资源描述
兰州市第二人民医院新建大楼网络规划设计二零一五年十一月第1章概述1.1. 医院简介1.2. 医院新大楼网络接入简述1.3. 需求分析1.3.1 安全网络1.3.2 可控接入1.3.3 可管理网络1.3.4 高性价比网络1.4. 建设内容第2章医院新大楼网络建设规划2.1. 网络建设原则2.1.1 网络资源的高可用性2.1.2 网络的高可靠性2.1.3 网络的高扩展性2.1.4 网络的高安全性2.1.5 网络的易管理性江医院新大楼网络建议方案简介2.2. 1此次方案设计拓朴如下图:江方案设计思想:1.1.1 对干疾B完新大榜的核心方换机设计1.1.2 接入交换机设计1.1.3 网络拓扑的设计1.1.4 对于服务器系统的接入设计2.4. VLAN解决方案2.4.1 基于端口的VLAN划分2.5. IP地址的规划方案设计2.5.1 地址规划的基本思想2.5.2 IP地址的分配计划2.6. 产品选型2.6.1 核心交换机的选择2.6.2 接入交换机的选择第3章方案配置及其报价第4章成功应用案例4.1 行业成功案例:4.2 广西成功案例第5章H3c网络产品介绍5.1H3CS7500E系列高端多业务路由交换机第6章H3cS3100-26C-SI以太网交换机第7章VRRP技术专题介绍7.1 VRRP基本概念7.2 VRRP的实现7.3 VRRP的功能特点7.4 组网应用7.5 结论第1章概述1.1. 兰州市第二人民医院简介兰州市第二人民医院创建于1958年5月,前身是某市妇幼保健所,1980年扩大规模改名为兰州市第二人民医院,1997年在全区妇幼卫生系统率先通过二级甲等医院评审。经过约半个世纪的风雨洗礼和几代妇幼人的不懈努力,现已发展成为集保健、医疗、科研、教学为一体的市级妇幼保健专科医院,承担着某市(含六县)妇女儿童的保健、医疗任务,是全市妇幼保健业务指导中心。医院建筑面积45670.72平方米,编制床位300张,开放床位170张,现有职工619人,其中高级职称42人、中级职称137人,设置职能科室9个、保健及临床业务科室20个。年门诊量逾46万人次、年收治住院1.3万余人次,年接产量4000余人,居全区医院产科之首。医院始终坚持妇幼卫生工作方针,贯彻一法两纲,在全市“降消”等项目指导督查、妇幼信息和三网监测管理、爱婴医院培训指导、产科质量检查、推广适宜技术、健康教育和出生医学证明管理、基层人员培训、集体儿童保健管理等方面充分发挥了妇幼保健业务指导中心的作用,为某市市妇幼保健事业的发展做出了较大的贡献。医院立足于为妇女儿童服务,以群体保健为基础,以产、儿科为龙头,不断拓展业务内涵,加快学科发展,形成了完整的婚前保健、孕产期保健、产前诊断、产后康复、妇女保健、儿童保健、遗传优生及生殖保健服务体系。临床妇科、产科、儿科、新生儿科、小儿外科、生殖助孕中心业务已在桂中地区形成一定的专科影响,是广西较有影响的妇科内窥镜应用基地、全区首家市级产前诊断准入单位、妇幼机构首家PCR实验室国家认证单位,某市市唯一通过国家卫生部辅助生殖技术资质评审的单位、全市妇女疾病治疗中心、高危孕产妇治疗和危重症抢救中心及早产儿护理抢救中心、某市市新生儿筛查中心。开展的生殖助孕技术(试管婴儿临床妊娠成功率达42.2%)、小儿先天性心脏病外科手术治疗等已走在全区先进行列。医院拥有先进的十六排螺旋CT、中C臂、乳腺铝靶机、CR实时四维彩超、心(腹)部彩色B超、电视宫(腹)腔镜、电子阴道镜、肌瘤聚焦消融机、婴儿高压氧舱、儿童呼吸机、高档麻醉机、儿童中心监护站、产妇中心监护站、妇女及儿童骨密度检测仪、多频稳态机、全自动生化分析仪、全自动血气分析仪、全自动五分类血细胞分析仪、时间分辨仪、酶标仪、细胞遗传工作站、基因诊断仪、进口牙科综合治疗椅、眼科手术显微镜等现代化的医疗设备,为学科发展提供了良好的硬件基础。医院与时俱进,转变观念,坚持服务宗旨,狠抓行风建设,大力抓科技进步,大胆进行人事分配制度改革,树立了较好的社会形象。近年来评上省级、市级科技成果进步奖20多项。先后被授予全国“三优工程”先进单位、全国卫生系统先进集体、全国百姓放心医院、国家级“三八”红旗集体、自治区先进基层党组织、自治区妇幼工作先进单位、自治区爱婴医院先进单位、自治区级文明单位、自治区级绿色环保医院、自治区级“巾帼文明岗”等称号,并获某市行风建设先进单位、某市科研管理一等奖等多项表彰。目前市二人民医院兴建的20层新大楼。需要构建一个新的楼层局域网络。实现与原有网络的无缝融合接入。用户需求是网络设计的依据,建立在确切需求之上的网络系统才是用户所真正需要的。在某市医院局域网网络系统设计中,我们力求做到最细致地了解和分析用户的需求,量体裁衣,以便针对需求设计出符合某市医院应用特点的网络系统。1.2. 市第二人民医院新大楼网络接入简述根据市二医院的需求,需要建设一个支持医院数字化、网络化、自动化的国内先进的基础网络平台,满足数字化医院建设的需要,也满足医院信息化建设的长期要求。网络平台具有较好的服务质量、较高安全性、便于管理和维护,能够支持医院的各种办公、医疗和科研应用,也支持移动办公、信息发布、网上医疗与医学科研合作。接入层支持百兆到桌面,核心层支持全千兆并且具有向万兆速率平滑扩容的能力。网络关键节点能够冗余热备保障系统连续稳定运行。具有高带宽、高可靠、高性能、高安全的特性。1.3. 需求分析本次工程的总体任务如下:充分考虑兰州市第二人民医院工作的新需要、新应用,按照相关系统的国家标准,设计出符合本工程实际的建设方案。