《医院智能化计算机网络系统建设技术方案.doc》由会员分享,可在线阅读,更多相关《医院智能化计算机网络系统建设技术方案.doc(66页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、医院智能化计算机网络系统建设技术方案1.1 网络方案建议*医院信息化网络建设项目将实现*医院办公、应用、管理、有线无线一体化等各项功能,使网络适应用户业务的发展,实现网络应用、管理及办公的自动化,提高工作效率,降低运营成本。利用目前先进的网络设备建设现代化办公环境,将网络所带来的便利引入到工作中,高速网络及无线网络的应用将提高网络在工作环境的满意度。为了实现上述目标,在本次网络建设项目中,网络建设将本着高可靠、高安全、高效率、高扩展性,建设先进的、成熟的、稳定的办公网络。网络总体设计构建策略为切实达到以上的网络设计原则,实现*医院网络建设目标,使*医院网络系统具有良好的扩展性和灵活的接入能力,
2、并易于管理,易于维护,在网络设计及构建中采用网络“模块化”设计,即按照网络需要实现的功能与作用,对网络进行功能模块的划分,形成多个实现不同功能的区域。网络管理区将对网络的性能、安全的各方面提供监控及管理,将成为本次网络建设的重点内容。无线接入点采用华三的“瘦”AP,通过无线控制器对AP进行控制。该产品大大减化了无线网络的配置及管理成本。同时,可以实现有线、无线安全策略的无缝连接。1.2 网络拓扑图1.3 相关设备性能介绍1.3.1 * 路由器*产品(以下简称SR6602-X)是H3C自主研发面向中高端企业网、校园网用户的紧凑型综合业务网关路由器,定位于中大型企业、校园网、网吧的VPN、NAT、
3、IPSec等综合业务网关使用,同时,也可以应用中型纵向网络汇聚、高端企业用户大型分支和运营商可管理高性能CPE市场,配合H3C其他网络产品为政府、电力、金融、公共事业、运营商和大中型企业用户提供全方位网络解决方案。*万兆网关模式是SR6602-X提供的一种设备工作模式,该工作模式针对校园网出口、企业网出口、网吧等应用的特点和性能需求,做了专门的优化,将出口网关的NAT转发性能一举突破万兆,并且在网关特性的功能和性能二者之间达到了完美的平衡。*率先在业界同类产品中提供双万兆以太网固定接口,凭借新一代更高性能的网络多核处理芯片,可实现整机万兆线速的处理性能。*软件上采用H3C成熟商用的Comwar
4、e V5操作系统,后期可以平滑升级到Comware V7操作系统,硬件上采用新式灵活接口设计,在保证高性能和灵活配置的前提下,最大化保护用户投资,充分满足不同行业用户组网需求。n 产品特性 业界领先的开发理念*双万兆网关基于业界领先紧凑型设计理念,在2U高设备上不仅集成高密度高速端口,支持FIP-20和FIP-10灵活接口设计,还实现了可插拔冗余电源和模块、风扇可插拔功能,在保证设备高可靠性、网络配置灵活性的同时确保业务模块的兼容性,最大限度保护用户投资。*万兆网关采用高性能多核处理器作为NAT业务处理引擎,多核多线程处理器的应用,使SR6602-X万兆网关具备高性能和灵活性等特点,从而在并行
5、处理各种复杂的NAT业务同时能够实现数据的高速转发。 新一代网络操作系统*双万兆网关可以平滑升级到新一代的Comware V7网络操作系统。Comware V7控制平面采用多核及SMP(Symmetrical Multi-Processing对称多处理)技术,各软件模块有独立的运行空间,可以动态加载、单独升级,支持ISSU。Comware V7能够保证关键业务性能及实时性。支持指定进程集合运行在专有的CPU上,为关键任务的运行提供资源保障、线程的抢先调度及合理的优先级设置,保证系统CPU负荷高时,有实时性要求的功能仍然可以及时响应事件进行处理。Comware V7能够提供良好的进程级可靠性。支
6、持进程内存保护、进程级重启、进程级备份、进程级补丁等技术。 先进的虚拟化技术*双万兆网关支持虚拟化IRF2,可以把多台SR6602-X设备虚拟成一台逻辑设备,统一控制平面、统一转发平面,可以减少网元节点数量、简化网络配置、提高网络可靠性。*双万兆网关支持虚拟路由器MDC,把一台SR6602-X通过软件虚拟化成多台逻辑网络设备,硬件上虚拟设备享有独立的CPU、内存、板卡等资源,软件上虚拟设备享有独立的控制平面、数据平面和管理平面,虚拟路由器之间相互独立、互不影响,为用户提供弹性扩展的租用逻辑网络。 超高的NAT业务性能SR6602-X的网关模式具有双万兆的强大NAT业务性能:SR6602-X网关
