梁山縣人民醫(yī)院數(shù)據(jù)網(wǎng)絡(luò)技術(shù)建議書

1、梁山縣人民醫(yī)院綜合大樓數(shù)據(jù)網(wǎng)絡(luò)技術(shù)建議書二零一一年五月目 錄1項目簡介41.1網(wǎng)絡(luò)建設(shè)目標(biāo)41.2網(wǎng)絡(luò)建設(shè)原則42網(wǎng)絡(luò)建設(shè)方案52.1網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃52.1.1內(nèi)網(wǎng)設(shè)計52.1.2外網(wǎng)設(shè)計93ip地址規(guī)劃133.1ip地址規(guī)劃原則133.1.1ip地址規(guī)劃總原則133.1.2ip地址規(guī)劃具體原則133.2ip地址分配規(guī)劃143.2.1內(nèi)網(wǎng)ip地址規(guī)劃143.2.2外網(wǎng)ip地址規(guī)劃143.2.3備用地址143.3ip地址分配方案143.3.1設(shè)備loopback地址的分配153.3.2設(shè)備間互連地址的分配153.4網(wǎng)絡(luò)設(shè)備命名規(guī)則153.4.1網(wǎng)絡(luò)設(shè)備基本命名原則153.4.2網(wǎng)絡(luò)設(shè)備命名164v

2、lan規(guī)劃164.1vlan概述164.2vlan的劃分174.3vlan規(guī)劃方案194.3.1內(nèi)網(wǎng)vlan規(guī)劃204.3.2外網(wǎng)vlan規(guī)劃215qos優(yōu)化215.1qos部署策略216網(wǎng)絡(luò)管理226.1網(wǎng)元管理226.1.1產(chǎn)品外觀236.1.2產(chǎn)品特點246.2安全管理266.2.1集中安全管理266.2.2防火墻設(shè)備的管理266.2.3入侵檢測設(shè)備的管理277設(shè)備選型介紹277.1設(shè)備選型277.1.1quidway s9300系列新一代以太匯聚交換機產(chǎn)品簡介277.1.2quidway s2300系列運營級接入交換機產(chǎn)品簡介297.1.3usg5000統(tǒng)一安全網(wǎng)關(guān)產(chǎn)品簡介297.1.

3、4nip1000網(wǎng)絡(luò)智能入侵檢測系統(tǒng)產(chǎn)品簡介307.1.5secospace vsm網(wǎng)管系統(tǒng)簡介317.2選型產(chǎn)品特點317.2.1quidway s9300 產(chǎn)品特點317.2.2quidway s2300 產(chǎn)品特點337.2.3usg5000統(tǒng)一安全網(wǎng)關(guān)產(chǎn)品特點347.2.4nip1000網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品特點357.2.5secospace vsm網(wǎng)管系統(tǒng)產(chǎn)品特點367.3產(chǎn)品規(guī)格387.3.1quidway s9300系列交換機業(yè)務(wù)規(guī)格性能387.3.2quidway s2300系列以太網(wǎng)交換機規(guī)格特性397.3.3usg5000統(tǒng)一安全網(wǎng)關(guān)產(chǎn)品規(guī)格417.3.4nip1000入侵檢

4、測系統(tǒng)產(chǎn)品規(guī)格性能417.3.5secospace vsm網(wǎng)管系統(tǒng)產(chǎn)品規(guī)格性能428華為服務(wù)438.1服務(wù)概述438.2華為技術(shù)服務(wù)架構(gòu)458.3維保服務(wù)實施流程468.4維保服務(wù)內(nèi)容介紹478.5維保服務(wù)等級承諾（sla）508.6華為培訓(xùn)組織及培訓(xùn)方式521 項目簡介1.1 網(wǎng)絡(luò)建設(shè)目標(biāo)梁山縣人民醫(yī)院綜合大樓網(wǎng)絡(luò)建設(shè)項目的總體目標(biāo)是建成一個技術(shù)先進、穩(wěn)定高效、安全可靠，具有較高可維護性和管理性的以太網(wǎng)。該網(wǎng)是企業(yè)內(nèi)部網(wǎng)與外部網(wǎng)絡(luò)分割，外網(wǎng)通過防火墻可以與國際互聯(lián)網(wǎng)鏈接。內(nèi)網(wǎng)和外網(wǎng)采用物理分離的方式，內(nèi)網(wǎng)主要承載醫(yī)院的核心業(yè)務(wù)系統(tǒng)，如his、pacs等；外網(wǎng)主要承載輔助性系統(tǒng)，如oa、管理經(jīng)

5、濟系統(tǒng)、視頻監(jiān)控、ip語音等業(yè)務(wù)，同時還承擔(dān)對外的信息發(fā)布和遠(yuǎn)程醫(yī)療的作用。內(nèi)網(wǎng)和外網(wǎng)之間可以在服務(wù)器端進行數(shù)據(jù)的共享和互通。1.2 網(wǎng)絡(luò)建設(shè)原則梁山縣人民醫(yī)院綜合大樓網(wǎng)絡(luò)目前主要作為辦公系統(tǒng)的承載以及就診人員訪問internet的平臺，將來會發(fā)展為全院的信息承載平臺，因此，梁山縣人民醫(yī)院綜合大樓網(wǎng)絡(luò)是整個醫(yī)院信息化的基礎(chǔ)網(wǎng)絡(luò)平臺。網(wǎng)絡(luò)建設(shè)遵循以下原則：內(nèi)、外網(wǎng)均應(yīng)具有高帶寬、高可靠、高性能、高安全的特性，骨干速率達到千兆同時應(yīng)該具有向更高速率平滑擴容的能力（可根據(jù)需要平滑升級到萬兆），網(wǎng)絡(luò)關(guān)鍵點能夠冗余熱備保障系統(tǒng)連續(xù)穩(wěn)定運行，使網(wǎng)絡(luò)能夠很好地為整個醫(yī)院的醫(yī)院信息化應(yīng)用提供可靠的網(wǎng)絡(luò)平臺，提

6、高梁山縣人民醫(yī)院的服務(wù)質(zhì)量和經(jīng)濟效益。l 標(biāo)準(zhǔn)性建立一個開放式，遵循國際標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)。對于所有用到的網(wǎng)絡(luò)協(xié)議，以及接口的電氣標(biāo)準(zhǔn)，都將完全符合在中國所應(yīng)用的國際標(biāo)準(zhǔn)，為將來的擴展消除任何不必要的產(chǎn)品障礙。l 技術(shù)先進、成熟性選擇先進成熟的設(shè)備和技術(shù)，保證建設(shè)完成的網(wǎng)絡(luò)在3年內(nèi)無需大的改動，技術(shù)適應(yīng)性至少保持5年可用。l 可用性和可靠性保證匯聚以上的網(wǎng)絡(luò)中單點故障不會使局部網(wǎng)絡(luò)失去與整個網(wǎng)絡(luò)的連接，多點故障不會造成整個網(wǎng)絡(luò)被分成幾個互不相連的部分；核心網(wǎng)絡(luò)在物理鏈路中斷的情況下，能夠自愈保護。l 網(wǎng)絡(luò)安全性對用戶進行合理的區(qū)域劃分，實現(xiàn)對網(wǎng)絡(luò)用戶的訪問控制；能有效的抵御病毒的入侵和惡意攻擊，確

