人民医院外科病房楼网络方案书技术建设可行性研究报告

1、H3C禹城市人民医院外科病房楼网络方案技术建议书第1页共103页 目录 TOC o 1-5 h z 网络厂商的选择 5设备应用规模及稳定性、兼容性 5完善的研发体系和全系列的网络产品 6健全的服务支持和培训认证体系 7前言 9概述 9设计要求 11整体建网原则 13局域网总体技术方案 15总体方案设计 15有线无线混合组网下的认证方案 17用户管理 18网管方案 19基础网络资源管理 20基础网络拓扑管理 21故障与告警管理 21性能监控 21系统管理 22网络业务设计 22IP 地址规划 22IP地址分配原则 22IP地址规划方案 23路由设计 24路由协议选择及设计建议 24路由协议选择原

2、则 24本网络路由协议的选择 25VLAN 的戈U分 26划分VLAN的必要性 26划分 VLAN的方法 27VLAN规戈 U 29组播业务 31QoS 设计 32QoS体系结构的选择 32QoS的实现机制 34QoS部署 41关键业务服务质量保证设计 55H3C公司售后保障体系以及用户认证培训体系 56两小时厂家上门服务 56服务组织结构 56服务及时性保障 58服务有效性保障 607 &4小时热线技术支持电话 60区域技术支持平台 60网上问题处理系统 60完善的实验平台 61高效快捷的备件系统 61技术支持网站与技术支持论坛 61完备的技术支持资料开发系统 62禹城人民医院解决方案特点

3、63全分布的处理方式 63核心交换机先进的体系架构设计 63基于流攻击的防止。 64QoS规划设计 64有线无线一体化管理 64厂家技术实力 65售后服务 65方案产品介绍 66H3C S7500E系列高端多业务路由交换机 66产品概述 66产品特点 67产品规格 71H3C S5120-SI 系列交换机 81产品概述 81产品特点 83禹城市人民医院外科病房楼网络方案技术建议书第1页共103页 H9U TOC o 1-5 h z 723产品规格 867.3H3C器SecPath U200-A统一威胁管理产品 92产品概述 92产品特点 93产品规格 95H3C禹城市人民医院外科病房楼网络方案

4、技术建议书第1页共103页 1.网络厂商的选择在充分研究禹城人民医院外科病房楼网络项目的需求的基础上，我们对目前 业界的主流的网络厂商，做了较为详细的对比研究，综合考虑厂家产品及解决方 案在医疗及其他行应用规模、产品技术的先进性、成熟度及兼容性、公司的研发 实力和服务体系保障等因素，我们建议采用杭州华三通信技术有限公司（以下简 称H3C公司）的网络产品作为此次项目的组网设备。选择H3C公司的依据：H3C公司可以提供全线的包括交换机、管理软件、无线系统以及防火墙等性价比非常高的产品来满足此次项目的要求。设备应用规模及稳定性、兼容性H3C公司的网络产品目前已经广泛应用与全球的各个行业中， 截至20

5、07年4 季度H3C公司在中国市场交换机的市场份额为 41%，路由器为30%（数据来源 于CCID 2008年2月），名列前茅。目前H3C的全系列产品进入英国、德国、香港、俄罗斯、巴西、泰国、墨西 哥等六十六个国家和地区，并承建了中国电信、中国移动、英国、泰国、巴西等 14个国家级IP骨干网。H3C目前在国内的医疗网建设中已经得到了大规模的应 用。在国内，H3C承建了绝大部分的无线医疗网，包括：北京医院复旦大学附属中山医院解放军总医院中山市人民医院第三军医大学广州医学院附属第三医院广州市第一人民医院开元医院江阴人民医院余姚人民医院泉州市人民医院兰州大学第一医院大规模的应用不但大大拉近了用户和

6、H3C公司的距离，使得H3C公司能够更 快更好为市场、为用户提供产品，同时也验证了 H3C公司产品的稳定性和兼容性。12完善的研发体系和全系列的网络产品H3C每年将销售额的15%以上用于研发投入，在中国的北京、杭州、深圳以 及印度的班加罗尔设有研发机构，在北京和杭州设有产品鉴定测试中心。目前， H3C已申请专利超过700件，其中80%是发明专利。H3C目前从事IP产品技术研发的研究所有6个，包括北京研究所、杭州研究 所、印度研究所、南京研究所、深圳研究所、美国研究所，研发人员超过 2000 人。印度所、南京所、中央软件部、上海研究所等都通过 软件研发成熟度”最高 级的CMM级国际认证，北京研究

7、所、杭州研究所通过 CMM级国际认证。H3C不但拥有全线路由器和以太网交换机产品，还在网络安全、IP存储、IP监控、语音视讯、WLANSOH（及软件管理系统等领域稳健成长。目前，安全产品中国市场份额位居前三，ip存储亚太市场份额第一，ip监控技术全球领先，H3C已经从单一网络设备供应商转变为多产品 ITolP解决方案供应商。因此选择该厂商的网络产品能够有效的保障用户在网络建设方面的延续性和持续性。健全的服务支持和培训认证体系H3C公司建立了遍布全国的服务机构。除公司总部设有完备的技术支援平台外，H3C还在全国建立了 36个售后服务中心，建有完备的技术支援平台和备件 系统，通过先进的通信技术与总

