【正文】 包括告警名稱、告警級別、告警功能分類、告警發(fā)生時間、告警狀態(tài)、告警源等，也可以是以上各項(xiàng)的組合?！靖婢@示】l 自動將告警的時間（設(shè)備時間）轉(zhuǎn)換為eSight的本地時間，保持告警信息一致。l 在拓?fù)鋱D界面顯示選中網(wǎng)元的當(dāng)前告警，并支持通過網(wǎng)元節(jié)點(diǎn)跳轉(zhuǎn)到當(dāng)前告警。當(dāng)設(shè)備處于離線狀態(tài)時，設(shè)備圖標(biāo)將被渲染成灰色。【拓?fù)湟晥D】eSight通過拓?fù)渥詣影l(fā)現(xiàn)構(gòu)造拓?fù)浣Y(jié)構(gòu)，最終形成全網(wǎng)拓?fù)洌煌瑫r，eSight提供自定義拓?fù)涔δ?，方便用戶從不同維度重新構(gòu)造拓?fù)?，突出核心區(qū)域，簡化運(yùn)維。l 本地認(rèn)證：由eSight提供用戶管理、登錄鑒權(quán)、安全策略等功能，屬于默認(rèn)的鑒權(quán)管理方式。用戶管理：提供用戶創(chuàng)建、刪除、查看、修改等功能，缺省提供admin用戶作為超級用戶。5. 免管控用戶配置免管控用戶后系統(tǒng)對免管控用戶不審計、不控制。上網(wǎng)行為管理典型組網(wǎng)圖通過該設(shè)備主要實(shí)現(xiàn)如下目的：1. 管控上網(wǎng)權(quán)限杜絕上班時間出現(xiàn)聊天、玩游戲和在線視頻觀看等行為，提高工作效率。. 具體系統(tǒng)設(shè)計直路部署在互聯(lián)網(wǎng)出口。4． 可推廣性原則：方案及其采用的技術(shù)應(yīng)該支持系統(tǒng)規(guī)模的擴(kuò)大和網(wǎng)點(diǎn)數(shù)量的增加，易于廣泛推廣。5． 保障用戶正常業(yè)務(wù)流量、限制辦公無關(guān)應(yīng)用流量 6． 防止重要信息資產(chǎn)外泄 7． 絕瀏覽和發(fā)布不良信息 （反動、色情、暴力、博彩類）. 網(wǎng)絡(luò)設(shè)計原則根據(jù)醫(yī)療對網(wǎng)絡(luò)安全的需求以及華為公司對網(wǎng)絡(luò)安全的積累，我們提出上網(wǎng)行為管理設(shè)計必須滿足以下原則：1． 安全性原則：充分保證系統(tǒng)的安全性。 對內(nèi)外網(wǎng)之間的流量部署帶寬策略，控制流量帶寬和連接數(shù)，避免網(wǎng)絡(luò)擁塞，同時也可輔助進(jìn)行DDoS攻擊的防御。 在USG系列防火墻與出差職工、分支機(jī)構(gòu)間建立VPN隧道，使用VPN保護(hù)公司業(yè)務(wù)數(shù)據(jù)，使其在Internet上安全傳輸。例如針對圖1中的文件服務(wù)器開啟文件過濾和數(shù)據(jù)過濾，針對郵件服務(wù)器開啟郵件過濾，并且針對所有服務(wù)器開啟反病毒和入侵防御。 對設(shè)備可靠性要求較高，需要邊界設(shè)備支持持續(xù)大流量運(yùn)行，即使設(shè)備故障也不能影響網(wǎng)絡(luò)運(yùn)轉(zhuǎn)。 對外提供網(wǎng)絡(luò)服務(wù)，例如公司網(wǎng)站、郵件服務(wù)等。5． 安全最小授權(quán)原則：安全策略管理必須遵從最小授權(quán)原則，即不同安全區(qū)域內(nèi)的主機(jī)只能訪問屬于相應(yīng)網(wǎng)絡(luò)資源，對網(wǎng)絡(luò)資源必須完全等到控制保護(hù)，防止未授權(quán)訪問，保證內(nèi)網(wǎng)信息安全。2． 高可靠性：網(wǎng)絡(luò)是信息化的基礎(chǔ)，網(wǎng)絡(luò)的穩(wěn)定性至關(guān)重要；網(wǎng)絡(luò)安全設(shè)備由于部署在關(guān)鍵節(jié)點(diǎn)，成為網(wǎng)絡(luò)穩(wěn)定性的重要因素。. 