第七人民医院网络技术方案
接入设备选择型号如下:
S5120S-34C-HI:24个10/100/1000Base-T以太网端口,2个复用的1000Base-X SFP千兆以太网端口,2个SFP+接口;
S5120S-58C-HI:48个10/100/1000Base-T以太网端口,2个复用的1000Base-X SFP千兆以太网端口,2个SFP+接口;丰富业务特性
S5120-HI系列支持IPv4和IPv6的三层路由功能,并可以实现基于硬件的IPv4和IPv6的全线速转发。同时支持IPv6的ACL、QoS、组播和网管,实现IPv4到IPv6的平滑升级。
4.2.2 产品特点
4.2.2.1 智能弹性架构
H3C S5120-HI系列交换机支持IRF2(第二代智能弹性架构)技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将 这多台设备看成一台单一设备进行管理和使用。另外H3C S5120-HI系列交换机支持通过普通业务端口开启IRF2虚拟化特性,同时该业务端口可以工作在2.5G工作模式,从而提供更高的堆叠带宽,提高设 备的转发性能以及可靠性。IRF2可以为用户带来以下好处:
简化管理 IRF架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配
36
第七人民医院网络技术方案
置和管理。
简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。
弹性扩展 可以按照用户需求实现弹性扩展,保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”,不影响其他设备的正常运行。
高可靠 IRF的高可靠性体现在链路,设备和协议三个方面。成员设备之间物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样通过 多链路备份提高了链路的可靠性;IRF系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不 中断,从而实现了设备级的1:N备份;IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:N的协议可靠性。
高性能 对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此,IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。
4.2.2.2 完备的安全控制策略
H3C S5120-HI系列交换机支持创新的单端口多认证Triple功能,在客户端形式多样的网络环境中,不同客户端支持的接入认证方式有所不同,例如,有 的客户端只能进行MAC地址认证(比如打印机终端),有的用户主机进行802.1X认证,有的用户主机只希望通过Web访问进行Portal认证。为了灵 活适应这种网络环境的多认证需求,S5120-HI系列交换机支持单端口多认证的统一部署方式,使得用户可以选择任何一种适合的认证机制来进行认证,且只需要通过一种方式的认证即可实现接入。客户端提供Guest Vlan功能,使得为被授权的访问端只能接入访问特定的资源,并且会采取相应的策略,例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序 等等。支持Secure Shell V2(SSH V2)特性可以
37
第七人民医院网络技术方案
提供安全的信息保障和强大的认证功能,以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。
ARP攻击和ARP病毒作为局域网安全的第一大威胁,H3C S5120-HI系列交换机支持丰富的ARP防御功能,例如ARP Detection,实现用户合法性检查功能和ARP报文有效性检查功能,ARP限速,避免大量ARP报文对CPU进行冲击等等。
H3C S5120-HI系列交换机支持EAD(终端准入控制)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网 络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分 散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
4.2.2.3 丰富的QoS策略
H3C S5120-HI系列交换机支持支持L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列 调度算法,可以同时基于端口和队列进行设置,支持SP、WRR、SP+WRR三种模式。支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控, 将端口上的数据包复制到监控端口,以进行网络检测和故障排除。
4.2.2.4 出色的管理性
H3C S5120-HI系列交换机支持SNMPv1/v2/v3(Simple Network Management Protocol),可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,HGMPv2集群管理,使设备管理更方便,并且支持 SSH2.0等加密方式,使得管理更加安全。
H3C S5120-HI系列交换机支持基于MAC地址划分VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和VLAN下发ACL策略,在简化用户配置的同时,也大幅节约了硬件资源。
38
第七人民医院网络技术方案
4.3 H3C S5110 POE接入交换机 4.3.1 产品概述
H3C S5110系列以太网交换机是H3C公司自主开发的绿色节能全千兆以太网交换机产品,具备丰富的业务特性,广泛应用于企业网和园区网的接入。在满足高性能接入的基础上,提供更全面的安全接入策略和更强的网络管理维护易用性是千兆接入的理想选择。
接入设备选择型号如下:
S5110-28P-PWR:24个10/100/1000Base-TX以太网端口,4个100/1000Base-X SFP端口;
4.3.2 产品特点
4.3.2.1 高性能与灵活扩展能力
H3C S5110系列交换机支持所有端口线速转发,满足了用户对高带宽的需求。S5110系列交换机至少支持2或4端口千兆上行,并且SFP端口既可以支持百兆光模块,也可以支持千兆光模块,在降低用户成本的同时,更好的考虑了用户后续升级的实际需求。H3C S5110系列交换机可支持32台设备的堆叠,最大扩展至1664个100/1000M端口,支持不同端口设备的混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本,保护了用户投资。
39
第七人民医院网络技术方案
4.3.2.2 丰富的安全策略
H3C S5110系列交换机支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”。支持IP Source Guard特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及DoS攻击。另外,利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器,保证DHCP环境的真实性和一致性。
H3C S5110系列交换机支持端口安全特性族,可以有效防范基于MAC地址的攻击,实现基于MAC地址允许/限制流量。
H3C S5110系列交换机提供802.1X和MAC认证方式对接入的用户进行认证,支持客户端软件版本检测、Guest VLAN等功能,和iMC配合还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制,最大程度的减少非法用户对网络安全的危害。
多重可靠性保护H3C S5110系列交换机支持以太网OAM和CFD,可以有效提高对以太网的管理和维护能力,保障网络的稳定运行。
H3C S5110 系列交换机支持Smart Link和Monitor Link, 可以为双上行链路提供更高效,更可靠的链路备份。
H3C S5110 系列交换机支持RRPP,可为环形组网提供更快的拓扑收敛, 使数据传输更为稳定。
4.3.2.3 增强的多业务能力
H3C S5110系列交换机支持端口限速以及流限速功能,防止恶意侵占网络带宽,也为网络带宽的精细化管理提供了手段。
H3C S5110系列交换机支持丰富的队列调度算法,可以以不同的优先级将报文放入端口的输出队列。
H3C S5110系列交换机支持丰富的IPv6管理功能及支持丰富的IPv6业务特性等。
40