《長(zhǎng)沙市某醫(yī)院信息系統(tǒng)硬件平臺(tái)方案設(shè)計(jì)》由會(huì)員分享，可在線閱讀，更多相關(guān)《長(zhǎng)沙市某醫(yī)院信息系統(tǒng)硬件平臺(tái)方案設(shè)計(jì)（65頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、 湖南省X有限責(zé)任公司 長(zhǎng)沙市第X醫(yī)院 醫(yī)院信息系統(tǒng)硬件平臺(tái) 設(shè)計(jì)方案(v1.0) 目 錄 第一章 概 述 5 1.1概述 5 1.2 需求分析 6 1.3技術(shù)規(guī)格及要求 6 1.4設(shè)計(jì)依據(jù) 8 1.5設(shè)計(jì)原則 8 1.6設(shè)計(jì)內(nèi)容 9 第二章 綜合布線系統(tǒng)設(shè)計(jì) 11 2.1綜合布線系統(tǒng)需求分析 11 第三章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì) 12 3.

2、1概述 12 3.2網(wǎng)絡(luò)體系結(jié)構(gòu) 12 3.3組網(wǎng)技術(shù) 12 3.4網(wǎng)絡(luò)拓?fù)?12 3.5網(wǎng)絡(luò)設(shè)備選擇 13 3.5.1網(wǎng)絡(luò)設(shè)備選擇原則 13 3.5.2設(shè)備廠商選擇 13 3.6網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 14 3.6.1內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì) 14 3.6.1.1內(nèi)網(wǎng)網(wǎng)絡(luò)整體拓?fù)浣Y(jié)構(gòu) 14 3.6.2 外網(wǎng)系統(tǒng)設(shè)計(jì) 15 3.6.3虛擬網(wǎng)絡(luò)的實(shí)現(xiàn) 17 3.6.3.1虛擬網(wǎng)絡(luò)的優(yōu)勢(shì) 17 3.6.3.2虛擬網(wǎng)的劃分 17 3.6.3.3虛擬網(wǎng)之間通信 18 3.6.3.4IP地址和虛網(wǎng)規(guī)劃 18 3.6.4網(wǎng)絡(luò)安全體系設(shè)計(jì) 19 3.6.4.1網(wǎng)絡(luò)安全設(shè)計(jì) 20 3

3、.6.4.2當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀 20 3.6.4.3系統(tǒng)安全設(shè)計(jì)的原則 20 3.6.4.4提高安全性意識(shí) 21 3.6.4.5網(wǎng)絡(luò)安全的實(shí)現(xiàn) 22 3.6.4.6防病毒系統(tǒng)設(shè)計(jì) 23 3.6.4.7防火墻系統(tǒng)設(shè)計(jì) 23 3.6.4.7.1天融信NGFW ARES—G防火墻介紹 24 3.6.5設(shè)備簡(jiǎn)介 30 3.6.5.1中心交換機(jī) 30 3.6.5.1接入層交換機(jī) 36 3.6.6網(wǎng)絡(luò)管理 38 3.6.6.1網(wǎng)管軟件 38 3.6.6.2網(wǎng)管工作站 49 第四章 服務(wù)器及存儲(chǔ)系統(tǒng) 50 4.1雙機(jī)熱備系統(tǒng)方案設(shè)計(jì) 50 4.1.1雙機(jī)熱備份方案描述 50 4

4、.1.2高可用性構(gòu)架 50 4.1.3雙機(jī)備份配置 52 4.1.4 HP ProLiant DL380G4介紹 52 4.2 存儲(chǔ)備份系統(tǒng)方案設(shè)計(jì) 54 4.2.1網(wǎng)絡(luò)存儲(chǔ)技術(shù)介紹 54 4.2.1.1 NAS網(wǎng)絡(luò)附屬存儲(chǔ)技術(shù) 54 4.2.1.2 SAN（存儲(chǔ)區(qū)域網(wǎng)絡(luò)）介紹 55 4.2.1.3 NAS、SAN和技術(shù)分析 56 4.3存儲(chǔ)系統(tǒng)方案綜述 58 4.3.1 磁盤陣列性能要求及存儲(chǔ)容量分析 58 4.3.1.1 磁盤陣列性能要求 58 4.3.1.2存儲(chǔ)容量計(jì)算 59 4.4 存儲(chǔ)備份系統(tǒng)方案設(shè)計(jì) 59 4.4.1服務(wù)器雙機(jī)及SAN存儲(chǔ)系統(tǒng)連接圖： 60

5、 第五章 機(jī)房建設(shè) 61 5.1規(guī)范 61 5.2機(jī)房裝修 61 5.2.1機(jī)房規(guī)范要求 61 5.2.2機(jī)房設(shè)計(jì)方案 62 5.2.3供電系統(tǒng) 63 5.2.4 UPS選型 63 5.2.5機(jī)房空調(diào)系統(tǒng) 64 5.2.7機(jī)房接地 64 5.2.8防雷 64 第一章 概 述 1.1概述 當(dāng)今時(shí)代已經(jīng)步入了信息時(shí)代，能否有效地把信息轉(zhuǎn)化為管理決策的有效資料，是一個(gè)現(xiàn)代企業(yè)在這個(gè)信息時(shí)代獲得成功的關(guān)鍵。醫(yī)院管理的核心是醫(yī)療質(zhì)量管理，如何加強(qiáng)醫(yī)療質(zhì)量監(jiān)控，使醫(yī)院管理者能夠隨時(shí)掌握醫(yī)院情況，更好地提高醫(yī)療工作質(zhì)量，對(duì)今天加快改革步伐，適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)

6、有著十分重要的現(xiàn)實(shí)意義。傳統(tǒng)的醫(yī)療質(zhì)量概念是指醫(yī)療效果，常以出院病人的終末治療結(jié)果和終末質(zhì)量來(lái)衡量。運(yùn)用計(jì)算機(jī)參與醫(yī)院管理，能隨時(shí)動(dòng)態(tài)地觀察醫(yī)院的各種醫(yī)療信息，并且對(duì)這些信息進(jìn)行系統(tǒng)的綜合分析評(píng)價(jià)，既利于對(duì)質(zhì)量信息的反饋控制，又利于實(shí)施醫(yī)院的目標(biāo)任務(wù)，使醫(yī)院管理由經(jīng)驗(yàn)型管理向科學(xué)型轉(zhuǎn)化，為醫(yī)院領(lǐng)導(dǎo)的決策提供了有力的幫助，從而提高了醫(yī)院的管理水平，增加了醫(yī)院效益，增強(qiáng)了醫(yī)院活力。 近年來(lái)，隨著醫(yī)院的建設(shè)，醫(yī)療科學(xué)的發(fā)展，醫(yī)療質(zhì)量概念的更新，考核評(píng)估的內(nèi)容與方法也在向廣度與深度發(fā)展。各級(jí)醫(yī)院都結(jié)合近幾年醫(yī)療質(zhì)量回歸指標(biāo)以及當(dāng)前存在的主要問題，對(duì)臨床科分別制定了工作效率指標(biāo)、診斷質(zhì)量指標(biāo)、治療質(zhì)量

7、指標(biāo)和管理質(zhì)量指標(biāo)，對(duì)每項(xiàng)指標(biāo)分別制定具體細(xì)則和達(dá)標(biāo)準(zhǔn)則；對(duì)各醫(yī)技科室根據(jù)工作性質(zhì)分別制定質(zhì)量標(biāo)準(zhǔn)，使醫(yī)療質(zhì)量標(biāo)準(zhǔn)基本體現(xiàn)了因科而異，區(qū)分層次，量化到人，責(zé)任到科。在醫(yī)院管理中，各項(xiàng)規(guī)章制度的制定為廣大醫(yī)務(wù)人員提供了行動(dòng)準(zhǔn)則，而怎樣考評(píng)卻成為醫(yī)院管理者頭疼的問題。隨著計(jì)算機(jī)技術(shù)的應(yīng)用，以其快速、高效、及時(shí)、準(zhǔn)確的優(yōu)勢(shì)，科學(xué)的設(shè)計(jì)和應(yīng)用網(wǎng)絡(luò)技術(shù)，加強(qiáng)了醫(yī)院管理層與基層之間的縱向聯(lián)系及各職能部門之間的橫向聯(lián)系，使得數(shù)據(jù)資源充分共享、為強(qiáng)化醫(yī)院管理，完成大量信息的處理開辟了廣闊的前景。 長(zhǎng)沙市X醫(yī)院（長(zhǎng)沙市X醫(yī)院）是長(zhǎng)沙市衛(wèi)生局與長(zhǎng)沙縣政府在星沙合作建設(shè)的一所中西醫(yī)結(jié)合、?？铺厣怀?、綜合服務(wù)功能

8、齊全、建筑風(fēng)格新穎、環(huán)境優(yōu)美舒適的三級(jí)甲等醫(yī)院，總投資2.8億元，長(zhǎng)沙市X醫(yī)院經(jīng)過幾代人的勵(lì)精圖治，現(xiàn)已發(fā)展成為一所集醫(yī)療、教學(xué)、科研、康復(fù)、保健于一體的頗具特色的二級(jí)甲等X醫(yī)院，是湖南中醫(yī)學(xué)院教學(xué)醫(yī)院、長(zhǎng)沙市法醫(yī)鑒定中心、長(zhǎng)沙市工傷保險(xiǎn)及省、市醫(yī)療保險(xiǎn)定點(diǎn)醫(yī)院。長(zhǎng)沙市X醫(yī)院作為我們長(zhǎng)沙市東大門一所重要最大的醫(yī)療機(jī)構(gòu)，暨一座服務(wù)于二十一世紀(jì)著眼于未來(lái)現(xiàn)代化的醫(yī)院對(duì)于信息化、網(wǎng)絡(luò)化和智能化的要求是相當(dāng)高的。為了保證實(shí)現(xiàn)建設(shè)方的這一要求，我方將為長(zhǎng)沙市X醫(yī)院提供一套完善信息化平臺(tái)的系統(tǒng)解決方案。 1.2 需求分析 對(duì)于大型醫(yī)院而言，隨著現(xiàn)有規(guī)模的不斷變大，傳統(tǒng)的簡(jiǎn)單辦公網(wǎng)絡(luò)已經(jīng)不能滿足多業(yè)務(wù)的

