医院建筑智能化系统计算机网络系统方案

医院建筑智能化系统计算机网络系统方案1系统描述 32设计原则 33设计目标 34系统设计 31网络划分及整体设计 32系统拓扑结构及层次 33网管系统设计 34网络安全设计 35组网技术 36QoS支持能力 35主要产品描述 35.1核心交换机 35.2防火墙 35.3S5800系列交换机 35.4S5120系列交换机 35.5无线控制器 31系统描述XXXX市立医院智能化工程计算机网络系统需建设一个技术先进、扩展性强、能覆盖所有功能区域的主干网络，将XXXX市立医院各楼内的各种PC机、工作站、终端设备和局域网连接起来，并与广域网络连接，形成结构合理、内外沟通的计算机网络系统，并在此基础上建立能满足办公和管理需要的软硬件环境，开发并运行各类信息库和应用系统，使楼内各部门综合运用现代信息网络与现代数字技术，转变传统工作模式，实现办公、商务、事务一体化管理与运行。本方案要求支持多种网络应用，高起点、高标准、长远规划考虑，能适应今后新技术业务的发展。本方案中选择的原则如下：实行有效的配置管理、资源管理、安全管理、性能管理，建立以认证、授权、审计为中心的网络安全管理系统；建立以信息交换、信息发布和查询应用为主的机栓机网络应用基础环境。遵循系统的建设方针，以设计一个实用、可靠、经济、先进、安全、高效、易管理的网络系统，从分考虑网络运行管理和安全管理，配置完善的管理系统和相关设备。分为两个独立的网络系统，实现不同数据、语音、视频的网络系统。2设计原则XXXX市立医院智能化工程计算机网络系统建设应体现“统一规划、总体设计、注重实用”的原则,遵循高起点、高标准、规范化、易管理、可扩充、安全、稳定和经济、实用的设计思想。高性能随着网络技术的发展，网络业务的更加丰富，同时网络业务所要求的数据量也在不断增长，这些不断增长的需求促使网络设备也不断地提升性能以满足用户业务需要。除了在技术方面不断以新技术提升网络可用性外，还通过设备所具备的高性能，满足用户对数据量、对数据业务种类的严格要求。考虑到在实际网络中，大量运行的信息是数据量比较大的图象信息，而且使用用户多，数据调用频繁，使用时间相对集中，这就要求网络设备，特别是核心设备具备大数据量处理能力，同时能提供线速的数据交换能力，保障网络核心的高效处理性能。除了具备先进性以外，同时也要兼顾技术的成熟性，保障设备能稳定地提供先进的业务。高可靠网络中所涉及的网络设备，采用了电信级的高可靠设计。内网核心交换机采用双核心架构，每台核心交换机配置了双引擎双电源，确保网络应用不会出现中断。外网采用单核心设计，也配置了双引擎双电源，实现高可靠。安全性网络路由信息交换安全策略：包含路由器的认证，路由信息过滤，多种动态路由协议信息交换控制等。易管理维护由于采用TCP/IP协议这种非面向连接的网络层互连协议，网络的管理重点在于网络的结构化设计。整个网络的服务提供均建立在一层次化方式，也就是当新的用户接入到网络之中不会影响网络的骨干，管理人员只需在相应接入设备做相应的配置即可，因此网络管理简单、高效。可靠性和自愈能力网络具备良好的运行可靠性和自愈能力。（1）链路冗余在主干连接(主干设备之间及其与汇接设备之间的连接)具备可靠的线路冗余方式。建议支持采用负载均衡的冗余方式，即通常情况下两条连接均提供数据传输，并互为备份。主线路切换到备份线路的时间应小于50ms,以充分体现采用光纤技术的优越性。这种高速的网络自愈特性应可以保证不会引起IP路由的重新计算，不会引起业务的瞬间质量恶化，更不会引起业务的中断。（2）模块冗余主干设备(核心层设备和汇聚层设备)的所有模块和环境部件应具备1+1或1：N热备份的功能，切换时间小于3秒。（3）部件冗余在电信级的核心设备上为了提高其运行的稳定程度，都要求关键部件，如电源、散热等部件的冗余备份工作能力，保障设备不会因为部件的故障导致业务停顿或性能下降。（4）拥塞控制与服务质量保障拥塞控制和服务质量保障(QoS)是公众服务网的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不可避免的，因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。3设计目标XXXX市立医院需要为信息系统的应用提供一个安全、可靠、可管理、共享的网络平台，满足医院内医护人员和患者信息共享、应用互通的需要。XXXX市立医院计算机网络系统设计，将达到以下目标：能保证网络核心层的可靠运行；可提供全网络的QOS保障视频会议等重要应用的实施；网络平台为视频会议系统的不间断服务提供保证；外网实现Internet出口，保证医护人员通畅访问公网和对外信息服务发布的需要，并可以通过VPN接入实现医护人员的远程移动办公需要；实现一个覆盖全院区域的无线网络，保证移动计算机设备接入网络的需要；实现统一身份认证机制，保证有线、无线及VPN客户端接入的合法性；实现可靠的安全保障措施（如入侵检测保护等），防止病毒、黑客对网络内部资源的侵害；能够利用全网络的访问控制策略，保障网络的安全性；实现全网络的监控；实现网络的统一和分级管理。实现网络的高带宽、链路冗余和全方位安全；外网采用核心和接入二层拓扑架构，实现核心层万兆交换，主干千兆，接入层上行千兆主干，下行百兆接入办公用电脑；内网采用核心、汇聚和接入三层拓扑架构，核心交换具备高性能高可靠的双核心双机热备。汇聚层实现万兆交换，万兆主干上行接入核心，下行千兆主干到接入交换机。接入交换机百兆接入办公用电脑，千兆上行接入汇聚层。