長沙市某醫(yī)院信息系統(tǒng)硬件平臺方案設(shè)計

上傳人:仙*** 文檔編號:31590249 上傳時間:2021-10-12 格式:DOC 頁數(shù):65 大?。?.43MB
收藏 版權(quán)申訴 舉報 下載
長沙市某醫(yī)院信息系統(tǒng)硬件平臺方案設(shè)計_第1頁
第1頁 / 共65頁
長沙市某醫(yī)院信息系統(tǒng)硬件平臺方案設(shè)計_第2頁
第2頁 / 共65頁
長沙市某醫(yī)院信息系統(tǒng)硬件平臺方案設(shè)計_第3頁
第3頁 / 共65頁

下載文檔到電腦,查找使用更方便

15 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《長沙市某醫(yī)院信息系統(tǒng)硬件平臺方案設(shè)計》由會員分享,可在線閱讀,更多相關(guān)《長沙市某醫(yī)院信息系統(tǒng)硬件平臺方案設(shè)計(65頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、 湖南省X有限責(zé)任公司 長沙市第X醫(yī)院 醫(yī)院信息系統(tǒng)硬件平臺 設(shè)計方案(v1.0) 目 錄 第一章 概 述 5 1.1概述 5 1.2 需求分析 6 1.3技術(shù)規(guī)格及要求 6 1.4設(shè)計依據(jù) 8 1.5設(shè)計原則 8 1.6設(shè)計內(nèi)容 9 第二章 綜合布線系統(tǒng)設(shè)計 11 2.1綜合布線系統(tǒng)需求分析 11 第三章 網(wǎng)絡(luò)系統(tǒng)設(shè)計 12 3.

2、1概述 12 3.2網(wǎng)絡(luò)體系結(jié)構(gòu) 12 3.3組網(wǎng)技術(shù) 12 3.4網(wǎng)絡(luò)拓?fù)?12 3.5網(wǎng)絡(luò)設(shè)備選擇 13 3.5.1網(wǎng)絡(luò)設(shè)備選擇原則 13 3.5.2設(shè)備廠商選擇 13 3.6網(wǎng)絡(luò)系統(tǒng)設(shè)計方案 14 3.6.1內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)方案設(shè)計 14 3.6.1.1內(nèi)網(wǎng)網(wǎng)絡(luò)整體拓?fù)浣Y(jié)構(gòu) 14 3.6.2 外網(wǎng)系統(tǒng)設(shè)計 15 3.6.3虛擬網(wǎng)絡(luò)的實現(xiàn) 17 3.6.3.1虛擬網(wǎng)絡(luò)的優(yōu)勢 17 3.6.3.2虛擬網(wǎng)的劃分 17 3.6.3.3虛擬網(wǎng)之間通信 18 3.6.3.4IP地址和虛網(wǎng)規(guī)劃 18 3.6.4網(wǎng)絡(luò)安全體系設(shè)計 19 3.6.4.1網(wǎng)絡(luò)安全設(shè)計 20 3

3、.6.4.2當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀 20 3.6.4.3系統(tǒng)安全設(shè)計的原則 20 3.6.4.4提高安全性意識 21 3.6.4.5網(wǎng)絡(luò)安全的實現(xiàn) 22 3.6.4.6防病毒系統(tǒng)設(shè)計 23 3.6.4.7防火墻系統(tǒng)設(shè)計 23 3.6.4.7.1天融信NGFW ARES—G防火墻介紹 24 3.6.5設(shè)備簡介 30 3.6.5.1中心交換機(jī) 30 3.6.5.1接入層交換機(jī) 36 3.6.6網(wǎng)絡(luò)管理 38 3.6.6.1網(wǎng)管軟件 38 3.6.6.2網(wǎng)管工作站 49 第四章 服務(wù)器及存儲系統(tǒng) 50 4.1雙機(jī)熱備系統(tǒng)方案設(shè)計 50 4.1.1雙機(jī)熱備份方案描述 50 4

4、.1.2高可用性構(gòu)架 50 4.1.3雙機(jī)備份配置 52 4.1.4 HP ProLiant DL380G4介紹 52 4.2 存儲備份系統(tǒng)方案設(shè)計 54 4.2.1網(wǎng)絡(luò)存儲技術(shù)介紹 54 4.2.1.1 NAS網(wǎng)絡(luò)附屬存儲技術(shù) 54 4.2.1.2 SAN(存儲區(qū)域網(wǎng)絡(luò))介紹 55 4.2.1.3 NAS、SAN和技術(shù)分析 56 4.3存儲系統(tǒng)方案綜述 58 4.3.1 磁盤陣列性能要求及存儲容量分析 58 4.3.1.1 磁盤陣列性能要求 58 4.3.1.2存儲容量計算 59 4.4 存儲備份系統(tǒng)方案設(shè)計 59 4.4.1服務(wù)器雙機(jī)及SAN存儲系統(tǒng)連接圖: 60

5、 第五章 機(jī)房建設(shè) 61 5.1規(guī)范 61 5.2機(jī)房裝修 61 5.2.1機(jī)房規(guī)范要求 61 5.2.2機(jī)房設(shè)計方案 62 5.2.3供電系統(tǒng) 63 5.2.4 UPS選型 63 5.2.5機(jī)房空調(diào)系統(tǒng) 64 5.2.7機(jī)房接地 64 5.2.8防雷 64 第一章 概 述 1.1概述 當(dāng)今時代已經(jīng)步入了信息時代,能否有效地把信息轉(zhuǎn)化為管理決策的有效資料,是一個現(xiàn)代企業(yè)在這個信息時代獲得成功的關(guān)鍵。醫(yī)院管理的核心是醫(yī)療質(zhì)量管理,如何加強(qiáng)醫(yī)療質(zhì)量監(jiān)控,使醫(yī)院管理者能夠隨時掌握醫(yī)院情況,更好地提高醫(yī)療工作質(zhì)量,對今天加快改革步伐,適應(yīng)社會主義市場經(jīng)濟(jì)

6、有著十分重要的現(xiàn)實意義。傳統(tǒng)的醫(yī)療質(zhì)量概念是指醫(yī)療效果,常以出院病人的終末治療結(jié)果和終末質(zhì)量來衡量。運(yùn)用計算機(jī)參與醫(yī)院管理,能隨時動態(tài)地觀察醫(yī)院的各種醫(yī)療信息,并且對這些信息進(jìn)行系統(tǒng)的綜合分析評價,既利于對質(zhì)量信息的反饋控制,又利于實施醫(yī)院的目標(biāo)任務(wù),使醫(yī)院管理由經(jīng)驗型管理向科學(xué)型轉(zhuǎn)化,為醫(yī)院領(lǐng)導(dǎo)的決策提供了有力的幫助,從而提高了醫(yī)院的管理水平,增加了醫(yī)院效益,增強(qiáng)了醫(yī)院活力。 近年來,隨著醫(yī)院的建設(shè),醫(yī)療科學(xué)的發(fā)展,醫(yī)療質(zhì)量概念的更新,考核評估的內(nèi)容與方法也在向廣度與深度發(fā)展。各級醫(yī)院都結(jié)合近幾年醫(yī)療質(zhì)量回歸指標(biāo)以及當(dāng)前存在的主要問題,對臨床科分別制定了工作效率指標(biāo)、診斷質(zhì)量指標(biāo)、治療質(zhì)量

7、指標(biāo)和管理質(zhì)量指標(biāo),對每項指標(biāo)分別制定具體細(xì)則和達(dá)標(biāo)準(zhǔn)則;對各醫(yī)技科室根據(jù)工作性質(zhì)分別制定質(zhì)量標(biāo)準(zhǔn),使醫(yī)療質(zhì)量標(biāo)準(zhǔn)基本體現(xiàn)了因科而異,區(qū)分層次,量化到人,責(zé)任到科。在醫(yī)院管理中,各項規(guī)章制度的制定為廣大醫(yī)務(wù)人員提供了行動準(zhǔn)則,而怎樣考評卻成為醫(yī)院管理者頭疼的問題。隨著計算機(jī)技術(shù)的應(yīng)用,以其快速、高效、及時、準(zhǔn)確的優(yōu)勢,科學(xué)的設(shè)計和應(yīng)用網(wǎng)絡(luò)技術(shù),加強(qiáng)了醫(yī)院管理層與基層之間的縱向聯(lián)系及各職能部門之間的橫向聯(lián)系,使得數(shù)據(jù)資源充分共享、為強(qiáng)化醫(yī)院管理,完成大量信息的處理開辟了廣闊的前景。 長沙市X醫(yī)院(長沙市X醫(yī)院)是長沙市衛(wèi)生局與長沙縣政府在星沙合作建設(shè)的一所中西醫(yī)結(jié)合、??铺厣怀?、綜合服務(wù)功能

8、齊全、建筑風(fēng)格新穎、環(huán)境優(yōu)美舒適的三級甲等醫(yī)院,總投資2.8億元,長沙市X醫(yī)院經(jīng)過幾代人的勵精圖治,現(xiàn)已發(fā)展成為一所集醫(yī)療、教學(xué)、科研、康復(fù)、保健于一體的頗具特色的二級甲等X醫(yī)院,是湖南中醫(yī)學(xué)院教學(xué)醫(yī)院、長沙市法醫(yī)鑒定中心、長沙市工傷保險及省、市醫(yī)療保險定點醫(yī)院。長沙市X醫(yī)院作為我們長沙市東大門一所重要最大的醫(yī)療機(jī)構(gòu),暨一座服務(wù)于二十一世紀(jì)著眼于未來現(xiàn)代化的醫(yī)院對于信息化、網(wǎng)絡(luò)化和智能化的要求是相當(dāng)高的。為了保證實現(xiàn)建設(shè)方的這一要求,我方將為長沙市X醫(yī)院提供一套完善信息化平臺的系統(tǒng)解決方案。 1.2 需求分析 對于大型醫(yī)院而言,隨著現(xiàn)有規(guī)模的不斷變大,傳統(tǒng)的簡單辦公網(wǎng)絡(luò)已經(jīng)不能滿足多業(yè)務(wù)的

