XX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案

XX医院综合楼弱电及系统集成工程项目计算机网络系统设

计方案xxx医院综合楼弱电及系统集成工程项目计算机网络系统设计方案xxx医院综合楼弱电及系统集成工程项目计算机网络系统设计方案目录1项目概述 42系统概述 43设计原则 44系统设计方案 5产品选择说明 5设备应用规模及稳定性、兼容性 6完善的研发体系和全系列的网络产品 73健全的服务支持和培训认证体系 7统需求分析 82.1医院业务划分 •••••••••••应用系统分类 8医院业务系统的需求 94.2.4网络建设需求 104.2.5核心层需求分析 114.2.6接入层需求分析 114.3系统设计 124.4系统内网设计 134.1内网建设需求 134.2内网设计及规划 144.5系统外网设计 155.1外网建设需求 155.2外网设计及规划 155产品选型 170.1核心交换机选型 17第1页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案2接入交换机选型 215.3路由器选型 25 5.4入侵防御系统选型 306网络管理 351网络管理建设需求 356.2IMC特性与系统结构 ....376.2.1iMC特性 37 6.2.2面向服务的架构 386.2.3基础资源管理 386.2.4身份与接入管理 ……386.2.5端点准入安全管•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••386.2.6VPN管理 386.2.7网络智能分析 386.2.8安全策略中心 396.3IMC系统结构 396.4智能管理的部署 39 6.4.1系统安全管理 396.4.2资源管理 406.4.3拓扑管理 416.4.4故障（告警/事件）管理 466.4.5性能管理 516.4.6设备管理组件 546.4.7WSM无线业务组件 557EAD解决方案 587.1技术背景 58 7.2EAD方案介绍 587.2.1EAD端点准入防御方案介TOC\o"1-5"\h\z绍 597.2.2EAD端点准入防御方案特点 60第2页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案2.3桌面资产管理方案介绍 632.4桌面资产管理功能特点 658存储系统 661系统说明 66 8.2产品选型 672.1服务器 •••••••••••••••••••a ^58.2.2主存储系统 698.2.3灾备磁盘阵歹U 698.2.4网关 70第3页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案1项目概述XXX医院医疗综合楼总体分为:地下一层为设备用房，一、二、三、四层为大厅及门诊，五层为血透中心，六、七层为内科护理标准层，八层、十一层为内科、外科护理单元，九层为儿科护理单元，十层为骨科护理单元，十二层为妇科护理单元，十三层为产科护理单元，十四层为产房、ICU、手术准备层，十五层为手术层，十六层为手术设备和电梯机房层。大楼总建筑面积约2万？，建筑高度66.40米，属于一类高层建筑。2系统概述本局域网(LAN)主要为医院提供Internet接入和设备的联网需求。(1)设备产品选用著名华三H3C品牌产品。(2)充分考虑网络安全，该系统具备拒绝访问攻击(DOS)的防护。能实现交换机、防火墙/IDS/IPS联动与网管软件联动，自动的实现对网络蠕虫和黑客攻击防范和屏蔽。3设计原则基于XXX医院目前网络现状和未来业务发展的要求，在XXX医院网络设汁构建中，应始终坚持以下建网原则：1、实用性:整个网络系统具有较高的实用性；2、时效性：网络应保证各类业务数据流的及时传输，网络时效性要强，网络延时要小，确保业务的实时高效；3、可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持医院各业务系统的正常运行。必须满足7X24X365小时连续运行的要求。在故障发生时，网络设备可以快速自动地切换到备份设备上；4、完整性：网络系统应实现端到端的、能整合数据、语音和图像的多业务应用，满足全网范围统一的实施安全策略、QoS策略、流量管理策略和系统管理策略的完整的一体化网络；5、技术先进性和实用性一保证满足医院应用系统业务的同时，乂要体现出第4页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到医院网络目前的现状以及未来技术和业务发展趋势。6、高性能一医院网络性能是医院整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图像）的高质量传输，才能使网络不成为一眼业务开展的瓶颈。7、标准开放性一支持国际上通用标准的网络协议（如IP）、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络（如公共数据网、金融网络、外联机构其它网络）之间的平滑连接互通，以及将来网络的扩展。8、灵活性及可扩展性一根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。网络要具有面向未来的良好的伸缩性能，既能满足当前的需求，乂能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求。9、可管理性一对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析功能以及可提供故障自动报警。10、安全性一制订统一的骨干网安全策略，整体考虑网络平台的安全性。能有效防止网络的非法访问，保护关键数据不被非法窃取、篡改或泄漏，使数据具有极高的安全性；4系统设计方案产品选择说明按照标书的要求，在充分研究XXX医院网络项目的需求的基础上，我们对目前业界的主流的网络厂商，H3C、CISCO、北电等做了较为详细的对比研究，综合考虑厂家产品及解决方案在政府及其他行业特别是在公检法系统的应用规模、产品技术

的先进性、成熟度及兼容性、公司的研发实力和服务体系保障等因素，我们建议采用杭州华三通信技术有限公司（以下简称H3C公司）的网络产品作为此次项目的组网设备。根据标书的技术指标要求，H3c公司可以提供全线的包括交换机、路由器以及安全产品等性价比非常高的产品来满足此次项目的投标。投标所使用的设备第5页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案性能指标均满足标书要求。设备应用规模及稳定性、兼容性H3C公司的网络产品目前已经广泛应用与全球的各个行业中，截至2007年1季度H3C公司在中国市场高端路由器的市场份额为34.8,,中低端路由器为32.6,（数据来源于CCID2007年4月）,名列前茅。截至2007年1季度H3C公司在中国市场交换机的市场份额为40.3%（数据来源于CCID2007年4月），排名第一。