9、要求。大型醫(yī)院的業(yè)務(wù)量和業(yè)務(wù)類型都發(fā)生了新的變化。不僅業(yè)務(wù)量較從前大幅上升，針對(duì)多種業(yè)務(wù)的整合也是對(duì)新的網(wǎng)絡(luò)平臺(tái)提出的要求。 從用戶端來(lái)講，掛號(hào)、劃價(jià)、收費(fèi)、取藥等程序需要進(jìn)行人性化的設(shè)計(jì)，使之更趨簡(jiǎn)潔和快速。從醫(yī)院角度來(lái)看，財(cái)政管理、人力資源分配、藥品管理、醫(yī)院資源調(diào)配、行政管理、會(huì)議、培訓(xùn)、研究項(xiàng)目支持以及對(duì)外的各項(xiàng)交流與合作，都要求新的網(wǎng)絡(luò)能夠?yàn)榇颂峁└咝?、有序的支持，并具有可靠的安全保證。考慮到以后在此網(wǎng)絡(luò)上可能運(yùn)行的各類軟件，良好的兼容性是必不可少的。因此，也要求新的網(wǎng)絡(luò)具有標(biāo)準(zhǔn)化和開放化的特點(diǎn)。同時(shí)，大型醫(yī)院網(wǎng)絡(luò)的規(guī)模龐大，信息點(diǎn)密度通常能達(dá)到1000個(gè)以上。要保證這樣規(guī)模的網(wǎng)絡(luò)

10、能夠穩(wěn)定高效的運(yùn)行和實(shí)現(xiàn)迅速的響應(yīng)，很高的網(wǎng)絡(luò)帶寬和出色的網(wǎng)絡(luò)服務(wù)質(zhì)量是必不可少的，還需要考慮到隨著醫(yī)院業(yè)務(wù)的增多，要為網(wǎng)絡(luò)擴(kuò)展留出足夠的空間。這就要求具有高帶寬、高可靠、高擴(kuò)展和足夠的冗余能力。綜合來(lái)看，最終建成的網(wǎng)絡(luò)應(yīng)該成為醫(yī)院多業(yè)務(wù)順暢運(yùn)行的良好平臺(tái)，與醫(yī)院的日常工作內(nèi)容融為一體。 1.3技術(shù)規(guī)格及要求 1、布線系統(tǒng) 1) 本次系統(tǒng)建設(shè)考慮市人民長(zhǎng)沙X醫(yī)院內(nèi)外網(wǎng)絡(luò)連接。所涉及的主要建筑物有門診樓和住院樓； 2) 采用國(guó)際標(biāo)準(zhǔn)的知名公司的產(chǎn)品進(jìn)行標(biāo)準(zhǔn)化設(shè)計(jì)、施工和測(cè)試； 3) 根據(jù)貴方給的資料主要業(yè)務(wù)建筑物之間已采用光纖實(shí)現(xiàn)1000M連接； 注：布線系統(tǒng)已經(jīng)完成本方案將不做具體

11、設(shè)計(jì)。 2、網(wǎng)絡(luò)技術(shù) 1) 網(wǎng)絡(luò)系統(tǒng)所采用的技術(shù)應(yīng)是當(dāng)前業(yè)界的先進(jìn)主流技術(shù)，能滿足長(zhǎng)沙市X醫(yī)院信息系統(tǒng)的綜合應(yīng)用需求，同時(shí)要充分考慮網(wǎng)絡(luò)的兼容性、擴(kuò)展性和升級(jí)能力，具有符合工業(yè)標(biāo)準(zhǔn)的開放式體系結(jié)構(gòu)，所采用的網(wǎng)絡(luò)交換設(shè)備應(yīng)是國(guó)際知名廠家如港灣、華為、CISCO等公司的產(chǎn)品，性能穩(wěn)定，質(zhì)量可靠，價(jià)格適宜，符合長(zhǎng)沙市X醫(yī)院網(wǎng)絡(luò)應(yīng)用實(shí)際； 2) 中心交換機(jī)必須具備良好的擴(kuò)充能力、較高的背板帶寬、冗余電源模塊、1000Mbps交換端口。接入層交換機(jī)應(yīng)具備100Mbps交換端口和1000Mbps上聯(lián)端口。要求網(wǎng)絡(luò)主干數(shù)據(jù)傳輸速率和服務(wù)器接入速率為1000Mbps，桌面PC接入速率為10/100Mbp

12、s，中心交換機(jī)和接入層交換機(jī)端口容量應(yīng)根據(jù)實(shí)際需求合理配置； 3) 充分考慮今后醫(yī)院繼續(xù)建設(shè)發(fā)展的需求，并考慮與長(zhǎng)沙市醫(yī)保系統(tǒng)的城域網(wǎng)系統(tǒng)的設(shè)計(jì)； 4) 醫(yī)院內(nèi)外網(wǎng)為兩套完全物理隔離網(wǎng)絡(luò)系統(tǒng)，內(nèi)網(wǎng)滿足醫(yī)院信息系統(tǒng)和其它系統(tǒng)的需求，外網(wǎng)滿足對(duì)交流、方便工作人員查詢資料和醫(yī)院對(duì)宣傳的需求； 5) 網(wǎng)絡(luò)管理平臺(tái)：硬件平臺(tái)，軟件平臺(tái)必須遵從工業(yè)標(biāo)準(zhǔn)的SNMP協(xié)議和RMON2協(xié)議，具有圖形用戶接口，能自動(dòng)識(shí)別網(wǎng)絡(luò)組成部分，提供可直接診斷和排除網(wǎng)絡(luò)故障的管理工具等。 3、服務(wù)器及存儲(chǔ)系統(tǒng) 1) 采用國(guó)際知名的HP公司產(chǎn)品，能使用多處理器子系統(tǒng)實(shí)現(xiàn)最大化的計(jì)算性能，配置高性能的內(nèi)存子系統(tǒng)、I/O子

13、系統(tǒng)和千兆以太網(wǎng)網(wǎng)卡； 2) 采用高可用性群集技術(shù)或共享磁盤陣列技術(shù)，解決系統(tǒng)信息保護(hù)、信息移動(dòng)、信息管理各環(huán)節(jié)的"信息永不間斷"，為網(wǎng)絡(luò)的高可用性提供堅(jiān)固的保障。 3) 存儲(chǔ)系統(tǒng)采用當(dāng)今先進(jìn)的SAN存儲(chǔ)系統(tǒng)并配置壹臺(tái)容量在40GB以上的外置磁帶機(jī)進(jìn)行數(shù)據(jù)備份，存儲(chǔ)系統(tǒng)要能滿足在線查詢壹年以上的數(shù)據(jù)； 4) 選用目前業(yè)界主流的操作系統(tǒng)和先進(jìn)主流的大型數(shù)據(jù)庫(kù)管理方案，要求操作系統(tǒng)和數(shù)據(jù)庫(kù)對(duì)中文有良好的支持。 1.4設(shè)計(jì)依據(jù) 我們仔細(xì)研究了長(zhǎng)沙市X醫(yī)院提供的信息化建設(shè)情況，對(duì)擬建系統(tǒng)各方面的內(nèi)容進(jìn)行詳細(xì)的規(guī)劃，結(jié)合為其他醫(yī)院建設(shè)醫(yī)院信息化系統(tǒng)軟硬件的經(jīng)驗(yàn)，設(shè)計(jì)本方案。 我司本著以下的建

14、設(shè)思想：以業(yè)務(wù)需求為基礎(chǔ)，規(guī)劃系統(tǒng)建設(shè)；既考慮近期投資少、見效快，也考慮后期發(fā)展；實(shí)施與培訓(xùn)相結(jié)合。在系統(tǒng)建設(shè)過程用戶方積極參與，這樣，可加快對(duì)本系統(tǒng)的熟悉進(jìn)度，同時(shí)可以提高應(yīng)用和維護(hù)水平。 1.5設(shè)計(jì)原則 根據(jù)長(zhǎng)沙市X醫(yī)院信息化系統(tǒng)的應(yīng)用要求和當(dāng)今計(jì)算機(jī)技術(shù)發(fā)展?fàn)顩r，我們認(rèn)為該系統(tǒng)是一個(gè)多層次，業(yè)務(wù)類型相對(duì)少的應(yīng)用系統(tǒng)，系統(tǒng)的建設(shè)要充分考慮到可靠性、安全性、靈活性、擴(kuò)展性、先進(jìn)性、實(shí)用性等，特別是要設(shè)計(jì)中要考慮以下幾個(gè)主要的原則： 1) 可擴(kuò)展性原則 系統(tǒng)是非常復(fù)雜的，分步實(shí)施和不斷改造是建設(shè)的重要思路，因此在設(shè)計(jì)上應(yīng)注重兼容性、連續(xù)性, 依據(jù)標(biāo)準(zhǔn)化和模塊化的設(shè)計(jì)思想，不僅在體系結(jié)構(gòu)

15、上保持很大的開放性，而且同時(shí)能夠提供多種靈活可變的接口，使系統(tǒng)今后的擴(kuò)展非常方便，保護(hù)系統(tǒng)的投資。 2) 實(shí)用性原則 信息化系統(tǒng)建設(shè)是手段而不是目的，因此必須緊密結(jié)合業(yè)務(wù)需要，應(yīng)用系統(tǒng)應(yīng)能替代部分繁重、重復(fù)的手工作業(yè)，且能使得整個(gè)管理系統(tǒng)更易于操作和維護(hù)。 3) 信息共享和安全保密原則 要實(shí)現(xiàn)信息在一定條件下、一定范圍內(nèi)的共享，應(yīng)保證除絕密和控制閱知范圍的信息外，各處均可調(diào)閱、調(diào)用各種信息數(shù)據(jù)庫(kù)中的信息，保證信息的一致性，減少信息的重復(fù)性。同時(shí)要注意各個(gè)環(huán)節(jié)的安全保密性能，系統(tǒng)應(yīng)具有對(duì)主要環(huán)節(jié)的監(jiān)視和控制功能，嚴(yán)防非法用戶的越權(quán)操作。做好系統(tǒng)內(nèi)權(quán)限的分級(jí)管理，并且應(yīng)使網(wǎng)絡(luò)通信系統(tǒng)具有較

