梁山县人民医院数据网络技术建议书

1、梁山县人民医院综合大楼数据网络技术建议书二零一一年五月目 录1项目简介41.1网络建设目标41.2网络建设原则42网络建设方案52.1网络结构规划52.1.1内网设计52.1.2外网设计93ip地址规划133.1ip地址规划原则133.1.1ip地址规划总原则133.1.2ip地址规划具体原则133.2ip地址分配规划143.2.1内网ip地址规划143.2.2外网ip地址规划143.2.3备用地址143.3ip地址分配方案143.3.1设备loopback地址的分配153.3.2设备间互连地址的分配153.4网络设备命名规则153.4.1网络设备基本命名原则153.4.2网络设备命名164v

2、lan规划164.1vlan概述164.2vlan的划分174.3vlan规划方案194.3.1内网vlan规划204.3.2外网vlan规划215qos优化215.1qos部署策略216网络管理226.1网元管理226.1.1产品外观236.1.2产品特点246.2安全管理266.2.1集中安全管理266.2.2防火墙设备的管理266.2.3入侵检测设备的管理277设备选型介绍277.1设备选型277.1.1quidway s9300系列新一代以太汇聚交换机产品简介277.1.2quidway s2300系列运营级接入交换机产品简介297.1.3usg5000统一安全网关产品简介297.1.

3、4nip1000网络智能入侵检测系统产品简介307.1.5secospace vsm网管系统简介317.2选型产品特点317.2.1quidway s9300 产品特点317.2.2quidway s2300 产品特点337.2.3usg5000统一安全网关产品特点347.2.4nip1000网络入侵检测系统产品特点357.2.5secospace vsm网管系统产品特点367.3产品规格387.3.1quidway s9300系列交换机业务规格性能387.3.2quidway s2300系列以太网交换机规格特性397.3.3usg5000统一安全网关产品规格417.3.4nip1000入侵检

4、测系统产品规格性能417.3.5secospace vsm网管系统产品规格性能428华为服务438.1服务概述438.2华为技术服务架构458.3维保服务实施流程468.4维保服务内容介绍478.5维保服务等级承诺（sla）508.6华为培训组织及培训方式521 项目简介1.1 网络建设目标梁山县人民医院综合大楼网络建设项目的总体目标是建成一个技术先进、稳定高效、安全可靠，具有较高可维护性和管理性的以太网。该网是企业内部网与外部网络分割，外网通过防火墙可以与国际互联网链接。内网和外网采用物理分离的方式，内网主要承载医院的核心业务系统，如his、pacs等；外网主要承载辅助性系统，如oa、管理经

5、济系统、视频监控、ip语音等业务，同时还承担对外的信息发布和远程医疗的作用。内网和外网之间可以在服务器端进行数据的共享和互通。1.2 网络建设原则梁山县人民医院综合大楼网络目前主要作为办公系统的承载以及就诊人员访问internet的平台，将来会发展为全院的信息承载平台，因此，梁山县人民医院综合大楼网络是整个医院信息化的基础网络平台。网络建设遵循以下原则：内、外网均应具有高带宽、高可靠、高性能、高安全的特性，骨干速率达到千兆同时应该具有向更高速率平滑扩容的能力（可根据需要平滑升级到万兆），网络关键点能够冗余热备保障系统连续稳定运行，使网络能够很好地为整个医院的医院信息化应用提供可靠的网络平台，提

6、高梁山县人民医院的服务质量和经济效益。l 标准性建立一个开放式，遵循国际标准的网络系统。对于所有用到的网络协议，以及接口的电气标准，都将完全符合在中国所应用的国际标准，为将来的扩展消除任何不必要的产品障碍。l 技术先进、成熟性选择先进成熟的设备和技术，保证建设完成的网络在3年内无需大的改动，技术适应性至少保持5年可用。l 可用性和可靠性保证汇聚以上的网络中单点故障不会使局部网络失去与整个网络的连接，多点故障不会造成整个网络被分成几个互不相连的部分；核心网络在物理链路中断的情况下，能够自愈保护。l 网络安全性对用户进行合理的区域划分，实现对网络用户的访问控制；能有效的抵御病毒的入侵和恶意攻击，确

7、保网络的安全。l 可扩展性网络系统在体系结构、容量、产品升级、处理能力等方面必须为今后的扩充留有足够的余地，保证满足后续扩容的需求，以及梁山县人民医院综合大楼其他系统的需求。l 可管理性网络系统具有服务质量的控制机制，通过网管软件管理、监控整个网络系统，并提供标准接口可以连接相关的网络管理平台。l 保护现有投资在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级，用作骨干网外联的接入设备。2 网络建设方案2.1 网络结构规划梁山县人民医院综合楼网络，内网和外网采用物理分离的方式，内网主要承载医院的核心业务系统，如his、pacs等；外网主要承载辅助性系统，如oa、管理经济系统、视频

