(一)计算机网络系统项目概述
随着计算机技术、通讯技术的飞速发展,计算机网络正快速覆盖社会的各行各业,使我们感受到网络时代的春风。医院作为人民社会生活的重要组成部分,传统的办公模式已经不适应当今的网络时代。先进、可靠、高效的计算机网络,是现今医院网络化办公的基础。
沁阳市人民医院创建于1946年,开放病床360张;现有职工516人,专业技术人员410人,其中高级专业技术人员19人,中级专业技术人员120人,初级专业技术人员163人。设置16个临床科室30余个专业,16个医技科室,是沁阳市规模最大的集医疗、教学、科研、预防保健和院外急救为一体的现代化综合性医院,成为河南省人民医院、中科院、肿瘤医院协作单位,新乡医学院、焦作职工医学院教学医院,中国东软核磁共振河南示范培训基地、河南省新生儿重症救护网络成员单位、河南省眼科网络成员单位、中国糖尿病综合防治计划推行单位、城镇职工医疗保险定点医院、中国人寿保险定点医院。
(二)计算机网络系统建设的总体目标
1.用户需求分析
医院的计算机网络系统建设需求归纳如下:
1) 网络连接覆盖整个门诊、医技楼。为医生、护士和各职能部门提供网络接入服务。
2) 使用千兆以太网作为网络主干,构建能够提供服务质量保证和多媒体应用支持的新一代的企业网络系统。
3) 提供接入Internet的手段,并在网络中设置的专用安全区域放置Web服务器、E-mail等公共服务器。
4) 在网络上提供高效可靠的安全管理构架和安全策略,确保网络资源的安全使用。
5) 网络系统设计要具备高度的灵活性和扩展性,能够满足未来发展的需求。
6) 建立网络系统运行管理中心,建立统一集中式的网络管理,实行有效的配置管理、失效管理、安全管理及性能管理。
7) 统一进行子网划分和IP地址分配。
8) 实现企业内部网与Internet 的互联,建立企业内部网(INTRANET)。
9) 信息资源采取集中控制与分布配置相结合的策略,合理规划,分布实施。
10) 建立以Windows NT为平台的企业系统管理平台,对信息资源进行有效管理。
11) 在NT平台上建立Exchange邮件系统,实现员工之间、以及对外的信息交流。
2.系统建设范围
本方案提供的医院门诊、医技楼的网络系统解决方案的项目实施范围包括:医院企业网络系统(Intranet)的组成构架,建立基础的信息系统平台,提供整体企业级安全防护策略。
3.主要技术路线
医院园区网络系统建设的主要技术路线如下:
1) 采用成熟/先进的网络技术。
2) 统一技术规范、标准和方案,统一设备选型,统一组织实施。
3) 通过高速交换技术、虚拟网(VLAN)技术组网。
4) 以TCP/IP为主要协议,采用统一的电子邮件系统提供邮件服务。
5) 以标准化为基础实现系统的开发型、可扩展性,增强与异种机、议购网的互联能力。
6) 注重避免出现瓶颈效应,重要路由要有备份,保证网络每天24小时可靠运行。
7) 注意通信保密和数据安全,建立完善的网络安全管理系统。
8) 采用可靠、先进、高效、功能丰富的网络管理设备和完善、合理的规章制度。
(三)总体设计方案
1.系统设计原则
医院计算机网络系统建设工程是一项重要的系统工程,其设计的高可靠行,先进性、合理性将对于今后医院信息化建设的发展产生极为重要的影响。系统设计总原则如下:
为医院的信息建设提供一个先进、可靠、稳定、易扩展的网络系统平台;
充分重视网络系统和信息的安全,建立先进的网络管理系统和安全管理系统,建立完整的信息控制和授权管理机制。
在限定的时间和规模内,努力降低费用支出,提高系统的性能价格比。
采用成熟的先进技术,兼顾未来的发展趋势,既量力而行,又适当超前,留有发展余地。
充分发挥各方面的积极性,保障各项工作有序按时进行。
为此,我们在进行方案设计时将遵循以下几个性能指标:
∙ 安全可靠性
要求整个系统采用具有高可靠性的总体设计,在关键节点考虑采用冗余备份设计,在关键的网络设备和主机设备上努力消除单点失效;设计中所选用的设备本身应具有较高的安全可靠性;在系统软件和应用软件方面必须注重系统的安全保密工作,采用具有较高安全级别的系统软件,引入具有可靠功能专用网络安全产品;在对后期培训工作的安排中,加强对有关工作人员系统安全知识培训及处理突发故障能力的培训。
∙ 先进性
保证所采用的设备和技术属世界主流产品,在相应的应用领域占有较的用户市场,在相关计算机技术及网络技术方面处于领先地位。考虑到网络建成后较在很长一段时间内使用,所以在选择网络技术的时候应具有一定超前意识。
∙ 实用性
系统的性能指标应能够满足住处网络内各项业务对处理能力的要求。整个系统的性能应当是可靠的,便于管理的。所采用的设备应当是易于配置维护。从客户的角度出发,在完全满足网络应用要求的条件下,尽量压缩设备所需费用,争取达到最优的性能价格比。
∙ 开放性
在网络和主机方面应支持符合国际标准和工业标准的相关接口,能够与各接入单位网络、ISP的网络以及其它相关系统实现可靠的互联;在支持标准的应用开发平台方面,系统软硬平台应具有良好的移植能力,在硬件升级后保持二进制级兼容性;在网络协议的选择方面,应选择广泛应用的标准协议,同时支持局域网内部的其他协议。
∙ 可扩充性和灵活性
在网络和主机设备的选择方面,应具有良好的可扩充能力,可以根据信息网络临时需要对系统进行必要的调整、扩充,这包括存储容量和网络规模等方面的扩充。在网络全面升级的情况下,能够最大限度地保护现有投资。
2.设计依据
1) 门诊、医技楼网络系统招标文件技术规范
2) 门诊、医技楼综合布线设计方案
3) ITU(国际电信联盟)相关标准
4) IETF(Internet工程任务组)的RFC相关文件
5) 中华人民共和国计算机信息网络国际互联网管理暂行规定
3.设计目标
医院网络系统建设总体目标如下:
1) 采用先进网络技术,同时注重该技术的成熟性,要求选择的技术符合国际标准。能够与主要网络厂商的产品及网络技术较为方便的实现互联。
2) 采用的技术及设备应该具有易升级及可扩展性,最大程度上保护投资。
3) 适应桌面计算机处理、I/O能力大幅度提高的现状,发挥桌面机的网络性能,提高桌面的访问带宽。
4) 适应联网规模大、总流量大的情况,合理分布流量,实现有效的安全访问控制和运行管理。
5) 提供对应用服务器的特别支持。
6) 适应部门多、层次复杂的特点,合理进行网络划分,实现有效的安全访问控制和运行管理。
7) 能够向未来的高速网络技术和不断出现的新应用过渡。
8) 实现网络互联,解决互联网络带来的安全和管理问题。
9) 适应数据集中型的应用发展趋势,为客户/服务器的应用环境提供支撑。
10) 增加网络系统的运行可靠性,降低故障隐患,提供系统的可管理性。
11) 适应机构建制和工作流程,提供多层次的安全保障。
4.系统设计和设备配置
(1)计算机网络系统技术选型
对于沁阳市人民医院这样的大型医疗机构来说,从网络的总体设计就要考虑以后医院园区网络的可靠性、扩展性和开放性,选择一种既能提供一个理想的高速多媒体网络主干,又具有现实性的网络技术方案极富现实意义。
第一,我们从网络系统的继承性方面考虑, 在这方面千兆以太网的有着很强优势。
以太网技术遍布全球各地,根据IDC的统计报告,在已安装的网络中以太网所占的比例超过80%,这意味着有超过12亿台PC、工作站和服务器之间是以太网连接的。剩余的部分网络是令牌环、FDDI、ATM 和其他。许多著名的操作系统和应用程序都兼容以太网,大多数高层协议也支持以太网。同时以太网有着众多的网络管理工具和诊断工具,从简单的指示灯式仪器到复杂的图形化分析仪。范围很广。
现今绝大多数计算机系统都是采用以太网设备,从投资保护和技术的相容性方面考虑,采用千兆以太网技术对于公司目前现有的计算机及网络设备而言有着良好的兼容性和适用性。
第二,我们要考虑的最重要的一点就是网络系统的可靠性,这是我们进行网络技术选型中应该最为优先考虑的原则。
高度可靠的计算机网络对于企业的成功来说是至关重要的,没有可靠性作保证的网络系统是更本无法应用的。因此,必须对各种网络技术的实现方法和以后的技术支持等问题作审慎的考虑。自从1986年出现星形布线结构的10BaseT技术以来,结构化的布线系统使得集线器和交换机的可靠性越来越高。如今,以太网已经比其前辈---电话网技术更加可靠,并且易于理解和管理。今天的千兆以太网无论是在稳定性方面,还是服务质量保证(QoS)方面都达到了一个崭新的高度。
第三,费用低廉,具有较高的性能价格比。
以太网和快速以太网每端口的平均价格在迅速下降,而且相互间的差距月来越小。千兆位以太网的每端口价格目前已经比 ATM622M的价格低很多,其未来的发展过程也将类似于快速以太网。在现有技术条件和同等端口密度下,一般来说千兆方案要比ATM方案便宜三分之一以上。
除了直接的投资费用之外,网络支持和维护费用是一个不容忽视的问题。如今已有很多成熟和专业的工具来维护以太网,使其以最好的性能运作。千兆位以太网保护了这方面的投资,千兆位以太网帧格式拓扑结构都是相同的,仅需要对网络分析工具的速度进行升级,而所需的专业培训将会减低到最少。相对于技术极为复杂,需要大量培训和维护费用的ATM网络技术而言,千兆网技术有着其无法比拟的优势。
第四,从网络的发展性的角度考虑,千兆技术是一种很好的选择。
当新的和现有的网络应用程序发展到包括高质量的图形应用程序、视频和其他大数据量的多媒体应用程序的应用环境时,桌面PC、服务器、集线器和交换机都面临着增加网络带宽的压力。随着这类的应用程序不断地增加和网络用户数量的增加,人们对高带宽网络设备的需求越来越迫切。随着LAN上信息的飞速增长,网络管理员被迫去寻找更高速的网络技术可以解决带宽的要求。他们现有的网络多为以太网或FDDI主干,可以选择不同的升级方法,虽然各种方法都有自己不同的形式,然而还是有一些通用的标准或要求来选择高速的网络技术,包括:
● 容易实现的、无间断的升级技术
● 可以扩展至更高的性能
● 低成本,包括设备的成本和技术支持、维护的成本
● 支持新的应用程序和数据形式
在Internet应用中,迫切需要迁移至新的数据类型,包括视频和音频。以前人们认为视频数据需要在专门的网络上传送,然而现在它也可以在以太网上传输,因为:
● 通过交换技术,使网络带宽的分配增加到100M或1000M
● 新的网络协议如RSVP,支持带宽的分配和保留
● 新的标准如802.1Q/p, 支持专有VLAN功能和网络数据包专用标识 功能
● 广泛应用的视频压缩技术, 如MPEG2
● 这些技术和协议的组合运用使得以太网成为传送视频和多媒体数据应用的极好的解决方案。
最后, 有人可能会问,我们为何不选用ATM技术?以下我们将对千兆与ATM技术的进行一个比较,分析一下两者在园区网技术上的优劣。
ATM 技术采用信元和端到端连接机制,能够对流量进行非常精确的控制,但它主要是一种广域技术。事实上ATM 发展的动力源自电话公司想给数据联网重新定义。想法是对数据、话音和视频采用不同的协议。端到端连接的一个关键因素是它们能够记录数据流量,从而进行计费、收费工作。
