前言

随着信息技术的不断发展与医院对网络需求的不断增加和技术的不断进步，现有网络无论是规模还是容量都已不能满足医院的需求。对于医院而言，随着现有规模的不断变大，医院的业务量和业务类型都发生了新的变化,不仅业务量较从前大幅上升，针对多种业务的整合也是对新的网络平台提出的要求，传统的简单办公网络已经不能满足多业务的要求。如何利用网络技术提高医疗卫生行业的管理水平和服务质量，是医疗行业面临的重要课题。随着先进设备的引进，信息量的不断增多，设备共享和信息的规范化管理越来越重要，建立一个先进的信息网络系统已经被众多医疗单位提上了日程。

人类跨入21世纪后，IT技术有了前所未有的发展，世界各地的各行各业都具有了划时代性质的变革，人们开始越来越多地利用网络来为自己服务。医院作为人类文明与进步的重要象征的载体，越来越显现出它在社会上的重要地位和职能，并且也同其他行业一样受到了这股网络浪潮的冲击。随着数字化技术的发展，以前的单一的病人亲自去医院看病的模式已经被逐渐改变，代之的是以网上健康咨询、远程诊断等形式获取医疗信息。医疗网站就是基于网络技术、现代计算技术和知识工程的，面向社会的为其客户提供全面的医疗信息的服务平台。

汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。

目录

一 概述. 3

二 需求分析. 4

2.1 设计需求. 4

2.2 需求分析. 5

2.2.1高性能和大容量. 5

2.2.2 网络的服务质量保证. 5

2.2.3 高可扩展性. 5

2.2.4 网络的安全保密性. 6

2.2.5 易于使用，易于管理. 6

三 总体设计. 7

3.1 方案设计. 7

3.2 方案说明. 7

3.2.1 核心层网络. 7

3.2.2 汇聚层网络. 8

3.3.3 接入层网络. 8

3.3.4 无线接入. 8

3.3 方案特点. 8

3.4 设计目标. 9

四 详细设计. 11

4.1 网络产品考虑. 11

4.1.1 中心交换机. 12

4.1.2 二级交换设备. 12

4.1.3广域网主路由器. 12

4.1.4 广域网备份路由器/拨号接入路由器. 12

4.2 汇聚层安全解决方案. 13

4.2.1 调整BRAS部署策略. 13

4.3 汇聚层的设计. 15

4.3.1 汇聚层作用. 15

4.3.2 汇聚层组网模式. 15

小结. 17

一 概述

 医院在没有网络的时代，进行手工挂号、划价、收费、取药，这里没有稳定与不稳定的概念，只有手误、眼误所导致的不良影响；在网络出现在医院的最初阶段，我们简单地用计算机系统代替原有的手工操作，医院业务网络应用主要以HMIS系统为主，应用数据处理方式并不复杂，医院网络相对外部独立，单机中毒不会影响整个网络的正常运行，这时的网络，尽管简单，但很稳定；然而这只是医院信息化建设初级阶段的雏形。而成熟的医院信息化，应该是一个用信息技术和现代管理理念来对医院核心业务和管理流程进行梳理、优化和确认的过程。在今天，一些医院的网络建设掀起了CIS建设的高潮，与HMIS共同以硬件网络平台为支撑，通过先进技术和现代管理理念，网络得到了进一步的优化，但较之以往在稳定性上差了很多，这成为实现数字化医院的关键阻碍。

目前，众多医院为了确保医院HIS系统（HMIS\CIS）的有效应用，很重视网络基础平台的建设。有统计，我国三级以上医院已有90％完成了HMIS的建设，而这些医院中有的已经完成CIS建设，有的正在规划CIS建设，但无论各医院处在哪个阶段，稳定都是其信息化建设中最重要的考虑因素，如何保证网络7×24小时稳定运行成为医院网络建设的重点。 

