《毕业设计(论文)中日联谊医院内部网络规划与设计.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)中日联谊医院内部网络规划与设计.doc(34页珍藏版)》请在三一办公上搜索。
1、长 春 大 学毕 业 设 计(论 文)中日联谊医院内部网络规划与设计姓 名学 院专 业班 级指导教师中日联谊医院内部网络规划与设计摘要 随着计算机网络技术的不断发展,当今社会已经进入到了全面信息化时代。而作为我国信息化重要组成部分的医疗机构,需要良好的网络结构作为其飞速发展的基础。医院的网络结构是一个非常庞大而且复杂的网络体系,它不但是综合信息管理现代化和医疗办公自动化等一系列应用操作的基础平台,更是一个可以提供多种应用服务,使医疗信息能够准确地、及时地、稳定地传送到医疗体系的各个系统中。而医院网络工程建设中主要是通过网络技术中的一个很重要的分支局域网技术作为其主要的技术支撑。本文从体系架构、
2、方案设计、分布式布线系统、安全管理的各个方面全面地、系统地讨论医院内部网络架构。在网络设计中,详细地阐述了网络拓扑结构、VLAN划分、IP地址分配、设备选型、网络安全以及VPN等相关网络技术为医院的建设提供理论依据和实践指导。关键词 局域网、路由交换技术、网络规划、安全性、VLAN划分Sino-Japanese Friendship Hospital, internal network planning and designAbstract With the development of computer network technology, todays society has enter
3、ed into a comprehensive information age. As medical institutions in Chinas information technology an important part, we need a good network structure as the basis for its rapid development. The hospital network is a very large and complex network system, it is not only a modern integrated informatio
4、n management and office automation, medical care and a series of infrastructure for application operation, it is possible to provide a variety of application services to enable medical information to accurately timely and stably transferred to the various systems in the health care system.The hospit
5、al network construction is mainly through the network technology in a very important branch - LAN technology as its primary technical support. From the architecture, design, distributed wiring system, all aspects of a comprehensive security management system to discuss the hospitals internal network
6、 architecture. In network design, detailed description of the network topology, VLAN division, IP address allocation, equipment selection, network security and VPN networks and other related technologies provide a theoretical basis and practical guidance for the construction of the hospital. Key wor