ATM技术进入LAN 的市场开始于1993年,当时ATM行业宣称ATM是联网技术的未来,能够扩展、可以进行交换、支持视频等等,还把IP和以太网看作老式网络。由于当时市场上迫切需要高带宽的局域网络设备和技术,而当时快速以太网在带宽上还不能和ATM竞争,所以ATM 在LAN的市场中取得了一席之地。但到今天千兆以太网这种更高带宽的以太网技术出现后,ATM的高带宽优势已荡然无存。今天人们已经意识到,事实上,IP才是所有人都围绕的网络协议,而且IP完全于底层网络技术。它与以太网共同发展起来,也可以运行在令牌环、FDDI,但是在ATM 上让IP工作起来则比较困难,需要采用LANE、Classical IP、MPOA 等复杂的技术,而且降低了ATM的效率,丧失了ATM的应用优势。千兆位以太网比ATM 还有一个固有的优点,就是在网络上的流量在协议方面的开销要ATM少很多,ATM的开销大约是千兆位以太网的两倍。另外如我们在前面一再指出的,千兆以太网相对ATM 技术有着价格、维护费用、使用方便性、结构灵活性和易管理性上有着一系列的优势。
而且在目前的Internet上,实现未来纯 ATM 端到端网络的情况已经不符合新的应用要求 。出现这种情况的主要问题是由于ATM 是面向连接的;在能够发送数据前用户必须建立起一条端到端的连接。而IP是动态链接协议,采用路由器来转发数据包,没有端到端连接的建立。而在Internet上,半数的数据流量是与Web有关的。每次用户点中一个链接,就打开了与另一个服务器的连接。平均每个http传输的数据量大约为2K字节,按照每秒155兆比特的速率,大约需要100微秒的时间。而Fore最先进的ASX1000交换机的连接建立时间是10毫秒,因此连接建立时间占了吞吐量的 99%,这意味着实际吞吐量为1.5兆而不是 155 兆比特,与T1线路相差无几。整个连接建立的概念从根本上就与动态化日益加剧的IP环境无法兼容。
就ATM技术本身来讲,它的特点为高带宽(155Mbps以上),并且它具有QoS等级服务来提供不同的电信服务,如图像、话音及数据。但是QoS是ATM在不配置成局域网仿真时成立。换句话说,当您的大楼局域网采用ATM局域网仿真(LAN Emulation)时,也就是仿真以太网时,您就无法使用到ATM技术在城域网(MAN)或广域网(WAN)上所有的QoS。ATM局域网仿真是技术发展过程中的一种过渡,这是因为前几年千兆以太网(GE)还未成熟,所以ATM 局域网仿真才被采用。但是ATM到桌面不太现实,因为它需要主机操作系统、驱动程序、网卡的全面一致化,才能实现真正的ATM 到桌面。所以只能采用ATM 局域网仿真(而不是真正的端到端ATM)来解决网络互联的实际需求。
尽管ATM仍占据着大部分园区主干网,但在园区局域网内ATM高带宽的优势随着近年来千兆以太网的成熟而失去优势,加上其技术复杂性、价格弱势以及一些其它因素,人们在园区网络技术的选择越来越倾向于千兆(GE)以太网技术,而基于IP的多媒体应用也正在迅速被广泛采用。
以下是千兆位以太网(Gigabit Ethernet)与ATM两种主干技术的对照比较表:
| Gigabit Ethernet | ATM | |
| 标准 | IEEE802.z | 尽管已有多项标准出台,但由于ATM技术的复杂性,标准的制定仍在进行中,需要时间 完善 |
| 带宽 | 1000Mbps | 155Mbps或622Mbps |
| 竞争能力,厂家提交的交换机数目,各种NIC服务 | 几十家,成为技术型公司的新增长点 | 主要有十几家 |
| 每端口的价格 | 交换机端口与NIC组合,一起可达3000多美元。 | ATM-155对于交换机端口及NIC组合为2000美元左右,ATM-622为这个价格的数倍 |
| 媒质支持 | STP,UTP5,多模光纤,单模光纤 | ATM-622M及更高速的只在光 纤上运行 |
| 学习曲线,技术的复杂性 | 容易 | 复杂,较难学习 |
| 与现在的各种数据应用 程序及网络的兼容性 | 无需作任何改动 | 与现有的 LAN协同工作技术复杂且效率低 |
| Qos保证不同类型应用 | RSVP,RTP,PTCP,802.1p等新的技术协议以及Cisco等公司在IP优先级方面的一系列技术 | 在LANE的情况下,需要SVCs或IETF正在制定的RSVP的 复杂映射来解决 |
| 多厂家产品的互操作性 | 基于标准的互联 | 高层的互操作性,如交换机到交换机信令,经过ATM 的多协议仍无保证,标准还在改进 |
| VLAN的支持 | 与快速以太网一致,但同样的VLAN连接与组成标准能容易地覆盖以太网快速以太网及千兆位以太网 | 能映像基于LAN的发布领 域,而与ATM的可互操作性是既枯燥又复杂的 |
根据以上我们对当前主要的园区网技术的细致比较,并参照目前网络系统的实际发展情况和医院建筑的分布和应用情况,我们最终确定采用千兆以太网作为医院主干网络技术。采用千兆技术不仅可以很好地满足客户机/服务器模式对网络主干的巨大需求,而且以太网具有的良好的移植性可以方便的将10M以太网和快速以太网升级到千兆以太网,从而能够把一些数据流很大的工作组快速集成到骨干网中去;在局域网方面与ATM技术相比有较大的优势;从网络的管理与维护方面讲,千兆以太网技术可以节省大量的培训和维护等后续费用。这一系列特点使得千兆以太网技术成为医院计算机网络主干技术的最为理想的选择。
(2)计算机网络产品的选型
鉴于系统的先进性和兼容性,医院的网络系统我们将采用世界知名品牌华为和思科公司的产品,服务器选IBM产品。我们选择华为产品的主要原因出于下列考虑:
华为公司是全球领先的电信解决方案供应商。华为技术有限公司的业务涵盖了移动、宽带、IP、光网络、电信增值业务和终端等领域,致力于提供全IP融合解决方案,使最终用户在任何时间、任何地点都可以通过任何终端享受一致的通信体验,丰富人们的沟通与生活。
华为围绕客户需求持续提升创新能力,长期坚持不少于销售收入10%的研发投入,并坚持研发投入的10%用于对新技术、新领域进行持续不断的研究和跟踪。目前,华为在FMC、IMS、WIMAX、IPTV等新技术和新应用领域,都已经成功推出了解决方案。截止2009年12月底,华为加入123个标准组织,如ITU、3GPP、3GPP2、ETSI、IETF、OMA和IEEE等,并在这些标准组织中担任148个职位。华为积极参与国际标准制定,截止目前华为向标准组织共提交文稿18000多篇。
Cisco公司是世界领先的Intranet和全球Internet网际互联解决方案供应商,是公认的网间互联技术和产品的领先厂商,其提供的解决方案是世界各地成千上万公司、大学、企业和部门建立网间网的基础,用户遍及电信、金融、服务业、零售业、部门及教育机构等,在“幸福”五百家公司中的83%均为Cisco公司的用户。
Cisco通过引入基于LWAPP协议(轻型AP协议,IETF的最新草案)的全新无线局域网构架—思科一体化无线网络,将无线局域网技术带到一个新的发展阶段。这种对无线AP进行集中控制的整体构架具有多种优点,再无线局域网的便利接入、安全无线连接、灵活部署、轻松运营、可视化维护方面,都提供了实用的工具和有效手段。
IBM(International Business Machines Corporation)总公司在纽约州阿蒙克市,1911年创立于美国,是全球最大的信息技术和业务解决方案公司,目前拥有全球雇员 30多万人,业务遍及160多个国家和地区。该公司创立时的主要业务为商用打字机,及后转为文字处理机,然后到计算机和有关服务。
IBM 为计算机产业长期的领导者,在大型/小型机和便携机(ThinkPad)方面的成就最为瞩目。其创立的个人计算机(PC)标准,至今仍被不断的沿用和发展。另外,IBM还在大型机,超级计算机(主要代表有深蓝和蓝色基因),UNIX,服务器方面领先业界。
(3)主干网络设计
一个优秀的网络设计方案离不开对其网络应用的评估。目前,在典型的网络中80% 的数据流是客户/服务器业务,它们之间的绝大多数业务又必须跨越骨干网传输。这样就造成在骨干网的一边是快速以太网客户,另一边是文件服务器,而两者之间的界面必须提供足够大的吞吐量来满足加在网络上的性能要求的现象。所以对于一个成功的网络集成设计来说,骨干网和边缘之间的界面的设计是极为关键的,因为这个边界正是网络进行分段和重组(SAR)的地方,对于医院这样大规模会产生巨大的网络业务流的网络系统更是如此。如果网络的数据业务流不能在骨干网和边缘之间快速可靠地传输,就会出现瓶颈,产生时延,降低效率,结果造成高速千兆以太网所提供的诸多优点均未实现。
考虑到医院今后的业务核心在其附院园区,为此医院的网络系统的设计思想是以医院中心机房为网络信息中心,以星型方式通过1G的链路分别连接各个科室楼层的骨干节点交换机,并以这些二级骨干节点为中心,通过1G(视下级节点的业务繁忙程度而定)的链路连接桌面交换机和无线AP(参见医院计算机网络系统结构拓扑图)。
计算机网络系统结构拓扑图
在医院主机房放置一台Quidway® S9312作为网络的中心千兆骨干交换机,中心交换机配置主备交换引擎,集群CSS、双电源,充分保证了中心交换机的高可靠性。中心交换机提供48端口百兆/千兆以太网电接口板,24端口百兆/千兆以太网光接口和8端口百兆/千兆Combo电接口。并能构实现企业网的第三层智能交换。
Quidway® S9312配置如下:
双电源,两个一次电源--40degC-65degC-90V-290V-53.5/15A-输入176V;
Quidway S9306/S9312 主控处理单元;
48端口百兆/千兆以太网电接口板(EA,RJ45);
24端口百兆/千兆以太网光接口和8端口百兆/千兆Combo电接口板(SA,SFP/RJ45);
在医院的接入交换,我们分别放置45台Quidway® S2326通过千兆上联链路分别与中心交换机的不同槽的千兆模块相连,全双工速率可以达到1G。其中,Quidway® S2326可以提供,2个千兆Combo口用以连接,中心交换机。
Quidway® S2326配置如下
S2326TP-PWR-EI:24个10/100Base-TX
2个千兆Combo 口(10/100/1000Base-T或100/1000Base-X)
交流供电,支持POE
在医院的接入层中我们配置了26个AP,更方便使用者随时随地在特定的公共场所接入医院的网络。AP通过10BASE-T/100BASE-TX 以太网端口直接连接在较进的接入交换机中。
思科(Cisco)WAP200 Wireless-G配置如下:
∙无线传输率:108/54/48/36/24/18/12/9/6/11/5.5/2/1Mbps
∙安全标准:WEP 位/128位、WPA-PSK、WPA2-PSK、WPA-ENT、WPA2-ENT
∙天线增益:2dBi
∙电源:12V DC
