医院信息化建设也在日益加快，如何更好的实现医院智能网络的构建，满足医院内各楼层间轻松安全的信息交换，从而充分利用网络的高效、及时的优势，同时为日后网络的拓展与建设做好全面的考虑，有效的利用整个网络的业务能力， 成为了医院信息化建设的重要问题。河北省人民医院是一所集医疗、教学、科研、预防保健和康复为一体的、功能齐全的大型综合性医院，承担着河北地区重症病人的会诊和急救。河北省人民医院于1959年6月在天津筹建。从1964年开诊时的300名职工，150张病床的小型保健性医院，发展成为现在拥有1500余名职工，800多张病床的省级综合性三级甲等医院。这中间主要经过了天津时期、石市正定路暂住时期和迁移现址。医院现在拥有总值4200万元的国际先进诊治设备，属国际、国内先进设备。目前，随着医院信息化建设的兴起与日趋的完善化，医院智能网络的建设就成为了重中之重，同时医院的住院部大楼竣工在即，医院主要由住院楼、医技楼、门诊楼等多个建筑组成。搭建一个稳定、高效、安全、可管理并可持续发展的网络基础平台来承载医院的应用，如his、lis、pacs等系统成为当务之急。二、医院的需求医院的网络建设方案要在满足今天各种信息的传输要求和适应未来网络的发展之间寻求一个最佳的平衡点。因此，河北省人民医院对于网络建设有如下要求:1. 总体要求首先，系统应具有一定的先进性、良好的安全性、稳定性、易管理性和扩展性，在当前投资下，实现网络的最佳应用;同时所建设的系统又能为将来网络进一步拓展及应用系统的发展、集成留有余地。其次则要认识先进性和实用性的辩证关系，充分利用当今计算机与通讯技术的最新成果，从一个高的起点上开始发展，保证系统具有较长的生命周期，同时还要考虑资金、人力、应用等现有状况，把先进的技术和实用的产品融为一体。此外，所选产品应符合国际技术规范和标准，具有开放性，支持多种协议和多种接口及跨平台应用。2. 具体要求各个部门的权限设置的要求:目前，很多医院组网中的pc和终端都处于对等机的地位，权限都一样，所以对于访问外部资源的权限也是一样的。所以，医院网络中心希望各部门pc和终端访问网络的权限设置不一样，某些机器访问的外部资源可以很宽松，另外一些只需要访问几个固定的网站和外部资源等，甚至要求有些设备只能够访问内部资源，不能够访问外部资源。高带宽的要求:医院广泛采用的信息化系统是his系统和pacs系统，实现信息化语音、图象和数据高速传输，特点是信息量极大，对网络的传输性能提出了更高的要求。高安全性要求:一点点的疏忽和错误都会导致病人的生命危险。所以医院的信息化建设对于安全性的要求，可以说是重中之重。网络分为内网和外网两个部分，进行物理隔离，保证内网的安全性。高扩展性:在建设网络规划的时候，应该充分考虑到网络的扩展性，为以后网络信息点的增加留有充足的余地。可管理性在网络建设中，网络管理是信息管理人员非常头疼的问题，因此网络的建设一定让网管人员方便管理。三、客户问题应答：1、关于端口的流量控制，二层和三层交换机哪个更有力，因为医院广泛采用的信息化系统是his系统和pacs系统，实现信息化语音、图象和数据高速传输，需要占用高带宽？二层交换机与三层交换机的流量控制功能是一样的，与交换机是二层或者是三层的没有关系，都可以实现基于端口和基于ip的（利用acl和qos实现）流量控制，只要交换机能支持acl和qos就可以。2、关于网管软件的管理，对于二层和三层交换机哪个更好？二层和三层交换机本身所具备的功能不同，所以管理软件所能管理的交换机的功能也不同，三层交换机的功能更强，因此可管理的内容也更多。3、二层和三层相比较哪个能够分担核心负载？在网络当中，数据的路由一般是在汇聚和核心实现的，接入层仅完成数据设备（如服务器等）的网络接入，并进行必要的控制，如设置acl，端口流量控制等，连接在一台接入交换机上的设备一般都是同一个网段的，不需要进行三层路由，路由是在汇聚和核心上实现的，因此，如果连接在一台接入交换机上的设备都是同一个网段的，就无所谓“分担核心负载”的问题。如果划分的网段很多，接入交换机底下连着很多网段，并且网段之间有大量频繁的数据交换，则可以选择使用三层路由交换机作为接入交换机，以完成本地的路由，这时可以部分分担核心负载。4、是否有必要将接入交换机都选型为三层交换，关键是看应用，如果划分的网段很多，接入交换机底下连着很多网段，并且这些网段之间有大量频繁的数据交换，则可以选择使用三层路由交换机作为接入交换机，以完成本地的路由，这时可以部分分担核心负载。如果将来还需要扩展，即现在的接入交换机将来还需要再下联交换机，相当于变成了汇聚交换机，则目前的接入交换机有必要选择三层交换机。5、什么是分布式三层交换，与中心交换的区别。分布式三层交换和中心交换一般是指核心交换机的架构而不是用来指网络的拓扑结构，分布式三层交换机是指核心交换机的各个板卡具备独立的交换功能，相当于每个板卡都有自己独立的cpu，目前所有主流的核心交换机都是采用这种架构设计的。