目前H3c的全系列产品进入英国、德国、香港、俄罗斯、巴西、泰国、墨西哥等六十六个国家和地区，并承建了中国电信、中国移动、英国、泰国、巴西等14个国家级IP骨干网。H3C目前在国内的整个电子政务IT系统建设中已经得到了大规模的应用。大规模的应用不但大大拉近了用户和H3C公司的距离，使得H3c公司能够更快更好为市场、为用户提供产品，同时也验证了H3c公司产品的稳定性和兼容性。目前H3c的全系列网络产品在税务系统的应用已经超过30个省、市，其中在省骨干的规模应用已经超过20个省市、自治区及直辖市。第6页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案4.1.2完善的研发体系和全系列的网络产品H3c每年将销售额的15,以上用于研发投入，在中国的北京、杭州、深圳以及印度的班加罗尔设有研发机构，在北京和杭州设有产品鉴定测试中心。目前，H3C已申请专利超过700件，其中80,是发明专利。H3c目前从事IP产品技术研发的研究所有6个，包括北京研究所、杭州研究所、印度研究所、南京研究所、深圳研究所、美国研究所，研发人员超过2000人。印度所、南京所、中央软件部、上海研究所等都通过“软件研发成熟度”最高级的CMM5级国际认证，北京研究所、杭州研究所通过CMM4级国际认证。H3c不但拥有全线路由器和以太网交换机产品，还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。目前，安全产品中国市场份额位居前三，IP存储亚太市场份额第一，IP监控技术全球领先，H3c已经从单一网络设备供应商转变为多产品IToIP解决方案供应商。因此选择该厂商的网络产品能够有效的保障用户在网络建设方面的延续性和持续性。.3健全的服务支持和培训认证体系H3C公司建立了遍布全国的服务机构。除公司总部设有完备的技术支援平台外，H3c还在全国建立了36个售后服务中心，建有完备的技术支援平台和备件系统，通过先进的通信技术与总部的技术支援平台连接，完成用户信息、故障处理流程、备件库存、产品分布等信息的共享，形成覆盖全国地市级城市，专职人员规模超过200人的技术支援体系。同时还在各省市派遣有售后服务工程师，以提高售后服务的响应速度。H3c技术支持支援平台拥有一批高素质的服务队伍，所有服务人员都具有本科以上学历，且有3年以上大型网络服务经验。为了满足不同客户不同层次的培训需求，H3c服务公司建立了规范、专业的用户培训体系，将总部培训与分部培训、集中培训与现场培训有机结合。目前.，在数据通信网络技术领域，H3c培训面向全球，致力于培养专业务实网络人才。考虑客户不同层次需求，提供全系列的网络产品培训I,网络技术认证培训和客户化培训解决方案。同时建立起国际规范的完整的网络技术认证体系。在中国建立30余家授权培训中心，海外建立7家授权培训中心;覆盖中国各大中心城市以及拉美、亚太、中东、北非、俄罗斯等地区和国家。第7页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案在中国建立60余家网络学院，海外建立1家网络学院。与40余所职业院校建立合作，支持中国职教IT专业课程改革项目。鉴于以上几个主要原因，我们在此次投标中选用了H3c公司的网络产品做为此次投标的网络产品。系统需求分析.2.1医院业务划分医院的业务系统有很多，而且不同的专科医院业务系统也有很大区别，但以下一些业务系统是医院都具有的：1）门诊系统2）住院系统3）体检系统4）PACS系统5）医院管理经济系统6）区域医疗系统.2.2应用系统分类医院信息系统主要分成以下两类：1）医院管理系统,门、急诊挂号子系统，门、急诊病人管理及计价收费子系统,住院病人管理子系统,药库、药房管理子系统,病案管理子系统,医疗统计子系统,人事、工资管理子系统,财务管理与医院经济核算子系统,医院后勤物资供应子系统,固定资产、医疗设备管理子系统,院长办公综合查询与辅助决策支持系统第8页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案2）临床医疗信息系统,住院病人医嘱处理子系统,护理信息系统，门诊医生工作站系统,临床实验室检查报告子系统,医学影像诊断报告处理系统,放射科信息管理系统,手术室管理子系统,功能检查科室信息管理子系统,病理卡片管理及病理科信息系统，血库管理子系统,营养与膳食计划管理子系统,临床用药咨询与控制子系统4.2.3医院业务系统的需求1）门诊系统门诊业务作为医院直接面对患者的窗口具有非常重要的地位和自己的特点（包括焦急的病人无法忍受长时间的等待、门诊业务主要集中在上午等），门诊业务具有可靠性高、并发性、实时性和突发性强等特点。因此门诊业务对网络提出了高可靠性、高带宽和QoS的要求。2）住院系统住院业务是医院的另一个主要组成部分，是医院经济收入的主要来源，同时还直接关系到重病患者的生命安全，具有以下几个特点：住院业务的网络上流动着重症病人生命数据和各种新业务数据；住院业务保存有患者病案数据和住院费用数据；医生移动查房；病人呼叫系统；网上视频监控系统；针对住院业务的以上特点，住院业务对网络提出了高可靠性、安全存储、QoS和无线局域网、VoIP和视频会议系统的需求。第9页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案3）体检系统现在很多医院建立专门的体检大楼，以满足民众不断扩大的体检需求。从业务角度上讲体检系统非常简单，它对网络的需求主要体现在安全性上，如何保护体检服务器上体检人员数据安全和体检大楼网络安全是医院体检系统解决方案所关注的。4）PACS系统医院的PACS系统主要是完成对患者的各种影像数据进行采集、存储、传输和处理，并在全院范围内进行共享，由于是各种图形图像数据，因此具有存储量大的特点，为了更好的服务于医院业务，PACS业务对支撑系统提出以下要求:存储量大、扩展性强、数据快速存储、数据容灾、高带宽5）管理经济系统医院管理经济系统主要是人、财、物的管理，包括人事、财务管理、药品药库管理等，因此它最大的需求是数据在服务器端和网络上的安全，保证这些数据不会泄露。6）区域医疗系统一方面为了发挥中心医院的辐射和覆盖作用，另一方面充分利用各家医院的特色科室的力量，区域医疗把这些资源进行共享和整合，这需要稳定的广域网连接。根据初步的需求，我们按照内外网物理分离的原则进行设计。4.2.4网络建设需求1、为HIS、PACS等应用系统提供一个强有力的网络支撑平台；、网络设计不仅要体现当前网络多业务服务的发展趋势，同时需要具有最2灵活的适应、扩展能力；3、全千兆网络带宽；4、一体化网络平台：整合数据、语音和图像等多业务的端到端、以IP为基础的统一的一体化网络平台，支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理；5、建设一个可管理、支持无线应用的系统；6、建设一个安全管理平台。第10页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案4.2.5核心层需求分析核心层设备担负着整个网络的流量。在网络核心层的流量是非常巨大的，所有的服务器均在网络的核心层提供相关的服务。对网络核心层的压力非常巨大。同时网络对安全性、稳定性的要求极高，由于网络也基本是一个金字塔的形状，那么最需要稳定的就是金字塔的顶端，即网络的核心层。网络核心层同时需要对网络的接入层提供不同的网络层的路由规划和信息转发的功能，同时还需要保证不同级别的网络QoS,对于服务器的关键业务通过链路级和网络级的协议实现严格的控制和优先级的保证。对于网络级的保护通常时间是非常长的，那么对一些关键业务，我们就必须通过结合二层快速收敛的协议一起来完成对网络安全性的提升和网络的自愈能力。设备必须支持对不同部门的规划，如实现全网统一VLAN的规划等。对每个系统分配不同的VLAN并且针对不同VLAN实现不同的安全和控制的策略等。但是在自身的网络核心层需要通过完全的三层策略来进行VLAN的终结和三层数据的交换工作，建议采用二层和三层协议相结合的方式共同实现网络的规划工作。2.6接入层需求分析网络的接入是对用户直接进行数据透传的层次，但是由于网络的特殊性，本次的接入层主要是对一个局域网进行接入。对本次的接入层的主要需求的分析如下：(1)、接入层用户数量的大直接产生大量的数据报文，直接通过三层的数据承教上来，同时造成碰撞域和冲突域，使网络瓶颈产生于网络的低层，直接影响接入质量。(2)、接入层用户数量大，而所应用的数据种类繁多，多种网络业务流量的产生，包括组播业务的产生，对所接入的网络设备要求很高，使整个接入层产生了一个业务接入瓶颈。