【正文】 AP進(jìn)行帶寬管理，如限制某個辦公室里的AP帶寬為30Mbps，可以通過配置Traffic profile 里的VAP Limit Rate實現(xiàn)帶寬管理?；跇I(yè)務(wù)的帶寬管理華為Native AC 可以做到5級Qos調(diào)度，滿足業(yè)務(wù)服務(wù)質(zhì)量要求，保證高優(yōu)先級業(yè)務(wù)的帶寬。 視頻服務(wù)器通過IP網(wǎng)絡(luò)將廣播報文發(fā)送給AC，并打上優(yōu)先級：Erthnet 。 AC通過CAPWAP隧道將報文發(fā)送給AP。252。不同的業(yè)務(wù)進(jìn)入不同的空口隊列，并且獲取到不同的空口EDCA參數(shù)，從而對不同優(yōu)先級的業(yè)務(wù)實現(xiàn)差異性調(diào)度，保障QOS性能。一方面是設(shè)備的穩(wěn)定性,AC能夠?qū)崿F(xiàn)倒換后用戶無感知的Session級的備份以及常年工作在室外的AP在惡劣環(huán)境下的適應(yīng)能力等都是醫(yī)院WLAN網(wǎng)絡(luò)可靠性關(guān)注的重點。CAPWAP斷鏈業(yè)務(wù)保持在CAPWAP鏈路中斷后，AP能夠繼續(xù)允許新用戶上線，繼續(xù)訪問CAPWAP未中斷前的所有網(wǎng)絡(luò)資源。CAPWAP斷鏈業(yè)務(wù)保持該功能僅在WLAN使用的安全策略為開放系統(tǒng)認(rèn)證、共享密鑰認(rèn)證和WPA/WPA2–PSK時生效。自動調(diào)優(yōu)當(dāng)AP射頻環(huán)境出現(xiàn)惡化，某個AP故障或新增擴(kuò)容AP時，需要啟動射頻自動調(diào)優(yōu)，以增強(qiáng)系統(tǒng)的可靠性和穩(wěn)定性。局部調(diào)優(yōu)可方便的應(yīng)用于擴(kuò)容新AP、單點AP故障或者微波爐等局部環(huán)境變化而引起的信道環(huán)境變化場景，如下圖所示。局部調(diào)優(yōu)當(dāng)AP3掉電或故障時，其鄰近AP1和AP4自動感知，并調(diào)整發(fā)射功率，從而達(dá)到補(bǔ)盲的效果。負(fù)載均衡無線客戶端一般會根據(jù)AP信號強(qiáng)度（RSSI）選擇AP，這很容易導(dǎo)致大量的客戶端僅僅因為某個AP信號較強(qiáng)而連接到同一個AP上。負(fù)載均衡特性可以按照用戶數(shù)量和用戶流量，將用戶分配到同一組但負(fù)載不同的AP上，從而實現(xiàn)不同AP之間的負(fù)載分擔(dān)，避免出現(xiàn)某個AP負(fù)載過高而使其性能不穩(wěn)的情況。用戶模式：AP1和AP2屬于同一個負(fù)載均衡組，AP1已接入4個STA，AP2已接入2個STA。 流量模式：AP1和AP2屬于同一個負(fù)載均衡組，AP1已接入4個STA，AP2已接入2個STA。 5G優(yōu)先接入5G優(yōu)先接入是指對于雙頻AP（），則AP控制STA優(yōu)先接入5G。如果用戶想要接入5G，需要手工選擇。通過5G優(yōu)先接入功能，AP可以控制STA優(yōu)先接入5G。通過配置限制弱信號或低速率用戶接入功能，可以禁止低于指定信號強(qiáng)度或接入速率的STA接入WLAN網(wǎng)絡(luò)，減少弱信號或低速率用戶對其他STA的影響，從而提升整個WLAN網(wǎng)絡(luò)的應(yīng)用效果。通過配置強(qiáng)制弱信號或低速率用戶下線功能，AP檢測到STA的信號強(qiáng)度低于門限值，或接入速率低于門限值后，主動向STA發(fā)送解除關(guān)聯(lián)報文，讓STA可以重新連接或者漫游。高密功能對于會議廳、報告廳、發(fā)布會現(xiàn)場等人員密集和數(shù)據(jù)流量需求高的場景，密集布放AP是提升用戶體驗的一種重要手段。通過配置高密功能，AP可以根據(jù)相應(yīng)的算法對天線、功率和信號接收門限值進(jìn)行調(diào)整，減少AP間的同頻干擾，提高用戶的上網(wǎng)體驗。