8、部的技术支援平台连接，完成用户信息、故障处理流程、备件库存、产品分布等信息的共享，形成覆盖全国地市级城市，专职人 员规模超过200人的技术支援体系。同时还在各省市派遣有售后服务工程师，以提高售后服务的响应速度。H3C技术支持支援平台拥有一批高素质的服务队伍， 所有服务人员都具有本科以上学历，且有 3年以上大型网络服务经验。为了满足不同客户不同层次的培训需求，H3C服务公司建立了规范、专业的用户培训体系，将总部培训与分部培训、集中培训与现场培训有机结合。目前， 在数据通信网络技术领域，H3C培训面向全球，致力于培养专业务实网络人才。 考虑客户不同层次需求，提供全系列的网络产品培训，网络技术认证培

9、训和客户 化培训解决方案。同时建立起国际规范的完整的网络技术认证体系。在中国建立30余家授权培训中心，海外建立 7家授权培训中心；覆盖中国各大中心城市以及拉美、 亚太、中东、北非、俄罗斯等地区和国家。在中国建立60余家网络学院，海外建立1家网络学院。与40余所职业院校建立合作,支持中国职教IT专业课程改革项目。H3C公司的网络产品做为鉴于以上几个主要原因，我们在此次投标中选用了 此次投标的网络产品。2.前言概述随着信息技术的快速发展，国内越来越多的医院正加速实施基于信息化平台、HIS系统的整体建设，以提高医院的服务水平与核心竞争力。信息化 不仅提升了医生的工作效率，使医生有更多的时间为患者服务

10、，更提高了 患者满意度和信任度，无形之中树立起了医院的科技形象。因此，医疗业 务应用与基础网络平台的逐步融合正成为国内医院，尤其是大中型医院信 息化发展的新方向。随着计算机网络技术的发展与成熟，大多数发达国家和一些发展中国家已开展网络报病和传染病信息的网络化管理，大大提高了对突发传染病的应对速度与能力。为了适应信息技术的发展，与国际接轨，自2003年SARS之后，我国已经将疾病预防控制与公共卫生领域突发公共卫生事件的应急 处理上升到国家安全、社会稳定的高度，我国卫生事业将面临难得的机遇 和严峻的挑战，目前，我国已基本实现对突发传染病疫情监控的网络化与 数字化。随着卫生信息化的纵深发展，在突发公

11、共卫生为主线的基础上， 国家和各省已逐步建立起多个监测网络系统，如何实现对现有的信息网络 系统的运行维护，如何实现这些监测网络系统的综合集成，如何建立一个横向到边，纵向到底”的国家疾病监测网络系统，成为近年来对公共卫生事 业的新挑战，也是公共卫生信息化建设的一个重要课题。近年来兴起的系统论、控制论、信息论对于我们实现医疗卫生信息化建设发挥了重要的作用。特别是系统论，它向我们讲述的是一种联系的、发展的观点。系统论的创始人是美籍奥地利理论物理学家贝塔朗菲(Bertalanfy )，他提出了机体系统理论，强调生命现象不能用机械观点来揭示其规律，而只能把它当成一个整体或系统来考察。世界上任何事物都可以

12、看成一个系统，系统是普遍存在的。系统论认为，整体性、关联性， 等级结构性、动态平衡性、时序性等是所有系统的共同的基本特征。这些， 既是系统所具有的基本观点，也是系统方法的基本原则。公共卫生信息化建设是一项复杂的系统工程，从工程的规划、设计、建设实施、应用整合及运行维护等方面是一个相互关联的整体。因此，研 究和论证中国公共卫生信息化建设，应当站在系统论的高度，应用系统论 的基本原理对信息化各个方面进行严密的剖析。大多数医院的网络目前都是有线网络，但有线网络没有解决空间覆盖的问题，同时也不能解决信息实时收集的问题，在将来的医院网络趋于实时、数字化网络，同时还可以为医院的病人提供增值服务。也可以利用

13、无线局域网技术的移动性、灵活性和高效率在护理点获取实时的患者信息或者搜索决策支持信息。这种系统使医护人员可以更加准确、快速和高效地制定 决策和采取相应的措施，具体体现如下：电子病历访问/查看医生处方输入和药物治疗匹配护士呼叫系统患者床边服务对重要的统计数据的监控0 0 0 0 0 0对于具体的无线工程一般还要满足以下业务需求：针对医院的空间要进行全面覆盖；无线网络通过安全认证，保证医院信息不能通过无线网络对外泄露；用户在无线区域内移动时，不需要多次重复认证，实现自动漫游，即业务不中断；22设计要求山东省禹城人民医院坐落在国内外闻名的禹王亭遗址禹城，禹城市人民医院始建于1945年，是一所装备精良

14、、医术精湛、服务一流，集医疗、 科研、教学、预防保健、康复急救于一体的综合性二级甲等医院，编制床 位400张，年门诊量达到12万人次，年出院病人 16000人次，年住院手术4500人次。医院现有职工426名，其中咼级 职称43人，中级职称 210人，大 专以上学历近300人，培养出3名 博士生和14名硕士研究生。开展 了大量新技术、新业务，如脊髓肿 瘤摘除术，全髋关节置换术，垂体瘤切除术，前列腺电切术，低位直肠癌 保肛根治术，断臂再植术，巨大脑肿瘤切除，放疗、介入治疗、综合治疗 恶性肿瘤、电子胃肠镜诊疗技术、颅内血肿微创穿刺碎取术、无创呼吸机 治疗呼吸衰竭、急性心肌梗塞溶栓治疗、按置心脏临时起

