醫(yī)院網(wǎng)絡(luò)系統(tǒng)建設(shè)設(shè)計方案

醫(yī)院網(wǎng)絡(luò)系統(tǒng)建設(shè)設(shè)計方案總體設(shè)計思想XXXXX醫(yī)院網(wǎng)絡(luò)系統(tǒng)的總體設(shè)計思想是建設(shè)一種含有高連通性、強(qiáng)大融合能力和快速響應(yīng)能力的網(wǎng)絡(luò)體系構(gòu)造來確保醫(yī)療信息能夠及時、精確、可靠、安全地在醫(yī)療系統(tǒng)進(jìn)行傳輸，并適應(yīng)將來業(yè)務(wù)的發(fā)展，為滿足將來新業(yè)務(wù)的需求，為快速推出新業(yè)務(wù)打好基礎(chǔ)。根據(jù)醫(yī)療行業(yè)網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)規(guī)定和本身的業(yè)務(wù)特點(diǎn)，組網(wǎng)時應(yīng)考慮下列幾點(diǎn)：1、彈性的網(wǎng)絡(luò)彈性的網(wǎng)絡(luò)必須是高可靠的網(wǎng)絡(luò)和融合的網(wǎng)絡(luò)。醫(yī)療網(wǎng)絡(luò)上運(yùn)行著多個醫(yī)療業(yè)務(wù)應(yīng)用系統(tǒng)，如醫(yī)院信息系統(tǒng)（HIS）、醫(yī)學(xué)影像系統(tǒng)（PACS）、電子病歷（EMR）、護(hù)士呼喊等。這些系統(tǒng)關(guān)系到人們的生命安全和身體健康，對網(wǎng)絡(luò)的可靠性含有極高的規(guī)定。同時，這些醫(yī)療業(yè)務(wù)系統(tǒng)依賴于多個通信與存儲技術(shù)，對網(wǎng)絡(luò)能否集成多個技術(shù)的規(guī)定很高，并且網(wǎng)絡(luò)需要含有高效的集中式管理能力，來減少醫(yī)療網(wǎng)絡(luò)的維護(hù)開銷。2、安全的網(wǎng)絡(luò)醫(yī)療網(wǎng)絡(luò)的安全性規(guī)定涉及下列幾個方面：避免醫(yī)療信息被盜竊和修改和未授權(quán)的訪問；保護(hù)患者的隱私；恪守政府法規(guī)的規(guī)定；避免病毒或攻擊造成網(wǎng)絡(luò)癱瘓而影響醫(yī)院業(yè)務(wù)運(yùn)行。通過防火墻等安全技術(shù)，實(shí)現(xiàn)基于顧客身份權(quán)限控制、自動完畢安全漏洞的修補(bǔ)和病毒的自動消除、攻擊的防御和自動定位功效，從而為醫(yī)療機(jī)構(gòu)提供從網(wǎng)絡(luò)邊界到核心的全方面保護(hù)能力，減少醫(yī)療風(fēng)險，保護(hù)患者的隱私信息和醫(yī)療機(jī)構(gòu)的信息安全。3、快速響應(yīng)的網(wǎng)絡(luò)醫(yī)療網(wǎng)絡(luò)對快速響應(yīng)規(guī)定體現(xiàn)在：醫(yī)護(hù)人員但愿隨處可得患者的醫(yī)療信息和輔助診療信息，物品跟蹤需要隨時掌握。這樣，才干減少醫(yī)療差錯，提高工作效率，提高患者滿意度。4、交互式的網(wǎng)絡(luò)交互式的醫(yī)療網(wǎng)絡(luò)能夠大大提高患者滿意度，提高醫(yī)務(wù)人員的工作效率，進(jìn)行有效的跨部門協(xié)作。醫(yī)務(wù)人員能夠通過語音、視頻、WEB、電子、即時消息等方式與患者、同事以及其它部門進(jìn)行及時、充足、直觀的信息溝通，完畢醫(yī)療信息的采集、分析、診療、和解決流程，實(shí)現(xiàn)遠(yuǎn)程醫(yī)療、遠(yuǎn)程會診、遠(yuǎn)程監(jiān)護(hù)，提高診療的對的性和緊急事件的解決能力，同時能夠較好地解決醫(yī)療資源分派不均的問題。設(shè)計原則XXXXX市立醫(yī)院的網(wǎng)絡(luò)系統(tǒng)是醫(yī)療業(yè)務(wù)信息化重要的神經(jīng)系統(tǒng)，承載著全院醫(yī)療信息傳輸?shù)闹厝?，為了確保這一系統(tǒng)的可靠性、安全性和系統(tǒng)的可擴(kuò)展性，系統(tǒng)建設(shè)必須遵照下列原則：先進(jìn)性原則：整個網(wǎng)絡(luò)所采用的技術(shù)，特別是骨干網(wǎng)絡(luò)采用的技術(shù)必須含有先進(jìn)性。能夠滿足多個應(yīng)用的高速傳輸需求，并與網(wǎng)絡(luò)技術(shù)的將來發(fā)展趨勢保持一致。確保所采用的設(shè)備和技術(shù)屬世界一流產(chǎn)品，在對應(yīng)的應(yīng)用領(lǐng)域占有較大的顧客市場，在有關(guān)通訊網(wǎng)絡(luò)技術(shù)方面處在領(lǐng)先地位?？紤]到網(wǎng)絡(luò)建成后將在很長一段時間使用，因此在選擇技術(shù)及設(shè)備的時候應(yīng)含有一定的超前意識?？煽啃栽瓌t：整個系統(tǒng)采用品有高可靠性的總體設(shè)計，采用的技術(shù)應(yīng)當(dāng)是相對成熟的技術(shù)，在核心環(huán)節(jié)均應(yīng)有冗余備份設(shè)計，在核心的網(wǎng)絡(luò)設(shè)備上消除單點(diǎn)失效；設(shè)計中所選用的設(shè)備本身應(yīng)含有較高的可靠性；我們將從網(wǎng)絡(luò)骨干線路的冗余備份、網(wǎng)絡(luò)設(shè)備的冗余備份和電源冗余備份等方面確保整個系統(tǒng)的可靠性。擴(kuò)展性原則：所設(shè)計的網(wǎng)絡(luò)應(yīng)當(dāng)能夠根據(jù)將來需求的變化進(jìn)行升級和靈活地調(diào)節(jié)。支持到將來新的網(wǎng)絡(luò)技術(shù)的平滑過渡。確保在網(wǎng)絡(luò)的成長過程中，業(yè)務(wù)不會受到影響。我們將從主干網(wǎng)絡(luò)設(shè)備的選型及其模塊、插槽個數(shù)、管理軟件和網(wǎng)絡(luò)整體構(gòu)造等方面，來確保網(wǎng)絡(luò)系統(tǒng)的擴(kuò)展性。開放性原則：所選擇的設(shè)備技術(shù)應(yīng)支持符合國際原則和業(yè)界原則的有關(guān)接口，能夠與其它有關(guān)系統(tǒng)實(shí)現(xiàn)可靠的互聯(lián)；在網(wǎng)絡(luò)合同的選擇方面，應(yīng)選擇廣泛應(yīng)用的原則合同，同時支持局域網(wǎng)部的其它合同。易管理性原則：整個系統(tǒng)節(jié)點(diǎn)數(shù)目多，物理圍廣，網(wǎng)絡(luò)的管理任務(wù)十分復(fù)雜和重要，如何有效地管理好網(wǎng)絡(luò)關(guān)系到與否能充足有效地運(yùn)用網(wǎng)絡(luò)系統(tǒng)資源，優(yōu)化網(wǎng)絡(luò)性能，保障網(wǎng)絡(luò)安全。運(yùn)用圖形化的管理界面和簡潔的操作方式，提供強(qiáng)大的網(wǎng)絡(luò)管理功效，使網(wǎng)絡(luò)日常的維護(hù)和操作變得直觀，便捷和高效。安全性原則：隨著計算機(jī)技術(shù)的發(fā)展，特別是網(wǎng)絡(luò)和網(wǎng)絡(luò)間互聯(lián)的規(guī)模的擴(kuò)大，信息和網(wǎng)絡(luò)系統(tǒng)的安全性日益受到重視。各業(yè)務(wù)網(wǎng)絡(luò)之間、各業(yè)務(wù)網(wǎng)絡(luò)部、部網(wǎng)絡(luò)與外部公共網(wǎng)之間的互聯(lián)，使網(wǎng)絡(luò)系統(tǒng)和信息資源的安全性面臨十分嚴(yán)峻的挑戰(zhàn)。我們運(yùn)用硬件防火墻對網(wǎng)絡(luò)的訪問進(jìn)行控制，同時，在系統(tǒng)軟件和應(yīng)用軟件方面必須重視系統(tǒng)的安全工作，采用品有較高安全級別的系統(tǒng)軟件引入含有可靠功效和專用網(wǎng)絡(luò)安全產(chǎn)品；在對后期培訓(xùn)工作的安排中，加強(qiáng)對有關(guān)工作人員系統(tǒng)安全知識培訓(xùn)及解決突發(fā)故障能力的培訓(xùn)。統(tǒng)一性原則：按照醫(yī)院的業(yè)務(wù)發(fā)展規(guī)劃，在網(wǎng)絡(luò)中將存在多個不同的業(yè)務(wù)，如話音，圖像，IP數(shù)據(jù)流等。這些業(yè)務(wù)的接入方式及在網(wǎng)絡(luò)上的傳輸方式各不相似。因此，最抱負(fù)的組網(wǎng)方式應(yīng)是建立一種統(tǒng)一的交換平臺，能支持多個不同業(yè)務(wù)。這樣能大大的減少網(wǎng)絡(luò)的連接復(fù)雜度，人員培訓(xùn)的難度，以及網(wǎng)絡(luò)管理的壓力，并提高網(wǎng)絡(luò)的可靠性，簡而言之，就是在建網(wǎng)的過程中運(yùn)用盡量少的網(wǎng)絡(luò)設(shè)備提供盡量多的網(wǎng)絡(luò)業(yè)務(wù)，努力避免在一種節(jié)點(diǎn)是使用多個不同設(shè)備簡樸互連，以堆砌的方式提供多個業(yè)務(wù)。實(shí)用性及經(jīng)濟(jì)性原則：根據(jù)顧客需求和規(guī)劃，網(wǎng)絡(luò)系統(tǒng)的設(shè)計在性能價格比方面應(yīng)充足體現(xiàn)系統(tǒng)的實(shí)用性，既要采用先進(jìn)的技術(shù)，又能在經(jīng)費(fèi)允許、含有較低成本的條件下實(shí)現(xiàn)建網(wǎng)目的，能夠滿足現(xiàn)有的網(wǎng)絡(luò)互聯(lián)和多個應(yīng)用需求，并對將來可能出現(xiàn)的新需求提供良好的網(wǎng)絡(luò)支持。兼容性原則：統(tǒng)一規(guī)劃網(wǎng)絡(luò)對于網(wǎng)絡(luò)的建設(shè)和管理有非常核心的作用。首先是減少投資成本，避免重復(fù)建設(shè)。另一方面，確保整個網(wǎng)絡(luò)系統(tǒng)端到端的一致性，利于優(yōu)化網(wǎng)絡(luò)，便于后來的網(wǎng)絡(luò)管理和維護(hù)，能有效地減少管理成本。從技術(shù)方面來看，不同廠家在技術(shù)的實(shí)現(xiàn)方面存在某些差別，使得互聯(lián)問題以及由此帶來的維護(hù)成本變得不可無視。高性能原則:高性能是指確保網(wǎng)絡(luò)中多個應(yīng)用特別是核心業(yè)務(wù)的高效穩(wěn)定的運(yùn)行，而不是僅僅追求性能指標(biāo)的數(shù)值。當(dāng)今網(wǎng)絡(luò)中核心業(yè)務(wù)及多媒體的應(yīng)用越來越多，如VOIP應(yīng)用對服務(wù)質(zhì)量的規(guī)定較高，新的網(wǎng)絡(luò)系統(tǒng)是將為容災(zāi)系統(tǒng)服務(wù)的，更應(yīng)能對網(wǎng)絡(luò)流量進(jìn)行嚴(yán)格控制，確保QoS。項目建設(shè)的目的當(dāng)代化高科技在醫(yī)院中的應(yīng)用現(xiàn)在，計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展十分快速，以太網(wǎng)技術(shù)更是異?；钴S，能夠?qū)崿F(xiàn)從百兆發(fā)展至千兆乃至萬兆的平滑升級，網(wǎng)絡(luò)的設(shè)備更新也比較快速。XXXXX市立醫(yī)院的醫(yī)務(wù)人員能夠通過語音、視頻、WEB、電子、即時消息等方式與患者、同事以及其它部門進(jìn)行及時、充足、直觀的信息溝通，完畢醫(yī)療信息的采集、分析、診療、和解決流程，實(shí)現(xiàn)遠(yuǎn)程醫(yī)療、遠(yuǎn)程會診、遠(yuǎn)程監(jiān)護(hù)，提高診療的對的性和緊急事件的解決能力，同時能夠較好地解決醫(yī)療資源分派不均的問題。醫(yī)院的門診業(yè)務(wù)流程以下：醫(yī)院的住院流程以下：項目建設(shè)的目的本次醫(yī)院網(wǎng)絡(luò)建設(shè)的目的很明確：第一、通過網(wǎng)絡(luò)綜合布線及購置網(wǎng)絡(luò)設(shè)備，滿足醫(yī)院需求，解決高數(shù)據(jù)流量而帶來的網(wǎng)絡(luò)瓶頸問題，使院的網(wǎng)絡(luò)能更快速的解決數(shù)據(jù)，將數(shù)據(jù)高速化，滿足不同時段流量再大也能快速暢通的傳輸，以提高醫(yī)院整體技術(shù)水平及作為對外科技先進(jìn)的代表。第二、通過本次網(wǎng)絡(luò)建設(shè)來滿足醫(yī)院信息系統(tǒng)（HIS），并為后來醫(yī)院實(shí)施或計劃實(shí)施電子病歷（EMS）、醫(yī)學(xué)影像存儲與傳輸（PACS）、電子處方、移動醫(yī)護(hù)工作戰(zhàn)、護(hù)士呼喊、視頻會議/視頻監(jiān)控、基于互聯(lián)網(wǎng)的醫(yī)療服務(wù)、患者監(jiān)護(hù)等更為核心的醫(yī)療業(yè)務(wù)的信息化應(yīng)用，提供基礎(chǔ)物理網(wǎng)絡(luò)的升級，全部這些業(yè)務(wù)的信息化的基礎(chǔ)是網(wǎng)絡(luò)化，網(wǎng)絡(luò)之于醫(yī)療信息化，就猶如神經(jīng)系統(tǒng)之于人體同樣重要。隨著醫(yī)院信息化的不停進(jìn)一步，醫(yī)院OA系統(tǒng)、MIS系統(tǒng)、HIS系統(tǒng)、PACS等系統(tǒng)互相融合，中國醫(yī)院的信息化建設(shè)也已經(jīng)從簡樸的數(shù)據(jù)業(yè)務(wù)應(yīng)用逐步發(fā)展到數(shù)據(jù)、語音、視訊等多業(yè)務(wù)統(tǒng)一承載。因此滿足這些需求需有一定高速傳輸?shù)木W(wǎng)絡(luò)傳輸媒介及高負(fù)荷的網(wǎng)絡(luò)承載設(shè)備。第三、滿足醫(yī)院后來網(wǎng)絡(luò)拓?fù)涓募皵?shù)據(jù)點(diǎn)位增加而帶來的設(shè)備冗余問題，為滿足后期新建樓宇的網(wǎng)絡(luò)信息加入。第四、設(shè)備及產(chǎn)品的后期服務(wù)，醫(yī)院的特殊性質(zhì)(7*24小時)決定時網(wǎng)絡(luò)的實(shí)時傳輸性，一旦因設(shè)備中斷而造成的服務(wù)中斷，將直接影響到醫(yī)院的正常工作，因此服務(wù)對于醫(yī)院本次的網(wǎng)絡(luò)建設(shè)也有著其不可無視的地位。網(wǎng)絡(luò)建設(shè)方案計算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)是一種龐大并且復(fù)雜的工程，它需要網(wǎng)絡(luò)專業(yè)技術(shù)人員含有較高的素質(zhì)和技術(shù)水平，以及應(yīng)用部門的配合和多部門的親密協(xié)作，因此我們對項目的實(shí)施提出“總體規(guī)劃、分布實(shí)施”的建議。在制訂總體規(guī)劃時，我們遵照“切合實(shí)際，分階段實(shí)施，循序漸進(jìn)、安全有效”的基本原則。在網(wǎng)絡(luò)架構(gòu)的選擇上要含有先進(jìn)性，擴(kuò)充升級方便，可保護(hù)前期投資。XXXXX市立醫(yī)院的網(wǎng)絡(luò)系統(tǒng)是一種承載多個醫(yī)療業(yè)務(wù)的IP網(wǎng)絡(luò)，為適應(yīng)多個新醫(yī)療業(yè)務(wù)的發(fā)展趨勢，提供對IP業(yè)務(wù)的直接支持。這個網(wǎng)絡(luò)又必須是一種高速度，高可靠性的網(wǎng)絡(luò)，含有大容量高速傳輸?shù)哪芰?，以滿足醫(yī)院多個醫(yī)療業(yè)務(wù)系統(tǒng)如醫(yī)院信息系統(tǒng)（HIS）、醫(yī)學(xué)影像系統(tǒng)（PACS）、電子病歷（EMR）、護(hù)士呼喊等。這些系統(tǒng)關(guān)系到人們的生命安全和身體健康，對網(wǎng)絡(luò)的可靠性含有極高的規(guī)定。因此本項目定位是建設(shè)一種以TCP/IP合同為基礎(chǔ)、含有大容量高速數(shù)據(jù)傳輸和解決能力的、可靠、穩(wěn)定、安全的多業(yè)務(wù)的網(wǎng)絡(luò)平臺。我們將本項目所涉及到的技術(shù)和設(shè)備按照按照功效分為網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)安全系統(tǒng)。下面我們將對這兩個部分進(jìn)行論述。網(wǎng)絡(luò)系統(tǒng)和安全系統(tǒng)設(shè)計和設(shè)備選型：本節(jié)重要涉及核心交換機(jī)、匯聚交換機(jī)、樓層接入交換機(jī)有關(guān)技術(shù)介紹。網(wǎng)絡(luò)系統(tǒng)有關(guān)技術(shù)以太網(wǎng)交換機(jī)技術(shù)發(fā)展趨勢近幾年來，隨著公司數(shù)據(jù)通信業(yè)務(wù)以及有關(guān)的融合業(yè)務(wù)的迅猛發(fā)展，以太網(wǎng)交換機(jī)作為不可或缺的核心設(shè)備不僅在數(shù)量上獲得了極大的提高，并且在質(zhì)量、性能等方面不停完善。公司的信息應(yīng)用正在全方面走向?qū)拵Щ腿诤匣?，在這一背景下，傳統(tǒng)的實(shí)現(xiàn)簡樸連接和數(shù)據(jù)傳輸功效的以太網(wǎng)交換機(jī)已成為過去，縱觀現(xiàn)在整個發(fā)展勢，我們發(fā)現(xiàn)以太網(wǎng)交換機(jī)正朝著高速化、智能化的方向邁進(jìn)。首先，速度是我們衡量網(wǎng)絡(luò)性能的一種重要原則，從而也就成為以太網(wǎng)交換機(jī)等設(shè)備發(fā)展的一種重要方向。從最初的百兆到千兆再到萬兆，以太網(wǎng)不停滿足著人們快速增加的需求，給人們帶來超乎尋常的體驗?，F(xiàn)在，人們對帶寬的規(guī)定正在快速提高，如迅猛發(fā)展的存儲網(wǎng)絡(luò)必需的海量數(shù)據(jù)傳輸通道;大量高帶寬匯聚的城域網(wǎng)絡(luò);不停豐富的寬帶應(yīng)用所需的帶寬支持;大型金融機(jī)構(gòu)的數(shù)據(jù)集中;公司核心業(yè)務(wù)、ERP、CRM等復(fù)雜的應(yīng)用擴(kuò)展。今天，千兆為骨干、百兆為接入的主流構(gòu)造，將逐步向萬兆為骨干、千兆為接入的構(gòu)造過渡。另一方面是智能化，這里所指的智能化不僅涉及交換機(jī)設(shè)備智能化的管理，還涉及它們對越來越多的智能業(yè)務(wù)的支持。隨著網(wǎng)絡(luò)布署新應(yīng)用和融合多業(yè)務(wù)的需求日益迫切，單一交換機(jī)需要擁有豐富的功效以提供更多的支持，與此同時，復(fù)雜的網(wǎng)絡(luò)環(huán)境加劇了網(wǎng)絡(luò)管理的難度，通過智能交換設(shè)備進(jìn)行網(wǎng)絡(luò)的集中管理，不僅簡化了管理環(huán)節(jié)，并且減少了布署和維護(hù)的成本。從現(xiàn)在的市場發(fā)展趨勢來看，智能交換機(jī)的需求量有了明顯上升，越來越多的顧客更樂意將智能交換機(jī)作為設(shè)備采購的首選。現(xiàn)在，越來越多的網(wǎng)絡(luò)廠商更加重視交換設(shè)備的管理性能和功效融合，QoS、單一IP地址管理、遠(yuǎn)程控制等功效成為智能交換機(jī)不可或缺的重要特性。為了承載遠(yuǎn)程教學(xué)、呼喊中心、視頻會議、VoIP語音服務(wù)、VOD視頻點(diǎn)播等對帶寬和時延敏感的應(yīng)用，智能化的以太網(wǎng)交換機(jī)還提供了豐富的QoS方略，確保了核心業(yè)務(wù)的快速、及時轉(zhuǎn)發(fā)。流量訪問控制、速度限制、遠(yuǎn)程管理等智能管理特性都成為以太網(wǎng)交換機(jī)協(xié)助顧客提高網(wǎng)絡(luò)運(yùn)行效率的重要因素。另外，以太網(wǎng)交換機(jī)越來越多地融入路由功效。以往，大家習(xí)慣將交換機(jī)看作基于局域網(wǎng)技術(shù)的一種設(shè)備，認(rèn)為只有在局域網(wǎng)上，才考慮使用交換機(jī)，如果要與廣域網(wǎng)互連，那就是路由器的事情。事實(shí)上，隨著ASIC技術(shù)和網(wǎng)絡(luò)解決器的不停發(fā)展成熟以及網(wǎng)絡(luò)逐步被IP技術(shù)所統(tǒng)一，以太網(wǎng)交換技術(shù)已經(jīng)走出了當(dāng)年“橋接”設(shè)備的框架，能夠應(yīng)用到匯聚層和骨干層，路由器中所含有的豐富的網(wǎng)絡(luò)接口，在現(xiàn)在的交換機(jī)上已經(jīng)能夠?qū)崿F(xiàn);路由器中擁有的豐富的路由合同，在交換機(jī)中也得到大量的應(yīng)用;路由器中含有的大容量路由表在交換機(jī)中也能夠?qū)崿F(xiàn)。隨著著技術(shù)的不停進(jìn)步和人們需求的不停增加，以太網(wǎng)交換機(jī)市場也迎來了勁的發(fā)展勢頭。有報告認(rèn)為，在前，10G以太網(wǎng)交換機(jī)將仍處在強(qiáng)勁的增加軌道上，人們對其市場持樂觀態(tài)度。VLAN技術(shù)1、VLAN概述VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)的設(shè)備邏輯地而不是物理地劃分成一種個網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用以原則化VLAN實(shí)現(xiàn)方案的802.1Q合同原則草案。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一種物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一種VLAN都包含一組有著相似需求的計算機(jī)工作站，與物理上形成的LAN有著相似的屬性。但由于它是邏輯地而不是物理地劃分，因此同一種VLAN的各個工作站不必被放置在同一種物理空間里，即這些工作站不一定屬于同一種物理LAN網(wǎng)段。一種VLAN部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其它VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種合同，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLANID把顧客劃分為更小的工作組，限制不同工作組間的顧客二層互訪，每個工作組就是一種虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是能夠限制廣播圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。VLAN在交換機(jī)上的實(shí)現(xiàn)辦法，能夠大致劃分為4類：1、基于端口劃分的VLAN

