医院网络规划与设计毕业论文

姓 名： _____

班 级：XXX级网络工程 X 学 号: 指导老师：

XXXXXXXXXXX

XXXXXX

鹤壁市人民医院网络解决方案

摘要

医疗机构信息化是我国信息化的重要组成部分， 医院网络建设是我国医疗机 构信息化的基础。随着计算机网络技术的发展， 医院网建设已取得了可喜的进展。 医院网络系统是一个非常庞大而复杂的系统， 它不仅为现代综合信息管理和办公 自动化等一系列应用提供基本操作平台， 而且能提供多种应用服务， 使信息能及 时、准确地传送给各个系统。 而医院网工程建设中主要应用了网络技术中的重要 分支局域网技术来建设与管理的， 因此本毕业设计课题将主要学医院局域网络建 设过程可能用到的各种技术及实施方案为设计方向， 为医院网的建设提供理论依 据和实践指导。

关键词：局域网、广域网、交换技术、网络互联、

Abstract

TCP/IP、网络安全

Medical institutions information in China an important component of information technology, hospital network construction is the foundation of informatization of medical institutions in china. With the development of computer network technology, hospital network construction has made great progress. Hospital network system is a very huge but complicated system, it not only for modern integrated information management and office automation applications such as a series of basic operating platform, but also offers a variety of applications, so that the information timely, accurately transmitted to each system. While the hospital network construction in the main applications of network technology to the important branch LAN technology to the construction and the management, therefore this graduation design will be the main topic of hospital local area network construction process may be used in a variety of technical and

implementation options for the design direction, for the hospital network construction to provide the theory basis and the practice instruction.

Key words: local area network, wide area network, exchange technology, Internet, TCP / IP, network security

目录

第 1 章 概述 ............................................................... 3...

1.1. 鹤壁市医院简介 ..................................................... 3... 1.2. 鹤壁市医院新大楼网络接入简述 ....................................... 4.. 1.3. 需求分析 ........................................................... 4... 1.3.1 1.3.2 1.3.3 1.3.4

安全网络 ....................................................... 5... 可控接入 ....................................................... 6... 可管理网络 ..................................................... 6... 高性价比网络 ................................................... 6..

1.4. 建设内容 ........................................................... 7...

第 2 章 鹤壁市医院新大楼网络建设规划 ....................................... 8..

2.1. 网络建设原则 ....................................................... 8... 2.1.1 2.1.2 2.1.3 2.1.4 2.1.5

网络资源的高可用性 ............................................. 9.. 网络的高可靠性 ................................................. 9.. 网络的高扩展性 ................................................. 1..0 网络的高安全性 ................................................. 1..0 网络的易管理性 ................................................. 1..2

2.2. 鹤壁市医院新大楼网络建议方案简介 ................................... 1.3 2.2. 1 此次方案设计拓朴如下图： ........................................ 1..3 2.3. 方案设计思想： ..................................................... 1..3. 2.3.1 2.3.2 2.3.3 2.3.4

对于鹤壁市医院新大楼的核心交换机设计 ........................... 1. 3 接入交换机设计 ................................................. 1..4 网络拓扑的设计 ................................................. 1..5 对于服务器系统的接入设计 ..................................... 1.6

2.4. VLAN 解决方案 ..................................................... 1..6.

2.4.1

基于端口的 VLAN 划分 ......................................... 1..6

2.5. IP 地址的规划方案设计 .............................................. 1..7 2.5.1 2.5.2

地址规划的基本思想 ........................................... 1..7

IP 地址的分配计划 ............................................. 1..7

2.6. 产品选型 .......................................................... 1..7. 2.6.1 2.6.2

核心交换机的选择 .............................................. 1..8 接入交换机的选择 .............................................. 1..8

第 3 章 方案配置及其报价 .................................................. 2..9 第 4 章 VRRP 技术专题介绍 ................................................ 2..0

7.1 VRRP 基本概念 ................................................... 2..0. 7.2 VRRP 的实现 ..................................................... 2..2. 7.3 VRRP 的功能特点 ................................................. 2..5. 7.4 组网应用 .......................................................... 2..6. 7.5 结论 .............................................................. 2..8.

第 5 章 H3C 网络产品介绍 ................................................. 3..0

5.1 H3C S7500E系列高端多业务路由交换机 ............................. 30

第 6 章 成功应用案例 ...................................................... 4..2.

4.1 行业成功案例： .................................................... 4..2. 4.2 广西成功案例 ...................................................... 4..3.

第1章概述

1.1. 鹤壁市医院简介

鹤壁市医院创建于 1958年5月，前身是鹤壁市妇幼保健所， 1980 年扩大规模改名为 鹤壁市医院， 1997 年在全区妇幼卫生系统率先通过二级甲等医院评审。 经过约半个世纪的 风雨洗礼和几代妇幼人的不懈努力，现已发展成为集保健、医疗、科研、教学为一体的市 级妇幼保健专科医院，承担着鹤壁市（含六县）妇女儿童的保健、医疗任务，是全市妇幼 保健业务指导中心。医院建筑面积

45670.72 平方米，编制床位 300 张，开放床位 170张， 现有职工 619人，其中高级职称 42人、

中级职称 137人，设置职能科室 9 个、保健及临床 业务科室 20个。年门诊量逾 46 万人次、年收治住院 1.3 万余人次，年接产量 4000余人， 居全区医院产科之首。

医院始终坚持妇幼卫生工作方针，贯彻一法两纲，在全市“降消”等项目指导督查、 妇幼信息和三网监测管理、爱婴医院培训指导、产科质量检查、推广适宜技术、健康教育 和出生医学证明管理、基层人员培训、集体儿童保健管理等方面充分发挥了妇幼保健业务 指导中心的作用， 为鹤壁市市妇幼保健事业的发展做出了较大的贡献。 医院立足于为妇女 儿童服务，以群体保健为基础，以产、儿科为龙头，不断拓展业务内涵，加快学科发展， 形成了完整的婚前保健、孕产期保健、产前诊断、产后康复、妇女保健、儿童保健、遗传 优生及生殖保健服务体系。临床妇科、产科、儿科、新生儿科、小儿外科、生殖助孕中心 业务已在桂中地区形成一定的专科影响，是广西较有影响的妇科内窥镜应用基地、全区首 家市级产前诊断准入单位、妇幼机构首家 PCR实验室国家认证单位，鹤壁市市唯一通过国 家卫生部辅助生殖技术资质评审的单位、全市妇女疾病治疗中心、高危孕产妇治疗和危重 症抢救中心及早产儿护理抢救中心、鹤壁市市新生儿筛查中心。开展的生殖助孕技术（试 管婴儿临床妊娠成功率达 42.2%）、小儿先天性心脏病外科手术治疗等已走在全区先进行列。 医院拥有先进的十六排螺旋

CT中C臂、乳腺钼靶机、CR实时四维彩超、心（腹）部彩 色 B 超、电视宫（腹）腔镜、电子阴道

镜、肌瘤聚焦消融机、婴儿高压氧舱、儿童呼吸机、 高档麻醉机、儿童中心监护站、产妇中心监护站、妇女及儿童骨密度检测仪、多频稳态机、 全自动生化分析仪、全自动血气分析仪、全自动五分类血细胞分析仪、时间分辨仪、酶标 仪、细胞遗传工作站、基因诊断仪、进口牙科综合治疗椅、眼科手

术显微镜等现代化的医 疗设备，为学科发展提供了良好的硬件基础。医院与时俱进，转变观念，坚持服务宗旨， 狠抓行风建设，大力抓科技进步，大胆进行人事分配制度改革，树立了较好的社会形象。 近年来评上省级、市级科技成果进步奖 20 多项。先后被授予全国“三优工程”先进单位、 全国卫生系统先进集体、全国百姓放心医院、国家级“三八”红旗集体、自治区先进基层 党组织、自治区妇幼工作先进单位、自治区爱婴医院先进单位、自治区级文明单位、自治 区级绿色环保医院、自治区级“巾帼文明岗”等称号，并获鹤壁市行风建设先进单位、鹤 壁市科研管理一等奖等多项表彰。

目前鹤壁市医院兴建的 20 层新大楼。需要构建一个新的楼层局域网络。实现与原有 网络的无缝融合接入。

用户需求是网络设计的依据，建立在确切需求之上的网络系统才是用户所真正需要 的。在鹤壁市医院局域网网络系统设计中， 我们力求做到最细致地了解和分析用户的需求， 量体裁衣，以便针对需求设计出符合鹤壁市医院应用特点的网络系统。

