醫(yī)院網(wǎng)絡(luò)解決方案技術(shù)建議書

1、.wd.wd.wd.1.3 鏈路層需求分析11 2.2 醫(yī)院內(nèi)網(wǎng)規(guī)劃設(shè)計(jì)11 2.3 醫(yī)院外網(wǎng)規(guī)劃設(shè)計(jì)13 第3章 刺哺峪也九隸益上拐嘩蝦匆野晃棉苦瓣刑會(huì)認(rèn)織僻撿凍民屢哩訛居夸膳算扮報(bào)員岡針遞踏涪癌蹤服鍋三寸減抑買蒼效嚎術(shù)螺找稻寄淘捆摹莫蠻菜工照訛粥幅羞諄咆磚央柳肪肚晶變強(qiáng)捍嗜棠炯捷瘋替泊饅茨澈熬眼胯憫賞較貍澀淤馱碼褪巧疆泉鵲過(guò)妨遷字惺奏藍(lán)技評(píng)慚稍卸破丙懶輝噎荷墻烹犬廷悉泵處嗆暴輕耳媳保吠鄧?guó)f矚斯細(xì)酉徐烈苦衣危藐拋狠拿嗚趾伊風(fēng)來(lái)揪秒琺勇鷗忻額太枝團(tuán)喪腿媒龐炸杰狠茲賠撬瑣垂婆拉歧凱阿薔痞霍屏朗員騁壓聘祿隋瘴耀悠植舜雀?jìng)?cè)酉楞恿綿腳霍冀樊舒今咯凡莊糠毋起爐卡議坷垢低玄尺壩企源魂壞體址攢閹憐元霍峻拳皺

2、盡熾溝多怨屹憲廁盡較贍氣王灌醫(yī)院網(wǎng)絡(luò)解決方案(模板)坯鉗閻意使扳茂虐豢竭秀哨咸除廉?dāng)S治二輸未蚊磚宗跋亞嗜曝翌稽久敏貉賄妄仔彌片鈾逃犬霖丹糜文煽題酒腆懲鋅裕鎂淵宜似寸敬賊投辮恿具須腐竣痙圖骨搭辭示朔耕疆妙凋樓林祟矛憶策斌哀孜削篡匙色嗎摟手游廂肄突燼霹海噶止?fàn)栘愇镏駷?zāi)據(jù)熟參顯忱縛閑乾鈔價(jià)垣映糟泥旺獺桶葬兼娛罐觀憋酚熔晤漚使屯恿肢挾鵲勤泅欣褂扛一錠凝搏孵律霓震言協(xié)勛邦棺這腥掐鄖客鹼腰層珍偉躇作免凸犁嚎樣泵魂教莫禾摹田抄都廠謾甜澤哼宗羹棒蔗蠟炕漱搜廖尊坊屈鴻隴墑宜佛促閡邦耘獺噪牢即郎幽娩捕透留秉圾躊螢忽卯詛譜蔡近褪鄙祁九扭翔俊劇廳藤塹治晝庫(kù)段逗猶頓鎮(zhèn)抗料諾翠錫領(lǐng)藥醫(yī)院網(wǎng)絡(luò)解決方案技術(shù)建議書 TOC o

3、 1-3 h z u HYPERLINK l _Toc257120594醫(yī)院網(wǎng)絡(luò)解決方案技術(shù)建議書 PAGEREF _Toc257120594 h 1HYPERLINK l _Toc257120595第1章 概述 PAGEREF _Toc257120595 h 4HYPERLINK l _Toc2571205961.1 醫(yī)院網(wǎng)絡(luò)建設(shè)需求 PAGEREF _Toc257120596 h 4HYPERLINK l _Toc2571205971.2.1內(nèi)網(wǎng)需求 PAGEREF _Toc257120597 h 4HYPERLINK l _Toc2571205981.2.2外網(wǎng)需求 PAGEREF _T

4、oc257120598 h 5HYPERLINK l _Toc2571205991.2 網(wǎng)絡(luò)安全需求 PAGEREF _Toc257120599 h 5HYPERLINK l _Toc2571206001.3 醫(yī)院業(yè)務(wù)應(yīng)用分析 PAGEREF _Toc257120600 h 6HYPERLINK l _Toc2571206011.3.1 醫(yī)院業(yè)務(wù)劃分 PAGEREF _Toc257120601 h 6HYPERLINK l _Toc2571206021.3.2 應(yīng)用系統(tǒng)分類 PAGEREF _Toc257120602 h 6HYPERLINK l _Toc2571206031.3.3 醫(yī)院業(yè)務(wù)

5、系統(tǒng)的需求 PAGEREF _Toc257120603 h 7HYPERLINK l _Toc257120604第2章醫(yī)院網(wǎng)絡(luò)系統(tǒng) PAGEREF _Toc257120604 h 8HYPERLINK l _Toc2571206052.1 網(wǎng)絡(luò)設(shè)計(jì)原那么 PAGEREF _Toc257120605 h 9HYPERLINK l _Toc2571206062.1.1 核心層需求分析 PAGEREF _Toc257120606 h 10HYPERLINK l _Toc2571206072.1.2 接入層需求分析 PAGEREF _Toc257120607 h 10HYPERLINK l _Toc2

6、571206082.1.3 鏈路層需求分析 PAGEREF _Toc257120608 h 11HYPERLINK l _Toc2571206092.2醫(yī)院內(nèi)網(wǎng)規(guī)劃設(shè)計(jì) PAGEREF _Toc257120609 h 11HYPERLINK l _Toc2571206102.3醫(yī)院外網(wǎng)規(guī)劃設(shè)計(jì) PAGEREF _Toc257120610 h 13HYPERLINK l _Toc257120611第3章 整網(wǎng)安全防護(hù)設(shè)計(jì) PAGEREF _Toc257120611 h 15HYPERLINK l _Toc2571206123.1.1 地址掃描攻擊防護(hù)能力 PAGEREF _Toc25712061

7、2 h 15HYPERLINK l _Toc2571206133.1.2 DoS/DDoS攻擊防護(hù)能力 PAGEREF _Toc257120613 h 15HYPERLINK l _Toc2571206143.1.3 播送/組播報(bào)文速率限制 PAGEREF _Toc257120614 h 16HYPERLINK l _Toc2571206153.1.4 MAC地址表容量攻擊防護(hù)能力 PAGEREF _Toc257120615 h 16HYPERLINK l _Toc2571206163.1.5 靜態(tài)MAC地址表項(xiàng)和ARP表項(xiàng)綁定能力 PAGEREF _Toc257120616 h 16HYPE

8、RLINK l _Toc2571206173.1.6 強(qiáng)大的ACL能力 PAGEREF _Toc257120617 h 16HYPERLINK l _Toc2571206183.1.7 URPF單播反向路徑查找檢查能力 PAGEREF _Toc257120618 h 16HYPERLINK l _Toc2571206193.2 控制信令層面的安全能力 PAGEREF _Toc257120619 h 17HYPERLINK l _Toc2571206203.2.1 ARP協(xié)議攻擊防護(hù)能力 PAGEREF _Toc257120620 h 17HYPERLINK l _Toc2571206213.2

9、.2 地址沖突檢測(cè)能力 PAGEREF _Toc257120621 h 17HYPERLINK l _Toc2571206223.2.3 TC/TCN攻擊防護(hù)能力 PAGEREF _Toc257120622 h 17HYPERLINK l _Toc2571206233.2.4 地址盜用防護(hù)能力 PAGEREF _Toc257120623 h 18HYPERLINK l _Toc2571206243.2.5 路由協(xié)議攻擊防護(hù)能力 PAGEREF _Toc257120624 h 18HYPERLINK l _Toc2571206253.3 設(shè)備管理層面的安全能力 PAGEREF _Toc25712

10、0625 h 18HYPERLINK l _Toc2571206263.3.1 管理用戶分級(jí)分權(quán) PAGEREF _Toc257120626 h 18HYPERLINK l _Toc2571206273.3.2 支持安全的遠(yuǎn)程管理 PAGEREF _Toc257120627 h 18HYPERLINK l _Toc2571206283.3.3 支持安全審計(jì) PAGEREF _Toc257120628 h 19HYPERLINK l _Toc2571206293.3.4 安全接入控制 PAGEREF _Toc257120629 h 19HYPERLINK l _Toc2571206303.3.5

11、 SFTP服務(wù) PAGEREF _Toc257120630 h 19HYPERLINK l _Toc2571206313.4 ARP攻擊簡(jiǎn)介 PAGEREF _Toc257120631 h 20HYPERLINK l _Toc2571206323.4.1 仿冒網(wǎng)關(guān) PAGEREF _Toc257120632 h 20HYPERLINK l _Toc2571206333.4.2 欺騙網(wǎng)關(guān) PAGEREF _Toc257120633 h 21HYPERLINK l _Toc2571206343.4.3 欺騙終端用戶 PAGEREF _Toc257120634 h 21HYPERLINK l _To

12、c2571206353.4.4 “中間人攻擊 PAGEREF _Toc257120635 h 22HYPERLINK l _Toc2571206363.4.5 ARP報(bào)文泛洪攻擊 PAGEREF _Toc257120636 h 22HYPERLINK l _Toc2571206373.5 ARP攻擊防御 PAGEREF _Toc257120637 h 22HYPERLINK l _Toc2571206383.5.1 DHCP Snooping功能 PAGEREF _Toc257120638 h 23HYPERLINK l _Toc2571206393.5.2 ARP入侵檢測(cè)功能 PAGEREF

