智能化醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案

智能化醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案1.1需求分析根據(jù)昆山中西醫(yī)結(jié)合的建設(shè)需求，需要建設(shè)物理完全獨(dú)立的3套網(wǎng)絡(luò)。醫(yī)院內(nèi)網(wǎng)，為滿足醫(yī)院日常辦公需求，業(yè)務(wù)需求，及未來的網(wǎng)絡(luò)擴(kuò)容，建設(shè)一套高帶寬全千兆有線+無線網(wǎng)絡(luò)。業(yè)務(wù)外網(wǎng)，為滿足互聯(lián)網(wǎng)業(yè)務(wù)需要，建設(shè)一套高性能的全千兆外網(wǎng)。智能設(shè)備網(wǎng)：建設(shè)一套智能化設(shè)備網(wǎng)，滿足IP監(jiān)控、IP門禁、IP廣播等智能化系統(tǒng)網(wǎng)絡(luò)傳輸需求。高穩(wěn)定性的需求：中西醫(yī)結(jié)合醫(yī)院信息化網(wǎng)絡(luò)組建投入使用以后是一個(gè)要求相對(duì)穩(wěn)定的環(huán)境，對(duì)網(wǎng)絡(luò)的穩(wěn)定性要求相當(dāng)?shù)母?。如果萬一出現(xiàn)網(wǎng)絡(luò)中斷的現(xiàn)象，很可能就會(huì)對(duì)醫(yī)院業(yè)務(wù)造成損失，有一些數(shù)據(jù)可能造成丟失。所以為保證網(wǎng)絡(luò)的穩(wěn)定、可靠、高效。用戶管理的需求：可對(duì)全網(wǎng)設(shè)備進(jìn)行集中管理，時(shí)時(shí)檢測(cè)設(shè)備的狀態(tài)與鏈路狀態(tài)的管理需求。能夠?qū)崿F(xiàn)全網(wǎng)的安全管理，包括：IP、MAC的盜用問題、防止接入用戶的非法DHCPServer、Proxy等用戶。對(duì)于用戶的上網(wǎng)行為能夠?qū)崿F(xiàn)實(shí)時(shí)的跟蹤以及時(shí)候的追查。安全管理的需求：由于醫(yī)院內(nèi)部有許多敏感性數(shù)據(jù)，如何保障網(wǎng)絡(luò)的安全成為建網(wǎng)時(shí)不得不考慮的問題。1.2設(shè)計(jì)原則1）高性能為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，全網(wǎng)的組網(wǎng)設(shè)計(jì)的無瓶頸性，主干網(wǎng)為萬兆以太網(wǎng)，采用星型的拓?fù)浣Y(jié)構(gòu)，并可平滑升級(jí)到萬兆。同時(shí)要求核心交換能夠提供強(qiáng)大的三層線速交換能力。并具有高性能、高帶寬的特點(diǎn)，整網(wǎng)的核心交換要求能夠提供無瓶頸的數(shù)據(jù)交換。2）安全性網(wǎng)絡(luò)系統(tǒng)可以完成對(duì)FTP，TELNET，ARP等數(shù)據(jù)包進(jìn)行的過濾。系統(tǒng)可對(duì)LAN進(jìn)行MAC地址的過濾。系統(tǒng)可同時(shí)滿足對(duì)多個(gè)端口進(jìn)行過濾，內(nèi)網(wǎng)通過采用虛擬局域網(wǎng)（VLAN）、訪問控制列表等技術(shù)按需實(shí)現(xiàn)部門之間、應(yīng)用系統(tǒng)之間的邏輯隔離，從而實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)訪問的安全性；通過采用防火墻、認(rèn)證等技術(shù)，有效控制外部用戶對(duì)內(nèi)網(wǎng)的訪問。3）可靠性全網(wǎng)采用容錯(cuò)設(shè)計(jì)，即網(wǎng)絡(luò)設(shè)計(jì)充分考慮了系統(tǒng)的冗余，對(duì)于核心骨干設(shè)備做到設(shè)備冗余或者引擎冗余，電源冗余，鏈路冗余；對(duì)于接入層做到上連端口的備份。4）適應(yīng)性網(wǎng)絡(luò)系統(tǒng)應(yīng)滿足并兼容所有的以太網(wǎng)協(xié)議，包括：1000Mbps快速以太網(wǎng)和10Gbps高速以太網(wǎng)。5）延展性網(wǎng)絡(luò)系統(tǒng)應(yīng)可以隨著信息系統(tǒng)的用戶規(guī)模的擴(kuò)大和網(wǎng)絡(luò)應(yīng)用的不斷增加而升級(jí)，具備很強(qiáng)的擴(kuò)展功能，保證網(wǎng)絡(luò)設(shè)備的性能隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大而增加。網(wǎng)絡(luò)良好的擴(kuò)展性來自于良好的設(shè)計(jì)。在網(wǎng)絡(luò)設(shè)計(jì)中，采用業(yè)務(wù)功能模塊化和網(wǎng)絡(luò)拓?fù)鋵哟位脑O(shè)計(jì)方法，使得網(wǎng)絡(luò)架構(gòu)在功能、容量、覆蓋能力等各方面具有易擴(kuò)展能力，以適應(yīng)快速發(fā)展的業(yè)務(wù)對(duì)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的要求，為日后的應(yīng)用擴(kuò)展奠定堅(jiān)實(shí)的基礎(chǔ)。6）先進(jìn)性所設(shè)計(jì)的網(wǎng)絡(luò)信息系統(tǒng)要具有超前性，技術(shù)選型應(yīng)采用當(dāng)今國際上成熟、先進(jìn)的技術(shù)，同時(shí)還要考慮到今后的應(yīng)用提升、廣域連接、網(wǎng)絡(luò)擴(kuò)容和向新技術(shù)遷移的能力，具有萬兆連接能力，從而更好的保護(hù)用戶的投資利益。7）開放性與標(biāo)準(zhǔn)化本項(xiàng)目的網(wǎng)絡(luò)信息系統(tǒng)采用開放性體系結(jié)構(gòu)和標(biāo)準(zhǔn)化的協(xié)議，所有網(wǎng)絡(luò)產(chǎn)品支持標(biāo)準(zhǔn)的網(wǎng)絡(luò)與接口協(xié)議，以保證不同廠家產(chǎn)品的互聯(lián)性和互操作性，同時(shí)保障網(wǎng)絡(luò)的開放性。1.3網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)在昆山中西醫(yī)結(jié)合醫(yī)院的網(wǎng)絡(luò)整體架構(gòu)設(shè)計(jì)上，為了信息的安全，網(wǎng)絡(luò)分為管理內(nèi)網(wǎng)、業(yè)務(wù)外網(wǎng)、智能設(shè)備網(wǎng)3個(gè)網(wǎng)絡(luò)，進(jìn)行物理隔離劃分。根據(jù)上述總體設(shè)計(jì)中的思路，主要設(shè)計(jì)如下：所有網(wǎng)絡(luò)都采用兩層網(wǎng)絡(luò)架構(gòu)，接入層采用千兆到終端。管理內(nèi)網(wǎng)及業(yè)務(wù)外網(wǎng)采用雙核心萬兆并且具有平滑擴(kuò)容的能力。網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)能夠冗余熱備保障系統(tǒng)連續(xù)穩(wěn)定運(yùn)行。具有高帶寬、高可靠、高性能、高安全的特性，可靠保障醫(yī)院HIS、PACS系統(tǒng)的穩(wěn)定運(yùn)行。智能設(shè)備網(wǎng)采用千兆接入、千兆上行。核心采用模塊化高帶寬核心交換機(jī)。一體化設(shè)計(jì)，實(shí)現(xiàn)一體化硬件、一體化管理、一體化供電。采用網(wǎng)絡(luò)管理軟件管理各網(wǎng)所有網(wǎng)絡(luò)設(shè)備。1.4系統(tǒng)分層設(shè)計(jì)分層設(shè)計(jì)方法可為網(wǎng)絡(luò)帶來以下三個(gè)優(yōu)點(diǎn)：A、層次性網(wǎng)絡(luò)的可擴(kuò)展性可擴(kuò)展性是在交換網(wǎng)絡(luò)連接中使用層次性設(shè)計(jì)的主要優(yōu)點(diǎn)。層次性網(wǎng)絡(luò)具有更多的可擴(kuò)展性是因?yàn)樗梢宰屇阌媚K化方式擴(kuò)展網(wǎng)絡(luò)而不會(huì)遇到非層次性網(wǎng)絡(luò)或平面性網(wǎng)絡(luò)很快所遇上的問題。B、層次性網(wǎng)絡(luò)的可管理性網(wǎng)絡(luò)簡(jiǎn)單化：通過把網(wǎng)絡(luò)元素劃分為小單元、層次化，降低了整個(gè)網(wǎng)絡(luò)的復(fù)雜性。這種網(wǎng)絡(luò)單元的劃分使故障診斷變得清晰和簡(jiǎn)單了，同時(shí)還可以提供防止廣播風(fēng)暴、路由循環(huán)等其他潛在問題的內(nèi)在保護(hù)機(jī)制。設(shè)計(jì)更靈活：層次化設(shè)計(jì)使得骨干網(wǎng)和服務(wù)接入網(wǎng)之間的包交換形式更具靈活性。很多網(wǎng)絡(luò)都得益于使用混合方式來構(gòu)造整個(gè)網(wǎng)絡(luò)架構(gòu)。在大多數(shù)情況下，可在骨干網(wǎng)部分使用專線而在區(qū)域網(wǎng)或本地網(wǎng)接入部分使用包交換服務(wù)。網(wǎng)絡(luò)設(shè)備管理更容易；由于層次化網(wǎng)絡(luò)結(jié)構(gòu)使網(wǎng)絡(luò)分層，相對(duì)縮小的網(wǎng)絡(luò)區(qū)域使網(wǎng)絡(luò)設(shè)備的鄰居或?qū)Φ韧ㄐ哦肆繙p少，因此時(shí)網(wǎng)絡(luò)設(shè)備的配置變得簡(jiǎn)單化。C、網(wǎng)絡(luò)更安全通過在骨干網(wǎng)絡(luò)邊緣設(shè)備的過濾功能，限制對(duì)核心網(wǎng)絡(luò)數(shù)據(jù)庫的訪問。我們將這一網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計(jì)分為兩級(jí)結(jié)構(gòu)：核心層、接入層。