(3)、网络的访问终结于共享数据的特定位置，因为接入层用户需要通过网络最终访问位于网络另一端的共享服务器，而多个用户同时访问远端的同一台服务器或者存在访问网络的其他节点的服务器，就需要这几个用户争抢网络带宽，使接入层瓶颈提升到核心层，造成核心层资源的浪费。并且根据网络流量的分析第11页XXX医院综合楼弱电及系统集成匚程项目计算机网络系统设计方案得出用户的访问方向是不规则的，网络一定会出现闲置的带宽的现象，如何规划路由将非常重要。(4)、网络流量和网络流向是宽带网络的一个新瓶颈。对于宽带网络接入，接入层网络的通常是以新2/8原则来划分的，其中有20%的流量是在接入层交换机的内部进行交换的，而80%的网络流量是通过上联出口访问其他的网络设备。这里，就涉及到网络产生流量后，网络流向的问题，网络流向直接造成网络对于流量和流向所产生的网络瓶颈。(5)、网络用户是局域网用户，实际接入的用户就是一个网络，那么对于不同网络之间的互访的安全性控制更是由为重要，同时各个不同的机关对本机关内部流通的部分文件是要求要有绝对的安全性的，对其他部门的用户的访问是分为很多的不同的级别的。3系统设计目前，HIS系统在很多医院已经部署，很多传统业务都逐渐迁移到网络上，对网络的性能、安全和稳定提出了很高的要求，主要体现在以下几个方面：1)可靠迅速的响应以提供更好的医疗服务一般大医院每天的门诊量很大，HIS系统每天对后台数据库的调用非常频繁，会产生很大的数据流量，如果这种访问流量出了问题而导致无法正常进行收费和医疗诊断，会产生严重的社会后果，因此医院对网络的访问性能有很高的要求。2)安全的业务数据保证医院正常对外服务在医院的业务系统中保存着大量患者的健康信息和过程费用信息，这些数据无论对患者还是医院都非常关键，需要严格保密，因此如何保护这些数据，对医院有着重大的意义。3）高效的管理推动系统的稳定，提高维护的效果HIS经过几年的建设，已经初具规模。如何管好整个医院的业务系统，包括用户、服务器、数据库、存储设备和网络等，提高医院管理效率，保证医院网络的正常运转已经成为医院急需解决的大问题。4）医院数据的安全存储医院需要存储包括病人信息、病案信息、费用信息和影像等数据，对数据存第12页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案储的安全性和扩展性要求非常高。5）区域医疗的建设为了在区域范围内实现远程会诊、网上学术研讨等业务，迫切需要医院之间的资源共享。4.4系统内网设计内网建设需求内网是医院核心网络系统，用于开展日常医疗业务（HIS、LIS、PACS、财务、体检系统等）的内部局域网，系统应稳定、实用和安全，具有高宽带、大容量和高速率等特点，并具备将来扩容和带宽升级的条件。,医院网络建设需求：1、实现千兆主干，桌面接入实现100/1000M自适应（传输图像的桌面直接实现1000M接入）;2、配备的网管软件应提供可视的形象化的图形界面，对整个网络中网络产品的全部端口进行监视和管理；3、核心交换机与汇聚接入交换机互联采用双星型结构；4、外科楼、门诊楼布置无线AP,可为无线查房，病人上网提供接入服务；5、由于医疗行业的特殊性，医护人员和病患者之间需要频繁地在院内移动、同时处理大量的信息，要求网络具备可移动性、传输速率高等特点。同时考虑到医院业务量的增加，网络需要留出足够余地扩容而不影响医院正常的作。,网络应用设计要求：1、院内核心网络系统HIS、PACS和LIS、体检系统等应用分别单独组网。以子网的形式组成医院的整体网络。各网络功能独立应用，信息互通，资源共享；当任何一个子网出现故障，都不会影响到其他子网的使用。2、传输动态图像的部门有:放射影像科、PET/CT、核磁共振MRI、介入放射科DSA、B超室、心超室、脑超室、心电图室、肌电图室、胃肠镜室、内窥镜室、重症监护室（ICU、CCU等）、手术室、麻醉科、视频示教室和会议室等。3、为了更好地服务于医疗科研工作，需要将各类监护治疗仪器上的各项生命体征等信息以数字化手段采集并且保存下来，在需要时，可随时还原。因此，考虑将医院所有的监护仪器和大型设备都联网。第13页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案4.4.2内网设计及规划内网是整个医院的核心网络，开展医院日常重要的医疗业务，对网络的可靠性、稳定性要求非常高，本次设计的网络按照千兆带宽（可扩展万兆交换平台），内网核心交换机双机冗余、负教分担。网内拓扑设计采用二级双星型架构，分为核心层、接入层。核心层位于机房网络的中心，负责全网的路由交换，并与各服务器、存储等核心医院应用相连;接入层位于各大楼内的楼层，负责直接接入桌面系统，本次内网采用千兆双绞线到桌面，与核心层进行千兆光纤连接。合肥市第五人民医院内网拓扑结构图核心后 媒人居 1、核心交换机由两台S7510E组成双星型网络，当任意一条链轮或任意一台设备出现问题时，保证网络正常运行；2、汇聚层采用S5120-EI汇聚交换机，通过双千兆光纤与核心交换机互联，保证链路的可靠，千兆与接入层交换机互联。3、接入层，千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一，在诸如医疗行业的会诊、医疗影像、医疗科研协作等，应用在消耗大量带宽的同时，也第14页XXX医院综合楼弱电及系统集成J2程项目计算机网络系统设计方案在追求终端用户的满意度，基于双绞线的千兆以太网可以将更多的应用从低速链路中解放出来，并且为医务工作者创新提供了一个崭新高效能工作平台。4、无线:考虑到整体的无线接入点数量很多，建议使用FitAP加AC控制器的方式，AC控制器部署在核心交换机，以AC无线控制器插卡的方式公用核心交换机的资源，做到有线、无线一体化的融合网络解决方案，采用瘦AP组网方式，医护人员在使用无线网络中能做到无缝漫游。5、管理:智能管理中心iMC,具备网络拓扑、网络性能、网络配置、网络安全、网络告警、网络业务的统一管理，同时在其上可以配置有多种业务管理组件，本次配置有线无线一体化管理组件WSM,方便管理大规模的无线管理网络;端点准入解决方案(EAD)在身份接入基础上，支持安全状态评估、网络安全威胁定位、安全事件感知及保护措施执行等，预防因未打补丁、病毒泛滥、ARP攻击、异常流量、非法软件安装和运行等因素可能带来的安全威胁，并可根据终端的安全状态实现终端VIP、Guest,隔离、下线等多种控制策略。从端点接入上保证每一个接入网络的终端的安全，从而保证网络安全。4.5系统外网设计4.5.1外网建设需求1、实现千兆主干，桌面接入实现100/1000M自适应(传输图像的桌面直接实现1000M接入);2、核心交换机与接入交换机互联采用星型结构；3、防问互联网时采用一定的安全手段，如防火墙和IDS;4、能够提供强大的网络防问控制，路由功能。5.2外网设计及规划由于外网主要用于医院0A办公、图书馆信息查询，外网相对于内网来说可靠性要求相对级别次低一级，初期按照采单核心交换机、双引擎、白兆接入到桌面设计，采用接入直接到核心的简洁二层结构，根据用户后期细化可靠性需求、链路冗余性需求后，再做进一步调整。第15页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案合肥市第五人民医院外网拓扑结构图在接入层，选用H3cS5120系列千兆交换机，H3CS5120-EI系列交换机具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。通过H3c特有的IRF(智能弹性架构)功能，用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为千兆接入，同时还可以用于数据中心服务器群的连接。在核心层，选用S7506E作为外网的核心交换机，S7500E作为高端多业务路由交换机，融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时.,保证了网络最大正常运行时间，从而降低了客户的总拥有成本(TCO)。