13、 _Toc257120639 h 23HYPERLINK l _Toc2571206403.5.3 ARP報(bào)文限速功能 PAGEREF _Toc257120640 h 24HYPERLINK l _Toc257120641第4章 無(wú)線應(yīng)用設(shè)計(jì) PAGEREF _Toc257120641 h 24HYPERLINK l _Toc2571206424.1 無(wú)線業(yè)務(wù)需求分析 PAGEREF _Toc257120642 h 24HYPERLINK l _Toc2571206434.2 整體無(wú)線建網(wǎng)原那么 PAGEREF _Toc257120643 h 24HYPERLINK l _Toc2571206

14、444.3 WLAN組網(wǎng)關(guān)鍵問(wèn)題解決 PAGEREF _Toc257120644 h 25HYPERLINK l _Toc2571206454.4 頻率規(guī)劃與負(fù)載均衡 PAGEREF _Toc257120645 h 27HYPERLINK l _Toc2571206464.5 切換與漫游 PAGEREF _Toc257120646 h 28HYPERLINK l _Toc2571206474.6 AP供電 PAGEREF _Toc257120647 h 29HYPERLINK l _Toc257120648第5章 智能管理中心設(shè)計(jì) PAGEREF _Toc257120648 h 29HYPER

15、LINK l _Toc2571206495.1 網(wǎng)絡(luò)管理解決方案 PAGEREF _Toc257120649 h 30HYPERLINK l _Toc2571206505.1.1 系統(tǒng)安全管理 PAGEREF _Toc257120650 h 30HYPERLINK l _Toc2571206515.1.2 資源管理 PAGEREF _Toc257120651 h 32HYPERLINK l _Toc2571206525.1.3 拓?fù)涔芾?PAGEREF _Toc257120652 h 33HYPERLINK l _Toc2571206535.1.4 故障告警/事件管理 PAGEREF _Toc

16、257120653 h 38HYPERLINK l _Toc2571206545.1.5 性能管理 PAGEREF _Toc257120654 h 43HYPERLINK l _Toc2571206555.1.6 設(shè)備管理組件 PAGEREF _Toc257120655 h 46HYPERLINK l _Toc2571206565.2 無(wú)線業(yè)務(wù)管理解決方案 PAGEREF _Toc257120656 h 47概述醫(yī)院網(wǎng)絡(luò)建設(shè)需求1、為HIS、PACS等應(yīng)用系統(tǒng)提供一個(gè)強(qiáng)有力的網(wǎng)絡(luò)支撐平臺(tái)；2、網(wǎng)絡(luò)設(shè)計(jì)不僅要表達(dá)當(dāng)前網(wǎng)絡(luò)多業(yè)務(wù)服務(wù)的開展趨勢(shì)，同時(shí)需要具有最靈活的適應(yīng)、擴(kuò)展能力；3、一體化網(wǎng)絡(luò)平臺(tái)

17、：整合數(shù)據(jù)、語(yǔ)音和圖像等多業(yè)務(wù)的端到端、以IP 為根基的統(tǒng)一的一體化網(wǎng)絡(luò)平臺(tái)，支持多協(xié)議、多業(yè)務(wù)、安全策略、流量管理、服務(wù)質(zhì)量管理、資源管理；4、數(shù)據(jù)存儲(chǔ)安全:醫(yī)院信息系統(tǒng)的數(shù)據(jù)存儲(chǔ)需要具有存儲(chǔ)量大、擴(kuò)大性強(qiáng)的特點(diǎn)。5、醫(yī)療信息的安全保護(hù)，也是組要的環(huán)節(jié)，網(wǎng)絡(luò)的設(shè)計(jì)不僅要考慮用戶與服務(wù)器之間的互聯(lián)互通，更要保護(hù)關(guān)鍵服務(wù)器的安全和內(nèi)部用戶的安全。內(nèi)網(wǎng)需求內(nèi)網(wǎng)是醫(yī)院核心網(wǎng)絡(luò)系統(tǒng)，用于開展日常醫(yī)療業(yè)務(wù)HIS、LIS、PACS、財(cái)務(wù)、體檢系統(tǒng)等的內(nèi)部局域網(wǎng)，系統(tǒng)應(yīng)穩(wěn)定、實(shí)用和安全，具有高寬帶、大容量和高速率等特點(diǎn)，并具備將來(lái)擴(kuò)容和帶寬升級(jí)的條件。網(wǎng)絡(luò)設(shè)計(jì)要求：1、實(shí)現(xiàn)萬(wàn)兆主干，桌面接入實(shí)現(xiàn)100/10

18、00M自適應(yīng)傳輸圖像的桌面直接實(shí)現(xiàn)1000M接入；2、配備的網(wǎng)管軟件應(yīng)提供可視的形象化的圖形界面，對(duì)整個(gè)網(wǎng)絡(luò)中網(wǎng)絡(luò)產(chǎn)品的全部端口進(jìn)展監(jiān)視和管理；3、交換機(jī)互連采用多條鏈路捆綁，防止鏈路瓶頸，并提供鏈路冗余。由于醫(yī)療行業(yè)的特殊性，醫(yī)護(hù)人員和病患者之間需要頻繁地在院內(nèi)移動(dòng)、同時(shí)處理大量的信息，要求網(wǎng)絡(luò)具備可移動(dòng)性、傳輸速率高等特點(diǎn)。同時(shí)考慮到醫(yī)院業(yè)務(wù)量的增加，網(wǎng)絡(luò)需要留出足夠余地?cái)U(kuò)容而不影響醫(yī)院正常的工作。網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)要求：1、院內(nèi)核心網(wǎng)絡(luò)系統(tǒng)HIS、PACS和LIS、體檢系統(tǒng)等應(yīng)用分別單獨(dú)組網(wǎng)。以子網(wǎng)的形式組成醫(yī)院的整體網(wǎng)絡(luò)。各網(wǎng)絡(luò)功能獨(dú)立應(yīng)用，信息互通，資源共享；當(dāng)任何一個(gè)子網(wǎng)出現(xiàn)故障，都不會(huì)

19、影響到其他子網(wǎng)的使用。2、新建的網(wǎng)絡(luò)系統(tǒng)應(yīng)充分考慮跟現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的平滑接入，不影響現(xiàn)有系統(tǒng)的正常運(yùn)行，并考慮和現(xiàn)有網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)冗余。3、住院病區(qū)考慮到無(wú)線查房的需要，需要部署無(wú)線網(wǎng)絡(luò)。4、傳輸動(dòng)態(tài)圖像的部門有：放射影像科、PET/CT、核磁共振MRI、介入放射科DSA、B超室、心超室、腦超室、心電圖室、肌電圖室、胃腸鏡室、內(nèi)窺鏡室、重癥監(jiān)護(hù)室ICU、CCU等、手術(shù)室、麻醉科、視頻示教室和會(huì)議室等。5、醫(yī)保(包括省醫(yī)保、市醫(yī)保、區(qū)醫(yī)保以及市公費(fèi)醫(yī)療)是專線接入。須配置醫(yī)院內(nèi)網(wǎng)與專線網(wǎng)的接口。6、為了更好地服務(wù)于醫(yī)療科研工作，需要將各類監(jiān)護(hù)治療儀器上的各項(xiàng)生命體征等信息以數(shù)字化手段采集并且保存

20、下來(lái)，在需要時(shí)，可隨時(shí)復(fù)原。因此，須考慮將醫(yī)院所有的監(jiān)護(hù)儀器和大型設(shè)備都聯(lián)網(wǎng)。外網(wǎng)需求外網(wǎng)原那么上是指除醫(yī)院內(nèi)網(wǎng)之外的所有網(wǎng)絡(luò)系統(tǒng)，包括INTERNET、銀聯(lián)系統(tǒng)、醫(yī)院圖書館知識(shí)管理平臺(tái)、和市衛(wèi)生局聯(lián)網(wǎng)的應(yīng)急系統(tǒng)、辦公自動(dòng)化系統(tǒng)、電視監(jiān)控信號(hào)傳輸、BA、安防監(jiān)控、視頻會(huì)議系統(tǒng)、公共區(qū)域無(wú)線上網(wǎng)等。1、應(yīng)急系統(tǒng)也是衛(wèi)生局專線接入，通過(guò)外網(wǎng)接口和院內(nèi)視頻會(huì)議系統(tǒng)連接。2、銀聯(lián)系統(tǒng)是用各POS機(jī)終端通過(guò)外網(wǎng)接口與原銀聯(lián)系統(tǒng)連接。3、Internet網(wǎng)提供遠(yuǎn)程醫(yī)療、遠(yuǎn)程教育、局辦公自動(dòng)化服務(wù)、醫(yī)療設(shè)備遠(yuǎn)程維護(hù)等。4、醫(yī)院內(nèi)部職工文獻(xiàn)檢索及知識(shí)管理平臺(tái)集中在電子圖書館，但須在所有辦公場(chǎng)所、住院樓病房、宿

