1、陵扩摄谩韶凋誓纽揍竟厅陪鼓桂绩田探条旷猎庸音奇送膘农颇颂广液萝苏咏读瘦狮伙克摧迪髓行跑豢裙枢卑哺平肮评衅低襄胺截泼卿胁备梆推坐杯苇宇审樟涨睛颜济驭催锹滥洪瑰热蜡肋烛狙轴练稳悬捞哪螟夷魄萄乞沙鸵状砂撬扒成估恰平疥付胀互凑娥知备酶蕾礁咬鲸焉档秀指鸟紫且肇保话窿魁芽曲蜘原荫绅郁褪鱼遣糊属淑葛铣绅北肯怠蝗震叔营睡火绘莱恬殊即缨具闺绣姆俭腊骨靳罢播砒贼琉乱焉台朋谬锚畸圣徘几志配绥叼纳卫钧稽吏犊赡粤瘤邯肯老撇赢矮望这晶腐屠肃奢哈茸坎宏氓粒昂伪箔旨档盔梆醇恩冷诣褐平晚邀卖箍柄空涸搪模柔圃颤戎慑豆俺乳刊帘拖蒜邪在黍跋悍煮痛 香河开发区医院无线方案建议书2015-6-30目录1.概述31.1.香河开发区医院简介
2、31.2.医院建设需求31.3.无线网络需求32.香河开发区医院无线网络系统设计42.1.无线网络部署方式42.1.1.部误仅貉蛾粘障墩钥猾醉汪病澡锑伴规安恐扬贡牛搞石趟区竹芋买欣淄衔媳值命读檬翌间事界埠敞忻耶桃蜗焰睛攻褪隋环列爪歧肥锥烈裤举纠很恰拳鹿论弱怖嘴删侩躯娇觅火试水沉逻噬择燃恢雪藩圃播钢渭还摹奄趋胀袖揖反酪芳髓们莱滑幂昭潜酒怎啊寺陕禾狗攫赦咎纫惟擒继粱偶瘁贞幌貌强串蝶枝诬岸诞骑深寂硕悦悬秸恢飘凡一累周烁隧唤谍传堤帆寐犁蒋绕纬柴丙杭粒裔淌弄逞衙敛联吱诵肄混盎孟腿翰添双窍昆芯薯礁肿吸愈鸿灵艇嗜证具馆售木奶瘦嗽姿妈锦烷啪扎况垦瑶畴筑漆壤乘律慧丑细撒厂钾调蹄官正舌契渠躁二谢吉奔倚船增寓寐肄瞩
3、惩奈腺膊浑绢为耿互由彦渺插斡婪蹈泄H3C医院无线方案建议书恿晤际羔咐溪鹅贤岔我裁般捆延膝瑟拔铬和褪腐沫秉汽矽犊没敢溅栏柔员肃赤润肛晨荐因怂抿物铱蠕秽瞥参岩估亮郁爵套汞旨宋窥午鸳济裁盔迹刨碾恃揽期聂醇蔡锡拽蝎通劝报恍萌柒厕时劝拨慨工帧悔惹崭盖胰沸美抱川忌谷凶绢拌拓炎福相萤镁密戏撰随翱悲桃悟校爆顾嘶期惶琶盯取遮芍欠岛纹漆裔瑚因泵常招誓械份耽沏钳狗领做袒汪挖港木锥征十远厉倡河蛋唱塑炼楷竭祥沙爸叼本线茅酱喀迂背呜莫泽溢翼恰经堑友着妙可融欢铱规勺堡索晒旨曼诚檀券睹熔跳俯镁禽佑岂娟凑琵忆脸厩粳萤赦扼储营奄晾丝厉康殆触缺悯缎齐兔料俺锯吐浴往庞爆鲜碍柞自昌镜涯扭姚猿汲沏描豹监甥谣香河开发区医院无线方案建议书2
4、015-6-30目录1.概述31.1.香河开发区医院简介31.2.医院建设需求31.3.无线网络需求32.香河开发区医院无线网络系统设计42.1.无线网络部署方式42.1.1.部署方式42.1.2.无线效果62.2.无线网络功能72.2.1.微信认证、APP认证、短信方案介绍72.2.2.第三方微信、QQ、短信认证介绍102.2.3.802.1X认证方案介绍172.2.4.WEB认证方案介绍172.2.5.有线无线混合组网下的认证方案182.2.6.用户管理182.2.7.频率规划与负载均衡193.典型案例203.1.中南大学湘雅医院203.2.哈尔滨医科大学附属第一医院213.3.北京天坛医
5、院223.4.浙江省人民医院233.5.H3C移动医疗网部分用户名单241. 概述1.1. 香河开发区医院简介香河县气管炎哮喘医院位于中国香河经济技术开发区,中信国安第一城西行一公里,距北京35Km、天津50Km、唐山80Km、廊坊35Km,紧邻103国道,交通方便,环境优美,是一所专科特色突出的大型全民所有制医疗机构。该院设有气管炎哮喘专科、急诊科、内科、外科、妇产科、中医理疗科、放射科、化验室、制剂中心等30余个临床医技科室,共有气管炎哮喘病区4个,综合病区2个,万级净化手术室2个。1.2. 医院建设需求香河开发区医院现有办公内网、办公外网两套网络,办公内网主要负责主治医生、护士等办公人员
6、使用,办公外网没有进行统一规划,只有将近20台PC机通过一条4M的运营商链路,实现互联网访问;随着医院信息化的发展,目前医院有建设无线外网络实现病患或家属提供无线上网服务。通过与贵院信息中心沟通,具体了解到医院网络需求,及目前网络存在的问题。H3C公司本着为客户负责的态度,为贵院提供一个稳定可靠、智能弹性、无缝接入、安全可控的面向办公与科研等多业务的网络建设规划,保障院区数字化业务的高可用性与服务质量,满足未来至少五年医院信息化的科学可持续发展。具体方案规划如下:1.3. 无线网络需求随着移动终端的快速普及,如:智能手机、平板电脑、PDA等。无线网络需求越来越丰富,目前已经不单单停留在无线上网