7、保網(wǎng)絡(luò)的安全。l 可擴展性網(wǎng)絡(luò)系統(tǒng)在體系結(jié)構(gòu)、容量、產(chǎn)品升級、處理能力等方面必須為今后的擴充留有足夠的余地，保證滿足后續(xù)擴容的需求，以及梁山縣人民醫(yī)院綜合大樓其他系統(tǒng)的需求。l 可管理性網(wǎng)絡(luò)系統(tǒng)具有服務(wù)質(zhì)量的控制機制，通過網(wǎng)管軟件管理、監(jiān)控整個網(wǎng)絡(luò)系統(tǒng)，并提供標(biāo)準(zhǔn)接口可以連接相關(guān)的網(wǎng)絡(luò)管理平臺。l 保護現(xiàn)有投資在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級，用作骨干網(wǎng)外聯(lián)的接入設(shè)備。2 網(wǎng)絡(luò)建設(shè)方案2.1 網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃梁山縣人民醫(yī)院綜合樓網(wǎng)絡(luò)，內(nèi)網(wǎng)和外網(wǎng)采用物理分離的方式，內(nèi)網(wǎng)主要承載醫(yī)院的核心業(yè)務(wù)系統(tǒng)，如his、pacs等；外網(wǎng)主要承載輔助性系統(tǒng)，如oa、管理經(jīng)濟系統(tǒng)、視頻

8、監(jiān)控、ip語音等業(yè)務(wù)，同時還承擔(dān)對外的信息發(fā)布和遠(yuǎn)程醫(yī)療的作用。外網(wǎng)通過防火墻可以與國際互聯(lián)網(wǎng)鏈接。2.1.1 內(nèi)網(wǎng)設(shè)計內(nèi)網(wǎng)系統(tǒng)承載著醫(yī)院的核心業(yè)務(wù)，因此，在設(shè)計時充分考慮了網(wǎng)絡(luò)結(jié)構(gòu)的穩(wěn)定性，同時保證適度前瞻性的需求，采用雙星型的拓?fù)浣Y(jié)構(gòu)，以兩臺s9300系列交換機做核心交換設(shè)備，互為冗余熱備，通過萬兆鏈路聚合到一起，既提高了兩者之間連接的帶寬同時又滿足了當(dāng)其中一條鏈路出問題時，有備份線路。下聯(lián)17臺s2300交換機及1臺s5300交換機作為接入層，接入層與核心層均以2g光纖連接，主備核心設(shè)備間以萬兆光路互聯(lián)。1、 降低布設(shè)成本2、 可以靈活進行擴容3、 可以在占用較少空間的前提下提供足夠的接

9、入端口4、 s9300 s2300 系列交換機可提供穩(wěn)定的快速的包交換處理5、 2臺s9300 系列交換機做核心可提供安全可靠的熱備份允余6、 接入層與核心層雙鏈路互聯(lián)提高了網(wǎng)絡(luò)整體的穩(wěn)定性和彈性。另外，在人民醫(yī)院綜合樓網(wǎng)絡(luò)和醫(yī)院現(xiàn)有其他內(nèi)部網(wǎng)絡(luò)聯(lián)接時，必須要考慮到彼此的安全性，既要防止綜合樓網(wǎng)絡(luò)受到來自醫(yī)院其他內(nèi)部網(wǎng)絡(luò)的一些病毒、蠕蟲、木馬等惡意攻擊，也要防止綜合樓網(wǎng)絡(luò)中某些用戶終端因為各種各樣的原因感染了木馬、蠕蟲、僵尸等惡意程序后，通過綜合樓網(wǎng)絡(luò)出口向整個人民醫(yī)院內(nèi)網(wǎng)迅速大范圍的傳播。因此，必須在綜合樓網(wǎng)絡(luò)出口處部署華為usg5000系列統(tǒng)一安全網(wǎng)關(guān)并配合華為ids入侵檢測系統(tǒng)，為網(wǎng)絡(luò)提

10、供極高的安全保障。再者，綜合大樓網(wǎng)絡(luò)與醫(yī)院的數(shù)據(jù)中心之間，因為存在著大量的重要的數(shù)據(jù)交換，因此也必須進行相應(yīng)的安全防護措施。因為華為usg5000系列統(tǒng)一安全網(wǎng)關(guān)產(chǎn)品具備虛擬防火墻功能，不同的虛擬防火墻可以設(shè)定不同的防護規(guī)則，即一臺防火墻可以模擬出多臺防火墻使用，因此就可以使用華為usg5000系列統(tǒng)一安全網(wǎng)關(guān)并配合華為ids入侵檢測系統(tǒng)，同樣為綜合樓網(wǎng)絡(luò)與數(shù)據(jù)中心之間的數(shù)據(jù)通道提供極高的安全保障。主要作用： 實時監(jiān)控進出綜合樓網(wǎng)絡(luò)中各種數(shù)據(jù)報文及網(wǎng)絡(luò)行為，提供及時的報警及響應(yīng)機制。其動態(tài)的安全響應(yīng)體系與防火墻等靜態(tài)的安全體系形成強大的協(xié)防體系，大大增強了用戶的整體安全防護強度，對來自綜合樓外

11、部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的各種攻擊進行防范?？梢岳胕ds和華為統(tǒng)一安全網(wǎng)關(guān)的聯(lián)動措施，主動更新統(tǒng)一安全網(wǎng)關(guān)的規(guī)則，主動防御。通過華為統(tǒng)一安全網(wǎng)關(guān)的攻擊防范能力，保障綜合樓網(wǎng)絡(luò)的資源安全。 提供高效的日志服務(wù)功能，可以滿足用戶對攻擊、流量監(jiān)控、會話流信息等日志信息進行記錄。 統(tǒng)一安全網(wǎng)關(guān)可以工作在透明模式、路由模式，可以滿足用戶的組網(wǎng)靈活性。 統(tǒng)一安全網(wǎng)關(guān)支持雙機熱備組網(wǎng)，提高鏈路的可靠性。入侵檢測設(shè)備nip1000內(nèi)置強大的ip分片功能、智能協(xié)議解碼器、高效的tcp流重組及細(xì)粒度的會話分析功能，可以迅速、準(zhǔn)確地檢測各種攻擊行為。同時 nip具有2000余種入侵特征庫，可以檢測dos、掃描、代碼攻擊、

12、后門等多種入侵攻擊。有效降低漏報和誤報。nip對檢測到的入侵企圖或違背已設(shè)定的安全策略的活動做出實時響應(yīng)，并提供多種響應(yīng)方式。包括：l 切斷與入侵有關(guān)的會話。l 通過移動電話發(fā)送報警消息。l 通過電子郵件發(fā)送報警信息。l 運行用戶指定的應(yīng)用程序。l 在windows操作系統(tǒng)事件日志中記錄報警。l 將與入侵有關(guān)的信息保存在數(shù)據(jù)庫中。l 聯(lián)動防火墻。當(dāng)有入侵事件發(fā)生時，入侵檢測系統(tǒng)向防火墻發(fā)送消息，防火墻將動態(tài)生成規(guī)則，阻斷入侵者。nip 提供根據(jù)入侵信息發(fā)出入侵警報以及限制網(wǎng)絡(luò)訪問等功能，以保護服務(wù)器免受外部和內(nèi)部的攻擊。nip通過簡單易用的管理界面和入侵檢測、入侵阻斷、入侵報警、入侵日志等功能

