中心医院无线网络WLAN改造扩容项目技术建议书方案062V1.docx

xxxx区中心医院无线网络改造扩容项目技术建议书目录1.概述12.无线建设需求32.1.总体要求32.2.技术要求43.无线网络整体设计53.1.整体方案说明53.2.建设原则53.3.无线网络结构73.3.1. 无线控制器83.3.2. 无线 AP83.3.3. POE 交换机93.4.无线网络规划103.4.1. 覆盖区域103.4.2. 频率规划253.4.3. 频率复用263.4.4. 负载均衡273.5.接入认证管理273.5.1. 集中化的设备资源和用户资源管理283.5.2. 设备和用户的统一分组管理283.5.3. 用户管理与网络设备管理相融合，用户管理操作更简单283.5.4. 支持多种接入及认证方式，适合多种接入组网场景293.5.5. 严格的权限控制手段，强化用户接入控制管理293.5.6. 详尽的用户监控，强化对终端用户的监视控制293.5.7. 集中方便的接入业务用户管理，简化管理员维护操作303.5.8. 支持通过多种短信环境发送访客账号信息303.5.9. 融合的接入设备管理，操作简单、管理方便303.5.10. 基于场景的授权策略，强化设备管理用户授权管理313.5.11. 详尽的日志审计，详细记录设备管理用户行为313.5.12. 智能的公告推送，适应不同网络运营方需求323.5.13. 高性能的认证流程，大容量的数据存储323.6.审计及行为管理323.6.1. 安全审计333.6.2. 精细化的流量管理功能333.6.3. 智能阻断技术333.6.4. 精细化的应用控制功能343.7.网络管理343.7.1. 有线网管部分343.7.2. 无线网管部分534.中国移动无线解决方案优势614.1.更安全彻底解决医院无线安全问题614.2.无干扰提供绿色无线网络634.3.无缝漫游根据医院应用场景需求，实现无线网络“一次认证，移动接入”644.4.易实施提供智能的射频管理654.5.易管理有线无线一体化管理平台664.6.增值应用无线定位，解决人员和医疗设备管理难题684.7.增值应用解决无线系统和医院 HIS 系统融合691. 概述许多医院已经建立了功能强大的医疗信息管理系统（如 HIS、PACS 等），医护人员可以通过 有线网络来访问、修改、输入患者信息、诊断报告和治疗方案，但在使用过程中发现，由于有 线网络存在信息点固定的局限性，制约了系统发挥更大的作用。无线网络的应用彻底打破了这 一局限。无线网络在医院的应用主要集中在以下几方面。n无线查房医生在查房的过程中，往往需要随时调取患者的诊疗记录或病史等信息，并根据患者当时 的具体病情随时下医嘱。无线网络的应用，可以使医生通过随身携带的平板电脑或 PDA，随时查 询患者的相关的信息。免除了在病房内为患者诊治时的总要拿着一大堆病例记录本的麻烦，并 且能够更加准确、及时、全面的了解患者的详细信息。医生的查房工作变得简单轻松，而患者 也能够得到及时、准确的诊治。n方便患者就诊门诊排队、就医环境差是目前医院普遍存在的问题，减少就诊等待，提高诊治效率，避免 由于就诊等待而感染疾病成为当务之急。无线网络部署后，医生可以通过配备的平板电脑或者 PDA，将接诊或等待的患者数量信息登记传输到前台负责分诊人员的计算机上，方便分诊人员了 解每个门诊医生当前的接诊情况，及时调配资源。开处方时，医生通过无线网络设备可以及时 了解处方中药品的种类和数量等信息。从而避免在制定处方时因字迹模糊潦草、手工操作而导 致患者拿错药情况发生，提高诊治效率。n方便信息点的扩展有线网络增加信息点相对困难，施工时又会产生灰尘和噪音，破坏医院的医疗环境，部署 无线网络后，增加一个接入点，只需要安装一块无线网卡，非常快速方便。n方便贵重医疗设备仪器的管理整体而言，无线医疗的应用场景如下，医院里日常工作及活动的方方面面都涉及到无线应 用：9应用分类序号应 用名称用户使用 环境建议终端相关应用系统核 心 应 用：突破有线 的范围限制， 实现随时随地 共享病人信息1无 线 查房医生病房WiFi 笔记本+手推车HIS 软件PACS 软件等2无 线 护理护士病房WiFi PDAHIS 软件PACS 软件等3无 线 分诊医生诊室WiFi 笔 记本、WiFi 平板电 脑分诊系统等4无 线 输液护士输 液室WiFi PDAHIS 软件病房PACS 软件等增 值 应 用：借助无线 网络和各类无 线终端，实现 药品、资产信 息的快捷方便 共享；提供信 息接入功能5无 线 办公医 护 人员医 护 办公室WiFi 笔 记本、WiFi 平板电 脑内部 OA 系统6无 线 上网病人病房WiFi 笔 记本、WiFi 平板电 脑互联网接入系统7无 线 药品管理药 品 管理人员药房WiFi 扫描仪药品管理系统终 端 上 的 WiFi 扫描功能8无 线人员定位医 护人员医院WiFi 条码标签人员定位软件9无 线设备定位设 备管理人员医院WiFi 无线条码标签设备定位软件10无 线监控保 卫人员医院WiFi 摄像头视频监控系统11无 线呼叫医 护人员医院WiFi 手机、PDA 等IP 语音通信系统本项目主要针对 1 号楼的无线信号进行补强，满足工作人员及病人的无线上网 需求，同时对 2、3、5 号楼进行无线规划。