在无线设计中我们建议增加无线网络控制器,这样当无线客户移动时,无线信号AP间的漫游就能做到无信号终端。
(4)计算机网络信息中心
网络中心是整个网络运行管理的核心。考虑以后医院规模业务的增大,未来这里集中了各种网络应用服务器、多媒体应用服务器、网络管理系统以及互联网络的接入设备等。设计一个合理的网络运行管理中心,对今后整个网络规划、拓展和管理将带来十分积极的影响。
在医院网络中心,网络服务器(IBM X3650m3)直接与网络核心交换机Quidway® S9312,直接相连,服务器双线连接核心交换机,避免单点故障,提高网络带宽,服务器的全双工带宽可达4G。网络拓扑如下:
IBM X3650m3服务器配置如下:
∙2U 机箱
∙最多两个英特尔® 至强® 5500/5600 系列处理器,采用 QuickPath Interconnect 技术。
∙最大 192GB DDR3 RDIMM 或 48GB DDR3 UDIMM
∙最多 16个 2.5英寸热插拔 SAS/SATA 或固态硬盘驱动器
∙多达 4个 PCI-Express 插槽
∙支持可选的 VMware ESXi 4.0 嵌入式虚拟化管理程序
Internet接入
为了让整个门诊、医技楼能够与Internet相连,让内部员工能够从中获取信息资源和同时让外部用户能够访问医院的网站。我们建议申请一条光纤专线,通过电信局连接Internet。
我们选用了华为公司的高性能、高稳定及高接口密度的硬件平台配合成熟稳定、模块化设计的软件系统USG5350作为医院内部网与Internet之间的安全防护平台,USG5350是华为赛门铁克公司推出的新一代统一安全网关,能够为用户提供防火墙、VPN、IPS、反病毒、反垃圾邮件、URL过滤等多项领先的安全功能,提供全方位的网络系统安全防护,保障网络系统高效运行。USG5350配备VPN隧道数(10 隧道)-R-含HS通用安全平台软件。也满足医院虚拟专线的要求。
Secoway eLog是一套智能、高效、高可靠、高安全、高扩展的日志管理与安全审计系统,支持华为全系列、业界主流厂商(Cisco、Juniper、Checkpoint)的安全设备、网络设备和操作系统、数据库、Web服务器的日志采集、分析、关联、审计、告警、存储、查询和报表。
Internet网络拓扑如下:
USG5350配置如下:
∙双端口千兆以太网接口模块(RJ45&SFP)
∙VPN隧道数(10 隧道)-R
∙吞吐量:9Gbps
∙最大并发连接数:300万
∙每秒新建连接数:13万
(5)计算机网络安全与管理
4.5.1 安全管理措施
1) 建立安全管理制度,保护登录密码,合理使用访问权限,系统管理员注意在用户使用权限划分上的漏洞;
2) 系统管理员注意网络监控,对用户访问进行记录;
3) 网络系统的核心由千兆位以太网交换机构成骨干网,采用端到端连接技术,保证骨干网上数据传输的安全性;
4) 在互联网络接入部分配置了防火墙,在应用层进行安全控制;
5) 通过网管系统加强虚电路和虚网管理,使网络安全集中管理;
6) 建立企业级的病毒防护体系,确保信息资源的安全完整;
4.5.2 网络管理
医院内部网的网络管理是网络建设的重要内容之一,是保证整个内部网正常运行的前提。网络管理不但需要先进、使用的技术支持手段,对大型网络而言,更需要合理、有效的组织体系和规章制度。网络管理是网络可用性的关键组成。界定并实现网络管理是网管设计的主要内容。
内部网网络管理系统的主要管理对象包括:
∙ 互联网接入部分
∙ 主干网核心交换设备
∙ 子网交换模块
∙ 工作组交换机和基层网络设备
∙ 服务器系统
∙ 拨号访问服务
∙ 网络运行中心NOC网段
∙ 网络信息中心NIC网段
∙ VLANs划分与管理
∙ Secoway eLog监管
所有的网络信息和管理数据,包括系统配置、失效记录、安全记录、性能记录,用户使用情况等都保存在数据库中,这些信息和数据可以方便地进行查询、统计、分析和形成报表。
配置管理:管理主要网络设备和服务器及VLANs配置信息、通信和网络拓朴结构、用户名、电子邮件地址、口令等重要网络信息。
失效管理:是保证网络政党运行至关重要的一个部分,目的是保证网络正常运行,尽量减少故障发生的频度、消除故障产生的隐患,并及时修复已出现的故障。失效管理配合网管软件的失效管理功能,建立失效档案管理,提供联机工作手册和规范的失效处理操作程序(包括书面报告、电话报告、E-MAIL报告、处理程序、处理意见等的要求)。通过一定的故障定位手段和分析方法找出故障源,并立即对故障源进行隔离和修复。
性能管理:对接入网络和IPF 址的流量及流速进行定时采样记录。能够指明网络流量的高峰和瓶颈所在,能够按业务、部门、时间统计,根据流量统计安排镜像操作的时间等。由于此次设计是后期医院网络的一个基础,为了提高网络的高性能、高安全性。我们建议主干网络都采取双机冗余备份,双线负载。这样不但能大大提高主干网络的安全性、可靠性,还能增加网络带宽。
安全管理:是整个网络管理的重要一环,通过防火墙、用户认证/授机、数字签名、加密传输、存取控制、安装安全分析工具等手段实现安全控制,监视用户的访问情况,实施访问安全控制;通过设备冗余、容错配置、数据备份等手段确保运行安全;通过值班制度、运行制度完善组织管理;通过事帮保护系统,如防火系统、防盗系统、电源安全系统等措施防止非常事故的发生。
4.5.3 网络安全
防火墙被应用于内部网与外部网的连接之间,通过2个千兆以太网口直接连在核心交换机上。使用虚拟网(VLAN)技术,来自INTERNET对内部网的访问首先要经过防火墙,防火墙对进出内部网的数据内容进行各个层次的安全检查、控制和过滤,以确保网络的安全。
USG5350统一安全网关采用领先的嵌入式多核架构,传承多年在通讯、网络领域的研发、设计能力,满足各种严苛的国际认证规范,提供高可靠性保证。基于Symantec的先进的IPS、AV检测技术和丰富的特征库,检测率高达99%以上,在零配置的前提下,实现强大的安全防护能力。
高性能、高稳定及高接口密度的硬件平台配合成熟稳定、模块化设计的软件系统,使得USG5000统一安全网关完美的将防火墙、攻击方面、VPN、无限NAT扩展、IM控制、P2P限流等多项安全功能基于一身,并可通过购买License的方式获得IPS、反病毒、URL过滤等高级安全扩展功能。
再加上elog针对主机系统、数据库、Web服务器的各类安全事件记录的采集、分析、关联、审计、告警、存储、查询和报表。共同构建了完整的安全系统。
5.方案特点
本方案具有以下特点:
统一的IOS 安全性好
高性能IP及多媒体支持 实用性强
高可靠性 易管理
高可扩展性 标准化
阐述如下:
统一的IOS
方案选用的所有华为产品都内置IOS。IOS能够将路由器、千兆交换机、LAN和WAN交换机、文件服务器、个人计算机及对机构的互连网络有战略性影响的任何其他设备等所有不断发展的网络平台集成在一起,因而能够支持不可避免的变化和移植。IOS能够发挥华为平台及由将IOS融入其产品中的技术伙伴提供产品的功能,因而能够让各公司建立和加强经济有效的集成式统一信息系统基础设施。
安全性好
设备的安全性——在网络系统的安全设计中,设备本身管理的安全性是应首先考虑的,却往往又是人们常常疏忽的。利用设备本身的多个登录等级,控制不同人员的配置权限。可利用TACACS+、RADIUS安全认证服务器,加强了对网络设备本身的安全性管理。
VLAN的安全性——VLAN的建立,可以控制广播和应用的信息流动,从而防止他人非法在网络上截获其它用户或它们的资源。VLAN之间的通信可通过访问列表Access List控制,提供IP层,TCP层的访问控制。利用用户权限控制,并结合华为特有的动态VLAN技术,使移动的用户无论位于何处,与之相连的交换端口属于该用户特属的VLAN,即User-band VLAN,由于需要经过用户口令的认证,更增强VLAN的安全性。
网络访问的安全性——通过防火墙防止黑客的入侵。
数据的安全性——建议用HP的DLT4115的磁带库和Legato的备份恢复软件,对Unix服务器、NT服务器、ORACLE数据库、Exchange Server和SQL Server进行备份,以便在灾难发生时进行恢复。
高性能IP及多媒体支持
方案采用高速的千兆网技术,无论在网络上进行文件还是多媒体传输都基本避免了网络拥塞,能确保应用系统在网络上顺利运行,保证用户充分利用网络的资源。网络的高性能主要体现在以下几个方面:
① 高性能的第三层路由和交换技术
② 高性能的网络操作系统
③ 高性能的多点广播服务,保证多媒体应用的有效运行
④ 高路由性能
Quidway® S9300系列是华为公司面向以业务为核心的网络架构而推出的新一代高端智能T比特核心路由交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供业务流分析、完善的QOS策略、可控组播、一体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。
实用性强
本着“求实为本”的原则,经过我公司技术人员的反复研究和对华为、cisco。华三,网络厂家产品的认真比较和筛选,才形成了该方案。因此,该方案是性价比最好的方案。
高可靠性
本方案从物理层到网络层,采取多层冗余的措施,同时在网络设计中对系统结构设计、网络设备选型等方面作了严格选择。
方案选用的网络产品的平均无故障时间可达到7万小时以上,这是网络可靠运行的重要保障,网络设备可靠性非常高。
除在物理层采用冗余备份外,在第二层采用快速通道技术(FEC)和扩展树算法(Spanning Tree Per VLAN)技术为客户端提供备份冗余及负载共享。Fast Ethernet Channel 和Gigabit Ethernet Channel支持冗余链路的负载共享,提供有效的链路带宽。Spanning Tree Per VLAN技术,提供VLAN Trunking的负载共享和冗余备份。
OSPF/EIGRIP可靠的路由选择功能能够寻找性能最佳的路径并绕过网络故障快速实现路由通信。收敛时间非常短,即当设备出错时,能迅速发现错误并接管其工作。同时,采用HSRP能为VLAN提供路由设备的冗余,自动实现热备份。
易管理
华为公司的HS通用安全平台软件可以用于对华为设备进行管理,用于分析网络流量、查找网络故障。
高可扩展性
网络设计具有层次结构,具有良好的可扩展性,用户能灵活地接入到相应的层次当中。网络系统具有良好的、能互操作的路由协议,如OSPF、EIGRP、BGP4等,能实现网络规模的巨大扩展。支持多种网络协议,如IP、IPX、AppleTalk、DECnet等等,增强网络的支持能力。
Fast Ether Channel 及 Gigabit Ether Channel可将交换机、路由器升级成更高性能的产品。
华为 ISO软件版本升级可通过方便地完成,实现平滑升级。华为IOS可提供高度的灵活的扩充性服务。IOS的可扩充路由协议能够避免不必要的拥塞、突破固有的协议以及冲破互连网络的范围和地域分布带。能够建立一个可随着网络需要的增长而增长的灵活的可扩充的软件环境。