9、要求。大型醫(yī)院的業(yè)務(wù)量和業(yè)務(wù)類型都發(fā)生了新的變化。不僅業(yè)務(wù)量較從前大幅上升,針對多種業(yè)務(wù)的整合也是對新的網(wǎng)絡(luò)平臺提出的要求。 從用戶端來講,掛號、劃價、收費(fèi)、取藥等程序需要進(jìn)行人性化的設(shè)計,使之更趨簡潔和快速。從醫(yī)院角度來看,財政管理、人力資源分配、藥品管理、醫(yī)院資源調(diào)配、行政管理、會議、培訓(xùn)、研究項目支持以及對外的各項交流與合作,都要求新的網(wǎng)絡(luò)能夠為此提供高效、有序的支持,并具有可靠的安全保證。考慮到以后在此網(wǎng)絡(luò)上可能運(yùn)行的各類軟件,良好的兼容性是必不可少的。因此,也要求新的網(wǎng)絡(luò)具有標(biāo)準(zhǔn)化和開放化的特點。同時,大型醫(yī)院網(wǎng)絡(luò)的規(guī)模龐大,信息點密度通常能達(dá)到1000個以上。要保證這樣規(guī)模的網(wǎng)絡(luò)

10、能夠穩(wěn)定高效的運(yùn)行和實現(xiàn)迅速的響應(yīng),很高的網(wǎng)絡(luò)帶寬和出色的網(wǎng)絡(luò)服務(wù)質(zhì)量是必不可少的,還需要考慮到隨著醫(yī)院業(yè)務(wù)的增多,要為網(wǎng)絡(luò)擴(kuò)展留出足夠的空間。這就要求具有高帶寬、高可靠、高擴(kuò)展和足夠的冗余能力。綜合來看,最終建成的網(wǎng)絡(luò)應(yīng)該成為醫(yī)院多業(yè)務(wù)順暢運(yùn)行的良好平臺,與醫(yī)院的日常工作內(nèi)容融為一體。 1.3技術(shù)規(guī)格及要求 1、布線系統(tǒng) 1) 本次系統(tǒng)建設(shè)考慮市人民長沙X醫(yī)院內(nèi)外網(wǎng)絡(luò)連接。所涉及的主要建筑物有門診樓和住院樓; 2) 采用國際標(biāo)準(zhǔn)的知名公司的產(chǎn)品進(jìn)行標(biāo)準(zhǔn)化設(shè)計、施工和測試; 3) 根據(jù)貴方給的資料主要業(yè)務(wù)建筑物之間已采用光纖實現(xiàn)1000M連接; 注:布線系統(tǒng)已經(jīng)完成本方案將不做具體

11、設(shè)計。 2、網(wǎng)絡(luò)技術(shù) 1) 網(wǎng)絡(luò)系統(tǒng)所采用的技術(shù)應(yīng)是當(dāng)前業(yè)界的先進(jìn)主流技術(shù),能滿足長沙市X醫(yī)院信息系統(tǒng)的綜合應(yīng)用需求,同時要充分考慮網(wǎng)絡(luò)的兼容性、擴(kuò)展性和升級能力,具有符合工業(yè)標(biāo)準(zhǔn)的開放式體系結(jié)構(gòu),所采用的網(wǎng)絡(luò)交換設(shè)備應(yīng)是國際知名廠家如港灣、華為、CISCO等公司的產(chǎn)品,性能穩(wěn)定,質(zhì)量可靠,價格適宜,符合長沙市X醫(yī)院網(wǎng)絡(luò)應(yīng)用實際; 2) 中心交換機(jī)必須具備良好的擴(kuò)充能力、較高的背板帶寬、冗余電源模塊、1000Mbps交換端口。接入層交換機(jī)應(yīng)具備100Mbps交換端口和1000Mbps上聯(lián)端口。要求網(wǎng)絡(luò)主干數(shù)據(jù)傳輸速率和服務(wù)器接入速率為1000Mbps,桌面PC接入速率為10/100Mbp

12、s,中心交換機(jī)和接入層交換機(jī)端口容量應(yīng)根據(jù)實際需求合理配置; 3) 充分考慮今后醫(yī)院繼續(xù)建設(shè)發(fā)展的需求,并考慮與長沙市醫(yī)保系統(tǒng)的城域網(wǎng)系統(tǒng)的設(shè)計; 4) 醫(yī)院內(nèi)外網(wǎng)為兩套完全物理隔離網(wǎng)絡(luò)系統(tǒng),內(nèi)網(wǎng)滿足醫(yī)院信息系統(tǒng)和其它系統(tǒng)的需求,外網(wǎng)滿足對交流、方便工作人員查詢資料和醫(yī)院對宣傳的需求; 5) 網(wǎng)絡(luò)管理平臺:硬件平臺,軟件平臺必須遵從工業(yè)標(biāo)準(zhǔn)的SNMP協(xié)議和RMON2協(xié)議,具有圖形用戶接口,能自動識別網(wǎng)絡(luò)組成部分,提供可直接診斷和排除網(wǎng)絡(luò)故障的管理工具等。 3、服務(wù)器及存儲系統(tǒng) 1) 采用國際知名的HP公司產(chǎn)品,能使用多處理器子系統(tǒng)實現(xiàn)最大化的計算性能,配置高性能的內(nèi)存子系統(tǒng)、I/O子

13、系統(tǒng)和千兆以太網(wǎng)網(wǎng)卡; 2) 采用高可用性群集技術(shù)或共享磁盤陣列技術(shù),解決系統(tǒng)信息保護(hù)、信息移動、信息管理各環(huán)節(jié)的"信息永不間斷",為網(wǎng)絡(luò)的高可用性提供堅固的保障。 3) 存儲系統(tǒng)采用當(dāng)今先進(jìn)的SAN存儲系統(tǒng)并配置壹臺容量在40GB以上的外置磁帶機(jī)進(jìn)行數(shù)據(jù)備份,存儲系統(tǒng)要能滿足在線查詢壹年以上的數(shù)據(jù); 4) 選用目前業(yè)界主流的操作系統(tǒng)和先進(jìn)主流的大型數(shù)據(jù)庫管理方案,要求操作系統(tǒng)和數(shù)據(jù)庫對中文有良好的支持。 1.4設(shè)計依據(jù) 我們仔細(xì)研究了長沙市X醫(yī)院提供的信息化建設(shè)情況,對擬建系統(tǒng)各方面的內(nèi)容進(jìn)行詳細(xì)的規(guī)劃,結(jié)合為其他醫(yī)院建設(shè)醫(yī)院信息化系統(tǒng)軟硬件的經(jīng)驗,設(shè)計本方案。 我司本著以下的建

14、設(shè)思想:以業(yè)務(wù)需求為基礎(chǔ),規(guī)劃系統(tǒng)建設(shè);既考慮近期投資少、見效快,也考慮后期發(fā)展;實施與培訓(xùn)相結(jié)合。在系統(tǒng)建設(shè)過程用戶方積極參與,這樣,可加快對本系統(tǒng)的熟悉進(jìn)度,同時可以提高應(yīng)用和維護(hù)水平。 1.5設(shè)計原則 根據(jù)長沙市X醫(yī)院信息化系統(tǒng)的應(yīng)用要求和當(dāng)今計算機(jī)技術(shù)發(fā)展?fàn)顩r,我們認(rèn)為該系統(tǒng)是一個多層次,業(yè)務(wù)類型相對少的應(yīng)用系統(tǒng),系統(tǒng)的建設(shè)要充分考慮到可靠性、安全性、靈活性、擴(kuò)展性、先進(jìn)性、實用性等,特別是要設(shè)計中要考慮以下幾個主要的原則: 1) 可擴(kuò)展性原則 系統(tǒng)是非常復(fù)雜的,分步實施和不斷改造是建設(shè)的重要思路,因此在設(shè)計上應(yīng)注重兼容性、連續(xù)性, 依據(jù)標(biāo)準(zhǔn)化和模塊化的設(shè)計思想,不僅在體系結(jié)構(gòu)

15、上保持很大的開放性,而且同時能夠提供多種靈活可變的接口,使系統(tǒng)今后的擴(kuò)展非常方便,保護(hù)系統(tǒng)的投資。 2) 實用性原則 信息化系統(tǒng)建設(shè)是手段而不是目的,因此必須緊密結(jié)合業(yè)務(wù)需要,應(yīng)用系統(tǒng)應(yīng)能替代部分繁重、重復(fù)的手工作業(yè),且能使得整個管理系統(tǒng)更易于操作和維護(hù)。 3) 信息共享和安全保密原則 要實現(xiàn)信息在一定條件下、一定范圍內(nèi)的共享,應(yīng)保證除絕密和控制閱知范圍的信息外,各處均可調(diào)閱、調(diào)用各種信息數(shù)據(jù)庫中的信息,保證信息的一致性,減少信息的重復(fù)性。同時要注意各個環(huán)節(jié)的安全保密性能,系統(tǒng)應(yīng)具有對主要環(huán)節(jié)的監(jiān)視和控制功能,嚴(yán)防非法用戶的越權(quán)操作。做好系統(tǒng)內(nèi)權(quán)限的分級管理,并且應(yīng)使網(wǎng)絡(luò)通信系統(tǒng)具有較

