某醫(yī)院網(wǎng)絡(luò)整體解決方案建議書(shū)目錄第1章系統(tǒng)需求分析1.1概述1.2總體需求1.3網(wǎng)絡(luò)建設(shè)原則1.4網(wǎng)絡(luò)系統(tǒng)的整體架構(gòu)1.5醫(yī)院業(yè)務(wù)應(yīng)用分析1.5.1醫(yī)院業(yè)務(wù)劃分1.5.2應(yīng)用系統(tǒng)分類1.5.3醫(yī)院業(yè)務(wù)系統(tǒng)的需求第2章網(wǎng)絡(luò)總體設(shè)計(jì)2.1XXXX區(qū)人民醫(yī)院整體網(wǎng)絡(luò)設(shè)計(jì)2.1.1組網(wǎng)說(shuō)明2.2方案特性總結(jié)2.2.1電信級(jí)的可靠性2.2.2先進(jìn)的虛擬化技術(shù)應(yīng)用2.2.3有線無(wú)線一體化2.2.4網(wǎng)絡(luò)與安全的深度融合2.2.5統(tǒng)一管理第3章端點(diǎn)準(zhǔn)入防御(EAD)方案3.1概述3.2方案思路3.3方案組成部分3.4EAD應(yīng)用模式3.5應(yīng)用模型3.5.1安全準(zhǔn)入應(yīng)用模型3.5.2安全準(zhǔn)入工作流程3.6功能特點(diǎn)3.6.1安全狀態(tài)評(píng)估3.6.2用戶權(quán)限管理3.6.3用戶行為監(jiān)控第4章無(wú)線解決方案4.1概述4.2客戶需求4.3無(wú)線組網(wǎng)選擇4.4無(wú)線網(wǎng)絡(luò)建設(shè)方案4.4.1整體組網(wǎng)方案4.4.2覆蓋解決方案4.4.3覆蓋效果理論計(jì)算第5章管理中心設(shè)計(jì)5.1集成化管理平臺(tái)5.2系統(tǒng)安全管理5.3資源管理5.4拓?fù)涔芾?.5故障（告警/事件）管理5.6告警深度關(guān)聯(lián)分析與統(tǒng)計(jì)5.7性能管理5.8設(shè)備管理組件5.9接入與準(zhǔn)入控制第1章系統(tǒng)需求分析1.1概述衛(wèi)生部于2002/5/28日出臺(tái)《醫(yī)院信息系統(tǒng)基本功能規(guī)范》，制定了全國(guó)醫(yī)療信息化建設(shè)的統(tǒng)一技術(shù)標(biāo)準(zhǔn)，評(píng)審開(kāi)發(fā)商的產(chǎn)品和解決方案的依據(jù)和標(biāo)準(zhǔn)和醫(yī)院信息化建設(shè)的指導(dǎo)性文件。指出醫(yī)院信息系統(tǒng)應(yīng)該包括臨床診療、藥品管理、經(jīng)濟(jì)管理、綜合管理與統(tǒng)計(jì)分析等部分。詳細(xì)規(guī)定了：門診醫(yī)生工作站分系統(tǒng)、護(hù)士工作站分系統(tǒng)、醫(yī)學(xué)影像分系統(tǒng)、藥品管理分系統(tǒng)等的功能規(guī)范。對(duì)醫(yī)療信息系統(tǒng)與醫(yī)療保險(xiǎn)、社區(qū)衛(wèi)生服務(wù)、遠(yuǎn)程醫(yī)療咨詢系統(tǒng)的外部接口規(guī)定了統(tǒng)一標(biāo)準(zhǔn)。醫(yī)院信息化包括管理信息化、臨床管理信息化、局域醫(yī)療衛(wèi)生服務(wù)信息化三個(gè)階段。目前大多數(shù)醫(yī)院停留在醫(yī)院管理信息化階段，需要將化驗(yàn)自動(dòng)化－》信息化；醫(yī)院的HIS系統(tǒng)包括：醫(yī)院管理信息系統(tǒng)（MIS）、臨床信息系統(tǒng)（CIS）、醫(yī)學(xué)影像和通信系統(tǒng)（PACK）、辦公自動(dòng)化系統(tǒng)（OA）。醫(yī)院信息化即醫(yī)院信息系統(tǒng)（HIS）建設(shè)將經(jīng)歷三個(gè)階段：醫(yī)院管理信息化階段（HMIS）、臨床管理信息化階段（HCIS）、局域醫(yī)療衛(wèi)生服務(wù)階段（GMIS）。醫(yī)院信息化系統(tǒng)的結(jié)構(gòu)如下：1.2總體需求XXXX區(qū)人民醫(yī)院網(wǎng)絡(luò)建設(shè)將覆蓋整個(gè)新綜合大樓、老住院部、門診部等幾大主樓。新綜合大樓和老住院部的通過(guò)萬(wàn)兆光纖連接到門診大樓網(wǎng)絡(luò)中心，門診大樓內(nèi)部接入交換機(jī)通過(guò)雙鏈路千兆上行直接接入數(shù)據(jù)中心核心交換機(jī)；本次建設(shè)的采用10G光纖主干到中心，1000M到桌面的方式；根據(jù)今后XXXX區(qū)人民醫(yī)院的發(fā)展需求，目前我們的網(wǎng)絡(luò)應(yīng)該具有高帶寬、高可靠、高性能、高安全的特性，骨干速率達(dá)到萬(wàn)兆。網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)能夠冗余熱備保障系統(tǒng)連續(xù)穩(wěn)定運(yùn)行。使新建成的網(wǎng)絡(luò)能夠很好的為上述提到的醫(yī)療網(wǎng)絡(luò)化建設(shè)服務(wù)。符合國(guó)家衛(wèi)生部對(duì)醫(yī)療機(jī)構(gòu)實(shí)現(xiàn)三步信息化的要求。新建的局域網(wǎng)將為各種應(yīng)用和服務(wù)提供更快的速度、更高的質(zhì)量和性能，并為新的信息應(yīng)用系統(tǒng)提供可靠的網(wǎng)絡(luò)平臺(tái)，提高醫(yī)院的服務(wù)質(zhì)量和經(jīng)濟(jì)效益。1.3網(wǎng)絡(luò)建設(shè)原則1、實(shí)用性：整個(gè)網(wǎng)絡(luò)系統(tǒng)具有較高的實(shí)用性；2、時(shí)效性：網(wǎng)絡(luò)應(yīng)保證各類業(yè)務(wù)數(shù)據(jù)流的及時(shí)傳輸，網(wǎng)絡(luò)時(shí)效性要強(qiáng)，網(wǎng)絡(luò)延時(shí)要小，確保業(yè)務(wù)的實(shí)時(shí)高效；3、可靠性：整個(gè)網(wǎng)絡(luò)系統(tǒng)應(yīng)具有很高的安全可靠性，必須滿足7×24×365小時(shí)連續(xù)運(yùn)行的要求。在故障發(fā)生時(shí)，網(wǎng)絡(luò)設(shè)備可以快速自動(dòng)地切換到備份設(shè)備上；4、安全性：能有效防止網(wǎng)絡(luò)的非法訪問(wèn)，保護(hù)關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的安全性；5、完整性：網(wǎng)絡(luò)系統(tǒng)應(yīng)實(shí)現(xiàn)端到端的、能整合數(shù)據(jù)、語(yǔ)音和圖像的多業(yè)務(wù)應(yīng)用，滿足全網(wǎng)范圍統(tǒng)一的實(shí)施安全策略、QoS策略、流量管理策略和系統(tǒng)管理策略的完整的一體化網(wǎng)絡(luò)；6、效益性：網(wǎng)絡(luò)的投資應(yīng)隨著網(wǎng)絡(luò)的伸縮能夠持續(xù)發(fā)揮作用，保護(hù)現(xiàn)有網(wǎng)絡(luò)的投資，充分發(fā)揮網(wǎng)絡(luò)投資的最大效益；7、可伸縮性：網(wǎng)絡(luò)要具有面向未來(lái)的良好的伸縮性能，既能滿足當(dāng)前的需求，又能支持未來(lái)業(yè)務(wù)網(wǎng)點(diǎn)、業(yè)務(wù)量、業(yè)務(wù)種類的擴(kuò)展和與其它機(jī)構(gòu)或部門的連接等對(duì)網(wǎng)絡(luò)的擴(kuò)充性要求。1.4網(wǎng)絡(luò)系統(tǒng)的整體架構(gòu)醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)采用三級(jí)架構(gòu)，分為核心層、匯聚層、接入層。核心層位于醫(yī)院門診大樓網(wǎng)絡(luò)的中心，負(fù)責(zé)全網(wǎng)的路由交換信息，并與各服務(wù)器、存儲(chǔ)等醫(yī)院核心應(yīng)用相連；在新綜合大樓和老住院部大樓設(shè)立匯聚層，XX匯聚交換機(jī)通過(guò)XX雙鏈路上聯(lián)信息中心的數(shù)據(jù)中心交換機(jī)，下接大樓各樓層的千兆接入交換機(jī)，（其中新綜合大樓采用多模1000M光纖連接、老住院部大樓采用1000M6類線接入），接入層分布在大樓樓層的分配線間負(fù)責(zé)直接接入桌面系統(tǒng)。1.5醫(yī)院業(yè)務(wù)應(yīng)用分析1.5.1醫(yī)院業(yè)務(wù)劃分醫(yī)院的業(yè)務(wù)系統(tǒng)有很多，而且不同的?？漆t(yī)院業(yè)務(wù)系統(tǒng)也有很大區(qū)別，但以下一些業(yè)務(wù)系統(tǒng)是醫(yī)院都具有的：門診系統(tǒng)住院系統(tǒng)體檢系統(tǒng)PACS系統(tǒng)醫(yī)院管理經(jīng)濟(jì)系統(tǒng)區(qū)域醫(yī)療系統(tǒng)1.5.2應(yīng)用系統(tǒng)分類醫(yī)院信息系統(tǒng)主要分成以下兩類：1醫(yī)院管理系統(tǒng)門、急診掛號(hào)子系統(tǒng)門、急診病人管理及計(jì)價(jià)收費(fèi)子系統(tǒng)住院病人管理子系統(tǒng)藥庫(kù)、藥房管理子系統(tǒng)病案管理子系統(tǒng)醫(yī)療統(tǒng)計(jì)子系統(tǒng)人事、工資管理子系統(tǒng)財(cái)務(wù)管理與醫(yī)院經(jīng)濟(jì)核算子系統(tǒng)醫(yī)院后勤物資供應(yīng)子系統(tǒng)固定資產(chǎn)、醫(yī)療設(shè)備管理子系統(tǒng)院長(zhǎng)辦公綜合查詢與輔助決策支持系統(tǒng)2臨床醫(yī)療信息系統(tǒng)住院病人醫(yī)囑處理子系統(tǒng)護(hù)理信息系統(tǒng)門診醫(yī)生工作站系統(tǒng)臨床實(shí)驗(yàn)室檢查報(bào)告子系統(tǒng)醫(yī)學(xué)影像診斷報(bào)告處理系統(tǒng)放射科信息管理系統(tǒng)手術(shù)室管理子系統(tǒng)功能檢查科室信息管理子系統(tǒng)病理卡片管理及病理科信息系統(tǒng)血庫(kù)管理子系統(tǒng)營(yíng)養(yǎng)與膳食計(jì)劃管理子系統(tǒng)臨床用藥咨詢與控制子系統(tǒng)1.5.3醫(yī)院業(yè)務(wù)系統(tǒng)的需求1）門診系統(tǒng)門診業(yè)務(wù)作為醫(yī)院直接面對(duì)患者的窗口具有非常重要的地位和自己的特點(diǎn)（包括焦急的病人無(wú)法忍受長(zhǎng)時(shí)間的等待、門診業(yè)務(wù)主要集中在上午等），門診業(yè)務(wù)具有可靠性高、并發(fā)性、實(shí)時(shí)性和突發(fā)性強(qiáng)等特點(diǎn)。因此門診業(yè)務(wù)對(duì)網(wǎng)絡(luò)提出了高可靠性、高帶寬和QoS的要求。2）住院系統(tǒng)住院業(yè)務(wù)是醫(yī)院的另一個(gè)主要組成部分，是醫(yī)院經(jīng)濟(jì)收入的主要來(lái)源，同時(shí)還直接關(guān)系到重病患者的生命安全，具有以下幾個(gè)特點(diǎn)：住院業(yè)務(wù)的網(wǎng)絡(luò)上流動(dòng)著重癥病人生命數(shù)據(jù)和各種新業(yè)務(wù)數(shù)據(jù)；住院業(yè)務(wù)保存有患者病案數(shù)據(jù)和住院費(fèi)用數(shù)據(jù)；醫(yī)生無(wú)線移動(dòng)查房；病人呼叫系統(tǒng)；網(wǎng)上視頻監(jiān)控系統(tǒng)；針對(duì)住院業(yè)務(wù)的以上特點(diǎn)，住院業(yè)務(wù)對(duì)網(wǎng)絡(luò)提出了高可靠性、安全存儲(chǔ)、QoS和無(wú)線局域網(wǎng)、VoIP和視頻會(huì)議系統(tǒng)的需求。3）體檢系統(tǒng)現(xiàn)在很多醫(yī)院紛紛建立專門的體檢大樓，以滿足社會(huì)上不斷擴(kuò)大的體檢需求。從業(yè)務(wù)角度上講體檢系統(tǒng)非常簡(jiǎn)單，它對(duì)網(wǎng)絡(luò)的需求主要體現(xiàn)在安全性上，如何保護(hù)體檢服務(wù)器上體檢人員數(shù)據(jù)安全和體檢大樓網(wǎng)絡(luò)安全是醫(yī)院體檢系統(tǒng)解決方案所關(guān)注的。4）PACS系統(tǒng)醫(yī)院的PACS系統(tǒng)主要是完成對(duì)患者的各種影像數(shù)據(jù)進(jìn)行采集、存儲(chǔ)、傳輸和處理，并在全院范圍內(nèi)進(jìn)行共享，由于是各種圖形圖像數(shù)據(jù)，因此具有存儲(chǔ)量大的特點(diǎn)，為了更好的服務(wù)于醫(yī)院業(yè)務(wù)，PACS業(yè)務(wù)對(duì)支撐系統(tǒng)提出以下要求：存儲(chǔ)量大、擴(kuò)展性強(qiáng)、數(shù)據(jù)快速存儲(chǔ)、數(shù)據(jù)容災(zāi)、高帶寬5）管理經(jīng)濟(jì)系統(tǒng)醫(yī)院管理經(jīng)濟(jì)系統(tǒng)主要是人、財(cái)、物的管理，包括人事、財(cái)務(wù)管理、藥品藥庫(kù)管理等，因此它最大的需求是數(shù)據(jù)在服務(wù)器端和網(wǎng)絡(luò)上的安全，保證這些數(shù)據(jù)不會(huì)泄露。6）區(qū)域醫(yī)療系統(tǒng)一方面為了發(fā)揮中心醫(yī)院的輻射和覆蓋作用，另一方面充分利用各家醫(yī)院的特色科室的力量，區(qū)域醫(yī)療把這些資源進(jìn)行共享和整合，這需要穩(wěn)定的廣域網(wǎng)連接。