7、模式NAT会话数最高支持400万;在叠加NAT、防火墙以及策略路由等常见网关应用的情况下,256字节报文转发性能可以达到15Gbps。在并发200万NAT连接时,256字节以及IMIX互联网混合报文的NAT转发性能仍然仍可超10Gbps。SR6602-X强大的NAT转发性能,完全可以满足各种超大型园区网出口的性能要求,并能满足用户今后出口带宽扩容需求。 灵活的出口选择技术作为网关出口经常要面对双出口或多出口的情况,SR6602-X的网关模式支持灵活的出口选择技术:在内部用户访问Internet方向,采用灵活的路径选择技术,可以根据出口网络资源利用情况、内部用户的访问需求、目的网络地址所属运营商
8、、基于用户应用等因素,规划网关出口的选择;在Internet用户访问内部服务器方向,可以根据Internet用户入内部网络的运营商线路,智能选择该用户回程流量的运营商线路,保证入出网关流量的路径一致;另外,在多出口场景时,还可以基于EAA功能解决个别出口超负载后的流量调整问题。针对出口链路设定一定的阈值,达到阈值后可以调整部分流量到负载较为空闲的链路上。 强大的带宽控制能力在网关应用中,随着P2P、多线程FTP等应用的不断普及,这些多线程的应用正在越来越多的吞噬着本来就非常有限的出口带宽资源,如果不对这些应用加以限制,它们会消耗全部的带宽资源,使关键业务应用无法正常开展。 SR6602-X万兆
9、网关提供了强大的带宽控制能力: SR6602-X的网关模式支持实用的NAT连接数限制功能:网络管理员可以灵活设定用户可使用的并发连接数上限,这样当多个用户上网时,不会发生因某一用户过多开启上网应用系统而导致侵占其它用户连接数资源。 SR6602-X的网关模式还可以对网络中一台主机的特定协议进行连接数限制,如内网Web服务器的HTTP连接数,从而避免内网服务器受到flood攻击,同时也提升了服务器对外部访问的及时响应。 支持灵活的每用户限速功能:可以根据需要对内网的个别IP地址、IP网段进行限速,每个用户的带宽可以设为一个固定值或者网段所有用户平均分享出口总带宽。通过带宽的控制能力可以将用户的可
10、用带宽限制在一个合理的范围内,防止个别用户无限制消耗出口带宽资源。 SR6602-X万兆网关还支持强大的QoS拥塞管理功能:通过配置CBWFQ等队列技术,即使在出口极度拥塞的情况下,也能保证网络关键业务的带宽和时延。 主备网络的带宽管理:充分利用备份网络资源,主网络资源紧张的情况下,根据事先设定好的策略,将一部分数据流量重路由到备份网络上进行数据传输,使闲置的资源可以得到充分利用达到100%使用; UCMP非平衡链路负载均衡:UCMP区别于传统的ECMP,其最大特点是利用权重值来区别对待带宽的使用,使得两条不同带宽的出口,可根据带宽大小不同来承担不同的数据流量传输; 完善的传统VPN网关作为大
11、型企业的出口网关设备,在部署NAT功能的同时,还可能需要部署各种VPN应用。SR6602-X万兆网关全面支持GRE、L2TP、IPSec等VPN功能,借助多核处理器内嵌的强大加密引擎,可以为用户提供大容量、高性能的安全VPN接入。在硬件上支持独立的硬件加密内核,在不增加用户投资的前提下可提供8Gbps IPSec数据加密处理能力,6000条IPSec隧道、32000条L2TP隧道、4000条GRE隧道,高性能的加密能力以及超大的隧道容量可以满足各种大型加密网关的要求,保证用户数据在广域网的传输安全。 技术领先的ADVPN和GDVPN KS网关传统VPN技术在灵活性和可维护性上还存在着不足,例如
12、企业分支机构通常采用动态地址接入公共网络,通信一方无法事先知道对端公网地址,以及全连接时配置的 12N2 问题等等。H3C针对上述用户业务需求,提供专业ADVPN(Auto Discovery Virtual Private Network,动态虚拟专用网络)解决方案和Group Domain VPN(Group Domain Virtual Private Network,组域虚拟专用网络)是一种实现密钥和安全策略集中管理的VPN解决方案。ADVPN是通过VAM(VPN Address Management,VPN地址管理)协议收集、维护和分发动态变化的公网地址等信息,解决无法事先获得通信对