13、，提供最佳的策略來增強 internet 商業(yè)環(huán)境的安全性。 nip特別適用于需要極高網(wǎng)絡(luò)安全性的機構(gòu)，例如：審計機構(gòu)、安全顧問機構(gòu)、安全法律執(zhí)行機構(gòu)、大型企業(yè)、internet 服務(wù)提供商、培訓(xùn)機構(gòu)以及涉及敏感信息的政府機構(gòu)等。nip 采用stealth技術(shù)，有效地防止入侵檢測系統(tǒng)的暴露，提高入侵檢測系統(tǒng)自身的安全性。組網(wǎng)圖如下：內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)計統(tǒng)計資料如下：相關(guān)配置如下：1. s9306核心交換機2臺（主、備），每臺設(shè)備各配置1塊24端口百兆/千兆以太網(wǎng)光接口和2端口萬兆以太網(wǎng)光接口板，1塊48端口百兆/千兆以太網(wǎng)電接口板，同時配置40個千兆多模光模塊（聯(lián)接各匯聚交換機及防火墻、ids）和2個

14、千兆單模光模塊（聯(lián)接原有的網(wǎng)絡(luò)）及2個萬兆多模光模塊。2. s2352p-ei 交換機17臺，做為接入層設(shè)備；每臺設(shè)備各配置2個千兆光模塊（1個主用，1個冗余），用于上聯(lián)。3. usg5320統(tǒng)一安全網(wǎng)關(guān) 2臺，各配置4個千兆光口模塊，布置于綜合樓網(wǎng)絡(luò)出口，并做雙機熱備。4. 華為ids（nip1000）入侵檢測系統(tǒng)一套，4個10/100/1000m探測端口(兩光兩電)，配置2個千兆光口模塊。需要配置一臺nip控制臺服務(wù)器。5. 華為secospace vsm網(wǎng)管系統(tǒng),需要配置一臺網(wǎng)管服務(wù)器。6. 服務(wù)器：服務(wù)器型號性能指標(biāo)描述數(shù)量網(wǎng)管服務(wù)器 （華為rh2285）支持1/2 個intel xe

15、on 5500系列雙核/四核處理器，最高主頻2.93ghz，單顆cpu三級緩存最高支持8mb支持 12 條 ddr3 rdimm/udimm內(nèi)存，最大內(nèi)存容量達 96gb板載 2 個 ge 網(wǎng)口，支持toe最大支持12個2.5/3.5英寸熱插拔 sas/sata 硬盤，最高可配置 5.4tb sas 硬盤，或 12tb sata 硬盤可選配置sr100 raid 卡支持raid 0/1/1e可選配置 sr200 raid卡，支持256m高速緩存，支持raid 0/1/10/5/6/50/60數(shù)據(jù)保護技術(shù)，可選 bbu 電池模塊提供掉電數(shù)據(jù)保護。dms服務(wù)器、采集服務(wù)器、報表服務(wù)器1nip控制臺

16、服務(wù)器（華為rh2285）支持1/2 個intel xeon 5500系列雙核/四核處理器，最高主頻2.93ghz，單顆cpu三級緩存最高支持8mb支持 12 條 ddr3 rdimm/udimm內(nèi)存，最大內(nèi)存容量達 96gb板載 2 個 ge 網(wǎng)口，支持toe最大支持12個2.5/3.5英寸熱插拔 sas/sata 硬盤，最高可配置 5.4tb sas 硬盤，或 12tb sata 硬盤可選配置sr100 raid 卡支持raid 0/1/1e可選配置 sr200 raid卡，支持256m高速緩存，支持raid 0/1/10/5/6/50/60數(shù)據(jù)保護技術(shù)，可選 bbu 電池模塊提供掉電數(shù)據(jù)

17、保護。安裝nip1000控制臺軟件系統(tǒng)12.1.2 外網(wǎng)設(shè)計根據(jù)梁山縣人民醫(yī)院綜合大樓網(wǎng)絡(luò)項目建設(shè)的基本原則，網(wǎng)絡(luò)設(shè)計適度前瞻性的要求，網(wǎng)絡(luò)采用星型的拓?fù)浣Y(jié)構(gòu)，分層化設(shè)計，以一臺s9300系列交換機做核心交換設(shè)備，下聯(lián)17臺s2300交換機及1臺s5300交換機作為接入層，接入層與核心層均以2g光纖連接。同時，因為外網(wǎng)要直接上聯(lián)internet，因此必須在外網(wǎng)出口處進行足夠的安全防護，建議選用華為usg5170統(tǒng)一安全網(wǎng)關(guān)產(chǎn)品，能夠為梁山縣人民醫(yī)院提供理想的全面安全防護，實現(xiàn)不受內(nèi)部和外部攻擊、防止未授權(quán)訪問并滿足法規(guī)遵從性要求。一體化的設(shè)計，最大化減少設(shè)備運營成本和維護復(fù)雜性，提供高性價比方

18、案。采用華為成熟的安全軟件平臺，完整繼承華為防火墻功能特性。提供多安全區(qū)域劃分，滿足不同等級安全需求；提供透明、路由、混合等多種功能模式，適應(yīng)場景豐富；提供增強的報文過濾功能，提供多種nat應(yīng)用支持，提供強大的攻擊防范能力。同樣通過部署入侵檢測設(shè)備nip1000可以檢測dos、掃描、代碼攻擊、后門等多種入侵攻擊。當(dāng)有入侵事件發(fā)生時，入侵檢測系統(tǒng)向防火墻發(fā)送消息，防火墻將動態(tài)生成規(guī)則，阻斷入侵者。外網(wǎng)網(wǎng)絡(luò)設(shè)計統(tǒng)計資料如下：相關(guān)配置如下：7. s9306核心交換機1臺，配置1塊24端口百兆/千兆以太網(wǎng)光接口板，1快48端口百兆/千兆以太網(wǎng)電接口板，同時配置19個千兆多模光模塊（聯(lián)接各匯聚交換機及防

19、火墻、ids）。8. s2352p-ei 交換機17臺，做為接入層設(shè)備；每臺設(shè)備各配置2個千兆光模塊（1個主用，1個冗余），用于上聯(lián)。9. usg5320統(tǒng)一安全網(wǎng)關(guān)1臺，配置2個千兆光口模塊，布置于外網(wǎng)網(wǎng)絡(luò)核心交換機與路由器之間。10. usg5150bsr路由器1臺，配置至少2個千兆光口，配置1個千兆光模塊11. 華為ids（nip1000）入侵檢測系統(tǒng)一套，4個10/100/1000m探測端口(兩光兩電)。需要配置一臺nip控制臺服務(wù)器（可與內(nèi)網(wǎng)共用）。12. 華為secospace vsm網(wǎng)管系統(tǒng),需要配置1臺網(wǎng)管服務(wù)器（可與內(nèi)網(wǎng)共用）。 拓?fù)鋱D如下：整合梁山縣人民醫(yī)院綜合樓的內(nèi)外網(wǎng)系