第2章網(wǎng)絡(luò)總體設(shè)計(jì)近幾年來(lái)，網(wǎng)絡(luò)設(shè)計(jì)采用積木方式來(lái)設(shè)計(jì)交換式網(wǎng)絡(luò)。這種積木方式將網(wǎng)絡(luò)分割成3個(gè)不同的層次，即核心層、匯聚層、接入層。如下圖：層次設(shè)計(jì)方法可為網(wǎng)絡(luò)帶來(lái)以下三個(gè)優(yōu)點(diǎn)：1、層次性網(wǎng)絡(luò)的可擴(kuò)展性可擴(kuò)展性是在包交換網(wǎng)絡(luò)連接中使用層次性設(shè)計(jì)的主要優(yōu)點(diǎn)。層次性網(wǎng)絡(luò)具有更多的可擴(kuò)展性是因?yàn)樗梢宰屇阌媚K化方式擴(kuò)展網(wǎng)絡(luò)，而不會(huì)遇到非層次性網(wǎng)絡(luò)或平面性網(wǎng)絡(luò)很快所遇上的問(wèn)題。但是，層次性網(wǎng)絡(luò)同時(shí)也提出了一定的問(wèn)題需要仔細(xì)考慮。這些問(wèn)題包括：虛電路的費(fèi)用，層次設(shè)計(jì)（尤其是網(wǎng)狀拓?fù)洹车膬?nèi)在復(fù)雜聯(lián)系，以及需要額外的路由器接口來(lái)劃分網(wǎng)絡(luò)層次。為了獲得層次性網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)，你必須使你的網(wǎng)絡(luò)層次結(jié)構(gòu)充分與你所在地區(qū)的拓?fù)湎喾稀ＴO(shè)計(jì)取決于你所使用的包交換模式，以及你所想要的容錯(cuò)能力、網(wǎng)絡(luò)性能和網(wǎng)絡(luò)造價(jià)。2、層次性網(wǎng)絡(luò)的可管理性使網(wǎng)絡(luò)簡(jiǎn)單化－－通過(guò)把網(wǎng)絡(luò)元素劃分為小單元、層次化，降低了整個(gè)網(wǎng)絡(luò)的復(fù)雜性。這種網(wǎng)絡(luò)單元的劃分使故障診斷變得清晰和簡(jiǎn)單了，同時(shí)還可以提供防止廣播風(fēng)暴、路由循環(huán)等其他潛在問(wèn)題的內(nèi)在保護(hù)機(jī)制。使設(shè)計(jì)更靈活－－層次化設(shè)計(jì)使得骨干網(wǎng)和分布網(wǎng)之間的包交換形式更具靈活性。很多網(wǎng)絡(luò)都得益于使用混合方式來(lái)構(gòu)造整個(gè)網(wǎng)絡(luò)架構(gòu)。在大多數(shù)情況下，可在骨干網(wǎng)部分使用專線而在區(qū)域網(wǎng)或本地網(wǎng)接入部分使用包交換服務(wù)。使交換機(jī)、路由器管理更容易－－由于層次化網(wǎng)絡(luò)結(jié)構(gòu)使網(wǎng)絡(luò)分層，相對(duì)縮小的網(wǎng)絡(luò)區(qū)域使路由器的鄰居或?qū)Φ韧ㄐ哦肆繙p少，因此時(shí)路由器的配置變得簡(jiǎn)單化。3、優(yōu)化廣播和多點(diǎn)廣播的流量控制在包交換網(wǎng)絡(luò)中，減少路由器之間廣播信息量的最直接方法就是使用更少數(shù)目的路由器組，通過(guò)層次化模塊設(shè)計(jì)可以較好地控制網(wǎng)絡(luò)中的廣播。通常在包交換網(wǎng)絡(luò)中最常見(jiàn)的路由器之間的廣播信息流量是路由更新信息，如果在一個(gè)區(qū)域或一個(gè)層次中有太多的路由器，那么就會(huì)因?yàn)閺V播的原因而造成網(wǎng)絡(luò)瓶頸。層次化的網(wǎng)絡(luò)結(jié)構(gòu)使你可以對(duì)區(qū)域網(wǎng)向骨干網(wǎng)的廣播作出限制。因此，對(duì)于XXXX區(qū)人民醫(yī)院網(wǎng)絡(luò)工程來(lái)說(shuō)，想要建設(shè)成為一個(gè)全所的、網(wǎng)絡(luò)性能優(yōu)良的、具有很強(qiáng)擴(kuò)展能力和升級(jí)能力的大型綜合網(wǎng)絡(luò)，那么在網(wǎng)絡(luò)的設(shè)計(jì)中就必須采用層次化的網(wǎng)絡(luò)設(shè)計(jì)原則。2.1XXXX區(qū)人民醫(yī)院整體網(wǎng)絡(luò)設(shè)計(jì)2.1.1組網(wǎng)說(shuō)明在XXXX區(qū)人民醫(yī)院網(wǎng)絡(luò)整體設(shè)計(jì)中，均采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，并嚴(yán)格定義各層功能模型，通過(guò)邏輯方式設(shè)置不同的權(quán)限，不同層次關(guān)注不同的特性配置。整個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)組成分成三層：接入層、匯聚層、核心層。1)接入層：提供網(wǎng)絡(luò)的第一級(jí)接入功能，完成簡(jiǎn)單的二、三層交換，安全、Qos和POE功能都位于這一層。對(duì)于醫(yī)院信息網(wǎng)的接入層設(shè)備，建議采用千兆二層接入的方式，應(yīng)該具有線速交換、智能彈性堆疊技術(shù)以及高級(jí)QoS策略等功能。2）匯聚層：匯聚交換機(jī)采用萬(wàn)兆雙鏈路的方式接入核心交換機(jī)，從而提供鏈路的冗于及數(shù)據(jù)的負(fù)載均衡。匯聚層交換機(jī)作為核心交換機(jī)與接入交換機(jī)的中接點(diǎn)，其作用是承上啟下，應(yīng)具備豐富的業(yè)務(wù)特性，高帶寬、高性能、支持線速轉(zhuǎn)發(fā)以及10GE擴(kuò)展接口。2)核心層：網(wǎng)絡(luò)的骨干，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。對(duì)于醫(yī)院信息網(wǎng)核心層，必須提供高性能、高可靠的網(wǎng)絡(luò)結(jié)構(gòu)，推薦采用高可靠的多設(shè)備冗余的星型結(jié)構(gòu)。對(duì)于醫(yī)院信息網(wǎng)核心層設(shè)備，應(yīng)該在提供大容量、高性能L2/L3交換服務(wù)基礎(chǔ)上，能夠進(jìn)一步融合了硬件IPv6、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性，可為醫(yī)院信息構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，進(jìn)而幫助用戶實(shí)現(xiàn)IT資源整合的需求。如圖示意，XX區(qū)人民醫(yī)院網(wǎng)絡(luò)系統(tǒng)分為五大區(qū)域：分別為上聯(lián)農(nóng)村合作醫(yī)療、醫(yī)保中心和龍寶分院的上聯(lián)區(qū)、核心數(shù)據(jù)服務(wù)器區(qū)、數(shù)據(jù)安全管理區(qū)、核心數(shù)據(jù)交換區(qū)、接入?yún)^(qū)。上聯(lián)區(qū)：醫(yī)院業(yè)務(wù)網(wǎng)需要和農(nóng)村合作醫(yī)院、醫(yī)保中心及龍寶分院的信息網(wǎng)進(jìn)行連接，實(shí)現(xiàn)數(shù)據(jù)交換。對(duì)于某些業(yè)務(wù)系統(tǒng)對(duì)用戶開(kāi)放，而為了保護(hù)數(shù)據(jù)的安全，需要配置防火墻來(lái)防護(hù)外部攻擊防范，支持內(nèi)網(wǎng)安全、流量監(jiān)控、網(wǎng)頁(yè)過(guò)濾、郵件過(guò)濾、應(yīng)用層過(guò)濾等功能，能夠有效地保證網(wǎng)絡(luò)的安全。核心數(shù)據(jù)服務(wù)器區(qū)：涉及工作秘密的關(guān)鍵數(shù)據(jù)傳和工作中的應(yīng)用數(shù)據(jù)和系統(tǒng)本身涉及的敏感數(shù)據(jù)如密碼等，為更好的提高核心數(shù)據(jù)服務(wù)器的應(yīng)用和安全，公司設(shè)計(jì)將服務(wù)器直接接入數(shù)據(jù)中心核心交換機(jī)上，數(shù)據(jù)中心核心交換機(jī)提供高帶寬、高轉(zhuǎn)發(fā)、高交換平臺(tái)提高服務(wù)器的應(yīng)用，并且通過(guò)在數(shù)據(jù)中心核心交換機(jī)上配置的防火墻板塊來(lái)為服務(wù)器提供安全防護(hù)。核心數(shù)據(jù)交換區(qū)：在XXXX區(qū)人民醫(yī)院新建設(shè)的局域網(wǎng)結(jié)構(gòu)選擇中，本方案建議選用雙核心結(jié)構(gòu)，具有以下優(yōu)點(diǎn)：可靠性高：采用兩個(gè)核心節(jié)點(diǎn)的雙連接星型網(wǎng)絡(luò)結(jié)構(gòu)，使得網(wǎng)絡(luò)具有可靠性、可用性及安全性，避免了單點(diǎn)失效的隱患。支持流量的負(fù)載分擔(dān)：網(wǎng)絡(luò)流量可能隨著多種業(yè)務(wù)的發(fā)展日益壯大（如語(yǔ)音，視頻會(huì)議），網(wǎng)絡(luò)流量的負(fù)載分擔(dān)問(wèn)題將會(huì)成為網(wǎng)絡(luò)可用性的主要因素，采用雙連接的網(wǎng)絡(luò)結(jié)構(gòu)，使得網(wǎng)絡(luò)的流量能夠比較合理的分布在各條鏈路上。支持網(wǎng)絡(luò)的冗余備份：核心節(jié)點(diǎn)采用兩臺(tái)高性能的網(wǎng)絡(luò)設(shè)備，使得核心層具有較好的冗余備份能力。同時(shí)，兩臺(tái)核心設(shè)備之間要采用萬(wàn)兆高速鏈路互連，提供了核心設(shè)備間的高速互連帶寬，避免兩臺(tái)設(shè)備之間形成傳輸瓶頸。在信息中心機(jī)房，配置二臺(tái)高性能的超萬(wàn)兆數(shù)據(jù)中心核心交換機(jī)H3CS7506E-S，H3CS7500E系列產(chǎn)品是杭州XX通信技術(shù)有限公司,面向融合業(yè)務(wù)網(wǎng)絡(luò)的高端多業(yè)務(wù)路由交換機(jī)，該產(chǎn)品基于H3C自主知識(shí)產(chǎn)權(quán)的ComwareV5操作系統(tǒng)，以IRF2（IntelligentResilientFramework2，第二代智能彈性架構(gòu)）技術(shù)為系統(tǒng)基石的虛擬化軟件系統(tǒng)，進(jìn)一步融合MPLSVPN、IPv6、網(wǎng)絡(luò)安全、無(wú)線、無(wú)源光網(wǎng)絡(luò)等多種網(wǎng)絡(luò)業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、不間斷升級(jí)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，在提高用戶生產(chǎn)效率的同時(shí)，保證了網(wǎng)絡(luò)最大正常運(yùn)行時(shí)間，從而降低了客戶的總擁有成本（TCO）。H3CS7500E符合“限制電子設(shè)備有害物質(zhì)標(biāo)準(zhǔn)（RoHS）”，是綠色環(huán)保的路由交換機(jī)。數(shù)據(jù)中心核心交換機(jī)配置我公司最新研制出的防火墻，保障訪問(wèn)數(shù)據(jù)的安全。并采用業(yè)界最先進(jìn)的虛擬化技術(shù)，將兩臺(tái)物理核心設(shè)備虛擬成一臺(tái)邏輯設(shè)備，實(shí)現(xiàn)協(xié)同工作、統(tǒng)一管理和不間斷維護(hù)功能，兩臺(tái)數(shù)據(jù)中心核心交換機(jī)采用雙萬(wàn)兆鏈路相連，消除業(yè)務(wù)流量轉(zhuǎn)發(fā)的速率瓶頸。數(shù)據(jù)安全管理區(qū)：配置H3CiMC智能管理中心作為全網(wǎng)的管理平臺(tái)，配置EAD組件對(duì)終端用戶進(jìn)行準(zhǔn)入控制.接入?yún)^(qū)：在本方案設(shè)計(jì)中，在新綜合大樓和老住院部大樓設(shè)立匯聚分中心，匯聚節(jié)點(diǎn)作用是承上啟下，通過(guò)雙萬(wàn)兆鏈路上聯(lián)數(shù)據(jù)中心核心交換機(jī)，下接本樓層的接入交換機(jī)。在新綜合大樓內(nèi)接入交換機(jī)采用1000M多模上聯(lián)匯聚交換機(jī)，在老住院部大樓內(nèi)接入交換機(jī)采用1000M6類線上聯(lián)匯聚交換機(jī)，所以我公司建議采用H3CS5500-EI增強(qiáng)型萬(wàn)兆三層交換機(jī)，H3CS5500-EI系列交換機(jī)是H3C公司最新開(kāi)發(fā)的增強(qiáng)型IPv6強(qiáng)三層萬(wàn)兆以太網(wǎng)交換機(jī)產(chǎn)品，具備業(yè)界盒式交換機(jī)最先進(jìn)的硬件處理能力和最豐富的業(yè)務(wù)特性。支持最多4個(gè)萬(wàn)兆擴(kuò)展接口，支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā)，使客戶能夠從容應(yīng)對(duì)即將帶來(lái)的IPv6時(shí)代；除此以外，其出色的安全性，可靠性和多業(yè)務(wù)支持能力使其成為大型企業(yè)網(wǎng)絡(luò)和園區(qū)網(wǎng)的匯聚，中小企業(yè)網(wǎng)核心、以及城域網(wǎng)邊緣設(shè)備的第一選擇。本方案建議所用樓層采用千兆接入交換機(jī)來(lái)提供終端用戶的接入，我公司選用H3CS5120-EI系列交換機(jī)，H3CS5120-EI系列交換機(jī)是H3C公司自主開(kāi)發(fā)的全千兆三層以太網(wǎng)交換機(jī)產(chǎn)品，具備豐富的業(yè)務(wù)特性，提供IPv6轉(zhuǎn)發(fā)功能以及最多4個(gè)10GE擴(kuò)展接口。