2. 无线建设需求2.1.总体要求l 先进通行的协议标准，采用无线局域网最新协议标准 802.11n 和 802.11ac， 与 802.11a、802.11b、802.11g 标准兼容，提供可供实际应用的稳定网络通 讯服务。l 实现室内无线网络的合理分布，本次无线网络主要满足工作人员及来访人 员的无线上网及未来应用于无线查房、无线药品管理、无线输液等业务，考 虑室内实现无线网络的不同情况和特点以及各区域终端数分布不均匀等情 况，应采取合理的布网方式满足现在以及未来发展的需要。l 在实施无线覆盖工程时，人数密集的地方（如缴费处）需要考虑并发接入数 将使用中、高密度 AP，其他如无特别说明将使用低密度 AP，以考虑信号覆 盖范围为主，如病房。l无线系统须具备对无线 AP 进行统一控制、管理的软硬件平台，软硬件控制、 管理平台所提供的网元 License 数量与实际网元数量相匹配并易于扩充，网 管系统须提供必要的网络监控、管理、统计、报表功能，提供足够数量的 License 授权。本次建设的无线网络需要单独配置的包括无线控制器、POE 交换机、AP、线缆 等。在 POE 交换机到无线控制器之间根据实际情况与原有网络进行共用。2.2.技术要求l 室内无线 AP 输出点信号强度- 73dbml无线接入点供电方式需采用 IEEE802.3af POE 交换机远程供电l 为了满足大容量并且以备扩容和发展，无线 AP 要求必须支持两个射频模 块，可以工作在 2.4GHz 和 5.8GHz 频段l 无线接入点（AP）必须支持 802.11n、802.11ac、IEEE802.11a、IEEE802.11b、 IEEE802.11g 无线传输协议l 无线 AP 必须支持无线用户的隔离功能，以防止在公共区域无线用户间的信 息泄露l 无线 AP 必须支持 Multi SSID 功能，AP 自身具备为不同 SSID 无线用户接入 有线网络或互联网络提供不同身份认证策略的功能l 无线 AP 自身具备智能的、无需要辅助设备就可根据周围电磁波环境的变 化，自动进行频道最优化设置，以达到最优化覆盖的目的l无线 AP 之间可根据相互通告来获取对方连接的用户数量及流量，从而实现AP 的负载均衡，并支持用户在不同 AP 间平滑漫游l 无线 AP 支持射频(RF)信号加密特性，支持 802.11i 安全标准，提供 WPA2 认 证机制可同时提供 TKIP 以及 AES 加密方式，且 AP 具有自动识别客户端两 种加密请求方式l 无线 AP 支持 SNMP Vi/Vii 管理及支持 Watchdog 功能l 无线系统须支持 WPA 以及 WPA2 认证，支持 WPA/WPA2 安全规范，支持标 准的 802.1x 认证流程，内嵌 Radius Server，支持 EAP-MD5，EAP-TLS，EAP- TTLS，PEAP 等多种认证协议l系统须支持 WEBDHCP 认证，认证过程支持 SSL 的加密技术l系统须支持基于 MAC 地址的认证，以及用户账号与 MAC 地址的绑定认证l 系统能够对用户进行访问控制（ACL）和策略路由，可建立完整的访问控制 列表l 无线 AP 支持射频(RF)信号加密特性，支持 802.11i 安全标准，提供 WPA2 认 证机制可同时提供 TKIP 以及 AES 加密方式，且 AP 具有自动识别客户端两 种加密请求方式l系统必须支持基于二层的用户隔离l 系统必须支持 Portal 业务，Portal Server 支持可定制的 Portal 页面l系统必须提供 Web 和 SSH 方式管理；支持 SNMP v2/v3 网管协议3. 无线网络整体设计3.1.整体方案说明1、为满足医院信息应用系统未来需求，本次部署的 AP 支持物联网接入需求，放装 型 AP 支持蓝牙接入，同时，支持蓝牙+WLAN 的定位应用；X-SHARE AP 支持支持 RFID、 ZigBee、Bluetooth4.0 等标准接口模块的任意组合，满足未来应用需求。 2、管理需求：医院原网管系统为 H3C 的 IMC，此次新建设备支持 IMC 统一管理， 在接入管理方面，可部署 EIA 组件， iMC EIA 终端智能接入组件是一款全面的企业 终端网络接入策略管理解决方案。它提供企业统一的网络接入策略，实现企业网络（有线、无线和 VPN 网络）的统一接入管理，并提供对员工、访客、设备管理员基 于角色、设备类型、接入时间、接入地点的网络访问控制，满足企业多种网络接入、 多种终端接入的统一运维管理需求，确保终端安全策略在整个网络无缝地执行。