人民醫(yī)院外科病房樓網(wǎng)絡(luò)方案書技術(shù)資金申請計劃書

目錄

1.網(wǎng)絡(luò)廠商的選擇....................................................5

1.1,設(shè)備應(yīng)用規(guī)模及穩(wěn)定性、兼容性................................5

1.2.完善的研發(fā)體系和全系列的網(wǎng)絡(luò)產(chǎn)品............................6

1.3.健全的服務(wù)支持和培訓(xùn)認(rèn)證體系................................7

2.前言...............................................................9

2.1.概述..........................................................9

2.2.設(shè)計要求.....................................................11

2.3.整體建網(wǎng)原則...........................................13

3.局域網(wǎng)總體技術(shù)方案..............................................15

3.1.總體方案設(shè)計................................................15

3.1.2.有線無線混合組網(wǎng)下的認(rèn)證方案...........................17

3.1.3.用戶管理.................................................18

3.2.網(wǎng)管方案.....................................................19

3.2.1.基礎(chǔ)網(wǎng)絡(luò)資源管理.......................................20

3.2.2.基礎(chǔ)網(wǎng)絡(luò)拓?fù)涔芾?......................................21

3.2.3.故障與告警管理.........................................21

3.2.4.性能監(jiān)控................................................21

3.2.5.系統(tǒng)管理................................................22

4.網(wǎng)絡(luò)業(yè)務(wù)設(shè)計.........................................................22

4.1.IP地址規(guī)劃...................................................22

4.1.1.IP地址分配原則......................................22

4.1.2.IP地址規(guī)劃方案......................................23

4.2.路由設(shè)計....................................................24

4.2.1.路由協(xié)議選擇及設(shè)計建議.............................24

4.2.2.路由協(xié)議選擇原則....................................24

4.2.3.本網(wǎng)絡(luò)路由協(xié)議的選擇................................25

4.3.VLAN的劃分..................................................26

4.3.1.劃分VLAN的必要性...................................26

4.3.2.劃分VLAN的方法.........................................27

4.3.3.VLAN規(guī)劃.............................................29

4.4.組播業(yè)務(wù).....................................................31

4.5.QoS設(shè)計......................................................32

4.5.1.QoS體系結(jié)構(gòu)的選擇...................................32

4.5.2.QoS的實(shí)現(xiàn)機(jī)制.......................................34

4.5.3.QoS部署..............................................41

4.5.4.關(guān)鍵業(yè)務(wù)服務(wù)質(zhì)量保證設(shè)計...........................55

5.H3C公司售后保障體系以及用戶認(rèn)證培訓(xùn)體系..........................56

5.1.兩小時廠家上門服務(wù)..........................................56

5.2.服務(wù)組織結(jié)構(gòu)................................................56

5.3.服務(wù)及時性保障..............................................58

5.4.服務(wù)有效性保障..............................................60

5.4.1.7x24小時熱線技術(shù)支持電話.............................60

5.4.2,區(qū)域技術(shù)支持平臺........................................60

5.4.3.網(wǎng)上問題處理系統(tǒng)........................................60

5.4.4.完善的實(shí)驗平臺..........................................61

5.4.5.高效快捷的備件系統(tǒng)......................................61

5.4.6.技術(shù)支持網(wǎng)站與技術(shù)支持論壇............................61

5.4.7.完備的技術(shù)支持資料開發(fā)系統(tǒng)............................62

6.禹城人民醫(yī)院解決方案特點(diǎn)............................................63

6.1.全分布的處理方式............................................63

6.2.核心交換機(jī)先進(jìn)的體系架構(gòu)設(shè)計...............................63

6.3.基于流攻擊的防止。..........................................64

6.4.QoS規(guī)劃設(shè)計.................................................64

6.5.有線無線一體化管理..........................................64

6.6.廠家技術(shù)實(shí)力................................................65

6.7.售后服務(wù)....................................................65

7.方案產(chǎn)品介紹.....................................................66

7.1.H3CS7500E系列高端多業(yè)務(wù)路由交換機(jī).......................66

7.1.1.產(chǎn)品概述.................................................66

7.1.2.產(chǎn)品特點(diǎn).................................................67

7.1.3.產(chǎn)品規(guī)格.................................................71

7.2H3CS5120-SI系列交換機(jī).....................................81

7.2.1產(chǎn)品概述................................................81

7.2.2產(chǎn)品特點(diǎn)................................................83

7.2.3產(chǎn)品規(guī)格................................................86

7.3H3C器SecPathU200-A統(tǒng)一威脅管理產(chǎn)品.....................92

7.3.1產(chǎn)品概述................................................92

7.3.2產(chǎn)品特點(diǎn).................................................93

7.3.3產(chǎn)品規(guī)格................................................95

1.網(wǎng)絡(luò)廠商的選擇

在充分研究禹城人民醫(yī)院外科病房樓網(wǎng)絡(luò)項目的需求的基礎(chǔ)上，我們對目前

業(yè)界的主流的網(wǎng)絡(luò)廠商，做了較為詳細(xì)的對比研究，綜合考慮廠家產(chǎn)品及解決方

案在醫(yī)療及其他行應(yīng)用規(guī)模、產(chǎn)品技術(shù)的先進(jìn)性、成熟度及兼容性、公司的研發(fā)

實(shí)力和服務(wù)體系保障等因素，我們建議采用杭州華三通信技術(shù)有限公司（以下簡

稱H3c公司）的網(wǎng)絡(luò)產(chǎn)品作為此次項目的組網(wǎng)設(shè)備。

選擇H3c公司的依據(jù)：

H3c公司可以提供全線的包括交換機(jī)、管理軟件、無線系統(tǒng)以及防火墻等性

價比非常高的產(chǎn)品來滿足此次項目的要求。

1.1.設(shè)備應(yīng)用規(guī)模及穩(wěn)定性、兼容性

H3C公司的網(wǎng)絡(luò)產(chǎn)品目前已經(jīng)廣泛應(yīng)用與全球的各個行業(yè)中，截至2007年4

季度H3c公司在中國市場交換機(jī)的市場份額為41%,路由器為30%（數(shù)據(jù)來源

于CCID2008年2月），名列前茅。

目前H3c的全系列產(chǎn)品進(jìn)入英國、德國、香港、俄羅斯、巴西、泰國、墨西

哥等六十六個國家和地區(qū)，并承建了中國電信、中國移動、英國、泰國、巴西等

14個國家級IP骨干網(wǎng)。H3c目前在國內(nèi)的醫(yī)療網(wǎng)建設(shè)中已經(jīng)得到了大規(guī)模的應(yīng)

用。在國內(nèi)，H3c承建了絕大部分的無線醫(yī)療網(wǎng)，包括：

?北京醫(yī)院

?復(fù)旦大學(xué)附屬中山醫(yī)院

?解放軍總醫(yī)院

?中山市人民醫(yī)院

?第三軍醫(yī)大學(xué)

