2医院信息化平台参考方案-网络.pdf-道客多多

资源描述

1、常州第四人民医院（新北医院）智能化工程第二章计算机网络系统浙大网新系统工程有限公司 2-1 第二章计算机网络系统 1.概述随着信息技术的快速发展，越来越多的中国医院正加速实施基于基础信息化网络平台、 HIS业务平台的整体建设，以提高医院的服务水平和核心竞争力，从最初的“以财务为中心” 的医院信息系统向“以病人为中心”的医院信息系统转变，医院信息化建设已经取得了显著成效。信息化不仅提升了医生的工作效率，使医生有更多的时间为患者服务，也提高了患者满意度，而且无形之中还树立起医院的科技形象品牌，医院信息化正越来越成为强化医院活力与竞争力的关键行为，医疗业务应用与基础网络平台的逐步融合

2、正成为中国医院，尤其是大中型医院业务发展前进的新的驱动力。 2.需求分析 2.1传统医院网络系统存在的问题随着医院信息化的不断深入，医院 OA 系统、MIS 系统、HIS 系统、PACS 等系统相互融合，中国医院的信息化建设也已经从简单的数据业务应用逐步发展到数据、语音、视讯等多业务统一承载，而传统医院网络已经无法满足新业务的需求，主要问题包括：现有网络资源很难通过灵活有效的策略调整实现业务与网络的充分融合，例如早期医院网络已经很难支撑门诊系统对可靠性、PACS 系统对高性能的要求，医院用户对新业务部署的体验感不佳，新业务的部署面临巨大管理压力；网络平台缺乏智能性，无业务识别

3、能力，不能对关键业务应用提供端到端的高质量数据传输的有效保证，医院通常采用的设备升级、链路带宽升级等简单方式使得网络建设、运营、管理成本大幅度上升，而网络资源的利用率却在大幅度下降；医院网络中的安全设备组件多且庞杂，但各组件孤军作战，传输安全、网络安全、数据安全、业务安全层面相互分离，难以有效兼顾，医院的安全漏洞处处存在。随着电子病例应用越来越广泛，一旦电子病例出现泄密或者被恶意篡改，都会给医院带来严重的医患纠纷甚至法律纠纷，网络安全已经成为医院新一代网络建设的关注重点；网络的管理控制功能薄弱，单纯设备级的网络管理已经不能满足医院用户对业务可靠性要求，业务的可靠性除了要求网

4、络稳定，还依赖于服务器可靠和数据存储可靠等多种技术组合。 2.2医院信息化发展趋势趋势一：IP自适应安全网络计算机网络的发展，由单一的提供数据转发传送业务发展为适应安全网络，实现了一个基本传输网络上增加全面的安全，特别是多业务融合；趋势二：IP适应网络存储医院 PACS、HIS 等系统海量和高可靠性数据存储，使得存储从早期的 DAS 向现在的 SAN、NAS、IPSAN 等发展，从而实现存储的高灵活性和可靠性。部署标准化的 IP 存储交换平台，能充分利用已有的广域网和局域网资源，基于 IP 的构架，可以将数据管理一直延伸到桌面、手持终端。特别地，对于医院对重要存储资源的异地容灾

5、，可以通过 IP广域网实现，能达到灵活部署和节省费用；趋势三：IP融合通信基于 IP技术，将融合语音、数据、视频，IP融合通信可以为应用提供定制化服务。 2.3医院网络层次结构计算机网络承载着医院众多系统的运行，在对常州第四人民医院（新北医院）的设计中，我们网络分层如下几个层次：第一层：底层的基础交换、路由平台，提供数据传输通道；第二层：在这个基础上实现的技术支撑应用，无线 LAN、网络安全、IP通信和存储；第三层：由这些技术应用支撑形成的医院数据中心、医院大楼局域网、与医院互联的横常州第四人民医院（新北医院）智能化工程第二章计算机网络系统浙大网新系统工程有限公司 2-2

