某醫(yī)院網絡整體解決方案建議書

某醫(yī)院網絡整體解決方案建議書目錄第1章系統(tǒng)需求分析1.1概述1.2總體需求1.3網絡建設原則1.4網絡系統(tǒng)的整體架構1.5醫(yī)院業(yè)務應用分析1.5.1醫(yī)院業(yè)務劃分1.5.2應用系統(tǒng)分類1.5.3醫(yī)院業(yè)務系統(tǒng)的需求第2章網絡總體設計2.1XXXX區(qū)人民醫(yī)院整體網絡設計2.1.1組網說明2.2方案特性總結2.2.1電信級的可靠性2.2.2先進的虛擬化技術應用2.2.3有線無線一體化2.2.4網絡與安全的深度融合2.2.5統(tǒng)一管理第3章端點準入防御(EAD)方案3.1概述3.2方案思路3.3方案組成部分3.4EAD應用模式3.5應用模型3.5.1安全準入應用模型3.5.2安全準入工作流程3.6功能特點3.6.1安全狀態(tài)評估3.6.2用戶權限管理3.6.3用戶行為監(jiān)控第4章無線解決方案4.1概述4.2客戶需求4.3無線組網選擇4.4無線網絡建設方案4.4.1整體組網方案4.4.2覆蓋解決方案4.4.3覆蓋效果理論計算第5章管理中心設計5.1集成化管理平臺5.2系統(tǒng)安全管理5.3資源管理5.4拓撲管理5.5故障（告警/事件）管理5.6告警深度關聯(lián)分析與統(tǒng)計5.7性能管理5.8設備管理組件5.9接入與準入控制第1章系統(tǒng)需求分析1.1概述衛(wèi)生部于2002/5/28日出臺《醫(yī)院信息系統(tǒng)基本功能規(guī)范》，制定了全國醫(yī)療信息化建設的統(tǒng)一技術標準，評審開發(fā)商的產品和解決方案的依據和標準和醫(yī)院信息化建設的指導性文件。指出醫(yī)院信息系統(tǒng)應該包括臨床診療、藥品管理、經濟管理、綜合管理與統(tǒng)計分析等部分。詳細規(guī)定了：門診醫(yī)生工作站分系統(tǒng)、護士工作站分系統(tǒng)、醫(yī)學影像分系統(tǒng)、藥品管理分系統(tǒng)等的功能規(guī)范。對醫(yī)療信息系統(tǒng)與醫(yī)療保險、社區(qū)衛(wèi)生服務、遠程醫(yī)療咨詢系統(tǒng)的外部接口規(guī)定了統(tǒng)一標準。醫(yī)院信息化包括管理信息化、臨床管理信息化、局域醫(yī)療衛(wèi)生服務信息化三個階段。目前大多數(shù)醫(yī)院停留在醫(yī)院管理信息化階段，需要將化驗自動化－》信息化；醫(yī)院的HIS系統(tǒng)包括：醫(yī)院管理信息系統(tǒng)（MIS）、臨床信息系統(tǒng)（CIS）、醫(yī)學影像和通信系統(tǒng)（PACK）、辦公自動化系統(tǒng)（OA）。醫(yī)院信息化即醫(yī)院信息系統(tǒng)（HIS）建設將經歷三個階段：醫(yī)院管理信息化階段（HMIS）、臨床管理信息化階段（HCIS）、局域醫(yī)療衛(wèi)生服務階段（GMIS）。醫(yī)院信息化系統(tǒng)的結構如下：1.2總體需求XXXX區(qū)人民醫(yī)院網絡建設將覆蓋整個新綜合大樓、老住院部、門診部等幾大主樓。新綜合大樓和老住院部的通過萬兆光纖連接到門診大樓網絡中心，門診大樓內部接入交換機通過雙鏈路千兆上行直接接入數(shù)據中心核心交換機；本次建設的采用10G光纖主干到中心，1000M到桌面的方式；根據今后XXXX區(qū)人民醫(yī)院的發(fā)展需求，目前我們的網絡應該具有高帶寬、高可靠、高性能、高安全的特性，骨干速率達到萬兆。網絡關鍵節(jié)點能夠冗余熱備保障系統(tǒng)連續(xù)穩(wěn)定運行。使新建成的網絡能夠很好的為上述提到的醫(yī)療網絡化建設服務。符合國家衛(wèi)生部對醫(yī)療機構實現(xiàn)三步信息化的要求。新建的局域網將為各種應用和服務提供更快的速度、更高的質量和性能，并為新的信息應用系統(tǒng)提供可靠的網絡平臺，提高醫(yī)院的服務質量和經濟效益。1.3網絡建設原則1、實用性：整個網絡系統(tǒng)具有較高的實用性；2、時效性：網絡應保證各類業(yè)務數(shù)據流的及時傳輸，網絡時效性要強，網絡延時要小，確保業(yè)務的實時高效；3、可靠性：整個網絡系統(tǒng)應具有很高的安全可靠性，必須滿足7×24×365小時連續(xù)運行的要求。在故障發(fā)生時，網絡設備可以快速自動地切換到備份設備上；4、安全性：能有效防止網絡的非法訪問，保護關鍵數(shù)據不被非法竊取、篡改或泄漏，使數(shù)據具有極高的安全性；5、完整性：網絡系統(tǒng)應實現(xiàn)端到端的、能整合數(shù)據、語音和圖像的多業(yè)務應用，滿足全網范圍統(tǒng)一的實施安全策略、QoS策略、流量管理策略和系統(tǒng)管理策略的完整的一體化網絡；6、效益性：網絡的投資應隨著網絡的伸縮能夠持續(xù)發(fā)揮作用，保護現(xiàn)有網絡的投資，充分發(fā)揮網絡投資的最大效益；7、可伸縮性：網絡要具有面向未來的良好的伸縮性能，既能滿足當前的需求，又能支持未來業(yè)務網點、業(yè)務量、業(yè)務種類的擴展和與其它機構或部門的連接等對網絡的擴充性要求。1.4網絡系統(tǒng)的整體架構醫(yī)院信息系統(tǒng)的網絡采用三級架構，分為核心層、匯聚層、接入層。核心層位于醫(yī)院門診大樓網絡的中心，負責全網的路由交換信息，并與各服務器、存儲等醫(yī)院核心應用相連；在新綜合大樓和老住院部大樓設立匯聚層，XX匯聚交換機通過XX雙鏈路上聯(lián)信息中心的數(shù)據中心交換機，下接大樓各樓層的千兆接入交換機，（其中新綜合大樓采用多模1000M光纖連接、老住院部大樓采用1000M6類線接入），接入層分布在大樓樓層的分配線間負責直接接入桌面系統(tǒng)。1.5醫(yī)院業(yè)務應用分析1.5.1醫(yī)院業(yè)務劃分醫(yī)院的業(yè)務系統(tǒng)有很多，而且不同的專科醫(yī)院業(yè)務系統(tǒng)也有很大區(qū)別，但以下一些業(yè)務系統(tǒng)是醫(yī)院都具有的：門診系統(tǒng)住院系統(tǒng)體檢系統(tǒng)PACS系統(tǒng)醫(yī)院管理經濟系統(tǒng)區(qū)域醫(yī)療系統(tǒng)1.5.2應用系統(tǒng)分類醫(yī)院信息系統(tǒng)主要分成以下兩類：1醫(yī)院管理系統(tǒng)門、急診掛號子系統(tǒng)門、急診病人管理及計價收費子系統(tǒng)住院病人管理子系統(tǒng)藥庫、藥房管理子系統(tǒng)病案管理子系統(tǒng)醫(yī)療統(tǒng)計子系統(tǒng)人事、工資管理子系統(tǒng)財務管理與醫(yī)院經濟核算子系統(tǒng)醫(yī)院后勤物資供應子系統(tǒng)固定資產、醫(yī)療設備管理子系統(tǒng)院長辦公綜合查詢與輔助決策支持系統(tǒng)2臨床醫(yī)療信息系統(tǒng)住院病人醫(yī)囑處理子系統(tǒng)護理信息系統(tǒng)門診醫(yī)生工作站系統(tǒng)臨床實驗室檢查報告子系統(tǒng)醫(yī)學影像診斷報告處理系統(tǒng)放射科信息管理系統(tǒng)手術室管理子系統(tǒng)功能檢查科室信息管理子系統(tǒng)病理卡片管理及病理科信息系統(tǒng)血庫管理子系統(tǒng)營養(yǎng)與膳食計劃管理子系統(tǒng)臨床用藥咨詢與控制子系統(tǒng)1.5.3醫(yī)院業(yè)務系統(tǒng)的需求1）門診系統(tǒng)門診業(yè)務作為醫(yī)院直接面對患者的窗口具有非常重要的地位和自己的特點（包括焦急的病人無法忍受長時間的等待、門診業(yè)務主要集中在上午等），門診業(yè)務具有可靠性高、并發(fā)性、實時性和突發(fā)性強等特點。因此門診業(yè)務對網絡提出了高可靠性、高帶寬和QoS的要求。2）住院系統(tǒng)住院業(yè)務是醫(yī)院的另一個主要組成部分，是醫(yī)院經濟收入的主要來源，同時還直接關系到重病患者的生命安全，具有以下幾個特點：住院業(yè)務的網絡上流動著重癥病人生命數(shù)據和各種新業(yè)務數(shù)據；住院業(yè)務保存有患者病案數(shù)據和住院費用數(shù)據；醫(yī)生無線移動查房；病人呼叫系統(tǒng)；網上視頻監(jiān)控系統(tǒng)；針對住院業(yè)務的以上特點，住院業(yè)務對網絡提出了高可靠性、安全存儲、QoS和無線局域網、VoIP和視頻會議系統(tǒng)的需求。3）體檢系統(tǒng)現(xiàn)在很多醫(yī)院紛紛建立專門的體檢大樓，以滿足社會上不斷擴大的體檢需求。從業(yè)務角度上講體檢系統(tǒng)非常簡單，它對網絡的需求主要體現(xiàn)在安全性上，如何保護體檢服務器上體檢人員數(shù)據安全和體檢大樓網絡安全是醫(yī)院體檢系統(tǒng)解決方案所關注的。