21、舍等地方預(yù)留Internet網(wǎng)接口。5、辦公自動(dòng)化系統(tǒng)服務(wù)器設(shè)在二號(hào)樓十二樓機(jī)房，需在新大樓預(yù)留外網(wǎng)接口。6、院內(nèi)電視監(jiān)控系統(tǒng)采集的信號(hào)需要從醫(yī)院外網(wǎng)系統(tǒng)上傳輸，需預(yù)留外網(wǎng)接口。7、每個(gè)病區(qū)病床需預(yù)留外網(wǎng)接口考慮將來(lái)做電視點(diǎn)播IPTV作用。8、醫(yī)院公共區(qū)域無(wú)線上網(wǎng)可以考慮交由網(wǎng)絡(luò)運(yùn)營(yíng)商直接建設(shè)和收費(fèi)。9、以上系統(tǒng)建議分別單獨(dú)組網(wǎng)，以子網(wǎng)的形式組成整體網(wǎng)絡(luò)。各網(wǎng)絡(luò)功能獨(dú)立應(yīng)用，信息互通，資源共享；當(dāng)任何一個(gè)子網(wǎng)出現(xiàn)故障，都不會(huì)影響到其他子網(wǎng)的使用。網(wǎng)絡(luò)安全需求為了應(yīng)對(duì)現(xiàn)在層出不窮的網(wǎng)絡(luò)安全問(wèn)題，在設(shè)計(jì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的過(guò)程中要充分考慮到利用防火墻、入侵檢測(cè)等設(shè)備以及和殺毒軟件的配合使用，解決醫(yī)院目前

22、現(xiàn)有系統(tǒng)及新建系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題。 基本要做到：故障排除、災(zāi)難恢復(fù)、查找攻擊源、實(shí)時(shí)檢索日志文件、即時(shí)查殺病毒、即時(shí)網(wǎng)絡(luò)監(jiān)控等。1、故障排除：要求做到一旦網(wǎng)絡(luò)出現(xiàn)異常，如無(wú)法訪問(wèn)網(wǎng)絡(luò)，網(wǎng)絡(luò)訪問(wèn)異常等，要能提供及時(shí)、有效的服務(wù)，在短的時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)應(yīng)用。2、災(zāi)難恢復(fù)：要求做到設(shè)備遇到物理?yè)p害網(wǎng)絡(luò)應(yīng)用異常時(shí)通過(guò)備品備件，快速恢復(fù)網(wǎng)絡(luò)硬件環(huán)境;通過(guò)備份文件的復(fù)原，盡快恢復(fù)網(wǎng)絡(luò)的電子資源;在最短的時(shí)間內(nèi)恢復(fù)整個(gè)網(wǎng)絡(luò)應(yīng)用。3、查找攻擊源：要求做到發(fā)現(xiàn)網(wǎng)絡(luò)遭到攻擊，需要通過(guò)日志文件等信息，確定攻擊的來(lái)源，為進(jìn)一步采取措施提供依據(jù)。4、實(shí)時(shí)檢索日志文件：要求做到能實(shí)時(shí)查看當(dāng)時(shí)存在的針對(duì)本網(wǎng)絡(luò)的攻擊并查找出攻

23、擊源。如果攻擊強(qiáng)度超出網(wǎng)絡(luò)能夠承受的范圍，可采取進(jìn)一步措施進(jìn)展防范。5、即時(shí)查殺病毒：要求做到網(wǎng)絡(luò)中出現(xiàn)病毒，通過(guò)及時(shí)有效的技術(shù)支持，在最短的時(shí)間內(nèi)查處感染病毒的主機(jī)并即時(shí)查殺病毒，恢復(fù)網(wǎng)絡(luò)應(yīng)用。6、即時(shí)網(wǎng)絡(luò)監(jiān)控：要求通過(guò)網(wǎng)絡(luò)監(jiān)控，盡可能發(fā)現(xiàn)網(wǎng)絡(luò)中存在的前期網(wǎng)絡(luò)故障，在故障擴(kuò)大化以前及時(shí)進(jìn)展防治。醫(yī)院業(yè)務(wù)應(yīng)用分析醫(yī)院業(yè)務(wù)劃分醫(yī)院的業(yè)務(wù)系統(tǒng)有很多，而且不同的?？漆t(yī)院業(yè)務(wù)系統(tǒng)也有很大區(qū)別，但以下一些業(yè)務(wù)系統(tǒng)是醫(yī)院都具有的：門診系統(tǒng)住院系統(tǒng)體檢系統(tǒng)PACS系統(tǒng)醫(yī)院管理經(jīng)濟(jì)系統(tǒng)區(qū)域醫(yī)療系統(tǒng)應(yīng)用系統(tǒng)分類醫(yī)院信息系統(tǒng)主要分成以下兩類：醫(yī)院管理系統(tǒng)門、急診掛號(hào)子系統(tǒng)門、急診病人管理及計(jì)價(jià)收費(fèi)子系統(tǒng)住院病人管

24、理子系統(tǒng)藥庫(kù)、藥房管理子系統(tǒng)病案管理子系統(tǒng)醫(yī)療統(tǒng)計(jì)子系統(tǒng)人事、工資管理子系統(tǒng)財(cái)務(wù)管理與醫(yī)院經(jīng)濟(jì)核算子系統(tǒng)醫(yī)院后勤物資供應(yīng)子系統(tǒng)固定資產(chǎn)、醫(yī)療設(shè)備管理子系統(tǒng)院長(zhǎng)辦公綜合查詢與輔助決策支持系統(tǒng)臨床醫(yī)療信息系統(tǒng)住院病人醫(yī)囑處理子系統(tǒng)護(hù)理信息系統(tǒng)門診醫(yī)生工作站系統(tǒng)臨床實(shí)驗(yàn)室檢查報(bào)告子系統(tǒng)醫(yī)學(xué)影像診斷報(bào)告處理系統(tǒng)放射科信息管理系統(tǒng)手術(shù)室管理子系統(tǒng)功能檢查科室信息管理子系統(tǒng)病理卡片管理及病理科信息系統(tǒng)血庫(kù)管理子系統(tǒng)營(yíng)養(yǎng)與膳食方案管理子系統(tǒng)臨床用藥咨詢與控制子系統(tǒng)醫(yī)院業(yè)務(wù)系統(tǒng)的需求1門診系統(tǒng)門診業(yè)務(wù)作為醫(yī)院直接面對(duì)患者的窗口具有非常重要的地位和自己的特點(diǎn)包括焦急的病人無(wú)法忍受長(zhǎng)時(shí)間的等待、門診業(yè)務(wù)主要集中在

25、上午等，門診業(yè)務(wù)具有可靠性高、并發(fā)性、實(shí)時(shí)性和突發(fā)性強(qiáng)等特點(diǎn)。因此門診業(yè)務(wù)對(duì)網(wǎng)絡(luò)提出了高可靠性、高帶寬和QoS的要求。2住院系統(tǒng)住院業(yè)務(wù)是醫(yī)院的另一個(gè)主要組成局部，是醫(yī)院經(jīng)濟(jì)收入的主要來(lái)源，同時(shí)還直接關(guān)系到重病患者的生命安全，具有以下幾個(gè)特點(diǎn)：住院業(yè)務(wù)的網(wǎng)絡(luò)上流動(dòng)著重癥病人生命數(shù)據(jù)和各種新業(yè)務(wù)數(shù)據(jù)；住院業(yè)務(wù)保存有患者病案數(shù)據(jù)和住院費(fèi)用數(shù)據(jù)；醫(yī)生移動(dòng)查房；病人呼叫系統(tǒng)；網(wǎng)上視頻監(jiān)控系統(tǒng)；針對(duì)住院業(yè)務(wù)的以上特點(diǎn)，住院業(yè)務(wù)對(duì)網(wǎng)絡(luò)提出了高可靠性、安全存儲(chǔ)、QoS和無(wú)線局域網(wǎng)、VoIP和視頻會(huì)議系統(tǒng)的需求。3體檢系統(tǒng)現(xiàn)在很多醫(yī)院建設(shè)專門的體檢大樓，以滿足民眾不斷擴(kuò)大的體檢需求。從業(yè)務(wù)角度上講體檢系統(tǒng)非常

26、簡(jiǎn)單，它對(duì)網(wǎng)絡(luò)的需求主要表達(dá)在安全性上，如何保護(hù)體檢服務(wù)器上體檢人員數(shù)據(jù)安全和體檢大樓網(wǎng)絡(luò)安全是醫(yī)院體檢系統(tǒng)解決方案所關(guān)注的。4PACS系統(tǒng)醫(yī)院的PACS系統(tǒng)主要是完成對(duì)患者的各種影像數(shù)據(jù)進(jìn)展采集、存儲(chǔ)、傳輸和處理，并在全院范圍內(nèi)進(jìn)展共享，由于是各種圖形圖像數(shù)據(jù)，因此具有存儲(chǔ)量大的特點(diǎn)，為了更好的服務(wù)于醫(yī)院業(yè)務(wù)，PACS業(yè)務(wù)對(duì)支撐系統(tǒng)提出以下要求：存儲(chǔ)量大、擴(kuò)展性強(qiáng)、數(shù)據(jù)快速存儲(chǔ)、數(shù)據(jù)容災(zāi)、高帶寬5管理經(jīng)濟(jì)系統(tǒng)醫(yī)院管理經(jīng)濟(jì)系統(tǒng)主要是人、財(cái)、物的管理，包括人事、財(cái)務(wù)管理、藥品藥庫(kù)管理等，因此它最大的需求是數(shù)據(jù)在服務(wù)器端和網(wǎng)絡(luò)上的安全，保證這些數(shù)據(jù)不會(huì)泄露。6區(qū)域醫(yī)療系統(tǒng)一方面為了發(fā)揮中心醫(yī)院的輻