16、強(qiáng)的容錯和故障恢復(fù)能力。 4) 投資保護(hù)原則 在建立新系統(tǒng)的同時考慮與原有系統(tǒng)的無縫銜接,充分利用現(xiàn)有的設(shè)備、線路等資源,系統(tǒng)建設(shè)應(yīng)充分考慮,確保投資的長期有效使用,既要保護(hù)已有設(shè)備投資又要考慮新設(shè)備投資。 1.6設(shè)計內(nèi)容 完善的高可用性系統(tǒng)平臺設(shè)計是應(yīng)用系統(tǒng)良好運(yùn)行的基礎(chǔ)保障,我公司根據(jù)長沙市X醫(yī)院信息系統(tǒng)工程技術(shù)要求以及我公司醫(yī)院信息系統(tǒng)設(shè)計規(guī)范,結(jié)合我公司相關(guān)項目中的成功經(jīng)驗進(jìn)行系統(tǒng)平臺的設(shè)計。 對系統(tǒng)平臺進(jìn)行層次劃分,根據(jù)不同層次的功能特性、實現(xiàn)目標(biāo)分別進(jìn)行系統(tǒng)的設(shè)計。 1. 物理層:構(gòu)建數(shù)據(jù)信息的物理傳輸介質(zhì),采用綜合布線系統(tǒng)提供所有信息的傳輸系統(tǒng),利用雙絞線或光纜來

17、完成各類信息的傳輸。 2. 網(wǎng)絡(luò)層:建立高效可擴(kuò)展可管理的網(wǎng)絡(luò)系統(tǒng),采用網(wǎng)絡(luò)設(shè)備進(jìn)行數(shù)據(jù)的高速交換。 3. 系統(tǒng)層:針對建立應(yīng)用的高可用性可擴(kuò)展的運(yùn)行平臺和基礎(chǔ)支持系統(tǒng),提供高效運(yùn)算、數(shù)據(jù)管理、數(shù)據(jù)存儲。 4. 應(yīng)用層:滿足應(yīng)用要求的應(yīng)用系統(tǒng),實現(xiàn)應(yīng)用功能目標(biāo)。 5. 用戶層:由系統(tǒng)使用、管理人員組成,是整個系統(tǒng)的使用者、管理者、受益者。 本部分主要針對系統(tǒng)平臺(包含物理層、網(wǎng)絡(luò)層、系統(tǒng)層),進(jìn)行綜合布線系統(tǒng)(已布好)、網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)安全系統(tǒng)、主機(jī)及存儲系統(tǒng)進(jìn)行設(shè)計。最后對機(jī)房裝修和UPS電源系統(tǒng)和防雷系統(tǒng)進(jìn)行詳細(xì)設(shè)計。

18、 第二章 綜合布線系統(tǒng)設(shè)計 2.1綜合布線系統(tǒng)需求分析 綜合布線是信息網(wǎng)絡(luò)的基礎(chǔ)。它主要是針對建筑的計算機(jī)與通信的需求而設(shè)計的,在建筑物內(nèi)和在各個建筑物之間布設(shè)的物理介質(zhì)傳輸網(wǎng)絡(luò)。通過這個網(wǎng)絡(luò)實現(xiàn)不同類型的信息傳輸。所有符合標(biāo)準(zhǔn)的布線系統(tǒng),應(yīng)對所有應(yīng)用系統(tǒng)開放,不僅完全滿足當(dāng)時的信息通訊需要,而且對未來的發(fā)展有著極強(qiáng)的靈活性和可擴(kuò)展性。 綜合布線系統(tǒng)的主要功能有: 模擬與數(shù)字語音信號傳輸 高速與低速的數(shù)據(jù)信號傳輸 傳真機(jī)或圖形終端及繪圖機(jī)所傳的圖形數(shù)據(jù)信號傳輸 圖象會議或視頻點播以及安全系統(tǒng)的視頻信號傳輸 長沙市X醫(yī)院門診樓和住院樓已有綜合布線系統(tǒng)。本方案將不再另

19、行進(jìn)行設(shè)計其。 已有布線工程所涉及的主要建筑物有門診樓和住院樓、內(nèi)外網(wǎng)各9個分配線間;布線系統(tǒng)分內(nèi)網(wǎng)和外網(wǎng);主干采用多模光線布線系統(tǒng)、水平采用超五類雙絞線。 第三章 網(wǎng)絡(luò)系統(tǒng)設(shè)計 3.1概述 網(wǎng)絡(luò)設(shè)計的核心思想就是根據(jù)網(wǎng)絡(luò)實際需求情況(網(wǎng)絡(luò)信息點分布、網(wǎng)上信息流量分析),采用合適的網(wǎng)絡(luò)技術(shù),進(jìn)行合理的設(shè)備選型,在網(wǎng)絡(luò)的性能、可靠型、擴(kuò)展能力等方面進(jìn)行優(yōu)化組合和綜合平衡,既做到拓?fù)鋵哟吻逦?、管理方便、擴(kuò)展靈活、可靠性高,又不能盲目追求設(shè)備檔次,造成投資浪費(fèi)。對于網(wǎng)絡(luò)平臺設(shè)計,我們從網(wǎng)絡(luò)體系結(jié)構(gòu)、組網(wǎng)技術(shù)、網(wǎng)絡(luò)拓?fù)洹⒕W(wǎng)絡(luò)設(shè)備配置、網(wǎng)絡(luò)管理、網(wǎng)

20、絡(luò)安全等方面進(jìn)行考慮。 3.2網(wǎng)絡(luò)體系結(jié)構(gòu) 在長沙市X醫(yī)院網(wǎng)絡(luò)建設(shè)中采用TCP/IP協(xié)議體系。 長沙市X醫(yī)院網(wǎng)絡(luò)系統(tǒng)采用IP(網(wǎng)際協(xié)議)作為主要的網(wǎng)絡(luò)互連協(xié)議,同時可兼容其他協(xié)議(如IPX、NETBUI)。 3.3組網(wǎng)技術(shù) 結(jié)合長沙市X醫(yī)院網(wǎng)絡(luò)的需求與計算機(jī)網(wǎng)絡(luò)技術(shù)的先進(jìn)技術(shù)和成熟經(jīng)驗,采用局域網(wǎng)與廣域網(wǎng)技術(shù)相結(jié)合的方式,組建網(wǎng)絡(luò)系統(tǒng)平臺。 主流局域網(wǎng)組網(wǎng)技術(shù)有幾種:以太網(wǎng)、100M快速以太網(wǎng)、千兆以太網(wǎng)、ATM。 在本方案中長沙市X醫(yī)院信息網(wǎng)絡(luò)是典型的園區(qū)局域網(wǎng),采用以光纖為傳輸介質(zhì)的千兆以太網(wǎng)作主干,以超五類非屏蔽雙絞線為傳輸介質(zhì)的10/100M自適應(yīng)的快速以太網(wǎng)到桌面的組網(wǎng)

21、技術(shù)。城域網(wǎng)部分主要是和長沙醫(yī)保系統(tǒng)的了解。 3.4網(wǎng)絡(luò)拓?fù)? 正確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計可以為應(yīng)用系統(tǒng)提供一個高性能,高可靠性的網(wǎng)絡(luò)平臺,而設(shè)計不好的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)會造成網(wǎng)絡(luò)性能,可靠性和管理上的一些問題。因此網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計至關(guān)重要。 為滿足用戶在用戶需求中的技術(shù)要求,我們做出如下設(shè)計: 在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計中主要采用層次模型設(shè)計,滿足用戶對高可擴(kuò)充性、高可維護(hù)性的要求。由于長沙市X醫(yī)院網(wǎng)絡(luò)規(guī)模為中小規(guī)模,因此將網(wǎng)絡(luò)分為核心層和接入層進(jìn)行模塊化設(shè)計,本方案中將內(nèi)網(wǎng)核心層功能由2臺高性能的多層交換機(jī)實現(xiàn)、外網(wǎng)采用一臺適當(dāng)?shù)暮诵慕粨Q機(jī)實現(xiàn),接入層由二級交換機(jī)組成;可采用冗余模型設(shè)計,在關(guān)鍵設(shè)備

22、上配置冗余模塊,關(guān)鍵的服務(wù)器提供到網(wǎng)絡(luò)設(shè)備的冗余連接,滿足用戶對高可靠性的要求;采用安全模型,滿足用戶對高安全性的要求;設(shè)計采用集中的網(wǎng)管模式,對網(wǎng)絡(luò)進(jìn)行簡單易用的設(shè)備管理、拓?fù)錉顟B(tài)和全網(wǎng)統(tǒng)一管理。 3.5網(wǎng)絡(luò)設(shè)備選擇 3.5.1網(wǎng)絡(luò)設(shè)備選擇原則 局域網(wǎng)交換機(jī)的選擇應(yīng)遵循以下原則: n 是否支持純鏈路交換及生成樹算法(Spanning Tree),具備高速的背板交換總線,巨大的數(shù)據(jù)包吞吐量和穩(wěn)定的結(jié)構(gòu) n 網(wǎng)絡(luò)背板帶寬 n 支持的局域網(wǎng)端口密度 n 支持多種標(biāo)準(zhǔn)局域網(wǎng)協(xié)議 n 支持標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理 n 具有較低的幀的丟失率和較小的網(wǎng)絡(luò)延遲 n 在橋接表中可維持大量的活動