4）PACS系統(tǒng)醫(yī)院的PACS系統(tǒng)主要是完成對患者的各種影像數(shù)據進行采集、存儲、傳輸和處理，并在全院范圍內進行共享，由于是各種圖形圖像數(shù)據，因此具有存儲量大的特點，為了更好的服務于醫(yī)院業(yè)務，PACS業(yè)務對支撐系統(tǒng)提出以下要求：存儲量大、擴展性強、數(shù)據快速存儲、數(shù)據容災、高帶寬5）管理經濟系統(tǒng)醫(yī)院管理經濟系統(tǒng)主要是人、財、物的管理，包括人事、財務管理、藥品藥庫管理等，因此它最大的需求是數(shù)據在服務器端和網絡上的安全，保證這些數(shù)據不會泄露。6）區(qū)域醫(yī)療系統(tǒng)一方面為了發(fā)揮中心醫(yī)院的輻射和覆蓋作用，另一方面充分利用各家醫(yī)院的特色科室的力量，區(qū)域醫(yī)療把這些資源進行共享和整合，這需要穩(wěn)定的廣域網連接。第2章網絡總體設計近幾年來，網絡設計采用積木方式來設計交換式網絡。這種積木方式將網絡分割成3個不同的層次，即核心層、匯聚層、接入層。如下圖：層次設計方法可為網絡帶來以下三個優(yōu)點：1、層次性網絡的可擴展性可擴展性是在包交換網絡連接中使用層次性設計的主要優(yōu)點。層次性網絡具有更多的可擴展性是因為它可以讓你用模塊化方式擴展網絡，而不會遇到非層次性網絡或平面性網絡很快所遇上的問題。但是，層次性網絡同時也提出了一定的問題需要仔細考慮。這些問題包括：虛電路的費用，層次設計（尤其是網狀拓撲〕的內在復雜聯(lián)系，以及需要額外的路由器接口來劃分網絡層次。為了獲得層次性網絡結構的優(yōu)點，你必須使你的網絡層次結構充分與你所在地區(qū)的拓撲相符合。設計取決于你所使用的包交換模式，以及你所想要的容錯能力、網絡性能和網絡造價。2、層次性網絡的可管理性使網絡簡單化－－通過把網絡元素劃分為小單元、層次化，降低了整個網絡的復雜性。這種網絡單元的劃分使故障診斷變得清晰和簡單了，同時還可以提供防止廣播風暴、路由循環(huán)等其他潛在問題的內在保護機制。使設計更靈活－－層次化設計使得骨干網和分布網之間的包交換形式更具靈活性。很多網絡都得益于使用混合方式來構造整個網絡架構。在大多數(shù)情況下，可在骨干網部分使用專線而在區(qū)域網或本地網接入部分使用包交換服務。使交換機、路由器管理更容易－－由于層次化網絡結構使網絡分層，相對縮小的網絡區(qū)域使路由器的鄰居或對等通信端量減少，因此時路由器的配置變得簡單化。3、優(yōu)化廣播和多點廣播的流量控制在包交換網絡中，減少路由器之間廣播信息量的最直接方法就是使用更少數(shù)目的路由器組，通過層次化模塊設計可以較好地控制網絡中的廣播。通常在包交換網絡中最常見的路由器之間的廣播信息流量是路由更新信息，如果在一個區(qū)域或一個層次中有太多的路由器，那么就會因為廣播的原因而造成網絡瓶頸。層次化的網絡結構使你可以對區(qū)域網向骨干網的廣播作出限制。因此，對于XXXX區(qū)人民醫(yī)院網絡工程來說，想要建設成為一個全所的、網絡性能優(yōu)良的、具有很強擴展能力和升級能力的大型綜合網絡，那么在網絡的設計中就必須采用層次化的網絡設計原則。2.1XXXX區(qū)人民醫(yī)院整體網絡設計2.1.1組網說明在XXXX區(qū)人民醫(yī)院網絡整體設計中，均采用層次化、模塊化的網絡設計結構，并嚴格定義各層功能模型，通過邏輯方式設置不同的權限，不同層次關注不同的特性配置。整個網絡的結構組成分成三層：接入層、匯聚層、核心層。1)接入層：提供網絡的第一級接入功能，完成簡單的二、三層交換，安全、Qos和POE功能都位于這一層。對于醫(yī)院信息網的接入層設備，建議采用千兆二層接入的方式，應該具有線速交換、智能彈性堆疊技術以及高級QoS策略等功能。2）匯聚層：匯聚交換機采用萬兆雙鏈路的方式接入核心交換機，從而提供鏈路的冗于及數(shù)據的負載均衡。匯聚層交換機作為核心交換機與接入交換機的中接點，其作用是承上啟下，應具備豐富的業(yè)務特性，高帶寬、高性能、支持線速轉發(fā)以及10GE擴展接口。2)核心層：網絡的骨干，必須能夠提供高速數(shù)據交換和路由快速收斂，要求具有較高的可靠性、穩(wěn)定性和易擴展性等。對于醫(yī)院信息網核心層，必須提供高性能、高可靠的網絡結構，推薦采用高可靠的多設備冗余的星型結構。對于醫(yī)院信息網核心層設備，應該在提供大容量、高性能L2/L3交換服務基礎上，能夠進一步融合了硬件IPv6、網絡安全、網絡業(yè)務分析等智能特性，可為醫(yī)院信息構建融合業(yè)務的基礎網絡平臺，進而幫助用戶實現(xiàn)IT資源整合的需求。如圖示意，XX區(qū)人民醫(yī)院網絡系統(tǒng)分為五大區(qū)域：分別為上聯(lián)農村合作醫(yī)療、醫(yī)保中心和龍寶分院的上聯(lián)區(qū)、核心數(shù)據服務器區(qū)、數(shù)據安全管理區(qū)、核心數(shù)據交換區(qū)、接入區(qū)。上聯(lián)區(qū)：醫(yī)院業(yè)務網需要和農村合作醫(yī)院、醫(yī)保中心及龍寶分院的信息網進行連接，實現(xiàn)數(shù)據交換。對于某些業(yè)務系統(tǒng)對用戶開放，而為了保護數(shù)據的安全，需要配置防火墻來防護外部攻擊防范，支持內網安全、流量監(jiān)控、網頁過濾、郵件過濾、應用層過濾等功能，能夠有效地保證網絡的安全。核心數(shù)據服務器區(qū)：涉及工作秘密的關鍵數(shù)據傳和工作中的應用數(shù)據和系統(tǒng)本身涉及的敏感數(shù)據如密碼等，為更好的提高核心數(shù)據服務器的應用和安全，公司設計將服務器直接接入數(shù)據中心核心交換機上，數(shù)據中心核心交換機提供高帶寬、高轉發(fā)、高交換平臺提高服務器的應用，并且通過在數(shù)據中心核心交換機上配置的防火墻板塊來為服務器提供安全防護。核心數(shù)據交換區(qū)：在XXXX區(qū)人民醫(yī)院新建設的局域網結構選擇中，本方案建議選用雙核心結構，具有以下優(yōu)點：可靠性高：采用兩個核心節(jié)點的雙連接星型網絡結構，使得網絡具有可靠性、可用性及安全性，避免了單點失效的隱患。支持流量的負載分擔：網絡流量可能隨著多種業(yè)務的發(fā)展日益壯大（如語音，視頻會議），網絡流量的負載分擔問題將會成為網絡可用性的主要因素，采用雙連接的網絡結構，使得網絡的流量能夠比較合理的分布在各條鏈路上。支持網絡的冗余備份：核心節(jié)點采用兩臺高性能的網絡設備，使得核心層具有較好的冗余備份能力。同時，兩臺核心設備之間要采用萬兆高速鏈路互連，提供了核心設備間的高速互連帶寬，避免兩臺設備之間形成傳輸瓶頸。在信息中心機房，配置二臺高性能的超萬兆數(shù)據中心核心交換機H3CS7506E-S，H3CS7500E系列產品是杭州XX通信技術有限公司,面向融合業(yè)務網絡的高端多業(yè)務路由交換機，該產品基于H3C自主知識產權的ComwareV5操作系統(tǒng)，以IRF2（IntelligentResilientFramework2，第二代智能彈性架構）技術為系統(tǒng)基石的虛擬化軟件系統(tǒng)，進一步融合MPLSVPN、IPv6、網絡安全、無線、無源光網絡等多種網絡業(yè)務，提供不間斷轉發(fā)、不間斷升級、優(yōu)雅重啟、環(huán)網保護等多種高可靠技術，在提高用戶生產效率的同時，保證了網絡最大正常運行時間，從而降低了客戶的總擁有成本（TCO）。H3CS7500E符合“限制電子設備有害物質標準（RoHS）”，是綠色環(huán)保的路由交換機。數(shù)據中心核心交換機配置我公司最新研制出的防火墻，保障訪問數(shù)據的安全。并采用業(yè)界最先進的虛擬化技術，將兩臺物理核心設備虛擬成一臺邏輯設備，實現(xiàn)協(xié)同工作、統(tǒng)一管理和不間斷維護功能，兩臺數(shù)據中心核心交換機采用雙萬兆鏈路相連，消除業(yè)務流量轉發(fā)的速率瓶頸。數(shù)據安全管理區(qū)：配置H3CiMC智能管理中心作為全網的管理平臺，配置EAD組件對終端用戶進行準入控制.接入區(qū)：在本方案設計中，在新綜合大樓和老住院部大樓設立匯聚分中心，匯聚節(jié)點作用是承上啟下，通過雙萬兆鏈路上聯(lián)數(shù)據中心核心交換機，下接本樓層的接入交換機。在新綜合大樓內接入交換機采用1000M多模上聯(lián)匯聚交換機，在老住院部大樓內接入交換機采用1000M6類線上聯(lián)匯聚交換機，所以我公司建議采用H3CS5500-EI增強型萬兆三層交換機，H3CS5500-EI系列交換機是H3C公司最新開發(fā)的增強型IPv6強三層萬兆以太網交換機產品，具備業(yè)界盒式交換機最先進的硬件處理能力和最豐富的業(yè)務特性。支持最多4個萬兆擴展接口，支持IPv4/IPv6硬件雙棧及線速轉發(fā)，使客戶能夠從容應對即將帶來的IPv6時代；除此以外，其出色的安全性，可靠性和多業(yè)務支持能力使其成為大型企業(yè)網絡和園區(qū)網的匯聚，中小企業(yè)網核心、以及城域網邊緣設備的第一選擇。