1、 香河开发区医院 无线 方案 建议书 2015-6-30 目录 1. 概述 3 1.1. 香河开发区医院 简介 3 1.2. 医院建设需求 3 1.3. 无线网络需求 3 2. 香河开发区医院 无线网络系统设计 . 4 2.1. 无线网络部署方式 . 4 2.1.1. 部署方式 . 4 2.1.2. 无线效果 . 6 2.2. 无线网络功能 7 2.2.1. 微信认证、 APP 认证、短信方案介绍 7 2.2.2. 第三方微信、 QQ、短信认证介绍 错误 !未定义书签。 2.2.3. 802.1X 认证方案介绍 . 错误 !未定义书签。 2.2.4. WEB 认证方案介绍 错误 !未定义书签。
2、 2.2.5. 有线无线混合组网下的认证方案 错误 !未定义书签。 2.2.6. 用户管理 . 9 2.2.7. 频率规划与负载均衡 12 3. 典型案例 . 30 3.1. 中南大学湘雅医院 . 31 3.2. 哈尔滨医科大学附属第一医院 . 31 3.3. 北京天坛医院 32 3.4. 浙江省人民医院 . 33 3.5. H3C 移动医疗网部分用户名单 34 1. 概述 1.1. 香河开发区医院 简介 香河县气管炎哮喘医院位于中国 香河经济技术开发区,中信国安第一城西行一公里,距北京35Km、天津 50Km、唐山 80Km、廊坊 35Km,紧邻 103国道,交通方便,环境优美,是一所专科特
3、色突出的大型全民所有制医疗机构。该院设有气管炎哮喘专科、急诊科、内科、外科、妇产科、中医理疗科、放射科、化验室、制剂中心等 30余个临床医技科 室,共有气管炎哮喘病区 4个,综合病区2个,万级净化手术室 2个。 1.2. 医院 建设 需求 香河开发区医院 现有 办公内网 、办公外网两套网络,办公内网主要负责主治医生、护士等办公人员使用,办公外网没有进行统一规划,只有将近 20 台 PC 机通过一条 4M 的运营商 链路 ,实现互联网访问;随着医院信息化的发展, 目前医院有 建设无线 外 网络 实现 病患或家属提供无线上网服务。通过 与贵院信息中心 沟通,具体了解到医院网络 需求 ,及目前网络存
4、在的问题。 H3C 公司本着为客户负 责的态度,为贵院 提供 一个 稳定可靠、智能弹性 、 无缝接入、安全可控的面向办公 与科研等多业 务的网络建设规划 ,保障 院区数字化业务的高可用性与服务质量,满足未来至少五年医院 信息化的 科学可持续发展 。 具体方案规划如下: 1.3. 无线网络需求 随着移动终端的快速普及,如:智能手机、平板电脑、 PDA 等。无线网络需求 越来越丰富 , 目前已经不单单停留在无线 上网、游戏 、收发邮件 等 业务上; 移动医疗业务也越来越普及,如医导、移动查房、移动护理 、无线挂号 等业务层出不穷。 香河开发区医院 作为燕郊地区最具规模的医院,在无线建设方面非常重视
5、,目前 香河开发区医院 无线需求覆盖整个院区,实现所有楼层无死角无线覆盖, 通过对 香河开发区医院 住院楼 、门诊楼所有楼层的实际工勘情况, 特此在无线覆盖方面采用H3C 的放装式无线覆盖方案对需要覆盖的区域进行无线部署 。 1、 所有 AP 均采用最新一代 802.11ac 的无线协议标准,最高可实现单频 1.3G 的无线接入带宽。 2、所有 无线 AP 支持静谧模式,在无人连接无线的时候, AP 可自动调低功率,达到绿色节能的目的,当有人连接无线的时候, AP 自动将功率调整到正常状态,实现用户的无线接入。无线 AP的功能均小于 12.95W,采用标准的 POE 供电标准即可。 3、 大部
6、分病区、办公室区域门窗均为木质结构, 将放装式 AP WA4320-ACN 安装至走廊天花板 ,可以完全实现对走廊、病房及办公室 区域的 信号 覆盖 。 4、 部署一台 高性能无线控制器 WX3510E,实现 无线控制器 AC 对 所有 AP 的统一配置、统一管理、统一维护 , 保证无线网络的高可靠、高稳定、高可用,单台设备 最大可管理 128 个无线 AP。 7、 所有 AP 均采用 POE 供电的方案,在各楼层部署 8 口 POE 交换机 ,实现对 AP 的远程 POE供电功能 。 2. 香河开发区医院 无线 网络系统设计 2.1. 无线网络部署方式 基于网络的先进性考虑 ,香河开发区医院