13、端公网地址的问题。ADVPN可以在企业网各分支机构使用动态地址接入公网的情况下,在各分支机构间建立VPN。在组网的灵活性以及维护工作量精简都有大幅提高,此外还提供很多丰富的特性,例如:ADVPN报文的NAT穿越、安全认证、IPSec的报文加密以及多VPN域等等。Group Domain VPN是一种实现密钥和安全策略集中管理的VPN解决方案。传统的IPsec VPN是一种点到点的隧道连接,而Group Domain VPN是一种点到多点的无隧道连接。Group Domain VPN主要用于保护组播流量,例如音频、视频广播和组播文件的安全传输。Group Domain VPN提供了一种基于组的I
14、Psec安全模型。Group Domain VPN由KS(Key Server,密钥服务器)和GM(Group Member,组成员)组成。SR6602-X万兆网关不仅可以充当GM角色,更可以充当KS网关.。GDVPN相比较传统的IPsec VPN,Group Domain VPN具有如下优点: 网络扩展性强。传统的IPsec VPN中,每对通信对等体之间都需要建立IKE SA和IPsec SA,管理复杂度为 12N2 ,而Group Domain VPN中所有组成员之间共用一对IPsec SA,管理复杂度低,可扩展性更好。 无需改变原有路由部署。传统的IPsec VPN是基于隧道的VPN连接
15、,由于封装了新的IP头,需要重新部署路由。Group Domain VPN不需修改报文IP头,报文外层封装的新的IP头与内层的原IP头完全相同,因此,不需要改变原有部署的路由。 更好的QoS处理。传统的IPsec VPN由于在原有IP报文外封装了新的IP头,报文在网络中传输时,需要重新配置QoS策略。Group Domain VPN保留了原有的IP头,网络传输时可以更好地实现QoS处理。 组播效率更高。由于传统的IPsec VPN是点到点的隧道连接,当需要对组播报文进行IPsec保护时,本端需要向组播组里的每个对端均发送一份加密报文,因此组播效率低。Group Domain VPN是无隧道的连
16、接,只需对组播报文进行一次加密即可,本端无需单独向每个对端发送加密报文,组播效率高。 可提供any-to-any的连通性。所有组成员共用一对IPsec SA,同一个组中的任意两个组成员之间都可以实现报文的加密和解密,真正实现了所有节点之间的互联。 全方位的网络安全防护SR6602-X内置多种安全特性,为用户的网络提供全方位安全防护: 全面的防火墙功能: 支持包过滤防火墙、状态防火墙,过滤各种攻击报文,并能提供过滤日志。特有的ACL加速算法,消除了ACL过滤规则数目对防火墙性能的影响; 全面的内置防攻击手段: 支持各种ARP防攻击技术,如:ARP限速、ARP Proxy、授权ARP、ARP主动确
17、认、ARP源MAC一致性检查等等,可以很好地防范内网中日益猖獗的ARP攻击,保证网络业务运行的稳定性; 单包攻击防范:可以对Fraggle、ICMP Redirect、ICMP Unreachable、LAND、Large ICMP、Route Record、Smurf、Source Route、TCP Flag、Tracert、WinNuke等单包攻击行为进行有效防范; 扫描攻击防范:攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和启用的服务类型,为进一步侵入目标系统做准备; 泛洪攻击防范:有效阻止SYN Flood攻击、ICMP F
18、lood攻击、UDP Flood 黑名单功能:根据报文的源IP地址进行报文过滤的一种攻击防范特性。同基于ACL(Access Control List,访问控制列表)的包过滤功能相比,黑名单进行报文匹配的方式更为简单,可以实现报文的高速过滤,从而有效地将特定IP地址发送来的报文屏蔽掉; 流量统计辅助攻击防范:主要用于对内外部网络之间的会话建立情况进行统计与分析,具有一定的实时性,可帮助网络管理员及时掌握网络中各类型会话的统计值,并可作为制定攻击防范策略的一个有效依据; 支持URL过滤,避免用户访问非法网站; 完备的用户行为跟踪记录:支持完善的日志功能,配合H3C公司的iMC UBAS(用户行为