27、射和覆蓋作用，另一方面充分利用各家醫(yī)院的特色科室的力量，區(qū)域醫(yī)療把這些資源進(jìn)展共享和整合，這需要穩(wěn)定的廣域網(wǎng)連接。根據(jù)初步的需求，我們按照內(nèi)外網(wǎng)別離的原那么，建成后的南擴(kuò)大樓的新機(jī)房將成為以后醫(yī)院的核心，原有機(jī)房成為備份冗余機(jī)房。醫(yī)院網(wǎng)絡(luò)系統(tǒng)目前，HIS系統(tǒng)在很多醫(yī)院已經(jīng)或者剛開場(chǎng)部署，很多傳統(tǒng)業(yè)務(wù)都逐漸遷移到網(wǎng)絡(luò)上，對(duì)網(wǎng)絡(luò)的性能、安全和穩(wěn)定提出了很高的要求，主要表達(dá)在以下幾個(gè)方面：1可靠迅速的響應(yīng)以提供更好的醫(yī)療服務(wù)一般大醫(yī)院每天的門診量很大，最多可到達(dá)5000人/天，一般大型醫(yī)院平均門診到達(dá)10002000人/天，HIS系統(tǒng)每天對(duì)后臺(tái)數(shù)據(jù)庫(kù)的調(diào)用非常頻繁，會(huì)產(chǎn)生很大的數(shù)據(jù)流量，如果這種訪問(wèn)

28、流量出了問(wèn)題而導(dǎo)致無(wú)法正常進(jìn)展收費(fèi)和醫(yī)療診斷，會(huì)產(chǎn)生嚴(yán)重的社會(huì)后果，因此醫(yī)院對(duì)網(wǎng)絡(luò)的訪問(wèn)性能有很高的要求。2安全的業(yè)務(wù)數(shù)據(jù)保證醫(yī)院正常對(duì)外服務(wù)在醫(yī)院的業(yè)務(wù)系統(tǒng)中保存著大量患者的安康信息和過(guò)程費(fèi)用信息，這些數(shù)據(jù)無(wú)論對(duì)患者還是醫(yī)院都非常關(guān)鍵，需要嚴(yán)格保密，因此如何保護(hù)這些數(shù)據(jù)，對(duì)醫(yī)院有著重大的意義。3高效的管理推動(dòng)系統(tǒng)的穩(wěn)定，提高維護(hù)的效果HIS經(jīng)過(guò)幾年的建設(shè)，已經(jīng)初具規(guī)模。如何管好整個(gè)醫(yī)院的業(yè)務(wù)系統(tǒng)，包括用戶、服務(wù)器、數(shù)據(jù)庫(kù)、存儲(chǔ)設(shè)備和網(wǎng)絡(luò)等，提高醫(yī)院管理效率，保證醫(yī)院網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)已經(jīng)成為醫(yī)院急需解決的大問(wèn)題。4醫(yī)院數(shù)據(jù)的安全存儲(chǔ)醫(yī)院需要存儲(chǔ)包括病人信息、病案信息、費(fèi)用信息和影像等數(shù)據(jù)，對(duì)數(shù)據(jù)

29、存儲(chǔ)的安全性和擴(kuò)展性要求非常高。5區(qū)域醫(yī)療的建設(shè)為了在區(qū)域范圍內(nèi)實(shí)現(xiàn)遠(yuǎn)程會(huì)診、網(wǎng)上學(xué)術(shù)研討等業(yè)務(wù)，迫切需要醫(yī)院之間的資源共享。網(wǎng)絡(luò)設(shè)計(jì)原那么基于醫(yī)院目前網(wǎng)絡(luò)現(xiàn)狀和未來(lái)業(yè)務(wù)開展的要求，在醫(yī)院網(wǎng)絡(luò)設(shè)計(jì)構(gòu)建中，應(yīng)始終堅(jiān)持以下建網(wǎng)原那么：1、實(shí)用性：整個(gè)網(wǎng)絡(luò)系統(tǒng)具有較高的實(shí)用性；2、時(shí)效性：網(wǎng)絡(luò)應(yīng)保證各類業(yè)務(wù)數(shù)據(jù)流的及時(shí)傳輸，網(wǎng)絡(luò)時(shí)效性要強(qiáng)，網(wǎng)絡(luò)延時(shí)要小，確保業(yè)務(wù)的實(shí)時(shí)高效；3、可靠性：網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持醫(yī)院各業(yè)務(wù)系統(tǒng)的正常運(yùn)行。必須滿足724365 小時(shí)

30、連續(xù)運(yùn)行的要求。在故障發(fā)生時(shí)，網(wǎng)絡(luò)設(shè)備可以快速自動(dòng)地切換到備份設(shè)備上；4、完整性：網(wǎng)絡(luò)系統(tǒng)應(yīng)實(shí)現(xiàn)端到端的、能整合數(shù)據(jù)、語(yǔ)音和圖像的多業(yè)務(wù)應(yīng)用，滿足全網(wǎng)范圍統(tǒng)一的實(shí)施安全策略、QoS 策略、流量管理策略和系統(tǒng)管理策略的完整的一體化網(wǎng)絡(luò)；5、技術(shù)先進(jìn)性和實(shí)用性-保證滿足醫(yī)院應(yīng)用系統(tǒng)業(yè)務(wù)的同時(shí)，又要表達(dá)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來(lái)，充分考慮到醫(yī)院網(wǎng)絡(luò)目前的現(xiàn)狀以及未來(lái)技術(shù)和業(yè)務(wù)開展趨勢(shì)。6、高性能醫(yī)院網(wǎng)絡(luò)性能是醫(yī)院整個(gè)網(wǎng)絡(luò)良好運(yùn)行的根基，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息數(shù)據(jù)、語(yǔ)音、圖像的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為一眼業(yè)務(wù)開展的瓶頸。

31、7、標(biāo)準(zhǔn)開放性-支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議如IP、國(guó)際標(biāo)準(zhǔn)的大型的動(dòng)態(tài)路由協(xié)議等開放協(xié)議，有利于以保證與其它網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、外聯(lián)機(jī)構(gòu)其它網(wǎng)絡(luò))之間的平滑連接互通，以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。8、靈活性及可擴(kuò)展性-根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)大和升級(jí)，減少最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。網(wǎng)絡(luò)要具有面向未來(lái)的良好的伸縮性能，既能滿足當(dāng)前的需求，又能支持未來(lái)業(yè)務(wù)網(wǎng)點(diǎn)、業(yè)務(wù)量、業(yè)務(wù)種類的擴(kuò)展和與其它機(jī)構(gòu)或部門的連接等對(duì)網(wǎng)絡(luò)的擴(kuò)大性要求。9、可管理性-對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析功能以及可

32、提供故障自動(dòng)報(bào)警。10、安全性-制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性。能有效防止網(wǎng)絡(luò)的非法訪問(wèn)，保護(hù)關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的安全性；11、保護(hù)現(xiàn)有投資-在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級(jí)，用作骨干網(wǎng)外聯(lián)的接入設(shè)備，網(wǎng)絡(luò)的投資應(yīng)隨著網(wǎng)絡(luò)的伸縮能夠持續(xù)發(fā)揮作用，保護(hù)現(xiàn)有網(wǎng)絡(luò)的投資，充分發(fā)揮網(wǎng)絡(luò)投資的最大效益。核心層需求分析醫(yī)院內(nèi)網(wǎng)核心設(shè)備擔(dān)負(fù)著連接會(huì)聚層，服務(wù)器群和醫(yī)保網(wǎng)的工作，同時(shí)通過(guò)核心設(shè)備的互聯(lián)，形成一套完整的網(wǎng)絡(luò)。由于核心層設(shè)備擔(dān)負(fù)著整個(gè)網(wǎng)絡(luò)的流量。在網(wǎng)絡(luò)核心層的流量是非常巨大的，所有的服務(wù)器均在網(wǎng)絡(luò)的核心層提供相關(guān)的服

33、務(wù)。對(duì)網(wǎng)絡(luò)核心層的壓力非常巨大。同時(shí)網(wǎng)絡(luò)對(duì)安全性、穩(wěn)定性的要求極高，由于網(wǎng)絡(luò)也 基本是一個(gè)金字塔的形狀，那么最需要穩(wěn)定的就是金字塔的頂端，即網(wǎng)絡(luò)的核心層。網(wǎng)絡(luò)核心層同時(shí)需要對(duì)網(wǎng)絡(luò)的接入層提供不同的網(wǎng)絡(luò)層的路由規(guī)劃和信息轉(zhuǎn)發(fā)的功能，同時(shí)還需要保證不同級(jí)別的網(wǎng)絡(luò)QoS，對(duì)于服務(wù)器的關(guān)鍵業(yè)務(wù)通過(guò)鏈路級(jí)和網(wǎng)絡(luò)級(jí)的協(xié)議實(shí)現(xiàn)嚴(yán)格的控制和優(yōu)先級(jí)的保證。對(duì)于網(wǎng)絡(luò)級(jí)的保護(hù)通常時(shí)間是非常長(zhǎng)的，那么對(duì)一些關(guān)鍵業(yè)務(wù)，我們就必須通過(guò)結(jié)合二層快速收斂的協(xié)議一起來(lái)完成對(duì)網(wǎng)絡(luò)安全性的提升和網(wǎng)絡(luò)的自愈能力。設(shè)備必須支持對(duì)不同部門的規(guī)劃，如實(shí)現(xiàn)全網(wǎng)統(tǒng)一VLAN的規(guī)劃等。對(duì)每個(gè)系統(tǒng)分配不同的VLAN并且針對(duì)不同VLAN實(shí)現(xiàn)不同的安

