網絡股份有限公司無線運營及運維解決策劃方案

XXXXX無線、運營及運維解決方案銳捷網絡股份有限公司2016/04/25版權所有侵權必究目錄1221項目背景 1117692建設要求 2305813方案設計 333353.1基礎方案設計原則 3323713.2醫(yī)院無線、運營和運維整體規(guī)劃 4151593.3場景化無線部署設計 470453.3.1病區(qū)無線覆蓋 565833.3.2行政辦公、門診輸液區(qū)無線覆蓋【可選】 9227823.3.3室外區(qū)域無線覆蓋【可選】 10266303.4無線安全準入平臺設計【可選】 1194813.4.1無線網絡的安全威脅 11321603.4.2無線網絡安全的實現 1269553.4.3WEB無感知認證 1625673.4.4微信認證 19283303.5運維治理平臺設計【可選】 23220323.5.1基于業(yè)界主流標準的融合治理信息模型 2595033.5.2系統架構 2663033.5.3系統功能 2727624方案特點和優(yōu)勢 35169484.1面向移動醫(yī)護業(yè)務的用戶場景的產品特性 35221164.1.1標準化配件簡化無線網絡設計 35322514.2整體方案特點 36246934.2.1一個病區(qū)內零漫游、無中斷 36236094.2.2走廊和房間內部均為滿格信號 36129314.2.31套零漫游即可完成48個房間的無線覆蓋 37310574.2.4智分單元，在醫(yī)療行業(yè)又一次創(chuàng)新 3752684.2.5智分單元提供高速802.11ac網絡 38198904.2.6內網實名制安全準入 38132694.2.7外網微信認證 38303135配置建議 39項目背景無線局域網技術是新世紀無線通信領域最有進展前景的技術之一，隨著下一代寬帶無線接入方式的寬帶化、移動化、IP化理念的提出，WLAN憑借其接入速率高、架構使用便捷、系統費用低廉及可擴展性較好等優(yōu)點，應用日趨廣泛，成為近些年來各行各業(yè)信息化建設的重點之一。在醫(yī)院信息化建設的進程中醫(yī)院治理信息系統（HMIS）、臨床信息系統（CIS）、區(qū)域醫(yī)療信息系統（GMIS）等已日趨成熟。移動醫(yī)護、無線查房、無線體征監(jiān)護則成為醫(yī)院提高醫(yī)護人職員作效率、降低醫(yī)療事故發(fā)生率、提升病患中意度的新方向，而無線病房是實現移動醫(yī)療的基礎。衛(wèi)生部在三甲醫(yī)院評審標準中，大力推進電子病歷等新技術，明確指出“醫(yī)護人員書寫護理文書時刻原則上每日不超過半小時”，如此嚴苛的要求，只有推行無線醫(yī)護等新技術，才能提高醫(yī)護效率，達標三甲標準。早在2010年，衛(wèi)生部在全國范圍推廣“優(yōu)質護理服務示范工程”，目前各個三甲醫(yī)院差不多上由院領導作為組長，牽頭此工作。而無線醫(yī)護業(yè)務慢慢成為院方“落實基礎護理”、“豐富服務內涵”、“持續(xù)質量改進”的重要工作手段之一。隨著WIFI無線、移動互聯網應用的快速普及和進展，移動互聯網正在改變和顛覆著人們的生活、工作和學習方式，人們迫切希望隨時隨地盡可能方便、快速的使用無線網絡網。同時為緩解醫(yī)患關系、提升病人和家屬對醫(yī)院服務的中意度，為此在醫(yī)院部署無線網絡也顯得尤為必要和重要！建設要求利用先進的無線網絡技術進一步擴展我院病房、門診、行政辦公等區(qū)域的無線信號覆蓋范圍，使醫(yī)護人員能夠隨時隨地、方便高效地使用內網無線開展移動醫(yī)護業(yè)務；也使患者及其家屬能夠通過外網無線隨時隨地高效的訪問互聯網，提升用戶體驗；構建一個真正可用的、低延時的、無中斷的無線內網，滿足移動醫(yī)護對無線網絡的需求；促進移動醫(yī)護業(yè)務全面開展，提高工作效率，推動我院的信息化建設。