医院网络系统建设设计方案

医院网络系统建设设计方案总体设计思想XXXXX医院网络系统的总体设计思想是建设一种含有高连通性、强大融合能力和快速响应能力的网络体系构造来确保医疗信息能够及时、精确、可靠、安全地在医疗系统进行传输，并适应将来业务的发展，为满足将来新业务的需求，为快速推出新业务打好基础。根据医疗行业网络信息系统的建设规定和本身的业务特点，组网时应考虑下列几点：1、弹性的网络弹性的网络必须是高可靠的网络和融合的网络。医疗网络上运行着多个医疗业务应用系统，如医院信息系统（HIS）、医学影像系统（PACS）、电子病历（EMR）、护士呼喊等。这些系统关系到人们的生命安全和身体健康，对网络的可靠性含有极高的规定。同时，这些医疗业务系统依赖于多个通信与存储技术，对网络能否集成多个技术的规定很高，并且网络需要含有高效的集中式管理能力，来减少医疗网络的维护开销。2、安全的网络医疗网络的安全性规定涉及下列几个方面：避免医疗信息被盗窃和修改和未授权的访问；保护患者的隐私；恪守政府法规的规定；避免病毒或攻击造成网络瘫痪而影响医院业务运行。通过防火墙等安全技术，实现基于顾客身份权限控制、自动完毕安全漏洞的修补和病毒的自动消除、攻击的防御和自动定位功效，从而为医疗机构提供从网络边界到核心的全方面保护能力，减少医疗风险，保护患者的隐私信息和医疗机构的信息安全。3、快速响应的网络医疗网络对快速响应规定体现在：医护人员但愿随处可得患者的医疗信息和辅助诊疗信息，物品跟踪需要随时掌握。这样，才干减少医疗差错，提高工作效率，提高患者满意度。4、交互式的网络交互式的医疗网络能够大大提高患者满意度，提高医务人员的工作效率，进行有效的跨部门协作。医务人员能够通过语音、视频、WEB、电子、即时消息等方式与患者、同事以及其它部门进行及时、充足、直观的信息沟通，完毕医疗信息的采集、分析、诊疗、和解决流程，实现远程医疗、远程会诊、远程监护，提高诊疗的对的性和紧急事件的解决能力，同时能够较好地解决医疗资源分派不均的问题。设计原则XXXXX市立医院的网络系统是医疗业务信息化重要的神经系统，承载着全院医疗信息传输的重任，为了确保这一系统的可靠性、安全性和系统的可扩展性，系统建设必须遵照下列原则：先进性原则：整个网络所采用的技术，特别是骨干网络采用的技术必须含有先进性。能够满足多个应用的高速传输需求，并与网络技术的将来发展趋势保持一致。确保所采用的设备和技术属世界一流产品，在对应的应用领域占有较大的顾客市场，在有关通讯网络技术方面处在领先地位。考虑到网络建成后将在很长一段时间使用，因此在选择技术及设备的时候应含有一定的超前意识。可靠性原则：整个系统采用品有高可靠性的总体设计，采用的技术应当是相对成熟的技术，在核心环节均应有冗余备份设计，在核心的网络设备上消除单点失效；设计中所选用的设备本身应含有较高的可靠性；我们将从网络骨干线路的冗余备份、网络设备的冗余备份和电源冗余备份等方面确保整个系统的可靠性。扩展性原则：所设计的网络应当能够根据将来需求的变化进行升级和灵活地调节。支持到将来新的网络技术的平滑过渡。确保在网络的成长过程中，业务不会受到影响。我们将从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体构造等方面，来确保网络系统的扩展性。开放性原则：所选择的设备技术应支持符合国际原则和业界原则的有关接口，能够与其它有关系统实现可靠的互联；在网络合同的选择方面，应选择广泛应用的原则合同，同时支持局域网部的其它合同。易管理性原则：整个系统节点数目多，物理围广，网络的管理任务十分复杂和重要，如何有效地管理好网络关系到与否能充足有效地运用网络系统资源，优化网络性能，保障网络安全。运用图形化的管理界面和简洁的操作方式，提供强大的网络管理功效，使网络日常的维护和操作变得直观，便捷和高效。安全性原则：随着计算机技术的发展，特别是网络和网络间互联的规模的扩大，信息和网络系统的安全性日益受到重视。各业务网络之间、各业务网络部、部网络与外部公共网之间的互联，使网络系统和信息资源的安全性面临十分严峻的挑战。我们运用硬件防火墙对网络的访问进行控制，同时，在系统软件和应用软件方面必须重视系统的安全工作，采用品有较高安全级别的系统软件引入含有可靠功效和专用网络安全产品；在对后期培训工作的安排中，加强对有关工作人员系统安全知识培训及解决突发故障能力的培训。统一性原则：按照医院的业务发展规划，在网络中将存在多个不同的业务，如话音，图像，IP数据流等。这些业务的接入方式及在网络上的传输方式各不相似。因此，最抱负的组网方式应是建立一种统一的交换平台，能支持多个不同业务。这样能大大的减少网络的连接复杂度，人员培训的难度，以及网络管理的压力，并提高网络的可靠性，简而言之，就是在建网的过程中运用尽量少的网络设备提供尽量多的网络业务，努力避免在一种节点是使用多个不同设备简朴互连，以堆砌的方式提供多个业务。实用性及经济性原则：根据顾客需求和规划，网络系统的设计在性能价格比方面应充足体现系统的实用性，既要采用先进的技术，又能在经费允许、含有较低成本的条件下实现建网目的，能够满足现有的网络互联和多个应用需求，并对将来可能出现的新需求提供良好的网络支持。兼容性原则：统一规划网络对于网络的建设和管理有非常核心的作用。首先是减少投资成本，避免重复建设。另一方面，确保整个网络系统端到端的一致性，利于优化网络，便于后来的网络管理和维护，能有效地减少管理成本。从技术方面来看，不同厂家在技术的实现方面存在某些差别，使得互联问题以及由此带来的维护成本变得不可无视。高性能原则:高性能是指确保网络中多个应用特别是核心业务的高效稳定的运行，而不是仅仅追求性能指标的数值。当今网络中核心业务及多媒体的应用越来越多，如VOIP应用对服务质量的规定较高，新的网络系统是将为容灾系统服务的，更应能对网络流量进行严格控制，确保QoS。项目建设的目的当代化高科技在医院中的应用现在，计算机技术和网络技术发展十分快速，以太网技术更是异常活跃，能够实现从百兆发展至千兆乃至万兆的平滑升级，网络的设备更新也比较快速。XXXXX市立医院的医务人员能够通过语音、视频、WEB、电子、即时消息等方式与患者、同事以及其它部门进行及时、充足、直观的信息沟通，完毕医疗信息的采集、分析、诊疗、和解决流程，实现远程医疗、远程会诊、远程监护，提高诊疗的对的性和紧急事件的解决能力，同时能够较好地解决医疗资源分派不均的问题。医院的门诊业务流程以下：医院的住院流程以下：项目建设的目的本次医院网络建设的目的很明确：第一、通过网络综合布线及购置网络设备，满足医院需求，解决高数据流量而带来的网络瓶颈问题，使院的网络能更快速的解决数据，将数据高速化，满足不同时段流量再大也能快速畅通的传输，以提高医院整体技术水平及作为对外科技先进的代表。第二、通过本次网络建设来满足医院信息系统（HIS），并为后来医院实施或计划实施电子病历（EMS）、医学影像存储与传输（PACS）、电子处方、移动医护工作战、护士呼喊、视频会议/视频监控、基于互联网的医疗服务、患者监护等更为核心的医疗业务的信息化应用，提供基础物理网络的升级，全部这些业务的信息化的基础是网络化，网络之于医疗信息化，就犹如神经系统之于人体同样重要。随着医院信息化的不停进一步，医院OA系统、MIS系统、HIS系统、PACS等系统互相融合，中国医院的信息化建设也已经从简朴的数据业务应用逐步发展到数据、语音、视讯等多业务统一承载。因此满足这些需求需有一定高速传输的网络传输媒介及高负荷的网络承载设备。第三、满足医院后来网络拓扑更改及数据点位增加而带来的设备冗余问题，为满足后期新建楼宇的网络信息加入。第四、设备及产品的后期服务，医院的特殊性质(7*24小时)决定时网络的实时传输性，一旦因设备中断而造成的服务中断，将直接影响到医院的正常工作，因此服务对于医院本次的网络建设也有着其不可无视的地位。网络建设方案计算机网络系统建设是一种庞大并且复杂的工程，它需要网络专业技术人员含有较高的素质和技术水平，以及应用部门的配合和多部门的亲密协作，因此我们对项目的实施提出“总体规划、分布实施”的建议。在制订总体规划时，我们遵照“切合实际，分阶段实施，循序渐进、安全有效”的基本原则。在网络架构的选择上要含有先进性，扩充升级方便，可保护前期投资。XXXXX市立医院的网络系统是一种承载多个医疗业务的IP网络，为适应多个新医疗业务的发展趋势，提供对IP业务的直接支持。这个网络又必须是一种高速度，高可靠性的网络，含有大容量高速传输的能力，以满足医院多个医疗业务系统如医院信息系统（HIS）、医学影像系统（PACS）、电子病历（EMR）、护士呼喊等。这些系统关系到人们的生命安全和身体健康，对网络的可靠性含有极高的规定。因此本项目定位是建设一种以TCP/IP合同为基础、含有大容量高速数据传输和解决能力的、可靠、稳定、安全的多业务的网络平台。我们将本项目所涉及到的技术和设备按照按照功效分为网络系统和网络安全系统。下面我们将对这两个部分进行论述。网络系统和安全系统设计和设备选型：本节重要涉及核心交换机、汇聚交换机、楼层接入交换机有关技术介绍。网络系统有关技术以太网交换机技术发展趋势近几年来，随着公司数据通信业务以及有关的融合业务的迅猛发展，以太网交换机作为不可或缺的核心设备不仅在数量上获得了极大的提高，并且在质量、性能等方面不停完善。公司的信息应用正在全方面走向宽带化和融合化，在这一背景下，传统的实现简朴连接和数据传输功效的以太网交换机已成为过去，纵观现在整个发展势，我们发现以太网交换机正朝着高速化、智能化的方向迈进。首先，速度是我们衡量网络性能的一种重要原则，从而也就成为以太网交换机等设备发展的一种重要方向。从最初的百兆到千兆再到万兆，以太网不停满足着人们快速增加的需求，给人们带来超乎寻常的体验。现在，人们对带宽的规定正在快速提高，如迅猛发展的存储网络必需的海量数据传输通道;大量高带宽汇聚的城域网络;不停丰富的宽带应用所需的带宽支持;大型金融机构的数据集中;公司核心业务、ERP、CRM等复杂的应用扩展。今天，千兆为骨干、百兆为接入的主流构造，将逐步向万兆为骨干、千兆为接入的构造过渡。另一方面是智能化，这里所指的智能化不仅涉及交换机设备智能化的管理，还涉及它们对越来越多的智能业务的支持。随着网络布署新应用和融合多业务的需求日益迫切，单一交换机需要拥有丰富的功效以提供更多的支持，与此同时，复杂的网络环境加剧了网络管理的难度，通过智能交换设备进行网络的集中管理，不仅简化了管理环节，并且减少了布署和维护的成本。从现在的市场发展趋势来看，智能交换机的需求量有了明显上升，越来越多的顾客更乐意将智能交换机作为设备采购的首选。现在，越来越多的网络厂商更加重视交换设备的管理性能和功效融合，QoS、单一IP地址管理、远程控制等功效成为智能交换机不可或缺的重要特性。为了承载远程教学、呼喊中心、视频会议、VoIP语音服务、VOD视频点播等对带宽和时延敏感的应用，智能化的以太网交换机还提供了丰富的QoS方略，确保了核心业务的快速、及时转发。流量访问控制、速度限制、远程管理等智能管理特性都成为以太网交换机协助顾客提高网络运行效率的重要因素。另外，以太网交换机越来越多地融入路由功效。以往，大家习惯将交换机看作基于局域网技术的一种设备，认为只有在局域网上，才考虑使用交换机，如果要与广域网互连，那就是路由器的事情。事实上，随着ASIC技术和网络解决器的不停发展成熟以及网络逐步被IP技术所统一，以太网交换技术已经走出了当年“桥接”设备的框架，能够应用到汇聚层和骨干层，路由器中所含有的丰富的网络接口，在现在的交换机上已经能够实现;路由器中拥有的丰富的路由合同，在交换机中也得到大量的应用;路由器中含有的大容量路由表在交换机中也能够实现。随着着技术的不停进步和人们需求的不停增加，以太网交换机市场也迎来了劲的发展势头。有报告认为，在前，10G以太网交换机将仍处在强劲的增加轨道上，人们对其市场持乐观态度。VLAN技术1、VLAN概述VLAN（VirtualLocalAreaNetwork）即虚拟局域网，是一种通过将局域网的设备逻辑地而不是物理地划分成一种个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以原则化VLAN实现方案的802.1Q合同原则草案。VLAN技术允许网络管理者将一种物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一种VLAN都包含一组有着相似需求的计算机工作站，与物理上形成的LAN有着相似的属性。但由于它是逻辑地而不是物理地划分，因此同一种VLAN的各个工作站不必被放置在同一种物理空间里，即这些工作站不一定属于同一种物理LAN网段。一种VLAN部的广播和单播流量都不会转发到其它VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的一种合同，它在以太网帧的基础上增加了VLAN头，用VLANID把顾客划分为更小的工作组，限制不同工作组间的顾客二层互访，每个工作组就是一种虚拟局域网。虚拟局域网的好处是能够限制广播围，并能够形成虚拟工作组，动态管理网络。VLAN在交换机上的实现办法，能够大致划分为4类：1、基于端口划分的VLAN

