【正文】 組件的主要功能和特點如下：◆ 有線無線一體化管理H3C無線運營管理組件（WSM）作為iMC智能管理中心的無線業(yè)務(wù)管理核心，對于網(wǎng)絡(luò)中的AC、Fat AP、AC、Fit AP、移動終端等無線設(shè)備與有線設(shè)備進(jìn)行一。管理員無需重新搭建IT管理平臺，即可在原有的有線網(wǎng)絡(luò)管理系統(tǒng)中增加無線管理功能，與有線管理平臺統(tǒng)一部署，節(jié)省用戶投入，節(jié)約維護成本。這種情況下，傳統(tǒng)的有線網(wǎng)絡(luò)連接形式已經(jīng)無法應(yīng)付新的生活方式所帶來的挑戰(zhàn)。同時，H3C iMC提供圖形化的配置方式，使設(shè)備功能配置不再復(fù)雜。管理人員往往只能通過遠(yuǎn)程登錄查看設(shè)備工作狀態(tài)，了解設(shè)備運行情況。 性能管理H3C iMC網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時以直觀的方式顯示給用戶。u 固化經(jīng)驗H3C iMC提供告警知識庫。l 自定義事件過濾規(guī)則：用戶自定義的事件過濾規(guī)則，用戶可指定在什么時間范圍內(nèi)、對什么樣的告警進(jìn)行過濾。l 重復(fù)事件閾值告警：屏蔽重復(fù)接收到的相同事件，并可在達(dá)到閾值條件時產(chǎn)生新告警通知用戶。如下圖所示，以故障管理流程為引導(dǎo)，介紹H3C iMC強大的故障管理能力：u 告警發(fā)現(xiàn)和上報iMC告警中心可以按收各種告警源的告警事件，包括設(shè)備告警、本級網(wǎng)管站及下級網(wǎng)管站告警、網(wǎng)絡(luò)性能監(jiān)視告警、網(wǎng)絡(luò)配置監(jiān)視告警、網(wǎng)絡(luò)流量異常監(jiān)視告警、終端安全異常告警等；同時通過支持對設(shè)備定時輪詢，實現(xiàn)通斷告警、響應(yīng)時間告警等，以告警事件的方式上報給H3C iMC告警中心；l 設(shè)備告警包括電源電壓、設(shè)備溫度、風(fēng)扇等告警事件，設(shè)備冷啟動、熱啟動、接口linkdown等重要告警事件，路由信息事件（OSPF，BGP）變化，熱備份路由（HSRP）狀態(tài)變化等告警事件，支持對H3C、CISCO、華為、3COM等多廠商設(shè)備告警的識別和解析；l 網(wǎng)管站告警指包括本級iMC系統(tǒng)集群服務(wù)器的異常告警，包括CPU利用率、內(nèi)存使用率、iMC服務(wù)程序運行狀態(tài)等以及下級iMC系統(tǒng)上報的告警事件；l 網(wǎng)絡(luò)性能監(jiān)視包括CPU利用率，內(nèi)存使用率，以及RMON告警的故障管理。u 設(shè)備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓?fù)鋱D上的直觀顯示H3C iMC的拓?fù)涔δ芘c故障管理和性能管理緊密融合，使拓?fù)鋱D能夠清晰地看到企業(yè)IT資源的狀態(tài)，包括運行是否正常、網(wǎng)絡(luò)帶寬、接口連通、配置變化都能一目了然。H3C iMC支持靈活定制拓?fù)鋱D，使網(wǎng)絡(luò)拓?fù)涓兄攸c和層次感。自動拓?fù)淇梢宰詣訉⒕W(wǎng)絡(luò)中的邏輯連接關(guān)系顯示出來，同時可以保存為自定義拓?fù)鋱D并可根據(jù)具體情況進(jìn)行修改以便于網(wǎng)管員對整個網(wǎng)絡(luò)設(shè)備的監(jiān)控。拓?fù)涔芾戆ǎ簎 拓?fù)渥詣影l(fā)現(xiàn) H3C iMC可以自動發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，支持全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D，通過視圖導(dǎo)航樹提供視圖間的快速導(dǎo)航。提供豐富的查詢條件，管理員可以審計任何操作員的歷史操作記錄，界定網(wǎng)絡(luò)操作錯誤的責(zé)任范圍。