主页 > 工艺 >

病院汇集技巧的计划doc

浏览1574 好评 0 点赞105

  1.本站不保证该用户上传的文档完整性,不预览、不比对内容而直接下载产生的反悔问题本站不予受理。

  第七人民医院网络技术方案 杭州华三通信技术有限公司 目 录 第1章 总体需求描述 4 1.1 医院简介 4 1.2 建设需求 5 1.3 建设原则 6 第2章 网络平台设计 8 2.1 有线.2.2 汇聚层 13 2.2.3 接入层 13 2.3 有线 采用先进的CLOS交换结构 16 2.4 无线 无线 X-Share技术优势 20 2.5.2 静谧模式 22 2.5.3 漫游切换支持 23 2.5.4 增值应用 24 2.6 网络管理平台 25 2.6.1 设备管理 26 2.6.2 EAD安全策略组件 26 2.6.3 无线 一体化智能无线 3.5 具备良好的扩展性 30 3.6 采用统一的Comware平台 30 3.7 良好的售后服务及培训体系 30 3.8 总结 31 第4章 设备选型介绍 31 4.1 H3C S10500高端多业务路由交换机 31 4.1.1 产品概述 31 4.1.2 产品特点 32 4.2 H3C S5120接入交换机 35 4.2.1 产品概述 35 4.2.2 产品特点 36 4.3 H3C S5110 POE接入交换机 39 4.3.1 产品概述 39 4.3.2 产品特点 39 4.4 H3C WX5510E多业务无线.5 H3C WA4320i-X 802.11ac 50 4.5.1 产品概述 50 4.5.2 产品特点 51 4.6 iMC智能管理中心 56 4.6.1 产品概述 56 4.6.2 产品特点 56 4.7 iMC WSM无线.8 iMC EAD安全策略组件 75 4.8.1 产品概述 75 4.8.2 产品特点 77 第5章 H3C公司售后保障体系 81 5.1 H3C售后服务概述 81 5.2 服务组织结构 82 5.3 服务及时性保障 83 5.4 服务有效性保障 84 5.4.1 7×24小时热线 网上问题处理系统 85 5.4.4 完善的实验平台 85 5.4.5 高效快捷的备件系统 85 5.4.6 技术支持网站与技术支持论坛 86 5.4.7 完备的技术支持资料开发系统 86 总体需求描述 上海市第七人民医院简介 是浦东新区唯一的全国综合医院中医药工作示范单位。 医院中西医教学体制完善,医疗与护理本、大中专教学体系健全。是第二军医大学、上海同济大学、上海中医药大学、宁夏医学院等医学院校的教学医院(实习基地);是上海市住院医师规范化培训康复医学、医学影像教学基地;浦东新区临床医师技能培训基地。具有年带教实习生逾150名的规模与能力。拥有硕士生导师6名。 为了建成三级中西医结合医院、上海中医药大学以康复医学为特色附属医院,由浦东新区政府投资建造的康复医学楼工程已动工。大楼总体建筑面积约30000平方米,目标打造设施一流、医疗设备先进,具有康复医学专业领先水平的以中西医结合为特色的上海市康复医学重要资源。 建设需求 本次网络建设需求为新建一个完整的医院信息系统平台,并充分考虑第七人民医院现有IT应用系统的情况,并对未来至少5-8年内的IT应用系统进行规划,在架构、功能、性能等方面的设计应保持整体一致性。并满足可分期建设、可持续发展的需求。 总体设计原则: 一、有线网络设计 以第七人民医院计算机网络需求及信息流量、流向为依据,并紧密结合设计制造大流量文件传输系统应用的特点。 采用成熟、先进的网络技术、网络设备、主机系统及应用系统,兼顾网络的实用性和可持续发展性。 网络系统应具备开放性、先进性、多协议间的互联性,兼顾现有系统资源的利用。 应用系统先进、成熟,紧密结合网络平台性能。 确保网络的安全性和可靠性。注意避免出现“瓶颈”效应,保证网络7x24小时可靠运行。采用城域网环网技术提高可靠性。 注意通信保密和数据安全,建立完善的网络管理系统。 内网采用高性能的交换机组成核心骨干,核心骨干的连接采用双机、双线路连接的方式以提高网络的高速性和可靠性。满足主干万兆双冗余、千兆桌面的需求。 实现内部无线网络系统。 满足PACS系统对于骨干交换能力的要求。 满足7×24不间断运作的要求。 二、无线网络设计 无线网络的建设依附在当前的有线网络上,采用POE供电方式,AP部署在走廊,无线控制器AC部署在机房。 覆盖范围要求:对医院病房和走廊实施无线全覆盖。 采取通行的网络协议标准:采用802.11ac系列标准,能提供空间2流(2-Streams) 866Mbps的无线传输速率以及整机千兆接入能力,是相同环境下802.11n产品3倍左右。 无线AP全部采用FIT工作方式,通过无线控制器实现对AP进行统一配置下发 配置无线网管软件,通过无线网管软件来对FIT AP进行管理维护。 通过X-Share技术来实现对医院走廊病房实现无线全覆盖。 建设原则 在设计第七人民医院医院计算机网络系统中,贯彻面向应用,注重实效的指导思想,确保网络建设能切合实际,满足使用要求。具体要求如下: 开放性原则 系统具有开放性,针对第七人民医院的计算机网络工程,采用开放的标准、技术、结构、系统组件和用户接口。网络设计支持有关国际和国家标准,支持不同介质和异构网络互联与集成,提供异种机型及设备的直接接入及接口,易于网络的扩展与升级,在兼顾信息网内外多层次的安全性的基础上,保证其应用的开放性,以满足行政办公、管理、信息交流等多方面的应用需求 先进性原则和实用性原则 网络结构先进,开发工具先进,采用先进的和成熟的网络技术和产品。 实用性原则就是采用的技术路线、产品应经过实践检验,被证明是成熟可靠的,设计结果能满足客户的需求并且行之有效。 网络的先进性将通过网络构架的先进性、硬件设备的先进性、传输速率和协议选择、信息系统的先进性来体现。 可靠性原则 第七人民医院的计算机网络系统必须具有一定的容错能力,保障在意外情况下不中断用户的正常工作。可靠性也是通过设备可靠性和技术措施两个层次来解决。网络的可靠性将通过选择能可靠运行的网络结构、选择可靠的网络和计算机硬件设备,以及选择可靠的网络操作系统和信息应用系统来体现。通过一定的技术措施来保证网络的可靠性。如采用双交换机热备技术,采用部件及链路冗余技术等。通过这些措施使得网络即使出现某些故障仍能正常运行。 网络系统设计方案、产品的性能技术指标、设备选型以及网络结构等方面均遵守国际和国家相应的标准指标和要求,并满足系统的设计、生产、管理的需求。设计结果稳定可靠,具有高MTBF(平均无故障时间)和低MTBR(平均故障率)。 安全性原则 保障网络设备的正常运行和传输信息的保密性、完整性。网络安全的实施涉及到网络设计、网络维护的各方面,并且是一个动态的、不断完善的过程。安全措施有效可信,在网络运行、硬件平台和系统管理等多个层次上实现安全控制。在网络设计中,通过加强内部访问控制和外部访问控制两方面来保证网络和信息安全。 可管理性原则 网络设计在日后的维护中,能够满足统一、集中管理的需求,使系统处于有效的监控之下,以最少的人力资源保证网络的日常维护。网络管理员能够在不中断系统运行的情况下对网络进行修改,不管网络设备的物理位置在何处,网络都是可以控制的。管理人员能够通过单一的网络平台监测和控制所有的网络设备及端口。网络设备集中放置,以满足管理及外界条件的要求。网管功能包括:失效管理、配置管理、性能管理、安全管理和计费管理。 网络系统应该便于计算机管理人员通过网络管理软件随时监测网络的运行情况,一旦出现故障,可以报告出错位置和出错原因,使管理人员可以迅速发现故障并及时维护。网络的可管理性对整个系统具有至关重要的意义,网络系统的可管理性体现在:网络状态是可观的;网络发生的变化是有据可查的;网络性能是可测量的;以及网络是可以通过网络中心配置的。 可扩充性原则 网络系统要能够灵活地扩充,一是能够适应网络规模的扩充,再者是能够适应网络应用及其他应用的提升对网络系统性能的更高要求。具有良好扩充性的网络系统能够使用户以较小的代价,扩充现有网络设备的功能,为以后的发展提供系统的可扩展能力,避免用户的投资浪费。 选择占主导地位的厂家,保护用户的投资 网络是用户计算机系统的中枢神经。随着第七人民医院的发展,网络的规模也要不断扩展,不断升级。占主导地位的网络产品厂家的优势在于首先为产品市场占有率高,有广泛的用户群可以支持厂家的良好经营和不断发展;其次为拥有先进的技术,使其产品不断升级,通过产品升级一方面使其用户得到最先进的技术,另一方面可以保护用户以前的设备投资。 性价比 在技术性能和价格的平衡中,技术性能优先,并兼顾价格。保证信息网络建设具有较高的性能价格比,保证所采用的设备和技术属主流产品,在相应的应用领域占有较大的用户市场。 网络平台设计 第七人民医院分为东区、西区两个区域,这两个区域有不同的楼宇,如下图所示: 根据第七人民医院的楼宇分布情况,在总体上采用网络分层构建、逐层保护的指导原则,利用IP技术,保证网络的互联互通性,并提供各部门、系统网络间的逻辑隔离,保证互访的安全控制;整网考虑采用VLAN技术实现业务隔离,并进行有效的QOS处理。