在网络出口处部署网神千兆防火墙，网神企业级千兆防火墙SecGate3600-G7T是一款接口数目多、配置灵活、网络适应性好的千兆防火墙产品。产品基于自主开发的SecOS,在高性能硬件平台的支撑下，处理能力可达4Gbps;在出口路由器上采用H3cMSR5060,该系列产品可以为大型分支机构提供高性能、多业务的一体化网络方案，也可以作为大中型企业的核心网络设备，完成数据、语音、视频等多种流量的广域网交互。MSR50针对安全数据连接进行设计，采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎，大大提高产品的数笫16页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案据加密性能，同时节省接口插槽。另外，MSR50系列路由器还通过集成以太网交换模块提供二层数据交换功能，实现了真正的路由交换一体化解决方案。5产品选型5.1核心交换机选型核心交换机选用H3C的S7500E系列交换机有如下特点：一、丰富的业务，适应融合业务网络发展趋势全面的MPLS业务能力H3CS7500E所有产品均支持Multi-VRF特性，可以做为MCE设备使用；支持三层的MPLSVPN和二层的MPLSVPN(Martini.Kompella等),可扩展支持VPLS技术;支持MPLS0AM特性，方便用户的管理和维护；支持VP\组播；与H3cMPLSVPNManager配合，实现图形化的MPLS部署与维护。线速的IPv4/IPv6业务能力H3CS7500E支持IPv4/IPv6双协议栈，支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案;H3cS7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发;H3cS7500E已经通过了信息产业部的IPv6入网认证和IPv6Ready第二阶段金色认证，是成熟商用的IPv6产品。有线无线一体化，有源无源一体化H3CS7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPV6的支持等;无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。H3CS7500E是业界最高密度的以太网无源光网络(EP0\)设备，单台最大可接入10240个FTTH用户；H3cS7500E是高可靠的EP0\系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。支持Portal认证H3CS7500E支持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD安全认证功能;可以在大中型的校园第17页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。二、灵活的配置，适应各种应用场景配线间融合业务网络的最佳选择H3CS7500E针对配线间的需求定制开发了SA板卡，单台设备可以提供480个千兆线速接口和4个万兆线速接口。H3CS7500E支持端点准入防御解决方案，解决终端安全问题；内置2800W电源直接提供PoE功能，对IP语音和无线接入提供良好的支持。政府电力城域网边缘和汇聚的最佳选择H3CS7500E支持Multi-VRF特性，为用户提供高可靠高性能的MCE设备;通过配置SalienceVI-Turbo引擎，可以提供集中式MPLS业务功能，适合在城域网边缘作为高性价PE设备使用；通过配置EA类板卡，可以提供分布式线速的MPLS业务功能，适合在城域网汇聚层作为高性能的PE使用。IPv6网络的最佳选择H3CS7500E所有SalienceVI引擎都可以提供集中式IPv6功能,H3CS7500E针对IPv4/IPv6高性能的要求还开发了分布式IPv4/IPv6转发的SC板卡，在整机满配置状态下实现线速无收敛，为高校用户提供了高性能低成本的双栈汇聚核心设备，同时也满足其他行业用户IPv6Ready的需求。三、全方位的安全保障，抵御多种网络安全威胁三平面安全保障机制H3CS7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全:在控制平面，内置协议报文攻击识别模块，防止TC\、ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSHV2,基于802.lx、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面，支持IP、VLAN、MAC和端口等多种组合精细绑定;支持uRPF单播反向路径转发,防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。H3CS7500E还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。有线无线全面支持EAD第18页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案H3CS7500E是EAD端点准入防御解决方案的重要组成部分，S7500E可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。H3CS7500E既支持有线终端用户的EAD,也支持无线终端用户的EAD,能够做到终端安全防范无漏洞。增强的ACL特性H3CS7500E系列产品支持强大的ACL能力：支持标准和扩展ACL;支持基于VLAX的ACL,方便用户配置，节省ACL资源;支持出方向和入方向的ACL,每板最大可支持9K条ACL,满足金融等行业访问权限严格控制的需求。四、电信级的高可靠性，保障用户业务长期稳定运行电信级高可靠性设计H3CS7500E采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;H3cS7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999,的电信级可靠性。多业务高可靠性运行H3CS7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路lib可帮助用户建立多条等值路径，实现流量的负教均衡及冗余备份;支持RRPP快速环网保护协议，提供小于200ms的环网故障保护；支持Smart-Link协议，保证双上行网络拓扑的业务亳秒级快速切换。通过上述技术，H3CS7500E可以在承载多业务的情况下不间断运行，实现业务的永续。支持热补丁技术H3CS7500E能够在不重启设备的前提下，通过热补丁技术，在线修改软件BUG,增加新的业务特性。H3CS7500E提供控制补丁单元状态切换的用户命令，使用户能够方便的加载、激活、去激活、运行或删除补丁单元。通过热补丁技术，降低了设备需要重启的次数，为客户提供更长的网络正常工作时间。主机机箱（含系统软件、热拔插风扇）1台;业务引擎1个，交流电源2块，千兆SFP插槽24个，千兆RJ45接口24个，配置千兆单模光纤模块24个，配套支持IPv6、MPLS技术完整版软件;配置无线控制器业务板1块（两台核心交换只需一块）。第19页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案，机箱插槽式交换机，分布式体系结构，模块化设计，核心交换机配置的所有业务板均须支持分布式MPLS,Crossbar非阻塞交换阵列，最大交换容量？1150Gbps,交换机IPV4包转发速率？780Mpps,背板带宽？2.4Tbps，配置冗余引擎后，业务接口的插槽?10。,整机总插槽?12,千兆电口和百兆电口支持PoE特性，便于扩展多媒体业务，三层1000M线速交换设备，支持万兆接口。