方案应以“先进、实用、经济、合理,用管两便、安全可靠,易于扩展”的指导思想为原则,采用先进成熟的主流技术,充分考虑新建系统的可扩充性和与原有系统的兼容性,并体现科学规划、合理布局、预留充分、应用方便的特点,达到现代化、高效、舒适、安全、节能的人文办公环境的要求。在提出完整可行的建设方案的前提下,有效地组织施工,完成整个某市医院新大楼网络系统的建设。网络系统建设应该符合如下要求:1.3.1 安全网络医院信息化工作的特殊性,对网络与信息安全提出了很高的要求。由于安全性的要求与投入成正比,并且涉及管理与应用的方方面面,是一个复杂的系统工程,实际上没有一个绝对安全的系统,安全只是相对而言,所以该原则是充分评估安全风险,制定安全策略,采取必要的安全措施。其次,局域网内部同样面临安全威胁,不同部门、不同类型的应用、不同的人员、不同的工作范围决定了不同的权限,我们需要保障这种不同。VLAN、VPN技术、ACL等网络技术提供不同形式层次的保护,同时可以将防火墙、IPS/IDS引入,实现更全面的内网安全。第三,接入安全,接入设备可以通过各种认证技术,比如802.1x、RADIUS、EAPOL等,将安全威胁屏蔽在网络之外。另外,防病毒也是网络安全建设必须考虑的重要问题,独立的防病毒软件已不能防范在网络中传输的病毒,只有网络设备的介入,才能更好的抵御病毒的攻击,保护信息安全。我们需要安全联动解决方案。H3C公司的安全产品体系完备,可以为某市医院信息化保驾护航。1.3.2 可控接入伴随着网络应用技术的快速发展,网络信息安全问题也日益突出。病毒泛滥、系统漏洞、黑客攻击等诸多问题,已经直接影响到医院的正常运营。如何应对网络安全威胁,确保医院网络安全,为医院办公的正常运行提供可靠的网络保障,已经是每一个决策者不得不关注得问题,也是每一个网络管理员不得不面对的挑战。目前,多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。在医院网中,用户终端不及时升级系统补丁和病毒库的现象普遍存在;私设代理服务器、私自访问外部网络、滥用政府禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证医院网络安全运行的前提,也是目前医院网络安全管理急需解决的问题。1.3.3 可管理网络网络管理维护网络建设中非常重要的环节,甚至是最重要的环节,因为建设网络的目的最终是为了使用,而网络管理无疑是保障我们高效、可靠使用网络的必要手段。随着技术的进步,网络管理内容和方式已在发生着变化,除了生成拓扑图、配置网络设备、监控网络流量、实时统计和事件报警等基本功能之外,增加了很多新的功能,比如VPN实施,安全认证、安全策略下发、用户跟踪等等。同时,如何灵活、安全地管理网络,也是网络管理发展的重要方向。这一变化使得网络管理地位更加重要。H3C公司的网络管理方案,针对不同规模的网络、不同应用环境量身定做,高效管理网络的同时,可以提高网络的使用效率,降低网络维护成本,是医院信息化建设的重要组成。1.3.4 高性价比网络满足应用的同时,高性价比是网络建设的不二选择最后,我们强调,系统设计要符合局域网现在和未来35年内的需求,不能盲目追求大而全,以最少的投资创造实际需要的功能。1.4. 建设内容市医院新大楼网络系统建设,对于总体的系统结构要求必须满足如下条件:所有网络建设都是为了更好服务于客户的实际应用。保证如财务管理、各种收费、药品药库管理、OA以及临床的信息化,如PACSLIS、手术室、麻醉图形处理等应用的畅通无阻。简化网络的管理和维护,将精力专注于应用。实用性、先进性、扩展性和标准化的结合面向应用,注重实效,确保网络建设能够切合实际,满足使用要求网络体系结构具有开放性,协议遵循国际标准具有良好的可扩展性,为系统升级提供一个良好的途径系统结构合理、安全可靠系统结构有良好的分层设计,结构清晰合理从各种方面综合保证网络的可靠性各种设备易于管理和维护局域网建成之后应符合以下要求:充分利用现有计算机网络设备,保护先期投资,并与新增网络设备充分结合共同组成一套高效率、高性能、高稳定性的网络系统。网络主干采用光纤1000M技术,实现与各楼层、主楼内网交换机间的高速连接;实现100/1000M到桌面;实现核心交换机对服务器的1000M连接;内网核心交换机采用双机热备结构。网络中使用的设备和协议应完全符合国际通用的技术标准,网络核心支持IPV6协议;在网络中使用网络管理软件来管理所有网络设备,对网络设备及VLAN等进行直观、灵活的配置,提供完整的网络拓扑图,可以根据网络的流量等情况做出分析和建议,内外网各设置一套,并可在中心控制室内结合综合控制系统管理和控制整个网络。第2章兰州市第二人民医院新建大楼网络规划设计1.1. 网络建设原则局域网网络系统设计将严格遵守各种相关的技术原则,遵循各种相关的技术标准和规范,整个网络系统设计严格按照以下原则进行:先进性和实用性采用先进成熟的技术满足内部应用系统的需求,兼顾其他相关的管理需求,尽可能采用先进的网络技术以适应更高的数据、语音、视频(多媒体)的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要安全性和可靠性为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。要对网络结构、网络设备等各个方面进行高可靠性的设计和建设。在网络设计上应采用硬件备份、冗余等可靠性技术提高整个网络系统的可靠性。