这种划分VLAN的办法是根据以太网交换机的端口来划分，例如QuidwayS3526的1~4端口为VLAN10，5~17为VLAN20，18~24为VLAN30，固然，这些属于同一VLAN的端口能够不持续，如何配备，由管理员决定，如果有多个交换机，例如，能够指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN，即同一VLAN能够跨越数个以太网交换机，根据端口划分是现在定义VLAN的最广泛的办法，IEEE802.1Q规定了根据以太网交换机的端口来划分VLAN的国际原则。这种划分的办法的优点是定义VLAN组员时非常简朴，只要将全部的端口都指定义一下就能够了。它的缺点是如果VLANA的顾客离开了原来的端口，到了一种新的交换机的某个端口，那么就必须重新定义。2、基于MAC地址划分VLAN这种划分VLAN的办法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配备他属于哪个组。这种划分VLAN的办法的最大优点就是当顾客物理位置移动时，即从一种交换机换到其它的交换机时，VLAN不用重新配备，因此，能够认为这种根据MAC地址的划分办法是基于顾客的VLAN，这种办法的缺点是初始化时，全部的顾客都必须进行配备，如果有几百个甚至上千个顾客的话，配备是非常累的。并且这种划分的办法也造成了交换机执行效率的减少，由于在每一种交换机的端口都可能存在诸多个VLAN组的组员，这样就无法限制广播包了。另外，对于使用笔记本电脑的顾客来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配备。3、基于网络层划分VLAN

这种划分VLAN的办法是根据每个主机的网络层地址或合同类型(如果支持多合同)划分的，即使这种划分办法是根据网络地址，例如IP地址，但它不是路由，与网络层的路由毫无关系。它即使查看每个数据包的IP地址，但由于不是路由，因此，没有RIP，OSPF等路由合同，而是根据生成树算法进行桥交换，这种办法的优点是顾客的物理位置变化了，不需要重新配备所属的VLAN，并且能够根据合同类型来划分VLAN，这对网络管理者来说很重要，尚有，这种办法不需要附加的帧标签来识别VLAN，这样能够减少网络的通信量。这种办法的缺点是效率低，由于检查每一种数据包的网络层地址是需要消耗解决时间的(相对于前面两种办法)，普通的交换机芯片都能够自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。固然，这与各个厂商的实现办法有关。根据IP组播划分VLAN