核心層主要作用是提供高速傳輸和數(shù)據(jù)的訪問。接入層主要完成網(wǎng)絡(luò)流量的控制機(jī)制以使骨干網(wǎng)和用戶接入網(wǎng)環(huán)境隔離開來。1.5設(shè)備選型分析1.5.1核心層設(shè)備核心交換部署在信息中心機(jī)房，負(fù)責(zé)醫(yī)院數(shù)據(jù)集中和轉(zhuǎn)發(fā)，同時(shí)也負(fù)責(zé)與服務(wù)器區(qū)、網(wǎng)絡(luò)出口區(qū)之間的流量轉(zhuǎn)發(fā)。因此核心交換機(jī)上還需要配置足夠的端口，為各區(qū)域網(wǎng)絡(luò)設(shè)備接入核心設(shè)備中提供接口。作為整個(gè)網(wǎng)絡(luò)的中心樞紐，幾乎80%的網(wǎng)絡(luò)傳輸都由核心交換機(jī)完成，因此，核心交換機(jī)的性能也就決定著整個(gè)網(wǎng)絡(luò)的性能。本方案建議每個(gè)網(wǎng)絡(luò)系統(tǒng)在中心機(jī)房處部署高端機(jī)箱式交換機(jī)，核心交換機(jī)應(yīng)當(dāng)具有多個(gè)業(yè)務(wù)模塊插槽，配置雙電源、具備雙引擎插槽，充分保證核心網(wǎng)絡(luò)設(shè)備級(jí)的可靠性。核心交換機(jī)作為網(wǎng)絡(luò)的核心設(shè)備，對(duì)整個(gè)系統(tǒng)的穩(wěn)定和性能起著至關(guān)重要的作用。建議核心交換機(jī)應(yīng)當(dāng)具有如下特點(diǎn)：采用先進(jìn)的CLOS多級(jí)多平面交換架構(gòu)，采用控制引擎和處理引擎相分離，具有多個(gè)獨(dú)交換功能板卡插槽，能提供冗余的交換功能板卡，的可以提供持續(xù)的帶寬升級(jí)能力，支持40GE和100GE以太網(wǎng)標(biāo)準(zhǔn)，本次要求配置核心交換機(jī)配置40G以太網(wǎng)光接口板用與2臺(tái)超萬兆核心交換機(jī)之間40G互聯(lián)，實(shí)現(xiàn)全網(wǎng)骨干核心的無阻賽交換。核心交換機(jī)應(yīng)該是高性能模塊化交換機(jī)，支持模塊化插槽至少10塊以上，插槽采用有力利設(shè)備散熱和抗壓能力的設(shè)計(jì)。核心設(shè)備應(yīng)當(dāng)支持虛擬化堆疊技術(shù)。能將多臺(tái)物理設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，虛擬組內(nèi)可以實(shí)現(xiàn)一致的轉(zhuǎn)發(fā)表項(xiàng)，統(tǒng)一的管理，跨物理設(shè)備的鏈路聚合；核心交換機(jī)應(yīng)當(dāng)具備多業(yè)務(wù)能力。支持MPLSVPN、IPv6、應(yīng)用安全、應(yīng)用控制網(wǎng)關(guān)，功能模塊，無線等多種網(wǎng)絡(luò)業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、不間斷升級(jí)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，在提高用戶生產(chǎn)效率的同時(shí)，保證了網(wǎng)絡(luò)最大正常運(yùn)行時(shí)間，從而降低了客戶的總擁有成本（TCO）。在業(yè)務(wù)特性方面。核心交換機(jī)支持豐富的QoS特性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)；并且支持內(nèi)置、內(nèi)置無線控制器、負(fù)載均衡、應(yīng)用控制、流量清洗等多種業(yè)務(wù)功能插卡，可以進(jìn)行靈活的部署，實(shí)現(xiàn)業(yè)務(wù)的擴(kuò)展和融合。在安全性方面，核心交換機(jī)應(yīng)采用“最長(zhǎng)匹配、逐包轉(zhuǎn)發(fā)”模式，能夠抵御網(wǎng)絡(luò)病毒的攻擊；支持OSPF、RIPv2及BGPv4報(bào)文的明文及MD5密文認(rèn)證；支持IP、VLAN、MAC和端口等多種組合綁定方式，防范地址盜用；支持廣播報(bào)文抑制，有效控制ARP等非法廣播流量對(duì)設(shè)備造成沖擊；支持URPF，防止IP地址欺騙；支持報(bào)文安全過濾，防止非法侵入和惡意報(bào)文攻擊等。既能保障自身的運(yùn)行安全，也能通過一些安全機(jī)制保障所承載業(yè)務(wù)的安全。兩臺(tái)核心交換機(jī)之間通過一對(duì)40G接口進(jìn)行互聯(lián)，構(gòu)成了虛擬化彈性智能組，實(shí)現(xiàn)兩臺(tái)核心交換機(jī)虛擬化成為一臺(tái)交換機(jī)的目的。這樣整個(gè)局域網(wǎng)就避免了生成樹（STP）的問題，同時(shí)由于2臺(tái)核心交換機(jī)構(gòu)成了虛擬組組，任何設(shè)備分別接入兩臺(tái)核心交換機(jī)上就像接入到同一臺(tái)設(shè)備上，因此如果是二層的雙鏈路鏈接則兩條鏈路可以同時(shí)工作，完全避免二層的STP問題，使得帶寬大大增加。對(duì)于三層的雙鏈路則兩臺(tái)在路由的COST值就完全按照一臺(tái)進(jìn)行計(jì)算。而且兩臺(tái)構(gòu)成虛擬組的核心交換機(jī)在管理方面完全是按照1臺(tái)設(shè)備進(jìn)行管理。這樣即簡(jiǎn)化了核心交換設(shè)備、網(wǎng)絡(luò)的管理難度，同時(shí)也大大提高了核心網(wǎng)絡(luò)的網(wǎng)絡(luò)帶寬。為了提高整個(gè)核心的高可靠性，核心交換機(jī)的控制部分和交換部分應(yīng)該分離，因此核心交換機(jī)應(yīng)具備獨(dú)立的交換網(wǎng)板，在本系統(tǒng)中配置了獨(dú)立、冗余的交換網(wǎng)板。同時(shí)。單臺(tái)核心設(shè)備的可靠性，配置雙電源，在十萬兆核心交換機(jī)上不建議配置復(fù)雜的協(xié)議，只需要啟動(dòng)三層路由協(xié)議即可。通過2對(duì)40G超萬兆接口互聯(lián)鏈路，配置兩臺(tái)核心交換機(jī)實(shí)現(xiàn)虛擬化，兩臺(tái)核心交換機(jī)實(shí)現(xiàn)虛擬化后有居多優(yōu)勢(shì)。3.5.2接入層設(shè)備樓層接入?yún)^(qū)主要是負(fù)責(zé)樓層內(nèi)的信息點(diǎn)互聯(lián)起來，為各個(gè)信息點(diǎn)提供layer2層接入功能。主要完成以下功能：接入網(wǎng)作為用戶終端接入的唯一接口，在為用戶終端提供高速、方便的網(wǎng)絡(luò)接入服務(wù)的同時(shí)，為網(wǎng)絡(luò)終端提供千兆接入能力。在安全性方面需要對(duì)用戶終端進(jìn)行入網(wǎng)認(rèn)證，訪問權(quán)限控制，從而拒絕非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理使用網(wǎng)絡(luò)資源，并有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，在外網(wǎng)中，還承擔(dān)這給無線AP提供穩(wěn)定的POE供電功能；通過VLAN定義實(shí)現(xiàn)業(yè)務(wù)劃分；支持801.1P、端口優(yōu)先級(jí)、IPTOS、二到七層流過濾等QoS策略，具備MAC流、IP流、應(yīng)用流等多層流分類和流控制能力，實(shí)現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級(jí)等多種流策略；支持IGMPSnoopingv1/v2/v3，并且HYPERLINK支持IGMP組播源端口檢查功能，可限定交換機(jī)哪些端口可以有組播源信息的播放，從而避免非法組播擠占網(wǎng)絡(luò)帶寬、擾亂計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行；支持內(nèi)在的多種安全機(jī)制，有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)資源，保證合法用戶合理化使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)資源，如端口安全、端口隔離、專家級(jí)ACL、時(shí)間ACL、端口ARP報(bào)文合法性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定等，滿足計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)加強(qiáng)對(duì)訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求；支持提供加密傳輸?shù)腟SH（SecureShell），保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備。支持SNMPV1/V2，可以通過SNMP遠(yuǎn)程對(duì)設(shè)備進(jìn)行管理。1.6組網(wǎng)方案設(shè)計(jì)本次中西醫(yī)結(jié)合醫(yī)院網(wǎng)絡(luò)解決方案總體設(shè)計(jì)以高性能、高可靠性、高安全性、良好的可擴(kuò)展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)為原則，以及考慮到技術(shù)的先進(jìn)性、成熟性，并采用模塊化的設(shè)計(jì)方法。1.6.1管理內(nèi)網(wǎng)內(nèi)網(wǎng)主要保障醫(yī)院內(nèi)部辦公及各項(xiàng)業(yè)務(wù)功能的網(wǎng)絡(luò)承載。