,支持带万兆接口的管理引擎模块。，支持双主控引擎冗余备份，两块电源即可提供电源冗余。，支持IPv6的ASIC代理技术，使不支持IPv6的板卡借助这项技术能够支持IPv6报文的硬件转发。，配置的单业务板1000M同时可用端口数不少于24个。,通过IPv6Ready第二阶段金牌认证，并提供查询网址和测试机构正式证明函扫描件。,整机最大支持1000M端口数?90个。,IPv4路由表容量？120K,IPv6路由表容量？120K,MAC地址表？120K,必须支持DHCPServero,支持IP+MAC+VLAN+PORT的任意组合绑定。,硬件支持分布式IPv6线速处理，并提供中文版IPv6路由协议和隧道协议的操作手册和命令行手册，其中路由协议必须支持RIPng、OSPFV3,IPv6IS-IS和IPv6BGP,隧道协议必须支持IPv6手动隧道、6t隧道和ISATAP隧道；支持MLDSnooping和IPv6PIM。，支持路由协议的多实例特性，VRF数量不小于32个。,内置DHCPServer,可对用户分配IP地址。,支持DHCPSnooping,防止欺骗的DHCP服务器；,支持动态ARP检测，防止中间人攻击和ARP拒绝服务；，支持BPDUguard,Rootguard;支持uRPF（单播反向路径检测），杜绝IP源地址欺骗，防范病毒和攻击,所有模块、风扇、电源支持冗余和热插拔,支持802.lx,radius认证。,支持中文图形化网管，网管提供用户和设备一体化管理功能，可以直接第20页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案提供RadiusServer,支持基于第二层、第三层和第四层的ACL,平均每板提供AC1条日数不小于4000条；支持VLANACL和IPv6ACL;支持出方向ACL,以便于灵活实现数据包过滤；支持IEEE802.lxLAN用户认证，802.lx动态VLAN分配;支持Portal认证并提供中文版操作手册;支持IP/Port/MAC的绑定功能,支持防火墙模块，吞吐量?6G,并发连接数?200万，每秒新增连接6万。提供?2Gbps以上VPN加密功能。,支持千兆级入侵防御模块，支持千兆负载均衡业务模块，支持SSL业务板模块，投标文件中应提供产品彩页。提供信息产业部IPv6、IPV4入网证2接入交换机选型接入交换机建议选用H3C公司的S5120-EI系列，该交换机具有如下特点：随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条10GE链路将是我们的未来发展方向。S5120-EI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持1OGE的扩展能力，尽力保护用户投资。S5120-EI系列支持IPv4和IPv6的三层路由功能，并可以实现基于硬件的IPv4和IPv6的全线速转发。同时支持IPv6的ACL和网管，实现IPv4到IPv6的平滑升级。智能弹性架构H3CS5120-EI系列交换机支持IRF2（第二代智能弹性架构）技术，就是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处：,简化管理IRF架构形成之后，可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。,简化业务第21页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算，而随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。,弹性扩展可以按照用户需求实现弹性扩展，保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”，不影响其他设备的正常运行。IRF的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了链路的可靠性;IRF系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master,以保证通过系统的业务不中断，从而实现了设备级的备份;IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：\的协议可靠性。,高性能对于高端交换机来说，性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。,完备的安全控制策略H3CS5120-EI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3CS5120-EI系列交换机支持对试图接入网络的用户进行802.lx认证。可以在交换机上对802.lx客户端的版本和有效性进行验证，防止非法用户登录网络。支持集中式MAC地址认证，可以基于端口和MAC地址对用户的网络访问第22页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案权限进行控制的认证方法，它不需要用户安装任何客户端软件，而且可以同时运行802.lx认证和基于MAC地址认证。提供GuestVian功能，使得为被授权的访问端只能接入访问特定的资源，并且会采取相应的策略，例如可以获得802.lx客户端、升级客户端或者获得其他的升级程序等等。支持SecureShellV2(SSHV2)特性可以提供安全的信息保障和强大的认证功能，以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。,丰富的QoS策略H3CS5120-EI系列交换机支持支持L2(Layer2)"L4(Layer4)包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP、WRR、SP+WRR三种模式。支持CAR功能，粒度最小达64Kbpso支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。,出色的管理性H3CS5120-EI系列交换机支持SNMPvl/v2/v3(SimpleNetworkManagementProtocol),可支持OpenView等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET,HGMPv2集群管理，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。H3CS5120-EI系列交换机支持基于MAC地址划分VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和VLAN下发ACL策略，在简化用户配置的同时:也大幅节约了硬件资源。,机箱插槽式交换机，分布式体系结构，模块化设计，核心交换机配置的所有业务板均须支持分布式MPLS,Crossbai'非阻塞交换阵列，最大交换容量？1150Gbps,交换机IPV4包转发速率?780Mpps,背板带宽?2.4Tbps,整机总插槽?12,配置冗余引擎后，业务接口的插槽?10。,千兆电口和百兆电口支持PoE特性，便于扩展多媒体业务,三层1000M线速交换设备，支持万兆接口。,支持带万兆接口的管理引擎模块。,支持双主控引擎冗余备份，两块电源即可提供电源冗余。第23页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案，支持IPv6的ASIC代理技术，使不支持IPv6的板卡借助这项技术能够支持IPv6报文的硬件转发。，配置的单业务板1000M同时可用端口数不少于24个。,通过IPv6Ready第二阶段金牌认证，并提供查询网址和测试机构正式证明函扫描件。,整机最大支持1000M端口数?90个。