頻譜分析由于WLAN的工作頻段為ISM頻段，隨著藍(lán)牙、紅外、微波爐等無線應(yīng)用的增加，非WLAN設(shè)備對WLAN網(wǎng)絡(luò)的干擾問題日益突出。通過配置頻譜分析功能，及時、全面的檢測出WLAN網(wǎng)絡(luò)中的非WLAN干擾，提升用戶的體驗。而逐包功率調(diào)整功能可以使AP實時檢測STA的信號強(qiáng)度，如果STA信號強(qiáng)度強(qiáng)（距離AP較近），則發(fā)送數(shù)據(jù)包時自動降低實際發(fā)送的功率；如果STA信號強(qiáng)度弱（距離AP較遠(yuǎn)），則恢復(fù)正常功率發(fā)送無線信號。干擾檢測WLAN網(wǎng)絡(luò)的無線信道經(jīng)常會受到周圍環(huán)境影響而導(dǎo)致服務(wù)質(zhì)量變差。干擾檢測可以檢測的干擾類型包括：AP同頻干擾、AP鄰頻干擾和STA干擾。例如，對于規(guī)模較大的WLAN網(wǎng)絡(luò)（例如高校），同一信道常常需要被不同AP使用。AP鄰頻干擾：兩個中心頻率不同的AP的發(fā)射頻寬有重疊的部分，形成了鄰頻干擾。STA干擾：如果AP周圍存在過多的非本AP管理的STA，可能會對本AP下的STA的業(yè)務(wù)造成干擾。華為WLAN安全解決方案從無線空口安全，數(shù)據(jù)業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)安全，終端用戶精細(xì)化控制安全三個維度確保無線醫(yī)院的網(wǎng)絡(luò)安全問題。SSID1關(guān)閉廣播報文，且配置白名單只允許醫(yī)院終端接入，訪問醫(yī)院核心業(yè)務(wù)，其他所有終端無法搜做到該SSID和接入網(wǎng)絡(luò)。另外通過DHCP snooping綁定MAC地址，防止MAC欺騙。 病患流量和醫(yī)院外網(wǎng)流量采用不同的SSID實現(xiàn)邏輯隔離，病患只能訪問Internet。 無線空口安全WIDS/WIPSWLAN網(wǎng)絡(luò)很容易受到各種網(wǎng)絡(luò)威脅的影響，如未經(jīng)授權(quán)的AP、用戶、Adhoc網(wǎng)絡(luò)等，設(shè)備支持以下兩種技術(shù)，分別用于檢測和反制非法設(shè)備。l WIPS可以斷開合法用戶與仿冒AP的WLAN連接，也可以斷開非法用戶終端和Adhoc的接入，實現(xiàn)對非法設(shè)備的反制。 l 監(jiān)測模式：AP需要掃描無線網(wǎng)絡(luò)中的設(shè)備。 l 混合模式：AP可以監(jiān)測無線網(wǎng)絡(luò)中設(shè)備，也可以同時傳輸WLAN數(shù)據(jù)。監(jiān)測AP掃描信道監(jiān)測周邊的無線設(shè)備信息，將收集到的設(shè)備信息定期上報AC。監(jiān)測AP以非法AP的身份發(fā)送廣播或單播解除認(rèn)證幀，這樣，接入非法AP的STA收到解除認(rèn)證幀后，就會斷開與非法AP的連接。 l AC判斷設(shè)備為非法用戶終端（非本ACAP管理）和Adhoc時，監(jiān)測AP使用非法設(shè)備的BSSID或MAC地址，發(fā)送單播解除認(rèn)證幀，斷開非法設(shè)備的連接。對于檢測到的進(jìn)行泛洪攻擊和暴力破解密鑰攻擊的設(shè)備，ACAP可以將其加入黑名單，在動態(tài)黑名單老化時間內(nèi)，拒絕接收其發(fā)送的報文。華為WLAN支持對網(wǎng)絡(luò)中的Rogue 設(shè)備（包括AP，Client，Adhoc）的進(jìn)行檢測、識別以及反制功能。 AP有三種工作模式：接入模式混，監(jiān)聽模式和合模式。 接入模式只提供覆蓋功能，不提供非法設(shè)備監(jiān)聽功能；監(jiān)聽模式只監(jiān)聽，不能接入業(yè)務(wù)；而混合模式可以在接入業(yè)務(wù)的同時進(jìn)行監(jiān)聽。 推薦AP工作在混合模式，在接入業(yè)務(wù)的同時監(jiān)聽周邊設(shè)備，低成本部署。 