6、向（市政府、财政、医保等）、纵向（卫生厅、社区医保等）。底层：是在这个网络平台上形成的医院业务应用系统，例如 EMR（电子病历）、医学影像（PACS）、移动医护等等。（这部分建设将在后期完成）。 2.4医院信息化对网络的需求医院信息化建设的基础是计算机网络，医院属于特殊的行业，对业务的可靠性、安全、实时要求非常高，因此对于网络同样具有以下需求： 7 X 24 高可靠运行RESILIENT（可靠）医院救护、诊疗不以人的主观意识迁移，具有不可预见性，随时随地将出现异常情况，并且在抢救、医疗的过程中，不允许有丝毫差错，现代医院的信息化、数字化，这些医学行为越来越依赖于设备

7、，基础网络通信，因此网络系统的可靠性，直接关系到医院的救护医疗工作。非常高的安全性PROTECTED（安全）安全性涉及到方方面面，医院的数据涉及到病人隐私、科研资料、病患记录资料等，显得尤其重要，正因为数据的重要性，因此网络系统必须保证这些数据能安全传输、不被泄漏、篡改、损坏。及时正确的反应RESPONSIVE（快速响应）时间就是生命，抢救生命刻不容缓，因此快速、及时的网络系统响应是医院对网络建设的一个根本要求，及时正确反应，需要网络高带宽。方便的信息沟通INTERACTIVE（交互）中医讲究望、闻、问、切，其实就是一个医生和病人需要一定的信息交互，同样，现代医学更需要借

8、助多种仪器来对病人进行病情诊断并作相应的治疗。信息化系统作为医疗的重要手段，其最重要的作用就是方便医生和病人之间进行信息沟通。因此网络设计必须满足交互性要求。 2.5医院网络总体需求 1、为HIS应用系统提供一个强有力的网络支撑平台； 2、网络设计不仅要体现当前网络多业务服务的发展趋势，同时具有最灵活的适应、扩展能力； 3、一体化网络平台：整合数据、语音和图像等多业务的端到端、以IP 为基础的统一的一体化网络平台，支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理； 3.设计依据和原则 3.1标准及规范设计遵循下列规范及依据： (1)常州市第四人民医院（新北医院）智能化工

9、程方案设计招标文件； (2)业主提供的相关图纸； (3)国家相关的标准和规范：常州第四人民医院（新北医院）智能化工程第二章计算机网络系统浙大网新系统工程有限公司 2-3 智能建筑设计标准 GB/T50314-2006 电子计算机场地通用规范GB/T 2887-2000 100Base-T快速以太网协议IEEE802.3u 1000Base-X千兆位以太网协议IEEE802.3z 10GBase 万兆以太网协议IEEE802.3ae POE以太供电协议IEEE802.3af 以太网干路协议IEEE802.1Q 简单网管协议SNMP 链路聚合标准IEEE802.3ad 电磁兼容规范EMC

10、EN55022 EN55024 3.2设计原则基于医院目前网络现状和未来业务发展的要求，在医院网络设计构建中，应始终坚持以下建网原则： 1）高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持医院各业务系统的正常运行。 2）技术先进性和实用性保证满足医院应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到医院网络目前的现状以及未来技术和业务发展趋势。 3）高性能医院网络性能是医院整个网络良好运

11、行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为一项业务开展的瓶颈。 4）标准开放性支持国际上通用标准的网络协议（如IP）、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络(如公共数据网、外联机构等网络)之间的平滑连接互通，以及将来网络的扩展。 5）灵活性及可扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。 6）可管理性对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析功能以及可提供故