4系统设计1网络划分及整体设计网络系统为XXXX市立医院基础网络平台，整体设计满足如下功能：为HIS、PACS应用系统提供一个强有力的网络支撑平台；适应当前网络多业务服务的发展趋势，同时具有最灵活的适应、扩展能力；一体化网络平台：整合数据、语音和图像等多业务的端到端、以IP为基础的统一的一体化网络平台，支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理；数据安全：网络系统平台提供对外服务、对内用户接入的全面安全性，保障医院医疗信息系统稳定运行。整个基础网络共分为内网、外网两个部分，两套网络物理隔离。内网内网主要承载着医院OA系统、MIS系统、HIS系统、PACS等与医院工作相关业务数据。采用三层网络结构：核心层、汇聚层与接入层，核心层至汇聚层采用万兆骨干，汇聚层至接入层采用千兆骨干，接入层百兆到桌面，核心层设置采用核心交换机。外网外网主要作用为INTERNET接入，满足内部工作人员与住院人员访问互联网等业务的需求。网络设备支持组播、QOS等技术。网络结构采用二层网络结构：接入层与核心层，千兆骨干，百兆到桌面。无线接入无线网络主要作用为移动计算机设备接入网络提供平台，无线AP采用胖AP方式，现场直接供电。2系统拓扑结构及层次XXXX市立医院计算机网络系统按照目前国际标准的以太局域网设计规范，各个网络系统均采用星形网络拓扑结构。内网采用三层网络结构：核心层、汇聚层与接入层，核心层至汇聚层采用万兆骨干，汇聚层至接入层采用千兆骨干，接入层百兆到桌面，核心层采用双核心交换机。网络架构示意图（内网）内网采用二层网络结构：接入层与核心层，千兆骨干，百兆到桌面。核心层采用单核心交换机。网络结构示意图（外网）3网管系统设计网络管理体系是保障XXXX市立医院计算机网络稳定、安全运行的必要条件。网络管理体系是网络管理系统和网络规章制度的有机结合。其中，网络管理系统是一套网络管理工具，其基本功能为配置管理、性能管理、故障管理、安全管理和应用管理；好的网络管理系统可以帮助用户在很大程度上优化网络结构，预防和及时排除故障，减少网络的维护费用。而一套切实完善的网络管理规章制度，则是达到网络管理目标的行政手段。在网络管理体系的建设中，二者不能缺少。4网络安全设计通过配置硬件防火墙、IPS入侵检测系统以及防病毒等系统来增加XXXX市立医院的互联网接入网络和远程会诊网络的安全。对于内部网络和保安视频监控系统局域网应建立内网安全管理系统。1防火墙通过在网络边界部署防火墙可以实现以下作用：根据IP、端口、服务、协议、数据包标识等进行过滤，切断不必要的服务连接；网卡/网段绑定，防火墙内网、外网网卡可分别与所对应的网段绑定，防止IP地址欺骗；用户身份的识别；网络地址转换；内容安全的管理；VPN加密数据通信；流量控制，控制Internet对外网服务器的访问流量；常见攻击防范：只允许某些类型（如回应请求类型）的ICMP数据报文通过等，抵制pingofdeath攻击；访问日志记录、备份、查询，向管理员提供入侵行为的审计记录。2入侵检测系统在边界访问控制机制中我们采用了属于被动防御的防火墙技术，它们可以为XXXX市立医院网络系统提供良好的边界安全，但从整体安全的角度考虑仅仅有防火墙远远不够。因为：①防火墙只能抵制一些普通的基于网络的攻击，对于很多特定的基于主机操作系统、基于应用的攻击防火墙无能为力。②防火墙不能完全抵制来自所防护内网的攻击。因此需要在XXXX市立医院网络系统内部部署主动监控的安全机制，通过与传统的被动防御防火墙技术共同使用，达到提高网络和系统的安全防护水平的目的。入侵检测技术就是目前比较流行主动监控技术，它是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。通过入侵检测系统，可以实时检测到各种攻击，同时实时做出各种预先定义的响应，力求作到在黑客造成破坏之前发现问题，解决问题。3网络安全管理系统网络安全管理系统主要包括以下几部分：终端管理系统、补丁管理系统和文件保密管理系统组成，终端管理系统可帮助用户实现桌面行为监管、外设和接口管理、准入控制、非法外联监控和终端资产管理功能；补丁管理系统能帮助用户实现系统漏洞分析、补丁自动分发、分发策略管理和分发流量控制功能;文件保密管理系统则能帮助用户实现对文件、目录、磁盘和U盘的保密管理功能。5组网技术设备的备份：消除单点故障，核心设备的主要部件均为双冗余配置，保证网络及业务的不间断性；互连线路的备份：避免单路故障，提高网络路径冗余，线路应尽可能使用不同服务商线路，并考虑异构线路；路由备份：自动选路和迂回，做到当某部分网络出现意外而发生通路切换时，这些操作对上层业务主机是透明的。6QoS支持能力核心交换机需提供丰富的Diffserv/QoS支持，提供多种规则组合条件下的流映射和分类、流量监管（CAR）、拥塞控制方法（RED、WRED、SA-RED）、队列调度和输出流整形等功能，真正做到业务区分并保证带宽/时延/抖动在限定的范围之内，可以为用户提供具有不同服务质量等级的服务保证，使骨干网真正成为同时承载数据、语音和视频业务的综合网络。5主要产品描述5.1核心交换机H3CS7500E系列高端多业务路由交换机核心交换机产品概述H3CS7500E系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络的高端多业务路由交换机，该产品基于H3C自主知识产权的ComwareV5操作系统，以IRF2（IntelligentResilientFramework2，第二代智能弹性架构）技术为系统基石的虚拟化软件系统，进一步融合MPLSVPN、IPv6、网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。