标准化
支持IP国际标准。如ICMP、ARP、RARP协议
支持VLAN的ISL、802.1Q协议,支持各种方式的VLAN的划分
优秀的操作系统IOS,以其良好的性能已成为事实上的工业标准
支持X.25、DDN、帧中继等广域网的连接
支持新的IPV6标准
(四)计算机网络系统机房供电和接地
1.机房的供配电系统
机房供电来自智能建筑中的变电所,而变电所的外电源主要来自城市电力网。依据当地供电部门提供的外线供电方案,在建筑内设计的10kV 变电所,一般采用的电力主接线是两路10kV 进线,两段高压母线,分列运行,设母联开关(或不设),经干式变压器,接至低压配电柜。再用封闭母线沿强电竖井,以树状供电方式,向楼内各层供电。群楼及地下各层的大型用电设备,用干线电缆,以放射供电方式,直接供给用电设备。根据需要,在适当的地方配备应急柴油发电机组,当两路10kV 外线电源均失压后,柴油发电机组启动,并投入低压母线,有选择的供应一级负荷用电,整个低压配电采用TN-S 接地系统。
计算机机房、数据中心、网络机房、消防和安防控制室、楼宇自控室、卫星电视前端机房、电梯机房等的用电,都属于机房负荷,属于一级负荷的主要是划为A 类的主机房,要有确切的保障措施。有些数据传输系统是不允许断电,需UPS 电源支持。否则,因断电事故,会造成重大经济损失或数据丢失。
一个完善的机房供配电系统是保证计算机设备、场地设备和辅助用电设备可靠运行的基本条件。高品质的机房供电系统体现在无断电故障、高容错;在不影响负载运行的情况下可进行在线维护;有防雷、防火、防水等功能。机房供电设计包括负荷等级和额定容量的确定、电源的可靠性设计、机房照明、防雷和接地技术措施等。因此,机房供电设计在得到较准确的用电负荷后,首先是与智能建筑中的变电所设计人员商定负荷容量、负荷等级、出线回路、接地方式等问题。在工程咨询中经常发现供电容量不够,支持的供电回路无法增加等问题,严重影响机房工程的改建或扩建。
2.机房供电的可靠性和质量要求
机房供电负荷等级要依据机房等级确定,应按现行《供配电系统设计规范》(GB50052-95) 和《民用建筑电气设计规范》(JGJ16-2008)以及相关技术要求进行。机房等级分A、B、C 三级,在新规范《电子信息系统机房设计规范》(GB 50174-2008)的附录中,对供电电源质量提出了明确的要求。
机房供电设计经常遇到的问题是负荷容量的确定,过去按面积估算的方法误差较大,较为实际的是按计划中的装机数量确定。在与建设单位协商过程中尽量详细了解交换机机柜、服务器机柜、小型机、精密空调等设备的数量,包括近期和今后规划增容的数量。一般来说,交换机机柜按每台2kW、服务器机柜按每台4kW 左右、小型机、精密空调等设备按实际需求。
考虑可以满足基本要求,设计中还要把系统冗余考虑周到才是最终容量。电子信息设备是由UPS 供电,选择UPS设备容量时要有一定的冗余考虑,按新规范要求计算:E>-1.2P。
式中E :UPS 的容量(不包括备份UPS设备)(kW/kVA);P :电子信息设备的计算负荷(kW/kVA)。
另外,一定要注意机房内的动力设备与电子信息设备采用不同回路配电。
机房的低压供电要求三相五线制,即三根相线、一根零线、一根地线,地线单独接地,不与零线共地。在同一个计算机供电系统中,送给各部分负荷的电压可以有220V 和380V。重要机房的供电,应采用双路电源末端自投。包括计算机机房、网络机房、消防和安防控制室、楼宇自控室、卫星电视前端机房、通信(模块局)机房、消防电梯机房等。其配电柜(箱)需敷设专用线路。计算机网络机房的双电源末端自投电源质量应按照A 级标准进行设计和施工。即采用三相五线制和单相三线制,在稳态下,应达到电压380V±2%(220V±2%),频率50±0.2Hz,波形失真不大于5%,瞬时断电时间小于4ms。并且,根据用电设备对供电的要求,增加UPS 不间断电源。
UPS 供电系统的可靠性是指供电回路设计和UPS 设备选型两个环节:
(1)高质量的UPS 电源设备其单机平均无故障时间MTBF ≥ 35 万小时。当采用双机并联冗余设计时,其MTBF 可达47 万小时以上。
(2)供电回路设计是指变电所出线——UPS 电源室——最终用电负荷的整个环节都必须可靠,机房总进线系统供电设计。
UPS 供电的每个环节,需采用高质量的开关、选用高品质的UPS 电源设备、系统组成设计合理、线路保护措施得当。尤其是UPS 馈线分配机柜以后的各环节更重要。全部的敷设电缆,要用金属线槽或金属管保护。
UPS 配电系统的供电范围是计算机设备(主机和附属设备)、通信设备、网络设备、保安监控设备、消防系统、应急照明等。UPS 输出配电回路需按机房内设备要求设置,小型机/ 服务器、网络核心交换机及重要路由器要由双回路供电,其他计算机设备可用一个回路带3~4 个插座,固定于地板下。UPS 供配电系统的可靠性,最主要应体现在采用双电源末端互投上。之所以强调双电源末端自投,是因为前端互投的可靠程度和实用性上的不方便等原因。有时大型机房的UPS 输出配电柜均设在地下一层,主机房则在地上三、四层。一旦电源故障,手投操作都十分麻烦,故障检修更是困难,零地电压偏高或超标。因此,将两路UPS 电源分别送到主机房配电柜即可靠,使用上又方便。配电回路中要预留若干个插座待以后扩展用,安全插座型号、数量及位置可根据最终机房内设备数量考虑。致UPS 主机的电源应设计单独回路馈送,不得与空调使用同一回路。
UPS 电源的蓄电池支持时间在各类工程实践中长短不一,大容量的UPS 电源蓄电池占地面积大、投资高、维护复杂。在建设中不要有越大越多越好的想法,要建立够用就好的观点,尤其在大型机房工程中更为重要。在电子信息系统机房设计规范送审稿附录1 中指出:当有柴油发电机作为后备电源时,UPS 电源的蓄电池支持时间不少于10分钟。
3.网络系统机房防雷接地系统
机房电源系统的防雷设计,必须满足《建筑防雷设计规范》(GB 50057-94 2000 版)和《建筑物电子信息系统防雷技术规范》(GB50343-2004)的相关要求。
建筑物的雷电防护是分区的,除屋顶天线以外的智能化设备大都在LPZ1 以内,一般情况下机房处于LPZ2 区域。低压电源系统最易受到雷电的干扰,产生瞬间过电压现象,影响设备的正常运行甚至损坏设备。因此,为了保护设备的安全,首先应该对设备的电源系统施以保护,采取措施将可能产生的各种电源扰动在设备能够承受的范围之内,并通过SPD 浪涌保护器将浪涌电流引入接地网络。
机房电气接地系统较为复杂,一般来说有四种:
(1)交流工作接地,接地电阻不应大于4Ω ;
(2)安全工作接地,接地电阻不应大于4Ω ;
(3)直流工作接地,接地电阻应按计算机系统具体要求确定;
(4)防雷接地,应按现行国家标准《建筑防雷设计规范》执行。
目前,可行而又经济的接地方法,是将交流接地和安全工作接地合二为一,与直流接地,防雷接地分别用三根接地引线引至大楼的地面总等电位连接箱,再将它们引至避雷地桩形成综合接地网。这样他们就有同样的电位,在发生雷击时,不会发生雷电反击而损坏设备。只要接地电阻小于1Ω,就可保证接地线间不产生电位差、不相互干扰。这是工程上最常见的做法。为了保证接地电阻小于1Ω,我们将采用优质的接地体和引下线,根据实际情况综合运用深埋、添加降阻剂、增大接地线横截面面积、增加接地体数量等方法来降低接地电阻,以达到国家标准的要求。
若防雷接地一定要单独设置接地装置时,其余三种接地宜共用一组接地装置,其接地电阻不应大于其中最小值,并应按现行国家标准《建筑防雷设计规范》要求采取防止反击措施。但是,交流与安全工作接地、防雷接地、直流接地分开的方式存在一个问题,在发生雷电反击时,容易损坏设备。必需使防雷接地与其他两种接地间有一定的距离,方可避免雷电反击的破坏。由于直流接地与其他接地是分开的,来自其他接地线的干扰也可消除。但重新打接地地桩,费用比较高,而且一般建筑物受周围环境的,另外找地桩有一定的困难。
在TN-S 系统中,交流工作地和安全保护地分别取自电源供电线上的N 线和PE 线。联合接地的电阻一般都要求满足R < 1Ω 的规定。据有关调查材料报道:北京、上海、重庆、深圳和海南的一些高层建筑项目,它们的联合接地电阻大都为0.2Ω ~ 0.5Ω,某些高层建筑个别测试点接地电阻值最大不过0.8Ω。联合接地电阻不应大于1Ω 的要求,是设计规范要求的一个最低限值,在具体工程中应越小越好。如达不到要求,应增加接地体数量或采取人工降阻措施来满足实测要求。
主机房内的电子信息设备必须进行等电位连接, 采用M 型或SM 混合型等电位连接时,每台电子信息设备应有两根导体与等电位连接网络连接。电位连接网络的铜带(30mm×3mm) 或裸铜线截面要大于25mm,并在防静电地板下构成边长0.5mm×50mm 的矩形网格。
机房供电线路敷设施工中,有些与防雷/接地系统有关的问题必须予以注意。
首先,由变电所引至机房的主馈线电缆有两种接法:
(1)当变电所与机房处于同一建筑内时,由变电所低压柜引出的馈线,进机房UPS 电源管理间的电缆采用三相五线(3L+N+PE)绝缘防火电缆。
(2)当变电所与机房处于不同的建筑内时,由变电所低压柜引出的馈线,进机房UPS 电源管理间的电缆可采用三相四线(3L+N)绝缘防火电缆,在入户处做重复接地,并在此后变为三相五芯,引出的PE 线联至各级设备。
其次,电源电缆PE 线在电源管理间的互投切换箱内,需作辅助等电位接地端子排。一定要做直流地的程控交换机房和计算机网络设备机房,在总体规划时,要邻设于计算机机房。电源交流工作地和安全保护地取自计算机机房电源管理间,单独从变电所总等电位接地母排上,用截面积不于16mm2 的绝缘防火电缆,引至有直流接地的机房,在设有专用金属接线箱内,做直流接地端子排,供直流地设备端接使用。变电所总等电位接地母排应设避雷器、放电间隙或浪涌电压抑止器等保护装置,以防雷击时接地装置电位升高,通过接地线反击电气设备,引起直流地电位较大波动而导致电子设备工作失常。
另外,凡外露的正常状态下不带电的电子计算机系统设备金属壳体,必须与保护接地装置可靠连接。接地装置焊接应当牢固,需涂复部分涂层要完整,交流电源线路不要与直流工作地线紧贴平行敷设。
在工程的设计阶段,有时不知道信息系统的规模和具体位置的情况下,若预计将会有信息系统,应在设计时就将建筑物的金属支撑物、金属框架或钢筋混凝土的钢筋等自然构件、金属管道、配电的保护接地等与防雷装置组成一个共用接地系统,并应在一些合适的地方预埋等电位联结板。
整个供电系统的接地与工程的联合接地牢固联通,R ≤ 1Ω。设备本身的保护地线设备自带,与机壳联好后,也与联合接地联通,电池组也应当合理配置并有方便可靠的维护措施。
(五)主要设备的性能指标
1 Quidway® S9300系列T比特核心路由交换机