所采用的设备以及网络构架都具有良好可扩展性,可以根据后续发展的需求。 有线网络设计 一、组网架构 第七人民医院是一家三级甲等医院,平常患者众多,而医院常用的HIS、PACS等系统都是基于网络平台之上的,因此需要一个高效、稳定、安全的有线网络。 如图所示:全网分别为接入层、汇聚层、核心层三层架构网络,接入到汇聚分别分为东区和西区两个区域,接入交换机采用IRF2的方式进行虚拟化,虚拟化堆叠以后可以让多台物理设备形成一台逻辑设备,然后通过两条万兆上连的方式与汇聚交换机进行连接,这样在提高物理带宽的同时还起到一个链路负载的作用,并且采用链路捆绑的方式还可以避免链路单点故障。 汇聚层两个区域分别各采用两台S5820X万兆交换机做汇聚,每个区域汇聚交换机都进行IR2虚拟化后,然后通过万兆光纤的方式与核心交换机相连,对数据进行高速转发。 核心层设备承载七院网络的重要部分,因此采用两台核心交换机S10508做IR2网络虚拟化,虚拟化以后让两台核心交换机设备虚拟成一台核心交换机,避免核心层出现单点故障,造成医院网络瘫痪,并且核心交换机旁挂两台L1000-A负载分担设备,L1000-A负载均衡器支持全面的4~7层负载均衡和链路负载均衡功能特定的负载均衡算法将客户端对的访问请求合理地分发到的各台服务器上,以保证数据中心的响应速度和业务连续性。IRF是Intelligent Resilient Framework的简称,即智能弹性架构,是H3C公司专有的设备虚拟化技术,将实际物理设备虚拟化为逻辑设备供用户使用。目前的IRF2.0是一种将多个设备虚拟为单一设备使用的通用虚拟化技术,此技术已经应用于高、中、低端多个系列的交换机设备,通过IRF2.0技术形成的虚拟设备具有更高的扩展性、可靠性及性能。 IRF的技术优势 简化管理 IRF形成之后,用户通过任意成员设备的任意端口均可以登录IRF系统,对IRF内所有成员设备进行统一管理。而不用物理连接到每台成员设备上分别对它们进行配置和管理。用户对IRF系统作为一个整体的虚拟设备进行管理,因此需要管理的设备数目减少了,网络的规划过程、组建过程、维护过程都将大大的简化,可以有效的节省管理成本。 简化网络运行,提高运营效率 IRF形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算。另外作为单一设备运行后,原来组网中需要通过设备间协议交互完成的功能,将不再需要,例如常见使用MSTP、VRRP等协议来支持链路冗余、网关备份,使用IRF后接入设备直接连接到单一的虚拟设备,不再需要使用MSTP、VRRP协议。总之,IRF技术省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。 低成本 IRF技术是将一些较低端的设备虚拟成为一个相对高端的设备使用,从而具有高端设备的端口密度和带宽,以及低端设备的成本。比直接使用高端设备具有成本优势。 强大的扩展能力,保护用户投资 随着网络和计算机的日益应用广泛,大部分企业、学校、团体、社区使用网络规模都不是一成不变的,网络规模会随着组织规模的不断增长而增长。在最初规划网络的时候,一般都将会预留一定的容量以便于扩充和升级。但是如果预留的容量太大,对于初期紧张的资金将是一种浪费;预留的容量太小,将来升级时不免会捉襟见肘。这一直是困扰网络规划者的一个难题。 有了IRF,网络的扩容和升级将变得简单和快捷。通过增加成员设备,可以轻松自如的扩展IRF系统的端口数、带宽和处理能力。用户在网络建设初期可以只购买当前需要的网络设备,不需要为将来的网络需求预先买单。当用户进行网络升级时,不需要替换掉原有设备,只需要增加新成员设备既可。用户的投资可以得到最大限度的保护。 高可靠性 IRF的高可靠性体现在多个方面,例如:成员设备之间IRF物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了IRF系统的可靠性;IRF系统由多台成员设备组成,采用1:N备份,一台Master设备负责IRF系统的运行、管理和维护,多台Slave设备在作为备份的同时也可以处理业务,一旦Master设备故障,系统会迅速自动选举新的Master,转发流量和大部分业务都不会出现中断。由于Slave设备并不是专门的备份设备,也同时处理业务,因此用户没有为备份而专门花费资金。 在将框式分布式设备进行虚拟化时,IRF中同时保留框式设备内部的1:1备份,与IRF设备间的1:N备份这两种冗余功能,使得单个主控板异常时,此框式设备由于存在另外的主控板,所有板、卡均可以继续正常工作,进一步提高了系统可用性。 采用先进的CLOS交换结构 功能模块化 在硬件结构上,不同的功能由物理上相互独立的单元来分别完成,如:不同的接口板可提供不同类型的接口,实现不同的业务等。软件方面,同样采用模块化的设计思想,不同的模块实现不同的功能,可降低软件的复杂程度,有利于软件功能升级等。同时,功能模块化也有利于设备的维护和升级工作。 控制平面和业务处理平面完全分离 核心交换机有两个核心的处理平面,即控制平面和业务处理平面。 控制平面主要由主控板、接口板上的控制单元构成,完成协议处理、路由表维护、数据配置和设备管理等控制功能。 业务处理平面主要由接口板上的高速业务处理单元(ASIC芯片)和集成在交换网板板上的交换网构成,具备业务处理、报文交换和报文转发等功能。 控制通道:接口板、网板通过高速差分线Serdes分别连到主备控制板上的管理模块。实现双主控1+1、多交换网N+1或N+M的热备份,提高系统的可靠性。 业务通道:交换网芯片内置于交换网板,接口板通过高速差分线Serdes分别连到交换网板上的交换网。 控制平面和业务处理平面相互独立,互不影响,如下图所示。 多级分布式CLOS、 大缓存的交换结构 核心交换机采用当前业界最先进的交换机交换结构,即多级CLOS、 分布式大缓存的交换结构:独特领先的基于Credit分配和Pull方式的分布式业务调度,Pull方式天然支持Ingress方向的分布式缓存,有效共享和利用分布在各线卡上的缓存,相对于传统的Push方式,Pull方式具有无阻塞、控制精确等优点,该调度机制结合大量队列使得系统在QoS上有质的飞跃。 通过交换网完成接口板之间无阻塞的报文交换,提供Tb级的交换容量,采用VOQ技术防止头阻塞,不会出现系统资源争用的情况,真正实现无阻塞交换。 多级交换架构之一的CLOS交换架构如下图所示: 采用Pull方式分布式缓存转发 交换机转发模型目前常用的有:Push方式的集中式缓存和Pull方式的分布式缓存两种缓存转发模式。 传统Push缓存模式 Push模式是入端口收到流量后,在其Ingress Buffer做简单缓存,查转发表后将流量推(Push)给目的端口Egress Buffer内,再由出端口调度转发。如下图所示,对于网络中常见的高速端口到低速端口、多端口到单端口等网络拥塞模型,拥塞瓶颈和缓存压力都集中在目的端口Egress Buffer上,报文拥塞时会丢失较多的报文。 核心交换机采用的更合理的Pull缓存模式 核心交换机采用Pull方式分布式缓存转发模式,入端口收到流量后,报文缓存在其Ingress Buffer,同时向出端口发出通知,出端口收到通知后,根据本端口的情况决定是否向入端口要数据,如果本端口空闲,则向入端口发出报文读取请求,否则报文仍缓存在各入端口Buffer内。出端口获取报文后,在其Egress Buffer进行简单的缓存和队列调度后将报文转发。因此,对于网络中常见的高速端口到低速端口、多端口到单端口等网络拥塞模型,拥塞后的缓存压力分布在各入端口上,可以缓存更多的报文,尽量避免丢包。 对于多端口到单端口的网络拥塞模型也类似,拥塞时报文分别缓存在各入端口Ingress Buffer,减小了出端口的缓存压力。无论哪种网络模型,S12500采用的Pull方式的分布式缓存转发模式都要比传统的Push方式集中缓存转发模式要合理,也更适合于数据中心等大流量模型的应用场景。 无线网络 第七人民医院需建设无线网络覆盖,满足医护人员电子查房的需求,可使医护人员能实时获取患者信息或者搜索决策支持信息,这种系统使医护人员可以更加准确、快速和高效地制定决策和采取相应的措施,具体体现包括: 电子病历访问/查看 医生处方输入和药物治疗匹配 护士呼叫系统 患者床边服务 对重要的统计数据的监控 。。。。。。 同时,本次第七人民医院无线工程还将满足以下业务需求: 无线网络通过安全认证,保证医院信息不能通过无线网络外泄露; 用户在无线区域内移动时,不需要多次重复认证,实现自动漫游,即业务不中断; 无线网络方案拓扑 第七人民医院西区采用无线POE供电的方式与核心交换机进行对AP供电,每个AP工作方式都采用FIT的工作方式,医院工作人员可以通过手持终端对医院各个病房进行移动漫游,保证业务不中断。