H3CS7500E符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。H3CS7500E系列包括S7510E（12槽）、S7506E（8槽）、S7506E-V（垂直8槽）、H3CS7506E-S（8槽）、S7503E（5槽）、7503E-S（3槽）和S7502E(4槽)7款产品，除了7503E-S所有产品均支持冗余主控。H3CS7500E可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境，为用户提供了有线无线一体化、有源无源一体化的行业解决方案。丰富的业务，适应融合业务网络发展趋势基于IRF2（第二代智能弹性架构）技术的虚拟化架构H3CS7500E面向数据中心技术的演进，推出了IRF2为代表的软件虚拟化技术，提供多台主机的协同工作、统一管理和不间断维护功能；IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF2所提供的高可靠性和无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分。全面的MPLS、VPLS业务能力H3CS7500E所有产品均支持Multi-VRF特性，可以作为MCE设备使用；支持三层的MPLSVPN和二层的MPLSVPN（Martini、Kompella）；支持MPLSOAM特性，方便用户的管理和维护；与H3CMPLSVPNManager配合，实现图形化的MPLS部署与维护。全面支持VPLS，VLL，支持1KVPLS实例，4KVLL，还支持分层VPLS以及QINQ+VPLS接入方式，提供端到端2层VPN接入方案，支持MPLS/VPLS全线速转发，满足VPLS规模部署要求。高性能IPv4/IPv6业务能力H3CS7500E支持IPv4/IPv6双协议栈,支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3CS7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3CS7500E已经通过了信息产业部的IPv6入网认证和IPv6Ready第二阶段认证，是成熟商用的IPv6产品。有线无线一体化，有源无源一体化H3CS7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。H3CS7500E是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入10240个FTTH用户；H3CS7500E是高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。EAD端点准入防护技术H3CS7500E支持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。全方位的安全保障，抵御多种网络安全威胁三平面安全保障机制H3CS7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止TCN、ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSHV2，基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN、MAC和端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。H3CS7500E还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。有线无线全面支持EADH3CS7500E是EAD端点准入防御解决方案的重要组成部分，S7500E可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。H3CS7500E既支持有线终端用户的EAD，也支持无线终端用户的EAD，能够做到终端安全防范无漏洞。增强的ACL特性H3CS7500E系列产品支持强大的ACL能力：支持标准和扩展ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；支持出方向和入方向的ACL，满足金融等行业访问权限严格控制的需求。电信级的高可靠性，保障用户业务长期稳定运行电信级高可靠性设计H3CS7500E采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3CS7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999％的电信级可靠性。多业务高可靠性运行H3CS7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3CS7500E可以在承载多业务的情况下不间断运行，实现业务的永续。基于IRF2架构的HAIRF2技术可以把多台S7500E虚拟成一个“联合设备”，使用和配置都如同一台机器，而且扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性，提供毫秒级的链路收敛能力。简化了管理过程，降低管理成本，并可根据实际需求平滑扩容网络容量。支持基于硬件的丰富的OAM故障检测机制，实现毫秒级链路故障检测。技术参数属