?廣州醫(yī)學(xué)院附屬第三醫(yī)院

?廣州市第一人民醫(yī)院

?開元醫(yī)院

?江陰人民醫(yī)院

?余姚人民醫(yī)院

?泉州市人民醫(yī)院

?蘭州大學(xué)第一醫(yī)院

大規(guī)模的應(yīng)用不但大大拉近了用戶和H3c公司的距離，使得H3c公司能夠更

快更好為市場、為用戶提供產(chǎn)品，同時也驗證了H3C公司產(chǎn)品的穩(wěn)定性和兼容性。

1.2.完善的研發(fā)體系和全系列的網(wǎng)絡(luò)產(chǎn)品

H3c每年將銷售額的15%以上用于研發(fā)投入，在中國的北京、杭州、深圳以

及印度的班加羅爾設(shè)有研發(fā)機(jī)構(gòu)，在北京和杭州設(shè)有產(chǎn)品鑒定測試中心。目前，

H3C已申請專利超過700件，其中80%是發(fā)明專利。

H3C目前從事IP產(chǎn)品技術(shù)研發(fā)的研究所有6個，包括北京研究所、杭州研究

所、印度研究所、南京研究所、深圳研究所、美國研究所，研發(fā)人員超過2000

人。印度所、南京所、中央軟件部、上海研究所等都通過“軟件研發(fā)成熟度”最高

級的CMM5級國際認(rèn)證，北京研究所、杭州研究所通過CMM4級國際認(rèn)證。

H3c不但擁有全線路由器和以太網(wǎng)交換機(jī)產(chǎn)品，還在網(wǎng)絡(luò)安全、IP存儲、IP

監(jiān)控、語音視訊、WLAN、SOHO及軟件管理系統(tǒng)等領(lǐng)域穩(wěn)健成長。目前，安全產(chǎn)

品中國市場份額位居前三，IP存儲亞太市場份額第一，IP監(jiān)控技術(shù)全球領(lǐng)先，

H3C已經(jīng)從單一網(wǎng)絡(luò)設(shè)備供應(yīng)商轉(zhuǎn)變?yōu)槎喈a(chǎn)品ITolP解決方案供應(yīng)商。

因此選擇該廠商的網(wǎng)絡(luò)產(chǎn)品能夠有效的保障用戶在網(wǎng)絡(luò)建設(shè)方面的延續(xù)性

和持續(xù)性。

1.3.健全的服務(wù)支持和培訓(xùn)認(rèn)證體系

H3C公司建立了遍布全國的服務(wù)機(jī)構(gòu)。除公司總部設(shè)有完備的技術(shù)支援平臺

外，H3c還在全國建立了36個售后服務(wù)中心，建有完備的技術(shù)支援平臺和備件

系統(tǒng)，通過先進(jìn)的通信技術(shù)與總部的技術(shù)支援平臺連接，完成用戶信息、故障處

理流程、備件庫存、產(chǎn)品分布等信息的共享，形成覆蓋全國地市級城市，專職人

員規(guī)模超過200人的技術(shù)支援體系。同時還在各省市派遣有售后服務(wù)工程師，以

提高售后服務(wù)的響應(yīng)速度。H3C技術(shù)支持支援平臺擁有一批高素質(zhì)的服務(wù)隊伍，

所有服務(wù)人員都具有本科以上學(xué)歷，且有3年以上大型網(wǎng)絡(luò)服務(wù)經(jīng)驗。

為了滿足不同客戶不同層次的培訓(xùn)需求，H3c服務(wù)公司建立了規(guī)范、專業(yè)的

用戶培訓(xùn)體系，將總部培訓(xùn)與分部培訓(xùn)、集中培訓(xùn)與現(xiàn)場培訓(xùn)有機(jī)結(jié)合。目前，

在數(shù)據(jù)通信網(wǎng)絡(luò)技術(shù)領(lǐng)域，H3c培訓(xùn)面向全球，致力于培養(yǎng)專業(yè)務(wù)實(shí)網(wǎng)絡(luò)人才。

考慮客戶不同層次需求，提供全系列的網(wǎng)絡(luò)產(chǎn)品培訓(xùn)，網(wǎng)絡(luò)技術(shù)認(rèn)證培訓(xùn)和客戶

化培訓(xùn)解決方案。同時建立起國際規(guī)范的完整的網(wǎng)絡(luò)技術(shù)認(rèn)證體系。

?在中國建立30余家授權(quán)培訓(xùn)中心，海外建立7家授權(quán)培訓(xùn)中心；覆蓋

中國各大中心城市以及拉美、亞太、中東、北非、俄羅斯等地區(qū)和國家。

?在中國建立60余家網(wǎng)絡(luò)學(xué)院，海外建立1家網(wǎng)絡(luò)學(xué)院。

?與40余所職業(yè)院校建立合作,支持中國職教IT專業(yè)課程改革項目。

鑒于以上幾個主要原因，我們在此次投標(biāo)中選用了H3c公司的網(wǎng)絡(luò)產(chǎn)品做為

此次投標(biāo)的網(wǎng)絡(luò)產(chǎn)品。

2.前言

2.1.概述

隨著信息技術(shù)的快速發(fā)展，國內(nèi)越來越多的醫(yī)院正加速實(shí)施基于信息化

平臺、HIS系統(tǒng)的整體建設(shè)，以提高醫(yī)院的服務(wù)水平與核心競爭力。信息化

不僅提升了醫(yī)生的工作效率，使醫(yī)生有更多的時間為患者服務(wù)，更提高了

患者滿意度和信任度，無形之中樹立起了醫(yī)院的科技形象。因此，醫(yī)療業(yè)

務(wù)應(yīng)用與基礎(chǔ)網(wǎng)絡(luò)平臺的逐步融合正成為國內(nèi)醫(yī)院，尤其是大中型醫(yī)院信

息化發(fā)展的新方向。

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展與成熟，大多數(shù)發(fā)達(dá)國家和一些發(fā)展中國家

已開展網(wǎng)絡(luò)報病和傳染病信息的網(wǎng)絡(luò)化管理，大大提高了對突發(fā)傳染病的

應(yīng)對速度與能力。為了適應(yīng)信息技術(shù)的發(fā)展，與國際接軌，自2003年SARS

之后，我國已經(jīng)將疾病預(yù)防控制與公共衛(wèi)生領(lǐng)域突發(fā)公共衛(wèi)生事件的應(yīng)急

處理上升到國家安全、社會穩(wěn)定的高度，我國衛(wèi)生事業(yè)將面臨難得的機(jī)遇

和嚴(yán)峻的挑戰(zhàn)，目前，我國已基本實(shí)現(xiàn)對突發(fā)傳染病疫情監(jiān)控的網(wǎng)絡(luò)化與

數(shù)字化。隨著衛(wèi)生信息化的縱深發(fā)展，在突發(fā)公共衛(wèi)生為主線的基礎(chǔ)上，

國家和各省已逐步建立起多個監(jiān)測網(wǎng)絡(luò)系統(tǒng)，如何實(shí)現(xiàn)對現(xiàn)有的信息網(wǎng)絡(luò)