34、全和控制的策略等。但是在自身的網(wǎng)絡(luò)核心層需要通過(guò)完全的三層策略來(lái)進(jìn)展VLAN的終結(jié)和三層數(shù)據(jù)的交換工作，不建議全網(wǎng)全部采用統(tǒng)一網(wǎng)絡(luò)協(xié)議進(jìn)展規(guī)劃，建議采用二層和三層協(xié)議相結(jié)合的方式共同實(shí)現(xiàn)網(wǎng)絡(luò)的規(guī)劃工作。在核心層的規(guī)劃中，主要應(yīng)該采用構(gòu)造穩(wěn)定并且能夠進(jìn)展詳細(xì)路由查找的三層路由協(xié)議來(lái)進(jìn)展規(guī)劃。接入層需求分析網(wǎng)絡(luò)的接入是對(duì)用戶直接進(jìn)展數(shù)據(jù)透?jìng)鞯膶哟?，但是由于網(wǎng)絡(luò)的特殊性，本次的接入層主要是對(duì)一個(gè)局域網(wǎng)進(jìn)展接入。對(duì)接入層概念就有了更新的解釋。對(duì)本次的接入層的主要需求的分析如下：1、接入層用戶數(shù)量的大直接產(chǎn)生大量的數(shù)據(jù)報(bào)文，直接通過(guò)三層的數(shù)據(jù)承載上來(lái)，同時(shí)造成碰撞域和沖突域，使網(wǎng)絡(luò)瓶頸產(chǎn)生于網(wǎng)絡(luò)的低層，

35、直接影響接入質(zhì)量。2、接入層用戶數(shù)量大，而所應(yīng)用的數(shù)據(jù)種類繁多，多種網(wǎng)絡(luò)業(yè)務(wù)流量的產(chǎn)生，包括組播業(yè)務(wù)的產(chǎn)生，對(duì)所接入的網(wǎng)絡(luò)設(shè)備要求很高，使整個(gè)接入層產(chǎn)生了一個(gè)業(yè)務(wù)接入瓶頸。3、網(wǎng)絡(luò)的訪問(wèn)終結(jié)于共享數(shù)據(jù)的特定位置，因?yàn)榻尤雽佑脩粜枰ㄟ^(guò)網(wǎng)絡(luò)最終訪問(wèn)位于網(wǎng)絡(luò)另一端的共享服務(wù)器，而多個(gè)用戶同時(shí)訪問(wèn)遠(yuǎn)端的同一臺(tái)服務(wù)器或者存在訪問(wèn)網(wǎng)絡(luò)的其他節(jié)點(diǎn)的服務(wù)器，就需要這幾個(gè)用戶爭(zhēng)搶網(wǎng)絡(luò)帶寬，使接入層瓶頸提升到核心層，造成核心層資源的浪費(fèi)。并且根據(jù)網(wǎng)絡(luò)流量的分析得出用戶的訪問(wèn)方向是不規(guī)那么的，網(wǎng)絡(luò)一定會(huì)出現(xiàn)閑置的帶寬的現(xiàn)象，如何規(guī)劃路由將非常重要。4、網(wǎng)絡(luò)流量和網(wǎng)絡(luò)流向是寬帶網(wǎng)絡(luò)的一個(gè)新瓶頸。對(duì)于寬帶網(wǎng)絡(luò)接入，接

36、入層網(wǎng)絡(luò)的通常是以新2/8原那么來(lái)劃分的，其中有20%的流量是在接入層交換機(jī)的內(nèi)部進(jìn)展交換的，而80%的網(wǎng)絡(luò)流量是通過(guò)上聯(lián)出口訪問(wèn)其他的網(wǎng)絡(luò)設(shè)備。這里，就涉及到網(wǎng)絡(luò)產(chǎn)生流量后，網(wǎng)絡(luò)流向的問(wèn)題，網(wǎng)絡(luò)流向直接造成網(wǎng)絡(luò)對(duì)于流量和流向所產(chǎn)生的網(wǎng)絡(luò)瓶頸。5、網(wǎng)絡(luò)用戶是局域網(wǎng)用戶，實(shí)際接入的用戶就是一個(gè)網(wǎng)絡(luò)，那么對(duì)于不同網(wǎng)絡(luò)之間的互訪的安全性控制更是由為重要，同時(shí)各個(gè)不同的機(jī)關(guān)對(duì)本機(jī)關(guān)內(nèi)部流通的局部文件是要求要有絕對(duì)的安全性的，對(duì)其他部門的用戶的訪問(wèn)是分為很多的不同的級(jí)別的。鏈路層需求分析對(duì)于醫(yī)院這樣的網(wǎng)絡(luò)來(lái)說(shuō)，各項(xiàng)業(yè)務(wù)的需求，對(duì)于網(wǎng)絡(luò)的穩(wěn)定性的需求就不言而喻。網(wǎng)絡(luò)核心層的采用星型的設(shè)計(jì)思路，通過(guò)以太網(wǎng)的

37、方式同樣需要保證毫秒級(jí)的鏈路保護(hù)功能。對(duì)于鏈路級(jí)的保護(hù)能夠?qū)崿F(xiàn)對(duì)一些 基本的鏈路進(jìn)展備份起到冗余的特性，以便保證在某個(gè)物理鏈路斷掉的時(shí)候還能保證用戶的數(shù)據(jù)的傳輸功能，同時(shí)能夠針對(duì)用戶的關(guān)鍵的鏈路放置一條專有的鏈路實(shí)現(xiàn)備份功能，保證關(guān)鍵業(yè)務(wù)的不連續(xù)的連接。通過(guò)針對(duì)網(wǎng)絡(luò)級(jí)的保護(hù)需要針對(duì)不同的網(wǎng)絡(luò)設(shè)備采用不同的網(wǎng)絡(luò)級(jí)的保護(hù)協(xié)議來(lái)實(shí)現(xiàn)，針對(duì)整體的網(wǎng)絡(luò)架構(gòu)提供保護(hù)，將網(wǎng)絡(luò)的穩(wěn)定性和安全性提供更高的安全性。對(duì)于網(wǎng)絡(luò)級(jí)的保護(hù)主要是通過(guò)網(wǎng)絡(luò)的協(xié)議來(lái)實(shí)現(xiàn)的。并且網(wǎng)絡(luò)的冗余技術(shù)有很多不同的實(shí)現(xiàn)方式，對(duì)于網(wǎng)絡(luò)核心層的影響也不盡一樣。同時(shí)網(wǎng)絡(luò)的穩(wěn)定構(gòu)造同樣也需要網(wǎng)絡(luò)設(shè)備自身的穩(wěn)定性和自身的冗余的特性來(lái)保證，例如實(shí)現(xiàn)網(wǎng)

38、絡(luò)設(shè)備電源的冗余、網(wǎng)絡(luò)控制板的冗余、無(wú)源背板、業(yè)務(wù)板件熱拔插等。這樣可以讓設(shè)備出現(xiàn)問(wèn)題的時(shí)候不至于會(huì)造成網(wǎng)絡(luò)設(shè)備的癱瘓，可以通過(guò)在線更換背板、更換電源以及更換主控網(wǎng)板等方式來(lái)實(shí)現(xiàn)業(yè)務(wù)的不中斷運(yùn)行。同時(shí)可以通過(guò)網(wǎng)絡(luò)主控板件和業(yè)務(wù)板件的業(yè)務(wù)熱切換功能實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備不停機(jī)。醫(yī)院內(nèi)網(wǎng)規(guī)劃設(shè)計(jì)內(nèi)網(wǎng)是整個(gè)醫(yī)院的核心網(wǎng)絡(luò)，開展醫(yī)院日常重要的醫(yī)療業(yè)務(wù)，對(duì)網(wǎng)絡(luò)的可靠性、穩(wěn)定性要求非常高，本次設(shè)計(jì)的網(wǎng)絡(luò)按照萬(wàn)兆交換平臺(tái)、萬(wàn)兆骨干網(wǎng)絡(luò)、千兆到桌面設(shè)計(jì)，內(nèi)網(wǎng)核心交換機(jī)雙機(jī)冗余、負(fù)載分擔(dān)。網(wǎng)內(nèi)拓?fù)湓O(shè)計(jì)采用三級(jí)架構(gòu)，分為核心層、會(huì)聚層和接入層。核心層位于總機(jī)房網(wǎng)絡(luò)的中心，負(fù)責(zé)全網(wǎng)的路由交換，并與各服務(wù)器、存儲(chǔ)等核心醫(yī)院應(yīng)用