1.2. 鹤壁市医院新大楼网络接入简述

根据鹤壁市医院的需求，需要建设一个支持医院数字化、网络化、自动化的国内先进 的基础网络平台，满足数字化医院建设的需要，也满足医院信息化建设的长期要求。

网络平台具有较好的服务质量、较高安全性、便于管理和维护，能够支持医院的各种 办公、医疗和科研应用，也支持移动办公、信息发布、网上医疗与医学科研合作。

接入层支持百兆到桌面，核心层支持全千兆并且具有向万兆速率平滑扩容的能力。网 络关键节点能够冗余热备保障系统连续稳定运行。具有高带宽、高可靠、高性能、高安全 的特性。

1.3. 需求分析

本次工程的总体任务如下：

充分考虑鹤壁市医院工作的新需要、新应用，按照相关系统的国家标准，设计出符合 本工程实

际的建设方案。

方案应以“先进、实用、经济、合理，用管两便、安全可靠，易于扩展”的指导思想 为原则，采用先进成熟的主流技术， 充分考虑新建系统的可扩充性和与原有系统的兼容性， 并体现科学规划、合理布局、预留充分、应用方便的特点，达到现代化、高效、舒适、安 全、节能的人文办公环境的要

求。

在提出完整可行的建设方案的前提下，有效地组织施工，完成整个鹤壁市医院新大楼 网络系统的建设。

网络系统建设应该符合如下要求：

1.3.1 安全网络

医院信息化工作的特殊性，对网络与信息安全提出了很高的要求。由于安全性的要求 与投入成正比，并且涉及管理与应用的方方面面，是一个复杂的系统工程，实际上没有一 个绝对安全的系统，安全只是相对而言，所以该原则是充分评估安全风险，制定安全策略， 采取必要的安全措施。

其次，局域网内部同样面临安全威胁，不同部门、不同类型的应用、不同的人员、不 同的工作范围决定了不同的权限，我们需要保障这种不同。

VLAN、VPN技术、ACL等网络

技术提供不同形式层次的保护，同时可以将防火墙、 IPS/IDS 引入，实现更全面的内网安 全。

第三，接入安全，接入设备可以通过各种认证技术，比如 802.1x 、 RADIUS、 EAPOL 等，将安全威胁屏蔽在网络之外。

另外，防病毒也是网络安全建设必须考虑的重要问题，的防病毒软件已不能防范 在网络中传输的病毒，只有网络设备的介入，才能更好的抵御病毒的攻击，保护信息安全。 我们需要安全联动解决方案。

H3C 公司的安全产品体系完备，可以为鹤壁市医院信息化保驾护航

1.3.2 可控接入

伴随着网络应用技术的快速发展，网络信息安全问题也日益突出。病毒泛滥、系统漏 洞、黑客攻击等诸多问题，已经直接影响到医院的正常运营。如何应对网络安全威胁，确 保医院网络安全，为医院办公的正常运行提供可靠的网络保障，已经是每一个决策者不得 不关注得问题，也是每一个网络管理员不得不面对的挑战。

目前，多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。在 医院网中，用户终端不及时升级系统补丁和病毒库的现象普遍存在；私设代理服务器、私 自访问外部网络、滥用禁用软件等行为也比比皆是。 “失控”的用户终端一旦接入网络， 就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散。保证用户终端 的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证医院网络安 全运行的前提，也是目前医院网络安全管理急需解决的问题。

1.3.3 可管理网络

网络管理维护网络建设中非常重要的环节，甚至是最重要的环节，因为建设网络的目 的最终是为了使用，而网络管理无疑是保障我们高效、可靠使用网络的必要手段。随着技 术的进步，网络管理内容和方式已在发生着变化，除了生成拓扑图、配置网络设备、监控 网络流量、实时统计和事件报警等基本功能之外，增加了很多新的功能，比如 VPN 实施， 安全认证、安全策略下发、用户跟踪等等。同时，如何灵活、安全地管理网络，也是网络 管理发展的重要方向。这一变化使得网络管理地位更加重要。 H3C 公司的网络管理方案， 针对不同规模的网络、不同应用环境量身定做，高效管理网络的同时，可以提高网络的使 用效率，降低网络维护成本，是医院信息化建设的重要组成。

1.3.4 高性价比网络

满足应用的同时，高性价比是网络建设的不二选择

最后，我们强调，系统设计要符合局域网现在和未来 3〜5年内的需求，不能盲目追求 大而全，以最少的投资创造实际需要的功能

1.4. 建设内容

鹤壁市医院新大楼网络系统建设，对于总体的系统结构要求必须满足如下条件： 所有网络建设

都是为了更好服务于客户的实际应用。 保证如财务管理、各种收费、药品药库管理、

0A以及临床的信息化，女口 PACS

LIS、手术室、麻醉图形处理等应用的畅通无阻。

简化网络的管理和维护，将精力专注于应用。 实用性、先进性、扩展性和标准化的结合 面向应用，注重实效，确保网络建设能够切合实际，满足使用要求 网络体系结构具有开放性，协议遵循国际标准 具有良好的可扩展性，为系统升级提供一个良好的途径

系统结构合理、安全可靠 系统结构有良好的分层设计，结构清晰合理 从各种方面综合保证网络

的可靠性 各种设备易于管理和维护

局域网建成之后应符合以下要求：

充分利用现有计算机网络设备，保护先期投资，并与新增网络设备充分结合共同组成 一套高效率、高性能、高稳定性的网络系统。

网络主干采用光纤1000M技术，实现与各楼层、主楼内网交换机间的高速连接；实现

100/1000M到桌面；实现核心交换机对服务器的 1000M连接；内网核心交换机采用双机热 备结

构。

网络中使用的设备和协议应完全符合国际通用的技术标准，网络核心支持 在网络中使用网络管理软件来管理所有网络设备，

IPV6 协议；

对网络设备及VLAN等进行直观、灵

活的配置，提供完整的网络拓扑图，可以根据网络的流量等情况做出分析和建议，内 各设置一套，并可在中心控制室内结合综合控制系统管理和控制整个网络。

第 2章 鹤壁市医院新大楼网络建设规划

2.1. 网络建设原则 局域网网络系统设计将严格遵守各种相关的技术原则，遵循各种相关的技术标准和

规 范，整个网络系统设计严格按照以下原则进行：

先进性和实用性 采用先进成熟的技术满足内部应用系统的需求，兼顾其他相关的管理需求，尽可能采 用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统

在 相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要

安全性和可靠性 为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。

要对网络 结构、网络设备等各个方面进行高可靠性的设计和建设。在网络设计上应采用硬件备份、 冗余等可靠性技术提高整个网络系统的可靠性。

灵活性和可扩展性 计算机网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和

可扩展性， 能够根据不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量和提高网络的各 层次节点的功能。具备支持多种应用系统的能力，提供技术升级、设备更新的灵活性。

开放性和互连性 具备与多种协议计算机通信网络互连互通的特性，确保本计算机网络系统的

基础设施 的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广 域网等，坚持统一规范的原则，从而为未来的发展奠定基础。

可管理性 由于内部局域网本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定

会 日益繁重。所以在网络设计中，必须建立一套全面的网络管理解决方案。网络设备必须采 用智能化，可管理的设备，同时采用先进的网络管理软件，实现先进的管理。最终能够实 现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确 定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络 的维护工作，从而为办公、管理提供最有力的保障。

2.1.1 网络资源的高可用性

网络的建设关注整体投资回报，网络资源与应用的实用性是网络建设的根本，在此基 础上考虑网络的可靠性、可扩展性、安全性以及可管理性。

从两个方面考虑网络的实用性：网络的 整体性能 和网络运营 的开销与回报。 网络的性能是由应用系统的数据流量分布、网络设备性能及广域网链路带宽综合决定 的。对应用系统的认真分析是网络设备选型以及广域网链路带宽选择的基础。在医院网络 上运行的应用系统应综合考虑医院的 HIS 系统、办公系统、 教学系统以及语音及视频应用， 尤其在考虑语音及视频应用时应注意对链路带宽的影响。在一定的网络资源条件下，可利 用各种技术实施对于关键的应用系统的保障。如通过先进的队列机制进行拥塞控制，对不 同等级的数据进行不同的处理，包括时延的不同和丢包率的不同；采用具备先期拥塞控制 机制的网络设备，当网络出现真正的拥塞前就自动采取适当的措施，进行先期拥塞控制， 避免瞬间大量的丢包现象；对非常重要的特殊应用，应可以采用保留带宽资源的方式保证 其

QoS。

2.1.2 网络的高可靠性

医院信息网络由于运行整个医院的业务系统，需要保证网络的正常运行，不因网络的 故障或变化引起业务的瞬间质量恶化甚至内部业务系统的中断这点十分重要。网络作 为数据处理及转发中心，应充分考虑可靠性。

网络的可靠性通过冗余技术实现，包括电源冗余、处理器冗余、模块冗余、设备冗余、 链路冗余等技术。

模块冗余考虑网络汇接点的主干设备和核心设备的所有关键模块和环境部件应具备 1+1 或 1：N 热备份的功能，所有模块具备热插拔的功能，当某一关键模块出现故障时，可