12、障自动报警。 7）安全性制订统一的全网安全策略，整体考虑网络平台的安全性。 4.设备选型说明 4.1品牌选择要求对于常州第四人民医院，在选择计算机网络品牌的时候，需要考虑以下因素：所选品牌必须有良好的性价比；该品牌在国内有大量的医院实施案例，在国内外有相当的市场占有率，产品线齐全；良好的技术研发力量，满足医院行业对新技术发展的需求；良好的售后技术支持队伍，能快速响应应急情况；在本地拥有备品备件库。常州第四人民医院（新北医院）智能化工程第二章计算机网络系统浙大网新系统工程有限公司 2-4 4.2品牌选型根据以上选型要求，我们选择了杭州华三通信技术有限公司的数据通信产品，杭

13、州华三通信技术有限公司（简称 H3C），致力于 IP技术与产品的研究、开发、生产、销售及服务。 H3C 作为 IP解决方案的领导者，一直致力于我国医疗卫生事业，过去的几年中，在公共卫生信息化、医疗服务信息化等多个领域不断探索、实践，产品和解决方案全面服务于全国数百家三甲医院及各类卫生医疗机构，取得了令人瞩目的成绩，并得到了广大用户的支持和肯定。最重要的是，在实践的过程中，H3C 积累了丰富的实施经验，对卫生医疗相关业务不断加深理解，并积极汲取营养，将其与业界领先的 IP产品技术和理念相结合，不断完善自身，为参与医疗卫生信息化新阶段建设积极准备。 H3C 不但拥有全线路由器和以太网

14、交换机产品，还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。目前，安全产品中国市场份额位居前三，IP存储亚太市场份额第一，IP监控技术全球领先，H3C 已经从单一网络设备供应商转变为多产品 IToIP解决方案供应商。因此，选择杭州华三通信技术有限公司的数据通信产品，有利于常州第四人民医院（新北医院）将来的网络可靠运行和维护。 5.方案设计 5.1总体设计思路根据上述对医院网络的需求分析可知，医疗网络上运行着关系到医院的核心业务的应用系统，如 HIS、 LIS、PACS, EMR等，对网络的具有独特的要求：信息化关系到人们的生命安全和身

15、体健康信息化关系到医院的声誉和收入关系到应急通信高可靠医疗网络结构设计保证医疗业务高可靠运行的独特的网络技术医疗数据中心容灾备份 5.2系统总体框架设计常州第四人民医院（新北医院）大楼为建筑群结构，分医疗综合楼（一期），医疗综合楼（二期）、行政综合楼（二期）和生活区、地下室等。计算机网络涉及的系统主要由以下几个方面：信息化平台IP组网方案（完成传统网络的交换、路由功能，实现信息点互联）网络安全网络路由医院多业务融合数据中心（提供数据集中管理，容灾处理，保证关键业务数据安全）（第四章单独设计） IP 融合通信（IP 的包交换和高可扩展性，可以融合多种业务，例如数字监控

16、、数字 BA、VOIP、IPTV等，均可以通过统一的IP平台来实现）无线网络（为医疗提供便捷、快速的无线移动方案）（第三章单独设计）网络设计将从以上方面来阐述。医院网络的建设以数据中心为核心，各相关系统如HIS、LIS、PACS、EMR等均以BS、或 CS方式运行，所有客户端为分布在医院大楼各房间的计算机终端，通过计算机网络和数据中心交互数据，因此数据中心是整个医院的灵魂。 5.3计算机网络应用划分整个计算机网络包括两套物理网络一套为可与因特网相联的网络系统，简称外网；另一套为内部安全网络系统（医疗活动业务网）。 1、医疗活动业务网医疗活动业务网（简称“内网”），支持医院内部医疗

17、信息和管理信息的数字化采集、常州第四人民医院（新北医院）智能化工程第二章计算机网络系统浙大网新系统工程有限公司 2-5 处理、存储、传输、共享，实现病人信息，医疗过程，管理流程，服务与沟通数字化。如上图所示常州第四人民医院（新北医院）数字化建设的整个应用架构，所有业务平台的各种系统依靠计算机内网系统集成平台的标准交换协议实现系统之间的数据共享与数据交换，从而形成整体的医院信息系统，构造全面集成化智能化现代化的数字医院。除此之外部分智能化子系统也依托在内网上进行传输，包括：远程医疗、远程教育系统、分诊排队叫号系统、手术示教系统等。作为远程医疗和远程教育，根据目前浙江省的卫生系统