,IPv4路由表容量？120K,IPv6路由表容量？120K,MAC地址表？120K,必须支持DHCPServero,支持IP+MAC+VLAN+PORT的任意组合绑定。,硬件支持分布式IPv6线速处理，并提供中文版IPv6路由协议和隧道协议的操作手册和命令行手册，其中路由协议必须支持RIPng、OSPFV3,IPv6IS-IS和IPv6BGP,隧道协议必须支持IPv6手动隧道、6t。4隧道和ISATAP隧道;支持MLDSnooping和IPv6PIM。，支持路由协议的多实例特性，VRF数量不小于32个。,内置DHCPServer,可对用户分配IP地址。，支持DHCPSnooping,防止欺骗的DHCP服务器；,支持动态ARP检测，防止中间人攻击和ARP拒绝服务；，支持BPDUguard,Rootguard;支持uRPF（单播反向路径检测），杜绝IP源地址欺骗，防范病毒和攻击,所有模块、风扇、电源支持冗余和热插拔,支持802.lx,radius认证。,支持中文图形化网管，网管提供用户和设备一体化管理功能，可以直接提供RadiusServer,支持基于第二层、第三层和第四层的ACL,平均每板提供AC1条目数不小于4000条；支持VLANACL和IPv6ACL;支持出方向ACL,以便于灵活实现数据包过滤；支持IEEE802.lxLAN用户认证，802.lx动态VLAN分配;支持Portal认证并提供中文版操作手册；支持IP/Port/MAC的绑定功能，支持防火墙模块，吞吐量?6G,并发连接数?200万，每秒新增连接6万。提供?2Gbps以上VPN加密功能。,支持千兆级入侵防御模块，支持千兆负载均衡业务模块，支持SSLVPN第24页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案业务板模块，投标文件中应提供产品彩页。,提供信息产业部IPv6、IPV4入网证5.3路由器选型MSR(MultipleServicesRouters)多业务开放路由器是杭州华三通信技术有限公司(以下简称“H3C”)专门面向行业分支机构和大中型企业而推出的新一代网络产品。MSR先进的软件结构与硬件平台，能够在最小的投资范围内为企业边缘网络提供一体化解决方案，更能充分满足未来业务扩展的多元化应用需求，符合企业IT建设的现状与趋势。企业信息架构正在由C/S模式向B/S模式转变，MSR具备高数据转发能力与高加密能力，很好的解决了转变过程中凸现的网络带宽压力与安全隐患，保障企业关键业务流可以高速、机密的通过广域网传输。MSR集数据安全、语音通信、视频交互、业务定制等功能于一体，能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点，不仅能够最大程度的避免网络中多设备繁杂异构问题，而且极大降低了企业网络建设的初期投资与长期运维成本。针对企业用户日益个性化的应用需求，MSR领先集成了可以定制开发的高性能开放业务平台，任何人都可以基于该平台开发自身需要的高级网络业务，企业用户只需安装软件便能在网络中方便的部署相应业务，节省了购置各类高昂专用网络设备的投资。MSR在突破性提高数据处理能力与插槽扩展性的同时，还能完全兼容原AR系列的硬件模块与软件功能，为客户提供了最为经济的网络升级方案。MSR产品包括MSR50、MSR30和MSR20三个系列。MSR50系列路由器还通过集成以太网交换模块提供二层数据交换功能，实现了真正的路由交换一体化解决方案。MSR50系列产品采用H3c成熟商用的软件操作系统，提供丰富的QoS特性，全面支持IPv6,同时大大地增强部署MPLSVPN业务的能力。MSR50采用OAA(OpenApplicationArchitecture)开放应用体系架构，产品提供了一个公开软硬件接口及标准规范的开放平台，任何厂商与合作伙伴均可以基于此平台开发更为深层智能的网络应用功能，以形成业务定制、优势互补、深度集成、合作共第25页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案赢。MSR50系列路由器还通过0AA架构提供基于路由器的统一通信功能，为用户提供灵活的语音呼叫处理、讦-PBX、IP电话会议和即时通讯等功能一体化的开放通信解决方H3CMSR50高性能引擎主控模块先进的硬件体系架构MSR50系列路由器在硬件设计方面充分地考虑到集成综合业务的需要，采用了先进的Bus多总线设计方案，语音、数据、交换、安全四大业务分别经由不同的总线，由专门的协处理引擎并行完成处理，消除总线和CPU性能瓶颈，大大提高了该系列路由器集成的多业务部署和实施能力。可满足企业网络内部多种高质量并发业务无缝集成、完美融合。iaAftttattM・fi・a&・niaAftttattM・fi・a&・nRKAti笫26页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案MSR系列路由器N-Bus体系结构开放式的增值业务平台MSR50基于OAA(OpenApplicationArchitecture)理念设计,创新性的推出了对外开放的业务平台。该平台提供了一套完整、标准的对外接口(API接口)。厂商与合作伙伴均可以在此平台上直接开发各类高级功能(例如应用层攻击抵御、网络病毒防护、多媒体集合通信、Web优化与加速等)，用户只需安装开发出的软件，便可以将上述业务与MSR50无缝融合，为日渐细分的个性化需求提供完整的解决方案。多业务集成并发能力集成安全业务安全已经成为网络的基本功能，由于安全性需要内嵌于整个网络之中，因此路由器在网络防御战略中起着重要作用。MSR50系列产品提供专门的安全数据连接设计技术，采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎(NDE),通过硬件的方式大大提高数据加密性能，保证转发和加密同步高性能，同时节省接口插槽。MSR50提供了丰富的安全功能，包括Firewall、IPSecVPN、MPLSVPN、CA、SecureShell(SSH)协议2.0、入侵保护、DDoS防御、攻击防御等。集成语音业务MSR50系列路由器采用了全新的硬件语音设计方案，提供了FXS/FX0/VE1/VT1等各种语音接口类型，支持SIP等主流的语音通讯协议，实现了紧急呼叫/掉电求救/拨号策略/传真/E-PHONE等各种语音业务。MSR50提供TDM交换能力，使用户的TDM交换在本地完成，大大节省网络资源的同时，使本地话音的接通率和通话质量完全达到电信水准。MSR50系列路由器还支持高密度模拟语音模块:FIC-24FXS和DFIC-24FXS:24FX0,并通过支持FXS和FXO接口的1:1绑定功能及DFIC-24FXS:24FX0单板的断电逃生功能，大大提高了路由器产品的语音部署的灵活性和组网能力。集成数据交换第27页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案MSR50系列提供灵活扩展的以太网交换模块，支持丰富的二层交换特性，极大地满足了企业对于路由交换一体化组网方案的需要。集成统一通信MSR50系列路由器通过基于OAA架构的开放通信引擎模块(OCE)提供呼叫处理、IP-PBX、IP电话会议和即时通讯等功能，为用户提供基于MSR路由器完美的统一通讯解决方案。多业务线速并发MSR50系列路由器将全新的硬件架构和结构化的软件系统有机结合，可以为用户提供集成数据、安全、语音、视频以及各种上层应用业务的服务，满足用户现有的以及未来的互联网应用，而且路由器的原有数据传输性能丝亳未受影响。成熟商用的操作系统MSR50系列采用了华三公司成熟商用的多业务、可扩展、组件化的先进操作系统平台，全面支持IPv6,并支持完善的MPLSVPN功能满足各种组网需求。完善的下一代IP协议解决方案IPv6作为下一代网络的基础协议以其鲜明的技术优势得到广泛的认可，MSR全面支持IPv4/IPv6双协议栈，支持通用的IPv4路由协议、IPv6路由协议、组播路由协议和静态路由。