15、搏器等60多项，有2项省级科研成果奖，5项地级科研成果奖，填补了我市多项空白；建立 肿瘤治疗中心，血液净化中心、重症监护病房、新生儿病房等咼科技园”形成以内、外、妇、儿四大专业为主的11个病区；为提高诊疗档次，构筑健康长城，医院加大投入，强化硬件”建设，当前，投资 1500万元，总面积达8700平方米，配有中央空调和高档电梯等先进设施的现代化门诊大楼 已全部启用，日接诊量达300多人次，病房楼后 1000多平方米的高标准特需楼亦已竣工。近年来，筹资2000多万元购置了螺旋 CT、数字胃肠机、彩超等大型设备 50多台套，2005年，又投资1000多万元购进西门子核磁共 振，日本原装全自动生化分析

16、仪，6台德国产牙科综合治疗台等先进设备。23整体建网原则结合医院的实际应用和发展要求，局域网网络系统设计，主要遵循以下系 统总体原则：? 实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。? 安全性原则：制订统一的骨干网安全策略、VLAN策略和过滤机制，整体 考虑网络平台的安全性。? 可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设 备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可 能性，另一方面要保证网络能在最短时间内修复。? 规范性原则：系统设计所采用的技术和设备应符合国际标准、国家标准 和联通 WLAN企业标准，为系统的扩展升级、与其他系统的互联

17、提供良 好的基础。? 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的 技术方案；设备的各种接口满足开放和标准化原则。? 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块 后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点 的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的 投资。? 技术先进性和实用性：保证满足办公应用系统业务的同时，又要体现出 网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和 标准结合起来，充分考虑到网络应用的需求和未来的发展趋势。? 高性能：承载网络性能是整个办公系统良好运行的基础，设计中必须保障网络及设备

18、的高吞吐能力，保证各种信息（数据、语音、图象）的高 质量传输，力争实现透明网络，网络不能成为实施现代化办公业务的瓶 颈。?可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易 学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方 面得到很好的监视和控制，并可以进行远程管理和故障诊断。3.局域网总体技术方案总体方案设计禹城市人民医院网络解决方案总体设计以咼性能、咼可靠性、咼安全性、良好的可扩展性、可管理性和统一的网管系统为原则， 并考虑技术的先进性、成熟 性，采用模块化的设计禹城医院网络解决方案出口区网络采用星型结构组网，充分考虑到了网络骨干的高带宽、高可靠性，整网 采用2台

19、S7506E交换机作为核心，下行使用多模光纤连接到各楼层的汇聚交换机S5120-52P上,提供高速率的上行带宽，保障多种业务，特别是多媒体业务的高速传输。采用双千兆链路上行千兆到桌面的组网方式。考虑到网络的安全性， 网络出口采用 H3C SecPath U200-A统一威胁管理产品。 H3C SecPath U200-A是H3C公司面向中小型企业/分支机构设计的新一代UTM（ Uni ted ThreatManagement统一威胁管理）设备，采用高性能的多核、多线程安全平台，保障 全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、 VPN功能基础上，同时提供病毒防护、UR

20、L过滤、漏洞攻击防护、垃圾邮件防护、 P2P/IM应用层流量控制和用户行为审计等安全功能。WEB认证方案介绍WEB用户上网时，设备强制用户到门户网站，并提供门户网站主页，用户可 以免费访问其中的服务。当要使用互联网中的其他信息时，则必须在门户网站进 行认证，只有认证通过后才可以使用这些服务。WEB认证用户不需要安装额外的 客户端软件。在H3C的FIT AP方案中，使用 WEB认证时，强制Portal仍然是在无线交换 机上进行。使用WE认证时不需要安装客户端软件，使得管理和维护更简单，并 同时能利用CAMS勺功能较好地对用户进行控制，如用户端口绑定、用户IP绑定、 用户MAC绑定等，但无法做到用

21、户通知消息下发和防止用户使用代理。.WEB认证与802.1X认证对比802.1X认证功能WEB!证客户端软件不需要需要客户端版本限制不支持支持自动探测并屏蔽代理服务不支持支持器限制多网卡、拨号上网不支持支持显示当前网络状态及认证支持支持状态异常下线探测功能支持支持消息下发不支持支持对AAAK务器的特别要求无无分布式认证支持支持网络性能影响低低Radius服务器的性能影响无无标准化程度低高IP地址浪费无无有线无线混合组网下的认证方案对有线用户和无线用户进行分别认证，有线用户在以太网交换机上实现认证，无线用户在无线交换机设备上实现认证。通过在 CAM上设定对应的绑定区 域，对于只能使用有线上网的用

22、户绑定所有以太网交换机 IP地址，无线上网用 户由于其漫游特性，无需绑定到无线交换机的 IP地址。设备要求：实现认证的以太网交换机和无线交换机必须支持标准 Radius协 议，能够和CAM睨合实现认证计费功能。如果要实现华为扩展的 Radius功能， 如防代理、消息下发等功能。则必须使用对应的 H3C设备。用户管理CAMSS统功能强大，操作简单，在用户认证管理上，具有以下特点：? 用户绑定功能CAMSfe持绑定用户名和设备IP地址、入端口号、VLAN ID、用户MAC地址、 用户IP地址等信息，保证用户绑定合法性。并支持用户MAC地址和用户IP地址 自学习功能，大大减少管理员的录入量。? 认证