網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理指的是企業(yè)對自身的網(wǎng)絡(luò)資源進(jìn)行有效的安全區(qū)域、等級劃分，使得在網(wǎng)絡(luò)安全運(yùn)行的基礎(chǔ)上，促進(jìn)企業(yè)自身的信息安全管理水平，更好的保證企業(yè)正常運(yùn)作。. 威脅管理越來越復(fù)雜的威脅、持續(xù)提高的規(guī)章要求以及持續(xù)發(fā)展的應(yīng)用程序，不斷給企業(yè)帶來新的網(wǎng)絡(luò)安全問題。隨著攻擊手段的變化多樣而且攻擊工具更容易獲取，以及基于僵尸網(wǎng)絡(luò)DDoS攻擊的出現(xiàn)，使得基于網(wǎng)絡(luò)層的攻擊層出不窮。如果STA白名單或者STA黑名單為空，則所有用戶都可以接入WLAN網(wǎng)絡(luò)。 STA黑白名單STA黑白名單實(shí)現(xiàn)對無線客戶端的接入控制，以保證合法客戶端能夠正常接入WLAN網(wǎng)絡(luò)，避免非法客戶端強(qiáng)行接入WLAN網(wǎng)絡(luò)： 白名單列表：允許接入WLAN網(wǎng)絡(luò)的STA的MAC地址列表。管理員可以為用戶分組，或者定義不同的角色，配置不同的資源，使得特定的用戶只能訪問授權(quán)的特定資源，禁止訪問未授權(quán)的網(wǎng)絡(luò)資源。AC可以識別出用戶接入內(nèi)部網(wǎng)絡(luò)的設(shè)備類型，以控制某些指定移動設(shè)備的接入，實(shí)現(xiàn)基于用戶、設(shè)備類型、接入時間、接入地點(diǎn)、設(shè)備環(huán)境的認(rèn)證和授權(quán)。同時醫(yī)院內(nèi)的醫(yī)生和護(hù)士或者不同科室之間的醫(yī)生也可能需要授予不同訪問權(quán)限。華為WLAN產(chǎn)品滿足WiFi聯(lián)盟的企業(yè)級認(rèn)證，滿足醫(yī)用場景IEC6060112要求，滿足SRRC認(rèn)證（國家無線電管理委員會認(rèn)證)，并通過工信部授權(quán)泰爾實(shí)驗(yàn)室認(rèn)證的《醫(yī)院無線網(wǎng)絡(luò)質(zhì)量及醫(yī)療設(shè)備的潛在干擾檢測方案》,并通過電信研究院頒發(fā)的醫(yī)療認(rèn)證。如果STA白名單或者STA黑名單為空，則所有用戶都可以接入WLAN網(wǎng)絡(luò)。使能白名單功能后，只有匹配白名單列表的用戶可以接入無線網(wǎng)絡(luò)，其他用戶都無法接入無線網(wǎng)絡(luò)。頻譜分析由于WLAN的工作頻段為ISM頻段，隨著藍(lán)牙、紅外、微波爐等無線應(yīng)用的增加，非WLAN設(shè)備對WLAN網(wǎng)絡(luò)的干擾問題日益突出。252。 檢測到Rogue設(shè)備后，可以使能防范、反制功能。 監(jiān)控AP搜集到無線設(shè)備后，維護(hù)一個無線設(shè)備信息列表，并把這些信息上報給AC，在AC上根據(jù)一定的規(guī)則進(jìn)行Rogue設(shè)備判斷。 推薦AP工作在混合模式，在接入業(yè)務(wù)的同時監(jiān)聽周邊設(shè)備，低成本部署。 AP有三種工作模式：接入模式混，監(jiān)聽模式和合模式。對于檢測到的進(jìn)行泛洪攻擊和暴力破解密鑰攻擊的設(shè)備，ACAP可以將其加入黑名單，在動態(tài)黑名單老化時間內(nèi)，拒絕接收其發(fā)送的報文。監(jiān)測AP以非法AP的身份發(fā)送廣播或單播解除認(rèn)證幀，這樣，接入非法AP的STA收到解除認(rèn)證幀后，就會斷開與非法AP的連接。 l 混合模式：AP可以監(jiān)測無線網(wǎng)絡(luò)中設(shè)備，也可以同時傳輸WLAN數(shù)據(jù)。l WIPS可以斷開合法用戶與仿冒AP的WLAN連接，也可以斷開非法用戶終端和Adhoc的接入，實(shí)現(xiàn)對非法設(shè)備的反制。 