16、強(qiáng)的容錯(cuò)和故障恢復(fù)能力。 4) 投資保護(hù)原則 在建立新系統(tǒng)的同時(shí)考慮與原有系統(tǒng)的無(wú)縫銜接，充分利用現(xiàn)有的設(shè)備、線路等資源，系統(tǒng)建設(shè)應(yīng)充分考慮，確保投資的長(zhǎng)期有效使用，既要保護(hù)已有設(shè)備投資又要考慮新設(shè)備投資。 1.6設(shè)計(jì)內(nèi)容 完善的高可用性系統(tǒng)平臺(tái)設(shè)計(jì)是應(yīng)用系統(tǒng)良好運(yùn)行的基礎(chǔ)保障，我公司根據(jù)長(zhǎng)沙市X醫(yī)院信息系統(tǒng)工程技術(shù)要求以及我公司醫(yī)院信息系統(tǒng)設(shè)計(jì)規(guī)范，結(jié)合我公司相關(guān)項(xiàng)目中的成功經(jīng)驗(yàn)進(jìn)行系統(tǒng)平臺(tái)的設(shè)計(jì)。 對(duì)系統(tǒng)平臺(tái)進(jìn)行層次劃分，根據(jù)不同層次的功能特性、實(shí)現(xiàn)目標(biāo)分別進(jìn)行系統(tǒng)的設(shè)計(jì)。 1. 物理層：構(gòu)建數(shù)據(jù)信息的物理傳輸介質(zhì)，采用綜合布線系統(tǒng)提供所有信息的傳輸系統(tǒng)，利用雙絞線或光纜來(lái)

17、完成各類信息的傳輸。 2. 網(wǎng)絡(luò)層：建立高效可擴(kuò)展可管理的網(wǎng)絡(luò)系統(tǒng)，采用網(wǎng)絡(luò)設(shè)備進(jìn)行數(shù)據(jù)的高速交換。 3. 系統(tǒng)層：針對(duì)建立應(yīng)用的高可用性可擴(kuò)展的運(yùn)行平臺(tái)和基礎(chǔ)支持系統(tǒng)，提供高效運(yùn)算、數(shù)據(jù)管理、數(shù)據(jù)存儲(chǔ)。 4. 應(yīng)用層：滿足應(yīng)用要求的應(yīng)用系統(tǒng)，實(shí)現(xiàn)應(yīng)用功能目標(biāo)。 5. 用戶層：由系統(tǒng)使用、管理人員組成，是整個(gè)系統(tǒng)的使用者、管理者、受益者。 本部分主要針對(duì)系統(tǒng)平臺(tái)（包含物理層、網(wǎng)絡(luò)層、系統(tǒng)層），進(jìn)行綜合布線系統(tǒng)（已布好）、網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)安全系統(tǒng)、主機(jī)及存儲(chǔ)系統(tǒng)進(jìn)行設(shè)計(jì)。最后對(duì)機(jī)房裝修和UPS電源系統(tǒng)和防雷系統(tǒng)進(jìn)行詳細(xì)設(shè)計(jì)。

18、 第二章 綜合布線系統(tǒng)設(shè)計(jì) 2.1綜合布線系統(tǒng)需求分析 綜合布線是信息網(wǎng)絡(luò)的基礎(chǔ)。它主要是針對(duì)建筑的計(jì)算機(jī)與通信的需求而設(shè)計(jì)的，在建筑物內(nèi)和在各個(gè)建筑物之間布設(shè)的物理介質(zhì)傳輸網(wǎng)絡(luò)。通過這個(gè)網(wǎng)絡(luò)實(shí)現(xiàn)不同類型的信息傳輸。所有符合標(biāo)準(zhǔn)的布線系統(tǒng)，應(yīng)對(duì)所有應(yīng)用系統(tǒng)開放，不僅完全滿足當(dāng)時(shí)的信息通訊需要，而且對(duì)未來(lái)的發(fā)展有著極強(qiáng)的靈活性和可擴(kuò)展性。 綜合布線系統(tǒng)的主要功能有： 模擬與數(shù)字語(yǔ)音信號(hào)傳輸 高速與低速的數(shù)據(jù)信號(hào)傳輸 傳真機(jī)或圖形終端及繪圖機(jī)所傳的圖形數(shù)據(jù)信號(hào)傳輸 圖象會(huì)議或視頻點(diǎn)播以及安全系統(tǒng)的視頻信號(hào)傳輸 長(zhǎng)沙市X醫(yī)院門診樓和住院樓已有綜合布線系統(tǒng)。本方案將不再另

19、行進(jìn)行設(shè)計(jì)其。 已有布線工程所涉及的主要建筑物有門診樓和住院樓、內(nèi)外網(wǎng)各9個(gè)分配線間；布線系統(tǒng)分內(nèi)網(wǎng)和外網(wǎng)；主干采用多模光線布線系統(tǒng)、水平采用超五類雙絞線。 第三章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì) 3.1概述 網(wǎng)絡(luò)設(shè)計(jì)的核心思想就是根據(jù)網(wǎng)絡(luò)實(shí)際需求情況（網(wǎng)絡(luò)信息點(diǎn)分布、網(wǎng)上信息流量分析），采用合適的網(wǎng)絡(luò)技術(shù)，進(jìn)行合理的設(shè)備選型，在網(wǎng)絡(luò)的性能、可靠型、擴(kuò)展能力等方面進(jìn)行優(yōu)化組合和綜合平衡，既做到拓?fù)鋵哟吻逦?、管理方便、擴(kuò)展靈活、可靠性高，又不能盲目追求設(shè)備檔次，造成投資浪費(fèi)。對(duì)于網(wǎng)絡(luò)平臺(tái)設(shè)計(jì)，我們從網(wǎng)絡(luò)體系結(jié)構(gòu)、組網(wǎng)技術(shù)、網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)設(shè)備配置、網(wǎng)絡(luò)管理、網(wǎng)

20、絡(luò)安全等方面進(jìn)行考慮。 3.2網(wǎng)絡(luò)體系結(jié)構(gòu) 在長(zhǎng)沙市X醫(yī)院網(wǎng)絡(luò)建設(shè)中采用TCP/IP協(xié)議體系。 長(zhǎng)沙市X醫(yī)院網(wǎng)絡(luò)系統(tǒng)采用IP（網(wǎng)際協(xié)議）作為主要的網(wǎng)絡(luò)互連協(xié)議，同時(shí)可兼容其他協(xié)議（如IPX、NETBUI）。 3.3組網(wǎng)技術(shù) 結(jié)合長(zhǎng)沙市X醫(yī)院網(wǎng)絡(luò)的需求與計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的先進(jìn)技術(shù)和成熟經(jīng)驗(yàn)，采用局域網(wǎng)與廣域網(wǎng)技術(shù)相結(jié)合的方式，組建網(wǎng)絡(luò)系統(tǒng)平臺(tái)。 主流局域網(wǎng)組網(wǎng)技術(shù)有幾種：以太網(wǎng)、100M快速以太網(wǎng)、千兆以太網(wǎng)、ATM。 在本方案中長(zhǎng)沙市X醫(yī)院信息網(wǎng)絡(luò)是典型的園區(qū)局域網(wǎng)，采用以光纖為傳輸介質(zhì)的千兆以太網(wǎng)作主干，以超五類非屏蔽雙絞線為傳輸介質(zhì)的10/100M自適應(yīng)的快速以太網(wǎng)到桌面的組網(wǎng)

21、技術(shù)。城域網(wǎng)部分主要是和長(zhǎng)沙醫(yī)保系統(tǒng)的了解。 3.4網(wǎng)絡(luò)拓?fù)? 正確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)可以為應(yīng)用系統(tǒng)提供一個(gè)高性能，高可靠性的網(wǎng)絡(luò)平臺(tái)，而設(shè)計(jì)不好的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)會(huì)造成網(wǎng)絡(luò)性能，可靠性和管理上的一些問題。因此網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)至關(guān)重要。 為滿足用戶在用戶需求中的技術(shù)要求，我們做出如下設(shè)計(jì)： 在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)中主要采用層次模型設(shè)計(jì)，滿足用戶對(duì)高可擴(kuò)充性、高可維護(hù)性的要求。由于長(zhǎng)沙市X醫(yī)院網(wǎng)絡(luò)規(guī)模為中小規(guī)模，因此將網(wǎng)絡(luò)分為核心層和接入層進(jìn)行模塊化設(shè)計(jì)，本方案中將內(nèi)網(wǎng)核心層功能由2臺(tái)高性能的多層交換機(jī)實(shí)現(xiàn)、外網(wǎng)采用一臺(tái)適當(dāng)?shù)暮诵慕粨Q機(jī)實(shí)現(xiàn)，接入層由二級(jí)交換機(jī)組成；可采用冗余模型設(shè)計(jì)，在關(guān)鍵設(shè)備

22、上配置冗余模塊，關(guān)鍵的服務(wù)器提供到網(wǎng)絡(luò)設(shè)備的冗余連接，滿足用戶對(duì)高可靠性的要求；采用安全模型，滿足用戶對(duì)高安全性的要求；設(shè)計(jì)采用集中的網(wǎng)管模式，對(duì)網(wǎng)絡(luò)進(jìn)行簡(jiǎn)單易用的設(shè)備管理、拓?fù)錉顟B(tài)和全網(wǎng)統(tǒng)一管理。 3.5網(wǎng)絡(luò)設(shè)備選擇 3.5.1網(wǎng)絡(luò)設(shè)備選擇原則 局域網(wǎng)交換機(jī)的選擇應(yīng)遵循以下原則： n 是否支持純鏈路交換及生成樹算法（Spanning Tree)，具備高速的背板交換總線，巨大的數(shù)據(jù)包吞吐量和穩(wěn)定的結(jié)構(gòu) n 網(wǎng)絡(luò)背板帶寬 n 支持的局域網(wǎng)端口密度 n 支持多種標(biāo)準(zhǔn)局域網(wǎng)協(xié)議 n 支持標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理 n 具有較低的幀的丟失率和較小的網(wǎng)絡(luò)延遲 n 在橋接表中可維持大量的活動(dòng)