18、网络建设的建设，各协议医院之间专网进行医院之间的连接。 2、外网外网可与因特网相联的，主要承载的业务主要应用包括：院方工作站及子系统访问 Internet；对外开放网上门诊预约、咨询查询等web服务；医院内部邮件服务；远程办公；安全防范、会议、一卡通、公共显示、数字化医院系统集成等智能化系统。本方案设计智能化系统的传输平台规划表如下：序号系统名称网络平台说明 1 建筑设备监控系统传输采用总线，管理电脑基于外网 2 能量计量系统传输采用总线，管理电脑基于外网 3 机房工程机房集中环境监控系统基于外网 4 院区无线网络覆盖系统基于内网、外网 6 安全防范系统基于

19、外网 7 会议系统视频终端基于外网 8 远程医疗、远程教育系统基于内网 9 一卡通管理系统基于语音外网 10 卫星接收及有线电视系统外网 11 公共显示系统基于内网 12 时钟显示系统传输采用总线，管理电脑基于内网 13 分诊排队叫号系统基于内网 14 手术示教系统基于内网 15 UPS不间断电源系统基于外网 16 数字化医院系统集成平台基于外网 17 护士呼叫系统基于内网 5.4信息化平台IP组网方案内网网络设计经济可靠，网络采用星型拓扑结构，分三层结构，核心、汇聚采用双机冗余备份，接入层交换机通过光纤接入核心，网络出口配置网络安全设备；常州第四人民医院（新北

20、医院）智能化工程第二章计算机网络系统浙大网新系统工程有限公司 2-6 医院内网拓扑图如下：外网网络设计经济可靠，网络采用星型拓扑结构，分三层结构，核心单机双引擎备份，接入层交换机通过光纤接入核心，网络出口配置防火墙、路由器；医院外网拓扑图如下： 5.4.1核心层设计一、内网核心设计核心交换机是常州第四人民医院（新北医院）的网络核心提供整个医院（包括一期、二期），主要提供医院住院业务和门急诊业务，其中住院业务对网络提出了高可靠性、安全存储、带宽保证和无线局域网、语音和视频的需求，门诊提出了可靠性高、突发性强、实时性高、并发性强等需求。所有业务都要经核心交换机处理，建议核心

21、交换机以2台H3C S9508E 万兆核心交换机为业务系统核心交换机。满足大容量、高性能、高可靠、高安全及网络扩展的要求。常州第四人民医院（新北医院）智能化工程第二章计算机网络系统浙大网新系统工程有限公司 2-7 2台核心骨干交换机之间使用10GE高速链路互联，当任何一台设备出现故障时都不会影响核心部分的正常工作，达到设备冗余的目的。并且可以对不同 VLAN 设置不同的 S9508E 进行主备用工作，达到负载均衡的目的。保障核心节点的高可靠性。数据大集中后整个系统将承载多个业务系统，不同的业务对网络的带宽、时延等要求也不同，这就要求核心交换设备业务与性能并重。S9508E 采

22、用功能强大的 ASIC 芯片实现 MPLS、QOS 的分布式线速处理，从而在为用户提供有保障的业务特性的同时保障数据报文的线速转发。 H3C S9500E系列交换机具有以下特点：创新的体系架构保障业务的高可靠 S9500E采用了创新的硬件设计，通过独立的控制引擎、检测引擎、维护引擎为系统提供强大的控制能力和50ms的高可靠保障。独立的控制引擎，提供强大的主控 CPU，轻松处理各种协议报文及控制报文，并支持协议报文精细控制，为系统提供完善的抗协议报文攻击的能力；独立的检测引擎，提供高可靠和高性能的FFDR （Fast Fault Detection and Restoration-