性S7510ES7506ES7506E-VS7506E-SS7503ES7503E-SS7502E整机交换容量1152G/768Gbps768Gbps768Gbps768Gbps480Gbps288Gbps192Gbps背板容量≥2.4Tbps≥1.6Tbps≥1.6Tbps≥1.6Tbps≥1Tbps≥600Gbps≥400GbpsIPv4包转发率780M/492Mpps492Mpps492Mpps492Mpps276Mpps180Mpps144Mpps槽位数量1288（垂直插槽）8534业务槽位数量10666322冗余设计电源、主控冗余电源、主控冗余电源、主控冗余电源、主控冗余电源、主控冗余电源、单主控电源、主控冗余二层特性支持IEEE802.1P(CoS优先级)支持IEEE802.1Q（VLAN）支持IEEE802.1d（STP）/802.1w（RSTP）/802.1s（MSTP）支持IEEE802.1ad（QinQ），灵活QinQ和Vlanmapping支持IEEE802.3x（全双工流控）和背压式流控（半双工）支持IEEE802.3ad（链路聚合）和跨板链路聚合支持IEEE802.3（10Base-T）/802.3u（100Base-T）支持IEEE802.3z（1000BASE-X）/802.3ab（1000BaseT）支持IEEE802.3ae（10Gbase）支持IEEE802.3af（PoE）支持IEEE802.3at（PoE+）支持RRPP（快速环网保护协议）支持跨板端口/流镜像支持端口广播/多播/未知单播风暴抑制支持JumboFrame支持基于端口、协议、子网和MAC的VLAN划分支持SuperVLAN支持PVLAN支持MulticastVLAN+支持点到点单VLAN交叉连接、双VLAN交叉连接