這種劃分VLAN的辦法是根據(jù)以太網(wǎng)交換機(jī)的端口來劃分，例如QuidwayS3526的1~4端口為VLAN10，5~17為VLAN20，18~24為VLAN30，固然，這些屬于同一VLAN的端口能夠不持續(xù)，如何配備，由管理員決定，如果有多個交換機(jī)，例如，能夠指定交換機(jī)1的1~6端口和交換機(jī)2的1~4端口為同一VLAN，即同一VLAN能夠跨越數(shù)個以太網(wǎng)交換機(jī)，根據(jù)端口劃分是現(xiàn)在定義VLAN的最廣泛的辦法，IEEE802.1Q規(guī)定了根據(jù)以太網(wǎng)交換機(jī)的端口來劃分VLAN的國際原則。這種劃分的辦法的優(yōu)點(diǎn)是定義VLAN組員時非常簡樸，只要將全部的端口都指定義一下就能夠了。它的缺點(diǎn)是如果VLANA的顧客離開了原來的端口，到了一種新的交換機(jī)的某個端口，那么就必須重新定義。2、基于MAC地址劃分VLAN這種劃分VLAN的辦法是根據(jù)每個主機(jī)的MAC地址來劃分，即對每個MAC地址的主機(jī)都配備他屬于哪個組。這種劃分VLAN的辦法的最大優(yōu)點(diǎn)就是當(dāng)顧客物理位置移動時，即從一種交換機(jī)換到其它的交換機(jī)時，VLAN不用重新配備，因此，能夠認(rèn)為這種根據(jù)MAC地址的劃分辦法是基于顧客的VLAN，這種辦法的缺點(diǎn)是初始化時，全部的顧客都必須進(jìn)行配備，如果有幾百個甚至上千個顧客的話，配備是非常累的。并且這種劃分的辦法也造成了交換機(jī)執(zhí)行效率的減少，由于在每一種交換機(jī)的端口都可能存在諸多個VLAN組的組員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的顧客來說，他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN就必須不停的配備。3、基于網(wǎng)絡(luò)層劃分VLAN

這種劃分VLAN的辦法是根據(jù)每個主機(jī)的網(wǎng)絡(luò)層地址或合同類型(如果支持多合同)劃分的，即使這種劃分辦法是根據(jù)網(wǎng)絡(luò)地址，例如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。它即使查看每個數(shù)據(jù)包的IP地址，但由于不是路由，因此，沒有RIP，OSPF等路由合同，而是根據(jù)生成樹算法進(jìn)行橋交換，這種辦法的優(yōu)點(diǎn)是顧客的物理位置變化了，不需要重新配備所屬的VLAN，并且能夠根據(jù)合同類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要，尚有，這種辦法不需要附加的幀標(biāo)簽來識別VLAN，這樣能夠減少網(wǎng)絡(luò)的通信量。這種辦法的缺點(diǎn)是效率低，由于檢查每一種數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗解決時間的(相對于前面兩種辦法)，普通的交換機(jī)芯片都能夠自動檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)禎頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時也更費(fèi)時。固然，這與各個廠商的實(shí)現(xiàn)辦法有關(guān)。根據(jù)IP組播劃分VLAN

