中医医院网络方案.doc

中医医院网络方案一、项目概述1、项目背景通州区中医医院是一所集医疗、科研、教学、预防保健四位一体的中医综合性医院，1996 年通过国家中医管理局验收，成为通州区首家二级甲等医院，连续五年被评为通州区和首都精神文明单位，物价计量信得过单位，北京市行业作风文明窗口。鉴于医院发展建设较快，医院环境不能满足通州百姓的中医医疗需求。经区政府批准，拟将在长安街延长线、通州区河东新城筹建一所占地 1000 亩、建筑面积 30000 平方米，能容纳 400 张病床，年门诊量达 30 万人次，收住病人6000 人次的综合现代化中医医院。由于医院改建，网络也需重新设计以便满足医院业务的需要。2、设计原则可靠、可用性：为确保医院业务7*24小时应用，我们在结构设计、设备选型上充分考虑网络的可靠、可用性，确保网络成为一个不间断系统。安全性：选型的设备提供灵活的多种安全控制机制，保证医院系统的数据不会被随意窃取和篡改。先进性：方案的设计充分参照了国际规范和标准，采用当前成熟的模式、先进的技术和成功的经验。高性能：方案总体设计确保主要业务有足够的数据传输带宽，并为数据中心备份等其他业务提供适当带宽和提供QoS服务质量。可扩展性：网络的设计具有良好的可扩展性与灵活性，以适应网络发展的需要，满足当前及未来相当长时间内网络的需求，保证当前投资的回报率。易于管理、维护性：作为医院信息化系统的基础平台，设计中充分考虑了网络的易于管理和维护性。3、设计标准与规范 方案设计遵循国家相关的规范标准： 综合布线系统工程设计规范GB 50311-2007 综合布线系统工程验收规范GB 50312-2007 智能建筑工程质量验收规范GB 50339 北京地区医院信息系统基础设施运行与管理规范 北京地区医院信息系统基础设施建设指南 国际标准：用户建筑综合布线 ISO / IEC 11801商业建筑电信布线安装标准EIA / TIA 569商业建筑通信基础结构管理规范EIA / TIA 606二、网络设计1、网络设计为确保网络骨干稳定可靠，采用双核心备份，万兆互联。网络链路采用双万兆端口汇聚骨干，千兆汇聚，千兆接入；汇聚同样采用冗余，消除单点故障对网络的影响。数据中心为保证对业务数据的实时备份和数据丢失后的及时恢复，以及保证设备发生故障时的及时切换，确保医院业务应用不间断，数据中心采用容灾备份设计。确保内网安全，使用防火墙作为内网出口。 方案拓扑图2、 设备选型 根据需求，对于网络设备厂家的选择，我们采用锐捷网络产品。锐捷网络，业界领先的网络设备及解决方案供应商，成立于2000年1月。九年来，秉承“敏锐把握应用趋势，快捷满足客户需求”的核心经营理念，坚持“应用领先”的发展道路，锐捷网络实现了超常规、跨越式发展，成长为网络设备民族第一品牌，跻身中国网络市场三大供应商之列。l 网络骨干采用锐捷RG-S8614作为核心交换机RG-S8614是锐捷网络推出的面向十万兆平台设计的下一代高密度多业务IPv6核心路由交换机，满足未来以太网络的应用需求，支持下一代的以太网100G速率接口，提供14横插槽设计。提供4.8T背板带宽，每线卡提供高达200G的交换能力，满足高密度的千兆/万兆端口线速转发，并且支持未来40G/100G接口的扩展。配置：RG-PA1200 交流电源模块 1200W （数量2）S8614-Chassis 14扩展槽主机箱（含风扇阵列柜，不含电源和管理引擎模块）M8614-CM II二代管理引擎模块 （数量1）M8600-NMM高性能多业务卡，支持IPFIX流量监控功能 （数量1）M8600-02XFP2个XFP接口万兆线卡 （数量1） M8600-08XFP8个XFP接口万兆线卡 （数量1）10GBASE-SR-XFP 万兆光纤SR接口模块（300米，2000Mhz/KM），配合XFP 线卡使用 （数量10）Mini-GBIC-SX 单口1000BASE-SX mini GBIC转换模块（LC接口） （数量10）l 汇聚层交换机选择锐捷RG-S5750-24GT/12SFP 是锐捷网络推出的硬件支持IPv6的万兆多层交换机。万兆端口为“千兆汇聚，万兆核心”提供可能，适应了网络应用高速发展，网络带宽不断增加的需要。