采用2臺(tái)高帶寬雙核心作為承載整個(gè)網(wǎng)絡(luò)平臺(tái)的核心設(shè)備，通過在核心設(shè)備上部署IRF2技術(shù)，把兩臺(tái)核心設(shè)備虛擬為一臺(tái)統(tǒng)一的邏輯設(shè)備，代替?zhèn)鹘y(tǒng)網(wǎng)絡(luò)中核心設(shè)備的VRRP技術(shù)，原有的一主一備的設(shè)備只有在主設(shè)備發(fā)生故障時(shí)，才接替主設(shè)備承擔(dān)起核心轉(zhuǎn)發(fā)的任務(wù)。使用IRF2技術(shù)，兩臺(tái)設(shè)備在網(wǎng)絡(luò)中同時(shí)工作，大大提高設(shè)備的使用效率。從接入到核心，全網(wǎng)采用萬兆多模光纜，充分保證的網(wǎng)絡(luò)的可靠性，減少單點(diǎn)故障給網(wǎng)絡(luò)帶來的損失。接入交換機(jī)選用全千兆交換機(jī)，萬光纖接入核心，千兆到桌面,根據(jù)樓層網(wǎng)絡(luò)點(diǎn)位數(shù)量設(shè)置為相應(yīng)24口交換機(jī)及48口交換機(jī)。全網(wǎng)部署智能管理中心對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)一的管理。1.6.2業(yè)務(wù)外網(wǎng)外網(wǎng)主要提供醫(yī)院的對(duì)外業(yè)務(wù)服務(wù)功能。采用2臺(tái)高帶寬雙核心作為承載整個(gè)網(wǎng)絡(luò)平臺(tái)的核心設(shè)備，通過在核心設(shè)備上部署IRF2技術(shù)，把兩臺(tái)核心設(shè)備虛擬為一臺(tái)統(tǒng)一的邏輯設(shè)備，代替?zhèn)鹘y(tǒng)網(wǎng)絡(luò)中核心設(shè)備的VRRP技術(shù)，原有的一主一備的設(shè)備只有在主設(shè)備發(fā)生故障時(shí)，才接替主設(shè)備承擔(dān)起核心轉(zhuǎn)發(fā)的任務(wù)。使用IRF2技術(shù)，兩臺(tái)設(shè)備在網(wǎng)絡(luò)中同時(shí)工作，大大提高設(shè)備的使用效率。從接入到核心，全網(wǎng)采用千兆多模光纜，充分保證的網(wǎng)絡(luò)的可靠性，減少單點(diǎn)故障給網(wǎng)絡(luò)帶來的損失。接入交換機(jī)選用全千兆交換機(jī)，千兆光纖接入核心，千兆到桌面,根據(jù)樓層網(wǎng)絡(luò)點(diǎn)位數(shù)量設(shè)置為相應(yīng)24口交換機(jī)及48口交換機(jī)。全網(wǎng)部署智能管理中心對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)一的管理。1.6.3智能化網(wǎng)采用1臺(tái)高帶寬核心交換機(jī)作為承載整個(gè)網(wǎng)絡(luò)平臺(tái)的核心設(shè)備。核心交換機(jī)采用雙引擎雙電源技術(shù)，最大限度提高核心交換系統(tǒng)的穩(wěn)定性，大大提高設(shè)備的使用效率，能夠支持全樓智能系統(tǒng)的穩(wěn)定運(yùn)行。從接入到核心，全網(wǎng)采用雙鏈路冗余設(shè)計(jì)，充分保證的網(wǎng)絡(luò)的可靠性，減少單點(diǎn)故障給網(wǎng)絡(luò)帶來的損失。接入交換機(jī)選用全千兆交換機(jī)，千兆光纖接入核心，千兆到終端設(shè)備，根據(jù)攝像機(jī)、門禁、廣播等智能系統(tǒng)的點(diǎn)位設(shè)置，每層設(shè)置相應(yīng)數(shù)量24口、48口千兆交換機(jī)。全網(wǎng)部署智能管理中心對(duì)網(wǎng)絡(luò)進(jìn)行管理。1.7無線建設(shè)方案本次昆山中西醫(yī)結(jié)合醫(yī)院無線WIFI網(wǎng)絡(luò)采用先進(jìn)的基于智能無線交換架構(gòu)的整體解決方案?？蓾M足醫(yī)院無線查房、無線護(hù)理等業(yè)務(wù)功能。整個(gè)無線網(wǎng)絡(luò)系統(tǒng)建設(shè)需要覆蓋整個(gè)醫(yī)院各業(yè)務(wù)區(qū)域。在醫(yī)院大樓內(nèi),每層根據(jù)使用功能部署相應(yīng)AP數(shù)量。無線網(wǎng)絡(luò)系統(tǒng)部署的無線AP都是支持最新無線傳輸技術(shù)801.11ac協(xié)議，提供理論上1.5G傳輸帶寬。為建設(shè)高可靠、高性能的無線網(wǎng)絡(luò)系統(tǒng)，此次室內(nèi)無線AP采用POE供電，通過在每層樓部署千兆POE交換機(jī)，為無線AP提供千兆接入的同時(shí)，還能通過以太網(wǎng)線對(duì)無線AP供電。本無線系統(tǒng)采用瘦AP（FIT）+無線控制器部署方案。無線控制器部聯(lián)接核心交換機(jī)，實(shí)現(xiàn)整個(gè)無線網(wǎng)絡(luò)系統(tǒng)的高可靠性。在醫(yī)院的無線網(wǎng)絡(luò)建設(shè)中我們對(duì)接入的用戶能實(shí)現(xiàn)認(rèn)證，系統(tǒng)支持801.x和Portal認(rèn)證。未認(rèn)證用戶上網(wǎng)時(shí)，設(shè)備強(qiáng)制用戶登錄到特定站點(diǎn)，用戶可以免費(fèi)訪問其中的服務(wù)。當(dāng)用戶需要使用網(wǎng)絡(luò)中的其它信息時(shí)，必須在門戶網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過后才可以使用網(wǎng)絡(luò)資源。這樣可以對(duì)接入用戶的身份進(jìn)行認(rèn)證，保證了無關(guān)或者非法的用戶接入進(jìn)網(wǎng)絡(luò)。FITAP（瘦AP）組網(wǎng)最大的優(yōu)點(diǎn)在于AP本身零配置，AP上電后會(huì)自動(dòng)從無線控制器下載軟件版本和配置文件，同時(shí)無線控制器會(huì)自動(dòng)調(diào)節(jié)AP的工作信道以及發(fā)射功率。另外，通過無線控制器的RF掃描探測(cè)熱點(diǎn)地區(qū)RougeAP，可以及時(shí)排除其他AP存在的干擾，保障AP的穩(wěn)定運(yùn)行。在網(wǎng)絡(luò)管理方面，網(wǎng)管可以只通過管理無線控制器設(shè)備就可以達(dá)到控制AP的效果，極大的減少了無線網(wǎng)絡(luò)后期維護(hù)和管理的工作量。使用無線控制器+FITAP時(shí)，AP在啟動(dòng)后會(huì)自動(dòng)通過DHCP方式獲取IP地址，并自動(dòng)搜尋可關(guān)聯(lián)的無線控制器，在和無線控制器建立CAPWAP隧道之后會(huì)自動(dòng)從無線控制器下載配置文件和更新軟件版本。在AP的接入方面，采用智能射頻管理，當(dāng)某一個(gè)AP出現(xiàn)故障時(shí)，周圍的其他AP會(huì)自動(dòng)調(diào)整功率，對(duì)該部分區(qū)域進(jìn)行重新的信號(hào)覆蓋，保證信號(hào)的良好覆蓋。而當(dāng)有非法AP進(jìn)入無線網(wǎng)絡(luò)造成信號(hào)干擾時(shí)，智能射頻管理系統(tǒng)可以定位出該AP的位置，以便及時(shí)加以排除。1.8網(wǎng)絡(luò)安全設(shè)計(jì)1.8.1網(wǎng)絡(luò)防火墻部署網(wǎng)絡(luò)系統(tǒng)建設(shè)不但要考慮系統(tǒng)整體可靠性，對(duì)于網(wǎng)絡(luò)系統(tǒng)整體安全性也成為系統(tǒng)建設(shè)重要考慮點(diǎn)。本設(shè)計(jì)方案在核心交換機(jī)上層部署防火墻安全設(shè)備，來提高整個(gè)網(wǎng)絡(luò)系統(tǒng)安全性能。防火墻能將內(nèi)網(wǎng)與不安全的外部網(wǎng)絡(luò)環(huán)境隔離開。防火墻具有能三層到四層的防護(hù)功能。網(wǎng)絡(luò)層防火墻可視為一種IP封包過濾器，運(yùn)作在底層的TCP/IP協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻。這些規(guī)則通常可以經(jīng)由管理員定義或修改。應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運(yùn)作，您使用瀏覽器時(shí)所產(chǎn)生的數(shù)據(jù)流或是使用FTP時(shí)的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，防火墻四層防護(hù)可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。防火墻借由監(jiān)測(cè)所有的封包并找出不符規(guī)則的內(nèi)容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。防火墻支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全。防火墻可對(duì)連接狀態(tài)過程和異常命令進(jìn)行檢測(cè)；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理；支持多種VPN業(yè)務(wù)，如GREVPN、IPSecVPN、L2TPVPN及SSLVPN等，可以構(gòu)建多種形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持豐富的QoS特性。