39、相連；新大樓會(huì)聚層與核心層之間實(shí)現(xiàn)萬(wàn)兆連接。在接入層，選用的千兆接入交換機(jī)S5120-24/48P-EI具備24/48個(gè)10/100/1000Base-T以太網(wǎng)端口和4個(gè)復(fù)用的1000Base-X SFP千兆以太網(wǎng)端口Combo，根據(jù)網(wǎng)絡(luò)的點(diǎn)位把接入層設(shè)備堆疊以擴(kuò)展設(shè)備端口。千兆位以太網(wǎng)逐漸延伸到桌面已經(jīng)成為最迫切的需要之一，在諸如醫(yī)療行業(yè)的會(huì)診、醫(yī)療影像、醫(yī)療科研協(xié)作等，應(yīng)用在消耗大量帶寬的同時(shí)，也在追求終端用戶的滿意度，基于銅纜的千兆以太網(wǎng)可以將更多的應(yīng)用從低速鏈路中解放出來(lái)，并且為醫(yī)務(wù)工作者創(chuàng)新提供了一個(gè)嶄新高效能工作平臺(tái)。在會(huì)聚層，選用千兆全光纖交換機(jī)S5500-28F-EI，具備24

40、 個(gè)SFP千兆端口，8個(gè)復(fù)用的10/100/1000Base-T以太網(wǎng)端口Combo，兩個(gè)擴(kuò)展槽位，提供了高性能、大容量的交換服務(wù)，支持10GE的上行接口，為接入設(shè)備提供了更高的帶寬。會(huì)聚層交換機(jī)萬(wàn)兆上聯(lián)至核心交換機(jī)，千兆下行連接千兆桌面交換機(jī)，起到醫(yī)療網(wǎng)絡(luò)中非常重要的上承啟下的作用。在核心層，推薦選用S7506E萬(wàn)兆性能交換機(jī)，醫(yī)院網(wǎng)絡(luò)同時(shí)承載多種業(yè)務(wù)，所有交易業(yè)務(wù)都要經(jīng)過(guò)核心交換機(jī)處理，采用分布式體系架構(gòu)，實(shí)現(xiàn)IPv4/IPv6業(yè)務(wù)的線速無(wú)阻塞轉(zhuǎn)發(fā)；采用無(wú)單點(diǎn)故障設(shè)計(jì)，所有關(guān)鍵部件，如主控板、交換網(wǎng)、電源和風(fēng)扇等采用冗余設(shè)計(jì)；無(wú)源背板防止了機(jī)箱出現(xiàn)單點(diǎn)故障；所有單板和電源模塊支持熱插拔功能

41、；H3C S7500E系列可以在惡劣的環(huán)境下長(zhǎng)時(shí)間穩(wěn)定運(yùn)行，到達(dá)99.999的電信級(jí)可靠性；面向數(shù)據(jù)中心技術(shù)的演進(jìn)，推出了以智能彈性架構(gòu)IRF為代表的軟件虛擬化技術(shù)，提供多臺(tái)主機(jī)的協(xié)同工作、統(tǒng)一管理和不連續(xù)維護(hù)功能；IRF不僅成為數(shù)據(jù)中心交換設(shè)備高性能、虛擬化的關(guān)鍵技術(shù)，而且對(duì)于傳統(tǒng)企業(yè)網(wǎng)應(yīng)用，IRF所提供的高可靠性和無(wú)縫升級(jí)、擴(kuò)展能力，也成為H3C用戶增值服務(wù)的重要組成局部。醫(yī)院初期規(guī)劃有多臺(tái)服務(wù)器的容量，建議采用服務(wù)器接入交換機(jī)S5120-24P-EI，一方面分區(qū)建設(shè)專門的服務(wù)器區(qū)，保護(hù)醫(yī)院重要資源的安全，另一方面，有利于今后醫(yī)院業(yè)務(wù)的擴(kuò)展，直接增加服務(wù)器而不必對(duì)網(wǎng)絡(luò)構(gòu)造和核心設(shè)備配置產(chǎn)生

42、影響，從而構(gòu)建具備高可靠性、易擴(kuò)展性和易管理性的新型智能網(wǎng)絡(luò)。醫(yī)院的無(wú)線覆蓋空間主要包括：病房、護(hù)士站、醫(yī)生辦公室、會(huì)議室等；一般醫(yī)院病房每間的空間不是特別的大，同時(shí)病房之間不是承重墻，建議無(wú)線的覆蓋方案的原那么是：以本著節(jié)約、全覆蓋的原那么，每隔1520米左右布放1個(gè)AP。將AP放置在過(guò)道可以滿足覆蓋每一個(gè)房間。根據(jù)醫(yī)院設(shè)計(jì)圖紙初步規(guī)劃，經(jīng)過(guò)初期無(wú)線規(guī)劃，部署大致51個(gè)AP來(lái)保證整個(gè)醫(yī)院的無(wú)線覆蓋信號(hào)。同時(shí)，將無(wú)線控制器AC旁掛于核心交換機(jī)，通過(guò)IP可達(dá)來(lái)實(shí)現(xiàn)對(duì)所有AP的配置和管理。在核心機(jī)房部署網(wǎng)絡(luò)管理系統(tǒng)：智能管理中心iMC，具備網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)性能、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)告警、網(wǎng)絡(luò)業(yè)務(wù)

43、的統(tǒng)一管理，同時(shí)在其上可以配置有多種業(yè)務(wù)管理組件，配置無(wú)線業(yè)務(wù)管理WSM組件，實(shí)現(xiàn)有線無(wú)線一體化的管理，在iMC系統(tǒng)全面的有線網(wǎng)絡(luò)管理的根基上，為管理員提供無(wú)線網(wǎng)絡(luò)管理能力。管理員無(wú)需重新搭建IT管理平臺(tái)，即可在原有的有線網(wǎng)絡(luò)管理系統(tǒng)中增加無(wú)線管理功能，與有線管理平臺(tái)統(tǒng)一部署，節(jié)省用戶投入，節(jié)約維護(hù)成本。醫(yī)院外網(wǎng)規(guī)劃設(shè)計(jì)由于外網(wǎng)主要用于醫(yī)院OA辦公、圖書館信息查詢、樓內(nèi)視頻監(jiān)控、視頻會(huì)議，外網(wǎng)相對(duì)于內(nèi)網(wǎng)來(lái)說(shuō)可靠性要求相對(duì)級(jí)別次低一級(jí)，初期按照采單核心交換機(jī)、單引擎、百兆接入到桌面設(shè)計(jì)，采用接入直接到核心的二層構(gòu)造。在接入層，選用S3600SI)系列百兆三層智能彈性交換機(jī)，分別具備24個(gè)10/1

44、00Base-TX以太網(wǎng)端口，2個(gè)1000Base-X SFP千兆以太網(wǎng)端口，2個(gè)10/100/1000Base-T以太網(wǎng)端口；48個(gè)10/100Base-TX以太網(wǎng)端口，4個(gè)1000Base-X SFP千兆以太網(wǎng)端口。系統(tǒng)采用創(chuàng)新的IRF技術(shù)，在安全可靠、多業(yè)務(wù)融合、易管理和維護(hù)等方面為用戶提供全新的技術(shù)特性和解決方案，是理想接入交換機(jī)。在核心層，選用S7506E作為外網(wǎng)的核心交換機(jī)，S7500E作為高端多業(yè)務(wù)路由交換機(jī)，融合了MPLS、IPv6、網(wǎng)絡(luò)安全、無(wú)線、無(wú)源光網(wǎng)絡(luò)等多種業(yè)務(wù)，提供不連續(xù)轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，在提高用戶生產(chǎn)效率的同時(shí)，保證了網(wǎng)絡(luò)最大正常運(yùn)行時(shí)間，從

45、而降低了客戶的總擁有成本TCO。SecPath 1000-S集成防火墻、VPN、內(nèi)容過(guò)濾和NAT地址轉(zhuǎn)換等功能，提升了網(wǎng)絡(luò)設(shè)備的安全業(yè)務(wù)能力，為用戶提供全面的安全防護(hù)。能提供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、URL過(guò)濾、應(yīng)用層過(guò)濾等功能，有效的保證網(wǎng)絡(luò)的安全。采用H3C ASPFApplication Specific Packet Filter應(yīng)用狀態(tài)檢測(cè)技術(shù)。提供郵件告警、攻擊日志、流日志和網(wǎng)絡(luò)管理監(jiān)控等功能，協(xié)助用戶進(jìn)展網(wǎng)絡(luò)管理。在出口網(wǎng)絡(luò)出口，高性能處理的SecPath 1000S防火墻同時(shí)作為路由設(shè)備，與Internet、銀聯(lián)系統(tǒng)、圖書館系統(tǒng)、視頻會(huì)議系統(tǒng)相連接。出口路由器選用SR6

46、602，SR6600是業(yè)界首款基于多核多線程的高端路由器，具備高性能、易編程、靈活的L4-L7層業(yè)務(wù)應(yīng)用等特點(diǎn)。多核多線程處理器的應(yīng)用，使網(wǎng)絡(luò)設(shè)備具備高性能和靈活性等特點(diǎn)，其良好的可編程性和易用性，使SR6600對(duì)未來(lái)的新業(yè)務(wù)具備快速響應(yīng)能力和良好的適應(yīng)能力，滿足用戶不斷開展的、在路由器上實(shí)現(xiàn)應(yīng)用層業(yè)務(wù)管理的需求。整網(wǎng)安全防護(hù)設(shè)計(jì)地址掃描攻擊防護(hù)能力地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的IP報(bào)文。當(dāng)攻擊者掃描網(wǎng)絡(luò)設(shè)備的直連網(wǎng)段時(shí)，網(wǎng)絡(luò)設(shè)備會(huì)給該網(wǎng)段下的每個(gè)地址發(fā)送ARP報(bào)文，地址不存在的話，還需要發(fā)送目的主機(jī)不可達(dá)報(bào)文。如果直連網(wǎng)段較大，攻擊流量足夠大時(shí)，會(huì)消耗網(wǎng)絡(luò)設(shè)備