23、区域绑定功能通过认证报文上传的认证接入设备IP地址，CAMSS统可实现认证区域绑定 功能。用户上网的区域可被限制在一定范围内，增强了网络的安全性。? 防代理功能针对医院用户，CAM提供防代理功能，禁止用户使用代理上网，并支持限制 用户使用的客户端，要求用户必须使用专用安全客户端， 并强制自动升级，确保 认证客户端的安全性。目前 CAMSS统的防代理功能必须要与 H3C交换机配合实 现。华为AP暂不支持防代理功能。? 用户黑名单管理CAMS!证系统支持黑名单管理，支持手工加入黑名单、自动将欠费用户加入 黑名单、自动将恶意登录用户加入黑名单、自动将充值失败超过阈值用户加入黑 名单并提供黑名单增强功

24、能：在被试探帐号加入黑名单的同时记录恶意试探机器 的MAC地址，限制从该MAC地址的机器试探该帐号，但被试探帐号可以在其它 MAC地址的机器上正常使用，保证登录用户的合法性。? 用户上网全程监控CAMS!证计费系统能对医生上网的全过程进行管理， 实现医生上网的实时监测。对于网络上进行非法操作的医生，具备将用户踢下线的功能，控制医生对网 络的使用生威卡号重置期限：p3个月卞号基丰信息* 卡拉孜号：2004121411012922衣起嫦号：|升卡号类型：3JK 文件名:| 00412141 1O1292E. tst*失嫩曰期：2005-12-14 酉厂 首次侵用时重置矢奴日期返回帮勖帮助L卡号服舍

25、配置悟息主：.讨于服善匚片茨定绘毎息卡昌不吐泾冋跟制】服务名服笋描述计费策略服务后嵋详昌旧信息rbyhuLAwi查询rby厂教师专用上開脈数!|币者用酿磐頑址计费每喷S17L査询厂湖南测试计费策略【 入业务查询厂零费率服等耒読缺省零费率 计费策略c LAH 入业务）32管方案鉴于H3C公司已经具有大量的设备应用于医疗卫生网，在网管方面建议采用H3C的IMC智能管理中心产品，IMC智能管理中心在设备网管的定位上又增加了 综合网管的功能及周边的增值功能，如网上产品版本管理及批理升级的功能；目前IMC智能管理中心产品可与其他设备厂商的网管共同集成于第三方网管 平台，为用户提供了灵活的组件化结构，包括

26、网络管理框架（NMF、网络配置中 心（NCC、设备管理（DM）等组件，用户可以根据自己的管理需要和网络情况灵活 选择自己需要的组件。IMC智能管理中心支持设备自动发现、拓扑管理、告警管理、性能管理、网 管用户管理等基础功能；提供全网的拓扑显示、故障处理、服务器管理等功能。 可以轻松实现路由器、以太网交换机等设备管理、维护功能。为禹城人民医院用 户提供了全面的网络管理功能。IMC智能管理平台是整个IMC智能管理系统的基础管理平台，IMC的各个业 务组件都必须安装在这个公用的平台上才能使用。IMC智能管理平台不仅为系统 各业务组件的集成提供了包括统一权限控制、SOM架、统一操作日志管理、统一 Li

27、cense控制、分布式安装等基本功能，而且还为用户提供了网络管理的一些 基础功能，其中包括操作员管理、拓扑管理、性能管理、告警管理及操作日志管 理等。基础网络资源管理基础网络资源管理包含对各厂家网络设备的分类和识别；能够通过自动发现和手工添加方式增加网络设备资源； 提供对网络设备资源的查找、修改、删除和 批量导入和导出功能；支持对设备访问参数的批量配置和校验； 支持对设备状态 和详细信息的查看，设备的详细信息不仅包含了设备的基本信息、接口信息、性能数据和告警信息，同时还可以在增加其他组件的情况下显示扩展后的业务信 息；支持对设备的管理/去管理，接口的管理/去管理，接口信息的显示和接口的 UP/

28、DOW配置；支持设备面板管理；支持设备分组功能，通过对设备资源进行分 组管理，系统管理员方便的分配其他管理员的管理权限，便于职责分离；支持设备视图管理，不同管理员可以根据自己的需要定义个性化的设备视图，从而使管理员能够关注于关键的网络和设备，使网络管理更加清晰。3.22 基础网络拓扑管理除了提供完整的IP拓扑外，用户可以根据实际组网情况，定义自己关注的 自定义网络拓扑。拓扑更加美观清晰，能够实时实时显示当前视图的拓扑状态。 通过在拓扑上浮动显示设备、链路的基本信息和CPU链路流量等性能信息，管理员可以在拓扑界面中方便的对网络中的设备以及相关链路进行监视，拓扑上提供了常用的Ping、tel ne

29、t、TraceRT、打开设备Web网管和管理/不管理设备等 常用操作和相关链接，拓扑可以作为管理员管理网络的唯一入口。同时，在安装了其他组件的情况下，拓扑会增加相应的业务拓扑和操作链接，以满足不同业务的需求。除了以上常用拓扑功能，iMC网络拓扑管理还提供了二层拓扑和邻居拓 扑，能够显示接入设备上的接入情况。故障与告警管理告警管理：对网管系统的告警进行统一管理。 通过告警管理可以对设备发来 的告警进行过滤、定位、确认、转发等操作，也可以为不同的告警设置提示方式 （声音、视觉等），还可以针对不同的告警定义不同的操作提示以及维护参考等；性能监控性能管理：提供了对系统所管理的各种设备性能参数的公共监视