灵活性和可扩展性计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据不断深入发展的需要,方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种应用系统的能力,提供技术升级、设备更新的灵活性。开放性和互连性具备与多种协议计算机通信网络互连互通的特性,确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放,基于开放式标准,包括各种局域网、广域网等,坚持统一规范的原则,从而为未来的发展奠定基础。可管理性由于内部局域网本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以在网络设计中,必须建立一套全面的网络管理解决方案。网络设备必须采用智能化,可管理的设备,同时采用先进的网络管理软件,实现先进的管理。最终能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。1.1.1 网络资源的高可用性网络的建设关注整体投资回报,网络资源与应用的实用性是网络建设的根本,在此基础上考虑网络的可靠性、可扩展性、安全性以及可管理性。从两个方面考虑网络的实用性:网络的整体性能和网络运营的开销与回报。网络的性能是由应用系统的数据流量分布、网络设备性能及广域网链路带宽综合决定的。对应用系统的认真分析是网络设备选型以及广域网链路带宽选择的基础。在医院网络上运行的应用系统应综合考虑医院的HIS系统、办公系统、教学系统以及语音及视频应用,尤其在考虑语音及视频应用时应注意对链路带宽的影响。在一定的网络资源条件下,可利用各种技术实施对于关键的应用系统的保障。如通过先进的队列机制进行拥塞控制,对不同等级的数据进行不同的处理,包括时延的不同和丢包率的不同;采用具备先期拥塞控制机制的网络设备,当网络出现真正的拥塞前就自动采取适当的措施,进行先期拥塞控制,避免瞬间大量的丢包现象;对非常重要的特殊应用,应可以采用保留带宽资源的方式保证其QoS。1.1.2 网络的高可靠性医院信息网络由于运行整个医院的业务系统,需要保证网络的正常运行,不因网络的故障或变化引起政府业务的瞬间质量恶化甚至内部业务系统的中断这点十分重要。网络作为数据处理及转发中心,应充分考虑可靠性。网络的可靠性通过冗余技术实现,包括电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等技术。模块冗余考虑网络汇接点的主干设备和核心设备的所有关键模块和环境部件应具备1+1或1:N热备份的功能,所有模块具备热插拔的功能,当某一关键模块出现故障时,可由备份模块接替其功能。例如在核心交换机S7506R上,配置了11冗余备份的电源模块,保证在任何一个电源模块故障的时候,整个网络仍然能够正常运行。在主控制引擎方面,也配置了高度可靠的冗余引擎,引擎之间利用状态热备份技术保证故障的快速切换,在同等条件下提供业界最为快速的故障切换时间。1.1.3 网络的高扩展性从我国医院信息系统的发展来看,目前随着门诊系统,住院系统、PACS系统以及远程医疗的网络化,应用系统的大规模使用使得业务流膨胀是必然的趋势,网络系统面临数据流量增大的压力,在设计医院系统信息网络时应充分考虑系统的可扩展性,从而保护网络系统投资。网络的扩展能力包括设备交换容量的扩展能力、端口数量的扩展能力、主干带宽的扩展,以及网络规模的扩展能力。交换容量扩展应具备在现有基础上继续扩充24倍容量的能力,以适应IP类业务急速膨胀的需求。设备的选型应充分考虑包转发能力以及数据交换能力。端口密度扩展需要认真分析用户和应用系统的扩展可能性,在具备扩展可能性的信息节点配置高可扩展性的网络设备,满足网络扩容时对用户接入以及系统互联的需要。主干设备应具备充足的接口,满足48倍甚至更高的带宽扩展能力,以适应IP类应用及业务急速膨胀的需求。网络规模扩展需综合考虑网络体系结构、路由协议的规划和设备的CPU路由处理能力,应能满足网络扩容时对用户接入以及数据流量变化或增大时处理能力的需要。1.1.4 网络的高安全性网络的发展趋势是基于InternetWeb技术的开放网络化系统。这不仅带来了新的巨大的使用方便,同时也带来了不断增加的复杂应用及信息技术的挑战,因而安全是医院系统网络建设中要考虑的一个关键因素。网络安全在内容上主要应考虑以下5个方面:身份鉴别与授权身份包括鉴别和授权。鉴别回答了“你是谁”和“你在哪?”这两个问题,授权回答“你可以访问什么”。必须对身份机制谨慎部署,因为如果设施难以使用,即便是最严谨的安全策略也有可能被避开。边界安全边界安全涉及到防火墙种类的功能,决定网络的不同区域允许或拒绝何种业务,特别是在Internet和园区网之间或拨入网和园区网之间。数据的保密性和完整性数据的保密性指确保只有获准能够阅读数据的实体以有效的形式阅读数据,而数据完整性指确保数据在传输过程中未被改动。安全监测为检验安全基础设施的有效性,应经常进行定期的安全审查,包括新系统安装检查,发现恶意入侵行为的措施,可能的特殊问题(拒绝业务攻击)以及对安全策略的全面遵守等方面。策略管理由于网络安全涉及到以上的多个方面,每一个方面都使用了多种产品和技术,对这些产品进行集中有效的管理可以帮助网络管理者有效地部署和更新自己的安全策略。802.1X端口认证由于现在成熟的认证记费软件,不断推陈出新,并且用户群体的网络技术水平在不断提高,如何更好的控制但又不过于限制是目前需要解决的办法,华为网络认为采用802.1x的端口认证技术以及灵活的记费解决上述问题,并达到很好的效果。