医院网络建设方案

一、方案设计背景二、方案设计原则㈠医院信息化建设原则 灵活强劲的拓扑结构和企业级的扩展能力 满足各种性能要求的海量数据读取速度 统一简便的存储管理 提供高可靠的数据安全性和稳定性 整合高性能的全备份系统 投资保护 （二）网络建设原则 （三）存储系统规划要点 1、数据安全的高度重要性 2、前端应用的快速发展和变化带来的压力 3、数据日常管理的繁琐、低效率和高成本挑战 4、业务连续性要求日益重要 （四）存储系统选择要点 1、可靠性 2、可扩展性 3、性能4、可管理性 5、功能6、兼容性 三、方案设计（一）内网部分 门诊楼内网 新大楼内网 内网安全 （二）外网部分 门诊楼外网 新大楼外网 外网安全 （三）交换机备份方案 新大楼汇聚交换机备份 新大楼一层接入交换机备份 （四）服务器及存储部分 增加新的存储系统 选择EVA的理由 增加三台HP380服务器 四、方案报价五、产品介绍㈠华为QuidwayS9300系列T比特路由交换机 （二）华为QuidwayS6500系列高端多业务路由交换机 （三）华为QuidwayS5300系列全千兆运营级交换机 （四）华为QuidwayS3300系列运营级园区交换机 （五）华为QuidwayS2300系列运营级接入交换机 华为SecospaceTSM系统架构 网神SecFox-NBA（上网审计型） （八）HPProLiantDL380G5服务器系列 （九）HPStorageWorks6400/8400企业虚拟阵列 六、公司相关资质营业执照（正、副本复印件） 税务登记证（正、副本复印件） 组织机构代码证 计算机信息系统集成二级资质证书 七、员工资质证书（部分）行业案例 淮北市人民医院网络建设方案一、方案设计背景淮北市人民医院是该市唯一一家国家三级甲等医院，担负着全市200多万人民群众的医疗、科研、急救、康复和保健任务。随着经济的快速发展，人民群众的医疗卫生需求不断增加，其医疗条件已不能满足人民群众对医疗救治的需求。该院病房楼是七八十年代所建，限于当时条件，建筑结构不合理，基础条件及配套设施陈旧，住院条件较差，使医院的发展受到很大的限制，与三甲医院不相称，同时与淮北市“争先进位，率先崛起”和建设“双百双宜”城市不相适应。为此，拟在其住院部内新建一幢病房大楼。拟建病房大楼位于内科楼与小儿科楼之间，东西排列。目前工程进度为内装饰阶段。新大楼为单体式建筑，地下一层，地上十九层，床位817张，建筑面积32792平方米左右，室外配套用房有中心供氧、中心负压、中心供应及医疗垃圾收集处等。随着新大楼的建成，新的网络建设也随之开始，因此医院对网络建设方案设计图纸进行征集招标。我公司根据依据大楼施工图纸及相关设计规范和技术文件和院方的要求，针对医院现状并结合医院信息化建设原则提出以下网络建设方案并进行设计说明。二、方案设计原则（一）医院信息化建设原则要实际地建设一个信息化医院时，必须在心中有一个明确的概念，信息化医院是运行在互联网及内部网上超大规模的、便于使用的、没有时空限制的信息中心，根据医院的实际情况，当然必须回答“您要建设怎样的信息化医院”，否则建设计划将无法制订和施行，如果边做边改，很容易造成灾难性的后果，所以存储系统平台的设计是整个信息化医院建设的重点，在这个过程中我们应该把握以下原则：灵活强劲的拓扑结构和企业级的扩展能力建立在高可靠、易升级、多协议支持、设备无关的的数据管理体系架构之上，为信息化医院应用提供了功能强大的、安全的、高扩展能力、综合多种应用支持的数据平台，使应用系统能够完全从数据管理和设备管理中解放出来，完全根据应用特点定制数据存取方式。满足各种性能要求的海量数据读取速度信息化医院各种应用对数据读取方式、带宽要求和I/O能力是不同的，可灵活地为用户提供各种连接通道接口，如：2G光纤通道、4G光纤通道、iSCSI通道、万兆/千兆/百兆以太网通道等，可根据用户的需求进行灵活的选择和配置，满足各种应用对性能的合理要求。统一简便的存储管理信息化医院由于系统庞大，各种设备比较多，存储管理相对分散（HIS、LIS、PACS、RIS等等），这就需要简化管理，降低成本，提高工作效率。通过对各种存储技术（如专用操作系统、专用文件系统、专用日志系统、多链路聚集、数据快照、远程数据复制等）的整合，从复杂的存储网络中抽取出一个单纯的数据管理层，可以对各种设备进行集中简便的管理。提供高可靠的数据安全性和稳定性信息化医院的数据资源是很宝贵的，在硬件层、应用层都要具有很高的保护措施，系统具有高度可靠性和稳定性。整合高性能的全备份系统整合多项软硬件技术（备份软件、虚拟磁带库、远程容灾等），在充分保证备份系统的性能、功能和开放性的同时，为信息化医院用户提供了前所未有的系统简化和整合，将数据备份保护管理工作降到最低，将用户搭建数据备份系统的复杂性降到最低，将运行环境中非必要资源的占用降到最低。投资保护技术的进步难免带来设备的更新换代，整个存储系统具有良好的兼容性，在设计阶段就要考虑到信息在不同的生命周期的管理模式，可以最大限度的利用已有的设备和资源，保证客户的投资利益，减少投资方的资金压力，做到“少花钱，多办事”。（二）网络建设原则1、实用性：整个网络系统具有较高的实用性；2、时效性：网络应保证各类业务数据流的及时传输，网络时效性要强，网络延时要小，确保业务的实时高效；3、可靠性：整个网络系统应具有很高的安全可靠性，必须满足7X24X365小时连续运行的要求。在故障发生时，网络设备可以快速自动地切换到备份设备上；4、安全性：能有效防止网络的非法访问，保护关键数据不被非法窃取、篡改或泄漏，使数据具有极高的安全性；5、完整性：网络系统应实现端到端的、能整合数据、语音和图像的多业务应用，满足全网范围统一的实施安全策略、QoS策略、流量管理策略和系统管理策略的完整的一体化网络；6、效益性：网络的投资应随着网络的伸缩能够持续发挥作用，保护现有网络的投资，充分发挥网络投资的最大效益；7、可伸缩性：网络要具有面向未来的良好的伸缩性能，既能满足当前的需求，又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求。（三）存储系统规划要点1、数据安全的高度重要性随着IT应用对业务流程的深入渗透，业务运作将会更加依赖于数据。保证系统数据安全是存储系统设计的最基本目标2、前端应用的快速发展和变化带来的压力存储系统是整个应用系统的核心基石，任何前端应用系统的调整、扩展和新应用系统的投入，都必须考虑如何满足应用系统的数据访问需求，这些需求往往是由业务规则、服务质量要求、应用特点等因素共同决定的。因此，确保存储系统在一定范围内具备支持各种类型应用系统的弹性、可调整性和可管理性，具有重要的意义，对于用户的总体成本和投资收益也具有根本性的影响。3、数据日常管理的繁琐、低效率和高成本挑战应用系统复杂化、数据类型多样化和数据量迅速增加，为用户的IT系统维护带来了巨大的压力。保证数据安全性所采取的备份措施、系统调整时的数据迁移、系统切换等工作，经常成为用户IT系统运营维护人员的噩梦。存储系统设计时的考虑不足，往往导致系统运营维护成本（包括资金、时间、人力等）数十倍地提高。繁杂、单调和重复性的手工数据管理，也经常是数据丢失的重要原因。4、业务连续性要求日益重要企业信息化程度越高，对IT系统持续运行的要求越高，IT系统停止服务对于企业的影响从业务停顿、客户流失、收益降低到声誉受损，将会导致严重的后果。如何大幅度降低各种计划内停机（源于数据管理和使用要求，占87%）和非计划停机（故障因素，占13%）时间，将会成为存储系统设计将要面对的重要挑战。（四）存储系统选择要点存储系统作为新兴的IT产品，一方面，伴随着各种新技术和新标准的快速应用，例如IDE、SCSI、FC、SATA、SAS、FATA等等；另一方面，根据应用的实际情况不同，还衍生出适合不同应用模式的产品如SAN、NAS、iSCSI（IPSAN）等。