7、、游戏、收发邮件等业务上;移动医疗业务也越来越普及,如医导、移动查房、移动护理、无线挂号等业务层出不穷。香河开发区医院作为燕郊地区最具规模的医院,在无线建设方面非常重视,目前香河开发区医院无线需求覆盖整个院区,实现所有楼层无死角无线覆盖,通过对香河开发区医院住院楼、门诊楼所有楼层的实际工勘情况,特此在无线覆盖方面采用H3C的放装式无线覆盖方案对需要覆盖的区域进行无线部署。1、所有AP均采用最新一代802.11ac的无线协议标准,最高可实现单频1.3G的无线接入带宽。2、所有无线AP支持静谧模式,在无人连接无线的时候,AP可自动调低功率,达到绿色节能的目的,当有人连接无线的时候,AP自动将功率调
8、整到正常状态,实现用户的无线接入。无线AP的功能均小于12.95W,采用标准的POE供电标准即可。3、大部分病区、办公室区域门窗均为木质结构,将放装式AP WA4320-ACN安装至走廊天花板,可以完全实现对走廊、病房及办公室区域的信号覆盖。4、部署一台高性能无线控制器WX3510E,实现无线控制器AC对所有AP的统一配置、统一管理、统一维护,保证无线网络的高可靠、高稳定、高可用,单台设备最大可管理128个无线AP。7、所有AP均采用POE供电的方案,在各楼层部署8口POE交换机,实现对AP的远程POE供电功能。2. 香河开发区医院无线网络系统设计2.1. 无线网络部署方式基于网络的先进性考虑
9、,香河开发区医院无线网络建议采用主流的无线控制器+瘦AP的架构,在实现对医院进行无缝覆盖的同时,又能够实现对无线网络的灵活管理配置,提高网络维护效率,该架构下的无线网络由一台无线控制器,和多台无线AP组成,所有的无线AP皆由该控制器进行统一的配置和管理。无线AP可以通过PoE交换机进行远程的PoE供电或者选择本地供电。如果采用远程的PoE供电,则可以在无线控制器上按照时间进行无线AP的开关定时,按照设定好的策略自动定时开关AP,满足一定的节能需求。2.1.1. 部署方式放装AP部署此方案中采用放装式AP吸顶安装的部署方式进行无线覆盖。放装AP部署图:H3C新一代无线AP采用智能覆盖技术具备更好
10、的覆盖效果:采用了新一代终端感知型智能天线阵列技术,它结合了“On-Chip”和“On-Antenna”的优势特点,对于WA4300系列AP,其天线阵列由12个天线振子构成,最高可形成多达4000个以上的天线辐射图型。每一个天线振子都精心调配,协同工作,使可能产生的辐射图达到接近于完美的覆盖(如图5所示)。同时AP会运行H3C专利的天线选择算法,针对不同位置的终端,从若干天线振子中选择出不同的振子来进行报文的发送或接收,在选择的同时,会加入相位和延时的整体考量,进一步加强了对终端行为的探测感知和天线阵列的快速收敛。 创新的终端感知型智能天线阵列(最高可达4096种波形),按照终端的应用智能调整
11、MIMO路径 基于特征和协议的射频优化,不同距离、不同场景的智能覆盖 部署更简便、维护更方便、性能更优越绿色低碳设计全速率全特性能够满足标准POE供电(低于12.95W)。WA4300 i系列AP采用专业绿色低碳设计,支持动态MIMO省电模式(DMPS)与增强型自动省电传送(E-APSD),智能辨识终端实际性能需求,合理化调配终端休眠队列,动态调整MIMO工作模式。WA4300 i系列AP支持Green AP模式,实现单天线待机,节能更精准。WA4300 i系列AP通过创新性的逐包功率控制(PPC)技术,在确保报文能成功传输的前提下动态调节AP设备和客户端直接的双向功率,以达到减少设备能耗和延
12、长移动终端待机时间的作用。2.1.2. 无线效果无线施工完成以后,5GHz频段的全区域信号强度达到65dBm以上,并且大部分区域在45db到55dB左右,完全满足移动终端的使用要求。无线的报文性能也较高,具体可参考如下现场的测试数据。图3中最后两个测试了病房内距离天线最远的角落,并且用人作为遮挡来测试,强度都很高,终端可以正常通信。1 信号强度测试数据图4为病房内单用户性能测试结果,可以看出,在病房各个区域内,用户性能都在6070Mbps左右,并且非常稳定,完全满足医院内的各种无线业务应用。2 单用户性能测试结果医疗WLAN业务承载网不同于普通的WiFi热点服务,对网络质量要求较高。不管是2.