7、ds LAN,routing and switching technology, network planning, security, vlan division目 录1 引 言12 系统分析22.1 背景介绍22.2 需求分析22.2.1 用户需求22.2.2 网络需求33 综合布线43.1 综合布线介绍43.2 发展过程43.3 特点54 网络规划64.1 总体设计思路64.2 具体网络设计64.2.1建筑楼群及信息点分布64.2.2 网络拓扑74.2.3 VLAN划分84.2.4 IP划分94.3 网络技术10 4.3.1 路由协议选择104.3.2 VRRP技术114.3.3 生成树
8、技术114.4 设备命名规划114.5 端口描述规划124.6 设备互联规划125 设备选型145.1 出口网关设备145.2 防火墙165.3 核心交换机185.4 汇聚交换机215.5 接入交换机246 结论277 致谢288 参考文献291 引 言伴随着我国加入WTO,我国各行各业都受到了前所未有的国际化冲击,外来企业的竞争给我国传统的经营方式带来了巨大的震撼:必须要与世界接轨,与信息技术接轨!医院的日常管理亦是如此,其信息系统安全防护措施的制定和实施是保证医院信息系统的稳定性、可靠性、安全性、可用性的利器。医院信息系统的安全性直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将
9、会给医院和病人带来巨大的灾难和难以弥补的损失,因此,医院计算机网络系统的安全工作非常重要,一定要制定周密的网络安全维护措施,以确保医院计算机网络系统持久、稳定、高效、安全地运行。传统医疗卫生行业正利用其行业特点,汲取网络技术精华,努力创造着医疗卫生行业的又一个春天。未来是美好的,但现实不可回避。在选取“飞”的翅膀时,好的网络设计方案对医疗行业网络安全、网络管理、可靠性、可管理性、可扩展性和高性能的特殊需要,具有深远的意义。建设医院网络,创建丰富多彩的网络文化对于改变医院内部以及其职工的生活具有重要的意义。医院的网络化信息化已经成为其现代化标志之一,办公自动化以及广大医务工作者的生活都要依托与网
10、络环境,因此,构建合理的、成熟的、稳定的网络,是医院内部及其生活区的数字化进程中重要事件。医院的网络系统设计应能满足当前的业务需要,同时又要考虑到未来的发展。要使网络系统为应用系统提供统一的接口,屏蔽因具体计算机硬件和网络不同而造成的差异。同时要考虑易于操作性,确保使用技术成熟的网络设备和通信技术,同时要考虑对现有设备和资源的充分利用,保护原有的投资。在满足适用性的基础上,网络系统设计尽量采用先进的网络技术及通信设备,以适应内部大量数据传输以及多媒体信息的传输。所采用的网络技术应具有长足的发展潜力,以适应未来新的应用系统和网络技术的发展。计算机技术的飞速发展推动了医药行业各大医院的现代化建设,
11、其中沿着一棵生成树进行转发成为了医院信息化系统的建设关注热点。大型现代化医院必须要具备一套速收敛,mstp可以弥补stp和rstp的缺陷,也能使不同vlan的流量沿各自的路径分发,从而为冗余链路提供完整的网络信息系统,实现以病人为中心,医院各临床和职能科室的应用了更好的负载分担机制。mstp设臵vlan映射表(即vlan和生成树的对应关为基础,最大限度的发挥医疗设备的作用,提升医院的现代化管理水平)把vlan和生成树联系起来。同时它把一个交换网络划分成多个域,进一步提升医疗服务质量和水平。 2 系统分析2.1 背景介绍吉林大学中日联谊医院,坐落在吉林省长春市仙台大街126号,是教育部“985”