Quidway® S9300系列是华为公司面向以业务为核心的网络架构而推出的新一代高端智能T比特核心路由交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供业务流分析、完善的QOS策略、可控组播、一体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。
Quidway® S9300系列广泛适用于广域网、城域网,园区网络和数据中心核心、汇聚节点,帮助企业构建面向应用的网络平台,提供交换路由一体化的端到端融合网络。
Quidway® S9300系列提供S9303、S9306、S9312三种产品形态,支持不断扩展的交换能力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念,最小化备件成本,在保证设备扩展性的同时最大限度地保护用户投资。此外,S9300作为新一代智能交换机采用了多种绿色节能创新技术,在不断提升性能及稳定性的同时,大幅降低设备能源消耗,减小噪声污染,为网络绿色可持续发展提供领先的解决方案。
S9303 S9306 S9312
产品特点
先进交换架构提升网络扩展性
S9300采用先进的分布式交换技术,提供业界最大整机交换容量和槽位带宽。
创新的交换速率自适应技术,支持单端口速率40G、100G平滑升级,同时完美兼容现网板卡,保护初始投资。
背板通流能力充分考虑未来带宽升级对整机电源功率和散热需求,数据总线预留升级高速交换网能力。
超高万兆端口密度,单台设备支持576个万兆端口,助力企业园区和数据中心迎来全万兆核心时代。
创新的三平面架构设计
S9300在传统交换机数据转发、管理控制双平面基础上创新地增加了的环境监控平面,实现对单板、风扇和电源配电模块的监控、管理和维护。
业界首创的环境监控板,采用华为自主知识产权的高集成度中控芯片,实现硬件级的按流量动态调整功率、风扇分区控制、风扇智能调速、端口休眠技术等多项节能技术,在提升系统性能的同时大大降低整机功耗。
支持环境监控与网管联动,实现全面可视化管理。
创新的三平面设计
运营级高可靠性设计,保障企业应用永续运行
9300具备超越5个9的运营级高可靠性,主控、电源、风扇等关键部件采用冗余设计,所有模块均支持热插拔。基于分布式的硬件转发架构,路由平面和数据交换平面严格分离,保证业务流永续畅通。
的故障检测定位硬件,提供3.3ms高精度硬件级以太OAM功能,实现快速故障检测与定位,与其他倒换技术联动可有效保证毫秒级网络保护。
能够在冗余控制引擎间实现无缝切换,设备优雅重启无中断转发。支持ISSU业务无缝升级,减少关键业务和服务中断。
支持Enhanced-Trunk(E-Trunk)功能,实现跨设备链路聚合,二层组网环境中跨设备链路聚合无须运行破环协议,提高设备链路利用效率的同时避免单点故障。
支持IEEE 802.3ad链路汇聚、IEEE 802.1s/w和虚拟路由器冗余协议(VRRP),同时支持丰富的毫秒级倒换技术如RRPP、Smart Link、IP FRR、TE FRR、VPN FRR等,实现运营级级高可靠性。
集群CSS(集群交换系统)
通过CSS集群虚拟化技术,将集群主机虚拟成一台逻辑设备,实现整个集群系统控制信息共享和路由、组播表项同步。
CSS集群技术可以有效提高单台设备的带宽,满足高密万兆园区核心与大容量数据中心对核心交换设备的带宽吞吐要求。
CSS集群技术可以提高系统的可靠性。S9300 CSS集群创新性采用交换网集群技术,克服了业界普遍采用的线卡集群跨框多次交换,交换效率低下的架构难题。采用交换网集群技术可以将集群主机交换网拉通,集群不占用线卡槽位,并提供业界最大的256G集群带宽,同时可以通过跨框链路聚合提高链路的利用率,并消除单点故障。
CSS集群可以简化核心层的网络管理,整个集群系统共用同一个虚拟IP,减少设备网元,简化网络拓扑管理,提高运营效率,降低维护成本。
运行中软件升级ISSU保障网络无中断运行
ISSU可以在设备软件升级过程中,减少系统业务中断时间,显著地提高设备的可靠性。真正使企业网络具备“全天候”提供业务能力,实现设备软件升级流量“零”割接,应用不中断。
S9300提供无损升级、有损升级和快速重启三种ISSU升级方式,系统可自动比较新旧版本各个模块间差异,给出升级方式建议,供用户选择。
支持ISSU升级失败时自动回退(Auto-Rollback)版本,线卡采用新旧版本进程备份技术减少ISSU中断应用的影响 。
完善的QOS机制
S9300提供高品质的QOS(Quality of Service)能力,支持Layer2~Layer7的流分类技术,具备完善的队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满足不同用户、不同业务等级的服务质量要求。
S9300提供层次化QOS(H-QOS)调度机制,通过在不同业务等级上分别设置单独调度器,进一步精细化流量QOS特征,保障相应业务的服务质量。支持面向接入侧的多级H-QOS调度机制,多样化,差异化满足大型企业园区不同层次用户设备的业务需求。
全业务以太交换平台
支持分布式L2/L3 MPLS VPN功能,支持MPLS、VPLS、HVPLS、VLL,满足企业VPN等用户的接入需求。
支持多种速率WAN子卡,满足广域接入的需求。
具备线速的跨VLAN组播复制能力,实现端口满负荷复制,满足多终端视频监控和视频会议接入需求;完善的二、三层组播协议,可作为组播复制点和控制点,提供高性能的IP组播视频和音频应用。
多协议L3路由支持满足了传统的网络要求,支持从中小企业到超大型公司级大规模路由表,支持IPv6,能够为企业网络提供平滑升级能力。
支持主流的时钟方案,包括以太网同步时钟,以及IEEE1588时钟同步。
支持标准POE,满足15.4W和30W标准POE供电规格,满足企业在线供电业务需求。
虚拟化数据中心交换平台
S9300 CSS集群虚拟化技术,满足数据中心对核心、汇聚设备大容量、高可靠、海量吞吐的要求。首创交换网集群,大容量集群数据交换无阻塞,分布式跨设备链路聚合技术,有效利用数据中心内部带宽资源,实现数据中心内部数据交换对物理链路无感知。
针对大型分布式计算数据中心业务模型,专门设计大缓存线卡,支持单端口200ms数据流量缓存,解决分布式计算网络瞬间流量过大丢包问题。
每板最大K硬件队列,支持精细化QOS和流量管理,利用多种队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满足不同用户、不同业务等级的服务质量要求,准确地按需配置给不同用户、不同业物流分配不同的优先级和队列,保证不同的带宽、业务延迟和抖动性能需求。
高性能IPv6业务能力
S9300软硬件平台均支持IPv6,取得工信部IPv6入网认证和IPv6 Ready第二阶段金色认证。
支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv6静态路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6组播,满足IPv6组网和IPv4/IPv6混合组网要求。
智能流量负载均衡
S9300负载均衡器能够保证服务可靠性,提高服务响应速度,方便业务灵活扩展。
S9300负载均衡器支持加权轮询、基于连接数、加权IP地址Hash和基于HTTP URL的Hash等多种均衡调度算法,全面满足客户负载均衡要求。
门户网站服务器经常会遇到在同一时间大量针对同样网页、服务的请求,服务器针对请求会频繁建立、拆除TCP连接,耗费大量CPU资源,影响服务器响应速度。S9300负载均衡器支持TCP和HTTP重用,减轻服务器拆除/建立TCP连接的负载,提高服务器访问效率。
S9300负载均衡器支持动态“锁流”技术,满足电子商务网站在线购物负载均衡需求。
强大的网络流量分析能力
S9300支持随板分布式和专用处理线卡集中式网络Netstream业务分析功能,满足用户对网络流量实时采集、分析需要。
支持NetStream V5/V8/V9多种分析报文格式,支持聚合流量模板,减轻网络采集器系统压力,支持实时流量采集、动态报表生成、属性分析、流量异常告警等功能。
帮助客户对网络流量进行实时监控、现网设备吞吐分析,为优化网络结构、科学合理扩容提供决策依据。
周密的安全设计
内嵌集中式防火墙板卡,支持虚拟防火墙与NAT多实例,满足多VPN客户共用防火墙组网环境。动态黑名单主动防御技术实现蠕虫病毒防范、抵御拓扑探测、IP扫描和端口扫描攻击防护,为企业打造安全内网环境。应用层包过滤技术(Application Specific Packet Filter)对应用层报文内容进行复杂规则检测,支持SIP、QQ、MSN、H323、SMTP、RTSP、FTP、HTTP多种应用层协议。防火墙热备份,增强网络可靠性与抗攻击能力。
支持完善的AAA(Authentication,Authorization and Accounting)机制,根据策略对接入用户进行认证、授权和计费。支持802.1X、Portal、Guest VLAN,支持用户动态接入认证,与其他主流厂商的NAC互通。
支持路由协议加密、MAC地址过滤、动态ARP检测、ACL等等一系列安全特性,可以为服务提供商以及网络的最终用户提供数据保护。基于硬件的包过滤和采样,可实现高性能和高扩展性。
提供2级CPU保护机制,支持1K CPU硬件保护队列,可实现数据和控制的分离处理,防止拒绝服务攻击、非法接入以及控制平面过载等安全威胁,提供业界领先的一体化安全解决方案。
六项创新节能技术,省电30%
首创的“变流”芯片,实现按流量动态调整功率,降低功耗8%。
独特的“旋转”风道设计,提高整机散热效率,降低功耗3%,同时整机出线能力提高6倍。
采用颗粒化、小功率的模块化设计思路,提高电源系统的转换效率,电源按需配置,保护用户投资。
风扇分区控制,进一步降低功耗和噪声污染。
采用智能风扇调速策略,监测全系统关键器件温度,采用小区间控温技术,可以有效降低转速,并延长风扇使用寿命。
支持端口休眠,无流量不耗电。
归一化平台设计,最小化备件成本
S9300设计上采用了业界最先进的散热架构设计,在满足设备大容量的同时解决整机散热的难题,实现了单机柜业界最大设备端口密度。
S9300全系列产品整机高度归一化设计,电源、风扇、环境监控板等全部通用,减少备件种类,节省用户投资。
采用自主节能芯片,高效节能管理平台,能效比业界领先。
2 Secospace USG5000 系列
USG5000统一安全网关采用领先的嵌入式多核架构,传承多年在通讯、网络领域的研发、设计能力,满足各种严苛的国际认证规范,提供高可靠性保证。基于Symantec的先进的IPS、AV检测技术和丰富的特征库,检测率高达99%以上,在零配置的前提下,实现强大的安全防护能力。