23、的MAC地址 n 虛擬網(wǎng)絡(luò)的支持 n 支持模塊功能，具有足夠多的Uplink插槽 n 每個(gè)端口的緩存大小及性能價(jià)格比 3.5.2設(shè)備廠商選擇 選擇網(wǎng)絡(luò)產(chǎn)品主要考察幾個(gè)方面：廠家的規(guī)模和地位，產(chǎn)品性能，服務(wù)保障能力，技術(shù)發(fā)展方向。 近年來(lái)網(wǎng)絡(luò)市場(chǎng)發(fā)展很快，有的廠商被收購(gòu)，有的廠商轉(zhuǎn)讓其網(wǎng)絡(luò)技術(shù)，所以選擇廠商非常重要，必須從網(wǎng)絡(luò)公司目前的發(fā)展?fàn)顩r、技術(shù)實(shí)力、售后服務(wù)、投資保護(hù)等方面綜合考慮，尤其是廠家的設(shè)備必須是遵循開放的國(guó)際標(biāo)準(zhǔn)。根據(jù)本項(xiàng)目的特點(diǎn)，我們重點(diǎn)考慮產(chǎn)品的性能、產(chǎn)品線的寬度、產(chǎn)品的技術(shù)發(fā)展方向等。重點(diǎn)考慮目前國(guó)內(nèi)知名網(wǎng)絡(luò)廠商。 我們?cè)诖舜尉W(wǎng)絡(luò)設(shè)計(jì)中全部選用港灣公司Hamm

24、er網(wǎng)絡(luò)產(chǎn)品。 3.6網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 3.6.1內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì) 3.6.1.1內(nèi)網(wǎng)網(wǎng)絡(luò)整體拓?fù)浣Y(jié)構(gòu) 長(zhǎng)沙市X醫(yī)院內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)主整體結(jié)構(gòu)圖如下所示： 如上網(wǎng)絡(luò)拓?fù)鋱D所示： 1. 網(wǎng)絡(luò)采用星型拓?fù)浣Y(jié)構(gòu)，設(shè)置2臺(tái)高背板帶寬高效包轉(zhuǎn)發(fā)的具有L2/L3/L4交換功能的模塊化千兆交換機(jī)BigHammer6805做為網(wǎng)絡(luò)的中心交換機(jī)且2臺(tái)核心交換機(jī)互為備份，2+1電源冗余配置；提供服務(wù)器、接入層交換機(jī)、網(wǎng)管工作站設(shè)備和對(duì)性能要求較高的重要的終端與骨干交換機(jī)的直接連接，提供高效的數(shù)據(jù)傳送、尋址、Vlan間路由、數(shù)據(jù)報(bào)過濾、ACL安全控制等特性功能。 2. 中心交換機(jī)BigHammer

25、6805每臺(tái)配置有，1塊2口千兆電接口+10口GBIC接口模塊和2口GBIC+10口千兆電接口模塊，提供網(wǎng)絡(luò)千兆光纖接入和服務(wù)器千兆電口接入，每臺(tái)配置1塊路由交換引擎模塊。可以通過IP地址、MAC地址與VLAN ID綁定技術(shù)防止MAC地址、IP地址的盜用。利用基于用戶策略的ACL（接入控制列表）來(lái)完成用戶的三層受控互訪。 3. 根據(jù)實(shí)際情況設(shè)置接入層交換機(jī)，連接建筑內(nèi)工作站、設(shè)備等，現(xiàn)在每個(gè)分配線間配置一臺(tái)μHammer3550E交換機(jī)。每臺(tái)μHammer3550E與中心交換機(jī)采用多模光纖直接千兆上聯(lián)。 4. 接入層交換機(jī)對(duì)樓內(nèi)用戶工作站和終端通過敷設(shè)的非屏蔽超五類雙絞線提供10/100M

26、速率接入。 5. 以上采用的接入交換機(jī)μHammer3550E支持堆疊功能，如需增加用戶容量可在不改變網(wǎng)絡(luò)主干光纖布線的情況下，在需要的建筑分配線間通過增加堆疊模塊和交換機(jī)就可實(shí)現(xiàn)。 6. 與長(zhǎng)沙市醫(yī)保系統(tǒng)接入采用通過防火墻撥號(hào)方式上聯(lián)到市醫(yī)保系統(tǒng)。 3.6.2 外網(wǎng)系統(tǒng)設(shè)計(jì) 長(zhǎng)沙市X醫(yī)院外網(wǎng)網(wǎng)絡(luò)系統(tǒng)主整體結(jié)構(gòu)圖如下所示： 如上網(wǎng)絡(luò)拓?fù)鋱D所示： 1. 網(wǎng)絡(luò)采用星型拓?fù)浣Y(jié)構(gòu)，設(shè)置一臺(tái)高背板帶寬高效包轉(zhuǎn)發(fā)的具有L2/L3/L4交換功能的模塊化千兆交換機(jī)BigHammer6802做為網(wǎng)絡(luò)的中心交換機(jī)，2+1電源冗余配置；提供服務(wù)器、接入層交換機(jī)、網(wǎng)管工作站設(shè)備和對(duì)性能要求較高的重要

27、的終端與骨干交換機(jī)的直接連接，提供高效的數(shù)據(jù)傳送、尋址、Vlan間路由、數(shù)據(jù)報(bào)過濾、ACL安全控制等特性功能。 2. 中心交換機(jī)BigHammer6802配置有，1塊2口千兆電接口+10口GBIC接口模塊，提供網(wǎng)絡(luò)千兆光纖接入和服務(wù)器千兆電口接入，1塊路由交換引擎模塊?？梢酝ㄟ^IP地址、MAC地址與VLAN ID綁定技術(shù)防止MAC地址、IP地址的盜用。利用基于用戶策略的ACL（接入控制列表）來(lái)完成用戶的三層受控互訪。 3. 根據(jù)實(shí)際情況設(shè)置接入層交換機(jī)，連接建筑內(nèi)工作站、設(shè)備等，現(xiàn)在每個(gè)分配線間配置一臺(tái)μHammer3550E交換機(jī)。每臺(tái)μHammer3550E與中心交換機(jī)采用多模光纖

28、直接千兆上聯(lián)。 4. 接入層交換機(jī)對(duì)樓內(nèi)用戶工作站和終端通過敷設(shè)的非屏蔽超五類雙絞線提供10/100M速率接入。 5. 以上采用的接入交換機(jī)μHammer3550E支持堆疊功能，如需增加用戶容量可在不改變網(wǎng)絡(luò)主干光纖布線的情況下，在需要的建筑分配線間通過增加堆疊模塊和交換機(jī)就可實(shí)現(xiàn)。 6. 通過一臺(tái)防火墻與internet連接。 3.6.3虛擬網(wǎng)絡(luò)的實(shí)現(xiàn) 3.6.3.1虛擬網(wǎng)絡(luò)的優(yōu)勢(shì) 為了便于管理，并提高網(wǎng)絡(luò)的效率和安全性，除了上述網(wǎng)絡(luò)的設(shè)計(jì)外，還需要對(duì)網(wǎng)絡(luò)進(jìn)行邏輯設(shè)計(jì)，即劃分虛擬網(wǎng)（VLAN）。虛擬網(wǎng)技術(shù)是將網(wǎng)絡(luò)的物理基礎(chǔ)設(shè)施與網(wǎng)絡(luò)的邏輯基礎(chǔ)設(shè)施相分離，使得網(wǎng)管人員能方便而

29、動(dòng)態(tài)地建立和重構(gòu)虛擬網(wǎng)絡(luò)，以適應(yīng)今天部門機(jī)構(gòu)的協(xié)作與變動(dòng)，方便網(wǎng)絡(luò)管理，降低網(wǎng)絡(luò)管理的成本。 主要有下列因素促使我們采用虛擬網(wǎng)技術(shù)： 一個(gè)平臺(tái)多種應(yīng)用。由于各個(gè)應(yīng)用相互之間相對(duì)獨(dú)立，各應(yīng)用要求有自己獨(dú)立的子網(wǎng)； 提高帶寬利用效率。單個(gè)網(wǎng)絡(luò)的規(guī)模如果過大，網(wǎng)絡(luò)中會(huì)存在大量的廣播包，這些廣播包會(huì)占用大量的帶寬資源，為提高帶寬的利用率，必須將這些廣播包限制于一定的范圍內(nèi)； 提高網(wǎng)絡(luò)安全性。網(wǎng)絡(luò)中有些信息不是向所有人開放的，必須對(duì)網(wǎng)絡(luò)中的某些資源采取特殊的安全措施保證其安全性； 方便網(wǎng)絡(luò)管理。網(wǎng)絡(luò)規(guī)模過于龐大，往往會(huì)變得不易管理和維護(hù)，通過將網(wǎng)絡(luò)劃分為一些相對(duì)獨(dú)立的子網(wǎng)，有利于網(wǎng)絡(luò)的管理維護(hù)

30、工作。 虛擬網(wǎng)絡(luò)的劃分有兩種方式，可以按交換機(jī)端口劃分和按MAC地址劃分。虛擬網(wǎng)的劃分可以跨多個(gè)交換機(jī)，也可一個(gè)交換機(jī)內(nèi)劃分出多個(gè)虛擬網(wǎng)。 3.6.3.2虛擬網(wǎng)的劃分 由于受到網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)管理因素影響，網(wǎng)絡(luò)規(guī)模有一定的限制，這些限制也同樣也適用于虛擬網(wǎng)絡(luò)。依據(jù)經(jīng)驗(yàn)值，對(duì)于只使用TCP/IP協(xié)議的網(wǎng)絡(luò)，單個(gè)網(wǎng)段可以支持1000個(gè)用戶，IPX協(xié)議的網(wǎng)絡(luò)為500個(gè)用戶，使用NETBEUI協(xié)議的網(wǎng)絡(luò)則規(guī)模為300個(gè)用戶。當(dāng)單網(wǎng)段節(jié)點(diǎn)規(guī)模大于這個(gè)數(shù)目時(shí)，網(wǎng)絡(luò)被節(jié)點(diǎn)廣播包所淹沒，網(wǎng)絡(luò)性能一般不能為用戶所接受。 計(jì)算機(jī)網(wǎng)絡(luò)由于同時(shí)有Windows2000/xp客戶機(jī)、Windows NT服務(wù)器、（