19、审计)解决方案,使网络管理员可以方便监控上网用户的行为,保证网络安全运行。 良好的接口扩展性*网关路由器凭借灵活接口平台设计具备强大的扩展能力。FIP-10可同时支持4个多功能接口模块(MIM),FIP-20可以同时支持2个高速接口模块(HIM)或2个多功能接口模块(MIM),并支持HIM和MIM接口模块之间混插。SR6602-X网关模式可以支持FE、GE以及10GE等多种速率的以太接口卡,在接口介质上可以支持电口和SFP光口,光口还可以支持百兆、千兆自适应。用户按需购买,应用灵活方便。 强大的路由处理能力 *网关路由器支持大容量路由转发表项,同时支持丰富的路由策略和强大的策略路由功能,可对网
20、络流量进行灵活的控制和调度,满足行业和运营商用户不同业务特性要求。此外,*还全面支持基于IPv4/IPv6静态路由和动态路由协议,如:RIP/RIPng、OSPF/OSPF v3、IS-IS/IS-ISv6、BGP/BGP4+等。 运营级可靠性设计SR6602-X秉承高端设计理念给用户提供全面的可靠性保障:在硬件上,提供可插拔电源冗余设计,支持交流或直流电源输入,保证用户在一路电源故障的情况下能够继续运行设备;支持全部接口模块的热插拔功能,确保用户在不间断业务的情况下插拔或者更换单独的模块,并提供热补丁技术,实现软件平滑升级。 支持MPLS TE FRR(Fast ReRoute ,快速重路由
21、),具备快速路由备份(FRB:Fast Routing Backup)特色功能,并结合BFD功能,实现故障链路的快速切换。 支持IP FRR(Fast ReRoute ,快速重路由),可以和静态路由/策略路由/RIP/IS-IS/OSPF进行联动,并可以结合BFD功能,实现故障链路的快速路由切换。 支持IGP快速收敛。 支持虚拟路由冗余协议(VRRP),结合BFD故障检测机制,实现快速的VRRP倒换能力。此外,还支持增强型虚拟路由冗余协议(VRRPE),可实现多个虚拟路由器的负载分担功能。 支持OSPF/IS-IS/BGP/MPLS LDP/MPLS RSVP-TE GR (Graceful
22、Restart,完美重启)功能实现主备引擎倒换时不间断转发。1.3.2 H3C SecPath F1000-S-G防火墙SecPath系列产品是H3C公司为企业和运营商用户设计的专业网络安全产品,通过将强大安全抵御功能、专业VPN服务和智能网络特性无缝集成在一个硬件平台上,不但能为用户提供广泛和深入的安全防护和安全连接功能,同时可以降低与安全相关的总体拥有成本以及部署的复杂程度,是网络安全解决方案的理想选择。SecPath系列产品作为H3C公司iSPN(智能安全渗透网络)解决方案的重要组成部分,已经成为H3C公司IToIP核心理念中的IP自适应安全网络的坚实基础。SecPath F1000-S
23、-G是H3C公司面向大中型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN、SSL VPN等,可以构建多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由
24、。SecPath F1000-S-G防火墙充分考虑网络应用对高可靠性的要求,采用互为冗余备份的双电源(11备份)模块,支持交、直流输入电源模块;支持双机状态热备,支持Active/Active和Active/Passive两种工作模式。提供机箱内部环境温度检测功能,并支持网管。n 产品特性 市场领先的安全防护功能增强型状态安全过滤:支持基础、扩展和基于接口的状态检测包过滤技术,支持按照时间段进行过滤;支持H3C特有ASPF应用层报文过滤(Application Specific Packet Filter)协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对FTP、HTTP、SM