在防火墻上我們推薦部署如下安全控制策略：防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證安全；建議在兩臺(tái)防火墻上設(shè)定嚴(yán)格的訪問控制規(guī)則，配置只有規(guī)則允許的IP地址或者用戶能夠訪問數(shù)據(jù)中心中的指定的資源，嚴(yán)格限制網(wǎng)絡(luò)用戶對(duì)服務(wù)器的資源，以避免網(wǎng)絡(luò)用戶可能會(huì)對(duì)服務(wù)器的攻擊、非授權(quán)訪問以及病毒的傳播，保護(hù)服務(wù)器中的核心數(shù)據(jù)信息資產(chǎn)；配置防火墻防DOS/DDOS功能，對(duì)Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒絕服務(wù)攻擊進(jìn)行防范，可以實(shí)現(xiàn)對(duì)各種拒絕服務(wù)攻擊的有效防范，保證網(wǎng)絡(luò)帶寬；配置防火墻全面攻擊防范能力，包括ARP欺騙攻擊的防范，提供ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法攻擊防范、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達(dá)報(bào)文控制功能、Tracert報(bào)文控制功能、帶路由記錄選項(xiàng)IP報(bào)文控制功能等，全面防范各種網(wǎng)絡(luò)層的攻擊行為；根據(jù)需要，配置IP/MAC綁定功能，對(duì)能夠識(shí)別MAC地址的主機(jī)進(jìn)行鏈路層控制，實(shí)現(xiàn)只有IP/MAC匹配的用戶才能訪問數(shù)據(jù)中心的服務(wù)器；其他可選策略：可以啟動(dòng)防火墻身份認(rèn)證功能，通過內(nèi)置數(shù)據(jù)庫或者標(biāo)準(zhǔn)Radius屬性認(rèn)證，實(shí)現(xiàn)對(duì)用戶身份認(rèn)證后進(jìn)行資源訪問的授權(quán)，進(jìn)行更細(xì)粒度的用戶識(shí)別和控制；根據(jù)需要，在防火墻上設(shè)置流量控制規(guī)則，實(shí)現(xiàn)對(duì)服務(wù)器訪問流量的有效管理，有效的避免網(wǎng)絡(luò)帶寬的浪費(fèi)和濫用，保護(hù)關(guān)鍵服務(wù)器的網(wǎng)絡(luò)帶寬；根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時(shí)間段規(guī)則，實(shí)現(xiàn)基于時(shí)間的訪問控制，可以組合時(shí)間特性，實(shí)現(xiàn)更加靈活的訪問控制能力；在防火墻上進(jìn)行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（E-mail、日志、SNMP陷阱等），實(shí)現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；啟動(dòng)防火墻日志功能，利用防火墻的日志記錄能力，詳細(xì)完整的記錄日志和統(tǒng)計(jì)報(bào)表等資料，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問行為的有效的記錄和統(tǒng)計(jì)分析。1.8.2IPS部署今天，各種蠕蟲、間諜軟件、網(wǎng)絡(luò)釣魚等應(yīng)用層威脅和EMAIL、移動(dòng)代碼結(jié)合，形成復(fù)合型威脅，使威脅更加危險(xiǎn)和難以抵御。這些威脅直接攻擊服務(wù)器和應(yīng)用，給業(yè)務(wù)帶來了重大損失；攻擊終端用戶計(jì)算機(jī)，給用戶帶來信息風(fēng)險(xiǎn)甚至財(cái)產(chǎn)損失；對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行DoS/DDoS攻擊，造成基礎(chǔ)設(shè)施的癱瘓；更有甚者，像電驢、BT等P2P應(yīng)用和MSN、QQ等即時(shí)通信軟件的普及，寶貴的帶寬資源被業(yè)務(wù)無關(guān)流量浪費(fèi)，形成巨大的資源損失。入侵防護(hù)系統(tǒng)(IPS)傾向于提供主動(dòng)防護(hù)，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異常活動(dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS設(shè)備中被清除掉。IPS可以針對(duì)應(yīng)用流量做深度分析與檢測(cè)能力，同時(shí)配合以精心研究的攻擊特征知識(shí)庫和用戶規(guī)則，即可以有效檢測(cè)并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對(duì)分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理，從而達(dá)到對(duì)網(wǎng)絡(luò)上應(yīng)用的保護(hù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)和網(wǎng)絡(luò)性能的保護(hù)。1.8.3端口安全及綁定技術(shù)端口安全（PortSecurity）是一種對(duì)網(wǎng)絡(luò)接入進(jìn)行控制的安全機(jī)制，是對(duì)已有的801.1x認(rèn)證和MAC地址認(rèn)證的擴(kuò)充。PortSecurity的主要功能就是通過定義各種安全模式，讓設(shè)備學(xué)習(xí)到合法的源MAC地址，以達(dá)到相應(yīng)的網(wǎng)絡(luò)管理效果。對(duì)于不能通過安全模式學(xué)習(xí)到源MAC地址的報(bào)文，將被視為非法報(bào)文；對(duì)于不能通過801.1x認(rèn)證的事件，將被視為非法事件。當(dāng)發(fā)現(xiàn)非法報(bào)文或非法事件后，系統(tǒng)將觸發(fā)相應(yīng)特性，并按照預(yù)先指定的方式自動(dòng)進(jìn)行處理，減少了用戶的維護(hù)工作量，極大地提高了系統(tǒng)的安全性和可管理性。端口安全的特性包括：NTK：NTK（NeedToKnow）特性通過檢測(cè)從端口發(fā)出的數(shù)據(jù)幀的目的MAC地址，保證數(shù)據(jù)幀只能被發(fā)送到已經(jīng)通過認(rèn)證的設(shè)備上，從而防止非法設(shè)備竊聽網(wǎng)絡(luò)數(shù)據(jù)。IntrusionProtection：該特性通過檢測(cè)端口接收到的數(shù)據(jù)幀的源MAC地址或801.1x認(rèn)證的用戶名、密碼，發(fā)現(xiàn)非法報(bào)文或非法事件，并采取相應(yīng)的動(dòng)作，包括暫時(shí)斷開端口連接、永久斷開端口連接或是過濾此MAC地址的報(bào)文，保證了端口的安全性。DeviceTracking：該特性是指當(dāng)端口有特定的數(shù)據(jù)包（由非法入侵，用戶不正常上下線等原因引起）傳送時(shí)，設(shè)備將會(huì)發(fā)送Trap信息，便于網(wǎng)絡(luò)管理員對(duì)這些特殊的行為進(jìn)行監(jiān)控。通過端口綁定特性，網(wǎng)絡(luò)管理員可以將合法用戶的MAC地址和IP地址綁定到指定的端口上。進(jìn)行綁定操作后，只有指定MAC地址或IP地址的用戶發(fā)出的報(bào)文才能通過該端口轉(zhuǎn)發(fā)，提高了系統(tǒng)的安全性，增強(qiáng)了對(duì)網(wǎng)絡(luò)安全的監(jiān)控。本次項(xiàng)目中所采用的所有交換機(jī)均具有端口安全和端口綁定特性，可以限制所接入電腦所使用的IP、MAC和端口，以解決靜態(tài)IP地址沖突和IP地址欺騙的問題。1.8.4交換機(jī)防ARP欺騙攻擊技術(shù)優(yōu)勢(shì)ARP欺騙攻擊的危害性當(dāng)您的計(jì)算機(jī)網(wǎng)絡(luò)連接正常，卻無法打開網(wǎng)頁；當(dāng)您的計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)頻繁斷線，同時(shí)網(wǎng)速變得非常慢。這些都可能是由于存在ARP欺騙攻擊及ARP中毒，所表現(xiàn)出來的網(wǎng)絡(luò)故障情況。ARP欺騙攻擊不僅導(dǎo)致聯(lián)網(wǎng)不穩(wěn)定，極大影響網(wǎng)絡(luò)的正常運(yùn)行，更嚴(yán)重的是利用ARP欺騙攻擊可進(jìn)一步實(shí)施中間人攻擊。如果局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和網(wǎng)關(guān)，讓所有網(wǎng)絡(luò)流量都經(jīng)過攻擊者主機(jī)進(jìn)行轉(zhuǎn)發(fā)，攻擊者通過截獲的信息可得到游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的用戶名和口令，這種攻擊行為就稱為中間人攻擊。由此可見，中間人攻擊是一種非常惡劣的網(wǎng)絡(luò)惡意攻擊行為。ARP欺騙攻擊的原理局域網(wǎng)上的一臺(tái)主機(jī)，如果接收到一個(gè)ARP報(bào)文，即使該報(bào)文不是該主機(jī)所發(fā)送的ARP請(qǐng)求的應(yīng)答報(bào)文，該主機(jī)也會(huì)將ARP報(bào)文中的發(fā)送者的MAC地址和IP地址更新或加入到ARP表中。ARP欺騙攻擊就利用了這點(diǎn)，攻擊者主動(dòng)發(fā)送ARP報(bào)文，發(fā)送者的MAC地址為攻擊者主機(jī)的MAC地址，發(fā)送者的IP地址為被攻擊主機(jī)的IP地址。通過不斷發(fā)送這些偽造的ARP報(bào)文，讓局域網(wǎng)上所有的主機(jī)和網(wǎng)關(guān)ARP表，其對(duì)應(yīng)的MAC地址均為攻擊者的MAC地址，這樣所有的網(wǎng)絡(luò)流量都會(huì)發(fā)送給攻擊者主機(jī)。由于ARP欺騙攻擊導(dǎo)致了主機(jī)和網(wǎng)關(guān)的ARP表的不正確，這種情況我們也稱為ARP中毒。由于ARP中毒后，所有的流量都需要經(jīng)過攻擊者進(jìn)行轉(zhuǎn)發(fā)。如果攻擊者具有轉(zhuǎn)發(fā)能力，在攻擊開始和攻擊結(jié)束是都會(huì)引發(fā)一次網(wǎng)絡(luò)中斷，攻擊過程中網(wǎng)絡(luò)速度變慢，網(wǎng)速變慢原因跟發(fā)送大量的ARP流量消耗了帶寬以及其本身處理能力有限有很大關(guān)系；如果攻擊者不具有轉(zhuǎn)發(fā)能力，網(wǎng)絡(luò)出現(xiàn)傳輸中斷，直到攻擊停止及ARP表恢復(fù)正常。