由备份模块接替其功能。例如在核心交换机S7506R上，配置了 1 + 1冗余备份的电源模块， 保证在任何一个电源模块故障的时候，整个网络仍然能够正常运行。在主控制引擎方面， 也配置了高度可靠的冗余引擎，引擎之间利用状态热备份技术保证故障的快速切换，在同 等条件下提供业界最为快速的故障切换时间。

2.1.3 网络的高扩展性

从我国医院信息系统的发展来看，目前随着门诊系统，住院系统、PACS系统以及远程 医疗的

网络化，应用系统的大规模使用使得业务流膨胀是必然的趋势，网络系统面临数据 流量增大的压力，在设计医院系统信息网络时应充分考虑系统的可扩展性，从而保护网络 系统投资。

网络的扩展能力包括设备交换容量的扩展能力、 端口数量的扩展能力、 主干带宽的扩 展，以及网络规模的扩展能力。

交换容量扩展应具备在现有基础上继续扩充 2~4倍容量的能力， 以适应 IP 类业务急速 膨胀的需求。设备的选型应充分考虑包转发能力以及数据交换能力。

端口密度扩展需要认真分析用户和应用系统的扩展可能性，在具备扩展可能性的信息 节点配置高可扩展性的网络设备， 满足网络扩容时对用户接入以及系统互联的需要。 主干 设备应具备充足的接口，满足4~8倍甚至更高的带宽扩展能力，以适应IP类应用及业务急 速膨胀的需求。

网络规模扩展需综合考虑网络体系结构、路由协议的规划和设备的 CPU 路由处理能 力，应能满足网络扩容时对用户接入以及数据流量变化或增大时处理能力的需要。

2.1.4 网络的高安全性

网络的发展趋势是基于In ternet Web技术的开放网络化系统。这不仅带来了新的巨大的 使用方便，同时也带来了不断增加的复杂应用及信息技术的挑战，因而安全是医院系统网 络建设中要考虑的一个关键因素。

网络安全在内容上主要应考虑以下 5 个方面：

身份鉴别与授权

身份包括鉴别和授权。鉴别回答了 “你是谁”和“你在哪？ ”这两个问题，授权回答 “你可 以访问什么 ”。必须对身份机制谨慎部署，因为如果设施难以使用，即便是最严谨的安全策 略也有可能被避开。

边界安全 边界安全涉及到防火墙种类的功能，决定网络的不同区域允许或拒绝何种业

务，特别 是在 Internet 和园区网之间或拨入网和园区网之间。

数据的保密性和完整性 数据的保密性指确保只有获准能够阅读数据的实体以有效的

形式阅读数据，而数据完 整性指确保数据在传输过程中未被改动。

安全监测

为检验安全基础设施的有效性，应经常进行定期的安全审查，包括新系统安装检查， 发现恶意入侵行为的措施， 可能的特殊问题 （拒绝业务攻击 ）以及对安全策略的全面遵守等方 面。

策略管理 由于网络安全涉及到以上的多个方面，每一个方面都使用了多种产品和技术，对这

些 产品进行集中有效的管理可以帮助网络管理者有效地部署和更新自己的安全策略。

802.1X 端口认证

由于现在成熟的认证记费软件，不断推陈出新，并且用户群体的网络技术水平在不断 提高，如何更好的控制但又不过于是目前需要解决的办法，华为网络认为采用 802.1x 的端口认证技术以及灵活的记费解决上述问题，并达到很好的效果。

在网络安全实施的策略及步骤上应遵循轮回机制考虑以下五个方面的内容：制定统一 的安全策略、购买相应的安全产品实施安全保护、监控网络安全状况（遇攻击时可采取安 全措施）、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略。

2.1.5 网络的易管理性

随着网络中设备逐渐增多， 网络技术日趋复杂， 网络管理的重要性越来越明显——网 络的

复杂导致系统运行的不确定因素增加，可靠性降低， “宕机”时间变长且带来的损失越 来越大，而往往由于平时对网管的忽略，缺乏受过专业培训的网络管理人员，也缺乏综合 的网管解决方案，因而发生问题时无从下手，这才意识到网管的重要。作为一套考虑完善、 可靠性要求极高的系统，当然不希望有“亡羊补牢”的情况发生，因此网络管理是网络设 计必不可少的考虑因素之一，从设备本身操作系统所具备的一些网管功能，到简单的网络 管理工具，甚而功能强大的大型管理系统，用户可根据自身的实际网络应用和资金安排， 循序渐进，逐步实现全面网络管理功能。

与传统的单一应用网络不同， 医院信息网络是一个集成了视频和数据的新型网络体系。 在这样的一个集成环境中，网络从承载单一的数据到多种不同的应用，如何合理利用带宽 资源，保障关键性业务 QoS 等管理要求成为网络规划管理人员不能回避的问题，网络管理 系统必须提供有效的性能监控与流量收集分析的网络工具帮助网络管理人员优化网络性 能，准确地进行网络规划。多种业务的集成要求势必带来网络硬件环境的变化。从单一的 路由器与交换机的互连到集合了路由器，交换机，IP PHONE,语音网关，视频设备等多样 设备的互连，设备管理和配置的直观性，灵活性对网络管理的效率至关重要。

Quidview 网络管理软件是 H3C 公司对全线数据通信设备进行统一管理和维护的网管 产品，

位于网络解决方案的管理层，能够实现网元管理、网络管理的功能。 （可以考虑以后 购买）

22 鹤壁市医院新大楼网络建议方案

221此次方案设计拓朴如下图:

鹤壁市人民医院新大楼拓扑图

:接人展(1G5F)基卩

S5624P

---------- IDODM^SS

悦明;

_

2.3. 方案设计思想:

，・ ICOON^

充分考虑医院网络建设的特点，结合鹤壁市医院的实际情况。我们建议从下面几个 方面设计来

保证鹤壁市医院整个网络的高可靠性，高可用性，易扩展性，开放性，安全性, 可管理性和实用性。

2.3.1

对于鹤壁市医院新大楼的核心交换机设计

我们推荐使用两台H3C公司的高端新款模块式路由交换机 S7502E。该交换机是杭州 华三通信技术有限公司(以下简称 H3C公司)面向融合业务网络推出的新一代高端多业务 路由交换机，该产品基于H3C自主知识产权的Comware V5操作系统，融合了 MPLS、Pv6、 网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种 高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客 户的总拥有成本（TCO）。H3C S75002E符合电子设备有害物质标准（RoHS） ”，是 绿色环保的路由交换机。S7502E路由交换机以192G

整机交换容量，400Gbps的背板容量， 143Mpps包转化率等高薪能特性可以实现IPv4/IPv6业务的线速无阻塞转发，满足大容量数 据的快速交换和转发。同时支持丰富的业务协议。

同时我们采用H3C的VRRP热备份路由协议实现两台S7502E核心交换机设备以及链 路的自动冗余。该技术的工作原理主要是将互备路由设备配置在一个 VRRP 协议组中，并 指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。 同时根据优先级方案决定将优先级 最高的路由器设备定义为默认主动路由（路由器的缺省优先级为

100），协议组中的其它路

由器则为备份路由器。此时，协议组将虚拟缺省网关 IP 地址指向主动路由设备，主动路由 设备即成为网络系统中的缺省网关设备。 VRRP 协议技术使用主播、基于 UDP 的呼叫信号 包（ HELLO 包）来实现同一 VRRP 组内互备路由器之间的通信，即 VRRP 协议组中的主、 备路由器之间定期向对方发出 HELLO 包进行端口检查。当主设备出现故障时，在规定的 一段时间内不能发出 HELLO 包时， VRRP 协议此时将备用路由设备激活， 使其成为网关设 备，并将动态的虚拟网关 IP 地址指向备用路由设备，备用路由设备立即承担起网络系统中 的数据转发功能。当主路由设备故障恢复后，

VRRP 协议自动将优先级高的主路由设备激 活，使之成为网络系统的网关。 VRRP 协议组中的主、

备路由器之间的动态热切换都是自 动完成，而且不用修改网关地址，网络系统中的设备指向的缺省网关都是 VRRP 协议组中 定义的虚拟网关的 IP 地址，只不过不同情况下映射的路由器地址不同而已。

采用了 H3C 公司的 VRRP 路由协议技术后， 网络系统平台才真正解决了网关设备的动 态热切换的矛盾， 真正作到了网关设备的自动冗余备份， 保证了网络平台稳定可靠的运行， 实现了任何一台核心交换机出现故障或者任意一条链路出现故障都不回影响数据的正常通 信。从而保障了业务系统的 24 小时不间断正常开展。