中心交换是早期的技术，核心交换机只有一个cpu，所有的数据都需要经过这个cpu的处理。 6、远程供电（poe）如何解决，因为我院将在每层有ap无线接入设备？可以选择带相应功能的交换机，也可以采用poe模块的方式，即在交换机上接入poe模块，而poe模块连接电源，其输出连接ap设备。四、网络方案设计龙信科技公司结合河北省人民医院的实际情况，针对现代化医院特点提出了独具创新理念的网络解决方案，配合其高性能全套网络设备，能够满足医院的应用需要，全面提高医院的整体素质和医疗管理水平。通过细致的规划和研究，我公司提出了稳定、安全、可扩展的全网解决方案及网络设备。本着安全、可靠、高性能、易管理为设计原则，河北省人民医院新建网络划分为内外隔离的两套网。所有与医疗相关的门急诊、医技、病区和出入院等业务都在内网上运行，而办公自动化、internet访问、对外网站服务将在外网承载，内外网络通过网闸隔离。整个网络采用万兆核心、千兆骨干、百兆到桌面的高速局域网技术，保障医院业务的高速稳定运行。1、内网网络拓扑图：如图所示，整体的拓扑设计采用三层架构，全网千兆骨干连接，核心采用神州数码的ipv6万兆核心路由交换机dcrs-6808，该交换机具有高达2.0tbps的背板，交换容量为960gbps，l2/l3层具有714mpps的包转发率，同时还可以配置冗余电源和管理引擎模块，本方案中给每台核心交换机配置了1块电源模块、1块管理模块、2块mrs-6800-8gx16gb的模块，该mrs-6800-8gx16gb的模块具有24个千兆sfp光接口；1块mrs-6800-4gx24tx，该模块提供24口10/100basetx百兆接口（rj45）和4口千兆combo(rj45+sfp)接口；插入sfp-sx-l接口卡48个，通过千兆多模光纤连接到各个楼层的接入交换机；4个sfp-gt接口卡，用于连接服务器或其它设备；10/100basetx百兆接口用于连接网管计算机和百兆设备。为保障医院核心应用系统的安全稳定运行，在内网上采用了高可靠的双核心组网方式，每个楼层配备一台dcs-3950-52ct智能安全接入交换机，并通过两套冗余的千兆光纤链路与双核心连接，通过两个核心交换机之间运行vrrp热备协议，不论是单链路损坏还是单核心设备出现故障都不会对网络的正常运行造成任何影响。对于信息点较多，并对网络安全要求更高的门诊楼和医技楼，各增加一台高端交换机dcrs-5950-24作为会聚层，所有接入交换机以双链路方式和dcrs-5950-24连接，通过线路的冗余备份，最大程度提高门诊大楼和医技楼的网络运行可靠性。各楼层选择的接入交换机dcs-3950-52ct，具有48口10/100base-tx，固化2个千兆combo(sfp/gt)接口和2个10/100/1000base-t千兆接口，配备2个sfp-sx-l接口卡，交换能力达到48gbps，包转发率达到13.2mpps，支持堆叠。汇聚交换机dcrs-5950-24具有16个千兆sfp接口，8个combo口（sfp/gt联合端口），背板带宽为260gbps，交换容量为208gbps，包转发速率为155mpps。核心交换机通过千兆多模光纤连接到原来的其它内部网络。2、外网网络拓朴图：河北省人民医院的外网主要承载对外网站、oa、email、internet浏览等业务，与内网业务相比，其安全性、可靠性要求相对较低，为节省用户的网络建设投资，外网采用了单核心组网方式，外网核心交换机为一台神州数码的ipv6万兆核心路由交换机dcrs-6808，配备2块mrs-6800-8gx16gb总共提供48个千兆光接口；一块mrs-6800-4gx24tx，提供24口10/100basetx百兆接口和4口千兆combo(rj45+sfp)接口。并通过配备冗余引擎、冗余电源等关键模块，结合业务板热插拔等电信级高可靠技术，充分提高外网可靠性。接入交换机选择dcs-3950-26c智能安全接入交换机，具有24口10/100base-tx，固化2个千兆combo(sfp/gt)接口，配备2个sfp-sx-l接口卡，以双链路连接外网核心交换机，在信息点较多的门诊楼和医技楼，则各增加一台会聚层交换机dcrs-5950-24，实现了网络端口和性能的平滑扩展。此外，如果接入交换机底下连着很多网段，并且这些网段之间有大量频繁的数据交换，则可以选择使用三层路由交换机作为接入交换机。例如：dcrs-5526s。五、网络特点：河北省人民医院网络以多方面的技术优势满足了医院的应用需求，同时保障了网络的高性能，方便易管理，将医院的信息化水平提上了一个高度，下面是其具体的特性：高带宽、高速度：医院的网络应用需要满足大量的数据传输要求，并且要保证高效，这对于网络的性能有很高的要求。