31、NetWare服務(wù)器、）UNIX服務(wù)器和工作站。也就是說，同時(shí)有IP，（IPX，）NETBEUI等協(xié)議運(yùn)行于網(wǎng)絡(luò)上，單個(gè)子網(wǎng)的規(guī)模即一個(gè)虛擬網(wǎng)的用戶數(shù)最好應(yīng)限制在300個(gè)以內(nèi)。為獲得比較好的性能，一個(gè)VLAN中的用戶數(shù)為150以下。 虛擬網(wǎng)的劃分要依據(jù)一定的原則，這些原則是對(duì)于那些相互之間聯(lián)系頻繁的節(jié)點(diǎn)，盡量劃分在一個(gè)網(wǎng)段，比如說可以按照部門來(lái)劃分虛擬網(wǎng)，對(duì)于較大的部門，可以進(jìn)一步細(xì)化。另外一個(gè)劃分原則是從網(wǎng)絡(luò)的安全性方面考慮，不同安全權(quán)限的用戶劃入不同的子網(wǎng)，每一個(gè)子網(wǎng)對(duì)應(yīng)于一個(gè)VLAN。 對(duì)于企業(yè)級(jí)的服務(wù)器，劃分到單獨(dú)的VLAN中，便于設(shè)置訪問規(guī)則和安全策略。 3.6.3.3虛擬網(wǎng)之

32、間通信 網(wǎng)絡(luò)用戶被劃分到不同的子網(wǎng)中之后，不同虛擬網(wǎng)絡(luò)之間用戶的通信需要經(jīng)過三層上的設(shè)備來(lái)處理，本系統(tǒng)中，VLAN之間通信以及VLAN之間的安全性控制通過具有三層交換功能的BigHammer6800系列中心交換機(jī)和建筑內(nèi)設(shè)置的接入層交換機(jī)來(lái)綜合實(shí)現(xiàn)。 利用訪問控制列表，我們可以控制VLAN間的通信，從而保證各個(gè)虛擬網(wǎng)絡(luò)的安全。 3.6.3.4IP地址和虛網(wǎng)規(guī)劃 Intranet是Internet技術(shù)在企業(yè)內(nèi)部或閉合用戶群內(nèi)的實(shí)現(xiàn)，它的基本通信協(xié)議是TCP/IP協(xié)議，其中TCP使得內(nèi)部網(wǎng)上的數(shù)據(jù)有序、可靠地傳輸，IP使內(nèi)部網(wǎng)中的各個(gè)子網(wǎng)互聯(lián)起來(lái)。一個(gè)沒有規(guī)劃的IP網(wǎng)絡(luò)可能是一個(gè)充滿（路由

33、）廣播的網(wǎng)絡(luò)，網(wǎng)絡(luò)的使用效率會(huì)受到嚴(yán)重影響。 考慮到今后的擴(kuò)展、維護(hù)等問題，內(nèi)部網(wǎng)的IP地址不僅應(yīng)符合TCP/IP協(xié)議本身的要求，還應(yīng)有規(guī)律、易記憶，能反映自己內(nèi)部網(wǎng)的特點(diǎn)。不同單位的內(nèi)部網(wǎng)有各自不同的特點(diǎn)，IP地址的規(guī)劃也需要考慮不同的因素。 1) 確定內(nèi)部網(wǎng)IP地址的類型 IP地址由32位二進(jìn)制數(shù)碼組成，8位為一組，分為4組，中間用"."隔開。每個(gè)IP地址有兩部分，即網(wǎng)絡(luò)標(biāo)識(shí)和主機(jī)標(biāo)識(shí)，這兩種標(biāo)識(shí)長(zhǎng)度的不同，使IP地址分為五類，常用的有A、B、C三類，相應(yīng)地址范圍為（其中X表示0～255之間的任意數(shù)）： A類：1.X.X.X～126.X.X.X B類：128.X.X.X～191

34、.X.X.X C類：192.X.X.X～223.X.X.X 內(nèi)部網(wǎng)中所有設(shè)備的子網(wǎng)掩碼均選用缺省值 255.255.255.0，不再用掩碼劃分子網(wǎng)。 為了方便網(wǎng)絡(luò)系統(tǒng)資源的管理和維護(hù)，在和用戶協(xié)商后選擇相應(yīng)的IP地址段。 2) 規(guī)劃服務(wù)器IP地址 為了服務(wù)器系統(tǒng)的管理和維護(hù)，根據(jù)應(yīng)用的發(fā)展需求規(guī)劃服務(wù)器的IP地址非常有必要。 建議全網(wǎng)共享的服務(wù)器，劃分在同一個(gè)虛網(wǎng)，使用同一個(gè)完整網(wǎng)段（或子網(wǎng)）的一個(gè)IP地址。對(duì)于專用網(wǎng)絡(luò)（如財(cái)務(wù)等）中的服務(wù)器，可以預(yù)留低位IP供服務(wù)器使用。 3) 規(guī)劃客戶機(jī)IP地址 由于普通電腦的使用者對(duì)IP地址的認(rèn)識(shí)和使用并不像系統(tǒng)管理員那樣熟練或熟悉，

35、所以一般客戶端的IP地址建議使用DHCP服務(wù)器的方式分配。DHCP服務(wù)器為客戶端主機(jī)分配：主機(jī)IP、網(wǎng)關(guān)IP以及DNS IP等，可以避免采用客戶機(jī)的使用者任意指定IP而導(dǎo)致IP沖突的問題。 采用DHCP服務(wù)器分配的方式： n 特別適合大中型網(wǎng)絡(luò)環(huán)境，方便系統(tǒng)IP地址遷移。 n 不足的地方主要是網(wǎng)絡(luò)中會(huì)有一定量DHCP報(bào)文廣播，但可以通過交換機(jī)或路由器的配置可以抑制在虛網(wǎng)之內(nèi)。 3.6.4網(wǎng)絡(luò)安全體系設(shè)計(jì) 對(duì)X醫(yī)院網(wǎng)絡(luò)系統(tǒng)廣域網(wǎng)的安全性建設(shè)，必須要考慮以下幾點(diǎn)問題： 安全策略 對(duì)于一個(gè)大型網(wǎng)絡(luò)，必須要制定較好的安全策略，防患于未然。 網(wǎng)絡(luò)設(shè)備的集中控制，以及使用更為安全的協(xié)議

36、安全控制與訪問的自由性是一對(duì)矛盾體，安全性的增強(qiáng)必然導(dǎo)致應(yīng)用互相訪問的難度和復(fù)雜性，當(dāng)安全性增至極點(diǎn)時(shí)，實(shí)際上成為各自獨(dú)立封閉的部分，網(wǎng)絡(luò)互聯(lián)也就失去了意義。 接入網(wǎng)絡(luò)的安全性 因?yàn)榻尤刖W(wǎng)絡(luò)不受內(nèi)部管理和約束，有很大的安全隱患。 3.6.4.1網(wǎng)絡(luò)安全設(shè)計(jì) 安全問題是組建網(wǎng)絡(luò)面臨的敏感和重要問題。網(wǎng)絡(luò)提供了信息流通的便利渠道，客戶務(wù)及信息交流手段。但同時(shí)也給信息的保密和真實(shí)，系統(tǒng)的正常運(yùn)行帶來(lái)嚴(yán)重的挑戰(zhàn)。攻擊者可以通過竊取口令、E-MAIL密碼、FTP、PROXY等各種手段進(jìn)行破壞，因此，如何協(xié)調(diào)系統(tǒng)安全和系統(tǒng)的靈活性和開放性，動(dòng)態(tài)地監(jiān)控網(wǎng)絡(luò)和調(diào)節(jié)網(wǎng)絡(luò)的流量，是在設(shè)計(jì)系統(tǒng)安全和選擇網(wǎng)絡(luò)

37、安全產(chǎn)品時(shí)必須要考慮的問題。本節(jié)就網(wǎng)絡(luò)安全的實(shí)現(xiàn)技術(shù)和現(xiàn)狀進(jìn)行詳細(xì)論述，并且在此基礎(chǔ)上得出就具體安全問題如何進(jìn)行防范。 3.6.4.2當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀 對(duì)于我們用戶來(lái)說，要建立完整有效的內(nèi)部網(wǎng)，其面臨的主要困境和對(duì)系統(tǒng)安全的考慮來(lái)源于以下方面： 各種對(duì)于網(wǎng)絡(luò)安全性的威脅 網(wǎng)絡(luò)擁擠問題 各種異構(gòu)網(wǎng)絡(luò)產(chǎn)品的互操作 外界闖入的惡意攻擊 非授權(quán)的資料存取 假冒合法用戶 3.6.4.3系統(tǒng)安全設(shè)計(jì)的原則 安全性第一： 由于安全性和網(wǎng)絡(luò)的性能(使用的靈活性、方便性、傳輸效率等)是一對(duì)矛盾,兩者不能兼得,強(qiáng)調(diào)了安全性,網(wǎng)絡(luò)的性能受到影響,強(qiáng)調(diào)網(wǎng)絡(luò)的性能,安全性可能減弱。由于X醫(yī)院內(nèi)網(wǎng)與市

38、醫(yī)保系統(tǒng)相連，外網(wǎng)與Internet相連（內(nèi)外網(wǎng)從物理上完全分開），因此安全是第一位的，我們從如下方法中來(lái)體現(xiàn)： 多重保護(hù)： (全局防御的原則) 任何安全保護(hù)措施都不是絕對(duì)安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各重保護(hù)相互補(bǔ)充,當(dāng)一重保護(hù)被攻破時(shí),其它重保護(hù)仍可保護(hù)信息的安全。特別是在外網(wǎng)與Internet相連是時(shí)，連接處建立防火墻,在內(nèi)部路由器上建立訪問表(Accesslist),又在各服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)上實(shí)施訪問控制等。 多層次(OSI參考模型中的邏輯層次) ：如在鏈路層和網(wǎng)絡(luò)層實(shí)施包過濾,在表示層實(shí)施加密傳送,在應(yīng)用層設(shè)置專用程序代碼。 多個(gè)安全單元：把整

39、個(gè)網(wǎng)絡(luò)的安全性賦予多個(gè)安全單元,如路由器、屏蔽子網(wǎng)、網(wǎng)關(guān),形成了多道安全防線。 網(wǎng)絡(luò)分段 ：網(wǎng)絡(luò)分段是保證安全的重要措施。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段。網(wǎng)絡(luò)可從物理上分為若干段,即通過交換器連接各段。對(duì)于TCP/IP可進(jìn)行邏輯分段,即把網(wǎng)絡(luò)分成若干IP子網(wǎng),各子網(wǎng)通過路由器連接,并在路由器上建立可訪問表,來(lái)控制各子網(wǎng)間的訪問。 最小授權(quán)：特權(quán)(超級(jí))網(wǎng)絡(luò)要有制約措施,分散過大的集中權(quán)力,以降低災(zāi)難程度。 綜合性：計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全應(yīng)從物理上、技術(shù)上、管理制度(如安全操作乃至計(jì)算機(jī)病毒的防范等)上以及安全教育上全面采取措施,相互彌補(bǔ)和完善,盡可能地排除安全漏洞。 3.6.4.4提高