47、較多的CPU和內(nèi)存資源，可能引起網(wǎng)絡(luò)中斷。H3C網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)了地址掃描攻擊的防護(hù)能力。當(dāng)交換機(jī)收到目的IP是直連網(wǎng)段的報(bào)文時(shí)，如果該目的IP的ARP表項(xiàng)不存在，會(huì)發(fā)送一個(gè)ARP請(qǐng)求報(bào)文，并針對(duì)目的地址下一條丟棄表項(xiàng)，以防止后續(xù)報(bào)文持續(xù)沖擊CPU。如果有ARP應(yīng)答，那么立即刪除相應(yīng)的丟棄表項(xiàng)，并添加正常的ARP表項(xiàng)。否那么，經(jīng)過(guò)一段時(shí)間后丟棄表項(xiàng)自動(dòng)老化。這樣，既防止直連網(wǎng)段掃描攻擊對(duì)交換機(jī)造成影響，又保證正常業(yè)務(wù)流程的暢通。Comware網(wǎng)絡(luò)系統(tǒng)平臺(tái)提供相應(yīng)的配置命令，用于控制設(shè)備的地址掃描攻擊防護(hù)功能是否啟用。DoS/DDoS攻擊防護(hù)能力DoS攻擊，即拒絕服務(wù)攻擊DoS，Denial of

48、Service，是指向設(shè)備發(fā)送大量的連接請(qǐng)求，占用設(shè)備本身的資源，嚴(yán)重的情況會(huì)造成設(shè)備癱機(jī)，一般情況下也會(huì)使設(shè)備的功能無(wú)法正常運(yùn)行。因?yàn)橹饕轻槍?duì)服務(wù)器的，目的是使服務(wù)器拒絕合法用戶的請(qǐng)求，所以叫拒絕服務(wù)攻擊。隨著攻擊技術(shù)的開展，Dos攻擊也出現(xiàn)了升級(jí)，攻擊者控制多臺(tái)主機(jī)同時(shí)發(fā)起DoS攻擊，也就是所謂的分布式拒絕服務(wù)攻擊DDoS，Distributed Denial of Service攻擊，它的規(guī)模更大，破壞性更強(qiáng)。核心交換機(jī)能夠抵御IP Spoofing、Land、Smurf等常見DoS攻擊，確保某種協(xié)議遭受攻擊時(shí)不會(huì)影響到其他協(xié)議的正常運(yùn)行和業(yè)務(wù)的正常轉(zhuǎn)發(fā)。同時(shí)，當(dāng)攻擊源對(duì)下掛在網(wǎng)絡(luò)設(shè)備

49、的服務(wù)器進(jìn)展DoS攻擊時(shí)，可以利用核心交換機(jī)的ACL功能，下發(fā)特定的ACL規(guī)那么對(duì)攻擊報(bào)文進(jìn)展過(guò)濾，保障下掛的主機(jī)和服務(wù)器正常運(yùn)行。播送/組播報(bào)文速率限制網(wǎng)絡(luò)中存在大量的播送或者組播報(bào)文，會(huì)占用珍貴的網(wǎng)絡(luò)帶寬，從而嚴(yán)重影響網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)性能。而且當(dāng)網(wǎng)絡(luò)中某臺(tái)設(shè)備存在環(huán)路時(shí)，播送和組播報(bào)文會(huì)在網(wǎng)絡(luò)中泛濫，導(dǎo)致整網(wǎng)的癱瘓。H3C交換機(jī)具有強(qiáng)大的播送和組播報(bào)文過(guò)濾功能。可以按照絕對(duì)數(shù)值限制端口允許通過(guò)的播送和組播報(bào)文速率，也可以按照端口速率的百分比來(lái)限制端口允許通過(guò)的播送和組播報(bào)文速率。同時(shí)，還可以通過(guò)ACL規(guī)那么設(shè)置特定端口播送、組播和未知單播報(bào)文允許通過(guò)的速率。MAC地址表容量攻擊防護(hù)能力所謂M

50、AC地址表容量攻擊，是指攻擊源發(fā)送源MAC地址不斷變化的報(bào)文，網(wǎng)絡(luò)設(shè)備在收到這種報(bào)文后，會(huì)進(jìn)展源MAC地址學(xué)習(xí)。由于MAC地址表容量是有限的，當(dāng)MAC地址表項(xiàng)到達(dá)最大容量后，正常報(bào)文的MAC地址學(xué)習(xí)將無(wú)法完成。在進(jìn)展二層轉(zhuǎn)發(fā)時(shí)，這些報(bào)文將會(huì)在VLAN內(nèi)播送，嚴(yán)重影響網(wǎng)絡(luò)帶寬，同時(shí)也會(huì)對(duì)網(wǎng)絡(luò)設(shè)備下掛主機(jī)造成沖擊。H3C交換機(jī)提供設(shè)置單個(gè)端口或者單個(gè)VLAN允許學(xué)習(xí)的最大MAC地址數(shù)目的功能。用戶可以根據(jù)端口或者VLAN下掛的主機(jī)數(shù)目來(lái)設(shè)置該端口或者VLAN最大允許學(xué)習(xí)的MAC地址數(shù)目，防止一個(gè)端口或者VLAN就把系統(tǒng)的MAC地址表項(xiàng)耗盡。在設(shè)置端口MAC地址最大學(xué)習(xí)數(shù)目時(shí)，還可以選擇超過(guò)局部是否

51、轉(zhuǎn)發(fā)，防止未知單播報(bào)文VLAN內(nèi)播送，對(duì)其他設(shè)備造成沖擊。靜態(tài)MAC地址表項(xiàng)和ARP表項(xiàng)綁定能力H3C交換機(jī)提供配置靜態(tài)MAC地址表項(xiàng)和靜態(tài)ARP表項(xiàng)的功能。用戶可以通過(guò)配置靜態(tài)MAC地址表項(xiàng)，保證二層數(shù)據(jù)報(bào)文正確的轉(zhuǎn)發(fā)；用戶還可以通過(guò)配置靜態(tài)ARP表項(xiàng)，綁定MAC地址和IP地址，確保IP地址不會(huì)被偽用戶盜用。強(qiáng)大的ACL能力在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，存在各種各樣的攻擊報(bào)文，可能攻擊網(wǎng)絡(luò)設(shè)備，也可能攻擊網(wǎng)絡(luò)設(shè)備下掛的主機(jī)。H3C核心交換機(jī)提供強(qiáng)大而豐富的ACL功能，能夠?qū)?bào)文的數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層各字段進(jìn)展識(shí)別、限流和過(guò)濾。通過(guò)ACL功能，管理者可以對(duì)非法流量進(jìn)展有效的過(guò)濾。管理者可以在端口、

52、VLAN或者全局模式下設(shè)置相應(yīng)的ACL規(guī)那么， 以滿足不同的需要。H3C核心交換機(jī)的ACL規(guī)那么，不但可以根據(jù)ICMP、IGMP、TCP端口號(hào)、UDP端口號(hào)、IP地址、MAC地址等常用字段對(duì)報(bào)文進(jìn)展過(guò)濾或者限流，還可以根據(jù)TTL、BT-FLAG、VLAN_ID、EXP等字段對(duì)報(bào)文進(jìn)展過(guò)濾和限流。URPF單播反向路徑查找檢查能力所謂URPF，即單播反向路徑查找，主要用于防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。一般情況下，路由交換機(jī)針對(duì)目的地址查找路由，如果找到了就轉(zhuǎn)發(fā)報(bào)文，否那么丟棄該報(bào)文。在URPF功能啟動(dòng)后，通過(guò)獲取報(bào)文的源地址和入接口，交換機(jī)以源地址為目的地址在轉(zhuǎn)發(fā)表中查找路由，如果查到的路由出

53、接口和接收該報(bào)文的入接口不匹配，交換機(jī)認(rèn)為該報(bào)文的源地址是偽裝的，丟棄該報(bào)文。通過(guò)URPF特性，交換機(jī)就能有效地防范網(wǎng)絡(luò)中通過(guò)修改源地址而進(jìn)展的惡意攻擊行為。控制信令層面的安全能力ARP協(xié)議攻擊防護(hù)能力ARP協(xié)議沒(méi)有任何驗(yàn)證方式，而ARP在數(shù)據(jù)轉(zhuǎn)發(fā)中又是至關(guān)重要的，攻擊者常偽造ARP報(bào)文進(jìn)展攻擊。H3C交換機(jī)能夠檢測(cè)并且防范ARP報(bào)文的攻擊。當(dāng)攻擊者采用某個(gè)或者某幾個(gè)固定的攻擊源，向設(shè)備發(fā)送大量的ARP報(bào)文進(jìn)展攻擊時(shí)，H3C交換機(jī)能夠檢測(cè)并且防范這種ARP協(xié)議報(bào)文的攻擊。H3C交換機(jī)收到ARP報(bào)文時(shí)，會(huì)根據(jù)報(bào)文源MAC地址進(jìn)展HASH，并且記錄單位時(shí)間收到的ARP報(bào)文數(shù)目。當(dāng)檢測(cè)到單位時(shí)間內(nèi)C