23、的MAC地址 n 虛擬網(wǎng)絡(luò)的支持 n 支持模塊功能,具有足夠多的Uplink插槽 n 每個端口的緩存大小及性能價格比 3.5.2設(shè)備廠商選擇 選擇網(wǎng)絡(luò)產(chǎn)品主要考察幾個方面:廠家的規(guī)模和地位,產(chǎn)品性能,服務(wù)保障能力,技術(shù)發(fā)展方向。 近年來網(wǎng)絡(luò)市場發(fā)展很快,有的廠商被收購,有的廠商轉(zhuǎn)讓其網(wǎng)絡(luò)技術(shù),所以選擇廠商非常重要,必須從網(wǎng)絡(luò)公司目前的發(fā)展?fàn)顩r、技術(shù)實力、售后服務(wù)、投資保護(hù)等方面綜合考慮,尤其是廠家的設(shè)備必須是遵循開放的國際標(biāo)準(zhǔn)。根據(jù)本項目的特點,我們重點考慮產(chǎn)品的性能、產(chǎn)品線的寬度、產(chǎn)品的技術(shù)發(fā)展方向等。重點考慮目前國內(nèi)知名網(wǎng)絡(luò)廠商。 我們在此次網(wǎng)絡(luò)設(shè)計中全部選用港灣公司Hamm

24、er網(wǎng)絡(luò)產(chǎn)品。 3.6網(wǎng)絡(luò)系統(tǒng)設(shè)計方案 3.6.1內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)方案設(shè)計 3.6.1.1內(nèi)網(wǎng)網(wǎng)絡(luò)整體拓?fù)浣Y(jié)構(gòu) 長沙市X醫(yī)院內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)主整體結(jié)構(gòu)圖如下所示: 如上網(wǎng)絡(luò)拓?fù)鋱D所示: 1. 網(wǎng)絡(luò)采用星型拓?fù)浣Y(jié)構(gòu),設(shè)置2臺高背板帶寬高效包轉(zhuǎn)發(fā)的具有L2/L3/L4交換功能的模塊化千兆交換機(jī)BigHammer6805做為網(wǎng)絡(luò)的中心交換機(jī)且2臺核心交換機(jī)互為備份,2+1電源冗余配置;提供服務(wù)器、接入層交換機(jī)、網(wǎng)管工作站設(shè)備和對性能要求較高的重要的終端與骨干交換機(jī)的直接連接,提供高效的數(shù)據(jù)傳送、尋址、Vlan間路由、數(shù)據(jù)報過濾、ACL安全控制等特性功能。 2. 中心交換機(jī)BigHammer

25、6805每臺配置有,1塊2口千兆電接口+10口GBIC接口模塊和2口GBIC+10口千兆電接口模塊,提供網(wǎng)絡(luò)千兆光纖接入和服務(wù)器千兆電口接入,每臺配置1塊路由交換引擎模塊??梢酝ㄟ^IP地址、MAC地址與VLAN ID綁定技術(shù)防止MAC地址、IP地址的盜用。利用基于用戶策略的ACL(接入控制列表)來完成用戶的三層受控互訪。 3. 根據(jù)實際情況設(shè)置接入層交換機(jī),連接建筑內(nèi)工作站、設(shè)備等,現(xiàn)在每個分配線間配置一臺μHammer3550E交換機(jī)。每臺μHammer3550E與中心交換機(jī)采用多模光纖直接千兆上聯(lián)。 4. 接入層交換機(jī)對樓內(nèi)用戶工作站和終端通過敷設(shè)的非屏蔽超五類雙絞線提供10/100M

26、速率接入。 5. 以上采用的接入交換機(jī)μHammer3550E支持堆疊功能,如需增加用戶容量可在不改變網(wǎng)絡(luò)主干光纖布線的情況下,在需要的建筑分配線間通過增加堆疊模塊和交換機(jī)就可實現(xiàn)。 6. 與長沙市醫(yī)保系統(tǒng)接入采用通過防火墻撥號方式上聯(lián)到市醫(yī)保系統(tǒng)。 3.6.2 外網(wǎng)系統(tǒng)設(shè)計 長沙市X醫(yī)院外網(wǎng)網(wǎng)絡(luò)系統(tǒng)主整體結(jié)構(gòu)圖如下所示: 如上網(wǎng)絡(luò)拓?fù)鋱D所示: 1. 網(wǎng)絡(luò)采用星型拓?fù)浣Y(jié)構(gòu),設(shè)置一臺高背板帶寬高效包轉(zhuǎn)發(fā)的具有L2/L3/L4交換功能的模塊化千兆交換機(jī)BigHammer6802做為網(wǎng)絡(luò)的中心交換機(jī),2+1電源冗余配置;提供服務(wù)器、接入層交換機(jī)、網(wǎng)管工作站設(shè)備和對性能要求較高的重要

27、的終端與骨干交換機(jī)的直接連接,提供高效的數(shù)據(jù)傳送、尋址、Vlan間路由、數(shù)據(jù)報過濾、ACL安全控制等特性功能。 2. 中心交換機(jī)BigHammer6802配置有,1塊2口千兆電接口+10口GBIC接口模塊,提供網(wǎng)絡(luò)千兆光纖接入和服務(wù)器千兆電口接入,1塊路由交換引擎模塊??梢酝ㄟ^IP地址、MAC地址與VLAN ID綁定技術(shù)防止MAC地址、IP地址的盜用。利用基于用戶策略的ACL(接入控制列表)來完成用戶的三層受控互訪。 3. 根據(jù)實際情況設(shè)置接入層交換機(jī),連接建筑內(nèi)工作站、設(shè)備等,現(xiàn)在每個分配線間配置一臺μHammer3550E交換機(jī)。每臺μHammer3550E與中心交換機(jī)采用多模光纖

28、直接千兆上聯(lián)。 4. 接入層交換機(jī)對樓內(nèi)用戶工作站和終端通過敷設(shè)的非屏蔽超五類雙絞線提供10/100M速率接入。 5. 以上采用的接入交換機(jī)μHammer3550E支持堆疊功能,如需增加用戶容量可在不改變網(wǎng)絡(luò)主干光纖布線的情況下,在需要的建筑分配線間通過增加堆疊模塊和交換機(jī)就可實現(xiàn)。 6. 通過一臺防火墻與internet連接。 3.6.3虛擬網(wǎng)絡(luò)的實現(xiàn) 3.6.3.1虛擬網(wǎng)絡(luò)的優(yōu)勢 為了便于管理,并提高網(wǎng)絡(luò)的效率和安全性,除了上述網(wǎng)絡(luò)的設(shè)計外,還需要對網(wǎng)絡(luò)進(jìn)行邏輯設(shè)計,即劃分虛擬網(wǎng)(VLAN)。虛擬網(wǎng)技術(shù)是將網(wǎng)絡(luò)的物理基礎(chǔ)設(shè)施與網(wǎng)絡(luò)的邏輯基礎(chǔ)設(shè)施相分離,使得網(wǎng)管人員能方便而

29、動態(tài)地建立和重構(gòu)虛擬網(wǎng)絡(luò),以適應(yīng)今天部門機(jī)構(gòu)的協(xié)作與變動,方便網(wǎng)絡(luò)管理,降低網(wǎng)絡(luò)管理的成本。 主要有下列因素促使我們采用虛擬網(wǎng)技術(shù): 一個平臺多種應(yīng)用。由于各個應(yīng)用相互之間相對獨(dú)立,各應(yīng)用要求有自己獨(dú)立的子網(wǎng); 提高帶寬利用效率。單個網(wǎng)絡(luò)的規(guī)模如果過大,網(wǎng)絡(luò)中會存在大量的廣播包,這些廣播包會占用大量的帶寬資源,為提高帶寬的利用率,必須將這些廣播包限制于一定的范圍內(nèi); 提高網(wǎng)絡(luò)安全性。網(wǎng)絡(luò)中有些信息不是向所有人開放的,必須對網(wǎng)絡(luò)中的某些資源采取特殊的安全措施保證其安全性; 方便網(wǎng)絡(luò)管理。網(wǎng)絡(luò)規(guī)模過于龐大,往往會變得不易管理和維護(hù),通過將網(wǎng)絡(luò)劃分為一些相對獨(dú)立的子網(wǎng),有利于網(wǎng)絡(luò)的管理維護(hù)

30、工作。 虛擬網(wǎng)絡(luò)的劃分有兩種方式,可以按交換機(jī)端口劃分和按MAC地址劃分。虛擬網(wǎng)的劃分可以跨多個交換機(jī),也可一個交換機(jī)內(nèi)劃分出多個虛擬網(wǎng)。 3.6.3.2虛擬網(wǎng)的劃分 由于受到網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)管理因素影響,網(wǎng)絡(luò)規(guī)模有一定的限制,這些限制也同樣也適用于虛擬網(wǎng)絡(luò)。依據(jù)經(jīng)驗值,對于只使用TCP/IP協(xié)議的網(wǎng)絡(luò),單個網(wǎng)段可以支持1000個用戶,IPX協(xié)議的網(wǎng)絡(luò)為500個用戶,使用NETBEUI協(xié)議的網(wǎng)絡(luò)則規(guī)模為300個用戶。當(dāng)單網(wǎng)段節(jié)點規(guī)模大于這個數(shù)目時,網(wǎng)絡(luò)被節(jié)點廣播包所淹沒,網(wǎng)絡(luò)性能一般不能為用戶所接受。 計算機(jī)網(wǎng)絡(luò)由于同時有Windows2000/xp客戶機(jī)、Windows NT服務(wù)器、(