本方案建議所用樓層采用千兆接入交換機來提供終端用戶的接入，我公司選用H3CS5120-EI系列交換機，H3CS5120-EI系列交換機是H3C公司自主開發(fā)的全千兆三層以太網交換機產品，具備豐富的業(yè)務特性，提供IPv6轉發(fā)功能以及最多4個10GE擴展接口。通過H3C特有的IRF（智能彈性架構）功能，用戶能夠簡化對網絡的管理。S5120-EI系列千兆以太網交換機定位為企業(yè)網千兆接入，同時還可以用于數(shù)據中心服務器群的連接。2.2方案特性總結2.2.1電信級的可靠性網絡系統(tǒng)的可靠性主要由線路質量，設備可靠性，網絡協(xié)議可靠性等多個方面來保證，在本方案中，信息網的核心層設備均采用雙機冗余，且采用了H3C公司最先進的虛擬彈性技術架構，數(shù)據中心核心交換機采用無單點故障設計，所有關鍵部件等采用冗余設計；無源背板避免了機箱出現(xiàn)單點故障；所有單板和電源模塊支持熱插拔功能；可以在惡劣的環(huán)境下長時間穩(wěn)定運行，達到99.999％的電信級可靠性；支持不間斷轉發(fā)和優(yōu)雅重啟，提供毫秒級的切換時間；支持等價路由，可幫助用戶建立多條等值路徑，實現(xiàn)流量的負載均衡及冗余備份；支持RRPP快速環(huán)網保護協(xié)議，提供小于200ms的環(huán)網故障保護；支持Smart-Link協(xié)議，保證雙上行網絡拓撲的業(yè)務毫秒級快速切換。通過上述技術，核心交換機可以在承載多業(yè)務的情況下不間斷運行，實現(xiàn)業(yè)務的永續(xù)；能夠在不重啟設備的前提下，通過熱補丁技術，在線修改軟件BUG，增加新的業(yè)務特性。核心交換機提供控制補丁單元狀態(tài)切換的用戶命令，使用戶能夠方便的加載、激活、去激活、運行或刪除補丁單元。通過熱補丁技術，降低了設備需要重啟的次數(shù)，為客戶提供更長的網絡正常工作時間。核心設備均采用雙鏈路方式，防火墻也采用雙板卡冗余，整個網絡系統(tǒng)設計在關鍵區(qū)域均避免了單設備、單板卡和單鏈路故障隱患。2.2.2先進的虛擬化技術應用在本方案中，醫(yī)院信息網的核心設備均采用了智能彈性虛擬化技術，就是把多臺物理設備互相連接起來，使其虛擬為一臺邏輯設備，也就是說，用戶可以將這多臺設備看成一臺單一設備進行管理和使用。虛擬化可以為用戶帶來以下好處：簡化管理虛擬化架構形成之后，可以連接到任何一臺設備的任何一個端口就以登錄統(tǒng)一的邏輯設備，通過對單臺設備的配置達到管理整個智能彈性系統(tǒng)以及系統(tǒng)內所有成員設備的效果，而不用物理連接到每臺成員設備上分別對它們進行配置和管理。簡化業(yè)務虛擬化形成的邏輯設備中運行的各種控制協(xié)議也是作為單一設備統(tǒng)一運行的，例如路由協(xié)議會作為單一設備統(tǒng)一計算，而隨著跨設備鏈路聚合技術的應用，可以替代原有的生成樹協(xié)議，這樣就可以省去了設備間大量協(xié)議報文的交互，簡化了網絡運行，縮短了網絡動蕩時的收斂時間。彈性擴展可以按照用戶需求實現(xiàn)彈性擴展，保證用戶投資。并且新增的設備加入或離開虛擬化架構時可以實現(xiàn)“熱插拔”，不影響其他設備的正常運行。高可靠虛擬化的高可靠性體現(xiàn)在鏈路，設備和協(xié)議三個方面。成員設備之間物理端口支持聚合功能，虛擬化系統(tǒng)和上、下層設備之間的物理連接也支持聚合功能，這樣通過多鏈路備份提高了鏈路的可靠性；虛擬化系統(tǒng)由多臺成員設備組成，一旦Master設備故障，系統(tǒng)會迅速自動選舉新的Master，以保證通過系統(tǒng)的業(yè)務不中斷，從而實現(xiàn)了設備級的1：N備份；虛擬化系統(tǒng)會有實時的協(xié)議熱備份功能負責將協(xié)議的配置信息備份到其他所有成員設備，從而實現(xiàn)1：N的協(xié)議可靠性。高性能對于高端交換機來說，性能和端口密度的提升會受到硬件結構的限制。而虛擬化系統(tǒng)的性能和端口密度是虛擬化內部所有設備性能和端口數(shù)量的總和。因此，虛擬化技術能夠輕易的將設備的交換能力、用戶端口的密度擴大數(shù)倍，從而大幅度提高了設備的性能。2.2.3有線無線一體化本方案中，通過無線控制器、智能管理中心無線管理組件實現(xiàn)了統(tǒng)一的網絡控制、可擴展性、安全性和可靠性，構筑了統(tǒng)一的、端到端的網絡環(huán)境，即實現(xiàn)了有線無線一體化，將有效保障應用，保護用戶投資，降低部署的復雜性，減少管理維護工作量，從而降低總體擁有成本（TCO），這種組網方式能給用戶帶來如下的價值：各項成本降低：具體到WLAN技術同有線網絡的一體化，在部署時，由于WLAN設備采用了標準化，原有網絡系統(tǒng)、管理系統(tǒng)及接入認證系統(tǒng)等能夠重用，網絡投資可以極大的降低。同時重用現(xiàn)有系統(tǒng)使得用戶不需要費時去學習掌握新知識，節(jié)省時間和培訓費用；一旦網絡出現(xiàn)故障，由于熟悉現(xiàn)有的系統(tǒng)也能夠快速定位故障，可以極大的降低運營過程中由于故障帶來的損失；另外目前部署11n時，前期購買的終端依然能夠不受任何影響的接入到網絡，保證了客戶的歷史投資。在WLAN網絡升級擴容時，簡單的增加標準件AP就能夠實現(xiàn)接入容量的增加，而現(xiàn)有的網絡架構基本上不做改動，有效降低擴容成本。現(xiàn)場維護擴容簡單：在WLANAP部署時，充分考慮到有線網的特性，采用零配置即連即用的技術，對現(xiàn)有有線接入網絡不做任何修改，僅僅修改DHCP服務器或者DNS服務器的配置，在無線控制器（AC）上進行配置，就可以提供WLAN接入服務，大大降低了網絡部署成本。需要更換設備時，新的AP設備接上以太網線就可以成功接入到網絡，不需要改變無線控制器上的配置，對安裝維護人員沒有技術背景要求，輕松實現(xiàn)設備維護更換和網絡擴容。提升維護效率：部署時通過PoE交換機給WLANAP供電，對WLAN網絡進行管理優(yōu)化需要移動AP時，直接拉動以太網線就可以實現(xiàn)，大大降低工作量。如果用戶進行管理維護時需要對AP進行開關電重啟，只需要在網管側對PoE交換機進行操作即可輕松實現(xiàn)，避免維護來回奔波和攀爬的辛苦，提高管理維護的效率，節(jié)省用戶的管理維護工作量。實現(xiàn)整網安全：與有線一體的統(tǒng)一終端控制軟件，統(tǒng)一認證控制，有效的一次認證實現(xiàn)多種計費模式，統(tǒng)一的防病毒方式，使無線網絡的安全同有線完全一樣，有效的避免了無線引入新的病毒。重點防范802.11物理和鏈路層的安全，并與有線網絡的安全實現(xiàn)聯(lián)動，確保實現(xiàn)整個網絡的安全。管理平臺統(tǒng)一高效：WLAN網絡的管理同有線的網絡管理一樣，采用同一個的告警平臺，采用同一個日志管理系統(tǒng)，在同一個界面中顯示完整的網絡拓撲，將無線射頻管理獨立為管理組件，充分實現(xiàn)有線無線一體化的管理，不需要單獨的平臺，不需要兩個界面，自然也不需要購買專門的服務器和額外的管理系統(tǒng)培訓。通過一體化拓撲管理，在網絡出現(xiàn)故障時，能夠從網絡拓撲中輕松看到網絡的故障點是接入端口的PoE電源供電失效，還是鏈路出現(xiàn)故障，還是網絡中出現(xiàn)廣播風暴，導致鏈路上數(shù)據交換過于繁忙。從而降低故障定位人員的管理工作量。通過人網的合一管理，用戶接入到網絡時，實時顯示使用者在網絡的哪個設備端口上，快速定位故障用戶。2.2.4網絡與安全的深度融合傳統(tǒng)的組網方式中，安全設備都是以獨立的形態(tài)部署到網絡中，而在本方案中，防火墻安全設備均是以插卡的方式部署到數(shù)據中心核心交換機中，與基礎網絡設備融合，具有即插即用、擴展性強的特點，降低了用戶管理難度，減少了維護成本。這種部署方式具有如下優(yōu)點：A、降低出現(xiàn)單點故障單點瓶頸a)Bypass特性：在運營網絡中可靠性是至關重要的因素，傳統(tǒng)安全設備沒有網絡設備的高可靠性保證技術（如冗余引擎、機箱溫控、風扇轉速檢測、鏈路故障檢測、路由快速收斂等），因此實際部署中容易形成單點故障，采用安全插卡后可以利用交換機的各種高可靠性技術來提高自身的可靠性，并且，還能夠實現(xiàn)bypass的功能，在安全設備故障的時候直接短接，跳過防火墻，收斂時間在100ms內，保證網絡轉發(fā)照常進行。b)以太網OAM：利用核心交換機成熟的OAM技術，可以實現(xiàn)VCT雙絞線連通性檢測、DLDP單通鏈路檢測、GR等增強的可靠性特性，大大加強了安全設備的可靠性。c)減少連接故障：從連接方式方面，安全插卡采用內置板卡的方式，避免了傳統(tǒng)機架設備復雜的網線連接方式，避免了網線連接產生的接觸不良和端點故障。減少了網絡中的單點故障。