8、监控、ip语音等业务，同时还承担对外的信息发布和远程医疗的作用。外网通过防火墙可以与国际互联网链接。2.1.1 内网设计内网系统承载着医院的核心业务，因此，在设计时充分考虑了网络结构的稳定性，同时保证适度前瞻性的需求，采用双星型的拓扑结构，以两台s9300系列交换机做核心交换设备，互为冗余热备，通过万兆链路聚合到一起，既提高了两者之间连接的带宽同时又满足了当其中一条链路出问题时，有备份线路。下联17台s2300交换机及1台s5300交换机作为接入层，接入层与核心层均以2g光纤连接，主备核心设备间以万兆光路互联。1、 降低布设成本2、 可以灵活进行扩容3、 可以在占用较少空间的前提下提供足够的接

9、入端口4、 s9300 s2300 系列交换机可提供稳定的快速的包交换处理5、 2台s9300 系列交换机做核心可提供安全可靠的热备份允余6、 接入层与核心层双链路互联提高了网络整体的稳定性和弹性。另外，在人民医院综合楼网络和医院现有其他内部网络联接时，必须要考虑到彼此的安全性，既要防止综合楼网络受到来自医院其他内部网络的一些病毒、蠕虫、木马等恶意攻击，也要防止综合楼网络中某些用户终端因为各种各样的原因感染了木马、蠕虫、僵尸等恶意程序后，通过综合楼网络出口向整个人民医院内网迅速大范围的传播。因此，必须在综合楼网络出口处部署华为usg5000系列统一安全网关并配合华为ids入侵检测系统，为网络提

10、供极高的安全保障。再者，综合大楼网络与医院的数据中心之间，因为存在着大量的重要的数据交换，因此也必须进行相应的安全防护措施。因为华为usg5000系列统一安全网关产品具备虚拟防火墙功能，不同的虚拟防火墙可以设定不同的防护规则，即一台防火墙可以模拟出多台防火墙使用，因此就可以使用华为usg5000系列统一安全网关并配合华为ids入侵检测系统，同样为综合楼网络与数据中心之间的数据通道提供极高的安全保障。主要作用： 实时监控进出综合楼网络中各种数据报文及网络行为，提供及时的报警及响应机制。其动态的安全响应体系与防火墙等静态的安全体系形成强大的协防体系，大大增强了用户的整体安全防护强度，对来自综合楼外

11、部网络和内部网络的各种攻击进行防范。可以利用ids和华为统一安全网关的联动措施，主动更新统一安全网关的规则，主动防御。通过华为统一安全网关的攻击防范能力，保障综合楼网络的资源安全。 提供高效的日志服务功能，可以满足用户对攻击、流量监控、会话流信息等日志信息进行记录。 统一安全网关可以工作在透明模式、路由模式，可以满足用户的组网灵活性。 统一安全网关支持双机热备组网，提高链路的可靠性。入侵检测设备nip1000内置强大的ip分片功能、智能协议解码器、高效的tcp流重组及细粒度的会话分析功能，可以迅速、准确地检测各种攻击行为。同时 nip具有2000余种入侵特征库，可以检测dos、扫描、代码攻击、

12、后门等多种入侵攻击。有效降低漏报和误报。nip对检测到的入侵企图或违背已设定的安全策略的活动做出实时响应，并提供多种响应方式。包括：l 切断与入侵有关的会话。l 通过移动电话发送报警消息。l 通过电子邮件发送报警信息。l 运行用户指定的应用程序。l 在windows操作系统事件日志中记录报警。l 将与入侵有关的信息保存在数据库中。l 联动防火墙。当有入侵事件发生时，入侵检测系统向防火墙发送消息，防火墙将动态生成规则，阻断入侵者。nip 提供根据入侵信息发出入侵警报以及限制网络访问等功能，以保护服务器免受外部和内部的攻击。nip通过简单易用的管理界面和入侵检测、入侵阻断、入侵报警、入侵日志等功能

13、，提供最佳的策略来增强 internet 商业环境的安全性。 nip特别适用于需要极高网络安全性的机构，例如：审计机构、安全顾问机构、安全法律执行机构、大型企业、internet 服务提供商、培训机构以及涉及敏感信息的政府机构等。nip 采用stealth技术，有效地防止入侵检测系统的暴露，提高入侵检测系统自身的安全性。组网图如下：内网网络设计统计资料如下：相关配置如下：1. s9306核心交换机2台（主、备），每台设备各配置1块24端口百兆/千兆以太网光接口和2端口万兆以太网光接口板，1块48端口百兆/千兆以太网电接口板，同时配置40个千兆多模光模块（联接各汇聚交换机及防火墙、ids）和2个