7、 无线网络建议采用主流的无线控制器 +瘦 AP 的架构 ,在实现对医院进行无缝覆盖 的同时 ,又能够实现对无线网络的灵活管理配置 ,提高网络维护效率,该架构下的无线网络由一台无线控制器,和多台无线 AP 组成,所有的无线 AP 皆由该控制器进行统一的配置和管理。无线 AP 可以通过 PoE 交换机进行远程的 PoE 供电或者选择本地供电。如果采用远程的 PoE 供电,则可以在无线控制器上按照时间进行无线 AP 的开关定时,按照设定好的策略自动定时开关 AP,满足一定的节能需求。 2.1.1. 部署方式 放装 AP 部署 此方案中采用放装式 AP 吸顶安装的部署方式进行无线覆盖。 放装 AP 部
8、署图: H3C 新一代无线 AP 采用智能覆盖技术具备 更好的覆盖效果: 采用了新一代终端感知型智能天线阵列技术,它结合了“ On-Chip”和“ On-Antenna”的优势特点,对于 WA4300 系列 AP,其天线阵列由 12 个天线振子构成,最高可形成多达 4000 个以上的天线辐射图型。每一个天线振子都精心调配,协同工作,使可能产生的辐射图达到接近于完美的覆盖(如图 5 所示)。同时 AP 会运行 H3C 专利的天线选择算法,针对不同位置的终端,从若干天线振子中选择出不同的振子来进行报文的发送或接收,在选择的同时,会加入相位和延时的整体考量,进一步加强了对终端行为的探测感知和天线阵
9、列的快速收敛。 创新的终端感知型智能天线阵列(最高可达 4096 种波形),按照终端的应用智能调整 MIMO路径 基于特征和协议的射频优化,不同距离、不同场景的智能覆盖 部署更简便、维护更方便、性能更优越 绿色低碳设计 全速率全特性能够满足标准 POE 供电(低于 12.95W)。 WA4300 i 系列 AP 采用专业绿色低碳设计,支持动态 MIMO 省电模式 (DMPS)与增强型自动省电传送 (E-APSD),智能辨识终端实际性能需求,合理化调配终端休眠队列,动态调整 MIMO 工作模式。 WA4300 i 系列 AP 支持 Green AP 模式,实现单天线待机,节能更精准。 WA430
10、0 i 系列 AP 通过创新性的逐包功率控制 (PPC)技术,在确保报文能成功传输的前提下动态调节 AP 设备和客户端 直接的双向功率,以达到减少设备能耗和延长移动终端待机时间的作用。 2.1.2. 无线效果 无线施工完成以后, 5GHz 频段的全区域信号强度达到 65dBm 以上,并且大部分区域在45db 到 55dB 左右,完全满足移动终端的使用要求。无线的报文性能也较高,具体可参考如下现场的测试数据。图 3 中最后两个测试了病房内距离天线最远的角落,并且用人作为遮挡来测试 ,强度都很高,终端可以正常通信。 1 信号强度测试数据 图 4 为病房内单用户性能测试结果,可以看出,在病房各个区域
11、内,用户性能都在 60 70Mbps左右,并且非常稳定,完全满足医院内的各种无线业务应用。 2 单用户性能测试结果 医疗 WLAN 业务承载网不同于普通的 WiFi 热点服务,对网络质量要求较高。不管是 2.4G 频段还是 5.8G 频段,业务区域的信号强度需要达到 -65dB 以上,才能保证业务的稳定展开。 对于医院自主建设 的 WLAN 网络,推荐 5G 作为医疗业务承载频段, 2.4G 可以供非医疗业务,无线定位等使用,对 5G 网络没有影响; 2.2. 无线网络功能 2.2.1. 微信 认证方案 针对 为用户组建免费 WIFI 的大趋势并结合移动互联网营销需求, H3C ACG1000
12、 产品为用户提供创新的微信推广方案,用户只需关注企业公众号后简单操作即可获得上网权限。 用户第一次访问流程 第 1 步访客先通过 3G 或者企业 WIFI 接入(将微信服务器地址作为 Free IP),通过扫描二维码或查找企业公众号进行订阅; 第 2 步 微信客户端将订阅信息发送到腾讯微信服务器,微信服务器将访 客的订阅动作以及微信 OpenID 等信息发送给企业微信服务器。企业微信服务器通过 OpenID 可以查询该用户的昵称,头像,性别等信息; 第 3 步 企业微信服务器调用 ACG 1000 微信认证功能 ,用微信 OpenID 作为账号名进行开户,密码动态生成,昵称为用户姓名,头像,性