d)供電和功耗：供電方面，安全插卡采用交換機內置電源，具有電源冗余，可靠性更高，并且安全插卡的功耗及其設計也很獨到，溫度適應力比較好而且穩(wěn)定性非常高。安全插卡的單板的功耗低于100W。模塊設計采用業(yè)界最新的多核網絡處理器設計，穩(wěn)定性及其功能方面都比較優(yōu)秀。e)熱插拔：安全插卡接口卡支持熱插拔，擴展性能不需要中斷業(yè)務，大大提高了網絡的靈活性。B、降低投入成本a)硬件成本降低：將安全設備作為交換機業(yè)務插卡方式部署，可以讓安全設備共享交換機背板和電源，實現(xiàn)節(jié)省了防火墻的電源、溫控、風扇等多方面硬件成本。b)端口擴展成本降低：傳統(tǒng)機架安全設備網絡接口通常有限，在實際應用中接口未必能滿足要求，而安全插卡部署后，交換機每個端口都可以具備防火墻功能，相當于在核心交換機每個接口上都部署了防火墻，極大的節(jié)省了防火墻端口投入成本。c)虛擬防火墻：由于防火墻插卡支持256個虛擬防火墻，而每個虛擬防火墻可以獨立進行配置，好比在網絡中部署了256個獨立的小型防火墻，可以為不同的業(yè)務分配不同虛擬防火墻實例，極大的節(jié)省了防火墻投入。并且這些虛擬防火墻可以集中管理配置。C、管理優(yōu)勢a)圖形界面和命令行結合：安全插卡模塊提供了圖形管理界面。不同虛擬防火墻實例的使用者也不同，使用習慣和技術水平也不同，有的用戶習慣使用圖形化配置，有的用戶習慣使用命令行配置，在安全插卡上可以統(tǒng)一提供。b)單獨管理和統(tǒng)一管理結合：為了將安全插卡的管理和高端交換機的接口單板的管理一體化，安全插卡的單板可以通過高端交換機的主控板實現(xiàn)對接口板的統(tǒng)一管理，安全插卡的狀態(tài)等可以基于主控板統(tǒng)一顯示給用戶；另外，用戶完全可以象配置接口板一樣，在主控板的串口上直接透明地對安全插卡的接口板進行配置。這樣完全透明的管理給用戶統(tǒng)一的接口，使得管理方便簡單。如果交換機和安全插卡由不同業(yè)務部門管理，則在安全插卡也可以用自身提供千兆接口進行帶外網管或者集中網管，而不經過交換機。2.2.5統(tǒng)一管理1、網絡設備管理IMC網管系統(tǒng)除了具有設備網管的功能，同時具有很強的平臺網管功能（包括安全，拓撲，告警，性能等通用網管的功能）。針對第三方設備可以做到基本的管理。下面針對具體的管理功能進行介紹。資源拓撲管理IMC網管平臺可以在拓撲圖中發(fā)現(xiàn)所有可網管設備，以相應的圖標表示在拓撲圖中。告警管理對于第三方廠商設備的告警，IMC可以全部接收并對其中的標準告警進行解析。性能管理IMC系統(tǒng)可以對第三方設備進行通用性能監(jiān)視，包括接口的流量監(jiān)視，利用率監(jiān)視，設備IP包轉發(fā)，設備響應時間的監(jiān)視等。同時如果需要針對特殊設備性能的檢視，可通過增加自定義性能模板腳本來達到要求。此方案適用于已有網絡存在的設備主要是H3C設備，并且有部分第三方廠商的設備，同時需要兼顧第三方設備的管理。該方案可以實現(xiàn)對H3C設備的完全管理（包括通用管理，設備管理及業(yè)務級管理），同時針對第三方設備的管理可以達到通用管理的程度，同時針對某些設備的特性管理，可進行適當定制（如定制服務監(jiān)控，告警解析，性能模板），從而達到對第三方設備的比較全面的管理。2、用戶管理EAD解決方案安全準入主要是通過身份認證和安全策略檢查的方式，對未通過身份認證或不符合安全策略的用戶終端進行網絡隔離，并幫助終端進行安全修復，以達到防范不安全網絡用戶終端給安全網絡帶來安全威脅的目的。圖表EAD解決方案安全準入應用模型圖安全準入工作流程：身份驗證：用戶終端接入網絡時，首先進行用戶身份認證，非法用戶將被拒絕接入網絡。目前EAD解決方案支持802.1x和Portal認證。安全檢查：身份認證通過后進行終端安全檢查，由CAMS安全策略服務器驗證用戶終端的安全狀態(tài)（包括補丁版本、病毒庫版本、軟件安裝等）是否合格。安全隔離：不合格的終端將被安全聯(lián)動設備通過ACL策略限制在隔離區(qū)進行安全修復。安全修復：進入隔離區(qū)的用戶可以進行補丁、病毒庫的升級、卸載非法軟件和停止非法服務等操作，直到安全狀態(tài)合格。動態(tài)授權：如果用戶身份驗證、安全檢查都通過，則CAMS安全策略服務器將預先配置的該用戶的權限信息（包括網絡訪問權限等）下發(fā)給安全聯(lián)動設備，由安全聯(lián)動設備實現(xiàn)按用戶身份的權限控制。實時監(jiān)控：在用戶網絡使用過程中，安全客戶端根據安全策略服務器下發(fā)的監(jiān)控策略，實時監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向CAMS安全策略服務器上報安全事件，由CAMS安全策略服務器按照預定義的安全策略，采取相應的控制措施，比如通知安全聯(lián)動設備隔離用戶。第3章端點準入防御(EAD)方案3.1概述網絡安全問題的解決，三分靠技術，七分靠管理，嚴格管理是企業(yè)、機構及用戶免受網絡安全問題威脅的重要措施。事實上，多數(shù)企業(yè)、機構都缺乏有效的制度和手段管理網絡安全。網絡用戶不及時升級系統(tǒng)補丁、升級病毒庫的現(xiàn)象普遍存在；隨意接入網絡、私設代理服務器、私自訪問保密資源等行為在企業(yè)網中也比比皆是。管理的欠缺不僅會直接影響用戶網絡的正常運行，還可能使企業(yè)蒙受巨大的商業(yè)損失。為了解決現(xiàn)有網絡安全管理中存在的不足，應對網絡安全威脅，H3C推出了端點準入防御（EAD，EndpointAdmissionControl）解決方案。該方案從用戶終端準入控制入手，整合網絡接入控制與終端安全產品，通過安全客戶端、安全策略服務器、網絡設備以及防病毒軟件產品、軟件補丁管理產品的聯(lián)動，對接入網絡的用戶終端強制實施企業(yè)安全策略，嚴格控制終端用戶的網絡使用行為，可以加強用戶終端的主動防御能力，大幅度提高網絡安全。EAD在用戶接入網絡前，通過統(tǒng)一管理的安全策略強制檢查用戶終端的安全狀態(tài)，并根據對用戶終端安全狀態(tài)的檢查結果實施接入控制策略，對不符合企業(yè)安全標準的用戶進行“隔離”并強制用戶進行病毒庫升級、系統(tǒng)補丁安裝等操作；在保證用戶終端具備自防御能力并安全接入的前提下，可以通過動態(tài)分配ACL、VLAN等合理控制用戶的網絡權限，從而提升網絡的整體安全防御能力。EAD端點準入防御方案包括兩個重要功能：安全防護和安全監(jiān)控。安全防護主要是對終端接入網絡進行認證，保證只有安全的終端才能接入網絡，對達不到安全要求的終端可以進行修復，保障終端和網絡的安全；安全監(jiān)控是指在上網過程中，系統(tǒng)實時監(jiān)控用戶終端的安全狀態(tài)，并針對用戶終端的安全事件采取相應的應對措施，實時保障網絡安全。3.2方案思路EAD解決方案的實現(xiàn)思路，是通過將網絡接入控制和用戶終端安全策略控制相結合，以用戶終端對企業(yè)安全策略的符合度為條件，控制用戶訪問網絡的接入權限，從而降低病毒、非法訪問等安全威脅對企業(yè)網絡帶來的危害。為達到以上目的，H3C提出了包括檢查——隔離——修復——監(jiān)控的整體解決思路。檢查：檢查網絡接入用戶的身份；檢查網絡接入用戶的訪問權限；檢查網絡接入用戶終端的安全狀態(tài)；隔離：隔離非法用戶終端和越權訪問；隔離存在重大安全問題或安全隱患的用戶終端；修復：幫助存在安全問題或安全隱患的用戶終端進行安全修復，以便能夠正常使用網絡；監(jiān)控：實時監(jiān)控在線用戶的終端安全狀態(tài)，及時獲取終端安全信息對非法用戶、越權訪問和存在安全問題的網絡終端進行定位統(tǒng)計，為網絡安全管理提供依據；通過制定新的安全策略，持續(xù)保障網絡的安全。3.3方案組成部分為了有效實現(xiàn)用戶終端安全準入控制，需要實現(xiàn)終端安全信息采集點、終端安全信息決策點和終端安全信息執(zhí)行點的分離，同時還需要提供有效的技術手段，對用戶終端存在的安全問題進行修復，使之符合企業(yè)終端安全策略，順利接入網絡進行工作。EAD解決方案的基本部件包括安全策略服務器、防病毒服務器、補丁服務器等修復服務器、安全聯(lián)動設備和H3C安全客戶端，各部件各司其職，由安全策略中心協(xié)調，共同完成對網絡接入終端的安全準入控制。安全策略服務器EAD方案的核心是整合與聯(lián)動，而安全策略服務器是EAD方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計等功能。安全策略管理安全策略服務器定義了對用戶終端進行準入控制的一系列策略，包括用戶終端安全狀態(tài)評估配置、補丁檢查項配置、安全策略配置、終端修復配置以及對終端用戶的隔離方式配置等。