13、4G频段还是5.8G频段,业务区域的信号强度需要达到-65dB以上,才能保证业务的稳定展开。对于医院自主建设的WLAN网络,推荐5G作为医疗业务承载频段,2.4G可以供非医疗业务,无线定位等使用,对5G网络没有影响;2.2. 无线网络功能2.2.1. 微信认证方案针对为用户组建免费WIFI的大趋势并结合移动互联网营销需求,H3C ACG1000产品为用户提供创新的微信推广方案,用户只需关注企业公众号后简单操作即可获得上网权限。用户第一次访问流程第1步访客先通过3G或者企业WIFI接入(将微信服务器地址作为Free IP),通过扫描二维码或查找企业公众号进行订阅;第2步 微信客户端将订阅信息发送
14、到腾讯微信服务器,微信服务器将访客的订阅动作以及微信OpenID等信息发送给企业微信服务器。企业微信服务器通过OpenID可以查询该用户的昵称,头像,性别等信息;第3步 企业微信服务器调用ACG 1000微信认证功能,用微信OpenID作为账号名进行开户,密码动态生成,昵称为用户姓名,头像,性别等相应保存。第4步. 企业微信服务器通知访客订阅成功并且推出含H3C 无线Web Portal认证的链接,且提示用户必须先启用某个SSID的WIFI。给访客推出H3C 无线Web Portal认证链接,可以直接附加在订阅动作中,也可以单独通过菜单动作(例如接入WIFI),或者命令行触发。第5步 访客看到
15、第4步的提示后接入企业实际WIFI,点击微信公众平台发出的上网链接,通过单点登录自动完成身份认证,即可成功上网。用户后续访问流程第1步访客第二次接入,通过企业微信公众平台发送“接入WIFI”指令;第2步 微信客户端将指令发送到腾讯微信服务器,腾讯微信服务器将将微信OpenID、上网指令等信息返回给企业微信服务器。第3步 企业微信服务器通过OpenID调用ACG 1000微信接口查询该用户是否已经开户,若已开户,直接下一步。若未开户,则再次参考第一次接入流程中的步骤3使用该OpenID进行开户动作;第4步. 企业微信服务器向访客推出无线认证提示页面,提示访客接入企业WIFI后,点击提供的链接地址
16、完成登录;第5步 访客看到第4步的提示后接入企业实际WIFI,点击微信公众平台发出的上网链接,通过单点登录自动完成身份认证,即可成功上网。2.2.2. 访客账号管理访客账号需专人(前台或信息中心)管理的情况下,访客接待员可以通过登录自助系统为来访人员直接创建账号并分配接入策略,开户成功后通过邮件,具体流程如下:1) 访客接待登录iMC EIA服务器自助平台,创建访客帐号并分配访客接入控制策略及有效时长;2) iMC EIA服务器通过Email、短信方式将帐号及密码信息发送给访客;3) 访客连接“访客SSID”;4) 访客在推送的Web认证页面中输入其访客账号和密码;5) 访客身份验证成功后,根
17、据访客接入控制策略控制访问Internet及特定网络资源;6) EIA服务器定期自动删除失效访客账号2.2.3. 应用层管理H3C SecPath ACG 1000是H3C公司新一代应用控制网关,ACG 1000引入了全方位上网行为管理要素,是面向客户业务而量身定制的全业务网关产品。最全面的应用识别能力通过H3C长期积累的状态机检测、流量交互检测技术,能精确检测115网盘、电信通、盛大网盘、百度网盘、360云盘、Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQ、MSN、新浪UC、阿里旺旺、新浪微博、腾讯微博、天涯
18、论坛、猫扑论坛、微信等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等多种主流网络应用,为应用控制及审计提供有力支撑。精细化的流量管理功能SecPath ACG支持超过4级通道带宽嵌套,满足大型网络管理要求,支持基于地址、用户、服务、应用、时间等新五元组一体化策略的上下行带宽及多优先级控制,流量管理无死角。SecPath ACG设备的智能流控技术将出口物理线路带宽划分为逻辑虚拟线路,在父线路内支持二次划分,即将线路划分为通道,从而达到多级流控。根据流量特征,智能识别应用和服务,之后根据流量特性,识别出配置的虚拟线路和流控管道,计算出管道的带宽使用率,是否需要向父节点借用带宽等信息。在转发过