病患流量和醫(yī)院外網(wǎng)流量采用不同的SSID實(shí)現(xiàn)邏輯隔離，病患只能訪問Internet。SSID1關(guān)閉廣播報文，且配置白名單只允許醫(yī)院終端接入，訪問醫(yī)院核心業(yè)務(wù)，其他所有終端無法搜做到該SSID和接入網(wǎng)絡(luò)。STA干擾：如果AP周圍存在過多的非本AP管理的STA，可能會對本AP下的STA的業(yè)務(wù)造成干擾。例如，對于規(guī)模較大的WLAN網(wǎng)絡(luò)（例如高校），同一信道常常需要被不同AP使用。干擾檢測WLAN網(wǎng)絡(luò)的無線信道經(jīng)常會受到周圍環(huán)境影響而導(dǎo)致服務(wù)質(zhì)量變差。通過配置頻譜分析功能，及時、全面的檢測出WLAN網(wǎng)絡(luò)中的非WLAN干擾，提升用戶的體驗(yàn)。通過配置高密功能，AP可以根據(jù)相應(yīng)的算法對天線、功率和信號接收門限值進(jìn)行調(diào)整，減少AP間的同頻干擾，提高用戶的上網(wǎng)體驗(yàn)。通過配置強(qiáng)制弱信號或低速率用戶下線功能，AP檢測到STA的信號強(qiáng)度低于門限值，或接入速率低于門限值后，主動向STA發(fā)送解除關(guān)聯(lián)報文，讓STA可以重新連接或者漫游。通過5G優(yōu)先接入功能，AP可以控制STA優(yōu)先接入5G。 5G優(yōu)先接入5G優(yōu)先接入是指對于雙頻AP（），則AP控制STA優(yōu)先接入5G。用戶模式：AP1和AP2屬于同一個負(fù)載均衡組，AP1已接入4個STA，AP2已接入2個STA。負(fù)載均衡無線客戶端一般會根據(jù)AP信號強(qiáng)度（RSSI）選擇AP，這很容易導(dǎo)致大量的客戶端僅僅因?yàn)槟硞€AP信號較強(qiáng)而連接到同一個AP上。局部調(diào)優(yōu)可方便的應(yīng)用于擴(kuò)容新AP、單點(diǎn)AP故障或者微波爐等局部環(huán)境變化而引起的信道環(huán)境變化場景，如下圖所示。CAPWAP斷鏈業(yè)務(wù)保持該功能僅在WLAN使用的安全策略為開放系統(tǒng)認(rèn)證、共享密鑰認(rèn)證和WPA/WPA2–PSK時生效。一方面是設(shè)備的穩(wěn)定性,AC能夠?qū)崿F(xiàn)倒換后用戶無感知的Session級的備份以及常年工作在室外的AP在惡劣環(huán)境下的適應(yīng)能力等都是醫(yī)院WLAN網(wǎng)絡(luò)可靠性關(guān)注的重點(diǎn)。252。 視頻服務(wù)器通過IP網(wǎng)絡(luò)將廣播報文發(fā)送給AC，并打上優(yōu)先級：Erthnet 。 基于AP的帶寬管理出于管理的目的，有時需要對某個具體的AP進(jìn)行帶寬管理，如限制某個辦公室里的AP帶寬為30Mbps，可以通過配置Traffic profile 里的VAP Limit Rate實(shí)現(xiàn)帶寬管理。漫游中選擇連接哪個AP是無線客戶端的動作，這個切換的時機(jī)和快慢受無線客戶端的芯片或設(shè)置的影響，所以在漫游切換過程中會出現(xiàn)不同的終端切換性能有差異。業(yè)務(wù)VLAN應(yīng)根據(jù)實(shí)際業(yè)務(wù)需要與SSID匹配映射關(guān)系，映射關(guān)系有1:1:N、N:N:N四種。SSID和VLAN的映射通常，以太網(wǎng)中管理VLAN和業(yè)務(wù)VLAN是分離的。一般建議室外AP的覆蓋范圍為200m～300m。終端在距離AP ＝20dBm＋3dBi－＋0dBi＝。鏈路預(yù)算計算公式如下：終端接收信號強(qiáng)度＝AP發(fā)射功率＋AP發(fā)射天線增益－空間傳輸距離衰減－障礙物損耗＋終端接收天線增益。華為WLAN AP采用第三代WiFi芯片以及業(yè)界領(lǐng)先的智能多用戶調(diào)度算法，提供高性能多用戶接入能力。 . 