从网络硬件上讲，方案中的千兆主干、百兆交换到桌面已充分满足需求;神州数码提供的交换机具有端口聚合和线路聚合的功能，可以提高响应速度，另外在光纤千兆网的基础上将提供千兆铜线网，利用超五类线即可实现千兆速率。双千兆网通过联路聚合技术也可加倍网络带宽，真正解决瓶颈。高稳定性和可靠性：核心交换机dcrs-6808支持引擎冗余、交换机电源模块配置冗余，光纤/网线链路冗余等方式，保证线路或者设备出现单点损坏时，整个医院网络依然保持数据正常交换。并可支持在冗余管理模块配备、软件升级或主管理模块故障时，主管理模块快速切换到备份模块，并且由于用户接口模块智能分布，在管理模块切换过程中，用户接口模块可以继续转发已建立的数据互通。高安全性：医院内部业务数据的安全时刻影响着业务的发展，另外，包括病历信息在内的海量级数据信息的保密，也关系到医院的信誉问题。建成的网络系统，在全网支持资源按照权限级别实施访问控制，通过先进的网络监控和访问控制，可实现对各种网络病毒和黑客攻击行为的有效防范;基于先进的802.1x认证功能，可对网络多种元素进行绑定，有效保障了接入用户的唯一性。在多种安全技术的支持下，该网络完全保障了用户的信息安全。高扩展性：dcrs-6808万兆核心级交换机可为网络提供足够的网络弹性扩展功能，在未来更可以非常方便升级到万兆主干，同时，该系列提供了领先的交换背板，不仅轻松满足了目前所有模块的线速转发，而且为新一代更高密度和复杂功能模块的支持提供硬件基础。主管理模块执行路由管理、网络管理、网络服务等任务，用户接口模块可以独立实现路由、交换、acl、qos等功能，分布式处理设计极大地提高整机处理能力。为未来网络扩展提供一定的空间，不但保护了现有用户投资，更避免了未来网络扩展在骨干设备上的重复投资。管理更灵活：方案中的产品均支持统一的网管系统，更有效地提高了工作效率。网络管理软件linkmanager网管系统 通过提供设备管理图、拓扑状态图、流量分析图以及网络节点监控，将网络管理工作量降到最低，并可通过矢量图的形式进行远程查看。当发生网络故障的时候，系统还可以自动向网络管理员发出报警信号。全中文菜单或图形配置方式，为交换机的管理和配置提供了极大的便利。另外，神码产品经过独特设计，具备防尘、防潮、防静电等多种适于在楼道安装和使用的特点。该项目采用的万兆设备搭建高速互联智能化网络的医院，将使河北省人民医院凭借其智能化网络，进一步提高了医疗水平，优化了服务质量。六、产品介绍：1、核心路由交换机神州数码dcrs-68081) 产品概述dcrs-6800系列路由交换机为企业和电信网络提供了优秀的安全性、可靠性、业务多样性和扩展能力。dcrs-6800系列可作为中小型校园网、企业网的核心层设备或作为大型校园网、ip城域网的汇聚层设备，它们不仅能够降低用户构建下一代网络的复杂性，而且提供了很好的投资保护。dcrs-6800系列路由交换机率先通过最为苛刻的国际ipv6 ready第二阶段认证。借助芯片级的转发能力和多样化的业务支持，以及较高的性价比，dcrs-6800系列成为企业级网络和电信城域汇聚层部署ipv6的最佳解决方案的一部分。该系列目前包括dcrs-6804, dcrs-6808等交换机。dcrs-6808提供10个槽位，具备强大的交换容量和转发能力，可全线速地进行l2/l3数据转发，能够满足用户对于网络规模的扩展要求。dcrs-6800系列交换机的管理模块、电源模块支持冗余备份和负载均衡，板卡、电源、风扇均支持热插拔，可以随时监控各个部件的工作温度，再加上强大mvte特性以及各种ha特性为dcrs-6800系列提供了电信运营商级的可靠性。柔性化智能化的交换机资源调度技术flexresource，为核心设备支撑更大规模的网络提供了强有力的保障。极具特色的安全功能，增强acl-x功能，应用层安全机制secapp，各种防攻击、防病毒手段如s-arp，s-icmp，s-buffer，anti-sweep，cpu核心保护机制和绿色通道机制等，共同构建起有效的安全核心。2) 主要特征基于asic的分布式硬件ipv6转发dcrs-6800系列支持基于asic的分布式硬件ipv6转发方式，可以在本地实现ipv6报文的处理，并可在接口模块内部及模块与背板间实现ipv6报文的线速转发，避免了集中式转发的瓶颈和时延问题，为ipv6真正走向大规模商用提供了有力保障。同时，为了保护用户已有投资，dcrs-6800系列还提供asic代理技术，使得早期的ipv4模块也能够平滑迁移到ipv6。先进的体系结构dcrs-6800系列交换机采用全分布式体系结构设计，采用功能强大的asic芯片进行高速路由查找，采用最长匹配、逐包转发的方式进行数据转发，从而大大提升了路由交换机的转发性能和扩充能力。dcrs-6800系列交换机能够有效地抗击 “红色代码”、“冲击波”、“震荡波”等网络病毒的攻击，更加适合大规模、多业务、复杂流量访问的网络，更加适合以太网的城域化发展。