30、功能，比如内存利用率、CPU利用率、设备不可达率、设备响应时间和接口性能数据等。通 过历史监控报表和TopN报表管理员可以快速得到网络中需要关注的设备的详细 信息，通过报表的导出和打印功能，管理员能够迅速将网络状况汇总数据上报给 各级领导，为网络的决策提供有利的支撑。325. 系统管理操作员管理：提供方便的管理操作员功能，不仅可以为用户设置不同的操作 权限，也可以结合设备分组和用户分组灵活进行权限分级控制， 从而显著提高安 全性和灵活性；操作日志管理：操作日志集中记录了包括系统管理员在内的所有操作员的操作过程，使整个系统的操作具有了可回溯性。 操作日志管理可以对大量的操作日 志进行多种条件的过

31、滤显示，并可以实现日志的自动删除；网络业务设计IP地址规划IP地址的合理规划是网络设计中的重要一环，大型计算机网络必须对IP地 址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的 效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接 影响到网络应用的进一步发展。IP地址分配原则考虑到医院的用户的固定性，为保证对于上网用户的可查询性，且考虑到 10.xxx.xxx.xxx 私网地址不存在短缺等因素，建议禹城人民医院的IP地址采用10.xxx.xxx.xxx 私网IP地址接入的方式进行建设。要与网络拓扑层次结构相适 应，既要有效地利用地址空间，又要体现出网络的

32、可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减 少对路由器CPU内存的消耗，提高路由算法的效率，加快路由变化的收敛速度， 同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地 址空间。

33、主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。当网络以私网地址分配或采用混合网络地址接入时，要求网络提供地址变换 功能，过滤掉私网地址。4.12 IP地址规划方案内部地址的分配原则是按建筑物进行的，视用户的数量，1/4、1/2、整个私网的划分。对于相对固定不变的教学区采用静态分配IP地址，为防止地址盗用，采用IP地址与端口、地址绑定；对于流动性大、用户人数多、用户增长快的用户区 采用动态分配IP地址，采用By Port的Vian，小范围地限制地址盗用问题。静 态IP地址对于用户来说可以实现对应物理位置的查询，对全网的IP地址与物理位置的对应有全面、可靠的管理。对于服务器、

34、网络设备互连端口地址、设备Loopback地址建议使用静态IP地址，而且各属自不同的IP地址段，有利于骨干路由表的简化与路由的快速处 理；42路由设计421. 路由协议选择及设计建议选择何种路由协议，对于最大程度的发挥网络的效能具有重要意义，因此本 次禹城人民医院网络建设的路由协议的选择也就十分重要。路由协议选择原则在大型网络中，选择适当的路由协议是非常重要的。目前常用的路由协议有 多种，如RIP、OSPF IS-IS、BGR PIM等等。不同的路由协议有各自的特点， 分别适用于不同的条件之下。选择适当的路由协议需要考虑以下因素：1）路由协议的开放性：开放性的路由协议保证了不同厂商都能对本路由

35、协 议进行支持，这不仅保证了目前网络的互通性，而且保证了将来网络发展的扩充 能力和选择空间。2）网络的拓扑结构：网络拓扑结构直接影响协议的选择。例如 RIP这样比 较简单的路由协议不支持分层次的路由信息计算，对复杂网络的适应能力较弱。 路由协议还必须支持网络拓扑的变化， 在拓扑发生变化时，无论是对网络中的路 由本身，还是网络设备的管理都要使影响最小。3）网络节点数量：不同的协议对于网络规模的支持能力有所不同，需要按需求适当选择，有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问对于本网络，在选择路由协议时不能只看眼前，还要充分考虑今后的扩展性4）与其他网络的互连要求：通过划分成相对独立管

36、理的网络区域，可以减少网络间的相关性，有利于网络的扩展，路由协议要能支持减少网络间的相关性， 是通常划分为一个自治系统（AS，在AS之间需要采用适当的区域间路由协议。 必要时还要考虑路由信息安全因素和对路由交换的限制管理。5）管理和安全上的要求：通常要求在可以满足功能需求的情况下尽可能简化管理。但有时为了实现比较完善的管理功能或为了满足安全的需要，例如对路由的传播和选用提出一些人为的要求，就需要路由协议对策略的支持。4.23 本网络路由协议的选择考虑到协议的通用性、标准性以禹城人民医院网络系统的网络规模，建议在 本次网络建设中选择OSPF乍为未来网络动态路由协议，选择OSPF主要有以下几 个原

37、因：1 标准开放性及成熟性OSPF是开放的标准协议，受到广大厂家设备及组织的支持， 也是目前网络构 建中用得最多的协议，也是在企业网中应用最广泛的IGP协议；因此其性能是经 受过考验及验证的。扩展能力分域功能非常适合网络扩展OSPF提供分域功能一方面保证路由转发效率，另一方面要提供很好的网络扩展能力。当然路由协议的选择也必须考虑本系统的整体规划， 本次方案选择的S7510E 产品具有丰富的路由协议支持能力，单播、多播路由协议包括 OSPF RIP、PIM 等都提供很好的支持，因此可以适应本系统的路由协议的选择。43 VLAN的划分划分VLAN的必要性VLAN是建立在各种交换技术基础之上的。所谓