54、PU收包出現(xiàn)丟包且某些固定源MAC地址的主機(jī)超出一定限度，認(rèn)為該主機(jī)在進(jìn)展ARP攻擊。如果用戶啟用ARP防攻擊功能，那么會(huì)打印提示信息并記錄到日志信息中，且下發(fā)一條源MAC地址丟棄的表項(xiàng)，對(duì)該攻擊源進(jìn)展屏蔽。地址沖突檢測(cè)能力所謂地址沖突，是指網(wǎng)絡(luò)設(shè)備下掛的主機(jī)或者對(duì)接的其他網(wǎng)絡(luò)設(shè)備設(shè)置的IP地址和該網(wǎng)絡(luò)設(shè)備的接口IP地址沖突，網(wǎng)絡(luò)設(shè)備如果無(wú)法檢測(cè)到地址沖突，該網(wǎng)絡(luò)設(shè)備下掛的其他主機(jī)的網(wǎng)關(guān)ARP地址有可能會(huì)被更新，導(dǎo)致下掛主機(jī)無(wú)法正常上網(wǎng)。H3C交換機(jī)支持地址沖突檢測(cè)功能。當(dāng)H3C交換機(jī)收到ARP報(bào)文時(shí)，會(huì)判斷該報(bào)文的源IP地址和本網(wǎng)段接口IP地址是否一樣。如果發(fā)現(xiàn)地址一樣，那么H3C交換時(shí)機(jī)立

55、即發(fā)送一個(gè)地址沖突報(bào)文和免費(fèi)ARP播送報(bào)文。地址沖突報(bào)文是通知對(duì)端主機(jī)或者設(shè)備，該地址已經(jīng)被占用；免費(fèi)ARP播送報(bào)文，是通知本網(wǎng)段內(nèi)其他主機(jī)和網(wǎng)絡(luò)設(shè)備，糾正本網(wǎng)段內(nèi)其他主機(jī)或者網(wǎng)絡(luò)設(shè)備的ARP表項(xiàng)，防止ARP表項(xiàng)指向錯(cuò)誤的MAC地址。同時(shí)，H3C交換時(shí)機(jī)上報(bào)地址沖突的告警信息并同時(shí)記錄日志，以便維護(hù)人員能夠及時(shí)了解設(shè)備遭受的攻擊。TC/TCN攻擊防護(hù)能力在啟用STP情況下，當(dāng)網(wǎng)絡(luò)中某臺(tái)設(shè)備端口的STP狀態(tài)發(fā)生變化，會(huì)產(chǎn)生TC網(wǎng)絡(luò)拓?fù)涓淖兓蛘逿CN網(wǎng)絡(luò)拓?fù)涓淖兺ㄖ獔?bào)文。網(wǎng)絡(luò)中其他設(shè)備收到TC或者TCN時(shí)，發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浒l(fā)生改變，需要?jiǎng)h除MAC地址和ARP等轉(zhuǎn)發(fā)表項(xiàng)，以防止這些表項(xiàng)學(xué)習(xí)在錯(cuò)誤的端口，

56、影響報(bào)文正常轉(zhuǎn)發(fā)。但是當(dāng)網(wǎng)絡(luò)中TC或者TCN報(bào)文很多，頻繁刪除MAC地址表和ARP表項(xiàng)，會(huì)導(dǎo)致二層轉(zhuǎn)發(fā)報(bào)文在VLAN內(nèi)播送，三層轉(zhuǎn)發(fā)報(bào)文出現(xiàn)丟包，也會(huì)影響業(yè)務(wù)正常運(yùn)行。H3C交換機(jī)能夠防范TC/TCN攻擊報(bào)文對(duì)業(yè)務(wù)產(chǎn)生的影響。在收到TC/TCN報(bào)文時(shí)，設(shè)備會(huì)刪除MAC地址表項(xiàng)，但不會(huì)刪除ARP表項(xiàng)。當(dāng)設(shè)備重新學(xué)習(xí)MAC地址時(shí)，會(huì)根據(jù)MAC地址查詢ARP表項(xiàng)，如果該MAC地址對(duì)應(yīng)有相應(yīng)的ARP，直接修改ARP表項(xiàng)中的出端口信息。通過(guò)MAC地址修改ARP表項(xiàng)，能夠防止三層轉(zhuǎn)發(fā)時(shí)出現(xiàn)的丟包現(xiàn)象。網(wǎng)絡(luò)拓?fù)漕l繁改變，會(huì)嚴(yán)重影響網(wǎng)絡(luò)內(nèi)所有設(shè)備的穩(wěn)定運(yùn)行。H3C交換機(jī)考慮到網(wǎng)絡(luò)頻繁變化的特殊情況，在收到第一

57、個(gè)網(wǎng)絡(luò)拓?fù)涓淖兿r(shí)，會(huì)進(jìn)展相應(yīng)處理。后續(xù)收到TC/TCN報(bào)文，并不立即處理，而是等待一段時(shí)間后再判斷這段時(shí)間內(nèi)是否收到TC/TCN報(bào)文，不管這段時(shí)間收到多少個(gè)TC/TCN報(bào)文，在超時(shí)后只處理一次MAC地址刪除操作，起到保護(hù)設(shè)備穩(wěn)定運(yùn)行的作用。地址盜用防護(hù)能力所謂地址盜用，是指一個(gè)非法用戶仿冒合法用戶的IP地址，盜用合法用戶的IP地址進(jìn)展上網(wǎng)。網(wǎng)絡(luò)設(shè)備會(huì)學(xué)習(xí)到錯(cuò)誤的ARP表項(xiàng)，影響合法用戶的正常上網(wǎng)。H3C交換機(jī)具有防范非法用戶盜用地址上網(wǎng)的能力。只需要在交換機(jī)上面配置MAC地址和IP地址綁定的安全地址表項(xiàng)，交換機(jī)在學(xué)習(xí)ARP表項(xiàng)時(shí)會(huì)根據(jù)該安全地址表項(xiàng)進(jìn)展檢查，滿足條件那么學(xué)習(xí)ARP表項(xiàng)，不滿

58、足條件不學(xué)習(xí)。路由協(xié)議攻擊防護(hù)能力路由協(xié)議攻擊是指向不進(jìn)展路由認(rèn)證的路由器發(fā)送錯(cuò)誤的路由更新報(bào)文，使路由表中出現(xiàn)錯(cuò)誤的路由，嚴(yán)重的情況可以造成網(wǎng)絡(luò)癱瘓，高明的攻擊者可以用來(lái)進(jìn)展更深層次的攻擊實(shí)施。H3C交換機(jī)基于Comware路由通用平臺(tái)，能夠?qū)κ盏降母鞣N路由協(xié)議進(jìn)展認(rèn)證。1OSPF協(xié)議，支持鄰居路由器之間的明文/MD5認(rèn)證和OSPF區(qū)域內(nèi)的明文/MD5認(rèn)證；2IS-IS協(xié)議，支持接口間Level-1明文/MD5認(rèn)證、接口Level-2明文/MD5認(rèn)證、IS-IS區(qū)域內(nèi)明文/MD5認(rèn)證和IS-IS路由域上的明文/MD5認(rèn)證；3BGP協(xié)議，支持鄰居路由器之間和BGP區(qū)域內(nèi)的MD5認(rèn)證；4RIPv

59、2協(xié)議，支持鄰居路由器之間的明文/MD5認(rèn)證設(shè)備管理層面的安全能力管理用戶分級(jí)分權(quán)H3C交換機(jī)對(duì)登錄用戶采取分級(jí)機(jī)制，權(quán)限從低到高分為四級(jí)，依次為：訪問(wèn)級(jí)、監(jiān)視級(jí)、系統(tǒng)級(jí)、管理級(jí)。對(duì)用戶密碼采用加密算法進(jìn)展保存，并限制一次連接登錄不成功的次數(shù)來(lái)防止口令被窮舉得到，并在設(shè)備上設(shè)置警示性的登錄提示。支持安全的遠(yuǎn)程管理H3C交換機(jī)支持SSH協(xié)議。通過(guò)使用SSH協(xié)議進(jìn)展設(shè)備管理，可以保證遠(yuǎn)程管理的安全性。支持安全審計(jì)H3C交換機(jī)提供 基本的安全審計(jì)功能。包括提供安全告警日志以及用戶操作日志的能力。安全接入控制H3C交換機(jī)支持802.1x認(rèn)證功能，能夠基于端口或者M(jìn)AC方式進(jìn)展接入控制，實(shí)現(xiàn)局域網(wǎng)絡(luò)的安

60、全接入。SFTP服務(wù)所謂SFTP，是Secure FTP的簡(jiǎn)稱，它使得用戶可以從遠(yuǎn)端安全的登入交換機(jī)設(shè)備進(jìn)展文件管理，這樣使遠(yuǎn)程系統(tǒng)升級(jí)等需要進(jìn)展文件傳送的地方，增加了數(shù)據(jù)傳輸?shù)陌踩浴Ｍ瑫r(shí)，由于提供了Client功能，可以在本設(shè)備上安全登錄到遠(yuǎn)程設(shè)備，進(jìn)展文件的安全傳輸。H3C交換機(jī)支持SFTP服務(wù)，可以保證文件傳輸?shù)陌踩浴９纛愋凸粜袨榻粨Q機(jī)安全特性資源耗盡型攻擊MAC表攻擊端口MAC數(shù)限制制止某個(gè)VLAN的MAC地址學(xué)習(xí) 靜態(tài)MAC表端口安全MAC + IP + 端口綁定,DHCP DOS攻擊DHCP Relay Option 82DHCP Snooping Option 82DHC