23、快速故障检测及恢复）CPU 系统，该 CPU 系统专门用于 BFD、OAM 等快速故障检测，并与控制平面的协议实行联动，支持快速保护切换和快速收敛，可以实现50ms的故障检测，保障业务不中断；独立的维护引擎，智能化的EMS（Embedded Maintenance Subsystem-嵌入式维护子系统） CPU 系统，该 CPU 系统支持电源智能管理，可以支持单板顺序上下电（降低单板同时上电带来的电源冲击，提高设备寿命，降低电磁辐射，降低系统功耗），设备在线状态检查。控制平面、检测平面、维护平面以及高性能转发平面硬件相互分离，先进的四平面分离设计使得各个平面之间的影响降到了最低。

24、各平面各司其职，真正实现高端核心设备的高可用、高可靠、高性能、易维护。 IRF2（第二代智能弹性架构）面对数据中心统一交换架构以及园区网高可靠、易维护的应用需求，S9500E 支持 IRF2 （第二代智能弹性架构）技术，将多台高端设备虚拟化为一台逻辑设备，在可靠性、分布性和易管理性方面具有强大的优势，主要体现在三个方面：可靠性：通过专利的路由热备份技术，在整个虚拟架构内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了虚拟架构的可靠性和高性能，同时消除了单点故障，避免了业务中断；分布性：通过分布式跨设备链路聚合技术，实现多条上行链路的负载分担和互为备份，从

25、而提高整个网络架构的冗余性和链路资源的利用率；易管理性：整个弹性架构共用一个IP管理，简化网络设备管理，简化网络拓扑管理，提高运营效率，降低维护成本。精细化业务控制提供完善的队列调度、拥塞避免、流量监管、流量整形、优先级标记等功能，可保证不同业务的带宽、时延和抖动，满足不同用户、不同业务等级的“区分服务”。 S9500E的Crossbar交换网支持VoQ和E2E流控技术，可有效避免报文的头阻塞（HOL），并且在Crossbar上实现了报文的“区分服务”。性能卓越的MPLS VPN解决方案 S9500E 支持全分布式的 MPLS L3 VPN、VLL 和 VPLS/H-VPLS 业

26、务，能够胜任高性能 P/PE 应用，提供高品质和多层次的MPLS VPN解决方案。 S9500E支持分布式组播VPN，可以满足用户在MPLS VPN网络中方便的开启高性能的组播业务，满足用户的视频会议和远程教学等组播业务需求。丰富的网络流量分析功能 S9500E 支持 sFlow、Netstream 两种网络流量分析方式，支持专用高性能硬件板卡实现对网络业务分析功能，支持采样功能和流量统计功能，支持V5、V8和V9多种分析报文格式，与 iMC 分析系统配合，为用户提供完整的网络流量分析解决方案；支持向主、备分析服务器同时发送日志，防止统计信息丢失。网络业务分析使原本不可见的业务应用流

27、量变得一目了常州第四人民医院（新北医院）智能化工程第二章计算机网络系统浙大网新系统工程有限公司 2-8 然，可以为用户提供多种网流分析报表，帮助用户及时优化网络结构、调整资源部署。完善的安全机制 S9500E 秉承 H3C 公司的开放架构设计理念开放应用架构（OAA）支持防火墙模块、 IPS 模块、负载均衡等安全控制模块，可以将安全保护功能扩展到交换机的每个端口；支持虚拟防火墙功能，可以为 VPN 用户提供网络防火墙的租用服务。实现了网络业务和安全业务的无缝融合。支持用户分级管理和口令保护，对登录用户进行认证，并且不同级别的用户有不同的配置权限，用户认证方式包括：AAA 认证、