AP通過監(jiān)聽Beacon，Associaton Request，Association Response協(xié)議報文和數(shù)據(jù)報文報文來識別Rogue設(shè)備是哪種設(shè)備（AP/Ad hoc/Client）。 監(jiān)控AP搜集到無線設(shè)備后，維護(hù)一個無線設(shè)備信息列表，并把這些信息上報給AC，在AC上根據(jù)一定的規(guī)則進(jìn)行Rogue設(shè)備判斷。 當(dāng)AP設(shè)備工作在混合模式或者監(jiān)聽模式時可以實現(xiàn)對整個網(wǎng)絡(luò)的監(jiān)控，監(jiān)控設(shè)備包括AP、Client、Ad hoc終端、無線網(wǎng)橋等。 檢測到Rogue設(shè)備后，可以使能防范、反制功能。252。252。252。頻譜分析由于WLAN的工作頻段為ISM頻段，隨著藍(lán)牙、紅外、微波爐等無線應(yīng)用的增加，非WLAN設(shè)備對WLAN網(wǎng)絡(luò)的干擾問題日益突出。通過配置頻譜分析功能，及時、全面的檢測出WLAN網(wǎng)絡(luò)中的非WLAN干擾，提升用戶的體驗。使能白名單功能后，只有匹配白名單列表的用戶可以接入無線網(wǎng)絡(luò)，其他用戶都無法接入無線網(wǎng)絡(luò)。使能黑名單功能后，匹配黑名單列表的用戶無法接入無線網(wǎng)絡(luò)，其他用戶都可以接入無線網(wǎng)絡(luò)。如果STA白名單或者STA黑名單為空，則所有用戶都可以接入WLAN網(wǎng)絡(luò)。如果AP和VAP都配置了黑白名單功能，則用戶上線時，根據(jù)AP和VAP配置的黑白名單，如果用戶不滿足任意一個接入條件，則該用戶不能上線。華為WLAN產(chǎn)品滿足WiFi聯(lián)盟的企業(yè)級認(rèn)證，滿足醫(yī)用場景IEC6060112要求，滿足SRRC認(rèn)證（國家無線電管理委員會認(rèn)證)，并通過工信部授權(quán)泰爾實驗室認(rèn)證的《醫(yī)院無線網(wǎng)絡(luò)質(zhì)量及醫(yī)療設(shè)備的潛在干擾檢測方案》,并通過電信研究院頒發(fā)的醫(yī)療認(rèn)證。終端用戶精細(xì)化管控安全在醫(yī)院中根據(jù)需要，往往劃分了不同的SSID供不用的用戶群使用，如外部用戶SSIDGuest，內(nèi)部用戶SSIDxx hospital。同時醫(yī)院內(nèi)的醫(yī)生和護(hù)士或者不同科室之間的醫(yī)生也可能需要授予不同訪問權(quán)限。216。AC可以識別出用戶接入內(nèi)部網(wǎng)絡(luò)的設(shè)備類型，以控制某些指定移動設(shè)備的接入，實現(xiàn)基于用戶、設(shè)備類型、接入時間、接入地點、設(shè)備環(huán)境的認(rèn)證和授權(quán)。216。管理員可以為用戶分組，或者定義不同的角色，配置不同的資源，使得特定的用戶只能訪問授權(quán)的特定資源，禁止訪問未授權(quán)的網(wǎng)絡(luò)資源。、Portal認(rèn)證和MAC認(rèn)證的優(yōu)劣勢比較如下表所示。 STA黑白名單STA黑白名單實現(xiàn)對無線客戶端的接入控制，以保證合法客戶端能夠正常接入WLAN網(wǎng)絡(luò)，避免非法客戶端強(qiáng)行接入WLAN網(wǎng)絡(luò)： 白名單列表：允許接入WLAN網(wǎng)絡(luò)的STA的MAC地址列表。 黑名單列表：拒絕接入WLAN網(wǎng)絡(luò)的STA的MAC地址列表。如果STA白名單或者STA黑名單為空，則所有用戶都可以接入WLAN網(wǎng)絡(luò)。如果AP和VAP都配置了黑白名單功能，則用戶上線時，根據(jù)AP和VAP配置的黑白名單，如果用戶不滿足任意一個接入條件，則該用戶不能上線。隨著攻擊手段的變化多樣而且攻擊工具更容易獲取，以及基于僵尸網(wǎng)絡(luò)DDoS攻擊的出現(xiàn)，使得基于網(wǎng)絡(luò)層的攻擊層出不窮。