40、安全性意識(shí) 安全性意識(shí)是解決安全性問題的基礎(chǔ)，只有提高所有用戶的安全性意識(shí)，才能有力地保證網(wǎng)絡(luò)的安全性，安全性設(shè)計(jì)主要考慮三個(gè)基本的因素。 阻止對(duì)長(zhǎng)沙市X醫(yī)院網(wǎng)絡(luò)上系統(tǒng)的未授權(quán)訪問可以通過用戶安全意識(shí)和管理得當(dāng)?shù)陌踩呗缘慕M合來(lái)實(shí)現(xiàn)。 安全性意識(shí)來(lái)源于對(duì)長(zhǎng)沙市X醫(yī)院工作人員進(jìn)行計(jì)算機(jī)和網(wǎng)絡(luò)的教育和培訓(xùn)，要增強(qiáng)每個(gè)用戶保護(hù)長(zhǎng)沙市X醫(yī)院和個(gè)人數(shù)據(jù)的道德意識(shí)。這包括保護(hù)其他職員的數(shù)據(jù)免受未經(jīng)許可的訪問。另外，還要建立一個(gè)清楚明了的政策，向職員們解釋公共可用網(wǎng)絡(luò)資源和專用資源的差別。 安全教育及培訓(xùn)的另一個(gè)重要方面是向用戶解釋口令（包括他們的帳號(hào)和其它被限制的網(wǎng)絡(luò)資源）所起的作用。口令的選擇、

41、定期修改，以及絕不外泄等是口令安全性的基本保障。 安全性意識(shí)還包括對(duì)病毒的認(rèn)識(shí)以及防病毒意識(shí)的提高。 3.6.4.5網(wǎng)絡(luò)安全的實(shí)現(xiàn) 網(wǎng)絡(luò)安全方面，根據(jù)有關(guān)部門在Internet/Intranet互聯(lián)方面的有關(guān)規(guī)定和實(shí)際要求，采用如下安全措施：內(nèi)部網(wǎng)絡(luò)（Intranet）與互聯(lián)網(wǎng)（Internet）從物理上分開，保證內(nèi)網(wǎng)安全。 與外部市醫(yī)保系統(tǒng)等互聯(lián)的安全 在長(zhǎng)沙市X醫(yī)院網(wǎng)絡(luò)系統(tǒng)看來(lái)，市醫(yī)保網(wǎng)絡(luò)等網(wǎng)是外部不可信任區(qū)域。為此在與他們連接時(shí)，必須安裝相應(yīng)的安全隔離設(shè)備。防火墻是一種很好的選擇。 首先，我們?cè)诼酚善魃显O(shè)置訪問列表，進(jìn)行地址的校驗(yàn)，控制IP地址的流向及路由，進(jìn)行初步的防火。

42、 其次，在與外部網(wǎng)絡(luò)的連接上采用中高等強(qiáng)度的防火墻設(shè)備。通過代理服務(wù)器與外部網(wǎng)接入路由器相連，隔離內(nèi)外網(wǎng)，實(shí)現(xiàn)安全控制。由于外部路由器只能向外聯(lián)網(wǎng)通告DMZ網(wǎng)絡(luò)的存在，外聯(lián)網(wǎng)上的系統(tǒng)不需要有路由器與內(nèi)部網(wǎng)絡(luò)相連。這樣網(wǎng)絡(luò)管理員就可以保證內(nèi)部網(wǎng)絡(luò)是“不可見”的，并且只有在DMZ網(wǎng)絡(luò)上選定的系統(tǒng)才對(duì)外聯(lián)網(wǎng)開放（通過路由表和DNS信息交換）。在防火墻上做NAT（網(wǎng)絡(luò)地址變換），從而避免在內(nèi)部網(wǎng)絡(luò)上重新編址或重新劃分子網(wǎng)，使內(nèi)網(wǎng)完全對(duì)外隱蔽。同時(shí)防火墻對(duì)所有通過的數(shù)據(jù)包進(jìn)行校驗(yàn)，設(shè)置用戶的訪問權(quán)限，對(duì)于非法用戶拒絕訪問；并設(shè)置跟蹤源和目的地址、TCP序列號(hào)、端口及每個(gè)分組（包）的附加TCP標(biāo)識(shí)符，對(duì)于

43、非法侵入的用戶進(jìn)行跟蹤，并進(jìn)行隔離。 同時(shí)為了防止個(gè)別的專家入侵者突破外網(wǎng)路由器和防火墻而侵襲內(nèi)部網(wǎng)絡(luò)，在內(nèi)部網(wǎng)絡(luò)中心交換機(jī)上設(shè)置適量的訪問控制，進(jìn)行第三級(jí)訪問控制。“內(nèi)部路由器”只向內(nèi)部網(wǎng)絡(luò)通告DMZ網(wǎng)絡(luò)的存在，內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往外聯(lián)網(wǎng)，包過濾路由器直接將數(shù)據(jù)引向DMZ網(wǎng)絡(luò)上所指定的系統(tǒng)。內(nèi)部路由器在作為內(nèi)部網(wǎng)絡(luò)和外聯(lián)網(wǎng)之間最后的防火墻系統(tǒng)時(shí)，能夠支持比雙宿堡壘主機(jī)更大的數(shù)據(jù)包吞吐量。 對(duì)于普通的用戶，可以允許訪問公共的WWW等服務(wù)器，并在服務(wù)器上設(shè)置用戶的訪問權(quán)限，保護(hù)服務(wù)器系統(tǒng)不受損害。 與Internet網(wǎng)的互連 其次，在外網(wǎng)和Internet相連處增設(shè)防火墻，利用防

44、火墻技術(shù)限制Internet用戶對(duì)服務(wù)器的訪問權(quán)限，也就是對(duì)外部用戶只提供Web和FTP服務(wù)。 另外，該防火墻也對(duì)局內(nèi)用戶進(jìn)入Internet的計(jì)算機(jī)進(jìn)行過濾，從而進(jìn)一步增強(qiáng)服務(wù)段網(wǎng)絡(luò)的安全。 這種內(nèi)、外網(wǎng)完全從物理上隔開的設(shè)計(jì)主要是為了保護(hù)醫(yī)院信息系統(tǒng)數(shù)據(jù)的安全，徹底避免外部黑客的攻擊。 3.6.4.6防病毒系統(tǒng)設(shè)計(jì) 病毒是系統(tǒng)中最常見、威脅最大的安全來(lái)源，建立一個(gè)全方位的病毒防范系統(tǒng)是市財(cái)政局網(wǎng)絡(luò)安全體系建設(shè)的重要任務(wù)。我們將根據(jù)長(zhǎng)沙市X醫(yī)院網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)和計(jì)算機(jī)分布情況僅提出一些防病毒的安全策略和部署要求： 長(zhǎng)沙市X醫(yī)院網(wǎng)絡(luò)使用的病毒系統(tǒng)，要能夠從多層次進(jìn)行病毒防范，第一層工作

45、站、第二層服務(wù)器、第三層網(wǎng)關(guān)都能有相應(yīng)的防毒軟件提供完整的、全面的防病毒保護(hù)。如果有Notes等群件系統(tǒng)同樣要配置群件防病毒控制系統(tǒng)。 能夠配置成分布式運(yùn)行和集中管理，防病毒客戶端安裝在系統(tǒng)的關(guān)鍵主機(jī)中，如關(guān)鍵服務(wù)器、工作站和網(wǎng)管終端。在防病毒管理服務(wù)器端能夠交互式地操作防病毒客戶端進(jìn)行病毒掃描和清殺，設(shè)定病毒防范策略。 設(shè)置網(wǎng)絡(luò)自動(dòng)下載、更新和分發(fā)：在局域網(wǎng)中特別選定一臺(tái)裝有網(wǎng)絡(luò)防毒系統(tǒng)并能連接Internet的NT服務(wù)器作為自動(dòng)下載服務(wù)器，定時(shí)自動(dòng)從防毒產(chǎn)品的站點(diǎn)下載最新的的病毒特征文件和搜索引擎，保證防毒軟件定期得到最新反病毒文件。 完善的運(yùn)行日志記錄：日志包括了從服務(wù)器到客戶端計(jì)

46、算機(jī)運(yùn)行的所有記錄。網(wǎng)絡(luò)管理員可以從日志的內(nèi)容中掌握網(wǎng)絡(luò)中所有計(jì)算機(jī)的運(yùn)行情況,包括出現(xiàn)問題的計(jì)算機(jī)名稱、用戶名、使用時(shí)間、染毒情況、處理情況等信息,從而使網(wǎng)絡(luò)管理更加簡(jiǎn)單、明了且有針對(duì)性。 建議為市X醫(yī)院網(wǎng)絡(luò)部署瑞星 100用戶 企業(yè)網(wǎng)絡(luò)版防病毒系統(tǒng)。 3.6.4.7防火墻系統(tǒng)設(shè)計(jì) 網(wǎng)絡(luò)防火墻是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)設(shè)備，它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對(duì)其進(jìn)行檢查，來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許，其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò)，另一方則被稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。防火墻能有效的控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸，從而達(dá)到保護(hù)

47、內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的?，F(xiàn)在的防火墻多數(shù)是三穴防火墻，將網(wǎng)絡(luò)劃分為信任區(qū)、非信任區(qū)、以及中立區(qū)，對(duì)網(wǎng)絡(luò)的訪問進(jìn)行控制，從而達(dá)到保護(hù)網(wǎng)絡(luò)按全的作用。 為了保障外部移動(dòng)用戶在與內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)交換時(shí)的安全，保障內(nèi)部網(wǎng)絡(luò)應(yīng)用的安全，將防火墻置于路由器與內(nèi)部網(wǎng)絡(luò)之間，以保護(hù)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)安全，防止網(wǎng)絡(luò)受到外部非法侵入。針對(duì)本網(wǎng)絡(luò)的特點(diǎn)選用天融信NGFW ARES—G防火墻。 3.6.4.7.1天融信NGFW ARES—G防火墻介紹 NGFW ARES網(wǎng)絡(luò)衛(wèi)士系列防火墻是基于天融信公司具有自主知識(shí)產(chǎn)權(quán)的TOS（Topsec Operating System）系統(tǒng)