支持基于模块化的堆叠，支持万兆堆叠。 配置：M5700-01XFP 1端口XFP接口万兆转接板 （数量1）10GBASE-SR-XFP 万兆光纤SR接口模块（300米），配合M5700-01XFP转接板使用 (数量1)Mini-GBIC-SX 单口1000BASE-SX mini GBIC转换模块（LC接口） （数量2）l 数据中心交换机选用锐捷RG-S2927XG是锐捷网络推出的全千兆安全智能二层交换机。通过支持万兆扩展和万兆冗余堆叠，满足了网络流量成倍提高和多媒体业务的迅速增长的需要，特别适合需要高带宽的网络环境中使用。l 接入交换机（一）选用锐捷RG-S2927XG24个10/100/1000M电口，4个复用的SFP千兆光纤接口，3个万兆扩展槽。是锐捷网络推出的全千兆安全智能二层交换机，适用于园区网络的接入层，提供千兆到桌面的解决方案。凭借高性能、高安全、多业务、易用性的特点，融入IPv6的特性，使得可广泛应用于各行业的千兆网络。 l 接入交换机（二）选择锐捷RG-S2951XG48个10/100/1000M电口，4个复用的SFP千兆光纤接口，3个万兆扩展槽。为RG-S2900系列交换机中一款高端产品。以极高的性价比为各类型网络提供高性能、完善的端到端的QoS服务质量、灵活丰富的安全策略管理，最大化满足企业网高速、高效、安全、智能的新需求。 配置：Mini-GBIC-SX单口1000BASE-SX mini GBIC转换模块（LC接口） （数量1）l 防火墙选择锐捷RG-WALL1800 RG-WALL1800是面向大型园区网出口用户开发的新一代电信级高性能防火墙设备。RG-WALL1800采用了最新的硬件平台和体系架构，实现防火墙性能的跨越式突破，可支持数十个GE接口。提供固化4个GE口+4个SFP口，1个模块化插槽，支持：l4个千兆电口、光口模块8口千兆电口、光口模块2口万兆光模块3、 设备介绍核心交换机RG-S8614 特征：统一的模块化操作系统RGOS RG-S8600采用锐捷网络业界领先的统一模块化操作系统RGOS做为其系统平台，通过模块化设计理念，保证系统稳定的基础上，全面集成IPv6、MPLS、路由、安全等多种网络功能，构建智能融合的IP核心网络。 强大的处理能力 RG-S8600系列核心路由交换机面向十万兆平台设计，提供4.8T/3.2T/1.6T背板带宽，每线卡提供高达200G的交换能力，满足高密度的千兆/万兆端口线速转发，并且支持未来40G/100G接口的扩展。 设备级安全体系-CSS安全体系 CSS安全体系，全面融合网络安全特性，智能保护核心设备和网络。 1. 安全监控 NFPP（Network Foundation Protection Policy）基础安全保护策略，采用基于网络威胁的安全处理模式，联动网络攻击检测和网络攻击防护。在网络攻击即将到来的时候自动下发安全策略硬件隔离攻击源头。 2. 安全防护 CPP（CPU Protect Policy）技术，业界领先的硬件CPU保护技术，CPP技术对发往CPU的IPv4/IPv6等多层协议报文自动进行流区分和流限速，避免异常报文对CPU的攻击和资源消耗，保证核心设备在IPv4/IPv6三层网络、二层网络环境中核心设备CPU稳定运行。基于SPOH技术提供标准、扩展、MAC、时间、专家级、ACL80、基于Vlan一系列ACL技术，支持IPv4/IPv6双栈下的ACL功能。在配置数千条ACL的情况下，同样实现万兆线速数据转发。 最长匹配（LPM）三层交换技术，将静态方式、动态方式学习到的IPv4/v6路由直接以网段形式存储于硬件转发表，一个目的网段使用一个转发表项，而不明目的网段IP地址的数据包直接通过硬件缺省路由转发，极大地节约硬件存储空间，避免了存储溢出导致CPU利用率过高问题，保障设备的正常运行。 RG-S8600采用硬件方式提供多种安全防护能力，例如防DDOS攻击、非法数据包检测、防扫描、防源IP地址欺骗等等，避免了传统软件实现方式对整机性能的影响。支持广播报文抑制，有效控制非法广播流量对设备造成冲击。支持IPv4/v6、VLAN 、MAC和端口等多种组合绑定方式，提高用户接入控制能力。 3. 