通過(guò)H3C特有的IRF（智能彈性架構(gòu)）功能，用戶能夠簡(jiǎn)化對(duì)網(wǎng)絡(luò)的管理。S5120-EI系列千兆以太網(wǎng)交換機(jī)定位為企業(yè)網(wǎng)千兆接入，同時(shí)還可以用于數(shù)據(jù)中心服務(wù)器群的連接。2.2方案特性總結(jié)2.2.1電信級(jí)的可靠性網(wǎng)絡(luò)系統(tǒng)的可靠性主要由線路質(zhì)量，設(shè)備可靠性，網(wǎng)絡(luò)協(xié)議可靠性等多個(gè)方面來(lái)保證，在本方案中，信息網(wǎng)的核心層設(shè)備均采用雙機(jī)冗余，且采用了H3C公司最先進(jìn)的虛擬彈性技術(shù)架構(gòu)，數(shù)據(jù)中心核心交換機(jī)采用無(wú)單點(diǎn)故障設(shè)計(jì)，所有關(guān)鍵部件等采用冗余設(shè)計(jì)；無(wú)源背板避免了機(jī)箱出現(xiàn)單點(diǎn)故障；所有單板和電源模塊支持熱插拔功能；可以在惡劣的環(huán)境下長(zhǎng)時(shí)間穩(wěn)定運(yùn)行，達(dá)到99.999％的電信級(jí)可靠性；支持不間斷轉(zhuǎn)發(fā)和優(yōu)雅重啟，提供毫秒級(jí)的切換時(shí)間；支持等價(jià)路由，可幫助用戶建立多條等值路徑，實(shí)現(xiàn)流量的負(fù)載均衡及冗余備份；支持RRPP快速環(huán)網(wǎng)保護(hù)協(xié)議，提供小于200ms的環(huán)網(wǎng)故障保護(hù)；支持Smart-Link協(xié)議，保證雙上行網(wǎng)絡(luò)拓?fù)涞臉I(yè)務(wù)毫秒級(jí)快速切換。通過(guò)上述技術(shù)，核心交換機(jī)可以在承載多業(yè)務(wù)的情況下不間斷運(yùn)行，實(shí)現(xiàn)業(yè)務(wù)的永續(xù)；能夠在不重啟設(shè)備的前提下，通過(guò)熱補(bǔ)丁技術(shù)，在線修改軟件BUG，增加新的業(yè)務(wù)特性。核心交換機(jī)提供控制補(bǔ)丁單元狀態(tài)切換的用戶命令，使用戶能夠方便的加載、激活、去激活、運(yùn)行或刪除補(bǔ)丁單元。通過(guò)熱補(bǔ)丁技術(shù)，降低了設(shè)備需要重啟的次數(shù)，為客戶提供更長(zhǎng)的網(wǎng)絡(luò)正常工作時(shí)間。核心設(shè)備均采用雙鏈路方式，防火墻也采用雙板卡冗余，整個(gè)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)在關(guān)鍵區(qū)域均避免了單設(shè)備、單板卡和單鏈路故障隱患。2.2.2先進(jìn)的虛擬化技術(shù)應(yīng)用在本方案中，醫(yī)院信息網(wǎng)的核心設(shè)備均采用了智能彈性虛擬化技術(shù)，就是把多臺(tái)物理設(shè)備互相連接起來(lái)，使其虛擬為一臺(tái)邏輯設(shè)備，也就是說(shuō)，用戶可以將這多臺(tái)設(shè)備看成一臺(tái)單一設(shè)備進(jìn)行管理和使用。虛擬化可以為用戶帶來(lái)以下好處：簡(jiǎn)化管理虛擬化架構(gòu)形成之后，可以連接到任何一臺(tái)設(shè)備的任何一個(gè)端口就以登錄統(tǒng)一的邏輯設(shè)備，通過(guò)對(duì)單臺(tái)設(shè)備的配置達(dá)到管理整個(gè)智能彈性系統(tǒng)以及系統(tǒng)內(nèi)所有成員設(shè)備的效果，而不用物理連接到每臺(tái)成員設(shè)備上分別對(duì)它們進(jìn)行配置和管理。簡(jiǎn)化業(yè)務(wù)虛擬化形成的邏輯設(shè)備中運(yùn)行的各種控制協(xié)議也是作為單一設(shè)備統(tǒng)一運(yùn)行的，例如路由協(xié)議會(huì)作為單一設(shè)備統(tǒng)一計(jì)算，而隨著跨設(shè)備鏈路聚合技術(shù)的應(yīng)用，可以替代原有的生成樹(shù)協(xié)議，這樣就可以省去了設(shè)備間大量協(xié)議報(bào)文的交互，簡(jiǎn)化了網(wǎng)絡(luò)運(yùn)行，縮短了網(wǎng)絡(luò)動(dòng)蕩時(shí)的收斂時(shí)間。彈性擴(kuò)展可以按照用戶需求實(shí)現(xiàn)彈性擴(kuò)展，保證用戶投資。并且新增的設(shè)備加入或離開(kāi)虛擬化架構(gòu)時(shí)可以實(shí)現(xiàn)“熱插拔”，不影響其他設(shè)備的正常運(yùn)行。高可靠虛擬化的高可靠性體現(xiàn)在鏈路，設(shè)備和協(xié)議三個(gè)方面。成員設(shè)備之間物理端口支持聚合功能，虛擬化系統(tǒng)和上、下層設(shè)備之間的物理連接也支持聚合功能，這樣通過(guò)多鏈路備份提高了鏈路的可靠性；虛擬化系統(tǒng)由多臺(tái)成員設(shè)備組成，一旦Master設(shè)備故障，系統(tǒng)會(huì)迅速自動(dòng)選舉新的Master，以保證通過(guò)系統(tǒng)的業(yè)務(wù)不中斷，從而實(shí)現(xiàn)了設(shè)備級(jí)的1：N備份；虛擬化系統(tǒng)會(huì)有實(shí)時(shí)的協(xié)議熱備份功能負(fù)責(zé)將協(xié)議的配置信息備份到其他所有成員設(shè)備，從而實(shí)現(xiàn)1：N的協(xié)議可靠性。高性能對(duì)于高端交換機(jī)來(lái)說(shuō)，性能和端口密度的提升會(huì)受到硬件結(jié)構(gòu)的限制。而虛擬化系統(tǒng)的性能和端口密度是虛擬化內(nèi)部所有設(shè)備性能和端口數(shù)量的總和。因此，虛擬化技術(shù)能夠輕易的將設(shè)備的交換能力、用戶端口的密度擴(kuò)大數(shù)倍，從而大幅度提高了設(shè)備的性能。2.2.3有線無(wú)線一體化本方案中，通過(guò)無(wú)線控制器、智能管理中心無(wú)線管理組件實(shí)現(xiàn)了統(tǒng)一的網(wǎng)絡(luò)控制、可擴(kuò)展性、安全性和可靠性，構(gòu)筑了統(tǒng)一的、端到端的網(wǎng)絡(luò)環(huán)境，即實(shí)現(xiàn)了有線無(wú)線一體化，將有效保障應(yīng)用，保護(hù)用戶投資，降低部署的復(fù)雜性，減少管理維護(hù)工作量，從而降低總體擁有成本（TCO），這種組網(wǎng)方式能給用戶帶來(lái)如下的價(jià)值：各項(xiàng)成本降低：具體到WLAN技術(shù)同有線網(wǎng)絡(luò)的一體化，在部署時(shí)，由于WLAN設(shè)備采用了標(biāo)準(zhǔn)化，原有網(wǎng)絡(luò)系統(tǒng)、管理系統(tǒng)及接入認(rèn)證系統(tǒng)等能夠重用，網(wǎng)絡(luò)投資可以極大的降低。同時(shí)重用現(xiàn)有系統(tǒng)使得用戶不需要費(fèi)時(shí)去學(xué)習(xí)掌握新知識(shí)，節(jié)省時(shí)間和培訓(xùn)費(fèi)用；一旦網(wǎng)絡(luò)出現(xiàn)故障，由于熟悉現(xiàn)有的系統(tǒng)也能夠快速定位故障，可以極大的降低運(yùn)營(yíng)過(guò)程中由于故障帶來(lái)的損失；另外目前部署11n時(shí)，前期購(gòu)買的終端依然能夠不受任何影響的接入到網(wǎng)絡(luò)，保證了客戶的歷史投資。在WLAN網(wǎng)絡(luò)升級(jí)擴(kuò)容時(shí)，簡(jiǎn)單的增加標(biāo)準(zhǔn)件AP就能夠?qū)崿F(xiàn)接入容量的增加，而現(xiàn)有的網(wǎng)絡(luò)架構(gòu)基本上不做改動(dòng)，有效降低擴(kuò)容成本?，F(xiàn)場(chǎng)維護(hù)擴(kuò)容簡(jiǎn)單：在WLANAP部署時(shí)，充分考慮到有線網(wǎng)的特性，采用零配置即連即用的技術(shù)，對(duì)現(xiàn)有有線接入網(wǎng)絡(luò)不做任何修改，僅僅修改DHCP服務(wù)器或者DNS服務(wù)器的配置，在無(wú)線控制器（AC）上進(jìn)行配置，就可以提供WLAN接入服務(wù)，大大降低了網(wǎng)絡(luò)部署成本。需要更換設(shè)備時(shí)，新的AP設(shè)備接上以太網(wǎng)線就可以成功接入到網(wǎng)絡(luò)，不需要改變無(wú)線控制器上的配置，對(duì)安裝維護(hù)人員沒(méi)有技術(shù)背景要求，輕松實(shí)現(xiàn)設(shè)備維護(hù)更換和網(wǎng)絡(luò)擴(kuò)容。提升維護(hù)效率：部署時(shí)通過(guò)PoE交換機(jī)給WLANAP供電，對(duì)WLAN網(wǎng)絡(luò)進(jìn)行管理優(yōu)化需要移動(dòng)AP時(shí)，直接拉動(dòng)以太網(wǎng)線就可以實(shí)現(xiàn)，大大降低工作量。如果用戶進(jìn)行管理維護(hù)時(shí)需要對(duì)AP進(jìn)行開(kāi)關(guān)電重啟，只需要在網(wǎng)管側(cè)對(duì)PoE交換機(jī)進(jìn)行操作即可輕松實(shí)現(xiàn)，避免維護(hù)來(lái)回奔波和攀爬的辛苦，提高管理維護(hù)的效率，節(jié)省用戶的管理維護(hù)工作量。實(shí)現(xiàn)整網(wǎng)安全：與有線一體的統(tǒng)一終端控制軟件，統(tǒng)一認(rèn)證控制，有效的一次認(rèn)證實(shí)現(xiàn)多種計(jì)費(fèi)模式，統(tǒng)一的防病毒方式，使無(wú)線網(wǎng)絡(luò)的安全同有線完全一樣，有效的避免了無(wú)線引入新的病毒。重點(diǎn)防范802.11物理和鏈路層的安全，并與有線網(wǎng)絡(luò)的安全實(shí)現(xiàn)聯(lián)動(dòng)，確保實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的安全。管理平臺(tái)統(tǒng)一高效：WLAN網(wǎng)絡(luò)的管理同有線的網(wǎng)絡(luò)管理一樣，采用同一個(gè)的告警平臺(tái)，采用同一個(gè)日志管理系統(tǒng)，在同一個(gè)界面中顯示完整的網(wǎng)絡(luò)拓?fù)?，將無(wú)線射頻管理獨(dú)立為管理組件，充分實(shí)現(xiàn)有線無(wú)線一體化的管理，不需要單獨(dú)的平臺(tái)，不需要兩個(gè)界面，自然也不需要購(gòu)買專門的服務(wù)器和額外的管理系統(tǒng)培訓(xùn)。通過(guò)一體化拓?fù)涔芾?，在網(wǎng)絡(luò)出現(xiàn)故障時(shí)，能夠從網(wǎng)絡(luò)拓?fù)渲休p松看到網(wǎng)絡(luò)的故障點(diǎn)是接入端口的PoE電源供電失效，還是鏈路出現(xiàn)故障，還是網(wǎng)絡(luò)中出現(xiàn)廣播風(fēng)暴，導(dǎo)致鏈路上數(shù)據(jù)交換過(guò)于繁忙。從而降低故障定位人員的管理工作量。通過(guò)人網(wǎng)的合一管理，用戶接入到網(wǎng)絡(luò)時(shí)，實(shí)時(shí)顯示使用者在網(wǎng)絡(luò)的哪個(gè)設(shè)備端口上，快速定位故障用戶。2.2.4網(wǎng)絡(luò)與安全的深度融合傳統(tǒng)的組網(wǎng)方式中，安全設(shè)備都是以獨(dú)立的形態(tài)部署到網(wǎng)絡(luò)中，而在本方案中，防火墻安全設(shè)備均是以插卡的方式部署到數(shù)據(jù)中心核心交換機(jī)中，與基礎(chǔ)網(wǎng)絡(luò)設(shè)備融合，具有即插即用、擴(kuò)展性強(qiáng)的特點(diǎn)，降低了用戶管理難度，減少了維護(hù)成本。這種部署方式具有如下優(yōu)點(diǎn)：A、降低出現(xiàn)單點(diǎn)故障單點(diǎn)瓶頸a)Bypass特性：在運(yùn)營(yíng)網(wǎng)絡(luò)中可靠性是至關(guān)重要的因素，傳統(tǒng)安全設(shè)備沒(méi)有網(wǎng)絡(luò)設(shè)備的高可靠性保證技術(shù)（如冗余引擎、機(jī)箱溫控、風(fēng)扇轉(zhuǎn)速檢測(cè)、鏈路故障檢測(cè)、路由快速收斂等），因此實(shí)際部署中容易形成單點(diǎn)故障，采用安全插卡后可以利用交換機(jī)的各種高可靠性技術(shù)來(lái)提高自身的可靠性，并且，還能夠?qū)崿F(xiàn)bypass的功能，在安全設(shè)備故障的時(shí)候直接短接，跳過(guò)防火墻，收斂時(shí)間在100ms內(nèi)，保證網(wǎng)絡(luò)轉(zhuǎn)發(fā)照常進(jìn)行。b)以太網(wǎng)OAM：利用核心交換機(jī)成熟的OAM技術(shù)，可以實(shí)現(xiàn)VCT雙絞線連通性檢測(cè)、DLDP單通鏈路檢測(cè)、GR等增強(qiáng)的可靠性特性，大大加強(qiáng)了安全設(shè)備的可靠性。c)減少連接故障：從連接方式方面，安全插卡采用內(nèi)置板卡的方式，避免了傳統(tǒng)機(jī)架設(shè)備復(fù)雜的網(wǎng)線連接方式，避免了網(wǎng)線連接產(chǎn)生的接觸不良和端點(diǎn)故障。減少了網(wǎng)絡(luò)中的單點(diǎn)故障。d)供電和功耗：供電方面，安全插卡采用交換機(jī)內(nèi)置電源，具有電源冗余，可靠性更高，并且安全插卡的功耗及其設(shè)計(jì)也很獨(dú)到，溫度適應(yīng)力比較好而且穩(wěn)定性非常高。