全部依靠VLAN-ID进行转发，不涉及MAC地址学习支持最大VLANMAPING/灵活QinQ表项全面支持1:1,2:1,1:2,2:2VLANMAPPING能力支持GVRP支持LLDPIPv4路由特性支持ARPProxy支持DHCPRelay支持DHCPServer支持静态路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGPGR(GracefulRestart优雅重启)支持等价路由支持策略路由支持路由策略IPv6路由特性支持ICMPv6支持ICMPv6重定向支持DHCPv6支持ACLv6支持OSPFv3支持RIPng支持BGP4+支持IS-ISv6支持手工隧道支持ISATAP支持6to4隧道支持IPv6和IPv4双栈组播支持IGMPv1/v2/v3支持IGMPv1/v2/v3Snooping支持IGMPFilter支持IGMPFastleave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持AnyCast-RP支持MLDv2/MLDv2Snooping支持PIM-SMv6、PIM-DMv6、PIM-SSMv6ACL/QoS每单板最大支持16KACL支持标准和扩展ACL支持基于VLAN的ACL支持Ingress/EgressACL支持Ingress/EgressCAR，粒度可达8Kbps支持两级Meter能力支持VLAN聚合CAR，MAC聚合CAR功能支持流量整形（TrafficShaping）支持802.1P/DSCP优先级Mark/Remark支持层次化QoS（H-QoS），支持三级队列调度支持队列调度机制，包括SP、WRR、SP+WRR、CBWFQ支持每端口8队列支持拥塞避免机制，包括Tail-Drop、WRED支持N：2MirroringMPLS/VPLS支持L3MPLSVPN支持L2VPN:VLL(Martini,Kompella)支持MCE支持MPLSOAM支持VPLS,VLL支持分层VPLS，以及QinQ+VPLS接入支持P/PE功能支持LDP协议安全机制支持EAD安全解决方案支持Portal认证支持MAC认证支持IEEE802.1x和IEEE802.1xSERVER支持AAA/Radius支持HWTACACS,支持命令行认证支持SSHv1.5/SSHv2支持ACL流过滤机制支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户有不同的配置权限支持受限的IP地址的Telnet的登录和口令机制支持IP地址、VLANID、MAC地址和端口等多种组合绑定支持uRPF支持主备数据备份机制支持故障后报警和自恢复支持数据日志系统管理支持FTP、TFTP、Xmodem支持SNMPv1/v2/v3支持sFlow流量统计支持RMON支持NTP时钟支持NetStream流量统计功能支持电源智能管理支持设备在线状态监测机制，实现对包括主控引擎，背板，芯片和存储等关键元器件进行检测可靠性支持主控板1+1冗余备份支持电源1+1冗余备份采用无源背板设计所有单板支持热插拔支持CPU保护技术支持VRRP支持EthernetOAM（802.1ag和802.3ah）支持MACTracert支持RRPP支持GracefulRestartforOSPF/BGP/IS-IS支持DLDP支持VCT支持Smart-Link支持热补丁环境要求温度范围：0℃～45℃相对湿度：10%～95%（非凝结）安规和EMC认证通过了CE、FCCPART15、TUV-GS、UL-CUL、ICES003和VCCI的认证电源DC：–48V～–60VAC：100V～240V外形尺寸（宽×高×深）(mm)436x708x420436x575x420436x930x420436x575x420436x441x420436x175x420436x175x420满配重量(kg)≤96kg≤77kg≤94kg≤77kg≤63kg≤27kg≤27kg5.2防火墙5.3S5800系列交换机H3CS5800S5820X系列交换机灵活的端口扩展能力随着用户端带宽不断提高，服务器万兆网卡的应用越来越广泛，交换机需要提供更高的转发性能和万兆端口扩展能力。H3CS58系列机箱式交换机支持业内最高的万兆端口密度，单台设备可以按需扩展至最多24个全线速转发的万兆端口。此外，该系列产品还可以提供灵活的千兆接入端口，可以提供16个千兆光接口或者电接口扩展模块，单台设备可以按需扩展至最多84个全线速转发的千兆端口，满足大型网络汇聚或中小网络核心对于光电混合配置的要求。智能弹性架构H3CS5800/S5820X系列交换机支持IRF2（第二代智能弹性架构）技术，在扩展性、可靠性、整体架构和可用性方面具有强大的优势，主要体现在四个方面：