通過無線外網提供統一門戶，關注我院微信公眾賬號，提供精準信息推送。提供基于醫(yī)院信息化的統一運維治理平臺，實時監(jiān)控基礎網絡、服務器、業(yè)務系統等核心的運行情況、監(jiān)控狀況等，同時也能夠為我院信息化的建設提供決策依據。方案設計基礎方案設計原則我院無線網絡的建設目標是實現內外網無線覆蓋。針對醫(yī)院住院部兒童治療中心的無線網絡全面覆蓋，要求提供一個無漫游、無終端的無線網絡為移動醫(yī)護業(yè)務開展構建一個真正可用的無線內網；針對行政辦公、門診輸液的無線覆蓋，要求提供一個穩(wěn)定、高帶寬的無線網絡?？傮w要求：一、高信號質量：保證用戶環(huán)境下房間內和走廊各個角落的無線信號強度>-65dBm（依照醫(yī)護終端情況而定），注重滿足應用及終端使用需求；二、高可用性：由于移動醫(yī)護業(yè)務中的移動終端對漫游靈敏度低，且護士需要經常移動，為保證業(yè)務的正常，要求一個病區(qū)內的無線網絡不存在漫游現象三、高數據傳輸性能：支持最新的802.11ac標準，在病區(qū)開展移動醫(yī)護業(yè)務，大夫在查看PACS影像資料時使用無線接入，提供高數據傳輸速率；四、低干擾：確保同一房間內同頻干擾信號強度<-70dBm，提高整網吞吐性能，構建真正可用的無線網絡；五、多WLAN并存：合理的信道規(guī)劃部署，實現多WLAN網絡在同一用戶場景的共存。；（適用于外網共建的項目）醫(yī)院無線、運營和運維整體規(guī)劃整個醫(yī)院無線網絡采納成熟可靠的無線操縱器+瘦AP組網方式，全院無線AP通過無線操縱器集中治理操縱，實現AP的零配置治理。內外網無線操縱器采納獨立設備部署，通過萬兆接口旁掛現網核心路由交換機上，單臺操縱器最大可治理320個無線AP。無線AP的供電全部采納POE供電，通過樓宇內的千兆POE交換機實現AP的供電和數據傳輸。無線的覆蓋和AP的型號選擇依照醫(yī)院不同的場景、用戶需求、接入密度等采納不同類型AP進行覆蓋。如病區(qū)采納銳捷醫(yī)療零漫游方案，行政辦公及門診采納室內放裝，具體規(guī)劃和設計如下。場景化無線部署設計XXXXX無線網絡建設項目中用戶場景多種多樣，如密集多房間的病區(qū)、開闊環(huán)境的門診輸液大廳、室外公共環(huán)境等。而本次要緊是針對開展移動醫(yī)護業(yè)務的兒童治療中心病區(qū)，其屬于多房間隔斷、有屏蔽門、走道側無窗設計等復雜的無線部署環(huán)境，這對無線網絡建設提出了更高的要求。病區(qū)無線覆蓋傳統病區(qū)的建筑結構如下圖所示，首先其具有房間密集、無線穿墻衰減大等不可幸免的問題。其次移動業(yè)務在該區(qū)域對無線有較為專門需求，如信號覆蓋、強度、漫游等，具體分析如下：信號覆蓋需求：大夫和護士需要到每個病房，病床前，完成自己的工作。這一特性要求信號在病房內、病床前也要有足夠的強度。之因此放裝部署方式不適用于移動醫(yī)護業(yè)務，確實是因為假如AP部署在樓道，信號需要穿墻進入房間。信號通過房間會有衰減，特不是洗漱間在門口的房間，通過兩堵墻的衰減和鏡子，信號會變得特不弱。關于業(yè)務來講，信號的強弱將會直接阻礙到業(yè)務的開展，信號太弱終端甚至會掉線。從上面的表中，能夠看到墻體對信號的阻擋是專門大的，放裝AP的發(fā)射功率是20dbm國家規(guī)定，室內放裝AP的發(fā)射功率不能100mw，室外大功率AP的發(fā)射功率不能超過500mw。（100mw），在靠近AP正下方的信號一般在-40dbm，假如通過兩堵45cm混凝土墻（每堵墻衰減18bB），信號將在-75dbm信號值在-國家規(guī)定，室內放裝AP的發(fā)射功率不能100mw，室外大功率AP的發(fā)射功率不能超過500mw。信號值在-75dbm以下，業(yè)務上差不多上不能開展。