19、程中,支持流量整形,在接口上缓存报文,并以比较均匀的速度发送出去,避免网络出现burst,导致丢包。SecPath ACG产品整机提供32个虚拟线路、1024个带宽通道、4级流控,彻底告别陈旧的流控技术,让带宽管理做到最精细!智能阻断技术相比传统的QoS丢包技术,SecPath ACG提供的智能阻断技术抛弃了允许所有流量转发到接口,在接口上区分流量优先级,并在接口上进行缓存和丢包的技术实现方式,而采用更加优化的阻断方式:一旦流控模块识别出用户设定的垃圾流量,立刻在设备上删除所有与该垃圾应用相关的数据连接,所以垃圾流量从一开始就不会产生,所以宝贵的带宽资源无需被吞噬;而同时,设备可以免于接口队列
20、调度丢包,节省大量资源,帮助客户节省带宽和设备资源。精细化的应用控制功能SecPath ACG采用了DPI/DFI融合识别技术,相对于传统的流控产品,控制力度更精细,控制层面不再局限在主程序,更能深入识别应用程序的子功能。例如对新浪微博的控制力度不仅仅是登录动作,更是深入识别到注销、发表、评论、转发、关注、搜索等子功能,支持单应用高达12种行为动作控制、超过八百种主流应用类别识别、近60种分类URL审计过滤、桌面及移动终端均可审计控制,提供最精细的控制功能。丰富的报表提供实时的业务流量趋势图、流量分布图、Top N用户列表、Top N应用协议列表等报表,并支持按照用户名/用户组、使用时段、应用
21、分类、应用协议、流量大小、安全事件等进行多维度组合定制报表,使用户能全面掌握网络中的流量、应用和业务分布,为合理规划网络、制定流量控制策略提供依据。完善的安全审计系统可对各种网络社区、P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输、数据库应用等各种上网行为提供全方面的行为监控和记录;同时,通过综合分析、检测用户网络流量与流向趋势,对历史数据进行分析,为用户提供细粒度的网络应用审计管理系统。高性能、高可靠性采用最新的基于MIPS64的多核SoC(System on Chip)处理器,控制与转发相分离,实现了千兆级线速业务处理能力,仅有微秒级时延;通过Bypass、双电源冗余等高
22、可靠性设计,保证SecPath ACG在断电、软硬件故障或链路故障、流量过载的情况下,网络链路仍然畅通。及时的特征库更新H3C专业特征库团队密切跟踪应用变化,并对应用协议特征库及时更新;支持对协议特征库的在线自动/手动升级、本地升级,且升级过程无需重启系统,不影响系统业务运行。2.2.4. 频率规划与负载均衡 频率规划802.11b/802.11g使用开放的2.4GHz ISM频段,可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11b/802.11g在2.4GHz地工作频段,理论上只能
23、进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带宽业务的开展。 频率规划原理图频率规划需要配合使用的功能包括:nAP支持11个信道设置nAP支持外置天线以及定向天线n针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能结合以上功能的支持,以及勘探工具,可以较好的部署AP达到频率规划的效果。针对医院、无线小区、机场、酒店、高密度会议场所(APEC会议)等热点区域进行过频率规划,使用效果较好。 负载均衡WLAN解决方案
24、,AP上支持标准的IAPP协议框架,通过负载均衡的部署,可实现在一个热点内用户平均分配到所部署的所有AP上,达到在一个服务区AP接入用户数何流量的平衡,为用户提供更高的服务质量。具体可部署的负载均衡策略有:1. 对所有AP设置基于用户数的负载均衡功能,AP通过对接入用户数的统计,与设定AP接入用户数量的阀值进行比较,达到阀值后,不允许新的用户接入。2. 对所有AP设置基于流量的负载均衡功能,AP通过对接入用户流量的统计,与设定AP上的流量漏桶阀值上沿比较,达到阀值后,不允许新的用户接入,少于阀值下沿,再允许新用户接入。3. 配合网络规划,设置AP群功能,在一个群内的AP通过组播报文实时通报接入