安全插卡的單板的功耗低于100W。模塊設(shè)計(jì)采用業(yè)界最新的多核網(wǎng)絡(luò)處理器設(shè)計(jì)，穩(wěn)定性及其功能方面都比較優(yōu)秀。e)熱插拔：安全插卡接口卡支持熱插拔，擴(kuò)展性能不需要中斷業(yè)務(wù)，大大提高了網(wǎng)絡(luò)的靈活性。B、降低投入成本a)硬件成本降低：將安全設(shè)備作為交換機(jī)業(yè)務(wù)插卡方式部署，可以讓安全設(shè)備共享交換機(jī)背板和電源，實(shí)現(xiàn)節(jié)省了防火墻的電源、溫控、風(fēng)扇等多方面硬件成本。b)端口擴(kuò)展成本降低：傳統(tǒng)機(jī)架安全設(shè)備網(wǎng)絡(luò)接口通常有限，在實(shí)際應(yīng)用中接口未必能滿足要求，而安全插卡部署后，交換機(jī)每個(gè)端口都可以具備防火墻功能，相當(dāng)于在核心交換機(jī)每個(gè)接口上都部署了防火墻，極大的節(jié)省了防火墻端口投入成本。c)虛擬防火墻：由于防火墻插卡支持256個(gè)虛擬防火墻，而每個(gè)虛擬防火墻可以獨(dú)立進(jìn)行配置，好比在網(wǎng)絡(luò)中部署了256個(gè)獨(dú)立的小型防火墻，可以為不同的業(yè)務(wù)分配不同虛擬防火墻實(shí)例，極大的節(jié)省了防火墻投入。并且這些虛擬防火墻可以集中管理配置。C、管理優(yōu)勢(shì)a)圖形界面和命令行結(jié)合：安全插卡模塊提供了圖形管理界面。不同虛擬防火墻實(shí)例的使用者也不同，使用習(xí)慣和技術(shù)水平也不同，有的用戶習(xí)慣使用圖形化配置，有的用戶習(xí)慣使用命令行配置，在安全插卡上可以統(tǒng)一提供。b)單獨(dú)管理和統(tǒng)一管理結(jié)合：為了將安全插卡的管理和高端交換機(jī)的接口單板的管理一體化，安全插卡的單板可以通過(guò)高端交換機(jī)的主控板實(shí)現(xiàn)對(duì)接口板的統(tǒng)一管理，安全插卡的狀態(tài)等可以基于主控板統(tǒng)一顯示給用戶；另外，用戶完全可以象配置接口板一樣，在主控板的串口上直接透明地對(duì)安全插卡的接口板進(jìn)行配置。這樣完全透明的管理給用戶統(tǒng)一的接口，使得管理方便簡(jiǎn)單。如果交換機(jī)和安全插卡由不同業(yè)務(wù)部門管理，則在安全插卡也可以用自身提供千兆接口進(jìn)行帶外網(wǎng)管或者集中網(wǎng)管，而不經(jīng)過(guò)交換機(jī)。2.2.5統(tǒng)一管理1、網(wǎng)絡(luò)設(shè)備管理IMC網(wǎng)管系統(tǒng)除了具有設(shè)備網(wǎng)管的功能，同時(shí)具有很強(qiáng)的平臺(tái)網(wǎng)管功能（包括安全，拓?fù)?，告警，性能等通用網(wǎng)管的功能）。針對(duì)第三方設(shè)備可以做到基本的管理。下面針對(duì)具體的管理功能進(jìn)行介紹。資源拓?fù)涔芾鞩MC網(wǎng)管平臺(tái)可以在拓?fù)鋱D中發(fā)現(xiàn)所有可網(wǎng)管設(shè)備，以相應(yīng)的圖標(biāo)表示在拓?fù)鋱D中。告警管理對(duì)于第三方廠商設(shè)備的告警，IMC可以全部接收并對(duì)其中的標(biāo)準(zhǔn)告警進(jìn)行解析。性能管理IMC系統(tǒng)可以對(duì)第三方設(shè)備進(jìn)行通用性能監(jiān)視，包括接口的流量監(jiān)視，利用率監(jiān)視，設(shè)備IP包轉(zhuǎn)發(fā)，設(shè)備響應(yīng)時(shí)間的監(jiān)視等。同時(shí)如果需要針對(duì)特殊設(shè)備性能的檢視，可通過(guò)增加自定義性能模板腳本來(lái)達(dá)到要求。此方案適用于已有網(wǎng)絡(luò)存在的設(shè)備主要是H3C設(shè)備，并且有部分第三方廠商的設(shè)備，同時(shí)需要兼顧第三方設(shè)備的管理。該方案可以實(shí)現(xiàn)對(duì)H3C設(shè)備的完全管理（包括通用管理，設(shè)備管理及業(yè)務(wù)級(jí)管理），同時(shí)針對(duì)第三方設(shè)備的管理可以達(dá)到通用管理的程度，同時(shí)針對(duì)某些設(shè)備的特性管理，可進(jìn)行適當(dāng)定制（如定制服務(wù)監(jiān)控，告警解析，性能模板），從而達(dá)到對(duì)第三方設(shè)備的比較全面的管理。2、用戶管理EAD解決方案安全準(zhǔn)入主要是通過(guò)身份認(rèn)證和安全策略檢查的方式，對(duì)未通過(guò)身份認(rèn)證或不符合安全策略的用戶終端進(jìn)行網(wǎng)絡(luò)隔離，并幫助終端進(jìn)行安全修復(fù)，以達(dá)到防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來(lái)安全威脅的目的。圖表EAD解決方案安全準(zhǔn)入應(yīng)用模型圖安全準(zhǔn)入工作流程：身份驗(yàn)證：用戶終端接入網(wǎng)絡(luò)時(shí)，首先進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)。目前EAD解決方案支持802.1x和Portal認(rèn)證。安全檢查：身份認(rèn)證通過(guò)后進(jìn)行終端安全檢查，由CAMS安全策略服務(wù)器驗(yàn)證用戶終端的安全狀態(tài)（包括補(bǔ)丁版本、病毒庫(kù)版本、軟件安裝等）是否合格。安全隔離：不合格的終端將被安全聯(lián)動(dòng)設(shè)備通過(guò)ACL策略限制在隔離區(qū)進(jìn)行安全修復(fù)。安全修復(fù)：進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫(kù)的升級(jí)、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。動(dòng)態(tài)授權(quán)：如果用戶身份驗(yàn)證、安全檢查都通過(guò)，則CAMS安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息（包括網(wǎng)絡(luò)訪問(wèn)權(quán)限等）下發(fā)給安全聯(lián)動(dòng)設(shè)備，由安全聯(lián)動(dòng)設(shè)備實(shí)現(xiàn)按用戶身份的權(quán)限控制。實(shí)時(shí)監(jiān)控：在用戶網(wǎng)絡(luò)使用過(guò)程中，安全客戶端根據(jù)安全策略服務(wù)器下發(fā)的監(jiān)控策略，實(shí)時(shí)監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向CAMS安全策略服務(wù)器上報(bào)安全事件，由CAMS安全策略服務(wù)器按照預(yù)定義的安全策略，采取相應(yīng)的控制措施，比如通知安全聯(lián)動(dòng)設(shè)備隔離用戶。第3章端點(diǎn)準(zhǔn)入防御(EAD)方案3.1概述網(wǎng)絡(luò)安全問(wèn)題的解決，三分靠技術(shù)，七分靠管理，嚴(yán)格管理是企業(yè)、機(jī)構(gòu)及用戶免受網(wǎng)絡(luò)安全問(wèn)題威脅的重要措施。事實(shí)上，多數(shù)企業(yè)、機(jī)構(gòu)都缺乏有效的制度和手段管理網(wǎng)絡(luò)安全。網(wǎng)絡(luò)用戶不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁、升級(jí)病毒庫(kù)的現(xiàn)象普遍存在；隨意接入網(wǎng)絡(luò)、私設(shè)代理服務(wù)器、私自訪問(wèn)保密資源等行為在企業(yè)網(wǎng)中也比比皆是。管理的欠缺不僅會(huì)直接影響用戶網(wǎng)絡(luò)的正常運(yùn)行，還可能使企業(yè)蒙受巨大的商業(yè)損失。為了解決現(xiàn)有網(wǎng)絡(luò)安全管理中存在的不足，應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，H3C推出了端點(diǎn)準(zhǔn)入防御（EAD，EndpointAdmissionControl）解決方案。該方案從用戶終端準(zhǔn)入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過(guò)安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及防病毒軟件產(chǎn)品、軟件補(bǔ)丁管理產(chǎn)品的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，可以加強(qiáng)用戶終端的主動(dòng)防御能力，大幅度提高網(wǎng)絡(luò)安全。EAD在用戶接入網(wǎng)絡(luò)前，通過(guò)統(tǒng)一管理的安全策略強(qiáng)制檢查用戶終端的安全狀態(tài)，并根據(jù)對(duì)用戶終端安全狀態(tài)的檢查結(jié)果實(shí)施接入控制策略，對(duì)不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫(kù)升級(jí)、系統(tǒng)補(bǔ)丁安裝等操作；在保證用戶終端具備自防御能力并安全接入的前提下，可以通過(guò)動(dòng)態(tài)分配ACL、VLAN等合理控制用戶的網(wǎng)絡(luò)權(quán)限，從而提升網(wǎng)絡(luò)的整體安全防御能力。EAD端點(diǎn)準(zhǔn)入防御方案包括兩個(gè)重要功能：安全防護(hù)和安全監(jiān)控。安全防護(hù)主要是對(duì)終端接入網(wǎng)絡(luò)進(jìn)行認(rèn)證，保證只有安全的終端才能接入網(wǎng)絡(luò)，對(duì)達(dá)不到安全要求的終端可以進(jìn)行修復(fù)，保障終端和網(wǎng)絡(luò)的安全；安全監(jiān)控是指在上網(wǎng)過(guò)程中，系統(tǒng)實(shí)時(shí)監(jiān)控用戶終端的安全狀態(tài)，并針對(duì)用戶終端的安全事件采取相應(yīng)的應(yīng)對(duì)措施，實(shí)時(shí)保障網(wǎng)絡(luò)安全。3.2方案思路EAD解決方案的實(shí)現(xiàn)思路，是通過(guò)將網(wǎng)絡(luò)接入控制和用戶終端安全策略控制相結(jié)合，以用戶終端對(duì)企業(yè)安全策略的符合度為條件，控制用戶訪問(wèn)網(wǎng)絡(luò)的接入權(quán)限，從而降低病毒、非法訪問(wèn)等安全威脅對(duì)企業(yè)網(wǎng)絡(luò)帶來(lái)的危害。為達(dá)到以上目的，H3C提出了包括檢查——隔離——修復(fù)——監(jiān)控的整體解決思路。檢查：檢查網(wǎng)絡(luò)接入用戶的身份；檢查網(wǎng)絡(luò)接入用戶的訪問(wèn)權(quán)限；檢查網(wǎng)絡(luò)接入用戶終端的安全狀態(tài)；隔離：隔離非法用戶終端和越權(quán)訪問(wèn)；隔離存在重大安全問(wèn)題或安全隱患的用戶終端；修復(fù)：幫助存在安全問(wèn)題或安全隱患的用戶終端進(jìn)行安全修復(fù)，以便能夠正常使用網(wǎng)絡(luò)；監(jiān)控：實(shí)時(shí)監(jiān)控在線用戶的終端安全狀態(tài)，及時(shí)獲取終端安全信息對(duì)非法用戶、越權(quán)訪問(wèn)和存在安全問(wèn)題的網(wǎng)絡(luò)終端進(jìn)行定位統(tǒng)計(jì)，為網(wǎng)絡(luò)安全管理提供依據(jù)；通過(guò)制定新的安全策略，持續(xù)保障網(wǎng)絡(luò)的安全。3.3方案組成部分為了有效實(shí)現(xiàn)用戶終端安全準(zhǔn)入控制，需要實(shí)現(xiàn)終端安全信息采集點(diǎn)、終端安全信息決策點(diǎn)和終端安全信息執(zhí)行點(diǎn)的分離，同時(shí)還需要提供有效的技術(shù)手段，對(duì)用戶終端存在的安全問(wèn)題進(jìn)行修復(fù)，使之符合企業(yè)終端安全策略，順利接入網(wǎng)絡(luò)進(jìn)行工作。EAD解決方案的基本部件包括安全策略服務(wù)器、防病毒服務(wù)器、補(bǔ)丁服務(wù)器等修復(fù)服務(wù)器、安全聯(lián)動(dòng)設(shè)備和H3C安全客戶端，各部件各司其職，由安全策略中心協(xié)調(diào)，共同完成對(duì)網(wǎng)絡(luò)接入終端的安全準(zhǔn)入控制。安全策略服務(wù)器EAD方案的核心是整合與聯(lián)動(dòng)，而安全策略服務(wù)器是EAD方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。安全策略管理安全策略服務(wù)器定義了對(duì)用戶終端進(jìn)行準(zhǔn)入控制的一系列策略，包括用戶終端安全狀態(tài)評(píng)估配置、補(bǔ)丁檢查項(xiàng)配置、安全策略配置、終端修復(fù)配置以及對(duì)終端用戶的隔離方式配置等。用戶管理企業(yè)網(wǎng)中，不同的用戶、不同類型的接入終端可能要求不同級(jí)別的安全檢查和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個(gè)性化安全配置和網(wǎng)絡(luò)服務(wù)等級(jí)，方便管理員對(duì)網(wǎng)絡(luò)用戶制定差異化的安全策略。