在该医院建设项目中，将一贯的管理措施和严格的项目管理贯穿项目的始终。整个设计贯穿系统工程的思想，强调协调统一和综合平衡，达到设计先进、布局合理，使整个系统成为信息服务的一个有机整体；通过对整个系统的合理设计，提高信息服务的服务质量和水平，推动向电子化、信息化的发展。

 本方案结合多应用网络平台的研究成果以及在各种网络通信层次的测试得到的相应数据的基础上做出的。通过本方案，使网络运行变得更加高效，具有更强的可用性。通过多种有效方式提高网络的可管理性，降低网络的管理复杂程度，大幅度的降低网络的运行维护成本。通过灵活的计费方式体现经济性原则。

　医院网络的稳定有三个关键要素：安全、健壮、可管理。不安全，就会不稳定：如果医院的机器感染病毒，并肆意传播于医院的整个网络，那么网络就会瘫痪；不强健，就会不稳定：如果网络对大量数据、电子病例处理能力不强大，在突然流量增加时产生拥堵，甚至超负荷，那么网络也不会正常运行；此外，不易管理也会导致不稳定的发生：医院信息网络的管理者毕竟不是网络专家，如果不能很轻易的对复杂网络实施有效的管理，那么不管是基础的网络还是医院的HIS系统终会出现网络管理的无序，从而影响整个网络的运行。因此，安全、健壮、易管理的网络才能构成一个真正稳定的网络。

二 需求分析

现在医院迫切需要实现医疗办公、医疗管理、资源调配、对外交流的信息化建设，为用户提供流畅的挂号、划价、取药、分诊、咨询以及远程医疗等一体化服务，实现医院药品、病房、人力等资源的合理调配和利用，通过建立一个高效、稳定的网络平台为医院的发展提供可靠的支持。为了适应医院各个系统和信息资源建设的需要，医院网络将建设成为一个宽带的多媒体网络。并能为现代医疗设备提供服务。

网络设计以高可靠性、高安全性、高性能、良好的可扩展性和可管理性为原则，并且考虑到技术的成熟性、先进性，实现真正的千兆互联和丰富的多媒体应用。层次性网络设计模型，由于其良好的伸缩能力、易于实现、易于排除故障、链路拥塞的可预测性、多协议支持、易于管理等特点，可充分满足大型网络的长期需求。现代医院的资源比较分布，需要很好的将这些资源整合起来，加强各个部门之间的沟通，能够实现比较特使的网络应用，比如远程医疗支持，在线手术等，从而给病人提供更好的医疗资源，并提高医院本身的竞争力。