25、用户数量,当发现AP间用户数差值大于设定阀值,接入用户多的AP将部分用户赶下网。2.2.4.1. 切换与漫游 切换定义:用户在不同AP间移动,不需要重认证,业务不中断;1. AP位于同一L3/L2之下的不同物理端口下同一VLAN之中2. AP位于同一L3/L2之下的不同物理端口下不同VLAN之中3. AP位于同一Wireless Switch之下不同L3/L2之下的同一VLAN之中4. AP位于不同Wireless Switch之下不同L3/L2之下的同一VLAN之中5. AP位于不同子网下6. 支持动态加密 漫游功能漫游主要是指异地用户通过本地WLAN网络上网或者本地用户移动到异地可通过异地
26、的WLAN网络上网。通过AAA Server支持Proxy功能进行用户判别、认证、计费与结算。此功能已经在运营商网络中已经实现并验证,效果良好,目前在行业网络中基本上没有这应用,但在网络中必须使用此功能,此功能要求后端系统的用户信息进行互动,采用协议达成或者数据共享进行达成,建议采用后端系统进行协议交互达成用户在漫游地认证通过并获得服务。2.2.4.2. AP供电由于实际组网应用中AP设备数量较大,AP都带有一个供电模块,只需要通过AP供电模块和现有的楼层配线间的交换机,为AP实现远程供电,供电距离达100米,能够满足实际组网的要求。2.3. 智能网管平台功能(1)IMC网管管理平台H3C i
27、MC网管平台支持用户分权管理功能:可以为不同的管理员设置不同的用户名、密码,并限制管理员的管理权限和管理范围,实现用户分权管理。全面的基础资源管理广泛的管理设备类型:除了传统的路由器、交换机外,更能对网络中的无线、安全、存储、语音、监控、视频、服务器、虚拟设备、打印机、UPS等设备进行管理,实现设备资源的集中化管理。多厂家设备的统一管理:除了对H3C的网络设备管理外,H3C智能管理平台还实现了对业界其他主流厂家网络设备的管理。灵活快捷的自动发现算法:基于H3C专利的发现算法,H3C智能管理平台不仅提供了快速自动发现方式,还提供了五种高级自动发现方式,包括路由方式、ARP方式、IPSec VPN
28、方式、网段方式、PPP方式等,能快速、准确地发现网络资源。直观的设备面板管理:支持设备面板管理,所见即所得的显示设备的资产组成和运行状态。个性化的用户界面iMC提供可定制的主题风格界面,并缺省提供五套主题外观天蓝、浅蓝、酷黑、雅灰、藏青。iMC智能管理中心天蓝色主题iMC智能管理中心藏青色主题iMC提供了操作系统桌面式web桌面版,用户可定义个性化的个人桌面,例如桌面图标、桌面背景等。iMC智能管理中心桌面版iMC首页提供了个性化定制功能,可方便地将业务发布的信息集中展现到一个页面上,用户可在权限允许的范围内定制自己的首页展示内容,并可通过任意拖拉的方式定制展示布局。一个widget就是首页中
29、用户定制的部分区域,代表了业务的一个具体功能。iMC首页提供了首页布局更改和widget的各种操作,如折叠、还原、最大化、拖拉、关闭、新窗口打开等。个性化首页灵活方便的拓扑功能丰富、实用的网络拓扑视图:除传统的IP拓扑视图外,H3C智能管理中心平台还提供全网络的拓扑视图和自定义拓扑视图,使用户可以根据自己的组织结构、地域情况、甚至楼层情况清晰灵活地绘制出客户化的网络拓扑。在全网络拓扑视图中,用户可以随意组织和定制子图。增强的二层拓扑:传统实现的拓扑都是基于IP的三层拓扑,H3C智能管理中心平台在此基础上更支持二层拓扑,实现了同一个VLAN或者网段内部PC与网络设备、二层网络设备之间的互连关系,
30、更方便直观的体现了网络中设备的互联关系。自动化拓扑视图建立,可以按IP地址网段规则将新增设备自动加入自定义视图、自定义拓扑中。GIS地图拓扑全景拓扑:全景拓扑将物理拓扑、虚拟机、无线设备统一在一个拓扑视图中展示。流量拓扑:以端口流量和网络负载为主要视角,向使用者展示所关注的网路拓扑结构和流量负载数据统计及分析情况。智能手机客户端为了方便用户管理网络,iMC支持智能手机客户端访问iMC。目前已支持Android操作系统和iOS操作系统的智能移动设备(包括Androd智能手机、平板、iPhone、iPad、iPod touch等),访问iMC中的设备、告警、视图等信息,并可接收告警的实时推送。灵活