无线无线控制器,单台设备可以最大提供512个AP管理能力,充分满足医院无线需求。 无线AP部署说明 第七人民医院房间众多,环境比较复杂,如果采用放装行布置,效果会比较差,因此采用X-Share技术,无线个射频口,每个射频口连接馈线后引入房间内,再连接天线;每根天线可以感知下联的终端,独立的为该终端发送数据,避免了墙壁等建筑因对信号的衰减,达到最好的信号覆盖,实现天线AC协议的无线Mbps的无线传输速率以及整机千兆接入能力,是相同环境下802.11n产品3倍左右。 无线方案优势 X-Share技术优势 室分方式一般是和运营商部署的室内移动信号系统结合利用,单个AP可以覆盖较多房间,信号也能有一定保证。但是其缺陷也十分明显:首先,单个AP覆盖多个房间甚至楼层,而其只能使用一个频段,当接入用户数略多一些时便会出现性能不足的问题;其次,室分方式隐藏节点问题严重,由于WLAN采用CSMA/CA的冲突机制,分布在各个房间的终端无法“听”到别人是否在利用信道,很容易发生上行冲突,报文发送失败,会导致网络性能变差。 X-Share技术是华三通信在AP射频方面的一项创新技术,其利用了智能天线]技术,通过馈线天线入室,实现了无线接入点AP的每个天线独立智能化工作,有效解决室内无线覆盖面临的信号和性能问题,并提供了极佳的上层应用体验。 X-Share智能型AP一般带有4~8个射频口,即具备4-8根天线,每个射频口连接馈线后引入房间内,再连接天线;每根天线可以感知下联的终端,独立的为该终端发送数据,避免了墙壁等建筑因对信号的衰减,达到最好的信号覆盖,实现天线入室覆盖。业界类似形态的产品采用的都是功分方式,无法实现天线所示为放装方式和X-Share方式的在信号覆盖上的区别。放装方式的信号热区呈圆形扩散,在覆盖边缘信号很难保证,X-Share在目标区域信号强且均匀。 X-Share智能型AP 每个引入房间的天线GHz的双频信号,并且X-Share在5GHz射频方面做了技术增强,有效规避高频段衰减快的信号弱点,使5GHz信号覆盖效果更佳,体验更好。随着支持5GHz频段的终端数量的增加,无线的带宽利用率会更高,整网性能能达到很高的水平。可见,每个入室天线相当于一个mini的双频AP,这些“虚拟”AP具备一定的独立工作能力,并能提供动态射频分配和无线定位应用的功能。 动态射频分配 X-Share采用智能天线技术的一个核心优势是可以感知用户位置,从而选择最佳的天线来为用户发送数据报文,即动态射频分配。如图2所示某场景,一个X-Share AP覆盖了编号为1-6的6个房间,每个房间都有馈线的用户无线上网的时候,AP可以感知到它的位置,选择包括房间2在内的一个最佳的天线组合来为该用户发送数据报文,而其他房间的天线是不会发送数据的。 X-Share AP部署示意图 开启动态射频分配模式后X-ShareAP具有以下特点: 可以智能选择出用户所在房间的天线为该用户发送数据报文,其他房间的天线不会发送该用户的数据报文; 由于每次发送数据都采用4选1模式,因此处于工作状态的天线%,有效的降低了AP间的信号干扰;同时也减少了房间内的无线%左右。 X-Share智能天线可以感知到用户的位置,动态分配天线,把不必要的空间信号量全部省略掉,既降低了干扰,又减少了辐射,这是传统的室分或智分AP所无法做到的。 静谧模式 H3C WLAN结合智能天线和室内分布AP技术(该技术方案名X-Share,或X分),通过智能天线选择有效的解决了上述问题。技术的基本原理如下图,每个X-Share AP可以提供4个射频输出,覆盖4个房间。当房间1内的用户需要接收数据的时候,AP会选择房间1内的天线以及其他房间内效果最好的一个天线N MIMO数据的发送。而其他两个房间的用户是不会收到发给房间1内的用户的数据报文的,也就不会产生干扰和辐射。 如图所示:H3C X-Share使用的智能天线分布式系统,每一根天线都具有独立的感知功能和独立的发射策略。H3C X-Share的静谧模式功能,借由这些独立的感知天线,将准确的计算每个用户所关联的房间和天线,并将数据准确的推送至用户侧,而其他天线均不发送与该用户有关的数据。在静谧模式开启时,每个天线都相当于一个独立的AP,维护单独的用户表项,并独立和该用户建立发送\接收通道。 X-Share静谧模式工作流程如下: 天线通过智能感知计算方式,建立每个用户与天线的关联表项。 通过每个用户的关联状态,对发送数据包进行分组与队列选择。 在发送数据时,将发射电路通道调整至该用户所在天线位置,并封闭其他电路通道,然后再进行数据发送。 H3C WLAN X-Share AP开启静谧模式以后具有下列特点: AP可以智能选择出用户所在房间的天线,为该用户发送数据报文,其他房间的天线不会发送该用户的数据报文; 该模式可以有效降低房间内的无线辐射,每次发送数据都采用4选1模式,可以减少辐射75%。 该模式可以降低楼层内AP间的干扰,因为需要工作的天线%,相互间收到的干扰信号也就少了75%; 漫游切换支持 无线终端在全楼无线网络中移动时,必然要进行不同AP之间、所属不同有线交换机之间的漫游切换。首先无线终端会通过无线局域网服务器的CAMS软件进行第一次的安全接入认证,无线交换机会介入该认证过程,并获得PMK(Pairwise Master Key)。无线终端根据PMK生成多个通讯用密钥,开始进行加密会话。当无线终端发现需要进行切换时,会进行如下操作: 与无线交换机进行连接的预建立; 无线交换机与需要建立连接的AP交换通讯用PMK密钥,并将PMK密钥传给无线终端; 无线终端发布更新消息,更新无线交换机转发表; 原有的数据流转换到新的AP上来; 切断原有的数据连接。 增值应用 网络管理平台 随着网络基础架构日趋复杂,传统的设备命令行、简单的管理工具已经不能够满足网络管理的需求。业界的经验证明,选择一个优秀的网络管理系统是保证网络最大可用性的有效手段。 为了满足对上海市第七人民医院多业务支撑网络的高效管理和控制,管理和控制系统应是个集成化管理平台,根据网络业务发展的需要,能够通过逐步增加模块的方式提供基础设备管理、用户管理、安全管理、流量管理、无线管理以及多媒体管理。 所有的管理界面需要WEB化,并且各个管理组件不是简单的叠加,能够实现必要的联动来实现更加灵活的管理功能。 上海市第七人民医院在网络中心机房部署一套综合信息管理系统。其具有全面的管理和控制功能,完成各个管理功能模块的信息采集和策略执行,如下图所示: 设备管理 H3C iMC网络管理系统可以通过网络管理平台,对第七人民医院整个有线、无线设备进行统一的查看,方便学校网络管理人员更加清楚明晰的了解网络设备的运行情况,尽可能的在设备出现故障的时候第一时间发现,并且iMC网络管理平台还可以自定义网络拓扑,更好的帮助网络管理员了解整个医院的网络架构。 EAD安全策略组件 EAD安全策略组件(EAD,End user Admission Domination)从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过iNode智能客户端、EAD安全策略服务器、iMC平台、网络设备以及第三方软件的配合和联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为;同时,在管理上,又能做到用户管理与网络设备管理、网络拓扑管理的融合,并支持与iMC ACL Manager组件的联动,使得H3C 终端准入控制解决方案在有效地加强用户终端的主动防御能力的基础上,为企业网络管理人员更提供了有效、易用、强大的管理工具和手段。 对于要接入网络的用户,EAD解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查,根据检查的结果,EAD对用户网络准入进行授权和控制。通过安全认证后,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况和网络使用情况进行审计和监控。EAD解决方案对用户网络准入的整体认证过程如下图所示: 无线业务管理 WSM无线运营管理组件依托iMC智能管理平台,实现有线无线一体化的管理,在iMC系统全面的有线网络管理的基础上,为管理员提供无线网络管理能力。管理员无需重新搭建IT管理平台,即可在原有的有线网络管理系统中增加无线管理功能,与有线管理平台统一部署,节省用户投入,节约维护成本。 解决方案优势 H3C数字化医院解决方案的优点有以下几点: 三层架构 三层架构实现了接入直连汇聚从汇聚到核心,体现了多项优势: 简化运营管理:全局网络虚拟化能够提高运营效率,虚拟化的每一层交换机组被逻辑化为单管理点,包括配置文件和单一网关IP地址,无需VRRP。 简化网络配置:跨设备的链路聚合创建了简单的无环路拓扑结构,不再依靠生成树协议(STP)。虚拟交换组内部经由多个万兆互联,在总体设计方面提供了灵活的部署能力。 