应根据存储系统规划重点，并结合自身系统特点和发展要求来选择相应的存储系统产品。一旦根据自身的需求特点，结合存储系统设计原则，确定了存储系统需要达到的目标，就可以进入对存储产品的具体考察和评判。一般而言，存储产品的优劣按照如下原则评判：1、可靠性对于一个存储产品而言，最重要最基本的要求莫过于在各种情况下（断电、部件故障、随机错误甚至地震、火灾、人为破坏等）的数据安全，越高端的产品，对数据安全性的处理能力越强，考虑的因素越多，使用的数据保护手段也越全面和丰富。2、可扩展性这里的可扩展性，不是仅仅指容量的可扩展性。而是指当前端应用快速扩展，不断需要调整，数据量快速增长时，存储系统的在平台支持、应用功能、连接性、容量、性能等全方位的扩展能力。存储系统是IT系统的基础平台!3、性能应用类型不同，对存储系统性能要求的侧重点也有所区别。一般而言，大容量文件传输对存储系统的带宽（Bandwidth）要求较高；高密度小数据量数据存取（如数据库、数据仓库等）对存储系统的I/O性能要求较高（IOPS）；大量并发用户访问，对存储系统的每秒操作数（OPS）、响应时间（。^）和IOPS指标要求较高。4、可管理性存储系统的可管理性分为两个层面：一是系统本身的管理，包括部件状态监控、日志记录、系统设置等；二是对系统所承载数据的管理，从最基本的RAID设置、卷组划分、LUN屏蔽、性能分析和调整、在线扩展、不停顿升级等。5、功能实践证明，很多在应用层面或者说在服务器端基于数据逻辑层面难以解决、效率较低的数据处理工作，在存储系统中进行处理，不仅成本会大大降低，效果显着提高，甚至能够完成很多在主机端无法实现的功能（如数据实时容灾）。存储产品中提供的诸如数据快照、数据克隆、远程复制、负载均衡等功能，如果能够结合应用巧妙使用，能够带来巨大的效益，显着改善业务运行状况和保障数据安全。6、兼容性存储系统的一个重要特点是与主机和应用紧密相关。保证存储系统及其附加功能对于各种硬件平台、操作系统、应用系统的兼容性，对于用户的应用扩展非常重要。存储厂商也往往需要投入巨资搭建兼容性测试平台，才能保证产品的兼容性。三、方案设计（一）内网部分目前门诊楼网络中心有一台华为S6502作为内网核心交换机，一台H3CS5510作为核心交换机的冷备，各老楼通过光纤连接到核心交换机，门诊二楼接入交换机通过双绞线连接到一台3com4900交换机，3com4900交换机通过一个千兆口连接到核心交换机上。3com4900交换机上还连接了一台医保服务器，通过一根双绞线连接到网神防火墙，通过防火墙接入到医保网络。五楼以上的信息点直接连接到信息中心的配线架上，通过交换机连接到核心交换机。.门诊楼内网门诊楼机房位于门诊楼9层，新的网络结构中，门诊楼的机房仍位于网络的核心。为了保证业务持续性，建议购买两台华为S9306T比特路由交换机作为新的内网核心交换机。每台配置单引擎，24口千兆电口业务板一块，24端口千兆光口业务板一块，2口万兆端口业务板一块。若采用单台核心交换机，则采用双引擎，以保证交换机的安全性。光口板连接各老楼所有光纤接入交换机，电口连接机房中的服务器与网络设备，万兆口连接新大楼的汇聚交换机，通过配置VRRP协议，形成主备冗余。为了保证拓扑图的简洁，所有老楼的接入交换机都采用了单链路连接一台核心交换机，如条件允许，在实施时就尽可能采用双链路，以保证链路的冗余。被替换下来的原有内网华为S6502核心交换机作为新大楼的汇聚交换机与备用交换机。在门诊机房与门诊二楼弱电井之间布置一条4芯多模光纤，连接二楼接入交换机光口与内网核心交换机光口，这样可以大大提高门诊收费处的网络速度并且简化管理。在中心机房与辅助楼之间铺设一条4芯单模光纤，2芯做连接，2芯做备份。辅助楼采用一台华为S3328三层交换机作为接入交换机，配置千兆光纤模块，通过单模光纤连接到中心机房的华为S9303核心交换机上。.新大楼内网在新大楼机房与门诊楼机房之间铺设与架空两根6芯单模光纤，其中每根中的2芯作为新大楼汇聚交换机与内网核心交换机的连接线路，其余4芯作为备用；新大楼机房位于大楼20层，门诊机房被替换下的原内网华为S6502核心交换机做为新大楼的汇聚交换机，现已有一块4个千兆电口加16个千兆光口的复合板，千兆电口连接机房中的服务器，光口连接些楼的接入交换机。另需扩展一块4个万兆端口的业务板，其中两个万兆口连接门诊楼中心机房的华为S9306核心交换机，一个万兆口连接新大楼1层弱电井的接入交换机，一个万兆口作为备用口。原有的H3CS5510交换机做为汇聚交换机的备用，含有24个千兆光接口和4个千兆电接口。新大楼使用1、4、10、16,20层弱电井，各楼层的信息点将全部连接到这几层弱电井的配线架上。机房到每个弱电井布置6芯多模光纤（2芯内网，2芯外网，2芯备用）。4、10、16、20层的接入信息点较少，且信息量较小，每个弱电井采用百兆接入千兆上行的华为S3328三层交换机，千兆光口通过多模光纤连接到机房的华为S6502汇聚交换机上。由于影像科室在大楼1层，访问信息量较大，并且这层的信息点较多，故在1层弱电井采用全千兆接入万兆上行的华为S5328C-SI交换机作为接入交换机，配置万兆光口模块，通过多模光纤与机房中的S6502汇聚交换机的万兆模块相接。.内网安全由于现在网络设备与服务器在不断增加，设备位置相对分散，不方便管理与维护，建议在内网中布置网管软件，对各种网络设备与服务器进行集中监控，方便信息中心人员管理这些设置与监控这些设备。网管软件能对交换机，路由器，服务器等一切支持网管的设备进行监控，信息中心人员能直接通过网管软件来对网络中的各种设备状态进行查看，及时发现设备状态的改变。在内网中实施华为SecospaceTSM终端安全管理系统，通过该系统可以控制终端通过交换机端口接入到内网。在内网核心交换机上布置一台安全接入控制网关（SACG），并安装一台管理服务器，SM软件主要功能包括终端安全策略管理、身分管理、软件分发、补丁管理、日志审计等。内网中的终端安装认证客户端，接入内网时，安全接入控制网关（SACG）会对终端进行认证，通过认证的结果来控制终端的接入。TSM终端安全管理软件布署示意图根据医院目前情况，我们认为增加医院现有黑盾的节点要比实施华为TSM系统更具有更有性价比。实施TSM系统，终端上也需要安装客户端，这样就消耗了系统部分资源。黑盾终端管理软件中有一种叫“安全区域”的概念，所有装有黑盾客户端的的计算机被添加到“可信任的计算机”中，没有安装的被认为是“不信任的计算机”，两者间不能互访。这种机制和TSM系统的访问机制相同，只是TSM系统对客户机能访问的资源做了细化。医院内的医保网终端与外部医保网在同一网段，为了保证安全，现已在医保网与内网之间加入了防火墙。但新农合项目的实施需要将一部分内网终端访问外网，为了保证安全，连接也应经过防火墙。为了节约成本，可利用原有的网神防火墙。图1、医院内网拓扑图（二）外网部分.门诊楼外网医院原有的外网结构基本保持不变。各信息点通过双绞线连接到信息中心的外网交换机上，交换机通过双绞线连接到外网宽带路由器上，路由器通过电信线路接入Interneto图2、门诊楼外网拓扑图.新大楼外网新大楼中使用独立的外网。此大楼中外网的信息点较少，数据量不大，出于成本考虑，建议在每层（1、4、10、16、20）的弱电井放置一台外网接入交换机，此交换机采用华为S2326TP百兆接入千兆上行二层交换机。通过多模光纤连接到新大楼机房的外网核心交换机。新大楼外网核心交换机采用一台华为S5328C-EI-24S全千兆三层交换机，其包含24个100M/1000M自适应SFP光口，4个10/100/100自适应光电复合口。光口连接大楼弱电井内的外网接入交换机。