系統(tǒng)的運(yùn)行維護(hù)，如何實(shí)現(xiàn)這些監(jiān)測網(wǎng)絡(luò)系統(tǒng)的綜合集成，如何建立一個

“橫向到邊，縱向到底”的國家疾病監(jiān)測網(wǎng)絡(luò)系統(tǒng)，成為近年來對公共衛(wèi)生事

業(yè)的新挑戰(zhàn)，也是公共衛(wèi)生信息化建設(shè)的一個重要課題。

近年來興起的系統(tǒng)論、控制論、信息論對于我們實(shí)現(xiàn)醫(yī)療衛(wèi)生信息化建

設(shè)發(fā)揮了重要的作用。特別是系統(tǒng)論，它向我們講述的是一種聯(lián)系的、發(fā)

展的觀點(diǎn)。系統(tǒng)論的創(chuàng)始人是美籍奧地利理論物理學(xué)家貝塔朗菲

(Bertalanfy),他提出了機(jī)體系統(tǒng)理論，強(qiáng)調(diào)生命現(xiàn)象不能用機(jī)械觀點(diǎn)

來揭示其規(guī)律，而只能把它當(dāng)成一個整體或系統(tǒng)來考察。世界上任何事物

都可以看成一個系統(tǒng)，系統(tǒng)是普遍存在的。系統(tǒng)論認(rèn)為，整體性、關(guān)聯(lián)性,

等級結(jié)構(gòu)性、動態(tài)平衡性、時序性等是所有系統(tǒng)的共同的基本特征。這些，

既是系統(tǒng)所具有的基本觀點(diǎn)，也是系統(tǒng)方法的基本原則。

公共衛(wèi)生信息化建設(shè)是一項復(fù)雜的系統(tǒng)工程，從工程的規(guī)劃、設(shè)計、

建設(shè)實(shí)施、應(yīng)用整合及運(yùn)行維護(hù)等方面是一個相互關(guān)聯(lián)的整體。因此，研

究和論證中國公共衛(wèi)生信息化建設(shè)，應(yīng)當(dāng)站在系統(tǒng)論的高度，應(yīng)用系統(tǒng)論

的基本原理對信息化各個方面進(jìn)行嚴(yán)密的剖析。

大多數(shù)醫(yī)院的網(wǎng)絡(luò)目前都是有線網(wǎng)絡(luò)，但有線網(wǎng)絡(luò)沒有解決空間覆蓋的

問題，同時也不能解決信息實(shí)時收集的問題，在將來的醫(yī)院網(wǎng)絡(luò)趨于實(shí)時、

數(shù)字化網(wǎng)絡(luò)，同時還可以為醫(yī)院的病人提供增值服務(wù)。也可以利用無線局

域網(wǎng)技術(shù)的移動性、靈活性和高效率在護(hù)理點(diǎn)獲取實(shí)時的患者信息或者搜

索決策支持信息。這種系統(tǒng)使醫(yī)護(hù)人員可以更加準(zhǔn)確、快速和高效地制定

決策和采取相應(yīng)的措施，具體體現(xiàn)如下:

電子病歷訪問/查看

醫(yī)生處方輸入和藥物治療匹配

護(hù)士呼叫系統(tǒng)

患者床邊服務(wù)

對重要的統(tǒng)計數(shù)據(jù)的監(jiān)控

OOOOOO

對于具體的無線工程一般還要滿足以下業(yè)務(wù)需求：

針對醫(yī)院的空間要進(jìn)行全面覆蓋；

無線網(wǎng)絡(luò)通過安全認(rèn)證，保證醫(yī)院信息不能通過無線網(wǎng)絡(luò)對外泄露；

用戶在無線區(qū)域內(nèi)移動時，不需要多次重復(fù)認(rèn)證，實(shí)現(xiàn)自動漫游，即業(yè)

務(wù)不中斷；

2.2.設(shè)計要求

山東省禹城人民醫(yī)院坐落在國內(nèi)外聞名的禹王亭遺址——禹城，禹城市

人民醫(yī)院始建于1945年，是一所裝備精良、醫(yī)術(shù)精湛、服務(wù)一流，集醫(yī)療、

科研、教學(xué)、預(yù)防保健、康復(fù)急救于一體的綜合性二級甲等醫(yī)院，編制床

位400張，年門診量達(dá)到12萬人次，年出院病人16000人次，年住院手術(shù)

4500人次。

醫(yī)院現(xiàn)有職工426名，其中高級

職稱43人，中級職稱210人，大

專以上學(xué)歷近300人，培養(yǎng)出3名

博士生和14名碩士研究生。開展

了大量新技術(shù)、新業(yè)務(wù)，如脊髓腫

瘤摘除術(shù)，全髓關(guān)節(jié)置換術(shù)，垂體瘤切除術(shù)，前列腺電切術(shù)，低位直腸癌

保肛根治術(shù)，斷臂再植術(shù)，巨大腦腫瘤切除，放療、介入治療、綜合治療

惡性腫瘤、電子胃腸鏡診療技術(shù)、顱內(nèi)血腫微創(chuàng)穿刺碎取術(shù)、無創(chuàng)呼吸機(jī)

治療呼吸衰竭、急性心肌梗塞溶栓治療、按置心臟臨時起搏器等60多項，

有2項省級科研成果獎，5項地級科研成果獎，填補(bǔ)了我市多項空白；建立

腫瘤治療中心，血液凈化中心、重癥監(jiān)護(hù)病房、新生兒病房等“高科技園”，

形成以內(nèi)、外、婦、兒四大專業(yè)為主的11個病區(qū)；為提高診療檔次，構(gòu)筑

健康長城，醫(yī)院加大投入，強(qiáng)化“硬件”建設(shè)，當(dāng)前，投資1500萬元，總面

積達(dá)8700平方米，配有中央空調(diào)和高檔電梯等先進(jìn)設(shè)施的現(xiàn)代化門診大樓

已全部啟用，日接診量達(dá)300多人次，病房樓后1000多平方米的高標(biāo)準(zhǔn)特

需樓亦已竣工。近年來，籌資2000多萬元購置了螺旋CT、數(shù)字胃腸機(jī)、彩

超等大型設(shè)備50多臺套，2005年，又投資1000多萬元購進(jìn)西門子核磁共

振，日本原裝全自動生化分析儀，6臺德國產(chǎn)牙科綜合治療臺等先進(jìn)設(shè)備。

2.3.整體建網(wǎng)原則

結(jié)合醫(yī)院的實(shí)際應(yīng)用和發(fā)展要求，局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)設(shè)計，主要遵循以下系

