医院智能化设计方案两篇

医院智能化设计方案两篇篇一：某医院智能化设计方案1、前言近年来，随着计算机技术和网络通信技术的发展，使社会高度信息化，“医院智能化”的概念运应而生。医院智能化是采用计算机技术对建筑物内的设备进行自动控制，对信息资源进行管理，为用户提供信息服务，它是建筑技术适应现代社会信息化要求的结晶。智能化医院的基本要求是，有完整的控制、管理、维护和通信设施，便于进行业务管理、环境控制、安全管理、监视报警。简言之，医院智能化的基本要求是：办公设备自动化、智能化，通信系统高性能化，建筑柔性化，建筑管理服务自动化。智能化提供的环境应该是一种和谐的生活环境和高效率的工作环境。2、项目概述医院定位为二级甲等中西医结合的综合性新型医院。建筑面积约50900平方米。建筑总体主要包含门诊楼、行政办公楼、急诊、医技楼、住院楼、后勤楼等。3、设计原则1、结合项目实际要求，贯彻先进性、开放性、可靠性与实用性相结合的原则；2、根据时代发展趋势，紧跟可持续发展和节能环保的方针；3、以智能化为翼，为医院管理提供动力。4、总体设计本次昆山市中西医结合医院智能化系统建设目标：以建筑为平台，兼备建筑设备、办公自动化及通信网络系统，集结构、系统、服务管理及它们之间的最优化组合，提供一个安全、高效、舒适、便利的建筑环境。智能化系统工程建设主要内容：综合布线系统计算机网络系统程控交换系统广播系统安防系统（视频监控、报警、巡更）一卡通系统（门禁、梯控、考勤、消费、水电控）多媒体会议系统分诊导引信息发布系统智慧病房系统（医患呼叫、HPTV）手术示教、远程会诊系统ICU探视系统楼宇自控系统无线对讲系统能耗计量系统机电运维系统（IBMS ）机房设计综合管网三、智能化系统设计方案1、综合布线系统1.1系统概述按照智能化医院的宗旨，即：以建筑为平台，兼备建筑设备，办公自动化及通信网络系统，集结构、系统、服务、管理及它们之间的最优化组合，向人们提供一个安全、高效、舒适、便利的建筑环境。昆山中西医结合医院的智能化正是按照此宗旨来进行建设的，但与其它的建筑智能化有所不同，其建筑功能的专业性强，使用对象相对稳定且变化性小，针对这些特性。作为智能化弱电系统的基础-综合布线系统，我们为中西医结合医院设计一套合理、经济、最优化的综合布线系统。1.2设计依据整个系统完全符合中华人民共和国之条例和规范，包括：以太网10Base-T标准IEEE802.3；以太网100Base-T标准IEEE802.3；千兆以太网标准IEEE802.3Z；ATM论坛(155Mbps/622Mbps)；建筑与建筑群综合布线系统工程设计规范GB50311-20XX；建筑与建筑群综合布线系统工程施工及验收规范GB50312-20XX；商用建筑物布线标准EIA/TIA568A；国际标准ISO/IEC11801；民用建筑通信管理标准EIA/TIA606。1.3设计原则实用性：完全满足所支持的数据、多媒体等系统的传输速率和传输标准的要求。系统可为数据及高清晰度图像信息提供高速(100Mpbs以上)及带宽(100MHz以上)的传输能力，并完全满足千兆以太网以及ATM的需求。开放式结构：本系统方案完全符合EIA/TIA-568A、EIA/TIA-569A、ISO11801、EN50173、CECS72.97、CECS89.97等国际标准、中国国家标准及相关的其它标准规范。能支持综合信息(话音、数据、多媒体)传输和连接，实现多种设备配线的兼容。本综合布线系统能支持所有的数据处理(计算机)的供应商的产品，支持各种计算机网络的高速和低速的数据通讯，可以传输所有标准的模拟和数字的话音信号，具有传输ISDN的功能，可以传输模拟图像、数字图像以及会议电视等的多媒体信号。可扩展性：能在设备布局和需要发生变化时实施灵活的线路管理。大楼内所有弱电系统服务的各种拓扑结构的管理网络计算机、数据终端设备、传真绘图等图形图像设备以及话音设备等插入标准插座内，当这些设备的位置发生变化时，只需作一些简单的跳线，而不需敷设和安装新的电缆和插座。能够保证系统很容易的扩充和升降而不必更动整体配线系统。由于每个子系统都是相互独立的单元组，对每个分支单元系统的改动都不会影响其它子系统。改变接点连接使用网络拓扑结构方便在星型、总线型、环型等之间进行转换。维护方便：本系统提供有效的工具和手段，能够简单、方便进行线路故障的分析、检测和故障隔离，当故障发生时，可迅速找到故障点并加以排除。适应性强：具有适应未来的需求，平稳过渡到增强型分布技术的智能型大楼布线系统，并能实现大楼与国际互连网(Internet)等信息高速公路连接的需求。1.4系统介绍今天不断发展的信息网必须满足众多用户对不同技术与服务的要求，同时还要遵从各种操作系统及标准协议。结构化综合布线系统是兼容众多厂家设备的布线网络，它将先进的双绞线及光缆技术完美地结合起来，而达到信息资源的共享以满足顾客的需求。本次昆山市中西医结合医院结构化综合布线系统由六个子系统组成:工作区子系统；水平区子系统；干线区子系统；管理区子系统；设备间子系统；建筑群子系统。这六个子系统有机地结合在一起,构成一个完整的开放的布线系统。工作区布线子系统，由终端设备连接到信息插座的连线（或软线）组成，它包括装配软线、连接器和连接所需的扩展软线，并在终端设备和I/O之间搭桥。水平区子系统，是整个布线系统的一部分，它将干线子系统线路延伸到用户工作区。水平区子系统与干线区子系统的区别在于：水平区子系统总是处在一个楼层上，并端接在信息插座上。管理区子系统：控制建筑物各楼层配线间内所有信号传输的路由，由分配线架（IDF）及跳线组成。干线区子系统：通过垂直主干线缆实现楼层分配线间（IDF）到总设备间（MDF）的通信线路连接。设备间子系统：主要是由服务于计算机系统、网络集线器(HUB）、程控交换机（PABX）等的铜缆和光缆配线架、机柜、交联跳线、标签标记及地线等组成。建筑群子系统：将不同建筑内的语音、网络数据通过数据光缆及语音铜缆联接起来，形成一个统一的整体。1.5详细设计本项目按照工程图纸实际结构和功能要求进行设计的。总体设计采用产品完善、性能优异的具有国内布线技术领先综合优势的结构化综合布线系统产品，并按照国家和国际相关标准及结构化综合布线系统设计原则和用户的要求设计。本系统设计采用星型物理结构，由工作区子系统、配线（水平）子系统、干线（垂直）子系统、管理子系统、设备间子系统、建筑群子系统组成。中西医结合医院主楼共12层，另有一栋3层后勤保障楼。设备中心设在主楼3层的信息中心机房。信息点至楼层配线间网络和语音均采用六类双绞线连接。楼层配线架与数据中心采用万兆光缆连接，电话采用大对数电缆连接。整个布线系统结构采用星型拓扑结构。1.5.1工作区子系统根据综合布线系统要求，工作区子系统中推荐均选用满足ISO11801及EIA/TIA568B标准的CAT6铜缆模块及光纤接口，墙面使用86x86型面板，每个墙面信息插座均带有永久性的防尘门。地面使用模块化铜质信息插座。工作区子系统是最终用户的办公区域，即信息端口以外的空间。工作区子系统由终端设备连接到信息插座的连线和信息插座所组成。点位详细设计：在中西医结合医院各科室、业务用房根据房间面积设置相应的内网数据、外网数据以及语音点。2.5.2水平子系统由信息插座到楼层配线架之间的布线等组成，主要包括：信息插座、转接点、水平电缆等设备。水平线缆长度不大于100米。本次项目网络点、语音点的水平传输线缆均采用低烟无卤6类非屏蔽电缆，能够保障数据、语音的灵活转换。线路规划：除特殊点位以外每个信息点的线缆走向是：信息面板到走廊顶部水平桥架这段线缆采用预埋KBG管过线，走廊顶部水平桥架连接至楼层配线间，楼层配线间通过主桥架连接至中心机房。2.5.3管理区子系统管理子系统是指楼层弱电间的分配线架（IDF），由交叉连接的端接硬件及快接式跳线等组成，以实现对信息点的灵活管理。以配线架为主要设备，配线设备可直接安装于墙面防火板上，或安装于19寸机架或19寸机柜上。