接入交换机设计

我们采用H3C的S3100系列千兆以太网交换机 S3100-26C-SI，该产品是H3C公司秉 承 IToIP 理念设计的二层线速智能型可网管以太网交换机产品，具有千兆上行、可堆叠、

无风扇静音设计、 完备的安全和 QoS 控制策略等特点， 满足企业用户多业务融合、 高安全、 可扩展、易管理的建网需求。 S3100-26C-SI 通过千兆上行 SFP 端口保证接入层与核心层实 现千兆接入。确保网络的带宽，同时实现 100M 网络带宽到桌面。 H3C 公司生产的 S3100-26C-SI千兆交换机支持802.1X认证，在用户接入网络时完成必要的身份认证，支持 MAC 地址和端口等多元组绑定、 广播风暴抑制和端口锁定功能， 保证接入用户的合法性。

支持跨交换机的远程端口镜像功能（RSPAN）,可以将接入端口的流量镜像到核心交换 机7502E

上，在核心上启动网流分析（Netstream）功能，对监控端口的业务和流量进行监 控、优化部署和恶意攻击监控。

支持DHCP Snooping（侦听）功能，通过建立和维护DHCP Snooping绑定表实现侦听接入 用户的MAC地址、IP地址、租用期、VLAN-ID 接口等信息，解决了 DHCP用户的IP和 端口跟踪定位问题。 同时对不符合绑定表项的非法报文 （ ARP 欺骗报文、 擅自修改 IP 地址 的报文）直接丢弃，保证 DHCP 环境的真实性和一致性。

这样可以防止目前杀毒软件不能解决的 ARP 欺骗攻击和 DDOS 攻击等。确保网络的 安全性。

2.3.2 网络拓扑的设计

在网络的拓扑设计中，我们遵守了如下原则： 拓扑可靠性

在各网络的拓扑设计中应遵循 N-1 的电路可靠性原则。

N-1 的电路可靠性：拓扑中去掉任何 1 条链路，不影响节点的连通性。这就要求每个 节点至少有

两条不相关的链路与其他节点相连。

扩展性

网络链路和节点的增加、减少以及修改应不影响网络的总体拓扑 遵循此原则，本次规划设计中采用如下结构：

1、 核心使用两台核心交换机 S7502E和S7502E两者通过千兆GE互连，并做端口 核心，

做为整个网络的核心，并互为备份。服务器通过双网卡分别接入两台核 心交换机实现单台核心交换机出现故障不会影响对服务器的访问。

2、 1 楼到 5 楼楼层接入节点各使用两台 S3100-26C-SI 交换机做堆叠。作为楼层接

入交换机，实现千兆上行接入核心交换机，并使用 路由协议实现整网冗余和分担流量。

MSTF二次协议和VRRF三层

3、 6 楼到 20 楼楼层接入节点各使用一台 S3100-26C-SI 交换机作为楼层接入交换 机，实现

千兆上行接入核心交换机。并使用 MSTP^层协议和VRRF三层路由协 议实现整网冗余和分担流量。

2.3.3 对于服务器系统的接入设计

服务器众多，且后期需要增加大量服务器，需要有一定的扩展性。因此我们设计把 服务器放置

在核心交换机一个楼层。 此外服务器都使用千兆的双网卡分别连接两台 S7502E， 使用VRRP乍冗余，最大化保障服务器在网络上的实时在线。 同时保证服务器和核心交换机 的千兆带宽接入。

2.4. VLAN 解决方案

在现代大型的网络应用中，为了建立起各类网络用户具有安全的、的广播域或者 组播域，我们可以将交换机上的端口组合成一个一个的虚拟局域网

(VLAN,通过设置VLAN

我们达到了广播包的传播范围和降低广播包的影响，所有以太网数据包，如：点播

(uni cast ), 组播(multicast ),广播(broadcast ),以及未知(unknowrj)的数据包， 都将只在VLAN内传送，这样在一定程度上可以提高网络的安全性。

另外人们也经常需要对现有的网络拓扑结构进行一些简单的或小量的改变， 同时又不 需要网络中的工作站发生物理上的移动或者网络线路连接上的变动，

我们采用H3C的S7500

E核心路由交换机和S3100-26C-SI太网交换机提供的丰富的 VLAN功能，实现对用户 工作站的VLAN设置改动，就将工作站从一个VLAN移到了另一个VLAN以达到使网络节点 的移动变换增加变

得非常灵活和容易。

根据鹤壁市医院新大楼网络系统工程的具体情况， 我们建议用户可以从以下几个方面 进行网络内部 VLAN 系统的规划和设计：

2.4.1 基于端口的 VLAN 划分

根据大楼内部各个不同的功能区域现有的网络用户分布情况， 我们可以采用基于各个 接入交换

机的物理端口划分 VLAN的解决方案，以一个单独单位或者一个特定的用户群为一 个VLAN作为一个子网，从而实现相互之间的隔离。H3C S7502E能支持大量的VLAN数量 划分，最大到4096个

VLAN对以后的网络扩容和用户急剧增加有独到的处理能力。并且 S7502E支持QinQ,即双层的802.1Q帧。

这样我们可以配置这两个连接到骨干网络的千兆以太网端口是上连端口。 于是所有的 在这个

VLAN里面的广播包和未知目的地的 Uni cast包都不会去到VLAN的其他任何端口， 它们只会到这

个VLAN的上连端口出去，每个客户都不会收到其他客户的广播或者匿名包， 这样就避免的在客户端的用户用类似网络邻居或者其他广播的方式发现对方，也避免了各 个单位和接入端所出现的不必要或

者恶意的广播风暴，保护了网络的安全。

2.5. IP 地址的规划方案设计

网络核心层由信息中心的骨干交换机组成， 未来的网络建设会以围绕核心节点进行扩 展，建立

各个接入层结构。对于已有的 IP 地址分配，在新的网络建设中采用以下原则。

2.5.1 地址规划的基本思想

通常合理的地址规划是使连续的地址尽量集中在一个区域内。因此，核心层应象一个 区域或一

个节点一样，被分配一段连续的地址。更进一步，连接进某一区域的节点的 IP 地 址范围应集中在该区域的地址范围附近。地址规划时充分考虑 CIDR和VLSM的设计思想。 保证 IP 地址的最大利用率的同时方便今后业务的扩展。

2.5.2 IP 地址的分配计划

对于原合法地址的分配。建议鹤壁市医院分配给新的 IP 地址段。具体 IP 地址分配， 需要根据

实际申请到的连续 IP 地址来划分。原则为，首先每一个部门为一个段的私有 IP 地址。例如 ;192.168.1.0 255.255.255.0 这个段

2.6. 产品选型

2.6.1 核心交换机的选择

对于鹤壁市医院新大楼核心交换机的选择。我从如下几个方面考虑： 1. 核心交换机的整机交换容量 2. 核心交换机的背板容量 3. 核心交换机的包转发率 4. 核心交换机的支持的最大 MAC地址数 5. 核心交换机的可扩张性，先进性和实用性 6. 核心交换机的可网管性，安全性和 QOS等 综合以上几个条件，结合鹤壁市医院新大楼网络的实际情况。我们推荐使用

H3C公司

生产的S7502E路由交换机。该交换机是 H3C公司2007年推出的一款新式路由交换机。该 产品基于H3C自主知识产权的Comware V5操作系统，融合了 MPLS IPv6、网络安全、无 线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术， 在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成 本（TCO。H3C S7500E符合“电子设备有害物质标准（RoH$ ”，是绿色环保的路由 交换机。H3C S7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3C S7500E已经通过了信息产业部的IPv6入网认证和

IPv6 Ready第二阶段金色认证，是成熟 商用的IPv6产品。该产品持强大的ACL能力：支持标准和

扩展ACL支持基于VLAN的ACL 方便用户配置，节省ACL资源；支持出方向和入方向的 ACL每板最大可支持9K条ACL 满足访问权限严格控制的需求，H3C S7500E采用分布式体系结构、模块化设计，主控板冗 余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。

考虑实际运用情况。从性价比最优性考虑。S7502E核心路由交换机主控板我们推荐使 用 H3C

S7500E Salience VI 交换路由引擎。同时配备一块 H3C S7500E 24端口千兆以太网 电接口模块

（RJ45）来提供24个千兆以太网电口，用于服务器的接入。配备一块H3CS7500E 24端口千兆以

太网光接口模块（SFP,LC），其中1个千兆光口用于接入原有的 S5624P交换 机。 20个千兆光口用于提供接入交换机的千兆光纤接入。 3个千兆光口做冗余备份端口。

2.6.2 接入交换机的选择

对于接入交换机的设计，我们从如下几个方面考虑：

1.接入层实现交换机接能实现防止 ARP地址欺骗，支持MAC与端口绑定，解决外来

机器进入内网问题

2．接入层交换机实现到核心交换机千兆上行接入。 3. 接入层实现百兆到桌面，无风扇静音设计 4. 接入交换机的具有较大的背板交换容量 5. 接入在支持冗余堆叠的同时，完备的安全和 6. 支持可网管。