安全管理 RG-S8600系列支持用户分级管理，不同级别的用户拥有不同的配置权限；支持安全的SNMPv3网管协议；支持安全的远程登录SSH V2；支持受限IP地址方式的Telnet登录。支持IEEE 802.1x、AAA/Radius、TACACS，对用户身份进行合法性认证； 4. 安全隔离 RG-S8600系列支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证；支持MPLS VPN、VPWS等VPN功能，保证路由信息的隔离。支持IGMP源端口检查、源IP检查、IGMP过滤等功能，可有效控制非法组播源，提高网络安全。通过PVLAN（端口保护）隔离用户之间信息互通，不必占用VLAN资源。端口MAC地址锁、MAC地址过滤、端口MAC地址接入数量限制功能可以屏蔽非法主机的接入和非法数据包进入网络。 电信级的高可靠性设计 1. 无单点故障设计 RG-S8600采用无源背板避免机箱出现单点故障；所有关键器件，如引擎、电源、风扇和Crossbar等均采用冗余设计；双引擎切换时实现万兆数据业务不中断转发，有效保证网络稳定。所有单板和电源模块支持热插拔功能，并且对其它单板上运行的业务无影响。 2. 弹性以太网技术 RG-S8600支持RERP技术（快速以太网环保护协议），融合了SDH故障自愈的高可靠性与以太网的经济性、高带宽等优势，在RERP网络上扩展支持IPv4/v6路由协议、MPLS功能，可以保障万兆线速业务情况下小于50ms的故障切换时间，保证语音、视频等实时业务不受网络收敛影响。 RG-S8600支持REUP技术，在扩展支持IPv4/v6路由协议、MPLS功能的情况下，保证双链路上联网络拓扑的业务毫秒级快速切换。 3. 路由协议的高可靠保障 RG-S8600支持OSPF/IS-IS/BGP的优雅重启技术（Graceful Restart），提供毫秒级的切换时间；支持ECMP/WCMP，可帮助用户使用多条链路，不仅增加了传输带宽，并且可以无时延无丢包地备份失效链路的数据传输，实现流量的负载均衡及冗余备份；支持动态路由协议、跨板端口聚合、虚拟路由冗余协议（VRRP）等保护机制，有效保证全网高速可靠运行。 高性能MPLS业务处理 RG-S8600系列产品全面支持MPLS功能，支持标准的MPLS标签交换功能、基于BGP/MPLS VPN的三层VPN功能、基于Martini的点到点二层VPN功能以及基于VPLS的点到多点二层VPN功能。 RG-S8600系列产品支持高性能的MPLS业务处理，硬件支持MPLS标签的万兆线速处理，不存在处理的瓶颈，满足大规模MPLS网络核心设备高性能的需求。 全面的IPv6解决方案 RG-S8600线卡分布式实现IPv6业务硬件处理，支持万兆IPv6业务线速转发。RG-S8600已经通过了国家信息产业部的IPv6入网认证，标志着IPv6功能的成熟与商用。 RG-S8600全面支持IPv6协议族及编址结构，支持ND（邻居发现）、ICMPv6、Path MTU Discovery、DNSv6、DHCPv6等IPv6特性。 RG-S8600全面支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+等IPV6单播路由协议，支持MLD v1/v2、MLD Snooping、PIM-SM/DMv6、PIM-SSMv6等IPv6组播特性，为用户提供完善的IPv4/IPv6解决方案。 RG-S8600支持丰富的IPv4向IPv6过渡技术，包括：IPv6手工隧道、6to4隧道、ISATAP隧道、IPv4 over IPv6 隧道等隧道技术，保证IPv4网络向IPv6网络的平滑过渡。 RG-S8600支持丰富的IPv6管理特性，支持SNMP v6、Ping /Traceroute v6、IPv6 TACACS+/ RADIUS、Telnet/SSH v6、NTP v6，满足纯IPv6网络设备管理的需要。 IPFIX流量透明化方案 RG-S8600系列交换机在业内率先支持最新一代国际流量监控标准IPFIX（IP Flow Information Export）。符合国际标准发展趋势。IPFIX多业务模块采用高性能的NP平台，支持万兆业务流量的监控。 