網(wǎng)絡(luò)層攻擊的目標(biāo)主要有三個：帶寬攻擊、主機(jī)或者網(wǎng)絡(luò)設(shè)備攻擊以及入侵前的主機(jī)掃描。. 威脅管理越來越復(fù)雜的威脅、持續(xù)提高的規(guī)章要求以及持續(xù)發(fā)展的應(yīng)用程序，不斷給企業(yè)帶來新的網(wǎng)絡(luò)安全問題。給IT管理者也帶來巨大的挑戰(zhàn)。. 網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理指的是企業(yè)對自身的網(wǎng)絡(luò)資源進(jìn)行有效的安全區(qū)域、等級劃分，使得在網(wǎng)絡(luò)安全運(yùn)行的基礎(chǔ)上，促進(jìn)企業(yè)自身的信息安全管理水平，更好的保證企業(yè)正常運(yùn)作。將一個企業(yè)進(jìn)行清晰的安全區(qū)域劃分，大大簡化了企業(yè)的網(wǎng)絡(luò)資源控制與管理，在此基礎(chǔ)上，實施適合企業(yè)管理要求的安全策略管理，提高企業(yè)信息安全管理水平。2． 高可靠性：網(wǎng)絡(luò)是信息化的基礎(chǔ)，網(wǎng)絡(luò)的穩(wěn)定性至關(guān)重要；網(wǎng)絡(luò)安全設(shè)備由于部署在關(guān)鍵節(jié)點，成為網(wǎng)絡(luò)穩(wěn)定性的重要因素。3． 可擴(kuò)展性：隨著單位規(guī)模的發(fā)展和壯大，其網(wǎng)絡(luò)也會不斷的擴(kuò)充變化，要求在保證網(wǎng)絡(luò)安全的基礎(chǔ)上整個網(wǎng)絡(luò)具有靈活的可擴(kuò)展性，特別是對安全區(qū)域的新增以及原有安全區(qū)域擴(kuò)充等要求具有良好的支持。5． 安全最小授權(quán)原則：安全策略管理必須遵從最小授權(quán)原則，即不同安全區(qū)域內(nèi)的主機(jī)只能訪問屬于相應(yīng)網(wǎng)絡(luò)資源，對網(wǎng)絡(luò)資源必須完全等到控制保護(hù)，防止未授權(quán)訪問，保證內(nèi)網(wǎng)信息安全。 辦公人員眾多，業(yè)務(wù)復(fù)雜，流量構(gòu)成豐富多樣。 對外提供網(wǎng)絡(luò)服務(wù)，例如公司網(wǎng)站、郵件服務(wù)等。 容易成為DDoS攻擊的目標(biāo)，而且一旦攻擊成功，業(yè)務(wù)損失巨大。 對設(shè)備可靠性要求較高，需要邊界設(shè)備支持持續(xù)大流量運(yùn)行，即使設(shè)備故障也不能影響網(wǎng)絡(luò)運(yùn)轉(zhuǎn)。 將企業(yè)職工網(wǎng)絡(luò)、公司服務(wù)器網(wǎng)絡(luò)、外部網(wǎng)絡(luò)劃分到不同安全區(qū)域，對安全區(qū)域間的流量進(jìn)行檢測和保護(hù)216。例如針對圖1中的文件服務(wù)器開啟文件過濾和數(shù)據(jù)過濾，針對郵件服務(wù)器開啟郵件過濾，并且針對所有服務(wù)器開啟反病毒和入侵防御。 針對內(nèi)網(wǎng)職工訪問外部網(wǎng)絡(luò)的行為，開啟URL過濾、文件過濾、數(shù)據(jù)過濾、反病毒、應(yīng)用行為控制等功能，既保護(hù)內(nèi)網(wǎng)主機(jī)不受外網(wǎng)威脅，又可以防止企業(yè)機(jī)密信息的泄露，提高醫(yī)療網(wǎng)絡(luò)的安全性。 在USG系列防火墻與出差職工、分支機(jī)構(gòu)間建立VPN隧道，使用VPN保護(hù)公司業(yè)務(wù)數(shù)據(jù)，使其在Internet上安全傳輸。 開啟DDoS防御功能，抵抗外網(wǎng)主機(jī)對內(nèi)網(wǎng)服務(wù)器進(jìn)行的大流量攻擊，保證企業(yè)業(yè)務(wù)的正常開展。 對內(nèi)外網(wǎng)之間的流量部署帶寬策略，控制流量帶寬和連接數(shù)，避免網(wǎng)絡(luò)擁塞，同時也可輔助進(jìn)行DDoS攻擊的防御。