本次中西医结合医院每层有1个弱电井，作为本层的综合布线管理间。所有网络、电话设备均安装于弱电机柜内。统2.5.4干线子系统干线子系统提供了建筑物中主配线架与层分配线架连接的通信联络。由设备间子系统与管理区子系统的引入口之间的布线组成，它是建筑物主干布线系统。本次中西医结合医院综合布线主干线缆为万兆多模光缆及3类大对数电缆。2.5.5设备间（信息中心机房）由建筑物的进线设备、各种主机配线设备及配线保护设备组成，有时将它归入建筑物主干布线系统。包括主配线架、跳线等。机房中的数据总配线架选用24口机柜安装的光纤配线架，每层的分配线架选用24口机柜安装的光纤配线架；语音总配线架选用110型机柜安装配线架，且分别安装在2米高的19英寸标准工业用机柜内部。2.5.6综合布线点表内网数据ap外网数据电话点负一层411F1722320992F16220171113F1502017714F81912205F6666146F6666147F6666148F6666149F66661410F66661411F66661412F666614内勤楼8414合计11051241154181.6产品介绍1.6.1面板材料：优质工程塑料（PC料），聚碳酸酯（奥特面板）。冲击测试：IK04。面板防火级别：UL-94V0。特点：普通面板为86*86mm标准尺寸，符合国内使用习惯；面板表面不可见螺钉孔，美观大方，面板设计线条流畅、棱角清晰；面板自带防尘薄膜，可有效防止施工时灰尘进入（施工完成后只需撕掉薄膜即可使用），保证性能；模块式面板设计，可给用户根据信息点数量提供安装灵活性，采用优质工程塑料（PC料），防撞阻燃抗冲击；采用可调整立柱结构连接，即使底座安装不平整也可通过调节保证面板表面安装平整；固定架和后座磨砂处理，保护产品不被尖锐物划伤；模块前端安装，方便安装维护，拆卸时不损伤墙面；信息面板自带有标签，方便管理。1.6.2六类非屏蔽模块材料：优质工程塑料（PC料）及镀金铜丝。防火级别：UL-94V0。标准：符合标准TIA/EIA568A及ISO/IEC11801。特点：无电路板（PCB）设计，符合工业环境要求；模块的外壳采用的是抗冲击、阻燃PC料，抗破坏能力极强；免打线方式，使用模块自带旋钮工具可快速简单的线缆端接；一个模块可5次端接并保证连接性能；特别设计的模块保证可靠的端接性能要求，免测量13mm开绞线距离；直观的线缆颜色标识，易于线缆的安装和检查,可打线后再检查线序；八根接触金针表面镀金，确保接触良好，性能优良；八根接触金针为特殊设计，弹力极佳，即使用户高频率接插，也能确保接触良好；可提供2500次接插；模块为A、B线序通用，便于用户使用；不管是面板模块还是配线架模块的安装方式都为前端卡接式，易于用户安装和维护。1.6.3六类水平线缆铜丝线规：六类：23AWG，材料为优质无氧铜；工作温度范围：-20至60度；防火等级（LZSH）:IEC332-1,NFC320702.1；绝缘层：PE料；外皮：材料为优质LSZH；标准：超五类/六类：ISO11801,EIA/TIA-568；外皮颜色：六类：BlueRAL5015。特点：采用半紧外护套，即能有效利用管道空间，又能避免划伤里面线对；外护套为LSZH或PVC材料制造，符合消防要求；四对对绞线均采用国外最好的设备生产，性能、质量一流；四对对绞线的色标采用国际标准色标，清晰、牢固，便于施工和用户管理；线缆整体经过特殊加强，抗伸拉能力极强；线缆性能全面优于现行的TIA/EIA-568传输标准；线缆通过了信息产业部数据通信产品质量监督检验中心检验，UL,ETL和3P检测认证。1.6.4模块化配线架模块化配线架空板具有良好的设计通用性，可兼容屏蔽与非屏蔽模块，六色旋转双标识系列。同时为每个1U配线架配置1个1U水平理线器来收纳和管理前端跳线。配线架特征：采用冷轧钢板材料，经过静电粉末喷涂处理；模块化组合，客户可按需安装模块数量，节省成本。可选配防尘胶塞；采用4口模块组安装形式，灵活组配，可选磨砂盲板；配线架背面配有理线托盘，用于捆扎、管理线缆，避免线缆与模块端接触，使布线系统整洁美观；可旋转的6色色标可方便的区分各V-Lan或功能区域；正面直观的标签区为书写标签，提供方便的管理；对于各种线缆提供灵活、有效和安全的管理，兼容5类6类屏蔽与非屏蔽模块。1.6.5网络跳线类别：原厂正品，六类规格：多股软跳线，RJ45-RJ45。芯数：8芯。长度：1M/2M/3M/5M。连续性和传输性能都经过第三方认证符合标准。可享受延长至25年产品质量和系统应用保证。主要物理参数:插拔次数：不少于750次。工作温度：14°F到140°F(-10℃到60℃)。1.6.6光纤配线架配线架端口：12-24口；安装方式：19英寸机柜式安装，可直接安装于墙面。采用抽屉式结构，节约空间，操作方便；12口宽度为1U，24口宽度为1.5U；光纤耦合器：ST/SC/LC/FC；连接衰耗：多模0.1dB；单模0.2dB；标签：自带明显数据或语音标签；全钢喷塑壳体，结构牢固，美观大方，使用方便，有效防尘；配套提供暗装底盒，暗装盒内设有线缆盘绕存储架，保证光纤的最小曲率半径；采用模块化功能条，可自由组合，适应不同接口的运用；执行标准：ISO/IEC11801，EN50173。1.6.7光纤适配器采用高精度氧化锆和高磨光磷青铜套管，确保良好的物理承接力和插接能；日本原装陶瓷芯，由高精度研磨机磨制，表面抛光技术，确保极低的插入损耗和反射损耗，插入损耗<0.2dB；环境温度变化时性能保持稳定，因此连接器的温度特性很好，在-40℃~+80℃，插入损耗变化≤+0.1dB；提供多种接头，分别有SC、ST、FC、LC、MT-RJ，适用于多模和单模连接器，应用于光纤通信系统。1.6.8室内铜缆大对数包装：木轴（305米+2%）；性能超过TIA/EIA568A三类标准；独特设计使得安装电缆占用空间更小，安装更灵活更方便；确保链路满足三类传输性能；降低线缆敷设成本和与测试成本；简化结构化敷缆方法，确保长期网络投资的用户利益；线规：24AWG；三类25对UTP外径：12.8+0.3mm,三类50对UTP外径：16.6+0.5mm，三类100对UTP外径：23+1.0mm2、计算机网络系统2.1需求分析根据昆山中西医结合的建设需求，需要建设物理完全独立的3套网络。医院内网，为满足医院日常办公需求，业务需求，及未来的网络扩容，建设一套高带宽全千兆有线+无线网络。业务外网，为满足互联网业务需要，建设一套高性能的全千兆外网。智能设备网：建设一套智能化设备网，满足IP监控、IP门禁、IP广播等智能化系统网络传输需求。高稳定性的需求：中西医结合医院信息化网络组建投入使用以后是一个要求相对稳定的环境，对网络的稳定性要求相当的高。如果万一出现网络中断的现象，很可能就会对医院业务造成损失，有一些数据可能造成丢失。所以为保证网络的稳定、可靠、高效。用户管理的需求：可对全网设备进行集中管理，时时检测设备的状态与链路状态的管理需求。能够实现全网的安全管理，包括：IP、MAC的盗用问题、防止接入用户的非法DHCPServer、Proxy等用户。对于用户的上网行为能够实现实时的跟踪以及时候的追查。安全管理的需求：由于医院内部有许多敏感性数据，如何保障网络的安全成为建网时不得不考虑的问题。2.2设计原则1）高性能为了保障全网的高速转发，全网的组网设计的无瓶颈性，主干网为万兆以太网，采用星型的拓扑结构，并可平滑升级到万兆。同时要求核心交换能够提供强大的三层线速交换能力。并具有高性能、高带宽的特点，整网的核心交换要求能够提供无瓶颈的数据交换。2）安全性网络系统可以完成对FTP，TELNET，ARP等数据包进行的过滤。系统可对LAN进行MAC地址的过滤。系统可同时满足对多个端口进行过滤，内网通过采用虚拟局域网（VLAN）、访问控制列表等技术按需实现部门之间、应用系统之间的逻辑隔离，从而实现网络内部数据访问的安全性；通过采用防火墙、认证等技术，有效控制外部用户对内网的访问。