31、NetWare服務(wù)器、)UNIX服務(wù)器和工作站。也就是說,同時有IP,(IPX,)NETBEUI等協(xié)議運(yùn)行于網(wǎng)絡(luò)上,單個子網(wǎng)的規(guī)模即一個虛擬網(wǎng)的用戶數(shù)最好應(yīng)限制在300個以內(nèi)。為獲得比較好的性能,一個VLAN中的用戶數(shù)為150以下。 虛擬網(wǎng)的劃分要依據(jù)一定的原則,這些原則是對于那些相互之間聯(lián)系頻繁的節(jié)點,盡量劃分在一個網(wǎng)段,比如說可以按照部門來劃分虛擬網(wǎng),對于較大的部門,可以進(jìn)一步細(xì)化。另外一個劃分原則是從網(wǎng)絡(luò)的安全性方面考慮,不同安全權(quán)限的用戶劃入不同的子網(wǎng),每一個子網(wǎng)對應(yīng)于一個VLAN。 對于企業(yè)級的服務(wù)器,劃分到單獨(dú)的VLAN中,便于設(shè)置訪問規(guī)則和安全策略。 3.6.3.3虛擬網(wǎng)之

32、間通信 網(wǎng)絡(luò)用戶被劃分到不同的子網(wǎng)中之后,不同虛擬網(wǎng)絡(luò)之間用戶的通信需要經(jīng)過三層上的設(shè)備來處理,本系統(tǒng)中,VLAN之間通信以及VLAN之間的安全性控制通過具有三層交換功能的BigHammer6800系列中心交換機(jī)和建筑內(nèi)設(shè)置的接入層交換機(jī)來綜合實現(xiàn)。 利用訪問控制列表,我們可以控制VLAN間的通信,從而保證各個虛擬網(wǎng)絡(luò)的安全。 3.6.3.4IP地址和虛網(wǎng)規(guī)劃 Intranet是Internet技術(shù)在企業(yè)內(nèi)部或閉合用戶群內(nèi)的實現(xiàn),它的基本通信協(xié)議是TCP/IP協(xié)議,其中TCP使得內(nèi)部網(wǎng)上的數(shù)據(jù)有序、可靠地傳輸,IP使內(nèi)部網(wǎng)中的各個子網(wǎng)互聯(lián)起來。一個沒有規(guī)劃的IP網(wǎng)絡(luò)可能是一個充滿(路由

33、)廣播的網(wǎng)絡(luò),網(wǎng)絡(luò)的使用效率會受到嚴(yán)重影響。 考慮到今后的擴(kuò)展、維護(hù)等問題,內(nèi)部網(wǎng)的IP地址不僅應(yīng)符合TCP/IP協(xié)議本身的要求,還應(yīng)有規(guī)律、易記憶,能反映自己內(nèi)部網(wǎng)的特點。不同單位的內(nèi)部網(wǎng)有各自不同的特點,IP地址的規(guī)劃也需要考慮不同的因素。 1) 確定內(nèi)部網(wǎng)IP地址的類型 IP地址由32位二進(jìn)制數(shù)碼組成,8位為一組,分為4組,中間用"."隔開。每個IP地址有兩部分,即網(wǎng)絡(luò)標(biāo)識和主機(jī)標(biāo)識,這兩種標(biāo)識長度的不同,使IP地址分為五類,常用的有A、B、C三類,相應(yīng)地址范圍為(其中X表示0~255之間的任意數(shù)): A類:1.X.X.X~126.X.X.X B類:128.X.X.X~191

34、.X.X.X C類:192.X.X.X~223.X.X.X 內(nèi)部網(wǎng)中所有設(shè)備的子網(wǎng)掩碼均選用缺省值 255.255.255.0,不再用掩碼劃分子網(wǎng)。 為了方便網(wǎng)絡(luò)系統(tǒng)資源的管理和維護(hù),在和用戶協(xié)商后選擇相應(yīng)的IP地址段。 2) 規(guī)劃服務(wù)器IP地址 為了服務(wù)器系統(tǒng)的管理和維護(hù),根據(jù)應(yīng)用的發(fā)展需求規(guī)劃服務(wù)器的IP地址非常有必要。 建議全網(wǎng)共享的服務(wù)器,劃分在同一個虛網(wǎng),使用同一個完整網(wǎng)段(或子網(wǎng))的一個IP地址。對于專用網(wǎng)絡(luò)(如財務(wù)等)中的服務(wù)器,可以預(yù)留低位IP供服務(wù)器使用。 3) 規(guī)劃客戶機(jī)IP地址 由于普通電腦的使用者對IP地址的認(rèn)識和使用并不像系統(tǒng)管理員那樣熟練或熟悉,

35、所以一般客戶端的IP地址建議使用DHCP服務(wù)器的方式分配。DHCP服務(wù)器為客戶端主機(jī)分配:主機(jī)IP、網(wǎng)關(guān)IP以及DNS IP等,可以避免采用客戶機(jī)的使用者任意指定IP而導(dǎo)致IP沖突的問題。 采用DHCP服務(wù)器分配的方式: n 特別適合大中型網(wǎng)絡(luò)環(huán)境,方便系統(tǒng)IP地址遷移。 n 不足的地方主要是網(wǎng)絡(luò)中會有一定量DHCP報文廣播,但可以通過交換機(jī)或路由器的配置可以抑制在虛網(wǎng)之內(nèi)。 3.6.4網(wǎng)絡(luò)安全體系設(shè)計 對X醫(yī)院網(wǎng)絡(luò)系統(tǒng)廣域網(wǎng)的安全性建設(shè),必須要考慮以下幾點問題: 安全策略 對于一個大型網(wǎng)絡(luò),必須要制定較好的安全策略,防患于未然。 網(wǎng)絡(luò)設(shè)備的集中控制,以及使用更為安全的協(xié)議

36、安全控制與訪問的自由性是一對矛盾體,安全性的增強(qiáng)必然導(dǎo)致應(yīng)用互相訪問的難度和復(fù)雜性,當(dāng)安全性增至極點時,實際上成為各自獨(dú)立封閉的部分,網(wǎng)絡(luò)互聯(lián)也就失去了意義。 接入網(wǎng)絡(luò)的安全性 因為接入網(wǎng)絡(luò)不受內(nèi)部管理和約束,有很大的安全隱患。 3.6.4.1網(wǎng)絡(luò)安全設(shè)計 安全問題是組建網(wǎng)絡(luò)面臨的敏感和重要問題。網(wǎng)絡(luò)提供了信息流通的便利渠道,客戶務(wù)及信息交流手段。但同時也給信息的保密和真實,系統(tǒng)的正常運(yùn)行帶來嚴(yán)重的挑戰(zhàn)。攻擊者可以通過竊取口令、E-MAIL密碼、FTP、PROXY等各種手段進(jìn)行破壞,因此,如何協(xié)調(diào)系統(tǒng)安全和系統(tǒng)的靈活性和開放性,動態(tài)地監(jiān)控網(wǎng)絡(luò)和調(diào)節(jié)網(wǎng)絡(luò)的流量,是在設(shè)計系統(tǒng)安全和選擇網(wǎng)絡(luò)

37、安全產(chǎn)品時必須要考慮的問題。本節(jié)就網(wǎng)絡(luò)安全的實現(xiàn)技術(shù)和現(xiàn)狀進(jìn)行詳細(xì)論述,并且在此基礎(chǔ)上得出就具體安全問題如何進(jìn)行防范。 3.6.4.2當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀 對于我們用戶來說,要建立完整有效的內(nèi)部網(wǎng),其面臨的主要困境和對系統(tǒng)安全的考慮來源于以下方面: 各種對于網(wǎng)絡(luò)安全性的威脅 網(wǎng)絡(luò)擁擠問題 各種異構(gòu)網(wǎng)絡(luò)產(chǎn)品的互操作 外界闖入的惡意攻擊 非授權(quán)的資料存取 假冒合法用戶 3.6.4.3系統(tǒng)安全設(shè)計的原則 安全性第一: 由于安全性和網(wǎng)絡(luò)的性能(使用的靈活性、方便性、傳輸效率等)是一對矛盾,兩者不能兼得,強(qiáng)調(diào)了安全性,網(wǎng)絡(luò)的性能受到影響,強(qiáng)調(diào)網(wǎng)絡(luò)的性能,安全性可能減弱。由于X醫(yī)院內(nèi)網(wǎng)與市

38、醫(yī)保系統(tǒng)相連,外網(wǎng)與Internet相連(內(nèi)外網(wǎng)從物理上完全分開),因此安全是第一位的,我們從如下方法中來體現(xiàn): 多重保護(hù): (全局防御的原則) 任何安全保護(hù)措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護(hù)系統(tǒng),各重保護(hù)相互補(bǔ)充,當(dāng)一重保護(hù)被攻破時,其它重保護(hù)仍可保護(hù)信息的安全。特別是在外網(wǎng)與Internet相連是時,連接處建立防火墻,在內(nèi)部路由器上建立訪問表(Accesslist),又在各服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)上實施訪問控制等。 多層次(OSI參考模型中的邏輯層次) :如在鏈路層和網(wǎng)絡(luò)層實施包過濾,在表示層實施加密傳送,在應(yīng)用層設(shè)置專用程序代碼。 多個安全單元:把整

39、個網(wǎng)絡(luò)的安全性賦予多個安全單元,如路由器、屏蔽子網(wǎng)、網(wǎng)關(guān),形成了多道安全防線。 網(wǎng)絡(luò)分段 :網(wǎng)絡(luò)分段是保證安全的重要措施。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段。網(wǎng)絡(luò)可從物理上分為若干段,即通過交換器連接各段。對于TCP/IP可進(jìn)行邏輯分段,即把網(wǎng)絡(luò)分成若干IP子網(wǎng),各子網(wǎng)通過路由器連接,并在路由器上建立可訪問表,來控制各子網(wǎng)間的訪問。 最小授權(quán):特權(quán)(超級)網(wǎng)絡(luò)要有制約措施,分散過大的集中權(quán)力,以降低災(zāi)難程度。 綜合性:計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全應(yīng)從物理上、技術(shù)上、管理制度(如安全操作乃至計算機(jī)病毒的防范等)上以及安全教育上全面采取措施,相互彌補(bǔ)和完善,盡可能地排除安全漏洞。 3.6.4.4提高