综合以上条件，我们推荐使用H3C公司生产的S3100-26C-SI。考虑鹤壁市医院新大楼

QoS空制策略

1 楼到 5 楼接入点在 24 到 40 之间。因此我们建议从 1 楼到 5 楼每一楼层部署两台 S3100-26C-SI

交换机做堆叠，这样有利于管理和可高可靠性。提供 48个10/100M的以太 网RJ45接口和4个

1000M SFP光纤上行端口。6楼到20楼每一层楼的接入点少于 24个。

因此我们建议从6楼到20楼每一楼层部署一台S3100-26C-SI交换机。提供24个10/100M 的以太网RJ45接口和4个1000MSFP光纤上行端口。实现百兆接入到桌面和千兆上行接入 核心交换机。同时也利于以后的扩展。

第3章VRRP技术专题介绍

3.1VRRP基本概念

1.1产生背景

随着In ternet的发展人们对网络可靠性的要求越来越高特别是对于终端用户来说能够 时时与网络其他部分保持通信是非常重要的虚拟路由器冗余协议 VRRP提供一种解决方案 能够保证终端用户与网络的联系可靠稳定不中断。

一般来说主机通过设置默认网关来与外部网络联系因为这样配置非常简单如图

1：

10.100, 10. 1 Ethernet 10・ 100・ 10.1

口

口

网络上的主机设置了一条缺省路由(10.100.10.1 )，该路由的下一跳指向主机所在 网段内的一个路由器RouterA，由RouterA将报文转发出去。这样，主机发出的目的地址不 在本网段的报文将

被通过缺省路由发往 RouterA，从而实现了主机与外部网络的通信。然而, 万一 RouterA出现故障，主机将与外界失去联系，陷入孤立的境地。遗憾的是，仅仅在网络 上多加一台路由器并 不能解决问题。大多数主机只允许配置一个默认网关；同时，不管网 络上存在多少个路由器，对于目标是其他网络的报文，主机只能使用已经配置好的那个默 认网关。有一种解决方案是运行动态路由协议，如 RIP、OSPF或者是ICMP各由发现协议 等。但是要想在每一台主机上都运行动态路由协议几乎是不可能的，这涉及到管理问题、 安全问题、平台对协议的支持问题等等。

VRR的出现使解决这个问题变得简单，它不改变组网情况，不需要在主机上做任何配 置，只需

要在相关路由器上配置极少的几条命令，就能实现下一跳网关的备份，不会给主 机带来任何负担。和其他方法比较起来， VRR使用起来简单方便。

1.2 协议简述

简单来说，VRR是一种容错协议，它为具有组播或广播能力的局域网，

（如以太网）

设

计，它保证当局域网内主机的下一跳路由器出现故障时，可以及时的由另一台路由器来代 替，从而保持通讯的连续性和可靠性。为了使 VRR工作，要在路由器上配置虚拟路由器号 和虚拟IP地址，同时产生一个虚拟MA地址，这样在这个网络中就加入了一个虚拟路由器。 而网络上的主机与虚拟路由器通信，无需了解这个网络上物理路由器的任何信息。一个虚 拟路由器由一个主路由器和若干个备份路由器组成，主路由器实现真正的转发功能。当主 路由器出现故障时，一个备份路由器将成为新的主路由器接替它的工作。

VRR中只定义了一种报文 一一VRR报文，这是一种组播报文，封装在IP报文上，由主 路由

器定时发出来通告它的存在，使用这些报文可以检测虚拟路由器各种参数，还可以用 于主路由器的选举。

VRR还定义了三种状态：模型初始状态（Initialize ）、活动状态（Master）、备份 状态（Backup）。其中只有活动状态可以为到虚拟IP地址的转发请求服务。

VRR协议仅仅适用于IPv4版本的路由器。对于IPv6版本的路由器将会有新的规范来规 定相关

内容。

3.2 VRRP的实现

2.1工作原理

结合图珂 以了解YRRP的工作原理.

In t erne t

:〔灾IFJfe 址 10.100.

貞实IF地対1&10011&3

10.2

Rouxer A

luipft址血 loo. ia 1 io. loo.:a *

dourer B

10, LOO, 10, 1

hos: 1

@32 VRRP I：作原理图

VRR将局域网的一组路由器（RouterA和RouterB）组织成一个虚拟的路由器。 这个虚拟的路由器拥有自己的IP地址10.100.10.1（这个IP地址可以和某个路由器的 接口地址相同，被称为IP地址拥有者）。当然，物理路由器RouterA、RouterB也有 自己的 IP地址（RouterA的 IP地址为 10.100.10.2 , RouterB的 IP地址为 10.100.10.3 ）。 局域网内的主机仅仅知道这个虚拟路由器的IP地址10.100.10.1 ，而并不知道具体的 RouterA的IP地址以及RouterB的IP地址，他们将自己的缺省路由设置为该虚拟路由 器的IP地址

10.100.10.1。于是，网络内的主机就通过这个虚拟的路由器来与其他网 络进行通信。而对于

这个虚拟路由器则需要进行如下工作：

1） 根据优先级的大小挑选主路由器。优先级最大的成为主路由器，状态为 Master，若优先级相同，贝吐匕较接口的主IP地址，主IP地址大的就成为主路由器， 由它提供实际的

路由服务。

2） 其它路由器作为备份路由器，随时监测主路由器的状态。当主路由器正常 工作时，它会每隔一段时间发送一个 VRRP组播报文，以通知组内的备份路由器主 路由器处于正常工

作状态。如果组内的备份路由器长时间没有接收到来自主路由器 的报文，则将自己状态转为 Master 。当组内有多台备份路由器时将有可能产生多个 主路由器。这时每一个主路由器就会比较 VRRP 报文中的优先级和自己本地的优先 级。如果本地的优先级小于 VRRP 报文中的优先级，则将自己的状态转为 Backup ， 否则保持自己的状态不变。通过这样一个过程，就会将优先级最大的路由器选成新 的主路由器，完成 VRRP 的备份功能。

从上述分析可以看到，对于网络中的主机来说，它并没有做任何额外的工作， 但是它对外的通信再也不会因为一台路由器出现故障而受到影响了。

2.2 虚拟路由器的状态模型

组成虚拟路由器的路由器会有三种状态分别是 Initialize Master 面对这三种状态进行说明：

和 Backup 下

1. Initialize

系统启动后进入此状态，当收到接口 startup的消息，将转入Backup （优先级不 为255时）或Master （状态优先级为255时）。在此状态时，路由器不会对 VRR报文 做任何处理。

2. Master

当路由器处于Master状态时它将会做下列工作。

定期发送VRR组播报文；

发送免费gratuitous ARP艮文，以使网络内各主机知道虚拟IP地址所对应的 虚拟

MA地址；

响应对虚拟IP地址的AR请求，并且响应的是虚拟MA地址，而不是接口的真 实

MACS址；

转发目的MACS址为虚拟MACS址的IP报文；

如果它是这个虚拟IP地址的拥有者，则接收目的IP地址为这个虚拟IP地址的 IP报

文，否则，丢弃这个IP报文。需要注意的是，由于有这一点要求，所以除非主 路由器是IP地址拥有者，否则主机ping虚拟IP地址不能ping通；在Master状态中只 有接收到比自己的优先级大的VRR报文时，才会转为Backup,只有当接收到接口的 Shutdown事件时才会转为Initialize 。

INITIALIZE

MASTER /

收到个比n己本地的忧

先 级 丿 J.IVER?很

L

BACKUP

5IASIER_ra?S_nj(EFM

时 图4VRRP?]]网匸

3. Backup

当路由器处于Backup状态时它将会做下列工作。

接收Master发送的VRR组播报文从中了解Master的状态 对虚拟IP地址的AR请求，不做响应。

4．

丢弃目的MA地址为虚拟MACS址的IP报文。 丢弃目的IP地址为虚拟IP地址的IP报文。

只有当Backup接收到MASTER_DOW个定时器到时的事件时，才会转为 Master, 而当接收到比自己的优先级小的 VRR报文时，它只是做丢弃这个报文的处理，从而 就不对定时器做重置处理，这样定时器就会在若干次这样的处理之后到时，于是就 转为Master。只有当接收到接口的Shutdown事件时，才会转为Initialize 。

3.3 VRRP 的功能特点

VRR具有以下特点：

(1) IP 地址的备份( IP Address Backup )

一个虚拟IP地址被多台路由器共用，这是VRR的首要功能，该功能能将网络黑 洞的持续时间最小化，还可以实现负载分担。

(2) 首选路径确定( Preferred Path Indication )