在网络安全实施的策略及步骤上应遵循轮回机制考虑以下五个方面的内容:制定统一的安全策略、购买相应的安全产品实施安全保护、监控网络安全状况(遇攻击时可采取安全措施)、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略。1.1.5 网络的易管理性随着网络中设备逐渐增多,网络技术日趋复杂,网络管理的重要性越来越明显网络的复杂导致系统运行的不确定因素增加,可靠性降低,“宕机”时间变长且带来的损失越来越大,而往往由于平时对网管的忽略,缺乏受过专业培训的网络管理人员,也缺乏综合的网管解决方案,因而发生问题时无从下手,这才意识到网管的重要。作为一套考虑完善、可靠性要求极高的系统,当然不希望有“亡羊补牢”的情况发生,因此网络管理是网络设计必不可少的考虑因素之一,从设备本身操作系统所具备的一些网管功能,到简单的网络管理工具,甚而功能强大的大型管理系统,用户可根据自身的实际网络应用和资金安排,循序渐进,逐步实现全面网络管理功能。与传统的单一应用网络不同,医院信息网络是一个集成了视频和数据的新型网络体系。在这样的一个集成环境中,网络从承载单一的数据到多种不同的应用,如何合理利用带宽资源,保障关键性业务QoS等管理要求成为网络规划管理人员不能回避的问题,网络管理系统必须提供有效的性能监控与流量收集分析的网络工具帮助网络管理人员优化网络性能,准确地进行网络规划。多种业务的集成要求势必带来网络硬件环境的变化。从单一的路由器与交换机的互连到集合了路由器,交换机,IPPHONE,语音网关,视频设备等多样设备的互连,设备管理和配置的直观性,灵活性对网络管理的效率至关重要。Quidview网络管理软件是H3C公司对全线数据通信设备进行统一管理和维护的网管产品,位于网络解决方案的管理层,能够实现网元管理、网络管理的功能。(可以考虑以后购买)2.2. 市人民医院新大楼网络建议方案简介1.2. 1此次方案设计拓朴如下图:1.3. 方案设计思想:充分考虑医院网络建设的特点,结合某市医院的实际情况。我们建议从下面几个方面设计来保证某市医院整个网络的高可靠性,高可用性,易扩展性,开放性,安全性,可管理性和实用性。2.3.1对于市医院新大楼的核心交换机设计我们推荐使用两台H3c公司的高端新款模块式路由交换机S7502E。该交换机是杭州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络推出的新一代高端多业务路由交换机,该产品基于H3C自主知识产权的ComwareV5操作系统,融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。H3CS75002E符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。S7502E路由交换机以192G整机交换容量,400Gbps的背板容量,143Mpps包转化率等高薪能特性可以实现IPv4/IPv6业务的线速无阻塞转发,满足大容量数据的快速交换和转发。同时支持丰富的业务协议。同时我们采用H3C的VRRP热备份路由协议实现两台S7502E核心交换机设备以及链路的自动冗余。该技术的工作原理主要是将互备路由设备配置在一个VRRP协议组中,并指定一个虚拟的IP地址作为网络系统的缺省网关地址。同时根据优先级方案决定将优先级最高的路由器设备定义为默认主动路由(路由器的缺省优先级为100),协议组中的其它路由器则为备份路由器。此时,协议组将虚拟缺省网关IP地址指向主动路由设备,主动路由设备即成为网络系统中的缺省网关设备。VRRP协议技术使用主播、基于UDP的呼叫信号包(HELLO包)来实现同一VRRP组内互备路由器之间的通信,即VRRP协议组中的主、备路由器之间定期向对方发出HELLO包进行端口检查。当主设备出现故障时,在规定的一段时间内不能发出HELLO包时,VRRP协议此时将备用路由设备激活,使其成为网关设备,并将动态的虚拟网关IP地址指向备用路由设备,备用路由设备立即承担起网络系统中的数据转发功能。当主路由设备故障恢复后,VRRP协议自动将优先级高的主路由设备激活,使之成为网络系统的网关。VRRP协议组中的主、备路由器之间的动态热切换都是自动完成,而且不用修改网关地址,网络系统中的设备指向的缺省网关都是VRRP协议组中定义的虚拟网关的IP地址,只不过不同情况下映射的路由器地址不同而已。采用了H3C公司的VRRP路由协议技术后,网络系统平台才真正解决了网关设备的动态热切换的矛盾,真正作到了网关设备的自动冗余备份,保证了网络平台稳定可靠的运行,实现了任何一台核心交换机出现故障或者任意一条链路出现故障都不回影响数据的正常通信。从而保障了业务系统的24小时不间断正常开展。接入交换机设计我们采用H3C的S3100系列千兆以太网交换机S3100-26C-SI,该产品是H3C公司秉承IToIP理念设计的二层线速智能型可网管以太网交换机产品,具有千兆上行、可堆叠、无风扇静音设计、完备的安全和QoS控制策略等特点,满足企业用户多业务融合、高安全、可扩展、易管理的建网需求。S3100-26C-SI通过千兆上行SFP端口保证接入层与核心层实现千兆接入。确保网络的带宽,同时实现100M网络带宽到桌面。H3C公司生产的S3100-26C-SI千兆交换机支持802.1x认证,在用户接入网络时完成必要的身份认证,支持MAC地址和端口等多元组绑定、广播风暴抑制和端口锁定功能,保证接入用户的合法性。?