ARP欺騙攻擊防御由于ARP欺騙攻擊，利用了ARP協(xié)議的設(shè)計(jì)缺陷，光靠包過濾、IP＋MAC＋端口綁定等傳統(tǒng)辦法是比較難解決的。通過對(duì)ARP欺騙攻擊原理的剖析，如果要防御該類型攻擊，最理想的辦法是在接入層對(duì)ARP報(bào)文進(jìn)行內(nèi)容有效性檢查，對(duì)于沒有通過檢查的報(bào)文進(jìn)行丟棄處理。在接入層交換機(jī)上采取的這種技術(shù)，我們稱為ARP入侵檢測(cè)，此技術(shù)可以在訪問層區(qū)域部署。另外由于ARP欺騙攻擊，經(jīng)常伴隨者發(fā)送大量的ARP報(bào)文，消耗網(wǎng)絡(luò)帶寬資源和交換機(jī)CPU資源，造成網(wǎng)絡(luò)速度的速度降低。因此接入交換機(jī)還需要部署ARP報(bào)文限速，對(duì)每個(gè)端口單位時(shí)間內(nèi)接收到的ARP報(bào)文進(jìn)行限制，很好地保障了網(wǎng)絡(luò)帶寬資源和交換機(jī)CPU資源。1.8.5DHCP安全保護(hù)在本次工程中，有可能會(huì)用到DHCP服務(wù)器，為接入電腦進(jìn)行動(dòng)態(tài)的地址分配。為了避免非法的DHCP的開設(shè)和接入，對(duì)系統(tǒng)產(chǎn)生影響，建議在交換機(jī)上啟用DHCPSnooping特性。在配置DHCP服務(wù)器后，為了提高DHCP服務(wù)的安全性，需要配置DHCP服務(wù)的安全功能。DHCPSnooping是DHCP的一種安全特性，具有如下功能：記錄DHCP客戶端IP地址與MAC地址的對(duì)應(yīng)關(guān)系；出于安全性的考慮，網(wǎng)絡(luò)管理員可能需要記錄用戶上網(wǎng)時(shí)所用的IP地址，確認(rèn)用戶從DHCP服務(wù)器獲取的IP地址和用戶主機(jī)MAC地址的對(duì)應(yīng)關(guān)系。DHCPSnooping可以實(shí)現(xiàn)該功能。DHCPSnooping通過監(jiān)聽DHCP-REQUEST和信任端口收到的DHCP-ACK廣播報(bào)文，記錄DHCP客戶端的MAC地址以及獲取到的IP地址。管理員可以通過displaydhcp-snooping命令查看DHCP客戶端獲取的IP地址信息。保證客戶端從合法的服務(wù)器獲取IP地址。在網(wǎng)絡(luò)中如果有私自架設(shè)的DHCP服務(wù)器，則可能導(dǎo)致用戶得到錯(cuò)誤的IP地址。為了使用戶能通過合法的DHCP服務(wù)器獲取IP地址，DHCPSnooping安全機(jī)制允許將端口設(shè)置為信任端口和不信任端口：信任端口是與合法的DHCP服務(wù)器直接或間接連接的端口。信任端口對(duì)接收到的DHCP報(bào)文正常轉(zhuǎn)發(fā)，從而保證了DHCP客戶端獲取正確的IP地址。不信任端口是不與合法的DHCP服務(wù)器連接的端口。如果從不信任端口接收到DHCP服務(wù)器響應(yīng)的DHCP-ACK和DHCP-OFFER報(bào)文則會(huì)丟棄，從而防止了DHCP客戶端獲得錯(cuò)誤的IP地址。交換機(jī)一旦啟用DHCPSnooping功能，端口默認(rèn)為DHCPSnoopinguntrust。建議所有的接入交換機(jī)均啟用此功能，并將連接DHCP服務(wù)器的端口設(shè)為DHCPSnoopingtrust。1.8.6IPSourceGuard本項(xiàng)目中所采用的交換機(jī)均支持IPSourceGuard功能，可以解決解決偽造IP源地址攻擊的問題。通過IPSourceGuard綁定功能，可以對(duì)端口轉(zhuǎn)發(fā)的報(bào)文進(jìn)行過濾控制，防止非法IP地址和MAC地址的報(bào)文通過端口，提高了端口的安全性。端口接收到報(bào)文后查找IPSourceGuard綁定表項(xiàng)，如果報(bào)文中的特征項(xiàng)與綁定表項(xiàng)中記錄的特征項(xiàng)匹配，則端口轉(zhuǎn)發(fā)該報(bào)文，否則做丟棄處理。1.8.7URPFURPF通過獲取報(bào)文的源地址和入接口，以源地址為目的地址，在轉(zhuǎn)發(fā)表中查找源地址對(duì)應(yīng)的接口是否與入接口匹配，如果不匹配，認(rèn)為源地址是偽裝的，丟棄該報(bào)文。通過這種方式，URPF就能有效地防范網(wǎng)絡(luò)中通過修改源地址而進(jìn)行的惡意攻擊行為的發(fā)生。通過URPF，可以防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。本項(xiàng)目中所采用的交換機(jī)支持URPF功能，可以解決解決偽造IP源地址攻擊的問題。1.8.8ARP報(bào)文限速工程中所采用的交換機(jī)支持端口ARP報(bào)文限速功能，使受到攻擊的端口暫時(shí)關(guān)閉，來避免此類攻擊對(duì)CPU的沖擊。開啟某個(gè)端口的ARP報(bào)文限速功能后，交換機(jī)對(duì)每秒內(nèi)該端口接收的ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)，如果每秒收到的ARP報(bào)文數(shù)量超過設(shè)定值，則認(rèn)為該端口處于超速狀態(tài)（即受到ARP報(bào)文攻擊）。此時(shí)，交換機(jī)將關(guān)閉該端口，使其不再接收任何報(bào)文，從而避免大量ARP報(bào)文攻擊設(shè)備。同時(shí)，設(shè)備支持配置端口狀態(tài)自動(dòng)恢復(fù)功能，對(duì)于配置了ARP限速功能的端口，在其因超速而被交換機(jī)關(guān)閉后，經(jīng)過一段時(shí)間可以自動(dòng)恢復(fù)為開啟狀態(tài)。1.8.9對(duì)流量和連接數(shù)的攻擊的防范當(dāng)前的攻擊工具、木馬、蠕蟲和病毒通過泛洪擴(kuò)散或病毒感染等方式堵塞網(wǎng)絡(luò)有效帶寬，以及發(fā)起大量連接堵塞出口的攻擊。在本項(xiàng)目中所采用的交換機(jī)采用最長(zhǎng)匹配、逐包轉(zhuǎn)發(fā)的技術(shù)，同時(shí)，對(duì)CPU具有相應(yīng)的保護(hù)技術(shù)，可有效的防止網(wǎng)絡(luò)流量增大導(dǎo)致交換機(jī)負(fù)載增加。同時(shí)，本項(xiàng)目中，核心交換機(jī)內(nèi)置Sflow特性，配合配置的流量分析管理系統(tǒng)，提供網(wǎng)絡(luò)流量信息統(tǒng)計(jì)和分析功能，能夠及時(shí)了解各種網(wǎng)絡(luò)應(yīng)用占用的網(wǎng)絡(luò)帶寬，各種業(yè)務(wù)消耗的網(wǎng)絡(luò)資源和網(wǎng)絡(luò)應(yīng)用中TopN流量的來源，可以幫助網(wǎng)絡(luò)管理員及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸，防范網(wǎng)絡(luò)病毒的攻擊，并提供豐富的網(wǎng)絡(luò)流量分析報(bào)表。1.8.10對(duì)網(wǎng)絡(luò)設(shè)備的安全管理建議通過以下措施，加強(qiáng)對(duì)網(wǎng)絡(luò)設(shè)備的安全保護(hù)，保證網(wǎng)絡(luò)穩(wěn)定的運(yùn)行。分級(jí)設(shè)置用戶口令登錄口令分為4級(jí)：參觀級(jí)、監(jiān)控級(jí)、配置級(jí)、管理級(jí)，不同的級(jí)別所能做的操作都不相同。參觀級(jí)：網(wǎng)絡(luò)診斷工具命令（ping、tracert）、從本設(shè)備出發(fā)訪問外部設(shè)備的命令（包括：Telnet客戶端、SSH客戶端、RLOGIN）等，該級(jí)別命令不允許進(jìn)行配置文件保存的操作。監(jiān)控級(jí)：用于系統(tǒng)維護(hù)、業(yè)務(wù)故障診斷等，包括display、debugging命令，該級(jí)別命令不允許進(jìn)行配置文件保存的操作。配置級(jí)：業(yè)務(wù)配置命令，包括路由、各個(gè)網(wǎng)絡(luò)層次的命令，這些用于向用戶提供直接網(wǎng)絡(luò)服務(wù)。管理級(jí)：關(guān)系到系統(tǒng)基本運(yùn)行，系統(tǒng)支撐模塊的命令，這些命令對(duì)業(yè)務(wù)提供支撐作用，包括文件系統(tǒng)、FTP、TFTP、Xmodem下載、配置文件切換命令、電源控制命令、備板控制命令、用戶管理命令、級(jí)別設(shè)置命令、系統(tǒng)內(nèi)部參數(shù)設(shè)置命令（非協(xié)議規(guī)定、非RFC規(guī)定）等。建議分級(jí)設(shè)置登錄口令，以便于對(duì)于不同的維護(hù)人員提供不同的口令。對(duì)任何方式的用戶登錄都進(jìn)行認(rèn)證建議對(duì)于各種登錄設(shè)備的方式（通過TELNET、CONSOLE口、AUX口）都進(jìn)行認(rèn)證。在默認(rèn)的情況下，CONSOLE口不進(jìn)行認(rèn)證，在使用時(shí)建議對(duì)于CONSOLE口登錄配置上認(rèn)證。對(duì)于安全級(jí)別一般的設(shè)備，建議認(rèn)證方式采用本地認(rèn)證，認(rèn)證的時(shí)候要求對(duì)用戶名和密碼都進(jìn)行認(rèn)證，配置密碼的時(shí)候要采用密文方式。用戶名和密碼要求足夠的強(qiáng)壯。對(duì)于安全級(jí)別比較高的設(shè)備，建議采用AAA方式到RADIUS或TACACS+服務(wù)器去認(rèn)證。H3C交換機(jī)支持RADIUS和TACACS+認(rèn)證協(xié)議。關(guān)閉危險(xiǎn)的服務(wù)如果在設(shè)備上不使用以下服務(wù)的時(shí)候，建議將這些服務(wù)關(guān)閉，防止那些通過這些服務(wù)的攻擊對(duì)設(shè)備的影響。