IP组播事实上也是一种VLAN的定义，即认为一种组播组就是一种VLAN，这种划分的办法将VLAN扩大到了广域网，因此这种办法含有更大的灵活性，并且也很容易通过路由器进行扩展，固然这种办法不适合局域网，重要是效率不高。多层交换技术技术原理随着着Internet/Intranet的布署和使用的迅猛成长，造成了公司和消费者计算模式的重大转变。市场对网络管理和数据流交换技术的需求不停提高，同时也规定这一技术能有效提供统计网络和应用资源运用率所需要的信息。为此引入一种新的交换技术—多层交换技术。多层交换（MLS：MultilayerSwitching）为LAN交换提供高性能的第三层交换。多层交换运用高级的针对具体应用程序的集成电路交换硬件在子网间交换IP数据包，并使用原则的路由合同被用来拟定路由。通过多层交换基于硬件的第三层交换技术能够解脱路由器在共享媒体网络技术上转发“单点传送IP”数据包而增加的工作负荷。每当在两个主机之间存在一种部分或完全的交换途径时，数据包将转由第三层交换功效转发。而那些不含有达成他们目的地的部分或者完全交换途径的数据包，则仍然使用路由器来实现转发。另外，多层交换同时也提供数据流统计功效，并把这种功效作为其交换功效的重要构成部分。这些统计信息被用来识别数据流特性，可用于网络管理、计划和故障排除操作。功效优势多层交换技术含有许多区别于其它网管技术的鲜明特性，因此在应用于网管用途时，也有着其独具的优势。透明性：无需修改端点系统以及对子网重新编号，它能与DHCP协同工作，也无需新的路由合同。快速收敛：运用这项功效，顾客能够借助硬件协助对于信息流的条目执行失效操作，以回应路由失灵和路由拓扑构造的变化。恢复能力：提供VRRP的优点，但是不需要附加配备。运用这一功效特性，当主路由器脱机后能够将交换透明地切换到热备路由器，这就消除了在网络上单点失灵的问题。记账功效和数据流管理：运用这一功效，顾客能够查看数据流的交换状况，这将有助于排除故障，进行数据流管理和执行集中账号功效。网络设立更为简化：运用这一功效，可使顾客的网络加速，但又保存现已存在的子网构造。运用这一功效，使得在公司的网络设计中，不用再考虑第三层网络段的数目。工作组间的快速连接性：通过Intranet和多媒体应用程序，满足对工作组间对于连接性的更高性能规定。通过菜单多层交换技术顾客能够在同一平台上获取交换和路由两方面的好处。访问服务器群的媒体速度：运用这一功效，顾客不需要将多个VLAN的服务器集中管理也能获得直接连接。通过逐个以信息流为基础而提供安全性，顾客能够控制对服务器的存取，能够基于子网编号和传输层应用程序端口过滤数据流，而不会对第三层的交换性能而产生不利影响。IGMPSnooping（组播侦听）IGMPSnooping即IGMP侦听,其重要作用是在交换机上完毕二层组播的动态注册。它使用的是IGMP报文，在较早的组网环境中，并没有以太网交换机的参加，路由器普通直接和主机相连，它们之间通过原则的IGMP合同来实现组播功效。而现在IGMPSnooping则不同，它的实现需要主机，交换机和路由器的共同参加。通过IGMPSnooping实现二层组播时需要在主机和路由器上实现IGMP，交换机只是通过侦听主机和路由器传送的不同类型的IGMP报文来动态维护二层组播组，并且在本交换机上的组播注册普通不会传输到其它交换机上。IGMPSnooping的实现和原则的IGMP合同的实现有相似之处，但IGMPSnooping其实并没有统一的国际原则，因此设计实现起来能够更加灵活高效。路由热备份合同所谓的热备份路由合同（VRRP）重要是向我们提供了这样一种机制，它的设计目的重要在于支持IP传输失败状况下的不中断服务。具体说，就是本合同用于在源主机无法动态地学习到首跳路由器IP地址的状况下避免首跳路由的失败。它重要用于多接入，多播和广播局域网。热备份路由合同（VRRP）的目的在于使主机看上去只使用了一种路由器，并且即使在它现在所使用的首跳路由器失败的状况下仍能够保持路由的连通性。此合同中所涉及到的多路由器都映射为一种虚拟的路由器。本合同确保同时有且只有一种路由器在代表虚拟路由器进行包的发送。而终端则是把数据包发向该虚拟路由器。这个转发包的路由器被成为活路由器。如果这个活路由器在某个时候由于某种因素而无法工作的话，则那个备份的路由器将被选择来替代原来的活路由器。本合同为活路由器和备份路由器的定义提供了一种机制。在合同所设计到的路由器上使用IP地址，如果这个活路由器失效的话则那个备份路由器立即替代活路由器工作而不会在对主机的连通性上产生大的中断。网络安全技术安全保障体系总体框架通过对XXXXX市立医院的安全需求分析，安全方略制订，从安全管理、安全技术和安全运行等方面，构建了整体安全保障体系，其总体框架如图3-26所示。图3-26安全保障体系总体框架实现网络与信息系统的安全是一种过程，采用信息系统安全工程（ISSE）的办法来指导整个安全工程的建设，才干保障良好的安全保障效果。网络与信息系统的体系设计和多个安全方法都来源于系统的安全需求，通过安全风险分析和安全需求分析，制订系统的安全保护方略，才干设计出有针对性的、有效减少系统安全风险的安全保障体系。网络与信息系统的安全需要从人、技术和操作这三个方面来考虑，采用纵深防御（IA）的战略思想设计网络与信息系统的安全保障体系，才干对系统实施有效的安全保障。本安全保障体系从安全管理、安全技术、安全运行三个方面进行设计，每个方面又涉及几个重要的方面。安全管理涉及组织和人员管理、物理安全管理、法律法规和原则、安全培训等；安全技术涉及网络和基础设施安全、边界安全、信息和应用安全等；安全运行涉及安全系统运行管理、应急响应与恢复、安全评定、监控与检测等。网络与信息系统的安全是一种持续改善的动态的过程。没有一劳永逸的安全方案，必须针对系统外部环境、部环境的变化，以及系统的业务应用任务的变化，进行持续的分析、评定和改善，才干确保系统的安全可靠运行。网络安全体系构造网络安全保障体系涉及物理安全、系统安全、网络安全、应用安全和安全管理。物理安全确保计算机信息系统多个设备的物理安全是保障整个网络系统安全的前提。物理安全重要涉及环境安全、设备安全和介质安全，是对网络系统所在环境、所用设备、所用介质进行安全保护。1、环境安全环境的安全重要是指防雷、防水、消防、防电磁辐射等容，对系统所在的安全保护，如区域保护和灾难恢复，具体实现可遵照国标GB50173-93《电子计算机机房设计规》、国际GB2887-89《计算机站场地技术条件》、GB9361-88《计算机站场地安全规定》。2、设备安全设备安全重要涉及设备的防盗、防毁、纺织线路截获、抗电磁干扰及电源保护等。3、介质安全指存储数据的安全。系统安全1、网络构造安全网络构造的安全重要指网络拓扑结与否合理、线路与否冗余、核心设备与否冗余等。建设网络是，应充足考虑这些因素。2、操作系统安全操作系统中的最基本的安全方法是访问控制，对使用资源的正当性进行审查。对操作系统的安全防能够采用以下方略：尽量采用安全型较高的网络操作系统并进行必要的安全配备，关闭某些不惯用的却存在安全隐患的应用，对某些保存有拥戴信息及其它口令的核心文献进行安全扫描，发现其中存在的安全漏洞，并针对性的进行对网络设备的配备更新或升级。3、应用系统的安全在应用系统安全上，应用服务器尽量关闭不经常使用的合同及端标语。加强登陆身份认证，确保顾客使用的正当性。严格限制登陆者的操作权限，将其完毕的操作控制在最小围。充足运用操作系统和应用系统本身的日志功效，对顾客所访问的信息作统计，为系统审计提供根据。4、系统备份和恢复系统备份和恢复机制是保护系统崩溃后快速恢复的重要技术方法。在系统运行时，可能由于多个因素发生系统崩溃等灾难。因此，应采用必要的技术手段对网络及主机设备的系统及配备等通进行备份，在故障或灾难发生时，能够使系统快速恢复到最新状态。网络安全网络安全是整个安全解决方案的核心，涉及访问控制、通信、入侵检测、安全扫描等。1、隔离与访问控制（1）局域网划分虚拟子网（VLAN）根据不同顾客的安全级别或不同部门的安全需求，运用三层交换机来划分虚拟子网（VLAN），在没有配备路有的状况下，不同虚拟子网间不能互相访问。（2）配备防火墙防火墙是实现网络安全的恶安全方法之一。防火墙通过制订严格的恶安全方略，实现不同网络或部网络不同信任域之间的隔离与访问。2、通信通信重要是为了保护网上传送的恶信息的安全。通过采用网络层加密等方法，实现对网络中重要信息传送的保护。应用安全1、访问控制在医疗信息网络中传送着诸多核心性的资料，关系到人们的生命安全，因此采用自主访问控制或强制访问控制的机制，对顾客和资源分派不同的授权级，根据授权，系统控制顾客对资源的访问。2、身份识别和验证身份识别和验证，是验证访问者身份的恶有效手段，、是系统中实现访问控制和建立顾客责任的基础。身份识别是对顾客向系统提供规定的身份进行证明的办法：身份验证是建立这种证明正当性的办法。系统通过接受如顾客名、口令、、图章、指纹或手书签名等验证数据、查证现在顾客与否仍是现在使用系统的顾客等。更为有效的加强身份验证，西通还能够采用加密技术。3、数据备份和恢复数据备份和恢复机制是保护网络数据资源的重要技术方法。在业务应用系统运行时，可能发生软件运行错误、系统死机和存储介质故障等灾难。因此，应采用磁盘镜像、磁盘阵列、磁带库等技术手段，对系统数据进行备份并在故障发生时，采用合适的恢复方略，修复中被破坏的或不对的的数据，使之恢复到一致性状态。安全管理XXXXX市立医院网络系统是一种横向、纵向连接的多级网络，运行着多个业务系统，由于网络系统的复杂性、应用系统的多样性和使用人员身份的多重性，制订一套完善的安全管理制度十分必要。同时为实现网络的安全管理，应设立安全管理中心对安全事件、设备故障信息等进行集中分析和处置，并在此基础上实施统一规划、集中管理、严格规章、加强教育、明确责任、动态监控，确保网络安全可靠的运行。网络安全方略总体安全方略在XXXX市立医院网络系统工程建设中，应遵照下列总体安全方略：未经允许的访问都要严格严禁；允许的访问都要通过认证、授权；重要的信息在网上传输要通过加密方法；网络边界安全方略网络边界安全方略涉及：网络外的信息交换要通过物理隔离设备进行；网网络划分为不同的安全域，互相之间只允许授权顾客访问特定资源；安全联动方略网络设备如防火墙、交换机、网络防病毒系统等，既能够单独运行，还能够通过互动，更有效确实保网络安全。拓扑构造拓扑阐明：XXXXX市立医院本次新建楼宇分为病房楼、医技楼、门急诊楼、传染楼、附属楼，根据网络实际需求划分为外网和网两部分，并且规定网外网物理隔离。网构造阐明：网网络整体架构采用二层网络架构(核心层-接入层)，采用星型网络拓扑形式，在确保网网络的安全可靠性的前提下，又要顾及到经济性原则，主机房核心交换机采用双核心热备份的方式，每套核心交换机都配备双引擎、双交流电源，核心交换机上端通过防火墙来提供与外部专有网络的互联，并且选择的该款防火墙支持多个接口形式，方便后来网络的升级等规定；防火墙通过六类线与主机房两台核心交换机连接，核心交换机采用双机热备份、双链路的方式通过万兆多模光缆连接到病房楼、医技楼、门急诊楼、传染楼、附属楼的接入交换机上，整体网络采用万兆主干，千兆到桌面的连接方式。