3）可靠性全网采用容错设计，即网络设计充分考虑了系统的冗余，对于核心骨干设备做到设备冗余或者引擎冗余，电源冗余，链路冗余；对于接入层做到上连端口的备份。4）适应性网络系统应满足并兼容所有的以太网协议，包括：1000Mbps快速以太网和10Gbps高速以太网。5）延展性网络系统应可以随着信息系统的用户规模的扩大和网络应用的不断增加而升级，具备很强的扩展功能，保证网络设备的性能随着网络规模的扩大而增加。网络良好的扩展性来自于良好的设计。在网络设计中，采用业务功能模块化和网络拓扑层次化的设计方法，使得网络架构在功能、容量、覆盖能力等各方面具有易扩展能力，以适应快速发展的业务对网络基础架构的要求，为日后的应用扩展奠定坚实的基础。6）先进性所设计的网络信息系统要具有超前性，技术选型应采用当今国际上成熟、先进的技术，同时还要考虑到今后的应用提升、广域连接、网络扩容和向新技术迁移的能力，具有万兆连接能力，从而更好的保护用户的投资利益。7）开放性与标准化本项目的网络信息系统采用开放性体系结构和标准化的协议，所有网络产品支持标准的网络与接口协议，以保证不同厂家产品的互联性和互操作性，同时保障网络的开放性。2.3网络系统设计在昆山中西医结合医院的网络整体架构设计上，为了信息的安全，网络分为管理内网、业务外网、智能设备网3个网络，进行物理隔离划分。根据上述总体设计中的思路，主要设计如下：所有网络都采用两层网络架构，接入层采用千兆到终端。管理内网及业务外网采用双核心万兆并且具有平滑扩容的能力。网络关键节点能够冗余热备保障系统连续稳定运行。具有高带宽、高可靠、高性能、高安全的特性，可靠保障医院HIS、PACS系统的稳定运行。智能设备网采用千兆接入、千兆上行。核心采用模块化高带宽核心交换机。一体化设计，实现一体化硬件、一体化管理、一体化供电。采用网络管理软件管理各网所有网络设备。2.4系统分层设计分层设计方法可为网络带来以下三个优点：A、层次性网络的可扩展性可扩展性是在交换网络连接中使用层次性设计的主要优点。层次性网络具有更多的可扩展性是因为它可以让你用模块化方式扩展网络而不会遇到非层次性网络或平面性网络很快所遇上的问题。B、层次性网络的可管理性网络简单化：通过把网络元素划分为小单元、层次化，降低了整个网络的复杂性。这种网络单元的划分使故障诊断变得清晰和简单了，同时还可以提供防止广播风暴、路由循环等其他潜在问题的内在保护机制。设计更灵活：层次化设计使得骨干网和服务接入网之间的包交换形式更具灵活性。很多网络都得益于使用混合方式来构造整个网络架构。在大多数情况下，可在骨干网部分使用专线而在区域网或本地网接入部分使用包交换服务。网络设备管理更容易；由于层次化网络结构使网络分层，相对缩小的网络区域使网络设备的邻居或对等通信端量减少，因此时网络设备的配置变得简单化。C、网络更安全通过在骨干网络边缘设备的过滤功能，限制对核心网络数据库的访问。我们将这一网络的结构设计分为两级结构：核心层、接入层。核心层主要作用是提供高速传输和数据的访问。接入层主要完成网络流量的控制机制以使骨干网和用户接入网环境隔离开来。2.5设备选型分析2.5.1核心层设备核心交换部署在信息中心机房，负责医院数据集中和转发，同时也负责与服务器区、网络出口区之间的流量转发。因此核心交换机上还需要配置足够的端口，为各区域网络设备接入核心设备中提供接口。作为整个网络的中心枢纽，几乎80%的网络传输都由核心交换机完成，因此，核心交换机的性能也就决定着整个网络的性能。本方案建议每个网络系统在中心机房处部署高端机箱式交换机，核心交换机应当具有多个业务模块插槽，配置双电源、具备双引擎插槽，充分保证核心网络设备级的可靠性。核心交换机作为网络的核心设备，对整个系统的稳定和性能起着至关重要的作用。建议核心交换机应当具有如下特点：采用先进的CLOS多级多平面交换架构，采用控制引擎和处理引擎相分离，具有多个独交换功能板卡插槽，能提供冗余的交换功能板卡，的可以提供持续的带宽升级能力，支持40GE和100GE以太网标准，本次要求配置核心交换机配置40G以太网光接口板用与2台超万兆核心交换机之间40G互联，实现全网骨干核心的无阻赛交换。核心交换机应该是高性能模块化交换机，支持模块化插槽至少10块以上，插槽采用有力利设备散热和抗压能力的设计。核心设备应当支持虚拟化堆叠技术。能将多台物理设备虚拟化为一台逻辑设备，虚拟组内可以实现一致的转发表项，统一的管理，跨物理设备的链路聚合；核心交换机应当具备多业务能力。支持MPLSVPN、IPv6、应用安全、应用控制网关，功能模块，无线等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。在业务特性方面。核心交换机支持丰富的QoS特性，可保障重要业务得到优先转发；支持IPv6，可平稳过渡到下一代网络；并且支持内置、内置无线控制器、负载均衡、应用控制、流量清洗等多种业务功能插卡，可以进行灵活的部署，实现业务的扩展和融合。在安全性方面，核心交换机应采用“最长匹配、逐包转发”模式，能够抵御网络病毒的攻击；支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证；支持IP、VLAN、MAC和端口等多种组合绑定方式，防范地址盗用；支持广播报文抑制，有效控制ARP等非法广播流量对设备造成冲击；支持URPF，防止IP地址欺骗；支持报文安全过滤，防止非法侵入和恶意报文攻击等。既能保障自身的运行安全，也能通过一些安全机制保障所承载业务的安全。两台核心交换机之间通过一对40G接口进行互联，构成了虚拟化弹性智能组，实现两台核心交换机虚拟化成为一台交换机的目的。这样整个局域网就避免了生成树（STP）的问题，同时由于2台核心交换机构成了虚拟组组，任何设备分别接入两台核心交换机上就像接入到同一台设备上，因此如果是二层的双链路链接则两条链路可以同时工作，完全避免二层的STP问题，使得带宽大大增加。对于三层的双链路则两台在路由的COST值就完全按照一台进行计算。而且两台构成虚拟组的核心交换机在管理方面完全是按照1台设备进行管理。这样即简化了核心交换设备、网络的管理难度，同时也大大提高了核心网络的网络带宽。为了提高整个核心的高可靠性，核心交换机的控制部分和交换部分应该分离，因此核心交换机应具备独立的交换网板，在本系统中配置了独立、冗余的交换网板。同时。单台核心设备的可靠性，配置双电源，在十万兆核心交换机上不建议配置复杂的协议，只需要启动三层路由协议即可。通过2对40G超万兆接口互联链路，配置两台核心交换机实现虚拟化，两台核心交换机实现虚拟化后有居多优势。3.5.2接入层设备楼层接入区主要是负责楼层内的信息点互联起来，为各个信息点提供layer2层接入功能。主要完成以下功能：接入网作为用户终端接入的唯一接口，在为用户终端提供高速、方便的网络接入服务的同时，为网络终端提供千兆接入能力。在安全性方面需要对用户终端进行入网认证，访问权限控制，从而拒绝非法用户使用网络，保证合法用户合理使用网络资源，并有效防止和控制病毒传播和网络攻击，在外网中，还承担这给无线AP提供稳定的POE供电功能；通过VLAN定义实现业务划分；支持802.1P、端口优先级、IPTOS、二到七层流过滤等QoS策略，具备MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略；支持IGMPSnoopingv1/v2/v3，并且支持IGMP组播源端口检查功能，可限定交换机哪些端口可以有组播源信息的播放，从而避免非法组播挤占网络带宽、扰乱计算机网络系统的正常运行；支持内在的多种安全机制，有效防止和控制病毒传播和网络流量攻击，控制非法用户使用计算机网络系统资源，保证合法用户合理化使用计算机网络系统资源，如端口安全、端口隔离、专家级ACL、时间ACL、端口ARP报文合法性检查、基于数据流的带宽限速、六元素绑定等，满足计算机网络系统加强对访问者进行控制、限制非授权用户通信的需求；支持提供加密传输的SSH（SecureShell），保证管理设备信息的安全性，防止黑客攻击和控制设备。