禁止HDP(HuaweiDiscoveryProtocol)；禁止其他的TCP、UDPSmall服務(wù)。路由器提供一些基于TCP和UDP協(xié)議的小服務(wù)如：echo、chargen和discard。這些小服務(wù)很少被使用，而且容易被攻擊者利用來越過包過濾機(jī)制；禁止Finger、NTP服務(wù)。Finger服務(wù)可能被攻擊者利用查找用戶和口令攻擊。NTP不是十分危險(xiǎn)的，但是如果沒有一個(gè)很好的認(rèn)證，則會(huì)影響路由器正確時(shí)間，導(dǎo)致日志和其他任務(wù)出錯(cuò)；建議禁止HTTP服務(wù)。路由器操作系統(tǒng)支持Http協(xié)議進(jìn)行遠(yuǎn)端配置和監(jiān)視，而針對(duì)Http的認(rèn)證就相當(dāng)于在網(wǎng)絡(luò)上發(fā)送明文且對(duì)于Http沒有有效的基于挑戰(zhàn)或一次性的口令保護(hù)，這使得用Http進(jìn)行管理相當(dāng)危險(xiǎn)；禁止ICMP協(xié)議的IPUnreachables,Redirects,Mask－Replies；如果沒必要?jiǎng)t禁止WINS和DNS服務(wù)；禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件；禁止FTP服務(wù)，網(wǎng)絡(luò)上存在大量的FTP服務(wù)，使用不同的用戶名和密碼進(jìn)行嘗試登錄設(shè)備，一旦成功登錄，就可以對(duì)設(shè)備的文件系統(tǒng)操作，十分危險(xiǎn)。使用SNMP協(xié)議時(shí)候的安全建議在不使用網(wǎng)管的時(shí)候，建議關(guān)閉SNMP協(xié)議。出于SNMPv1/v2協(xié)議自身不安全性的考慮，建議盡量使用SNMPv3，除非網(wǎng)管不支持SNMPv3，只能用SNMPv1/v2。在配置SNMPv3時(shí)，最好既鑒別又加密，以更有效地加強(qiáng)安全。鑒別協(xié)議可通過MD5或SHA，加密協(xié)議可通過DES。在SNMP服務(wù)中，提供了ACL過濾機(jī)制，該機(jī)制適用于SNMPv1/v2/v3三個(gè)版本，建議通過訪問控制列表來限制SNMP的客戶端。SNMP服務(wù)還提供了視圖控制，可用于SNMPv1/v2/v3。建議使用視圖來限制用戶的訪問權(quán)限。在配置SNMPv1/v2的community名字時(shí)，建議避免使用public、private這樣公用的名字。并且在配置community時(shí)，將RO和RW的community分開，不要配置成相同的名字。如果不需要RW的權(quán)限，則建議不要配置RW的community。保持系統(tǒng)日志的打開H3C交換機(jī)的系統(tǒng)日志會(huì)記錄設(shè)備的運(yùn)行信息，維護(hù)人員做了哪些操作，執(zhí)行了哪些命令。系統(tǒng)日志建議一直打開，以便于網(wǎng)絡(luò)異常的時(shí)候，查找相關(guān)的記錄，并能提供以下幾種系統(tǒng)信息的記錄功能:access-list的log功能：在配置access-list時(shí)加入log關(guān)鍵字，可以在交換機(jī)處理相應(yīng)的報(bào)文時(shí)，記錄報(bào)文的關(guān)鍵信息；關(guān)鍵事件的日志記錄：對(duì)于如接口的UP、DOWN以及用戶登錄成功、失敗等信息可以作記錄；Debug信息：用來對(duì)網(wǎng)絡(luò)運(yùn)行出現(xiàn)的問題進(jìn)行分析。1.9業(yè)務(wù)功能支撐及存儲(chǔ)核心數(shù)據(jù)庫應(yīng)用：考量節(jié)能環(huán)保、未來可靈活擴(kuò)展及營(yíng)運(yùn)維護(hù)成本等因素，主要數(shù)據(jù)庫應(yīng)用建議運(yùn)行于5臺(tái)高配高性能平臺(tái)服務(wù)器。為了讓醫(yī)院的HIS系統(tǒng)能夠穩(wěn)定運(yùn)行，需要采用虛擬化的方式，采用2臺(tái)高配置服務(wù)器，構(gòu)建可靈活擴(kuò)展的虛擬化平臺(tái)，并提供更多的虛擬資源，提高整體資源的利用率。醫(yī)院PACS采用1臺(tái)高配服務(wù)器，其余系統(tǒng)采用1臺(tái)高配服務(wù)器。1.10主要設(shè)備介紹1.10.1內(nèi)網(wǎng)核心交換機(jī)技術(shù)參數(shù)：屬性S7506E交換容量16.36Tbps/25.6TbpsIPv4包轉(zhuǎn)發(fā)率2880Mpps/12000Mpps槽位數(shù)量8業(yè)務(wù)槽位數(shù)量6二層特性支持IEEE801.1P(CoS優(yōu)先級(jí))支持IEEE801.1Q（VLAN）支持IEEE801.1d（STP）/801.1w（RSTP）/801.1s（MSTP）支持IEEE801.1ad（QinQ），靈活QinQ和Vlanmapping支持IEEE801.3x（全雙工流控）和背壓式流控（半雙工）支持IEEE801.3ad（鏈路聚合）和跨板鏈路聚合支持IEEE801.3（10Base-T）/801.3u（100Base-T）支持IEEE801.3z（1000BASE-X）/801.3ab（1000BaseT）支持IEEE801.3ae（10Gbase）支持IEEE801.3af（PoE）支持IEEE801.3at（PoE+）支持RRPP（快速環(huán)網(wǎng)保護(hù)協(xié)議）支持跨板端口/流鏡像支持端口廣播/多播/未知單播風(fēng)暴抑制支持JumboFrame支持基于端口、協(xié)議、子網(wǎng)和MAC的VLAN劃分支持SuperVLAN支持PVLAN支持MulticastVLAN+支持點(diǎn)到點(diǎn)單VLAN交叉連接、雙VLAN交叉連接全部依靠VLAN-ID進(jìn)行轉(zhuǎn)發(fā)，不涉及MAC地址學(xué)習(xí)支持最大VLANMAPING/靈活QinQ表項(xiàng)全面支持VLANMAPPING能力支持GVRP支持LLDPIPv4路由特性支持ARPProxy支持DHCPRelay支持DHCPServer支持靜態(tài)路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGPGR(GracefulRestart優(yōu)雅重啟)支持等價(jià)路由支持策略路由支持路由策略IPv6路由特性支持ICMPv6支持ICMPv6重定向支持DHCPv6支持ACLv6支持OSPFv3支持RIPng支持BGP4+支持IS-ISv6支持手工隧道支持ISATAP支持6to4隧道支持IPv6和IPv4雙棧組播支持IGMPv1/v2/v3支持IGMPv1/v2/v3Snooping支持IGMPFilter支持IGMPFastleave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持AnyCast-RP支持MLDv2/MLDv2Snooping支持PIM-SMv6、PIM-DMv6、PIM-SSMv6ACL/QoS支持標(biāo)準(zhǔn)和擴(kuò)展ACL支持基于VLAN的ACL支持Ingress/EgressACL支持Ingress/EgressCAR，粒度可達(dá)8Kbps支持兩級(jí)Meter能力支持VLAN聚合CAR，MAC聚合CAR功能支持流量整形（TrafficShaping）支持801.1P/DSCP優(yōu)先級(jí)Mark/Remark支持層次化QoS（H-QoS），支持三級(jí)隊(duì)列調(diào)度支持隊(duì)列調(diào)度機(jī)制，包括SP、WRR、SP+WRR、CBWFQ支持擁塞避免機(jī)制，包括Tail-Drop、WRED支持MirroringSDN/支持OPENFLOW1.3標(biāo)準(zhǔn)OPENFLOW支持多控制器（EQUAL模式、主備模式）支持多表流水線支持Grouptable支持MeterVXLAN支持VXLAN二層交換支持VXLAN路由交換支持VXLAN網(wǎng)關(guān)支持IS-IS+ENDP的VXLAN分布式控制平面支持OpenFlow+Netconf的VXLAN集中式控制平面MPLS/VPLS支持L3MPLSVPN支持L2VPN:VLL(Martini,Kompella)支持MCE支持MPLSOAM支持VPLS,VLL支持分層VPLS，以及QinQ+VPLS接入支持P/PE功能支持LDP協(xié)議安全機(jī)制支持EAD安全解決方案支持Portal認(rèn)證支持MAC認(rèn)證支持IEEE801.1x和IEEE801.1xSERVER支持AAA/Radius支持HWTACACS,支持命令行認(rèn)證支持SSHv1.5/SSHv2支持ACL流過濾機(jī)制支持OSPF、RIPv2及BGPv4報(bào)文的明文及MD5密文認(rèn)證支持命令行采用分級(jí)保護(hù)方式，防止未授權(quán)用戶的非法侵入，為不同級(jí)別的用戶有不同的配置權(quán)限支持受限的IP地址的Telnet的登錄和口令機(jī)制支持IP地址、VLANID、MAC地址和端口等多種組合綁定支持uRPF支持主備數(shù)據(jù)備份機(jī)制支持故障后報(bào)警和自恢復(fù)支持?jǐn)?shù)據(jù)日志系統(tǒng)管理支持FTP、TFTP、Xmodem支持SNMPv1/v2/v3支持sFlow流量統(tǒng)計(jì)支持RMON支持NTP時(shí)鐘支持NetStream流量統(tǒng)計(jì)功能支持電源智能管理，支持801.3az高效節(jié)能以太網(wǎng)支持設(shè)備在線狀態(tài)監(jiān)測(cè)機(jī)制，實(shí)現(xiàn)對(duì)包括主控引擎，背板，芯片和存儲(chǔ)等關(guān)鍵元器件進(jìn)行檢測(cè)可靠性支持主控板1+1冗余備份支持電源1+1冗余備份采用無源背板設(shè)計(jì)所有單板支持熱插拔支持CPU保護(hù)技術(shù)支持VRRP支持EthernetOAM（801.1ag和801.3ah）支持MACTracert支