28、RADIUS 认证等认证方式等；支持 SSHv2.0，为用户登录提供安全加密通道；支持标准和扩展 ACL，可以对报文进行过滤，防止网络攻击；支持控制平面的多级保护机制，防止 DoS / DDoS 攻击；支持 uRPF 技术，防止基于源地址欺骗的网络攻击行为。无线一体化解决方案 S9500E集成无线控制模块，实现有线无线一体化解决方案。无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对 IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。全面的IPv6解决方案 IP

29、v6作为下一代网络的基础协议以其特有的技术优势得到广泛的认可， S9500E全面支持 IPv6 协议族，支持 IPv6 静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+等 IPV6 路由协议，支持丰富的IPv4向IPv6过渡技术，包括：IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、 IPv4兼容自动配置隧道等隧道技术，保证IPv4向IPv6的平滑过渡。全方位的维护检测机制在线状态检测机制，通过专用的维护引擎，可以实现对设备的交换网板、背板通信通道、业务通信通道、关键芯片、存储器等进行检测。一旦相关模块发生故障，可通过 EMS 上报给系统。单板隔离功能，

30、可以将指定单板从转发平面中隔离出来，不再参与转发平面的转发，但被隔离单板仍在控制平面中，可对其进行管理操作，如对该单板进行实时诊断、CPLD升级等业务处理，而不影响系统其它的业务。二、外网核心设计外网主要提供医院INTERNET访问、对外网站服务等业务，所有业务都要经过核心交换机。考虑医院网络建设的经济性外网核心交换机采用1台H3C S9503E路由交换交换机，双引擎双电源冗余设计。采用分布式体系架构，实现 IPv4/IPv6 业务的线速无阻塞转发。所有单板支持热插拔；电源系统交流/直流可选，采用 1+1 冗余热备份，并支持双路电源输入；支持 STP/RSTP/MSTP协议和

31、VRRP协议，能够满足苛刻的电信级网络可靠性要求，系统可靠性达到： 99.999。 5.4.2汇聚层设计根据医院信息化建设的特点，以及综合布线系统的结构，在医疗综合楼（一期）、医疗综合楼（二期）和行政综合楼（二期）分别作三个汇聚点，系统将完成完整三层架构。本次设计根据招标文件要求只对医疗综合楼（一期）进行设计。其中内网汇聚采用两台 H3C S7500E 系列交换机，并通过双 10G 链路上联至核心，下联通过 1000M 双链路至每台接入。外网汇聚层交换机采用1台台H3C S7500E系列交换机，并通过10G链路上联至核心，下联通过1000M 单链路至每台接入。 H3C S75

32、00E系列交换机具有以下特点：丰富的业务，适应融合业务网络发展趋势全面的MPLS业务能力 H3C S7500E所有产品均支持Multi-VRF特性，可以作为MCE设备使用；支持三层的MPLS VPN和二层的MPLS VPN（Martini、Kompella），可扩展支持VPLS技术；支持MPLS OAM特性，方便用户的管理和维护；与H3C MPLS VPN Manager配合，实现图形化的MPLS部署与维护。常州第四人民医院（新北医院）智能化工程第二章计算机网络系统浙大网新系统工程有限公司 2-9 线速的IPv4/IPv6业务能力 H3C S7500E支持IPv4/IPv6双协议

33、栈,支持多种隧道技术，支持IPv4/IPv6 的组播技术，为用户提供完善的 IPv4/IPv6 解决方案；H3C S7500E 采用分布式体系架构，实现 IPv4/IPv6 业务的线速无阻塞转发；H3C S7500E 已经通过了信息产业部的 IPv6 入网认证和 IPv6 Ready 第二阶段金色认证，是成熟商用的IPv6产品。有线无线一体化，有源无源一体化 H3C S7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的 RF 管理及安全机制、快速漫游、超强的 QoS 和对 IPv6 的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准

34、入防御，提高了整网的安全性。 H3C S7500E 是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入 10240 个FTTH用户；H3C S7500E是高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。支持Portal认证 H3C S7500E 支持大容量的 Portal 认证功能，可以在数千用户的局域网中做为 EAD 网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。灵活的配置，适应各种应用场景配线间融合