对于网络的网安全，采用网络防火墙来实现，通过对应方略的配备，来实现网的数据安全。在病房楼、门急诊楼等布署无线90台无线AP来实现网络的无缝覆盖，无线AP的配合使用将大大提高医院的人性化设计、先进科学性设计。外网构造阐明：外网网络整体架构采用二层网络架构(核心层-接入层)，采用星型网络拓扑形式，考虑到外网网络运行的稳定性，核心交换机采用双机双核心、双电源的方式，核心交换机上端通过防火墙来提供与INTERNET的互联，并且选择的该款防火墙支持多个接口形式，方便后来网络的升级等规定；防火墙通过六类线与外网核心交换机连接，核心交换机通过千兆单模光缆连接到病房楼、医技楼、门急诊楼、传染楼、附属楼的接入层交换机上，整体网络采用万兆主干，千兆到桌面的连接方式，对于网络的外网安全，采用网络防火墙来实现，通过对应方略的配备，来实现外网的数据安全。系统中的技术综合应用在前面我们重要介绍了在本次网络集成中重要应用的技术，那么接下来我们将重要阐明如何应用上述的这些技术使之成为一种融合的网络。融合的多vlan网络首先，网络层次状况分为核心层、汇聚层、接入层，其中核心层作为网络的连接和交换平台，管理全网业务的连接、汇接和转接；而接入层则完毕顾客业务的直接接入。层次化的构造有助于功效简化，同时可确保核心层的相对稳定性，确保核心层不受或少受易变化的接入层影响（由于业务的不停变化），同样也便于核心层的扩展和升级；固然过多的层次划分会对业务的使用效率以及业务质量产生不好的影响。1、核心层设计作为网络的核心层，有必要采用两台高端核心交换机作为全网的核心，由于它需要在网络中负载全部数据流的交互，数据库系统、管理安全平台、终端顾客都会在此交换数据，因此核心交换机的性能一定要有很高的可靠性。另外网络部构造一旦拟定，其构造将会在一段时间难以变化，因此采用高端交换机既能够确保网络速度又能够在系统升级后继续使用保护投资。本次网络设计中核心交换机选用华为公司的S9306核心交换机。2、汇聚层设计在网络中，汇聚层交换机和核心层交换机的作用与接入交换机不同，它们承当了网关和三层路由转发功效的重任，汇聚层交换机必须能够解决来自接入层设备的全部通信量，并提供到核心层的上行链路，因此与接入层交换机比较，汇聚层交换机需要更高的性能和更高的交换速率，本次网络规划设计中汇聚层交换机选用华为公司的S5700-28C-EI-24S交换机。2、接入层设计楼层交换机以部门、楼层划分vlan，在终端顾客的访问控制上还能够根据规定配备认证。全部的vlan组在核心交换机上做VRRP冗余备份，为了确保安全，还能够将不同的vlan从主备核心交换上区别开来，确保网络的负载均衡，本次接入层交换机我们选用华为公司的S5700-48TP-SI-AC和S5700-24TP-SI-AC两款全千兆交换机。3、IP地址分派对于一种IP网络来说，不可回避的一项工作就是IP地址的规划和分派。IP地址规划与否合理对一种IP网络来说是至关重要的，关系到这个网络性能能否充足发挥、网络与否含有较强的扩展能力、与否能够更加好的管理网络等。IP地址的规划原则：IP地址的划分将沿用原有计算机网络IP地址的划分方案，据此在兼容原来计算机网的编址方案的前提下进行合理分派，并应坚持下列原则：1、地址分派方案应与原有网络地址分派方案统一考虑，原有网络地址分派尽量保持不变2、地址分派应本着简化路由选择，充足运用地址空间，兼顾此后网络发展，便于业务管理等原则进行3、地址分派方案要采用CIDR和可变长子网掩码技术4、充足考虑将来在若干节点可能采用保存地址与正当地址相结合使用的方式的系统可扩充性基于以上原则，IP地址的划分应含有层次性、有预留、易管理等特点。建议IP地址的划分于VLAN关联，一种VLAN一种地址段，按实际状况能够采用可变长子网掩码的技术对一种原则网段进行再划分。建议各个接口地址使用统一的地址位。例如：假设现有3个VLAN分别为:VLAN2、VLAN3、VLAN4三个VLAN所对应的地址为：/24、/24、/24。那针对这三个VLAN的各个接口地址分别为：VLAN2：热备份漂移地址－54主交换设备的VLAN1接口地址-53备份交换设备的VLAN1接口地址－52VLAN3：热备份漂移地址-54主交换设备的VLAN1接口地址-53备份交换设备的VLAN1接口地址－52VLAN4：热备份漂移地址－54主交换设备的VLAN1接口地址-53备份交换设备的VLAN1接口地址－52注：上述地址只是一种举例，具体地址规划及配备按实际状况进行分派。VLAN的设立划分根据以终端顾客来分析。假设按职能或业务分成三个部门D1、D2、D3，各包含若干计算机（或服务器），一种共用服务器SERVER。信息流重要集中在SERVER上，不在网络层上将它和其它部门分开，通过授权就能访问；其中的某个部门的某些计算机（例如管理者）能够不通过路由访问跨部门的计算机。逻辑上属于一种部门的计算机（服务器在一种VLAN；逻辑上属于多个部门的计算机（服务器）在多个VLAN上（例如共用服务器SERVER或管理台席）。设立VLAN首先明确需求，根据具体运用的需求将联网的顾客划分为几个组，明确组与组之间的互通关系。如上图的示例，假设互通关系需求下表所示。互通关系需求表计算机台席部门阐明AD1可与D1和D3的F互访问BD1同上CD1同上DD2可与D2和D3的F互访问ED2同上FD3可与D1、D2、D3的互访问JD3可与D3和D2互访问HD3可与D3互访问ID3同上SERVER可被全部计算机访问划分直观说来，划分VLAN就是将连接到网络上的计算机划分为几个组，同组的计算机之间的互通需求相似，全部连网的计算机划分为下面三个组，实现三个VLAN。以下表所示。VLAN划分列表组包含的计算机D1A、B、CD2D、ED3F、J、H、ISERVERSERVER为VLAN分派ID在交换机上划分不同VLAN的标志就是各个VLAN的VLANID（802.1QVID）不同。理论上说，每一种VLAN应当分派不同的ID，但在实际应用中，如果我们将多个VLAN分派同样的ID，在某些特定的条件下是允许的（如两个虑拟局域网的实现在存在交叉点，即任何一台交换机上都不需要同时实现的虚拟网）。能够运用下面的表格来分析。网络需求分析组VLANID交换机1交换机2交换机3D11YESNONOD22YESNONOD33YESYESYESD44NOYESNOSERVER5YESYESYES注：表中YES：表达在该交换机上实现；NO：不在该交换机上实现。达成的目的同一职能业务部门部能够互访问；跨部门的访问需要通过核心交换机的授权；共用信息被全部的计算机访问；其中的某些计算机（例如管理）有特别权限。同时，达成提高局域部通信性能、灵活控制访问权限以提高安全性的目的。核心交换与楼层交换的配备举例核心交换机采用了华为的9306核心交换，它采用三层交换技术和楼层交换机的vlan相配合，通过外接防火墙达成上网的目的。其中楼层交换机之间根据访问的规定在核心交换机上统一配备ACL访问控制列表，达成访问规定，避免木马和病毒的扩散。另外在楼层交换机上，我们配备对应的802.1x合同，使全部的登录顾客能够在被允许的状况下访问网络，达成安全的控制。全部的顾客采用DHCP自动分派的方式，提高网络的易管理性。无线网络系统设计介绍我们本次为XXXXX立医院设计的无线网络平台，在可靠性及可预测性上得以大幅提高，本次无线网络系统采用了HUAWEI公司最新的无线网络平台和最尖端的802.11n无线技术，不仅覆盖效果更加好，信号也更稳定，同时在数据、语音及视频传输方面，均能为顾客提供更加好的移动性接入使用体验。有了这个无线平台，医院将来就能不停开展并移植丰富的应用，打造移动医护新体验，医院医护人员能够随时随处在无线网络中稳定地使用多个医疗应用系统，而以前这些系统只能通过有线网络在固定的地点才干实现，从而大大提高了工作效率。新的无线网络平台不仅能够确保医疗核心业务优先使用网络，同时还能够满足其它访客的上网需求，思科的独有技术能够确保这两种应用完全隔离，从而杜绝安全隐患、实现实时医护、加紧医护响应速率、提高工作精确度，更能够减少医疗事故发生率，最后优化医护工作流程，提高患者的满意度。我们本次选用HUAWEI公司的6603-128无线局域网控制器、WA603DE无线接入点对XXXXX医院进行无线网络布署，该系统比单独使用胖AP的无线布置系统更加利于集中控制，统一配备，集中管理，该系统采用的思科802.11n尖端无线网络技术，不仅能够全方面兼容现有的无线局域网原则——802.11a/b/g的客户端，且无线数据传输的速度将提高到300Mbps。这一性能的提高最少是802.11a/b/g（54Mbps）的五倍，同时还将增加5倍的净吞吐量，即使新网络平台接入传统的802.11a/b/g客户端，传输效果也能获得明显改善。同时，安装了无线控制器冗余备份，能够确保无线网络发生故障时的网络和应用系统的无缝切换，思科无线网络除实现高级加密、认证等安全技术外，更能够进行主动安全防御，在提供授权顾客互联网接入服务的基础上，完全避免非法无线接入，避免非授权人员使用医院无线网络，确保病人隐私和信息等数据的私密性和完整性。无线网拓扑：设备介绍核心交换机Quidway®S9306路由交换机产品概览Quidway®S9306是华为公司面对以业务为核心的网络架构而推出的新一代高端智能T比特核心路由交换机。该产品基于华为公司智能多层交换的技术理念，在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上，进一步提供业务流分析、完善的QOS方略、可控组播等智能业务优化手段，同时含有超强扩展性和可靠性，广泛合用于运行商IP城域网，公司广域网/城域网，公司出口/核心/汇聚，高密度千兆桌面接入，以及数据中心，协助电信运行商和公司构建面对业务的网络平台，提供交换路由一体化的端到端融合网络服务。S9306提供8插槽，支持不停扩展的交换能力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念，最小化备件成本，在确保设备扩展性的同时最大程度地保护顾客投资。另外，S9306作为新一代智能交换机采用了多个绿色节能创新技术，在不停提高性能及稳定性的同时，大幅减少设备能源消耗，减小噪声污染，为网络绿色可持续发展提供领先的解决方案。产品特点创新的三平面设计S9306在传统交换机数据转发、管理控制双平面基础上创新地增加了独立的环境监控平面，实现对单板、电扇和电源配电模块的监控、管理和维护。业界首创的环境监控板，采用华为自主知识产权的高集成度中控芯片，实现硬件级的按流量动态调节功率、电扇分区控制、电扇智能调速、端口休眠技术等多项节能技术，在提高系统性能的同时大大减少整机功耗。支持独立环境监控与网管联动，实现全方面可视化管理。创新的三平面设计一机多用，全业务的以太交换平台QuidwayS9306不仅能为公司和电信运行商提供业界领先的性能、端口密度和可用性，同时提供强大的全业务支持，涉及：