提升可靠性:虚拟化能够优化不间断通信,在一个虚拟交换机成员链路故障时,不再需要进行L2/L3重收敛,能在毫秒级别实现恢复。 提升整网性能:跨设备链路聚合提升上联带宽,消除性能瓶颈,为无阻塞部署千兆到桌面提供条件。 一体化智能无线 有线无线一体化设计简化了无线管理的工作量,屏蔽了最终用户使用无线时需要关注的技术细节,使得无线使用起来更简易。 一体化管理:在同一拓扑上显示有线和无线设备,便于维护; 一体化设备:从硬件层面实现有线和无线的融合,便于管理; 一体化用户:从认证到权限划分、带宽分配一体化,便于使用; 引入智能化技术,提升无线使用速度,优化使用效果。 智能AP:通过智能天线、算法优化等技术提升无线上网速度; 智能规划部署:可视化界面,使得前期规划、中期部署简单有效; 智能供电:按照需要定制供电策略,绿色节能; WA4320i 11ac先进性。 WA4320i-X具备多达8个射频接口,所有射频接口全部支持2.4GHz&5GHz双频同时工作,可以实现全校园网络2.4GHz和5GHz双频信号覆盖。其中5GHz支持业界最新物理标准802.11ac。 802.11AC技术单射频能提供高达866Mbps的无线接入速度,是相同环境下802.11n产品的3倍左右,并且通过内置集成终端感知型硬件智能天线覆盖技术,可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能。 端到端安全防护 从用户进入网络起,到用户访问Internet的过程中,实施端到端的安全策略,确保正确的人,在正确的地方,做正确的事情。 全一体化认证:无论用户角色、用户位置、接入介质、接入方式如何,采用相同的用户名认证; 虚拟通道隔离:为不同的用户划分隔离的通道,保证访问的安全性; 出口安全三步曲:实现L2-L7的安全策略,过滤非法报文、病毒蠕虫等攻击行为。 大规模的市场应用 凭借H3C强大的研发实力、完整的产品线C取得了良好的市场地位: 中国以太网交换机收入市场份额36.2%,排名第一(数据来源: IDC 2013Q3报告 ); 中国企业级路由器收入市场份额52.7%,排名第一(数据来源: IDC 2013Q3报告); 中国企业级WLAN收入市场份额33.7%,排名第一(数据来源: IDC 2013Q3报告); 具备良好的扩展性 本次方案采用层次化、模块化的设计思路,从组网方案及设备方面均支持良好的扩展性,主要体现在以下几个方面: 采用层次化、模块化的设计,各模块之间采用路由连接,未来新增汇聚点或其他模块时,不影响其他模块的工作,实现轻松扩展。 核心交换机S10508采用开放的设计,支持各种多业务插卡,如高性能防火墙插卡、应用控制插卡、流量分析插卡、入侵防御插卡、服务器负载均衡插卡、SSL VPN插卡等。 汇聚交换机支持2个10GE接口的扩展,性能及端口密度实现线性的扩展。 无线个AP的管理,同时支持对802.11AC技术,可实现800Mbps的无线接入带宽,轻松应对未来数字化医院的扩展需求。 采用统一的Comware平台 H3C的交换机、路由器、无线、安全等产品都是基于H3C自主知识产权的软件平台(Comware V7)的,以后增加软件功能容易,可以通过软件升级进行扩展,对今后可能新出现的应用提供良好的支持。同时各产品间具备更好的融合特性,如有线无线一体化、管理的一体化等。 良好的售后服务及培训体系 H3C经过多年的积累,具备全国众多三甲医院的成功案例和维护经验,对医院网络有更深的理解,能为用户提供更好的售后支持。 在培训方面,H3C具备初级(HCNE)、高级(HCSE)、最高级(HCTE)以及行业定制培训等,帮助院方良好的使用和维护网络。 总结 H3C本着对医学行业的深刻认识,凭借着多年的积累,从用户的实际需求出发,能为第七人民医院提供从基础网络到业务增值等全方位的、较为完整的数字化医院解决方案。 设备选型介绍 H3C S10500高端多业务路由交换机 H3C S10500系列交换机产品是杭州华三通信技术有限公司(以下简称H3C公司)面向云计算数据中心核心、下一代园区网核心和城域网汇聚而专门设计开发的核心交换产品。采用先进的CLOS多级多平面交换架构,可以提供持续的带宽升级能力,支持数据中心大二层技术TRILL、纵向虚拟化和MDC(一虚多)技术,支持EVB和FCOE,并完全兼容40GE和100GE以太网标准。该产品基于H3C自主知识产权的Comware V5/V7操作系统,以IRF2(Intelligent Resilient Framework 2,第二代智能弹性架构)技术为系统基石的虚拟化软件系统,进一步融合MPLS VPN、IPv6、应用安全、应用优化,无线等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。同时,H3C S10500也符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。 S10500产品包括S10504、S10508、S10508-V、S10512四个型号,能够适应不同网络规模的端口密度和性能要求,为用户的核心网络建设提供有力的设备保障。 产品特点 先进的CLOS 多级多平面交换架构 采用先进的CLOS 多级多平面交换架构,提供持续的带宽升级能力。 支持40GE 和100GE 以太网标准,充分满足无阻塞园区网的应用及未来发展需求。 独立的交换网板卡,控制引擎和交换网板硬件相互独立,最大程度的提高设备可靠性,同时为后续产品带宽的持续升级提供保证。 创新的分布式多引擎设计 采用了创新的硬件设计,通过全分布式的独立控制引擎、检测引擎、维护引擎为系统提供强大的控制能力和毫秒级的高可靠保障; 分布式的控制引擎,所有业务板均提供强大的控制处理系统,轻松处理各种协议报文及控制报文,并支持协议报文精细控制,为系统提供完善的抗协议报文攻击的能力; 分布式的检测引擎,所有业务板都可以分布式的BFD、OAM等快速故障检测,并与控制平面的协议实行联动,支持快速保护切换和快速收敛,可以实现毫秒级的故障检测,保障业务不中断; 分布式的维护引擎,智能化CPU 系统支持电源智能管理,可以支持单板顺序上下电(降低单板同时上电带来的电源冲击,提高设备寿命,降低电磁辐射,降低系统功耗),设备在线(第二代智能弹性架构) 面向园区网横向业务整合的需求,S10500支持IRF2(第二代智能弹性架构)技术,将多台高端设备虚拟化为一台逻辑设备,是业界首款支持4框虚拟化的核心交换机产品,在可靠性、分布性和易管理性方面具有强大的优势,主要体现在三个方面: 可靠性:通过专利的路由热备份技术,在整个虚拟架构内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发,极大的增强了虚拟架构的可靠性和高性能,同时消除了单点故障,避免了业务中断; 分布性:通过分布式跨设备链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的冗余性和链路资源的利用率; 易管理性:整个弹性架构共用一个IP管理,简化网络设备管理,简化网络拓扑管理,提高运营效率,降低维护成本。 数据中心虚拟化和网络融合技术 作为企业级云计算数据中心核心设备,10500系列产品在云计算数据中心虚拟化和网络融合方面都提供了一系列技术解决方案: TRILL: 随着服务器和交换机规模的增加,数据中心网络越来越倾向于扁平化的网络架构以便于维护管理,这就要求构建一个大型的二层网络;10500系列产品支持通过 TRILL技术和纵向虚拟化技术来进行数据中心大二层网络的构建。数据中心大二层技术TRILL(TRansparent Interconnection of Lots of Links,多链路透明互联)协议将三层路由技术IS-IS(Intermediate System-to-Intermediate System,中间系统到中间系统)的设计思路引入二层网络,并对其进行了必要的改造。从而将二层的简单、灵活性与三层的稳定、可扩展和高性能有机融合起 来。S10500同时也支持数据中心桥接国际标准(DCB)规定的PFC(IEEE802.1Qbb)、ETS(IEEE802.1Qaz)。 VCF:(Vertical Converged Framework,纵向融合架构) 10500系列产品可以在纵向维度上支持异构虚拟化,将核心和接入设备通过VCF技术形成一台纵向逻辑虚拟设备,相当于把一台盒式设备作为一块远程接口板 加入主设备系统,以达到扩展I/O端口能力和进行集中控制管理的目的。VCF技术可以简化管理,大幅度降低网络管理节点;简化布线,二层变为一层,节省横 向连接线缆;最终实现数据转发平面虚拟化,便与简化业务部署和自动编排。 MDC:10500 产品已经可以通过MDC技术可以实现1:N的虚拟化能力,即一台物理交换机可以虚拟化成N台逻辑交换机,满足多业务客户共享核心交换机,这样,一方面可以 充分利用核心交换机的能力;另一方面也降低了用户的投资成本;一举两得,而且还可以通过MDC技术实现对业务的安全隔离。 