u 操作員登錄管理管理員通過制定登錄安全策略約束操作員的登錄鑒權(quán)，實現(xiàn)操作員登錄的安全性，通過訪問控制模板約束操作員可以登錄的終端機器的IP地址范圍，避免惡意嘗試另人密碼進(jìn)行登錄的行為存在，通過密碼控制策略，約束操作員密碼組成要求，包括密碼長度、密碼復(fù)雜性要求、密碼有效期等，以約束操作員定期修改密碼，并對密碼復(fù)雜性按要求設(shè)置。iMC面向安全控制、性能優(yōu)化和運營管理的系列解決方案安全控制中心系列解決方案? 端點準(zhǔn)入解決方案(EAD)概述H3C iMC端點準(zhǔn)入功能組件與業(yè)界主流交換機、路由器、VPN設(shè)備、無線控制設(shè)備、專業(yè)網(wǎng)關(guān)等硬件進(jìn)行配合，實現(xiàn)了局域網(wǎng)、廣域網(wǎng)、VPN和無線等多種接入終端安全準(zhǔn)入控制。隨著網(wǎng)絡(luò)應(yīng)用越來越復(fù)雜，網(wǎng)絡(luò)安全控制、性能優(yōu)化、運營管理等問題成為困擾客戶的難題，并直接決定了企業(yè)核心業(yè)務(wù)能否順利開展。通過AAA Server支持Proxy功能進(jìn)行用戶判別、認(rèn)證、計費與結(jié)算。3. 配合網(wǎng)絡(luò)規(guī)劃，設(shè)置AP群功能，在一個群內(nèi)的AP通過組播報文實時通報接入用戶數(shù)量，當(dāng)發(fā)現(xiàn)AP間用戶數(shù)差值大于設(shè)定閥值，接入用戶多的AP將部分用戶趕下網(wǎng)。216。此外，由于功率模板是否能做到符合鄰道、隔道不干擾也非常影響頻率規(guī)劃的效果。 頻率規(guī)劃，可工作的信道數(shù)為歐洲標(biāo)準(zhǔn)信道數(shù)13個。216。 SSID管理：是一種網(wǎng)絡(luò)標(biāo)識的方案，將網(wǎng)絡(luò)進(jìn)行一個邏輯化標(biāo)識，對終端上發(fā)的報文都要求進(jìn)行上帶SSID，如果沒有SSID標(biāo)識則不能進(jìn)入網(wǎng)絡(luò)；216。在用戶通過認(rèn)證后，還可以通過強大的ACL控制用戶否是允許互訪，保證用戶的安全。采用WEB方式上網(wǎng)的用戶，H3C WLAN網(wǎng)絡(luò)支持標(biāo)準(zhǔn)的SSL/HTTP應(yīng)用層加密保證用戶名、密碼的安全。此外，WLAN作為運營網(wǎng)絡(luò)自身的安全也是運營者必須考慮的問題。 AP在設(shè)備的設(shè)計上支持了此類功能，可以與后臺系統(tǒng)進(jìn)行配合完成認(rèn)證與計費的功能，對于復(fù)雜的NAT、路由策略等其它的高層應(yīng)用不進(jìn)行支持。在構(gòu)架WLAN公眾網(wǎng)絡(luò)一般基于網(wǎng)絡(luò)分層的理念，即不同層面的設(shè)備承擔(dān)不同的功能，以達(dá)到組合后整網(wǎng)的功能與業(yè)務(wù)支撐。保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級時，能保護現(xiàn)有的投資。216。216。在網(wǎng)絡(luò)設(shè)計中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮到醫(yī)院網(wǎng)絡(luò)應(yīng)用的需求和未來的發(fā)展趨勢。 用戶在無線區(qū)域內(nèi)移動時，不需要多次重復(fù)認(rèn)證，實現(xiàn)自動漫游，即業(yè)務(wù)不中斷； 整體無線建網(wǎng)原則結(jié)合醫(yī)療行業(yè)和WLAN的實際應(yīng)用與發(fā)展要求，無線局域網(wǎng)(WLAN)網(wǎng)絡(luò)系統(tǒng)設(shè)計本著建設(shè)功能完整、技術(shù)成熟先進(jìn)的網(wǎng)絡(luò)系統(tǒng)的前提下，主要遵循以下系統(tǒng)總體原則：216。 對重要的統(tǒng)計數(shù)據(jù)的監(jiān)控216。 電子病歷訪問/查看216。同時，設(shè)備支持配置端口狀態(tài)自動恢復(fù)功能，對于配置了ARP限速功能的端口，在其因超速而被交換機關(guān)閉后，經(jīng)過一段時間可以自動恢復(fù)為開啟狀態(tài)。