IP組播事實(shí)上也是一種VLAN的定義，即認(rèn)為一種組播組就是一種VLAN，這種劃分的辦法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種辦法含有更大的靈活性，并且也很容易通過路由器進(jìn)行擴(kuò)展，固然這種辦法不適合局域網(wǎng)，重要是效率不高。多層交換技術(shù)技術(shù)原理隨著著Internet/Intranet的布署和使用的迅猛成長，造成了公司和消費(fèi)者計算模式的重大轉(zhuǎn)變。市場對網(wǎng)絡(luò)管理和數(shù)據(jù)流交換技術(shù)的需求不停提高，同時也規(guī)定這一技術(shù)能有效提供統(tǒng)計網(wǎng)絡(luò)和應(yīng)用資源運(yùn)用率所需要的信息。為此引入一種新的交換技術(shù)—多層交換技術(shù)。多層交換（MLS：MultilayerSwitching）為LAN交換提供高性能的第三層交換。多層交換運(yùn)用高級的針對具體應(yīng)用程序的集成電路交換硬件在子網(wǎng)間交換IP數(shù)據(jù)包，并使用原則的路由合同被用來擬定路由。通過多層交換基于硬件的第三層交換技術(shù)能夠解脫路由器在共享媒體網(wǎng)絡(luò)技術(shù)上轉(zhuǎn)發(fā)“單點(diǎn)傳送IP”數(shù)據(jù)包而增加的工作負(fù)荷。每當(dāng)在兩個主機(jī)之間存在一種部分或完全的交換途徑時，數(shù)據(jù)包將轉(zhuǎn)由第三層交換功效轉(zhuǎn)發(fā)。而那些不含有達(dá)成他們目的地的部分或者完全交換途徑的數(shù)據(jù)包，則仍然使用路由器來實(shí)現(xiàn)轉(zhuǎn)發(fā)。另外，多層交換同時也提供數(shù)據(jù)流統(tǒng)計功效，并把這種功效作為其交換功效的重要構(gòu)成部分。這些統(tǒng)計信息被用來識別數(shù)據(jù)流特性，可用于網(wǎng)絡(luò)管理、計劃和故障排除操作。功效優(yōu)勢多層交換技術(shù)含有許多區(qū)別于其它網(wǎng)管技術(shù)的鮮明特性，因此在應(yīng)用于網(wǎng)管用途時，也有著其獨(dú)具的優(yōu)勢。透明性：無需修改端點(diǎn)系統(tǒng)以及對子網(wǎng)重新編號，它能與DHCP協(xié)同工作，也無需新的路由合同。快速收斂：運(yùn)用這項功效，顧客能夠借助硬件協(xié)助對于信息流的條目執(zhí)行失效操作，以回應(yīng)路由失靈和路由拓?fù)錁?gòu)造的變化。恢復(fù)能力：提供VRRP的優(yōu)點(diǎn)，但是不需要附加配備。運(yùn)用這一功效特性，當(dāng)主路由器脫機(jī)后能夠?qū)⒔粨Q透明地切換到熱備路由器，這就消除了在網(wǎng)絡(luò)上單點(diǎn)失靈的問題。記賬功效和數(shù)據(jù)流管理：運(yùn)用這一功效，顧客能夠查看數(shù)據(jù)流的交換狀況，這將有助于排除故障，進(jìn)行數(shù)據(jù)流管理和執(zhí)行集中賬號功效。網(wǎng)絡(luò)設(shè)立更為簡化：運(yùn)用這一功效，可使顧客的網(wǎng)絡(luò)加速，但又保存現(xiàn)已存在的子網(wǎng)構(gòu)造。運(yùn)用這一功效，使得在公司的網(wǎng)絡(luò)設(shè)計中，不用再考慮第三層網(wǎng)絡(luò)段的數(shù)目。工作組間的快速連接性：通過Intranet和多媒體應(yīng)用程序，滿足對工作組間對于連接性的更高性能規(guī)定。通過菜單多層交換技術(shù)顧客能夠在同一平臺上獲取交換和路由兩方面的好處。訪問服務(wù)器群的媒體速度：運(yùn)用這一功效，顧客不需要將多個VLAN的服務(wù)器集中管理也能獲得直接連接。通過逐個以信息流為基礎(chǔ)而提供安全性，顧客能夠控制對服務(wù)器的存取，能夠基于子網(wǎng)編號和傳輸層應(yīng)用程序端口過濾數(shù)據(jù)流，而不會對第三層的交換性能而產(chǎn)生不利影響。IGMPSnooping（組播偵聽）IGMPSnooping即IGMP偵聽,其重要作用是在交換機(jī)上完畢二層組播的動態(tài)注冊。它使用的是IGMP報文，在較早的組網(wǎng)環(huán)境中，并沒有以太網(wǎng)交換機(jī)的參加，路由器普通直接和主機(jī)相連，它們之間通過原則的IGMP合同來實(shí)現(xiàn)組播功效。而現(xiàn)在IGMPSnooping則不同，它的實(shí)現(xiàn)需要主機(jī)，交換機(jī)和路由器的共同參加。通過IGMPSnooping實(shí)現(xiàn)二層組播時需要在主機(jī)和路由器上實(shí)現(xiàn)IGMP，交換機(jī)只是通過偵聽主機(jī)和路由器傳送的不同類型的IGMP報文來動態(tài)維護(hù)二層組播組，并且在本交換機(jī)上的組播注冊普通不會傳輸?shù)狡渌粨Q機(jī)上。IGMPSnooping的實(shí)現(xiàn)和原則的IGMP合同的實(shí)現(xiàn)有相似之處，但I(xiàn)GMPSnooping其實(shí)并沒有統(tǒng)一的國際原則，因此設(shè)計實(shí)現(xiàn)起來能夠更加靈活高效。路由熱備份合同所謂的熱備份路由合同（VRRP）重要是向我們提供了這樣一種機(jī)制，它的設(shè)計目的重要在于支持IP傳輸失敗狀況下的不中斷服務(wù)。具體說，就是本合同用于在源主機(jī)無法動態(tài)地學(xué)習(xí)到首跳路由器IP地址的狀況下避免首跳路由的失敗。它重要用于多接入，多播和廣播局域網(wǎng)。熱備份路由合同（VRRP）的目的在于使主機(jī)看上去只使用了一種路由器，并且即使在它現(xiàn)在所使用的首跳路由器失敗的狀況下仍能夠保持路由的連通性。此合同中所涉及到的多路由器都映射為一種虛擬的路由器。本合同確保同時有且只有一種路由器在代表虛擬路由器進(jìn)行包的發(fā)送。而終端則是把數(shù)據(jù)包發(fā)向該虛擬路由器。這個轉(zhuǎn)發(fā)包的路由器被成為活路由器。如果這個活路由器在某個時候由于某種因素而無法工作的話，則那個備份的路由器將被選擇來替代原來的活路由器。本合同為活路由器和備份路由器的定義提供了一種機(jī)制。在合同所設(shè)計到的路由器上使用IP地址，如果這個活路由器失效的話則那個備份路由器立即替代活路由器工作而不會在對主機(jī)的連通性上產(chǎn)生大的中斷。網(wǎng)絡(luò)安全技術(shù)安全保障體系總體框架通過對XXXXX市立醫(yī)院的安全需求分析，安全方略制訂，從安全管理、安全技術(shù)和安全運(yùn)行等方面，構(gòu)建了整體安全保障體系，其總體框架如圖3-26所示。圖3-26安全保障體系總體框架實(shí)現(xiàn)網(wǎng)絡(luò)與信息系統(tǒng)的安全是一種過程，采用信息系統(tǒng)安全工程（ISSE）的辦法來指導(dǎo)整個安全工程的建設(shè)，才干保障良好的安全保障效果。網(wǎng)絡(luò)與信息系統(tǒng)的體系設(shè)計和多個安全方法都來源于系統(tǒng)的安全需求，通過安全風(fēng)險分析和安全需求分析，制訂系統(tǒng)的安全保護(hù)方略，才干設(shè)計出有針對性的、有效減少系統(tǒng)安全風(fēng)險的安全保障體系。網(wǎng)絡(luò)與信息系統(tǒng)的安全需要從人、技術(shù)和操作這三個方面來考慮，采用縱深防御（IA）的戰(zhàn)略思想設(shè)計網(wǎng)絡(luò)與信息系統(tǒng)的安全保障體系，才干對系統(tǒng)實(shí)施有效的安全保障。本安全保障體系從安全管理、安全技術(shù)、安全運(yùn)行三個方面進(jìn)行設(shè)計，每個方面又涉及幾個重要的方面。安全管理涉及組織和人員管理、物理安全管理、法律法規(guī)和原則、安全培訓(xùn)等；安全技術(shù)涉及網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全、邊界安全、信息和應(yīng)用安全等；安全運(yùn)行涉及安全系統(tǒng)運(yùn)行管理、應(yīng)急響應(yīng)與恢復(fù)、安全評定、監(jiān)控與檢測等。網(wǎng)絡(luò)與信息系統(tǒng)的安全是一種持續(xù)改善的動態(tài)的過程。沒有一勞永逸的安全方案，必須針對系統(tǒng)外部環(huán)境、部環(huán)境的變化，以及系統(tǒng)的業(yè)務(wù)應(yīng)用任務(wù)的變化，進(jìn)行持續(xù)的分析、評定和改善，才干確保系統(tǒng)的安全可靠運(yùn)行。網(wǎng)絡(luò)安全體系構(gòu)造網(wǎng)絡(luò)安全保障體系涉及物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和安全管理。物理安全確保計算機(jī)信息系統(tǒng)多個設(shè)備的物理安全是保障整個網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全重要涉及環(huán)境安全、設(shè)備安全和介質(zhì)安全，是對網(wǎng)絡(luò)系統(tǒng)所在環(huán)境、所用設(shè)備、所用介質(zhì)進(jìn)行安全保護(hù)。1、環(huán)境安全環(huán)境的安全重要是指防雷、防水、消防、防電磁輻射等容，對系統(tǒng)所在的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難恢復(fù)，具體實(shí)現(xiàn)可遵照國標(biāo)GB50173-93《電子計算機(jī)機(jī)房設(shè)計規(guī)》、國際GB2887-89《計算機(jī)站場地技術(shù)條件》、GB9361-88《計算機(jī)站場地安全規(guī)定》。2、設(shè)備安全設(shè)備安全重要涉及設(shè)備的防盜、防毀、紡織線路截獲、抗電磁干擾及電源保護(hù)等。3、介質(zhì)安全指存儲數(shù)據(jù)的安全。系統(tǒng)安全1、網(wǎng)絡(luò)構(gòu)造安全網(wǎng)絡(luò)構(gòu)造的安全重要指網(wǎng)絡(luò)拓?fù)浣Y(jié)與否合理、線路與否冗余、核心設(shè)備與否冗余等。建設(shè)網(wǎng)絡(luò)是，應(yīng)充足考慮這些因素。2、操作系統(tǒng)安全操作系統(tǒng)中的最基本的安全方法是訪問控制，對使用資源的正當(dāng)性進(jìn)行審查。對操作系統(tǒng)的安全防能夠采用以下方略：盡量采用安全型較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配備，關(guān)閉某些不慣用的卻存在安全隱患的應(yīng)用，對某些保存有擁戴信息及其它口令的核心文獻(xiàn)進(jìn)行安全掃描，發(fā)現(xiàn)其中存在的安全漏洞，并針對性的進(jìn)行對網(wǎng)絡(luò)設(shè)備的配備更新或升級。3、應(yīng)用系統(tǒng)的安全在應(yīng)用系統(tǒng)安全上，應(yīng)用服務(wù)器盡量關(guān)閉不經(jīng)常使用的合同及端標(biāo)語。加強(qiáng)登陸身份認(rèn)證，確保顧客使用的正當(dāng)性。嚴(yán)格限制登陸者的操作權(quán)限，將其完畢的操作控制在最小圍。充足運(yùn)用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功效，對顧客所訪問的信息作統(tǒng)計，為系統(tǒng)審計提供根據(jù)。