40、安全性意識 安全性意識是解決安全性問題的基礎(chǔ),只有提高所有用戶的安全性意識,才能有力地保證網(wǎng)絡(luò)的安全性,安全性設(shè)計主要考慮三個基本的因素。 阻止對長沙市X醫(yī)院網(wǎng)絡(luò)上系統(tǒng)的未授權(quán)訪問可以通過用戶安全意識和管理得當(dāng)?shù)陌踩呗缘慕M合來實現(xiàn)。 安全性意識來源于對長沙市X醫(yī)院工作人員進(jìn)行計算機(jī)和網(wǎng)絡(luò)的教育和培訓(xùn),要增強(qiáng)每個用戶保護(hù)長沙市X醫(yī)院和個人數(shù)據(jù)的道德意識。這包括保護(hù)其他職員的數(shù)據(jù)免受未經(jīng)許可的訪問。另外,還要建立一個清楚明了的政策,向職員們解釋公共可用網(wǎng)絡(luò)資源和專用資源的差別。 安全教育及培訓(xùn)的另一個重要方面是向用戶解釋口令(包括他們的帳號和其它被限制的網(wǎng)絡(luò)資源)所起的作用。口令的選擇、

41、定期修改,以及絕不外泄等是口令安全性的基本保障。 安全性意識還包括對病毒的認(rèn)識以及防病毒意識的提高。 3.6.4.5網(wǎng)絡(luò)安全的實現(xiàn) 網(wǎng)絡(luò)安全方面,根據(jù)有關(guān)部門在Internet/Intranet互聯(lián)方面的有關(guān)規(guī)定和實際要求,采用如下安全措施:內(nèi)部網(wǎng)絡(luò)(Intranet)與互聯(lián)網(wǎng)(Internet)從物理上分開,保證內(nèi)網(wǎng)安全。 與外部市醫(yī)保系統(tǒng)等互聯(lián)的安全 在長沙市X醫(yī)院網(wǎng)絡(luò)系統(tǒng)看來,市醫(yī)保網(wǎng)絡(luò)等網(wǎng)是外部不可信任區(qū)域。為此在與他們連接時,必須安裝相應(yīng)的安全隔離設(shè)備。防火墻是一種很好的選擇。 首先,我們在路由器上設(shè)置訪問列表,進(jìn)行地址的校驗,控制IP地址的流向及路由,進(jìn)行初步的防火。

42、 其次,在與外部網(wǎng)絡(luò)的連接上采用中高等強(qiáng)度的防火墻設(shè)備。通過代理服務(wù)器與外部網(wǎng)接入路由器相連,隔離內(nèi)外網(wǎng),實現(xiàn)安全控制。由于外部路由器只能向外聯(lián)網(wǎng)通告DMZ網(wǎng)絡(luò)的存在,外聯(lián)網(wǎng)上的系統(tǒng)不需要有路由器與內(nèi)部網(wǎng)絡(luò)相連。這樣網(wǎng)絡(luò)管理員就可以保證內(nèi)部網(wǎng)絡(luò)是“不可見”的,并且只有在DMZ網(wǎng)絡(luò)上選定的系統(tǒng)才對外聯(lián)網(wǎng)開放(通過路由表和DNS信息交換)。在防火墻上做NAT(網(wǎng)絡(luò)地址變換),從而避免在內(nèi)部網(wǎng)絡(luò)上重新編址或重新劃分子網(wǎng),使內(nèi)網(wǎng)完全對外隱蔽。同時防火墻對所有通過的數(shù)據(jù)包進(jìn)行校驗,設(shè)置用戶的訪問權(quán)限,對于非法用戶拒絕訪問;并設(shè)置跟蹤源和目的地址、TCP序列號、端口及每個分組(包)的附加TCP標(biāo)識符,對于

43、非法侵入的用戶進(jìn)行跟蹤,并進(jìn)行隔離。 同時為了防止個別的專家入侵者突破外網(wǎng)路由器和防火墻而侵襲內(nèi)部網(wǎng)絡(luò),在內(nèi)部網(wǎng)絡(luò)中心交換機(jī)上設(shè)置適量的訪問控制,進(jìn)行第三級訪問控制。“內(nèi)部路由器”只向內(nèi)部網(wǎng)絡(luò)通告DMZ網(wǎng)絡(luò)的存在,內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往外聯(lián)網(wǎng),包過濾路由器直接將數(shù)據(jù)引向DMZ網(wǎng)絡(luò)上所指定的系統(tǒng)。內(nèi)部路由器在作為內(nèi)部網(wǎng)絡(luò)和外聯(lián)網(wǎng)之間最后的防火墻系統(tǒng)時,能夠支持比雙宿堡壘主機(jī)更大的數(shù)據(jù)包吞吐量。 對于普通的用戶,可以允許訪問公共的WWW等服務(wù)器,并在服務(wù)器上設(shè)置用戶的訪問權(quán)限,保護(hù)服務(wù)器系統(tǒng)不受損害。 與Internet網(wǎng)的互連 其次,在外網(wǎng)和Internet相連處增設(shè)防火墻,利用防

44、火墻技術(shù)限制Internet用戶對服務(wù)器的訪問權(quán)限,也就是對外部用戶只提供Web和FTP服務(wù)。 另外,該防火墻也對局內(nèi)用戶進(jìn)入Internet的計算機(jī)進(jìn)行過濾,從而進(jìn)一步增強(qiáng)服務(wù)段網(wǎng)絡(luò)的安全。 這種內(nèi)、外網(wǎng)完全從物理上隔開的設(shè)計主要是為了保護(hù)醫(yī)院信息系統(tǒng)數(shù)據(jù)的安全,徹底避免外部黑客的攻擊。 3.6.4.6防病毒系統(tǒng)設(shè)計 病毒是系統(tǒng)中最常見、威脅最大的安全來源,建立一個全方位的病毒防范系統(tǒng)是市財政局網(wǎng)絡(luò)安全體系建設(shè)的重要任務(wù)。我們將根據(jù)長沙市X醫(yī)院網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)和計算機(jī)分布情況僅提出一些防病毒的安全策略和部署要求: 長沙市X醫(yī)院網(wǎng)絡(luò)使用的病毒系統(tǒng),要能夠從多層次進(jìn)行病毒防范,第一層工作

45、站、第二層服務(wù)器、第三層網(wǎng)關(guān)都能有相應(yīng)的防毒軟件提供完整的、全面的防病毒保護(hù)。如果有Notes等群件系統(tǒng)同樣要配置群件防病毒控制系統(tǒng)。 能夠配置成分布式運(yùn)行和集中管理,防病毒客戶端安裝在系統(tǒng)的關(guān)鍵主機(jī)中,如關(guān)鍵服務(wù)器、工作站和網(wǎng)管終端。在防病毒管理服務(wù)器端能夠交互式地操作防病毒客戶端進(jìn)行病毒掃描和清殺,設(shè)定病毒防范策略。 設(shè)置網(wǎng)絡(luò)自動下載、更新和分發(fā):在局域網(wǎng)中特別選定一臺裝有網(wǎng)絡(luò)防毒系統(tǒng)并能連接Internet的NT服務(wù)器作為自動下載服務(wù)器,定時自動從防毒產(chǎn)品的站點下載最新的的病毒特征文件和搜索引擎,保證防毒軟件定期得到最新反病毒文件。 完善的運(yùn)行日志記錄:日志包括了從服務(wù)器到客戶端計

46、算機(jī)運(yùn)行的所有記錄。網(wǎng)絡(luò)管理員可以從日志的內(nèi)容中掌握網(wǎng)絡(luò)中所有計算機(jī)的運(yùn)行情況,包括出現(xiàn)問題的計算機(jī)名稱、用戶名、使用時間、染毒情況、處理情況等信息,從而使網(wǎng)絡(luò)管理更加簡單、明了且有針對性。 建議為市X醫(yī)院網(wǎng)絡(luò)部署瑞星 100用戶 企業(yè)網(wǎng)絡(luò)版防病毒系統(tǒng)。 3.6.4.7防火墻系統(tǒng)設(shè)計 網(wǎng)絡(luò)防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)設(shè)備,它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進(jìn)行檢查,來決定網(wǎng)絡(luò)之間的通信是否被允許,其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò),另一方則被稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。防火墻能有效的控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸,從而達(dá)到保護(hù)

47、內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的?,F(xiàn)在的防火墻多數(shù)是三穴防火墻,將網(wǎng)絡(luò)劃分為信任區(qū)、非信任區(qū)、以及中立區(qū),對網(wǎng)絡(luò)的訪問進(jìn)行控制,從而達(dá)到保護(hù)網(wǎng)絡(luò)按全的作用。 為了保障外部移動用戶在與內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)交換時的安全,保障內(nèi)部網(wǎng)絡(luò)應(yīng)用的安全,將防火墻置于路由器與內(nèi)部網(wǎng)絡(luò)之間,以保護(hù)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)安全,防止網(wǎng)絡(luò)受到外部非法侵入。針對本網(wǎng)絡(luò)的特點選用天融信NGFW ARES—G防火墻。 3.6.4.7.1天融信NGFW ARES—G防火墻介紹 NGFW ARES網(wǎng)絡(luò)衛(wèi)士系列防火墻是基于天融信公司具有自主知識產(chǎn)權(quán)的TOS(Topsec Operating System)系統(tǒng)