整机支持高达576个GE/144个10GE端口；采用领先工艺设计，优化整机尺寸，超强双面走线能力，提供无与伦比的单机柜端口密度，支持高达1728个GE或432个10GE端口支持分布式L2/L3MPLSVPN功效，支持MPLS、VPLS、HVPLS、VLL，满足大客户VPN专线、公司VPN等高端顾客的接入需求含有线速的跨VLAN组播复制能力，实现端口的满负荷复制，满足大容量的IPTV顾客接入需求；完善的二、三层组播合同，可作为组播复制点和控制点，提供高性能的IP组播视频和音频应用多合同L3路由支持满足了传统的网络规定，支持从公司级到电信运行商级的大规模路由表，支持IPv6，能够为公司网络提供平滑的过渡机制支持多个主流的时钟方案，涉及基于PHY层的以太网同时时钟，以及IEEE1588时钟同时支持POE，满足在线供电需求高可靠性设计，提高网络弹性S9306含有5个9的运行级高可靠性，主控、电源、电扇等核心部件采用冗余设计，全部模块均支持热插拔。基于分布式的硬件转发架构，控制通路与业务通路分离，确保控制通路畅通。提供3.3ms高精度硬件级以太OAM功效，实现快速故障检测与定位，与其它倒换技术联动可有效确保毫秒级网络保护。能够在冗余控制引擎间实现无缝切换，且设备优雅重启无中断转发，支持ISSU业务无缝升级，提供应用和服务持续性统一的融合网络环境，减少核心业务和服务中断。支持IEEE802.3ad链路汇聚、IEEE802.1s/w和虚拟路由器冗余合同（VRRP），同时支持丰富的毫秒级倒换技术如RRPP、Smartlink、IPFRR、TEFRR等，实现传输级的高可靠性。卓越的三维扩展能力，容量“无极变速”支持丰富的灵活业务插卡及业务单板，支持Firewall、IPSec、Netstream、NAT、负载均衡模块，满足将来业务的扩展需求。作为新一代的以太汇聚平台，S9306能够从容应对城域骨干网和大容量IDC对核心汇聚设备的带宽需求。S9306单槽位支持12×10GE线速转发，整机支持2T的交换能力，更加好地满足IPTV等大带宽业务和IDC机房的接入需求。系统预留向更大交换容量升级的能力，满足将来100GE的需求。支持扩展到5.12T交换容量，48×10GE高密度10G线卡，充足考虑将来3～5年的带宽需求，提供带宽平滑扩展能力。完善的时钟同时方案，FMC全能承载全方面满足3G承载业务需求，支持物理层时钟同时、IEEE1588v2时钟同时及时间校准机制，为移动通信业务提供高精度的时钟信息。支持微秒级高精度时钟，满足3G基站的时钟规定，完美解决移动分组承载网的时钟同时问题。面对多业务接入的PWE3技术，确保了传统业务的传送质量。支持时钟源快速保护倒换。六项创新节能技术，省电30%S9306作为新一代交换机产品，吸取了业界的经验，在提高整机最大转发容量的基础上，采用了面对将来的节能减排设计方案，节省本身耗电的同时减小整体机房系统能源消耗，大幅减少网络维护成本。