統(tǒng)總體原則：

＞實(shí)用性原則：以現(xiàn)行需求為基礎(chǔ)，充分考慮發(fā)展的需要來確定系統(tǒng)規(guī)模。

＞安全性原則：制訂統(tǒng)一的骨干網(wǎng)安全策略、VLAN策略和過濾機(jī)制，整體

考慮網(wǎng)絡(luò)平臺的安全性。

＞可靠性原則：系統(tǒng)設(shè)計能有效的避免單點(diǎn)失敗，在設(shè)備的選擇和關(guān)鍵設(shè)

備的互聯(lián)時，應(yīng)提供充分的冗余備份，一方面最大限度地減少故障的可

能性，另一方面要保證網(wǎng)絡(luò)能在最短時間內(nèi)修復(fù)。

＞規(guī)范性原則：系統(tǒng)設(shè)計所采用的技術(shù)和設(shè)備應(yīng)符合國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)

和聯(lián)通WLAN企業(yè)標(biāo)準(zhǔn)，為系統(tǒng)的擴(kuò)展升級、與其他系統(tǒng)的互聯(lián)提供良

好的基礎(chǔ)。

＞開放性和標(biāo)準(zhǔn)化原則：在設(shè)計時，要求提供開放性好、標(biāo)準(zhǔn)化程度高的

技術(shù)方案；設(shè)備的各種接口滿足開放和標(biāo)準(zhǔn)化原則。

＞可擴(kuò)充和擴(kuò)展化原則：所有系統(tǒng)設(shè)備不但滿足當(dāng)前需要，并在擴(kuò)充模塊

后滿足可預(yù)見將來需求，如帶寬和設(shè)備的擴(kuò)展，應(yīng)用的擴(kuò)展和辦公地點(diǎn)

的擴(kuò)展等。保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級時，能保護(hù)現(xiàn)有的

投資。

＞技術(shù)先進(jìn)性和實(shí)用性：保證滿足辦公應(yīng)用系統(tǒng)業(yè)務(wù)的同時，又要體現(xiàn)出

網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和

標(biāo)準(zhǔn)結(jié)合起來，充分考慮到網(wǎng)絡(luò)應(yīng)用的需求和未來的發(fā)展趨勢。

高性能：承載網(wǎng)絡(luò)性能是整個辦公系統(tǒng)良好運(yùn)行的基礎(chǔ)，設(shè)計中必須保

障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、語音、圖象）的高

質(zhì)量傳輸，力爭實(shí)現(xiàn)透明網(wǎng)絡(luò)，網(wǎng)絡(luò)不能成為實(shí)施現(xiàn)代化辦公業(yè)務(wù)的瓶

頸。

可管理性原則：整個系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡單，易

學(xué)，易用，便于進(jìn)行系統(tǒng)配置，在設(shè)備、安全性、數(shù)據(jù)流量、性能等方

面得到很好的監(jiān)視和控制，并可以進(jìn)行遠(yuǎn)程管理和故障診斷。

3.局域網(wǎng)總體技術(shù)方案

3.1.總體方案設(shè)計

禹城市人民醫(yī)院網(wǎng)絡(luò)解決方案總體設(shè)計以高性能、高可靠性、高安全性、良

好的可擴(kuò)展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)為原則，并考慮技術(shù)的先進(jìn)性、成熟

性，采用模塊化的設(shè)計。

禹城醫(yī)院網(wǎng)絡(luò)解決方案

辦公區(qū)病房會議室病房辦公區(qū)

網(wǎng)絡(luò)采用星型結(jié)構(gòu)組網(wǎng)，充分考慮到了網(wǎng)絡(luò)骨干的高帶寬、高可靠性，整網(wǎng)

采用2臺S7506E交換機(jī)作為核心，下行使用多模光纖連接到各樓層的匯聚交換

機(jī)S5120-52P上，提供高速率的上行帶寬，保障多種業(yè)務(wù)，特別是多媒體業(yè)務(wù)的

高速傳輸。采用雙千兆鏈路上行千兆到桌面的組網(wǎng)方式?？紤]到網(wǎng)絡(luò)的安全性，

網(wǎng)絡(luò)出口采用H3cSecPathU200-A統(tǒng)一威脅管理產(chǎn)品。H3CSecPathU200-A是

H3C公司面向中小型企業(yè)/分支機(jī)構(gòu)設(shè)計的新一代UTM（UnitedThreat

Management,統(tǒng)一威脅管理）設(shè)備，采用高性能的多核、多線程安全平臺，保障

全部安全功能開啟時不降低性能，產(chǎn)品具有極高的性價比。在提供傳統(tǒng)防火墻、

VPN功能基礎(chǔ)上，同時提供病毒防護(hù)、URL過濾、漏洞攻擊防護(hù)、垃圾郵件防護(hù)、

P2P/IM應(yīng)用層流量控制和用戶行為審計等安全功能。

3.1.1.1.WEB認(rèn)證方案介紹

WEB用戶上網(wǎng)時，設(shè)備強(qiáng)制用戶到門戶網(wǎng)站，并提供門戶網(wǎng)站主頁，用戶可

以免費(fèi)訪問其中的服務(wù)。當(dāng)要使用互聯(lián)網(wǎng)中的其他信息時，則必須在門戶網(wǎng)站進(jìn)

行認(rèn)證，只有認(rèn)證通過后才可以使用這些服務(wù)。WEB認(rèn)證用戶不需要安裝額外的

客戶端軟件。

在H3c的FITAP方案中，使用WEB認(rèn)證時，強(qiáng)制Portal仍然是在無線交換

機(jī)上進(jìn)行。使用WEB認(rèn)證時不需要安裝客戶端軟件，使得管理和維護(hù)更簡單，并

同時能利用CAMS的功能較好地對用戶進(jìn)行控制，如用戶端口綁定、用戶IP綁定、

用戶MAC綁定等，但無法做到用戶通知消息下發(fā)和防止用戶使用代理。

3.1.1.2.WEB認(rèn)證與802.1X認(rèn)證對比

功能WEB認(rèn)證802.1x認(rèn)證

客戶端軟件不需要而芟

客戶端版本限制不支持支持

自動探測并屏蔽代理服務(wù)不支持支持

器

限制多網(wǎng)卡、撥號上網(wǎng)不支持支持

顯示當(dāng)前網(wǎng)絡(luò)狀態(tài)及認(rèn)證支持支持

狀態(tài)

異常下線探測功能支持支持

消息下發(fā)不支持支持

對AAA服務(wù)器的特別要求無無

分布式認(rèn)證支持支持

網(wǎng)絡(luò)性能影響低低

Radius服務(wù)器的性能影響無無

標(biāo)準(zhǔn)化程度低高

IP地址浪費(fèi)無無

3.1.2.有線無線混合組網(wǎng)下的認(rèn)證方案

對有線用戶和無線用戶進(jìn)行分別認(rèn)證，有線用戶在以太網(wǎng)交換機(jī)上實(shí)現(xiàn)認(rèn)

證，無線用戶在無線交換機(jī)設(shè)備上實(shí)現(xiàn)認(rèn)證。通過在CAMS上設(shè)定對應(yīng)的綁定區(qū)