安全聯(lián)動(dòng)控制安全策略服務(wù)器負(fù)責(zé)評(píng)估安全客戶端上報(bào)的安全狀態(tài)，控制安全聯(lián)動(dòng)設(shè)備對(duì)用戶的隔離與開(kāi)放，下發(fā)用戶終端的修復(fù)方式與安全策略。通過(guò)安全策略服務(wù)器的控制，安全客戶端、安全聯(lián)動(dòng)設(shè)備與修復(fù)服務(wù)器才可以協(xié)同工作，配合完成端到端的安全準(zhǔn)入控制。修復(fù)服務(wù)器在EAD方案中，修復(fù)服務(wù)器可以是第三方廠商提供的防病毒服務(wù)器、補(bǔ)丁服務(wù)器或用戶自行架設(shè)的文件服務(wù)器。此類服務(wù)器通常放置于網(wǎng)絡(luò)隔離區(qū)中，用于終端進(jìn)行自我修復(fù)操作。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫(kù)升級(jí)服務(wù)，允許防病毒客戶端進(jìn)行在線升級(jí)；補(bǔ)丁服務(wù)器則提供系統(tǒng)補(bǔ)丁升級(jí)服務(wù)，在用戶終端的系統(tǒng)補(bǔ)丁不能滿足安全要求時(shí)，用戶終端可連接至補(bǔ)丁服務(wù)器進(jìn)行補(bǔ)丁下載和升級(jí)。安全聯(lián)動(dòng)設(shè)備安全聯(lián)動(dòng)設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。根據(jù)應(yīng)用場(chǎng)合的不同，安全聯(lián)動(dòng)設(shè)備可以是交換機(jī)或BAS設(shè)備，分別實(shí)現(xiàn)不同認(rèn)證方式（如802.1x或Portal）的端點(diǎn)準(zhǔn)入控制。不論是哪種接入設(shè)備或采用哪種認(rèn)證方式，安全聯(lián)動(dòng)設(shè)備均具有以下功能：強(qiáng)制網(wǎng)絡(luò)接入終端進(jìn)行身份認(rèn)證和安全狀態(tài)評(píng)估。隔離不符合安全策略的用戶終端。聯(lián)動(dòng)設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后，目前可以通過(guò)動(dòng)態(tài)ACL方式限制用戶的訪問(wèn)權(quán)限；同樣，收到解除用戶隔離的指令后也可以在線解除對(duì)用戶終端的隔離。提供基于身份的網(wǎng)絡(luò)服務(wù)。安全聯(lián)動(dòng)設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略，為用戶提供個(gè)性化的網(wǎng)絡(luò)服務(wù)，如提供不同的ACL、VLAN等。安全客戶端H3C客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對(duì)用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評(píng)估以及安全策略實(shí)施的主體，其主要功能包括：提供802.1X、Portal等多種認(rèn)證方式，可以與交換機(jī)、BAS網(wǎng)關(guān)等設(shè)備配合實(shí)現(xiàn)接入層、匯聚層的端點(diǎn)準(zhǔn)入控制。檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁、共享目錄、已安裝的軟件、已啟動(dòng)的服務(wù)等用戶終端信息；同時(shí)提供與防病毒客戶端聯(lián)動(dòng)的接口，實(shí)現(xiàn)與第三方防病毒軟件產(chǎn)品客戶端的聯(lián)動(dòng)，檢查用戶終端的防病毒軟件版本、病毒庫(kù)版本、以及病毒查殺信息。這些信息將被傳遞到安全策略服務(wù)器，執(zhí)行端點(diǎn)準(zhǔn)入的判斷與控制。安全策略實(shí)施，接收安全策略服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí)行，包括設(shè)置安全策略（是否監(jiān)控郵件、注冊(cè)表）、系統(tǒng)修復(fù)通知與實(shí)施（自動(dòng)或手工升級(jí)補(bǔ)丁和病毒庫(kù)）等功能。不按要求實(shí)施安全策略的用戶終端將被限制在隔離區(qū)。實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時(shí)上報(bào)到安全策略服務(wù)器，用于事后進(jìn)行安全審計(jì)。3.4EAD應(yīng)用模式EAD解決方案對(duì)于每一種安全狀態(tài)的檢測(cè)，按照處理模式可分為隔離模式、警告模式、監(jiān)控模式。如防病毒軟件的安裝和版本檢查可以采用隔離模式，補(bǔ)丁軟件依照重要性的不同可以采取不同的模式，一些非法軟件的安裝可以通過(guò)警告方式進(jìn)行提醒。三種模式對(duì)于實(shí)現(xiàn)的終端安全狀態(tài)監(jiān)控功能各有不同，對(duì)安全設(shè)備的要求也不相同。隔離模式對(duì)于一些關(guān)系比較重大的安全漏洞或補(bǔ)丁，如Windows服務(wù)器的致命安全補(bǔ)丁，需要進(jìn)行比較嚴(yán)厲的控制。具體來(lái)說(shuō)，就是一旦用戶終端安全狀態(tài)不合格，就限制其網(wǎng)絡(luò)訪問(wèn)區(qū)域?yàn)楦綦x區(qū)，在進(jìn)行修復(fù)操作，滿足企業(yè)終端安全策略要求后，才能重新發(fā)起認(rèn)證，正常接入網(wǎng)絡(luò)。隔離模式要求安全聯(lián)動(dòng)設(shè)備必須支持動(dòng)態(tài)ACL特性，能夠?qū)崟r(shí)應(yīng)用安全策略服務(wù)器下發(fā)的ACL規(guī)格，并應(yīng)用于用戶連接。警告模式某些應(yīng)用環(huán)境下，不需要根據(jù)用戶終端的安全狀態(tài)嚴(yán)格控制用戶終端的訪問(wèn)權(quán)限，可以采用警告模式來(lái)處理不合格的安全狀態(tài)，如對(duì)于安全等級(jí)略低一些的補(bǔ)丁可以采取這種方式。在警告模式下，安全客戶端檢查用戶終端的安全狀態(tài)信息，并將不合格項(xiàng)以彈出窗口的形式提供給終端用戶，同時(shí)提供修復(fù)指導(dǎo)和相關(guān)鏈接。用戶的網(wǎng)絡(luò)訪問(wèn)權(quán)限不因終端安全狀態(tài)不合格而被更改。監(jiān)控模式監(jiān)控模式同警告模式的實(shí)現(xiàn)流程基本相同，區(qū)別在于監(jiān)控模式下，安全客戶端不會(huì)彈出窗口，向用戶提示終端的不合格項(xiàng)。但網(wǎng)絡(luò)管理員可在安全策略服務(wù)器的管理界面中實(shí)時(shí)對(duì)用戶終端安全狀態(tài)進(jìn)行監(jiān)控，了解用戶終端的安全信息。一些相對(duì)普通的安全問(wèn)題，如提示性的補(bǔ)丁安裝，可以在不影響終端用戶工作的情況下，由管理員進(jìn)行定期檢查并通告。同時(shí)，對(duì)于重要的網(wǎng)絡(luò)用戶，比如公司老板，管理員對(duì)其網(wǎng)絡(luò)訪問(wèn)的管理也可應(yīng)用監(jiān)控模式。3.5應(yīng)用模型3.5.1安全準(zhǔn)入應(yīng)用模型EAD解決方案安全準(zhǔn)入主要是通過(guò)身份認(rèn)證和安全策略檢查的方式，對(duì)未通過(guò)身份認(rèn)證或不符合安全策略的用戶終端進(jìn)行網(wǎng)絡(luò)隔離，并幫助終端進(jìn)行安全修復(fù)，以達(dá)到防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來(lái)安全威脅的目的。圖表2EAD解決方案安全準(zhǔn)入應(yīng)用模型圖3.5.2安全準(zhǔn)入工作流程身份驗(yàn)證：用戶終端接入網(wǎng)絡(luò)時(shí)，首先進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)。目前EAD解決方案支持802.1x和Portal認(rèn)證。安全檢查：身份認(rèn)證通過(guò)后進(jìn)行終端安全檢查，由安全策略服務(wù)器驗(yàn)證用戶終端的安全狀態(tài)（包括補(bǔ)丁版本、病毒庫(kù)版本、軟件安裝等）是否合格。安全隔離：不合格的終端將被安全聯(lián)動(dòng)設(shè)備通過(guò)ACL策略限制在隔離區(qū)進(jìn)行安全修復(fù)。安全修復(fù)：進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫(kù)的升級(jí)、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。動(dòng)態(tài)授權(quán)：如果用戶身份驗(yàn)證、安全檢查都通過(guò)，則安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息（包括網(wǎng)絡(luò)訪問(wèn)權(quán)限等）下發(fā)給安全聯(lián)動(dòng)設(shè)備，由安全聯(lián)動(dòng)設(shè)備實(shí)現(xiàn)按用戶身份的權(quán)限控制。實(shí)時(shí)監(jiān)控：在用戶網(wǎng)絡(luò)使用過(guò)程中，安全客戶端根據(jù)安全策略服務(wù)器下發(fā)的監(jiān)控策略，實(shí)時(shí)監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向安全策略服務(wù)器上報(bào)安全事件，由安全策略服務(wù)器按照預(yù)定義的安全策略，采取相應(yīng)的控制措施，比如通知安全聯(lián)動(dòng)設(shè)備隔離用戶。圖表3EAD安全準(zhǔn)入流程圖3.6功能特點(diǎn)EAD解決方案已實(shí)現(xiàn)以下功能規(guī)格，在具體應(yīng)用部署時(shí)，可根據(jù)用戶網(wǎng)絡(luò)的實(shí)際使用需求，確定EAD的應(yīng)用模式和部署方案。3.6.1安全狀態(tài)評(píng)估終端補(bǔ)丁檢測(cè)：評(píng)估客戶端的補(bǔ)丁安裝是否合格，可以檢測(cè)的補(bǔ)丁包括：操作系統(tǒng)(Windows2000/XP等，不包括Windows98)等符合微軟補(bǔ)丁規(guī)范的熱補(bǔ)丁。安全客戶端版本檢測(cè)：可以檢測(cè)安全客戶端H3CClient的版本，防止使用不具備安全檢測(cè)能力的客戶端接入網(wǎng)絡(luò)。同時(shí)支持客戶端自動(dòng)升級(jí)。安全狀態(tài)定時(shí)評(píng)估：安全客戶端可以定時(shí)檢測(cè)用戶安全狀態(tài),防止用戶上網(wǎng)過(guò)程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。自動(dòng)補(bǔ)丁管理：提供與微軟WSUS/SMS（全稱：WindowsServerUpdateServices/SystemManagementServer）協(xié)同的自動(dòng)補(bǔ)丁管理，當(dāng)用戶補(bǔ)丁不合格時(shí)，自動(dòng)安裝補(bǔ)丁。終端運(yùn)行狀態(tài)實(shí)時(shí)檢測(cè)：可以對(duì)上線用戶終端的系統(tǒng)信息進(jìn)行實(shí)時(shí)檢測(cè)，包括已安裝程序列表、已安裝補(bǔ)丁列表、已運(yùn)行進(jìn)程列表、共享目錄信息、分區(qū)表、屏保設(shè)置和已啟動(dòng)服務(wù)列表等。防病毒聯(lián)動(dòng)：主要包含兩個(gè)方面，一是端點(diǎn)用戶接入網(wǎng)絡(luò)時(shí)，檢查其計(jì)算機(jī)上防病毒軟件的安裝運(yùn)行情況以及病毒庫(kù)和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問(wèn)限制在隔離區(qū)；二是端點(diǎn)用戶接入網(wǎng)絡(luò)后，EAD定期檢查防病毒軟件的運(yùn)行狀態(tài)，如果發(fā)現(xiàn)不符合安全要求可以根據(jù)策略強(qiáng)制讓用戶下線或?qū)⑵湓L問(wèn)限制在隔離區(qū)。聯(lián)動(dòng)方式目前包括強(qiáng)AV聯(lián)動(dòng)和弱AV聯(lián)動(dòng)，強(qiáng)AV聯(lián)動(dòng)需要防病毒軟件廠商提供聯(lián)動(dòng)插件，EAD客戶端通過(guò)該聯(lián)動(dòng)插件完成對(duì)防病毒軟件的運(yùn)行狀態(tài)檢查以及行為控制。弱AV聯(lián)動(dòng)不需要防病毒廠商提供聯(lián)動(dòng)插件，EAD客戶端通過(guò)其他方式實(shí)現(xiàn)對(duì)防病毒軟件的運(yùn)行狀態(tài)檢查以及行為控制。當(dāng)前支持的強(qiáng)AV聯(lián)動(dòng)支持的防病毒軟件有：瑞星、金山和江民。當(dāng)前支持的弱AV聯(lián)動(dòng)支持的防病毒軟件有：諾頓、趨勢(shì)、McAfee和安博士。3.6.2用戶權(quán)限管理強(qiáng)身份認(rèn)證：在用戶身份認(rèn)證時(shí)，可綁定用戶接入IP、MAC、接入設(shè)備IP、端口和VLAN等信息，進(jìn)行強(qiáng)身份認(rèn)證，防止帳號(hào)盜用、限定帳號(hào)所使用的終端，確保接入用戶的身份安全?！