运营商级的可靠性为了满足苛刻的运营商级网络对设备可靠性的要求，dcrs-6800系列交换机对所有关键部件都采用了冗余备份的设计方案，并且可随时监控各个部件的工作温度并在出现温度异常时自动报警。dcrs-6800系列拥有mvte特性 （多vlan子网流量工程），可根据流量所属的vlan子网，自动实现流量负载分担和冗余备份；支持hsrp和标准路由冗余协议vrrp，保证路由不间断；mvte特性可以和vrrp或hsrp相结合，可最大限度地利用二三层网络的设备和链路，大大改变目前多层网络中的“备份有余、均衡不足”的弊端。同时支持ecmp / wcmp，特别合适多出口isp外网接入，保证路由负载均衡和冗余备份；支持firmware&config双容错备份，保证自动正确引导交换机，此特性不仅适合版本繁多的网络培训实验室，而且大大提高了实际运营设备的可引导性和在线升级的便利性。强大的acl功能支持标准和扩展acl，支持ip acl、基于ip子网的acl、mac acl、ip-mac acl，支持基于源/目的ip、三层ip协议类型、tcp/udp四层端口号、ip优先级、tos，并且以上功能完全依靠硬件线速实现，不影响转发性能。增强的安全特色 全面的受控组播方案dcscm，可以对源和目的进行安全控制，完整实现了在接入层网络中应用了基于igmp源端口和目的端口检查技术，可完全限制合法组播在网络中的稳定传输，有效控制组播建立的整个过程，保障了正常合法的组播应用的稳定运行；同时dcscm可与aaa系统联动实现业务控制。面向服务质量的策略组播可以有效保障重要应用的qos。基于应用的业务安全管理secapp，在不影响交换机转发性能的前提下，实现对应用业务的准入控制和流量管理，可基于应用管理用户带宽。 支持acl-x可基于时间段设置安全策略，安全设置随时间而动，在不同的时间段自动切换为不同的策略；智能化流量控制，可基于acl进行流量分类，比起传统的基于交换机端口、tos、dcsp、cos、802.1p的分类方式，acl-x更加精细和贴近业务分类；而安全策略分发更加灵活，可配置到任意端口、vlan、vlan接口，极为灵活。 “交换引擎cpu核心保护”：可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪； “关键协议绿色通道” 功能：可保障正常、合法、速度合理的关键控制报文（stp、mstp、rip、osfp、bgp、组播协议、双引擎板间心跳等）在大流量业务下不被淹没，快速处理不中断； 先进的lpm技术：可抵抗“冲击波”病毒、“zero day”病毒、“sql slammer warm”病毒等； 端口信任模式：则可检测非法dhcp server、非法radius server等，只在信任端口才能接入这些设备，从而保障网络的安全。丰富灵活的qosdcrs-6800系列交换机为每个端口提供了8个优先级队列，完全硬件实现，不影响性能。每端口8个队列，支持基于802.1p、tos、端口、diffserv进行流量分类还可以根据acl-x的80个字节高层内容进行流量分类，同时支持wrr、sp、swrr、wfq、cbwfq、pq、wred，为语音/数据/视频在同一网络中传输提供所要求的不同服务质量。便捷安全的网络管理优秀的网络设备除强大的性能和功能外还应具备完善的管理功能。dcrs-6800系列具有丰富的监测网管功能，可实现任务异常、内存异常、交换芯片异常、cpu利用率、堆栈异常等方面的监测，而syslog功能可方便地记录事件，可支持记录到nvram、flash、ram、telnet、ssh console、syslog服务器等。dcrs-6800系列具备便捷安全的配置管理手段，其独特的profile情景模式，可设定情景模式，多种配置间切换变得轻松自如，非常适合网络实验室；客户化便捷命令行功能可为每种特殊病毒或者业务定制命令，简单易行；支持标准ssh、用户权限分级管理、snmp v1/2/3；security ip功能可拒绝非法配置员，web网管、telnet等各种管理方式均支持security ip，只有从合法的ip才能对交换机进行配置管理，防止非法用户登陆交换机。dcrs-6800系列产品支持snmp，支持带内和带外管理，支持cli，支持rmon，并可采用smtp协议自动向管理员信箱发送相关敏感信息。支持ssh协议，可以最大限度地保证交换机的配置管理的安全性。可采用神州数码集中网管系统linkmanager统一管理，方便简捷。