独特的“变流”芯片，实现按流量动态调节功率，减少功耗8%。独特的“旋转”风道设计，提高整机散热效率，减少功耗3%，同时整机出线能力提高6倍。采用颗粒化、小功率的模块化设计思路，提高电源系统的转换效率，电源按需配备，保护顾客投资独立电扇分区控制，进一步减少功耗和噪声污染采用智能电扇调速方略，监测全系统核心器件温度，采用社区间控温技术，能够有效减少转速，并延长电扇使用寿命支持端口休眠，无流量不耗电周密的安全设计S9306提供多个安全方法，可觉得服务提供商以及网络的最后顾客提供高效数据保护。支持完善的AAA（Authentication，AuthorizationandAccounting）机制，根据方略对接入顾客进行认证、授权和计费。支持802.1X、Portal、GuestVLAN,支持与主流厂商的NAC互通支持路由合同加密、正当监听、MAC地址过滤、动态ARP检测、ACL等等一系列安全特性，可觉得服务提供商以及网络的最后顾客提供数据保护。基于硬件的包过滤和采样，可实现高性能和高扩展性。分布式设计，提供2级CPU保护机制，支持1KCPU保护队列，可实现数据和控制的分离解决，避免回绝服务攻击、非法接入以及控制平面过载等，提供业界领先的安全性能