用戶管理企業(yè)網中，不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務器可以為不同用戶提供基于身份的個性化安全配置和網絡服務等級，方便管理員對網絡用戶制定差異化的安全策略。安全聯(lián)動控制安全策略服務器負責評估安全客戶端上報的安全狀態(tài)，控制安全聯(lián)動設備對用戶的隔離與開放，下發(fā)用戶終端的修復方式與安全策略。通過安全策略服務器的控制，安全客戶端、安全聯(lián)動設備與修復服務器才可以協(xié)同工作，配合完成端到端的安全準入控制。修復服務器在EAD方案中，修復服務器可以是第三方廠商提供的防病毒服務器、補丁服務器或用戶自行架設的文件服務器。此類服務器通常放置于網絡隔離區(qū)中，用于終端進行自我修復操作。網絡版的防病毒服務器提供病毒庫升級服務，允許防病毒客戶端進行在線升級；補丁服務器則提供系統(tǒng)補丁升級服務，在用戶終端的系統(tǒng)補丁不能滿足安全要求時，用戶終端可連接至補丁服務器進行補丁下載和升級。安全聯(lián)動設備安全聯(lián)動設備是企業(yè)網絡中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。根據應用場合的不同，安全聯(lián)動設備可以是交換機或BAS設備，分別實現(xiàn)不同認證方式（如802.1x或Portal）的端點準入控制。不論是哪種接入設備或采用哪種認證方式，安全聯(lián)動設備均具有以下功能：強制網絡接入終端進行身份認證和安全狀態(tài)評估。隔離不符合安全策略的用戶終端。聯(lián)動設備接收到安全策略服務器下發(fā)的隔離指令后，目前可以通過動態(tài)ACL方式限制用戶的訪問權限；同樣，收到解除用戶隔離的指令后也可以在線解除對用戶終端的隔離。提供基于身份的網絡服務。安全聯(lián)動設備可以根據安全策略服務器下發(fā)的策略，為用戶提供個性化的網絡服務，如提供不同的ACL、VLAN等。安全客戶端H3C客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對用戶終端進行身份認證、安全狀態(tài)評估以及安全策略實施的主體，其主要功能包括：提供802.1X、Portal等多種認證方式，可以與交換機、BAS網關等設備配合實現(xiàn)接入層、匯聚層的端點準入控制。檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補丁、共享目錄、已安裝的軟件、已啟動的服務等用戶終端信息；同時提供與防病毒客戶端聯(lián)動的接口，實現(xiàn)與第三方防病毒軟件產品客戶端的聯(lián)動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。這些信息將被傳遞到安全策略服務器，執(zhí)行端點準入的判斷與控制。安全策略實施，接收安全策略服務器下發(fā)的安全策略并強制用戶終端執(zhí)行，包括設置安全策略（是否監(jiān)控郵件、注冊表）、系統(tǒng)修復通知與實施（自動或手工升級補丁和病毒庫）等功能。不按要求實施安全策略的用戶終端將被限制在隔離區(qū)。實時監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時上報到安全策略服務器，用于事后進行安全審計。3.4EAD應用模式EAD解決方案對于每一種安全狀態(tài)的檢測，按照處理模式可分為隔離模式、警告模式、監(jiān)控模式。如防病毒軟件的安裝和版本檢查可以采用隔離模式，補丁軟件依照重要性的不同可以采取不同的模式，一些非法軟件的安裝可以通過警告方式進行提醒。三種模式對于實現(xiàn)的終端安全狀態(tài)監(jiān)控功能各有不同，對安全設備的要求也不相同。隔離模式對于一些關系比較重大的安全漏洞或補丁，如Windows服務器的致命安全補丁，需要進行比較嚴厲的控制。具體來說，就是一旦用戶終端安全狀態(tài)不合格，就限制其網絡訪問區(qū)域為隔離區(qū)，在進行修復操作，滿足企業(yè)終端安全策略要求后，才能重新發(fā)起認證，正常接入網絡。隔離模式要求安全聯(lián)動設備必須支持動態(tài)ACL特性，能夠實時應用安全策略服務器下發(fā)的ACL規(guī)格，并應用于用戶連接。警告模式某些應用環(huán)境下，不需要根據用戶終端的安全狀態(tài)嚴格控制用戶終端的訪問權限，可以采用警告模式來處理不合格的安全狀態(tài)，如對于安全等級略低一些的補丁可以采取這種方式。在警告模式下，安全客戶端檢查用戶終端的安全狀態(tài)信息，并將不合格項以彈出窗口的形式提供給終端用戶，同時提供修復指導和相關鏈接。用戶的網絡訪問權限不因終端安全狀態(tài)不合格而被更改。監(jiān)控模式監(jiān)控模式同警告模式的實現(xiàn)流程基本相同，區(qū)別在于監(jiān)控模式下，安全客戶端不會彈出窗口，向用戶提示終端的不合格項。但網絡管理員可在安全策略服務器的管理界面中實時對用戶終端安全狀態(tài)進行監(jiān)控，了解用戶終端的安全信息。一些相對普通的安全問題，如提示性的補丁安裝，可以在不影響終端用戶工作的情況下，由管理員進行定期檢查并通告。同時，對于重要的網絡用戶，比如公司老板，管理員對其網絡訪問的管理也可應用監(jiān)控模式。3.5應用模型3.5.1安全準入應用模型EAD解決方案安全準入主要是通過身份認證和安全策略檢查的方式，對未通過身份認證或不符合安全策略的用戶終端進行網絡隔離，并幫助終端進行安全修復，以達到防范不安全網絡用戶終端給安全網絡帶來安全威脅的目的。圖表2EAD解決方案安全準入應用模型圖3.5.2安全準入工作流程身份驗證：用戶終端接入網絡時，首先進行用戶身份認證，非法用戶將被拒絕接入網絡。目前EAD解決方案支持802.1x和Portal認證。安全檢查：身份認證通過后進行終端安全檢查，由安全策略服務器驗證用戶終端的安全狀態(tài)（包括補丁版本、病毒庫版本、軟件安裝等）是否合格。安全隔離：不合格的終端將被安全聯(lián)動設備通過ACL策略限制在隔離區(qū)進行安全修復。安全修復：進入隔離區(qū)的用戶可以進行補丁、病毒庫的升級、卸載非法軟件和停止非法服務等操作，直到安全狀態(tài)合格。動態(tài)授權：如果用戶身份驗證、安全檢查都通過，則安全策略服務器將預先配置的該用戶的權限信息（包括網絡訪問權限等）下發(fā)給安全聯(lián)動設備，由安全聯(lián)動設備實現(xiàn)按用戶身份的權限控制。實時監(jiān)控：在用戶網絡使用過程中，安全客戶端根據安全策略服務器下發(fā)的監(jiān)控策略，實時監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向安全策略服務器上報安全事件，由安全策略服務器按照預定義的安全策略，采取相應的控制措施，比如通知安全聯(lián)動設備隔離用戶。圖表3EAD安全準入流程圖3.6功能特點EAD解決方案已實現(xiàn)以下功能規(guī)格，在具體應用部署時，可根據用戶網絡的實際使用需求，確定EAD的應用模式和部署方案。3.6.1安全狀態(tài)評估終端補丁檢測：評估客戶端的補丁安裝是否合格，可以檢測的補丁包括：操作系統(tǒng)(Windows2000/XP等，不包括Windows98)等符合微軟補丁規(guī)范的熱補丁。安全客戶端版本檢測：可以檢測安全客戶端H3CClient的版本，防止使用不具備安全檢測能力的客戶端接入網絡。同時支持客戶端自動升級。安全狀態(tài)定時評估：安全客戶端可以定時檢測用戶安全狀態(tài),防止用戶上網過程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。自動補丁管理：提供與微軟WSUS/SMS（全稱：WindowsServerUpdateServices/SystemManagementServer）協(xié)同的自動補丁管理，當用戶補丁不合格時，自動安裝補丁。終端運行狀態(tài)實時檢測：可以對上線用戶終端的系統(tǒng)信息進行實時檢測，包括已安裝程序列表、已安裝補丁列表、已運行進程列表、共享目錄信息、分區(qū)表、屏保設置和已啟動服務列表等。防病毒聯(lián)動：主要包含兩個方面，一是端點用戶接入網絡時，檢查其計算機上防病毒軟件的安裝運行情況以及病毒庫和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據策略阻止用戶接入網絡或將其訪問限制在隔離區(qū)；二是端點用戶接入網絡后，EAD定期檢查防病毒軟件的運行狀態(tài)，如果發(fā)現(xiàn)不符合安全要求可以根據策略強制讓用戶下線或將其訪問限制在隔離區(qū)。聯(lián)動方式目前包括強AV聯(lián)動和弱AV聯(lián)動，強AV聯(lián)動需要防病毒軟件廠商提供聯(lián)動插件，EAD客戶端通過該聯(lián)動插件完成對防病毒軟件的運行狀態(tài)檢查以及行為控制。