2.1 设计需求

1.      采用成熟/工业标准技术

2.      医院系统的主干应具备高容量和高速的转发能力，尤其是设备的吞吐能力和线路带宽适应医疗图像的传输。

3.      在网络设计中要充分考虑系统结构的可靠性及网络的安全性措施。

4.      整个网络系统应具有很高的第三层交换能力，有效的VLAN划分和管理手段

5.      对多媒体应用提供数据实时传输的保障

6.      网络管理简单，易于维护 

7.        网络连接覆盖整个院园区内的医院、教授楼及生活区等，为医生、患者及职工提供网络服务。

8.        使用千兆以太网作为网络主干，构建能够提供服务质量保证和多媒体应用支持的新一代的园区网络系统。

9.        提供接入Internet的手段，并在网络中设置的专用安全区域放置Web服务器、E-mail等公共服务器。

10.    在网络上提供高效可靠的安全管理构架和安全策略，确保网络资源的安全使用。

11.    网络系统设计要具备高度的灵活性和扩展性，能够满足未来发展的需求。

12.    建立新的系统时要考虑保护前期投资、不能造成浪费。

13.    建立网络系统运行管理中心，建立统一集中式的网络管理，实行有效的配置管理、失效管理、安全管理及性能管理；

14.    统一进行子网划分和IP地址分配；

15.    实现企业内部网与Internet 的互联，建立企业内部网（INTRANET）。

16.    信息资源采取集中控制与分布配置相结合的策略，合理规划，分布实施。

17.    建立以Windows NT为平台的企业系统管理平台，对信息资源进行有效管理。

18.    在NT平台上建立Exchange邮件系统，实现员工之间、以及对外的信息交流。

2.2 需求分析

医疗信息系统对网络系统的要求很高，一般具有以下几方面的特点：

2.2.1高性能和大容量

医院每天生成的文字和图像总量可以从几百兆到几万兆，这些数据需要从各种检查设备传输到PACS服务器系统，从数据库服务器传输到医生面前的计算机。例如：放射科医生接触和使用最多的功能是PACS系统， PACS系统通常提供以下两种格式图片：1、适用于CR、DR以及胶片数字化仪产生的影像的大图片(6M byte): 2048 x 2048 x 12 bits。2、适用于CT、MR、RF、US等影像的小图片(256K byte)：512 x 512 x 8 bits。并且医生需要大量的连续的高清晰度图像进行诊断，有时需要全动态的图像资料，所以针对每个病人的图片数据量通常高达几十兆甚至上百兆。这些都要求由一个高性能和可靠的网络进行传输。

2.2.2 网络的服务质量保证

在任何一个组织中，总是由一些网络传输的数据时比较重要的，这一点在医院网络系统中特别突出。尤其是医疗影像系统，这可以被称为关键性的应用系统。医院的网络管理者需要能够根据不同的诊断功能，用户类型，甚至时一天中的不同时段来定义不同的网络服务级别。例如：传送到急诊室诊断工作站的数据流应该比传向其他诊断工作站的优先级别更高。所以医院网络网络系统应该采用必要的服务质量保证机制以确保图像数据流的传输不会受到网络拥塞的影响。

2.2.3 高可扩展性

不断增加的新型诊断设备和不断增加的医生，这些都需要更多的网络带宽和独立的接口。在医院内，将开发更高的带宽用于活动影像和其他信息的传输。医学图像技术的发展将不断地提高对网络带宽的要求。网络必须能提供最高级别的灵活性和可扩展性，网络设备应该能够提供更高的端口密度和将来向更高速网络技术升级的途径。无处不在的网络连接

一个完善的医疗信息系统应该是无处不在的。文字和影像资料应用的越广泛所带来的效益就越高，所以这些对网络的影响也是无处不在的，医院内部的骨干网和科室一级的网络能够提供文字和图像资料在医院内部的传输，但这仅仅是一个开始，如今的医院信息系统实际上可能是由多家医院组成的，它们之间的网络连接可能跨越很远的地理范围，在不同医院之间信息传输需要组建一个高性能的广域网络。而远程专家则要求能够随时随地访问医院系统的网络系统，这需要医院建立一个高效的远程访问网络。总而言之，一个完善的医疗系统要求网络系统应该能提供无处不在的连接。

2.2.4 网络的安全保密性

由于患者对个人隐私的要求越来越高，为了提高病人的满意度以及降低医院所可能面临的风险，医院应该为病人影像和数据提供保护措施，防止资料损毁以及防止资料遭到未被授权者使用、取得或篡改。由于网络可以为更多的使用者提供访问数据的便利条件，所以网络的安全和保密性需要被从各个层面以及网络的各个部分仔细考虑。部署防火墙可以抵御外来的入侵，限制特定设备，协议和对重要数据的访问；用户身份的认证可以确保访问重要数据的人员的正确性；针对用户的授权可以对每个用户能访问的网络资源做出限定；审计系统则可以跟踪和记录网络活动和网络资源的使用情况，发现各种可能的安全隐患。

2.2.5 易于使用，易于管理

系统的直接用户关心的是系统提供的功能对他们的业务是否有直接的帮助、系统是否好用，包括操作简便、简单易学、响应快等。

由于影像系统网络在医院系统中的重要性，网络的所有资源都应该在系统管理员的控制之中。新设备的安装应该既迅速又容易，如果可能的话，配置、升级和监控应该能够自动执行。当发生故障时，能够迅速的确定和解决故障。