3) 技术指标项目dcrs-6808插槽10端口10/100/1000base-t最多384个1000base-sx最多384个1000base-lx最多384个10/100base-t最多384个万兆最多32个背板带宽2.0tbps交换容量960gbps包转发速率714mpps，l2/l3全线速mac表项128kvlan表项4kip路由表项128k(可扩展到256k)ip主机表128k二层协议规范ieee802.3(10base-t)、ieee802.3u(100base-tx)、ieee802.3z（1000base-x）、ieee802.3ab（1000base-t）、ieee802.3ae（10gbase）、ieee802.3ak(10gbase-cx4)、ieee802.1q(vlan)、ieeee802.1d(stp)、ieeee802.1w(rstp)、ieeee802.1s(mstp)、ieee802.1p(cos)、ieee802.1x(port control)、ieee802.3x（流控）、ieee802.3ad(lacp)、port mirror、igmp snooping、超长帧jumbo frame(9kbytes)、qinq、gvrp,vlan, pvlan, supervlan, 广播风暴控制基于端口的802.1q协议，整机最多支持4096个vlan，同时支持基于端口、mac的vlan划分三层协议规范(v4)ip/ipx （其中ip支持ipv4、ipv6双栈）、static routing、ripv1/v2,并支持md5认证、ospfv2、bgp4、is-is、lpm routing、policy-based routing(pbr)、ecmp、wcmp、vrrp、hsrp、igmp v1/v2/v3、dvmrp、pim-dm、pim-sm、pim-ssm、msdp、mbgparp、arp proxy、ipv6icmpv6、nd、ripng、ospfv3、is-isv6、bgp4+、pim-sm/dm for ipv6, mld for ipv6（v1）,mldv1/v26to4 tunnels、configured tunnels 、isatap等mplsmpls、mpls vpn、mpls teqos完全硬件实现，不影响性能。每端口8个队列。支持car。支持基于802.1p、tos、端口、diffserv进行流量分类还可以根据acl-x的80个字节高层内容进行流量分类，支持sp、wrr、swrr、wfq、cbwfq、pq、wred。为语音/数据/视频在同一网络中传输提供所要求的不同服务质量支持traffic shapping（流量整形）、支持优先级mark/remarkacl完全硬件线速实现，不影响转发性能。支持标准和扩展acl，支持ip acl、基于ip子网的acl、mac acl、ip-mac acl，支持基于源/目的ip或mac、三层ip协议类型、tcp/udp四层端口号、ip优先级(dscp、tos、precedence)、基于vlan、tag/untag、cos等acl-x支持基于时间自动改变安全策略。acl规则可以配置到端口、vlan、vlan路由接口。acl的深度内容可被用于qos分类的标准，深度可达80字节。防攻击和安全功能s-arp（安全arp）功能：arp检查、防arp-dos攻击、防地址仿冒anti-sweep：防pingsweep等各类扫描行为s-icmp（安全icmp）功能：防止ping-dos攻击；防icmp unreachable攻击s-buffer功能 防止ddos攻击软件ip流量抗冲击功能 防止ddos攻击交换引擎cpu核心保护功能关键协议绿色通道功能：可保障合法、频率正常的关键信令处理端口信任模式：检测非法dhcp server、非法radius server等，只在信任端口才能接入这些设备。先进的lpm技术：可防止“冲击波”病毒、“zero day”病毒、“sql slammer warm”病毒等。支持urpf（单播反向路径检查），可有效防止ip地址仿冒和攻击。以上技术可有效防止各种dos攻击（如arp攻击，synflood攻击，smurf攻击，icmp攻击）支持arp监听，防蠕虫、冲击波，检测各种扫描行为并告警屏蔽应用层业务管理功能支持secapp特性高可靠性和冗余均衡特性支持mvte，实现基于vlan的流量均衡支持主/备切换，所有板卡支持热插拔支持hsrp，vrrp，支持lacp负载均衡。支持firmware&config双容错备份多路（2-3路）电网供电、功率负载均衡性能调度机制flexresource支持主机活动状态感知和资源智能配置技术支持主机移动感知和资源智能配置技术可动态回收和再分配芯片资源采用路由汇聚技术优化芯片表项资源采取lpm技术优化芯片表项资源安全可控组播技术dcscm支持组播信源控制，防止非法组播源支持组播用户可控支持策略组播安全可控组播和radius联动支持端口功能支持mac+端口捆绑、ip+mac端口绑定、ip+端口绑定，支持mac过滤，支持ip+mac（无端口）捆绑支持端口限速（带宽管理）支持广播风暴控制，支持端口镜像（cpu端口镜像、进或者出单向/双向，一对一，多对一，跨板）支持流控：hol防头包阻塞，半双工背压，全双工ieee802.3x支持端口聚合 ieee802.3ad（lacp），最大可支持32组trunk,每trunk可到8个端口，每组双向带宽可到8g2，支持负载均衡。