支持SNMPV1/V2，可以通过SNMP远程对设备进行管理。2.6组网方案设计本次中西医结合医院网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。2.6.1管理内网内网主要保障医院内部办公及各项业务功能的网络承载。采用2台高带宽双核心作为承载整个网络平台的核心设备，通过在核心设备上部署IRF2技术，把两台核心设备虚拟为一台统一的逻辑设备，代替传统网络中核心设备的VRRP技术，原有的一主一备的设备只有在主设备发生故障时，才接替主设备承担起核心转发的任务。使用IRF2技术，两台设备在网络中同时工作，大大提高设备的使用效率。从接入到核心，全网采用万兆多模光缆，充分保证的网络的可靠性，减少单点故障给网络带来的损失。接入交换机选用全千兆交换机，万光纤接入核心，千兆到桌面,根据楼层网络点位数量设置为相应24口交换机及48口交换机。全网部署智能管理中心对网络进行统一的管理。2.6.2业务外网外网主要提供医院的对外业务服务功能。采用2台高带宽双核心作为承载整个网络平台的核心设备，通过在核心设备上部署IRF2技术，把两台核心设备虚拟为一台统一的逻辑设备，代替传统网络中核心设备的VRRP技术，原有的一主一备的设备只有在主设备发生故障时，才接替主设备承担起核心转发的任务。使用IRF2技术，两台设备在网络中同时工作，大大提高设备的使用效率。从接入到核心，全网采用千兆多模光缆，充分保证的网络的可靠性，减少单点故障给网络带来的损失。接入交换机选用全千兆交换机，千兆光纤接入核心，千兆到桌面,根据楼层网络点位数量设置为相应24口交换机及48口交换机。全网部署智能管理中心对网络进行统一的管理。2.6.3智能化网采用1台高带宽核心交换机作为承载整个网络平台的核心设备。核心交换机采用双引擎双电源技术，最大限度提高核心交换系统的稳定性，大大提高设备的使用效率，能够支持全楼智能系统的稳定运行。从接入到核心，全网采用双链路冗余设计，充分保证的网络的可靠性，减少单点故障给网络带来的损失。接入交换机选用全千兆交换机，千兆光纤接入核心，千兆到终端设备，根据摄像机、门禁、广播等智能系统的点位设置，每层设置相应数量24口、48口千兆交换机。全网部署智能管理中心对网络进行管理。2.7无线建设方案本次昆山中西医结合医院无线WIFI网络采用先进的基于智能无线交换架构的整体解决方案。可满足医院无线查房、无线护理等业务功能。整个无线网络系统建设需要覆盖整个医院各业务区域。在医院大楼内,每层根据使用功能部署相应AP数量。无线网络系统部署的无线AP都是支持最新无线传输技术802.11ac协议，提供理论上1.5G传输带宽。为建设高可靠、高性能的无线网络系统，此次室内无线AP采用POE供电，通过在每层楼部署千兆POE交换机，为无线AP提供千兆接入的同时，还能通过以太网线对无线AP供电。本无线系统采用瘦AP（FIT）+无线控制器部署方案。无线控制器部联接核心交换机，实现整个无线网络系统的高可靠性。在医院的无线网络建设中我们对接入的用户能实现认证，系统支持802.x和Portal认证。未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用网络中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用网络资源。这样可以对接入用户的身份进行认证，保证了无关或者非法的用户接入进网络。FITAP（瘦AP）组网最大的优点在于AP本身零配置，AP上电后会自动从无线控制器下载软件版本和配置文件，同时无线控制器会自动调节AP的工作信道以及发射功率。另外，通过无线控制器的RF扫描探测热点地区RougeAP，可以及时排除其他AP存在的干扰，保障AP的稳定运行。在网络管理方面，网管可以只通过管理无线控制器设备就可以达到控制AP的效果，极大的减少了无线网络后期维护和管理的工作量。使用无线控制器+FITAP时，AP在启动后会自动通过DHCP方式获取IP地址，并自动搜寻可关联的无线控制器，在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。在AP的接入方面，采用智能射频管理，当某一个AP出现故障时，周围的其他AP会自动调整功率，对该部分区域进行重新的信号覆盖，保证信号的良好覆盖。而当有非法AP进入无线网络造成信号干扰时，智能射频管理系统可以定位出该AP的位置，以便及时加以排除。2.8网络安全设计2.8.1网络防火墙部署网络系统建设不但要考虑系统整体可靠性，对于网络系统整体安全性也成为系统建设重要考虑点。本设计方案在核心交换机上层部署防火墙安全设备，来提高整个网络系统安全性能。防火墙能将内网与不安全的外部网络环境隔离开。防火墙具有能三层到四层的防护功能。网络层防火墙可视为一种IP封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改。应用层防火墙是在TCP/IP堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用FTP时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，防火墙四层防护可以完全阻绝外部的数据流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。防火墙支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全。防火墙可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如GREVPN、IPSecVPN、L2TPVPN及SSLVPN等，可以构建多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性。在防火墙上我们推荐部署如下安全控制策略：防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没有明确的规则允许通过，全部拒绝以保证安全；建议在两台防火墙上设定严格的访问控制规则，配置只有规则允许的IP地址或者用户能够访问数据中心中的指定的资源，严格限制网络用户对服务器的资源，以避免网络用户可能会对服务器的攻击、非授权访问以及病毒的传播，保护服务器中的核心数据信息资产；配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒绝服务攻击进行防范，可以实现对各种拒绝服务攻击的有效防范，保证网络带宽；配置防火墙全面攻击防范能力，包括ARP欺骗攻击的防范，提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等，全面防范各种网络层的攻击行为；根据需要，配置IP/MAC绑定功能，对能够识别MAC地址的主机进行链路层控制，实现只有IP/MAC匹配的用户才能访问数据中心的服务器；其他可选策略：可以启动防火墙身份认证功能，通过内置数据库或者标准Radius属性认证，实现对用户身份认证后进行资源访问的授权，进行更细粒度的用户识别和控制；根据需要，在防火墙上设置流量控制规则，实现对服务器访问流量的有效管理，有效的避免网络带宽的浪费和滥用，保护关键服务器的网络带宽；根据应用和管理的需要，设置有效工作时间段规则，实现基于时间的访问控制，可以组合时间特性，实现更加灵活的访问控制能力；在防火墙上进行设置告警策略，利用灵活多样的告警响应手段（E-mail、日志、SNMP陷阱等），实现攻击行为的告警，有效监控网络应用；启动防火墙日志功能，利用防火墙的日志记录能力，详细完整的记录日志和统计报表等资料，实现对网络访问行为的有效的记录和统计分析。