结合锐捷流量分析系统，IPFIX技术可以对对网络中的所有流量进行统计分析和异常检测，输出各种丰富的网络流量分析报表，包括：流量使用报表、历史报表、接口报表、可解析的主机地址、流量分析、变量显示等信息，能够帮助管理员在网络异常行为发生时快速分析出网络中存在的问题，为网络容量规划、网络应用监控以及故障诊断等提供客观准确的决策依据，实现真正的网络流量可视化。 IPFIX多业务模块作为独立业务灵活扩展到锐捷交换机中，采用独立的硬件平台，保证在多业务模块进行维护或故障的情况下，核心设备数据业务正常转发，保证了核心设备的高可靠。 丰富的应用支持技术 1. 提供完善的各种QOS技术 灵活的流分类：除了根据IP Precedence、802.1P、DSCP进行流分类，还可以根据专家级ACL、IP扩展ACL、IP标准ACL、MAC扩展ACL等进行流分类。 多种队列技术：硬件队列、SP、RR、WRR、DRR、SP+WRR、SP+DRR。 拥塞管理和控制技术：、WRED、CAR、LR（InOut）、Traffic Shaping（TS）等。 2. 提供多种组播支持技术 包括IGMP snooping、IGMP、PIM（SSM、SM、DM），DVMRP，保证了网络中提供组播服务时的带宽合理占用，同时提供支持IGMP源端口检查、源IP检查、IGMP过滤功能等屏蔽非法组播源。 3. 分布式业务融合系统 线卡分布式提供硬件的IPv6、策略路由、IPFIX流量监控等业务处理能力，提供支持POE功能的多种线卡。技术参数： 技术参数 参数描述产品型号模块插槽14个（2个用于管理引擎模块）背板4.8T（支持更高带宽的未来扩展）交换容量2.4T（支持更高带宽的未来扩展）包转发速率L2：1786Mpps L3：1786MppsMAC地址512K路由表项100万802.1q VLAN4KL2协议IEEE802.3（10Base-T）、IEEE802.3u（100Base-T）、IEEE802.3z（1000Base-X）、IEEE802.3ab（1000Base-T）、IEEE802.3ae（10GBase）、IEEE802.3ak、IEEE802.3an 、IEEE802.3x、IEEE802.3ad（链路聚合，同时支持跨板链路聚合）、IEEE802.1p、IEEE802.1x、IEEE802.1Q、IEEE802.1D（STP）、IEEE802.1w（RSTP）、IEEE802.1s（MSTP）、IGMP Snooping 、Jumbo Frame(9Kbytes)、IEEE802.1ad（QinQ、灵活QinQ）、GVRPL3协议（IPv4）BGP4、IS-IS、OSPFv2、RIPV1、RIPV2、MBGP、LPM Routing、Policy-based Routing、Route-policy、ECMP、WCMP、VRRP、IGMP v1/v2/v3、 DVMRP、PIM-SSM/SM/DM、MSDP、Any-RPIPv6基础协议ND（邻居发现）、ICMPv6、Path MTU Discovery、DNSv6、DHCPv6、ICMPv6、ICMPv6重定向、ACLv6、TCP/UDP for IPv6、SOCKET for IPv6、SNMP v6、Ping /Traceroute v6、IPv6 TACACS+/ RADIUS、Telnet/SSH v6、FTP/TFTP v6、NTP v6、IPv6 MIB support for SNMP、VRRP for IPv6、IPv6 QoSIPv6路由特性静态路由、等价路由、策略路由、OSPFV3、RIPng、BGP4+、IS-ISv6、MLDv1/v2、PIM-SMv6、PIM-DMv6、PIM-SSMv6、Route redistributionIPv6隧道技术手工隧道、ISATAP、6to4隧道、IPv4 over IPv6 隧道、IPv6 multicast over IPv4 tunnelsMPLS协议LDP、BGP/MPLS 三层VPN、Martini（点到点二层VPN）、VPLS（点到多点二层VPN）、支持P/PE功能，符合RFC2547bis协议、支持CE双归属、支持 MPLS