14、千兆单模光模块（联接原有的网络）及2个万兆多模光模块。2. s2352p-ei 交换机17台，做为接入层设备；每台设备各配置2个千兆光模块（1个主用，1个冗余），用于上联。3. usg5320统一安全网关 2台，各配置4个千兆光口模块，布置于综合楼网络出口，并做双机热备。4. 华为ids（nip1000）入侵检测系统一套，4个10/100/1000m探测端口(两光两电)，配置2个千兆光口模块。需要配置一台nip控制台服务器。5. 华为secospace vsm网管系统,需要配置一台网管服务器。6. 服务器：服务器型号性能指标描述数量网管服务器 （华为rh2285）支持1/2 个intel xe

15、on 5500系列双核/四核处理器，最高主频2.93ghz，单颗cpu三级缓存最高支持8mb支持 12 条 ddr3 rdimm/udimm内存，最大内存容量达 96gb板载 2 个 ge 网口，支持toe最大支持12个2.5/3.5英寸热插拔 sas/sata 硬盘，最高可配置 5.4tb sas 硬盘，或 12tb sata 硬盘可选配置sr100 raid 卡支持raid 0/1/1e可选配置 sr200 raid卡，支持256m高速缓存，支持raid 0/1/10/5/6/50/60数据保护技术，可选 bbu 电池模块提供掉电数据保护。dms服务器、采集服务器、报表服务器1nip控制台

16、服务器（华为rh2285）支持1/2 个intel xeon 5500系列双核/四核处理器，最高主频2.93ghz，单颗cpu三级缓存最高支持8mb支持 12 条 ddr3 rdimm/udimm内存，最大内存容量达 96gb板载 2 个 ge 网口，支持toe最大支持12个2.5/3.5英寸热插拔 sas/sata 硬盘，最高可配置 5.4tb sas 硬盘，或 12tb sata 硬盘可选配置sr100 raid 卡支持raid 0/1/1e可选配置 sr200 raid卡，支持256m高速缓存，支持raid 0/1/10/5/6/50/60数据保护技术，可选 bbu 电池模块提供掉电数据

17、保护。安装nip1000控制台软件系统12.1.2 外网设计根据梁山县人民医院综合大楼网络项目建设的基本原则，网络设计适度前瞻性的要求，网络采用星型的拓扑结构，分层化设计，以一台s9300系列交换机做核心交换设备，下联17台s2300交换机及1台s5300交换机作为接入层，接入层与核心层均以2g光纤连接。同时，因为外网要直接上联internet，因此必须在外网出口处进行足够的安全防护，建议选用华为usg5170统一安全网关产品，能够为梁山县人民医院提供理想的全面安全防护，实现不受内部和外部攻击、防止未授权访问并满足法规遵从性要求。一体化的设计，最大化减少设备运营成本和维护复杂性，提供高性价比方

18、案。采用华为成熟的安全软件平台，完整继承华为防火墙功能特性。提供多安全区域划分，满足不同等级安全需求；提供透明、路由、混合等多种功能模式，适应场景丰富；提供增强的报文过滤功能，提供多种nat应用支持，提供强大的攻击防范能力。同样通过部署入侵检测设备nip1000可以检测dos、扫描、代码攻击、后门等多种入侵攻击。当有入侵事件发生时，入侵检测系统向防火墙发送消息，防火墙将动态生成规则，阻断入侵者。外网网络设计统计资料如下：相关配置如下：7. s9306核心交换机1台，配置1块24端口百兆/千兆以太网光接口板，1快48端口百兆/千兆以太网电接口板，同时配置19个千兆多模光模块（联接各汇聚交换机及防

19、火墙、ids）。8. s2352p-ei 交换机17台，做为接入层设备；每台设备各配置2个千兆光模块（1个主用，1个冗余），用于上联。9. usg5320统一安全网关1台，配置2个千兆光口模块，布置于外网网络核心交换机与路由器之间。10. usg5150bsr路由器1台，配置至少2个千兆光口，配置1个千兆光模块11. 华为ids（nip1000）入侵检测系统一套，4个10/100/1000m探测端口(两光两电)。需要配置一台nip控制台服务器（可与内网共用）。12. 华为secospace vsm网管系统,需要配置1台网管服务器（可与内网共用）。 拓扑图如下：整合梁山县人民医院综合楼的内外网系

20、统，整体拓扑图示意如下：设备配置清单如下：产品性能指标描述数量s9306核心交换机双主控、双电源，配置1块24端口百兆/千兆以太网光接口和2端口万兆以太网光接口板，1块48端口百兆/千兆以太网电接口板，同时配置40个千兆多模光模块（联接各汇聚交换机及防火墙、ids）和2个千兆单模光模块（联接原有的网络）及2个万兆多模光模块。内网核心交换机2s9306核心交换机双主控、双电源，配置1块24端口百兆/千兆以太网光接口板，1快48端口百兆/千兆以太网电接口板，同时配置19个千兆多模光模块（联接各汇聚交换机及防火墙、ids）。外网核心交换机1s2352tp-ei 交换机quidway s2352tp-