否則視為非法ARP報文，直接丟棄。? 信任端口正常轉(zhuǎn)發(fā)接收到的DHCP報文，從而保證了DHCP客戶端能夠從DHCP服務(wù)器獲取IP地址。 ARP攻擊防御H3C公司根據(jù)園區(qū)網(wǎng)ARP攻擊的特點，給出了DHCP監(jiān)控模式下的防ARP攻擊解決方案。此時，如果有惡意攻擊者（Host B）想探聽Host A和Host C之間的通信，它可以分別給這兩臺主機發(fā)送偽造的ARP應(yīng)答報文，使Host A和Host C用MAC_B更新自身ARP映射表中與對方IP地址相應(yīng)的表項?！捌垓_網(wǎng)關(guān)”攻擊示意圖 欺騙終端用戶攻擊者偽造ARP報文，發(fā)送源IP地址為同網(wǎng)段內(nèi)某一合法用戶的IP地址，源MAC地址為偽造的MAC地址的ARP報文給同網(wǎng)段內(nèi)另一臺合法主機；使后者更新自身ARP表中原合法用戶的IP地址與MAC地址的對應(yīng)關(guān)系。在園區(qū)網(wǎng)中，常見的ARP攻擊有如下幾種形式： 仿冒網(wǎng)關(guān)攻擊者偽造ARP報文，發(fā)送源IP地址為網(wǎng)關(guān)IP地址，源MAC地址為偽造的MAC地址的ARP報文給被攻擊的主機，使這些主機更新自身ARP表中網(wǎng)關(guān)IP地址與MAC地址的對應(yīng)關(guān)系。嚴(yán)重者甚至造成大面積網(wǎng)絡(luò)不能正常訪問外網(wǎng)，許多單位深受其害。 SFTP服務(wù)所謂SFTP，是Secure FTP的簡稱，它使得用戶可以從遠(yuǎn)端安全的登入交換機設(shè)備進(jìn)行文件管理，這樣使遠(yuǎn)程系統(tǒng)升級等需要進(jìn)行文件傳送的地方，增加了數(shù)據(jù)傳輸?shù)陌踩?。通過使用SSH協(xié)議進(jìn)行設(shè)備管理，可以保證遠(yuǎn)程管理的安全性。H3C交換機基于Comware路由通用平臺，能夠?qū)κ盏降母鞣N路由協(xié)議進(jìn)行認(rèn)證。網(wǎng)絡(luò)設(shè)備會學(xué)習(xí)到錯誤的ARP表項，影響合法用戶的正常上網(wǎng)。網(wǎng)絡(luò)拓?fù)漕l繁改變，會嚴(yán)重影響網(wǎng)絡(luò)內(nèi)所有設(shè)備的穩(wěn)定運行。H3C交換機能夠防范TC/TCN攻擊報文對業(yè)務(wù)產(chǎn)生的影響。同時，H3C交換機會上報地址沖突的告警信息并同時記錄日志，以便維護人員能夠及時了解設(shè)備遭受的攻擊。H3C交換機支持地址沖突檢測功能。H3C交換機收到ARP報文時，會根據(jù)報文源MAC地址進(jìn)行HASH，并且記錄單位時間收到的ARP報文數(shù)目。通過URPF特性，交換機就能有效地防范網(wǎng)絡(luò)中通過修改源地址而進(jìn)行的惡意攻擊行為。H3C核心交換機的ACL規(guī)則，不但可以根據(jù)ICMP、IGMP、TCP端口號、UDP端口號、IP地址、MAC地址等常用字段對報文進(jìn)行過濾或者限流，還可以根據(jù)TTL、BTFLAG、VLAN_ID、EXP等字段對報文進(jìn)行過濾和限流。 強大的ACL能力在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，存在各種各樣的攻擊報文，可能攻擊網(wǎng)絡(luò)設(shè)備，也可能攻擊網(wǎng)絡(luò)設(shè)備下掛的主機。用戶可以根據(jù)端口或者VLAN下掛的主機數(shù)目來設(shè)置該端口或者VLAN最大允許學(xué)習(xí)的MAC地址數(shù)目，防止一個端口或者VLAN就把系統(tǒng)的MAC地址表項耗盡。 MAC地址表容量攻擊防護能力所謂MAC地址表容量攻擊，是指攻擊源發(fā)送源MAC地址不斷變化的報文，網(wǎng)絡(luò)設(shè)備在收到這種報文后，會進(jìn)行源MAC地址學(xué)習(xí)。而且當(dāng)網(wǎng)絡(luò)中某臺設(shè)備存在環(huán)路時，廣播和組播報文會在網(wǎng)絡(luò)中泛濫，導(dǎo)致整網(wǎng)的癱瘓。