13、别等相应保存。 第 4 步 . 企业微信服务器通知访客订阅成功并且推出含 H3C 无线 Web Portal 认证的链接,且提示用户必须先启用某个 SSID 的 WIFI。给访客推出 H3C 无线 Web Portal 认证链接,可以直接附加在订阅动作中,也可以单独通过菜 单动作 (例如接入 WIFI),或者命令行触发。 第 5 步 访客看到第 4 步的提示后接入企业实际 WIFI,点击微信公众平台发出的上网链接,通过单点登录自动完成身份认证,即可成功上网。 用户后续访问流程 第 1 步访客第二次接入,通过企业微信公众平台发送“接入 WIFI”指令; 第 2 步 微信客户端将指令发送到腾讯微信
14、服务器,腾讯微信服务器将将微信 OpenID、上网指令等信息返回给企业微信服务器。 第 3 步 企业微信服务器通过 OpenID 调用 ACG 1000 微信 接口查询该用户是否已经开户,若已开户,直接下一步。若未开户,则再次 参考第一次接入流程中的步骤 3 使用该 OpenID 进行开户动作; 第 4 步 . 企业微信服务器向访客推出无线认证提示页面,提示访客接入企业 WIFI 后,点击提供的链接地址完成登录; 第 5 步 访客看到第 4 步的提示后接入企业实际 WIFI,点击微信公众平台发出的上网链接,通过单点登录自动完成身份认证,即可成功上网。 2.2.2. 访客账号管理 访客账号需专人
15、( 前台或信息中心 )管理的情况下,访客接待员可以通过登录自助系统为来访人员直接创建账号并分配接入策略,开户成功后通过邮件,具体流程如下: 1) 访客接待 登录 iMC EIA 服务器自助平台 , 创建访客帐号并分配 访客 接入 控制 策略 及有效时长 ; 2) iMC EIA 服务器通过 Email、短信方式 将帐号及密码 信息 发送给访客 ; 3) 访客连接“访客 SSID”; 4) 访客在推送的 Web 认证页面中 输入 其访客 账号 和 密码 ; 5) 访客身份验证成功后, 根据访客 接入控制策略 控制访问 Internet 及特定网络资源 ; ; 6) EIA 服务器定期自动删除失效
16、访客账号 2.2.3. 应用 层 管理 H3C SecPath ACG 1000 是 H3C 公司新一代应用控制网关, ACG 1000 引入了全方位上网行为管理要素,是面向客户业务而量身定制的全业务网关产品。 最全面 的应用识别能力 通过 H3C 长期积累的状态机检测、流量交互检测技术,能精确检测 115 网盘、电信通、盛大网盘、百度网盘、 360 云盘、 Thunder/Web Thunder(迅雷 /Web 迅雷)、 BitTorrent、 eMule(电骡)/eDonkey(电驴)、 QQ、 MSN、新浪 UC、阿里旺旺、新浪微博、腾讯微博、天涯论坛、猫扑论坛、微信等 P2P/IM/网
17、络游戏 /炒股 /网络视频 /网络多媒体等多种主流网络应用,为应用控制及审计提供有力支撑。 精细化的流量管理功能 SecPath ACG 支持超过 4 级通道带宽嵌套,满 足大型网络管理要求,支持基于地址、用户、服务、应用、时间等新五元组一体化策略的上下行带宽及多优先级控制,流量管理无死角。 SecPath ACG 设备的智能流控技术将出口物理线路带宽划分为逻辑虚拟线路,在父线路内支持二次划分,即将线路划分为通道,从而达到多级流控。根据流量特征,智能识别应用和服务,之后根据流量特性,识别出配置的虚拟线路和流控管道,计算出管道的带宽使用率,是否需要向父节点借用带宽等信息。在转发过程中,支持流量整
18、形,在接口上缓存报文,并以比较均匀的速度发送出去,避免网络出现 burst,导致丢包。 SecPath ACG 产品整机提供 32 个虚拟线路、 1024 个带宽通道、 4 级流控,彻底告别陈旧的流控技术,让带宽管理做到最精细! 智能阻断技术 相比传统的 QoS 丢包技术, SecPath ACG 提供的智能阻断技术抛弃了 “允许所有流量转发到接口,在接口上区分流量优先级,并在接口上进行缓存和丢包 “的技术实现方式,而采用更加优化的阻断方式:一旦流控模块识别出用户设定的垃圾流量,立刻在设备上删除所有与该垃圾应用相关的数据连接,所以垃圾流量从一开始就不会产生,所以宝贵的带宽资源无需被吞噬;而同时