域，對于只能使用有線上網(wǎng)的用戶綁定所有以太網(wǎng)交換機(jī)IP地址，無線上網(wǎng)用

戶由于其漫游特性，無需綁定到無線交換機(jī)的IP地址。

設(shè)備要求：實(shí)現(xiàn)認(rèn)證的以太網(wǎng)交換機(jī)和無線交換機(jī)必須支持標(biāo)準(zhǔn)Radius協(xié)

議，能夠和CAMS配合實(shí)現(xiàn)認(rèn)證計費(fèi)功能。如果要實(shí)現(xiàn)華為擴(kuò)展的Radius功能，

如防代理、消息下發(fā)等功能。則必須使用對應(yīng)的H3c設(shè)備。

3.1.3.用戶管理

CAMS系統(tǒng)功能強(qiáng)大，操作簡單，在用戶認(rèn)證管理上，具有以下特點(diǎn)：

＞用戶綁定功能

CAMS支持綁定用戶名和設(shè)備IP地址、入端口號、VLANID、用戶MAC地址、

用戶IP地址等信息，保證用戶綁定合法性。并支持用戶MAC地址和用戶IP地址

自學(xué)習(xí)功能，大大減少管理員的錄入量。

＞認(rèn)證區(qū)域綁定功能

通過認(rèn)證報文上傳的認(rèn)證接入設(shè)備IP地址，CAMS系統(tǒng)可實(shí)現(xiàn)認(rèn)證區(qū)域綁定

功能。用戶上網(wǎng)的區(qū)域可被限制在一定范圍內(nèi)，增強(qiáng)了網(wǎng)絡(luò)的安全性。

＞防代理功能

針對醫(yī)院用戶，CAMS提供防代理功能，禁止用戶使用代理上網(wǎng)，并支持限制

用戶使用的客戶端，要求用戶必須使用專用安全客戶端，并強(qiáng)制自動升級，確保

認(rèn)證客戶端的安全性。目前CAMS系統(tǒng)的防代理功能必須要與H3C交換機(jī)配合實(shí)

現(xiàn)。華為AP暫不支持防代理功能。

＞用戶黑名單管理

CAMS認(rèn)證系統(tǒng)支持黑名單管理，支持手工加入黑名單、自動將欠費(fèi)用戶加入

黑名單、自動將惡意登錄用戶加入黑名單、自動將充值失敗超過閾值用戶加入黑

名單并提供黑名單增強(qiáng)功能：在被試探帳號加入黑名單的同時記錄惡意試探機(jī)器

的MAC地址，限制從該MAC地址的機(jī)器試探該帳號，但被試探帳號可以在其它

MAC地址的機(jī)器上正常使用，保證登錄用戶的合法性。

＞用戶上網(wǎng)全程監(jiān)控

CAMS認(rèn)證計費(fèi)系統(tǒng)能對醫(yī)生上網(wǎng)的全過程進(jìn)行管理，實(shí)現(xiàn)醫(yī)生上網(wǎng)的實(shí)時監(jiān)

測。對于網(wǎng)絡(luò)上進(jìn)行非法操作的醫(yī)生，具備將用戶踢下線的功能，控制醫(yī)生對網(wǎng)

絡(luò)的使用。

生成卡號

卡號基本信息

*卡批次號：（2004121411012922~

*起始號：|

育卡號類型：?預(yù)付費(fèi)卡3

*文件名：（2004121411012922.txt-

去失效日期：憶005-12-14Z3

r首次使用時重置失效日期

L卡號服務(wù)配置信息G主：對于服務(wù)中的綁定等信息，卡號不進(jìn)行任何限制）

服務(wù)名服務(wù)描述計費(fèi)策略服務(wù)后蝮詳細(xì)信息

r多網(wǎng)卡檢測byhuawei查詢

rbyby查詢

教帥專用上網(wǎng)服流量計費(fèi)-每M流

教師專用服務(wù)查詢

r務(wù)皇1元

系統(tǒng)缺省春費(fèi)率

r湖南測試計費(fèi)策咯（LABS查詢

入業(yè)務(wù)）

系統(tǒng)喊省零費(fèi)率

r零費(fèi)率服務(wù)計費(fèi)策略（LANStest查詢

入業(yè)務(wù)）

確定I返回I幫助

3.2.管方案

鑒于H3c公司已經(jīng)具有大量的設(shè)備應(yīng)用于醫(yī)療衛(wèi)生網(wǎng)，在網(wǎng)管方面建議采用

H3C的IMC智能管理中心產(chǎn)品，IMC智能管理中心在設(shè)備網(wǎng)管的定位上又增加了

綜合網(wǎng)管的功能及周邊的增值功能，如網(wǎng)上產(chǎn)品版本管理及批理升級的功能；

目前IMC智能管理中心產(chǎn)品可與其他設(shè)備廠商的網(wǎng)管共同集成于第三方網(wǎng)管

平臺，為用戶提供了靈活的組件化結(jié)構(gòu)，包括網(wǎng)絡(luò)管理框架（NMF）、網(wǎng)絡(luò)配置中

心（NCC）、設(shè)備管理（DM）等組件，用戶可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活

選擇自己需要的組件。

IMC智能管理中心支持設(shè)備自動發(fā)現(xiàn)、拓?fù)涔芾怼⒏婢芾?、性能管理、網(wǎng)

管用戶管理等基礎(chǔ)功能；提供全網(wǎng)的拓?fù)滹@示、故障處理、服務(wù)器管理等功能。

可以輕松實(shí)現(xiàn)路由器、以太網(wǎng)交換機(jī)等設(shè)備管理、維護(hù)功能。為禹城人民醫(yī)院用

戶提供了全面的網(wǎng)絡(luò)管理功能。

IMC智能管理平臺是整個IMC智能管理系統(tǒng)的基礎(chǔ)管理平臺，IMC的各個業(yè)

務(wù)組件都必須安裝在這個公用的平臺上才能使用。IMC智能管理平臺不僅為系統(tǒng)

各業(yè)務(wù)組件的集成提供了包括統(tǒng)一權(quán)限控制、SOA框架、統(tǒng)一操作日志管理、統(tǒng)

一License控制、分布式安裝等基本功能，而且還為用戶提供了網(wǎng)絡(luò)管理的一些

基礎(chǔ)功能，其中包括操作員管理、拓?fù)涔芾?、性能管理、告警管理及操作日志?/p>

理等。

3.2.1.基礎(chǔ)網(wǎng)絡(luò)資源管理

基礎(chǔ)網(wǎng)絡(luò)資源管理包含對各廠家網(wǎng)絡(luò)設(shè)備的分類和識別；能夠通過自動發(fā)現(xiàn)

和手工添加方式增加網(wǎng)絡(luò)設(shè)備資源；提供對網(wǎng)絡(luò)設(shè)備資源的查找、修改、刪除和

批量導(dǎo)入和導(dǎo)出功能；支持對設(shè)備訪問參數(shù)的批量配置和校驗；支持對設(shè)備狀態(tài)