20、統(tǒng)，整體拓?fù)鋱D示意如下：設(shè)備配置清單如下：產(chǎn)品性能指標(biāo)描述數(shù)量s9306核心交換機雙主控、雙電源，配置1塊24端口百兆/千兆以太網(wǎng)光接口和2端口萬兆以太網(wǎng)光接口板，1塊48端口百兆/千兆以太網(wǎng)電接口板，同時配置40個千兆多模光模塊（聯(lián)接各匯聚交換機及防火墻、ids）和2個千兆單模光模塊（聯(lián)接原有的網(wǎng)絡(luò)）及2個萬兆多模光模塊。內(nèi)網(wǎng)核心交換機2s9306核心交換機雙主控、雙電源，配置1塊24端口百兆/千兆以太網(wǎng)光接口板，1快48端口百兆/千兆以太網(wǎng)電接口板，同時配置19個千兆多模光模塊（聯(lián)接各匯聚交換機及防火墻、ids）。外網(wǎng)核心交換機1s2352tp-ei 交換機quidway s2352tp-

21、ei以太網(wǎng)交換機主機,24 10/100 base-tx,2 combo (10/100/1000 base-t or 100/1000 base-x sfp),交流供電)，配置2個千兆光模塊（1個主用，1個冗余），用于上聯(lián)。內(nèi)、外網(wǎng)樓層交換機51網(wǎng)管服務(wù)器 （華為rh2280）2u機架式，支持1/2 個intel xeon 5500系列雙核/四核處理器，最高主頻2.93ghz，單顆cpu三級緩存最高支持8mb支持 12 條 ddr3 rdimm/udimm內(nèi)存，最大內(nèi)存容量達 96gb板載 2 個 ge 網(wǎng)口，支持toe最大支持12個2.5/3.5英寸熱插拔 sas/sata 硬盤，最高可配

22、置 5.4tb sas 硬盤，或 12tb sata 硬盤可選配置sr100 raid 卡支持raid 0/1/1e可選配置 sr200 raid卡，支持256m高速緩存，支持raid 0/1/10/5/6/50/60數(shù)據(jù)保護技術(shù)，可選 bbu 電池模塊提供掉電數(shù)據(jù)保護。dms服務(wù)器、采集服務(wù)器、報表服務(wù)器安裝網(wǎng)管軟件系統(tǒng)1nip控制臺服務(wù)器（華為rh2280）2u機架式，支持1/2 個intel xeon 5500系列雙核/四核處理器，最高主頻2.93ghz，單顆cpu三級緩存最高支持8mb支持 12 條 ddr3 rdimm/udimm內(nèi)存，最大內(nèi)存容量達 96gb板載 2 個 ge 網(wǎng)口

23、，支持toe最大支持12個2.5/3.5英寸熱插拔 sas/sata 硬盤，最高可配置 5.4tb sas 硬盤，或 12tb sata 硬盤可選配置sr100 raid 卡支持raid 0/1/1e可選配置 sr200 raid卡，支持256m高速緩存，支持raid 0/1/10/5/6/50/60數(shù)據(jù)保護技術(shù)，可選 bbu 電池模塊提供掉電數(shù)據(jù)保護。安裝nip1000控制臺軟件系統(tǒng)1nip1000入侵檢測系統(tǒng)4探頭千兆入侵檢測，2個10/100/1000m探測端口(電口)，2個10/100/1000m探測端口（光口），1個10/100m管理端口(電口)，1個配置串口內(nèi)、外網(wǎng)入侵檢測系統(tǒng)，與

24、防火墻聯(lián)動2usg5320防火墻usg5320交流主機-含hs 通用安全平臺軟件，提供四個固定的10/100/1000m以太網(wǎng)口，光口電口任選互斥，2個擴展插槽,支持4fe、2ge光電互斥接口模塊。外網(wǎng)防火墻，與ids聯(lián)動1usg5320防火墻usg5330交流主機-含hs 通用安全平臺軟件，提供四個固定的10/100/1000m以太網(wǎng)口，光口電口任選互斥，2個擴展插槽,支持4fe、2ge光電互斥接口模塊。內(nèi)網(wǎng)防火墻，雙機熱備，與ids聯(lián)動2usg5150bsr路由器usg5150bsr路由器，標(biāo)配固定2comboge(光電互斥)，交流主機，可擴展e1/ce1/adsl2+/fe/ge廣域網(wǎng)接

25、口外網(wǎng)路由器13 ip地址規(guī)劃3.1 ip地址規(guī)劃原則3.1.1 ip地址規(guī)劃總原則簡潔性：規(guī)劃應(yīng)該盡量簡單，當(dāng)看到一個特定設(shè)備上的ip地址時，就應(yīng)該可以推斷出它是哪一類設(shè)備，在網(wǎng)絡(luò)上的什么位置，不需要查閱大量的文檔手冊。易管理性：易于網(wǎng)絡(luò)管理員進行設(shè)備的維護。連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率。最理想的策略是建立一個分級地址管理規(guī)劃，這樣可以使路由表相對較小?？蓴U展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址疊合所需的連續(xù)性。規(guī)劃應(yīng)至少滿足可以預(yù)測到的增長，如果可能的話，盡量能夠滿足不可預(yù)測的增長或其他變化。靈活性：地址分

26、配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。3.1.2 ip地址規(guī)劃具體原則地址分配應(yīng)考慮近期和遠(yuǎn)期的發(fā)展，減少在網(wǎng)絡(luò)發(fā)展過程中因地址重新規(guī)劃而對業(yè)務(wù)造成的影響。 ip地址的分配必須采用vlsm技術(shù)，保證ip地址的利用效率。 采用cidr技術(shù)，這樣可以減小路由器路由表的大小，加快路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息大小。 地址分配應(yīng)該考慮使用的路由協(xié)議，便于路由表的會聚和控制，應(yīng)盡可能連續(xù)分配。 為不同的業(yè)務(wù)分配一段連續(xù)的ip地址，便于業(yè)務(wù)的區(qū)分。 充分合理利用已申請的地址空間，提高地址的利用效率。 所有信息服務(wù)器采用公有ip地址，以便于信息源的互通。3.2 ip地址

27、分配規(guī)劃考慮到今后業(yè)務(wù)的發(fā)展及擴展性的要求，建議梁山縣人民醫(yī)院采取以下ip地址規(guī)劃方案： 3.2.1 內(nèi)網(wǎng)ip地址規(guī)劃建議內(nèi)網(wǎng)ip地址選用10.10.xxx.xxx網(wǎng)段，根據(jù)需要及不同的樓號樓層進行進一步c網(wǎng)段或1/2、1/4網(wǎng)段的劃分，預(yù)留10.10.254.xxx作為管理網(wǎng)段。3.2.2 外網(wǎng)ip地址規(guī)劃建議外網(wǎng)ip地址選用10.20.xxx.xxx網(wǎng)段，根據(jù)需要及不同的樓號樓層進行進一步c網(wǎng)段或1/2、1/4網(wǎng)段的劃分，預(yù)留10.20.254.xxx作為管理網(wǎng)段。3.2.3 備用地址為了今后擴展需要，在ip地址規(guī)劃方面做了充分了冗余考慮，足夠今后ip擴展的需要。3.3 ip地址分配方案建