支持端到端gec/fec,每组最多8端口dhcp支持client、relay内置dhcp server，无需外挂，并可以监测非法dhcp server并告警用户接入支持ieee 802.1xaaa认证支持radius，支持radius扩展低耗节能技术支持，可大大降低功耗，显著提高设备散热性和稳定性网络配置和管理基本功能支持cli、支持console（rs-232）,支持telnet，支持snmpv1/v2/v3,支持mib接口，支持trap支持rmon 1，2，3，9四组支持security ip安全网管功能网管syslog支持，可记录事件到nvram、flash、ram、telnet、ssh console、syslog服务器等。配置管理安全支持security ip功能：防止在非制定区域非法登陆配置支持安全snmpv3支持sshv2支持tacacs+支持https命令行权限分级，独立认证，不同级别所能运行的命令行权限nms功能可以通过acl功能控制用户对交换机的访问权限，包括telnet、web、snmp的权限，可以有效的做到完全控制，实现nms功能。sflow功能支持网络流量分析，支持rfc3176，可以实现基于协议或地址的流量监控和统计异常监测和故障检查功能任务异常、内存异常、cpu利用率、堆栈异常、交换芯片异常、板卡温度异常等监测，并告警线路vct检测功能（检测5类线故障）配置管理便捷化独到的profile情景模式，可非常方便地在多种用户配置间切换“一行式”设计：可极大简化复杂功能的配置cisco风格命令行集中网管软件采取神州数码网络linkmanager软件 统一管理物理尺寸(宽深高)436mm*478mm*797mm相对湿度10%90%无凝结运行温度0c40c电源交流：输入90260v，5060 hz；直流：输入-36v -72v；输出12v/25a，5v/10a (此输出参数为每一模块的额定值)；功耗600w2、汇聚交换机神州数码dcrs-5950-241) 产品概述dcrs-5950系列交换机是神州数码网络推出的盒式高性能硬件ipv6万兆路由交换机，该系列交换机采用硬件asic芯片实现ipv4与ipv6双协议栈，可全线速转发ipv4/ipv6的2/3层数据包，在ipv6方面处于业界领先的地位。该款产品支持丰富的ipv6隧道协议，可灵活实现ipv4网络与ipv6网络的互连互通，且支持ipv6版本的ripng，ospfv3等动态路由协议，可用于部署大型ipv6网络。神州数码网络的全线路由交换产品已经通过最为苛刻的国际ipv6 ready第二阶段认证。第二阶段认证被ipv6官方权威机构认定为金牌认证。不仅如此，dcrs-5950系列借助芯片级的转发能力和多样化的业务支持，以及较高的性价比，成为大型企业级网络汇聚和中型网络万兆核心层部署ipv6的最佳解决方案的一部分。该系列交换机支持千兆下联，万兆上联，端口组合非常灵活，万兆核心交换机的技术应用在固定式交换机上，而高度只有1u，充分体现了汇聚产品高性能、小型化、灵活的趋势。在性能和功能方面dcrs-5950系列能够满足大型网络的组网需求，并具备丰富的智能和安全特性，特别适合于作为大型校园网、企业网、ipv4/ipv6城域网的汇聚设备，以及中小型网络的核心设备。2) 主要特征l 高性能dcrs-5950将万兆核心交换机的先进架构和技术应用在固定式交换机上，从而大幅度提高了固定式交换机的性能和功能。l2/l3均可实现全线速转发。dcrs-5950支持大容量路由表项，能够满足大型网络的组网需求。l 硬件实现ipv6dcrs-5950系列采用目前业界最先进的硬件asic芯片技术来实现ipv4与ipv6的双协议栈，可全线速转发ipv4和ipv6的2/3层数据包，通过先进的芯片技术保障ipv6协议丰富的功能得以实现和稳定运行，同时该款交换机还支持丰富的隧道协议，例如支持6to4 tunnels、configured tunnels、isatap等隧道模式，灵活解决ipv4网络到ipv6网络的过渡问题。l 万兆以太网就绪万兆以太网是以太网在速度和距离方面的进步，采用全双工技术，不需要应用低速的、半双工的csma/cd协议。dcrs-5950系列能够提供当前主流的xfp接口，带宽和处理能力更加强大，为城域和广域的应用提供了针对性的解决措施，可以简化网络结构、降低网络维护成本。l 丰富的网络协议支持dcrs-5950支持802.1d/w/s 生成树协议，支持802.1q，802.1p，802.3ad，802.3x，gvrp，dhcp，sntp等标准。