购买一台华为USG5320防火墙作为新大楼外网设备连接电信线路，防火墙即可以代替路由器，又可以防止新大楼外网受到攻击。图3、新大楼外网拓扑图.外网安全为了保护网络不受攻击，建议购买两台网御神州NBA上网审计系统，在新大楼外网和门诊楼外网的出口处各安装一台，对终端上网的数据进行审计与控制，在发现违规时报警。该系统支持对常见攻击的检测和阻断；支持分段直接寻址安全规则搜索算法MSDAL,确保在大规则数情况下以最短的时间匹配到安全规则；支持蠕虫防御和P2P下载限制功能；支持黑白名单功能；图4、医院外网拓扑图（三）交换机备份方案在方案中核心交换机采用两台华为S9306交换机，两台交换机热冗余，不需要再做另外的备份。需要做备份的主要是新大楼汇聚交换机，新大楼一层接入交换机。.新大楼汇聚交换机备份新大楼汇聚交换机利用原有的华为S6502交换机，交换机含4个千兆电口、16个千兆光口，4个万兆接口。若此交换机故障，新大楼中所有终端将无法访问服务器。为了能快速的恢复网络，应购买备用交换机，但购买同样型号与接口的交换机，成本太高。我们建议使用原网络中H3CS5510交换机做为该汇聚交换机的备用。当交换机发生故障时，将H3CS5510替换华为S6502交换机，原有万兆接口线路将改为千兆接口，接口对端也改为千兆口相连。.新大楼一层接入交换机备份新大楼一层采用的是华为S5328C-SI全千兆交换机，其含有24个千兆电口，4个千兆Combo口1000Base-X，两个万兆光口。在备份方案中建议多购买一台华为S3328交换机，上千接口为千兆，与汇聚交换机一样，当发生故障时，用S3328替换S5328C-SI交换机，上行接口改为千兆。并且华为S3328交换机也是新大楼4、10、16、20层的所用的机型，因此其也可作为这些楼层交换机的备用交换机。（四）服务器及存储部分目前医院所有的服务器都放置在门诊机房，现有2台HP580G5服务器作为HIS服务器，1台运行，1台冷备；3台HP380G5服务器，1台为LIS服务器，1台为防病毒服务器，1台为医保服务器；另外还有1台HPML370服务器与1台HPML570服务器，这2台服务器因已运行多年，随时都有可能出现故障，现只用于升级与测试之用。现有1台HPMSA1000存储与1台HPMSA500G2磁盘阵列。MSA1000现作为HIS系统的存储设备与两台HIS服务器相连，HPMSA500G2作为HIS升级服务器的扩展存储与HPML570服务器相连。.增加新的存储系统随着新大楼的建成，医院内网的信息点增加数百个。HIS系统的访问量也将大大增加，对服务器与存储系统的承载能力与稳定性又提出了新的要求，现有网络中有两台HP580G5服务器，一台配置2块2.93G处理器，一台配置2块1.6G的处理器，在本方案中，建议升级2处理器的580G5服务器到4处理器，两台服务器与两台HP虚拟化存储系统组成2+2的双机平台，同时运行HIS与LIS系统。现网络中MSA1000磁盘阵列为半光纤产品，虽然通过光纤与服务器相连，但硬盘为SCSI硬盘，I/O性能远不及光迁通道硬盘。为了不让服务器与存储系统成为信息访问的瓶颈，应更新存储系统。现在使用的MSA1000存储系统可做为数据库备份之用。购买两台HPEVA4400企业虚拟阵列替代原HPMSA1000磁盘阵列，由于原网络中的服务器与存储系统都采用了HP公司的产品，这次我们建议也使用HP公司产品，这样能保证设备连接时的兼容性。且HP公司为国际化大公司，在服务器与存储行业有着领先的技术与服务团队。HPEVA4400企业虚拟阵列支持分层存储，可将数据分散放置在更多的磁盘上，进而自动提升了性能。当使用高度可视化的软件应用时，其还可与复制功能紧密结合。双冗余控制器，最高支持96块硬盘，配置4GB高速缓存。为了满足HIS数据库的对存储高I/O性能的需求，建议本次满配置12块300G光纤通道硬盘，配置成RAID10OEVA4400存储系统与两台HP580G5服务器通过两台光纤交换机多链路连接，通过集群软件实施成2+2的双机平台，两台服务器冗余（现安医附院、蚌埠市三院、合肥市第一人民医院都为此平台）。作为HIS与LIS的运行平台，当一台服务器出现故障时，HIS/LIS将会切换到另一台服务器上运行。一台存储的故障或光纤交换机的故障对整个系统都不会有影响。从容灾的角度考虑整个系统的安全性，可将系统中的HP580G5服务器、HPEVA4400存储、光纤交换机与华为S9306核心交换机各放置一台到新大楼机房中，中间通过单模光纤相连接。这样的拓扑结构每台HP580G5服务器需要增加4块光纤网卡（2块作心跳，2块各连接一台核心交换机）与2块光纤HBA卡（现已有1块，再购买1块,各连一台存储）。两楼之间的光纤至少需额外增加10对。把整个系统都放在同一机房，每台HP580G5服务器需要2块光纤网卡和2块光纤HBA卡。不需额外增加两楼之间的光纤。我们建议将2+2的双机平台放在同一机房。虚拟化技术具有很多优点，比如虚拟操作系统、快速迁移、集中管理等，常和刀片服务器一起应用，但其软件成本高，需要有较好管理能力，且目前在省内无成功应用案例，建议暂不考虑使用。图5、服务器存储2+2冗余容灾图为了保证拓扑图的简洁，除HIS/LIS服务器以外都采用了单链路连接一台核心交换机，如条件允许，在实施时就尽可能采用双链路，以保证链路的冗余。若所有服务器都采用双链路连接到两台核心交换机，则每台服务器至少需要增加2块光纤网卡，需要两楼之间的光纤一对。.选择EVA的理由EVA的拥有独特先进的虚拟存储技术，该技术已成为业届发展方向惠普“企业号”虚拟阵列(ENTERPRISE)是最新一代StorageWorks磁盘阵列家族。它采用VersaStor虚拟化技术，为高端企业市场提供了一款超高性能、超高容量、超高可用性的“虚拟”RAID(Vraid)存储解决方案，消除了传统存储设计中时间、空间和成本等方面的限制。HPENTERPRISE专门为数据中心而设计，可以满足数据中心对更高存储利用率和可扩展性的关键需求，同时满足应用对于始终如一的高I/O和MB数据速率交易性能、无缝扩容、即时复制以及简化存储管理的特殊需求。由于数据中心的容量/复制需求不断增加，业务连续性需求空前增长，并且需要最高性能，而"企业号，虚拟阵列能够节省客户企业的空间、时间和成本，使用户有机会创造极其巨大的价值，因此成为他们最理想的选择。EVA磁盘阵列具备在线扩容能力。例如在微软全球内部Exchange2000的电子邮件系统中就采用的EVA。因为只有EVA能提供WindowsBasicDisks在线扩容，不用Reboot，不用停机，其他品牌的阵列都需要停机并作数据迁移。而在关键业务中，是不可能容许经常停机的。EVA具有卓越的功能：先进的虚拟化技术，不需要大缓存，为用户节约投资成本EVA采用先进的虚拟化技术及优化的缓存算法，是磁盘阵列的瓶颈集中到了磁盘本身一一即磁盘转轴个数，获得了十几个专利技术的缓存算法及高性能设计的控制器物理特性，保证了EVA卓越的性能带宽。大缓存对于Mainframe大机环境比较有效，而在UNIX，Windows等开放环境中，控制器大缓存已经不适用了。而且如果说大缓存除了能增加用户投资费用，还能提高性能的话，那某些具有高缓存容量产品的性能应该是EVA的数倍，可并不是这样的，EVA在业界目前具备实际领先的性能指标。只要有足够的空间，容许多个硬盘故障，提高了系统的可靠性虚拟化的RAID采用虚拟化技术，在虚拟存储池中先分配虚拟硬盘，然后在虚拟硬盘上再建RAID保护级。虚拟磁盘实际上是从整个虚拟存储池当中划分空间，使得虚拟硬盘的数据块实际上均匀分布在所有物理硬盘空间上。在整个虚拟存储池当中留有相应的保护空间，用来做类似于hotspare盘的工作，但不必单独用某几块物理硬盘来做热盘，避免了用户资源浪费。