3.2.建设原则先进性和实用性并重系统要有一定的前瞻性。在无线网络建成后的 3-5 年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整，避免技术进步造成投资浪费。兼容性 网络采用开放式体系结构，易于扩充，使相对独立的分系统易于进行组合和调整。选用的通信协议符合国际标准或工业标准，网络的硬件环境、通信环境、软件 环境相互独立，自成平台，使相互间依赖减至最小，同时保证网络的互联。无线辐射根据中国国家无线电管理委员会的规定，在办公室内部署无线网络信号辐射不 得超过 100mw，以避免 2.4GHz 和 5GHz 对人体的影响。同样的原因，在通常情况 下，终端使用 5mw 左右的发射功率，以避免大功率长期辐射对人体的影响。随着终端和 AP 之间的信号的强弱，AP 和终端会自动协商根据信号的衰减程度，自动降低 传输速率和增大传输功率，功率智能调节。实时的射频自动监测无线信号容易受到其他信号的干扰，需要 AP 实时进行射频的监测，AP 后台的 控制器能够实时对 AP 进行控制，控制功率的大小，比如当 1 个 AP 失效以后，其他 的 AP 通过自动计算对功率进行增加；出现信号的时候，控制器能够对信号干扰来 源进行定位，确定何处的信号干扰，信号干扰的程度如何，并地图方式显示在网管上。无线网络与医疗仪器的相互干扰和影响取决于设备的摆放位置、发射频率、输 出功率，以及设备自身的抗干扰能力，无线网络的信号必须不能干扰医疗仪器。无 线信号会扩散到物理围墙之外，从而可能将医院的 WLAN 拓展到某个停车场或者相 邻建筑物。必须采用正确的 RF 设计、发射功率控制和先进的定位技术。自动负载均衡可以对 AP 自动的负载均衡，将终端分别发送到不同的 AP，自动计算和对终端 的流量进行均衡，比如，当这个 AP 的利用率到了 80%，那么控制器自动将用户引导 到另外的空闲的相邻 AP 上面。自动频道管理和跨 IP 域漫游无线局域网 802.11n 标准使用 3 个不重复的频道，1、6、11，为了实现自动漫 游，需要对频道的管理。无线系统由于采用了后台集中控制的方式，能够当 AP 布防 后，通过实时射频监测，然后自动对频道进行分配，并地图方式显示在网管上。无线局域网的 AP 如果处于不同的子网，在漫游的过程中，需要处理三层的漫 游，在后台保持用户的 DHCP 得来的 IP 租用，认证的会话密钥等，控制器可以自动 完成三层无线漫游。安全性 无线网络需要支持最多的安全特性，采用集中认证，对每个数据包进行加密。通过对射频的实时监测，发现并定位恶意的 AP，恶意 AP 是未经授权的人员通过自 己设置一个 AP，吸引无线终端连接到恶意 AP 从而非法获得数据的黑客方法。对恶 意 AP 的扫描配合采用安全无线认证协议，能够解决 AP 和无线之间的相互信任问 题。3.3. 无线网络结构根据医院的实际情况，实现无线网络覆盖需部署的无线 AP 数量庞大，管理难 度大。因此，本次方案将采用无线控制器+FIT AP 架构建设基于 IEEE 802.11n 技术标 准的无线网络，并实现整个无线网络的统一集中式管理。无线网络建设以现有局域网络为基础，沿用原无线控制器。全网的无线 AP 均工 作在 FIT 模式，由控制器集中管理，实现安全策略、无线 QoS 策略统一下发。无线 AP 由 POE 交换机进行远程供电，提高设备部署的灵活性。POE 交换机部署于各配 线间，通过千兆链路连接局域网骨干，实现无线网络和有线网络的衔接。网络逻辑结构如下图所示：3.3.1. 无线控制器无线控制器沿用原设备，但需要扩容相关 license。3.3.2. 无线 AP3.3.2.1.放装型 AP考虑到医院对无线网络有高稳定性和高安全性的需求，因此，在设计无线网络 的时候采用 IEEE 802.11n 技术标准。本方案中，建议选用室内型无线 AP 具备千兆高 速无线接入，能提供相当于传统 802.11n 网络 3 倍以上的无线接入速率，能够覆盖 更大的范围。具备内置蓝牙无线模块，支持蓝牙 4.0 技术，可扩展丰富蓝牙应用, 支 持 WiFi+蓝牙混合精确定位，支持苹果 iBeacon 协议以及基站管理等功能。无线 AP 外型需美观，全部内置天线， 外型小巧美观，安装方式灵活，适用于壁挂、吸顶等多种安装方式。3.3.2.2.X-Share AP当需要覆盖多房间如病房区域时，采用 X-Share AP，保障各个房间的无线覆盖强 度。X-Share AP 是基于终端感知型硬件智能天线技术专用于室内精细化覆盖并支持 多种物联网扩展方式的超千兆高速无线接入设备(以下简称 AP)，可提供相当于传统 802.11n 网络 3 倍以上的无线接入速率，能够实现天线入室覆盖，取得最佳的覆盖 效果。