隨著攻擊技術(shù)的發(fā)展，Dos攻擊也出現(xiàn)了升級，攻擊者控制多臺主機同時發(fā)起DoS攻擊，也就是所謂的分布式拒絕服務(wù)攻擊（DDoS，Distributed Denial of Service）攻擊，它的規(guī)模更大，破壞性更強。這樣，既防止直連網(wǎng)段掃描攻擊對交換機造成影響，又保證正常業(yè)務(wù)流程的暢通。H3C網(wǎng)絡(luò)設(shè)備實現(xiàn)了地址掃描攻擊的防護能力。多核多線程處理器的應(yīng)用，使網(wǎng)絡(luò)設(shè)備具備高性能和靈活性等特點，其良好的可編程性和易用性，使SR6600對未來的新業(yè)務(wù)具備快速響應(yīng)能力和良好的適應(yīng)能力，滿足用戶不斷發(fā)展的、在路由器上實現(xiàn)應(yīng)用層業(yè)務(wù)管理的需求。采用H3C ASPF（Application Specific Packet Filter）應(yīng)用狀態(tài)檢測技術(shù)。系統(tǒng)采用創(chuàng)新的IRF技術(shù)，在安全可靠、多業(yè)務(wù)融合、易管理和維護等方面為用戶提供全新的技術(shù)特性和解決方案，是理想接入交換機。在核心機房部署網(wǎng)絡(luò)管理系統(tǒng)：智能管理中心iMC，具備網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)性能、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)告警、網(wǎng)絡(luò)業(yè)務(wù)的統(tǒng)一管理，同時在其上可以配置有多種業(yè)務(wù)管理組件，配置無線業(yè)務(wù)管理（WSM）組件，實現(xiàn)有線無線一體化的管理，在iMC系統(tǒng)全面的有線網(wǎng)絡(luò)管理的基礎(chǔ)上，為管理員提供無線網(wǎng)絡(luò)管理能力。醫(yī)院的無線覆蓋空間主要包括：病房、護士站、醫(yī)生辦公室、會議室等；一般醫(yī)院病房每間的空間不是特別的大，同時病房之間不是承重墻，建議無線的覆蓋方案的原則是：以本著節(jié)約、全覆蓋的原則，每隔15～20米左右布放1個AP。在匯聚層，選用千兆全光纖交換機（S550028FEI），具備24 個SFP千兆端口，8 個復(fù)用的10/100/1000BaseT以太網(wǎng)端口（Combo），兩個擴展槽位，提供了高性能、大容量的交換服務(wù)，支持10GE的上行接口，為接入設(shè)備提供了更高的帶寬。網(wǎng)內(nèi)拓?fù)湓O(shè)計采用三級架構(gòu)，分為核心層、匯聚層和接入層。同時網(wǎng)絡(luò)的穩(wěn)定結(jié)構(gòu)同樣也需要網(wǎng)絡(luò)設(shè)備自身的穩(wěn)定性和自身的冗余的特性來保證，例如實現(xiàn)網(wǎng)絡(luò)設(shè)備電源的冗余、網(wǎng)絡(luò)控制板的冗余、無源背板、業(yè)務(wù)板件熱拔插等。對于鏈路級的保護能夠?qū)崿F(xiàn)對一些基本的鏈路進(jìn)行備份起到冗余的特性，以便保證在某個物理鏈路斷掉的時候還能保證用戶的數(shù)據(jù)的傳輸功能，同時能夠針對用戶的關(guān)鍵的鏈路放置一條專有的鏈路實現(xiàn)備份功能，保證關(guān)鍵業(yè)務(wù)的不間斷的連接。這里，就涉及到網(wǎng)絡(luò)產(chǎn)生流量后，網(wǎng)絡(luò)流向的問題，網(wǎng)絡(luò)流向直接造成網(wǎng)絡(luò)對于流量和流向所產(chǎn)生的網(wǎng)絡(luò)瓶頸。（3）、網(wǎng)絡(luò)的訪問終結(jié)于共享數(shù)據(jù)的特定位置，因為接入層用戶需要通過網(wǎng)絡(luò)最終訪問位于網(wǎng)絡(luò)另一端的共享服務(wù)器，而多個用戶同時訪問遠(yuǎn)端的同一臺服務(wù)器或者存在訪問網(wǎng)絡(luò)的其他節(jié)點的服務(wù)器，就需要這幾個用戶爭搶網(wǎng)絡(luò)帶寬，使接入層瓶頸提升到核心層，造成核心層資源的浪費。 接入層需求分析網(wǎng)絡(luò)的接入是對用戶直接進(jìn)行數(shù)據(jù)透傳的層次，但是由于網(wǎng)絡(luò)的特殊性，本次的接入層主要是對一個局域網(wǎng)進(jìn)行接入。