12、高校吉林大学所属的、国家卫生和计划生育委员会管的集医疗、教学、科研、预防、保健、康复为一体的大型现代化综合性三级甲等医院。医院前身是白求恩医科大学第三临床学院。成立于1949年11月,时为中国人民解放军“长春医科大学外科学院”。先后经历了中国人民解放军第三军医大学第三临床学院、中国人民解放军第一军医大学第三临床学院、吉林医科大学第三临床学院、白求恩医科大学第三临床学院时期。1993年7月,医院主体迁入位于长春市经济技术开发区的新址。新医院是由吉林省政府和长春市政府拨地、国家卫计委投资基建、日本政府无偿援助价值26亿日元先进设备而共同兴建的,为纪念中日两国人民及政府间的友谊,医院被命名为白求恩医
13、科大学第三临床学院(中日联谊医院)。2000年6月,吉林大学、白求恩医科大学等5所高校合并组建新吉林大学,医院易名为“吉林大学中日联谊医院”。医院设有51个临床、医技科室。医院神经病学是国家重点学科单位;骨科学、耳鼻咽喉-头颈外科学是国家卫计委重点建设学科;手外科、泌尿外科、医学影像科、风湿免疫科是国家临床重点专科;内科学、外科学、眼科学、耳鼻咽喉科学、临床检验诊断学、影像医学与核医学是吉林省教育厅普通高等学校重点学科;骨科、消化内科、内分泌科、普通外科、康复医学科、泌尿外科是吉林省卫计委重点专科。医院现有员工3946人,在编人员2080人,聘用人员1866人。在编人员中医生889人,护士65
14、1人,技师130人。其中,主任医师202人,副主任医师205人,教授131人,副教授168人,博士研究生导师42人(含兼职导师3人),硕士研究生导师338人(含兼职导师80人)。2.2 需求分析 2.2.1 用户需求医院内部网络的工作模式会带来数量非常庞大的动态应用数据传输,这需要相应的服务器能够拥有一个高速的接入网络平台。所以,医院的网络建设要有充足的主干带宽和扩展能力。支持数字化,网络化,自动化的国内先进的基础网络平台,以满足数字化医院建设的需要,也能满足长期的医院信息化建设的要求。 网络平台应具有业务高安全性,易于管理和维护的性能,可支持多种的医院,医疗和科学应用的办公室,而且还支持移动
15、办公,信息发布,网上医疗医学研究合作。接入层支持百兆到桌面,核心层需要具有支持全千兆到万兆的速度平滑扩容能力。网络密钥冗余热备节点可以保证连续稳定运行的系统。高带宽,高可靠性,高性能,高安全性的特点。从而提高医疗办公的效率,提高医疗网络水平,减轻医疗相关事业单位的压力,提高医疗卫生系统信息化应用的水平,进一步推进我国医疗行业的信息化建设,使医院的社会效益与经济效益可以实现双丰收。 2.2.2 网络需求(1) 各个科室之间相互独立,并可以访问外网。(2) 外网可以访问医院的对外门户网站。(3) 网络应具有高稳定性,以保证信息的稳定传输。(4) 要有冗余结构,以保证避免单点故障或在发生单点故障的情
16、况下,不会对 整个内部网络造成影响,可以在出问题时能够快速恢复或切换。(5) 保证网络的安全性。(6) 有良好的管理平台,简单、易维护。(7) 对于外出办公人员,可以通过专线或隧道访问医院内部服务器。 3 综合布线3.1 综合布线介绍综合布线是一种模块化的、灵活性能非常高的建筑物内或者建筑群之间的信息传输通道。通过它可使数据设备、语音设备、交换设备及各种各样的控制设备与信息管理系统完美的相互连接,并且也能实现这些设备与外部通信网络相连的网络技术。同时综合布线还包括建筑物外部网络或者电信线路之间的连接点与应用系统设备之间的所有相关线缆及相关的一系列连接部件。综合布线由不同规格和系列的部件组成,其
17、中包括:传输介质、相关连接网络硬件(例如连接器、配线架、插头、插座、适配器)以及相关的电气保护设备等。这些部件可用来构建各种各样的网络子系统,它们都有各自的用途,不但易于实施,同时还能根据需求的变化而平稳升级。3.2 发展过程 在1985年前的布线系统没有标准化。其中有几个原因。首先,本地电话公司总是关心他们的基本布线要求。其次,使用主机系统的公司要依靠其供货商来安装符合系统要求的布线系统。随着计算机技术的日益成熟,越来越多的机构安装了计算机系统,而每个系统都需要自己独特的布线和连接器。客户开始大声报怨每次他们更改计算机平台的同时也不得不相应改变其布线方式。为赢得并保持市场的信任,计算机通信工