48、平臺,形成了集防火墻、IPSEC VPN、入侵檢測、身份認(rèn)證等多種功能一體化的高效率平臺,為行業(yè)分支機(jī)構(gòu)、中小型企業(yè)、教育非骨干節(jié)點院校等中小用戶可提供一個可靠的安全解決方案。 多功能融合的一體化平臺 ☆NGFW ARES將防火墻、IPSEC VPN、身份認(rèn)證、IDS等安全特性充分融合優(yōu)化,并提供交換、路由、組播、NAT、DHCP等多種特性,成為集路由、交換、無線接入、語音支持的多功能的安全網(wǎng)關(guān)。單臺設(shè)備即可解決普通中小用戶的基本安全需求。 ☆ 支持眾多網(wǎng)絡(luò)通信協(xié)議和應(yīng)用協(xié)議,如VLAN、ADSL、PPP、ISL、802.1Q、Spanning tree、IPSEC、H.323、MMS、

49、RTSP、ORACLE SQL*NET、PPOE、MS RPC等協(xié)議,滿足中小用戶復(fù)雜多變的應(yīng)用需要。 ☆豐富的接入方式支持能力。提供ADSL PPPoE的接入方式,提供寬帶FE的接入方式,提供NAT和DHCP等功能,為用戶不同接入方式提供了豐富的選擇。 獨(dú)創(chuàng)的高效率防火墻技術(shù) ☆ 在天融信自主開發(fā)TOS操作系統(tǒng)上的防火墻安全引擎(SE)采用了基于OS 內(nèi)核的核檢測技術(shù),在OS 內(nèi)核實現(xiàn)對應(yīng)用層的訪問控制,實現(xiàn)二到七層的全面的訪問控制機(jī)制,從而最大化提高系統(tǒng)處理效率。 ☆除了支持對HTTP地址、頁面關(guān)鍵詞、移動代碼、FTP以及Email過濾功能,還內(nèi)置了病毒檢測功能。它采用系統(tǒng)核心層實

50、現(xiàn)傳輸內(nèi)容的還原、檢測,從而確保不影響網(wǎng)絡(luò)傳輸效率的前提下進(jìn)行深層安全掃描。 ☆ 同時具有內(nèi)置IDS以及和外置IDS聯(lián)動特性,高級的Intelligent Guard技術(shù)提供了強(qiáng)大的入侵防護(hù)功能,提高了處理效率,可以抵御包括Syn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、端口掃描等幾十種攻擊。 便捷安全的管理方式 ☆NGFW ARES實現(xiàn)即裝即用的便捷管理方式,提供命令行和GUI等多種管理手段,配置簡單易學(xué)。 ☆ 所有管理操作都采用加強(qiáng)的SSL進(jìn)行加密傳輸。要求GUI客戶端對防火墻進(jìn)行證書認(rèn)證的同時,防火墻也要對客戶

51、端進(jìn)行證書認(rèn)證,避免了傳統(tǒng)不對GUI客戶端進(jìn)行認(rèn)證的安全問題。 功能類別 功能項 功能細(xì)項 網(wǎng)絡(luò)安全性 工作模式 路由、透明、混合 內(nèi)容過濾 支持基于流、數(shù)據(jù)包、透明代理的過濾方式。 支持對HTTP、SMTP、POP3、FTP等協(xié)議的深度內(nèi)容過濾。 支持URL過濾 支持對移動代碼如Java applet、Active-X、VBScript、Jscript、Java script的過濾 支持對郵件的收發(fā)郵件地址、文件名、文件類型過濾 支持對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過濾 動態(tài)端口支持協(xié)議:FTP、RTSP、SQL*NET、MMS、R

52、PC(msrpc,dcerpc)、H.323、TFTP。 包過濾 基于狀態(tài)檢測的動態(tài)包過濾 實現(xiàn)基于源/目的IP地址、源/目的MAC地址、源/目的端口、協(xié)議、時間等數(shù)據(jù)包快速過濾 支持報文合法性檢查 可實現(xiàn)IP/MAC綁定 防御攻擊 非法報文攻擊:land 、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof 統(tǒng)計型報文攻擊:Synflood、Icmpflood、Udpflood、Portscan、ipsweep Topsec聯(lián)動:可與支持TOPSEC協(xié)議的IDS設(shè)備聯(lián)動,以提高入侵檢測效

53、率。 端口阻斷:可以根據(jù)數(shù)據(jù)包的來源和數(shù)據(jù)包的特征進(jìn)行阻斷設(shè)置 SYN代理:對來自定義區(qū)域的Syn Flood攻擊行為進(jìn)行阻斷過濾 AAA服務(wù) 支持使用一次性口令認(rèn)證(OTP)、本地認(rèn)證、雙因子認(rèn)證(SecureID)以及數(shù)字證書(CA)等常用的安全認(rèn)證方式 支持使用第三方認(rèn)證如RADIUS、TACACS/TACACS+、LDAP、域認(rèn)證等安全認(rèn)證方式 支持Session認(rèn)證、HTTP會話認(rèn)證 支持認(rèn)證保活功能 可將認(rèn)證用戶信息加密存放在本地數(shù)據(jù)庫 NAT 支持雙向NAT 支持動態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換 支持多對一、一對多和一對一等多種方式的地址轉(zhuǎn)換 支持虛擬服務(wù)器功

54、能 網(wǎng)絡(luò)適應(yīng)性 路由 支持靜態(tài)路由、動態(tài)路由 支持基于源/目的地址、接口、Metric的策略路由 支持單臂路由,可通過單臂模式接入網(wǎng)絡(luò),并提供路由轉(zhuǎn)發(fā)功能。 支持Vlan路由,能夠在不同的VLAN虛接口間實現(xiàn)路由功能。 支持RIP等路由協(xié)議。 組播 支持IGMP組播協(xié)議 支持IGMP SNOOPING 可有效地實現(xiàn)視頻會議等多媒體應(yīng)用 VLAN 支持與交換機(jī)的Trunk接口對接,并且能夠?qū)崿F(xiàn)Vlan間通過安全設(shè)備傳播路由 支持802.1Q,能進(jìn)行802.1Q的封裝和解封 支持ISL,能進(jìn)行ISL的封裝和解封 在同一個Vlan內(nèi)能進(jìn)行二層交換 生成樹 支持80

55、2.1D生成樹協(xié)議,包括PVST+及CST等協(xié)議。 ARP 支持ARP代理、ARP學(xué)習(xí) 可設(shè)置靜態(tài)ARP 非IP 協(xié)議 支持對非IP 協(xié)議IPX/NetBEUI 的傳輸與控制。 DHCP 支持DHCP Client、DHCP Relay、DHCP Server 接入 支持ADSL接入功能,可滿足中小企業(yè)的多種接入需求。 支持PPPOE撥號接入 其它 支持網(wǎng)絡(luò)時鐘協(xié)議SNTP,可以自動根據(jù)NTP服務(wù)器的時鐘調(diào)整本機(jī)時間 支持IPX、NetBEUI等非IP 協(xié)議。 *VPN IKE 支持基于標(biāo)準(zhǔn)IKE協(xié)商的VPN通信隧道 支持多種IKE認(rèn)證方式,如預(yù)共享密鑰,數(shù)字

56、證書等 支持IKE擴(kuò)展認(rèn)證,如Radius認(rèn)證等。 解決方案 支持網(wǎng)關(guān)到網(wǎng)關(guān)、遠(yuǎn)程移動用戶到網(wǎng)關(guān)的VPN隧道 在具有SCM的解決方案中,支持靈活的移動用戶到移動用戶的隧道。 可以和密碼機(jī)產(chǎn)品,遠(yuǎn)程客戶端產(chǎn)品及VPN安全管理系統(tǒng)(SCM)共同組成完整的VPN解決方案。 算法 支持3DES、DES、國密辦等加密算法 支持標(biāo)準(zhǔn)MD5、SHA-1認(rèn)證算法 支持加密卡提供的MD5、SHA-1認(rèn)證算法 工作模式 支持HUB-SPOKE方式 支持網(wǎng)狀連接方式 支持分級的樹狀連接方式 其它功能 支持網(wǎng)絡(luò)鄰居(利用WINS) 支持隧道的NAT穿越 支持對隧道內(nèi)明文的訪問控制

57、可同時支持明密傳輸 安全管理 日志 支持Welf、Syslog等多種日志格式的輸出 支持通過第三方軟件來查看日志 支持日志分級 支持對接收到的日志進(jìn)行緩沖存儲 通過安全審計系統(tǒng)(TA-L),可獲得更詳盡的日志分析和審計功能,并能提供員工上網(wǎng)行為管理功能。 可選高級日志審計功能模塊,除接受防火墻日志外還能接受交換機(jī)、路由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他安全產(chǎn)品的日志進(jìn)行聯(lián)合分析。 監(jiān)控 支持網(wǎng)絡(luò)接口監(jiān)測、CPU利用率監(jiān)測、內(nèi)存使用率監(jiān)測、操作系統(tǒng)狀況監(jiān)測、網(wǎng)絡(luò)狀況監(jiān)測、硬件系統(tǒng)監(jiān)測、進(jìn)程監(jiān)測、進(jìn)程內(nèi)存監(jiān)測、加密卡狀況監(jiān)測。 可根據(jù)配置文件進(jìn)行錯誤恢復(fù) 報警 報警事件:內(nèi)置了