設(shè)備必須支持對不同部門的規(guī)劃，如實現(xiàn)全網(wǎng)統(tǒng)一VLAN的規(guī)劃等。對網(wǎng)絡(luò)核心層的壓力非常巨大。能有效防止網(wǎng)絡(luò)的非法訪問，保護關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的安全性；1保護現(xiàn)有投資在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級，用作骨干網(wǎng)外聯(lián)的接入設(shè)備，網(wǎng)絡(luò)的投資應(yīng)隨著網(wǎng)絡(luò)的伸縮能夠持續(xù)發(fā)揮作用，保護現(xiàn)有網(wǎng)絡(luò)的投資，充分發(fā)揮網(wǎng)絡(luò)投資的最大效益。網(wǎng)絡(luò)要具有面向未來的良好的伸縮性能，既能滿足當(dāng)前的需求，又能支持未來業(yè)務(wù)網(wǎng)點、業(yè)務(wù)量、業(yè)務(wù)種類的擴展和與其它機構(gòu)或部門的連接等對網(wǎng)絡(luò)的擴充性要求。在網(wǎng)絡(luò)設(shè)計中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮到醫(yī)院網(wǎng)絡(luò)目前的現(xiàn)狀以及未來技術(shù)和業(yè)務(wù)發(fā)展趨勢。5）區(qū)域醫(yī)療的建設(shè)為了在區(qū)域范圍內(nèi)實現(xiàn)遠(yuǎn)程會診、網(wǎng)上學(xué)術(shù)研討等業(yè)務(wù)，迫切需要醫(yī)院之間的資源共享。2）安全的業(yè)務(wù)數(shù)據(jù)保證醫(yī)院正常對外服務(wù)在醫(yī)院的業(yè)務(wù)系統(tǒng)中保存著大量患者的健康信息和過程費用信息，這些數(shù)據(jù)無論對患者還是醫(yī)院都非常關(guān)鍵，需要嚴(yán)格保密，因此如何保護這些數(shù)據(jù)，對醫(yī)院有著重大的意義。4）PACS系統(tǒng)醫(yī)院的PACS系統(tǒng)主要是完成對患者的各種影像數(shù)據(jù)進(jìn)行采集、存儲、傳輸和處理，并在全院范圍內(nèi)進(jìn)行共享，由于是各種圖形圖像數(shù)據(jù)，因此具有存儲量大的特點，為了更好的服務(wù)于醫(yī)院業(yè)務(wù)，PACS業(yè)務(wù)對支撐系統(tǒng)提出以下要求：存儲量大、擴展性強、數(shù)據(jù)快速存儲、數(shù)據(jù)容災(zāi)、高帶寬5）管理經(jīng)濟系統(tǒng)醫(yī)院管理經(jīng)濟系統(tǒng)主要是人、財、物的管理，包括人事、財務(wù)管理、藥品藥庫管理等，因此它最大的需求是數(shù)據(jù)在服務(wù)器端和網(wǎng)絡(luò)上的安全，保證這些數(shù)據(jù)不會泄露。因此門診業(yè)務(wù)對網(wǎng)絡(luò)提出了高可靠性、高帶寬和QoS的要求。如果攻擊強度超出網(wǎng)絡(luò)能夠承受的范圍，可采取進(jìn)一步措施進(jìn)行防范。通過備份文件的復(fù)原，盡快恢復(fù)網(wǎng)絡(luò)的電子資源。 網(wǎng)絡(luò)安全需求為了應(yīng)對現(xiàn)在層出不窮的網(wǎng)絡(luò)安全問題，在設(shè)計整個網(wǎng)絡(luò)系統(tǒng)的過程中要充分考慮到利用防火墻、入侵檢測等設(shè)備以及和殺毒軟件的配合使用，解決醫(yī)院目前現(xiàn)有系統(tǒng)及新建系統(tǒng)的網(wǎng)絡(luò)安全問題。每個病區(qū)病床需預(yù)留外網(wǎng)接口考慮將來做電視點播（IPTV）作用。Internet網(wǎng)提供遠(yuǎn)程醫(yī)療、遠(yuǎn)程教育、局辦公自動化服務(wù)、醫(yī)療設(shè)備遠(yuǎn)程維護等。因此，須考慮將醫(yī)院所有的監(jiān)護儀器和大型設(shè)備都聯(lián)網(wǎng)。傳輸動態(tài)圖像的部門有：放射影像科、PET/CT、核磁共振MRI、介入放射科DSA、B