能够在设备上采用通用插卡方式增加多种物联网无线方式的接入。该系列无 线产品上行链路采用双千兆以太网接口，突破了千兆速率的限制，使无线多媒体应 用成为现实，开启万物互联新时代。X-Share AP 具备多达 8 个射频接口，并带有物联网扩展槽，所有射频接口全部 支持 2.4GHz&5GHz 双频同时工作，通过连接馈线和天线可根据部署场景灵活覆盖室 内房间，以实现每个房间 2.4GHz 和 5GHz 双频信号覆盖。其中 5GHz 支持业界最新 物理标准 802.11ac。物联网扩展卡槽可支持 RFID、ZigBee、Bluetooth4.0 等标准接口 模块的任意组合，最多可扩展三个模块，组网形式非常灵活。3.3.3. POE 交换机由于本次无线网中 AP 设备数量较多，AP 布放位置根据实际覆盖效果而调整， 在已建设完成的建筑物上较难进行本地供电。因此在本方案中，无线 AP 统一由 POE 交换机进行远程供电。POE 交换机采用全千兆交换机，支持全端口 POE 供电，可实现无线 AP 高密度接 入，配置 24 个千兆以太网电接口和 4 个 1G/10G 光接口，提供高密度的网络接入服 务。其交换容量 256Gbps，包转发率 96Mpps，支持全端口线速转发，配合无线 802.11n、 802.11ac 技术标准，实现无线业务数据的高转发，提高网络整体性能，满足医疗多 媒体应用需求。3.4.无线网络规划3.4.1. 覆盖区域本次无线主要覆盖区域包括大堂等候区、挂号、取药和病房等，根据各种区域 的环境特点，本次大堂等候区、挂号、取药等位置采用高密度型 AP 进行覆盖，病房 区域采用中低密度型 AP 进行覆盖。病房覆盖的效果图如下所示：中低密度型 AP 通过超柔馈线和天线，可虚拟为 8 台虚拟 AP，每台覆盖一个房 间，实现最大范围的覆盖效果。如果需要提供最高的性能，也可以只虚拟为 4 台 miniAP，每个 miniAP 具备两根天线，形成 866Mbps 的极速 MIMO 通道。具体覆盖情 况如下：1）地下二层102）地下一层193）1 号楼首层4）1 号楼 2 层5）1 号楼 3 层6）1 号楼 4 层7）1 号楼 5 层8）1 号楼 6 层9）1 号楼 7 层10）1 号楼 8 层11）1 号楼 9 层、10 层、14 层、16 层、18 层12）1 号楼 12 层、13 层13）1 号楼 11 层、15 层、17 层、19 层14）1 号楼 20 层、21 层15）2 号楼 1 层16）2 号楼 2 层17）2 号楼 3 层18）2 号楼 4 层19）2 号楼 5 层20）2 号楼 6 层2021）2 号楼 7 层22）2 号楼 8 层2923）3 号楼 1 层24）3 号楼 2 层25）3 号楼 3 层26）3 号楼 4 层27）3 号楼 5-11 层28）儿童保健科29）5 号楼 1-5 层3.4.2. 频率规划由于 5G 频段可用无干扰信道多，在信道规划一般不存在信道干扰问题，所以这 里的规划主要针对 2.4G。目前针对 WLAN 来讲，2.4G 具有 3 具不重叠的信道，针对 5.8G 具有 5 个不重叠 信道。根据实际用户端对无线传输协议标准的支持程度，网络覆盖时需要对 WLAN 网络空间进行 2.4G 与 5.8G 频率的双重覆盖，从网络规划的角度出发，主要考虑 2.4G 与 5.8G 二个频率的覆盖设计，针对 2.4G 的频率的信号衰减模型主要采用如下： PathLoss(dB) = 46 +10* n*Log D（m），而对于 5.8G 的信号衰减模型：PathLoss(dB) = 32.4+20*lg fMHz+ 20*lgdKM +a * dKM，以上二信号衰减模型进行网络的设计， 到具体网络实施时要进行工勘与优化，而对于信道主要采用 1、6、11 三个信道交错 使用，具体的面覆盖逻辑示意图如下：3.4.3. 频率复用针对频率复用的设计与实现主要侧重于重叠区域，考虑到 802.11 技术中目前业 界主要采用 DCF 的仲裁，这样会导致从网络实施的角度出发，没有办法做到像 GSM、 3G 网络的控制力度，从技术原理的角度出发，没有办法实现很好的频率复用，只能 被动做些负载均衡的功能。每个 AP 具有 150Mbps、54Mbps、48Mbps、36Mbps、 18Mbps 等的覆盖范围，对于 54Mbps 的覆盖范围不重叠，对于 54Mbps 与 18Mbps 就可能进行重叠，可以根据网络侧的负载功能进行实现一定程度的频率复用功能，从网络规划的角度出发，WLAN 基本上、下行无线链路复用的处理问题，因为目前 都是 DCF 方式，而从只能结合业务目标实现网络覆盖效果。3.4.4. 负载均衡AP 上支持标准的 IAPP 协议框架，通过负载均衡的部署，可实现在一个热点内 用户平均分配到所部署的所有 AP 上，达到在一个服务区 AP 接入用户数何流量的平 衡，为用户提供更高的服务质量。