VRAID5将整个VDISK（^拟硬盘）的应用数据和校验数据均匀分配到所有物理硬盘上，同时在物理实现时采用RSS（冗余存储集）保护，使得在同一个存储集内部两个物理块同时损坏的几率降到最低。所以，在VRAID5的硬盘组中有一块硬盘损坏，后台从虚拟存储池中的剩余空间自动重新分配，保证数据不会丢失。EVA无单点故障的冗余体系结构,对比以前分布式存储而言,大大提高数据的安全性。在今天的SAN环境当中，数据的集中和数据的可靠性保证已经都有了相应的解决方案。整体的可靠性保证要靠整个方案的拓扑结构设计和产品的可靠性设计，如整个系统拓扑结构采用双路冗余结构，避免单点故障，从物理结构上先降低了数据危险性系数。EVA在物理结构设计上采用无单点故障冗余体系结构设计，同时通过增值软件通过多路径能力(SecurePath)消除了服务器到存储之间的单点故障，在数据保护上采用虚拟VRAID技术和虚拟存储池的保护级设置双重保护数据安全性。EVA的SNAPSHOT、SNAPCLONE的优势。在EVA中采用的虚拟化技术代表了新一代存储高新技术，当中除了关键核心控制器的虚拟化控制器软件采用了虚拟化技术以外，还有很多增加可管理性，数据安全性的软件，如不用占用空间的虚拟快照CapacityFreeSnapshot,即时使用的克隆SnapClone,以及在线动态扩容、应用业务均衡负载等等，都是EVA独有技术。EVA的空间利用率为80%,大于传统阵列的50%如下图所示，全部是73GB硬盘，其中6块盘做raid5,3块盘做raid0,2块盘做raid1,考虑到将来的可扩展性，每个存储集中剩余空间为50%,所以给raid5剩余可用空间为219GB,raid0剩余可用空间为109.5GB,raid1剩余可用空间为73GB。可是实际上，全部的剩余可用空间为401.5GB,在EVA中均可作为vraid5,vraid0,

vraidl来用。对于整个存储阵列来说，空间利用率实际上是提高了。而在虚拟raid重构时，因为虚拟存储池在创建之初就设定了一定的保护级，留有一定的剩余空间用来补充raid重构的空间花销。同时系统可以设置相应的警告线，如在剩余空间不足10%（这个值可根据用户需求自定）的时候告警，所以系统会提前告诉用户空间不够，需要扩展。因此，不会造成因为空间不够而造成系统数据丢失。同样，Snapclone在未完成时，如果系统存储空间不够了，系统同样会做出警告，在这期间，系统会保持现有clone的状态，直到用户扩展了足够的空间后，clone接着进行。Snapclone的好处在于即时使用，详细特点可见后面附件，vraid,clone必然会占用存储空间，这并不是空间浪费。DVR3.增加三台皿380服务器网络中需要增加三台HP380G5服务器以满足新应用的需求。一台做为数据库集中备份服务器，连接MSA1000存储系统，安装VERITASBackupExec数据库软件，对网络中的各个数据库进行集中备份，备份的数据存储在MSA1000存储系统上。为了保证备份出来的数据安全，将这台数据库备份服务器与MSA1000存储系统放置在新大楼机房。网卡连接新大楼中的汇聚交换机。一台做为备用应急服务器，当HIS双机平台或LIS服务器发生灾难性故障时，可通过数据库备份软件将HIS或LIS数据快速恢复到这台备用服务器上，以保证HIS或LIS应用的快速恢复运行，使业务中断时间缩短。此服务器安装在门诊楼机房，网卡与主核心交换机相连。一台做为做为华为TSM网络管理服务器和网管服务器，安装华为TSM和北大青鸟网管软件，TSM对网络中的终端的接入与资源进行控制，所有内网终端接入到内网要得到许可才能接入，非法的终端接入将被拒绝。北大青鸟网管软件可以对网络中的网络设备和服务器的状态进行监控。此服务器安装在门诊机房，网卡与主核心交换机相连。

四、方案报价序号产品名称产品描述数量单价一、内网交换机1华为S9306内网核心交换机T比特路由交换机，背板容量:2.4Tbps；交换容量：2Tbps；包转发率：1080Mpps；引擎槽位：2个；业务板槽位：6个；GE端口密度：288个；10GE端口密度：72个，冗余电源；本次配置单引擎,24口千兆以太网电口业务板1块，24口千兆以太网光口业务板1块,2口万兆光口业务板1块,千兆多模光模块10个，千兆单模光模块4个，万兆单模XFP模块1个。121802华为S6502业务板4口XFP万兆光纤端口业务板，含1块万兆多模XFP模块，2块万兆单模XFP模块116003华为S5328C-SI内网接入交换机背板容量:256Gbps；交换容量：88Gbps；包转发率：66Mpps；24个10/100/1000Base-T，4个100/1000Base-XSFPCombo，本次配置2端口万兆XFP光接口以太网模块1块。1个万兆多模XFP模块；14204华为S3328内网接入交换机背板容量:64Gbps；交换容量：12.8Gbps；包转发率：9.6Mpps；24个10/100Base-T，2个1000Base-XSFP，2个10/100/1000Base-T与2个100/1000Base-XSFPCOMBO；配置2个千兆多模模块;51005华为S3328内网接入交换机背板容量:64Gbps；交换容量：12.8Gbps；包转发率：9.6Mpps；24个10/100Base-T，2个1000Base-XSFP，2个10/100/1000Base-T与2个100/1000Base-XSFPCOMBO；配置2个千兆单模模块;1120二、外网交换机1华为S5328C-EI-24S外网核心交换机背板容量:256Gbps；交换容量：88Gbps；包转发率：66Mpps；24个100/1000Base-XSFP，4个10/100/1000Base-TCombo，上行2个10GEXFP插卡或者4个1000Base-XSFP；配置6个千兆多模模块；1410

2华为S2326TP外网接入交换机背板容量：32Gbps；交换容量：8.8Gbps；包转发率：6.6Mpps；24个10/100Base-TX，2个千兆Combo口（10/100/1000Base-T或100/1000Base-X），交流供电；配置1个千兆多模模块;560三、服务器部分1HP380G5服务器英特尔至强四核E5420(2.5G，12ML2cache)/4GBPC2-5300DDR2SDRAM/P400/256MB阵列控制器/2块146GBU32010000rpm热插拔2.5英寸SAS硬盘々VD/双千兆网卡/2U机架式22802HP380G5服务器英特尔至强四核E5420(2.5G，12ML2cache)/4GBPC2-5300DDR2SDRAM/P400/256MB阵列控制器/2块146GBU32010000rpm热插拔2.5英寸SAS硬盘/DVD/双千兆网卡/DVDRW光驱/2U机架式/1块PCI-EHBA卡13403HP580G5光口网卡HPNC373FPCI-e多功能单通道千兆网卡（光纤介质）8204HP580G5CPUXeon四核E73101.6GHzCPU21005HPEVA4400企业虚拟阵列12盘位/HSV300控制器*2/每对控制器上缓存4GB/光纤主机端口4个/支持2Gb/4GbFC光纤磁盘/最大磁盘数量支持96块，最大磁盘容量96TB/实现RAID0、1、5/<^IOPS：140,000,数据吞吐量：1380Mbps/配置HP300GB15KFCHDD*12块218006HBA卡HP4GbpsFCPCI-EHBA卡2607SAN交换机16端口（8个激活端口）端口速率4Gb（含8个SFP模块/2个HBA卡/8根5米LC-LC多模光纤连接线）24008HA双机软件SymantecstoragefoundationHA5.0含2节点许可/12个月电话支持/CD介质900四、内外网安全部分1华为TSM终端安全管理软件用户管理功能/安全接入功能/终端安全策略管理功能/员工行为管理功能/资产管理功能/补丁管理功能/软件分发功能/含200用户节点许可,一台Eudemon100E防火墙（SACG）11500