48、平臺(tái)，形成了集防火墻、IPSEC VPN、入侵檢測(cè)、身份認(rèn)證等多種功能一體化的高效率平臺(tái)，為行業(yè)分支機(jī)構(gòu)、中小型企業(yè)、教育非骨干節(jié)點(diǎn)院校等中小用戶可提供一個(gè)可靠的安全解決方案。 多功能融合的一體化平臺(tái) ☆NGFW ARES將防火墻、IPSEC VPN、身份認(rèn)證、IDS等安全特性充分融合優(yōu)化，并提供交換、路由、組播、NAT、DHCP等多種特性，成為集路由、交換、無(wú)線接入、語(yǔ)音支持的多功能的安全網(wǎng)關(guān)。單臺(tái)設(shè)備即可解決普通中小用戶的基本安全需求。 ☆ 支持眾多網(wǎng)絡(luò)通信協(xié)議和應(yīng)用協(xié)議，如VLAN、ADSL、PPP、ISL、802.1Q、Spanning tree、IPSEC、H.323、MMS、

49、RTSP、ORACLE SQL*NET、PPOE、MS RPC等協(xié)議，滿足中小用戶復(fù)雜多變的應(yīng)用需要。 ☆豐富的接入方式支持能力。提供ADSL PPPoE的接入方式，提供寬帶FE的接入方式，提供NAT和DHCP等功能，為用戶不同接入方式提供了豐富的選擇。 獨(dú)創(chuàng)的高效率防火墻技術(shù) ☆ 在天融信自主開發(fā)TOS操作系統(tǒng)上的防火墻安全引擎（SE）采用了基于OS 內(nèi)核的核檢測(cè)技術(shù)，在OS 內(nèi)核實(shí)現(xiàn)對(duì)應(yīng)用層的訪問控制，實(shí)現(xiàn)二到七層的全面的訪問控制機(jī)制，從而最大化提高系統(tǒng)處理效率。 ☆除了支持對(duì)HTTP地址、頁(yè)面關(guān)鍵詞、移動(dòng)代碼、FTP以及Email過濾功能，還內(nèi)置了病毒檢測(cè)功能。它采用系統(tǒng)核心層實(shí)

50、現(xiàn)傳輸內(nèi)容的還原、檢測(cè)，從而確保不影響網(wǎng)絡(luò)傳輸效率的前提下進(jìn)行深層安全掃描。 ☆ 同時(shí)具有內(nèi)置IDS以及和外置IDS聯(lián)動(dòng)特性，高級(jí)的Intelligent Guard技術(shù)提供了強(qiáng)大的入侵防護(hù)功能，提高了處理效率，可以抵御包括Syn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、端口掃描等幾十種攻擊。 便捷安全的管理方式 ☆NGFW ARES實(shí)現(xiàn)即裝即用的便捷管理方式，提供命令行和GUI等多種管理手段，配置簡(jiǎn)單易學(xué)。 ☆ 所有管理操作都采用加強(qiáng)的SSL進(jìn)行加密傳輸。要求GUI客戶端對(duì)防火墻進(jìn)行證書認(rèn)證的同時(shí)，防火墻也要對(duì)客戶

51、端進(jìn)行證書認(rèn)證，避免了傳統(tǒng)不對(duì)GUI客戶端進(jìn)行認(rèn)證的安全問題。 功能類別 功能項(xiàng) 功能細(xì)項(xiàng) 網(wǎng)絡(luò)安全性 工作模式 路由、透明、混合 內(nèi)容過濾 支持基于流、數(shù)據(jù)包、透明代理的過濾方式。 支持對(duì)HTTP、SMTP、POP3、FTP等協(xié)議的深度內(nèi)容過濾。 支持URL過濾 支持對(duì)移動(dòng)代碼如Java applet、Active-X、VBScript、Jscript、Java script的過濾 支持對(duì)郵件的收發(fā)郵件地址、文件名、文件類型過濾 支持對(duì)郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過濾 動(dòng)態(tài)端口支持協(xié)議：FTP、RTSP、SQL*NET、MMS、R

52、PC(msrpc,dcerpc)、H.323、TFTP。 包過濾 基于狀態(tài)檢測(cè)的動(dòng)態(tài)包過濾 實(shí)現(xiàn)基于源/目的IP地址、源/目的MAC地址、源/目的端口、協(xié)議、時(shí)間等數(shù)據(jù)包快速過濾 支持報(bào)文合法性檢查 可實(shí)現(xiàn)IP/MAC綁定 防御攻擊 非法報(bào)文攻擊：land 、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof 統(tǒng)計(jì)型報(bào)文攻擊：Synflood、Icmpflood、Udpflood、Portscan、ipsweep Topsec聯(lián)動(dòng)：可與支持TOPSEC協(xié)議的IDS設(shè)備聯(lián)動(dòng)，以提高入侵檢測(cè)效

53、率。 端口阻斷：可以根據(jù)數(shù)據(jù)包的來(lái)源和數(shù)據(jù)包的特征進(jìn)行阻斷設(shè)置 SYN代理：對(duì)來(lái)自定義區(qū)域的Syn Flood攻擊行為進(jìn)行阻斷過濾 AAA服務(wù) 支持使用一次性口令認(rèn)證（OTP）、本地認(rèn)證、雙因子認(rèn)證（SecureID）以及數(shù)字證書（CA）等常用的安全認(rèn)證方式 支持使用第三方認(rèn)證如RADIUS、TACACS/TACACS+、LDAP、域認(rèn)證等安全認(rèn)證方式 支持Session認(rèn)證、HTTP會(huì)話認(rèn)證 支持認(rèn)證?；罟δ? 可將認(rèn)證用戶信息加密存放在本地?cái)?shù)據(jù)庫(kù) NAT 支持雙向NAT 支持動(dòng)態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換 支持多對(duì)一、一對(duì)多和一對(duì)一等多種方式的地址轉(zhuǎn)換 支持虛擬服務(wù)器功

54、能 網(wǎng)絡(luò)適應(yīng)性 路由 支持靜態(tài)路由、動(dòng)態(tài)路由 支持基于源/目的地址、接口、Metric的策略路由 支持單臂路由，可通過單臂模式接入網(wǎng)絡(luò)，并提供路由轉(zhuǎn)發(fā)功能。 支持Vlan路由，能夠在不同的VLAN虛接口間實(shí)現(xiàn)路由功能。 支持RIP等路由協(xié)議。 組播 支持IGMP組播協(xié)議 支持IGMP SNOOPING 可有效地實(shí)現(xiàn)視頻會(huì)議等多媒體應(yīng)用 VLAN 支持與交換機(jī)的Trunk接口對(duì)接，并且能夠?qū)崿F(xiàn)Vlan間通過安全設(shè)備傳播路由 支持802.1Q，能進(jìn)行802.1Q的封裝和解封 支持ISL，能進(jìn)行ISL的封裝和解封 在同一個(gè)Vlan內(nèi)能進(jìn)行二層交換 生成樹 支持80

55、2.1D生成樹協(xié)議，包括PVST+及CST等協(xié)議。 ARP 支持ARP代理、ARP學(xué)習(xí) 可設(shè)置靜態(tài)ARP 非IP 協(xié)議 支持對(duì)非IP 協(xié)議IPX/NetBEUI 的傳輸與控制。 DHCP 支持DHCP Client、DHCP Relay、DHCP Server 接入 支持ADSL接入功能，可滿足中小企業(yè)的多種接入需求。 支持PPPOE撥號(hào)接入 其它 支持網(wǎng)絡(luò)時(shí)鐘協(xié)議SNTP，可以自動(dòng)根據(jù)NTP服務(wù)器的時(shí)鐘調(diào)整本機(jī)時(shí)間 支持IPX、NetBEUI等非IP 協(xié)議。 *VPN IKE 支持基于標(biāo)準(zhǔn)IKE協(xié)商的VPN通信隧道 支持多種IKE認(rèn)證方式，如預(yù)共享密鑰，數(shù)字

56、證書等 支持IKE擴(kuò)展認(rèn)證，如Radius認(rèn)證等。 解決方案 支持網(wǎng)關(guān)到網(wǎng)關(guān)、遠(yuǎn)程移動(dòng)用戶到網(wǎng)關(guān)的VPN隧道 在具有SCM的解決方案中，支持靈活的移動(dòng)用戶到移動(dòng)用戶的隧道。 可以和密碼機(jī)產(chǎn)品，遠(yuǎn)程客戶端產(chǎn)品及VPN安全管理系統(tǒng)（SCM）共同組成完整的VPN解決方案。 算法 支持3DES、DES、國(guó)密辦等加密算法 支持標(biāo)準(zhǔn)MD5、SHA-1認(rèn)證算法 支持加密卡提供的MD5、SHA-1認(rèn)證算法 工作模式 支持HUB-SPOKE方式 支持網(wǎng)狀連接方式 支持分級(jí)的樹狀連接方式 其它功能 支持網(wǎng)絡(luò)鄰居（利用WINS） 支持隧道的NAT穿越 支持對(duì)隧道內(nèi)明文的訪問控制

57、可同時(shí)支持明密傳輸 安全管理 日志 支持Welf、Syslog等多種日志格式的輸出 支持通過第三方軟件來(lái)查看日志 支持日志分級(jí) 支持對(duì)接收到的日志進(jìn)行緩沖存儲(chǔ) 通過安全審計(jì)系統(tǒng)（TA-L），可獲得更詳盡的日志分析和審計(jì)功能,并能提供員工上網(wǎng)行為管理功能。 可選高級(jí)日志審計(jì)功能模塊，除接受防火墻日志外還能接受交換機(jī)、路由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他安全產(chǎn)品的日志進(jìn)行聯(lián)合分析。 監(jiān)控 支持網(wǎng)絡(luò)接口監(jiān)測(cè)、CPU利用率監(jiān)測(cè)、內(nèi)存使用率監(jiān)測(cè)、操作系統(tǒng)狀況監(jiān)測(cè)、網(wǎng)絡(luò)狀況監(jiān)測(cè)、硬件系統(tǒng)監(jiān)測(cè)、進(jìn)程監(jiān)測(cè)、進(jìn)程內(nèi)存監(jiān)測(cè)、加密卡狀況監(jiān)測(cè)。 可根據(jù)配置文件進(jìn)行錯(cuò)誤恢復(fù) 報(bào)警 報(bào)警事件：內(nèi)置了