支持跨交换机的远程端口镜像功能(RSPAN),可以将接入端口的流量镜像到核心交换机7502E上,在核心上启动网流分析(Netstream)功能,对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。支持DHCPSnooping(侦听)功能,通过建立和维护DHCPSnooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN-ID接口等信息,解决了DHCP用户的IP和端口跟踪定位问题。同时对不符合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址的报文)直接丢弃,保证DHCP环境的真实性和一致性。这样可以防止目前杀毒软件不能解决的ARP欺骗攻击和DDOS攻击等。确保网络的安全性。1.3.1 网络拓扑的设计在网络的拓扑设计中,我们遵守了如下原则:拓扑可靠性在各网络的拓扑设计中应遵循N-1的电路可靠性原则。N-1的电路可靠性:拓扑中去掉任何1条链路,不影响节点的连通性。这就要求每个节点至少有两条不相关的链路与其他节点相连。扩展性网络链路和节点的增加、减少以及修改应不影响网络的总体拓扑遵循此原则,本次规划设计中采用如下结构:1、 核心使用两台核心交换机S7502E和S7502E,两者通过千兆GE互连,并做端口核心,做为整个网络的核心,并互为备份。服务器通过双网卡分别接入两台核心交换机实现单台核心交换机出现故障不会影响对服务器的访问。2、 1楼到5楼楼层接入节点各使用两台S3100-26C-SI交换机做堆叠。作为楼层接入交换机,实现千兆上行接入核心交换机,并使用MSTPX次协议和VRRPB层路由协议实现整网冗余和分担流量。3、 6楼到20楼楼层接入节点各使用一台S3100-26C-SI交换机作为楼层接入交换机,实现千兆上行接入核心交换机。并使用MSTPX层协议和VRRPE层路由协议实现整网冗余和分担流量。1.3.2 对于服务器系统的接入设计服务器众多,且后期需要增加大量服务器,需要有一定的扩展性。因此我们设计把服务器放置在核心交换机一个楼层。此外服务器都使用千兆的双网卡分别连接两台S7502E,使用VRRP作冗余,最大化保障服务器在网络上的实时在线。同时保证服务器和核心交换机的千兆带宽接入。1.4. VLAN解决方案在现代大型的网络应用中,为了建立起各类网络用户具有安全的、独立的广播域或者组播域,我们可以将交换机上的端口组合成一个一个的虚拟局域网(VLAN),通过设置VLAN我们达到了限制广播包的传播范围和降低广播包的影响,所有以太网数据包,如:点播(unicast),组播(multicast),广播(broadcast),以及未知(unknown)的数据包,都将只在VLAN内传送,这样在一定程度上可以提高网络的安全性。另外人们也经常需要对现有的网络拓扑结构进行一些简单的或小量的改变,同时又不需要网络中的工作站发生物理上的移动或者网络线路连接上的变动,我们采用H3c的S7500E核心路由交换机和S3100-26c-SI太网交换机提供的丰富的VLAN功能,实现对用户工作站的VLAN设置改动,就将工作站从一个VLAN到了另一个VLAN以达到使网络节点的移动变换增加变得非常灵活和容易。根据某市医院新大楼网络系统工程的具体情况,我们建议用户可以从以下几个方面进行网络内部VLAN系统的规划和设计:1.4.1 基于端口的VLAN划分根据大楼内部各个不同的功能区域现有的网络用户分布情况,我们可以采用基于各个接入交换机的物理端口划分VLAN的解决方案,以一个单独单位或者一个特定的用户群为一个VLAN作为一个子网,从而实现相互之间的隔离。H3CS7502E能支持大量的VLAN量划分,最大到4096个VLAN对以后的网络扩容和用户急剧增加有独到的处理能力。并且S7502E支持QinQ,即双层的802.1Q帧。这样我们可以配置这两个连接到骨干网络的千兆以太网端口是上连端口。于是所有的在这个VLAN里面的广播包和未知目的地的Unicast包都不会去到VLAN的其他任何端口,它们只会到这个VLAN勺上连端口出去,每个客户都不会收到其他客户的广播或者匿名包,这样就避免的在客户端的用户用类似网络邻居或者其他广播的方式发现对方,也避免了各个单位和接入端所出现的不必要或者恶意的广播风暴,保护了网络的安全。1.5. IP地址的规划方案设计网络核心层由信息中心的骨干交换机组成,未来的网络建设会以围绕核心节点进行扩展,建立各个接入层结构。对于已有的IP地址分配,在新的网络建设中采用以下原则。1.5.1 地址规划的基本思想通常合理的地址规划是使连续的地址尽量集中在一个区域内。因此,核心层应象一个区域或一个节点一样,被分配一段连续的地址。更进一步,连接进某一区域的节点的IP地址范围应集中在该区域的地址范围附近。地址规划时充分考虑CIDR和VLSM的设计思想。保证IP地址的最大利用率的同时方便今后业务的扩展。1.5.2 IP地址的分配计划1.6. 产品选型1.6.1 核心交换机的选择对于市人民医院新大楼核心交换机的选择。我从如下几个方面考虑:1. 核心交换机的整机交换容量2. 核心交换机的背板容量3. 核心交换机的包转发率4. 核心交换机的支持的最大MAC地址数5. 核心交换机的可扩张性,先进性和实用性6. 核心交换机的可网管性,安全性和QOS孳综合以上几个条件,结合某市医院新大楼网络的实际情况。我们推荐使用H3C公司生产的S7502E路由交换机。该交换机是H3c公司2007年推出的一款新式路由交换机。