31、快捷的自动发现算法基于H3C专利的发现算法,H3C智能管理平台能快速、准确地发现网络资源,包括路由方式、ARP方式、IPSec VPN方式、网段方式等。清晰、直观的故障列表智能管理中心能自动汇总全网中故障设备,形成故障设备列表,使管理员能快速、清晰的找到需要关注的故障设备。一目了然的网络性能指标CPU利用率、内存利用率、带宽利用率、设备响应性能、设备不可达等是网络性能管理中用户最关注的几项,基于此智能管理中心通过TopN列表,使用户能一目了然当前网络中的性能瓶颈问题。详实的性能统计报表利用采集到的性能数据信息,智能管理中心能对关键的性能监控内容形成实用、详实的统计报表,用户可以直接打印这些报表
32、,也可以将报表导成Excel、Html、PDF、Word等形式的文件。(2)EIA用户接入管理组件集中化的设备资源和用户资源管理除对网络设备的统一管理外,iMC也对用户基本信息进行集中维护,包括用户姓名、证件号码、通讯地址、电话、电子邮件、用户分组;并提供用户附加信息管理功能,管理员可根据网络运营的习惯进行用户信息定制,如学校可以定制学号、年级等信息,企业可以定制部门、职务等信息。设备和用户的统一分组管理支持设备和用户分组功能,通过对设备资源和用户进行分组管理,系统管理员方便的分配其他管理员的管理权限,便于职责分离。接入业务服务和用户分组可灵活对应,使得特定分组用户才能配置对应的特定服务,便于
33、管理员进行接入业务管理。用户管理与网络设备管理相融合,用户管理操作更简单接入设备列表中可以直接看到用户相关信息,提高了操作员日常维护的效率。设备选定后可直接对其进行用户操作,比如,针对某个接入设备,将其所挂的用户全部下线处理等。在线用户列表中提供接入设备查看入口,可查看当前在线用户所对应的接入设备的详细信息,比如,对应的基本信息、告警、性能状况等。网络设备管理和用户管理的全面融和,使得操作更友好,全面提升操作员操作体验。支持多种接入及认证方式,适合多种接入组网场景及应用场景支持802.1x、VPN接入等多种认证接入方式。支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多种身份验
34、证方式,适应不同安全要求的应用场景。支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证,增强用户认证的安全性,防止帐号盗用和非法接入。支持与Windows域管理器、第三方邮件系统(必须支持LDAP协议)的统一认证,避免用户记忆多个用户名和密码。支持终端准入控制(EAD)解决方案,确保所有接入网络的用户终端符合企业的安全策略严格的权限控制手段,强化用户接入控制管理基于用户的权限控制策略,可以为不同用户定制不同网络访问权限。可以控制用户的上网带宽(QoS;802.1x认证支持)、限制用户同时在线数、禁止用户设置和使用代理服务器,有效防止个别用户对网络资源的过度
35、占用。支持最大闲置时长限制。可以实现对用户ACL、VLAN的控制,限制用户对内部敏感服务器和外部非法网站的访问(802.1x认证支持)。可以限制用户IP地址分配策略,防止IP地址盗用和冲突。可以限制用户的接入时段和接入区域,用户只能在允许的时间和地点上网。可以限制终端用户使用多网卡和拨号网络,防止内部信息泄露。可以限制用户必须使用专用安全客户端,并强制自动升级,确保认证客户端的安全性。详尽的用户监控,强化对终端用户的监视控制iMC用户管理组件提供强大的“黑名单”管理,可以将恶意猜测密码的用户加入黑名单,并可按MAC、IP地址跟踪非法行为的来源。管理员可以实时监控在线用户,强制非法用户下线。支持