2华为USG5320防火墙USG5320直流主机含HS通用安全平台软件+SecowayUSG5000统安全网关电子手册，山高度标配4个千兆Combo端口（光电互斥），两个扩展插槽，支持2GE（光电互斥）/4FE扩展插卡，最多8个千兆Combo端口（光电互斥），双冗余电源。吞吐量：5Gbps；并发连接数：300万；每秒新建连接数：7万16003网御神州NBA上网审计系统1U,最大支持100用户，3个电口。上网彳亍为审计，上网内容审计，上网行为控制，上网行为分析23004青鸟网硕EasyView网管系统服务器监测/业务应用监测模拟应用监控/数据库监测指标/网络设备监测/报表功能/故障报警功能/故障处理/系统管理/50个网络设备许可，20个服务器许可1500五、其它1机柜图腾标准服务器机柜600*900*2000,前后门网孔，黑色，含PDU,托盘4502KVM与服务器同品牌KVM/8口四合KVM（切换器，显示器，键盘，鼠标）/分辨率：1024x768/超薄键盘，105键/标准PS/2鼠标触摸板/1U高度,全钢结构/导轨带自动锁止装置11003光纤含光缆,跳线,熔接费用，辅材一批1200合计五、产品介绍（一）华为QuidwayS9300系列T比特路由交换机QuidwayS9300系列T比特路由交换机是华为公司面向以业务为核心的网络架构而推出的新一代高端以太汇聚交换机。该产品基于华为公司智能多层交换的技术理念，在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上，进一步提供业务流分析、完善的QOS策略、可控组播等智能业务优化手段，同时具备超强扩展性和可靠性，广泛适用于运营商IP城域网，企业广域网/城域网，企业出口/核心/汇聚，高密度千兆桌面接入，以及数据中心，帮助电信运营商和企业构建面向业务的网络平台，提供交换路由一体化的端到端融合网络服务。S9300系列提供4插槽、8插槽、14插槽三种产品形态，支持不断扩展的交换能力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念，最小化备件成本，在保证设备扩展性的同时最大限度地保护用户投资。此外，S9300作为新一代智能交换机采用了多项绿色节能创新技术，不断提升性能及稳定性的同时，大幅降低设备能源消耗，减小噪声污染，为网络绿色可持续发展提供领先的解决方案。产品特点.创新的三平面设计S9300在传统交换机数据转发、管理控制双平面基础上创新地增加了独立的环境监控平面，实现对单板、风扇和电源配电模块的管理、监控和维护。业界首创的环境监控板，采用华为自主知识产权的高集成度中控芯片，实现硬件级的按流量动态调整功率、风扇分区控制、风扇智能调速、端口休眠技术等多项节能技术，在提升系统性能的同时大大降低整机功耗。支持独立环境监控与网管联动，实现全面可视化管理。创新的三平面设计,一机多用，全业务的以太交换平台QuidwayS9300系列不但能为电信运营商和企业提供业界领先的性能、端口密度和可用性，同时提供强大的全业务支持，包括：整机支持高达576个GE/144个10GE端口；采用领先工艺设计，优化整机尺寸，超强双侧走线能力，提供无与伦比的单机柜端口密度，支持高达1728个GE或432个10GE端口支持DSLAM汇聚和以太的统一接入，满足全光接入的需求。分布式L2/L3MPLSVPN功能，支持MPLS、VPLS、HVPLS、VLL，满足大客户VPN专线、企业VPN等高端用户的接入需求具备线速的跨VLAN组播复制能力，实现端口的满负荷复制，满足大容量的IPTV用户接入需求；完善的二、三层组播协议，可作为组播复制点和控制点，提供高性能的IP组播视频和音频应用丰富的L3路由协议满足了传统网络要求，支持从企业级到电信运营级大规模路由表；支持IPv6,满足网络由IPv4向IPv6平滑升级，保护投资支持主流的时钟方案，包括以太网同步时钟，以及IEEE1588时钟同步支持POE，满足以太供电需求3,高可靠性设计，提高网络弹性S9300具备5个9的运营级高可靠性，关键部件包括主控、电源、风扇采用冗余设计，所有模块均支持热插拔。基于分布式的硬件转发架构，控制平面与数据转发平面分离能够在控制引擎间实现无缝切换，设备重启无中断转发，未来支持ISSU业务无缝升级，提供应用和服务连续性统一的融合网络环境，保证关键业务和服务不中断。支持IEEE802.3ad链路汇聚、IEEE802.1s/w、虚拟路由器冗余协议（VRRP），同时支持丰富的毫秒级倒换技术如RRPP、SmartLink、IPFRR、TEFRR等，实现传输级的高可靠性。提供3.3ms高精度硬件级以太OAM功能，实现快速故障检测与定位，与其他保护技术联动可有效保证毫秒级网络保护.卓越的三维扩展能力，容量“无极变速”支持丰富的灵活业务插卡及业务单板，未来支持Firewall、IPSec、IDS、Netstream、NAT,满足未来业务的扩展需求。作为新一代的以太汇聚平台，S9300可以从容应对城域网和大容量IDC对核心汇聚设备的带宽需求。S9300单槽位支持12X10GE线速转发，整机支持2T的交换能力，更好地满足IPTV等大带宽业务和IDC机房的接入需求。系统预留向更大交换容量升级的能力，满足未来100GE的需求。支持扩展到3.84T交换容量，单槽位支持480G线速转发，充分考虑未来3〜5年的带宽需求，提供带宽平滑扩展能力。.六项创新节能技术，省电30%S9300作为新一代交换机产品，在提升整机转发容量的基础上，采用了面向未来的节能减排设计方案，节省自身耗电的同时减小整体机房系统能源消耗，大幅降低网络运维成本。“变流”芯片实现按流量动态调整功率，降低功耗8%。“旋转”风道设计，提高整机散热效率，降低功耗3%,同时整机出线能力提高6倍。采用颗粒化、小功率的模块化设计思路，提高电源系统的转换效率，电源按需配置，减少初期投资，降低设备功耗10%独立风扇分区控制，降低噪音10%,并延长风扇使用寿命智能风扇调速策略，监测全系统关键器件温度，小区间控温技术，可以有效降低转速，降低功耗3%支持端口休眠，降低功耗6%,无流量不耗电.周密的安全设计S9300提供多种安全措施，可以为服务提供商以及网络终端用户提供多重数据保护。支持完善的AAA(Authentication,AuthorizationandAccounting)机制，根据策略对接入用户进行认证、授权和计费。支持路由协议加密、合法监听、MAC地址过滤、动态ARP检测等一系列安全特性，可以为服务提供商以及网络终端用户提供数据保护。提供2级CPU保护机制，支持1KCPU保护队列，防止拒绝服务攻击、非法接入以及控制平面过载等，提供业界领先的安全性能（二）华为QuidwayS6500系列高端多业务路由交换机QuidwayS6500系列高端多业务路由交换机是华为公司面向IP城域网、大型企业网及园区网用户开发的系列大容量、高密度、模块化的二、三层线速以太网交换机产品，主要作为企业的核心交换机，城域网汇聚层交换机，EPON以太无源光网络的OLT（光线路终端设备）。该系列产品包括S6502（2槽），S6503（4槽），S6506（7槽），S6506R（8槽）。QuidwayS6500能够为城域网、园区网、数据中心提供超高速链路，打造低成本、高性能、具有丰富业务支持能力的高性能网络。QuidwayS6500提供大容量、高密度、模块化的二、三层线速转发性能，同时具有丰富的业务功能、强大的QoS保障和NAT处理能力，以及完善的安全管理机制和电信级的高可靠设计，完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。