數據傳輸性能要求：某些科室，如骨科、呼吸科，大夫在查房的時候，需要打開病人的影像圖片，要求部署的帶寬足夠，縮短大夫的打開等待時刻；除了足夠的帶寬，也能夠要求PACS系統關于移動查房的業(yè)務有優(yōu)化設計，如適當的壓縮比，更符合人性化設計的打開方式，使大夫的使用體驗更加流暢。無縫漫游要求：PDA、移動心電監(jiān)護、查房車，差不多上在移動中工作，特不是PDA和移動心電監(jiān)護設備，由于終端功率低漫游效率低，然而實時性要求高，因此要求網絡能做到無縫漫游，讓終端在每一個病房走動保持業(yè)務不中斷。放裝AP的不適用性也在于，一個病區(qū)需要部署多個AP接入點，終端在移動過程中必須發(fā)生漫游，假如終端漫游不夠靈敏，可能會產生業(yè)務終端；另外，頻繁的漫游也會導致頻繁丟包降低體驗目前業(yè)界流行的智分方案（銳捷、H3C都有智分方案）能夠減弱漫游問題，然而不能根除，關于需要全病區(qū)移動的終端，如PDA和移動心電監(jiān)護，漫游依舊不可幸免，而這類終端的實時性要求高，假如PDA掉線再重新連接，不僅醫(yī)護業(yè)務會中斷，系統中登錄的護士身份信息也需要重新輸入，會大大降低護士的工作效率。小貼士：智分方案介紹智分方案的特點在于，AP接入點的信號通過饋線進入室內，幸免信號穿墻衰減，一個智分AP接入點，一般能夠覆蓋6～8個房間；而醫(yī)院病區(qū)一般有20～40個病房，假如采納智分方案，需要部署多個AP接入點，依舊存在多個漫游區(qū)域,，如圖，終端穿過紅色和綠色區(qū)域需要漫游。銳捷零漫游解決方案：針對上述對醫(yī)院病區(qū)環(huán)境和移動醫(yī)護業(yè)務對無線的要求，銳捷網絡針對醫(yī)院病區(qū)定制化開發(fā)移動醫(yī)護零漫游解決方案，其方案原理如下：銳捷網絡的零漫游解決方案是專門針對移動醫(yī)療業(yè)務公布的無線解決方案，解決了生產關鍵業(yè)務在移動應用中遇到的漫游、性能難題。銳捷網絡的零漫游解決方案中包含設備：智分基站、智分單元、饋線、美化天線。銳捷零漫游解決方案，智分基站通過柔軟的饋線連接智分單元和美化天線，實現連續(xù)區(qū)域的無線覆蓋，同時實現區(qū)域內的零漫游。同時智分單元內置射頻卡，為高帶寬生產業(yè)務提供高性能保障。智分方案中涉及相關組件內容具體如下：實際勘測部署結果實際勘測部署效果圖：實際測試得到信息反饋（在移動過程中進行阻礙資料調用時）：行政辦公、門診輸液區(qū)無線覆蓋【可選】針對大多數行政辦公樓、門診輸液區(qū)，由于教室一般面積較大，內部寬敞無阻擋，房間多采納木門，且在走廊側會有大型玻璃窗體。又由于該區(qū)域要緊用戶為大夫移動辦公、輸液，病人及家屬的互聯網訪問等。因此，能夠在該區(qū)域采納室內AP稀疏的放裝式部署方案：將AP放在走廊里，覆蓋走廊兩側的房間，一個AP可覆蓋直徑20-30米。針對較大的開闊空間能夠采納在室內放裝AP方式部署，確保人數較多的能同時接入無線網絡。這些區(qū)域采納的是RG-AP520-I銳捷網絡的新一代AP，支持兩條空間流技術，單路射頻單元能夠提供高達866Mbps的接入速率，整機提供1166Mbps的接入速率，近千兆的極速無線讓性能不再成為瓶頸，為大空間開放空間內高密度用戶場景下下提供的更高的傳輸性能。同時采納了業(yè)界領先的“X-sense”靈動天線，跨越式的提升了AP的覆蓋性能，保障了移動智能終端最優(yōu)的接入效果，確保無線信號最優(yōu)覆蓋。RG-AP520-I產品外觀X-sense靈動天線室外區(qū)域無線覆蓋【可選】要緊應用于室外公共區(qū)域，這類區(qū)域面積寬敞，室外區(qū)域分布有較高、密集的建筑群和植物群，這關于信號的阻擋將是較大的障礙。