支持igmp，dvmrp，pim等完整的组播协议。支持ripv1/2、ospf、rip、ospfv3、hsrp、vrrp等路由协议，适合复杂的大型网络组网需求。l 强大的acl功能dcrs-5950提供了完整的acl策略，可根据源/目的ip、源/目的mac地址、ip协议类型、tcp/udp端口号、ip precendence、时间范围、tos对数据进行分类，并使用不同的策略进行转发。通过acl策略的实施，用户可以过滤掉“冲击波”、“震荡波”、“红色代码”等病毒包，防止扩散和冲击核心设备。支持ieee802.1x基于端口的认证，为网络提供端口级的安全保证。 配合radius等认证机制，可有效防止非法用户侵入网络。l 卓越的组播和安全特性 dcrs-5950系列全面支持神州数码网络的受控组播方案dcscm，可以对源和目的进行安全控制，完整实现了在接入层网络中应用了基于igmp源端口和目的端口检查技术，可完全限制合法组播在网络中的稳定传输，有效控制组播建立的整个过程，保障了正常合法的组播应用的稳定运行；监控pingsweep等攻击行为，安全防扫描，并采取防攻击措施，全面保护交换机和服务器等网络设施的安全。l 丰富的qos策略 dcrs-5950完全实现diffserv模型。每个端口提供了8个优先级队列，可分别设定队列带宽，支持wrr/sp/swrr等调度方式。支持端口信任，可配置信任cos、dscp、ip优先级、端口优先级，并修改数据包的dscp、cos值；可根据端口、vlan、dscp、ip优先级、acl表进行流量分类，修改数据包的dscp和ip优先级，并指定不同的带宽，为语音/数据/视频在同一网络中传输提供不同服务质量。l 3d-smp就绪 dcrs-5950符合神州数码自防御式安全域管理策略3d-smp的组网要求，扩展增加了与防火墙,ids等安全系统的互动功能, 对于来自外网和内网的病毒和攻击都可以有效地进行控制,从而大大提升了全网的安全性和稳定性。l 完善的网络管理 dcrs-5950支持snmp，支持带内和带外管理，支持cli和web界面，支持rmon，并可采用smtp协议自动向管理员信箱发送相关敏感信息。dcrs-5950支持ssh协议，可以最大限度地保证交换机的配置管理的安全性。可采用神州数码集中网管系统linkmanager统一管理，方便简捷。3) 技术指标项 目dcrs-5950-24接口形式16个千兆sfp接口，8个combo口（sfp/gt联合端口）背板带宽260gbps交换容量208gbps包转发速率155mppsmac表项32kvlan表项4kipv4地址表16kipv6地址表16kipv4路由表项64kipv6路由表项64k物理尺寸（whd）436mm44mm420mm相对湿度5% 90% 无凝结运行温度0 50电源交流: 90- 264vac，47-63hz,直流: -40-60v功耗80w项目属性二层协议规范ieee802.3(10base-t)、ieee802.3u(100base-tx)、ieee802.3z（1000base-x）、ieee802.3ab（1000base-t）、ieee802.3ae（10gbase）、ieee802.3ak(10gbase-cx4)、ieee802.1q(vlan)、ieeee802.1d(stp)、ieeee802.1w(rstp)、ieeee802.1s(mstp)、ieee802.1p(cos)、ieee802.1x(port control)、ieee802.3x（流控）、ieee802.3ad(lacp)、port mirror、igmp snooping、超长帧jumbo frame(9kbytes)、qinq、gvrp,vlan, pvlan, supervlan, 广播风暴控制基于端口的802.1q协议，整机最多支持4096个vlan，同时支持基于端口、mac的vlan划分三层协议规范(v4)ip/ipx （其中ip支持ipv4、ipv6双栈）、static routing、ripv1/v2,并支持md5认证、ospfv2、bgp4、is-is、lpm routing、policy-based routing(pbr)、ecmp、wcmp、vrrp、hsrp、igmp v1/v2/v3、dvmrp、pim-dm、pim-sm、pim-ssm、msdp、mbgparp、arp proxyipv6icmpv6、nd、ripng、ospfv3、is-isv6、bgp4+、pim-sm/dm for ipv6, ,mldv1/v2、6to4 tunnels、configured tunnels 、isatap等qos完全硬件实现，不影响性能。每端口8个队列。支持car。