21、ei以太网交换机主机,24 10/100 base-tx,2 combo (10/100/1000 base-t or 100/1000 base-x sfp),交流供电)，配置2个千兆光模块（1个主用，1个冗余），用于上联。内、外网楼层交换机51网管服务器 （华为rh2280）2u机架式，支持1/2 个intel xeon 5500系列双核/四核处理器，最高主频2.93ghz，单颗cpu三级缓存最高支持8mb支持 12 条 ddr3 rdimm/udimm内存，最大内存容量达 96gb板载 2 个 ge 网口，支持toe最大支持12个2.5/3.5英寸热插拔 sas/sata 硬盘，最高可配

22、置 5.4tb sas 硬盘，或 12tb sata 硬盘可选配置sr100 raid 卡支持raid 0/1/1e可选配置 sr200 raid卡，支持256m高速缓存，支持raid 0/1/10/5/6/50/60数据保护技术，可选 bbu 电池模块提供掉电数据保护。dms服务器、采集服务器、报表服务器安装网管软件系统1nip控制台服务器（华为rh2280）2u机架式，支持1/2 个intel xeon 5500系列双核/四核处理器，最高主频2.93ghz，单颗cpu三级缓存最高支持8mb支持 12 条 ddr3 rdimm/udimm内存，最大内存容量达 96gb板载 2 个 ge 网口

23、，支持toe最大支持12个2.5/3.5英寸热插拔 sas/sata 硬盘，最高可配置 5.4tb sas 硬盘，或 12tb sata 硬盘可选配置sr100 raid 卡支持raid 0/1/1e可选配置 sr200 raid卡，支持256m高速缓存，支持raid 0/1/10/5/6/50/60数据保护技术，可选 bbu 电池模块提供掉电数据保护。安装nip1000控制台软件系统1nip1000入侵检测系统4探头千兆入侵检测，2个10/100/1000m探测端口(电口)，2个10/100/1000m探测端口（光口），1个10/100m管理端口(电口)，1个配置串口内、外网入侵检测系统，与

24、防火墙联动2usg5320防火墙usg5320交流主机-含hs 通用安全平台软件，提供四个固定的10/100/1000m以太网口，光口电口任选互斥，2个扩展插槽,支持4fe、2ge光电互斥接口模块。外网防火墙，与ids联动1usg5320防火墙usg5330交流主机-含hs 通用安全平台软件，提供四个固定的10/100/1000m以太网口，光口电口任选互斥，2个扩展插槽,支持4fe、2ge光电互斥接口模块。内网防火墙，双机热备，与ids联动2usg5150bsr路由器usg5150bsr路由器，标配固定2comboge(光电互斥)，交流主机，可扩展e1/ce1/adsl2+/fe/ge广域网接

25、口外网路由器13 ip地址规划3.1 ip地址规划原则3.1.1 ip地址规划总原则简洁性：规划应该尽量简单，当看到一个特定设备上的ip地址时，就应该可以推断出它是哪一类设备，在网络上的什么位置，不需要查阅大量的文档手册。易管理性：易于网络管理员进行设备的维护。连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。最理想的策略是建立一个分级地址管理规划，这样可以使路由表相对较小。可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。规划应至少满足可以预测到的增长，如果可能的话，尽量能够满足不可预测的增长或其他变化。灵活性：地址分

26、配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。3.1.2 ip地址规划具体原则地址分配应考虑近期和远期的发展，减少在网络发展过程中因地址重新规划而对业务造成的影响。 ip地址的分配必须采用vlsm技术，保证ip地址的利用效率。 采用cidr技术，这样可以减小路由器路由表的大小，加快路由的收敛速度，也可以减小网络中广播的路由信息大小。 地址分配应该考虑使用的路由协议，便于路由表的会聚和控制，应尽可能连续分配。 为不同的业务分配一段连续的ip地址，便于业务的区分。 充分合理利用已申请的地址空间，提高地址的利用效率。 所有信息服务器采用公有ip地址，以便于信息源的互通。3.2 ip地址

27、分配规划考虑到今后业务的发展及扩展性的要求，建议梁山县人民医院采取以下ip地址规划方案： 3.2.1 内网ip地址规划建议内网ip地址选用10.10.xxx.xxx网段，根据需要及不同的楼号楼层进行进一步c网段或1/2、1/4网段的划分，预留10.10.254.xxx作为管理网段。3.2.2 外网ip地址规划建议外网ip地址选用10.20.xxx.xxx网段，根据需要及不同的楼号楼层进行进一步c网段或1/2、1/4网段的划分，预留10.20.254.xxx作为管理网段。3.2.3 备用地址为了今后扩展需要，在ip地址规划方面做了充分了冗余考虑，足够今后ip扩展的需要。3.3 ip地址分配方案建