产品特点QuidwayS6500系列高端多业务交换机的特点可以用一句话来概括：”多快好省、高而不贵”。多：多种机箱，多种引擎，多种线卡，多种业务。多种机箱S6500系列包括：S6502（2槽）、S6503（4槽）、S6506（7槽）、S6506R（8槽）。采用统一的硬件和软件平台，完全兼容的引擎和接口板，相同的软件版本。多种引擎SalienceIII96G（交换容量96Gbps）、SalienceIII384G（交换容量384Gbps）、SalienceIII768G（交换容量768Gbps）。多种线卡支持百兆、千兆、万兆各种类型的以太网接口板、支持POE(PowerOverEthernet)接口板、支持EPON(EthernetPassiveOpticalNetwork)接口板；支持多种组合接口板；接口密度从每单板4口一每单板48口多种密度可选。.多种业务支持强大的组播功能、QinQ、灵活QinQ、802.1x、内置DHCP-SERVER、NAT、Netstream、PBR等多种业务特性，并支持MPLS、IPv6等业务的进一步硬件升级扩展。快：采用新一代高速引擎，实现全分布式线速交换，提供高密度万兆接口，支持高速业务处理。.高速引擎采用全分布式体系结构设计，通过Crossbar技术进行高速报文交换；Crossbar交换网芯片内置于主控板，不再单独占用设备槽位；支持高达768G交换容量。.分布式高速接口板支持每板48端口千兆、每板1/2/4端口万兆等系列化“XG”型高速接口板，实现板内、板间二、三层流量的线速转发；ACL、QOS、组播等基本业务全分布式处理。.高密度万兆接口支持新一代万兆以太网技术，在线速转发的基础上能够提供强大的QoS保障，并支持丰富的ACL、策略路由、安全等特性；支持高密度万兆设计，每块业务板可以提供1—4个万兆接口。.业务与性能并重的设计理念Netstream处理能力：每板支持的流条数300000条；NAT处理能力：每板并发会话条数：1000000条。好：电信级的高可靠性，完善的安全特性，高度的灵活适用性，人性化的运营维护特性。. 电信级的高可靠性支持无源背板，支持双路电源供电，支持引擎、电源、风扇的冗余，支持单板热插拔；并可以支持STP/RSTP/MSTP/VRRP/RRPP等协议实现链路冗余。完善的安全特性遵从最小服务原则，所有可能遭受到攻击的网络服务在默认情况下均关闭；支持安全的SSH登陆、基于用户安全策略的SNMPV3、MAC+IP+VLAN绑定、802.1X认证等安全策略；支持防网络风暴攻击、防DOS/DDOS攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。.高度的灵活适用性支持业务深度感知，资源动态调配技术，支持ACL/VLAN的动态策略下发；系列化设计，支持从接入到核心的灵活组网能力；内置EPON、POE、NAT、Netstream、DHCPSERVER等多种业务特性。.人性化的运营维护特性支持集群管理，可以对网元进行批量配置和批量升级；支持拓扑管理、可视化图形界面、智能化性能监控、告警管理等功能；省：高而不贵的产品设计理念，高度集成的产品形态，强大的扩展能力，保护用户投资。.高而不贵华为公司是“千兆到桌面”的倡导者和领先者，S6500系列交换机是实现千兆到桌面的主打产品，具有极高的性价比，是桌面带宽升级的最佳选择；提供多种组合配置报价，提供更加超值的“套餐”解决方案；S6502无需专门的管理和路由交换引擎，引擎内置于业务板内，是最具性价比的框式以太网交换机；提供多种组合接口板，从而实现“一板二用”，从而最大限度的节省用户的投资。.高度集成集成EPON特性，节省光纤资源；内置NAT引擎，节约出口路由器等NAT网关设备；内置NetStream特性，实现按内容、按流量计费，实现基于内容的业务感知和资源调整。.扩展无极限支持系列化引擎，从96G，到384G，再到768G；具有强大的转发性能，从72Mpps扩展到432Mpps；支持业务的扩展，采用“ASIC+NP”的体系结构，可以灵活扩展MPLS、IPv6等多种高级业务特性；具有高度的兼容性，各种机箱、引擎、接口板可以良好的向上、向下兼容。（三）华为QuidwayS5300系列全千兆运营级交换机QuidwayS5300系列全千兆交换机（以下简称S5300），是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代全千兆以太网交换机。可为客户提供强大的以太网功能服务。S5300基于新一代高性能硬件和华为公司统一的VRP（VersatileRoutingPlatform）软件，具备大容量、高密度千兆端口，同时可提供万兆上行能力，可以充分满足客户对高密度千兆和万兆上行设备的需求。S5300可满足运营商园区网汇聚、企业网汇聚、IDC千兆接入以及企业千兆到桌面等多种场合的需求。S5300系列以太网交换机为盒式设备，机箱高度为1U，提供标准型（SI）和增强型（EI）两种产品版本。标准型支持二层和基本的三层功能，增强型支持复杂的路由协议和丰富的业务特性，包含型号如下：S5324TP-SI/PWR-SI、S5328C-SI/EI、S5328C-PWR-SI/PWR-EI、S5328C-EI-24S、S5348TP-SI/PWR-SI、S5352C-SI/EI、S5352C-PWR-SI/PWR-EI。产品特点大带宽、高性能S5300最大可提供28/52个GE接口、或2个10GE接口，充分满足客户对高密度千兆和万兆上行设备的需求。S5300硬件支持二/三层数据包转发能力，所有端口线速转发。S5300能够识别和处理四到七层的应用业务流，能根据不同的业务流进行不同的管理和控制。强大的多业务支持能力S5300支持增强型灵活QinQ功能，启动该功能不占用ACL资源。S5300能将内层VLAN的CoS值映射到外层VLAN，或者修改外层VLAN的CoS值，可根据业务需要灵活标记QoS等级，满足多业务承载的要求。S5300支持可控组播，支持IGMPSnooping/Filter/FastLeave/Proxy等协议。S5300支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持基于Vlan的组播呼叫接纳控制功能（组播CAC），充分满足IPTV运营需求。S5300支持MCE功能，实现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。电信级以太网技术及高可靠性S5300不仅支持STP/RSTP/MSTP生成树协议，还支持树型（SmartLink）和环型（RRPP）拓扑等增强型运营级以太网技术，实现毫秒级链路保护倒换，保证高可靠性的网络质量；此外，S5300提供Smartlink和RRPP多实例功能，可实现链路负载分担，进一步提高了链路带宽利用率。S5300运营级以太网技术拥有很强的扩展性和兼容能力，能和现网设备混合组网，既保护了用户投资，又为新业务的引入提供了有力的保障。S5300支持BFD链路快速检测，能为OSPF、ISIS、VRRP、PIM等协议提供毫秒级检测机制，提高了网络可靠性。S5300支持双电源冗余供电，用户可灵活选择单电源工作模式或者双电源工作模式，提高了设备可靠性。完备的QoS策略和安全机制S5300能基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息，实现复杂流分流功能。S5300支持基于流的双速三色限速功能，每端口支持8个优先级队列，支持WRR、DRR、SP、WRR+SP、DRR+SP多种队列调度算法，有效地保证话音、视频和数据等网络业务质量。