扩展性：IRF技术允许交换机利用互联电缆实现多台设备的扩展；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。

可靠性：通过专利的路由热备份技术，在整个IRF组内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了IRF组的可靠性和高性能，同时消除了单点故障，避免了业务中断。

分布性：通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。

可用性：通过标准的万兆以太网接口实现智能弹性架构，可以根据需求分配业务带宽和系统连接带宽，合理分配本地流量与上行流量；不仅可以实现机架内、跨机架，甚至跨区域的远距离智能弹性架构。强大的缓存能力针对于数据中心大流量数据无阻塞传输的要求，H3CS58系列可以提供强大的缓存能力，并且支持先进的缓存调度机制可以保证设备缓存能力有效利用的最大化。完善的安全控制策略H3CS58交换机支持集中式MAC地址认证、802.1x认证、PORTAL认证、EAD快速部署，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL）的动态下发；配合H3C公司的CAMS系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。H3CS58系列交换机提供增强的ACL控制逻辑，支持超大容量的入方向和出方向ACL，并且支持基于VLAN的ACL下发，在简化用户配置过程的同时，避免了ACL资源的浪费。另外，S58系列还将支持单播反向路径查找技术（uRPF），原理是当设备的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。多重可靠性保护H3CS58系列交换机还具备设备级和链路级的多重可靠性保护。采用过流保护、过压保护和过热保护技术。所有机型支持电源冗余，其中部分机型支持内置冗余电源模块和模块化风扇组件，所有机型接口板，电源模块以及风扇模块均可以热插拔而不影响设备的正常运行。此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速。除了设备级可靠性以外，该系列还支持丰富的链路可靠性以外，还支持丰富的链路可靠性技术，比如华三通信独创的RRPP快速环网保护机制，VRRPE和Smartlink。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。中功率PoEH3CS5800系列交换机支持PoE（PoweroverEthernet）技术，通过以太网对所连接的设备（如IPPhone,WirelessAP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。不仅可以提供遵从IEEE802.3af标准的每端口15.4W的功率，还支持中功率PoE技术，每端口可以提供最高30W的输出功率，满足包括无线802.11nAP以及部分可视IP电话等大功率PD设备的使用要求。出色的管理性H3CS58系列交换机支持丰富的管理接口，例如Console、带外网口、USB口，支持SNMPv1/v2/v3，支持OpenView等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，集群管理，使设备管理更方便，并且支持SSH2.0、SSL等加密方式，使得管理更加安全。H3CS58系列交换机支持NetStream功能，以及SPAN/RSPAN/ERSPAN镜像和多个镜像观察端口，可以对网络流量进行分析以采取相应管理维护措施，使原本不可见的网络业务应用流量变得一目了然，可以为用户提供多种网流分析报表，帮助用户及时优化网络结构，调整资源部署。开放业务架构H3CS58系列交换机采用了H3C的开放业务架构（OAA），不仅可以提供传统交换机的二、三层报文转发的功能，而且可以集成包括防火墙，IPS，无线控制器等高性能多业务模块，使S58交换机成为一个多业务的承载平台。S5800系列系统参数项目S5800-60C-PWRS5800-56CS5800-56C-PWRS5800-32CS5800-32C-PWRS5800-32F机箱尺寸（长×宽×高）（单位：mm）440×465

×86.1440×367

×43.6440×427

×43.6440×367

×43.6440×427

×43.6441×427

×43.6重量Ÿ18kgŸ6.5kgŸ8.5kgŸ6.0kgŸ8kgŸ8.5kg管理端口1个Console口1个Console口1个Console口1个Console口1个Console口1个Console口1个带外网管口USB接口1个1个1个1个1个1个固定业务端口48个10/100/1000