28、议采用静态分配和动态分配相结合的方式来分配ip地址。设备互联地址，设备loopback地址等采用固定ip地址；各级局域网中，服务器采用固定地址；一般而言，对于开机率比较低的区域，或主机位置及人员变动相对比较频繁的区域，如办公区，业务中心等，建议采用动态地址分配，办公区的主机开机时通过dhcp请求获得一个，用户的网络通信使用该地址，关机后系统回收该ip地址。这样既可以节约ip，也使得网络用户便于管理。3.3.1 设备loopback地址的分配各种三层设备的loopback地址的使用，在不同的方面都需要它的参与，对于内部路由协议的正常运行，整个网络的正常运行，有着至关重要的作用。因而对于各个路由器

29、设备的loopback的分配和管理，应当采取统一的专有地址空间。通过为所有的路由器设备分配一个专有的地址空间，能够更为有效地进行路由器设备的路由配置和管理，以及方便今后的故障的诊断和排除。loopback地址分配采用17位掩码的原则。3.3.2 设备间互连地址的分配设备间互连的ip地址，从业务的相关性上，他们一般不具有全局的功能，而只是提供完成两个设备之间的连接。因而从这个角度上讲，这部分的地址空间的分配应当考虑以下的方面：尽可能以分层次的方式为他们分配地址。由于链路地址空间不具有全局性，因而并不需要在全网范围内为每个链路保持精确路由。而采取分层次的地址分配方式，能够将链路地址逐级汇总，从而使

30、得这些地址在各路由器的路由表中占有较少的空间。以降低对路由器的要求，并保证路由器的处理效率。提供足够的预留空间，以满足今后新增链路的需要。3.4 网络设备命名规则3.4.1 网络设备基本命名原则为了保证标识网络设备命名的统一性，以便于管理网络设备，应该为网络中每一台设备赋予名称标识，设备命名的基本原则为：能表示出网络设备的类型能表示出网络设备的物理位置能表示出网络设备所属的网络层次相同物理位置和网络层次的网络设备由不同序号区分能反映出该设备的业务属性和网元功能3.4.2 网络设备命名网络设备命名可以采用字母与数字结合的办法进行命名。可采用以下的方法：内网/外网编码（中文名称首字母缩写）楼号楼层

31、编码（中文名称首字母缩写）网络设备标识网络设备编号如内网（nw）核心（hx）交换机（假如部署在1号楼1层）的sw1可以标示为：nw-0101-hx-sw1-s9300，以次类推进行编号。4 vlan规划4.1 vlan概述为了解决传统lan交换网络中大量的无用广播泛滥，以及由其引起的安全问题，诞生了vlan技术。vlan（virtual local area network）将一个物理的lan 在逻辑上划分成多个广播域（多个vlan）。vlan 内的主机间可以直接通信，而vlan 间不能直接互通，这样，广播报文被限制在一个vlan内。vlan的作用主要是隔离广播域，抑制广播报文.分隔不同用户,

32、提高网络安全性。但在限制广播域的同时，也限制了主机之间的二层互访，所以在对主机进行vlan规划的时候应该适当根据一定的原则：如将拥有业务的主机划分到一个vlan当中，将拥有相同权限的主机划分到一个vlan当中。vlan具有以下优势：l 限制广播包，提高带宽的利用率有效地解决了广播风暴带来的性能下降问题。一个vlan形成一个小的广播域，同一个vlan成员都在由所属vlan确定的广播域内，那么，当一个数据包没有路由时，交换机只会将此数据包发送到所有属于该vlan的其他端口，而不是所有的交换机的端口，这样，就将数据包限制到了一个vlan内。在一定程度上可以节省带宽；l 减少移动和改变的代价即所说的动

33、态管理网络，也就是当一个用户从一个位置移动到另一个位置时，他的网络属性不需要重新配置，而是动态的完成，这种动态管理网络给网络管理者和使用者都带来了极大的好处，一个用户，无论他到哪里，他都能不做任何修改地接入网络，这种前景是非常美好的。 当然，并不是所有的vlan定义方法都能做到这一点；l 创建虚拟工作组使用vlan的最终目标就是建立虚拟工作组模型，例如，在企业网中，同一个部门的就好像在同一个lan上一样，很容易的互相访问，交流信息，同时，所有的广播包也都限制在该虚拟lan上，而不影响其他vlan的人。一个人如果从一个办公地点换到另外一个地点，而他仍然在该部门，那么，该用户的配置无须改变；同时，