35、业务网络的最佳选择 H3C S7500E 针对配线间的需求定制开发了 SA 板卡，单台设备可以提供 480 个千兆线速接口和4个万兆线速接口。H3C S7500E支持端点准入防御解决方案，解决终端安全问题；内置2800W电源直接提供PoE功能，对IP语音和无线接入提供良好的支持。政府电力城域网边缘和汇聚的最佳选择 H3C S7500E 支持 Multi-VRF 特性，为用户提供高可靠高性能的 MCE 设备；通过配置 Salience VI-Turbo引擎，可以提供集中式MPLS业务功能，适合在城域网边缘作为高性价PE 设备使用；通过配置 EA 类板卡，可以提供分布式线速的 MPLS 业务

36、功能，适合在城域网汇聚层作为高性能的PE使用。 IPv6网络的最佳选择 H3C S7500E 所有 Salience VI 引擎都可以提供集中式 IPv6 功能，H3C S7500E 针对 IPv4/IPv6高性能的要求还开发了分布式IPv4/IPv6转发的SC板卡，在整机满配置状态下实现线速无收敛，为高校用户提供了高性能低成本的双栈汇聚核心设备，同时也满足其他行业用户IPv6 Ready的需求。全方位的安全保障，抵御多种网络安全威胁三平面安全保障机制 H3C S7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块

37、，防止TCN、 ARP等协议报文攻击， OSPF/BGP/IS-IS 路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSH V2，基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN 、MAC和端口等多种组合精细绑定；支持uRPF 单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。有线无线全面支持EAD H3C S7500E是EA

38、D端点准入防御解决方案的重要组成部分，S7500E可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD，也支持无线终端用户的EAD，能够做到终端安全防范无漏洞。增强的ACL特性 H3C S7500E系列产品支持强大的ACL能力：支持标准和扩展ACL；支持基于VLAN的ACL，方便用户配置，节省 ACL 资源；支持出方向和入方向的 ACL，每板最大可支持 9K 条 ACL，满常州第四人民医院（新北医院）智能化工程第二章计算机网络系统浙大网新系统工程有限公司 2-10 足金融等行业访问权限严格控制的需求。

39、电信级的高可靠性，保障用户业务长期稳定运行电信级高可靠性设计 H3C S7500E采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3C S7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999的电信级可靠性。多业务高可靠性运行 H3C S7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议，提供小于200ms的环网故障保护；支持Smart-Link协议，保证双上行网络拓扑

40、的业务毫秒级快速切换。通过上述技术，H3C S7500E可以在承载多业务的情况下不间断运行，实现业务的永续。支持热补丁技术 H3C S7500E 能够在不重启设备的前提下，通过热补丁技术，在线修改软件 BUG，增加新的业务特性。H3C S7500E提供控制补丁单元状态切换的用户命令，使用户能够方便的加载、激活、去激活、运行或删除补丁单元。通过热补丁技术，降低了设备需要重启的次数，为客户提供更长的网络正常工作时间。 5.4.3接入层设计由于常州第四人民医院（新北医院）信息点数量众多，分布范围广，在桌面终端的接入层，接入层是直接与用户相连的设备，使用数量较多，分布较广，所以接入层

41、交换机应该具备较高的性价比，能够尽可能的分担汇聚、核心的数据交换机的压力。此次网络规划中，接入层交换机作为数据、语音、视频等多业务融合网络设备，必须在带宽、优先级、延时、端到端的QoS保证等功能上具有强大的自适应能力。建议采用H3C S3600 系列交换机，扩展性好、安全可靠、多业务的自适应、可靠、方便管理等优点，更适合医院的多重业务的各种网络需求。 H3C S3600系列交换机特点如下：弹性扩展技术-IRF H3C S3600系列交换机采用H3C公司创新的IRF（ Intelligent Resilient Framework）智能弹性技术，与传统组网技术相比，在扩展性、