4、系統(tǒng)備份和恢復(fù)系統(tǒng)備份和恢復(fù)機(jī)制是保護(hù)系統(tǒng)崩潰后快速恢復(fù)的重要技術(shù)方法。在系統(tǒng)運(yùn)行時，可能由于多個因素發(fā)生系統(tǒng)崩潰等災(zāi)難。因此，應(yīng)采用必要的技術(shù)手段對網(wǎng)絡(luò)及主機(jī)設(shè)備的系統(tǒng)及配備等通進(jìn)行備份，在故障或災(zāi)難發(fā)生時，能夠使系統(tǒng)快速恢復(fù)到最新狀態(tài)。網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是整個安全解決方案的核心，涉及訪問控制、通信、入侵檢測、安全掃描等。1、隔離與訪問控制（1）局域網(wǎng)劃分虛擬子網(wǎng)（VLAN）根據(jù)不同顧客的安全級別或不同部門的安全需求，運(yùn)用三層交換機(jī)來劃分虛擬子網(wǎng)（VLAN），在沒有配備路有的狀況下，不同虛擬子網(wǎng)間不能互相訪問。（2）配備防火墻防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全的惡安全方法之一。防火墻通過制訂嚴(yán)格的惡安全方略，實(shí)現(xiàn)不同網(wǎng)絡(luò)或部網(wǎng)絡(luò)不同信任域之間的隔離與訪問。2、通信通信重要是為了保護(hù)網(wǎng)上傳送的惡信息的安全。通過采用網(wǎng)絡(luò)層加密等方法，實(shí)現(xiàn)對網(wǎng)絡(luò)中重要信息傳送的保護(hù)。應(yīng)用安全1、訪問控制在醫(yī)療信息網(wǎng)絡(luò)中傳送著諸多核心性的資料，關(guān)系到人們的生命安全，因此采用自主訪問控制或強(qiáng)制訪問控制的機(jī)制，對顧客和資源分派不同的授權(quán)級，根據(jù)授權(quán)，系統(tǒng)控制顧客對資源的訪問。2、身份識別和驗證身份識別和驗證，是驗證訪問者身份的惡有效手段，、是系統(tǒng)中實(shí)現(xiàn)訪問控制和建立顧客責(zé)任的基礎(chǔ)。身份識別是對顧客向系統(tǒng)提供規(guī)定的身份進(jìn)行證明的辦法：身份驗證是建立這種證明正當(dāng)性的辦法。系統(tǒng)通過接受如顧客名、口令、、圖章、指紋或手書簽名等驗證數(shù)據(jù)、查證現(xiàn)在顧客與否仍是現(xiàn)在使用系統(tǒng)的顧客等。更為有效的加強(qiáng)身份驗證，西通還能夠采用加密技術(shù)。3、數(shù)據(jù)備份和恢復(fù)數(shù)據(jù)備份和恢復(fù)機(jī)制是保護(hù)網(wǎng)絡(luò)數(shù)據(jù)資源的重要技術(shù)方法。在業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行時，可能發(fā)生軟件運(yùn)行錯誤、系統(tǒng)死機(jī)和存儲介質(zhì)故障等災(zāi)難。因此，應(yīng)采用磁盤鏡像、磁盤陣列、磁帶庫等技術(shù)手段，對系統(tǒng)數(shù)據(jù)進(jìn)行備份并在故障發(fā)生時，采用合適的恢復(fù)方略，修復(fù)中被破壞的或不對的的數(shù)據(jù)，使之恢復(fù)到一致性狀態(tài)。安全管理XXXXX市立醫(yī)院網(wǎng)絡(luò)系統(tǒng)是一種橫向、縱向連接的多級網(wǎng)絡(luò)，運(yùn)行著多個業(yè)務(wù)系統(tǒng)，由于網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性、應(yīng)用系統(tǒng)的多樣性和使用人員身份的多重性，制訂一套完善的安全管理制度十分必要。同時為實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理，應(yīng)設(shè)立安全管理中心對安全事件、設(shè)備故障信息等進(jìn)行集中分析和處置，并在此基礎(chǔ)上實(shí)施統(tǒng)一規(guī)劃、集中管理、嚴(yán)格規(guī)章、加強(qiáng)教育、明確責(zé)任、動態(tài)監(jiān)控，確保網(wǎng)絡(luò)安全可靠的運(yùn)行。網(wǎng)絡(luò)安全方略總體安全方略在XXXX市立醫(yī)院網(wǎng)絡(luò)系統(tǒng)工程建設(shè)中，應(yīng)遵照下列總體安全方略：未經(jīng)允許的訪問都要嚴(yán)格嚴(yán)禁；允許的訪問都要通過認(rèn)證、授權(quán)；重要的信息在網(wǎng)上傳輸要通過加密方法；網(wǎng)絡(luò)邊界安全方略網(wǎng)絡(luò)邊界安全方略涉及：網(wǎng)絡(luò)外的信息交換要通過物理隔離設(shè)備進(jìn)行；網(wǎng)網(wǎng)絡(luò)劃分為不同的安全域，互相之間只允許授權(quán)顧客訪問特定資源；安全聯(lián)動方略網(wǎng)絡(luò)設(shè)備如防火墻、交換機(jī)、網(wǎng)絡(luò)防病毒系統(tǒng)等，既能夠單獨(dú)運(yùn)行，還能夠通過互動，更有效確實(shí)保網(wǎng)絡(luò)安全。拓?fù)錁?gòu)造拓?fù)潢U明：XXXXX市立醫(yī)院本次新建樓宇分為病房樓、醫(yī)技樓、門急診樓、傳染樓、附屬樓，根據(jù)網(wǎng)絡(luò)實(shí)際需求劃分為外網(wǎng)和網(wǎng)兩部分，并且規(guī)定網(wǎng)外網(wǎng)物理隔離。網(wǎng)構(gòu)造闡明：網(wǎng)網(wǎng)絡(luò)整體架構(gòu)采用二層網(wǎng)絡(luò)架構(gòu)(核心層-接入層)，采用星型網(wǎng)絡(luò)拓?fù)湫问?，在確保網(wǎng)網(wǎng)絡(luò)的安全可靠性的前提下，又要顧及到經(jīng)濟(jì)性原則，主機(jī)房核心交換機(jī)采用雙核心熱備份的方式，每套核心交換機(jī)都配備雙引擎、雙交流電源，核心交換機(jī)上端通過防火墻來提供與外部專有網(wǎng)絡(luò)的互聯(lián)，并且選擇的該款防火墻支持多個接口形式，方便后來網(wǎng)絡(luò)的升級等規(guī)定；防火墻通過六類線與主機(jī)房兩臺核心交換機(jī)連接，核心交換機(jī)采用雙機(jī)熱備份、雙鏈路的方式通過萬兆多模光纜連接到病房樓、醫(yī)技樓、門急診樓、傳染樓、附屬樓的接入交換機(jī)上，整體網(wǎng)絡(luò)采用萬兆主干，千兆到桌面的連接方式。對于網(wǎng)絡(luò)的網(wǎng)安全，采用網(wǎng)絡(luò)防火墻來實(shí)現(xiàn)，通過對應(yīng)方略的配備，來實(shí)現(xiàn)網(wǎng)的數(shù)據(jù)安全。在病房樓、門急診樓等布署無線90臺無線AP來實(shí)現(xiàn)網(wǎng)絡(luò)的無縫覆蓋，無線AP的配合使用將大大提高醫(yī)院的人性化設(shè)計、先進(jìn)科學(xué)性設(shè)計。外網(wǎng)構(gòu)造闡明：外網(wǎng)網(wǎng)絡(luò)整體架構(gòu)采用二層網(wǎng)絡(luò)架構(gòu)(核心層-接入層)，采用星型網(wǎng)絡(luò)拓?fù)湫问?，考慮到外網(wǎng)網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，核心交換機(jī)采用雙機(jī)雙核心、雙電源的方式，核心交換機(jī)上端通過防火墻來提供與INTERNET的互聯(lián)，并且選擇的該款防火墻支持多個接口形式，方便后來網(wǎng)絡(luò)的升級等規(guī)定；防火墻通過六類線與外網(wǎng)核心交換機(jī)連接，核心交換機(jī)通過千兆單模光纜連接到病房樓、醫(yī)技樓、門急診樓、傳染樓、附屬樓的接入層交換機(jī)上，整體網(wǎng)絡(luò)采用萬兆主干，千兆到桌面的連接方式，對于網(wǎng)絡(luò)的外網(wǎng)安全，采用網(wǎng)絡(luò)防火墻來實(shí)現(xiàn)，通過對應(yīng)方略的配備，來實(shí)現(xiàn)外網(wǎng)的數(shù)據(jù)安全。系統(tǒng)中的技術(shù)綜合應(yīng)用在前面我們重要介紹了在本次網(wǎng)絡(luò)集成中重要應(yīng)用的技術(shù)，那么接下來我們將重要闡明如何應(yīng)用上述的這些技術(shù)使之成為一種融合的網(wǎng)絡(luò)。融合的多vlan網(wǎng)絡(luò)首先，網(wǎng)絡(luò)層次狀況分為核心層、匯聚層、接入層，其中核心層作為網(wǎng)絡(luò)的連接和交換平臺，管理全網(wǎng)業(yè)務(wù)的連接、匯接和轉(zhuǎn)接；而接入層則完畢顧客業(yè)務(wù)的直接接入。層次化的構(gòu)造有助于功效簡化，同時可確保核心層的相對穩(wěn)定性，確保核心層不受或少受易變化的接入層影響（由于業(yè)務(wù)的不停變化），同樣也便于核心層的擴(kuò)展和升級；固然過多的層次劃分會對業(yè)務(wù)的使用效率以及業(yè)務(wù)質(zhì)量產(chǎn)生不好的影響。1、核心層設(shè)計作為網(wǎng)絡(luò)的核心層，有必要采用兩臺高端核心交換機(jī)作為全網(wǎng)的核心，由于它需要在網(wǎng)絡(luò)中負(fù)載全部數(shù)據(jù)流的交互，數(shù)據(jù)庫系統(tǒng)、管理安全平臺、終端顧客都會在此交換數(shù)據(jù)，因此核心交換機(jī)的性能一定要有很高的可靠性。另外網(wǎng)絡(luò)部構(gòu)造一旦擬定，其構(gòu)造將會在一段時間難以變化，因此采用高端交換機(jī)既能夠確保網(wǎng)絡(luò)速度又能夠在系統(tǒng)升級后繼續(xù)使用保護(hù)投資。本次網(wǎng)絡(luò)設(shè)計中核心交換機(jī)選用華為公司的S9306核心交換機(jī)。2、匯聚層設(shè)計在網(wǎng)絡(luò)中，匯聚層交換機(jī)和核心層交換機(jī)的作用與接入交換機(jī)不同，它們承當(dāng)了網(wǎng)關(guān)和三層路由轉(zhuǎn)發(fā)功效的重任，匯聚層交換機(jī)必須能夠解決來自接入層設(shè)備的全部通信量，并提供到核心層的上行鏈路，因此與接入層交換機(jī)比較，匯聚層交換機(jī)需要更高的性能和更高的交換速率，本次網(wǎng)絡(luò)規(guī)劃設(shè)計中匯聚層交換機(jī)選用華為公司的S5700-28C-EI-24S交換機(jī)。2、接入層設(shè)計樓層交換機(jī)以部門、樓層劃分vlan，在終端顧客的訪問控制上還能夠根據(jù)規(guī)定配備認(rèn)證。全部的vlan組在核心交換機(jī)上做VRRP冗余備份，為了確保安全，還能夠?qū)⒉煌膙lan從主備核心交換上區(qū)別開來，確保網(wǎng)絡(luò)的負(fù)載均衡，本次接入層交換機(jī)我們選用華為公司的S5700-48TP-SI-AC和S5700-24TP-SI-AC兩款全千兆交換機(jī)。3、IP地址分派對于一種IP網(wǎng)絡(luò)來說，不可回避的一項工作就是IP地址的規(guī)劃和分派。IP地址規(guī)劃與否合理對一種IP網(wǎng)絡(luò)來說是至關(guān)重要的，關(guān)系到這個網(wǎng)絡(luò)性能能否充足發(fā)揮、網(wǎng)絡(luò)與否含有較強(qiáng)的擴(kuò)展能力、與否能夠更加好的管理網(wǎng)絡(luò)等。