19、,设备可以免于接口队列 调度丢包,节省大量资源,帮助客户节省带宽和设备资源。 精细化的应用控制功能 SecPath ACG 采用了 DPI/DFI 融合识别技术,相对于传统的流控产品,控制力度更精细,控制层面不再局限在主程序,更能深入识别应用程序的子功能。例如对新浪微博的控制力度不仅仅是登录动作,更是深入识别到注销、发表、评论、转发、关注、搜索等子功能,支持单应用高达 12 种行为动作控制、超过八百种主流应用类别识别、近 60 种分类 URL 审计过滤、桌面及移动终端均可审计控制,提供最精细的控制功能。 丰富的报表 提供实时的业务流量趋势图、流量分 布图、 Top N 用户列表、 Top N
20、应用协议列表等报表,并支持按照用户名 /用户组、使用时段、应用分类、应用协议、流量大小、安全事件等进行多维度组合定制报表,使用户能全面掌握网络中的流量、应用和业务分布,为合理规划网络、制定流量控制策略提供依据。 完善的安全审计系统 可对各种网络社区、 P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输、数据库应用等各种上网行为提供全方面的行为监控和记录;同时,通过综合分析、检测用户网络流量与流向趋势,对历史数据进行分析,为用户提供细粒度的网络应用审计管理系统 。 高性能、高可靠性 采用最新的基于 MIPS64 的多核 SoC( System on Chip)处理器,控制与转发相分
21、离,实现了千兆级线速业务处理能力,仅有微秒级时延;通过 Bypass、双电源冗余等高可靠性设计,保证SecPath ACG 在断电、软硬件故障或链路故障、流量过载的情况下,网络链路仍然畅通。 及时的特征库更新 H3C 专业特征库团队密切跟踪应用变化,并对应用协议特征库及时更新;支持对协议特征库的在线自动 /手动升级、本地升级,且升级过程无需重启系统,不影响系统业务运行。 2.2.4. 频率规划与负载均衡 频率规 划 802.11b/802.11g 使用开放的 2.4GHz ISM 频段,可工作的信道数为欧洲标准信道数 13 个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠
22、信道只有相隔 5 个信道的工作中心频点。因此对于 802.11b/802.11g 在 2.4GHz 地工作频段,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。 实验证明 3 载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带 宽业务的开展。 频率规划原理图 频率规划需要配合使用的功能包括: AP 支持 11 个信道设置 AP 支持外置天线以及定向天线 针对特殊应用还需要 AP 支持桥接功能、接入功能以及 WDS 功能 结合以上功能的支持,以及勘探工具,可以较好的部署
23、AP 达到频率规划的效果。针对医院、无线小区、机场、酒店、高密度会议场所( APEC 会议)等热点区域进行过频率规划,使用效果较好。 负载均衡 WLAN 解决方案, AP 上支持标准的 IAPP 协议框架,通过负载均衡的部署,可 实现在一个热点内用户平均分配到所部署的所有 AP 上,达到在一个服务区 AP 接入用户数何流量的平衡,为用户提供更高的服务质量。具体可部署的负载均衡策略有: 1. 对所有 AP 设置基于用户数的负载均衡功能, AP 通过对接入用户数的统计,与设定 AP接入用户数量的阀值进行比较,达到阀值后,不允许新的用户接入。 2. 对所有 AP 设置基于流量的负载均衡功能, AP
24、通过对接入用户流量的统计,与设定 AP上的流量漏桶阀值上沿比较,达到阀值后,不允许新的用户接入,少于阀值下沿,再允许新用户接入。 3. 配合网络规划,设置 AP 群功能,在一个群内的 AP 通过组 播报文实时通报接入用户数量,当发现 AP 间用户数差值大于设定阀值,接入用户多的 AP 将部分用户赶下网。 2.2.4.1. 切换与漫游 切换定义:用户在不同 AP 间移动,不需要重认证,业务不中断; 1. AP 位于同一 L3/L2 之下的不同物理端口下同一 VLAN 之中 2. AP 位于同一 L3/L2 之下的不同物理端口下不同 VLAN 之中 3. AP 位于同一 Wireless Swit