因此，選用專用的室外大功率無線AP產品RG-AP630，配置使用定向天線，能夠保證無障礙下的200米半徑覆蓋以及近距離的多重障礙物的穿透能力，完全保證了室外區(qū)域的信號覆蓋品質，同時設備本省具備抗雷擊、防雨、防潮、抗高低溫、阻燃等多項指標，無線室外覆蓋，建議部署在覆蓋區(qū)域內的制高點上，同時采納定向天線定向照耀、全向天線進行補充的方式進行覆蓋。關于醫(yī)院大樓外公共區(qū)域的無線采納新一代室外RG-AP630無線AP，內置定向和全向的智能天線矩陣，通過內置天線即可完成室外空曠區(qū)域的無線覆蓋，安裝部署更加的方便和靈活，而且能夠依照需求選配外置天線。產品支持802.11ac、3*3MIMO，實現更高的無線接入帶寬服務。圖8室外APRG-AP630無線安全準入平臺設計【可選】隨著醫(yī)院業(yè)務的進展以及辦公便攜性的迫切需要，醫(yī)院內外網無線的建設，移動辦公、移動醫(yī)護及相關應用訪問安全依舊成為了必須考慮的內容。然而由于無線網絡的信道開放的特點，使得攻擊者能夠專門容易的進行竊聽，惡意修改并轉發(fā)，因此安全性成為阻礙醫(yī)院無線網絡進展的重要因素。盡管一方面對無線局域網需求不斷增長，但同時也讓許多醫(yī)院用戶對不能夠得到可靠的安全愛護而對最終是否采納無線局域網系統猶豫不決。利用WLAN接入醫(yī)院網絡，關于現有的WLAN技術，它的安全隱患要緊有以下幾點：無線網絡的安全威脅ARP欺騙攻擊在有線網絡上ARP欺騙是常見的病毒和攻擊行為，通常在有線網絡的接入交換機做了專門多的安全策略，保障只有正常的ARP數據才能夠通過。幸免了ARP欺騙使得其他用戶無法訪問網絡。因為用戶使用的筆記本的接入終端，在有線和無線網絡上同時使用，由于無線網絡的開放性，師生能夠隨時隨地接入無線網絡，如何防備ARP病毒的發(fā)生需要AC設備具有ARP的攻擊和防備能力。未經授權使用網絡服務由于無線局域網的開放式訪問方式，非法用戶能夠未經授權而擅自使用網絡資源，不僅會占用寶貴的無線信道資源，增加帶寬費用，降低合法用戶的服務質量，而且未經授權的用戶濫用無線網絡資源，使得合法的無線內網的用戶無法正常使用。同時，非法用戶私自架設無線AP，誘使用戶接入不安全的無線AP上。接入非法AP輕則會導致客戶無法訪問網絡資源，重則會導致用戶的重要數據被竊取地址欺騙和會話攔截在無線環(huán)境中，非法用戶通過偵聽等手段獲得網絡中合法站點的MAC地址比有線環(huán)境中要容易得多，這些合法的MAC地址能夠被用來進行惡意攻擊。另外，假如基于IEEE802.11沒有對AP身份進行認證，非法用戶專門容易裝扮成AP進入網絡，并進一步獵取合法用戶的鑒不身份信息，通過會話攔截實現網絡入侵。無線網絡安全的實現基于無線網絡的集中常見安全問題，本方案結合業(yè)界的綜合無線安全技術以及銳捷網絡在醫(yī)院環(huán)境下的定制化解決方案，在無線網絡的各個環(huán)節(jié)進行相應的安全愛護、數據加密、身份認證等安全手段，實現全方位無線安全防護體系。鏈路認證方式開放系統認證開放系統認證是缺省使用的認證機制，也是最簡單的認證算法，即不認證。假如認證類型設置為開放系統認證，則所有請求認證的客戶端都會通過認證。開放系統認證包括兩個步驟：第一步是請求認證，第二步是返回認證結果。假如認證結果為“成功”，那么客戶端和AP就通過雙向認證。圖表1STYLEREF1\s3SEQ圖表\*ARABIC\s11開放系統認證過程共享密鑰認證共享密鑰認證是除開放系統認證以外的另外一種認證機制。共享密鑰認證需要客戶端和設備端配置相同的共享密鑰。共享密鑰認證的認證過程為：客戶端先向設備發(fā)送認證請求，無線設備端會隨機產生一個Challenge包發(fā)送給客戶端；客戶端會將接收到字符串拷貝到新的消息中，用密鑰加密后再發(fā)送給無線設備端；無線設備端接收到該消息后，用密鑰將該消息解密，然后對解密后的字符串和最初給客戶端的字符串進行比較。假如相同，則講明客戶端擁有無線設備端相同的共享密鑰，即通過了SharedKey認證；否則SharedKey認證失敗。