58、“管理”、“系統(tǒng)”、“安全”、“策略”、“通信”、“硬件”、“容錯”、“測試”等多種觸發(fā)報警的事件類 報警方式:采用郵件、NETBIOS、聲音、SNMP、控制臺等多種報警方式,報警方式可以組合使用。 支持Watchdog功能 配置管理 配置方式 支持WEB圖形配置、命令行配置 支持本地配置、遠(yuǎn)程配置 支持基于SSH、SSL的安全配置 命令行 支持配置命令分級保護(hù) 支持中英文 支持命令超時、歷史命令、命令補(bǔ)齊、命令幫助、命令錯誤提示等功能 SNMP 支持SNMP 的v1 、v2 、v2c 、v3 版本 與當(dāng)前通用的網(wǎng)絡(luò)管理平臺兼容,如HP Openview 等。 支

59、持遠(yuǎn)程維護(hù)和系統(tǒng)升級 支持TFTP升級 報文調(diào)試 提供強(qiáng)大的報文調(diào)試功能,可以幫助網(wǎng)絡(luò)管理員或安全管理員發(fā)現(xiàn)、調(diào)試和解決問題。 支持發(fā)送虛擬報文 配置恢復(fù) 可以進(jìn)行配置文件的備份、下載、刪除、恢復(fù)和上載。 其它 擴(kuò)展能力 開放式的架構(gòu)支持未來方便擴(kuò)展防病毒、防垃圾郵件、IPSEC VPN、SSL VPN等功能以及各種VPN加速卡 3.6.5設(shè)備簡介 3.6.5.1中心交換機(jī) 一、概況 BigHammer6800系列核心智能多層交換機(jī)是港灣網(wǎng)絡(luò)有限公司在現(xiàn)今網(wǎng)絡(luò)融合的趨勢下,針對目前電信級城域網(wǎng)、企業(yè)級中小城域網(wǎng)及大型園區(qū)網(wǎng)對核心設(shè)備高性能、高可靠性、高智能、高

60、安全、高端口密度和多業(yè)務(wù)支持的要求,推出的自主研發(fā)的新一代基于萬兆平臺的核心交換機(jī),目前已經(jīng)在市場上取得了大規(guī)模應(yīng)用。 BigHammer6800系列核心智能多層交換機(jī)包括BigHammer6813、BigHammer6808、BigHammer6805和BigHammer6802四款設(shè)備,交換容量最高可達(dá)1.92Tbps。BigHammer6800支持高密度萬兆、千兆、百兆端口,同時還支持POS等廣域網(wǎng)接口;支持IPv6、MPLS、VPN、策略路由、用戶認(rèn)證、NAT等特性;并且支持高達(dá)1M路由表。BigHammer6800交換機(jī)內(nèi)置硬件防火墻模塊支持安全分區(qū)策略,從而為用戶構(gòu)建高性能、高安

61、全、多業(yè)務(wù)的IP網(wǎng)絡(luò)提供一個優(yōu)秀的萬兆應(yīng)用中心。 二、產(chǎn)品特性 高性能分布式交換架構(gòu),支持大容量的高密度線速轉(zhuǎn)發(fā) BigHammer6800系列交換機(jī)交換容量最高達(dá)1.92T,采用分布式架構(gòu)設(shè)計、業(yè)界先進(jìn)的交換矩陣結(jié)構(gòu)、高性能的智能ASIC,支持所有業(yè)務(wù)板卡線速轉(zhuǎn)發(fā)。 端口密度高,整機(jī)最高支持576個千兆端口、96個萬兆端口,并且支持所有端口線速轉(zhuǎn)發(fā)。 創(chuàng)新的雙主控冗余設(shè)計以及無源背板設(shè)計,能夠滿足交換機(jī)交換容量的持續(xù)平滑升級。 強(qiáng)大多業(yè)務(wù)支撐能力 采用開放式架構(gòu),BigHammer6800系列交換機(jī)支持MPLS VPN、策略路由、PPPoE/802. 1x/Web認(rèn)證、N

62、AT網(wǎng)關(guān)、防火墻等功能特性以實現(xiàn)對各類復(fù)雜業(yè)務(wù)的支持,真正實現(xiàn)多應(yīng)用業(yè)務(wù)的完美融合。 領(lǐng)先的IPv6支持能力,通過IPv6 Ready認(rèn)證。 完善的組播支持能力,包括IGMP、IGMP Snooping,PIM-SM、PIM-DM、MSDP和MBGP等。 面向用戶的智能QoS服務(wù)質(zhì)量保證 采用領(lǐng)先的ASIC智能流分類技術(shù),準(zhǔn)確識別出數(shù)據(jù)報文中2/3/4層的內(nèi)容,并且根據(jù)預(yù)制的動作,完成對數(shù)據(jù)流的智能化處理以及快速準(zhǔn)確轉(zhuǎn)發(fā); 先進(jìn)的分布式L2/3/4層線速交換,基于流和端口的CAR限速,2級包頭阻塞(HOL)預(yù)防機(jī)制,智能的避免端口阻塞,保證網(wǎng)絡(luò)暢通。 豐富的優(yōu)先級別實現(xiàn)機(jī)制,支持

63、802.1P、TOS、DSCP和EXP域的標(biāo)記和重標(biāo)記,支持8個優(yōu)先級隊列以及SP/WFQ/WRR等隊列調(diào)度方式,支持RED/WRED/Tail drop等擁塞控制方式,以及流量整形機(jī)制。 完善的安全機(jī)制 內(nèi)置的NP架構(gòu)安全防火墻模塊,將傳統(tǒng)的網(wǎng)關(guān)防火墻引入到網(wǎng)絡(luò)內(nèi)部骨干節(jié)點,實現(xiàn)對內(nèi)部網(wǎng)絡(luò)多個等級的安全防護(hù)能力。 完善的ACL訪問控制策略的定制,支持基于時間、用戶MAC、IP地址、IP協(xié)議(TCP/UDP)、TCP端口號和UDP端口號、VLAN等信息全面的ACL控制,靈活控制防止非法用戶對網(wǎng)絡(luò)的訪問。 支持網(wǎng)絡(luò)管理服務(wù)NMS策略限制, 防止非法用戶對設(shè)備的控制;支持RADIUS等遠(yuǎn)程

64、認(rèn)證協(xié)議,實現(xiàn)用戶登錄的遠(yuǎn)程認(rèn)證控制;支持SSH登錄方式;多級授權(quán)訪問、最大連接數(shù)控制等機(jī)制,具有極高的管理安全特性。 專利的CPU保護(hù)技術(shù),能夠很好抵御攻擊報文對設(shè)備CPU的攻擊,實現(xiàn)設(shè)備良好的自我防御機(jī)制,保障設(shè)備的穩(wěn)定運(yùn)行。 可靠性設(shè)計 主控、電源、風(fēng)扇均采用冗余設(shè)計,所有板卡、電源、風(fēng)扇均支持熱插拔,升級、更換板卡時對業(yè)務(wù)不會造成影響。 電源支持負(fù)載分擔(dān),大大提高設(shè)備運(yùn)行穩(wěn)定性。 支持跨板鏈路匯聚、ERRP環(huán)網(wǎng)技術(shù)、MSTP、VRRP、等價路由等協(xié)議,為設(shè)備提供動態(tài)的鏈路安全備份。 中文智能網(wǎng)管 支持SNMPv3,滿足網(wǎng)管協(xié)議對安全的要求。 智能ASIC技術(shù)配合策略網(wǎng)管

65、執(zhí)行,對應(yīng)用數(shù)據(jù)流的優(yōu)先級劃分和帶寬調(diào)度,滿足不同應(yīng)用業(yè)務(wù)對服務(wù)質(zhì)量的不同要求。 在網(wǎng)管平臺上能夠直觀地制定對不同應(yīng)用或用戶的QoS策略,從而使網(wǎng)絡(luò)管理員能夠輕松布署網(wǎng)絡(luò)中的不同業(yè)務(wù)。 配合港灣自主開發(fā)的EasyTouch統(tǒng)一網(wǎng)管平臺和HammerView圖形界面管理系統(tǒng),可以實現(xiàn)分級分權(quán)管理、日志管理、性能管理、VLAN管理、手機(jī)短信告警等等智能化管理手段。 三、性能指標(biāo) 特性指標(biāo) BigHammer6813 BigHammer6808 BigHammer6805 BigHammer6802 插槽數(shù) 14 8 5 2 背板容量 無源背板 >4.2T >

66、2.4T >1.4T >760G 主控板(bps) MCU(256G);MCU2(640G);MCU3(1.92T) 160G 包轉(zhuǎn)發(fā)率(pps) MCU:170M ; MCU2:416M;MCU3:1.43G 119M IP路由表 256K(可擴(kuò)展至1M) 路由協(xié)議 支持靜態(tài)路由; 支持RIP; 支持OSPF; 支持IS-IS; 支持BGPv4; 支持策略路由; 支持WCMP/ECMP; 組播 支持IGMP Snooping 支持IGMP 支持PIM-SM 支持PIM-DM 支持MSDP 支持MBGP VLAN 數(shù)量 4K VLAN 類型及協(xié)議 支持802.1Q、基于端口、基于子網(wǎng)、基于協(xié)議 Vlan; 支持Super Vlan; 支持Pvlan; 支持QinQ(外層標(biāo)簽可靈活設(shè)置); 支持GVRP; STP 支持STP、RSTP、MSTP等; ACL 支持標(biāo)準(zhǔn)和擴(kuò)展ACL; 可基于時間、MAC地址、Vlan、IP地址、IP協(xié)議(TCP/UDP)、TCP/UDP端口號、VLAN等

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!