容量規(guī)劃無線網(wǎng)絡(luò)覆蓋樓宇內(nèi)全部功能區(qū)域，包括病房區(qū)、門診區(qū)、辦公區(qū)、會議室、等候區(qū)等。由于數(shù)據(jù)通信是雙向的，終端的信號發(fā)射功率相對AP較弱，綜合考慮，一般建議室外AP的覆蓋范圍為200m～300m。其中：Pr[dB]為最小接收電平，即為AP在不同傳輸速率下的接收靈敏度；Pt[dB]為最大發(fā)射功率；Gt[dB]為發(fā)射天線增益；Gr[dB]為接收天線增益；Pl[dB]為路徑損耗（包括空間傳播損耗、饋線傳播損耗、墻體/玻璃阻擋損耗）。鏈路預(yù)算WLAN鏈路預(yù)算一般經(jīng)過邊緣場強(qiáng)確認(rèn)，空間損耗計算，覆蓋距離計算等步驟。信道覆蓋WLAN信道規(guī)劃需遵循兩個原則：蜂窩覆蓋、信道間隔。WLAN系統(tǒng)主要應(yīng)用兩個頻段：。其他輔料不需要其他輔料，AC、AP只需要網(wǎng)線即可中心AP、間走網(wǎng)線或者直接替換現(xiàn)有房間內(nèi)部信息面板。保證99%以上的信號覆蓋率，病房覆蓋效果好。且CSS2交換網(wǎng)集群支持1+N冗余備份，增加核心層設(shè)備的可靠性。 接入交換機(jī)推薦選擇華為S572028XPWRSI。針對住院部，由于房間分布較多，信號受干擾衰減嚴(yán)重，因此建議采用華為智分型AD9430DN24無線AP，設(shè)備自帶24個POE供電口，可直接為遠(yuǎn)端射頻單元進(jìn)行POE供電，通過一個中心AP帶至多48個射頻單元R240D，每射頻單元可以采用86面板或者壁掛等方式便捷的部署在各個病房內(nèi)部，兼容IEEE ，支持2*2 MIMO，信號覆蓋能力強(qiáng)，最高速率可達(dá)千兆，保證信號的覆蓋密度和覆蓋強(qiáng)度。 核心層推薦采用華為252。組網(wǎng)架構(gòu)設(shè)計WLAN無線網(wǎng)絡(luò)建設(shè)，直接在現(xiàn)有網(wǎng)絡(luò)上疊加，盡量減少對現(xiàn)有網(wǎng)絡(luò)的影響和改動。. 無線用戶漫游問題無線設(shè)備的最大特點(diǎn)就是接入點(diǎn)靈活方便，但同時對網(wǎng)絡(luò)性能提出更高的要求：醫(yī)護(hù)人員在不同無線網(wǎng)絡(luò)覆蓋區(qū)移動時能否快速接入醫(yī)院管理系統(tǒng)，在快速的移動過程中如何保證業(yè)務(wù)不中斷，不會造成信息丟失以及影響醫(yī)護(hù)人員的工作體驗(yàn)。w 無線AP供電：許多醫(yī)院在開始建樓時并沒有考慮到無線網(wǎng)絡(luò)的部署問題，也就沒有預(yù)留出電源供無線AP使用，如果重新改造電源線路，施工成本必然提升?，F(xiàn)代WLAN無線醫(yī)院的需求概括為如下幾點(diǎn)。輸液信息電子化，結(jié)合“病人腕帶”、具備掃描功能的無線PDA，實(shí)現(xiàn)病人從入院、治療到出院全過程的身份確定，并在取藥、配藥、輸液等各個環(huán)節(jié)利用電子條碼對病人、藥物嚴(yán)格進(jìn)行驗(yàn)證匹配，醫(yī)護(hù)人員一目了然，最大程度上保證病人服藥及治療的安全，降低醫(yī)療差錯發(fā)生率。一般醫(yī)療單位的醫(yī)療設(shè)備約占醫(yī)院固定資產(chǎn)的1/2，而經(jīng)濟(jì)效益約占門診和住院病人資金收入的2/3，也是醫(yī)院產(chǎn)生醫(yī)療信息的主要來源。無線網(wǎng)絡(luò)的應(yīng)用，可以使醫(yī)生通過隨身攜帶的平板電腦或PDA，隨時查看病人病歷、檢驗(yàn)、化驗(yàn)報告單、影像圖等，把HIS、PACS等信息系統(tǒng)“延伸到床邊”，醫(yī)生在病人床邊即可采集病情、開出醫(yī)囑，以及實(shí)現(xiàn)醫(yī)護(hù)人員之間的便捷溝通，信息同步； 給醫(yī)生工作帶來便利的同時，也保證了醫(yī)囑和病歷的準(zhǔn)確性、實(shí)時性，讓患者享受到更滿意的健康服務(wù)；l 無線護(hù)理患者從就診到得到治療通常需要經(jīng)過3個步驟：醫(yī)生檢查患者得出初步診斷后開具醫(yī)囑，護(hù)士將醫(yī)囑轉(zhuǎn)抄到輸液袋或治療卡上并準(zhǔn)備執(zhí)行，護(hù)士實(shí)施治療方案。