和詳細(xì)信息的查看，設(shè)備的詳細(xì)信息不僅包含了設(shè)備的基本信息、接口信息、性

能數(shù)據(jù)和告警信息，同時還可以在增加其他組件的情況下顯示擴(kuò)展后的業(yè)務(wù)信

息；支持對設(shè)備的管理/去管理，接口的管理/去管理，接口信息的顯示和接口的

UP/DOWN配置；支持設(shè)備面板管理：支持設(shè)備分組功能，通過對設(shè)備資源進(jìn)行分

組管理，系統(tǒng)管理員方便的分配其他管理員的管理權(quán)限，便于職責(zé)分離；支持設(shè)

備視圖管理，不同管理員可以根據(jù)自己的需要定義個性化的設(shè)備視圖，從而使管

理員能夠關(guān)注于關(guān)鍵的網(wǎng)絡(luò)和設(shè)備，使網(wǎng)絡(luò)管理更加清晰。

3.2.2.基礎(chǔ)網(wǎng)絡(luò)拓?fù)涔芾?/p>

除了提供完整的IP拓?fù)渫?，用戶可以根?jù)實(shí)際組網(wǎng)情況，定義自己關(guān)注的

自定義網(wǎng)絡(luò)拓?fù)洹Ｍ負(fù)涓用烙^清晰，能夠?qū)崟r實(shí)時顯示當(dāng)前視圖的拓?fù)錉顟B(tài)。

通過在拓?fù)渖细语@示設(shè)備、鏈路的基本信息和CPU、鏈路流量等性能信息，管

理員可以在拓?fù)浣缑嬷蟹奖愕膶W(wǎng)絡(luò)中的設(shè)備以及相關(guān)鏈路進(jìn)行監(jiān)視，拓?fù)渖咸?/p>

供了常用的Ping、telnet、TraceRT、打開設(shè)備Web網(wǎng)管和管理/不管理設(shè)備等

常用操作和相關(guān)鏈接，拓?fù)淇梢宰鳛楣芾韱T管理網(wǎng)絡(luò)的唯一入口。同時，在安裝

了其他組件的情況下，拓?fù)鋾黾酉鄳?yīng)的業(yè)務(wù)拓?fù)浜筒僮麈溄?，以滿足不同業(yè)務(wù)

的需求。除了以上常用拓?fù)涔δ埽琲MC網(wǎng)絡(luò)拓?fù)涔芾磉€提供了二層拓?fù)浜袜従油?/p>

撲，能夠顯示接入設(shè)備上的接入情況。

3.2.3.故障與告警管理

告警管理：對網(wǎng)管系統(tǒng)的告警進(jìn)行統(tǒng)一管理。通過告警管理可以對設(shè)備發(fā)來

的告警進(jìn)行過濾、定位、確認(rèn)、轉(zhuǎn)發(fā)等操作，也可以為不同的告警設(shè)置提示方式

（聲音、視覺等），還可以針對不同的告警定義不同的操作提示以及維護(hù)參考等;

3.2.4.性能監(jiān)控

性能管理：提供了對系統(tǒng)所管理的各種設(shè)備性能參數(shù)的公共監(jiān)視功能，比如

內(nèi)存利用率、CPU利用率、設(shè)備不可達(dá)率、設(shè)備響應(yīng)時間和接口性能數(shù)據(jù)等。通

過歷史監(jiān)控報表和TopN報表管理員可以快速得到網(wǎng)絡(luò)中需要關(guān)注的設(shè)備的詳細(xì)

信息，通過報表的導(dǎo)出和打印功能，管理員能夠迅速將網(wǎng)絡(luò)狀況匯總數(shù)據(jù)上報給

各級領(lǐng)導(dǎo)，為網(wǎng)絡(luò)的決策提供有利的支撐。

3.2.5.系統(tǒng)管理

操作員管理：提供方便的管理操作員功能，不僅可以為用戶設(shè)置不同的操作

權(quán)限，也可以結(jié)合設(shè)備分組和用戶分組靈活進(jìn)行權(quán)限分級控制，從而顯著提高安

全性和靈活性；

操作日志管理：操作日志集中記錄了包括系統(tǒng)管理員在內(nèi)的所有操作員的操

作過程，使整個系統(tǒng)的操作具有了可回溯性。操作日志管理可以對大量的操作日

志進(jìn)行多種條件的過濾顯示，并可以實(shí)現(xiàn)日志的自動刪除；

4.網(wǎng)絡(luò)業(yè)務(wù)設(shè)計

4.1.IP地址規(guī)劃

IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，大型計算機(jī)網(wǎng)絡(luò)必須對IP地

址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的

效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接

影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。

4.1.1.IP地址分配原則

考慮到醫(yī)院的用戶的固定性，為保證對于上網(wǎng)用戶的可查詢性，且考慮到

10.XXX.XXX.XXX私網(wǎng)地址不存在短缺等因素，建議禹城人民醫(yī)院的IP地址采用

10.XXX.XXX.XXX私網(wǎng)IP地址接入的方式進(jìn)行建設(shè)。要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適

應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時能滿

足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長度，減

少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度,

同時還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時要遵循以下原則：

唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機(jī)采用相同的IP地址；

簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表項

連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，

提高路由算法的效率

可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時能保證

地址疊合所需的連續(xù)性

靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地

址空間。

主流的IP地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡(luò)地址三種。

當(dāng)網(wǎng)絡(luò)以私網(wǎng)地址分配或采用混合網(wǎng)絡(luò)地址接入時，要求網(wǎng)絡(luò)提供地址變換

功能，過濾掉私網(wǎng)地址。

4.1.2.IP地址規(guī)劃方案

內(nèi)部地址的分配原則是按建筑物進(jìn)行的，視用戶的數(shù)量，1/4、1/2、整個私

網(wǎng)的劃分。

對于相對固定不變的教學(xué)區(qū)采用靜態(tài)分配IP地址，為防止地址盜用，采用

IP地址與端口、地址綁定；對于流動性大、用戶人數(shù)多、用戶增長快的用戶區(qū)

采用動態(tài)分配IP地址，采用ByPort的Vian,小范圍地限制地址盜用問題。靜

態(tài)IP地址對于用戶來說可以實(shí)現(xiàn)對應(yīng)物理位置的查詢，對全網(wǎng)的IP地址與物理

位置的對應(yīng)有全面、可靠的管理。

對于服務(wù)器、網(wǎng)絡(luò)設(shè)備互連端口地址、設(shè)備Loopback地址建議使用靜態(tài)IP

地址，而且各屬自不同的IP地址段，有利于骨干路由表的簡化與路由的快速處

理；

4.2.路由設(shè)計

4.2.1.路由協(xié)議選擇及設(shè)計建議

選擇何種路由協(xié)議，對于最大程度的發(fā)揮網(wǎng)絡(luò)的效能具有重要意義，因此本

次禹城人民醫(yī)院網(wǎng)絡(luò)建設(shè)的路由協(xié)議的選擇也就十分重要。

4.2.2.路由協(xié)議選擇原則

在大型網(wǎng)絡(luò)中，選擇適當(dāng)?shù)穆酚蓞f(xié)議是非常重要的。目前常用的路由協(xié)議有

多種，如RIP、OSPF、IS-IS.BGP>PIM等等。不同的路由協(xié)議有各自的特點(diǎn)，

分別適用于不同的條件之下。

選擇適當(dāng)?shù)穆酚蓞f(xié)議需要考慮以下因素：

1）路由協(xié)議的開放性：開放性的路由協(xié)議保證了不同廠商都能對本路由協(xié)