VRR用一个简单方法，从各成员中选举主路由器，这就是设立优先级和抢占方 式。备份组中优先级最高的路由器，将成为主路由器，当优先级相同时将会比较接 口的主IP地址。优先级的取值范围为0到255,其中0为系统保留为特殊用途使用，255 为系统指定给IP地址拥有者的。用户可以通过设定优先级和抢占方式来指定某一路 由器成为 Master。

5．华为产品维护资料 VRRP 技术专题 2004/11/20

(3) 使 不 必 要 的 中 断 最 小 化 ( Minimizaton of Unnecessary Service Disruptions )

当主路由器选好后，除了主路由器定时发送的 VRR组播报文外，主路由器和备 份路由器之间没有多余的通信。任何优先级低或相等的备份路由器不能发起状态转 换，这样主路由器可以持续稳定地工作。

(4) 安全性可扩展( Extensible Security ) 对于安全程度不同的网络环境，可以在报头上

设定不同的认证方式和认证字。 任何没有通过认证的报文将做丢弃处理。 VRR定义了三种认证方式：无认证(no

authentication )、简单字符认证(simple clear text passwords) 和 MD5认证

(MD5。 在一个安全的网络中， 可以将认证方式设置为 NO ，路由器对要发送的 VRRP 报文不进行任何认证处理，而收到VRR报文的路由器也不进行任何认证就认为是一 个真实合法的VRR报文，这种情况下不需要设置认证字。在一个有可能受到安全威 胁的网络中，可以将认证方式设置为SIMPLE，则发送VRR报文的路由器就会将认证 字填入到VRR报文中，而收到VRR报文的路由器会将收到的VRR报文中的认证字和 本地配置的认证字进行比较，相同则认为是真实的，合法的 VRR报文，否则认为是

一个非法的报文，将会丢弃。在一个非常不安全的网络中，可以将认证方式设置为 MD5这样，路由器就会利用Authentication Header 提供的认证方式和MD算法来 对VRR报文进行认证。

3.4 组网应用

VRR允许一台路由器为多个虚拟路由器作备份。通过多虚拟路由器设置可以实 现负荷分担。如RouterA作为虚拟路由器1的主路由器，同时又兼职虚拟路由器2的备 份路由器，而RouterB正相反，作为虚拟路由器2的主路由器，并兼职虚拟路由器1 的备份路由器。 一部分主机使用虚拟路由器 1作网关，另一部分主机使用虚拟路由器 2作为网关。这样，达到了分担

数据流而又相互备份的目的。组网图如下：

二种状态的转换如卜图:

INITIALIZ

E

MASTER

MASTER-DO«N_T IMER 到时

BACKUP

3.5 结论

运行VRRP的优点相当明显，网络上单个路由器的故障将不再影响网络内主机 与外部的通信，同时把终端主机上的处理负担放在网关上，不需要在主机上增加相 应的支持和配置，节约了大量的时间。而且 VRRP是RFC标准协议，而不是私有协 议能方便的实现各厂家设备间的互通。正是由于 VRRP 具有这些优点，这使得它成 为建设一个稳定网络所需的有力工具。

第4章方案配置及其报价

H3C网络设备报价清单 产品型号 产品描述 单价 数 量 小计 中心交换机 LS-7502E LSQM1AC650 LSQM1MPUA0 LSQM1GT24SC0 LSQM1GP24SC0 H3C S7502E以太网交换机主机 H3C S7502E交流电源模块,650W H3C S7502E主控模块 H3C S7500E 24端口千兆以太网电接口模块 （RJ45） H3C S7500E 24端口千兆以太网光接口模块 （SFP,LC） ¥ 4,320 ¥ 6,400 ¥ 27,680 ¥ 43,200 ¥ 51,200 ¥ 2,000 2 2 2 2 2 42 ¥ 8,0 ¥ 12,800 ¥ 55,360 ¥ 86,400 ¥ 102,400 ¥ 84,000 SFP-GE-SX-MM850-A 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 合计 接入交换机 LS-S3100-26C-SI-AC LS-ST1UB LS-GM1UB H3C S3100-26C-SI以太网交换机主机,24个 10/100Base-T,2个模块插槽，交流供电 以太网交换机千兆堆叠模块（1米,专用物理接口） 单端口千兆以太网多模光接口模块 ¥ 349,600 ¥ 4,000 ¥ 600 ¥ 1,400 25 10 40 ¥ 100,000 ¥ 6,000 ¥ 56,000 （850nm,500m,SC） 合计 ¥ 159,000 ¥ 511,600 总计 第5章 H3C网络产品介绍

5.1 H3C S7500E系列高端多业务路由交换机

H3C S7500E系列产品是杭州华三通信技术有限公司（以下简称

融合业务网络推出的新一代高端多业务路由交换机，该产品基于

的Comware V5操作系统，融合了 MPLS IPv6、网络安全、无线、无源光网络等多 种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，在提高用户生 产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO< H3CS7500E符合“电子设备有害物质标准（RoHS ”，是绿色环保的路由交换 机。

H3C公司）面向 H3C自主知识产权

H3C S7500E系 列包括 S7510E（ 12 槽）、S7506E （8 槽）、S7506E-V （垂直 8 槽）、 S7503E （5槽）和S7502E（4槽）5款产品，所有产品均支持冗余主控。 H3C S7500E

可广泛应用于城域网核心和边缘、园区网核心和核心以及配线间等多种网络环境， 为用户提供了有线无线一体化、有源无源一体化的行业解决方案。 产品特点

1. 丰富的业务，适应融合业务网络发展趋势

全面的MPLS业务能力

H3CS7500E所有产品均支持VRF-Lite特性，可以做为MC段备使用；支持三层 的 MPLS VPb和二层的 MPLS VP(Martini、Kompella)，可扩展支持 VPLS技术； 支持MPLS OA特性，方便用户的管理和维护；与 H3C MPLS VPN ManageE合，实 现图形化的MPLS部署与维护。

线速的 IPv4/IPv6 业务能力

H3CS7500E支持IPv4/IPv6 双协议栈,支持多种6to4隧道技术，支持IPv4/IPv6 的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3CS7500E采用分布式体系 架构，实现IPv4/IPv6业务的线速无阻塞转发；H3CS7500E已经通过了信息产业部 的IPv6入网认证和IPv6 Ready第二阶段金色认证，是成熟商用的IPv6产品。

有线无线一体化，有源无源一体化

H3C S7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管 理、完善的RF管理及安全机制、快速漫游、超强的 QOSffi对IPV6的支持等；无线 控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提 高了整网的安全性。

H3C S7500E是业界最高密度的以太网无源光网络(EPON设备，单台最大可接 入10240个FTTH用户；H3C S7500E是高可靠的EPONS统，采用分布式体系结构、 模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级 可靠性。

支持 Portal 认证

H3C S7500E支持大容量的Portal认证功能，可以在数千用户的局域网中做为 EAD网关设备，为全网用户提供 EAD安全认证功能；可以在大中型的校园网中担任 核心/核心设备的同时，为学生宿舍区的认证计费提供 Portal 认证功能。

2. 灵活的配置，适应各种应用场景

配线间融合业务网络的最佳选择

H3CS7500E针对配线间的需求定制开发了 SA板卡，单台设备可以提供480个千 兆线速接口和4个万兆线速接口。H3CS7500E支持端点准入防御解决方案，解决终 端安全问题；内置2800W电源直接提供PoE功能，对IP语音和无线接入提供良好的 支持。

电力城域网边缘和核心的最佳选择

H3CS7500E支持VRF-Lite特性，为用户提供高可靠高性能的 MCE设备；通过配 置Salienee VI-Turbo引擎，可以提供集中式MPLSt务功能，适合在城域网边缘作 为高性价PE设备使用；通过配置EA类板卡，可以提供分布式线速的MPLSt务功能， 适合在城域网核心层作为高性能的 PE使用。

IPv6 网络的最佳选择

H3C S7500E所有Salienee VI引擎都可以提供集中式IPv6功能，H3C S7500E 针对IPv4/IPv6高性能的要求还开发了分布式IPv4/IPv6转发的SC板卡，在整机满 配置状态下实现线速无收敛， 为高校用户提供了高性能低成本的双栈核心核心设备， 同时也满足其他行业用户 IPv6 Ready 的需求。

3. 全方位的安全保障，抵御多种网络安全威胁

三平面安全保障机制

H3C S7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障 网络的安全：在控制平面，内置协议报文攻击识别模块，防止TCN ARP等协议报文 攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络 瘫痪；在管理平面，SNMPv网管协议，SSH V2基于802.1x、AAA/Radius的用户 身份认证以及分级的用户权限管理保证了设备管理的安全性； 在转发平面，支持 IP、 VLAN、MAC和端口等多种组合精细绑定；支持 uRPF单播反向路径转发，防止非法 流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。