IP地址的規(guī)劃原則：IP地址的劃分將沿用原有計算機(jī)網(wǎng)絡(luò)IP地址的劃分方案，據(jù)此在兼容原來計算機(jī)網(wǎng)的編址方案的前提下進(jìn)行合理分派，并應(yīng)堅持下列原則：1、地址分派方案應(yīng)與原有網(wǎng)絡(luò)地址分派方案統(tǒng)一考慮，原有網(wǎng)絡(luò)地址分派盡量保持不變2、地址分派應(yīng)本著簡化路由選擇，充足運(yùn)用地址空間，兼顧此后網(wǎng)絡(luò)發(fā)展，便于業(yè)務(wù)管理等原則進(jìn)行3、地址分派方案要采用CIDR和可變長子網(wǎng)掩碼技術(shù)4、充足考慮將來在若干節(jié)點(diǎn)可能采用保存地址與正當(dāng)?shù)刂废嘟Y(jié)合使用的方式的系統(tǒng)可擴(kuò)充性基于以上原則，IP地址的劃分應(yīng)含有層次性、有預(yù)留、易管理等特點(diǎn)。建議IP地址的劃分于VLAN關(guān)聯(lián)，一種VLAN一種地址段，按實(shí)際狀況能夠采用可變長子網(wǎng)掩碼的技術(shù)對一種原則網(wǎng)段進(jìn)行再劃分。建議各個接口地址使用統(tǒng)一的地址位。例如：假設(shè)現(xiàn)有3個VLAN分別為:VLAN2、VLAN3、VLAN4三個VLAN所對應(yīng)的地址為：/24、/24、/24。那針對這三個VLAN的各個接口地址分別為：VLAN2：熱備份漂移地址－54主交換設(shè)備的VLAN1接口地址-53備份交換設(shè)備的VLAN1接口地址－52VLAN3：熱備份漂移地址-54主交換設(shè)備的VLAN1接口地址-53備份交換設(shè)備的VLAN1接口地址－52VLAN4：熱備份漂移地址－54主交換設(shè)備的VLAN1接口地址-53備份交換設(shè)備的VLAN1接口地址－52注：上述地址只是一種舉例，具體地址規(guī)劃及配備按實(shí)際狀況進(jìn)行分派。VLAN的設(shè)立劃分根據(jù)以終端顧客來分析。假設(shè)按職能或業(yè)務(wù)分成三個部門D1、D2、D3，各包含若干計算機(jī)（或服務(wù)器），一種共用服務(wù)器SERVER。信息流重要集中在SERVER上，不在網(wǎng)絡(luò)層上將它和其它部門分開，通過授權(quán)就能訪問；其中的某個部門的某些計算機(jī)（例如管理者）能夠不通過路由訪問跨部門的計算機(jī)。邏輯上屬于一種部門的計算機(jī)（服務(wù)器在一種VLAN；邏輯上屬于多個部門的計算機(jī)（服務(wù)器）在多個VLAN上（例如共用服務(wù)器SERVER或管理臺席）。設(shè)立VLAN首先明確需求，根據(jù)具體運(yùn)用的需求將聯(lián)網(wǎng)的顧客劃分為幾個組，明確組與組之間的互通關(guān)系。如上圖的示例，假設(shè)互通關(guān)系需求下表所示?；ネP(guān)系需求表計算機(jī)臺席部門闡明AD1可與D1和D3的F互訪問BD1同上CD1同上DD2可與D2和D3的F互訪問ED2同上FD3可與D1、D2、D3的互訪問JD3可與D3和D2互訪問HD3可與D3互訪問ID3同上SERVER可被全部計算機(jī)訪問劃分直觀說來，劃分VLAN就是將連接到網(wǎng)絡(luò)上的計算機(jī)劃分為幾個組，同組的計算機(jī)之間的互通需求相似，全部連網(wǎng)的計算機(jī)劃分為下面三個組，實(shí)現(xiàn)三個VLAN。以下表所示。VLAN劃分列表組包含的計算機(jī)D1A、B、CD2D、ED3F、J、H、ISERVERSERVER為VLAN分派ID在交換機(jī)上劃分不同VLAN的標(biāo)志就是各個VLAN的VLANID（802.1QVID）不同。理論上說，每一種VLAN應(yīng)當(dāng)分派不同的ID，但在實(shí)際應(yīng)用中，如果我們將多個VLAN分派同樣的ID，在某些特定的條件下是允許的（如兩個慮擬局域網(wǎng)的實(shí)現(xiàn)在存在交叉點(diǎn)，即任何一臺交換機(jī)上都不需要同時實(shí)現(xiàn)的虛擬網(wǎng)）。能夠運(yùn)用下面的表格來分析。網(wǎng)絡(luò)需求分析組VLANID交換機(jī)1交換機(jī)2交換機(jī)3D11YESNONOD22YESNONOD33YESYESYESD44NOYESNOSERVER5YESYESYES注：表中YES：表達(dá)在該交換機(jī)上實(shí)現(xiàn)；NO：不在該交換機(jī)上實(shí)現(xiàn)。達(dá)成的目的同一職能業(yè)務(wù)部門部能夠互訪問；跨部門的訪問需要通過核心交換機(jī)的授權(quán)；共用信息被全部的計算機(jī)訪問；其中的某些計算機(jī)（例如管理）有特別權(quán)限。同時，達(dá)成提高局域部通信性能、靈活控制訪問權(quán)限以提高安全性的目的。核心交換與樓層交換的配備舉例核心交換機(jī)采用了華為的9306核心交換，它采用三層交換技術(shù)和樓層交換機(jī)的vlan相配合，通過外接防火墻達(dá)成上網(wǎng)的目的。其中樓層交換機(jī)之間根據(jù)訪問的規(guī)定在核心交換機(jī)上統(tǒng)一配備ACL訪問控制列表，達(dá)成訪問規(guī)定，避免木馬和病毒的擴(kuò)散。另外在樓層交換機(jī)上，我們配備對應(yīng)的802.1x合同，使全部的登錄顧客能夠在被允許的狀況下訪問網(wǎng)絡(luò)，達(dá)成安全的控制。全部的顧客采用DHCP自動分派的方式，提高網(wǎng)絡(luò)的易管理性。無線網(wǎng)絡(luò)系統(tǒng)設(shè)計介紹我們本次為XXXXX立醫(yī)院設(shè)計的無線網(wǎng)絡(luò)平臺，在可靠性及可預(yù)測性上得以大幅提高，本次無線網(wǎng)絡(luò)系統(tǒng)采用了HUAWEI公司最新的無線網(wǎng)絡(luò)平臺和最尖端的802.11n無線技術(shù)，不僅覆蓋效果更加好，信號也更穩(wěn)定，同時在數(shù)據(jù)、語音及視頻傳輸方面，均能為顧客提供更加好的移動性接入使用體驗。有了這個無線平臺，醫(yī)院將來就能不停開展并移植豐富的應(yīng)用，打造移動醫(yī)護(hù)新體驗，醫(yī)院醫(yī)護(hù)人員能夠隨時隨處在無線網(wǎng)絡(luò)中穩(wěn)定地使用多個醫(yī)療應(yīng)用系統(tǒng)，而以前這些系統(tǒng)只能通過有線網(wǎng)絡(luò)在固定的地點(diǎn)才干實(shí)現(xiàn)，從而大大提高了工作效率。新的無線網(wǎng)絡(luò)平臺不僅能夠確保醫(yī)療核心業(yè)務(wù)優(yōu)先使用網(wǎng)絡(luò)，同時還能夠滿足其它訪客的上網(wǎng)需求，思科的獨(dú)有技術(shù)能夠確保這兩種應(yīng)用完全隔離，從而杜絕安全隱患、實(shí)現(xiàn)實(shí)時醫(yī)護(hù)、加緊醫(yī)護(hù)響應(yīng)速率、提高工作精確度，更能夠減少醫(yī)療事故發(fā)生率，最后優(yōu)化醫(yī)護(hù)工作流程，提高患者的滿意度。我們本次選用HUAWEI公司的6603-128無線局域網(wǎng)控制器、WA603DE無線接入點(diǎn)對XXXXX醫(yī)院進(jìn)行無線網(wǎng)絡(luò)布署，該系統(tǒng)比單獨(dú)使用胖AP的無線布置系統(tǒng)更加利于集中控制，統(tǒng)一配備，集中管理，該系統(tǒng)采用的思科802.11n尖端無線網(wǎng)絡(luò)技術(shù)，不僅能夠全方面兼容現(xiàn)有的無線局域網(wǎng)原則——802.11a/b/g的客戶端，且無線數(shù)據(jù)傳輸?shù)乃俣葘⑻岣叩?00Mbps。這一性能的提高最少是802.11a/b/g（54Mbps）的五倍，同時還將增加5倍的凈吞吐量，即使新網(wǎng)絡(luò)平臺接入傳統(tǒng)的802.11a/b/g客戶端，傳輸效果也能獲得明顯改善。同時，安裝了無線控制器冗余備份，能夠確保無線網(wǎng)絡(luò)發(fā)生故障時的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的無縫切換，思科無線網(wǎng)絡(luò)除實(shí)現(xiàn)高級加密、認(rèn)證等安全技術(shù)外，更能夠進(jìn)行主動安全防御，在提供授權(quán)顧客互聯(lián)網(wǎng)接入服務(wù)的基礎(chǔ)上，完全避免非法無線接入，避免非授權(quán)人員使用醫(yī)院無線網(wǎng)絡(luò)，確保病人隱私和信息等數(shù)據(jù)的私密性和完整性。無線網(wǎng)拓?fù)洌涸O(shè)備介紹核心交換機(jī)Quidway?S9306路由交換機(jī)產(chǎn)品概覽Quidway?S9306是華為公司面對以業(yè)務(wù)為核心的網(wǎng)絡(luò)架構(gòu)而推出的新一代高端智能T比特核心路由交換機(jī)。該產(chǎn)品基于華為公司智能多層交換的技術(shù)理念，在提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務(wù)基礎(chǔ)上，進(jìn)一步提供業(yè)務(wù)流分析、完善的QOS方略、可控組播等智能業(yè)務(wù)優(yōu)化手段，同時含有超強(qiáng)擴(kuò)展性和可靠性，廣泛合用于運(yùn)行商IP城域網(wǎng)，公司廣域網(wǎng)/城域網(wǎng)，公司出口/核心/匯聚，高密度千兆桌面接入，以及數(shù)據(jù)中心，協(xié)助電信運(yùn)行商和公司構(gòu)建面對業(yè)務(wù)的網(wǎng)絡(luò)平臺，提供交換路由一體化的端到端融合網(wǎng)絡(luò)服務(wù)。S9306提供8插槽，支持不停擴(kuò)展的交換能力和端口密度。整個系列秉承模塊通用化、部件歸一化的設(shè)計理念，最小化備件成本，在確保設(shè)備擴(kuò)展性的同時最大程度地保護(hù)顧客投資。另外，S9306作為新一代智能交換機(jī)采用了多個綠色節(jié)能創(chuàng)新技術(shù)，在不停提高性能及穩(wěn)定性的同時，大幅減少設(shè)備能源消耗，減小噪聲污染，為網(wǎng)絡(luò)綠色可持續(xù)發(fā)展提供領(lǐng)先的解決方案。產(chǎn)品特點(diǎn)創(chuàng)新的三平面設(shè)計S9306在傳統(tǒng)交換機(jī)數(shù)據(jù)轉(zhuǎn)發(fā)、管理控制雙平面基礎(chǔ)上創(chuàng)新地增加了獨(dú)立的環(huán)境監(jiān)控平面，實(shí)現(xiàn)對單板、電扇和電源配電模塊的監(jiān)控、管理和維護(hù)。業(yè)界首創(chuàng)的環(huán)境監(jiān)控板，采用華為自主知識產(chǎn)權(quán)的高集成度中控芯片，實(shí)現(xiàn)硬件級的按流量動態(tài)調(diào)節(jié)功率、電扇分區(qū)控制、電扇智能調(diào)速、端口休眠技術(shù)等多項節(jié)能技術(shù)，在提高系統(tǒng)性能的同時大大減少整機(jī)功耗。支持獨(dú)立環(huán)境監(jiān)控與網(wǎng)管聯(lián)動，實(shí)現(xiàn)全方面可視化管理。創(chuàng)新的三平面設(shè)計一機(jī)多用，全業(yè)務(wù)的以太交換平臺QuidwayS9306不僅能為公司和電信運(yùn)行商提供業(yè)界領(lǐng)先的性能、端口密度和可用性，同時提供強(qiáng)大的全業(yè)務(wù)支持，涉及：