42、可靠性、整体架构的性能方面具有强大的优势：扩展性IRF 技术允许交换机利用互联电缆实现多台设备的扩展，最大扩展至 384 个 10/100M端口；具有即插即用、单一IP管理，同时大大降低系统扩展的成本。可靠性通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发，极大的增强了堆叠架构的可靠性和性能，同时消除了单点故障，避免了业务中断。分布性通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。完备的安全策略当前的园区网面临着越来越多的安全威胁和挑战，如何实现安全的接入控制，防止

43、病从口入？如何对攻击源进行定位和反查？如何监控网络中的各种流量并进行分析控制？H3C S3600系列交换机在安全策略方面为用户提供全新的技术特性和解决方案。传统的802.1X认证方式只解决了用户的权限问题，对用户终端的安全状态无能为力，病毒可以通过合法用户的感染终端进入网络系统和应用系统。H3C S3600 系列交换机支持 EAD （端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管

44、理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。常州第四人民医院（新北医院）智能化工程第二章计算机网络系统浙大网新系统工程有限公司 2-11 传统交换机对端口的镜像功能都是基于本地实现，镜像数据流无法穿越网络在核心实现统一采集、监控和分析；H3C S3600支持跨交换机的远程端口镜像功能（RSPAN），可以将接入端口的流量镜像到核心交换机（例如S9500/7500）上，在核心上启动网流分析（Netstream）功能，配合XLOG系统对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。传统行业和园区网采用DHCP技术后极大简化了网络地址的分配和

45、管理。但同时，在一个不安全的园区网中（如校园网），存在恶意地址欺骗、擅自修改IP地址、私设DHCP Server 等安全事件和隐患。H3C S3600系列交换机提供DHCP Snooping（侦听）功能，通过建立和维护DHCP Snooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN-ID 接口等信息，解决了 DHCP用户的IP 和端口跟踪定位问题。同时对不符合绑定表项的非法报文（ARP 欺骗报文、擅自修改 IP 地址的报文）直接丢弃，保证 DHCP 环境的真实性和一致性。同时利用DHCP Snooping的信任端口特性可以保证DHCP Server的合法性。 H

46、3C S3600 系列交换机还支持特有的 ARP 入侵检测功能，可有效防止黑客或攻击者通过 ARP报文实施日趋盛行的“ARP欺骗攻击”，对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性，防止包括MAC 欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。多业务融合能力按业务类型大致分成数据、语音、视频、多媒体等，不同的业务对基础网络的要求,比如带宽、优先级、延时、端到端的QoS保证等，如果这些都需要手工进行设置和调整,那么网络的适应能力无从谈起，因此IToI

47、P的基础网络应该是对业务变化自动感知和自动适应的系统，对业务需要的网络参数能够自动生成、自动下发、自动调整和自动优化。例如对于语音业务来说，大量的IP PHONE的部署需要配置和远程供电，H3C S3600系列交换机通过支持Voice VLAN技术和智能POE技术很好的解决了该类设备的智能检测、供电和优先级的调整问题。 Voice VLAN技术是指交换机通过识别端口的语音流，将对应的接入端口加入Voice VLAN （专用语音VLAN）中，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置Voice VLAN安全特性，只允许语音流量通过，可以

48、有效防止突发数据流量对Voice VLAN内的语音流量的冲击。 PoE （Power over Ethernet）技术是指通过以太网对所连接的设备（如IP Phone, Wireless AP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。PoE技术符合802.3af标准，通过以太网电口对外供电，采用数据线提供-48V直流电源。当PD设备插到端口上后，交换机将自动对PD设备进行检测，进行功率分类，并根据当前剩余电源、端口供电优先级的配置、端口最小功率配置等参数，决定是否对此设备供电以及分配功率。通过PoE技术和Voice VLAN技术的结合可以提供完整的语音设备管理方案。高可靠性设计 H

展开阅读全文