在此過程中，隨著移動技術(shù)日新月異地改變?nèi)藗兊纳罘绞?，“無線醫(yī)療”也成為近兩年醫(yī)療行業(yè)最關(guān)注的信息化技術(shù)和手段。交換機(jī)配套X1E接口板，可以部署WLAN AC功能，集中管理大量的AP，對海量用戶提供WiFi接入服務(wù)。S12700內(nèi)置硬件隨板Tbit AC，可節(jié)省用戶額外購買AC硬件的費(fèi)用。 （2）S12700做為用戶網(wǎng)關(guān)，Portal用戶上線到后DHCP服務(wù)器給用戶分配IP地址，在通過認(rèn)證之前用戶只能訪問認(rèn)證前域的服務(wù)器，用戶的第一個HTTP報文進(jìn)行重定向到Portal服務(wù)器，實(shí)現(xiàn)WEB認(rèn)證，認(rèn)證通過后允許用戶訪問認(rèn)證后域。并且，通過CAPWAP通道完成控制設(shè)備和接入設(shè)備之間的用戶關(guān)聯(lián)、消息通信、用戶授權(quán)策略下發(fā)、用戶同步等處理。在傳統(tǒng)網(wǎng)絡(luò)中，當(dāng)用戶的物理位置發(fā)生變化時，為保證用戶的網(wǎng)絡(luò)訪問體驗(yàn)一致，管理員需要在用戶的每個接入設(shè)備上為其部署相同的網(wǎng)絡(luò)訪問策略，這在用戶物理位置變更頻繁時會給管理員帶來巨大的工作量。 融合管理：借鑒業(yè)界AC管理AP的成功經(jīng)驗(yàn)，讓敏捷交換機(jī)把接入層交換機(jī)也管理起來，有線無線采用一種協(xié)議，通過CAPWAP隧道實(shí)現(xiàn)一致的管理機(jī)制，實(shí)現(xiàn)接入交換機(jī)即插即用，降低信息中心老師日常工作中的管理復(fù)雜度。. 有線無線融合規(guī)劃傳統(tǒng)網(wǎng)絡(luò)中常見的無線部署方式有獨(dú)立AC或插卡式AC，不管采用哪種，所有無線流量都要通過AC集中轉(zhuǎn)發(fā)，有線和無線網(wǎng)絡(luò)在轉(zhuǎn)發(fā)和控制層面上是分離的。除了web訪問、TCP/UDP應(yīng)用之外，SSL VPN還能夠?qū)P通信進(jìn)行保護(hù)。通過對稱密碼算法確保了數(shù)據(jù)傳輸?shù)臋C(jī)密性，通過HMAC算法確保數(shù)據(jù)傳輸過程的完整性。SSL協(xié)議分為兩層，上層是握手協(xié)議，底層是記錄協(xié)議。 SSL VPNSSL VPN是以SSL/TLS協(xié)議為基礎(chǔ)，利用標(biāo)準(zhǔn)瀏覽器都內(nèi)置支持SSL/TLS的優(yōu)勢，對其應(yīng)用功能進(jìn)行擴(kuò)展的新型VPN。傳輸模式常用于兩個終端節(jié)點(diǎn)間的連接，如客戶機(jī)和服務(wù)器之間。其最大優(yōu)點(diǎn)在于終端系統(tǒng)不必為了適應(yīng)IP安全而作任何改動。IPSec協(xié)議有兩種工作模式：隧道模式和傳輸模式。其易用性，安全性在全球的各個行業(yè)環(huán)境中都得到了使用。l 出差職工與服務(wù)器區(qū)的訪問控制，實(shí)現(xiàn)出差職工與內(nèi)網(wǎng)的安全隔離。平滑擴(kuò)容，很好的保護(hù)了投資。其次，組網(wǎng)變得簡潔不需要配置復(fù)雜的協(xié)議，如：STP/SmartLink/VRRP等。核心采用兩臺框式交換機(jī)集群。l 鏈路利用率低如果同一機(jī)架內(nèi)的服務(wù)器屬于同一VLAN，則有一個上行鏈路的帶寬無法利用。. 可靠性設(shè)計規(guī)劃對于雙設(shè)備、鏈路冗余的網(wǎng)絡(luò)，如果接入層進(jìn)三層，在接入層和核心層之間采用三層路由的方式，通