58、“管理”、“系統(tǒng)”、“安全”、“策略”、“通信”、“硬件”、“容錯(cuò)”、“測(cè)試”等多種觸發(fā)報(bào)警的事件類 報(bào)警方式：采用郵件、NETBIOS、聲音、SNMP、控制臺(tái)等多種報(bào)警方式，報(bào)警方式可以組合使用。 支持Watchdog功能 配置管理 配置方式 支持WEB圖形配置、命令行配置 支持本地配置、遠(yuǎn)程配置 支持基于SSH、SSL的安全配置 命令行 支持配置命令分級(jí)保護(hù) 支持中英文 支持命令超時(shí)、歷史命令、命令補(bǔ)齊、命令幫助、命令錯(cuò)誤提示等功能 SNMP 支持SNMP 的v1 、v2 、v2c 、v3 版本 與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容，如HP Openview 等。 支

59、持遠(yuǎn)程維護(hù)和系統(tǒng)升級(jí) 支持TFTP升級(jí) 報(bào)文調(diào)試 提供強(qiáng)大的報(bào)文調(diào)試功能，可以幫助網(wǎng)絡(luò)管理員或安全管理員發(fā)現(xiàn)、調(diào)試和解決問題。 支持發(fā)送虛擬報(bào)文 配置恢復(fù) 可以進(jìn)行配置文件的備份、下載、刪除、恢復(fù)和上載。 其它 擴(kuò)展能力 開放式的架構(gòu)支持未來(lái)方便擴(kuò)展防病毒、防垃圾郵件、IPSEC VPN、SSL VPN等功能以及各種VPN加速卡 3.6.5設(shè)備簡(jiǎn)介 3.6.5.1中心交換機(jī) 一、概況 BigHammer6800系列核心智能多層交換機(jī)是港灣網(wǎng)絡(luò)有限公司在現(xiàn)今網(wǎng)絡(luò)融合的趨勢(shì)下，針對(duì)目前電信級(jí)城域網(wǎng)、企業(yè)級(jí)中小城域網(wǎng)及大型園區(qū)網(wǎng)對(duì)核心設(shè)備高性能、高可靠性、高智能、高

60、安全、高端口密度和多業(yè)務(wù)支持的要求，推出的自主研發(fā)的新一代基于萬(wàn)兆平臺(tái)的核心交換機(jī)，目前已經(jīng)在市場(chǎng)上取得了大規(guī)模應(yīng)用。 BigHammer6800系列核心智能多層交換機(jī)包括BigHammer6813、BigHammer6808、BigHammer6805和BigHammer6802四款設(shè)備，交換容量最高可達(dá)1.92Tbps。BigHammer6800支持高密度萬(wàn)兆、千兆、百兆端口，同時(shí)還支持POS等廣域網(wǎng)接口；支持IPv6、MPLS、VPN、策略路由、用戶認(rèn)證、NAT等特性；并且支持高達(dá)1M路由表。BigHammer6800交換機(jī)內(nèi)置硬件防火墻模塊支持安全分區(qū)策略，從而為用戶構(gòu)建高性能、高安

61、全、多業(yè)務(wù)的IP網(wǎng)絡(luò)提供一個(gè)優(yōu)秀的萬(wàn)兆應(yīng)用中心。 二、產(chǎn)品特性 高性能分布式交換架構(gòu)，支持大容量的高密度線速轉(zhuǎn)發(fā) BigHammer6800系列交換機(jī)交換容量最高達(dá)1.92T，采用分布式架構(gòu)設(shè)計(jì)、業(yè)界先進(jìn)的交換矩陣結(jié)構(gòu)、高性能的智能ASIC，支持所有業(yè)務(wù)板卡線速轉(zhuǎn)發(fā)。 端口密度高，整機(jī)最高支持576個(gè)千兆端口、96個(gè)萬(wàn)兆端口，并且支持所有端口線速轉(zhuǎn)發(fā)。 創(chuàng)新的雙主控冗余設(shè)計(jì)以及無(wú)源背板設(shè)計(jì)，能夠滿足交換機(jī)交換容量的持續(xù)平滑升級(jí)。 強(qiáng)大多業(yè)務(wù)支撐能力 采用開放式架構(gòu)，BigHammer6800系列交換機(jī)支持MPLS VPN、策略路由、PPPoE/802. 1x/Web認(rèn)證、N

62、AT網(wǎng)關(guān)、防火墻等功能特性以實(shí)現(xiàn)對(duì)各類復(fù)雜業(yè)務(wù)的支持，真正實(shí)現(xiàn)多應(yīng)用業(yè)務(wù)的完美融合。 領(lǐng)先的IPv6支持能力，通過IPv6 Ready認(rèn)證。 完善的組播支持能力，包括IGMP、IGMP Snooping，PIM-SM、PIM-DM、MSDP和MBGP等。 面向用戶的智能QoS服務(wù)質(zhì)量保證 采用領(lǐng)先的ASIC智能流分類技術(shù)，準(zhǔn)確識(shí)別出數(shù)據(jù)報(bào)文中2/3/4層的內(nèi)容，并且根據(jù)預(yù)制的動(dòng)作，完成對(duì)數(shù)據(jù)流的智能化處理以及快速準(zhǔn)確轉(zhuǎn)發(fā)； 先進(jìn)的分布式L2/3/4層線速交換，基于流和端口的CAR限速，2級(jí)包頭阻塞（HOL）預(yù)防機(jī)制，智能的避免端口阻塞，保證網(wǎng)絡(luò)暢通。 豐富的優(yōu)先級(jí)別實(shí)現(xiàn)機(jī)制，支持

63、802.1P、TOS、DSCP和EXP域的標(biāo)記和重標(biāo)記，支持8個(gè)優(yōu)先級(jí)隊(duì)列以及SP/WFQ/WRR等隊(duì)列調(diào)度方式，支持RED/WRED/Tail drop等擁塞控制方式，以及流量整形機(jī)制。 完善的安全機(jī)制 內(nèi)置的NP架構(gòu)安全防火墻模塊，將傳統(tǒng)的網(wǎng)關(guān)防火墻引入到網(wǎng)絡(luò)內(nèi)部骨干節(jié)點(diǎn)，實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)多個(gè)等級(jí)的安全防護(hù)能力。 完善的ACL訪問控制策略的定制，支持基于時(shí)間、用戶MAC、IP地址、IP協(xié)議（TCP/UDP）、TCP端口號(hào)和UDP端口號(hào)、VLAN等信息全面的ACL控制，靈活控制防止非法用戶對(duì)網(wǎng)絡(luò)的訪問。 支持網(wǎng)絡(luò)管理服務(wù)NMS策略限制, 防止非法用戶對(duì)設(shè)備的控制；支持RADIUS等遠(yuǎn)程

64、認(rèn)證協(xié)議，實(shí)現(xiàn)用戶登錄的遠(yuǎn)程認(rèn)證控制；支持SSH登錄方式；多級(jí)授權(quán)訪問、最大連接數(shù)控制等機(jī)制，具有極高的管理安全特性。 專利的CPU保護(hù)技術(shù)，能夠很好抵御攻擊報(bào)文對(duì)設(shè)備CPU的攻擊，實(shí)現(xiàn)設(shè)備良好的自我防御機(jī)制，保障設(shè)備的穩(wěn)定運(yùn)行。 可靠性設(shè)計(jì) 主控、電源、風(fēng)扇均采用冗余設(shè)計(jì)，所有板卡、電源、風(fēng)扇均支持熱插拔，升級(jí)、更換板卡時(shí)對(duì)業(yè)務(wù)不會(huì)造成影響。 電源支持負(fù)載分擔(dān)，大大提高設(shè)備運(yùn)行穩(wěn)定性。 支持跨板鏈路匯聚、ERRP環(huán)網(wǎng)技術(shù)、MSTP、VRRP、等價(jià)路由等協(xié)議，為設(shè)備提供動(dòng)態(tài)的鏈路安全備份。 中文智能網(wǎng)管 支持SNMPv3，滿足網(wǎng)管協(xié)議對(duì)安全的要求。 智能ASIC技術(shù)配合策略網(wǎng)管

65、執(zhí)行，對(duì)應(yīng)用數(shù)據(jù)流的優(yōu)先級(jí)劃分和帶寬調(diào)度，滿足不同應(yīng)用業(yè)務(wù)對(duì)服務(wù)質(zhì)量的不同要求。 在網(wǎng)管平臺(tái)上能夠直觀地制定對(duì)不同應(yīng)用或用戶的QoS策略，從而使網(wǎng)絡(luò)管理員能夠輕松布署網(wǎng)絡(luò)中的不同業(yè)務(wù)。 配合港灣自主開發(fā)的EasyTouch統(tǒng)一網(wǎng)管平臺(tái)和HammerView圖形界面管理系統(tǒng)，可以實(shí)現(xiàn)分級(jí)分權(quán)管理、日志管理、性能管理、VLAN管理、手機(jī)短信告警等等智能化管理手段。 三、性能指標(biāo) 特性指標(biāo) BigHammer6813 BigHammer6808 BigHammer6805 BigHammer6802 插槽數(shù) 14 8 5 2 背板容量 無(wú)源背板 >4.2T >

66、2.4T >1.4T >760G 主控板(bps) MCU（256G）；MCU2（640G）；MCU3（1.92T） 160G 包轉(zhuǎn)發(fā)率(pps) MCU:170M ； MCU2:416M；MCU3:1.43G 119M IP路由表 256K(可擴(kuò)展至1M) 路由協(xié)議 支持靜態(tài)路由； 支持RIP； 支持OSPF； 支持IS-IS； 支持BGPv4； 支持策略路由； 支持WCMP/ECMP； 組播 支持IGMP Snooping 支持IGMP 支持PIM-SM 支持PIM-DM 支持MSDP 支持MBGP VLAN 數(shù)量 4K VLAN 類型及協(xié)議 支持802.1Q、基于端口、基于子網(wǎng)、基于協(xié)議 Vlan； 支持Super Vlan； 支持Pvlan； 支持QinQ（外層標(biāo)簽可靈活設(shè)置）； 支持GVRP； STP 支持STP、RSTP、MSTP等； ACL 支持標(biāo)準(zhǔn)和擴(kuò)展ACL； 可基于時(shí)間、MAC地址、Vlan、IP地址、IP協(xié)議（TCP/UDP）、TCP/UDP端口號(hào)、VLAN等