鏈路認證方式由于安全級不較低，不夠靈活和認識因此不適合我院的環(huán)境！無線數據保密相關于有線網絡，無線網絡服務存在著數據安全隱患。在一個區(qū)域內的所有的WLAN設備共享一個傳輸媒介，任何一個設備能夠接收到其他所有設備的數據，那個特性直接威脅到WLAN接入數據的安全。明文數據該種服務本質上為無安全愛護的WLAN服務，所有的數據報文都沒有通過加密處理。WEP加密WEP(WiredEquivalentPrivacy，有線等效加密)用來愛護無線局域網中的授權用戶所交換的數據的機密性，防止這些數據被隨機竊聽。在實際實現中，差不多廣泛使用104位密鑰的WEP來代替40位密鑰的WEP，104位密鑰的WEP稱為WEP-104。盡管WEP104在一定程度上提高了WEP加密的安全性，然而受到RC4加密算法以及靜態(tài)配置密鑰的限制，WEP加密依舊存在比較大的安全隱患。TKIP加密TKIP是一種加密方法，用于增強pre-RSN硬件上的WEP協議的加密的安全性，其加密的安全性高于WEP。WEP要緊的缺點在于，盡管IV（InitialVector，初始向量）改變，但在所有的幀中使用相同的密鑰，而且缺少密鑰治理系統，不可靠。TKIP和WEP加密機制差不多上使用RC4算法，然而相比WEP加密機制，TKIP加密機制能夠為WLAN服務提供更加安全的愛護。首先，TKIP通過增長了算法的IV長度，提高了WEP加密的安全性；其次，TKIP支持密鑰的動態(tài)協商，解決了WEP加密需要靜態(tài)配置密鑰的限制；另外，TKIP還支持了MIC認證（MessageIntegrityCheck，信息完整性校驗）和Countermeasure功能。CCMP加密CCMP(CountermodewithCBC-MACProtocol，[計數器模式]搭配[區(qū)塊密碼鎖鏈－信息真實性檢查碼]協議)加密機制是基于AES（AdvancedEncryptionStandard，高級加密標準）加密機制的CCM（Counter-Mode/CBC-MAC，區(qū)塊密碼鎖鏈－信息真實性檢查碼）方法，僅用于RSNA客戶端。CCM結合CTR（Countermode，計數器模式）進行機密性校驗，同時結合CBC-MAC（區(qū)塊密碼鎖鏈－信息真實性檢查碼）進行認證和完整性校驗。CCM能夠愛護MPDU數據段和IEEE802.11首部中被選字段的完整性。CCMP中所有的AES處理進程都使用128位的密鑰和128位的塊大小。CCM中每個會話都需要一個新的臨時密鑰。CCMP使用48位的PN（packetnumber）來實現那個目的。關于同一個臨時密鑰，重復使用PN會使所有的安全保證無效。為充分保障數據在傳輸過程中的安全，防止竊取和破解，方案中選擇CCMP協議對無線傳輸的數據進行加密。無線認證方式PSK認證PSK認證需要實現在無線客戶端和設備端配置相同的預共享密鑰。假如密碼相同，PSK接入認證成功；假如密鑰不同，PSK接入認證失敗。802.1X認證802.1X協議是一種基于端口的網絡接入操縱協議（portbasednetworkaccesscontrolprotocol）。這種認證方式在WLAN接入設備的端口這一級對所接入的用戶設備進行認證和操縱。連接在端口上的用戶設備假如能通過認證，就能夠訪問WLAN中的資源；假如不能通過認證，則無法訪問WLAN中的資源。Web認證WebPortal認證又稱為強制WEB認證或WEB+DHCP，其對具有對新業(yè)務支撐能力強大、無需安裝客戶軟件、與組網設備無關等特點。受到越來越多用戶的歡迎。Portal認證業(yè)務能夠為治理者提供方便的治理功能，如要求所有的用戶都到門戶網站去認證，門戶網站能夠開展廣告、信息服務、個性化的業(yè)務等，為信息傳播提供一個良好的載體。