18、业协会(CCIA)与EIA联合开发建筑物布线标准。讨论在1985年开始,并取得一致,认为商用和住宅的话音和数据通信都应有相应的标准。EIA将开发布线标准的任务交给了TR41委员会。TR41委员会认识到该任务的艰巨性,于是设立了下属委员会及数个工作组来负责开发商用和住宅建筑物布线标准的各方面的广泛工作。这些委员会在开发这些标准时卞要关注的重点是保证开发的标准是独立于技术及生产厂一家的。综合布线的发展与建筑物自动化系统密切相关。传统布线都是各自相互独立的。各中系统分别通过不同的厂商规划和安装,传统的网络布线采用不同的网络线缆和不同的插座。同时,连接这些不同网络布线的插座、插头、配线架都无法相互兼容
19、。办公整体布局和环境改变的现象是经常出现的,需要更改办公设备或者随着新兴网络技术的发展,需要更新设备时,就一定要更改布线。这样因增加新电缆从而留下旧电缆,随着时间的推移,导致了建筑物内出现一大堆杂乱无章的线缆,造成非常大的隐患。维护不方便,改造也非常困难。随着经济国际化与全球社会信息化的深入发展,人们对网络信息共享的需求更加迫切,这是就需要一个更加适合现代网络信息化时代的综合布线方案。3.3 特点 综合布线与传统的网络布线相比较,有着非常多的优越性,这些优越性是传统布线所无法与之相比的。它的特点主要体现在它具有可靠性、兼容性、先进性、灵活性和经济性。而且在规划、施工和后期维护方面也同样给人们带
20、来了相当多的便利。4 网络规划4.1 总体设计思路 本次主要采用三段式网络形式对医院内部网络进行网络规划。所谓的三段式网络形式主要包括核心层、汇聚层、接入层。 核心层:作为网络的核心层,有必要采用两台高端核心交换机作为全网的核心,由于它需要在网络中负载全部数据流的交互,数据库系统、管理安全平台、终端用户都会在此交换数据,所以核心交换机的性能一定要有很高的可靠性。另外网络内部结构一旦确定,其结构将会在一段时间内难以变化,所以采用高端交换机既可以保证网络速度又可以在系统升级后继续使用保护投资。 汇聚层:在网络中,汇聚层交换机和核心层交换机的作用与接入交换机不同,它们承担了网关和三层路由转发功能的重
21、担,汇聚层交换机必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此与接入层交换机比较,汇聚层交换机需要更高的性能和更高的交换速率。 接入层:楼层交换机以部门、楼层划分vlan,在终端用户的访问控制上还可以根据要求配置认证。所有的vlan组在核心交换机上做VRRP冗余备份,为了确保安全,还可以将不同的vlan从主备核心交换上区别开来,保证网络的负载均衡。为保证网络能够正常的、稳定的、通畅的运行,避免单点故障,全网采用冗余结构,实现备份功能。即使某台设备突然宕机,数据流也能切换到备用设备上,从而实现网络的正常通信。4.2 具体网络设计 4.2.1建筑楼群及信息点分布综合医疗大楼
22、一幢,综合医疗大楼是医生在里面办公的地方,主要进行内部信息交换。一层有31个房间,二层47个房,三层39个房间,四层33个房间,每间房间配有一部电脑。为使信息和资源共享,院方要求每个房间的办公设备都需要网络连通,同时大楼内的网络与医院的网络连通。由于每层楼都不超过100个信息点,所以每层楼使用一个工作组交换机,每层楼中的信息点直接通过交换机,接入新建立的医院网络即可。行政办公楼一幢,目前医院用的最为广泛的应用就是Email应用和HTTP应用。楼高6层,每层有办公室18间。每个办公室均配置有电脑1台,同时医院办公室电脑连入Internet。综合住院楼一幢,综合住院楼是病人住院的地方,没有大量的文
23、件传输,网络主要登记病人住院的状况。楼高10层,每层有一个值班室,每个值班室配置一电脑,并与医院的网络连接。物资供应楼一幢,物资供应楼是医院储存、供应医药的地方,所以一般采用HTTP、Email等方式。楼高3层,每层有一个办公室,配置两台电脑,与医院网络连接。体检康复楼一幢,检康复楼楼高4层,每层有20个房间,每个房间安装一台电脑,与医院网络连接。由于每层只有20个房间,所以每层楼的信息点只需要2个汇聚交换机接入医院网络。 4.2.2 网络拓扑 图 1-1网络拓扑 4.2.3 VLAN划分VLAN(Virtual Local Area Network)的中文名为虚拟局域网。虚拟局域网(VLAN