拔ｋU(xiǎn)”用戶隔離：對(duì)于安全狀態(tài)評(píng)估不合格的用戶，可以限制其訪問(wèn)權(quán)限（通過(guò)ACL隔離），使其只能訪問(wèn)防病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源?！拔ｋU(xiǎn)”用戶在線隔離：用戶上網(wǎng)過(guò)程中安全狀態(tài)發(fā)生變化造成與安全策略不一致時(shí)(如感染不能殺除的病毒)，CAMS可以在線隔離并通知用戶。軟件安裝和運(yùn)行檢測(cè)：檢測(cè)終端軟件的安裝和運(yùn)行狀態(tài)。可以限制接入網(wǎng)絡(luò)的用戶必須安裝、運(yùn)行或禁止安裝、運(yùn)行其中某些軟件。對(duì)于不符合安全策略的用戶可以記錄日志、提醒或隔離。支持匿名認(rèn)證：安全客戶端和CAMS提供匿名認(rèn)證用戶，用戶不需要輸入用戶名、密碼即可完成身份認(rèn)證和安全認(rèn)證。接入時(shí)間、區(qū)域控制：可以限制用戶只能在允許的時(shí)間和地點(diǎn)（接入設(shè)備和端口）上網(wǎng)。限制終端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)：防止用戶終端成為內(nèi)外網(wǎng)互訪的橋梁，避免因此可能造成的信息安全問(wèn)題。代理限制：可以限制用戶使用和設(shè)置代理服務(wù)器。3.6.3用戶行為監(jiān)控終端強(qiáng)制或提醒修復(fù)：強(qiáng)制或提醒不符合安全策略的終端用戶主機(jī)進(jìn)行防病毒軟件升級(jí)，病毒庫(kù)升級(jí)，補(bǔ)丁安裝；目前只支持手工方式（金山的客戶端可以與系統(tǒng)中心做自動(dòng)升級(jí)）。安全狀態(tài)監(jiān)控：定時(shí)監(jiān)控終端用戶的安全狀態(tài)，發(fā)現(xiàn)感染病毒后根據(jù)安全策略可將其限制到隔離區(qū)。安全日志審計(jì)：定時(shí)收集客戶端的實(shí)時(shí)安全狀態(tài)并記錄日志；查詢用戶的安全狀態(tài)日志、安全事件日志以及在線用戶的安全狀態(tài)。強(qiáng)制用戶下線：管理員可以強(qiáng)制行為“可疑”的用戶下線。第4章無(wú)線解決方案4.1概述無(wú)線局域網(wǎng)（WLAN）技術(shù)于20世紀(jì)90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng)絡(luò)的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。無(wú)線局域網(wǎng)具有以下顯著特點(diǎn)：簡(jiǎn)易性：WLAN網(wǎng)絡(luò)傳輸系統(tǒng)的安裝快速簡(jiǎn)單，可極大的減少敷設(shè)管道及布線等繁瑣工作；靈活性：無(wú)線技術(shù)使得WLAN設(shè)備可以靈活的進(jìn)行安裝并調(diào)整位置，使無(wú)線網(wǎng)絡(luò)達(dá)到有線網(wǎng)絡(luò)不易覆蓋的區(qū)域；綜合成本較低：一方面WLAN網(wǎng)絡(luò)減少了布線的費(fèi)用，另一方面在需要頻繁移動(dòng)和變化的動(dòng)態(tài)環(huán)境中，無(wú)線局域網(wǎng)技術(shù)可以更好地保護(hù)已有投資。同時(shí)，由于WLAN技術(shù)本身就是面向數(shù)據(jù)通信領(lǐng)域的IP傳輸技術(shù)，因此可直接通過(guò)千兆百兆自適應(yīng)網(wǎng)口和醫(yī)院內(nèi)部Intranet相連，從體系結(jié)構(gòu)上節(jié)省了協(xié)議轉(zhuǎn)換器等相關(guān)設(shè)備；擴(kuò)展能力強(qiáng)：WLAN網(wǎng)絡(luò)系統(tǒng)支持多種拓?fù)浣Y(jié)構(gòu)及平滑擴(kuò)容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴(kuò)展為中等容量傳輸系統(tǒng)；隨著WLAN技術(shù)的快速發(fā)展和不斷成熟，目前在國(guó)內(nèi)外具有較多的中大規(guī)模應(yīng)用，諸如荷蘭的阿姆斯特丹市的全城覆蓋，向客戶提供各種業(yè)務(wù)。4.2客戶需求XXXX區(qū)人民醫(yī)院無(wú)線局域網(wǎng)建設(shè)的總體目標(biāo)是：利用無(wú)線網(wǎng)絡(luò)技術(shù)進(jìn)一步擴(kuò)展信息網(wǎng)的覆蓋范圍，使全院人員能夠隨時(shí)隨地、方便高效地使用網(wǎng)絡(luò)；促進(jìn)醫(yī)療和科研發(fā)展，進(jìn)一步拓展研究空間，為大型科研活動(dòng)和無(wú)線網(wǎng)絡(luò)技術(shù)研究提供無(wú)線網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境；提升醫(yī)院網(wǎng)絡(luò)環(huán)境，提高管理水平和效率，推動(dòng)醫(yī)院信息化建設(shè)。由于本工程是在醫(yī)院有線網(wǎng)的基礎(chǔ)上加以無(wú)線擴(kuò)充（即采用AP將無(wú)線網(wǎng)絡(luò)接入到有線網(wǎng)絡(luò)），目前XXXX區(qū)人民醫(yī)院有線網(wǎng)可以為無(wú)線網(wǎng)絡(luò)的建設(shè)提供支持。本工程具體的建設(shè)目標(biāo)是：側(cè)重實(shí)際應(yīng)用，覆蓋醫(yī)院新大樓內(nèi)部分區(qū)域，為醫(yī)療、科研和學(xué)習(xí)生活提供切實(shí)可用的無(wú)線網(wǎng)絡(luò)環(huán)境；采取通行的網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)：目前無(wú)線局域網(wǎng)普遍采用802.11系列標(biāo)準(zhǔn)，因此醫(yī)療無(wú)線局域網(wǎng)將主要支持802.11N（300M帶寬）標(biāo)準(zhǔn)以提供可供實(shí)際應(yīng)用的相對(duì)穩(wěn)定的網(wǎng)絡(luò)通訊服務(wù)；全面的無(wú)線網(wǎng)絡(luò)支撐系統(tǒng)（包括無(wú)線網(wǎng)管、無(wú)線安全，無(wú)線計(jì)費(fèi)等），以避免無(wú)線設(shè)備及軟件之間的不兼容性或網(wǎng)絡(luò)管理的混亂而導(dǎo)致的問(wèn)題；保證網(wǎng)絡(luò)訪問(wèn)的安全性，支持802.1x安全認(rèn)證方式；采用非獨(dú)立型的無(wú)線網(wǎng)絡(luò)結(jié)構(gòu)選型；覆蓋范圍要求：本項(xiàng)目主要覆蓋新教大樓；安全、認(rèn)證、計(jì)費(fèi)和管理要求為了阻止非授權(quán)用戶訪問(wèn)無(wú)線網(wǎng)絡(luò)，以及防止對(duì)無(wú)線局域網(wǎng)數(shù)據(jù)流的非法偵聽(tīng)，無(wú)線網(wǎng)絡(luò)要具有相應(yīng)的安全手段，主要包括：物理地址（MAC）過(guò)濾、服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配、有線等效保密（WEP）、二層隔離等；本無(wú)線局域網(wǎng)的用戶認(rèn)證要求采取集中認(rèn)證（WEBPORTAL認(rèn)證方式）和802.1X安全認(rèn)證方式（支持受保護(hù)的PEAP(ProtectedEAP)），無(wú)線網(wǎng)系統(tǒng)的認(rèn)證計(jì)費(fèi)系統(tǒng)必須與XXXX區(qū)人民醫(yī)院綜合認(rèn)證計(jì)費(fèi)系統(tǒng)對(duì)接。AP、訪問(wèn)控制系統(tǒng)及認(rèn)證計(jì)費(fèi)系統(tǒng)必須為同一廠商的產(chǎn)品，便于用戶使用及維護(hù)。在連續(xù)覆蓋區(qū)域的認(rèn)證和覆蓋應(yīng)充分考慮移動(dòng)用戶的易用性，達(dá)到一次認(rèn)證，移動(dòng)使用的目的；需提供認(rèn)證和計(jì)費(fèi)數(shù)據(jù)庫(kù)的結(jié)構(gòu)和二次開(kāi)發(fā)的接口，需要提供基于標(biāo)準(zhǔn)的無(wú)線網(wǎng)絡(luò)管理軟件，并提供二次開(kāi)發(fā)的接口。4.3無(wú)線組網(wǎng)選擇考慮到XXXX區(qū)人民醫(yī)院無(wú)線局域網(wǎng)部署的AP應(yīng)與目前持有大量的802.11終端的用戶的兼容，同時(shí)也顧及到未來(lái)無(wú)線局域網(wǎng)數(shù)據(jù)應(yīng)用業(yè)務(wù)的擴(kuò)展，建議采用FITAP組網(wǎng)模式實(shí)現(xiàn)XXXX區(qū)人民醫(yī)院無(wú)線局域網(wǎng)部署。傳統(tǒng)FATAP組網(wǎng)模式：802.1x認(rèn)證終結(jié)、動(dòng)態(tài)密鑰的產(chǎn)生、漫游切換都在AP本身實(shí)現(xiàn)，AP負(fù)擔(dān)較重；FITAP模式：802.1x認(rèn)證終結(jié)、動(dòng)態(tài)密鑰的產(chǎn)生、漫游切換都集中到WirelessSwitch上來(lái)實(shí)現(xiàn)，減輕了AP負(fù)擔(dān)，在規(guī)模越大的網(wǎng)絡(luò)上管理越簡(jiǎn)單。并且由于增加了無(wú)線控制器模塊作為中央管理控制設(shè)備，可以在此基礎(chǔ)上方便的擴(kuò)展豐富業(yè)務(wù)功能。非法無(wú)線入侵檢測(cè)：監(jiān)視射頻環(huán)境的非法AP和用戶，防止其接入網(wǎng)絡(luò)；位置檢查：無(wú)線控制器模塊可以記錄每個(gè)用戶登陸的AP位置；每用戶的安全策略：提供基于用戶身份的所有服務(wù)，以使用戶在漫游時(shí)具有諸如虛擬專用組成員資格、訪問(wèn)控制列表(ACL)、認(rèn)證、漫游策略和歷史、位置跟蹤、帶寬使用以及其他授權(quán)等內(nèi)容。還可告知管理人員哪些用戶已連接、他們位于何處、他們?cè)?jīng)位于何處、他們正在使用哪些服務(wù)以及他們?cè)?jīng)使用過(guò)哪些服務(wù)。網(wǎng)絡(luò)自愈：蜂窩式組網(wǎng)中，AP是連續(xù)分布，相鄰AP之間共同覆蓋一部分區(qū)域，如果單個(gè)AP故障，無(wú)線控制器模塊可自動(dòng)調(diào)整周邊AP到最大射頻功率，盡最大可能彌補(bǔ)單個(gè)AP故障留下的信號(hào)盲區(qū)；射頻管理：AP射頻掃描可測(cè)量信號(hào)強(qiáng)度和使用量；無(wú)線控制器模塊的軟件可動(dòng)態(tài)地調(diào)整AP的流量負(fù)載、功率、射頻覆蓋區(qū)域和信道分配，以使覆蓋范圍和容量最大化。AP部署的原則如下：盡量避免鄰道干擾，采用不重疊的頻點(diǎn)實(shí)施鄰近的AP覆蓋盡量通過(guò)AP的以太網(wǎng)端口只連接接入層以太網(wǎng)交換機(jī)，以確保AP的上行帶寬和整個(gè)網(wǎng)絡(luò)的傳輸性能。盡量通過(guò)集中供電系統(tǒng)為樓層AP實(shí)施供電，以確保穩(wěn)定及冗余的能量來(lái)源,保證整個(gè)網(wǎng)絡(luò)的高可靠性。4.4無(wú)線網(wǎng)絡(luò)建設(shè)方案針對(duì)醫(yī)院采用WLAN技術(shù)構(gòu)架寬帶網(wǎng)絡(luò)服務(wù)，從技術(shù)上、工程上以及提供的服務(wù)質(zhì)量上均能較好的滿足校方的要求，具體組網(wǎng)構(gòu)架如下：4.4.1整體組網(wǎng)方案鑒于XXXX區(qū)人民醫(yī)院的有線網(wǎng)絡(luò)已經(jīng)較為完善，又由于現(xiàn)在的有線網(wǎng)絡(luò)為無(wú)線網(wǎng)絡(luò)提供一個(gè)有線接口，同時(shí)完成POE供電的功能，本次工程采用無(wú)線網(wǎng)就接入千兆POE遠(yuǎn)程供電交換機(jī)，同時(shí)在數(shù)據(jù)中心核心交換機(jī)上配置無(wú)線控制器作為整個(gè)無(wú)線局域網(wǎng)絡(luò)的中央管理控制器。認(rèn)證方式和認(rèn)證點(diǎn)選擇本方案主要采用802.1X認(rèn)證，802.11N/AP與無(wú)線控制器通過(guò)二層隧道協(xié)議通信，無(wú)線用戶的認(rèn)證點(diǎn)都是放置于無(wú)線控制器設(shè)備上，后臺(tái)的CAMS作為用戶鑒權(quán)點(diǎn)。鑒于目前XXXX區(qū)人民醫(yī)院無(wú)線網(wǎng)絡(luò)本次規(guī)模，從網(wǎng)絡(luò)支撐能力的角度來(lái)看，需要一個(gè)無(wú)線控制器模塊就可以實(shí)現(xiàn)。針對(duì)無(wú)線用戶，無(wú)線控制器作為802.1X終結(jié)點(diǎn)，CAMS作為最后的鑒權(quán)點(diǎn)，當(dāng)用戶在AP內(nèi)進(jìn)行切換時(shí)，此時(shí)的主要工作由無(wú)線控制器模塊進(jìn)行統(tǒng)一調(diào)度，當(dāng)用戶在相同或者不同的不同的端口下的不同AP的覆蓋范圍時(shí)，此時(shí)用戶不會(huì)再次觸發(fā)認(rèn)證，此時(shí)的認(rèn)證方式可以采用本地認(rèn)證，也可以采用CAMS認(rèn)證，如果采用本地認(rèn)證時(shí)，用戶在所有的無(wú)線控制器上進(jìn)行配置。