2.8.2IPS部署今天，各种蠕虫、间谍软件、网络钓鱼等应用层威胁和EMAIL、移动代码结合，形成复合型威胁，使威胁更加危险和难以抵御。这些威胁直接攻击服务器和应用，给业务带来了重大损失；攻击终端用户计算机，给用户带来信息风险甚至财产损失；对网络基础设施进行DoS/DDoS攻击，造成基础设施的瘫痪；更有甚者，像电驴、BT等P2P应用和MSN、QQ等即时通信软件的普及，宝贵的带宽资源被业务无关流量浪费，形成巨大的资源损失。入侵防护系统(IPS)倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。IPS可以针对应用流量做深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。2.8.3端口安全及绑定技术端口安全（PortSecurity）是一种对网络接入进行控制的安全机制，是对已有的802.1x认证和MAC地址认证的扩充。PortSecurity的主要功能就是通过定义各种安全模式，让设备学习到合法的源MAC地址，以达到相应的网络管理效果。对于不能通过安全模式学习到源MAC地址的报文，将被视为非法报文；对于不能通过802.1x认证的事件，将被视为非法事件。当发现非法报文或非法事件后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。端口安全的特性包括：NTK：NTK（NeedToKnow）特性通过检测从端口发出的数据帧的目的MAC地址，保证数据帧只能被发送到已经通过认证的设备上，从而防止非法设备窃听网络数据。IntrusionProtection：该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证的用户名、密码，发现非法报文或非法事件，并采取相应的动作，包括暂时断开端口连接、永久断开端口连接或是过滤此MAC地址的报文，保证了端口的安全性。DeviceTracking：该特性是指当端口有特定的数据包（由非法入侵，用户不正常上下线等原因引起）传送时，设备将会发送Trap信息，便于网络管理员对这些特殊的行为进行监控。通过端口绑定特性，网络管理员可以将合法用户的MAC地址和IP地址绑定到指定的端口上。进行绑定操作后，只有指定MAC地址或IP地址的用户发出的报文才能通过该端口转发，提高了系统的安全性，增强了对网络安全的监控。本次项目中所采用的所有交换机均具有端口安全和端口绑定特性，可以限制所接入电脑所使用的IP、MAC和端口，以解决静态IP地址冲突和IP地址欺骗的问题。2.8.4交换机防ARP欺骗攻击技术优势ARP欺骗攻击的危害性当您的计算机网络连接正常，却无法打开网页；当您的计算机网络出现频繁断线，同时网速变得非常慢。这些都可能是由于存在ARP欺骗攻击及ARP中毒，所表现出来的网络故障情况。ARP欺骗攻击不仅导致联网不稳定，极大影响网络的正常运行，更严重的是利用ARP欺骗攻击可进一步实施中间人攻击。如果局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和网关，让所有网络流量都经过攻击者主机进行转发，攻击者通过截获的信息可得到游戏、网银、文件服务等系统的用户名和口令，这种攻击行为就称为中间人攻击。由此可见，中间人攻击是一种非常恶劣的网络恶意攻击行为。ARP欺骗攻击的原理局域网上的一台主机，如果接收到一个ARP报文，即使该报文不是该主机所发送的ARP请求的应答报文，该主机也会将ARP报文中的发送者的MAC地址和IP地址更新或加入到ARP表中。ARP欺骗攻击就利用了这点，攻击者主动发送ARP报文，发送者的MAC地址为攻击者主机的MAC地址，发送者的IP地址为被攻击主机的IP地址。通过不断发送这些伪造的ARP报文，让局域网上所有的主机和网关ARP表，其对应的MAC地址均为攻击者的MAC地址，这样所有的网络流量都会发送给攻击者主机。由于ARP欺骗攻击导致了主机和网关的ARP表的不正确，这种情况我们也称为ARP中毒。由于ARP中毒后，所有的流量都需要经过攻击者进行转发。如果攻击者具有转发能力，在攻击开始和攻击结束是都会引发一次网络中断，攻击过程中网络速度变慢，网速变慢原因跟发送大量的ARP流量消耗了带宽以及其本身处理能力有限有很大关系；如果攻击者不具有转发能力，网络出现传输中断，直到攻击停止及ARP表恢复正常。ARP欺骗攻击防御由于ARP欺骗攻击，利用了ARP协议的设计缺陷，光靠包过滤、IP＋MAC＋端口绑定等传统办法是比较难解决的。通过对ARP欺骗攻击原理的剖析，如果要防御该类型攻击，最理想的办法是在接入层对ARP报文进行内容有效性检查，对于没有通过检查的报文进行丢弃处理。在接入层交换机上采取的这种技术，我们称为ARP入侵检测，此技术可以在访问层区域部署。另外由于ARP欺骗攻击，经常伴随者发送大量的ARP报文，消耗网络带宽资源和交换机CPU资源，造成网络速度的速度降低。因此接入交换机还需要部署ARP报文限速，对每个端口单位时间内接收到的ARP报文进行限制，很好地保障了网络带宽资源和交换机CPU资源。2.8.5DHCP安全保护在本次工程中，有可能会用到DHCP服务器，为接入电脑进行动态的地址分配。为了避免非法的DHCP的开设和接入，对系统产生影响，建议在交换机上启用DHCPSnooping特性。在配置DHCP服务器后，为了提高DHCP服务的安全性，需要配置DHCP服务的安全功能。DHCPSnooping是DHCP的一种安全特性，具有如下功能：记录DHCP客户端IP地址与MAC地址的对应关系；出于安全性的考虑，网络管理员可能需要记录用户上网时所用的IP地址，确认用户从DHCP服务器获取的IP地址和用户主机MAC地址的对应关系。DHCPSnooping可以实现该功能。DHCPSnooping通过监听DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文，记录DHCP客户端的MAC地址以及获取到的IP地址。管理员可以通过displaydhcp-snooping命令查看DHCP客户端获取的IP地址信息。保证客户端从合法的服务器获取IP地址。在网络中如果有私自架设的DHCP服务器，则可能导致用户得到错误的IP地址。为了使用户能通过合法的DHCP服务器获取IP地址，DHCPSnooping安全机制允许将端口设置为信任端口和不信任端口：信任端口是与合法的DHCP服务器直接或间接连接的端口。信任端口对接收到的DHCP报文正常转发，从而保证了DHCP客户端获取正确的IP地址。不信任端口是不与合法的DHCP服务器连接的端口。如果从不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文则会丢弃，从而防止了DHCP客户端获得错误的IP地址。交换机一旦启用DHCPSnooping功能，端口默认为DHCPSnoopinguntrust。建议所有的接入交换机均启用此功能，并将连接DHCP服务器的端口设为DHCPSnoopingtrust。2.8.6IPSourceGuard本项目中所采用的交换机均支持IPSourceGuard功能，可以解决解决伪造IP源地址攻击的问题。通过IPSourceGuard绑定功能，可以对端口转发的报文进行过滤控制，防止非法IP地址和MAC地址的报文通过端口，提高了端口的安全性。端口接收到报文后查找IPSourceGuard绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。2.8.7URPFURPF通过获取报文的源地址和入接口，以源地址为目的地址，在转发表中查找源地址对应的接口是否与入接口匹配，如果不匹配，认为源地址是伪装的，丢弃该报文。通过这种方式，URPF就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生。