24、)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据其具体功能和所在区域等因素连接起来,就好像在同一个网段中进行通信,所以称其为虚拟局域网。VLAN作为一种新型技术,一个VLAN便是一种广播域。工作在OSI参考模型的第2层和第3层,VLAN之间通过第三层的路由器实现相互通信。VLAN与传统的局域网技术相比,具有以下优点:它的通信更加灵活、可以更好控制广播活动、减少开销、提高网络安全性。在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了一个特定的用户组,默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信,需要通过一个或多个路由器。这样的一
25、个广播域就称为VLAN。划分VLAN网段技术,减少不必要的广播,增强网络安全。处于一个局域网中,处于同一网段的设备便处于同一广播域。在交换网络中,广播域便可以由二层网络设备的物理地址组成。这样,网络中工作组的划分便可仅由其功能来划分,不需要看齐所在的位置。划分VLAN,大大的提高了工作效率,丰富了管理功能,提高了信息交流的安全性,避免了信息外漏。医院内部的VLAN划分如表所示:区域信息点数量VLAN名称服务器区5VLAN10行政办公楼108VLAN20综合医疗大楼150VLAN30综合住院楼10VLAN40物资供应楼6VLAN50体检康复楼80VLAN60表 1-2VLAN划分 4.2.4 I
26、P划分IP是英文Internet Protocol的缩写,意思是“网络之间互连的协议”,也就是为计算机网络相互连接进行通信而设计的协议。在因特网中,它是能使连接到网上的所有计算机网络实现相互通信的一套规则,规定了网络通信应有的规则。只有遵守互联网的IP协议,生产出的电脑才能通过互联网实现通信。因特网基于IP协议得到了迅猛的发展,已经成为世界上最大的通信网络。因此,我们也可以称IP协议为因特网协议。我们常用IP地址作为互联网上电脑的编号。只有获得IP地址,电脑再能在互联网上实现相互通信。我们可以把“一台PC”比作“一部手机”,那么“IP地址”就可以等同于“电话号码”,而网络中的路由器,就等同于电
27、信局的“程控式交换机”。IP地址分为ipv4和ipv6,现在通用ipv4。IP地址编址方案将IP地址空间划分为A、B、C、D、E五类,其中A、B、C是基本类,D、E类作为多播和保留使用。同时IP又分为公有IP和私有IP,公有IP由Inter NIC(Internet Network Information Center因特网信息中心)负责。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。私有IP属于非注册地址,专门为组织机构内部使用。简单来说就是用于访问公共Internet,私有IP就是用于医院、校园、企业等内部局域网。以下列出留用的内部私有地址:A类 1
28、0.0.0.0-10.255.255.255B类 172.16.0.0-172.31.255.255C类 192.168.0.0-192.168.255.255医院内部的IP划分如表所示:区域IP范围子网掩码网关服务器10.0.1.110.0.1.253255.255.255.010.0.1.254行政办公楼10.0.2.110.0.2.253255.255.255.010.0.2.254综合医疗大楼10.0.3.110.0.3.253255.255.255.010.0.3.254综合住院楼10.0.4.110.0.4.253255.255.255.010.0.4.254物资供应楼10.0.5
29、.110.0.5.253255.255.255.010.0.5.254体检康复楼10.0.6.110.0.6.253255.255.255.010.0.6.254表1-3 IP划分4.3 网络技术整个医院共有五栋建筑楼,划分为六个VLAN,其中服务器与综合办公楼共用一台汇聚交换机,由于物资供应楼、综合住院楼、体检健康楼信息点较少,所以这三栋楼共用一台汇聚交换机与,每栋楼有自己的网关,网关设置在与自己对应的汇聚交换机上。一台出口设备作为内部网络与Internet的连接点。两台核心交换机作为信息交互的中转站。两台防火墙放在出口设备与核心交换机之间,作为整个网络的安全保障。 4.3.1 路由协议选择