整機(jī)支持高達(dá)576個GE/144個10GE端口；采用領(lǐng)先工藝設(shè)計，優(yōu)化整機(jī)尺寸，超強(qiáng)雙面走線能力，提供無與倫比的單機(jī)柜端口密度，支持高達(dá)1728個GE或432個10GE端口支持分布式L2/L3MPLSVPN功效，支持MPLS、VPLS、HVPLS、VLL，滿足大客戶VPN專線、公司VPN等高端顧客的接入需求含有線速的跨VLAN組播復(fù)制能力，實(shí)現(xiàn)端口的滿負(fù)荷復(fù)制，滿足大容量的IPTV顧客接入需求；完善的二、三層組播合同，可作為組播復(fù)制點(diǎn)和控制點(diǎn)，提供高性能的IP組播視頻和音頻應(yīng)用多合同L3路由支持滿足了傳統(tǒng)的網(wǎng)絡(luò)規(guī)定，支持從公司級到電信運(yùn)行商級的大規(guī)模路由表，支持IPv6，能夠為公司網(wǎng)絡(luò)提供平滑的過渡機(jī)制支持多個主流的時鐘方案，涉及基于PHY層的以太網(wǎng)同時時鐘，以及IEEE1588時鐘同時支持POE，滿足在線供電需求高可靠性設(shè)計，提高網(wǎng)絡(luò)彈性S9306含有5個9的運(yùn)行級高可靠性，主控、電源、電扇等核心部件采用冗余設(shè)計，全部模塊均支持熱插拔?；诜植际降挠布D(zhuǎn)發(fā)架構(gòu)，控制通路與業(yè)務(wù)通路分離，確?？刂仆窌惩?。提供3.3ms高精度硬件級以太OAM功效，實(shí)現(xiàn)快速故障檢測與定位，與其它倒換技術(shù)聯(lián)動可有效確保毫秒級網(wǎng)絡(luò)保護(hù)。能夠在冗余控制引擎間實(shí)現(xiàn)無縫切換，且設(shè)備優(yōu)雅重啟無中斷轉(zhuǎn)發(fā)，支持ISSU業(yè)務(wù)無縫升級，提供應(yīng)用和服務(wù)持續(xù)性統(tǒng)一的融合網(wǎng)絡(luò)環(huán)境，減少核心業(yè)務(wù)和服務(wù)中斷。支持IEEE802.3ad鏈路匯聚、IEEE802.1s/w和虛擬路由器冗余合同（VRRP），同時支持豐富的毫秒級倒換技術(shù)如RRPP、Smartlink、IPFRR、TEFRR等，實(shí)現(xiàn)傳輸級的高可靠性。卓越的三維擴(kuò)展能力，容量“無極變速”支持豐富的靈活業(yè)務(wù)插卡及業(yè)務(wù)單板，支持Firewall、IPSec、Netstream、NAT、負(fù)載均衡模塊，滿足將來業(yè)務(wù)的擴(kuò)展需求。作為新一代的以太匯聚平臺，S9306能夠從容應(yīng)對城域骨干網(wǎng)和大容量IDC對核心匯聚設(shè)備的帶寬需求。S9306單槽位支持12×10GE線速轉(zhuǎn)發(fā)，整機(jī)支持2T的交換能力，更加好地滿足IPTV等大帶寬業(yè)務(wù)和IDC機(jī)房的接入需求。系統(tǒng)預(yù)留向更大交換容量升級的能力，滿足將來100GE的需求。支持?jǐn)U展到5.12T交換容量，48×10GE高密度10G線卡，充足考慮將來3～5年的帶寬需求，提供帶寬平滑擴(kuò)展能力。完善的時鐘同時方案，F(xiàn)MC全能承載全方面滿足3G承載業(yè)務(wù)需求，支持物理層時鐘同時、IEEE1588v2時鐘同時及時間校準(zhǔn)機(jī)制，為移動通信業(yè)務(wù)提供高精度的時鐘信息。支持微秒級高精度時鐘，滿足3G基站的時鐘規(guī)定，完美解決移動分組承載網(wǎng)的時鐘同時問題。面對多業(yè)務(wù)接入的PWE3技術(shù)，確保了傳統(tǒng)業(yè)務(wù)的傳送質(zhì)量。支持時鐘源快速保護(hù)倒換。六項創(chuàng)新節(jié)能技術(shù)，省電30%S9306作為新一代交換機(jī)產(chǎn)品，吸取了業(yè)界的經(jīng)驗，在提高整機(jī)最大轉(zhuǎn)發(fā)容量的基礎(chǔ)上，采用了面對將來的節(jié)能減排設(shè)計方案，節(jié)省本身耗電的同時減小整體機(jī)房系統(tǒng)能源消耗，大幅減少網(wǎng)絡(luò)維護(hù)成本。