Base-T以太网端口（PoE），4个100/1000MSFP端口，48个10/100/1000

Base-T以太网端口，4个1/10GSFP+端口48个10/100/1000

Base-T以太网端口（PoE），4个1/10GSFP+端口24个10/100/1000

Base-T以太网端口，4个1/10GSFP+端口24个10/100/1000

Base-T以太网端口（PoE），4个1/10GSFP+端口24个100/1000MSFP端口，4个1/10GSFP+端口业务槽位数311111业务板卡类型4端口1G/10GSFP+接口模块2端口1G/10GSFP+接口模块16端口10/100/1000MBase-T电口模块16端口100/1000MSFP端口模块防火墙模块IPS模块无线控制业务板（小规格）无线控制业务板（大规格）输入电压交流额定电压范围：100V～240VAC，50/60Hz最大电压范围：90V～264VAC，47/63Hz直流额定电压范围：300WDC：-48V～-60VDC750WDC：-54V～-57VDC额定电压范围(RPS)：10.8V～13.2VDC额定电压范围(RPS)：-52V～-55VDC额定电压范围(RPS)：10.8V～13.2VDC额定电压范围(RPS)：-52V～-55VDC额定电压范围：-48V～-60VDC功耗（空载）DC：94WAC：96W102WDC：107WAC：131W67WDC：64WAC：85WDC：58WAC：67W功耗（满载）单DC：1840W（其中1500W为PoE输出)双DC：1840W（其中1500W为PoE输出)单AC：714W（其中425W为PoE输出)双AC：1147W（其中740W为PoE输出)163WDC：973W（其中740W为PoE输出)AC：673W（其中370W为PoE输出)105WDC：870W（其中740W为PoE输出)AC：598W（其中370W为PoE输出）DC：136WAC：146W工作环境温度0℃～工作环境相对湿度（非凝露）10%～90%交换容量360Gbps包转发率（整机）213Mpps192Mpps192Mpps156Mpps156Mpps156Mpps5.4S5120系列交换机H3CS5120-EI系列交换机高扩展性保护投资随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条10GE链路将是我们的未来发展方向。S5120-EI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，尽力保护用户投资。S5120-EI系列支持IPv4和IPv6的三层路由功能，并可以实现基于硬件的IPv4和IPv6的全线速转发。同时支持IPv6的ACL、QoS、组播和网管，实现IPv4到IPv6的平滑升级。智能弹性架构H3CS5120-EI系列交换机支持IRF2（第二代智能弹性架构）技术，就是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处：

简化管理

IRF架构形成之后，可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。

简化业务

IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算，而随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。

弹性扩展

可以按照用户需求实现弹性扩展，保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”，不影响其他设备的正常运行。

高可靠

IRF的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了链路的可靠性；IRF系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份；IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：N的协议可靠性。

高性能

对于高端交换机来说，性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。完备的安全控制策略H3CS5120-EI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3CS5120-EI系列交换机支持对试图接入网络的用户进行802.1x认证。可以在交换机上对802.1x客户端的版本和有效性进行验证，防止非法用户登录网络。支持集中式MAC地址认证，可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件，而且可以同时运行802.1x认证和基于MAC地址认证。提供GuestVlan功能，使得为被授权的访问端只能接入访问特定的资源，并且会采取相应的策略，例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。支持SecureShellV2（SSHV2）特性可以提供安全的信息保障和强大的认证功能，以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。丰富的QoS策略H3CS5120-EI系列交换机支持支持L2（Layer2）~L4（Layer4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP、WRR、SP+WRR三种模式。支持CAR功能，粒度最小达64Kbps。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。出色的管理性H3CS5120-EI系列交换机支持SNMPv1/v2/v3（SimpleNetworkManagementProtocol），可支持OpenView等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMPv2集群管理，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。H3CS5120-EI系列交换机支持基于MAC地址划分VLAN，很好的解决了移动办公的智能灵活管理；结合特有的基于全局和VLAN下发ACL策略，在简化用户配置的同时，也大幅节约了硬件资源。

支持特性S5120-24P-EIS5120-48P-EIS5120-28C-EIS5120-52C-EIS5120-28C-PWR-EIS5120-52C-PWR-EI交换容量192Gbps240Gbps192Gbps240Gbps192Gbps240Gbps包转发率36Mpps72Mpps96Mpps132Mpps96Mpps132Mpps外形尺寸（长×宽×高）（单位：mm）440×30