30、路由协议用于学习和维护路由,为网络通讯提供最佳路径,路由协议选择原则如下:(1)开放性和标准化必须使用国际标准的路由协议,保证网络的开放性,支持不同厂商设备的路由互连。(2)可扩展性使用的路由协议必须具备良好的扩展能力,能够支持网络规模的持续增长。(3)支持数据分流路由协议应该支持灵活的路由策略,通过调整路由策略,可以实现数据分流。基于以上三点原则,医院内部采用OSPF动态路由协议。OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由政策或路由协议互
31、相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。 4.3.2 VRRP技术为保证网络具备冗余性,核心层到汇聚层、汇聚到交换层均采用vrrp技术。虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议,1998年已推出正式的RFC2338协议标准。VRRP广泛应用在边缘网络中,它的设计目标是支持特定情况下IP数据流量失败转移不会引
32、起混乱,允许主机使用单路由器,以及及时在实际第一跳路由器使用失败的情形下仍能够维护路由器间的连通性。VRRP是一种选择型路由协议,它可以把一个虚拟路由器的动态情况分配到一台局域网上的 VRRP 路由器。主路由器是一台控制虚拟路由器 IP 地址的 VRRP 路由器,它负责将数据包转发到这些虚拟 IP 地址所在的虚拟路由器上。而当主路由器不可以被使用,这种选择过程就可以将动态的网络故障进行转移,这就需要将虚拟路由器的 IP 地址作为终端PC的默认下一跳IP地址。VRRP是一种LAN接入设备备份协议。一个局域网络内的所有主机都设置缺省网关,这样主机发出的目的地址不在本网段的报文将被通过缺省网关发往三
33、层交换机,从而实现了主机和外部网络的通信。 4.3.3 生成树技术为防止二层之间产生路由环路,二层采用生成树技术,这里主要采用的是MSTP。STP(Spanning Tree Protocol)是生成树算法的网桥协议 ,它通过生成生成树从而保证一个我们已知的网桥在一个网络拓扑中沿一个环动态工作。网桥与其他网桥交换之间发送的BPDU报文来检测路由环路,然后关闭一个选择的网桥端口从而取消环路,统指早期的数字设备和IEEE8021生成树协议标准合作产生生成树协议,该协议是在前者的基础下产生的。IEEE版本的生成树协议支持网桥区域,它允许网桥建设一个自由环形拓扑结构在一个扩展本地网中。MSTP是生成树
34、技术中的一种,是IEEE 802.1s中提出的一种STP和VLAN结合使用的新协议,它既继承了RSTP端口快速迁移的优点,又解决了RSTP中不同vlan必须运行在同一棵生成树上的问题。4.4 设备命名规划为满足标准化、规范化的要求,总体命名规范如下:详细命名规则如下:(1)网络系统中一台具体设备的命名由如下四个部分组成:字段1_字段2_字段3_字段4字段1:表示设备的安装地点和级别,字段1由英文字母标识和数字编码标识两个部分组成,英文字母表示设备所在地点,如ZHYL2C表示综合医疗楼2层字段2:表示设备所在的网络位置,例:JR表示接入交换机 (2)设备名称中的英文字母全部采用大写。字段3:表示
35、设备的型号,例:S2700(3)设备名称中的英文字母全部采用大写。字段4:表示设备的数量,例:_1 例如综合医疗楼2层的接入交换机: ZHYL2C_JR_S2700_14.5 端口描述规划为便于识别和维护,定义VLAN和VLAN端口、物理端口描述的规则如下:交换机之间互联用VLAN、VLAN接口的描述规则为:TO_设备名称_端口编号_V+VLAN ID例如:本VLAN连接xxx交换机01的GE1/1端口,VLAN号是100,描述为:TO_S3700-01_GE1/1_V100。4.6 设备互联规划设备互联规范主要对各种网络设备的互联进行规范定义,在项目实施中,如无特殊要求,应根据规范要求进行各