VPN跨域QOS支持IP Precedence、802.1P（COS优先级）、DSCP、支持支持基于标准、扩展、VLAN ACL进行流量分类、支持多种队列调度机制如硬件队列、SP、RR、WRR、DRR、SP+WRR、SP+DRR，支持拥塞避免管理WRED、支持流量监管（CAR）、支持流量整形Traffic Shaping（TS）安全功能NFPP（基础安全保护策略）、CPP（CPU保护）、防DDOS攻击、非法数据包检测、数据加密、防源IP欺骗、防IP扫描、支持Radius/TACACS、支持基于标准、扩展、VLAN 的IPv4/v6ACL报文过滤、支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证、支持受限的IP地址的Telnet的登录和口令机制、uRPF、支持广播报文抑制、DHCP Snooping高可靠设计支持RERP（快速以太网环保护协议）、支持REUP双链路快速切换技术、支持RLDP单向链路检测技术、支持TPP（拓扑保护技术）、支持LD（线缆检测）技术、支持双引擎热备、NSF（数据不间断转发）、支持电源1+1冗余备份、采用无源背板设计、风扇采用冗余设计、所有单板和电源模块支持热插拔功能管理方式SNMP v1/v2/v3、Telnet、Console、WEB、RMON、SSHv1/v2、FTP/TFTP文件上下载管理、USB接口、监控显示屏、支持NTP时钟、支持SPAN/RSPAN，支持Syslog其它协议DHCP Client、DHCP Relay、DHCP Server、DNS Client、UDP relay、ARP Proxy、Domain、VPN、Syslog、IPFIX汇聚层交换机 RG-S5750-24GT/12SFP 特征：高性能l 万兆端口为“千兆汇聚，万兆核心”提供可能，适应了网络应用高速发展，网络带宽不断增加的需要。而万兆端口的可扩展性既方便用户现在使用万兆网路，也方便用户后续升级网络到万兆。IPv4/IPv6双栈协议多层交换l 硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，支持多种Tunnel隧道技术（如手工配置隧道、6to4隧道和 ISATAP隧道等等），可根据IPv6网络的需求规划和网络现状，提供灵活的IPv6网络间通信方案；支持丰富的IPv4路由协议，包括静态路由、RIP、OSPF、BGP4等，满足不同网络环境中用户选择合适的路由协议灵活组建网络；支持丰富的IPv6路由协议，包括静态路由、RIPng、OSPFv3、BGP4+等，不论是在升级现有网络至IPv6网络，还是新建IPv6网络，都可灵活选择合适的路由协议组建网络；S5750 V2.0硬件版本支持MCE功能，可以在BGP/MPLS VPN组网应用中承担多个VPN实例的CE功能，减少用户设备的投入。灵活完备的安全策略l 具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防Dos攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等，还网络一片绿色；支持基于硬件的IPv6 ACL，即使在IPv4网络内有IPv6用户，也可轻松在网络边缘实现对IPv6用户的访问控制，既可允许网络内IPv4/IPv6用户并存，也可以对IPv6用户的访问权限进行控制，比如限制对网络敏感资源的访问等。业界领先的硬件CPU保护机制：特有的CPU保护策略（CPP技术），对发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全；硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题；支持DHCP snooping，可只允许信任端口的DHCP响应，防止私设DHCP Server的欺骗；并在DHCP监听的基础上，通过动态监测ARP和检查用户的IP，直接丢弃不符合绑定表项的非法报文，有效防范ARP欺骗和用户源IP地址的欺骗问题；基于源IP地址控制的Telnet访问控制，避免非法人员和黑客恶意攻击和控制设备，增强了设备网管的安全性；SSH（Secure Shell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备。