28、議采用靜態(tài)分配和動態(tài)分配相結(jié)合的方式來分配ip地址。設(shè)備互聯(lián)地址，設(shè)備loopback地址等采用固定ip地址；各級局域網(wǎng)中，服務(wù)器采用固定地址；一般而言，對于開機率比較低的區(qū)域，或主機位置及人員變動相對比較頻繁的區(qū)域，如辦公區(qū)，業(yè)務(wù)中心等，建議采用動態(tài)地址分配，辦公區(qū)的主機開機時通過dhcp請求獲得一個，用戶的網(wǎng)絡(luò)通信使用該地址，關(guān)機后系統(tǒng)回收該ip地址。這樣既可以節(jié)約ip，也使得網(wǎng)絡(luò)用戶便于管理。3.3.1 設(shè)備loopback地址的分配各種三層設(shè)備的loopback地址的使用，在不同的方面都需要它的參與，對于內(nèi)部路由協(xié)議的正常運行，整個網(wǎng)絡(luò)的正常運行，有著至關(guān)重要的作用。因而對于各個路由器

29、設(shè)備的loopback的分配和管理，應(yīng)當(dāng)采取統(tǒng)一的專有地址空間。通過為所有的路由器設(shè)備分配一個專有的地址空間，能夠更為有效地進行路由器設(shè)備的路由配置和管理，以及方便今后的故障的診斷和排除。loopback地址分配采用17位掩碼的原則。3.3.2 設(shè)備間互連地址的分配設(shè)備間互連的ip地址，從業(yè)務(wù)的相關(guān)性上，他們一般不具有全局的功能，而只是提供完成兩個設(shè)備之間的連接。因而從這個角度上講，這部分的地址空間的分配應(yīng)當(dāng)考慮以下的方面：盡可能以分層次的方式為他們分配地址。由于鏈路地址空間不具有全局性，因而并不需要在全網(wǎng)范圍內(nèi)為每個鏈路保持精確路由。而采取分層次的地址分配方式，能夠?qū)㈡溌返刂分鸺墔R總，從而使

30、得這些地址在各路由器的路由表中占有較少的空間。以降低對路由器的要求，并保證路由器的處理效率。提供足夠的預(yù)留空間，以滿足今后新增鏈路的需要。3.4 網(wǎng)絡(luò)設(shè)備命名規(guī)則3.4.1 網(wǎng)絡(luò)設(shè)備基本命名原則為了保證標(biāo)識網(wǎng)絡(luò)設(shè)備命名的統(tǒng)一性，以便于管理網(wǎng)絡(luò)設(shè)備，應(yīng)該為網(wǎng)絡(luò)中每一臺設(shè)備賦予名稱標(biāo)識，設(shè)備命名的基本原則為：能表示出網(wǎng)絡(luò)設(shè)備的類型能表示出網(wǎng)絡(luò)設(shè)備的物理位置能表示出網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)層次相同物理位置和網(wǎng)絡(luò)層次的網(wǎng)絡(luò)設(shè)備由不同序號區(qū)分能反映出該設(shè)備的業(yè)務(wù)屬性和網(wǎng)元功能3.4.2 網(wǎng)絡(luò)設(shè)備命名網(wǎng)絡(luò)設(shè)備命名可以采用字母與數(shù)字結(jié)合的辦法進行命名?？刹捎靡韵碌姆椒ǎ簝?nèi)網(wǎng)/外網(wǎng)編碼（中文名稱首字母縮寫）樓號樓層

31、編碼（中文名稱首字母縮寫）網(wǎng)絡(luò)設(shè)備標(biāo)識網(wǎng)絡(luò)設(shè)備編號如內(nèi)網(wǎng)（nw）核心（hx）交換機（假如部署在1號樓1層）的sw1可以標(biāo)示為：nw-0101-hx-sw1-s9300，以次類推進行編號。4 vlan規(guī)劃4.1 vlan概述為了解決傳統(tǒng)lan交換網(wǎng)絡(luò)中大量的無用廣播泛濫，以及由其引起的安全問題，誕生了vlan技術(shù)。vlan（virtual local area network）將一個物理的lan 在邏輯上劃分成多個廣播域（多個vlan）。vlan 內(nèi)的主機間可以直接通信，而vlan 間不能直接互通，這樣，廣播報文被限制在一個vlan內(nèi)。vlan的作用主要是隔離廣播域，抑制廣播報文.分隔不同用戶,

32、提高網(wǎng)絡(luò)安全性。但在限制廣播域的同時，也限制了主機之間的二層互訪，所以在對主機進行vlan規(guī)劃的時候應(yīng)該適當(dāng)根據(jù)一定的原則：如將擁有業(yè)務(wù)的主機劃分到一個vlan當(dāng)中，將擁有相同權(quán)限的主機劃分到一個vlan當(dāng)中。vlan具有以下優(yōu)勢：l 限制廣播包，提高帶寬的利用率有效地解決了廣播風(fēng)暴帶來的性能下降問題。一個vlan形成一個小的廣播域，同一個vlan成員都在由所屬vlan確定的廣播域內(nèi)，那么，當(dāng)一個數(shù)據(jù)包沒有路由時，交換機只會將此數(shù)據(jù)包發(fā)送到所有屬于該vlan的其他端口，而不是所有的交換機的端口，這樣，就將數(shù)據(jù)包限制到了一個vlan內(nèi)。在一定程度上可以節(jié)省帶寬；l 減少移動和改變的代價即所說的動

33、態(tài)管理網(wǎng)絡(luò)，也就是當(dāng)一個用戶從一個位置移動到另一個位置時，他的網(wǎng)絡(luò)屬性不需要重新配置，而是動態(tài)的完成，這種動態(tài)管理網(wǎng)絡(luò)給網(wǎng)絡(luò)管理者和使用者都帶來了極大的好處，一個用戶，無論他到哪里，他都能不做任何修改地接入網(wǎng)絡(luò)，這種前景是非常美好的。 當(dāng)然，并不是所有的vlan定義方法都能做到這一點；l 創(chuàng)建虛擬工作組使用vlan的最終目標(biāo)就是建立虛擬工作組模型，例如，在企業(yè)網(wǎng)中，同一個部門的就好像在同一個lan上一樣，很容易的互相訪問，交流信息，同時，所有的廣播包也都限制在該虛擬lan上，而不影響其他vlan的人。一個人如果從一個辦公地點換到另外一個地點，而他仍然在該部門，那么，該用戶的配置無須改變；同時，