高性能、高稳定及高接口密度的硬件平台配合成熟稳定、模块化设计的软件系统,使得USG5000统一安全网关完美的将防火墙、攻击方面、VPN、无限NAT扩展、IM控制、P2P限流等多项安全功能基于一身,并可通过购买License的方式获得IPS、反病毒、URL过滤等高级安全扩展功能。
产品特点
技术领先——真正安全
融合赛门铁克先进的IPS和反病毒技术,涵盖21种解压算法,支持业界主流的50多种容器文件类型,整合虚拟引擎、脚本解析引擎、PDF引擎等独特引擎技术,融合数十种反躲避检测技术,配合持续更新的特征库,铸就99%以上的检测率,真正安全。
部署简单——真正易用
图形化友好的设备管理、配置界面,大大缩减用户的命令行学习时间,点击鼠标配合少量的键盘输入即可实现设备的管理和配置。同时,IPS功能还支持默认策略零配置,在保证零误报率的前提下,避免了设备部署时大量、反复的调测工作,实现设备快速部署,真正易用。
精准识别、实时控制——保障高效工作
URL过滤功能拥有超大型、持续更新URL分类库,7种语言3支撑、40000万网络域名监控,96%以上的精准识别,有效过滤恶意、无关网站;P2P限流功能同样拥有业界领先的识别率,对于业界主流50多种P2P协议均可精准识别,对于新的P2P协议及变种持续关注并及时提供设备更新,结合灵活的策略配置,实现精准识别、实时控制,有效保证用户网络带宽有效利用。
强劲的DDoS攻击防范——防护边界、业务安全
DDOS攻击防范功能基于强劲的“每秒新建连接数”指标,对于DDoS攻击的防护能够达到每秒数百万包以上,可以有效的防护网络边界安全,为用户业务系统提供保障。强大的协议分析能力,可支持对SYN FLOOD、UDP FLOOD、ICMP FLOOD、DNS FLOOD、ARP FLOOD、HTTP FLOOD 等多种DDoS攻击和其他攻击种类的准确识别和防御,同时还能提供蠕虫病毒流量的识别和防范能力。结合华为赛门铁克公司专有的ICA智能连接算法,保证在准确识别攻击的同时不影响用户的正常业务,实现在复杂网络环境下的真正安全防护。
专业安全能力中心——持续增值客户投资
华为赛门铁克科技有限公司拥有业界一流的安全问题分析研究团队,在全球部署多个攻防实验室、密网和蜜罐系统,检测超过10000G的网络流量,监控4000万网络域名,实时了解最新的安全威胁、攻击等信息,并提取相关特征支撑产品7X24小时更新,维持产品的高安全性,保证客户投资的持续增值。
3 Quidway® S2300系列运营级接入交换机概述
Quidway® S2300系列交换机(以下简称S2300) 是华为公司推出的新一代以太网智能接入交换机,面向IP城域网和企业网,满足以太网多业务承载以及各种以太接入场景。S2300基于新一代高性能硬件和华为VRP®(Versatile Routing Platform)软件平台,可为用户提供丰富灵活的业务特性,有效地提高产品可运营、可管理和业务扩展能力,具备优异的防雷能力和安全特性,支持强大的ACL功能,支持QINQ,支持1:1和N:1 VLAN 交换功能,满足VLAN灵活部署的需求。
产品特性和优势
∙免维护,易部署,易管理
S2300支持自动配置,即插即用,大大降低维护成本;采用全新工艺,无风扇设计,减少机械故障点,免除凝露腐蚀和尘土侵害(根据经验值风扇失效约占整机失效33%),能有效降低53%维护率。
S2300支持自动批量远程升级,易于使用和部署;支持SNMP v1/v2c/v3, CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式,设备管理更灵活。此外,还支持HGMPv2、NTP、SSHV2、HWTACACS+、RMON、基于端口的流量统计;支持NQA网络质量分析,有利于用户进行网络规划和改造。
S2300支持GVRP,实现动态分发、注册和传播VLAN属性,从而达到减少网络管理员的手工配置量及保证VLAN配置正确的目的。GVRP是一种VLAN的动态配置技术,在复杂的组网环境中应用GVRP,能够简化VLAN配置管理,减少因为配置不一致而导致的网络互通问题。
S2300采用“一次进站”式方案,便于部署升级和业务发放,简化后续的管理和维护性能。
∙静音节能,辐射低
S2300采用新一代高集成芯片节能电路设计,均衡散热,支持空闲端口休眠,节省电源功耗;无风扇设计,无噪音,功耗进一步降低,比同类产品低40%,仅相当于一只节能灯;辐射低,达到家用电器辐射标准,对人体无危害,适合放置于小区交接箱内,更加环保节能。
∙强大的防雷能力
S2300采用华为公司专利的内置防雷技术,可以有效抵御感应雷击过电压,所有端口均可以满足IEC61000-4-5 10/700us 6KV的防雷能力。在实际应用中,相对于常规设计,即使在恶劣的应用环境下,甚至无法实现有效接地的场景,也可以大大降低设备的雷击损坏率。
∙基于VLAN的业务控制
S2300-EI支持丰富的ACL策略控制,特别支持基于VLAN下发ACL规则,实现VLAN内多端口的灵活控制和统一资源调度。
S2300-EI支持1:1 VLAN交换功能,实现IPTV业务中家庭网关零配置;同时,S2300在业界率先支持N:1 VLAN交换功能,在用户接入侧实现了VLAN聚合,精简了VLAN数量。
S2300-EI支持QinQ,能将用户私网VLAN标签封装在公网VLAN标签中,使报文带着两层VLAN Tag穿越运营商的骨干网络。
S2300支持多种VLAN划分方式:支持基于端口划分VLAN,可以明确指定各个端口属于哪个VLAN;同时也支持基于MAC地址划分VLAN,可以满足对安全和移动性需求较高的网络应用场景。
∙丰富的组播功能
S2300支持丰富的二层组播复制功能,包括IGMP Snooping、IGMP Filter、用户快速离开、捆绑端口的组播负载分担;支持基于端口的组播速率和流量统计,充分满足IPTV运营需求。
∙完备的QoS策略
S2300支持基于VLAN、MAC地址、IP协议、源地址、目的地址、优先级、或应用程序的端口,实现复杂流分类功能;支持基于流的限速功能,保持各个端口的线速转发,有效地保证高品质的话音、视频和数据等网络业务质量;每个端口支持4个队列,支持WRR、SP、WRR+SP多种队列调度算法。
∙卓越的安全特性
S2300系列交换机提供多种用户安全保护功能。
支持通过建立和维护DHCP Snooping 绑定表,侦听接入用户的MAC/IP 地址、租用期、VLAN-ID、接口等信息,解决 DHCP 用户的IP 和端口跟踪定位问题。同时,对不符合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址等)直接丢弃,有效防止黑客或攻击者通过ARP报文实施园区网常见的“中间人”攻击。利用DHCP Snooping 的信任端口特性还可以保证DHCP Server 的合法性。
S2300支持ARP表项严格学习功能,可以防止因ARP欺骗攻击将交换机ARP表项占满,导致正常用户无法上网。同时,支持IP Source Check 特性,防止包括MAC 欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒带来的DOS攻击。
S2300支持集中式MAC地址认证和802.1x 认证及NAC功能,支持用户账号、IP、MAC、VLAN、端口、客户端是否安装病毒防范等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发。
S2300支持基于端口的源MAC地址学习功能,有效防止用户源MAC欺骗冲击设备MAC表项,导致正常用户无法学到MAC表而泛洪的问题等。
∙POE特性
S2300 PWR系列交换机可以通过配置不同功率等级的POE电源支持PoE(Power Over Ethernet)功能,即可通过网线向远端下挂PD设备(如IP Phone、WLAN AP、Security、Bluetooth AP等)提供-48V直流电源,实现对下挂PD设备远端供电。作为供电方PSE(Power Sourcing Equipment)设备,支持IEEE802.3af及802.3at (POE+)供电标准,同时兼容不符合802.3af及802.3at标准的PD(Powered Device)设备。其中802.3at单端口供电功率高达30W。POE+功能提升了单端口的最大功率,实现了支持at标准大功率应用的智能化功率管理,有效方便了客户的应用。同时支持绿色PoE节电应用模式。S2300 PWR全系列交换机支持完善的POE解决方案,用户可灵活配置POE端口是否供电以及何时供电。
∙良好的可扩展性
S2300系列交换机支持智能堆叠 iStack功能,完全即插即用,插好堆叠线缆即可自动组建堆叠虚拟框式架构。堆叠成员分为主、备、从三种角色。新增备交换机之后减少了主交换机故障引起的业务中断时间。支持智能升级,排除用户给堆叠扩容时为新加入交换机更换软件版本的烦恼。堆叠技术允许交换机利用互联电缆实现多台设备的扩展,单一IP管理,大大降低系统扩展以及运维的成本。与传统组网技术相比,在扩展性、可靠性、整体架构等性能方面均具有强大的优势。
4 Secoway eLog
Secoway eLog是一套智能、高效、高可靠、高安全、高扩展的日志管理与安全审计系统,支持华为全系列、业界主流厂商(Cisco、Juniper、Checkpoint)的安全设备、网络设备和操作系统、数据库、Web服务器的日志采集、分析、关联、审计、告警、存储、查询和报表。
产品特性
全面的设备支持,为客户提供统一日志管理
∙华为的安全设备(Firewall、UTM、IPS、IDS、VPN、DPI)、BRAS设备、路由器、交换机。
∙主流厂商(Cisco、Juniper、Checkpoint等)的安全设备、路由器、交换机。
∙操作系统(Windows、Linux、Unix)、数据库(SQL Server、Oracle、DB2、Sybase、Informix)、Web服务器(IIS、Apache)。
智能的审计关联技术,保障应用系统安全
用户根据异常行为审计模板和高危操作审计模板下发审计策略,监控安全事件发生;可针对一组设备下发关联审计策略,将用户登录登出过程中的所有操作行为关联为一个会话,并进行监控回放,实现有效行为审计。
有效的用户行为监管,帮助客户掌控内网用户行为和外部入侵攻击行为
通过旁路部署探测设备实时对用户的HTTP、FTP、Telnet和数据库操作进行还原和审计分析,结合华为UTM设备对入侵防御、病毒检测、阻挡服务、URL审计、邮件审计、即时消息、股票、游戏、P2P等应用情况进行监控,及时跟踪网络用户行为,有效监管内部用户行为。
精确的NAT日志管理,满足司法、审计部门要求
对防火墙、BRAS设备、路由器提供NAT日志管理功能,帮助用户精确地NAT追踪,满足法律法规要求,为司法、审计部门调查取证提供依据。
以客户为中心,强大的快速响应的定制化开发能力,具有高度扩展性,保护客户投资