如果采用：CAMS認(rèn)證，優(yōu)點(diǎn)：配置工作量小，二種方式都不影響無(wú)線用戶的業(yè)務(wù)使用質(zhì)量與無(wú)線用戶在不同AP之間的漫游切換速度。計(jì)費(fèi)模式：考慮到XXXX區(qū)人民醫(yī)院無(wú)線網(wǎng)網(wǎng)絡(luò)的主要負(fù)責(zé)包括為院內(nèi)人員提供網(wǎng)絡(luò)服務(wù)及承擔(dān)部分科研的任務(wù)，同時(shí)鑒于前期無(wú)線用戶的數(shù)量還是相對(duì)較小，則采用包月制進(jìn)行運(yùn)營(yíng)，等無(wú)線用戶達(dá)到一定規(guī)模以后，增加計(jì)時(shí)運(yùn)營(yíng)策略，對(duì)于國(guó)際流量采用按流量計(jì)費(fèi)，將無(wú)線網(wǎng)絡(luò)中的無(wú)線流量信息。整網(wǎng)安全XXXX區(qū)人民醫(yī)院無(wú)線局域網(wǎng)絡(luò)主要服務(wù)于院內(nèi)的人員，也是一種小規(guī)模的公眾型網(wǎng)絡(luò)，同時(shí)由于院內(nèi)人員出于技術(shù)的研究興趣，會(huì)對(duì)網(wǎng)絡(luò)發(fā)起各種各樣的攻擊行為，此時(shí)網(wǎng)絡(luò)安全問(wèn)題在建網(wǎng)時(shí)必須考慮問(wèn)題，安全方式主要側(cè)重幾個(gè)方面：用戶安全、網(wǎng)絡(luò)安全，而在醫(yī)院網(wǎng)絡(luò)中主要依附于用戶實(shí)體的屬性主要包括用戶使用的信息終端二層屬性（諸如：MAC地址）及用戶的帳號(hào)、密碼，而對(duì)于醫(yī)院用戶來(lái)，帳號(hào)信息都是一個(gè)實(shí)名原則，與人員的工作信息證件進(jìn)行關(guān)聯(lián)的，這樣本無(wú)線網(wǎng)絡(luò)中著重考慮使用無(wú)線網(wǎng)絡(luò)的空口信息的安全機(jī)制，同時(shí)也要考慮與無(wú)線相關(guān)的有線網(wǎng)絡(luò)的安全問(wèn)題，對(duì)于原有有線網(wǎng)絡(luò)的安全問(wèn)題，在本技術(shù)建議書(shū)中不作相應(yīng)的考慮；無(wú)線網(wǎng)絡(luò)安全：無(wú)線網(wǎng)絡(luò)安全部分主要包括以下方面的內(nèi)容：MAC地址過(guò)濾：目前支持基于MAC地址的過(guò)濾，限制具有某種類型的MAC地址特征的終端才能進(jìn)入網(wǎng)絡(luò)中；SSID管理：是一種網(wǎng)絡(luò)標(biāo)識(shí)的方案，將網(wǎng)絡(luò)進(jìn)行一個(gè)邏輯化標(biāo)識(shí)，對(duì)終端上發(fā)的報(bào)文都要求進(jìn)行上帶SSID，如果沒(méi)有SSID標(biāo)識(shí)則不能進(jìn)入網(wǎng)絡(luò)；WEP加密：WEP加密是一種靜態(tài)加密的機(jī)制，通信雙方具有一個(gè)共同的密鑰，終端發(fā)送的空口信息報(bào)文必須使用共同的密鑰進(jìn)行加密；支持AES加密，AES安全機(jī)制是一種動(dòng)態(tài)密鑰管理機(jī)制，同時(shí)密鑰生成也基于不對(duì)稱密鑰機(jī)制來(lái)實(shí)現(xiàn)的，同時(shí)密鑰的管理也定期更新，具有體的時(shí)間由系統(tǒng)可以設(shè)定，一般情況都設(shè)定為5分鐘左右，這樣非法用戶要想在5分鐘之內(nèi)進(jìn)行獲取足夠數(shù)量的報(bào)文進(jìn)行匹配出密鑰出來(lái)，從無(wú)線空口的流理來(lái)看，基本上是不可能的；H3C的無(wú)線方案中可根據(jù)用戶名來(lái)劃分權(quán)限，即相同用戶在不同地點(diǎn)接入無(wú)線網(wǎng)絡(luò)其權(quán)限保持一致；密鑰設(shè)置可能根據(jù)SSID信息與用戶信息進(jìn)行組合，即不同的SSID下不同的用戶的密鑰生成可以不一樣，這樣一定程度上保證用戶之間串號(hào)問(wèn)題產(chǎn)生，從而保護(hù)投資，以達(dá)到營(yíng)維平衡；頻率規(guī)劃與負(fù)載均衡：頻率規(guī)劃802.11N使用開(kāi)放的2.4GHz、5GHzISM頻段，可工作的信道數(shù)為歐洲標(biāo)準(zhǔn)信道數(shù)13個(gè)。由于其支持直序擴(kuò)頻技術(shù)造成相鄰頻點(diǎn)之間存在重疊。對(duì)于真正相互不重疊信道只有相隔5個(gè)信道的工作中心頻點(diǎn)。因此對(duì)于802.11N在2.4GHz、5GHz地工作頻段，理論上只能進(jìn)行三信道的蜂窩規(guī)劃實(shí)現(xiàn)對(duì)需要規(guī)劃的熱點(diǎn)的無(wú)縫覆蓋。此外，由于功率模板是否能做到符合鄰道、隔道不干擾也非常影響頻率規(guī)劃的效果。針對(duì)如何進(jìn)行802.11N的頻率規(guī)劃作了大量的實(shí)驗(yàn)，實(shí)驗(yàn)證明3載頻也可以實(shí)現(xiàn)蜂窩對(duì)需要覆蓋的區(qū)域進(jìn)行無(wú)縫覆蓋，并提供更高的服務(wù)帶寬提高服務(wù)質(zhì)量，和高帶寬業(yè)務(wù)的開(kāi)展。頻率規(guī)劃原理圖頻率規(guī)劃需要配合使用的功能包括：AP支持13個(gè)信道設(shè)置AP支持500～200mW、60～10mW功率以及多級(jí)功率控制AP支持外置天線以及定向天線針對(duì)特殊應(yīng)用還需要AP支持橋接功能、接入功能以及WDS功能結(jié)合以上功能的支持，以及勘探工具，可以較好的部署AP達(dá)到頻率規(guī)劃的效果。H3C公司針對(duì)無(wú)線小區(qū)、機(jī)場(chǎng)、酒店等熱點(diǎn)區(qū)域進(jìn)行過(guò)頻率規(guī)劃，使用效果較好。負(fù)載均衡AP上支持標(biāo)準(zhǔn)的IAPP協(xié)議框架，通過(guò)負(fù)載均衡的部署，可實(shí)現(xiàn)在一個(gè)熱點(diǎn)內(nèi)用戶平均分配到所部署的所有AP上，達(dá)到在一個(gè)服務(wù)區(qū)AP接入用戶數(shù)和流量的平衡，為用戶提供更高的服務(wù)質(zhì)量。具體可部署的負(fù)載均衡策略有：對(duì)所有AP設(shè)置基于用戶數(shù)的負(fù)載均衡功能，AP通過(guò)對(duì)接入用戶數(shù)的統(tǒng)計(jì)，與設(shè)定AP接入用戶數(shù)量閥值比較，達(dá)到閥值后，不允許新的用戶接入。對(duì)所有AP設(shè)置基于流量的負(fù)載均衡功能，AP通過(guò)對(duì)接入用戶流量的統(tǒng)計(jì)，與設(shè)定AP上流量漏桶閥值上沿比較，達(dá)到閥值后，不允許新的用戶接入，少于閥值下沿，再允許新用戶接入。配合網(wǎng)絡(luò)規(guī)劃，設(shè)置AP群功能，在一個(gè)群內(nèi)的AP通過(guò)組播報(bào)文實(shí)時(shí)通報(bào)接入用戶數(shù)量，當(dāng)發(fā)現(xiàn)AP間用戶數(shù)差值大于設(shè)定閥值，接入用戶多的AP將部分用戶趕下網(wǎng)。網(wǎng)絡(luò)管理基于標(biāo)準(zhǔn)的SNMP協(xié)議實(shí)現(xiàn)對(duì)設(shè)備的管理，IMC網(wǎng)管系統(tǒng)通過(guò)SNMP實(shí)現(xiàn)對(duì)WLAN所有網(wǎng)元的管理。網(wǎng)管工作站可以放在網(wǎng)上的任意位置，通過(guò)標(biāo)準(zhǔn)的SNMP即可實(shí)現(xiàn)對(duì)所有設(shè)備的管理。采用標(biāo)準(zhǔn)的SNMP可以實(shí)現(xiàn)更為強(qiáng)大的管理包括自動(dòng)拓?fù)浒l(fā)現(xiàn)、自動(dòng)升級(jí)、批量配置、分級(jí)管理、分級(jí)告警等。供電問(wèn)題：由于本次無(wú)線網(wǎng)中AP設(shè)備數(shù)量較多，AP布放位置根據(jù)實(shí)際覆蓋效果而調(diào)整，在已建設(shè)完成的建筑物上較難進(jìn)行本地供電?；跇?biāo)準(zhǔn)的802.3af實(shí)現(xiàn)對(duì)AP的供電。通過(guò)在核心交換機(jī)上的POE業(yè)務(wù)模塊，通過(guò)以太網(wǎng)線在傳輸數(shù)據(jù)同時(shí)給AP供電，供電距離達(dá)100米，滿足實(shí)際組網(wǎng)的要求。4.4.2覆蓋解決方案從整體的統(tǒng)計(jì)看來(lái)，XXXX區(qū)人民醫(yī)院此次的無(wú)線覆蓋設(shè)計(jì)基本上可以分為以下幾種類型：根據(jù)本項(xiàng)目的需求與將來(lái)的業(yè)務(wù)發(fā)展需求，初步確定室內(nèi)部分主要覆蓋以下空間，主要包括辦公樓空間/住院部/門診部；根據(jù)實(shí)際工勘的結(jié)果來(lái)看，可以歸納為：AP室內(nèi)無(wú)障礙覆蓋、AP室內(nèi)穿越障礙覆蓋，下面則對(duì)這兩類覆蓋分別進(jìn)行描述：AP室內(nèi)無(wú)障礙覆蓋：主要應(yīng)用于空間較大的房間等重點(diǎn)室內(nèi)區(qū)域，此時(shí)主要信號(hào)進(jìn)行此空間內(nèi)覆蓋，無(wú)需要考慮到穿越墻壁、地板等障礙物對(duì)隔壁空間的覆蓋；此時(shí)又分二種情況，劃分原則主要要看是否要使用吸頂天線的問(wèn)題，根據(jù)實(shí)現(xiàn)工程勘測(cè)情況來(lái)看，室內(nèi)部分都可以采用吸頂天線的方式進(jìn)行操作。AP室內(nèi)穿越障礙覆蓋：主要應(yīng)用于各辦公樓中間走廊兩邊房間結(jié)構(gòu)室內(nèi)區(qū)域，因?yàn)闊o(wú)線信號(hào)穿越墻壁、地板等障礙物會(huì)存在衰減，但在走廊式結(jié)構(gòu)的室內(nèi)區(qū)域具備一定的穿越障礙的能力，一般是穿越一道墻壁之后信號(hào)效果較好。因此這樣的結(jié)構(gòu)適合在走廊中布置AP，來(lái)覆蓋兩邊的房間區(qū)域；并且根據(jù)實(shí)現(xiàn)工程勘測(cè)情況來(lái)看，室內(nèi)走廊部分都可以采用吸頂天線的方式進(jìn)行操作。4.4.3覆蓋效果理論計(jì)算信號(hào)強(qiáng)度和傳輸距離的換算公式AP加卡的信號(hào)總強(qiáng)度公式：Gt－Gr＋AP天線增益＋終端天線增益＝L信號(hào)總強(qiáng)度（dB）Gt（AP或終端功率，單位dB），Gr（終端或AP靈敏度，單位dB）距離產(chǎn)生的信號(hào)衰減公式：40＋20lgd＝L1（dB）d（距離，單位m）工程中最大傳輸距離以45m計(jì)算，所以L1＝72dB障礙物的衰減：工程中實(shí)際的障礙物的最大衰減是臨窗墻的衰減3dB加上房間墻的衰減12dB等于15dB。第5章管理中心設(shè)計(jì)5.1集成化管理平臺(tái)H3C專注于IP產(chǎn)品與相關(guān)技術(shù)的研發(fā)、生產(chǎn)和銷售，具備完善的產(chǎn)品技術(shù)、客戶服務(wù)、渠道、認(rèn)證培訓(xùn)體系，為您提供客戶化、特性豐富、性價(jià)比高的網(wǎng)絡(luò)產(chǎn)品與解決方案。作為業(yè)界領(lǐng)先的網(wǎng)絡(luò)設(shè)備與解決方案供應(yīng)商，H3C提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案：H3C智能管理中心（H3CIntelligentManagementCenter，以下簡(jiǎn)稱H3CiMC）。H3CiMC是H3CIToIP解決方案的統(tǒng)一管理中心，基于SOA架構(gòu)，采用靈活的組件化結(jié)構(gòu)，支持與HPOpenview、SNMPc等通用網(wǎng)管平臺(tái)的集成，支持集成各多廠家設(shè)備管理系統(tǒng)，與H3C的數(shù)據(jù)通信設(shè)備產(chǎn)品一起為用戶提供全網(wǎng)解決方案，幫助客戶真正實(shí)現(xiàn)網(wǎng)絡(luò)的按需構(gòu)建。H3CiMC在IToIP解決方案中的位置H3CiMC作為IToIP解決方案核心管理系統(tǒng)，為用戶提供了靈活的組件化結(jié)構(gòu)，包括智能管理平臺(tái)、智能配置中心（iCC）、ACL管理、MPLSVPN管理、用戶接入管理、EAD解決方案、無(wú)線管理、EPON管理等業(yè)務(wù)組件，用戶可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇需要的組件，真正實(shí)現(xiàn)“按需建構(gòu)”。H3C智能管理中心解決方案架構(gòu)如下圖所示：H3CiMC解決方案架構(gòu)由上圖可以看出H3CiMC管理系統(tǒng)由智能管理平臺(tái)以及各個(gè)業(yè)務(wù)組件組成，管理平臺(tái)）提供網(wǎng)絡(luò)管理的一些基礎(chǔ)功能，比如故障管理、性能管理、資源和拓?fù)涔芾?、用戶管理等，而業(yè)務(wù)組件提供了相應(yīng)的業(yè)務(wù)管理功能；各個(gè)業(yè)務(wù)組件相對(duì)獨(dú)立，并可以無(wú)縫的集成在管理平臺(tái)中，使得整個(gè)系統(tǒng)具有很強(qiáng)的可擴(kuò)展性。