EVB:10500 产品支持EVB (Edge Virtual Bridging),通过VEPA (Virtual Ethernet Port Aggregator)技术将虚拟机产生的网络流量上传至与服务器相连的物理交换机进行处理,不仅实现了虚拟机间流量转发,同时还解决了虚拟机流量监管、 访问控制策略部署等问题。 FCOE: 10500 系列产品支持FCOE技术;FCOE技术主要用来解决云计算数据中心LAN网络和存储网络异构的问题,通过FCoE和CEE技术的部署,可以实现数据中心 前端网络和后端网络架构的融合,解决数据、计算和存储三网割裂的技术难题,从而大大降低数据中心的采购和扩容成本; 基于开放架构的多业务融合 S10500 系列秉承H3C公司的开放架构设计理念——开放应用架构(OAA),将传统园区网核心交换机的L2至L3的报文转发的简单功能,重新定义为集成L2至L7 的深度业务感知,有线无线一体化,有源无源一体化,IPv4/IPv6一体化,网络流量分析与管控等多业务于一体的多业务承载平台。 支持防火墙模块、IPS模块、负载均衡等安全控制模块,可以将安全保护功能扩展到交换机的每个端口;支持虚拟防火墙功能,可以为VPN用户提供网络防火墙的租用服务。实现了网络业务和安全业务的无缝融合。 S10500 系列集成无线控制模块,实现有线无线一体化解决方案。无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超 强的QoS和对IPv6的支持等;无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。 全面的IPv6解决方案 IPv6 作为下一代网络的基础协议以其特有的技术优势得到广泛的认可,S10500系列全面支持IPv6协议族,支持IPv6静态路由、RIPng、 OSPFv3、IS-ISv6、BGP4+等IPV6路由协议,支持丰富的IPv4向IPv6过渡技术,包括:IPv6手工隧道、6to4隧道、 ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道等隧道技术,保证IPv4向IPv6的平滑过渡。 交换机 H3C S5120-HI系列交换机是H3C公司自主开发的全千兆以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的IRF2(智能弹性架构)功能,用户能够简化对网络的管理。S5120-HI系列千兆以太网交换机定位为企业网千兆接入,同时还可以用于数据中心服务器群的连接。 如下: S5120S-34C-HI:24个10/100/1000Base-T以太网端口,个1000Base-X SFP千兆以太网端口 S5120S-58C-HI:48个10/100/1000Base-T以太网端口,个1000Base-X SFP千兆以太网端口丰富业务特性 S5120-HI系列支持IPv4和IPv6的三层路由功能,并可以实现基于硬件的IPv4和IPv6的全线速转发。同时支持IPv6的ACL、QoS、组播和网管,实现IPv4到IPv6的平滑升级。 智能弹性架构 H3C S5120-HI系列交换机支持IRF2(第二代智能弹性架构)技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将 这多台设备看成一台单一设备进行管理和使用。另外H3C S5120-HI系列交换机支持通过普通业务端口开启IRF2虚拟化特性,同时该业务端口可以工作在2.5G工作模式,从而提供更高的堆叠带宽,提高设 备的转发性能以及可靠性。IRF2可以为用户带来以下好处: 简化管理 IRF架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。 简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。 弹性扩展 可以按照用户需求实现弹性扩展,保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”,不影响其他设备的正常运行。 高可靠 IRF的高可靠性体现在链路,设备和协议三个方面。成员设备之间物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样通过 多链路备份提高了链路的可靠性;IRF系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不 中断,从而实现了设备级的1:N备份;IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:N的协议可靠性。 高性能 对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此,IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。 完备的安全控制策略 H3C S5120-HI系列交换机支持创新的单端口多认证Triple功能,在客户端形式多样的网络环境中,不同客户端支持的接入认证方式有所不同,例如,有 的客户端只能进行MAC地址认证(比如打印机终端),有的用户主机进行802.1X认证,有的用户主机只希望通过Web访问进行Portal认证。为了灵 活适应这种网络环境的多认证需求,S5120-HI系列交换机支持单端口多认证的统一部署方式,使得用户可以选择任何一种适合的认证机制来进行认证,且只需要通过一种方式的认证即可实现接入。客户端提供Guest Vlan功能,使得为被授权的访问端只能接入访问特定的资源,并且会采取相应的策略,例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序 等等。支持Secure Shell V2(SSH V2)特性可以提供安全的信息保障和强大的认证功能,以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。 ARP攻击和ARP病毒作为局域网安全的第一大威胁,H3C S5120-HI系列交换机支持丰富的ARP防御功能,例如ARP Detection,实现用户合法性检查功能和ARP报文有效性检查功能,ARP限速,避免大量ARP报文对CPU进行冲击等等。 H3C S5120-HI系列交换机支持EAD(终端准入控制)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网 络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分 散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 丰富的QoS策略 H3C S5120-HI系列交换机支持支持L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列 调度算法,可以同时基于端口和队列进行设置,支持SP、WRR、SP+WRR三种模式。支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控, 将端口上的数据包复制到监控端口,以进行网络检测和故障排除。 出色的管理性 H3C S5120-HI系列交换机支持SNMPv1/v2/v3(Simple Network Management Protocol),可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,HGMPv2集群管理,使设备管理更方便,并且支持 SSH2.0等加密方式,使得管理更加安全。 H3C S5120-HI系列交换机支持基于MAC地址划分VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和VLAN下发ACL策略,在简化用户配置的同时,也大幅节约了硬件资源。交换机 H3C S5110系列以太网交换机是H3C公司自主开发的绿色节能全千兆以太网交换机产品,具备丰富的业务特性,广泛应用于企业网和园区网的接入。在满足高性能接入的基础上,提供更全面的安全接入策略和更强的网络管理维护易用性是千兆接入的理想选择。 如下: S5110-28P-PWR:24个10/100/1000Base-TX以太网端口,4个100/1000Base-X SFP端口; 高性能与灵活扩展能力 H3C S5110系列交换机支持所有端口线速转发,满足了用户对高带宽的需求。S5110系列交换机至少支持2或4端口千兆上行,并且SFP端口既可以支持百兆光模块,也可以支持千兆光模块,在降低用户成本的同时,更好的考虑了用户后续升级的实际需求。