MSR提供了丰富的IPv4向IPv6过渡方案，包括双栈技术、隧道技术、地址转换技术(NAT-PT)和MPLS6PE技术。领先的MPLS流量工程解决方案MPLSTE结合了MPLS技术与流量工程，通过建立到达指定路径的LSP隧道进行资源预留，使网络流量绕开拥塞节点，达到平衡网络流量的目的。在资源紧张的情况下，MPLSTE能够抢占低优先级LSP隧道带宽资源，满足大带宽LSP或重要用户的需求。同时，当LSP隧道故障或网络的某一节点发生拥塞时，MPLSTE可以通过备份路径和快速重路由FRR(FastReroute),提供瞬时恢复保护。安全灵活的VPE功能VPE(VPNPE)是一种特殊的PE,它和CE之间的连接方式不是传统的DDN/E1/POS/ETH/PVC等专线技术，而是IPSec/L2TP/GRE/UDPVPN等隧道技第28页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案术。VPE完成IPVP\与MPLSVP\的融合，在网络边缘实现网络资源的逻辑划分及安全隔离，核心网与边缘网络形成了一个整体，实现了端到端的VP\功能。简单便捷的网络分析工具NQA(网络质量分析)是测量网络上运行的各种协议性能的一种工具。它可以实现端到端的网络状况监测，包括时延、抖动、丢包率等。不仅能使用ICMP协议来测试数据包在本端和指定的目的端之间的往返时间，从而判断目的主机是否可达，还可以探测DLSw、DHCP、FTP、HTTP、SNMP服务器是否打开，以及测试各种服务的响应时间等，提供对网络应用的质量检测。直观可视化的流量分析工具NetStream提供报文统计功能，它根据报文的目的IP地址、源IP地址、目的端口号、源端口号、协议号、ToS、输入/输出接口来区分流，并针对不同的流进行独立的数据统计。NetStream的统计,信息定期发送给NSC(NetStreamCollector,网络流数据收集器)，由\SC进一步处理后，交给\DA(\etStreamDataAnalyzer,网络流数据分析器)进行可视化的流量分析、计费、网络规划等多种应用。电信级运营的高可靠性MSR50系列路由器设备的可靠性从硬件和软件两个方面得到了充分的保证，该系列设备支持冗余备份的双电源，支持接口模块、电源模块和分散的热插拔，这大大提高了设备硬件的可靠性;在软件上方面支持VRRP、备份中心、动态路由备份和快速重路由等技术，这些特征和功能满足了设备的电信级应用需求。提供POE远程供电特性MSR50系列支持PoE(PowerOverEthernet)功能，即可通过双绞线向远端下挂PD设备(如IPPhone、WLANAP、Security.BluetoothAP等)提供电源，实现对下挂PD设备远端供电，使设备安装简单而且节省空间。作为供电方PSE(PowerSourcingEquipment)设备，支持IEEE802.3af线路供电标准，同时也可以兼容不符合802.3af标准的PD(PoweredDevice)设备。MSR50系列以太网口上的PoE特性，能够充分满足未来新兴技术发展的需求，为无线技术、语音技术的发展提供了支持。通过支持POE和VoiceVLAN技术,MSR支系列路由第29页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案器能够提供完美的数据和语音融合解决方案。支持WLAN无线接入功能H3CMSR系列路由器支持WLAN无线接入功能，支持802.llb/g标准的通信，并且支持的功能特性丰富，足以满足用户对于WLAN无线接入的需要，大大地提高了该产品的综合接入能力。支持无线3G无线通信功能H3CMSR系列路由器支持CDMA2000、WCDMA、TD-SCDMA无线3G通信功能，满足用户对于3G无线上行主链路和备份链路的应用需求，同时还提供丰富的业务和功能。H3CMSR系列路由器的3G无线通信接口在设备上实际上封装为一个标准的IP接口，即屏蔽了其物理接口的差异性，与其它的以太口、串口、E1接口等物理接口没有差别，也就是说MSR系列路由器上的3G无线通信接口会支持完整的基于IP层以上的所有业务和功能特性，如接口备份、流量统计、网络防攻击等等，这能够极大发挥无线3G接口应用的潜力和价值。MSR系列路由器的3G通信接口支持永久在线及按需拨号两种工作模式，可以方便用户根据计费方式灵活选择工作模式，以满足用户采用最合适的方式使用3G无线链路通信资源。严格的国际认证H3CMSR系列路由器设备秉承H3c公司先进的静音、低功耗的绿色环保设计理念，符合有关EMC、安规和环保等方面的标准，如CE、FCC等安全准入标准。5.4入侵防御系统选型入侵防御系统建议选用H3C公司的XS-IPS200E-HS1Y,该产品具有如下特点：,安全与高性能的完美结合TippingPoint是IPS领域的领导者。其IPS产品（及其配套的管理和保障产品），凭借强大的攻击检测与实时防御能力、出色的性能、电信级的高可靠性和易部署、易管理等特性，成为唯一的\SS（全球最权威的安全产品评测机构）评测金奖获得者，并率先获得CC（CommonCriteria）认证。TippingPointIPS系列笫30页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案产品完美地将统一的安全功能与出色的高性能融合在一起，已经被公认为IPS领域的标杆与旗舰。,主动式的入侵防御TippingPointIPS可以被“in-line”地部署到网络当中去,对所有流经的流量进行深度分析与检测，从而具备了实时阻断攻击的能力，同时对正常流量不产生任何影响。基于其高速和可扩展的硬件平台，TippingPointIPS不断优化检测性能，使其能够达到与交换机同等级别的高吞吐量和低延时，同时可以对所有主要网络应用进行分析，精确鉴别和阻断攻击。事实上，TippingPointIPS所具备的超高性能与精确阻断能力，已经彻底重新定义了网络安全的内涵，并且从根本上改变了保护网络的方式，帮助客户实现持续降低IT成本、持续提高IT生产率的目标〜,无与伦比的高性能TippingPointIPS具备绝对领先的能与交换机媲美的性能指标:最高可达5G吞吐量的线速检测、转发;低时延（最大时延＜215微秒）；精确检测攻击并实时阻断;支持200万个并发连接;支持每秒25万个新建立连接。,威胁抑制引擎（TSE,ThreatSuppressionEngine）TippingPoint基于ASIC、FPGA和NP技术开发的威胁抑制引擎（TSE,ThreatSuppressionEngine）是高性能和精确检测的基础。TSE的核心架构由以下部件有机融合而成:定制的ASIC、FPGA（现场可编程门阵列）、20G高带宽背板以及高性能网络处理器。该核心架构提供的大规模并行处理机制（10,000条以上并行过滤器），使得TippingPointIPS对一个报文从2层到7层所有信息的检测可以在215微秒内完成，并且保证处理时间与检测特征数量无线性关系。采用流水线与大规模并行处理融合技术的TSE可以对一个报文同时进行几千种检测，从而将整体的处理性能提高到最佳水平。在具备高速检测功能的同时，TSE还提供增值的流量分类、流量管理和流量整形功能。TSE可以自动统计和计算正常状况下网络内各种应用流量的分布，并且基于该统计形成流量框架模型；当DoS/DDoS攻击发生，或者短时间内大规模爆发的病毒导致网络内流量发生异常时，TSE将根据已经建立的流量框架模型限制或者丢弃异常流量，保证关键业务的可达性和通畅性。此外，为防止大量的P2P、IM流量侵占带宽，TSE还支持对100多种第31页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案点到点应用的限速功能，保证关键应用所需的带宽。