三 总体设计

3.1 方案设计

针对医院对网络系统的需求，我们采取了万兆做骨干、千兆到桌面的核心层和汇聚接入层二级网络结构方案，网络设计充分考虑了网络的节点数量及以后的扩展，整体网络从核心到接入为全三层的网络设计，网络设计充分考虑了网络的高可靠性、安全性、可管理性及性价比，核心与接入均选用HP产品交换机，统一网管，网管软件所管理的节点数不受限制，所选型的产品均支持802.1x+radius认证方式。

图3.1医院网络拓扑图

3.2 方案说明

3.2.1 核心层网络

核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。建议在企业园区中心机房设置一台核心路由交换机SMC9704。该交换机具有高可靠性、提供冗余、提供容错、能够迅速适应网络变化、低延时、可管理性良好等特性。另外核心层也可以采用多台SMC9704实现的冗余交换以及链路聚合。

3.2.2 汇聚层网络

汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。汇聚层的交换机原则上既可选用3层交换机也可以选择2层交换机。这要视投资和核心层交换能力而定，同时最终用户发出的流量也将影响汇聚层交换机的选择。在汇聚层中，我们根据具体的应用和环境选择不同的交换机。本案例中采用SMC6724AL2/SMC6726AL2/SMC6752AL2/SMC6224M。在数据量比较集中的地方可以采用SMC8624T千兆交换机，提供千兆的网络连接。

3.3.3 接入层网络

接入层主要是为企业终端信息点提供100M以太接入端口，实现集线功能；提供本地信息点的数据交换； 通过高速上行端口连接到分布层； 提供虚拟网络划分功能； 提供信息点的接入安全保护功能；提供信息点的访问控制及优先级划分功能。同时，对于一些在人员密集，综合业务数据交换量大的地方,可选用SMC6224M/6248M可堆叠网管交换机作为用户的接入。

3.3.4 无线接入

在有无线设备或需要无线接入的地方可以放置SMC2555W-AG作为无线接入点，提供更加灵活的网络环境。

在相距较远的部门可以采用SMC2888W-S/SMC2888W-M室外无线网桥通过无线的方式连接到中心部门，有效的实现了远程访问。

3.3 方案特点

1、高可靠性--网络系统的稳定可靠是应用系统正常运行的关键保证，该方案的设计特别是关键节点的设计中，选用高可靠性5412zl系列交换机双机热备的冗余拓扑结构，允许双路器组动态地相互备份，从而可建立高可用的路由环境，巨型帧可在千兆和万兆端口上提供高性能的远程备份和灾难恢复服务，最大限度地保证系统的高效运行。

2、高性能—核心层的5412zl交换机692 Gbps 无阻塞矩阵交换结构可在模块间和模块内提供428 Mpps 的线速吞吐率，最多支持 48 个 10-GbE 端口或 288 个 10/100/1000 端口或端口组合，ProCurve交换机的网状结构在多个活动的冗余链路之间能动态地进行负载均衡，以增加可用的带宽，同时全面支持802.1Q和2048个VLAN,以介质速度提供IP路由，支持广播，支持标准的POE。力争实现透明网络，网络不再成为实施现代化办公业务的瓶颈。

3、灵活性及可扩展性—核心层的万兆骨干网和接入层的千兆链路，根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。

4、移动性：无线局域网的运用，使医院信息网络更加灵活，而且能够经济、快捷地实现无缝覆盖，例如，在需要频繁移动上网设备的病房，在上网终端数不固定的会议室、电子图书馆，在不方便挖沟、打孔走线的楼宇角落，无线网络都是理想的选择。配合移动上网的笔记本电脑或者掌上电脑，可以实现多项适合于医院的应用。