34、如果一个人虽然办公地点没有变，但他更换了部门，那么，只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境，当然，这只是一个理想的目标，要实现它，还需要一些其他方面的支持。用户不受到物理设备的限制，vlan用户可以处于网络中的任何地方，vlan对用户的应用不产生影响；l 增强通讯的安全性一个vlan的数据包不会发送到另一个vlan，这样，其他vlan用户的网络上是收不到任何该vlan的数据包，确保了该vlan的信息不会被其他vlan的人窃听，从而实现了信息的保密；l 增强网络的健壮性当网络规模增大时，部分网络出现问题往往会影响整个网络，引入vlan之后，可以将一些网络

35、故障限制在一个vlan之内。由于vlan是逻辑上对网络进行划分，组网方案灵活，配置管理简单，降低了管理维护的成本。4.2 vlan的划分交换机只能识别不同的数据报文，所以对交换机来说对vlan的划分其实是对数据流的划分，可以理解为：vlan是二层的一个虚拟工作组的概念，它存在的意义就是将数据流进行分类。对数据流进行分类时所依赖的特征不同，就产生了对vlan的划分方式的不同：l 根据端口划分-基于端口的vlanl 根据mac划分 -基于mac的vlanl 根据ip进行划分-基于ip子网的vlanl 根据协议划分-基于协议的vlanl 还可以根据以上几种划分依据组合进行划分-基于策略的vlan4.

36、3 vlan规划方案vlan的规划与网络的安全性和性能有很大的关联，需要根据业务需求慎重考虑，严格规划。考虑到性能，为了减小广播域，建议每个vlan内的主机数量不要超过50台。经过分析，我们建议根据业务部门和所处的网络物理位置即楼号楼层等信息来进行vlan的规划方案，并结合梁山县人民医院现有的网络结构与设计，尽可能将业务平滑地过渡到新规划的网络中。vlan规划方案如下，具体实施时可以根据具体业务及实际环境情况略做调整：4.3.1 内网vlan规划序号vlan包含端口ip地址范围网关备注11200/2454内网数据中心21000/24

37、54新大楼1层31001100/24/245454新大楼1层410031004/24/245454新大楼2层510051006/24/245454新大楼3层610071008/24/245454新大楼4层710091010/24/245

38、454新大楼5层81016103410.10.1634.0/2410.10.1634.254新大楼624层9100/2454接门诊、急诊、医技科室及服务器1010/2454接办公楼和1号病房楼1110/2454接2号病房楼12103/2454接3号病房楼13104/2454保健楼和放疗中心14105/2454社

39、区医院15106/2454老年乐园16999/2454交换机管理地址4.3.2 外网vlan规划序号vlan包含端口ip地址范围网关备注12200/2454外网数据中心22000/2454新大楼1层320012024/2454新大楼124层49005354接internet出口5800油田网6999/2410.20.254.

40、254交换机管理地址5 qos优化梁山县人民医院的发展日新月异，对网络的服务质量也提出了新的要求，实时业务对报文的传输延迟有较高要求，如果报文传送延时太长，将是用户所不能接受的（相对而言，e-mail和ftp业务对时间延迟并不敏感）。为了支持具有不同服务需求的业务，要求网络能够区分出不同的通信，进而为之提供相应的服务，qos（quality of service，服务质量）技术的出现便致力于解决这个问题。本文依据diffserv模型，分析了梁山县人民医院的业务需求。5.1 qos部署策略从组网来看，最为典型的是核心层、接入层的组网模式，往上行的流量会比较大，带宽较高，接入层设备众多，并且较为分

41、散。结合differserv理论，我们针对业务的qos功能有对应的设计方法：l 报文的分类和标识：这是所有qos的基础，报文分类的清晰度，直接影响后续qos实现的功能需求，这是先决条件，当然分类可根据基于ip的acl五元组或是ip报文的tos优先级，如ip precendence或是dscp值，基于mpls标签交换的还可使用mpls exp值来定义，或是通过以太网技术中的802.1p优先级。l car (commited access rate)，它根据报文的tos或cos值（对于ip报文是指ip优先级或者dscp，对于mpls报文是指exp域等等）、ip报文的五元组等信息进行报文分类，完成报

42、文的标记和流量监管。常用于对业务流进行限速。l 流量整形（traffic shaping）是一种主动调整流量输出速率的措施。流量整形与流量监管的主要区别在于，流量整形对流量监管中需要丢弃的报文进行缓存通常是将它们放入缓冲区或队列内，整形可能会增加延迟，而监管几乎不引入额外的延迟。l 队列技术： pq、cq、wfq、cbwfq等队列技术对拥塞的报文进行缓存和调度，实现拥塞管理。主要应用在转发设备的出接口上，重点用于保证相应的业务流的带宽或是减少时延。l 拥塞避免（congestion avoidance），是指通过监视网络资源（如队列或内存缓冲区）的使用情况，在拥塞有加剧的趋势时，主动丢弃报文，