獨(dú)特的“變流”芯片，實(shí)現(xiàn)按流量動態(tài)調(diào)節(jié)功率，減少功耗8%。獨(dú)特的“旋轉(zhuǎn)”風(fēng)道設(shè)計，提高整機(jī)散熱效率，減少功耗3%，同時整機(jī)出線能力提高6倍。采用顆?；⑿」β实哪K化設(shè)計思路，提高電源系統(tǒng)的轉(zhuǎn)換效率，電源按需配備，保護(hù)顧客投資獨(dú)立電扇分區(qū)控制，進(jìn)一步減少功耗和噪聲污染采用智能電扇調(diào)速方略，監(jiān)測全系統(tǒng)核心器件溫度，采用社區(qū)間控溫技術(shù)，能夠有效減少轉(zhuǎn)速，并延長電扇使用壽命支持端口休眠，無流量不耗電周密的安全設(shè)計S9306提供多個安全方法，可覺得服務(wù)提供商以及網(wǎng)絡(luò)的最后顧客提供高效數(shù)據(jù)保護(hù)。支持完善的AAA（Authentication，AuthorizationandAccounting）機(jī)制，根據(jù)方略對接入顧客進(jìn)行認(rèn)證、授權(quán)和計費(fèi)。支持802.1X、Portal、GuestVLAN,支持與主流廠商的NAC互通支持路由合同加密、正當(dāng)監(jiān)聽、MAC地址過濾、動態(tài)ARP檢測、ACL等等一系列安全特性，可覺得服務(wù)提供商以及網(wǎng)絡(luò)的最后顧客提供數(shù)據(jù)保護(hù)?；谟布陌^濾和采樣，可實(shí)現(xiàn)高性能和高擴(kuò)展性。分布式設(shè)計，提供2級CPU保護(hù)機(jī)制，支持1KCPU保護(hù)隊列，可實(shí)現(xiàn)數(shù)據(jù)和控制的分離解決，避免回絕服務(wù)攻擊、非法接入以及控制平面過載等，提供業(yè)界領(lǐng)先的安全性能