密鑰協商協議WPA方式WPA(Wi-FiProtectedAccess)是Wi-Fi聯盟為了適應市場需求定制的無線安全方案，保證了與以后出現的IEEE802.11i協議向前兼容。WPA密鑰協商協議也被稱為WPA1，一般與TKIP數據保密算法一起使用。RSN方式RSN(RobustSecureNetwork，魯棒性安全網絡)，在IEEE802.11i草案協議里具體定義，在2007年公布的IEEE802.11協議里正式啟用。RSN密鑰協商協議也被稱為WPA2，一般與CCMP數據保密算法一起使用。WEB無感知認證場景分析在傳統的web認證方案中，用戶普遍反應web易用性差，每次都需要連接SSID，打開掃瞄器，輸入用戶名和密碼，操作步驟多，而且掉線了還不能夠自動登錄，依舊需要手動輸入用戶名和密碼進行在此認證。為了使所有的web認證用戶永久在線，無感知的接入網絡，在用戶首次web認證之后，就能夠無感知接入網絡的體驗，不需要再次進行web認證的配置。實際操作實例所有客戶端操作步驟都如下，此處以win7為例。關聯上hexinbiao-test的SSID。打開IE掃瞄器，隨意訪問，AC將強推彈出web認證界面，輸入用戶名密碼，點擊登錄。Web認證成功。首次web認證后自動注冊MAC地址查看在線用戶，如下圖。查看注冊的移動終端，如下圖。（用戶組開啟注冊移動終端之后，所屬該用戶組的用戶web認證之后，自動注冊移動終端，假如用戶注冊的移動終端超過治理員同意的上線，則系統自動刪除最早注冊的移動終端）。注冊移動終端是為了后續(xù)的macbypass認證能夠通過，不在彈出web認證界面?？蛻舳薓acByPass無感知認證當用戶第一次web認證后，用戶下線。第二次系統檢測到移動終端進入到hexinbiao-test的wifi信號區(qū)時，將自動連接到該SSID，AC通過MAC地址認證直接發(fā)送報文到SMP統一認證平臺，SMP由于記錄了該用戶首次web認證的mac地址，發(fā)送ACCETP報文給AC，AC記錄用戶認證成功，不在推送web界面給用戶。用戶無需任何操作，即可上網。微信認證患者及其家屬到醫(yī)院打點滴、住院等，通常時刻都比較長，醫(yī)院能夠為客戶提供只有關注醫(yī)院的微信即可免費享受WLAN上網服務，能夠使等待的時刻更容易打發(fā)，幸免感到不耐煩或因排隊太久而焦急。從而也可讓患者及其家屬通過微信了解醫(yī)院相關信息、醫(yī)療常識等，提供病患及其家屬對醫(yī)院的認知、親熱度以及中意度。微信認證具體流程如下：重定向到微信引導界面用戶使用終端掃瞄器進行網絡訪問時，會發(fā)起網頁訪問請求；假如該網頁資源不是NAS(認證節(jié)點，該方案是的是AC操縱器)放行的資源，那么NAS對用戶請求進行攔截，并進行重定向到SMP(認證平臺)提供的WEB微信認證引導界面；用戶掃瞄器依照重定向地址，訪問SMP的微信認證引導界面。微信APP認證流程打開公眾號關注微信：可通過掃描引導界面的二維碼圖片，圖片可通過保存到手機相冊再進行掃描，或者直接輸入公眾號查找關注。點擊一鍵上網的菜單鏈接發(fā)送HTTP請求，AC和SMP配合校驗上網鏈接URL的合法性，并在SMP生成微信賬號。SMP將認證結果填入頁面，和門戶網站一起推送給客戶。假如配置了上線公告地址，則會彈出右邊的門戶主頁頁面。退出認證流程用戶主動下線用戶發(fā)起下線請求到SMP（內置Portal），只有存在在線界面有下線按鈕的情況下才可主動發(fā)起下線；治理員強制下線和用戶主動下線流程差不多一致，治理員強制下線是由治理員發(fā)起的下線請求。流量?；钕戮€AC上開啟流量?；罟δ?，進行檢測用戶是否下線；同意接入時刻是否已到；流量檢測不符合設置時，AC向SMP發(fā)送下線請求報文；SMP發(fā)送下線應答報文；AC發(fā)送記賬結束報文；SMP響應記賬結束。查看微信用戶上網記錄再次進行微信認證通過web+MAC地址無感知認證的方式SMP開啟同意注冊MAC地址，AC支持MAC地址無感知，并開啟該功能。