43、通过调整网络的流量来解除网络过载的一种流控机制。与端到端的流控相比，这里的流控有更广泛的意义，它影响到路由器中更多的业务流的负载。当然，路由器在丢弃报文时，并不排斥与源端的流控动作比如tcp流控的配合，更好地调整网络的流量到一个合理的负载状态。好的丢包策略和源端流控机制的组合，总是追求网络的吞吐量和利用效率最大化，并且使报文丢弃和延迟最小化。核心层：核心层为s9300这样的高速以太网交换机，在本地的交换接口为ge，这种情况下要求设备高速转发，而在differserv模型体系中，对高优先级的ip报文，以太网交换机会实现优先转发，高速接口上，对限速或是带宽保证的意义已经不大，s9300实现的qos

44、功能，仅作为在核心基于控制的需要，可完成流量监管，流量整形，队列调度等qos。通过以上的设置和规划，充分利用交换机硬件转发的能力，对流分类时采用ip tos值的定义，可有效地实现网络中在需要部署qos的设备或是线路上进行控制，不需要时不用消耗网络设备的资源，不用信令交互，根据数据业务的流向，实现端到端的qos。6 网络管理6.1 网元管理secospace vsm数据通信网络管理系统是华为公司针对数据通信设备进行管理维护的网管解决方案，提供数据通信网络管理维护的全面解决方案，提供网元层管理和网络层管理能力，功能涉及网络故障管理、配置管理、性能管理等多方面。secospace vsm与华为公司的

45、数据通信设备产品一起提供数据通信全网解决方案，对数据通信设备的维护和网络管理提供支持。secospace vsm数据通信网络管理系统基于灵活的组件化结构，包括dms-基本管理软件包（dms-base）、dms-snmp北向接口管理软件包、dms-hgmp管理软件包、ip网络性能管理器（performance manager）、报表管理器（report manager）等，可以根据自己的需要和网络情况灵活选择需要的组件，真正实现“按需建构”。6.1.1 产品外观解决方案框架图6.1.2 产品特点secospace vsm网络管理软件使用灵活的组件技术，支持多种操作平台，并能够与多种通用网管平台集

46、成，实现从设备级到网络级全方位的网络管理。l 拓扑集中监视 提供统一拓扑发现功能，全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行： 拓扑自动发现，拓扑结构动态刷新 可视化操作方式：拓扑视图节点直接点击进入设备操作面板 在网络、设备状态改变时，改变节点颜色，提示用户 对网络设备进行定时的轮循监视和状态刷新并表现在网络视图上 支持拓扑过滤，让用户关注所关心的网络设备情况 支持快速查找拓扑对象，并在导航树和拓扑视图中定位该拓扑对象l 故障管理 对全网设备的故障、运行状态进行实时监控、历史统计并提供协助排障的手段： 故障

47、实时监控，提供告警声光提示 支持告警级别重定义，即用户可按照自己的理解来随意定义告警级别 支持重复告警屏蔽、闪断告警屏蔽，减少告警误报 支持告警转email、手机短信 支持告警处理经验存储功能，为以后的设备维护提供参考 用户可创建自己关心告警条件的“告警查询模板”，方便快速查看关心的告警，并可将查询结果生成报表 支持历史告警转存，节省用户存储空间，保证系统高效稳定 支持告警拓扑定位，快速了解产生告警的网元所处的网络位置l ip网络性能管理器 dms-ip是针对网络层管理特性的一个重要dms组件，支持分布式性能采集，提供大规模ip网络性能监控手段，主要从设备、链路、路径三个层面对网络性能进行监控

48、，作为ip网络运行质量状况的监视器： 探针部署：dms-ip网络性能管理器提供网络级性能管理特性，dms提供性能探针采集方案，支持分布式部署性能采集探针，可满足大规模ip网络7x24小时性能监控管理需求 设备性能监控：监测设备负载情况,包括设备和板卡级的cpu、内存的负载 链路层监控：监测链路的流量和资源利用情况，链路和接口的流入/流出流量、流入/流出带宽利用率等 路径层监控：提供路径的运行质量，包括时延、丢包率、抖动 dms-ip网络性能管理器支持性能阈值告警，提供多种性能分析报表，支持历史性能趋势分析 提供图形化方式对性能采集任务进行管理l 基于web的报表管理 采用browser/ser

49、ver(b/s)架构，提供基于模板的报表开发和基于 web 的报表生成、分发、管理等一整套灵活、方便的报表应用服务： 提供从web浏览器浏览各种性能图像的功能。用户可以不安装网管系统客户端软件，只要有网管系统帐号，就能从任何地方通过web浏览器浏览各种性能图像，简化报表传递过程，提高自身日常工作效率，降低用户投资 提供报表权限管理功能，支持报表管理员、报表操作员和报表查看员等几种级别用户的操作权限，与网管系统安全管理集成，共用用户名和口令 支持自动定时和手动生成报表模式，减轻维护人员的工作量 报表系统可以保存成多种格式，能够以图形或表格方式显示l 集群管理 针对大量二层交换机等低端设备组网情况