S5300提供多种用户安全保护功能，支持大ACL表项，支持IP、MAC、端口的组合绑定，支持MAC地址黑洞、端口隔离、包过滤、MAC地址学习数目限制、动态ARP检测、IPSourceGuard等安全技术，支持Radius、HWTACACS+认证、IEEE802.1X认证、SSH,为网络穿上坚实的保护衣。完善的维护和管理性S5300易于使用和部署，支持丰富的以太OAM特性（802.3ah和802.1ag）和多种维护管理模式。S5300支持HGMP、SNMP、NTP、SSHv2.0、TACACS+、RMON、多日志主机，基于端口的流量统计，多种配置管理和系统支撑等。S5300完善的操作维护功能，让运营商轻松管理网络，从而降低运维费用。（四）华为QuidwayS3300系列运营级园区交换机QuidwayS3300系列交换机（以下简称S3300），是华为公司为满足以太网多业务承载需要而推出的新一代三层以太网交换机，可为运营商或企业客户提供强大的以太网功能服务。S3300基于新一代高性能硬件和华为公司统一的VRP（VersatileRoutingPlatform）软件，提供增强型灵活QinQ功能，具备线速的跨VLAN组播复制能力，支持SmartLink（用于树型组网）和RRPP（用于环形组网）等电信级可靠性组网技术，具备以太网OAM功能，可满足楼宇接入、园区汇聚和接入等多种应用场景的需求。S3300设备安装简便，支持自动配置，即插即用，显着降低客户网络部署成本。S3300系列交换机为盒式产品设备，机箱高度为1U，提供标准型（SI）和增强型（EI）两种产品版本，标准型支持二层和基本的三层功能，增强型支持复杂的路由协议和丰富的业务特性，包含型号如下：S3328TP-SI、S3328TP-EI、S3328TP-EI-24S、S3328TP-PWR-EI、S3352P-SI、S3352P-EI、S3352P-EI-24S、S3352P-EI-48S、S3352P-PWR-EI。产品特点强大的多业务支持能力S3300支持增强型灵活QinQ功能，启动该功能不占用ACL资源。S3300能将内层VLAN的CoS值映射到外层VLAN，或者修改外层VLAN的CoS值，可根据业务需要灵活标记QoS等级，满足多业务承载的要求。S3300支持1K个组播组，支持可控组播，支持IGMPSnooping/Filter/FastLeave/Proxy等协议。S3300支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持基于Vlan的组播呼叫接纳控制功能（组播CAC），充分满足IPTV运营需求。S3300支持MCE功能，实现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。运营级高可靠性S3300不仅支持STP/RSTP/MSTP生成树协议，还支持树型（SmartLink）和环型（RRPP）拓扑等增强型运营级以太网技术，实现毫秒级链路保护倒换，保证高可靠性的网络质量；此外，S3300提供Smartlink和RRPP多实例功能，可实现链路负载分担，进一步提高了链路带宽利用率。S3300运营级以太网技术拥有很强的扩展性和兼容能力，能和现网设备混合组网，既保护了用户投资，又为新业务的引入提供了有力的保障。S3300支持BFD链路快速检测，能为OSPF、ISIS、VRRP、PIM等协议提供毫秒级检测机制，提高了网络可靠性。完备的QoS策略和安全机制S3300能基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息，实现复杂流分流功能。S3300支持基于流的双速三色限速功能，每端口支持8个优先级队列，支持WRR、DRR、SP、WRR+SP、DRR+SP多种队列调度算法，有效地保证话音、视频和数据等网络业务质量。S3300提供多种用户安全保护功能，支持大ACL表项，支持IP、MAC、端口的组合绑定，支持MAC地址黑洞、端口隔离、包过滤、MAC地址学习数目限制、动态ARP检测、IPSourceGuard等安全技术，支持Radius、HWTACACS+、IEEE802.1X认证、SSH,为网络穿上坚实的保护衣。独具特色的无风扇设计S330024电口设备采用无风扇设计，低功耗，无噪音，彻底解决由于风扇带来的凝露腐蚀问题。完善的维护和管理性S3300易于使用和部署，支持多种维护和管理模式，全面监控各种状态数据。此外，还支持以太OAM(802.3ah和802.1ag)、HGMPv2、SNMP、NTP、SSHV2.0、HWTACACS+、RMON、基于VLAN和端口的流量统计。S3300完善的操作维护功能，让运营商可以轻松管理网络，从而降低运维费用，提高产品的性价比。(五)华为QuidwayS2300系列运营级接入交换机QuidwayS2300系列交换机(以下简称S2300)是华为公司推出的新一代以太网智能接入交换机，面向IP城域网和企业网，满足以太网多业务承载以及各种以太接入场景。S2300基于新一代高性能硬件和华为VRP(VersatileRoutingPlatform)软件平台，可为用户提供丰富灵活的业务特性，有效地提高产品可运营、可管理和业务扩展能力，具备优异的防雷能力和安全特性，支持强大的ACL功能，支持QINQ，支持1：1和N：1VLAN交换功能，满足VLAN灵活部署的需求。S2300为盒式产品设备，机箱高度为1U，从特性上划分SI和EI两个产品版本，包括：S2309TP-SI/EI、S2309TP-PWR-EI、S2318TP-SI/EI、S2326TP-SI/EI、S2326TP-PWR-EI、S2352P-EI。产品特点：基于VLAN的业务控制S2300在支持丰富的ACL策略控制，特别支持基于多端口VLAN下发ACL规则，实现VLAN内多端口的灵活控制和统一资源调度。S2300-EI支持1：1VLAN交换功能，实现IPTV业务中家庭网关零配置；同时，S2300在业界率先支持N:1Vlan交换功能，在用户接入侧就实现了VLAN聚合，精简了VLAN数量。S2300-EI支持QinQ，能将用户私网VLAN标签封装在公网VLAN标签中，使报文带着两层VLANTag穿越运营商的骨干网络。丰富的组播功能S2300支持组播组，支持丰富的二层组播复制功能，包括IGMPSnooping、IGMPFilter、用户快速离开、组播VLAN复制和捆绑端口的组播负载分担，还支持基于端口的组播速率限制和流量统计，充分满足IPTV运营需求。完备的QoS策略S2300每个端口支持4个队列，支持WRR、SP、WRR+SP多种队列调度算法，可以基于Vlan、MAC地址、IP协议、源地址、目的地址、优先级、或应用程序的端口，实现复杂流分流功能。支持基于流的限速功能，保持各个端口的线速转发，有效地保证高品质的话音、视频和数据等网络业务质量。卓越的安全特性S2300提供多种用户安全保护功能，支持大ACL表项，支持IP、MAC、端口的任意组合绑定，支持MAC地址黑洞、端口隔离、包过滤、MAC地址学习数目限制、动态ARP检测、IPSourceGuard等安全技术，支持Radius、HWTACACS+认证、IEEE802.1X认证、SSH，为网络穿上坚实的保护衣。强大的防雷能力S2300采用华为公司专利防雷技术，可以有效抵御感应雷击过电压，在不增加任何防雷器件的情况下，所有端口可以达到6KV的防雷能力。在实际应用中，即使在恶劣的应用场景下，也可大大降低设备的雷击损坏率。完善的维护和管理性S2300易于使用和部署，支持多种维护和管理模式，全面监控各种状态数据。此外，还支持HGMPv2、SNMP、NTP、SSHV2、HWTACACS+、RMON>S于VLAN和端口的流量统计。