25、ch 之下不同 L3/L2 之下的同一 VLAN 之中 4. AP 位于不同 Wireless Switch 之下不同 L3/L2 之下的同一 VLAN 之中 5. AP 位于不同子网下 6. 支持动态加密 漫游功能 漫游主要 是指异地用户通过本地 WLAN 网络上网或者本地用户移动到异地可通过异地的WLAN 网络上网。通过 AAA Server 支持 Proxy 功能进行用户判别、认证、计费与结算。此功能已经在运营商网络中已经 实现并验证,效果良好,目前在行业网络中基本上没有这应用,但在 网络中必须使用此功能,此功能要求后端系统的用户信息进行互动,采用协议达成或者数据共享进行达成,建议采用后
26、端系统进行协议交互达成用户在漫游地认证通过并获得服务。 2.2.4.2. AP 供电 由于实际组网应用中 AP 设备数量较大, AP 都带有一个供电模块,只需要通过 AP 供电模块和现有的楼 层配线间的交换机,为 AP 实现远程供电,供电距离达 100 米,能够满足实际组网的要求。 2.3. 智能网管平台功能 ( 1) IMC 网管管理平台 H3C iMC 网管平台支持用户分权管理功能:可以为不同的管理员设置不同的用户名、密码,并限制管理员的管理权限和管理范围,实现用户分权管理。 全面的基础资源管理 广泛的管理设备类型:除了传统的路由器、交换机外,更能对网络中的无线、安全、存储、语音、监控、视
27、频、服务器、虚拟设备、打印机、 UPS 等设备进行管理,实现设备资源的集中化管理。 多厂家设备的统一管理:除了对 H3C 的网络设备管理外, H3C 智能管理平台还实现了对业界其他主流厂家网络设备的管理。 灵活快捷的自动发现算法:基于 H3C 专利的发现算法, H3C 智能管理平台不仅提供了快速自动发现方式,还提供了五种高级自动发现方式,包括路由方式、 ARP 方式、 IPSec VPN 方式、网段方式、PPP 方式等,能快速、准确地发现网络资源。 直观的设备面板管理:支持设备面板管理,所见即所得的显示设备的资产组成和运行状态。 个性化的用户界面 iMC 提供可定制的主题风格界面,并缺省提供五
28、套主题外观 天蓝、 浅蓝、酷黑、雅灰、藏青。 iMC 智能管理中心天蓝色主题 iMC 智能管理中心藏青色主题 iMC 提供了操作系统桌面式 web 桌面版,用户可定义个性化的个人桌面,例如桌面图标、桌面背景等。 iMC 智能管理中心桌面版 iMC 首页提供了个性化定制功能,可方便地将业务发布的信息集中展现到一个页面上,用户可在权限允许的范围内定制自己的首页展示内容,并可通过任意拖拉的方式定制展示布局。一个widget 就是首页中用户定制的部分区域,代表了业务的一个具体功能。 iMC 首页提供了首页布局更改和 widget 的各种操作,如折 叠、还原、最大化、拖拉、关闭、新窗口打开等。 个性化首
29、页 灵活方便的拓扑功能 丰富、实用的网络拓扑视图:除传统的 IP 拓扑视图外, H3C 智能管理中心平台还提供全网络的拓扑视图和自定义拓扑视图,使用户可以根据自己的组织结构、地域情况、甚至楼层情况清晰灵活地绘制出客户化的网络拓扑。在全网络拓扑视图中,用户可以随意组织和定制子图。 增强的二层拓扑:传统实现的拓扑都是基于 IP 的三层拓扑, H3C 智能管理中心平台在此基础上更支持二层拓扑,实现了同一个 VLAN 或者网段内部 PC 与网络设备、二层网络设备之间的互连关系, 更方便直观的体现了网络中设备的互联关系。 自动化拓扑视图建立,可以按 IP 地址网段规则将新增设备自动加入自定义视图、自定义