36、级网络设备的互联,统一现场设备互联界面,结合规范的线缆标签使用,使网络结构清晰明了,方便后续的维护。注:本次项目中因结构设计主要为接入设备与汇聚、核心设备互联,汇聚设备与核心设备互联。 (1)上级设备互联项目说明:与上级设备之间的互联主要是指汇聚与核心之间、接入与汇聚之间等位于不同网络逻辑区域的设备之间的互联。项目要点:同上级设备互联时使用设备最后(端口编号最大)的接口进行互联,端口从大到小依次接入。本次项目中接入设备连接汇聚与核心设备,统一采用接入设备最大端口(也就是接入设备最后一个接口)进行与核心、汇聚互联,汇聚设备最后一个端口与核心设备互联。如:教学楼机柜3台接入设备分别使用本交换机的G
37、I0/26接口连接汇聚交换机RG-S5750的1、2、3接口,Gi0/24口连接核心设备RG-S8610的第一块板卡1接口(注:采用光口互联)(2)下级设备互联项目说明与下级设备之间的互联主要是指汇聚与接入之间、核心与汇聚之间等位于不同网络逻辑区域的设备之间的互联。项目要点同下级设备互联时使用设备最前(端口编号最小)的接口进行互联,可采取AP捆绑的方式进行,端口从小到大依次接入;本次项目中涉及的下级设备互联主要为核心与汇聚的互联,核心与接入的互联。统一采用从核心设备的最小接口(第一个接口)依次进行接入设备的互联。 5 设备选型5.1 出口网关设备作为出口设备,本次采用华为AR2220,具体特性
38、如下:AR2200支持路由、交换、语音、安全、WLAN等多种融合业务,能不断满足企业业务多元化的需求。同时其支持丰富的接入和上行接口,能适配多种终端,实现企业灵活接入。(1)安全业务接入AR2200在业务顺利开展的同时有效地保障企业网的安全,从用户接入控制、报文检测、到主动防御形成一套完整的安全防护机制,实现用户投资回报最大化。(2)多核架构,性能卓越AR2200系列企业路由器采用多核CPU和无阻塞交换架构,产品性能业界领先,充分满足企业及分支机构网络的多元化扩展和不断增长的业务需求。(3)低成本,高可靠AR2200系列路由器通板卡热插拔、关键部件冗余技术以及一系列故障检测和判断机制,缩短了业
39、务中断时间,保障了设备层和网络层的可靠性。(4)智能业务部署随着企业规模的增加,客户对业务部署提出更高要求。AR2200采取一系列措施实现业务智能部署。增加Mini-USB配置端口,提供Web配置方式,界面更加友好,U盘开局,设备即插即用,Auto-Configure,设备自动配置。开放业务平台(OSP),企业级APP,通过OSP与第三方IT系统集成和对接,AR2200为企业客户实现统一通信的业务体验,使客户、代理商、第三方和厂家都可以是开发者和使用者,真正实现业务价值链的共赢。AR2200系列企业路由器提供24GE以太接口卡,能实现大容量高密度千兆接入的应用,方便网络运维,节省客户投资。AR
40、2204-27GE, AR2204-27GE-P,AR2204-51GE和AR2204-51GE-P是AR2200系列路由器中新一代的路由交换一体化产品,这两款设备上集成了48个百兆以太网端口和2个千兆以太网端口,极大程度上满足分支高密以太的接入要求。通过一体机可实现接入交换机、分支出口路由器合一的功能,降低客户采购成本。同时可减少设备故障点,降低网点的维护难度。(5) 优质融合的语音服务AR系列企业路由器,部署在企业分支,支持智能路由拨号功能,可以根据目的号码段智能选择出口链路,节省企业分支话费开支。AR2200提供企业总机、IVR语言导航、话单查询等语音通信业务,有效提升企业形象,提高企业
41、内外的沟通效率。AR系列企业路由器将传统的语音系统、传真系统与现代IP业务有效而高效地融合起来。当运营商为企业部署语音时,AR2200作为一个企业分支的接入网关,可将普通电话语音信号转化为VoIP信号进行远程呼叫管理。上行与IMS/NGN网络互连通信,实现固话、手机、PC等任意终端在任何时间的语音通信。(6) 灵活便捷的无线接入和管理AR2200系列企业路由器集成了3G和LTE等无线接入功能,支持CDMA2000 EV-DO、WCDMA的3G标准,LTE支持LTE FDD标准。满足企业分支机构之间以及与总部间的无线互联需求。采用USB数据卡接入方式,客户在AR上部署无线业务时,不占用设备的业务