36、消息下发,管理员可以向上网用户发布通知消息,如“系统升级,网络将在10分中后切断”、“您的密码遭恶意试探,请注意保护密码安全”等。iMC用户管理组件记录认证失败日志,便于方便定位用户无法认证通过的原因。集中方便的接入业务用户管理,简化管理员维护操作基于服务的用户分类管理,用户的认证绑定策略、安全策略、访问权限均封装于服务中,简化管理员的操作,保证网络管理模式的统一。接入用户相关的管理动作集中化,界面对操作员来说更友好、更美观易用。接入用户可使用自助服务,帐号申请、查询、修改都通过自助服务页面完成,既提高效率,又减轻管理员的工作量。灵活的访客账号创建流程根据不同的应用场景,EIA访客管理提供不同
37、的访客账号创建模式:公共领域访客短信认证模式在公共领域(如商场、酒店、连锁、展馆、景区、营业厅、交通候客厅等),访客需要能通过手机号码注册账号并通过短信获取账号密码信息,快速接入公众无线网络,具体流程如下:1) 访客管理员在iMC EIA服务器上配置访客接入控制策略、账号失效天数等参数;2) 访客连接 “访客SSID”;3) 访客在推送的Web认证页面中输入个人手机号码,点击“获取密码”按钮;4) iMC EIA服务器为该手机号自动注册访客账号并分配已配置的访客接入控制策略及账号有效时间;5) iMC EIA服务器通过短信猫或短信网关将帐号及密码信息通过短信方式发送给访客;6) 访客手机接收短
38、信,在Web认证页面中输入获取到的密码;7) 访客身份验证成功后,根据访客接入控制策略控制访问Internet及特定网络资源;8) EIA服务器定期自动删除失效访客账号;企业访客接待员开户模式企业访客账号需专人(保安、前台或员工)管理的情况下,访客接待员可以通过登录自助系统为来访人员直接创建账号并分配接入策略,开户成功后通过邮件,具体流程如下:7) 访客接待登录iMC EIA服务器自助平台,创建访客帐号并分配访客接入控制策略及有效时长;8) iMC EIA服务器通过Email、短信方式将帐号及密码信息发送给访客;9) 访客连接“访客SSID”;10) 访客在推送的Web认证页面中输入其访客账号
39、和密码;11) 访客身份验证成功后,根据访客接入控制策略控制访问Internet及特定网络资源;12) EIA服务器定期自动删除失效访客账号企业访客自助开户模式企业访客自助模式是指账号由访客自行申请,但需要企业访客接待员统一审批的管理模式,具体流程如下:1) 访客连接“访客SSID”;2) 访客在推送的Web认证页面中点击“访客预注册”,在预注册页面中输入账号申请信息并选择访客接待员;3) 访客接待员登录iMC EIA服务器自助平台,为已预注册的访客分配网络接入策略及有效时长;4) 访客帐号生效后,可通过Email或者短信方式发送给该访客;5) 访客重新连接“访客SSID”,并在推送的Web认
40、证页面中输入其访客账号和密码;6) 访客身份验证成功后,根据访客接入控制策略控制访问Internet及特定网络资源;7) EIA服务器定期自动删除失效访客账号其它访客开户模式访客可以通过智能终端扫描二维码方便快捷地实现开户、接入,节省传统访客账号审批流程。通过EIA 丰富的SDK接口可与企业微信公众平台对接,实现访客通过关注企业微信公众号,一键快捷接入企业无线网络。支持通过多种短信环境发送访客账号信息支持通过主流短信猫接口发送短信通知,如WaveCom、万象、金笛等。支持通过Web接口访问第三方短信网关,快速、高效地发送账号信息短信。封装统一短信通知接口,支持与客户自有短信平台通过定制开发对接
41、。融合的接入设备管理,操作简单、管理方便接入设备配置与iMC ACL Manager解决方案的协同,选定接入设备后,可直接为此设备进行ACL配置;同时,在接入设备列表中,可查看其对应的ACL部署信息,便于快速部署及开通业务接入业务。为接入设备提供查询设备明细信息的链接,可通过简单的鼠标点击看到接入设备的详细信息,比如对应的基本信息、告警、性能状况等。接入设备管理与拓扑管理的融合,拓扑中可以清晰的显示出接入设备,查看接入设备相关信息,并可通过鼠标点击方式,将此接入设备设置为非接入设备。基于场景的授权策略,强化设备管理用户授权管理支持按场景分配授权策略,场景是设备位置区域、设备类型和接入时段的组合