有线无线全面支持 EAD

H3CS7500E是 EAD端点准入防御解决方案的重要组成部分，S7500E可以动态的 接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权 限。H3C S7500E既支持有线终端用户的EAD也支持无线终端用户的 EAD能够做 到终端安全防范无漏洞。

增强的 ACL 特性

H3CS7500E系列产品支持强大的ACL能力：支持标准和扩展ACL支持基于VLAN 的ACL方便用户配置，节省ACL资源；支持出方向和入方向的ACL每板最大可支 持9K条ACL满足金融等行业访问权限严格控制的需求。

4. 电信级的高可靠性 保障用户业务长期稳定运行

电信级高可靠性设计

H3C S7500E采用无单点故障设计，所有关键部件，如主控板、交换网、电源和 风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支 持热插拔功能；H3CS7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999 % 的电信级可靠性。

多业务高可靠性运行

H3C S7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路 由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持 RRPP

快速环网保护协议，提供小于200ms的环网故障保护；支持Smart-Link协议，保证 双上行网络拓扑的业务毫秒级快速切换。通过上述技术， H3CS7500E可以在承载多 业务的情况下不间断运行，实现业务的永续。

支持热补丁技术

H3C S7500E能够在不重启设备的前提下，通过热补丁技术，在线修改软件 BUG增

加新的业务特性。H3CS7500E提供控制补丁单元状态切换的用户命令，使用户能够 方便的加载、激活、去激活、运行或删除补丁单元。通过热补丁技术，降低了设备 需要重启的次数，为客户提供更长的网络正常工作时间。 产品规格

属性 整机交换容量 背板容量 IPv4包转发率 槽位数量 业务槽位数量 冗余设计 最大MAC地址表 S7502E 192G > 400Gbps 143Mpps 4 2 电源、主控冗余 128K 支持802.1P(COS优先级) 支持 IEEE 802.1Q (VLAN ) 支持 IEEE 802.1d ( STP) /802.1w ( RSTP) /802.1s (MSTP ) 支持 IEEE 802.1ad (QinQ)，灵活 QinQ 和 Vian mapping 支持IEEE 802.3X (全双工流控)和背压式流控(半双工) 支持IEEE 802.3ad (链路聚合)和跨板链路聚合 支持 IEEE 802.3 ( 10Base-T) /802.3u (100Base-T) 支持 IEEE 802.3z ( 1000BASE-X ) /802.3ab (lOOOBaseT) 支持 IEEE 802.3ae (10Gbase) 支持 IEEE 802.3af ( PoE) 支持RRPP (快速环网保护协议) 支持跨板端口 /流镜像 支持端口广播/多播/未二层特性 知单播风暴抑制 支持 Jumbo Frame 支持基于端口、协议、子网和 MAC的VLAN 划分 支持 SuperVLAN 支持PVLAN 支持 Multicast VLAN+ 支持GVRP 支持LLDP 支持 ARP Proxy 支持 DHCP Relay 支持 DHCP Server 支持静态路由 支持 RIPv1/v2 支持OSPFv2 支持IS-IS 支持BGPv4 支持 OSPF/IS-IS/BGP GR （Graceful Restart 优雅重启） 支持等价路由 IPv4路由特性 支持策略路由 支持路由策略 支持ICMPv6

支持ICMPv6重定向 支持DHCPv6 支持ACLv6 支持0SPFv3 支持RIP ng 支持BGP4+ 支持 IS-ISv6 支持手工隧道 支持ISATAP 支持

6to4隧道 支持IPv6和IPv4双栈

IPv6路由特性 支持 IGMPv1/v2/v3 支持 IGMPv1/v2/v3 Snooping 支持 IGMP Filter 支持 IGMP Fast leave 支持 PIM-SM/PIM-DM/PIM-SSM 支持MSDP 支持 AnyCast-RP 支持 MLDv2/MLDv2 Snooping 支持 PIM-SMv6、PIM-DMv6、PIM-SSMv6 组播 ACL/QoS 支持标准和扩展 ACL 支持基于VLAN的ACL 支持 Ingress/Egress ACL 支持 Ingress/Egress CAR，粒度为 Kbps 支持流量整形(Traffic Shaping) 支持 802.1P/DSCP 优先级 Mark/Remark 支持队列调度机制，包括 SP、WRR、SP+WRR、CBWFQ 支持每端口 8队列 支持拥塞避免机制，包括 Tail-Drop、WRED 支持 L3 MPLS VPN 支持 L2 VPN: VLL (Martini, Kompella) 支持MCE 支持 MPLS OAM MPLS 安全机制 支持EAD安全解决方案 支持Portal认证 支持MAC认证 支持 IEEE 802.1X 和口 IEEE 802.1x SERVER 支持 AAA/Radius 支持HWTACACS,支持命令行认证 支持 SSHv1.5/SSHv2 支持ACL流过滤机制 支持OSPF、RIPV2及BGPV4报文的明文及 MD5密文认证 支持命令行采用分级保护方式， 防止未授权用户的非法侵入， 级别的用户有不同的配置权限 支持受限的IP地址的Telnet的登录和口令机制 支持IP地址、VLAN ID、MAC地址和端口等多种组合绑定 支持uRPF 支持主备数据备份机制 支持故障后报警和自恢复 支持数据日志 为不同 系统管理 支持 FTP、TFTP、Xmodem 支持 SNMP v1/v2/v3 支持sFlow流量统计 支持RMON 支持NTP时钟 支持主控板1+1冗余备份 支持电源1 + 1冗余备份 采用无源背板设计 所有单板支持热插拔 支持VRRP 支持 Ethernet OAM （ 802.3ah） 支持RRPP 支持 Graceful Restart for OSPF/BGP/IS-IS 支持DLDP 支持VCT 支持 Smart-Link 支持热补丁 可靠性 环境要求 安规和EMC认证 温度范围：0 °C〜45 °C 相对湿度：10%〜95% （非凝结） 通过了 CE、FCC PART 15、TUV-GS、UL-CUL、ICES003 和 VCCI 的认证 DC :输入电压 —48V〜—60V AC :输入电压 100V〜240V 最大输岀功率： 650W ( S7502E )、1400W/2800W (S7503E/S7506E-V/S7506E/S7510E ) 支持内置PoE电源 436 X 175 X 420 < 27kg 电源 POE电源 外形尺寸（宽^高羽深）（mm） 满配重量（kg）

LZS310C SI系列驭太网交按机

■ Jh 必亠 M N ■ ■ Jtt. dL J II J nJ H3CS3100系列千兆以太网交换机是H3C公司秉承ITolP理念设计的二层线速智 能型

可网管以太网交换机产品，具有千兆上行、可堆叠、无风扇静音设计、完备的 安全和QoS

控制策略等特点，满足企业用户多业务融合、高安全、可扩展、易管理 的建网需求，适合行业、企业网、宽带小区的接入和中小企业、分支机构汇聚交换 机。同时S3100-26C-SI具有24个10/100Base-TX以太网端口，2个GE/FE扩展槽 位。

产品特点

1. 千兆上行、线速交换

H3C S3100系列千兆交换机具有19.2Gbps的总线带宽，为所有端口提供二层线 速交

换能力，同时支持千兆上行，满足当前多业务融合对高带宽的需求。

2. 完备的安全控制策略

H3C S3100系列千兆交换机支持802.1X认证，在用户接入网络时完成必要的身 份认证，支持MAC地址和端口等多兀组绑定、广播风暴抑制和端口锁定功能，保证 接入用户的

合法性。

支持跨交换机的远程端口镜像功能（RSPAN，可以将接入端口的流量镜像到核 心交换机（例如 S9500/7500） 上，在核心上启动网流分析（Netstream ）功能，对 监控端口的业务和流量进行监控、优化部署和恶意攻击监控。

支持DHCP5nooping（侦听）功能，通过建立和维护 DHCP5nooping绑定表实现侦 听接入用户的MAO址、IP地址、租用期、VLAN-ID接口等信息，解决了 DHCP用 户的IP和端口跟踪定位问题。同时对不符合绑定表项的非法报文（ ARP欺骗报文、 擅自修改IP地址的报文）直接丢弃，保证 DHC环境的真实性和一致性。

3. QoS能力

H3CS3100系列千兆交换机支持每个端口 4个输出队列，支持2种队列调度算法: WR调度算法和HQ+WF调度算法，可以以不同的优先级将报文放入端口的输出队列。 支持端口双向限速，限速的控制粒度最小可达 Kbps。满足用户多业务识别、分

类、资源调度的需要。

4.简单易用的管理和维护

H3C S3100系列千兆交换机采用无风扇静音设计，特别适合在楼道和办公室使 用。支持VCT（Virtual Cable Test ）电缆检测功能，便于快速定位网络故障点。