38、交换实质上只是物理网络上的 一个控制点，它由软件进行管理，所以允许用户利用软件功能灵活地配置资源， 管理网络。利用交换设备中的虚网功能，不必改变网络的物理基础，即可重新配 置网络。采用虚网功能，网络性能可以获得较大的改善：虚网技术能对工作组业务进行过滤，有效地分割通信量，因而能更好地 利用带宽，提高网络总的吞吐量。采用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改布线，因为虚网技术是从逻辑角度而非物理角度来划分子网的，所以采用虚网技术能减轻系统的扩容压力，将迁移费用降至最小。采用虚网技术能有效隔离网络设备，增加网络的安全性和保密性。虚拟 网络的安全策略采用的主要协议为 IEEE8

39、02.1Q,此协议结合有鉴别和加密技术 以确保整个网络内部数据的保密性和完整性。虚网技术能对属于同一工作组的用户提供广播服务，但与传统的局域网协议所不同的是，虚拟局域网能限制广播的区域，从而节省网络带宽。虚拟局域网可以建立在不同的物理网络上， 用封装的办法支法支持不同的 网络协议络协议，如 SNMP NMP IPX、TCP/IP、IEEE802.33等，兼容性非常好 性非常好。虚拟网络中的主要应用技术为“虚网中继”， VLAN Trunking特有技术的 采用也成成为了必然。必然。简而言之， VLANTrunking主要是通过一条高速全 双工通道来实现将将一个LANSwitch端口所划分的不同

40、VLAN与其它LANSwitch 中各自相应的VLAN成员进行线路复用连接的技术。VLANTrunking技术的采用, 既节省了信道数据量，又提高了可靠性，并便于管理及方便连接，提高了整个网 络吞吐量和性能指标。其原理如下图所示：VLAN Trunking 技术VLAN 2 to VLAN 2V1V2V3V1V2V4V1V1V2V4200MbpsBandwidth200Mbps Ban dwidthVLAN 1 to VLAN 4如果采用VLAN trunking 的技术，则V1、V2、V3均可通过一条全双工的 100Mbps即200Mbps的速率与上级LANSwitch进行互通并经过位于树根

41、部的路 由器进行路由与其它的 VLAN进行通讯。VLAN trunking技术的优点在于采用一 条高速通道连接，提高了通道的使用效率，如在，如在V2, V3无数据量的情况下，V1可以独占此100M带宽；并且可以使得线路的连接变得简单，从而大大提 高可靠性与易维护性。划分VLAN的方法H3C公司的E系列接入交换机不仅能够支持标准的802.1Q VLAN,还能实现端口之间的隔离。我们可以使用E系列支持的P-VLAN( primary-vlan )这个特性，一方面实现 用户之间的隔离，另一方面可以为三层交换机节省 VLAN资源。E系列可以屏蔽 下面的VLAN划分,仅向三层交换机提供一个 VLAN信息

42、，在边缘交换机实现了端 口可以同时属于多个 Vlan ；如图所示：其中端口 1为uplink端口，端口 2，3，4为接入端口；Vlan 1 :包含端口： 1，2，3，4，5Vlan 2 :包含端口： 1，2Vlan 3 :包含端口： 1，3，4Vlan 4 :包含端口： 1，5设计中采用了几个secondary vlan 包含在一个primary VLAN中的方式，给 用户提供了灵活的配置方式。如果用户希望实现二层报文的隔离，可以采用了为每个用户分配一个secondary vlan的方式，每个vian中只包含用户连接的 port 和uplink port ;如果希望实现用户之间二层报文的互通，

43、可以将用户连接的端 口划入同一个 VLAN中;同时创建primary vlan，该vlan包含所有secondary vlan 中包含的端口和uplink端口，这样对上层交换机来说，可以认为下层交换机中 只有一个primary vlan ，用来标识设备，而不必关心 primary VLAN中的端口实 际所属的VLAN简化了配置，节省了 VLAN资源。primary vlan 中的所有端口都不是802.1Q的trunk端口，包括与其它交换 机相连的uplink 口。每个port的PVID就是它所属secondary vian的ID ；uplink 端口的 PVID是 primary vian 的

44、 ID；我们建议在接入交换机上根据各个部门之间的逻辑关系进行灵活的VLA N划分。可以让一个楼层对应于一个PVLAN楼层内的不同部门分属不同的 Sencondary VLAN。这种划分方式中，可以对用户能实现动态的VLAN+MAC+绑定，可对用户发动的伪造攻击报文进行合法性检查和过滤， 具有一定的网络安全 性保障。不同VLAN间的互访，必须经过三层交换机进行转发。VLAN规划我们建议按不同的业务使用主体来规划整个禹城人民医院的VLAN资源。女口:用户宿舍1、用户宿舍2、教师、校管理人员等。为了减小广播域，建议VLAN终结在汇聚层的三层交换机上，每个 VLAN内的 主机数量原则上不要超过250台

45、，建议每个VLAN内的PC机数量控制在50台以 内。VLAN的划分可以依据不同的业务部门进行也可以依据用户所处网络的物理 结构进行，后者主要是从网络性能角度出发，而前者还兼顾了网络安全性可控性 的需要。根据实际业务部门办公环境的分布情况来看，在大部分情况下，两者实现了重合，而对于少数由于办公地点不同，隔离在不同汇集点的相同业务部门， 我们则推荐第一种方式。将端口分配给VLAN的方式有两种，分别是静态的和动态的。静态VLAN形成静态VLANM程是将端口强制性地分配给 VLAN勺过程。确定哪些端口属 于哪些特定的VLAN然后将VLAN静态映射到端口。这是将端口映射到 VLAN的 一种最通用的方法。