具体可部署的负载均衡策略有：对所有 AP 设置基于用户数的负载均衡功能，AP 通过对接入用户数的统计，与 设定 AP 接入用户数量阀值比较，达到阀值后，不允许新的用户接入。对所有 AP 设置基于流量的负载均衡功能，AP 通过对接入用户流量的统计，与 设定 AP 上流量漏桶阀值上沿比较，达到阀值后，不允许新的用户接入，少于阀值下 沿，再允许新用户接入。配合网络规划，设置 AP 群功能，在一个群内的 AP 通过组播报文实时通报接入 用户数量，当发现 AP 间用户数差值大于设定阀值，接入用户多的 AP 将部分用户赶 下网。3.5.接入认证管理为保证安全及接入的管理，部署接入管理组件 EIA，特点如下：3.5.1. 集中化的设备资源和用户资源管理除对网络设备的统一管理外，iMC 也对用户基本信息进行集中维护，包括用户 姓名、证件号码、通讯地址、电话、电子邮件、用户分组；并提供用户附加信息管 理功能，管理员可根据网络运营的习惯进行用户信息定制，如学校可以定制学号、 年级等信息，企业可以定制部门、职务等信息。3.5.2. 设备和用户的统一分组管理支持设备和用户分组功能，通过对设备资源和用户进行分组管理，系统管理员 方便的分配其他管理员的管理权限，便于职责分离。接入业务服务和用户分组可灵活对应，使得特定分组用户才能配置对应的特定 服务，便于管理员进行接入业务管理。3.5.3. 用户管理与网络设备管理相融合，用户管理操作更简单接入设备列表中可以直接看到用户相关信息，提高了操作员日常维护的效率。设备选定后可直接对其进行用户操作，比如，针对某个接入设备，将其所挂的用户全部下线处理等。 在线用户列表中提供接入设备查看入口，可查看当前在线用户所对应的接入设备的详细信息，比如，对应的基本信息、告警、性能状况等。 网络设备管理和用户管理的全面融和，使得操作更友好，全面提升操作员操作体验。3.5.4. 支持多种接入及认证方式，适合多种接入组网场景支持 802.1x、VPN 接入等多种认证接入方式。支持 PAP、CHAP、EAP-MD5、EAP-TLS、PEAP 等多种身份验证方式，适应不 同安全要求的应用场景。支持用户与设备 IP 地址、接入端口、VLAN、用户 IP 地址和 MAC 地址等硬件 信息的绑定认证，增强用户认证的安全性，防止帐号盗用和非法接入。支持与 Windows 域管理器、第三方邮件系统（必须支持 LDAP 协议）的统一 认证，避免用户记忆多个用户名和密码。支持终端准入控制（EAD）解决方案，确保所有接入网络的用户终端符合企 业的安全策略支持 Portal 认证方式，Portal 客户端与服务器之间的通信承载于 UDP 报文中 的私有协议。用户无需下载客户端软件，也不需要记忆 PORTAL 服务器的 IP 地址， 不管输入什么网址，都会先强制定向到 PORTAL 服务器进行认证。3.5.5. 严格的权限控制手段，强化用户接入控制管理基于用户的权限控制策略，可以为不同用户定制不同网络访问权限。 可以控制用户的上网带宽（QoS；802.1x 认证支持）、限制用户同时在线数、禁止用户设置和使用代理服务器，有效防止个别用户对网络资源的过度占用。支持最大闲置时长限制。可以实现对用户 ACL、VLAN 的控制，限制用户对内部敏感服务器和外部非法 网站的访问（802.1x 认证支持）。可以限制用户 IP 地址分配策略，防止 IP 地址盗用和冲突。 可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网。 可以限制终端用户使用多网卡和拨号网络，防止内部信息泄露。 可以限制用户必须使用专用安全客户端，并强制自动升级，确保认证客户端的安全性。3.5.6. 详尽的用户监控，强化对终端用户的监视控制iMC 用户管理组件提供强大的黑名单管理，可以将恶意猜测密码的用户加 入黑名单，并可按 MAC、IP 地址跟踪非法行为的来源。管理员可以实时监控在线用户，强制非法用户下线。支持消息下发，管理员可以向上网用户发布通知消息，如系统升级，网络 将在 10 分中后切断、您的密码遭恶意试探，请注意保护密码安全等。iMC 用户管理组件记录认证失败日志，便于方便定位用户无法认证通过的原因。3.5.7. 集中方便的接入业务用户管理，简化管理员维护操作基于服务的用户分类管理，用户的认证绑定策略、安全策略、访问权限均封 装于服务中，简化管理员的操作，保证网络管理模式的统一。接入用户相关的管理动作集中化，界面对操作员来说更友好、更美观易用。 接入用户可使用自助服务，帐号申请、查询、修改都通过自助服务页面完成，既提高效率，又减轻管理员的工作量。3.5.8. 支持通过多种短信环境发送访客账号信息支持通过主流短信猫接口发送短信通知，如 WaveCom、万象、金笛等。 