Quidway?S5700系列全千兆運(yùn)行級交換機(jī)概述Quidway?S5700系列全千兆交換機(jī)（下列簡稱S5700），是華為公司為滿足大帶寬接入和以太網(wǎng)多業(yè)務(wù)匯聚而推出的新一代全千兆高性能以太網(wǎng)交換機(jī)，可為客戶提供強(qiáng)大的以太網(wǎng)功效服務(wù)。S5700基于新一代高性能硬件和華為公司統(tǒng)一的VRP?（VersatileRoutingPlatform）軟件，含有大容量、高密度千兆端口，可提供萬兆上行，充足滿足客戶對高密度千兆和萬兆上行設(shè)備的需求。S5700可滿足運(yùn)行商園區(qū)網(wǎng)匯聚、公司網(wǎng)匯聚、IDC千兆接入以及公司千兆到桌面等多個場合的需求。產(chǎn)品特點(diǎn)

強(qiáng)大的多業(yè)務(wù)支持能力S5700支持增強(qiáng)型靈活QinQ功效，確保靈活的外層VLAN標(biāo)簽功效的同時不占用ACL資源。S5700能將層VLAN的CoS值映射到外層VLAN，或者修改外層VLAN的CoS值，可根據(jù)業(yè)務(wù)需要靈活標(biāo)記QoS等級，滿足多業(yè)務(wù)承載的規(guī)定。S5700支持IGMPSnooping/IGMPv3snooping/Filter/FastLeave/Proxy等合同。S5700支持線速的跨VLAN組播復(fù)制功效，支持捆綁端口的組播負(fù)載分擔(dān)，支持可控組播，能夠充足滿足IPTV和其它組播業(yè)務(wù)的需求。S5700支持MCE功效，實(shí)現(xiàn)了不同VPN顧客在同一臺設(shè)備的隔離，有效解決顧客數(shù)據(jù)安全問題，同時減少顧客投資成本。完備的高可靠保護(hù)機(jī)制S5700不僅支持傳統(tǒng)的STP/RSTP/MSTP生成樹合同，還支持SmartLink和RRPP等增強(qiáng)型以太網(wǎng)技術(shù)，能夠?qū)崿F(xiàn)毫秒級鏈路保護(hù)倒換，確保高可靠性的網(wǎng)絡(luò)質(zhì)量。另外，針對Smartlink和RRPP均提供多實(shí)例功效，可實(shí)現(xiàn)鏈路負(fù)載分擔(dān)，進(jìn)一步提高了鏈路帶寬運(yùn)用率。S5700支持以太Trunk（E-Trunk）功效。在使用E-Trunk之后，CE設(shè)備能夠通過E-Trunk雙歸接入到兩臺PE設(shè)備上。從而把鏈路可靠性從單板級提高到了設(shè)備級，大大增強(qiáng)了設(shè)備級的可靠性。從而實(shí)現(xiàn)了跨設(shè)備的鏈路聚合和鏈路負(fù)載分擔(dān)功效。極大的提高了接入側(cè)設(shè)備的可靠性。S5700支持智能以太保護(hù)SEP（SmartEthernetProtection），SEP是一種專用于以太網(wǎng)鏈路層的環(huán)網(wǎng)議。合用于半環(huán)組網(wǎng)場景，布署時可獨(dú)立于上層匯聚設(shè)備，并提供50ms的快速業(yè)務(wù)倒換性能。確保業(yè)務(wù)的不中斷。在華為設(shè)備上已經(jīng)運(yùn)用SEP合同實(shí)現(xiàn)了以太網(wǎng)鏈路管理。SEP合同簡樸可靠、倒換性能高、維護(hù)方便、拓?fù)潇`活，能夠大大方便顧客進(jìn)行網(wǎng)絡(luò)的管理和規(guī)劃。S5700支持雙電源冗余供電，也能夠交、直流同時輸入。顧客可靈活選擇單電源工作模式或者雙電源工作模式，提高了設(shè)備可靠性。S5700EI系列支持VRRP虛擬路由冗余合同，與其它三層交換機(jī)構(gòu)建VRRP備份組。構(gòu)建故障時的冗余路由拓樸構(gòu)造，保持通訊的持續(xù)性和可靠性，有效保障網(wǎng)絡(luò)穩(wěn)定。支持在設(shè)備上配備多條等價路由的方式實(shí)現(xiàn)上行路由的冗余備份，當(dāng)主上行路由發(fā)生故障時自動切換到下一種備份路由上去，實(shí)現(xiàn)上行路由的多級備份。S5700支持BFD鏈路快速檢測功效，能為OSPF、ISIS、VRRP、PIM等合同提供毫秒級檢測機(jī)制，提高了網(wǎng)絡(luò)可靠性。S5700遵照IEEE802.3ah和802.1ag提供點(diǎn)到點(diǎn)以太網(wǎng)故障管理功效，能夠用于檢測顧客側(cè)最后一公里以太網(wǎng)直連鏈路上的故障。以太網(wǎng)OAM能夠有效提高以太網(wǎng)的網(wǎng)絡(luò)管理能力和維護(hù)能力，保障網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。完備的QoS方略和安全機(jī)制S5700系列交換機(jī)能夠基于五元組、IP優(yōu)先級、TOS、DSCP、IP合同類型、ICMP類型、TCP源端口、VLAN、以太網(wǎng)幀合同類型、CoS等信息，實(shí)現(xiàn)復(fù)雜流分流功效，支持雙向ACL。S5700支持基于流的雙速三色限速功效，每端口支持8個優(yōu)先級隊列，支持WRR、DRR、SP、WRR＋SP、DRR+SP多個隊列調(diào)度算法，有效地確保了話音、視頻和數(shù)據(jù)等網(wǎng)絡(luò)業(yè)務(wù)質(zhì)量。S5700系列交換機(jī)提供多個安全保護(hù)功效。支持DoS（DenialofService）類防攻擊、網(wǎng)絡(luò)的防攻擊、顧客的防攻擊等功效。其中Dos類防攻擊重要涉及SYNFlood、Land、Smurf、ICMPFlood。網(wǎng)絡(luò)的防攻擊重要是指STP的bpdu/root攻擊。顧客的防攻擊涉及DHCP仿冒攻擊、中間人攻擊、IP/MACSpoofing攻擊、DHCPrequestflood、變化CHADDR值的DoS攻擊等等。S5700支持通過建立和維護(hù)DHCPSnooping綁定表，偵聽接入顧客的MAC/IP地址、租用期、VLAN-ID、接口等信息，解決DHCP顧客的IP和端口跟蹤定位問題。同時，對不符合綁定表項的非法報文（ARP欺騙報文、私自修改IP地址等）直接丟棄，有效避免黑客或攻擊者通過ARP報文實(shí)施園區(qū)網(wǎng)常見的“中間人”攻擊。運(yùn)用DHCPSnooping的信任端口特性還能夠確保DHCPServer的正當(dāng)性。S5700支持ARP表項嚴(yán)格學(xué)習(xí)功效，能夠避免因ARP欺騙攻擊將交換機(jī)ARP表項占滿，造成正常顧客無法上網(wǎng)。同時，支持IPSourceCheck特性，避免涉及MAC欺騙、IP欺騙、MAC/IP欺騙在的非法地址仿冒帶來的DOS攻擊。S5700支持集中式MAC地址認(rèn)證和802.1x認(rèn)證及NAC功效，支持顧客賬號、IP、MAC、VLAN、端口、客戶端與否安裝病毒防等顧客標(biāo)記元素的動態(tài)或靜態(tài)綁定，同時實(shí)現(xiàn)顧客方略（VLAN、QoS、ACL）的動態(tài)下發(fā)。S5700支持基于端口的源MAC地址學(xué)習(xí)限制功效，有效避免顧客源MAC欺騙沖擊設(shè)備MAC表項，造成正常顧客無法學(xué)到MAC表而泛洪的問題等。免維護(hù)易布署S5700采用“一次進(jìn)站”方案，支持自動配備、即插即用、USB開局、自動批量遠(yuǎn)程升級功效，便于布署升級和業(yè)務(wù)發(fā)放，簡化后續(xù)的管理和維護(hù)性能。從而大大減少了維護(hù)成本。S5700支持SNMPV1/V2/V3，CLI命令行、Web網(wǎng)管、TELNET、HGMP集群管理等多樣化的管理和維護(hù)方式，設(shè)備管理更加靈活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主機(jī)、基于端口的流量統(tǒng)計，支持NQA網(wǎng)絡(luò)質(zhì)量分析，有助于進(jìn)一步作好網(wǎng)絡(luò)規(guī)劃和改造。POE特性S5700PWR系列交換機(jī)能夠通過配備不同功率等級的POE電源支持PoE（PowerOverEthernet）功效，即可通過網(wǎng)線向遠(yuǎn)端下掛PD設(shè)備（如IPPhone、WLANAP、Security、BluetoothAP等）提供-48V直流電源，實(shí)現(xiàn)對下掛PD設(shè)備遠(yuǎn)端供電。作為供電方PSE（PowerSourcingEquipment）設(shè)備，支持IEEE802.3af及802.3at(POE+)供電原則，同時兼容不符合802.3af及802.3at原則的PD（PoweredDevice）設(shè)備。其中802.3at單端口供電功率高達(dá)30W。POE+功效提高了單端口的最大功率，實(shí)現(xiàn)了支持at原則大功率應(yīng)用的智能化功率管理，有效方便了客戶的應(yīng)用。同時支持綠色PoE節(jié)電應(yīng)用模式。S5700PWR全系列交換機(jī)支持完善的POE解決方案，顧客可靈活配備POE端口與否供電以及何時供電。良好的可擴(kuò)展性S5700系列交換機(jī)支持智能堆疊iStack功效，完全即插即用，插好堆疊線纜即可自動組建堆疊虛擬框式架構(gòu)。堆疊組員分為主、備、從三種角色。新增備交換機(jī)之后減少了主交換機(jī)故障引發(fā)的業(yè)務(wù)中斷時間。支持智能升級，排除顧客給堆疊擴(kuò)容時為新加入交換機(jī)更換軟件版本的煩惱。堆疊技術(shù)允許交換機(jī)運(yùn)用互聯(lián)電纜實(shí)現(xiàn)多臺設(shè)備的擴(kuò)展，單一IP管理，大大減少系統(tǒng)擴(kuò)展以及運(yùn)維的成本。與傳統(tǒng)組網(wǎng)技術(shù)相比，在擴(kuò)展性、可靠性、整體架構(gòu)等性能方面均含有強(qiáng)大的優(yōu)勢。簡樸的可管理特性S5700支持GVRP實(shí)現(xiàn)動態(tài)分發(fā)、注冊和傳輸VLAN屬性，從而達(dá)成減少網(wǎng)絡(luò)管理員的手工配備量及確保VLAN配備對的的目的。GVRP是一種VLAN的動態(tài)配備技術(shù)，在復(fù)雜的組網(wǎng)環(huán)境中應(yīng)用GVRP，能夠簡化VLAN配備管理，減少由于配備不一致而造成的網(wǎng)絡(luò)互通問題。S5700支持MUXVLAN功效。MUXVLAN提供了一種在VLAN的端口間進(jìn)行二層流量隔離的機(jī)制。采用兩層VLAN隔離技術(shù)，只有上層VLAN全局可見，下層VLAN互相隔離。MUXVLAN普通用于公司部網(wǎng)，客戶端口能夠同服務(wù)器端口通訊，但客戶端口之間不能通訊。用來避免連接到某些接口或接口組的網(wǎng)絡(luò)設(shè)備之間的互相通信，但卻允許與默認(rèn)網(wǎng)關(guān)進(jìn)行通信。

豐富的IPv6特性S5700系列交換機(jī)提供雙合同棧，可平滑升級。硬件支持IPv4/IPv6雙棧和IPv6overIPv4隧道（涉及手工Tunnel，6to4Tunnel，ISATAPTunnel），三層線速轉(zhuǎn)發(fā)。既能夠用于純IPv4或IPv6網(wǎng)絡(luò)，也能夠用于IPv4到IPv6共存的網(wǎng)絡(luò)，組網(wǎng)方式靈活，充足滿足現(xiàn)在網(wǎng)絡(luò)從IPv4向IPv6過渡的需求。光纖節(jié)點(diǎn)交換機(jī)參數(shù)：性能背板交換容量≥256Gbps；包轉(zhuǎn)發(fā)率≥96Mpps;電源支持置模塊化雙電源

防雷防雷指標(biāo)≥2KV轉(zhuǎn)發(fā)能力規(guī)定整機(jī)達(dá)全線速轉(zhuǎn)發(fā)能力接口模塊規(guī)定支持原則SFP,XFP模塊

支持SFP

+三層功效路由表≥4K

ARP表≥2K支持VLAN虛接口≥256

靜態(tài)路由RIP、OSPF、IS-IS、BGP、ECMP支持方略路由支持路由方略支持ECMP支持uRPF

IPv6I支持IPv4/IPv6雙棧:支持ND,RIPng,

安全功效支持DHCPSnoopingtrust,避免私設(shè)DHCP服務(wù)器；支持DHCPsnoopingbindingtable(DAI,IPsourceguard),避免ARP攻擊、DDOS攻擊、中間人攻擊；支持BPDUguard，Rootguard。支持MFF，用于減輕網(wǎng)關(guān)ARP解決負(fù)擔(dān)，減少網(wǎng)關(guān)受ARP攻擊的風(fēng)險，實(shí)現(xiàn)顧客間的二層隔離。

支持802.1X.可靠功效支持ETHOAM:802.1ag,802.3ah

訪問控制支持基于第二層、第三層和第四層的ACL支持雙向ACL

支持VLANACL和IPv6ACL；支持IP/Port/MAC的綁定功效QoS最少含有8個隊列；

支持SP,DWRR，SP+DWRR調(diào)度方式；支持雙向端口限速，限速粒度64K；提供廣播風(fēng)暴克制功效雙向流限速

堆疊支持堆疊，主機(jī)堆疊數(shù)不不大于8臺設(shè)備維護(hù)支持自動配備

支持USB

接入交換機(jī)參數(shù)：性能背板交換容量≥256Gbps；包轉(zhuǎn)發(fā)率≥72Mpps（48口）;包轉(zhuǎn)發(fā)率≥36Mpps（24口）;電源支持置模塊化雙電源

防雷防雷指標(biāo)≥2KV轉(zhuǎn)發(fā)能力規(guī)定整機(jī)達(dá)全線速轉(zhuǎn)發(fā)能力三層功效路由表≥4K

ARP表≥2K支持VLAN虛接口≥256

靜態(tài)路由RIP、ECMPIPv6I支持IPv4/IPv6雙棧:支持ND,RIPng,

安全功效支持DHCPSnoopingtrust,避免私設(shè)DHCP服務(wù)器；支持DHCPsnoopingbindingtable(DAI,IPsourceguard),避免ARP攻擊、DDOS攻擊、中間人攻擊；支持BPDUguard，Rootguard。支持MFF，用于減輕網(wǎng)關(guān)ARP解決負(fù)擔(dān)，減少網(wǎng)關(guān)受ARP攻擊的風(fēng)險，實(shí)現(xiàn)顧客間的二層隔離。

支持802.1X.可靠功效支持ETHOAM:802.1ag,802.3ah

訪問控制支持基于第二層、第三層和第四層的ACL支持雙向ACL

支持VLANACL和IPv6ACL；支持IP/Port/MAC的綁定功效QoS最少含有8個隊列；

支持SP,DWRR，SP+DWRR調(diào)度方式；支持雙向端口限速，限速粒度64K；提供廣播風(fēng)暴克制功效雙向流限速

堆疊支持堆疊，主機(jī)堆疊數(shù)不不大于8臺設(shè)備維護(hù)支持自動配備

支持USB

防火墻：網(wǎng)絡(luò)安全狀況不停的惡化，越來越多基于各