25、TP、RTSP、H.323(包括Q.931,H.245, RTP/RTCP等)应用层协议的状态监控,支持TCP/UDP应用的状态监控。抗攻击防范能力:包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能;静态和动态黑名单功能;MAC和IP绑定功能;支持智能防范蠕虫病毒技术。应用层内容过滤:支持IPS以及AV防病毒功能,能够有效精准的进行入侵检测;支持邮件过滤,提供SMTP邮件地址、标题、附件和内
26、容过滤;支持网页过滤,提供HTTP URL和内容过滤;支持应用层过滤,提供Java/ActiveX Blocking和SQL注入攻击防范。多种安全认证服务:支持RADIUS和HWTACACS协议及域认证;支持基于PKI /CA体系的数字证书(X.509格式)认证功能;在PPP线路上支持CHAP和PAP验证协议;支持用户身份管理,不同身份的用户拥有不同的命令执行权限;支持用户视图分级,不同级别的用户赋予不同的管理配置权限。集中管理与审计:提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。全面NAT应用支持:提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS
27、映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能,能够有效解析报文内部所携带的IP地址并予以相应转换,保证NAT设备两端的应用层协议访问正常。 专业 灵活的VPN服务支持L2TP VPN、GRE VPN、IPSec VPN、SSL VPN等多种VPN业务模式。 技术领先的IPv6支持IPv4/IPv6双协议栈,并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能。支持IPv6各种过渡技术,包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道等。
28、支持IPv6 ACL、Radius等安全技术。 智能网络集成及QoS保证支持路由、透明及混合运行模式支持静态路由协议支持RIP v1/2、OSPF、BGP动态路由协议支持路由策略及策略路由支持基于802.1q VLAN支持PPPoE ClientDHCP Client/Server/Relay 电信级设备高可靠性支持双机状态热备功能,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份。支持机箱内部环境温度自动检测,并可通过网管自动采集告警信息。双电源冗余备份。 极具性价比的多业务特性集成链路负载均衡特性,通过链路状态检测、链路繁忙保护等技术,有效实
29、现企业互联网出口的多链路自动均衡和自动切换。一体化集成SSL VPN特性,满足移动办公、员工出差的安全访问需求,不仅可结合USB-Key进行移动用户的身份认证,还可与企业原有认证系统相结合、实现一体化的认证接入。 智能 图形化的管理通过Web方式进行远程配置管理。通过H3C 网管软件实现与网络设备的统一管理。支持基于SNMP和TR-069协议的管理。通过IMC IVM组件对VPN进行动态和图形化的业务管理和状态监控。1.3.3 H3C S7500E系列高端多业务路由交换机H3C S7500E(X)系列产品是*(以下简称H3C公司)面向融合业务网络的高端多业务路由交换机,该产品基于H3C自主知识
30、产权的Comware V5操作系统,以IRF2(Intelligent Resilient Framework 2,第二代智能弹性架构)技术为系统基石的虚拟化软件系统,进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。H3C S7500E(X)符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。n 产品特性 丰富的业务,适应融合业务网络发展趋势 基于IRF2(第二代智能弹性架构)技术的虚拟化架