34、如果一個人雖然辦公地點沒有變，但他更換了部門，那么，只需網(wǎng)絡(luò)管理員更改一下該用戶的配置即可。這個功能的目標(biāo)就是建立一個動態(tài)的組織環(huán)境，當(dāng)然，這只是一個理想的目標(biāo)，要實現(xiàn)它，還需要一些其他方面的支持。用戶不受到物理設(shè)備的限制，vlan用戶可以處于網(wǎng)絡(luò)中的任何地方，vlan對用戶的應(yīng)用不產(chǎn)生影響；l 增強通訊的安全性一個vlan的數(shù)據(jù)包不會發(fā)送到另一個vlan，這樣，其他vlan用戶的網(wǎng)絡(luò)上是收不到任何該vlan的數(shù)據(jù)包，確保了該vlan的信息不會被其他vlan的人竊聽，從而實現(xiàn)了信息的保密；l 增強網(wǎng)絡(luò)的健壯性當(dāng)網(wǎng)絡(luò)規(guī)模增大時，部分網(wǎng)絡(luò)出現(xiàn)問題往往會影響整個網(wǎng)絡(luò)，引入vlan之后，可以將一些網(wǎng)絡(luò)

35、故障限制在一個vlan之內(nèi)。由于vlan是邏輯上對網(wǎng)絡(luò)進行劃分，組網(wǎng)方案靈活，配置管理簡單，降低了管理維護的成本。4.2 vlan的劃分交換機只能識別不同的數(shù)據(jù)報文，所以對交換機來說對vlan的劃分其實是對數(shù)據(jù)流的劃分，可以理解為：vlan是二層的一個虛擬工作組的概念，它存在的意義就是將數(shù)據(jù)流進行分類。對數(shù)據(jù)流進行分類時所依賴的特征不同，就產(chǎn)生了對vlan的劃分方式的不同：l 根據(jù)端口劃分-基于端口的vlanl 根據(jù)mac劃分 -基于mac的vlanl 根據(jù)ip進行劃分-基于ip子網(wǎng)的vlanl 根據(jù)協(xié)議劃分-基于協(xié)議的vlanl 還可以根據(jù)以上幾種劃分依據(jù)組合進行劃分-基于策略的vlan4.

36、3 vlan規(guī)劃方案vlan的規(guī)劃與網(wǎng)絡(luò)的安全性和性能有很大的關(guān)聯(lián)，需要根據(jù)業(yè)務(wù)需求慎重考慮，嚴(yán)格規(guī)劃?？紤]到性能，為了減小廣播域，建議每個vlan內(nèi)的主機數(shù)量不要超過50臺。經(jīng)過分析，我們建議根據(jù)業(yè)務(wù)部門和所處的網(wǎng)絡(luò)物理位置即樓號樓層等信息來進行vlan的規(guī)劃方案，并結(jié)合梁山縣人民醫(yī)院現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)與設(shè)計，盡可能將業(yè)務(wù)平滑地過渡到新規(guī)劃的網(wǎng)絡(luò)中。vlan規(guī)劃方案如下，具體實施時可以根據(jù)具體業(yè)務(wù)及實際環(huán)境情況略做調(diào)整：4.3.1 內(nèi)網(wǎng)vlan規(guī)劃序號vlan包含端口ip地址范圍網(wǎng)關(guān)備注11200/2454內(nèi)網(wǎng)數(shù)據(jù)中心21000/24

37、54新大樓1層31001100/24/245454新大樓1層410031004/24/245454新大樓2層510051006/24/245454新大樓3層610071008/24/245454新大樓4層710091010/24/245

38、454新大樓5層81016103410.10.1634.0/2410.10.1634.254新大樓624層9100/2454接門診、急診、醫(yī)技科室及服務(wù)器1010/2454接辦公樓和1號病房樓1110/2454接2號病房樓12103/2454接3號病房樓13104/2454保健樓和放療中心14105/2454社

39、區(qū)醫(yī)院15106/2454老年樂園16999/2454交換機管理地址4.3.2 外網(wǎng)vlan規(guī)劃序號vlan包含端口ip地址范圍網(wǎng)關(guān)備注12200/2454外網(wǎng)數(shù)據(jù)中心22000/2454新大樓1層320012024/2454新大樓124層49005354接internet出口5800油田網(wǎng)6999/2410.20.254.

40、254交換機管理地址5 qos優(yōu)化梁山縣人民醫(yī)院的發(fā)展日新月異，對網(wǎng)絡(luò)的服務(wù)質(zhì)量也提出了新的要求，實時業(yè)務(wù)對報文的傳輸延遲有較高要求，如果報文傳送延時太長，將是用戶所不能接受的（相對而言，e-mail和ftp業(yè)務(wù)對時間延遲并不敏感）。為了支持具有不同服務(wù)需求的業(yè)務(wù)，要求網(wǎng)絡(luò)能夠區(qū)分出不同的通信，進而為之提供相應(yīng)的服務(wù)，qos（quality of service，服務(wù)質(zhì)量）技術(shù)的出現(xiàn)便致力于解決這個問題。本文依據(jù)diffserv模型，分析了梁山縣人民醫(yī)院的業(yè)務(wù)需求。5.1 qos部署策略從組網(wǎng)來看，最為典型的是核心層、接入層的組網(wǎng)模式，往上行的流量會比較大，帶寬較高，接入層設(shè)備眾多，并且較為分

41、散。結(jié)合differserv理論，我們針對業(yè)務(wù)的qos功能有對應(yīng)的設(shè)計方法：l 報文的分類和標(biāo)識：這是所有qos的基礎(chǔ)，報文分類的清晰度，直接影響后續(xù)qos實現(xiàn)的功能需求，這是先決條件，當(dāng)然分類可根據(jù)基于ip的acl五元組或是ip報文的tos優(yōu)先級，如ip precendence或是dscp值，基于mpls標(biāo)簽交換的還可使用mpls exp值來定義，或是通過以太網(wǎng)技術(shù)中的802.1p優(yōu)先級。l car (commited access rate)，它根據(jù)報文的tos或cos值（對于ip報文是指ip優(yōu)先級或者dscp，對于mpls報文是指exp域等等）、ip報文的五元組等信息進行報文分類，完成報

42、文的標(biāo)記和流量監(jiān)管。常用于對業(yè)務(wù)流進行限速。l 流量整形（traffic shaping）是一種主動調(diào)整流量輸出速率的措施。流量整形與流量監(jiān)管的主要區(qū)別在于，流量整形對流量監(jiān)管中需要丟棄的報文進行緩存通常是將它們放入緩沖區(qū)或隊列內(nèi)，整形可能會增加延遲，而監(jiān)管幾乎不引入額外的延遲。l 隊列技術(shù)： pq、cq、wfq、cbwfq等隊列技術(shù)對擁塞的報文進行緩存和調(diào)度，實現(xiàn)擁塞管理。主要應(yīng)用在轉(zhuǎn)發(fā)設(shè)備的出接口上，重點用于保證相應(yīng)的業(yè)務(wù)流的帶寬或是減少時延。l 擁塞避免（congestion avoidance），是指通過監(jiān)視網(wǎng)絡(luò)資源（如隊列或內(nèi)存緩沖區(qū)）的使用情況，在擁塞有加劇的趨勢時，主動丟棄報文，