支持通过 Web 接口访问第三方短信网关如移动的短信直连端口，快速、高效地发送账号信息短信。 封装统一短信通知接口，支持与客户自有短信平台通过定制开发对接，如移动的 MAS 企业信息机。3.5.9. 融合的接入设备管理，操作简单、管理方便接入设备配置与 iMC ACL Manager 解决方案的协同，选定接入设备后，可直 接为此设备进行 ACL 配置；同时，在接入设备列表中，可查看其对应的 ACL 部署 信息，便于快速部署及开通业务接入业务。为接入设备提供查询设备明细信息的链接，可通过简单的鼠标点击看到接入 设备的详细信息，比如对应的基本信息、告警、性能状况等。接入设备管理与拓扑管理的融合，拓扑中可以清晰的显示出接入设备，查看 接入设备相关信息，并可通过鼠标点击方式，将此接入设备设置为非接入设备。303.5.10.基于场景的授权策略，强化设备管理用户授权管理支持按场景分配授权策略，场景是设备位置区域、设备类型和接入时段的组 合，可定义在不同场景下设备管理用户所使用的 Shell Profile 和操作命令集。支持按固定时段、年/月/周/日为周期的接入时段配置，控制设备管理用户的登录设备各时间段的权限。支持 Shell Profile 精细化配置，定义设备管理用户登录设备时的全局属性，包 括权限级别、接入 ACL、限制时长等。支持命令集精细化配置，定义设备管理用户登录设备时的可执行的命令集合。3.5.11.详尽的日志审计，详细记录设备管理用户行为提供认证日志监控，记录设备管理用户登录设备成功或失败信息，包括登录 名、登录结果（失败原因）、认证时间、登录设备 IP、终端用户 IP、权限级别、登 录动作、认证类型、服务类型等。提供授权日志监控。授权行为包括登录授权和命令行授权：若设备启用登录 授权，TAM 服务器会对登录成功的用户进行登录级别授权，并记录登录授权日 志；若设备启用命令行授权，TAM 服务器会在设备管理用户执行每一条命令时判 断该用户是否拥有执行命令的权限，并记录命令行授权日志。提供设备管理用户行为审计日志监控。TAM 服务器记录用户登录、登出设备 以及各种行为日志，审计日志内容包括：登录名、审计类型、审计时间、设备 IP、终端用户 IP、命令行等。393.5.12.智能的公告推送，适应不同网络运营方需求iMC EIA 组件可以配合 iMC 管理平台，针对不同用户身份/接入位置进行不同的 公告信息推送业务，协助接入用户最快获取最需要的信息，从而可与第三方公告平 台配合，适应不同网络运营方需求，达成公告平台、网络运营方以及接入用户的三 赢。3.5.13.高性能的认证流程，大容量的数据存储iMC EIA 组件通过优化认证流程，简化报文处理，以及高效的内存控制，保证 了高峰时的并发认证，达到每秒万级的认证处理。通过对数据库性能的优化和对业 务流程的精确控制，确保系统在百万级数据量中，快速高效地进行数据统计和业务 处理。3.6.审计及行为管理考虑国家【82 号】文的要求及医院无线网络的认证需求，本次规划在出口部署 一台行为管理设备 ACG1000-M。管理设备 ACG1000-M 能对网络中的网络社区、P2P/IM 带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制。利用智能流控、智 能阻断、智能路由等技术，配合创新的社交网络行为管理功能、清晰易管理日志等 功能，可以提供业界最全面、完善的上网行为管理解决方案。从而保障网络关键应 用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，为用户 全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支 撑。有如下功能特点：3.6.1. 安全审计可对各种网络社区、P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数 据传输、数据库应用等各种上网行为提供全方面的行为监控和记录；同时，通过综 合分析、检测用户网络流量与流向趋势，对历史数据进行分析，为用户提供细粒度 的网络应用审计管理系统。3.6.2. 精细化的流量管理功能SecPath ACG 支持超过 4 级通道带宽嵌套，满足大型网络管理要求，支持基于地 址、用户、服务、应用、时间等新五元组一体化策略的上下行带宽及多优先级控制， 流量管理无死角。SecPath ACG 设备的智能流控技术将出口物理线路带宽划分为逻辑虚拟线路，在 父线路内支持二次划分，即将线路划分为通道，从而达到多级流控。根据流量特征， 智能识别应用和服务，之后根据流量特性，识别出配置的虚拟线路和流控管道，计 算出管道的带宽使用率，是否需要向父节点借用带宽等信息。在转发过程中，支持 流量整形，在接口上缓存报文，并以比较均匀的速度发送出去，避免网络出现 burst， 导致丢包。3.6.3. 