Quidway®S5700系列全千兆运行级交换机概述Quidway®S5700系列全千兆交换机（下列简称S5700），是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代全千兆高性能以太网交换机，可为客户提供强大的以太网功效服务。S5700基于新一代高性能硬件和华为公司统一的VRP®（VersatileRoutingPlatform）软件，含有大容量、高密度千兆端口，可提供万兆上行，充足满足客户对高密度千兆和万兆上行设备的需求。S5700可满足运行商园区网汇聚、公司网汇聚、IDC千兆接入以及公司千兆到桌面等多个场合的需求。产品特点

强大的多业务支持能力S5700支持增强型灵活QinQ功效，确保灵活的外层VLAN标签功效的同时不占用ACL资源。S5700能将层VLAN的CoS值映射到外层VLAN，或者修改外层VLAN的CoS值，可根据业务需要灵活标记QoS等级，满足多业务承载的规定。S5700支持IGMPSnooping/IGMPv3snooping/Filter/FastLeave/Proxy等合同。S5700支持线速的跨VLAN组播复制功效，支持捆绑端口的组播负载分担，支持可控组播，能够充足满足IPTV和其它组播业务的需求。S5700支持MCE功效，实现了不同VPN顾客在同一台设备的隔离，有效解决顾客数据安全问题，同时减少顾客投资成本。完备的高可靠保护机制S5700不仅支持传统的STP/RSTP/MSTP生成树合同，还支持SmartLink和RRPP等增强型以太网技术，能够实现毫秒级链路保护倒换，确保高可靠性的网络质量。另外，针对Smartlink和RRPP均提供多实例功效，可实现链路负载分担，进一步提高了链路带宽运用率。S5700支持以太Trunk（E-Trunk）功效。在使用E-Trunk之后，CE设备能够通过E-Trunk双归接入到两台PE设备上。从而把链路可靠性从单板级提高到了设备级，大大增强了设备级的可靠性。从而实现了跨设备的链路聚合和链路负载分担功效。极大的提高了接入侧设备的可靠性。S5700支持智能以太保护SEP（SmartEthernetProtection），SEP是一种专用于以太网链路层的环网议。合用于半环组网场景，布署时可独立于上层汇聚设备，并提供50ms的快速业务倒换性能。确保业务的不中断。在华为设备上已经运用SEP合同实现了以太网链路管理。SEP合同简朴可靠、倒换性能高、维护方便、拓扑灵活，能够大大方便顾客进行网络的管理和规划。S5700支持双电源冗余供电，也能够交、直流同时输入。顾客可灵活选择单电源工作模式或者双电源工作模式，提高了设备可靠性。S5700EI系列支持VRRP虚拟路由冗余合同，与其它三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴构造，保持通讯的持续性和可靠性，有效保障网络稳定。支持在设备上配备多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一种备份路由上去，实现上行路由的多级备份。S5700支持BFD链路快速检测功效，能为OSPF、ISIS、VRRP、PIM等合同提供毫秒级检测机制，提高了网络可靠性。S5700遵照IEEE802.3ah和802.1ag提供点到点以太网故障管理功效，能够用于检测顾客侧最后一公里以太网直连链路上的故障。以太网OAM能够有效提高以太网的网络管理能力和维护能力，保障网络的稳定运行。完备的QoS方略和安全机制S5700系列交换机能够基于五元组、IP优先级、TOS、DSCP、IP合同类型、ICMP类型、TCP源端口、VLAN、以太网帧合同类型、CoS等信息，实现复杂流分流功效，支持双向ACL。S5700支持基于流的双速三色限速功效，每端口支持8个优先级队列，支持WRR、DRR、SP、WRR＋SP、DRR+SP多个队列调度算法，有效地确保了话音、视频和数据等网络业务质量。S5700系列交换机提供多个安全保护功效。支持DoS（DenialofService）类防攻击、网络的防攻击、顾客的防攻击等功效。其中Dos类防攻击重要涉及SYNFlood、Land、Smurf、ICMPFlood。网络的防攻击重要是指STP的bpdu/root攻击。顾客的防攻击涉及DHCP仿冒攻击、中间人攻击、IP/MACSpoofing攻击、DHCPrequestflood、变化CHADDR值的DoS攻击等等。S5700支持通过建立和维护DHCPSnooping绑定表，侦听接入顾客的MAC/IP地址、租用期、VLAN-ID、接口等信息，解决DHCP顾客的IP和端口跟踪定位问题。同时，对不符合绑定表项的非法报文（ARP欺骗报文、私自修改IP地址等）直接丢弃，有效避免黑客或攻击者通过ARP报文实施园区网常见的“中间人”攻击。运用DHCPSnooping的信任端口特性还能够确保DHCPServer的正当性。S5700支持ARP表项严格学习功效，能够避免因ARP欺骗攻击将交换机ARP表项占满，造成正常顾客无法上网。同时，支持IPSourceCheck特性，避免涉及MAC欺骗、IP欺骗、MAC/IP欺骗在的非法地址仿冒带来的DOS攻击。S5700支持集中式MAC地址认证和802.1x认证及NAC功效，支持顾客账号、IP、MAC、VLAN、端口、客户端与否安装病毒防等顾客标记元素的动态或静态绑定，同时实现顾客方略（VLAN、QoS、ACL）的动态下发。S5700支持基于端口的源MAC地址学习限制功效，有效避免顾客源MAC欺骗冲击设备MAC表项，造成正常顾客无法学到MAC表而泛洪的问题等。免维护易布署S5700采用“一次进站”方案，支持自动配备、即插即用、USB开局、自动批量远程升级功效，便于布署升级和业务发放，简化后续的管理和维护性能。从而大大减少了维护成本。S5700支持SNMPV1/V2/V3，CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式，设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计，支持NQA网络质量分析，有助于进一步作好网络规划和改造。POE特性S5700PWR系列交换机能够通过配备不同功率等级的POE电源支持PoE（PowerOverEthernet）功效，即可通过网线向远端下挂PD设备（如IPPhone、WLANAP、Security、BluetoothAP等）提供-48V直流电源，实现对下挂PD设备远端供电。作为供电方PSE（PowerSourcingEquipment）设备，支持IEEE802.3af及802.3at(POE+)供电原则，同时兼容不符合802.3af及802.3at原则的PD（PoweredDevice）设备。其中802.3at单端口供电功率高达30W。POE+功效提高了单端口的最大功率，实现了支持at原则大功率应用的智能化功率管理，有效方便了客户的应用。同时支持绿色PoE节电应用模式。S5700PWR全系列交换机支持完善的POE解决方案，顾客可灵活配备POE端口与否供电以及何时供电。良好的可扩展性S5700系列交换机支持智能堆叠iStack功效，完全即插即用，插好堆叠线缆即可自动组建堆叠虚拟框式架构。堆叠组员分为主、备、从三种角色。新增备交换机之后减少了主交换机故障引发的业务中断时间。支持智能升级，排除顾客给堆叠扩容时为新加入交换机更换软件版本的烦恼。堆叠技术允许交换机运用互联电缆实现多台设备的扩展，单一IP管理，大大减少系统扩展以及运维的成本。与传统组网技术相比，在扩展性、可靠性、整体架构等性能方面均含有强大的优势。简朴的可管理特性S5700支持GVRP实现动态分发、注册和传输VLAN属性，从而达成减少网络管理员的手工配备量及确保VLAN配备对的的目的。GVRP是一种VLAN的动态配备技术，在复杂的组网环境中应用GVRP，能够简化VLAN配备管理，减少由于配备不一致而造成的网络互通问题。S5700支持MUXVLAN功效。MUXVLAN提供了一种在VLAN的端口间进行二层流量隔离的机制。采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN互相隔离。MUXVLAN普通用于公司部网，客户端口能够同服务器端口通讯，但客户端口之间不能通讯。用来避免连接到某些接口或接口组的网络设备之间的互相通信，但却允许与默认网关进行通信。