通过URPF，可以防止基于源地址欺骗的网络攻击行为。本项目中所采用的交换机支持URPF功能，可以解决解决伪造IP源地址攻击的问题。2.8.8ARP报文限速工程中所采用的交换机支持端口ARP报文限速功能，使受到攻击的端口暂时关闭，来避免此类攻击对CPU的冲击。开启某个端口的ARP报文限速功能后，交换机对每秒内该端口接收的ARP报文数量进行统计，如果每秒收到的ARP报文数量超过设定值，则认为该端口处于超速状态（即受到ARP报文攻击）。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免大量ARP报文攻击设备。同时，设备支持配置端口状态自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。2.8.9对流量和连接数的攻击的防范当前的攻击工具、木马、蠕虫和病毒通过泛洪扩散或病毒感染等方式堵塞网络有效带宽，以及发起大量连接堵塞出口的攻击。在本项目中所采用的交换机采用最长匹配、逐包转发的技术，同时，对CPU具有相应的保护技术，可有效的防止网络流量增大导致交换机负载增加。同时，本项目中，核心交换机内置Sflow特性，配合配置的流量分析管理系统，提供网络流量信息统计和分析功能，能够及时了解各种网络应用占用的网络带宽，各种业务消耗的网络资源和网络应用中TopN流量的来源，可以帮助网络管理员及时发现网络瓶颈，防范网络病毒的攻击，并提供丰富的网络流量分析报表。2.8.10对网络设备的安全管理建议通过以下措施，加强对网络设备的安全保护，保证网络稳定的运行。分级设置用户口令登录口令分为4级：参观级、监控级、配置级、管理级，不同的级别所能做的操作都不相同。参观级：网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH客户端、RLOGIN）等，该级别命令不允许进行配置文件保存的操作。监控级：用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。配置级：业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。管理级：关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用，包括文件系统、FTP、TFTP、Xmodem下载、配置文件切换命令、电源控制命令、备板控制命令、用户管理命令、级别设置命令、系统内部参数设置命令（非协议规定、非RFC规定）等。建议分级设置登录口令，以便于对于不同的维护人员提供不同的口令。对任何方式的用户登录都进行认证建议对于各种登录设备的方式（通过TELNET、CONSOLE口、AUX口）都进行认证。在默认的情况下，CONSOLE口不进行认证，在使用时建议对于CONSOLE口登录配置上认证。对于安全级别一般的设备，建议认证方式采用本地认证，认证的时候要求对用户名和密码都进行认证，配置密码的时候要采用密文方式。用户名和密码要求足够的强壮。对于安全级别比较高的设备，建议采用AAA方式到RADIUS或TACACS+服务器去认证。H3C交换机支持RADIUS和TACACS+认证协议。关闭危险的服务如果在设备上不使用以下服务的时候，建议将这些服务关闭，防止那些通过这些服务的攻击对设备的影响。禁止HDP(HuaweiDiscoveryProtocol)；禁止其他的TCP、UDPSmall服务。路由器提供一些基于TCP和UDP协议的小服务如：echo、chargen和discard。这些小服务很少被使用，而且容易被攻击者利用来越过包过滤机制；禁止Finger、NTP服务。Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是十分危险的，但是如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其他任务出错；建议禁止HTTP服务。路由器操作系统支持Http协议进行远端配置和监视，而针对Http的认证就相当于在网络上发送明文且对于Http没有有效的基于挑战或一次性的口令保护，这使得用Http进行管理相当危险；禁止ICMP协议的IPUnreachables,Redirects,Mask－Replies；如果没必要则禁止WINS和DNS服务；禁止从网络启动和自动从网络下载初始配置文件；禁止FTP服务，网络上存在大量的FTP服务，使用不同的用户名和密码进行尝试登录设备，一旦成功登录，就可以对设备的文件系统操作，十分危险。使用SNMP协议时候的安全建议在不使用网管的时候，建议关闭SNMP协议。出于SNMPv1/v2协议自身不安全性的考虑，建议尽量使用SNMPv3，除非网管不支持SNMPv3，只能用SNMPv1/v2。在配置SNMPv3时，最好既鉴别又加密，以更有效地加强安全。鉴别协议可通过MD5或SHA，加密协议可通过DES。在SNMP服务中，提供了ACL过滤机制，该机制适用于SNMPv1/v2/v3三个版本，建议通过访问控制列表来限制SNMP的客户端。SNMP服务还提供了视图控制，可用于SNMPv1/v2/v3。建议使用视图来限制用户的访问权限。在配置SNMPv1/v2的community名字时，建议避免使用public、private这样公用的名字。并且在配置community时，将RO和RW的community分开，不要配置成相同的名字。如果不需要RW的权限，则建议不要配置RW的community。保持系统日志的打开H3C交换机的系统日志会记录设备的运行信息，维护人员做了哪些操作，执行了哪些命令。系统日志建议一直打开，以便于网络异常的时候，查找相关的记录，并能提供以下几种系统信息的记录功能:access-list的log功能：在配置access-list时加入log关键字，可以在交换机处理相应的报文时，记录报文的关键信息；关键事件的日志记录：对于如接口的UP、DOWN以及用户登录成功、失败等信息可以作记录；Debug信息：用来对网络运行出现的问题进行分析。2.9业务功能支撑及存储核心数据库应用：考量节能环保、未来可灵活扩展及营运维护成本等因素，主要数据库应用建议运行于5台高配高性能平台服务器。为了让医院的HIS系统能够稳定运行，需要采用虚拟化的方式，采用2台高配置服务器，构建可灵活扩展的虚拟化平台，并提供更多的虚拟资源，提高整体资源的利用率。医院PACS采用1台高配服务器，其余系统采用1台高配服务器。2.10主要设备介绍2.10.1内网核心交换机技术参数：属性S7506E交换容量16.36Tbps/25.6TbpsIPv4包转发率2880Mpps/12000Mpps槽位数量8业务槽位数量6二层特性支持IEEE802.1P(CoS优先级)支持IEEE802.1Q（VLAN）支持IEEE802.1d（STP）/802.1w（RSTP）/802.1s（MSTP）支持IEEE802.1ad（QinQ），灵活QinQ和Vlanmapping支持IEEE802.3x（全双工流控）和背压式流控（半双工）支持IEEE802.3ad（链路聚合）和跨板链路聚合支持IEEE802.3（10Base-T）/802.3u（100Base-T）支持IEEE802.3z（1000BASE-X）/802.3ab（1000BaseT）支持IEEE802.3ae（10Gbase）支持IEEE802.3af（PoE）支持IEEE802.3at（PoE+）支持RRPP（快速环网保护协议）支持跨板端口/流镜像支持端口广播/多播/未知单播风暴抑制支持JumboFrame支持基于端口、协议、子网和MAC的VLAN划分支持SuperVLAN支持PVLAN支持MulticastVLAN+支持点到点单VLAN交叉连接、双VLAN交叉连接全部依靠VLAN-ID进行转发，不涉及MAC地址学习支持最大VLANMAPING/灵活QinQ表项全