31、构H3C S7500E(X)面向数据中心技术的演进,推出了IRF2为代表的软件虚拟化技术,提供2-4台主机的协同工作、统一管理和不间断维护功能;IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术,而且对于传统企业网应用,IRF2所提供的高可靠性和无缝升级、扩展能力,也成为H3C用户增值服务的重要组成部分;另外H3C 的IRF2虚拟化技术还可根据组网的要求支持长距离(80KM)的普通以太网万兆光纤堆叠。 全面的MPLS、VPLS业务能力H3C S7500E(X)所有产品均支持Multi-VRF特性,可以作为MCE设备使用;支持三层的MPLS VPN和二层的MPLS VPN(Martini、
32、Kompella);支持MPLS OAM特性,方便用户的管理和维护;与H3C MPLS VPN Manager配合,实现图形化的MPLS部署与维护。 全面支持VPLS,VLL,还支持分层VPLS以及QINQ+VPLS接入方式,提供端到端2层VPN接入方案,支持MPLS/VPLS全线速转发,满足VPLS规模部署要求。 高性能IPv4/IPv6业务能力H3C S7500E(X)支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;H3C S7500E(X)采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;H3C
33、 S7500E(X)已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段认证,是成熟商用的IPv6产品。 有线无线一体化,有源无源一体化H3C S7500E(X)集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等;无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。H3C S7500E(X)是业界最高密度的以太网无源光网络(EPON)设备, 其提供高可靠的EPON系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信
34、级可靠性。 EAD端点准入防护技术H3C S7500E(X)支持大容量的Portal认证功能,可以在数千用户的局域网中做为EAD网关设备,为全网用户提供EAD安全认证功能;可以在大中型的校园网中担任汇聚/核心设备的同时,为学生宿舍区的认证计费提供Portal认证功能。全方位的安全保障,抵御多种网络安全威胁 三平面安全保障机制H3C S7500E(X)提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:在控制平面,内置协议报文攻击识别模块,防止TCN、ARP等协议报文攻击,OSPF/BGP/IS-IS路由协议采用MD5验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNM
35、Pv3网管协议,SSH V2,基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN 、MAC和端口等多种组合精细绑定;支持uRPF单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。H3C S7500E(X)还支持内置的高性能防火墙、异常流量清洗等模块,将专业的安全融入到交换机之中。 有线无线全面支持EADH3C S7500E(X)是EAD端点准入防御解决方案的重要组成部分,S7500E(X)可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。H3C
36、S7500E(X)既支持有线终端用户的EAD,也支持无线终端用户的EAD,能够做到终端安全防范无漏洞。 增强的ACL特性H3C S7500E(X)系列产品支持强大的ACL能力:支持标准和扩展ACL;支持基于VLAN的ACL,方便用户配置,节省ACL资源;支持出方向和入方向的ACL,满足金融等行业访问权限严格控制的需求。 电信级的高可靠性,保障用户业务长期稳定运行 电信级高可靠性设计H3C S7500E(X)采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;H3C S7500E(X)系列可以在恶劣的环境