議進(jìn)行支持，這不僅保證了目前網(wǎng)絡(luò)的互通性，而且保證了將來網(wǎng)絡(luò)發(fā)展的擴(kuò)充

能力和選擇空間。

2）網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)直接影響協(xié)議的選擇。例如RIP這樣比

較簡單的路由協(xié)議不支持分層次的路由信息計算，對復(fù)雜網(wǎng)絡(luò)的適應(yīng)能力較弱。

路由協(xié)議還必須支持網(wǎng)絡(luò)拓?fù)涞淖兓谕負(fù)浒l(fā)生變化時，無論是對網(wǎng)絡(luò)中的路

由本身，還是網(wǎng)絡(luò)設(shè)備的管理都要使影響最小。

3）網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量：不同的協(xié)議對于網(wǎng)絡(luò)規(guī)模的支持能力有所不同，需要按

需求適當(dāng)選擇，有時還需要采用一些特殊技術(shù)解決適應(yīng)網(wǎng)絡(luò)規(guī)模方面的擴(kuò)展性問

題。

對于本網(wǎng)絡(luò)，在選擇路由協(xié)議時不能只看眼前，還要充分考慮今后的擴(kuò)展性

4）與其他網(wǎng)絡(luò)的互連要求：通過劃分成相對獨(dú)立管理的網(wǎng)絡(luò)區(qū)域，可以減

少網(wǎng)絡(luò)間的相關(guān)性，有利于網(wǎng)絡(luò)的擴(kuò)展，路由協(xié)議要能支持減少網(wǎng)絡(luò)間的相關(guān)性,

是通常劃分為一個自治系統(tǒng)（AS）,在AS之間需要采用適當(dāng)?shù)膮^(qū)域間路由協(xié)議。

必要時還要考慮路由信息安全因素和對路由交換的限制管理。

5）管理和安全上的要求：通常要求在可以滿足功能需求的情況下盡可能簡

化管理。但有時為了實(shí)現(xiàn)比較完善的管理功能或為了滿足安全的需要，例如對路

由的傳播和選用提出一些人為的要求，就需要路由協(xié)議對策略的支持。

4.2.3.本網(wǎng)絡(luò)路由協(xié)議的選擇

考慮到協(xié)議的通用性、標(biāo)準(zhǔn)性以禹城人民醫(yī)院網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)規(guī)模，建議在

本次網(wǎng)絡(luò)建設(shè)中選擇OSPF作為未來網(wǎng)絡(luò)動態(tài)路由協(xié)議，選擇OSPF主要有以下幾

個原因：

1.標(biāo)準(zhǔn)開放性及成熟性

OSPF是開放的標(biāo)準(zhǔn)協(xié)議，受到廣大廠家設(shè)備及組織的支持，也是目前網(wǎng)絡(luò)構(gòu)

建中用得最多的協(xié)議，也是在企業(yè)網(wǎng)中應(yīng)用最廣泛的IGP協(xié)議；因此其性能是經(jīng)

受過考驗及驗證的。

2.擴(kuò)展能力分域功能非常適合網(wǎng)絡(luò)擴(kuò)展

OSPF提供分域功能一方面保證路由轉(zhuǎn)發(fā)效率，另一方面要提供很好的網(wǎng)絡(luò)擴(kuò)

展能力。

當(dāng)然路由協(xié)議的選擇也必須考慮本系統(tǒng)的整體規(guī)劃，本次方案選擇的S751OE

產(chǎn)品具有豐富的路由協(xié)議支持能力，單播、多播路由協(xié)議包括OSPF、RIP、PIM

等都提供很好的支持，因此可以適應(yīng)本系統(tǒng)的路由協(xié)議的選擇。

4.3.VLAN的劃分

4.3.1.劃分VLAN的必要性

VLAN是建立在各種交換技術(shù)基礎(chǔ)之上的。所謂交換實(shí)質(zhì)上只是物理網(wǎng)絡(luò)上的

一個控制點(diǎn)，它由軟件進(jìn)行管理，所以允許用戶利用軟件功能靈活地配置資源，

管理網(wǎng)絡(luò)。利用交換設(shè)備中的虛網(wǎng)功能，不必改變網(wǎng)絡(luò)的物理基礎(chǔ)，即可重新配

置網(wǎng)絡(luò)。采用虛網(wǎng)功能，網(wǎng)絡(luò)性能可以獲得較大的改善：

1.虛網(wǎng)技術(shù)能對工作組業(yè)務(wù)進(jìn)行過濾，有效地分割通信量，因而能更好地

利用帶寬，提高網(wǎng)絡(luò)總的吞吐量。

2.采用虛網(wǎng)技術(shù)可以將不同樓層或不同房間的設(shè)備組成一個網(wǎng)段而不用

更改布線，因為虛網(wǎng)技術(shù)是從邏輯角度而非物理角度來劃分子網(wǎng)的，所以采用虛

網(wǎng)技術(shù)能減輕系統(tǒng)的擴(kuò)容壓力，將遷移費(fèi)用降至最小。

3.采用虛網(wǎng)技術(shù)能有效隔離網(wǎng)絡(luò)設(shè)備，增加網(wǎng)絡(luò)的安全性和保密性。虛擬

網(wǎng)絡(luò)的安全策略采用的主要協(xié)議為IEEE802.1Q,此協(xié)議結(jié)合有鑒別和加密技術(shù)

以確保整個網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的保密性和完整性。

4.虛網(wǎng)技術(shù)能對屬于同一工作組的用戶提供廣播服務(wù)，但與傳統(tǒng)的局域網(wǎng)

協(xié)議所不同的是，虛擬局域網(wǎng)能限制廣播的區(qū)域，從而節(jié)省網(wǎng)絡(luò)帶寬。

5.虛擬局域網(wǎng)可以建立在不同的物理網(wǎng)絡(luò)上，用封裝的辦法支法支持不同的

網(wǎng)絡(luò)協(xié)議絡(luò)協(xié)議，如SNMP、NMP、IPX、TCP//IP.IEEE802.33等,兼容性非常好

性非常好。

6.虛擬網(wǎng)絡(luò)中的主要應(yīng)用技術(shù)為“虛網(wǎng)中繼”，VLANTrunking特有技術(shù)的

采用也成成為了必然。必然。簡而言之，VLANTrunking主要是通過一條高速全

雙工通道來實(shí)現(xiàn)將將一個LANSwitch端口所劃分的不同VLAN與其它LANSwitch

中各自相應(yīng)的VLAN成員進(jìn)行線路復(fù)用連接的技術(shù)。VLANTrunking技術(shù)的采用,

既節(jié)省了信道數(shù)據(jù)量，又提高了可靠性，并便于管理及方便連接，提高了整個網(wǎng)