持RPR支持RRPP、ERPS支持GracefulRestartforOSPF/BGP/IS-IS支持DLDP支持VCT支持Smart-Link支持熱補(bǔ)丁環(huán)境要求溫度范圍：0℃～45℃相對(duì)濕度：10%～95%（非凝結(jié)）安規(guī)和EMC認(rèn)證通過了CE、FCCPART15、TUV-GS、UL-CUL、ICES003和VCCI的認(rèn)證電源DC：–48V～–60VAC：100V～240V外形尺寸（寬×高×深）(mm)436x575x420滿配重量(kg)≤77kg1.10.2防火墻項(xiàng)目NS-SecPathF1020接口1個(gè)配置口（CON）主機(jī)自帶8個(gè)千兆光口+16個(gè)千兆電口+2個(gè)萬兆光口擴(kuò)展槽位2（F1020一個(gè)擴(kuò)展槽）擴(kuò)展板卡類型4千兆PFC接口模塊存儲(chǔ)介質(zhì)2*500G硬盤環(huán)境溫度工作：0～45℃非工作：-40～70℃運(yùn)行模式路由模式、透明模式、混雜模式AAA服務(wù)Portal認(rèn)證、RADIUS認(rèn)證、HWTACACS認(rèn)證、PKI/CA（X.509格式）認(rèn)證、域認(rèn)證、CHAP驗(yàn)證、PAP驗(yàn)證防火墻SOP虛擬防火墻技術(shù)，支持CPU、內(nèi)存、存儲(chǔ)硬件資源劃分的完全虛擬化安全區(qū)域劃分可以防御Land、Smurf、Fraggle、PingofDeath、TearDrop、IPSpoofing、IP分片報(bào)文、ARP欺騙、ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法超大ICMP報(bào)文、地址掃描、端口掃描、SYNFlood、UPDFlood、ICMPFlood、DNSFlood等多種惡意攻擊基礎(chǔ)和擴(kuò)展的訪問控制列表基于時(shí)間段的訪問控制列表基于用戶、應(yīng)用的訪問控制列表ASPF應(yīng)用層報(bào)文過濾靜態(tài)和動(dòng)態(tài)黑名單功能MAC和IP綁定功能基于MAC的訪問控制列表支持801.1qVLAN透?jìng)鞑《痉雷o(hù)基于病毒特征進(jìn)行檢測(cè)支持病毒庫手動(dòng)和自動(dòng)升級(jí)報(bào)文流處理模式支持HTTP、FTP、SMTP、POP3協(xié)議支持的病毒類型：Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等支持病毒日志和報(bào)表深度入侵防御支持對(duì)黑客攻擊、蠕蟲/病毒、木馬、惡意代碼、間諜軟件/廣告軟件、DoS/DDoS等常見的攻擊防御支持緩沖區(qū)溢出、SQL注入、IDS/IPS逃逸等攻擊的防御支持攻擊特征庫的分類（根據(jù)攻擊類型、目標(biāo)機(jī)系統(tǒng)進(jìn)行分類）、分級(jí)（分高、中、低、提示四級(jí)）支持攻擊特征庫的手動(dòng)和自動(dòng)升級(jí)（TFTP和HTTP）支持對(duì)BT等P2P/IM識(shí)別和控制郵件/網(wǎng)頁/應(yīng)用層過濾郵件過濾SMTP郵件地址過濾郵件標(biāo)題過濾郵件內(nèi)容過濾郵件附件過濾網(wǎng)頁過濾HTTPURL過濾HTTP內(nèi)容過濾應(yīng)用層過濾JavaBlockingActiveXBlockingSQL注入攻擊防范NAT支持多個(gè)內(nèi)部地址映射到同一個(gè)公網(wǎng)地址支持多個(gè)內(nèi)部地址映射到多個(gè)公網(wǎng)地址支持內(nèi)部地址到公網(wǎng)地址一一映射支持源地址和目的地址同時(shí)轉(zhuǎn)換支持外部網(wǎng)絡(luò)主機(jī)訪問內(nèi)部服務(wù)器支持內(nèi)部地址直接映射到接口公網(wǎng)IP地址支持DNS映射功能可配置支持地址轉(zhuǎn)換的有效時(shí)間多種NATALG，包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等VPNL2TPVPN、IPSecVPN、GREVPN、SSLVPNIPv6基于IPv6的狀態(tài)防火墻及攻擊防范IPv6協(xié)議：IPv6轉(zhuǎn)發(fā)、ICMPv6、PMTU、Ping6、DNS6、TraceRT6、Telnet6、DHCPv6Client、DHCPv6Relay等IPv6路由：RIPng、OSPFv3、BGP4+、靜態(tài)路由、策略路由、PIM-SM、PIM-DM等IPv6安全：NAT-PT、IPv6Tunnel、IPv6PacketFilter、Radius、IPv6域間策略、IPv6連接數(shù)限制等高可靠性支持SCF2:1虛擬化支持雙機(jī)狀態(tài)熱備（Active/Active和Active/Backup兩種工作模式）支持雙機(jī)配置同步支持IPSecVPN的IKE狀態(tài)同步支持VRRP易維護(hù)性支持基于命令行的配置管理支持Web方式進(jìn)行遠(yuǎn)程配置管理支持H3CSSM安全管理中心進(jìn)行設(shè)備管理支持標(biāo)準(zhǔn)網(wǎng)管SNMPv3，并且兼容SNMPv1和v2智能安全策略環(huán)保與認(rèn)證支持歐洲嚴(yán)格的RoHS環(huán)保認(rèn)證1.10.3外網(wǎng)核心交換機(jī)華三LS-5560-30F-EI技術(shù)參數(shù)：主要參數(shù)\o""產(chǎn)品·類型千兆以太網(wǎng)交換機(jī)\o""傳輸速率10/100/1000Mbps交換方式存儲(chǔ)-轉(zhuǎn)發(fā)背板帶寬256Gbps包轉(zhuǎn)發(fā)率96Mpps端口參數(shù)\o""端口結(jié)構(gòu)非模塊化端口數(shù)量28個(gè)端口描述24個(gè)100/1000Base-X千兆光口（8*Combo口）4個(gè)10GBASE-XSFP+萬兆光口\o""傳輸模式全雙工/半雙工自適應(yīng)功能特性\o""堆疊功能可堆疊VLAN支持基于端口的VLAN支持基于協(xié)議的VLAN支持QinQ，靈活QinQ支持VLANMapping支持VoiceVLAN支持GuestVLANQOS支持對(duì)端口接收?qǐng)?bào)文的速率和發(fā)送報(bào)文的速率進(jìn)行限制支持報(bào)文重定向每個(gè)端口支持8個(gè)輸出隊(duì)列支持端口隊(duì)列調(diào)度（SP、WRR、SP+WRR）支持報(bào)文的801.1p和DSCP優(yōu)先級(jí)重新標(biāo)記組播管理支持IGMPSnooping/MLDSnooping支持組播VLAN網(wǎng)絡(luò)管理支持XModem/FTP/TFTP加載升級(jí)支持命令行接口（CLI），Telnet，Console口進(jìn)行配置支持SNMPv1/v2/v3，WEB網(wǎng)管支持RMON告警、事件、歷史記錄支持iMC智能管理中心支持系統(tǒng)日志，分級(jí)告警，調(diào)試信息輸出支持NTP支持Ping、Tracert支持VCT電纜檢測(cè)功能支持DLDP單向鏈路檢測(cè)協(xié)議支持Loopback-detection端口環(huán)回檢測(cè)支持電源、風(fēng)扇、溫度告警支持CPU防護(hù)支持BFD安全管理支持用戶分級(jí)管理和口令保護(hù)支持801.1X認(rèn)證/集中式MAC地址認(rèn)證支持GuestVLAN支持RADIUS認(rèn)證支持SSH1.0支持端口隔離支持端口安全支持MAC地址學(xué)習(xí)數(shù)目限制支持IP源地址保護(hù)支持ARP入侵檢測(cè)功能支持IP+MAC+端口多元組綁定支持EAD其它參數(shù)電源電壓AC100-240V，50-60HzDC-36-72V電源功率靜態(tài)：AC30W，DC38W滿載：AC60W，DC68W產(chǎn)品尺寸440×360×43.6mm環(huán)境標(biāo)準(zhǔn)工作溫度：0-40℃工作濕度：5%-95%（無凝結(jié)）其它參數(shù)鏈路聚合：支持GE/10GE端口聚合；支持動(dòng)態(tài)聚合；支持跨設(shè)備聚合端口特性：支持IEEE801.3x流量控制（全雙工）；支持基于端口速率百分比的風(fēng)暴抑制；支持基于PPS/BPS的風(fēng)暴抑制IRF2：支持IRF2智能彈性架構(gòu)；支持通過標(biāo)準(zhǔn)以太網(wǎng)接口進(jìn)行堆疊；支持本地堆疊和遠(yuǎn)程堆疊；支持分布式設(shè)備管理，分布式鏈路聚合IP路由：支持靜態(tài)路由；支持RIPv1/v2、RIPng；支持OSPFv1/v2，OSPFv3；支持VRRP/VRRPv3其它特點(diǎn)DHCP：支持DHCPClient；支持DHCPSnooping；支持DHCPSnoopingoption82；支持DHCPRelay；支持DHCPServer；支持DHCPauto-config（零配置）二層環(huán)網(wǎng)協(xié)議：支持STP/RSTP/MSTP/PVST；支持RRPPOAM：支持801.1ag；支持801.3ah鏡像：支持端口鏡像；支持遠(yuǎn)程端口鏡像RSPAN；支持流鏡像綠色節(jié)能：支持EEE(801.3az)；支持端口自動(dòng)Powerdown功能；支持端口定時(shí)down功能（Schedulejob）保修信息保修政策全國聯(lián)保，享受三包服務(wù)質(zhì)保時(shí)間1年質(zhì)保備注1年免費(fèi)保修客服電話400-810-0504電話備注24小時(shí)電話服務(wù)1.10.4智能網(wǎng)核心交換機(jī)華三LS-5800-32F-H3技術(shù)參數(shù)：主要參數(shù)\o""產(chǎn)品類型萬兆以太網(wǎng)交換機(jī)\o""應(yīng)用層級(jí)三層\o""傳輸速率10/100/1000Mbps交換方式存儲(chǔ)-轉(zhuǎn)發(fā)包轉(zhuǎn)發(fā)率156MppsMAC地址表32K端口參數(shù)\o""端口結(jié)構(gòu)非模塊化端口數(shù)量28個(gè)