H3C S5110系列交换机可支持32台设备的堆叠,最大扩展至1664个100/1000M端口,支持不同端口设备的混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本,保护了用户投资。 丰富的安全策略 H3C S5110系列交换机支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”。支持IP Source Guard特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及DoS攻击。另外,利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器,保证DHCP环境的线系列交换机支持端口安全特性族,可以有效防范基于MAC地址的攻击,实现基于MAC地址允许/限制流量。 H3C S5110系列交换机提供802.1X和MAC认证方式对接入的用户进行认证,支持客户端软件版本检测、Guest VLAN等功能,和iMC配合还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制,最大程度的减少非法用户对网络安全的危害。 多重可靠性保护H3C S5110系列交换机支持以太网OAM和CFD,可以有效提高对以太网的管理和维护能力,保障网络的稳定运行。 H3C S5110 系列交换机支持Smart Link和Monitor Link, 可以为双上行链路提供更高效,更可靠的链路备份。 H3C S5110 系列交换机支持RRPP,可为环形组网提供更快的拓扑收敛, 使数据传输更为稳定。 增强的多业务能力 H3C S5110系列交换机支持端口限速以及流限速功能,防止恶意侵占网络带宽,也为网络带宽的精细化管理提供了手段。 H3C S5110系列交换机支持丰富的队列调度算法,可以以不同的优先级将报文放入端口的输出队列。 H3C S5110系列交换机支持丰富的IPv6管理功能及支持丰富的IPv6业务特性等。 增强的以太网供电能力(PoE+) H3C S5110系列交换机支持增强的以太网供电功能(PoE+),PoE供电款型可以提供每端口最大30W的输出功率,可以为802.11n的无线接入点,可视IP电话,大功率的监控摄像头以及更多的终端设备提供以太网供电能力。 专业的防雷功能 H3C S5110系列交换机采用专业的内置防雷技术,支持支持业界领先的6KV业务端口防雷能力,使其在比较恶劣的工作环境中也能极大的降低雷击对设备的损坏率。 绿色节能 H3C S5110系列是H3C新一代绿色节能以太网交换机,采用多种绿色节能设计,包括auto-power-down(端口自动节能),如果在一段时间内接口状态始终为down,则系统自动停止对该接口供电,自动进入节能模式;支持一键节能模式,通过控制设备上指示灯亮/灭以及端口节能状态降低能耗;支持EEE节能功能,端口如果在连续一段时间之内空闲,系统会将该端口设置为节能模式,当有报文收发时再通过定时发送的监听码流唤醒端口恢复业务,达到节能的效果,满足材料环保与安全性的欧盟RoHS标准。 简单易用的网络管理 H3C S5110系列交换机支持通过FTP、TFTP实现设备的远程升级,支持SNMP v1/v2/v3,可支持Open View等通用网管平台,以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,使设备管理更方便。并且支持SSH2.0等加密方式,使得管理更加安全。 H3C WX5500E是杭州华三通信技术有限公司(以下简称H3C公司)自主研发的下一代企业级核心多业务无线控制器(AC,Access Controller)产品系列。WX5500E系列无线控制器具有大容量、高可靠、业务类型丰富等特点,集精细的用户控制管理、完善的射频资源管理、7X24小时无线安全管控、二三层快速漫游、灵活的QoS控制、IPv4&IPv6双栈等多功能于一体,提供强大的有线E系列无线C Fit AP产品系列,可以满足大型企业园区WLAN接入、无线城域网覆盖、热点覆盖等无线场景的典型应用。 WX5540E系列运营级核心多业务无线控制器设备外观图 WX5510E系列运营级核心多业务无线控制器设备外观图 产品特点 提供对802.11n AP的管理 WX5500E系列无线a/b/g AP管理的同时,还可以与H3C基于802.11n协议的AP配合组网,从而提供相当于传统802.11a/b/g协议数倍的无线接入速率,能够覆盖更大的范围,使无线多媒体应用成为现实。 提供灵活的数据转发方式 传统的无线控制器部署一般采用集中式转发模式,AC可以对报文进行全面控制和安全监管,但所有的无线业务流量需要到AC进行统一处理,核心链路带宽和AC转发能力容易成为瓶颈。特别是AP和AC通过广域网方式进行连接时,AP作为数据接入设备部署在分支机构,而AC部署在总部,所有用户数据由AP发送到AC,再由AC进行集中转发,导致转发效率低下。 WX5500E系列无线控制器可以支持集中式转发和分布式转发,用户根据业务需要和网络实际情况可以灵活设置转发方式。 支持运营级无线用户接入控制和管理 基于用户的接入控制是WX5500E系列无线控制器产品的一大特色,User Profile(用户配置文件)提供一个配置模板,能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为User Profile配置不同的内容,比如CAR(Committed Access Rate,承诺访问速率uality of Service,服务质量 用户访问设备时,需要先进行身份认证。在认证过程中,认证服务器会将User Profile名称下发给设备,设备会立即启用User Profile里配置的具体内容。当用户通过认证访问设备时,设备将通过这些具体内容限制用户的访问行为。当用户下线时,系统会自动禁用User Profile下的配置项,从而取消User Profile对用户的限定。因此,User Profile适用于限制上线用户的访问行为,没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时,User Profile是预设配置,并不生效。 另外,WX5500E系列无线控制器还支持基于MAC的认证接入控制方式,这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改,同时支持对具体用户的权限的配置,这种精细的用户权限控制大大增强了无线网络的可用度,网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。 基于MAC的VLAN同样也是WX5500E系列无线控制器的一大特色,在控制策略上,管理员可以把相同性质的用户(MAC)划分到同一个VLAN,同时在控制器上基于VLAN配置安全策略,这样做既可以简化系统配置,又可以做到用户级粒度的精细管理。 出于安全性或计费等考虑,系统管理员可能希望控制无线用户接入到网络中的位置。WX5500E系列无线控制器支持基于AP位置的用户接入控制。当无线用户接入网络时,可以通过认证服务器向AC下发允许用户接入的AP列表,在AC上进行接入控制,从而达到限制无线用户只能接入到指定位置的AP的目的。 提供高可靠的备份功能 WX5500E系列无线控制器采用机架式系统设计,重要的部件可更换,双电源设计,满足高可靠性的要求。 1+1快速备份 WX5500E系列无线控制器支持毫秒(ms)级业务备份,AP会同时和两台无线控制器建立CAPWAP链路,一台作为主控制器,另外一台作为备份控制器,但只有和主控制器建立的CAPWAP链路处于工作状态。当主控制器异常down机时,备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒(ms)之内检测到主设备的异常,并通知AP将主控制器CAPWAP链路切换,保证控制信号的不间断传送。 N+1备份 当多台WX5500E系列无线备份方案为可靠性和经济性折中的最好方案。例如其中N台AC各自独立工作,外加一台AC作为备份AC,其中N台AC中的任何一台出现故障,都会切换到备份AC上。而当主AC恢复后,AP将自动回切到主AC上,可保障AP尽量同主AC连接。其中WX6103每台备份设备最多可以支持4台主设备(即4+1)。 N+N备份 当多台WX5500E系列无线控制器部署时,N+N备份可以实现最灵活的备份方案。AP初次会选择一个最优的控制器进行接入,当链接出现问题的时候,AP会在网络中重新选择一个新的最优控制器重新进行注册接入,进而实现了AP的接入备份,以及AC间负载均担。AP对最优控制器的选择,可以根据控制器负载情况动态计算(AC间动态负载均担)或事先指定控制器优先级等多种方式,十分灵活。