控制非法用户使用网络，保证合法用户合理化使用网络，如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。强大的多业务支撑能力l 支持IPv4、IPv6组播功能，包含丰富的组播协议。比如IGMP Snooping、IGMP、MLD、PIM、PIM for IPv6等协议族，为IPv4网络、IPv6网络、IPv4和IPv6共存的网络提供了组播服务支持。支持IGMP源端口和源IP检查功能，有效地杜绝非法的组播源，提高网络的安全性；支持等价路由（ECMP）、权重路由（WCMP）等丰富的三层特性和业务特性，满足不同网络链路规划下的通信需要。完善的QoS策略l 具备MAC流、IP流、应用流等多层流分类和流控制能力，实现精细的流带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。以DiffServ标准为核心的QoS保障系统，支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑。 技术参数： 技术参数 参数描述产品型号 RG-S5750-24GT/12SFP 基本特性固定端口24端口10/100/1000M自适应端口，12个复用的SFP接口，2个扩展槽可用模块Mini-GBIC-SX：单口1000BASE-SX mini GBIC转换模块（LC接口）Mini-GBIC-LX：单口1000BASE-LX mini GBIC转换模块（LC接口），10KmMini-GBIC-LH40：单口1000BASE-LH mini GBIC转换模块（LC接口），40KmMini-GBIC-ZX50：单口1000BASE-ZX mini GBIC转换模块（LC接口），50kMini-GBIC-ZX80：单口1000BASE-ZX mini GBIC转换模块（LC接口），80kMini-GBIC-ZX100：单口1000BASE-ZX mini GBIC转换模块（LC接口），100km万兆堆叠模块1端口XFP接口万兆转接万兆光纤SR接口模块（300米），配合M5700-01XFP转接板使用万兆光纤LR接口模块（10公里），配合M5700-01XFP转接板使用万兆光纤ER接口模块（40公里），配合M5700-01XFP转接板使用万兆光纤ZR接口模块（80公里，波长1550NM），配合M5700-01XFP转接板使用背板带宽240G包转发率L2：线速（66Mpps）L3：线速（66Mpps）产品特性VLAN支持4K个802.1Q VLAN支持Super VLAN支持Protocol VLAN支持Private VLAN支持Voice VLAN(*)支持QinQ链路聚合支持端口镜像支持SPAN支持RSPAN生成树支持STP、RSTP、MSTPDHCPDHCP/BOOTP ClientDHCP ServerDHCP RelayDHCP SnoopingDHCP Snooping TrustDHCPv6 ServerDHCPv6 Snooping(*)IPv6基础协议IPv6编址、邻居发现协议（ND）、ND-Snooping(*)、ICMPv6、无状态自动配置(*)、Path MTU Discovery(*)IP路由支持静态路由支持RIP，RIPng(*)支持OSPF，OSPF v3支持BGP，BGP4+(*)支持等价路由（ECMP）、权重路由（WCMP）支持VRRP、VRRPv6(*)支持VRF(仅S5750 V2.0及以后硬件版本支持)组播支持IGMP Snooping，IGMP支持MLD Snooping，MLD支持PIM，PIM for IPv6(*)IPv6隧道手工隧道、ISATAP、6to4隧道(*)、IPv6 over IPv4隧道、IPv4 over IPv6 隧道(*)ACL支持灵活多样的硬件ACL： 标准IP ACL（基于IP地址的硬件ACL）、 扩展IP ACL（基于IP地址、TCP/UDP端口号的硬件ACL）、 MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、 专家级ACL （可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型等灵活组合的硬件ACL） 基于时间的ACLQoS支持端口流量识别支持802.1p/DSCP/TOS流量分类每端口8个优先级队列支持SP、WRR、DRR、SP+WRR、SP+DRR队列调度支持Tail Drop拥塞控制IPv6 ACL和QoS支持基于源/目的IPv6地址、源/目的端口等硬件IPv6 ACL 和IPv6 QoS 安全特性支持IP、MAC、端口三元素绑定支持IPv6、MAC、端口三元素绑定支持安全通道支持防网关欺骗限制端口学习MAC地址数量过滤非法的MAC地址支持802.1x(port based、mac based、动态vlan下发、动态acl下发、guest vlan)支持各种(动态静态)地址分配策略下的ARP-Check支持DAI支持ARP报文限速支持防DHCP服务器私设支持广播风暴抑制管理员分级管理和口令保护设备登陆管理的AAA安全认证（IPv4/IPv6）支持SSH支持BPDU Guard支持TACAS+支持Radius(radius、EXEC授权、指定源IP)管理特性SNMPv1/v2c/v3、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、Syslog、NTP/SNTP、SNMP over IPv6、IPv6 MIB support for SNMP(*)、SSHv6(*)、Telnet v6(*)、FTP/TFTP v6(*)、DNS v6(*)、NTP for v6(*)、Traceroute v6(*)其它协议DNS Client、DNS static数据中心交换机/接入层交换机（一）RG-S2927XG接入层交换机（二）RG-S2951XG 特征：高性能l 高背板带宽为所有端口提供线速的交换能力，并提供万兆扩展和万兆堆叠，满足数据流量和多媒体业务日益增长的需要。 高可靠性l CPU安全屏障保护：特有的CPU保护策略（CPP），对发往CPU的数据流，进行流区分和优先级队列分级处理，并实施带宽限速，充分保护CPU不被非法流量占用、恶意者攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全。 支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；PortFast大大缩减了标准的30-50秒的生成树协议收敛时间，而BPDU Guard功能则避免了生成树协议环路的出现；支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。 多业务支持l 当网络上服务的业务越来越多时，带宽保障就显得尤为必要。为了避免非紧急业务抢占紧急业务的带宽，RG-S2600通过完善的服务质量保证，来支持多业务的开展；支持802.1P、DSCP、IP TOS、二到七层流过滤等QoS策略，具备MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量，提供服务；每端口支持8个优先级输出队列，使网络管理员可更精细的为各种应用分配带宽，从而更好的保证业务正常开展。交换机支持SP，WRR，DRR等机制确定报文处理顺序，比如SP可确保某个队列中的业务总是优先传输，而WRR则可保证所有队列中的业务都有机会；极灵活的带宽控制能力，基于交换机端口、MAC地址、IP地址、VLAN ID、协议、应用组合进行灵活的带宽限速，限速粒度达到64Kbps，可根据网络安全需求，设定不同业务应用的带宽流量，满足网络带宽按需所用；能够探测IGMPv1/v2和IGMPv3全部版本的组播报文，适应不同组播环境，避免非法的组播数据流占用网络带宽，满足组播安全应用的需要。 灵活可靠的万兆混合堆叠l S2900系列交换机支持设备的混合堆叠，方便提供灵活的端口数量组合；提供可靠的万兆冗余堆叠组合，在万兆冗余堆叠的基础上，能同时提供万兆上链，满足高性能、高带宽的需要，方便网络发展和规模扩大；支持硬件堆叠QoS，保证在网络拥塞、网络攻击等网络环境恶劣的情况下，依然能正常管理堆叠组成员，保证堆叠设备的正常运营。