智能阻断技术相比传统的 QoS 丢包技术，SecPath ACG 提供的智能阻断技术抛弃了“允许所有流量转发到接口，在接口上区分流量优先级，并在接口上进行缓存和丢包”的技 术实现方式，而采用更加优化的阻断方式：一旦流控模块识别出用户设定的垃圾流 量，立刻在设备上删除所有与该垃圾应用相关的数据连接，所以垃圾流量从一开始 就不会产生，所以宝贵的带宽资源无需被吞噬；而同时，设备可以免于接口队列调 度丢包，节省大量资源，帮助客户节省带宽和设备资源。3.6.4. 精细化的应用控制功能SecPath ACG 采用了 DPI/DFI 融合识别技术，相对于传统的流控产品，控制力度 更精细，控制层面不再局限在主程序，更能深入识别应用程序的子功能。例如对新 浪微博的控制力度不仅仅是登录动作，更是深入识别到注销、发表、评论、转发、 关注、搜索等子功能，支持单应用高达 12 种行为动作控制、超过八百种主流应用类 别识别、近 60 种分类 URL 审计过滤、桌面及移动终端均可审计控制，提供最精细 的控制功能。3.6.5. 创新的微信营销模式针对各医院为用户组建免费 WIF 的大趋势并结合移动互联网营销需求，中国移 动供创新的微信接入方案，医院用户只需关注企业公众号后简单操作即可获得上网 权限。3.7. 网络管理3.7.1. 有线网管部分智能管理中心（以下简称 iMC）基于 SOA 架构，采用灵活的组件化结构，支 持与 HP Openview、SNMPc 等通用网管平台的集成，支持集成各多厂家设备管理 系统，与本次项目集成的新、旧通信设备产品一起为用户提供全网解决方案，帮助 客户真正实现网络的按需构建。iMC 在 IToIP 解决方案中的位置iMC 作为 IToIP 解决方案核心管理系统，为用户提供了灵活的组件化结构，包 括智能管理平台、智能配置中心（iCC）、ACL 管理、MPLS VPN 管理、用户接入管 理、EAD 解决方案、无线管理、EPON 管理等业务组件，用户可以根据自己的管理 需要和网络情况灵活选择需要的组件，真正实现“按需建构”。智能管理中心解决方案架构如下图所示：iMC 基础网络管理iMC 增值业务公共组件WEB服务外部接口按 需 装 配组 件 化iMC 增值业务外部接口iMC 基础网络管理iMC 网络资源管理iMC 基础接入管理 iMC 平台框架 - 统一资源访问，基础资源管理WEB服务公共组件SOA架构业 务 流业 务 组 件SOA架构平 台 化平 台 框 架iMC 解决方案架构由上图可以看出 iMC 管理系统由智能管理平台以及各个业务组件组成，管理平 台）提供网络管理的一些基础功能，比如故障管理、性能管理、资源和拓扑管理、 用户管理等，而业务组件提供了相应的业务管理功能；各个业务组件相对独立，并 可以无缝的集成在管理平台中，使得整个系统具有很强的可扩展性。iMC 智能管理平台实现网络资源、用户和业务的融合管理，提供基本的网络资 源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理，基于 B/S 架 构，可以与 iMC 其他业务组件有效集成，形成多种解决方案。iMC 智能管理平台不仅可以实现全线数据通信产品的管理，也可通过标准 mib 实现对 Cisco、等各主流厂商的数据通信设备管理。3.7.1.1.系统安全管理系统管理员系统安全管理功能主要有包括：操作日志管理、操作员管理、分组分级与权限管理、操 作员登录管理等。所包含的主要功能有： 操作员登录管理管理员通过制定登录安全策略约束操作员的登录鉴权，实现操作员登录的安全 性，通过访问控制模板约束操作员可以登录的终端机器的 IP 地址范围，避免恶意尝 试另人密码进行登录的行为存在，通过密码控制策略，约束操作员密码组成要求， 包括密码长度、密码复杂性要求、密码有效期等，以约束操作员定期修改密码，并 对密码复杂性按要求设置。操作员密码管理 管理员为操作员制定密码控制策略，操作员仅能按照指定的策略定期修改密码，以保证访问 iMC 系统的安全性。分组分级权限管理管理员通过设备分组、用户分组的设置，可以为操作员指定可以管理的指定设 备分组和用户分组，并指定其管理权限和角色，包括管理员、维护员和查看员，实 现按角色、分权限、分资源（设备和用户）的多层权限控制；同时通过设置下级网 络管理权限，可以通过限制登录下级网络管理系统的操作员和密码，保证访问下级 网络管理系统的安全性。操作日志管理对于操作员的所有操作，包括登录、注销的时间、登录 IP 地址以及登录期间进 行的任何可能修改系统数据的操作，都会记录详细的日志。提供丰富的查询条件， 管理员可以审计任何操作员的历史操作记录，界定网络操作错误的责任范围。操作员在线监控和管理 系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息，包括登录的主机 IP 地址、登录时间等，同时，系统管理员可以将在线操作员强制注 销、禁用/取消禁用当前 IP 地址等控制操作。