30、拓扑中。 GIS 地图拓扑 全景拓扑:全景拓扑将物理拓扑、虚拟机、无线设备统一在一个拓扑视图中展示。 流量拓扑:以端口流量和网络负载为主要视角,向使用者展示所关注的网路拓扑结构和流量负载数据统计及分析情况。 智能手机客户端 为了方便用户管理网络, iMC 支持智能手机客户端访问 iMC。目前已支持 Android 操作系统和iOS 操作系统的智能移动设备(包括 Androd 智能手机、平板、 iPhone、 iPad、 iPod touch 等),访问 iMC 中的设备、告警、视图等信息,并可接收告警的实时推送。 灵活快捷的自动发现算法 基于 H3C 专利的发现算法, H3C 智能管理平台能快
31、速、准确地发现网络资源,包括路由方式、ARP 方式、 IPSec VPN 方式、网段方式等。 清晰、直观的故障列表 智能管理中心能自动汇总全网中故障设备,形成故障设备列表,使管理员能快速、清晰的找到需要关注的故障设备。 一目了然的网络性能指标 CPU 利用率、内存利用率、带宽利用率、设备响应性能、设备不可达等是网络性能管理中用户最关 注的几项,基于此智能管理中心通过 TopN 列表,使用户能一目了然当前网络中的性能瓶颈问题。 详实的性能统计报表 利用采集到的性能数据信息,智能管理中心能对关键的性能监控内容形成实用、详实的统计报表,用户可以直接打印这些报表,也可以将报表导成 Excel、 Htm
32、l、 PDF、 Word 等形式的文件。 ( 2) EIA 用户接入管理组件 集中化的设备资源和用户资源管理 除对网络设备的统一管理外, iMC 也对用户基本信息进行集中维护,包括用户姓名、证件号码、通讯地址、电话、电子邮件、用户分组;并提供用户附加信息管理功能, 管理员可根据网络运营的习惯进行用户信息定制,如学校可以定制学号、年级等信息,企业可以定制部门、职务等信息。 设备和用户的统一分组管理 支持设备和用户分组功能,通过对设备资源和用户进行分组管理,系统管理员方便的分配其他管理员的管理权限,便于职责分离。 接入业务服务和用户分组可灵活对应,使得特定分组用户才能配置对应的特定服务,便于管理员
33、进行接入业务管理。 用户管理与网络设备管理相融合,用户管理操作更简单 接入设备列表中可以直接看到用户相关信息,提高了操作员日常维护的效率。 设备选定后可直接对其进行用户操作 ,比如,针对某个接入设备,将其所挂的用户全部下线处理等。 在线用户列表中提供接入设备查看入口,可查看当前在线用户所对应的接入设备的详细信息,比如,对应的基本信息、告警、性能状况等。 网络设备管理和用户管理的全面融和,使得操作更友好,全面提升操作员操作体验。 支持多种接入及认证方式,适合多种接入组网场景及应用场景 支持 802.1x、 VPN 接入 等 多种 认证 接入 方式 。 支持 PAP、 CHAP、 EAP-MD5、
34、 EAP-TLS、 PEAP 等多种身份验证方式,适应不同安全要求的应用场景。 支持 用户与设备 IP 地址 、 接入端口 、 VLAN、 用户 IP 地址 和 MAC 地址等 硬件信息的 绑定认证 ,增强用户认证的安全性,防止帐号盗用和非法接入。 支持与 Windows 域管理器、第三方邮件系统(必须支持 LDAP 协议)的统一认证,避免用户记忆多个用户名和密码。 支持终端准入控制( EAD)解决方案,确保所有接入网络的用户终端符合企业的安全策略 严格的权限控制手段,强化用户接入控制管理 基于用户的权限控制策略,可以为不同用户定制不同网络访问权限。 可以控制用户的上网带宽( QoS; 802
35、.1x 认证支持)、限制用户同时在线数、禁止用户设置和使用代理服务器 ,有效防止个别用户对网络资源的过度占用。 支持最大闲置时长限制。 可以实现对用户 ACL、 VLAN 的控制,限制用户对内部敏感服务器和外部非法网站的访问( 802.1x 认证支持)。 可以限制用户 IP 地址分配策略,防止 IP 地址盗用和冲突。 可以限制用户的接入时段和接入区域,用户只能在允许的时间和地点上网。 可以限制终端用户使用多网卡和拨号网络,防止内部信息泄露。 可以限制用户必须使用专用安全客户端,并强制自动升级,确保认证客户端的安全性。 详尽的用户监控,强化对终端用户的监视控制 iMC 用户管理组件提供强大的“