该产品基于H3c自主知识产权的ComwarH5操作系统,融合了MPLSIPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO。H3CS7500E符合“限制电子设备有害物质标准(RoHS,是绿色环保的路由交换机。H3CS7500E采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;H3CS7500E已经通过了信息产业部的IPv6入网认证和IPv6Ready第二阶段金色认证,是成熟商用的IPv6产品。该产品持强大的ACL能力:支持标准和扩展ACL支持基于VLAN的ACL方便用户配置,节省ACL资源;支持出方向和入方向的ACL每板最大可支持9K条ACL满足访问权限严格控制的需求,H3cS7500灰用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。考虑实际运用情况。从性价比最优性考虑。S7502E核心路由交换机主控板我们推荐使用H3CS7500ESalienceVI交换路由引擎。同时配备一块H3CS7500E24端口千兆以太网电接口模块(RJ45)来提供24个千兆以太网电口,用于服务器的接入。配备一块H3CS7500E24端口千兆以太网光接口模块(SFP,LC),其中1个千兆光口用于接入原有的S5624P交换机。20个千兆光口用于提供接入交换机的千兆光纤接入。3个千兆光口做冗余备份端口。1.6.2 接入交换机的选择对于接入交换机的设计,我们从如下几个方面考虑:1 .接入层实现交换机接能实现防止ARP4址欺骗,支持MACW端口绑定,解决外来机器进入内网问题。2接入层交换机实现到核心交换机千兆上行接入。3. 接入层实现百兆到桌面,无风扇静音设计4. 接入交换机的具有较大的背板交换容量5. 接入在支持冗余堆叠的同时,完备的安全和QoS控制策略6. 支持可网管。综合以上条件,我们推荐使用H3c公司生产的S3100-26C-SI。考虑某市医院新大楼1楼到5楼接入点在24到40之间。因此我们建议从1楼到5楼每一楼层部署两台S3100-26C-SI交换机做堆叠,这样有利于管理和可高可靠性。提供48个10/100M的以太网RJ45接口和4个1000MSFP光纤上行端口。6楼到20楼每一层楼的接入点少于24个。因此我们建议从6楼到20楼每一楼层部署一台S3100-26C-SI交换机。提供24个10/100M的以太网RJ45接口和4个1000MSF叽纤上行端口。实现百兆接入到桌面和千兆上行接入核心交换机。同时也利于以后的扩展。第3章方案配置及其报价H3c网络设备报价清单产品型号产品描述单价数量小计中心交换机LS-7502EH3CS7502E以太网交换机主机4,32028,640LSQM1AC650H3CS7502E交流电源模块,650W6,400212,800LSQM1MPUA0H3CS7502E主控模块27,680255,360LSQM1GT24SC0H3CS7500E24端口千兆以太网电接口模块(RJ45)43,200286,400LSQM1GP24SC0H3CS7500E24端口千兆以太网光接口模块(SFP,LC)51,2002102,400SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)2,0004284,000合计349,600接入交换机LS-S3100-26C-SI-ACH3CS3100-26C-SI以太网交换机主机,24个10/100Base-T,2个模块插槽,交流供电4,00025100,000LS-ST1UB以太网交换机千兆堆叠模块(1米,专用物理接口)600106,000LS-GM1UB单端口千兆以太网多模光接口模块(850nm,500m,SC)1,4004056,000合计159,000总计511,600第4章成功应用案例4.1广西成功案例:4.2行业成功案例:第5章H3C网络产品介绍5.1H3cS7500E系列高端多业务路由交换机H3CS7500E系列产品是杭州华三通信技术有限公司(以下简称H3c公司)面向融合业务网络推出的新一代高端多业务路由交换机,该产品基于H3c自主知识产权的ComwareV5操作系统,融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCQoH3CS7500E符合“限制电子设备有害物质标准(RoH”,是绿色环保的路由交换机。H3CS7500E系列包括S7510E(12槽)、S7506E(8槽)、S7506E-V(垂直8槽)、S7503E(5槽)和S7502E(4槽)5款产品,所有产品均支持冗余主控。H3CS7500E可广泛应用于城域网核心和边缘、园区网核心和核心以及配线间等多种网络环境,为用户提供了有线无线一体化、有源无源一体化的行业解决方案。产品特点1. ?丰富的业务,适应融合业务网络发展趋势?全面的MPLS业务能力H3CS7500E所有产品均支持VRF-Lite特性,可以做为MCE设备使用;支持三层的MPLSVPN二层的MPLSVPN(Martini、Kompella),可扩展支持VPLS技术;支持MPLSOAM寺性,方便用户的管理和维护;与H3CMPLSVPNManager配合,实现图形化的MPLS部署与维护。?线速的IPv4/IPv6业务能力H3CS7500E支持IPv4/IPv6双协议栈,支持多种6to4隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;H3CS7500E采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;H3CS7500E已经通过了信息产业部的IPv6入网认证和IPv6Ready第二阶段金色认证,是成熟商用的IPv6产品。?