,安全保障无处不在TippingPointIPS在跟踪流状态的基础上，对报文进行2层到7层信息的深度检测，可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断，而且，TippingPointIPS也能够有效防御针对路由器、交换机、DNS服务器等网络重要基础设施的攻击。TippingPointIPS还支持基于访问控制列表(ACL)的检测、基于统计的检测、基于协议跟踪的检测、基于应用异常的检测、报文规范检测(Normalization)、IP报文重组和TCP流恢复。以上机制协同工作，TippingPointIPS可以对流量进行细微粒度的识别与控制，有效检测流量激增、缓冲区溢出、漏洞探测、IPS规避等一些已知的、扶至未知的攻击。,业界领先的安全威胁分析团队TippingPoint的安全威胁分析团队也处于业界领先的地位。该团队是安全威胁快讯SANS@Risk的主要撰稿人，SANS©Risk每周定期向其全球范围内30万专业订阅者摘要披露最新安全威胁的公告，内容包含最新发现的漏洞、漏洞所带来的影响、表现形式，而且指导用户如何采取防范措施。,数字疫苗(DV,DigitalVaccine)保障实时安全TippingPoint实时更新、发布的数字疫苗(DV,DigitalVaccine)是网络免疫的保障与基础。在撰写SANS@Risk公告的同时，TippingPoint的专业团队同时跟踪其它知名安全组织和厂商发布的安全公告;经过跟踪、分析、验证所有这些威胁，生成供TippingPointIPS使用的可以保护这些漏洞的特征知识库-数字疫苗，它针对漏洞的本质进行保护，而不是根据特定的攻击特征进行防御。数字疫苗以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布，并且能够通过内容发布网络自动地分发到用户驻地的IPS设备中，从而使得用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力。,综合管理中心-轻松管理，一览无遗针对不同的用户部署，TippingPointIPS提供三种管理方式：SMS-SecurityManagementSystem,面向规模部署的企业级综合管理中心LSM-LocalSecurityManager,面向独立部署的嵌入式管理软件第32页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案CLI-CommandLineInterface,而向专业用户的命令行管理工具TippingPointSMS是为管理IPS集群而专门开发的管理系统软件，它预装在1U的高性能服务器中交付用户使用。一台SMS最多可以管理1000台IPS,其主要任务是发现、监控、配置和诊断在网络中部署的IPS设备，同时为管理员生成详细的报表，以支撑网络安全状况的评估和诊断。SMS管理系统基于安全Java技术开发,整个SMS管理体系由以下三部分构成:支持安全Java的客户端;SMS服务器;被管理的IPS集群。SMS管理体系可以提供:IPS设备运行状况报表;数字疫苗的自动升级与图形化管理;安全趋势报表;实时流量的关联分析与图形报表；网络主机与服务统计报表。借助以上这些全景式的分析功能，网络的安全状况管理不再是令管理员头痛的问题:在全景式分析报表中，管理员可以轻松的看到网络当前的性能状况、报警事件与所有被管理IPS的运行状况。TippingPointLSM是集成在IPS设备中的基于安全Web的管理软件，可以提供对IPS进行管理的基本功能，包含配置、监测、报表等；TippingPointCLI是面向专业管理员提供的命令行配置工具。基于出色性能和安全能力、简单易用的SMS、LSM和CLI具备的强大的管理能力，TippingPointIPS成为真正:的、也是唯一的一站式整体安全解决方案。无缝部署-简易、高性能、无冲击TippingPointIPS的设计遵循了一个很重要的原则：无缝部署。基于这个原则，无论对已经建成的网络，还是正在建设中的网络，都可以很容易地将TippingPointIPS嵌入进任何部分，并且不会对网络的拓扑、性能、运行带来任何改动。从逻辑上来看，TippingPointIPS就好像一根智能的线，这根智能的线却从根本上解决了困扰网络的安全问题。这样的无缝部署主要体现在以下方面:嵌入式部署（in-line）模型保证最简化的部署步骤，而不需要进行交换机镜像等复杂的配置，更不需要更改网络拓扑;检测接口不需要IP地址，也不需要MAC地址，一旦接入网络，立刻开始保护网络；同时保证自身对攻击源是隐身的，增强整网的安全性；高性能、低时延使得TippingPointIPS无论被部署在网络内部还是边缘，都可以提供线速的精确检测和实时阻断能力，对网络业务的效率没有任何的损伤。同时:卓越的带宽管理能力将加速异常情况下的业务应用。第33页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案经过精心分析、调试、验证的数字疫苗可以在不经任何调整的情况下正常工作，无需任何调整即可抵御所有已知的网络威胁;经过按照实际网络状况微调的数字疫苗可以使TippingPointIPS发挥更高的性能。多重高可靠性(MLHA,Multi-LayerHighAvailability)打造99.999%安全网络多重高可靠(MLHA,Multi-LayerHighAvailability)是TippingPoint为保证网络与业务的永续性而开发的专利技术，该技术面向业务传送的所有层面进行高可靠保护，使得在任何情况下业务都不会因为IPS的故障而中断。物理级保护和掉电事故保护：按照电信标准设计的TippingPointIPS采用冗余电源供电，并且支持在线更换;掉电保护设备ZPHA(ZeroPowerHighAvailability)是TippingPointIPS的辅助设备。该设备可以在IPS电源被不慎碰掉的情况下，将网络流量自动绕开IPS、旁路到下一站设备上去；当SMS监测到IPS电源丢失并发出告警、管理员恢复电源供给后，ZPHA乂会自动禁止旁路功能，所有流量将再度流经IPS接受检测。冗余电源和ZPHA可以保证被IPS保护的网络不会因为引入IPS而出现物理级的单点故障。系统软件故障保护：内置的监测模块以很高的频率定时地监测IPS设备的健康状况。一旦探测到软件系统故障，该模块会将IPS设置成一个简单的二层交换设备，网络流量将在两个接口之间直接贯通;软件故障恢复后，所有流量贯通被自动取消，恢复的IPS重新开始保护整个网络。冗余网络部署中的基于状态的业务保护:TippingPointIPS设备支持冗余部署。互为备份的多台IPS即可以工作在主备(Active/Passive)模式，也可以工作在负载分单(Active/Active)模式，与已经在网络中大规模部署的VRRP、0SPF多出口等冗余保护技术无缝的结合在一起。同时.，在冗余部署的IPS之间，通过专门的高速物理通道同步地传递配置信息、检测数据和连接状态，可以完全保证冗余部署与业务分布的无关性。不间断的管理保护:甚至对于管理，这一最容易被高可靠保障所忽视的环节,TippingPoint都作了精巧的高可靠性保护设计。TippingPointSMS提供增强模式：基于基本配置的SMS服务器，TippingPoint还提供经过增强配置的SMS服务器。增强型SMS服务器具备双电源、双硬盘、第34页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案双CPU,不但提升了管理系统的性能，而且最大限度上保护其物理可靠性。TippingPointSMS支持冗余部署：基础型和增强型的SMS都支持冗余部署。冗余部署模式中的两台SMS一台处于工作状态，另一台处于备份状态;所有管理信息通过高速物理通道同步；当工作状态的SMS故障时，备份状态的SMS将自动接管整网的管理工作，保证管理的管理延