支持基于802.1p、tos、端口、diffserv进行流量分类还可以根据acl-x的80个字节高层内容进行流量分类，支持sp、wrr、swrr、wfq、cbwfq、pq、wred。为语音/数据/视频在同一网络中传输提供所要求的不同服务质量支持traffic shapping（流量整形）、支持优先级mark/remarkacl完全硬件线速实现，不影响转发性能。支持标准和扩展acl，支持ip acl、基于ip子网的acl、mac acl、ip-mac acl，支持基于源/目的ip或mac、三层ip协议类型、tcp/udp四层端口号、ip优先级(dscp、tos、precedence)、基于vlan、tag/untag、cos等acl-x支持基于时间自动改变安全策略。acl规则可以配置到端口、vlan、vlan路由接口。acl的深度内容可被用于qos分类的标准，深度可达80字节。防攻击和安全功能s-arp（安全arp）功能：arp检查、防arp-dos攻击、防地址仿冒anti-sweep：防pingsweep等各类扫描行为s-icmp（安全icmp）功能：防止ping-dos攻击；防icmp unreachable攻击s-buffer功能 防止ddos攻击软件ip流量抗冲击功能 防止ddos攻击交换引擎cpu核心保护功能关键协议绿色通道功能：可保障合法、频率正常的关键信令处理端口信任模式：检测非法dhcp server、非法radius server等，只在信任端口才能接入这些设备。先进的lpm技术：可防止“冲击波”病毒、“zero day”病毒、“sql slammer warm”病毒等。支持urpf（单播反向路径检查），可有效防止ip地址仿冒和攻击。以上技术可有效防止各种dos攻击（如arp攻击，synflood攻击，smurf攻击，icmp攻击）支持arp监听，防蠕虫、冲击波，检测各种扫描行为并告警屏蔽应用层业务管理功能支持secapp特性高可靠性和冗余均衡特性支持mvte，实现基于vlan的流量均衡支持hsrp，vrrp，支持lacp负载均衡。支持firmware&config双容错备份性能调度机制flexresource支持主机活动状态感知和资源智能配置技术支持主机移动感知和资源智能配置技术可动态回收和再分配芯片资源采用路由汇聚技术优化芯片表项资源采取lpm技术优化芯片表项资源安全可控组播技术dcscm支持组播信源控制，防止非法组播源支持组播用户可控支持策略组播安全可控组播和radius联动支持端口功能支持mac+端口捆绑、ip+mac端口绑定、ip+端口绑定，支持mac过滤，支持ip+mac（无端口）捆绑支持端口限速（带宽管理）支持广播风暴控制，支持端口镜像（cpu端口镜像、进或者出单向/双向，一对一，多对一，跨板）支持流控：hol防头包阻塞，半双工背压，全双工ieee802.3x支持端口聚合 ieee802.3ad（lacp），最大可支持32组trunk,每trunk可到8个端口，每组双向带宽可到8g2，支持负载均衡。支持端到端gec/fec,每组最多8端口dhcp支持client、relay内置dhcp server，无需外挂，并可以监测非法dhcp server并告警用户接入支持ieee 802.1xaaa认证支持radius，支持radius扩展网络配置和管理基本功能支持cli、支持console（rs-232）,支持telnet，支持snmpv1/v2/v3,支持mib接口，支持trap支持rmon 1，2，3，9四组支持security ip安全网管功能网管syslog支持，可记录事件到nvram、flash、ram、telnet、ssh console、syslog服务器等。配置管理安全支持security ip功能：防止在非制定区域非法登陆配置支持安全snmpv3支持sshv2支持tacacs+支持https命令行权限分级，独立认证，不同级别所能运行的命令行权限nms功能可以通过acl功能控制用户对交换机的访问权限，包括telnet、web、snmp的权限，可以有效的做到完全控制，实现nms功能。sflow功能支持网络流量分析，支持rfc3176，可以实现基于协议或地址的流量监控和统计异常监测和故障检查功能任务异常、内存异常、cpu利用率、堆栈异常、交换芯片异常、板卡温度异常等监测，并告警线路vct检测功能（检测5类线故障）配置管理便捷化独到的profile情景模式，可非常方便地在多种用户配置间切换“一行式”设计：可极大简化复杂功能的配置cisco风格命令行集中网管软件采取神州数码网络linkmanager软件 统一管理3、接入交换机神州数码dcs-3950系列1）产品概述dcs-3950系列智能安全接入交换机，包括dcs-3950-26c、dcs-3950-28ct、dcs-3950-52ct等,在安全、运营等方面上极具特