絡(luò)吞吐量和性能指標(biāo)。其原理如下圖所示：

VLANTranking技術(shù)

如果采用VLANtrunking的技術(shù)，則V1、V2、V3均可通過一條全雙工的

100Mbps,即200Mbps的速率與上級LANSwitch進(jìn)行互通并經(jīng)過位于樹根部的路

由器進(jìn)行路由與其它的VLAN進(jìn)行通訊。VLANtrunking技術(shù)的優(yōu)點(diǎn)在于采用一

條高速通道連接，提高了通道的使用效率，如在，如在V2,V3無數(shù)據(jù)量的情況

下，V1可以獨(dú)占此100M帶寬；并且可以使得線路的連接變得簡單，從而大大提

高可靠性與易維護(hù)性。

4.3.2.劃分VLAN的方法

H3C公司的E系列接入交換機(jī)不僅能夠支持標(biāo)準(zhǔn)的802.1QVLAN,還能實(shí)現(xiàn)

端口之間的隔離。

我們可以使用E系列支持的P-VLAN(primary-vlan)這個特性,一方面實(shí)現(xiàn)

用戶之間的隔離，另一方面可以為三層交換機(jī)節(jié)省VLAN資源。E系列可以屏蔽

下面的VLAN劃分，僅向三層交換機(jī)提供一個VLAN信息，在邊緣交換機(jī)實(shí)現(xiàn)了端

口可以同時屬于多個Vian；

如圖所示：其中端口1為uplink端口，端口2,3,4為接入端口；

Vian1：包含端口:1,2,3,4,5

Vian2：包含端口:1,2

Vian3：包含端口:1,3,4

Vian4：包含端口:1,5

設(shè)計中采用了幾個secondaryvlan包含在一1^primaryVLAN中的方式，給

用戶提供了靈活的配置方式。如果用戶希望實(shí)現(xiàn)二層報文的隔離，可以采用了為

每個用戶分配一^?secondaryvlan的方式，每個vlan中只包含用戶連接的port

和uplinkport；如果希望實(shí)現(xiàn)用戶之間二層報文的互通，可以將用戶連接的端

口劃入同—個VLAN中;同時創(chuàng)建primaryvIan,該vIan包含所有secondaryvIan

中包含的端口和uplink端口，這樣對上層交換機(jī)來說，可以認(rèn)為下層交換機(jī)中

只有一個primaryvIan,用來標(biāo)識設(shè)備，而不必關(guān)心primaryVLAN中的端口實(shí)

際所屬的VLAN,簡化了配置，節(jié)省了VLAN資源。

primaryvIan中的所有端口都不是802.1Q的trunk端口，包括與其它交換

機(jī)相連的upIink口。每個port的PVID就是它所屬secondaryvIan的ID；upIink

端口的PVID是primaryvlan的ID；

我們建議在接入交換機(jī)上根據(jù)各個部門之間的邏輯關(guān)系進(jìn)行靈活的VLAN劃

分。可以讓一個樓層對應(yīng)于一個PVLAN,樓層內(nèi)的不同部門分屬不同的

SencondaryVLAN。這種劃分方式中，可以對用戶能實(shí)現(xiàn)動態(tài)的VLAN+MAC+IP綁

定，可對用戶發(fā)動的偽造攻擊報文進(jìn)行合法性檢查和過濾，具有一定的網(wǎng)絡(luò)安全

性保障。不同VLAN間的互訪，必須經(jīng)過三層交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。

4.3.3.VLAN規(guī)劃

我們建議按不同的業(yè)務(wù)使用主體來規(guī)劃整個禹城人民醫(yī)院的VLAN資源。如：

用戶宿舍1、用戶宿舍2、教師、校管理人員等。

為了減小廣播域，建議VLAN終結(jié)在匯聚層的三層交換機(jī)上，每個VLAN內(nèi)的

主機(jī)數(shù)量原則上不要超過250臺，建議每個VLAN內(nèi)的PC機(jī)數(shù)量控制在50臺以

內(nèi)。

VLAN的劃分可以依據(jù)不同的業(yè)務(wù)部門進(jìn)行也可以依據(jù)用戶所處網(wǎng)絡(luò)的物理

結(jié)構(gòu)進(jìn)行，后者主要是從網(wǎng)絡(luò)性能角度出發(fā)，而前者還兼顧了網(wǎng)絡(luò)安全性可控性

的需要。根據(jù)實(shí)際業(yè)務(wù)部門辦公環(huán)境的分布情況來看，在大部分情況下，兩者實(shí)

現(xiàn)了重合，而對于少數(shù)由于辦公地點(diǎn)不同，隔離在不同匯集點(diǎn)的相同業(yè)務(wù)部門，

我們則推薦第一種方式。

將端口分配給VLAN的方式有兩種，分別是靜態(tài)的和動態(tài)的。

靜態(tài)VLAN：

形成靜態(tài)VLAN過程是將端口強(qiáng)制性地分配給VLAN的過程。確定哪些端口屬

于哪些特定的VLAN,然后將VLAN靜態(tài)映射到端口。這是將端口映射到VLAN的

一種最通用的方法。對于用戶宿舍，教師辦公等用戶相對集中的區(qū)域，建議采用

這種部署方式，將VLAN部署在用戶對應(yīng)的匯聚交換機(jī)端口上。

動態(tài)VLAN：

我們知道，VLAN常常被規(guī)劃用于對“資源訪問權(quán)限”的分組，不同的VLAN

具有不同的訪問權(quán)限，每個VLAN內(nèi)有一個IP地址網(wǎng)段，不同的VLAN/IP地址段

的用戶，具有不同的訪問資源的權(quán)限。用戶權(quán)限數(shù)據(jù)一般存儲在CAMS或接入認(rèn)

證系統(tǒng)UAM（后臺綜合訪問管理服務(wù)器）中，CAMS根據(jù)用戶端的權(quán)限歸類，在認(rèn)

證通過之后向二層交換機(jī)作動態(tài)的VLANID下發(fā)配置。此時，二層交換機(jī)要支持

VLAN的動態(tài)配置功能（H3C全系列交換機(jī)支持）。

從廣播控制角度出發(fā)，為了保障網(wǎng)絡(luò)的高可用和高性能，我們建議在進(jìn)行具

體VLAN規(guī)劃時，同一個廣播域內(nèi)（一個VLAN）的通信主機(jī)不要超過250臺，最

好控制在50臺以內(nèi)，對于主機(jī)數(shù)量超過5