S2300完善的操作维护功能，让运营商可以轻松管理网络，从而降低运维费用，提高产品的性价比。绿色节能，减排降耗S2300功耗低，环境温度适应能力强，无风扇设计，自然散热，保障安静环保的工作环境。（六）华为SecospaceTSM系统架构SecospaceTSM系统是一个包括软件和硬件整体系统。主要由Secospace管理器（SM）、Secospace控制器（SC）、Secospace修复服务器（SRS）和Secospace代理（SA）四个软件部件，以及安全接入控制网关（SACG）一个硬件部件，共五个部件组成。SecospaceTSM系统管理员使用IE浏览器登录管理端控制台界面进行日常维护管理操作。SecospaceTSM系统架构如下图所示：SecospaceTSM系统架构图SecospaceTSM系统各模块功能Secospace管理器（SecospaceManager，简称SM）SM是SecospaceTSM系统的业务核心，提供各种业务功能组件，包括资产管理、软件分发、补丁管理、日志管理、终端安全策略管理、身份管理、报表等组件，并提供WEB界面与用户交互。Secospace控制器（SecospaceController，简称SC）SC是安全管理业务的执行体，负责管理SA和与SACG联动。SC接收SM的指令并发给SA执行。当用户通过SA认证通过后，SC控制SACG开放用户访问相应企业资源的权限。Secospace代理（SecospaceAgent，简称SA）SA安装在用户终端上，负责用户的身份输入、安全策略检查和用户行为审计等。在用户使用网络前，必须启动SA，然后输入身份信息进行登录，在登录过程中，SA同时收集客户端的安全信息，把相关信息发送到SC进行检查。如果身份合法，同时安全策略符合企业需求，则开始使用网络；如果身份不合法，则终端只能访问企业预先设置好的认证前域；如果身份合法，但是不满足企业安全策略，则SA会向用户提示警告，同时协助指导用户进行安全修复。SA提供了安全监控功能，可以根据SC下发的安全监控策略在后台执行审计监控任务，并返回执行结果，例如USB使用记录等。SA同时提供用户本机自检和软件自动升级等功能。Secospace修复服务器（SecospaceRepair$6^6r，简称SRS）SRS对操作系统补丁、江补丁、杀毒软件等安全资源进行集中统一的管理，对不符合企业安全策略的终端进行安全修复，同时为用户提供安全策略查询和安全问题反馈。SRS接受Secospace管理器的信息，根据用户的安全状况给用户相应的提示信息，并引导用户对终端进行安全修复，比如补丁安装等。安全接入控制网关（SecurityAccessControlGateway，简称SACG）SACG控制终端的网络访问权限，对不同角色的用户、不同安全状况的用户开放不同的网络访问权限。当终端用户的身份认证和安全检查通过之后，SC服务器把检查结果通知SACG，SACG根据用户的角色，开放终端用户的访问权限。从而防止非法用户访问企业内部网络，防止合法但不安全的用户访问企业内部网络。SACG采用华为公司的Eudemon系列产品，包括Eudemon100E、Eudemon200S、Eudemon300、Eudemon500、Eudemon1000。实物图如下:安全接入控制网关系列产品实物图（七）网神SecFox-NBA（上网审计型）需求分析随着人们对互联网的使用越来越普及，互联网给我们带来许多方便的同时，也带来了许多风险和挑战。政府和企事业单位管理者希望对员工上网进行合理的控制，而网管无法找到一个可以实现该功能的专用工具。因为现有的网络设备，网管软件都不能灵活分配员工可获得的上网资源，透视员工的上网行为。政府和企事业单位内部人员通过网络泄漏敏感资料的事件时有报道，员工因私上网影响工作的问题日益明显，网管对限制员工私自下载危险文档的需求越来越迫切。政府和企事业单位的计算机应用和上网条件越来越好了，但同时产生出来的问题也越来越多了。很有可能，您的员工正在如此“工作”：两个人正在下载MP3,电影，消耗大量带宽三个人在下载和分发不良的信息和图片两个人在玩在线游戏两个人正在用QQ和无关的人聊天两个人一边工作一边炒股还有一个人在传送秘密的资料给竞争对手……这些威胁和挑战事件多数是来自于内部合法用户的“合法”操作引起的，仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足对这些互联网安全事件的审计要求。因此，网络行为和内容审计系统应运而生。产品介绍SecFox-NBA（上网审计型）一一全面审计上网行为网御神州的SecFox-NBA网络行为审计系统（上网审计型）通过旁路侦听的方式对内部网络连接到互联网（Internet）的数据流进行采集、分析和识别，实时监视用户使用互联网的状态，记录各种上网行为，发现对互联网滥用，过滤不良信息，并对用户上网过程中发送和接收的相关内容进行控制、存储、查询和分析。作为一个互联网安全审计系统，SecFox-NBA（上网审计型）能够对各种应用层协议进行解析，对用户使用互联网过程中的各种网络服务和应用进行分析，实现用户上网的行为审计、用户访问的内容审计，能够对用户上网行为进行控制，根据不同的策略封堵各种网络应用，还能够针对用户的上网行为进行实时监控和流量分析。产品亮点为了应对政府和企事业单位用户上网行为监控与审计的需要，以及国家相关法律法规的要求，网御神州推出了SecFox-NBA（NetworkBehaviorAnalysisforInternetAduit）网络行为审计系统（上网审计型）。该产品具有以下特点：部署简单：・通过旁路侦听的方式对内部网络连接到互联网（Internet）的数据流进行采集、分析和识别，不影响网络结构。•B/S结构，可在内网中任意台机器上（可进行安全限制），通过IE浏览器对其进行访问，无需安装任何客户端程序及插件。支持大型网络级联部署强大的互联网审计、控制、分析功能・基于应用层协议还原的行为和内容审计网页浏览（HTTP协议）审计，记录机器IP、访问网址等信息网络聊天审计：腾讯QQ、WindowsLiveMessenger、ICQ、YAHOOMessenger、网易泡泡、淘宝阿里旺旺、新浪UC、QQ聊天室等聊天软件,可记录聊天账号，聊天工具，未加密的聊天内容等信息收发邮件（POP3、SMTP、WEBMAIL、LOTUS、EXCHANGE）,可对邮件账号、标题、内容、附件进行审计P2P协议审计股票审计：审计大智慧、同花顺、钱龙等股票软件搜索关键词审计，baidu、google等常见搜索网站远程登录（TELNET协议）审计文件传输（FTP协议）审计音视频审计网络游戏审计：联众、边锋、QQ游戏、大型网游，等等细致的控制策略可对一周内任意时间段（最小精确到半小时）进行访问控制可对端口、网页访问、邮件、聊天、文件传输、远程登录、BT下载进行细粒度控制内外网黑白名单，可设置VIP机器、限制指定IP或空闲IP进行网络访问内置URL分类过滤库包含百万个站点以上的记录，含有超过一亿以上的网页。丰富多样的分析和统计功能实时流量：以图表的形式实时显示机器/机器组的流量变化轨迹实时观察：以列表的形式实时的显示所选机器的一切上网行为数据包流量：以列表的形式显示所选机器的数据包流量和流速统计报表：提供丰富的报表管理功能；根据时间、数据类型等生成报表，提供打印、导出等服务，可以保存为html格式；直观地为管理员提供决策和分析的数据基础，帮助管理员掌握网络使用状况流量排名、搜索关键字排名、网站排名、BBS访问排名、网址类型排名流量统计、协议流量分析、带宽统计、上网时长统计多种可选操作模式和认证方式提供两种操作模式，以满足不同用户操作习惯和不同操作目的的需求：面向功能的操作模式面向审计对象