46、对于用户宿舍，教师办公等用户相对集中的区域，建议采用 这种部署方式，将VLAN部署在用户对应的汇聚交换机端口上。动态VLAN我们知道，VLAN常常被规划用于对“资源访问权限”的分组，不同的 VLAN 具有不同的访问权限，每个VLAN内有一个IP地址网段，不同的VLAN/IP地址段 的用户，具有不同的访问资源的权限。用户权限数据一般存储在CAM或接入认证系统UA（后台综合访问管理服务器）中，CAM根据用户端的权限归类，在认 证通过之后向二层交换机作动态的 VLAND下发配置。此时，二层交换机要支持 VLAN的动态配置功能（H3C全系列交换机支持）。从广播控制角度出发，为了保障网络的高可用和高性能

47、，我们建议在进行具 体VLAN规划时，同一个广播域内（一个 VLAN的通信主机不要超过250台，最 好控制在50台以内，对于主机数量超过50的业务部门，我们通过二层隔离，三 层交换的方式来解决。管理VLAN作为特殊VLAN的典型，建议保留VLAN1作为管理VLAN管理VLAN覆盖到 全网的每一台交换机，但在第三层接口上，需要与其他业务VLAN进行有效的隔离。网管工作站建议另外设置一个 VLAN例如VLANID=4000,VLAN4000与VLAN1 在第三层上相通，同时，部分业务 VLAN可以访问VLAN4000从而实现网管的分 布式监控布局。VLAN1和VLAN4000的第三层路由接口处设置

48、访问控制列表，只 有特定的主机或者只有网管VLAN可以直接访问每一台设备，其他均在过滤之列。对于服务器建议单独设置在一个 VLAN中。业务VLAN可以按照部门的类别进行划分，每个部门划分一个VLAN部门人数超过50名的应该划分为两个 VLAN以保证交换的性能，业务 VLAN的命名建 议采用VLAN100作为第一个业务 VLAN然后按照数字序列进行划分，一直到 VLAN123本次建议在禹城人民医院网络中采用静态 VLAN划分方案来部署。44组播业务H3C S7510E、S5500 E系列通过标准的组播协议完成用户的组播管理，S7510E、S5500均可以支持丰富的组播协议，包括 ICMP PIM

49、 SM PIM DM MSDP等组播协议，可支持丰富的业务，包括视频点播、流媒体点播，可支持各 种流媒体终端以及组播源的种类。并可以并通过HGM协议将各楼道交换机也纳入到组播实现中。由S7510E、S5500完成对其下挂的汇聚交换机以及楼道交换 机的组播用户进行报文复制和发送。通过这种机制，使得整个网络的流量做到最 优，有效的保证了视频监控、视频教学、会议电视、视频点播等视频业务的开展， 通过组播实现的视频业务有：视频监控：通过IP线路将前端采集的视频监控信息传递到中心的存储设备 和监控显示平面。视频教学：使用视频和通讯设备实现一点对多点或点对点的交互式异地远端 教学，实现用户和教师的实时交流

50、，用户还可随时进行学习点播和查询。会议电视：利用网络和数字视像技术实现异地会议的交互传输和控制。视频点播：交互式电视的一部分，它使用户可以随意选择所需的视讯节目， 并可随意地控制节目播出（如快进、快倒、暂停等）。QoS设计为保证禹城人民医院网络各种业务的正常及时处理，需要对不同业务实施不 同的QoS策略。对于关键的核心业务的部分，需要优先保证这些业务的时延和带 宽；而对于其它业务来说，也应当有相应的QoS策略来提供不同的服务质量保证。针对禹城人民医院网络的应用环境，在边缘设备可以采用IP QoS复杂流分类技术对不同业务数据报文设置不同的DSCP/TO标记，并根据需要采用流量监管技术(CAR对带

51、宽进行限制；携带DSCP/TO标记的业务报文在核心层网络的 广域网路由器上，根据 DSCP/TO标识进行简单流分类，并根据不同业务设置的 DSCP/TOS标记，配置相应的队列以及队列带宽保证，由广域网路由器根据数据 流情况采用高效的队列管理技术(WRED/SARED以及队列调度技术(PQ/LLQ对 用户的需求做保证。建议在规划山东地税系统网络 QoS设计时，遵循以下的原则：正常情况下QoS是通过带宽来保证的，带宽利用率达到 60%可考虑扩容 网络设备的容量不成为瓶颈网络故障或突发流量情况下QoS策略生效任何时候都优先保证关键的实时业务QoS体系结构的选择为了在IP网上提供QoS IETF提出了

52、许多服务模型和协议，其中比较突出的有 IntServ (Integrated Services)模型和 DiffServ (Differentiated Services)模型。IntServ模型要求网络中的所有节点(包括核心节点)都记录每个经过的应 用流的资源预留状态，需要通过IP包头识别出所有的用户应用流(进行MF分类)， 同时为每个经过的应用流设置单独的内部队列以分别进行监管(Policing )、调度(Scheduling )、整形(Shaping)等操作。对于现在大型运营网络中的节点， 这种应用流(活动的)的数量非常庞大，会远远超出节点设备所能够处理的能力， 而且可扩展性差，仅适合在

53、小规模网络中使用。DiffServ模型的基本原理是将网络中的流量分成多个类，每个类接受不同的处理，尤其是网络出现拥塞时不同的类会享受不同的优先处理，从而得到不同的丢弃率、时延以及时延抖动。在 DiffServ 的体系结构下，IETF已经定义了 EF(Expedite Forwarding )、AF1-AF4( Assured Forwarding )、BE (Best Effort ) 等六种标准PHB(Per-hop Behavior )及业务。此外，有些厂商实现了基于 TOS的分类服务(COS，并且这类设备已经应 用在一些现有的运营网络。COSffi DiffServ类似，不过比DiffS