50、，提供强大的集群管理功能，通过指定一个公网ip的设备（称作命令交换机）对网络进行管理，提供高效、方便的设备维护手段： 节省ip地址资源 自动发现集群拓扑结构，并支持动态刷新 实现对一组设备统一、集中、批量配置管理 实现集群设备的集中维护管理 实现方便的配置数据备份、配置数据恢复l 设备配置文件管理 提供网络设备丰富的配置管理能力，网络管理员需要定期备份设备的配置文件，跟踪设备配置变化，从而保证一旦发生网络故障时，可以使用历史配置备份将网络设备立刻恢复正常： 设备配置文件的批量备份和恢复等集中管理 设备配置变化，主动备份配置文件 灵活的设备配置文件比较功能，包括指定设备的运行配置和启动配置的比较

51、、不同设备间的配置文件比较等，管理员能够快速查看设备配置差异，迅速定位导致问题的配置命令l 完善的系统安全 提供灵活的用户、权限、操作日志管理，方便的备份工具提高系统高可靠性： 提供灵活的用户管理、分权策略（可按照对象操作来给用户授权），方便用户按照实际管理职责来分配用户权限 提供简便易用的数据库备份工具，简化系统管理员数据备份的工作 提供watchman双机异地备份组件，保证系统的高可用性 提供详尽的用户操作日志记录、任务操作日志记录l 北向接口 提供北向接口，可接入其他bss /oss系统或告警/性能等isv专有系统（如micromuse的netcool），为运营商规划运营支撑系统提供管理

52、接口6.2 安全管理6.2.1 集中安全管理在网络管理与网络安全管理区对中心网络安全进行集中管理，主要包括：（1）安全策略集中管理，对边界网络防火墙、内网安全域防火墙、入侵检测系统的安全策略进行集中配置；（2）安全监控，对网络运行的安全设备如防火墙、入侵检测系统等的运行状态进行监控，对安全事件进行监控，突发事件能够及时响应及时处理；（3）集中日志收集和审计，集中收集防火墙、ssl vpn、交换机、路由器等产生的安全日志，进行集中的存放和审计。6.2.2 防火墙设备的管理usg防火墙可以通过如下方式进行本地或远程维护：n 支持通过console口进行本地配置和维护。n 支持通过在aux接口采用m

53、odem拨号方式实现远程配置和维护。n 支持通过telnet方式实现本地或远程配置和维护。n 支持ssh（secure shell，安全外壳）维护管理方式，实现在不能保证安全的网络上提供安全信息保障和强大认证功能，以避免受到ip地址欺诈、明文密码截取等等攻击。l 基于snmp的终端系统管理usg防火墙支持snmp（v1/v2c/v3）协议和client/server体系结构，接受nms网管站的管理，如接受华为公司网管平台imanager n2000和quidview的管理。l gui配置和管理usg防火墙提供基于gui（graphic user interface）的防火墙管理界面，为用户提供

54、友好地配置和管理界面。在图形化界面中，可以配置安全区域、acl、nat、aspf、攻击防范、黑名单和各种统计参数。l web管理usg 防火墙提供基于web 的管理界面，为用户提供友好的配置和管理界面，用户无需安装任何专用的客户端软件，在防火墙上只需作简单的配置，就可以直接利用ie浏览登陆到到管理系统进行管理。在web的管理界面里，可以完成所有的配置，用户无需做太多的学习和记忆，根据提示就能完成配置工作。6.2.3 入侵检测设备的管理nip具有形式多样的网络管理方式，为用户提供方便的网络管理手段。l 图形界面管理nip基于gui（graphic user interface）的管理界面，为用户

55、提供友好的图形化配置和管理界面。在图形化界面中，可以配置安全策略，设置各种参数，并可以查看、分析报警事件。l 本地串口管理nip可以通过串口（console口）进行本地配置。配置的参数包括引擎的ip地址、网络掩码等信息。l 集中分级管理nip对大型的分布式网络环境提供分级部署的管理功能，既支持两级控制台管理的简单部署结构，也支持多级控制台管理的复杂部署结构。可以完成主控制台对下属分支控制台的集中管理和升级文件分发等功能。l 产品升级nip提供在线升级和脱机升级两种升级方式，升级的内容包括攻击签名库、控制台程序和引擎程序。在线升级包括自动在线升级和手动在线升级两种方式。7 设备选型介绍7.1 设备选型7.1.1 quidway s9300系列新一代以太汇聚交换机产品简介quidway s9300系列以太汇聚交换机（以下简称s9300）是基于新一代的硬件和华为公司统一的vrp（versatile routing platform）平台而推出的下一代以太网汇聚交换机，提供超大容量、高密度、模