37、下长时间稳定运行,达到99.999的电信级可靠性。 多业务高可靠性运行H3C S7500E(X)支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP快速环网保护协议;支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术,H3C S7500E(X)可以在承载多业务的情况下不间断运行,实现业务的永续。 基于IRF2架构的HAIRF2技术可以把多台S7500E(X)虚拟成一个“联合设备”,使用和配置都如同一台机器,而且扩展端口数量和交换能力,同时也通过多台设备之间的互相备份增强了设备的可靠性
38、,提供毫秒级的链路收敛能力。简化了管理过程,降低管理成本,并可根据实际需求平滑扩容网络容量。支持基于硬件的丰富的OAM故障检测机制,实现毫秒级链路故障检测。1.3.4 iMC智能管理中心平台随着网络建设的不断深入发展,除了单纯的追求高带宽、高速率外,安全的网络、高效的网络和可运营的网络成为越来越多的用户关注的焦点,网络精细化管理也越来越深入人心,一套好的管理软件无疑对网络的精细化管理起到至关重要的作用。基于多年的积累和对用户网络的深入理解,H3C智能管理中心(intelligence Management Center,iMC)平台(以下简称iMC平台)为用户提供了实用、易用的网络管理功能,在
39、网络资源的集中管理基础上,实现拓扑、故障、性能、配置、安全等管理功能,不仅提供功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件。对于设备数量较多、分布地域较广并且又相对较为集中的网络,iMC平台提供分级管理的功能,有利于对整个网络进行清晰分权管理和负载分担。iMC平台除了涵盖网络管理功能外,还是其他业务管理组件的承载平台,共同实现了管理的深入融合联动n 产品特性 首页个性化定制及大屏显示支持各业务在首页发布widget(Web Widget,中文译名被称作是微件,是一小块可以在任意一个基于HTML的Web页面上执行的Web 子页面),每个wi
40、dget具有折叠、还原、最大化、拖拉、关闭、新窗口打开、自动异步刷新等功能。支持用户在自己的权限范围内定制个性化主页。支持通过高分辨率大屏幕监视网络运行情况,以便实时掌握网络运行状态,显示的内容可根据管理员的需求进行定制。 移动智能客户端支持使用移动客户端(智能手机、平板电脑)访问iMC中的资源,以简化网络的日常管理和监控,提升管理效率。当前版本的iMC支持iOS(iOS 4.3或更高,iPhone、iPod touch、iPad兼容)、Android(Android 2.1 update1或以上版本)操作系统的移动设备访问。通过iMC移动智能客户端,管理员可以查询特定设备,浏览存在故障的设备
41、信息及接口信息,对设备进行可达性测试(Ping,TraceRoute)等操作。 全面的基础资源管理更多的管理设备类型:除了传统的路由器、交换机外,更能对网络中的无线、安全、语音、存储、监控、服务器、打印机、UPS等设备进行管理,实现设备资源的集中化管理。多厂家设备的统一管理:除了对H3C的网络设备管理外,iMC平台还实现了对HP、3Com、华为、Cisco各厂家网络设备的分类和识别;对设备状态和基本信息的管理,不仅包含了设备的基本信息、接口信息、性能数据和告警信息,同时还可以在增加其他组件的情况下显示扩展后的业务信息。支持对设备访问参数的批量配置和校验,提供对网络设备资源的查找、修改、删除和批
42、量导入/导出功能;提供用户的批量管理功能,包括:批量修改用户附加信息、批量注销用户,以及批量用户导入功能,节省操作员录入时间。灵活快捷的自动发现算法:基于H3C专利的发现算法,iMC平台不仅提供了快速自动发现方式,还提供了四种高级自动发现方式,包括路由方式、ARP方式、IPSec VPN方式、网段方式等,能快速、准确地发现网络资源。直观的设备面板管理:支持设备面板管理,所见即所得的显示设备的资产组成和运行状态。清晰的网络设备资产管理:在将iMC平台中管理的设备增加到网络资产管理的同时,系统还会自动发现该设备上可以管理的配件信息,并将这些配件加入到网络资产中进行管理,管理员可以对网络资产信息进行