丰富的IPv6特性S5700系列交换机提供双合同栈，可平滑升级。硬件支持IPv4/IPv6双栈和IPv6overIPv4隧道（涉及手工Tunnel，6to4Tunnel，ISATAPTunnel），三层线速转发。既能够用于纯IPv4或IPv6网络，也能够用于IPv4到IPv6共存的网络，组网方式灵活，充足满足现在网络从IPv4向IPv6过渡的需求。光纤节点交换机参数：性能背板交换容量≥256Gbps；包转发率≥96Mpps;电源支持置模块化双电源

防雷防雷指标≥2KV转发能力规定整机达全线速转发能力接口模块规定支持原则SFP,XFP模块

支持SFP

+三层功效路由表≥4K

ARP表≥2K支持VLAN虚接口≥256

静态路由RIP、OSPF、IS-IS、BGP、ECMP支持方略路由支持路由方略支持ECMP支持uRPF

IPv6I支持IPv4/IPv6双栈:支持ND,RIPng,

安全功效支持DHCPSnoopingtrust,避免私设DHCP服务器；支持DHCPsnoopingbindingtable(DAI,IPsourceguard),避免ARP攻击、DDOS攻击、中间人攻击；支持BPDUguard，Rootguard。支持MFF，用于减轻网关ARP解决负担，减少网关受ARP攻击的风险，实现顾客间的二层隔离。

支持802.1X.可靠功效支持ETHOAM:802.1ag,802.3ah

访问控制支持基于第二层、第三层和第四层的ACL支持双向ACL

支持VLANACL和IPv6ACL；支持IP/Port/MAC的绑定功效QoS最少含有8个队列；

支持SP,DWRR，SP+DWRR调度方式；支持双向端口限速，限速粒度64K；提供广播风暴克制功效双向流限速

堆叠支持堆叠，主机堆叠数不不大于8台设备维护支持自动配备

支持USB

接入交换机参数：性能背板交换容量≥256Gbps；包转发率≥72Mpps（48口）;包转发率≥36Mpps（24口）;电源支持置模块化双电源

防雷防雷指标≥2KV转发能力规定整机达全线速转发能力三层功效路由表≥4K

ARP表≥2K支持VLAN虚接口≥256

静态路由RIP、ECMPIPv6I支持IPv4/IPv6双栈:支持ND,RIPng,

安全功效支持DHCPSnoopingtrust,避免私设DHCP服务器；支持DHCPsnoopingbindingtable(DAI,IPsourceguard),避免ARP攻击、DDOS攻击、中间人攻击；支持BPDUguard，Rootguard。支持MFF，用于减轻网关ARP解决负担，减少网关受ARP攻击的风险，实现顾客间的二层隔离。

支持802.1X.可靠功效支持ETHOAM:802.1ag,802.3ah

访问控制支持基于第二层、第三层和第四层的ACL支持双向ACL

支持VLANACL和IPv6ACL；支持IP/Port/MAC的绑定功效QoS最少含有8个队列；

支持SP,DWRR，SP+DWRR调度方式；支持双向端口限速，限速粒度64K；提供广播风暴克制功效双向流限速

堆叠支持堆叠，主机堆叠数不不大于8台设备维护支持自动配备

支持USB

防火墙：网络安全状况不停的恶化，越来越多基于各