5、安全性—核心的5412zl交换机都具有病毒抑制功能，能清除或完全阻止病毒在 VLAN 之间扩散，还能通过每个交换机端口自动遏制ICMP流量来阻止ICMP拒绝服务攻击。所有的交换机都具有多种用户身份验证方法，保证安全的管理访问和交换机管理登录安全性，真正做到了边缘控制，把危险阻隔在网络边缘。

6、可管理性---所有交换机都提供丰富的QoS支持，提供多种规则组合条件下的流映射和分类、流量监管、拥塞控制方法、队列调度和输出流整形等功能，真正做到业务区分并保证带宽/时延/抖动在限定的范围之内，使可以为用户提供具有不同服务质量等级的服务保证，使骨干网真正成为同时承载数据、语音和视频业务的综合网络。

7、技术先进性、实用性和标准开放性-5412zl交换机是业界领先的万兆平台的以太网核心交换机，适用于城域和大型企业网络核心，在保证满足办公应用系统业务的同时，又要体现出网络系统的先进性。

8、简单化-- HP ProCurve所有可网管交换机，都支持Consle、Telnet、Web-Based和SNMP网管软件的管理等四种管理方式，以及CLI、菜单方式和图形界面三种网络管理界面。

3.4 设计目标

该医院的数据网络工程分为医院园区网络建设、医院生活区网络建设和系统整合以及整体的网路安全解决方案几个主要部分。

医院网络系统建设总体目标如下：

1.      采用先进网络技术，同时注重该技术的成熟性，要求选择的技术符合国际标准。能够与主要网络厂商的产品及网络技术较为方便的实现互联。

2.      采用的技术及设备应该具有易升级及可扩展性，最大程度上保护投资。

3.      适应桌面计算机处理、I/O能力大幅度提高的现状，发挥桌面机的网络性能，提高桌面的访问带宽。

4.      适应联网规模大、总流量大的情况，合理分布流量，实现有效的安全访问控制和运行管理。

5.      提供对应用服务器的特别支持。

6.      适应部门多、层次复杂的特点，合理进行网络划分，实现有效的安全访问控制和运行管理。

7.      能够向未来的高速网络技术和不断出现的新应用过渡。

8.      实现网络互联，解决互联网络带来的安全和管理问题。

9.      适应数据集中型的应用发展趋势，为客户/服务器的应用环境提供支撑。

10.  增加网络系统的运行可靠性，降低故障隐患，提供系统的可管理性。

11.  适应机构建制和工作流程，提供多层次的安全保障。

四 详细设计

汇聚层是整个局域网的核心部分，因此，我们在选择汇聚层设备的时候，一定要选择一款合适的汇聚层网络设备。五百台机器的医院，可以选择千兆的三层交换设备，支持VLAN功能。如果医院的布线非常规范，一般情况下不需要划分VLAN，如果我们的网络设计不能达到我们的要求，划分VLAN是我们的必选之路；因此，买一张支持VLAN功能的三层交换是必须的，避免进行二次投资。三层交换的背板带宽不能低于16G，而且要支持MAC地址学习功能，MAC地址表不能小于32KB；汇聚层网络设备最好支持网络管理功能，方便我们的管理和维护；汇聚层网络设备的端口数量，最好要比我们设备的网络端口数量多出一些，方便以后我们的网络升级和改造。

在网络中，汇聚层交换机和核心层交换机的作用与接入交换机不同，它们承担了网关和三层路由转发功能的重担。由于IP扫描和DoS攻击对三层交换机的影响和危害严重，常常会使交换机内CPU处理满负荷，造成交换机处理能力下降，甚至瘫痪，用户无法正常上网。

汇聚层交换机必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此与接入层交换机比较，汇聚层交换机需要更高的性能，更少的接口和更高的交换速率。

对此，锐捷网络推出的汇聚交换机STAR-S3550系列和RG-S3750交换机，以及核心路由交换机RG-S6500系列和RG-S6800E系列，均采用了业界领先的交换芯片，其内部采用了先进硬件三层转发机制（最长匹配转发方式）可以有效抗击恶意IP地址扫描。