实现N+N备份,组网中总AP数量只要小于(总AC数量-1)台控制器能够管理的AP规格即可满足备份的要求。 Portal 1+1备份 当多台WX5500E系列无线控制器工作在双机模式时,可以实现Portal认证高可靠。用户通过其中一台AC完成Portal认证。双机将相互同步用户的认证状态等数据。任何一台AC down时,由于另台AC已经预同步了用户的认证数据,所以可以避免Portal重认证和用户业务中断,满足了电信级可靠性需求。 DHCP Server热备 当多台WX5500E系列无线控制器工作在双机模式时,用户通过其中一台AC获得DHCP地址分配后,AC间将同步地址池信息。一台AC down机后,当用户IP地址租约到期时,将发起DHCP请求续约。另一台AC用预备份的地址池数据回应续约,避免了为用户重新分配地址和用户业务中断。 支持信道智能切换 无线局域网中,信道是非常稀缺的资源,每个AP只能够工作在非常有限的非重叠信道上,比如对于2.4G网络,只有3个非重叠信道,所以如何智能地为AP分配信道是无线应用的关键。 无线局域网工作的频段存在大量可能的干扰源,如雷达、微波炉,它们在网络中的出现将干扰AP的正常工作。通过信道智能切换功能,可以保证每个AP能够分配到最优的信道,尽可能地减少和避免相邻信道干扰,而且通过实时信道干扰检测,可以让AP实时避开雷达,微波炉等干扰源。 支持智能AP负载分担 802.11协议把无线漫游的决策交给了无线客户端,无线客户端一般会根据AP信号强度(RSSI)选择AP,这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介,导致每个客户端的网络吞吐将大量减少。 智能负载分担方法可以实时地分析无线客户端的位置,动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载,通过控制无线客户端接入的AP,来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担,而且支持按照用户流量负载的分担。 支持7层移动安全检测/防御(wIDS/wIPS) WX5500E系列无线控制器支持的移动安全防御模式有:黑名单、白名单、Rogue防御、畸形报文检测、非法用户下线、基于可预设升级的Signature MAC层攻击检测与反制(例如:DoS攻击,Flood攻击、中间人攻击)等。配合无线应用控制台内置的海量智能专家知识库,可以获得灵活的无线安全策略判断依据,对于明确的非法攻击源(AP或终端等),实现可视的物理位置跟踪监控和交换机物理端口移除。 通过配合H3C专业核心层防火墙/IPS设备,更可以实现移动园区的7层立体安全防御,满足真正的从无线)到有线)端到端安全防护需求。 支持RealTime Spectrum Guard(实时频谱保护)模式 RealTime Spectrum Guard(RTSG)是H3C创新提出的针对无线环境频谱状态的专业监控方案。全系列无线控制器可以和内置射频采集模块的Sensor AP,实现深度融合的射频监控和实时频谱防护。 RTSG的控制台融合部署于H3C iMC智能管理中心,通过CAPWAP管理隧道,与Sensor AP进行通信和数据采集,实现7X24小时的无线环境质量监控、无线网络能力趋势评估以及非许可干扰告警。通过图形化方式,主动探测和识别所有2.4GHz/5GHz波段的射频干扰源(Wi-Fi或非Wi-Fi),可提供实时FFT图,频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等;可自动识别干扰源,确定有问题的无线设备的位置,确保无线网络发挥最佳的性能。结合H3C iAR智能报表组件,可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等,自动生成客户化的趋势、合规和审计报告。 针对用户无线环境监管的不同层次需求,RTSG方案的部署可以灵活采用Local mode或Monitor Mode。当工作在Local Mode时,可以在获得有效的频谱防护前提下,保持正常的用户接入和数据包转发。 支持智能无线业务感知(wIAA) WX5500E系列无线控制器支持智能感知无线业务流量,实现基于无线用户状态的弹性策略识别与管理,优化语音及视频业务承载。 支持远程探针分析 WX5500E系列无线控制器支持针对AP的远程探针分析功能。可以对覆盖区内的Wi-Fi报文进行侦听捕获并实时镜像到本地分析设备供网络管理员进行故障排查、优化分析。远程探针分析功能既可以针对工作信道进行无收敛镜像,也可以对所有信道轮询采样,灵活满足无线网络监控运维要求。 内置射频优化引擎(ROE) WX5500E系列无线控制器内置针对AP的射频优化引擎(RF Optimizing Engine),通过基于特征和协议的射频优化,有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。其中包含:多用户公平调度、混合接入公平、过滤干扰、速率最优、频谱导航、组播增强(IPv4/IPv6)、逐包功率控制和智能带宽保障等。 支持802.1x认证,MAC地址认证,Portal认证等 WX5500E系列无线控制器支持多种认证方式: 802.1x认证:WX5500E系列无线控制器支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式,同时还支持802.1x本地认证方式,提供对MD5、TLS、PEAP这几种主流认证方式的支持,用户不再需要额外配置AAA服务器。WX5500E系列无线x认证后动态授权VLAN和ACL功能,对用户的策略可以事先设定好,用户认证时,系统自动配置客户权限。 MAC地址认证:WX5500E系列无线控制器支持MAC地址认证,对一些手持终端(例如:Wi-Fi Phone、手持移动终端等)并不方便采取电脑上的认证方式,MAC地址认证却可以轻松解决该问题,实现在控制器或者AAA服务器上配置好合法的MAC地址,这些MAC地址对应的终端就可以被允许被接入到网络,而事先没有被配置的非法终端则不能接入无线网络,该功能极大地方便了例如无线医疗系统等应用,MAC地址认证可以确保只有医院的PDA工作终端才能接入到无线网络,而拒绝病人的无线PDA使用专用无线网络。 Portal认证:WX5500E系列无线控制器提供内置的Portal认证服务器。该认证方式无需客户端配合,直接通过浏览器WEB Portal页面作为认证通道,当用户认证通过后,可以灵活跳转到指定访问首页并启动相应授权和计费。同时也可以根据策略要求,灵活推送定制Portal页面,达到广告宣传、信息传递的作用,广泛使用在无线校园、无线城市、访客接入等应用场景。 支持IPv4/IPv6双协议栈(Native IPv6) WX5500E系列无线控制器支持无线接入。在隧道起点AP上,由于设备对IPv6感知,所以可以做到IPv6优先级到隧道优先级映射等;在AC侧,同样可以对IPv6报文进行ACL过滤等复杂的控制和过滤。 WX5500E系列无线控制器同样可以部署在IPv6网络中,AC和AP之间自动协商成IPv6隧道。AC和AP完全工作在IPv6状态时,无线控制器仍能正确地感知IPv4,并能处理无线E系列无线灵活的适应能力,能满足客户在IPv4到IPv6网络迁移中的各种复杂的应用,既能在IPv6孤岛中给客户提供IPv4的服务,同时也能在IPv4孤岛中让用户轻松通过IPv6协议登录到网络。 针对校园网层出不穷的IPv6伪造报文攻击,WX5500E系列无线 SAVI(Source Address Validation,源地址有效性验证)技术。通过对地址分配协议的侦听获取用户的IP地址,保证随后的应用中能够使用正确地址上网,且不可伪造他人IP地址,保证了源地址的可靠性。同时,通过IPv6 SAVI和Portal技术的结合,进一步保证了所有上网用户报文的真实性和安全性。 提供端到端的QoS WX5500E系列无线控制器基于Comware平台开发,不但对Diff-Serv标准完善支持,同时增加了对IPv6协议的QoS支持。 QoS Diff-Serv 模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的EF、AF1~AF4、BE等六组PHB及业务使网络运营商可为用户提供具有不同服务质量等级的服务保证,使Internet真正成为同时承载数据、语音和视频业务的综合网络。 H3C公司的集中式无线架构不但能方便地实施二层漫游,而且非常有利于跨三层的漫游实现,用Fat AP部署的WLAN网络,由于AP之间传递的信息有限,导致垮三层的漫游实现及其麻烦,集中式架构非常容易解决跨三层漫游的问题,WX5500E系列无线控制器支持二、三层漫游,漫游域不受子网的限制。这种优秀的漫游特性,可以让客户在规划无线网络时,无需过多考虑现有网络的规划,更多关注在无线信号的覆盖即可,这种方式大大简化了前期的网络规划,减少了网络规划成本。 