當微信用戶認證通過Portal認證之后，SMP學習到用戶終端的MAC地址。AC的微信portal的WLANSEC下配置MABMAC地址認證。當終端再次關聯SSID之后，AC先發(fā)起MAC地址認證，SMP直接放行，免去再次打開微信進行認證。通過公眾號的菜單點擊觸發(fā)連接到認證的URL。運維治理平臺設計【可選】隨著信息化建設的推進，為了讓凝聚了巨大人力物力投入的信息基礎設施發(fā)揮出其效益，保障整個信息系統的平穩(wěn)可靠運行，需要有一個可從整體上對包括IP網絡，存儲，安全等組件在內的IT基礎設施環(huán)境進行綜合治理的平臺，并能夠提供業(yè)務系統運行異常的實時告警和進行圖形化問題定位，性能趨勢分析和預警，能夠基于關鍵業(yè)務系統的角度，以業(yè)務重要性為導向進行事件處理和通知。由于信息系統是一個包括了眾多軟件，硬件技術，涉及多廠家產品，從網絡，安全，存儲，計算到中間件和應用的復雜異構環(huán)境，而且隨著信息建設的深入和持續(xù)優(yōu)化和進展，那個復雜龐大的基礎設施，還會隨之不斷進行演進，在產品，技術和網絡結構，業(yè)務關系上不斷發(fā)生變化，因此，要求針對該環(huán)境進行治理的系統具有良好的可擴展性，能夠將下層網絡和的復雜度有效的通過抽象屏蔽起來，向上層應用和運維流程開放穩(wěn)定的接口?；阡J捷網絡RIIL平臺的“關鍵業(yè)務系統運行監(jiān)控中心”實施對網絡和業(yè)務應用系統的集中智能治理，能夠讓有限的IT運維人員精力和IT預算投入到最關鍵的資源的維護和保障中，降低復雜IT環(huán)境的治理難度，更輕松地把握支撐關鍵業(yè)務的網絡和系統的運行狀態(tài)，并不斷提升關鍵業(yè)務系統的運行服務質量水平，提升用戶中意度。利用基于統一信息模型的融合抽象建模技術和自動發(fā)覺技術，實現對全IP網絡中各種基于IP技術的基礎設施的自動發(fā)覺和資源化，基于統一信息模型，生成一個可治理，可重用的實時對象庫，并通過實時事件和同步技術，保持與實際治理對象的一致性。由于能夠在統一的信息模型定義下，針對多廠商，多技術的基礎設施進行抽象，從而為解決異構基礎設施的融合難題奠定了關鍵的基礎，解決了對IP基礎環(huán)境的總體把握和全局理解的問題。在此基礎之上，進一步的通過關鍵業(yè)務性能評估模型，以業(yè)務系統的重要性為導向，對業(yè)務系統所依靠的各種下層資源進行具有服務優(yōu)先級差不的監(jiān)控和治理，讓治理人員能夠實時的，針對阻礙關鍵業(yè)務和關鍵用戶的異常事件進行優(yōu)先處理，并在問題發(fā)生的時候快速推斷其阻礙范圍和程度，通過圖形化手段快速制定最佳操縱和問題解除方案。通過面向關鍵業(yè)務的基礎設施治理，讓IT投入的效益的到最大化的體現，并能夠在網絡和信息團隊運維資源有限的條件下，讓用戶按照其重要性體驗到服務品質的提升。該平臺是通過多年網絡IP基礎設施研發(fā)經驗，面向網絡融合與虛擬化趨勢打造的可分布式部署，兼容大規(guī)模復雜異構IP網絡和IT計算環(huán)境的可擴展治理平臺。它基于標準開放的信息建模技術，實時分布式計算平臺和SOA架構實現，能夠通過靈活豐富的治理協議對接各種主流IP基礎設施，包括多廠家IP網絡設備，IP存儲設備，中間件，服務器，數據庫和關鍵應用系統，并提供強大的事件治理，拓撲關聯分析和性能監(jiān)控組件。在目前寬敞用戶基于IP的網絡計算環(huán)境日益復雜和龐大，業(yè)務系統依靠的資源越來越難以掌控的背景下，能夠為IT組織提供一個隨著IT環(huán)境變化不斷擴展，但同時又能向上提供穩(wěn)定的治理接口和治理服務的抽象層中間件，屏蔽硬件的異構性，降低治理復雜度，從而關心用戶構建可持續(xù)進展，高回報的IP計算環(huán)境，大大降低IT服務治理的復雜度，以可視化，對象化的方式實現IT環(huán)境透明化?