3.7.1.2.资源管理iMC 资源管理与拓扑管理作为整体共同为用户提供网络资源的管理。本节讲解 iMC 的资源管理，下节讲解 iMC 的拓扑管理。通过资源管理可以： 网络自动发现可以通过设置种子的简易方式、路由方式、ARP 方式、IPSec VPN、网段方式等五种自动发现方式自学习网络资源及网络拓扑，自动识别包括：路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、 PC 在内的多种类型网络设备；多种自动发现方式自动识别多种设备类型网络手工管理 可以手工添加、删除网络设备，可以批量导入、导出网络设备，批量配置 Telnet、SNMP 参数，以及批量校验 Telnet 参数等辅助功能； 网络视图管理支持 IP 视图、设备视图、自定义视图、下级网络管理视图等多种管理视图，用 户可以从不同角度实现整个网络的管理；网络设备的管理从任何一种网络视图入口，都可以实现对网络设备的管理，包括：支持对设备的管理/去管理、接口的管理/去管理、设备的详细信息显示和接口详细信息显示、 设备和接口实时告警状态、设备和接口的实时性能状态、实时检测存在故障的设备 等，用户可以方便的实现所有设备的管理；设备及业务管理系统的集成管理:支持对 H3C、CISCO 等主要厂家设备的管理，支持手工添加设备厂商、设备系 列及设备型号；支持设备面板管理的动态注册机制，实现与各厂家设备管理系统的 有效集成；支持拓扑定位、ACL、VLAN、QoS 等业务管理系统的集成，实现设备 资源的统一管理；设备分组权限管理 支持设备分组功能，通过对设备资源进行分组管理，系统管理员方便的分配其他管理员的管理权限，便于职责分离拓扑管理iMC 拓扑管理从网络拓扑的解决直观的提供给用户对整个网络及网络设备资 源的管理。拓扑管理包括：拓扑自动发现iMC 可以自动发现网络拓扑结构，支持全网设备的统一拓扑视图，通过视图 导航树提供视图间的快速导航。通过自动发现可以发现网络中的所有设备及网络结 构（具体参见资源管理），并且可以将非 SNMP 设备发现出来，只要设备可以 ping 通即可。这样就可以将所有网络设备都列入其管理范围（只要设备 IP 可达）。同时 支持自动的拓扑图呈现和自定义拓扑。自动拓扑可以自动将网络中的逻辑连接关系 显示出来，同时可以保存为自定义拓扑图并可根据具体情况进行修改以便于网管员40对整个网络设备的监控。支持对全网设备和连接定时轮询和状态刷新，实时了解整个网络的运行情况， 并且刷新周期是可定制（刷新周期：607200 秒），同时也支持对多个设备的刷新 周期进行批量配置的功能。支持自定义拓扑 传统的网络管理软件大多支持自动发现网络拓扑的功能，但是自动发现后的网络拓扑往往是很多设备图标的简单排放，不能突出重点设备和网络层次，使网络管 理人员感觉无从下手。针对这种情况， iMC 的拓扑功能支持灵活的自定义功能，管理人员可以根据 网络的实际组网情况和设备重要性的不同灵活定制网络拓扑，可对拓扑图进行增、49删、改等编辑操作，使网络拓扑能够清晰地呈现整个翡翠假日酒店的网络结构以及IT 资源分布。iMC 支持灵活定制拓扑图，使网络拓扑更有重点和层次感。管理员可以按照关 注设备不同，管理角度不同定义多种拓扑，并可以针对拓扑不同选择不同的背景图； 管理员可以根据网络设备的重要性不同，链路速率不同采用合适的图标显示。例如： 对于酒店网，用户可以定制酒店分布图、办公楼内网络分布图、宿舍楼内网络分布 图等等。自动识别各种网络设备和主机的类型MC 可以自动识别 H3C、Cisco、等厂商的设备、Windows、Solaris 的 PC 和 工作站、其他 SNMP 设备和 ping 设备，并且以树形方式组织，以不同的图标显示区分。在拓扑图上更可进一步对设备的类型进行区分，如区分路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC 等等。设备状态、连接状态、告警状态等信息在拓扑图上的直观显示iMC 的拓扑功能与故障管理和性能管理紧密融合，使拓扑图能够清晰地看到翡 翠假日酒店 IT 资源的状态，包括运行是否正常、网络带宽、接口连通、配置变化都 能一目了然。多种颜色区分不同级别故障，根据节点图标颜色反映设备状态。拓扑能提供设备管理便捷入口iMC 拓扑能够提供对设备管理的便捷入口，管理员只需通过右键点击拓扑图中 的设备图标即可启动设备管理各项功能，实现对设备的面板管理等各项功能配置。3.7.1.3.故障（告警/事件）管理故障管理，即告警/事件管理，是 iMC 的核心模块，是 iMC 智能管理平台及 其他业务组件统一的告警中心。如下图所示，以故障管理流程为引导，介绍 iMC 强大的故障管理能力：分类、声光告警板，按故障类别及等