结合客户的业务特性和要求,快速定制开发满足客户需求的功能或者支持新的设备类型和日志类型,通过在线升级支持新设备日志的分析;提供NAT日志的Web服务接口,第三方程序调用。
精细化的日志分析能力,全面展现设备运行状态
提供包括攻击防范、流量监控、黑名单、地址绑定、操作命令、防火墙登录、包过滤、内容过滤等日志分类,并能针对防火墙超时、攻击防范、接口状态和异常流量、日志级别和关键字进行告警,让用户及时了解网络的威胁或异常的行为。
强大的统计分析能力,提供度报表,满足法律法规要求
通过精细化的日志分析和统计,从时间、日志类型、流量、安全特性、用户、法规顺应性等多个维度提供丰富报表,方便用户了解流量信息、攻击状况,掌控网络状况,轻松完成对安全设备和网络设备的日志管理,同时提供系列审计报表,满足法规顺应性需求。
实时的、灵活多样的告警响应与完备的告警管理,使管理员准确掌控异常状况
提供Email告警、短信告警、声光告警、声音告警等多种告警响应方式,实时检测符合告警策略的事件,及时告警并生成告警事件,管理员可在线监控和查询告警事件,准确掌控异常状况。
多样的日志采集方式,不影响业务系统
支持Syslog、SNMP Trap、OPSec、FTP/SFTP、WMI和JDBC采集方式。对操作系统、数据库、服务器的日志采集采用主动获取方式,无需安装代理程序,消除客户后顾之忧。
人性化的日志查询方法,节省时间,提高工作效率
提供在线查询和任务查询模式,在线查询可以即时转换为任务查询,供用户灵活选择。
高安全性,保证系统自身安全
对日志数据进行保护和校验,保证日志的原始性和完整性;基于角色的访问控制,采用三权分立原则和HTTPS访问协议,保证权限、访问和数据传输安全。
满足电信级可靠性要求
使用被动收集方式的日志采集器支持N to 1备份,当采集器故障可自动切换,保证数据不丢失;提供缓冲机制,保证数据不会因为网络短期故障而丢失;自动记录故障或异常状态变化,系统异常终止可自动启动,保持系统正常运行;提供日志备份恢复功能,应对自然外力。
高日志处理性能,应对高速数据流量
对流日志处理均值为250,000EPS,峰值可达300,000EPS;对文本日志处理均值为8,000EPS,峰值可达9,500EPS,通过增加硬件设施提高处理性能,满足数据处理要求。
海量日志存储能力,满足客户对日志的存储要求
支持外接磁盘阵列或者级联扩展磁盘阵列的方式,通过成熟的存储解决方案实现海量日志存储。
灵活组网部署,不影响现有网络结构
提供集中式、分布式组网方案,根据网络结构和客户要求灵活部署。
5思科(Cisco)WAP200 Wireless-G
产品概述
RangeBooster 技术是一项针对标准 Wireless-G 的可兼容插件,它能够使无线网络的覆盖范围增加将近一倍,使其吞吐量提高达 35%。与易受信号反射干扰的普通无线网络技术不同的是,RangeBooster 在每一端使用两个智能接收器,在标准技术为力的距离检测和解码反射的信号。您会发现无线覆盖区域的“盲点”同样得以减少。
高级安全功能使此解决方案非常适合于您的企业。使用 Wi-Fi 保护访问 (WPA2) 和高达 256 位加密的高级无线安全功能,以及无线安全监控功能,为您的企业提供所需的可见性和保护。当与 Cisco® WUSB 200、WMP200 或 WPC200 无线适配器一起使用时,无线安全监控功能会向您预警可能的无线入侵者和无线部署中的漏洞,给您带来拒绝服务攻击所需的可见性。
Cisco WAP200 Wireless-G 接入点(图 1)使您能够将 Wireless-G (802.11g) 和 Wireless-B (802.11b) 设备连接到有线网络,从而无需借助电缆即可将 PC 添加到网络。以太网供电 (PoE) 支持功能使接入点易于安装 —— 您可以随时随地安装接入点,甚至不需要使用电源插头。凭借另一端相应的 PoE 支持功能,您只需将一根电缆连接到接入点,即可传输数据和电源。当然,如果附近有可供使用的电源,您还可以使用交流适配器。
而且,集成的服务质量 (QoS) 功能能够给有线网络和无线网络带来一致的语音和视频质量,实现企业级质量的 IP 语音 (VoIP) 和视频应用程序部署。
多个基本服务集标识符 (BSSID)、无线漫游和自动频道选择等其它功能,使此解决方案非常适合于您的企业。
功能
·10BASE-T/100BASE-TX 以太网端口、自动适应半双工/全双工以及媒体相关接口 (MDI) 和 MDI 交叉 (MDI-X)
·与 802.11b 完全反向兼容
·易于安装和配置
·支持有线等效保密 (WEP)、WPA 预共享密钥 (WPA-PSK)、WPA2-PSK、WPA-ENT 和 WPA2-ENT 身份验证 (802.11i ready)
·采用具有 1x2 多路输入、多路输出 (MIMO) 功能的拆卸式双极天线增加覆盖范围
·支持 PoE 或外部直流电源
·支持 4 BSSID 和 802.1Q VLAN 与服务集标识符 (SSID) 的映射
·支持简单网络管理协议 (SNMP),具有直观的基于 web 的界面
·支持 Wi-Fi 多媒体 (WMM) 无线 QoS,可升级到 802.11e
·支持基于 802.11F(接入点间协议 [IAPP])的无线漫游
·支持接入点、桥接模式和中继器模式
·支持无线安全监控(与 Cisco WUSB 200、WMP200 或 WPC200 客户端卡一起使用)
·支持无线客户端隔离
| 主体 | |
| 品牌 | 思科 LINKSYS by Cisco |
| 型号 | WAP200 |
| 类型 | 无线路由 |
| 无线路由器规格 | |
| 无线传输率 | 108、54、48、36、24、18、12、9、6、11、5.5、2、1Mbps |
| 传输标准 | IEEE802.11g,IEEE802.11b,IEEE802.3,IEEE802.3u,IEEE802.3af (Power Over Ethernet), 802.1p (QoS priority),802.1q (VLAN), 802.1X (Security Authentication),802.11i - Ready (Security WPA2), 802.11e - Ready (Wireless QoS),802.11F (Wireless Roaming) |
| 安全标准 | WEP 位/128位、WPA-PSK、WPA2-PSK、WPA-ENT、WPA2-ENT |
| 天线 | 天线增益:2dBi |
| 电源 | 12 VDC |
| 尺寸 | 170 x 205 x 195mm |
产品特性
优化的性能功耗比,利用最新处理器的速度以及更大内存容量
创新的节能智能型 2U 设计有助于降低运营成本
借助可轻松部署、集成、维护和管理的高度可扩展、灵活设计改善服务
利用弹性架构和虚拟化环境简化风险管理
硬件概要
2U 机箱
最多两个英特尔® 至强® 5500/5600 系列处理器,采用 QuickPath Interconnect 技术。
最大 192GB DDR3 RDIMM 或 48GB DDR3 UDIMM
最多 16个 2.5英寸热插拔 SAS/SATA 或固态硬盘驱动器
多达 4个 PCI-Express 插槽
支持可选的 VMware ESXi 4.0 嵌入式虚拟化管理程序
| 特性 | 优势 |
| 2U 机架 | 在紧凑的机箱设计中提供可扩展性和卓越性能 |
| 高性能、节能的六核 英特尔® 至强® 5600 系列处理器(高达 12MB三级缓存)、采用 QuickPath Interconnect(QPI)技术 | 借助更高的处理性能提高工作效率 借助出色的性能功耗比降低成本 高达 1,333MHz 内存访问速度 六核处理能力提供显著的性能增益 借助高达 12MB 三级缓存和 12个内核实现卓越的处理器性能 最大化多线程应用程序以实现更快的并发执行 降低整体系统功耗要求 大容量缓存、可进行更多的事务处理 |
| 高速 1,333MHz DDR3 RDIMM 内存,高达 18个内存插槽(最大 192GB DDR3 RDIMM 或 48GB DDR3 UDIMM1) | 支持 2GB、4GB、8GB 或 16GB1DDR3 RDIMM(18个内存插槽可用)或者 2GB 或 4GB1 DDR3 UDIMM(12个内存插槽可用) 内存可扩展性非常适合于计算密集型、通用商业应用程序和虚拟化环境 高性能 DDR3 RDIMM 或 UDIMM 内存能够匹配高性能的英特尔®至强® 5600 系列处理器 与前几代产品相比、DDR3 功耗更低、支持1.5V 或 1.35V 内存 支持比上一代内存更快的总线速度和更高的峰值吞吐量 内存镜像允许系统在一个内存条发生故障时继续运行、从而帮助客户提高系统和应用程序的可靠性 交叉存取内存可提高应用程序性能 |
| 支持 VMware ESXi 4.0 嵌入式虚拟化管理程序(可选) | 创新、精简的虚拟化管理程序架构于操作系统、并且能够优化虚拟化性能 集成在服务器硬件中、有助于提供兼容、经过预测试和优化的硬件配置 针对远程管理工具和行业标准协议(例如 CIM)而优化 |
| 支持最多 16个 2.5英寸热插拔 SAS, SATA 或 SSD 固态硬盘驱动器 | 提供多种经济的存储解决方案来满足当前的存储需要和未来的扩展要求 高容量、高性能的 2.5英寸热插拔 SAS 硬盘驱动器是最符合企业服务器和存储的解决方案 支持可选的 50GB 固态硬盘驱动器、固态硬盘不含活动部件、具有更高的可靠性和性能 |
| 4个PCI-e x 16 第二代插槽 | 提供多种扩展选择并支持增强的I/O带宽、以提高性能和工作效率 可选择在向 PCI-e 标准过渡期间、利用现有的 PCI-X 适配器 |
| 支持 PCI-e | 利用标准 PCI-e 可获得比 PCI-X 133MHz 更快的互连速度 可选的 PCI-X 扩展卡可支持 PCI-X 适配器从而利用现有的 PCI-X 适配器 |
| 3Gpbs 或 6Gbps RAID 控制器(因型号而异) | 增强系统可用性和数据保护、而无需占用 PCI 插槽 提供以下可选的RAID 适配器(因型号而异): 3Gbps RAID0、1、1E 或 6Gbps RAID0、1(可选选件支持 RAID5)或 6Gbps RAID0、1、5,带 256MB 或 512MB 缓存(可选选件支持RAID6、可选电池备份) |
| IBM Systems Director 和 IBM Systems Director Active Energy Manager™ | IBM Systems Director 是一个综合的系统管理平台、可通过高级服务器管理功能来帮助延长正常运行时间、降低成本并提高工作效率 IBM Systems Director Active Energy Manager 可帮助提供高级供电通知与控制、监视功耗、降低散热成本 |