43、通過調(diào)整網(wǎng)絡(luò)的流量來解除網(wǎng)絡(luò)過載的一種流控機制。與端到端的流控相比，這里的流控有更廣泛的意義，它影響到路由器中更多的業(yè)務(wù)流的負(fù)載。當(dāng)然，路由器在丟棄報文時，并不排斥與源端的流控動作比如tcp流控的配合，更好地調(diào)整網(wǎng)絡(luò)的流量到一個合理的負(fù)載狀態(tài)。好的丟包策略和源端流控機制的組合，總是追求網(wǎng)絡(luò)的吞吐量和利用效率最大化，并且使報文丟棄和延遲最小化。核心層：核心層為s9300這樣的高速以太網(wǎng)交換機，在本地的交換接口為ge，這種情況下要求設(shè)備高速轉(zhuǎn)發(fā)，而在differserv模型體系中，對高優(yōu)先級的ip報文，以太網(wǎng)交換機會實現(xiàn)優(yōu)先轉(zhuǎn)發(fā)，高速接口上，對限速或是帶寬保證的意義已經(jīng)不大，s9300實現(xiàn)的qos

44、功能，僅作為在核心基于控制的需要，可完成流量監(jiān)管，流量整形，隊列調(diào)度等qos。通過以上的設(shè)置和規(guī)劃，充分利用交換機硬件轉(zhuǎn)發(fā)的能力，對流分類時采用ip tos值的定義，可有效地實現(xiàn)網(wǎng)絡(luò)中在需要部署qos的設(shè)備或是線路上進行控制，不需要時不用消耗網(wǎng)絡(luò)設(shè)備的資源，不用信令交互，根據(jù)數(shù)據(jù)業(yè)務(wù)的流向，實現(xiàn)端到端的qos。6 網(wǎng)絡(luò)管理6.1 網(wǎng)元管理secospace vsm數(shù)據(jù)通信網(wǎng)絡(luò)管理系統(tǒng)是華為公司針對數(shù)據(jù)通信設(shè)備進行管理維護的網(wǎng)管解決方案，提供數(shù)據(jù)通信網(wǎng)絡(luò)管理維護的全面解決方案，提供網(wǎng)元層管理和網(wǎng)絡(luò)層管理能力，功能涉及網(wǎng)絡(luò)故障管理、配置管理、性能管理等多方面。secospace vsm與華為公司的

45、數(shù)據(jù)通信設(shè)備產(chǎn)品一起提供數(shù)據(jù)通信全網(wǎng)解決方案，對數(shù)據(jù)通信設(shè)備的維護和網(wǎng)絡(luò)管理提供支持。secospace vsm數(shù)據(jù)通信網(wǎng)絡(luò)管理系統(tǒng)基于靈活的組件化結(jié)構(gòu)，包括dms-基本管理軟件包（dms-base）、dms-snmp北向接口管理軟件包、dms-hgmp管理軟件包、ip網(wǎng)絡(luò)性能管理器（performance manager）、報表管理器（report manager）等，可以根據(jù)自己的需要和網(wǎng)絡(luò)情況靈活選擇需要的組件，真正實現(xiàn)“按需建構(gòu)”。6.1.1 產(chǎn)品外觀解決方案框架圖6.1.2 產(chǎn)品特點secospace vsm網(wǎng)絡(luò)管理軟件使用靈活的組件技術(shù)，支持多種操作平臺，并能夠與多種通用網(wǎng)管平臺集

46、成，實現(xiàn)從設(shè)備級到網(wǎng)絡(luò)級全方位的網(wǎng)絡(luò)管理。l 拓?fù)浼斜O(jiān)視 提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，全網(wǎng)監(jiān)控，可以實時監(jiān)控所有設(shè)備的運行狀況，并根據(jù)網(wǎng)絡(luò)運行環(huán)境變化提供合適的方式對網(wǎng)絡(luò)參數(shù)進行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運行： 拓?fù)渥詣影l(fā)現(xiàn)，拓?fù)浣Y(jié)構(gòu)動態(tài)刷新 可視化操作方式：拓?fù)湟晥D節(jié)點直接點擊進入設(shè)備操作面板 在網(wǎng)絡(luò)、設(shè)備狀態(tài)改變時，改變節(jié)點顏色，提示用戶 對網(wǎng)絡(luò)設(shè)備進行定時的輪循監(jiān)視和狀態(tài)刷新并表現(xiàn)在網(wǎng)絡(luò)視圖上 支持拓?fù)溥^濾，讓用戶關(guān)注所關(guān)心的網(wǎng)絡(luò)設(shè)備情況 支持快速查找拓?fù)鋵ο?，并在?dǎo)航樹和拓?fù)湟晥D中定位該拓?fù)鋵ο髄 故障管理 對全網(wǎng)設(shè)備的故障、運行狀態(tài)進行實時監(jiān)控、歷史統(tǒng)計并提供協(xié)助排障的手段： 故障

47、實時監(jiān)控，提供告警聲光提示 支持告警級別重定義，即用戶可按照自己的理解來隨意定義告警級別 支持重復(fù)告警屏蔽、閃斷告警屏蔽，減少告警誤報 支持告警轉(zhuǎn)email、手機短信 支持告警處理經(jīng)驗存儲功能，為以后的設(shè)備維護提供參考 用戶可創(chuàng)建自己關(guān)心告警條件的“告警查詢模板”，方便快速查看關(guān)心的告警，并可將查詢結(jié)果生成報表 支持歷史告警轉(zhuǎn)存，節(jié)省用戶存儲空間，保證系統(tǒng)高效穩(wěn)定 支持告警拓?fù)涠ㄎ?，快速了解產(chǎn)生告警的網(wǎng)元所處的網(wǎng)絡(luò)位置l ip網(wǎng)絡(luò)性能管理器 dms-ip是針對網(wǎng)絡(luò)層管理特性的一個重要dms組件，支持分布式性能采集，提供大規(guī)模ip網(wǎng)絡(luò)性能監(jiān)控手段，主要從設(shè)備、鏈路、路徑三個層面對網(wǎng)絡(luò)性能進行監(jiān)控

48、，作為ip網(wǎng)絡(luò)運行質(zhì)量狀況的監(jiān)視器： 探針部署：dms-ip網(wǎng)絡(luò)性能管理器提供網(wǎng)絡(luò)級性能管理特性，dms提供性能探針采集方案，支持分布式部署性能采集探針，可滿足大規(guī)模ip網(wǎng)絡(luò)7x24小時性能監(jiān)控管理需求 設(shè)備性能監(jiān)控：監(jiān)測設(shè)備負(fù)載情況,包括設(shè)備和板卡級的cpu、內(nèi)存的負(fù)載 鏈路層監(jiān)控：監(jiān)測鏈路的流量和資源利用情況，鏈路和接口的流入/流出流量、流入/流出帶寬利用率等 路徑層監(jiān)控：提供路徑的運行質(zhì)量，包括時延、丟包率、抖動 dms-ip網(wǎng)絡(luò)性能管理器支持性能閾值告警，提供多種性能分析報表，支持歷史性能趨勢分析 提供圖形化方式對性能采集任務(wù)進行管理l 基于web的報表管理 采用browser/ser