3． 單位機(jī)密信息通過網(wǎng)絡(luò)隨意外傳，遭受損失。5． 保障用戶正常業(yè)務(wù)流量、限制辦公無關(guān)應(yīng)用流量 6． 防止重要信息資產(chǎn)外泄 7． 絕瀏覽和發(fā)布不良信息 （反動、色情、暴力、博彩類）. 網(wǎng)絡(luò)設(shè)計原則根據(jù)醫(yī)療對網(wǎng)絡(luò)安全的需求以及華為公司對網(wǎng)絡(luò)安全的積累，我們提出上網(wǎng)行為管理設(shè)計必須滿足以下原則：1． 安全性原則：充分保證系統(tǒng)的安全性。2． 可靠性原則：保證產(chǎn)品質(zhì)量和可靠性，對項目實施過程實現(xiàn)嚴(yán)格的技術(shù)管理和設(shè)備的冗余配置，保證系統(tǒng)的可靠性。4． 可推廣性原則：方案及其采用的技術(shù)應(yīng)該支持系統(tǒng)規(guī)模的擴(kuò)大和網(wǎng)點數(shù)量的增加，易于廣泛推廣。6． 兼容性原則：要求系統(tǒng)的標(biāo)準(zhǔn)化程度高，可以做到不同應(yīng)用系統(tǒng)間的完全兼容；同時，也可以根據(jù)特殊的要求給出不兼容的設(shè)計。. 具體系統(tǒng)設(shè)計直路部署在互聯(lián)網(wǎng)出口。同時針對開放性無線網(wǎng)絡(luò)進(jìn)行上網(wǎng)審計。上網(wǎng)行為管理典型組網(wǎng)圖通過該設(shè)備主要實現(xiàn)如下目的：1. 管控上網(wǎng)權(quán)限杜絕上班時間出現(xiàn)聊天、玩游戲和在線視頻觀看等行為，提高工作效率。3. 管理出口帶寬充分利用出口帶寬，封堵網(wǎng)絡(luò)游戲、在線網(wǎng)頁視頻和P2P視頻等帶寬濫用的應(yīng)用，保證重要應(yīng)用和對外服務(wù)器的帶寬。5. 免管控用戶配置免管控用戶后系統(tǒng)對免管控用戶不審計、不控制。7. 定位異常終端檢測ARP和IP欺騙、Flood攻擊、端口和地址掃描等異常行為，并自動防御。用戶管理：提供用戶創(chuàng)建、刪除、查看、修改等功能，缺省提供admin用戶作為超級用戶。角色管理：提供角色創(chuàng)建、修改、刪除及查看等功能。l 本地認(rèn)證：由eSight提供用戶管理、登錄鑒權(quán)、安全策略等功能，屬于默認(rèn)的鑒權(quán)管理方式。l LDAP認(rèn)證：由LDAP服務(wù)器對登錄請求進(jìn)行認(rèn)證；并根據(jù)LDAP服務(wù)器上用戶所屬用戶組，映射到eSight中所屬角色來為用戶授權(quán)?！就?fù)湟晥D】eSight通過拓?fù)渥詣影l(fā)現(xiàn)構(gòu)造拓?fù)浣Y(jié)構(gòu)，最終形成全網(wǎng)拓?fù)?；同時，eSight提供自定義拓?fù)涔δ?，方便用戶從不同維度重新構(gòu)造拓?fù)?，突出核心區(qū)域，簡化運(yùn)維。當(dāng)設(shè)備上存在故障時，設(shè)備圖標(biāo)將被渲染成告警級別對應(yīng)的顏色。當(dāng)設(shè)備處于離線狀態(tài)時，設(shè)備圖標(biāo)將被渲染成灰色。通過為鏈路進(jìn)行顏色、粗細(xì)的渲染體現(xiàn)鏈路限制帶寬、帶寬的利用率等。l 在拓?fù)鋱D界面顯示選中網(wǎng)元的當(dāng)前告警，并支持通過網(wǎng)元節(jié)點跳轉(zhuǎn)到當(dāng)前告警。l 告警重定義：對告警級別重新設(shè)置，突出用戶關(guān)心的告警?！靖婢@示】l 自動將告警的時間（設(shè)備時間）轉(zhuǎn)換為eSight的本地時間，保持告警信息一致。l 多種告警通知手段：通過面板、聲音、SMS、EMAIL等多種告警通知手段，可實時將告警信息通知給運(yùn)維人員。包括告警名稱、告警級別、告警功能分類、告警發(fā)生時間、告警狀態(tài)、告警源等，也可以是以上各項的組合