弱AV聯(lián)動不需要防病毒廠商提供聯(lián)動插件，EAD客戶端通過其他方式實現(xiàn)對防病毒軟件的運行狀態(tài)檢查以及行為控制。當前支持的強AV聯(lián)動支持的防病毒軟件有：瑞星、金山和江民。當前支持的弱AV聯(lián)動支持的防病毒軟件有：諾頓、趨勢、McAfee和安博士。3.6.2用戶權限管理強身份認證：在用戶身份認證時，可綁定用戶接入IP、MAC、接入設備IP、端口和VLAN等信息，進行強身份認證，防止帳號盜用、限定帳號所使用的終端，確保接入用戶的身份安全?！拔ｋU”用戶隔離：對于安全狀態(tài)評估不合格的用戶，可以限制其訪問權限（通過ACL隔離），使其只能訪問防病毒服務器、補丁服務器等用于系統(tǒng)修復的網絡資源?！拔ｋU”用戶在線隔離：用戶上網過程中安全狀態(tài)發(fā)生變化造成與安全策略不一致時(如感染不能殺除的病毒)，CAMS可以在線隔離并通知用戶。軟件安裝和運行檢測：檢測終端軟件的安裝和運行狀態(tài)?？梢韵拗平尤刖W絡的用戶必須安裝、運行或禁止安裝、運行其中某些軟件。對于不符合安全策略的用戶可以記錄日志、提醒或隔離。支持匿名認證：安全客戶端和CAMS提供匿名認證用戶，用戶不需要輸入用戶名、密碼即可完成身份認證和安全認證。接入時間、區(qū)域控制：可以限制用戶只能在允許的時間和地點（接入設備和端口）上網。限制終端用戶使用多網卡和撥號網絡：防止用戶終端成為內外網互訪的橋梁，避免因此可能造成的信息安全問題。代理限制：可以限制用戶使用和設置代理服務器。3.6.3用戶行為監(jiān)控終端強制或提醒修復：強制或提醒不符合安全策略的終端用戶主機進行防病毒軟件升級，病毒庫升級，補丁安裝；目前只支持手工方式（金山的客戶端可以與系統(tǒng)中心做自動升級）。安全狀態(tài)監(jiān)控：定時監(jiān)控終端用戶的安全狀態(tài)，發(fā)現(xiàn)感染病毒后根據安全策略可將其限制到隔離區(qū)。安全日志審計：定時收集客戶端的實時安全狀態(tài)并記錄日志；查詢用戶的安全狀態(tài)日志、安全事件日志以及在線用戶的安全狀態(tài)。強制用戶下線：管理員可以強制行為“可疑”的用戶下線。第4章無線解決方案4.1概述無線局域網（WLAN）技術于20世紀90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網絡的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網絡。無線局域網具有以下顯著特點：簡易性：WLAN網絡傳輸系統(tǒng)的安裝快速簡單，可極大的減少敷設管道及布線等繁瑣工作；靈活性：無線技術使得WLAN設備可以靈活的進行安裝并調整位置，使無線網絡達到有線網絡不易覆蓋的區(qū)域；綜合成本較低：一方面WLAN網絡減少了布線的費用，另一方面在需要頻繁移動和變化的動態(tài)環(huán)境中，無線局域網技術可以更好地保護已有投資。同時，由于WLAN技術本身就是面向數(shù)據通信領域的IP傳輸技術，因此可直接通過千兆百兆自適應網口和醫(yī)院內部Intranet相連，從體系結構上節(jié)省了協(xié)議轉換器等相關設備；擴展能力強：WLAN網絡系統(tǒng)支持多種拓撲結構及平滑擴容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴展為中等容量傳輸系統(tǒng)；隨著WLAN技術的快速發(fā)展和不斷成熟，目前在國內外具有較多的中大規(guī)模應用，諸如荷蘭的阿姆斯特丹市的全城覆蓋，向客戶提供各種業(yè)務。4.2客戶需求XXXX區(qū)人民醫(yī)院無線局域網建設的總體目標是：利用無線網絡技術進一步擴展信息網的覆蓋范圍，使全院人員能夠隨時隨地、方便高效地使用網絡；促進醫(yī)療和科研發(fā)展，進一步拓展研究空間，為大型科研活動和無線網絡技術研究提供無線網絡實驗環(huán)境；提升醫(yī)院網絡環(huán)境，提高管理水平和效率，推動醫(yī)院信息化建設。由于本工程是在醫(yī)院有線網的基礎上加以無線擴充（即采用AP將無線網絡接入到有線網絡），目前XXXX區(qū)人民醫(yī)院有線網可以為無線網絡的建設提供支持。本工程具體的建設目標是：側重實際應用，覆蓋醫(yī)院新大樓內部分區(qū)域，為醫(yī)療、科研和學習生活提供切實可用的無線網絡環(huán)境；采取通行的網絡協(xié)議標準：目前無線局域網普遍采用802.11系列標準，因此醫(yī)療無線局域網將主要支持802.11N（300M帶寬）標準以提供可供實際應用的相對穩(wěn)定的網絡通訊服務；全面的無線網絡支撐系統(tǒng)（包括無線網管、無線安全，無線計費等），以避免無線設備及軟件之間的不兼容性或網絡管理的混亂而導致的問題；保證網絡訪問的安全性，支持802.1x安全認證方式；采用非獨立型的無線網絡結構選型；覆蓋范圍要求：本項目主要覆蓋新教大樓；安全、認證、計費和管理要求為了阻止非授權用戶訪問無線網絡，以及防止對無線局域網數(shù)據流的非法偵聽，無線網絡要具有相應的安全手段，主要包括：物理地址（MAC）過濾、服務區(qū)標識符(SSID)匹配、有線等效保密（WEP）、二層隔離等；本無線局域網的用戶認證要求采取集中認證（WEBPORTAL認證方式）和802.1X安全認證方式（支持受保護的PEAP(ProtectedEAP)），無線網系統(tǒng)的認證計費系統(tǒng)必須與XXXX區(qū)人民醫(yī)院綜合認證計費系統(tǒng)對接。AP、訪問控制系統(tǒng)及認證計費系統(tǒng)必須為同一廠商的產品，便于用戶使用及維護。在連續(xù)覆蓋區(qū)域的認證和覆蓋應充分考慮移動用戶的易用性，達到一次認證，移動使用的目的；需提供認證和計費數(shù)據庫的結構和二次開發(fā)的接口，需要提供基于標準的無線網絡管理軟件，并提供二次開發(fā)的接口。4.3無線組網選擇考慮到XXXX區(qū)人民醫(yī)院無線局域網部署的AP應與目前持有大量的802.11終端的用戶的兼容，同時也顧及到未來無線局域網數(shù)據應用業(yè)務的擴展，建議采用FITAP組網模式實現(xiàn)XXXX區(qū)人民醫(yī)院無線局域網部署。傳統(tǒng)FATAP組網模式：802.1x認證終結、動態(tài)密鑰的產生、漫游切換都在AP本身實現(xiàn)，AP負擔較重；FITAP模式：802.1x認證終結、動態(tài)密鑰的產生、漫游切換都集中到WirelessSwitch上來實現(xiàn)，減輕了AP負擔，在規(guī)模越大的網絡上管理越簡單。并且由于增加了無線控制器模塊作為中央管理控制設備，可以在此基礎上方便的擴展豐富業(yè)務功能。非法無線入侵檢測：監(jiān)視射頻環(huán)境的非法AP和用戶，防止其接入網絡；位置檢查：無線控制器模塊可以記錄每個用戶登陸的AP位置；每用戶的安全策略：提供基于用戶身份的所有服務，以使用戶在漫游時具有諸如虛擬專用組成員資格、訪問控制列表(ACL)、認證、漫游策略和歷史、位置跟蹤、帶寬使用以及其他授權等內容。還可告知管理人員哪些用戶已連接、他們位于何處、他們曾經位于何處、他們正在使用哪些服務以及他們曾經使用過哪些服務。網絡自愈：蜂窩式組網中，AP是連續(xù)分布，相鄰AP之間共同覆蓋一部分區(qū)域，如果單個AP故障，無線控制器模塊可自動調整周邊AP到最大射頻功率，盡最大可能彌補單個AP故障留下的信號盲區(qū)；射頻管理：AP射頻掃描可測量信號強度和使用量；無線控制器模塊的軟件可動態(tài)地調整AP的流量負載、功率、射頻覆蓋區(qū)域和信道分配，以使覆蓋范圍和容量最大化。AP部署的原則如下：盡量避免鄰道干擾，采用不重疊的頻點實施鄰近的AP覆蓋盡量通過AP的以太網端口只連接接入層以太網交換機，以確保AP的上行帶寬和整個網絡的傳輸性能。盡量通過集中供電系統(tǒng)為樓層AP實施供電，以確保穩(wěn)定及冗余的能量來源,保證整個網絡的高可靠性。4.4無線網絡建設方案針對醫(yī)院采用WLAN技術構架寬帶網絡服務，從技術上、工程上以及提供的服務質量上均能較好的滿足校方的要求，具體組網構架如下：4.4.1整體組網方案鑒于XXXX區(qū)人民醫(yī)院的有線網絡已經較為完善，又由于現(xiàn)在的有線網絡為無線網絡提供一個有線接口，同時完成POE供電的功能，本次工程采用無線網就接入千兆POE遠程供電交換機，同時在數(shù)據中心核心交換機上配置無線控制器作為整個無線局域網絡的中央管理控制器。認證方式和認證點選擇本方案主要采用802.1X認證，802.11N/AP與無線控制器通過二層隧道協(xié)議通信，無線用戶的認證點都是放置于無線控制器設備上，后臺的CAMS作為用戶鑒權點。鑒于目前XXXX區(qū)人民醫(yī)院無線網絡本次規(guī)模，從網絡支撐能力的角度來看，需要一個無線控制器模塊就可以實現(xiàn)。