端口描述24個(gè)100/1000MSFP端口，4個(gè)1/10GSFP+端口控制端口1個(gè)Console口1個(gè)帶外網(wǎng)管口擴(kuò)展模塊1個(gè)業(yè)務(wù)槽位數(shù)\o""傳輸模式全雙工/半雙工自適應(yīng)功能特性網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE801.3，IEEE801.3u，IEEE801.3ab，IEEE801.3z，ANSI/IEEE801.3，IEEE801.3xVLAN支持基于端口、協(xié)議、MAC、IP子網(wǎng)的VLAN支持QinQ和靈活QinQ支持VoiceVLANQOS支持L2-L4包過濾功能支持時(shí)間段的包過濾支持大容量雙向ACL支持對(duì)端口接收?qǐng)?bào)文的速率和發(fā)送報(bào)文的速率進(jìn)行限制支持報(bào)文重定向每個(gè)端口支持8個(gè)輸出隊(duì)列支持靈活的隊(duì)列調(diào)度算法，可以同時(shí)基于端口和隊(duì)列進(jìn)行設(shè)置，支持SP、WDRR、WFQ、SP+WDRR四種模式支持報(bào)文的801.1p和DSCP優(yōu)先級(jí)重新標(biāo)記支持WRED擁塞避免機(jī)制組播管理支持IGMPSnoopingv2/v3支持IGMPv1/v2/v3支持組播VLAN、組播VLAN+支持組播策略支持MLDSnoopingv1/v2支持MLDv1/v2網(wǎng)絡(luò)管理支持命令行接口（CLI）、Telnet、Console口進(jìn)行配置支持SNMPv1/v2/v3支持RMON（RemoteMonitoring）告警、事件、歷史記錄支持iMC網(wǎng)管系統(tǒng)、支持WEB網(wǎng)管支持系統(tǒng)日志、分級(jí)告警支持集群管理HGMPv2支持電源的告警功能支持風(fēng)扇、溫度告警支持NTP安全管理支持用戶分級(jí)管理和口令保護(hù)支持AAA認(rèn)證、RADIUS認(rèn)證支持MAC地址認(rèn)證、801.1x認(rèn)證、portal認(rèn)證支持HWTACACS支持SSH1.0支持IP+MAC+端口綁定支持IPSourceGuard支持HTTPs、SSL支持PKI支持EAD支持ARPDetection功能支持DHCPSnooping，防止欺騙的DHCP服務(wù)器支持BPDUguard，Rootguard支持OSPF、RIPv2報(bào)文的明文及MD5密文認(rèn)證其它參數(shù)電源電壓AC100-240V，50-60HzDC-48--60V電源功率空載DC58W，AC67W，滿載DC136W，AC146W產(chǎn)品尺寸441×427×43.6mm產(chǎn)品重量8.5環(huán)境標(biāo)準(zhǔn)工作溫度：0-45℃工作濕度：10%-90%（非凝露）保修信息保修政策全國聯(lián)保，享受三包服務(wù)質(zhì)保時(shí)間1年質(zhì)保備注1年免費(fèi)保修客服電話400-810-0504電話備注24小時(shí)電話服務(wù)1.10.5接入交換機(jī)技術(shù)參數(shù)：特性S5130-28TP-EIS5130-52TP-EIS5130-28TP-PWR-EI整機(jī)交換容量256Gbps/1.56Tbps包轉(zhuǎn)發(fā)率96Mpps132Mpps96Mpps固定端口24*10/100/1000Base-T電口48*10/100/1000Base-T電口24*10/100/1000Base-T電口4*10GBASE-XSFP+萬兆光口4*10GBASE-XSFP+萬兆光口4*10GBASE-XSFP+萬兆光口24*10/100/1000Base-T電口48*10/100/1000Base-T電口24*10/100/1000Base-T電口2*10GBASE-XSFP+萬兆光口，2*10GBASE-T萬兆電口2*10GBASE-XSFP+萬兆光口，2*10GBASE-T萬兆電口2*10GBASE-XSFP+萬兆光口，2*10GBASE-T萬兆電口鏈路聚合支持GE/10GE端口聚合支持動(dòng)態(tài)聚合支持跨設(shè)備聚合端口特性支持IEEE801.3x流量控制（全雙工）支持基于端口速率百分比的風(fēng)暴抑制支持基于PPS/BPS的風(fēng)暴抑制IRF2支持IRF2智能彈性架構(gòu)支持通過標(biāo)準(zhǔn)以太網(wǎng)接口進(jìn)行堆疊支持本地堆疊和遠(yuǎn)程堆疊支持分布式設(shè)備管理，分布式鏈路聚合IRF3支持PE（PortExtender，端口擴(kuò)展）模式PE模式下支持本地轉(zhuǎn)發(fā)和縱向轉(zhuǎn)發(fā)模式切換支持自動(dòng)從CB（ControllingBridge，控制橋）更新版本零配置SDN/支持OpenFlow1.3標(biāo)準(zhǔn)Openflow支持多控制器（EQUAL模式、主備模式）支持多表流水線支持Grouptable支持MeterVLAN支持基于端口的VLAN支持基于MAC的VLAN基于協(xié)議的VLAN支持QinQ，靈活QinQ支持VLANMapping支持VoiceVLAN支持GVRPACL支持L2（Layer2）~L4（Layer4）包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口、協(xié)議類型、VLAN的流分類支持時(shí)間段（TimeRange）ACL支持基于端口、VLAN、全局下發(fā)ACL支持雙向ACLQoS支持對(duì)端口接收?qǐng)?bào)文的速率和發(fā)送報(bào)文的速率進(jìn)行限制支持報(bào)文重定向支持CAR（CommittedAccessRate）功能每個(gè)端口支持8個(gè)輸出隊(duì)列支持端口隊(duì)列調(diào)度（SP、WRR、SP+WRR）支持報(bào)文的801.1p和DSCP優(yōu)先級(jí)重新標(biāo)記DHCP支持DHCPClient支持DHCPSnooping支持DHCPSnoopingoption82支持DHCPRelay支持DHCPServer支持DHCPauto-config（零配置CWMP-TR069）流量統(tǒng)計(jì)支持SFLOWIP路由支持IPv4靜態(tài)路由、RIPv1/v2支持IPv6靜態(tài)路由、RIPng支持OSPFv1/v2，OSPFv3組播支持IGMPSnooping/MLDSnooping支持組播VLAN二層環(huán)網(wǎng)協(xié)議支持STP/RSTP/MSTP/PVST支持G.8032以太網(wǎng)環(huán)網(wǎng)協(xié)議ERPS支持SmartLink支持RRPPOAM支持801.1ag支持801.3ah鏡像支持端口鏡像支持遠(yuǎn)程端口鏡像RSPAN支持流鏡像安全特性支持用戶分級(jí)管理和口令保護(hù)支持801.1X認(rèn)證/集中式MAC地址認(rèn)證支持Triple認(rèn)證支持GuestVLAN支持RADIUS認(rèn)證支持SSH1.0支持端口隔離支持端口安全支持MAC地址學(xué)習(xí)數(shù)目限制支持IP源地址保護(hù)支持ARP入侵檢測(cè)功能支持IP+MAC+端口多元組綁定支持EAD管理與維護(hù)支持XModem/FTP/TFTP加載升級(jí)支持命令行接口（CLI），Telnet，Console口進(jìn)行配置支持SNMPv1/v2/v3，WEB網(wǎng)管支持RMON告警、事件、歷史記錄支持iMC智能管理中心支持系統(tǒng)日志，分級(jí)告警，調(diào)試信息輸出支持HGMPv2支持NTP支持Ping、Tracert支持VCT電纜檢測(cè)功能支持DLDP單向鏈路檢測(cè)協(xié)議支持Loopback-detection端口環(huán)回檢測(cè)支持電源、風(fēng)扇、溫度告警支持BFD支持H3CUISManager統(tǒng)一管理軟件,可提供跨服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)以及虛擬化的全融合管理，簡(jiǎn)化部署安裝，優(yōu)化運(yùn)維管理綠色節(jié)能支持EEE(801.3az)端口自動(dòng)Powerdown功能端口定時(shí)down功能（Schedulejob）功耗靜態(tài)：19W靜態(tài)：AC:30WDC:38W靜態(tài)：25W滿載：26W滿載：AC:60WDC:68W滿載：230W（PoE輸出180W）輸入電壓額定電壓范圍：100V～240VA.C，50/60Hz額定電壓范圍：AC：100V～240V50/60HzDC：-36V~-72V額定電壓范圍：AC：100V～240VDC：-54V~-57V外形尺寸（寬×深×高）（單位：mm）440×160×43.6440×260×43.6440×360×43.6工作環(huán)境相對(duì)濕度（非凝露）5%～95%1.10.6無線AP硬件規(guī)格屬性WA5320重量0.50kg尺寸(不包含天線接口和附件)170mmx170mmX35mm千兆以太網(wǎng)口2個(gè)PoE支持801.3af/801.3at兼容供電，支持本地供電Console口1個(gè)USB口1個(gè)天線WA5320E4個(gè)RP-SMA型射頻接口/WA5320內(nèi)置天線工作頻段801.11ac/n/a:5.725GHz-5.850GHz;5.15~5.35GHz(中國)801.11b/g/n:1.4GHz-1.483GHz(中國)調(diào)制技術(shù)OFDM:BPSK@6/9Mbps、QPSK@12/18Mbps、16-QAM@24Mbps、64-QAM@48/54MbpsDSSS:DBPSK@1Mbps、DQPSK@2Mbps、CCK@5.5/11MbpsMIMO-OFDM(11n):MCS0-31MIMO-OFDM(11ac):MCS0-39調(diào)制方式11b:DSS:CCK@5.5/11Mbps,DQPSK@2Mbps,DBPSK@1Mbps11a/g:OFDM:64QAM@48/54Mbps,16QAM@24Mbps,QPSK@12/18Mbps,BPSK@6/9Mbps11n:MIMO-OFDM