42、槽位,最大程度保护客户的投资。同时,无线数据链路可以作为有线链路的备份链路,对AR上行的xDSL、FE/GE、ISDN、CPOS等链路提供链路保护,有效提高网络的稳定性,降低网络建设成本。NQA技术还可以实时监控3G/LTE链路质量,有效保证用户的SLA。AR2200系列企业路由器集成了AC(Access Controller,无线控制器)功能,可对无线局域网中的AP(Access Point,接入点)进行控制和管理。AR支持丰富的认证方式和灵活的用户权限控制,能为Wi-Fi用户提供安全接入保证。同时集丰富的无线功能于一身,实现对有线无线一体化网络的集中管理,满足不同规模企业的建网要求。(7)
43、丰富的企业分支VPN组网AR2200系列企业路由器提供了多种安全接入功能,满足企业分支之间、企业分支与总部之间、合作伙伴访问企业内部信息的需求。总部和分支架构建立隧道,包括GRE VPN、IPSEC VPN、DSVPN、L2TP VPN安全隧道,实现数据的安全访问与传输,支持分支机构侧隧道的快速部署,隧道认证等功能。通过远程隧道接入方式,合作伙伴可以访问企业内部资源,支持针对用户的安全认证与授权。AR2200系列企业路由器提供支持国密算法的接口卡,插卡灵活,满足用户对业务安全性的扩展需求。通过硬件完成数据的加密和解密,极大提高了数据的加密和解密性能,为客户提供端到端的安全保障。AR2200设备
44、作为MPLS网络的PE设备被部署在各分支机构,不同业务之间通过MPLS L3 VPN隔离,实现VPN业务的灵活部署、快速转发、安全传输,实现企业业务的虚拟化运营。5.2 防火墙作为防火墙,本次采用的是华为USG6500,具体性能如下:(1)传统防火墙主要通过端口和IP进行访问控制,防火墙的核心功能依然是访问控制。USG6500在控制的维度和精细程度上都有很大的提高:一体化防护:从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。例如: 识别出Oracle的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少。基于应用:运用多种技术
45、手段,准确识别包括移动应用及Web应用内的6000+应用协议及应用的不同功能,继而进行访问控制和业务加速。例如:区分微信的语音和文字后采取不同的控制策略。基于用户:通过Radius、LDAP、AD等8种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS管理和深度防护。基于位置:与全球位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起的位置,第一时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据IP自定义位置。(2)越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代防火墙的防护范围提出了更高要求。USG65
46、00具备全面的防护功能:一机多能:集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身,简化部署,提高管理效率。入侵防护(IPS):超过3500+漏洞特征的攻击检测和防御。支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等;防病毒(AV):高性能病毒引擎,可防护500万种以上的病毒和木马,病毒特征库每日更新;数据防泄漏:对传输的文件和内容进行识别过滤。可识别120+种常见文件类型,防止通过修改后缀名的病毒攻击。能对Word、Excel、PPT、PDF、RAR等30+文件进行还原和内容过滤,防止企业关键信息通过文件泄露。SSL解密:作为代理,可对SSL加密流量进行应用层安全防护,如IPS、AV、数据防泄漏、URL过滤等。Anti-DDoS:可以识别和防范SYN flood、UDP flood等10+种DDoS攻击,识别500多万种病毒。上网行为管理:采用基于云的URL分类过滤,预定义的URL分类库已超过8500万,阻止员工访问恶意网站带来的威胁。并可对员工的发帖、FTP等上网行为进行控制。可对上网记录进行审计。安全互联:丰富的VPN特性,确保企业总部和分支间高可