針對無線用戶，無線控制器作為802.1X終結點，CAMS作為最后的鑒權點，當用戶在AP內進行切換時，此時的主要工作由無線控制器模塊進行統(tǒng)一調度，當用戶在相同或者不同的不同的端口下的不同AP的覆蓋范圍時，此時用戶不會再次觸發(fā)認證，此時的認證方式可以采用本地認證，也可以采用CAMS認證，如果采用本地認證時，用戶在所有的無線控制器上進行配置。如果采用：CAMS認證，優(yōu)點：配置工作量小，二種方式都不影響無線用戶的業(yè)務使用質量與無線用戶在不同AP之間的漫游切換速度。計費模式：考慮到XXXX區(qū)人民醫(yī)院無線網網絡的主要負責包括為院內人員提供網絡服務及承擔部分科研的任務，同時鑒于前期無線用戶的數(shù)量還是相對較小，則采用包月制進行運營，等無線用戶達到一定規(guī)模以后，增加計時運營策略，對于國際流量采用按流量計費，將無線網絡中的無線流量信息。整網安全XXXX區(qū)人民醫(yī)院無線局域網絡主要服務于院內的人員，也是一種小規(guī)模的公眾型網絡，同時由于院內人員出于技術的研究興趣，會對網絡發(fā)起各種各樣的攻擊行為，此時網絡安全問題在建網時必須考慮問題，安全方式主要側重幾個方面：用戶安全、網絡安全，而在醫(yī)院網絡中主要依附于用戶實體的屬性主要包括用戶使用的信息終端二層屬性（諸如：MAC地址）及用戶的帳號、密碼，而對于醫(yī)院用戶來，帳號信息都是一個實名原則，與人員的工作信息證件進行關聯(lián)的，這樣本無線網絡中著重考慮使用無線網絡的空口信息的安全機制，同時也要考慮與無線相關的有線網絡的安全問題，對于原有有線網絡的安全問題，在本技術建議書中不作相應的考慮；無線網絡安全：無線網絡安全部分主要包括以下方面的內容：MAC地址過濾：目前支持基于MAC地址的過濾，限制具有某種類型的MAC地址特征的終端才能進入網絡中；SSID管理：是一種網絡標識的方案，將網絡進行一個邏輯化標識，對終端上發(fā)的報文都要求進行上帶SSID，如果沒有SSID標識則不能進入網絡；WEP加密：WEP加密是一種靜態(tài)加密的機制，通信雙方具有一個共同的密鑰，終端發(fā)送的空口信息報文必須使用共同的密鑰進行加密；支持AES加密，AES安全機制是一種動態(tài)密鑰管理機制，同時密鑰生成也基于不對稱密鑰機制來實現(xiàn)的，同時密鑰的管理也定期更新，具有體的時間由系統(tǒng)可以設定，一般情況都設定為5分鐘左右，這樣非法用戶要想在5分鐘之內進行獲取足夠數(shù)量的報文進行匹配出密鑰出來，從無線空口的流理來看，基本上是不可能的；H3C的無線方案中可根據用戶名來劃分權限，即相同用戶在不同地點接入無線網絡其權限保持一致；密鑰設置可能根據SSID信息與用戶信息進行組合，即不同的SSID下不同的用戶的密鑰生成可以不一樣，這樣一定程度上保證用戶之間串號問題產生，從而保護投資，以達到營維平衡；頻率規(guī)劃與負載均衡：頻率規(guī)劃802.11N使用開放的2.4GHz、5GHzISM頻段，可工作的信道數(shù)為歐洲標準信道數(shù)13個。由于其支持直序擴頻技術造成相鄰頻點之間存在重疊。對于真正相互不重疊信道只有相隔5個信道的工作中心頻點。因此對于802.11N在2.4GHz、5GHz地工作頻段，理論上只能進行三信道的蜂窩規(guī)劃實現(xiàn)對需要規(guī)劃的熱點的無縫覆蓋。此外，由于功率模板是否能做到符合鄰道、隔道不干擾也非常影響頻率規(guī)劃的效果。針對如何進行802.11N的頻率規(guī)劃作了大量的實驗，實驗證明3載頻也可以實現(xiàn)蜂窩對需要覆蓋的區(qū)域進行無縫覆蓋，并提供更高的服務帶寬提高服務質量，和高帶寬業(yè)務的開展。頻率規(guī)劃原理圖頻率規(guī)劃需要配合使用的功能包括：AP支持13個信道設置AP支持500～200mW、60～10mW功率以及多級功率控制AP支持外置天線以及定向天線針對特殊應用還需要AP支持橋接功能、接入功能以及WDS功能結合以上功能的支持，以及勘探工具，可以較好的部署AP達到頻率規(guī)劃的效果。H3C公司針對無線小區(qū)、機場、酒店等熱點區(qū)域進行過頻率規(guī)劃，使用效果較好。負載均衡AP上支持標準的IAPP協(xié)議框架，通過負載均衡的部署，可實現(xiàn)在一個熱點內用戶平均分配到所部署的所有AP上，達到在一個服務區(qū)AP接入用戶數(shù)和流量的平衡，為用戶提供更高的服務質量。具體可部署的負載均衡策略有：對所有AP設置基于用戶數(shù)的負載均衡功能，AP通過對接入用戶數(shù)的統(tǒng)計，與設定AP接入用戶數(shù)量閥值比較，達到閥值后，不允許新的用戶接入。對所有AP設置基于流量的負載均衡功能，AP通過對接入用戶流量的統(tǒng)計，與設定AP上流量漏桶閥值上沿比較，達到閥值后，不允許新的用戶接入，少于閥值下沿，再允許新用戶接入。配合網絡規(guī)劃，設置AP群功能，在一個群內的AP通過組播報文實時通報接入用戶數(shù)量，當發(fā)現(xiàn)AP間用戶數(shù)差值大于設定閥值，接入用戶多的AP將部分用戶趕下網。網絡管理基于標準的SNMP協(xié)議實現(xiàn)對設備的管理，IMC網管系統(tǒng)通過SNMP實現(xiàn)對WLAN所有網元的管理。網管工作站可以放在網上的任意位置，通過標準的SNMP即可實現(xiàn)對所有設備的管理。采用標準的SNMP可以實現(xiàn)更為強大的管理包括自動拓撲發(fā)現(xiàn)、自動升級、批量配置、分級管理、分級告警等。供電問題：由于本次無線網中AP設備數(shù)量較多，AP布放位置根據實際覆蓋效果而調整，在已建設完成的建筑物上較難進行本地供電?；跇藴实?02.3af實現(xiàn)對AP的供電。通過在核心交換機上的POE業(yè)務模塊，通過以太網線在傳輸數(shù)據同時給AP供電，供電距離達100米，滿足實際組網的要求。4.4.2覆蓋解決方案從整體的統(tǒng)計看來，XXXX區(qū)人民醫(yī)院此次的無線覆蓋設計基本上可以分為以下幾種類型：根據本項目的需求與將來的業(yè)務發(fā)展需求，初步確定室內部分主要覆蓋以下空間，主要包括辦公樓空間/住院部/門診部；根據實際工勘的結果來看，可以歸納為：AP室內無障礙覆蓋、AP室內穿越障礙覆蓋，下面則對這兩類覆蓋分別進行描述：AP室內無障礙覆蓋：主要應用于空間較大的房間等重點室內區(qū)域，此時主要信號進行此空間內覆蓋，無需要考慮到穿越墻壁、地板等障礙物對隔壁空間的覆蓋；此時又分二種情況，劃分原則主要要看是否要使用吸頂天線的問題，根據實現(xiàn)工程勘測情況來看，室內部分都可以采用吸頂天線的方式進行操作。AP室內穿越障礙覆蓋：主要應用于各辦公樓中間走廊兩邊房間結構室內區(qū)域，因為無線信號穿越墻壁、地板等障礙物會存在衰減，但在走廊式結構的室內區(qū)域具備一定的穿越障礙的能力，一般是穿越一道墻壁之后信號效果較好。因此這樣的結構適合在走廊中布置AP，來覆蓋兩邊的房間區(qū)域；并且根據實現(xiàn)工程勘測情況來看，室內走廊部分都可以采用吸頂天線的方式進行操作。4.4.3覆蓋效果理論計算信號強度和傳輸距離的換算公式AP加卡的信號總強度公式：Gt－Gr＋AP天線增益＋終端天線增益＝L信號總強度（dB）Gt（AP或終端功率，單位dB），Gr（終端或AP靈敏度，單位dB）距離產生的信號衰減公式：40＋20lgd＝L1（dB）d（距離，單位m）工程中最大傳輸距離以45m計算，所以L1＝72dB障礙物的衰減：工程中實際的障礙物的最大衰減是臨窗墻的衰減3dB加上房間墻的衰減12dB等于15dB。第5章管理中心設計5.1集成化管理平臺H3C專注于IP產品與相關技術的研發(fā)、生產和銷售，具備完善的產品技術、客戶服務、渠道、認證培訓體系，為您提供客戶化、特性豐富、性價比高的網絡產品與解決方案。作為業(yè)界領先的網絡設備與解決方案供應商，H3C提供包括網絡管理、用戶管理、業(yè)務管理等全面的管理解決方案：H3C智能管理中心（H3CIntelligentManagementCenter，以下簡稱H3CiMC）。H3CiMC是H3CIToIP解決方案的統(tǒng)一管理中心，基于SOA架構，采用靈活的組件化結構，支持與HPOpenview、SNMPc等通用網管平臺的集成，支持集成各多廠家設備管理系統(tǒng)，與H3C的數(shù)據通信設備產品一起為用戶提供全網解決方案，幫助客戶真正實現(xiàn)網絡的按需構建。H3CiMC在IToIP解決方案中的位置H3CiMC作為IToIP解決方案核心管理系統(tǒng)，為用戶提供了靈活的組件化結構，包括智能管理平臺、智能配置中心（iCC）、ACL管理、MPLSVPN管理、用戶接入管理、EAD解決方案、無線管理、EPON管理等業(yè)務組件，用戶可以根據自己的管理需要和網絡情況靈活選擇需要的組件，真正實現(xiàn)“按需建構”。H3C智能管理中心解決方案架構如下圖所示：H3CiMC解決方案架構由上圖可以看出H3CiMC管理系統(tǒng)由智能管理平臺以及各個業(yè)務組件組成，管理平臺）提供網絡管理的一些基礎功能，比如故障管理、性能管理、資源和拓撲管理、用戶管理等，而業(yè)務組件提供了相應的業(yè)務管理功能；各個業(yè)務組件相對獨立，并可以無縫的集成在管理平臺中，使得整個系統(tǒng)具有很強的可擴展性。