传统模式下,当无线接入认证和密钥交互的手段时,无线用户终端和AP间的交互报文会非常的多。当无线用户终端在两个AP间漫游时,如果无线用户终端在新AP接入的过程完全遵从完整的802.1x的交互过程,势必造成漫游切换的时间过长,对于某些对漫游切换时间敏感的业务(例如语音业务),这样的长切换时间是无法忍受的。WX5500E系列无线控制器采用Key caching技术完成漫游时用户的快速切换,Key caching技术在用户的安全接入和快速漫游间做了一个很好的平衡,可以使无线用户终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交互过程,同时又能保证用户身份的识别和密钥使用的连续性;无线用户采用快速漫游方式,单AC内漫游时间不超过50ms,满足了语音业务的苛刻需求。 支持多种分支机构远程接入场景 当AC和AP通过广域网链路进行连接时,用户可以灵活选择集中转发或本地转发模式,提升分支机构局域网打印访问、终端互访等业务性能。 当广域网链路发生故障或AC发生故障时,在线用户不掉线,可以继续访问本地资源,并且可支持AC逃生功能。 当分支机构AP部署于私网内时,AC可以穿越NAT与AP进行通信。 H3C WA4320i-X 802.11ac 产品概述 H3C WA4320i-X 无线产品是杭州华三通信技术有限公司(H3C)自主研发的新一代基于终端感知型硬件智能天线技术专用于室内精细化覆盖的超千兆高速无线接入设备(以下简称AP),可提供相当于传统802.11n网络3倍以上的无线接入速率,能够实现天线入室覆盖,取得最佳的覆盖效果。该系列无线产品上行链路采用双千兆以太网接口,突破了千兆速率的限制,使无线多媒体应用成为现实。 WA4320i-X 产品外型现代时尚美观,具备多达8个射频接口,所有射频接口全部支持2.4GHz&5GHz双频同时工作,通过连接馈线和天线可根据部署场景灵活覆盖室内房间,以实现每个房间2.4GHz和5GHz双频信号覆盖。其中5GHz支持业界最新物理标准802.11ac。 WA4320i-X 室内智能分布型802.11ac无线接入设备 产品特点 基于智能天线技术的 X-Share 室内部署方式 X-Share 是杭州华三通信技术有限公司(H3C)自主研发的室内分布覆盖技术,不同于以往的室内分布覆盖技术方案,能够实现基于用户的天线选择,即可以实现选择天线对用户收发数据报文。极大的降低了空间中无线信号的干扰,同时具备室内分布式方案信号好的优势 独特的静谧模式 WA4320i-X 采用的智能天线分布式系统,每一根天线都具有独立的感知功能和独立的发射策略。静谧模式功能,借由这些独立的感知天线,将准确的计算每个用户所关联的房间和天线,并将数据准确的推送至用户侧,而其他天线均不发送与该用户有关的数据。在静谧模式开启时,每个天线都相当于一个独立的AP,维护单独的用户表项,并独立和该用户建立发送\接收通道 实现智能云接入和最佳无线ac协议标准,采用专业模块化设计,单射频能提供高达866Mbps的无线接入速度,是相同环境下802.11n产品的3倍左右。通过内置集成终端感知型硬件智能天线覆盖技术,可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的移动云接入服务并协助用户实现最佳无线网络TCO(总拥有成本/Total Cost of Ownership)。 绿色低碳设计 WA4320i-X系列 WA4320i-X系列AP支持Green AP模式,实现单天线待机,节能更精准。 WA4320i-X系列AP通过创新性的逐包功率控制(PPC)技术,在确保报文能成功传输的前提下动态调节AP设备和客户端直接的双向功率,以达到减少设备能耗和延长移动终端待机时间的作用。 提供双千兆以太网接口有线连接 上行链路采用两个千兆以太网接口,使有线口不再称为无线接入的速率瓶颈,让用户尽情享受无线超千兆的带宽速率。并且两个千兆接口可以实现冗余供电,链路聚合,更佳方便了用户不同的组网需求。 支持Fat/Fit两种模式 WA4320i-X系列AP支持Fat和Fit两种工作模式,根据网络规划的需要,可以灵活地在Fat和Fit两种工作模式中切换,同时用户可以根据应用需求,灵活选择所需的设备出厂版本(Fat模式版本或Fit模式版本)。 当客户的无线网络初始规模较小时,客户只需采购相应无线设备,并设置其工作模式为Fat模式。随着客户网络规模的不断扩容,当网络中应用的无线设备达到几十甚至上百台时,为降低网络管理的复杂度,建议客户采购H3C自主研发的WX系列无线控制器设备,便于集中管理网络中的所有的WA4320i-X系列无线设备,此时只需将其工作模式切换到Fit模式。 工作模式切换过程只需要简易命令行,且可以通过设备网管批量执行,有利于将客户的无线网络由小型网络平滑升级到大型网络,从而更好地保护用户的投资,非常适合运营级大规模无线网络的平滑扩容升级。 提供本地转发功能 当WA4320i-X系列AP (Fit模式)通过广域网方式转发时,无线接入设备部署在分支机构,而无线控制器部署在总部,所有用户数据由无线接入设备发送到无线控制器,再由无线控制器进行集中转发。WA4320i-X系列AP可将数据报文在无线接入设备上直接转化为有线格式的报文,使得数据报文不经过无线控制器,而是在本地进行转发,大大节约了有线双协议栈(Native IPv6) WA4320i-X系列AP全面支持IPv6特性,设备实现了IPv4/IPv6双协议栈。无论原有有线,都可以自动地与WX系列控制器进行注册提供WLAN服务,不会成为网络中的信息孤岛。 支持RealTime Spectrum Guard(实时频谱保护)模式 RealTime Spectrum Guard(RTSG)是H3C创新提出的针对无线环境频谱状态的专业监控方案。H3C WA4320i-X系列AP支持内置射频采集模块,实现深度融合的射频监控和实时频谱防护。 RTSG的控制台融合部署于H3C iMC智能管理中心,通过CAPWAP管理隧道,与Sensor AP进行通信和数据采集,实现7X24小时的无线环境质量监控、无线网络能力趋势评估以及非许可干扰告警。通过图形化方式,主动探测和识别所有2.4GHz/5GHz波段的射频干扰源(Wi-Fi或非Wi-Fi),可提供实时FFT图,频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等;可自动识别干扰源,确定有问题的无线设备的位置,确保无线网络发挥最佳的性能。结合H3C iAR智能报表组件,可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等,自动生成客户化的趋势、合规和审计报告。 针对用户无线环境监管的不同层次需求,RTSG方案的部署可以灵活采用Local mode或Monitor Mode。当工作在Local Mode时,可以在获得有效的频谱防护前提下,保持正常的用户接入和数据包转发。 提供EAD无线接入 终端准入控制(EAD,End user Admission Domination)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,对接入网络的用户终端强制实施企业安全策略, 支持远程探针分析 WA4320i-X系列AP支持作为远程探针分析的Sensor设备,可以对覆盖区内的Wi-Fi报文进行侦听捕获并实时镜像到本地分析设备,供网络管理员进行故障排查、优化分析。远程探针分析功能既可以针对工作信道进行无收敛镜像,也可以对所有信道轮询采样,灵活满足无线网络监控运维要求。 内置射频优化引擎(ROE) WA4320i-X系列AP内置射频优化引擎(RF Optimizing Engine),通过基于特征和协议的射频优化,有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。其中包含:多用户公平调度、混合接入公平、过滤干扰、速率最优、频谱导航、组播增强(IPv4/IPv6)、逐包功率控制和智能带宽保障等。 支持智能

本站文章于2019-10-09 08:24,互联网采集,如有侵权请发邮件联系我们,我们在第一时间删除。 转载请注明:病院汇集技巧的计划doc
已点赞:105 +1

上一篇:

下一篇:



关于我们

  • 关于我们
  • 品牌介绍
  • 诚聘英才
  • 联系我们

学生/家长

  • 帮我选学校
  • 帮我选专业
  • 投诉/建议

教育机构

  • 如何合作
  • 联系方式

其他

  • 投稿合作
  • 权利声明
  • 法律声明
  • 隐私条款
全国统一客服电话
4006-023-900
周一至周六 09:00-17:00 接听
IT培训联盟官方公众号
扫描访问手机版
家电维修|北京赛车pk10