43、修改,还可以查看该资产的子模块信息、接口信息以及变更审计历史信息。 灵活的拓扑功能多种网络拓扑视图:除传统的IP拓扑视图外,iMC平台还提供全网络的拓扑视图和自定义拓扑视图,使用户可以根据自己的组织结构、地域情况、甚至楼层情况清晰灵活地绘制出客户化的网络拓扑。在全网络拓扑视图中,用户可以随意组织和定制子图。增强的二层拓扑:传统实现的拓扑都是基于IP的三层拓扑,iMC平台在此基础上更支持二层拓扑,实现了同一个VLAN或者网段内部PC与网络设备、二层网络设备之间的互连关系,更方便直观的体现了网络中设备的互联关系。数据中心机房、机架拓扑:iMC平台支持按设备物理位置进行组织的数据中心机房和机架拓扑。
44、通过此拓扑视图,用户可以很方便的找到设备在机房中所处位置,进而对设备物理实体进行管理维护。支持嵌入式拓扑:资源自定义视图、IP视图中实现设备的列表式管理和拓扑管理的融合,提升拓扑窗口切换的易用性。拓扑中支持添加任意的文字标签。iMC首页支持多个拓扑的同时展示。目前仅自定义拓扑和IP拓扑支持,其他业务拓扑可以扩展,每个拓扑显示区域可以对显示哪个拓扑进行配置。 智能的告警管理直观的故障列表:H3C智能管理中心能自动汇总全网中故障设备,形成故障设备列表,使管理员能快速、清晰的找到需要关注的故障设备。智能的告警关联:提供对重复告警、突发的大流量告警、未知告警的自动过滤,用户还可以自定义过滤规则,以有效
45、压缩海量网络告警,使得管理员直接关注真正的网络故障。告警根源分析和影响度分析:提供基于拓扑的区域告警根源分析,提供告警关联分析,提供告警分组分析,有效屏蔽故障引起的海量表象告警,方便用户快速定位、查找故障根源,确认故障影响的范围。告警定义和Mib导入:在支持标准Trap以及H3C、华为、Cisco等主流厂商私有Trap基础上,还提供新增及通过Mib导入Trap定义功能,方便快速地支持各厂商新Trap。丰富的告警转发机制:除提供告警声光提示、转Email、转短信等方式外,还可以针对不同的告警定义不同的提示内容以及对应维护参考,当再次出现同类告警后能直接对应到相应的维护参考。结合拓扑直观的设备故障
46、状态监控:与传统的网管告警和拓扑状态互相分离做法不同,使用显著的颜色把故障状态直观的反映在拓扑中的设备和链路图标上,用户仅需要查看拓扑,即可知道网络的整体运行状态。Syslog接收与分析:iMC平台支持多厂商设备的Syslog原始报文接收,提供日志浏览、查询、导出及自动转储功能。并且可以根据预定义及用户自定义规则对Syslog报文进行分析,将关键事件升级为告警,有效地帮助用户在海量Syslog报文中及时发现网络关键事件。安全事件联动:iMC平台对多厂商设备的Syslog报文进行分析,提取安全相关的关键信息(比如攻击事件类型、攻击源、攻击目的),并根据安全控制策略,采取匹配的安全动作,比如关闭攻
47、击源网络端口等。 易用的性能管理一目了然的网络TopN性能指标:CPU利用率、内存利用率、带宽利用率、设备响应性能、设备不可达等是网络性能管理中用户最关注的几项,iMC平台通过TopN列表,使用户能一目了然当前网络中的性能瓶颈问题。性能视图:用户可灵活定制性能数据浏览视图,分析网络运行趋势。性能视图支持多指标多实例数据组合的展示,支持TopN明细表格、TopN柱图、折线图、柱状图、面积图、汇总数据多种性能监控数据展示方式。性能与告警的深度结合:iMC平台支持对每一个性能指标设置两级阈值,发送不同级别的告警。用户可以根据告警信息直接了解到设备监视指标的性能情况,有助于用户随时了解网络的运行状态,
48、预测流量发展趋势,合理优化网络。详实的性能统计报表:利用采集到的性能数据信息,iMC平台能对关键的性能监控内容形成实用、详实的统计报表,用户可以直接打印这些报表,也可以将报表导成Excel、Html、PDF、Word等形式的文件。丰富的拓扑性能指标实时展示:iMC平台支持在的拓扑中展示设备和链路性能监控数据,用户可为不同设备和链路定制不同展示指标。 强大的配置管理资源化的配置和软件管理: iMC平台以资源管理的角度提供了配置模板库和设备软件库的管理。配置模板库维护网络设备配置模板文件、用户常用的配置模板片段两种资源;配置模板文件可部署为设备的启动配置或者运行配置;配置模板片断可部署为设备的运行配置,也可通过启用“下发命令后将设备运行配置保存为启动配置”选项部署为启动配置,并且配置内容可以带有参数,在部署时根据设备的差异设置不同的值。设备软件库维护