同时，交换机内部更是内嵌了安全策略（如内制的防DoS攻击、防IP扫描机制），保证数据包路由转发功能不受IP扫描和攻击的影响。IGMP源端口和源IP检查功能对非法组播源的防范和控制，以及对各种硬件ACL（如专家级ACL、时间ACL等）的访问权限控制，都为网络健壮地运营提供了保证。

汇聚层1000Base-T交换机同时存在机箱式和固定端口式两种设计，可以提供多个1000Base-T端口，一般也可以提供1000Base-X等其他形式的端口。接入层和汇聚层交换机共同构成完整的中小型局域网解决方案。

4.1 网络产品考虑

经过市场考察，考虑产品的性能价格比，又能满足湘雅医院建网需求，我们一致选择3Com公司的网络产品，另外，带宽体系结构中服务器和其它数据中心的连接比一般用户连接需要更多的带宽和冗余的体系结构。骨干连接（或折叠式骨干交换机备板速度的聚集）要等于所有服务器连接的带宽之和。因此作以下配置：

4.1.1 中心交换机

中心交换机我们选择3Com的王牌产品Switch 4007。

Switch 4007千兆位以太网交换结构提供18和48Gbps的综合带宽，其120 Gbps的背板容量允许在同一个平台中实现几乎无限的扩展容量。一个3Com Switch 4007机箱可以实现72Mbps的吞吐量。

Switch 4007交换机提供扩展的服务等级/服务质量（CoS/QoS）功能，能够将关键任务或实时的数据流与低优先级的应用进行区别；

提供对IEEE802.1QVLAN的支持，遵循STP、OSPF、VRRP、LANE等协议，提供多层交换机模块；

我们为每台Switch 4007交换机中配置7槽机箱，两个电源、一个交换引擎，两个管理模块，保证中心设备的不停机运行。一个三层交换模块，以便长距离连成城域网，一个9口千兆模块和一个36口10/100自适应模块。

4.1.2 二级交换设备

3Com SuperStack II Switch 3300/1100，3Com SuperStack II Switch 3900。

SuperStack Ⅱ 3300型交换机的所有端口带10/100自动检测功能，能够按照连接设备的速度自动调整。能极平滑的移植到快速以太网。SuperStack Ⅱ 3300型交换机适用于12或24口形式，还有选件扩充模块槽。SuperStack Ⅱ 1100型交换机是为10Mbps以太网用户服务的。提供两个10/100快速以太网端口，用来高速访问服务器，高性能工作站或中心交换机。此外该交换机还有收发器插槽，用来连接原有网络。SuperStack Ⅱ 1100型交换机有12或24口机型，还提供一个选件扩充模块槽。

3Com SuperStack II Switch 3900提供线速的10/100/1000交换，交换内部的25.6Gbps总交换速度能在Switch 3900上提供980万个数据包/秒的交换速度，支持基于标准的优先级传输和VLAN，因而能提供服务类别功能并在各交换机之间自动分配VLAN信息。

4.1.3广域网主路由器

3Com NetBuilder II。

3Com推荐的NetBuilder II是一种高性能中心路由器，在网络的安全性、数据压缩、兼容性和开放性等领域处于领先地位。

4.1.4 广域网备份路由器/拨号接入路由器

3Com SuperStack II Remote Access System 1500（ISDN/PSTN）为中小型企业和Internet服务提供商提供全面的远程访问服务。SuperStack II Remote Access System(RAS)1500由三个可堆叠的组件组成，提供多协议远程访问服务器和具有完备功能的路由技术。通过使用高性能V.34调制解调器、64K-256KISDN BRI卡和具有56K(V.90)连通性能的ISDN PRI访问单元等多种插件，可为用户提供一套完整的远程访问方案。