有线无线一体化,有源无源一体化H3CS7500E集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QOSF取tIPV6的支持等;无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。H3CS7500E是业界最高密度的以太网无源光网络(EPON设备,单台最大可接入10240个FTTH用户;H3CS7500E是高可靠的EPON(统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。?支持Portal认证H3CS7500E支持大容量的Portal认证功能,可以在数千用户的局域网中做为EAD网关设备,为全网用户提供EAD安全认证功能;可以在大中型的校园网中担任核心/核心设备的同时,为学生宿舍区的认证计费提供Portal认证功能。2. ?灵活的配置,适应各种应用场景?配线间融合业务网络的最佳选择H3CS7500E针对配线间的需求定制开发了SA板卡,单台设备可以提供480个千兆线速接口和4个万兆线速接口。H3CS7500E支持端点准入防御解决方案,解决终端安全问题;内置2800W电源直接提供PoE功能,对IP语音和无线接入提供良好的支持。?政府电力城域网边缘和核心的最佳选择H3CS7500E支持VRF-Lite特性,为用户提供高可靠高性能的MCE设备;通过配置SalienceVI-Turbo引擎,可以提供集中式MPLS业务功能,适合在城域网边缘作为高性价PE设备使用;通过配置EA类板卡,可以提供分布式线速的MPLS业务功能,适合在城域网核心层作为高性能的PE使用。?IPv6网络的最佳选择H3CS7500E所有SalienceVI引擎都可以提供集中式IPv6功能,H3CS7500E针对IPv4/IPv6高性能的要求还开发了分布式IPv4/IPv6转发的SC板卡,在整机满配置状态下实现线速无收敛,为高校用户提供了高性能低成本的双栈核心核心设备,同时也满足其他行业用户IPv6Ready的需求。3. ?全方位的安全保障,抵御多种网络安全威胁?三平面安全保障机制H3CS7500E提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:在控制平面,内置协议报文攻击识别模块,防止TCN、ARP等协议报文攻击,OSPF/BGP/IS-IS路由协议采用MD5验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPv3网管协议,SSHV2,基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN、MAC和端口等多种组合精细绑定;支持uRPF单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。?有线无线全面支持EADH3CS7500E是EAD端点准入防御解决方案的重要组成部分,S7500E可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。H3CS7500E既支持有线终端用户的EAD也支持无线终端用户的EAD能够做到终端安全防范无漏洞。?增强的ACL特性H3CS7500E系列产品支持强大的ACL能力:支持标准和扩展ACL;支持基于VLAN的ACL,方便用户配置,节省ACL资源;支持出方向和入方向的ACL,每板最大可支持9K条ACL,满足金融等行业访问权限严格控制的需求。4. ?电信级的高可靠性,保障用户业务长期稳定运行?电信级高可靠性设计H3CS7500E采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;H3CS7500E系列可以在恶劣的环境下长时间稳定运行,达到99.999的电信级可靠性。?多业务高可靠性运行H3CS7500E支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP快速环网保护协议,提供小于200ms的环网故障保护;支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术,H3cS7500E可以在承载多业务的情况下不间断运行,实现业务的永续。?支持热补丁技术H3CS7500E能够在不重启设备的前提下,通过热补丁技术,在线修改软件BUG增加新的业务特性。H3CS7500E提供控制补丁单元状态切换的用户命令,使用户能够方便的加载、激活、去激活、运行或删除补丁单元。通过热补丁技术,降低了设备需要重启的次数,为客户提供更长的网络正常工作时间。产品规格属?