面支持VLANMAPPING能力支持GVRP支持LLDPIPv4路由特性支持ARPProxy支持DHCPRelay支持DHCPServer支持静态路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGPGR(GracefulRestart优雅重启)支持等价路由支持策略路由支持路由策略IPv6路由特性支持ICMPv6支持ICMPv6重定向支持DHCPv6支持ACLv6支持OSPFv3支持RIPng支持BGP4+支持IS-ISv6支持手工隧道支持ISATAP支持6to4隧道支持IPv6和IPv4双栈组播支持IGMPv1/v2/v3支持IGMPv1/v2/v3Snooping支持IGMPFilter支持IGMPFastleave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持AnyCast-RP支持MLDv2/MLDv2Snooping支持PIM-SMv6、PIM-DMv6、PIM-SSMv6ACL/QoS支持标准和扩展ACL支持基于VLAN的ACL支持Ingress/EgressACL支持Ingress/EgressCAR，粒度可达8Kbps支持两级Meter能力支持VLAN聚合CAR，MAC聚合CAR功能支持流量整形（TrafficShaping）支持802.1P/DSCP优先级Mark/Remark支持层次化QoS（H-QoS），支持三级队列调度支持队列调度机制，包括SP、WRR、SP+WRR、CBWFQ支持拥塞避免机制，包括Tail-Drop、WRED支持MirroringSDN/支持OPENFLOW1.3标准OPENFLOW支持多控制器（EQUAL模式、主备模式）支持多表流水线支持Grouptable支持MeterVXLAN支持VXLAN二层交换支持VXLAN路由交换支持VXLAN网关支持IS-IS+ENDP的VXLAN分布式控制平面支持OpenFlow+Netconf的VXLAN集中式控制平面MPLS/VPLS支持L3MPLSVPN支持L2VPN:VLL(Martini,Kompella)支持MCE支持MPLSOAM支持VPLS,VLL支持分层VPLS，以及QinQ+VPLS接入支持P/PE功能支持LDP协议安全机制支持EAD安全解决方案支持Portal认证支持MAC认证支持IEEE802.1x和IEEE802.1xSERVER支持AAA/Radius支持HWTACACS,支持命令行认证支持SSHv1.5/SSHv2支持ACL流过滤机制支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户有不同的配置权限支持受限的IP地址的Telnet的登录和口令机制支持IP地址、VLANID、MAC地址和端口等多种组合绑定支持uRPF支持主备数据备份机制支持故障后报警和自恢复支持数据日志系统管理支持FTP、TFTP、Xmodem支持SNMPv1/v2/v3支持sFlow流量统计支持RMON支持NTP时钟支持NetStream流量统计功能支持电源智能管理，支持802.3az高效节能以太网支持设备在线状态监测机制，实现对包括主控引擎，背板，芯片和存储等关键元器件进行检测可靠性支持主控板1+1冗余备份支持电源1+1冗余备份采用无源背板设计所有单板支持热插拔支持CPU保护技术支持VRRP支持EthernetOAM（802.1ag和802.3ah）支持MACTracert支持RPR支持RRPP、ERPS支持GracefulRestartforOSPF/BGP/IS-IS支持DLDP支持VCT支持Smart-Link支持热补丁环境要求温度范围：0℃～45℃相对湿度：10%～95%（非凝结）安规和EMC认证通过了CE、FCCPART15、TUV-GS、UL-CUL、ICES003和VCCI的认证电源DC：–48V～–60VAC：100V～240V外形尺寸（宽×高×深）(mm)436x575x420满配重量(kg)≤77kg2.10.2防火墙项目NS-SecPathF1020接口1个配置口（CON）主机自带8个千兆光口+16个千兆电口+2个万兆光口扩展槽位2（F1020一个扩展槽）扩展板卡类型4千兆PFC接口模块存储介质2*500G硬盘环境温度工作：0～45℃非工作：-40～70℃运行模式路由模式、透明模式、混杂模式AAA服务Portal认证、RADIUS认证、HWTACACS认证、PKI/CA（X.509格式）认证、域认证、CHAP验证、PAP验证防火墙SOP虚拟防火墙技术，支持CPU、内存、存储硬件资源划分的完全虚拟化安全区域划分可以防御Land、Smurf、Fraggle、PingofDeath、TearDrop、IPSpoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYNFlood、UPDFlood、ICMPFlood、DNSFlood等多种恶意攻击基础和扩展的访问控制列表基于时间段的访问控制列表基于用户、应用的访问控制列表ASPF应用层报文过滤静态和动态黑名单功能MAC和IP绑定功能基于MAC的访问控制列表支持802.1qVLAN透传病毒防护基于病毒特征进行检测支持病毒库手动和自动升级报文流处理模式支持HTTP、FTP、SMTP、POP3协议支持的病毒类型：Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等支持病毒日志和报表深度入侵防御支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS等常见的攻击防御支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御支持攻击特征库的分类（根据攻击类型、目标机系统进行分类）、分级（分高、中、低、提示四级）支持攻击特征库的手动和自动升级（TFTP和HTTP）支持对BT等P2P/IM识别和控制邮件/网页/应用层过滤邮件过滤SMTP邮件地址过滤邮件标题过滤邮件内容过滤邮件附件过滤网页过滤HTTPURL过滤HTTP内容过滤应用层过滤JavaBlockingActiveXBlockingSQL注入攻击防范NAT支持多个内部地址映射到同一个公网地址支持多个内部地址映射到多个公网地址支持内部地址到公网地址一一映射支持源地址和目的地址同时转换支持外部网络主机访问内部服务器支持内部地址直接映射到接口公网IP地址支持DNS映射功能可配置支持地址转换的有效时间多种NATALG，包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等VPNL2TPVPN、IPSecVPN、GREVPN、SSLVPNIPv6基于IPv6的状态防火墙及攻击防范IPv6协议：IPv6转发、ICMPv6、PMTU、Ping6、DNS6、TraceRT6、Telnet6、DHCPv6Client、DHCPv6Relay等IPv6路由：RIPng、OSPFv3、BGP4+、静态路由、策略路由、PIM-SM、PIM-DM等IPv6安全：NAT-PT、IPv6Tunnel、IPv6PacketFilter、Radius、IPv6域间策略、IPv6连接数限制等高可靠性支持SCF2:1虚拟化支持双机状态热备（Active/Active和Active/Backup两种工作模式）支持双机配置同步支持IPSecVPN的IKE状态同步支持VRRP易维护性支持基于命令行的配置管理支持Web方式进行远程配置管理支持H3CSSM安全管理中心进行设备管理支持标准网管SNMPv3，并且兼容SNMPv1和v2智能安全策略环保与认证支持欧洲严格的RoHS环保认证2.10.3外网核心交换机华三LS-5560-30F-EI技术参数：主要参数产品·类型千兆以太网交换机传输速率10/100/