36、黑名单”管理,可以将恶意猜测密码的用户加入黑名单,并可按 MAC、 IP 地址跟踪非法行为的来源。 管理员可以实时监控在线用户,强制非法用户下线。 支持消息下发,管理员可以向上网用户发布通知消息,如“系统升级,网络将在 10 分中后切断”、“您的密码遭恶意试探,请注意保护密码安全”等。 iMC 用户管理组件记录认证失败日志,便于方便定位用户无法认证通过的原因。 集中方便的接入业务用户管理,简化管理员维护操作 基于服务的用户分类管理,用户的认证绑定策略、安全策略、访问权限均封装于服务中,简化管理员的操作,保证网络管理 模式的统一。 接入用户相关的管理动作集中化,界面对操作员来说更友好、更美观易用
37、。 接入用户可使用自助服务,帐号申请、查询、修改都通过自助服务页面完成,既提高效率,又减轻管理员的工作量。 灵活的访客 账号创建流程 根据不同的应用场景, EIA 访客管理提供不同的访客账号创建模式: 公共领域访客短信认证模式 在公共领域(如商场、酒店、连锁、展馆、景区、营业厅、交通候客厅等),访客需要能通过手机号码注册账号并通过短信获取账号密码信息,快速接入公众无线网络,具体流程如下: 1) 访客管理员在 iMC EIA 服务器上配置访 客接入控制策略、账号失效天数等参数; 2) 访客连接 “访客 SSID”; 3) 访客在推送的 Web 认证页面中输入个人手机号码,点击“获取密码”按钮;
38、4) iMC EIA 服务器为该手机号自动注册访客账号并分配已配置的访客接入控制策略及账号有效时间; 5) iMC EIA 服务器通过短信猫或短信网关将帐号及密码信息通过短信方式发送给访客; 6) 访客手机接收短信,在 Web 认证页面中输入获取到的密码; 7) 访客身份验证成功后,根据访客接入控制策略控制访问 Internet 及特定网络资源; 8) EIA 服务器定期自动删除失效访客账号; 企业访客接待员开户 模式 企业访客账号需专人(保安、前台或员工)管理的情况下,访客接待员可以通过登录自助系统为来访人员直接创建账号并分配接入策略,开户成功后通过邮件,具体流程如下: 7) 访客接待 登录
39、 iMC EIA 服务器自助平台, 创建访客帐号并分配 访客 接入 控制 策略 及有效时长 ; 8) iMC EIA 服务器通过 Email、短信方式 将帐号及密码 信息 发送给访客 ; 9) 访客连接“访客 SSID”; 10) 访客在推送的 Web 认证页面中 输入 其访客 账号 和 密码 ; 11) 访客身份验证成功后, 根据访客 接入控制策略 控制访问 Internet 及特定网络资源 ; ; 12) EIA 服务器定 期自动删除失效访客账号 企业访客自助开户模式 企业访客自助模式是指账号由访客自行申请,但需要企业访客接待员统一审批的管理模式,具体流程如下: 1) 访客连接“访客 SS
40、ID”; 2) 访客 在推送的 Web 认证页面中 点击 “访客预注册”, 在预注册页面中输入 账号 申请 信息并选择访客接待员; 3) 访客接待员登录 iMC EIA 服务器 自助平台 ,为 已预注册的访客分配网络接入策略 及 有效 时长 ; 4) 访客 帐号 生效后,可通过 Email 或者短信方式 发送给 该 访客; 5) 访客重新连接 “访客 SSID” ,并在推送的 Web 认证页面中 输入 其访客 账号 和 密码; 6) 访客 身份验证成功后, 根据访客 接入控制策略 控制访问 Internet 及特定网络资源 ; ; 7) EIA 服务器定期自动删除失效访客账号 其它访客开户模式
41、 访客可以通过智能终端扫描二维码方便快捷地实现开户、接入,节省传统访客账号审批流程。通过 EIA 丰富的 SDK 接口可与企业微信公众平台对接,实现访客通过关注企业微信公众号,一键快捷接入企业无线网络。 支持通过多种短信环境发送访客账号信息 支持通过主流短信猫接口发送短信通知,如 WaveCom、万象、金笛等。 支持通过 Web 接口访问第三方短信网关,快速、高效地发送账号信息短 信。 封装统一短信通知接口,支持与客户自有短信平台通过定制开发对接。 融合的接入设备管理,操作简单、管理方便 接入设备配置与 iMC ACL Manager 解决方案的协同,选定接入设备后,可直接为此设备进行ACL