54、erv更简单，并 且不象DiffServ那样定义了一组标准的业务。DiffServ对聚合的业务类提供QoS保证，可扩展性好，便于在大规模网络中 使用。本次工程推荐使用DeffServ机制实现QoSDiffServ域将设备分为两类，边缘设备和核心设备，其中边缘设备承担了较 多的工作，如流分类、标记、带宽限制、拥塞管理、拥塞避免、流量整形等。如 果由单一设备全部处理，开销较大，容易形成网络瓶颈，因此需要将这些功能分 布到不同的设备上去，如流分类功尽量在边缘实现。DiffServ 模型：基于DiffServ的QoS模型如图所示:DS区域的服务提供 策略由PH缺定。内部节点边界节点边界节点流量控制SL

55、A/TCA用户网络用户网络内部节点在网络边缘进行业 务分类和流量调整。-业务分类. 基于DS域.基于其他特征-流量调整.测量. 标记. 丢弃.整形转发。DiffServ 网络DS节点根据PH嘱性对不同需求的用户提供不同的服务策略，最终实现端到端的SLA/TCA.SLA :服务等级协定，关于业务流在网络中传递时所应当获得的待遇。.TCA :流量调整协定，关于业务分类准则、业务模型及相应处理的协定。采用Diffserv/CoS的方法需要对所有的IP包在网络边缘或用户侧进行流分 类，打上Diffserv或CoS标识。DS域内的路由器根据优先级进行转发，保证高 优先级业务的QoS要求。骨干网络实施Di

56、ffserv/CoS，需要所有相关设备支持， 特别对边沿节点有很强QOS能力需求。QoS的实现机制山东禹城人民医院能够实现承载包括实时业务在内的综合业务的QoS特性，尤其对DiffServ 提供了基于标准的完善支持，包括流分类、流量监管(Policing )、流量整形(Shaping)、队列管理、队列调度(Scheduling )等， 完整实现了标准中定义的 EF、AF1-AF4 BE等六组PHB及业务。内部处理流程如下图所示：令牌QiicucN出QiLeue2FIFOPQ A 4VAB * i vaFiniffBa JL i FATVVtfV4 L 4 SW544. 完善的实验平台H3C公司

57、TSC中心建有全系列产品的实验室，能够根据用户提供的故障现象、 组网图、设备配置文件等信息，对用户的网络进行模拟，定位和解决问题。高效快捷的备件系统H3C公司技术支持部依托H3C公司遍布全国一级城市的28个备件库，能够 提供高效的备件服务。一旦设备故障定位是硬件故障，故障模块或部件可以及时 得到更换，使故障设备恢复正常运行。技术支持网站与技术支持论坛用户可以登录H3C公司的技术支持网站获取H3C公司销售的产品的技术资料 和服务信息。同时所有H3C公司的渠道销售伙伴、增值服务代理商、H3C网络认证工程师以及用户都可以注册到 H3C公司的专业技术论坛进行技术交流，并获取H3C公司技术专家的在线支持

58、。547.完备的技术支持资料开发系统H3C公司设有专门的资料部门，从事产品用户手册、安装手册和其它技术资 料的组织、编辑和出版。H3C公司技术支援部还负责常见故障处理、疑难问题处 理、高级配置案例、工程项目和质量管理、网络规划等高级技术支持资料的开发 和发布。具有相应权限的用户在网站上都可以下载使用相关资料。禹城人民医院解决方案特点H3C禹城人民医院组网解决方案的优点有以下几点：全分布的处理方式S7506E为用户提供完全的分布式的处理方式，禹城人民医院的网络内部的 数据量是非常大的，因此主交换机是否能够做到线速关系到整个网络的是否会发 生拥塞。再次,分布式的转发，对于S7506E路由查找是非常

59、有益的补充。因为S7506E 的路由查找模式为最长匹配。这样就可以避免网络内外的非法用户利用专门的攻 击软件来攻击中心交换机，因为这种攻击是通过不断变换自己的本网断内的IP地址，来不断消耗主控处理板的CPU处理能力，直到彻底使主控处理板的CPU丧失处理能力，整个机器瘫掉。但是 S7506E是根据最长匹配来查找路由的，是 针对网段进行路由的。所以当攻击者进行攻击时，S7506E只能造成该接口板的业务能力处理下降，但是对于整机没有多大影响。这是我们选则S7506E的作为核心交换的非常重要的原因。核心交换机先进的体系架构设计网络的背板技术经历了共享式、缓存式等发展，Crossbar技术被公认为最为完

60、美的一种设计方式，H3C公司S7500E交换机采用背板采用分布式Crossbar 的技术，整机的转发不存在任何的瓶颈问题，同时，可实现背板容量的平滑升级， 除背板采用Crossbar的方式，在接口板上，H3C公司S7500E万兆核心交换机采 用分布式Crossbar的技术，即在每个业务单板上面也同样采用 Crossbar的技术， 端口与端口之间的转发均有可直达的端到端转发通道，使得端口之间的转发不存在在任何瓶颈，大大提高了核心交换机的整机转发性能。基于流攻击的防止。H3C所采用产品S7506E三层转发模式均为最长路由匹配技术。这样就可以 避免网络内外的非法用户利用专门的攻击软件进行的一些基于流