方便易用易管理l 采用灵活复用的千兆接口和扩展槽组合的形式，可最灵活满足是否需要多个千兆链路上链或多个千兆服务器的连接，方便用户根据网络架构灵活选择连接形式；支持设备间的混合堆叠，通过堆叠不仅能统一管理和使用设备，降低管理成本，同时可灵活地组合和扩展端口，平滑扩容，保障了网络的高度灵活和可扩展，网络管理更加简单；多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；网络时间协议保证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理；Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；CLI界面，方便高级用户配置和使用；技术参数：技术参数参数描述产品型号RG-S2927XGRG-S2951XG固定端口24个10/100/1000M电口，4个复用的SFP千兆光纤接口，3个万兆扩展槽R8个10/100/1000M电口，4个复用的SFP千兆光纤接口，3个万兆扩展槽可用SFP模块lMini-GBIC-SX：单口1000BASE-SX mini GBIC转换模块（LC接口）；lMini-GBIC-LX：单口1000BASE-LX mini GBIC转换模块（LC接口）；lMini-GBIC-LH：单口1000BASE-LX mini GBIC转换模块（LC接口），40Km；lMini-GBIC-ZX50：单口1000BASE-ZX mini GBIC转换模块（LC接口），50km；lMini-GBIC-ZX80：单口1000BASE-ZX mini GBIC转换模块（LC接口），80kml1端口XENPAK接口万兆转接板l1端口XFP接口万兆转接板l万兆光纤接口模块（300米），需配合M5700-01XENPAK转接板使用l万兆光纤LR接口模块（10公里），需配合M5700-01XENPAK转接板使用l万兆光纤ER接口模块（40公里），需配合M5700-01XENPAK转接板使用l万兆光纤SR接口模块（300米），需配合M5700-01XFP转接板使用l 万兆光纤LR接口模块（10公里），需配合M5700-01XFP转接板使用l 万兆光纤ER接口模块（40公里），需配合M5700-01XFP转接板使用交换容量108G156G包转发率81Mpps117Mpps MAC16K802.1q VLAN4KIPv4 ACL支持多种硬件ACL：l标准IP ACL（基于IP地址的硬件ACL）l扩展IP ACL（基于IP地址、传输层端口号的硬件ACL）lMAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）l基于时间ACLl专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间灵活组合的硬件ACL)IPv6 ACL & QoS支持源/目的IPv6地址、源/目的端口、IPv6报文头的流量类型（Traffic class）、时间选项的硬件IPv6 ACL和IPv6 QoSL2协议IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IEEE802.1x、IGMP Snooping v1/v2/v3、RLDPIPv6基础协议IPv6编址、邻居发现协议（ND）、ICMPv6、无状态自动配置、PMTU管理协议SNMPv1/v2C/v3、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、Syslog、NTP/SNTPSNMPv6、SSH/Telnet v6、FTP/TFTP v6、DNS v6、NTP for v6、设备登陆管理的AAA安全认证（IPv4/IPv6）其它协议DHCP Relay、DHCP SnoopingJumbo Frame支持防火墙RG-WALL 1800 特征：独立的安全协议栈 RG-WALL1800防