1000Mbps交换方式存储-转发背板带宽256Gbps包转发率96Mpps端口参数端口结构非模块化端口数量28个端口描述24个100/1000Base-X千兆光口（8*Combo口）4个10GBASE-XSFP+万兆光口传输模式全双工/半双工自适应功能特性堆叠功能可堆叠VLAN支持基于端口的VLAN支持基于协议的VLAN支持QinQ，灵活QinQ支持VLANMapping支持VoiceVLAN支持GuestVLANQOS支持对端口接收报文的速率和发送报文的速率进行限制支持报文重定向每个端口支持8个输出队列支持端口队列调度（SP、WRR、SP+WRR）支持报文的802.1p和DSCP优先级重新标记组播管理支持IGMPSnooping/MLDSnooping支持组播VLAN网络管理支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console口进行配置支持SNMPv1/v2/v3，WEB网管支持RMON告警、事件、历史记录支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持NTP支持Ping、Tracert支持VCT电缆检测功能支持DLDP单向链路检测协议支持Loopback-detection端口环回检测支持电源、风扇、温度告警支持CPU防护支持BFD安全管理支持用户分级管理和口令保护支持802.1X认证/集中式MAC地址认证支持GuestVLAN支持RADIUS认证支持SSH2.0支持端口隔离支持端口安全支持MAC地址学习数目限制支持IP源地址保护支持ARP入侵检测功能支持IP+MAC+端口多元组绑定支持EAD其它参数电源电压AC100-240V，50-60HzDC-36-72V电源功率静态：AC30W，DC38W满载：AC60W，DC68W产品尺寸440×360×43.6mm环境标准工作温度：0-40℃工作湿度：5%-95%（无凝结）其它参数链路聚合：支持GE/10GE端口聚合；支持动态聚合；支持跨设备聚合端口特性：支持IEEE802.3x流量控制（全双工）；支持基于端口速率百分比的风暴抑制；支持基于PPS/BPS的风暴抑制IRF2：支持IRF2智能弹性架构；支持通过标准以太网接口进行堆叠；支持本地堆叠和远程堆叠；支持分布式设备管理，分布式链路聚合IP路由：支持静态路由；支持RIPv1/v2、RIPng；支持OSPFv1/v2，OSPFv3；支持VRRP/VRRPv3其它特点DHCP：支持DHCPClient；支持DHCPSnooping；支持DHCPSnoopingoption82；支持DHCPRelay；支持DHCPServer；支持DHCPauto-config（零配置）二层环网协议：支持STP/RSTP/MSTP/PVST；支持RRPPOAM：支持802.1ag；支持802.3ah镜像：支持端口镜像；支持远程端口镜像RSPAN；支持流镜像绿色节能：支持EEE(802.3az)；支持端口自动Powerdown功能；支持端口定时down功能（Schedulejob）保修信息保修政策全国联保，享受三包服务质保时间1年质保备注1年免费保修客服电话400-810-0504电话备注24小时电话服务2.10.4智能网核心交换机华三LS-5800-32F-H3技术参数：主要参数产品类型万兆以太网交换机应用层级三层传输速率10/100/1000Mbps交换方式存储-转发包转发率156MppsMAC地址表32K端口参数端口结构非模块化端口数量28个端口描述24个100/1000MSFP端口，4个1/10GSFP+端口控制端口1个Console口1个带外网管口扩展模块1个业务槽位数传输模式全双工/半双工自适应功能特性网络标准IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3z，ANSI/IEEE802.3，IEEE802.3xVLAN支持基于端口、协议、MAC、IP子网的VLAN支持QinQ和灵活QinQ支持VoiceVLANQOS支持L2-L4包过滤功能支持时间段的包过滤支持大容量双向ACL支持对端口接收报文的速率和发送报文的速率进行限制支持报文重定向每个端口支持8个输出队列支持灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP、WDRR、WFQ、SP+WDRR四种模式支持报文的802.1p和DSCP优先级重新标记支持WRED拥塞避免机制组播管理支持IGMPSnoopingv2/v3支持IGMPv1/v2/v3支持组播VLAN、组播VLAN+支持组播策略支持MLDSnoopingv1/v2支持MLDv1/v2网络管理支持命令行接口（CLI）、Telnet、Console口进行配置支持SNMPv1/v2/v3支持RMON（RemoteMonitoring）告警、事件、历史记录支持iMC网管系统、支持WEB网管支持系统日志、分级告警支持集群管理HGMPv2支持电源的告警功能支持风扇、温度告警支持NTP安全管理支持用户分级管理和口令保护支持AAA认证、RADIUS认证支持MAC地址认证、802.1x认证、portal认证支持HWTACACS支持SSH2.0支持IP+MAC+端口绑定支持IPSourceGuard支持HTTPs、SSL支持PKI支持EAD支持ARPDetection功能支持DHCPSnooping，防止欺骗的DHCP服务器支持BPDUguard，Rootguard支持OSPF、RIPv2报文的明文及MD5密文认证其它参数电源电压AC100-240V，50-60HzDC-48--60V电源功率空载DC58W，AC67W，满载DC136W，AC146W产品尺寸441×427×43.6mm产品重量8.5环境标准工作温度：0-45℃工作湿度：10%-90%（非凝露）保修信息保修政策全国联保，享受三包服务质保时间1年质保备注1年免费保修客服电话400-810-0504电话备注24小时电话服务2.10.5接入交换机技术参数：特性S5130-28TP-EIS5130-52TP-EIS5130-28TP-PWR-EI整机交换容量256Gbps/2.56Tbps包转发率96Mpps132Mpps96Mpps固定端口24*10/100/1000Base-T电口48*10/100/1000Base-T电口24*10/100/1000Base-T电口4*10GBASE-XSFP+万兆光口4*10GBASE-XSFP+万兆光口4*10GBASE-XSFP+万兆光口24*10/100/1000Base-T电口48*10/100/1000Base-T电口24*10/100/1000Base-T电口2*10GBASE-XSFP+万兆光口，2*10GBASE-T万兆电口2*10GBASE-XSFP+万兆光口，2*10GBASE-T万兆电口2*10GBASE-XSFP+万兆光口，2*10GBASE-T万兆电口链路聚合支持GE/10GE端口聚合支持动态聚合支持跨设备聚合端口特性支持IEEE802.3x流量控制（全双工）支持基于端口速率百分比的风暴抑制支持基于PPS/BPS的风暴抑制IRF2支持IRF2智能弹性架构支持通过标准以太网接口进行堆叠支持本地堆叠和远程堆叠支持分布式设备管理，分布式链路聚合IRF3支持PE（PortExtender，端口扩展）模式PE模式下支持本地转发和纵向转发模式切换支持自动从CB（ControllingBridge，控制桥）更新版本零配置SDN/支持OpenFlow1.3标准Openflow支持多控制器（EQUAL模式、主备模式）支持多表流水线支持Grouptable支持MeterVLAN支持基于端口的VLAN支持基于MAC的VLAN基于协议的VLAN支持QinQ，灵活QinQ支持VLANMapping支持VoiceVLAN支持GVRPACL支持L2（L