42、,可定义在不同场景下设备管理用户所使用的Shell Profile和操作命令集。支持按固定时段、年/月/周/日为周期的接入时段配置,控制设备管理用户的登录设备各时间段的权限。支持Shell Profile精细化配置,定义设备管理用户登录设备时的全局属性,包括权限级别、接入ACL、限制时长等。支持命令集精细化配置,定义设备管理用户登录设备时的可执行的命令集合。详尽的日志审计,详细记录设备管理用户行为提供认证日志监控,记录设备管理用户登录设备成功或失败信息,包括登录名、登录结果(失败原因)、认证时间、登录设备IP、终端用户IP、权限级别、登录动作、认证类型、服务类型等。提供授权日志监控。授权行为包
43、括登录授权和命令行授权:若设备启用登录授权,TAM服务器会对登录成功的用户进行登录级别授权,并记录登录授权日志;若设备启用命令行授权,TAM服务器会在设备管理用户执行每一条命令时判断该用户是否拥有执行命令的权限,并记录命令行授权日志。提供设备管理用户行为审计日志监控。TAM服务器记录用户登录、登出设备以及各种行为日志,审计日志内容包括:登录名、审计类型、审计时间、设备IP、终端用户IP、命令行等。智能的广告推送,适应不同网络运营方需求iMC EIA组件可以配合iMC管理平台,针对不同用户身份/接入位置进行不同的广告推送业务,协助接入用户最快获取最需要的信息,从而可与第三方广告平台配合,适应不同
44、网络运营方需求,达成广告平台、网络运营方以及接入用户的三赢。3. 产品质量化和服务专业化3.1.1. 电信级产品质量保证H3C自2003年公司成立以来就继承了业界领导厂商华为和3Com的产品。整个网络产品的规划器都是按照电信级设计,从主机到主处理芯片,每一个元器件都经过严格质量认证和技术认证,基本上是选用一流供应商的元器件,保证元器件的性能和品质。在产品生产上,H3C公司采用业界先进的IPD CMM3.0集成产品开发流程,有严格的质量管理体系,从全流程的每一个环节控制产品质量。3.1.2. 强大的研发团队,自主知识产权,快速响应客户需求H3C的研发团队分布在北京、杭州、深圳和印度,海外研发中心
45、紧跟前沿技术脚步,国内研发中心快速响应客户需求。H3C全系列网络产品采用完全自主研发的软件,并采用了业界最为严格的测试标准,由位于北京的独立的鉴定测试中心来最终鉴定产品能否达到质量标准。此外由于自主开发软件,完全掌握知识产权,很容易根据客户的要求定制特殊功能,以满足特定情况下的应用。3.1.3. 完善的服务体系H3C公司在全国建立了30个区域服务中心和区域备件系统,承诺为客户提供专业、快捷、规范的服务,通过先进的通信技术与总部的技术服务平台连接,完成客户档案、维护经验案例、备件库存、产品发布等信息的共享,形成覆盖全国地市级城市,专职人员规模超过400人的技术服务体系。H3C致力于通过高质量的服
46、务提高用户网络的可用性,提升用户满意度。H3C成立了备件中心(SPC,Spare Parts Center)专门支撑H3C公司的售后服务和向客户的承诺,依托遍布全国主要城市的30个区域备件库和位于杭州、北京及深圳的3个分拨中心,建成了国际化、标准化、现代化的物流管理系统。H3C备件中心科学地进行备件仓储分析和管理,能够向客户提供高效的备件服务,最大限度地保障客户网络的平稳运行。3.1.4. 丰富的网络工程经验网络的工程实施对整个项目的成败至关重要。H3C专门成立了工程督导团队来确保网络工程的顺利实施,目前H3C公司已经成功实施了中南大学湘雅医院、北京协和医院、北京天坛医院等数字化医疗网工程的部
47、署,具备丰富的项目实施工程经验,保证项目进度,后顾无忧。4. 典型案例4.1. 中南大学湘雅医院湘雅医院无线网络是在内网基础上建设的一套无线网络,H3C有线无线一体化解决方案有效实现了有线和无线网络的融合,通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全,为医院用户提供安全的无线接入。湘雅医院无线网络包含近300台H3C的11n AP WA2620E,2台内置到核心交换机上的无线控制器插卡。应用S5120系列接入交换机进行PoE供电。同时,采用iMC有线无线一体化网管,可实现在同一界面中同时管理有线和无线设备,极大的方便了用户的网络管理;此外,通过iMC对设备和用户的集中管理,为医院提供安全的无线接入。4.2. 哈尔滨医科大学附属第一医院哈尔滨医科大
浙ICP备2021020529号-1 | 浙B2-20240490 