4.2 汇聚层安全解决方案

在电信运营商网络系统中，汇聚层安全问题是最难解决的，因为其接入的类型多而复杂，有IP网也有非IP网，这就给我们制定相应的安全策略带来相应的挑战。

汇聚层是最关键的一层，汇聚层设备是用户管理的基本设备，也是保证城域网承载网和业务安全的基本屏障，更是保障城域网安全性能的关键，同时，汇聚层安全问题是最难解决的，因为其接入的类型多而复杂，有IP网也有非IP网，不能简单地应用防火墙、IDS等IP网络安全产品，以下就这方面的安全策略作一个简单的阐述。

4.2.1 调整BRAS部署策略
　　进行BRAS边缘化，访问控制可以在边缘BRAS上进行，如果仍然保持集中方式，可以考虑在BRAS后部署防火墙，可以将原有BRAS访问控制功能转移到防火墙后，这样可以降低BRAS负载，及进行更细粒度的访问控制。
　　限制每个VLAN下的用户数量，减少PPP建立过程中广播包的广播范围，提高网络性能， BRAS推到边缘后，VLAN ID数目受到的限制问题也得到了缓解。
　　细粒度的三层访问控制在BRAS或BRAS设备后端三层设备上进行。
　　4.2.2部署小容量BRAS服务器，PVLAN的划分和端口保护技术，专线用户的VLAN在城域网汇聚层终结
　　进行接入侧用户相互隔离，防止IP地址被盗用或仿冒，防止用户间的相互攻击；充分利用宽带接入服务器BRAS支持802.1q的特性，来实现对不同用户的服务，缩小广播域，提高城域网的整体服务性能。在用户侧部署中小容量的BRAS服务器，可把原来的超大二层网络分成若干个小型的二层网络，降低管理的难度和复杂度。
　　在若干小型网络中还可以继续划分PVLAN，PVLAN是在802.1Q VLAN的基础之产生的，是在VLAN内进行进一步的VLAN划分，从而可以实现灵活的用户隔离方案，即把同一VLAN里的不同端口进行逻辑的隔离，从而更好的进行同一个VLAN里不同端口出入流的控制。端口保护是对端口进行相应的配置来实现保护端口隔离，各个保护端口只允许与非保护端口进行信息交流，而各个保护端口之间的信息不能互通；一般来讲，PVLAN和端口保护技术结合使用效果会更好。
　　宽带专线用户的VLAN在城域网汇聚层终结，这样可以防止用户的广播包对骨干交换机的冲击。基于LAN的专线用户，通过专线直接连到网络核心，当用户发起广播时，就会使核心网络路由表产生波动，还会影响核心网络设备的性能，所以建议在汇聚层终结，再把信息上传到网络核心。
　　4.2.3 用户认证机制，安全密码体系　
　　目前常见的用户认证机制主要可以分为两大类，一种是基于网关的验证机制，利用BRAS+AAA验证服务器完成对用户的身份验证， AAA绑定一般采用的都是静态绑定方式，而动态绑定一般是在接入设备上实现的，绑定技术的有效应用，主要用于解决账号盗用，用户定位等问题。另外一种认证机制是将用户的数据流和控制信息分开，认证服务只需对用户的认证信息（控制信息）进行验证，通过验证后，用户数据包就不再通过认证服务器而直接由交换机处理。
　　根据我们实际的情况，对于纯的DLSAM汇聚方式那部分网络，可以采用第一种基于网关的验证机制，利用BRAS+AAA验证服务器完成对用户的身份验证，所有拨号用户都首先进行拨号与 BRAS进行连接，从BRAS获得动态分配给的IP地址，并从AAA服务器获得用户名验证信息，从而完成通信。
　　对于具有支持IEEE802.1X认证机制的二层以太交换机部分，我们采用第二种基于IEEE802.1X的认证机制，IEEE802.1X认证机制是把用户的认证和交换机端口激活联系在一起，交换机要求用户提供有关的用户名和口令信息，通过了认证，端口就激活，实现正常访问，否则断开。
　　通过上述认证机制可以实现基于用户的访问权限控制、计费和服务类型控制，而不是基于每个站点内的所有用户计费。
　　4.2.4 IP地址、MAC地址、用户名及卡号绑定
　　IP地址、MAC地址、用户名及卡号绑定能够准确定位用户，并可提供追查恶意用户的。
　　对于纯DLSAM拨号用户可实现MAC、端口和用户名绑定，将不同VLAN内对应用户的MAC地址送到BRAS，再由BRAS将其送到AAA服务器，实现与用户名和MAC的绑定。进而防止个人用户的帐号、密码被盗用，也可确定出用户上网的位置，如果用户名和密码被盗，通过这一方式可以确定偷盗者的上网地点和时间，为问题的解决提供重要线索。
　　4.2.5 流量整形、拥塞控制、队列调度及CAR等QoS保障
　　在网络设备上对用户接入的业务流进行匹配，对相应用户业务流按照约定的速率进行带宽限制，通过入口或出口的CAR和流量整形进行调整，保证重要业务流的带宽；进行拥塞设置，当流量超过缓存值时，路由器入口处就将该流量超过阀值的数据包丢弃，同时告诉数据源端的TCP应用减少窗口尺寸。
　　对于支持VC Shaping的BRAS设备来说还可以针接入用户的发送数据频率来进行控制；对不同的应用进行不同的队列优先级分配，当网络拥挤时，保证重要数据优先通过，从而实现队列调度。