性S7502E整机交换容量192G背板容量400GbpsIPv4包转发率143Mpps槽位数量4业务槽位数量2冗余设计电源、主控冗余最大MAC地址表128K二层特性支持802.1P(COS优先级)支持IEEE802.1Q(VLAN)支持IEEE802.1d(STP)/802.1w(RSTP)/802.1s(MSTP)支持IEEE802.1ad(QinQ),灵活QinQ和Vlanmapping支持IEEE802.3x(全双工流控)和背压式流控(半双工)支持IEEE802.3ad(链路聚合)和跨板链路聚合支持IEEE802.3(10Base-T)/802.3u(100Base-T)支持IEEE802.3z(1000BASE-X)/802.3ab(1000BaseT)支持IEEE802.3ae(10Gbase)支持IEEE802.3af(PoE)支持RRPP(快速环网保护协议)支持跨板端口/流镜像支持端口广播/多播/未知单播风暴抑制支持JumboFrame支持基于端口、协议、子网和MAC的VLAN划分支持SuperVLAN支持PVLAN支持MulticastVLAN+支持GVRP支持LLDPIPv4路由特性支持ARPProxy支持DHCPRelay支持DHCPServer支持静态路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGPGR(GracefulRestart优雅重启)支持等价路由支持策略路由支持路由策略IPv6路由特性支持ICMPv6支持ICMPv6重定向支持DHCPv6支持ACLv6支持OSPFv3支持RIPng支持BGP4+支持IS-ISv6支持手工隧道支持ISATAP支持6to4隧道支持IPv6和IPv4双栈组播支持IGMPv1/v2/v3支持IGMPv1/v2/v3Snooping支持IGMPFilter支持IGMPFastleave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持AnyCast-RP支持MLDv2/MLDv2Snooping支持PIM-SMv6、PIM-DMv6、PIM-SSMv6ACL/QoS支持标准和扩展ACL支持基于VLAN的ACL支持Ingress/EgressACL支持Ingress/EgressCAR,粒度为64Kbps支持流量整形(TrafficShaping)支持802.1P/DSCP优先级Mark/Remark支持队列调度机制,包括SP、WRR、SP+WRR、CBWFQ支持每端口8队列支持拥塞避免机制,包括Tail-Drop、WREDMPLS支持L3MPLSVPN支持L2VPN:VLL(Martini,Kompella)支持MCE支持MPLSOAM安全机制支持EAD安全解决方案支持Portal认证支持MAC认证支持IEEE802.1x和IEEE802.1xSERVER支持AAA/Radius支持HWTACACS,支持命令行认证支持SSHv1.5/SSHv2支持ACL流过滤机制支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证支持命令行采用分级保护方式,防止未授权用户的非法侵入,为不同级别的用户有不同的配置权限支持受限的IP地址的Telnet的登录和口令机制支持IP地址、VLANID、MAC地址和端口等多种组合绑定支持uRPF支持主备数据备份机制支持故障后报警和自恢复支持数据日志系统管理支持FTP、TFTP、Xmodem支持SNMPv1/v2/v3支持sFlow流量统计支持RMON支持NTP时钟可靠性支持主控板1+1冗余备份支持电源1+1冗余备份采用无源背板设计所有单板支持热插拔支持VRRP支持EthernetOAM(802.3ah)支持RRPP支持GracefulRestartforOSPF/BGP/IS-IS支持DLDP支持VCT支持Smart-Link支持热补丁环境要求温度范围:0C-45C相对湿度:10%95%(非凝结)安规和EMC认证通过了CE、FCCPART15、TUV-GS、UL-CUL、ICES003和VCCI的认证电源DC:输入电压一48V一60VAC:输入电压100V240V最大输出功率:650W(S7502E)、1400W/2800W(S7503E/S7506E-V/S7506E/S7510E)POE电源支持内置PoE电源外形尺寸(宽嘀W)(mm)436x175x420满配重量(kg)27kg第6章H3cS3100-26C-SI以太网交换机H3CS3100系列千兆以太网交换机是H3c公司秉承IToIP理念设计的二层线速智能型可网管以太网交换机产品,具有千兆上行、可堆叠、无风扇静音设计、完备的安全和QoS控制策略等特点,满足企业用户多业务融合、高安全、可扩展、易管理的建网需求,适合行业、企业网、宽带小区的接入和中小企业、分支机构汇聚交换机。同时S3100-26c-SI具有24个10/100Base-TX以太网端口,2个GE/FE扩展槽位。产品特点1. ?千兆上行、线速交换H3CS3100系列千兆交换机具有19.2Gbps的总线带宽,为所有端口提供二层线速交换能力,同时支持千兆上行,满足当前多业务融合对高带宽的需求。2. ?完备的安全控制策略H3cS3100系列千兆交换机支持802.1x认证,在用户接入网络时完成必要的身份认证,支持MAC%址和端口等多元组绑定、广播风暴抑制和端口锁定功能,保证接入用户的合法性。???支持跨交换机的远程端口镜像功能(RSPAN,可以将接入端口的流量镜像到核心交换机(例如S9500/7500)上,在核心上启动网流分析(Netstream)功能,对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。支持DHCPSnooping(侦听)功能,通过建立和维护DHCPSnooping绑定表实现侦听接入用户的MAC%址、IP地址、租用期、VLAN-ID接口等信息,解决了DHCP用户的IP和端口跟踪定位问题。同时对不符合绑定表项的非法报文(ARP欺骗
展开阅读全文