49、ver(b/s)架構(gòu)，提供基于模板的報表開發(fā)和基于 web 的報表生成、分發(fā)、管理等一整套靈活、方便的報表應(yīng)用服務(wù)： 提供從web瀏覽器瀏覽各種性能圖像的功能。用戶可以不安裝網(wǎng)管系統(tǒng)客戶端軟件，只要有網(wǎng)管系統(tǒng)帳號，就能從任何地方通過web瀏覽器瀏覽各種性能圖像，簡化報表傳遞過程，提高自身日常工作效率，降低用戶投資 提供報表權(quán)限管理功能，支持報表管理員、報表操作員和報表查看員等幾種級別用戶的操作權(quán)限，與網(wǎng)管系統(tǒng)安全管理集成，共用用戶名和口令 支持自動定時和手動生成報表模式，減輕維護人員的工作量 報表系統(tǒng)可以保存成多種格式，能夠以圖形或表格方式顯示l 集群管理 針對大量二層交換機等低端設(shè)備組網(wǎng)情況

50、，提供強大的集群管理功能，通過指定一個公網(wǎng)ip的設(shè)備（稱作命令交換機）對網(wǎng)絡(luò)進行管理，提供高效、方便的設(shè)備維護手段： 節(jié)省ip地址資源 自動發(fā)現(xiàn)集群拓?fù)浣Y(jié)構(gòu)，并支持動態(tài)刷新 實現(xiàn)對一組設(shè)備統(tǒng)一、集中、批量配置管理 實現(xiàn)集群設(shè)備的集中維護管理 實現(xiàn)方便的配置數(shù)據(jù)備份、配置數(shù)據(jù)恢復(fù)l 設(shè)備配置文件管理 提供網(wǎng)絡(luò)設(shè)備豐富的配置管理能力，網(wǎng)絡(luò)管理員需要定期備份設(shè)備的配置文件，跟蹤設(shè)備配置變化，從而保證一旦發(fā)生網(wǎng)絡(luò)故障時，可以使用歷史配置備份將網(wǎng)絡(luò)設(shè)備立刻恢復(fù)正常： 設(shè)備配置文件的批量備份和恢復(fù)等集中管理 設(shè)備配置變化，主動備份配置文件 靈活的設(shè)備配置文件比較功能，包括指定設(shè)備的運行配置和啟動配置的比較

51、、不同設(shè)備間的配置文件比較等，管理員能夠快速查看設(shè)備配置差異，迅速定位導(dǎo)致問題的配置命令l 完善的系統(tǒng)安全 提供靈活的用戶、權(quán)限、操作日志管理，方便的備份工具提高系統(tǒng)高可靠性： 提供靈活的用戶管理、分權(quán)策略（可按照對象操作來給用戶授權(quán)），方便用戶按照實際管理職責(zé)來分配用戶權(quán)限 提供簡便易用的數(shù)據(jù)庫備份工具，簡化系統(tǒng)管理員數(shù)據(jù)備份的工作 提供watchman雙機異地備份組件，保證系統(tǒng)的高可用性 提供詳盡的用戶操作日志記錄、任務(wù)操作日志記錄l 北向接口 提供北向接口，可接入其他bss /oss系統(tǒng)或告警/性能等isv專有系統(tǒng)（如micromuse的netcool），為運營商規(guī)劃運營支撐系統(tǒng)提供管理

52、接口6.2 安全管理6.2.1 集中安全管理在網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全管理區(qū)對中心網(wǎng)絡(luò)安全進行集中管理，主要包括：（1）安全策略集中管理，對邊界網(wǎng)絡(luò)防火墻、內(nèi)網(wǎng)安全域防火墻、入侵檢測系統(tǒng)的安全策略進行集中配置；（2）安全監(jiān)控，對網(wǎng)絡(luò)運行的安全設(shè)備如防火墻、入侵檢測系統(tǒng)等的運行狀態(tài)進行監(jiān)控，對安全事件進行監(jiān)控，突發(fā)事件能夠及時響應(yīng)及時處理；（3）集中日志收集和審計，集中收集防火墻、ssl vpn、交換機、路由器等產(chǎn)生的安全日志，進行集中的存放和審計。6.2.2 防火墻設(shè)備的管理usg防火墻可以通過如下方式進行本地或遠(yuǎn)程維護：n 支持通過console口進行本地配置和維護。n 支持通過在aux接口采用m

53、odem撥號方式實現(xiàn)遠(yuǎn)程配置和維護。n 支持通過telnet方式實現(xiàn)本地或遠(yuǎn)程配置和維護。n 支持ssh（secure shell，安全外殼）維護管理方式，實現(xiàn)在不能保證安全的網(wǎng)絡(luò)上提供安全信息保障和強大認(rèn)證功能，以避免受到ip地址欺詐、明文密碼截取等等攻擊。l 基于snmp的終端系統(tǒng)管理usg防火墻支持snmp（v1/v2c/v3）協(xié)議和client/server體系結(jié)構(gòu)，接受nms網(wǎng)管站的管理，如接受華為公司網(wǎng)管平臺imanager n2000和quidview的管理。l gui配置和管理usg防火墻提供基于gui（graphic user interface）的防火墻管理界面，為用戶提供

54、友好地配置和管理界面。在圖形化界面中，可以配置安全區(qū)域、acl、nat、aspf、攻擊防范、黑名單和各種統(tǒng)計參數(shù)。l web管理usg 防火墻提供基于web 的管理界面，為用戶提供友好的配置和管理界面，用戶無需安裝任何專用的客戶端軟件，在防火墻上只需作簡單的配置，就可以直接利用ie瀏覽登陸到到管理系統(tǒng)進行管理。在web的管理界面里，可以完成所有的配置，用戶無需做太多的學(xué)習(xí)和記憶，根據(jù)提示就能完成配置工作。6.2.3 入侵檢測設(shè)備的管理nip具有形式多樣的網(wǎng)絡(luò)管理方式，為用戶提供方便的網(wǎng)絡(luò)管理手段。l 圖形界面管理nip基于gui（graphic user interface）的管理界面，為用戶

55、提供友好的圖形化配置和管理界面。在圖形化界面中，可以配置安全策略，設(shè)置各種參數(shù)，并可以查看、分析報警事件。l 本地串口管理nip可以通過串口（console口）進行本地配置。配置的參數(shù)包括引擎的ip地址、網(wǎng)絡(luò)掩碼等信息。l 集中分級管理nip對大型的分布式網(wǎng)絡(luò)環(huán)境提供分級部署的管理功能，既支持兩級控制臺管理的簡單部署結(jié)構(gòu)，也支持多級控制臺管理的復(fù)雜部署結(jié)構(gòu)?？梢酝瓿芍骺刂婆_對下屬分支控制臺的集中管理和升級文件分發(fā)等功能。l 產(chǎn)品升級nip提供在線升級和脫機升級兩種升級方式，升級的內(nèi)容包括攻擊簽名庫、控制臺程序和引擎程序。在線升級包括自動在線升級和手動在線升級兩種方式。7 設(shè)備選型介紹7.1 設(shè)備選型7.1.1 quidway s9300系列新一代以太匯聚交換機產(chǎn)品簡介quidway s9300系列以太匯聚交換機（以下簡稱s9300）是基于新一代的硬件和華為公司統(tǒng)一的vrp（versatile routing platform）平臺而推出的下一代以太網(wǎng)匯聚交換機，提供超大容量、高密度、模