H3CiMC智能管理平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)資源、用戶和業(yè)務(wù)的融合管理，提供基本的網(wǎng)絡(luò)資源管理、拓?fù)涔芾?、故障管理、性能管理、用戶管理及系統(tǒng)安全管理，基于B/S架構(gòu)，可以與H3CiMC其他業(yè)務(wù)組件有效集成，形成多種解決方案。H3CiMC智能管理平臺(tái)不僅可以實(shí)現(xiàn)H3C全線數(shù)據(jù)通信產(chǎn)品的管理，也可通過(guò)標(biāo)準(zhǔn)mib實(shí)現(xiàn)對(duì)Cisco、華為、3COM等各主流廠商的數(shù)據(jù)通信設(shè)備管理。5.2系統(tǒng)安全管理系統(tǒng)安全管理功能主要有包括：操作日志管理、操作員管理、分組分級(jí)與權(quán)限管理、操作員登錄管理等。所包含的主要功能有：操作員登錄管理管理員通過(guò)制定登錄安全策略約束操作員的登錄鑒權(quán)，實(shí)現(xiàn)操作員登錄的安全性，通過(guò)訪問(wèn)控制模板約束操作員可以登錄的終端機(jī)器的IP地址范圍，避免惡意嘗試另人密碼進(jìn)行登錄的行為存在，通過(guò)密碼控制策略，約束操作員密碼組成要求，包括密碼長(zhǎng)度、密碼復(fù)雜性要求、密碼有效期等，以約束操作員定期修改密碼，并對(duì)密碼復(fù)雜性按要求設(shè)置。操作員密碼管理管理員為操作員制定密碼控制策略，操作員僅能按照指定的策略定期修改密碼，以保證訪問(wèn)iMC系統(tǒng)的安全性。分組分級(jí)權(quán)限管理管理員通過(guò)設(shè)備分組、用戶分組的設(shè)置，可以為操作員指定可以管理的指定設(shè)備分組和用戶分組，并指定其管理權(quán)限和角色，包括管理員、維護(hù)員和查看員，實(shí)現(xiàn)按角色、分權(quán)限、分資源（設(shè)備和用戶）的多層權(quán)限控制；同時(shí)通過(guò)設(shè)置下級(jí)網(wǎng)絡(luò)管理權(quán)限，可以通過(guò)限制登錄下級(jí)網(wǎng)絡(luò)管理系統(tǒng)的操作員和密碼，保證訪問(wèn)下級(jí)網(wǎng)絡(luò)管理系統(tǒng)的安全性。操作日志管理對(duì)于操作員的所有操作，包括登錄、注銷的時(shí)間、登錄IP地址以及登錄期間進(jìn)行的任何可能修改系統(tǒng)數(shù)據(jù)的操作，都會(huì)記錄詳細(xì)的日志。提供豐富的查詢條件，管理員可以審計(jì)任何操作員的歷史操作記錄，界定網(wǎng)絡(luò)操作錯(cuò)誤的責(zé)任范圍。操作員在線監(jiān)控和管理系統(tǒng)管理員通過(guò)“在線操作員”可以實(shí)時(shí)監(jiān)控當(dāng)前在線聯(lián)機(jī)登錄的操作員信息，包括登錄的主機(jī)IP地址、登錄時(shí)間等，同時(shí)，系統(tǒng)管理員可以將在線操作員強(qiáng)制注銷、禁用/取消禁用當(dāng)前IP地址等控制操作。5.3資源管理iMC資源管理與拓?fù)涔芾碜鳛檎w共同為用戶提供網(wǎng)絡(luò)資源的管理。本節(jié)講解iMC的資源管理，下節(jié)講解iMC的拓?fù)涔芾怼Ｍㄟ^(guò)資源管理可以：網(wǎng)絡(luò)自動(dòng)發(fā)現(xiàn)可以通過(guò)設(shè)置種子的簡(jiǎn)易方式、路由方式、ARP方式、IPSecVPN、網(wǎng)段方式等五種自動(dòng)發(fā)現(xiàn)方式自學(xué)習(xí)網(wǎng)絡(luò)資源及網(wǎng)絡(luò)拓?fù)?，自?dòng)識(shí)別包括：路由器、交換機(jī)、安全網(wǎng)關(guān)、存儲(chǔ)設(shè)備、監(jiān)控設(shè)備、無(wú)線設(shè)備、語(yǔ)音設(shè)備、打印機(jī)、UPS、服務(wù)器、PC在內(nèi)的多種類型網(wǎng)絡(luò)設(shè)備；多種自動(dòng)發(fā)現(xiàn)方式自動(dòng)識(shí)別多種設(shè)備類型網(wǎng)絡(luò)手工管理可以手工添加、刪除網(wǎng)絡(luò)設(shè)備，可以批量導(dǎo)入、導(dǎo)出網(wǎng)絡(luò)設(shè)備，批量配置Telnet、SNMP參數(shù)，以及批量校驗(yàn)Telnet參數(shù)等輔助功能；網(wǎng)絡(luò)視圖管理支持IP視圖、設(shè)備視圖、自定義視圖、下級(jí)網(wǎng)絡(luò)管理視圖等多種管理視圖，用戶可以從不同角度實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的管理；網(wǎng)絡(luò)設(shè)備的管理從任何一種網(wǎng)絡(luò)視圖入口，都可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理，包括：支持對(duì)設(shè)備的管理/去管理、接口的管理/去管理、設(shè)備的詳細(xì)信息顯示和接口詳細(xì)信息顯示、設(shè)備和接口實(shí)時(shí)告警狀態(tài)、設(shè)備和接口的實(shí)時(shí)性能狀態(tài)、實(shí)時(shí)檢測(cè)存在故障的設(shè)備等，用戶可以方便的實(shí)現(xiàn)所有設(shè)備的管理；設(shè)備及業(yè)務(wù)管理系統(tǒng)的集成管理支持對(duì)H3C、CISCO、等主要廠家設(shè)備的管理，支持手工添加設(shè)備廠商、設(shè)備系列及設(shè)備型號(hào)；支持設(shè)備面板管理的動(dòng)態(tài)注冊(cè)機(jī)制，實(shí)現(xiàn)與各廠家設(shè)備管理系統(tǒng)的有效集成；支持拓?fù)涠ㄎ?、ACL、VLAN、QoS等業(yè)務(wù)管理系統(tǒng)的集成，實(shí)現(xiàn)設(shè)備資源的統(tǒng)一管理；設(shè)備分組權(quán)限管理支持設(shè)備分組功能，通過(guò)對(duì)設(shè)備資源進(jìn)行分組管理，系統(tǒng)管理員方便的分配其他管理員的管理權(quán)限，便于職責(zé)分離；5.4拓?fù)涔芾韎MC拓?fù)涔芾韽木W(wǎng)絡(luò)拓?fù)涞慕鉀Q直觀的提供給用戶對(duì)整個(gè)網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備資源的管理。拓?fù)涔芾戆ǎ和負(fù)渥詣?dòng)發(fā)現(xiàn)H3CiMC可以自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，支持全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D，通過(guò)視圖導(dǎo)航樹(shù)提供視圖間的快速導(dǎo)航。通過(guò)自動(dòng)發(fā)現(xiàn)可以發(fā)現(xiàn)網(wǎng)絡(luò)中的所有設(shè)備及網(wǎng)絡(luò)結(jié)構(gòu)（具體參見(jiàn)資源管理），并且可以將非SNMP設(shè)備發(fā)現(xiàn)出來(lái)，只要設(shè)備可以ping通即可。這樣就可以將所有網(wǎng)絡(luò)設(shè)備都列入其管理范圍（只要設(shè)備IP可達(dá)）。同時(shí)支持自動(dòng)的拓?fù)鋱D呈現(xiàn)和自定義拓?fù)?。自?dòng)拓?fù)淇梢宰詣?dòng)將網(wǎng)絡(luò)中的邏輯連接關(guān)系顯示出來(lái)，同時(shí)可以保存為自定義拓?fù)鋱D并可根據(jù)具體情況進(jìn)行修改以便于網(wǎng)管員對(duì)整個(gè)網(wǎng)絡(luò)設(shè)備的監(jiān)控。支持對(duì)全網(wǎng)設(shè)備和連接定時(shí)輪詢和狀態(tài)刷新，實(shí)時(shí)了解整個(gè)網(wǎng)絡(luò)的運(yùn)行情況，并且刷新周期是可定制（刷新周期：60～7200秒），同時(shí)也支持對(duì)多個(gè)設(shè)備的刷新周期進(jìn)行批量配置的功能。支持自定義拓?fù)鋫鹘y(tǒng)的網(wǎng)絡(luò)管理軟件大多支持自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)涞墓δ埽亲詣?dòng)發(fā)現(xiàn)后的網(wǎng)絡(luò)拓?fù)渫呛芏嘣O(shè)備圖標(biāo)的簡(jiǎn)單排放，不能突出重點(diǎn)設(shè)備和網(wǎng)絡(luò)層次，使網(wǎng)絡(luò)管理人員感覺(jué)無(wú)從下手。針對(duì)這種情況，H3CiMC的拓?fù)涔δ苤С朱`活的自定義功能，管理人員可以根據(jù)網(wǎng)絡(luò)的實(shí)際組網(wǎng)情況和設(shè)備重要性的不同靈活定制網(wǎng)絡(luò)拓?fù)洌蓪?duì)拓?fù)鋱D進(jìn)行增、刪、改等編輯操作，使網(wǎng)絡(luò)拓?fù)淠軌蚯逦爻尸F(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)以及IT資源分布。H3CiMC支持靈活定制拓?fù)鋱D，使網(wǎng)絡(luò)拓?fù)涓兄攸c(diǎn)和層次感。管理員可以按照關(guān)注設(shè)備不同，管理角度不同定義多種拓?fù)?，并可以針?duì)拓?fù)洳煌x擇不同的背景圖；管理員可以根據(jù)網(wǎng)絡(luò)設(shè)備的重要性不同，鏈路速率不同采用合適的圖標(biāo)顯示。自動(dòng)識(shí)別各種網(wǎng)絡(luò)設(shè)備和主機(jī)的類型H3CiMC可以自動(dòng)識(shí)別H3C、H3C、Cisco、等廠商的設(shè)備、Windows、Solaris的PC和工作站、其他SNMP設(shè)備和ping設(shè)備，并且以樹(shù)形方式組織，以不同的圖標(biāo)顯示區(qū)分。在拓?fù)鋱D上更可進(jìn)一步對(duì)設(shè)備的類型進(jìn)行區(qū)分，如區(qū)分路由器、交換機(jī)、安全網(wǎng)關(guān)、存儲(chǔ)設(shè)備、監(jiān)控設(shè)備、無(wú)線設(shè)備、語(yǔ)音設(shè)備、打印機(jī)、UPS、服務(wù)器、PC等等。設(shè)備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓?fù)鋱D上的直觀顯示H3CiMC的拓?fù)涔δ芘c故障管理和性能管理緊密融合，使拓?fù)鋱D能夠清晰地看到XXXXXX區(qū)人民醫(yī)院IT資源的狀態(tài)，包括運(yùn)行是否正常、網(wǎng)絡(luò)帶寬、接口連通、配置變化都能一目了然。多種顏色區(qū)分不同級(jí)別故障，根據(jù)節(jié)點(diǎn)圖標(biāo)顏色反映設(shè)備狀態(tài)。拓?fù)淠芴峁┰O(shè)備管理便捷入口H3CiMC拓?fù)淠軌蛱峁?duì)設(shè)備管理的便捷入口，管理員只需通過(guò)右鍵點(diǎn)擊拓?fù)鋱D中的設(shè)備圖標(biāo)即可啟動(dòng)設(shè)備管理各項(xiàng)功能，實(shí)現(xiàn)對(duì)設(shè)備的面板管理等各項(xiàng)功能配置。5.5故障（告警/事件）管理故障管理，即告警/事件管理，是H3CiMC的核心模塊，是iMC智能管理平臺(tái)及其他業(yè)務(wù)組件統(tǒng)一的告警中心。如下圖所示，以故障管理流程為引導(dǎo)，介紹H3CiMC強(qiáng)大的故障管理能力：告警發(fā)現(xiàn)和上報(bào)iMC告警中心可以按收各種告警源的告警事件，包括設(shè)備告警、本級(jí)網(wǎng)管站及下級(jí)網(wǎng)管站告警、網(wǎng)絡(luò)性能監(jiān)視告警、網(wǎng)絡(luò)配置監(jiān)視告警、網(wǎng)絡(luò)流量異常監(jiān)視告警、終端安全異常告警等；同時(shí)通過(guò)支持對(duì)設(shè)備定時(shí)輪詢，實(shí)現(xiàn)通斷告警、響應(yīng)時(shí)間告警等，以告警事件的方式上報(bào)給H3CiMC告警中心；設(shè)備告警包括電源電壓、設(shè)備溫度、風(fēng)扇等告警事件，設(shè)備冷啟動(dòng)、熱啟動(dòng)、接口linkdown等重要告警事件，路由信息事件（OSPF，BGP）變化，熱備份路由（HSRP）狀態(tài)變化等告警事件，支持對(duì)H3C、CISCO、H3C、等多廠商設(shè)備告警的識(shí)別和解析；網(wǎng)管站告警指包括本級(jí)iMC系統(tǒng)集群服務(wù)器的異常告警，包括CPU利用率、內(nèi)存使用率、iMC服務(wù)程序運(yùn)行狀態(tài)等以及下級(jí)iMC系統(tǒng)上報(bào)的告警事件；網(wǎng)絡(luò)性能監(jiān)視包括CPU利用率，內(nèi)存使用率，以及RMON告警的故障管理。網(wǎng)絡(luò)配置監(jiān)視告警包括設(shè)備軟件版本、配置信息變更等告警事件，并通過(guò)iMC智能配置中心組件（iMCiCC）實(shí)現(xiàn)配置文件定期檢查，實(shí)現(xiàn)配置變更告警事件。網(wǎng)絡(luò)流量異常監(jiān)視告警通過(guò)iMC網(wǎng)絡(luò)流量分析組件（iMCNTA）實(shí)現(xiàn)網(wǎng)絡(luò)中異常流量告警，包括對(duì)設(shè)備及接口異常流量、主機(jī)IP地址異常流量和應(yīng)用異常流量的告警，支持二