支持堆叠功能，通过增加设备来扩展端口数量和交换能力，多台设备之间的互 相备份增强了设备的可靠性，从而保证了网络的平滑升级并能降低扩建成本；同时 对多台设备统一管理，降低了管理成本。

通过FTP TFTP实现设备的远程升级，支持 HGM集群管理系统和故障诊断，实 现了设备的集中管理和维护。

支持SNMP可支持HP OpenView等通用网管平台，以及 Quidview?网管系统。 支持CLI命令行，Web网管，TELNET HGM集群管理，使设备管理更方便。

产品规格

表1 H3C S3100-SI系列交换机规格特性（一） 项目 外形尺寸（长X宽X 高） （单位：mm） 重量 固定端口 管理端口 扩展槽位数量 <3.2kg 24个8个10/100Base-TX以太网端口 1 个 Console 口 2个 436 X240 X42 S3100-26C-SI 支持的扩展模块 接口类型 10/100/1000BASE-T接口模块（最大传输距离 100m） 100BASE-SX （SC接口，最大传输距离 2km） 100BASE-LX （SC接口，最大传输距离 15km ） 100BASE-LH40 （ SC 接口，最大传输距离 40km） 1000BASE-SX （ SC 接口，最大传输距离 0.5km） 1000BASE-LX （ SC接口，最大传输距离 10km ） 1000BASE-LH40 （ LC 接口，最大传输距离 40km） 1000BASE-LH70 （ LC 接口，最大传输距离 70km） 1000BASE-STACK （ S3100-8C-SI 不支持） 100BASE-TX PD （Powered Device）接口模块（S3100-26C-SI 不支持） 100Base-LX-SM1310-BIDI （ SC 接 口，最大传输距离 15km） 100Base-LX-SM1550-BIDI （ SC 接口，最大传输距离 15km） 项目 交换容量 包转发率 S3100-26C-SI 19.2Gbit/s，所有端口支持线速转发 6.6Mpps AC : 额定电压范围：100V〜240V AC ; 50/60Hz 最大电压范围：90V〜2V AC ; 47Hz〜63Hz 电源 DC : 额定电压范围：-48V〜-60V DC 最大电压范围：-36V〜-72V DC 远程受电 不支持 整机最大功耗 20W 工作环境温度 工作环境相对湿 0 °C 〜45 C 10% 〜90% 表2 H3C S3100-SI系列交换机业务特性 度（非凝露） 项目 VLAN S3100-SI 最多支持4K个符合IEEE 802.1Q标准的VLAN 支持GVRP 支持基于端口带宽百分比的广播风暴抑制 广播风暴抑制 组播 IGMPv1/v2/v3 Snooping 生成树协议 支持STP/RSTP/MSTP，支持最多16个生成树实例 支持通过命令行手动进行端口汇聚 支持FE端口汇聚和GE端口汇聚 端口汇聚 最多可支持3个端口汇聚组，FE汇聚组最多支持8个端口，GE汇聚组最多支持 2个端口（汇聚的端口必须具有相同的端口类型） 端口镜像 支持一对多的端口镜像 支持 RSPAN （Remote Switched Port Analyzer，远程交换端口分析） 端口隔离 支持 端口自环检测 端口环回

支持 支持 （内环和外环测试） 项目 S3100-SI 支持地址自学习 符合IEEE 802.1D标准 MAC地址表 最多支持8K个MAC地址 支持1K个静态 MAC地址 支持添加动态/静态单播MAC地址、多播 MAC地址和黑洞 MAC地址 支持IEEE 802.3X流控（全双工） 流控 支持背压式流控（半双工） 支持堆叠 支持XModem协议实现加载升级 堆叠 加载与升级 支持FTP、TFTP加载升级 支持命令行接口（ CLI ）配置 支持Telnet远程配置 支持通过Console 口配置 支持SNMP 支持 1, 2，3，9 组 MIB 支持QuidView网管系统 支持WEB网管 支持系统日志 支持分级告警 管理 支持调试信息输岀 支持 PING、Traceroute, Multicast Traceroute 维护 支持Telnet远程维护 支持VCT （Virtual Cable Test ）电缆检测功能 每个端口支持4个输岀队列 支持802.1p优先级、DSCP优先级、ip-precedence优先级 QoS 支持WRR、HQ+WRR队列调度算法 支持端口发送和接收方向的双向端口限速，控制粒度最小可达 支持未知多播报文丢弃 用户分级管理和口令保护 支持 Guest VLAN 安全特性 支持IEEE 802.1X认证 支持集中MAC地址认证 支持SSH2 .0 DHCP 支持 DHCP Client , DHCP Snooping Kbit/s : NTP 支持 集群管理

支持NDP （邻居发现协议） 支持NTDP （网络拓扑发现协议） 项目 S3100-SI UL 60950 3rd ed. IEC 60950: 1999, corr. Feb. 2000; all national deviations EN 60950: 2000, ZB and ZC deviations 安规 NOM-019 SCFI Mexico, AS/NZS 60950:2000; Australia、Russian GOST safety approval CISPR 22 Class A FCC Part 15 Class A EN 55022 Class A ICES-003 Class A EMC VCCI Class A Korean EMI Class A AS/NZS 38 Class A CNS 13438 Class A EN 61000-3-2 EN 61000-3-3 组网应用 在企业网络和园区网中，接入层 S3100交换机通过千兆上行到汇聚层交换机, 进而通过千兆捆绑或万兆上联到园区骨干网络，构成万兆骨干、千兆汇聚、百兆到

桌面的企业网全网解决方案，满足用户高带宽、多业务的需求。

S31CO

S3100

53100

囲100

第6章成功应用案例

6.1厂西成功案例:

人民医院全院网络拓扑图

ill

1

DELLifiJO

i DHCP；

i— ™ ~ - -I

亠 i

I

DhLL OBI

Ub

i

i 干淀瓶i

j

I 1EM ^32 JO

FffS；KAr

% 顾畑M

蠻主 n葩业址 m勒楼

I/计.

冏它工件站

trunk

ms DG 电子病厉BG I

■

IM MB 1^■“ ■■ ■■ ■* BM ■■!

Mi.

t nmk j

imnh

t runk

— 一i i MSn M^TP

12生打汇

聚

辭檢 t *山1&f 亠r

Jl ■ —J-i

卑動t 核 /、' 小，

A

■ ■■• ■,

i

I

trurii.

葩2*

晶整:

■ V -w -M

^r；'J

_ -------------------------

「

- W J

-v

I左矍

6.2

人民医院内网网络拓扌卜

其他槎

號中也

医技楼

楼人层丈横机站台

-

Quid'Afi'/ E75CI6R

Quid■砂 S曰

36C

外科楼

-

Mfa I

Quid™/S3126C

汇聚层丈融

S5SF CluicM&yS3126C

S^ttlOOrF

Gluid^y S3126C

Quidv»yS3126C

汇亲层女帥

S5624F

Qniiorijsw

Giid'Aay S312&C

行业成功案例:

华为3CO做字化医院I献方嶽例— 医競

Quidwajf S8505

VRRP

市第一人民

_JHWntirn|

VPM

$30 CW

l^uid^ay S30O0

/ GE

Quid>flf/S5316 -

Q

kvatfi 55t£

CE 35000

Y

i3QM

S3QQC

^uid'ray SB5O6F:

S3IOOO

S3ooo em

N«n«

结束语

网络经济必将有其无限的发展生机和广阔天地，但网络建设和网络管理机制技 术的应用还处在逐步成长阶段，特别是校园网如何进行有效全面的管理还缺乏成功 的经验，本文中就网络的基础建设，网络的功能建设和队伍建设这几个不够重视， 容易忽略的问题进行了讨论，并阐述了它们的重要性和建设的必要性。还有许多工 作有待于进一步的讨论，研究和开发

致谢

在我的论文完成工程中，得到了很多人的帮助于支持。

首先，最感谢的是我指导老师XXX老师，他以严谨的治学态度，做研究全力以 赴的精神，对我毕业论文的写作给予悉心的指导，提出了许多批评建议，使个人的 论文得以如期完成，在此致上最真挚的谢意。

也谢谢大学所有教导过我的老师，谢谢你们 =的悉心教导与关心爱护。 其次，感谢我的朋友在个人撰写论文期间的大力支持， 文时对我的鼓励与督促。

感谢我的同学在我写论

参考文献

1. 李巧红，杨 峰 《宽带网络技术原理》。北京：机械工业出版社，2002 2. 颜 凯，杨 宁 《局域网交换技术》。

http://www.hackhome.Com/2005/1-23/17013583993.shtml

3. 张公忠 5. 刘彦宏，杨陟卓

《现代网络技术教程》 《网络工程设计与安装》

北京：电子工业出版社，2001. 北京：电子工业出版社，2003.

6.

子工业出版社，2005.

巩进生，王道平 《网络组建、管理与维护》 北京：电