H3CiMC智能管理平臺實現(xiàn)網絡資源、用戶和業(yè)務的融合管理，提供基本的網絡資源管理、拓撲管理、故障管理、性能管理、用戶管理及系統(tǒng)安全管理，基于B/S架構，可以與H3CiMC其他業(yè)務組件有效集成，形成多種解決方案。H3CiMC智能管理平臺不僅可以實現(xiàn)H3C全線數(shù)據通信產品的管理，也可通過標準mib實現(xiàn)對Cisco、華為、3COM等各主流廠商的數(shù)據通信設備管理。5.2系統(tǒng)安全管理系統(tǒng)安全管理功能主要有包括：操作日志管理、操作員管理、分組分級與權限管理、操作員登錄管理等。所包含的主要功能有：操作員登錄管理管理員通過制定登錄安全策略約束操作員的登錄鑒權，實現(xiàn)操作員登錄的安全性，通過訪問控制模板約束操作員可以登錄的終端機器的IP地址范圍，避免惡意嘗試另人密碼進行登錄的行為存在，通過密碼控制策略，約束操作員密碼組成要求，包括密碼長度、密碼復雜性要求、密碼有效期等，以約束操作員定期修改密碼，并對密碼復雜性按要求設置。操作員密碼管理管理員為操作員制定密碼控制策略，操作員僅能按照指定的策略定期修改密碼，以保證訪問iMC系統(tǒng)的安全性。分組分級權限管理管理員通過設備分組、用戶分組的設置，可以為操作員指定可以管理的指定設備分組和用戶分組，并指定其管理權限和角色，包括管理員、維護員和查看員，實現(xiàn)按角色、分權限、分資源（設備和用戶）的多層權限控制；同時通過設置下級網絡管理權限，可以通過限制登錄下級網絡管理系統(tǒng)的操作員和密碼，保證訪問下級網絡管理系統(tǒng)的安全性。操作日志管理對于操作員的所有操作，包括登錄、注銷的時間、登錄IP地址以及登錄期間進行的任何可能修改系統(tǒng)數(shù)據的操作，都會記錄詳細的日志。提供豐富的查詢條件，管理員可以審計任何操作員的歷史操作記錄，界定網絡操作錯誤的責任范圍。操作員在線監(jiān)控和管理系統(tǒng)管理員通過“在線操作員”可以實時監(jiān)控當前在線聯(lián)機登錄的操作員信息，包括登錄的主機IP地址、登錄時間等，同時，系統(tǒng)管理員可以將在線操作員強制注銷、禁用/取消禁用當前IP地址等控制操作。5.3資源管理iMC資源管理與拓撲管理作為整體共同為用戶提供網絡資源的管理。本節(jié)講解iMC的資源管理，下節(jié)講解iMC的拓撲管理。通過資源管理可以：網絡自動發(fā)現(xiàn)可以通過設置種子的簡易方式、路由方式、ARP方式、IPSecVPN、網段方式等五種自動發(fā)現(xiàn)方式自學習網絡資源及網絡拓撲，自動識別包括：路由器、交換機、安全網關、存儲設備、監(jiān)控設備、無線設備、語音設備、打印機、UPS、服務器、PC在內的多種類型網絡設備；多種自動發(fā)現(xiàn)方式自動識別多種設備類型網絡手工管理可以手工添加、刪除網絡設備，可以批量導入、導出網絡設備，批量配置Telnet、SNMP參數(shù)，以及批量校驗Telnet參數(shù)等輔助功能；網絡視圖管理支持IP視圖、設備視圖、自定義視圖、下級網絡管理視圖等多種管理視圖，用戶可以從不同角度實現(xiàn)整個網絡的管理；網絡設備的管理從任何一種網絡視圖入口，都可以實現(xiàn)對網絡設備的管理，包括：支持對設備的管理/去管理、接口的管理/去管理、設備的詳細信息顯示和接口詳細信息顯示、設備和接口實時告警狀態(tài)、設備和接口的實時性能狀態(tài)、實時檢測存在故障的設備等，用戶可以方便的實現(xiàn)所有設備的管理；設備及業(yè)務管理系統(tǒng)的集成管理支持對H3C、CISCO、等主要廠家設備的管理，支持手工添加設備廠商、設備系列及設備型號；支持設備面板管理的動態(tài)注冊機制，實現(xiàn)與各廠家設備管理系統(tǒng)的有效集成；支持拓撲定位、ACL、VLAN、QoS等業(yè)務管理系統(tǒng)的集成，實現(xiàn)設備資源的統(tǒng)一管理；設備分組權限管理支持設備分組功能，通過對設備資源進行分組管理，系統(tǒng)管理員方便的分配其他管理員的管理權限，便于職責分離；5.4拓撲管理iMC拓撲管理從網絡拓撲的解決直觀的提供給用戶對整個網絡及網絡設備資源的管理。拓撲管理包括：拓撲自動發(fā)現(xiàn)H3CiMC可以自動發(fā)現(xiàn)網絡拓撲結構，支持全網設備的統(tǒng)一拓撲視圖，通過視圖導航樹提供視圖間的快速導航。通過自動發(fā)現(xiàn)可以發(fā)現(xiàn)網絡中的所有設備及網絡結構（具體參見資源管理），并且可以將非SNMP設備發(fā)現(xiàn)出來，只要設備可以ping通即可。這樣就可以將所有網絡設備都列入其管理范圍（只要設備IP可達）。同時支持自動的拓撲圖呈現(xiàn)和自定義拓撲。自動拓撲可以自動將網絡中的邏輯連接關系顯示出來，同時可以保存為自定義拓撲圖并可根據具體情況進行修改以便于網管員對整個網絡設備的監(jiān)控。支持對全網設備和連接定時輪詢和狀態(tài)刷新，實時了解整個網絡的運行情況，并且刷新周期是可定制（刷新周期：60～7200秒），同時也支持對多個設備的刷新周期進行批量配置的功能。支持自定義拓撲傳統(tǒng)的網絡管理軟件大多支持自動發(fā)現(xiàn)網絡拓撲的功能，但是自動發(fā)現(xiàn)后的網絡拓撲往往是很多設備圖標的簡單排放，不能突出重點設備和網絡層次，使網絡管理人員感覺無從下手。針對這種情況，H3CiMC的拓撲功能支持靈活的自定義功能，管理人員可以根據網絡的實際組網情況和設備重要性的不同靈活定制網絡拓撲，可對拓撲圖進行增、刪、改等編輯操作，使網絡拓撲能夠清晰地呈現(xiàn)網絡結構以及IT資源分布。H3CiMC支持靈活定制拓撲圖，使網絡拓撲更有重點和層次感。管理員可以按照關注設備不同，管理角度不同定義多種拓撲，并可以針對拓撲不同選擇不同的背景圖；管理員可以根據網絡設備的重要性不同，鏈路速率不同采用合適的圖標顯示。自動識別各種網絡設備和主機的類型H3CiMC可以自動識別H3C、H3C、Cisco、等廠商的設備、Windows、Solaris的PC和工作站、其他SNMP設備和ping設備，并且以樹形方式組織，以不同的圖標顯示區(qū)分。在拓撲圖上更可進一步對設備的類型進行區(qū)分，如區(qū)分路由器、交換機、安全網關、存儲設備、監(jiān)控設備、無線設備、語音設備、打印機、UPS、服務器、PC等等。設備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓撲圖上的直觀顯示H3CiMC的拓撲功能與故障管理和性能管理緊密融合，使拓撲圖能夠清晰地看到XXXXXX區(qū)人民醫(yī)院IT資源的狀態(tài)，包括運行是否正常、網絡帶寬、接口連通、配置變化都能一目了然。多種顏色區(qū)分不同級別故障，根據節(jié)點圖標顏色反映設備狀態(tài)。拓撲能提供設備管理便捷入口H3CiMC拓撲能夠提供對設備管理的便捷入口，管理員只需通過右鍵點擊拓撲圖中的設備圖標即可啟動設備管理各項功能，實現(xiàn)對設備的面板管理等各項功能配置。5.5故障（告警/事件）管理故障管理，即告警/事件管理，是H3CiMC的核心模塊，是iMC智能管理平臺及其他業(yè)務組件統(tǒng)一的告警中心。如下圖所示，以故障管理流程為引導，介紹H3CiMC強大的故障管理能力：告警發(fā)現(xiàn)和上報iMC告警中心可以按收各種告警源的告警事件，包括設備告警、本級網管站及下級網管站告警、網絡性能監(jiān)視告警、網絡配置監(jiān)視告警、網絡流量異常監(jiān)視告警、終端安全異常告警等；同時通過支持對設備定時輪詢，實現(xiàn)通斷告警、響應時間告警等，以告警事件的方式上報給H3CiMC告警中心；設備告警包括電源電壓、設備溫度、風扇等告警事件，設備冷啟動、熱啟動、接口linkdown等重要告警事件，路由信息事件（OSPF，BGP）變化，熱備份路由（HSRP）狀態(tài)變化等告警事件，支持對H3C、CISCO、H3C、等多廠商設備告警的識別和解析；網管站告警指包括本級iMC系統(tǒng)集群服務器的異常告警，包括CPU利用率、內存使用率、iMC服務程序運行狀態(tài)等以及下級iMC系統(tǒng)上報的告警事件；網絡性能監(jiān)視包括CPU利用率，內存使用率，以及RMON告警的故障管理。網絡配置監(jiān)視告警包括設備軟件版本、配置信息變更等告警事件，并通過iMC智能配置中心組件（iMCiCC）實現(xiàn)配置文件定期檢查，實現(xiàn)配置變更告警事件。網絡流量異常監(jiān)視告警通過iMC網絡流量分析組件（iMCNTA）實現(xiàn)網絡中異常流量告警，包括對設備及接口異常流量、主機IP地址異常流量和應用異常流量的告警，支持二