【正文】 核心層和匯聚層間最好 運行路由協(xié)議，以實現(xiàn)網(wǎng)絡的高速收斂和快速冗余。 其它網(wǎng)絡公司沒有這樣的號召力和技術能力。 Cisco所研發(fā)的產(chǎn)品均內置安全功能，即非專用安全產(chǎn)品也具備抵抗攻擊或網(wǎng)絡破壞的能力。我國電信、金融、交通、醫(yī)院、國防等單位都大量采用 Cisco 的產(chǎn)品和組網(wǎng)方案，在廣 東 ，廣東電信 IDC(亞洲最大的數(shù)據(jù)中心 )、 廣州 自來水公司、白云機場、廣州地鐵、南方電網(wǎng)、四大銀行、招商銀行、廣東國稅地稅、中山一院、中山二院、 中山三院、 廣州 腫瘤醫(yī)院 、 深圳第一人民醫(yī)院 等等都全面采用 Cisco 產(chǎn)品來構建安全穩(wěn)定的網(wǎng)絡 ； Cisco公司實力強大，產(chǎn)品的售后服務有保障 ，這一點可以充分確保醫(yī)院投資方的利益。 根據(jù)目前網(wǎng)絡產(chǎn)品的市場占有率情況和設備實際的性能功能，我們建議選擇 Cisco 公司的 網(wǎng)絡 產(chǎn)品。 要求網(wǎng)絡的高可用性要達到 %的要求， 要求網(wǎng)絡設備（交換機、防火墻、路由器 等）本身穩(wěn)定 可靠 安全 。2020 年 1 月 目 錄 一、項目需求和選型依據(jù) ............................................................. 1 二、網(wǎng)絡整體設計方案 ................................................................. 5 三、網(wǎng)絡安全方面的考慮 ........................................................... 16 四、網(wǎng)絡管理方面的考慮： ....................................................... 24 五、主要產(chǎn)品列表 ...................................................................... 26 六 、售后服務 .............................................................................. 29 七 、成功案例 .............................................................................. 31 1 一、 項目 需求 和 選型依據(jù) 項目 需求 龍華人民醫(yī)院 希望構建一個全新的智能網(wǎng)絡， 部署具有高度可用性、持續(xù)性和安全的綜合性網(wǎng)絡的解決方案。 選型依據(jù) 交換機要內置強大的安全功能， 不能因為病毒蠕蟲的攻擊而癱瘓死機。 Cisco公司成立于 1984 年 ，有 23年的歷史 ,是全球排名第一的網(wǎng)絡設備供應商 ， Cisco在全球 500強的地位是 2020為 254位， 2020年為 232 位 ， 2020 年在全球最受尊敬的公司里排名第九 。 另外 我們推薦采用 Cisco產(chǎn)品， 還 考慮到 Cisco的公司信譽、產(chǎn)品質量和技術領先以及強大和周全的服務能力： （ 1） 網(wǎng)絡只從誕生開始，一直面臨 2個問題：網(wǎng)絡大塞車和安全問題。 Cisco對來自內部的攻擊主要依靠 Cisco交換機和 Cisco提出的 NAC(網(wǎng)絡準入控制 )技術， Cisco的交換機如Cisco Catalyst 3560, 6500等均有強大的安全功能，均支持 NAC, 3 有病毒的電腦或不健康的電腦接入網(wǎng)絡時將被隔離 ,這樣病毒蠕蟲就不會傳播開來 。現(xiàn)在 Cisco銷售的交換機和路由器都內置了 NAC功能 ,該功能是免費的 ,可以說 NAC是 Cisco交換機和路由器的一個增值功能。 安全已成為很多網(wǎng)絡管理者關心的首要問題。一個企業(yè)可以有冗余鏈路、交換或路由機制，但仍可能遭遇因拒絕服務攻擊而 導致的網(wǎng)絡宕機。思科公司的 IBNS（基 5 于身份的聯(lián)網(wǎng)）和 NAC(網(wǎng)絡準入控制 )技術可以實現(xiàn)整個端到端的網(wǎng)絡安全，從而能極大提高網(wǎng)絡的可用性和企業(yè)業(yè)務的永續(xù)性。 