42、配置;同时,在接入设备列表中,可查看其对应的 ACL 部署信息,便于快速部署及开通业务接入业务。 为接入设备提供查询设备明细信息的链接,可通过简单的鼠标点击看到接入设备的详细信息,比如对应的基本信息、告警、性能状况等。 接入设备管理与拓扑管理的融合,拓扑中可以清晰的显示出接入设备,查看接入设备相关信息 ,并可通过鼠标点击方式,将此接入设备设置为非接入设备。 基于场景的授权策略,强化设备管理用户授权管理 支持按场景分配授权策略,场景是设备位置区域、设备类型和接入时段的组合,可定义在不同场景下设备管理用户所使用的 Shell Profile 和操作命令集。 支持按固定时段、年 /月 /周 /日为周
43、期的接入时段配置,控制设备管理用户的登录设备各时间段的权限。 支持 Shell Profile 精细化配置,定义设备管理用户登录设备时的全局属性,包括权限级别、接入 ACL、限制时长等。 支持命令集精细化配置,定义设备管理用户登 录设备时的可执行的命令集合。 详尽的日志审计,详细记录设备管理用户行为 提供认证日志监控,记录设备管理用户登录设备成功或失败信息,包括登录名、登录结果(失败原因)、认证时间、登录设备 IP、终端用户 IP、权限级别、登录动作、认证类型、服务类型等。 提供授权日志监控。授权行为包括登录授权和命令行授权:若设备启用登录授权, TAM 服务器会对登录成功的用户进行登录级别授
44、权,并记录登录授权日志;若设备启用命令行授权, TAM 服务器会在设备管理用户执行每一条命令时判断该用户是否拥有执行命令的权限,并记录命令行授权日志 。 提供设备管理用户行为审计日志监控。 TAM 服务器记录用户登录、登出设备以及各种行为日志,审计日志内容包括:登录名、审计类型、审计时间、设备 IP、终端用户 IP、命令行等。 智能的广告推送,适应不同网络运营方需求 iMC EIA 组件可以配合 iMC 管理平台,针对不同用户身份 /接入位置进行不同的广告推送业务,协助接入用户最快获取最需要的信息,从而可与第三方广告平台配合,适应不同网络运营方需求,达成广告平台、网络运营方以及接入用户的三赢。
45、 3. 产品质量化和服务专业化 3.1.1. 电信级产品质量保证 H3C 自 2003 年 公司成立以来就继承了业界领导厂商华为和 3Com 的 产品。整个网络产品的规划器都是按照电信级设计,从主机 到主处理芯片,每一个元器件都经过严格质量认证和技术认证,基本上是选用一流供应商的元器件,保证元器件的性能和品质。在产品生产上, H3C 公司采用业界先进的 IPD CMM3.0 集成产品开发流程,有严格的质量管理体系,从全流程的每一个环节控制产品质量。 3.1.2. 强大的研发团队,自主知识产权,快速响应客户需求 H3C 的研发团队分布在北京、杭州、深圳和印度,海外研发中心紧跟前沿技术脚步,国内研
46、发中心快速响应客户需求。 H3C 全系列 网络 产品采用完全自主研发的软件,并采用了业界最为严格的测试标准,由位于北京的独立的鉴定测试中心来最终鉴定产品能否达到质量标准。此外由于自主开发软件,完全掌握知识产权,很容易根据客户的要求定制特殊功能,以满足特定情况下的应用。 3.1.3. 完善的服务体系 H3C 公司在全国建立了 30 个区域服务中心和区域备件系统 ,承诺为客户提供专业、快捷、规范的服务,通过先进的通信技术与总部的技术服务平台连接,完成客户档案、维护经验案例、备件库存、产品发布等信息的共享,形成覆盖全国地市级城市,专职人员规模超过 400 人的技术服务体系。 H3C 致 力于通过高质
47、量的服务提高用户网络的可用性,提升用户满意度。 H3C 成立了 备件中心( SPC, Spare Parts Center) 专门 支撑 H3C 公司 的售后 服务和 向客户的承诺,依托遍布全国主要城市的 30 个区域备件库和位于杭州、北京 及深圳 的 3 个分拨中心,建成了国际化、标准化、现代化的物流管理系统。 H3C 备件中心科学地进行备件仓储分析和管理,能够向客户提供高效的备件服务,最大限度地保障客户网络的平稳运行。 3.1.4. 丰富的 网络工程经验 网 络的工程实施对整个项目的成败至关重要。 H3C 专门成立了工程督导团队来确保 网络工程的顺利实 施,目前 H3C 公司已经成功实施了 中南大学湘雅医院、北京协和医院、北京天坛医院 等 数字化医疗 网工程的部署,具备丰富的 项目实施工程经验,保证项目进度,后顾无忧。