| IBM 矢量校准冷却技术™ | 帮助内部组件保持低温、进而保证系统的正常运行 |
| TCP-IP 卸载引擎(TOE) | 通过将协议处理工作从 CPU 卸载到单独的硬件引擎、从而提高系统性能 无额外收费的标配功能 |
| 热插拔的冗余电源和风扇模块 | 利用第二个热插拔电源消除可能的单点故障、从而延长系统与应用程序的正常运行时间 使服务器在单个风扇出现故障时仍能继续运行 |
| 下拉式光通路诊断面板 | 无需中断系统运行即可提供有关故障组件的信息 可加快硬件修复速度、从而大幅减少维修时间 |
| IBM 集成管理模块(IMM) | 通过持续监视系统和通知潜在的系统故障或变更来提高服务器的可用性 虚拟介质密钥提供全天候远程管理功能(可选) |
| 集成双口千兆以太网;可选两个额外的千兆以太网端口 | 通过节省适配器插槽的高效集成、可提高网络吞吐量和冗余度 可选的 NIC 不占用 PCI-e 插槽 |
| 统一可扩展固件接口(UEFI) | 最新的 BIOS 在 IBM 下一代服务器上通用、并且配置和部署非常简便 与上一代 BIOS 相比可提供更多功能、通过用于管理所有机器的通用基础架构提高易管理性 通过提供更快速的操作系统启动和重启提高服务器的效率 |
| 三年有限保修2 | 让您在更长的时间内免除后顾之忧 |
| IBM ServerGuide 软件 | 可协助安装操作系统和驱动程序 可使您的服务器更快速地启动和运行 简化 IBM System x® 服务器的安装和配置 |
| 外形/高度 | 机架式/2U |
| 处理器(最大) | 英特尔® 至强® 5500/5600 系列处理器, 最高英特尔®至强® 5600 系列六核处理器 3.33Ghz |
| 处理器数量(标配/最多) | 1/2 |
| 缓存(最大) | 4MB 或 12MB (根据型号不同) |
| 内存(最大) | 高达 18个内存插槽,最大 192GB DDR3 RDIMM 或 48GB DDR3 UDIMM(计划于 2010年 2季度支持) |
| 扩展插槽(I/O) | 4个 PCI-Express 二代插槽 |
| 磁盘托架(总数/热插拔) | 最多 16个 2.5英寸热插拔 SAS/SATA 或固态硬盘驱动器 |
| 最大内部存储容量 | 最高 8.0TB SAS,8.0TB SATA 或 800GB SSD |
| 网络接口 | 集成的双口千兆以太网(2端口标配,2端口可选) |
| 电源(标配/最多) | 1/2,675W 电源 |
| 热插拔组件 | 电源、风扇、硬盘驱动器 |
| RAID 支持 | RAID0、1,可选 RAID5 (根据型号不同,部分型号标配支持 RAID5) |
| 系统管理 | IBM IMM, Virtual Media Key 用于可选的远程呈现支持、预测故障分析、诊断LED、光通路诊断、服务器自动重启、IBM Systems Director 和 IBM Systems Director Active Energy Manager、IBM ServerGuide |
| 支持的操作系统 | Microsoft® Windows Server® 2008 R2 和 2008、Red Hat Enterprise Linux、SUSE Linux Enterprise Server 和 VMware ESXi 4.0 嵌入式虚拟化管理程序 |
| 有限保修 | 三年有限保修 |
主干网络虽然我们采用的设备可靠性非常高,但是为了防止意外情况如线缆断裂等,此方案容易产生单点故障,单个线路的传输可靠性还是有限的。我们建议主干网络增加防火墙和核心交换机个一台。使用双机冗余备份,进行热备份。核心到接入层交换机都采用双线备份,核心到防火墙,防火墙到防火墙,核心到核心都采用端口聚合既能提高核心的传输带宽又能起到线路的冗余备份。
在无线接入中,当用户移动,信号从一个AP到另一个AP的漫游时,势必会产生无线信号的重新检测、判定致使重新连接。为了避免此种情况,我们建议增加无线网络控制器。
(七)计算机网络系统设备清单
| 系统名称:2、计算机网络系统 | ||||
| 序号 | 设备材料名称 | 规格型号 | 单位 | 数量 |
| 1 | 核心交换机 | LEOKS9312 | 台 | 1 |
| LEOMSRUA | 块 | 2 | ||
| LEOMG48TA | 块 | 1 | ||
| LEOMG24CA | 块 | 1 | ||
| LEOMPSA08 | 台 | 2 | ||
| 2 | 接入交换机 | LS-S2326TP-EI-AC | 台 | 45 |
| 4 | 防火墙 | USG5350(4GE)-AC-带管理软件 | 台 | 1 |
| 5 | 业务版 | FW-U5000-FIC-2GE-RJ45&SFP | 套 | 1 |
| 6 | 模块 | 光模块-ESFP-GE-多模模块 (850nm,0.5km,LC) | 台 | 22 |
| 7 | VPN隧道 | ADD 10 VPN Tunnel | 个 | 1 |
| 8 | Secoway eLog日志管理系统 | eLog软件功能费用 | 套 | 1 |
| 9 | 安装光盘 | 台 | 1 | |
| 10 | 电子手册 | 套 | 1 | |
| 11 | x3650m3服务器 | 7945I05 | 台 | 1 |
| 42DO637 | 块 | 3 | ||
| 46M1075 | 台 | 1 | ||
| 12 | 无线AP | 思科WAP200 | 个 | 26 |
| 序号 | 设备名称 | 招标技术条款 | 投标技术条款 | 偏离说明 |
| 1 | 核心交换机 | 高可靠性:支持双重冗余、负载分担的可热拔插管理交换模块,提供冗余配置,达到高容错性;支持模块热拔插,电源和风扇的全冗余。 | S9306:具备超越5个9的运营级高可靠性,主控、电源、风扇等关键部件采用冗余设计,所有模块均支持热插拔。 | 无偏离 |
| 高性能:交换机必须有较高的转发性能,交换容量必须在768Gbps,L3包转发率在492Mpps以上,背板带宽1.6T。 | 9306:交换容量2Tbps,背板带宽6Tbps,包转发1080Mpps | 正偏离 | ||
| 较高的千兆端口密度:交换机整机必须能提供较高密度的1000M光纤口和千兆电口,用于连接各类设备。因此核心交换机插槽必须在8个以上,业务槽位6个。 | 9306:提供8个插槽,其中2个主控插槽,6个业务插槽 | 无偏离 | ||
| 支持丰富的业务功能:支持4K IEEE 802.3Q标准VLAN支持,提供提供IEEE 802.3ad链路聚合。考虑到网络需要同时为物业内部业务和商业用户通过WLAN网络接入Internet提供服务,因此必须在网络中保证数据的安全性。能在不同VLAN之间提供L2~L4层访问控制功能。 | 9306:提供4K 标准vlan,支持基于IEEE802.3ad的链路聚合功能。支持L2(Layer2)~L4(Layer4)包过滤功能,提供基于源MAC、目的MAC、源IP、目的IP、端口、协议、Vlan的非法帧过滤功能 | 正偏离 | ||
| 支持完善的路由功能:支持多种路由协议,包括RIPv1v2、OSPF、IS-IS、BGP4等;支持等价多路径路由(ECMP),支持组播路由。; | 9306:支持RIPv1v2、OSPF、OSPFv3、IS-IS、IS-ISv6、BGP、BGPv4等,同时支持ECMP和组播路由 | 无偏离 | ||
| 管理方便:通过本地或者远端(TELNET)CLI、SNMP,RMON实现广泛的管理; | 9306支持Telnet、SNMP、RMON | 无偏离 | ||
| 9306支持Telnet、SNMP、RMON | 9306:支持802.1X,支持Radius和网络登录认证,能够实现IP、MAC、端口、Vlan的绑定、支持DHCP snooping | 无偏离 | ||
| 2 | 接入交换机 | 随着千兆技术日益普及,各类信息化应用对大带宽的需求,接入交换机应支持百兆到桌面,采用2条光纤分别上行到核心交换机。 | S2326TP-EI:提供24个百兆口(终端接入)和2个千兆光电combo接口(上行汇聚) | 无偏离 |
| 能划分多个VLAN,以满足不同的应用,背板带宽32Gbps,包转发率9.6Mpps。24个百兆电口,2个千兆光电复用口。为保证网络的兼容及标准性,接入层的交换机需要支持802.1Q协议,支持基于端口的VLAN划分。同时能支持同一个VLAN内的端口隔离功能,保证个客户之间数据的私密性。 | S2326TP-EI:提供4K个标准Vlan,背板带宽32Gbps,支持基于端口的vlan划分,支持同一个vlan内的端口隔离。 | 无偏离 | ||
| 此外,接入层交换机必须有QoS功能,从而为语音、视频等实时性应用提供服务保证; | S2326TP-EI:支持高级QOS技术,包括:端口限速和流限速、每端口4个不同优先级别队列、多种流分类 | 正偏离 | ||
| 支持安全认证功能,支持802.1X认证和集中MAC地址认证功能,能实现对接入的用户实行身份认证功能。 | S2326TP-EI:支持802.1X认证和集中MAC地址认证,支持单端口最大用户数、支持动态ARP监测 | 正偏离 | ||
| 3 | 防火墙 | n 包转发能力在1Gbps以上,产品参数参考H3CF1000-E型号,不低于其技术性能要求。 | USG5350吞吐量9Gbps,字节小包转发能力2.2Gbps | 正偏离 |
| n 支持各种单播和组播路由协议。支持L2TP VPN、GRE VPN、IPSec VPN等各种VPN技术。并支持内部硬件加密功能,3DES加密性能在30Mbps以上。 | USG5350支持主流单播和组播路由协议,支持L2TP VPN 、GRE VPN 、IPSecVPN支持内部硬件加密,3DES加密性能为500Mbps | 正偏离 | ||
| n 提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等NAT ALG功能 | USG5350:支持丰富的NAT特性,深度包检测和5元组技术,保证多协议下NAT的有效支持 | 无偏离 | ||
| n 可以有效的识别网络中的BT、Edonkey、Emule等各种P2P模式的应用,并且对这些应用采取限流的控制措施,有效保护网络带宽。 | USG5350:支持对主流的50余种P2P流量的精确识别和控制,并有完备可升级的P2P知识库 | 无偏离 | ||
| n 提供各种日志功能、流量统计和分析功能、各种事件监控和统计功 能、邮件告警功能。 | USG5350:提供各种日志功能、流量统计和分析功能、各种事件监控和统计功 能、邮件告警功能。 | 无偏离 |
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