另外， 對 于網(wǎng)絡傳輸 網(wǎng)速的考慮： 6 我們建議，對于 龍華醫(yī)院例如 影像科室 /臨床科室這些重要的部門，由于涉及醫(yī)學影像的傳輸，又是醫(yī)療服務的關鍵，適宜采用桌面千兆、主干多千兆聚合到核心 的 方式；對于收費、掛號等需要運行HIS/RIS/LIS 的流程管理部門，也可以采用桌面百兆雙機備份、主干雙千兆交換連接方式；對于其它二線科室，百兆連接可以滿足需求，不過考 慮到目前千兆與百兆的價格相差不多，采用千兆是較好的選擇。具體交換機產(chǎn)品型號數(shù)量在下面進行描述。部署 2臺 Cisco Catalyst 6506E交換機，產(chǎn)品編號是 WSC6506E， 均內置了真正的硬件防火墻模塊。在高可用性方面， Cisco Catalyst 6506E支持如下高可用性協(xié)議 ：操作系統(tǒng)軟件是模塊化的，即 UNIX結構，可以實現(xiàn)不停業(yè)務升級軟件、不停機轉發(fā)、網(wǎng)關負載均衡協(xié)議 、熱備份路由器協(xié)議 (HSRP)、跨模塊 EtherChannel技術、快速生成樹協(xié)議 (RSTP)、多生成樹協(xié)議 (MSTP)、每 VLAN快速生成樹、端口快速收斂協(xié)議；同時支持所有的路由協(xié)議。 ? 當 CPU 的利用率到一定值（如 90%）時，設備會報警且開啟自我保護功能以防止病毒和蠕蟲的針對網(wǎng)絡設備的 DoS 攻擊； 支持 CPU 和內存限速，確保自己不會因被病毒蠕蟲的攻擊而死機癱瘓，且是通過硬件實現(xiàn)的 ? 全面 MPLS 支持 10 ? 支持 RIP/RIP OSPF、 ISIS、 EIGRP、 BGP NAT（網(wǎng)絡地址翻譯）等協(xié)議 ? 通過增加硬件模塊，該交換機可以提供防火墻的功能以保護重要的網(wǎng)段和服務器 ? 通過增加硬件模塊，該交換機可以提供服務器負載均衡功能 ? 通過增加硬件模塊，該交換機可以用做無線控制器以控制瘦 AP，實現(xiàn)集中式無線網(wǎng)絡 ? 支持網(wǎng)線供電 和 Voice VLAN，可以為 IP 電話機和無線接入點提供 Inline－ Power； ? 可用做語音網(wǎng)關以連接 PSTN 網(wǎng)絡 ? 支持基于狀態(tài)或 Session 的 ACL(訪問控制列表 ) ? 支持大型幀（ Jumbo frames)，可達 9216 字節(jié) ，以提高server和 server 間通信的性能 ? MAC 地址表 :64,000 ? VLAN 支持數(shù)量 :4096 ? 路由表容量 :256,000 ? 支持基于策略的路由（ Policy－ based routing） ? 全面支持網(wǎng)絡準入控制 NAC，以防止不健康的和有毒的計算機接入網(wǎng)絡而傳毒 ? 支持跨模塊端口聚合 ? 支持 PVST+,以實現(xiàn)在 L2層的鏈路負載分擔 11 ? 支持 HSRP 和 VRRP, 以實現(xiàn)在 L3 層的鏈路負載分擔 ? 支持 DHCP Snooping 以防止假的 DHCP Server。 只需增加 WLAN 控制 器 、無線瘦 AP、 PoE 模塊 （插在核心交換機或匯聚交換機 上 ，占一個槽 ）或 PoE交換機即可 實現(xiàn) WLAN，如下圖。思科是通過該測試的廠商。 Cisco 交換機內置的安全功能 及安全攻擊防范方法 交換機必須 能 保護與之相連的用戶和服務器。思科公司的交換機提供了很多內置的安全特性，這些特性可保護 LAN 里的重要信息。而 DHCP并不是安全的協(xié)議，因此就使得與某個網(wǎng)絡相連的錯誤配置或惡意設備能很容易地對 DHCP請求作出響應，并向 DHCP客戶機提供錯誤或惡意的信息 ， 網(wǎng)絡襲擊者通常使用惡意 DHCP服務器發(fā)出 IP主機地址，并將其作為默認網(wǎng)關，在兩個端點之間重新轉發(fā)正常流量，從而竊取這兩個端點之間的所有流量。它可建立端口的可信 /不可信狀態(tài)，因此可使網(wǎng)絡管理員能確定應允許哪些端口（和相關設備）作為 DHCP 服務器，并拒絕所有其他端口 18 上的 DHCP 服務器活動?？梢圆迦氲淖畛Ｒ娦畔⒕褪?DHCP 請求的物理端口 ID。 ARP協(xié)議不執(zhí)行任何驗證或 過濾就會在目標主機中為這些惡意主機生成記錄項，從而提高了網(wǎng)絡易損性。與 DHCP Snooping一起使用時， Dynamic ARP Inspection 可防止某個主機在 DHCP 服務器沒有為其分配的 IP 地址的情況下，發(fā)送未經(jīng)請求的 ARP。 利用 ARP 協(xié)議的攻擊是目前局域網(wǎng)中非常頻繁威脅非常大的一種攻擊方式。 某個主機還可通過故意 配置或惡意企圖，從它所沒有或不應擁有的某個 IP地址獲得流量。 然而，這個表只有有限的空間。如果有更多地址進入交換機， Cisco交換機會將這些端口置入限制模式，以保護網(wǎng)絡免受攻擊。