4.3 汇聚层的设计

4.3.1 汇聚层作用

汇聚层网络主要完成城域网各园区内的接入交换机的汇聚及数据交换和VLAN终结，Extreme公司可以提供Alpine 38xx系列交换机或summit x450以及summit 5i系列交换机来作为汇聚层面的交换机。Alpine 38xx系列交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要。summit X450和summit i系列交换机能够更加灵活的部署在网络边缘的各个位置，同时提供多个百兆、千兆光口/电口和10G万兆上联端口。这些交换机都具备较强的多业务提供能力，可支持包括单播、组播在内的各种业务，具有良好的QoS保证能力。为用户提供丰富、高性价比的组网选择。

它除了提供十兆、百兆、千兆光口和电口以太网接入的支持，Alpine 38xx系列多层交换机还支持WAN方式的接入以及VDSL的接入。在Alpine 38xx系列交换机上支持E1/E3/POS/ATM端口模块。

Alpine 38xx系列交换机以及summit i系列交换机都具有很强的路由支持能力，在支持OSPF、IS-IS、RIP等IGP路由协议的同时还支持BGP4路由协议。另外，这些产品在支持DiffService QoS模型的同时，具有更好的QoS保证机制，通过Extreme公司独有的IP TDM技术，可以为不同数据流提供不同的最小带宽保证，避免了传统调度算法有可能出现的优先级低数据流被“饿死”的情况出现，从而可以实现数据流传输最小延迟的控制，为多媒体应用（如：视频、IP电话和实时监控）的开展提供坚实的保障。

Alpine 38xx系列交换机以及summit i系列交换机都支持基于子网的快速转发技术（IPDA Subnet Forwarding）。通过使用IPDA Subnet Forwarding技术，可以大大缩减FDB表项，从而大大提高了设备抗击扫描攻击的能力，实现了类似LPM技术一样的功能，解决了由于流表溢出导致的CPU使用率升高所带来的问题。

为了满足双星型网络结构中接入层交换机的接入，Alpine 38xx系列交换机、summit X450以及summit i系列交换机都支持VRRP（虚拟路由器冗余协议）协议。通过使用ESRP/VRRP协议，可以实现链路上的负载分担与链路备份功能。

所有以上汇聚层产品都采用硬件方式处理ACL，这样可以在提供细致的安全控制的同时保证线速数据包的传输能力。

4.3.2 汇聚层组网模式

二层网络中单一的汇聚交换机节点容易发生单节点故障从而影响全网用户的业务，尤其是承载了如NGN、3G、IPTV等流媒体业务时短暂的网络中断都会造成用户业务中断。