；跇I(yè)界主流標準的融合治理信息模型基于統一信息模型泛化技術實現網絡資源抽象和資源化參考RFC3198，DTMFCIM和TMFSID的統一信息模型建模標準，面向最新的系統和NGN融合治理需求系統架構融合開放的RIIL治理平臺：應用了動態(tài)自適應技術的性能評估模型，通過可定義性能門限與自適應算法相結合，進行性能趨勢分析和狀態(tài)評估基于統一信息模型和性能評估模型生成集中IP基礎設施資源庫能夠對多廠商的設備、中間件、服務器、數據庫系統進行統一發(fā)覺和治理面向ITIL流程自動化集成環(huán)境需求基于RIIL平臺的關鍵業(yè)務運行治理系統（BMC）體系架構：系統功能從關鍵業(yè)務系統重要性角度來治理下層IT資源以用戶群重要性自動關聯評估業(yè)務重要性依照業(yè)務相關性為IT資源自動生成業(yè)務標簽自動評估實時事件的業(yè)務阻礙度以關鍵業(yè)務為單位治理基礎IP資源，圖形化關聯業(yè)務系統及其相關的資源池以多層邏輯視圖對業(yè)務系統進行透視治理多維度立體透視關鍵業(yè)務系統及其資源關系將資源對象按照網絡層，計算層，應用層進行分層治理依照業(yè)務資源對象之間的邏輯依靠關系，生成資源層間依靠視圖依照拓撲關聯和業(yè)務邏輯關聯關系，進行圖形化的事件傳播顯示交互性和可視性極強的治理界面特不適合匹配高清大屏幕來構建醫(yī)院IT基礎平臺運行監(jiān)控中心Touch-Flow風格的治理界面支持自定義Dashboard和關鍵業(yè)務監(jiān)控視圖可實現業(yè)務系統的四維立體透視，一目了然其運行狀態(tài)、底層資源的關聯關系和組成關系以業(yè)務卡片方式集中監(jiān)控多個業(yè)務系統及其資源的運行智能靈活的告警治理能力可支持識不，處理，關聯多廠商的上千種告警事件，并通過多種手段通知給用戶內置上千種事件，并可擴展支持更多的網絡和系統事件與告警具備事件匹配和抖動處理，過濾等關聯機制，提高事件識不效率可圖形化的定義事件處理和分發(fā)策略支持短信，郵件，聲光等告警通知手段多廠商復雜IP網絡、系統和應用組件自動發(fā)覺能力可自動發(fā)覺和監(jiān)控多廠商網絡設備，服務器，存儲，安全設備，UPS，計算機，中間件等IP基礎設施，具備強大的多協議物理和邏輯拓撲發(fā)覺和呈現能力基于標準的FDB，LLDP，以及廠商私有的如CDP等協議的強大二層發(fā)覺技術基于三層路由協議的廣域網發(fā)覺和拓撲呈現能力基于數據庫，WebService接口的應用層中間件自動發(fā)覺能力多線程并發(fā)發(fā)覺機制，成倍優(yōu)化傳統拓撲發(fā)覺效率，適合大型網絡的拓撲發(fā)覺支持通過標準治理協議對可治理型機房基礎設施的監(jiān)控融合事件、流量、性能和安全信息的多維拓撲呈現能力支持分層顯示物理和拓撲視圖，并可支持多種自動布局算法支持業(yè)務系統視圖的呈現可提供平面或者網段分層拓撲顯示模式通過與事件治理器的無縫連接，實現設備狀態(tài)在事件治理器中的實時通知與處理在拓撲圖中集成圖形化流量和性能指標查看視圖提供安全域治理視圖，直接與安全邊界和等級愛護體系相結合智能性能指標監(jiān)測和趨勢告警可自動進行后臺性能指標不間斷監(jiān)測，并依照性能模型實時提示性能變化趨勢內置性能采集引擎，能夠靈活的通過復雜公式定義采集指標可自動后臺運行多個并發(fā)采集進程，并生成歷史性能數據庫可通過自適應算法自動計算業(yè)務系統性能基線可進行圖形化的性能數據查詢和趨勢分析可依照自定義性能門限生成告警并通知相關治理人員靈活強大的可定制報表功能內置強大的報表引擎，可依照后臺任務自動生成運維統計報表并進行自動分發(fā)可圖形化選擇數據，訂購豐富的業(yè)務和資源運行統計報表后臺按照報表定義，按照模板自動生成報表并進行報表分發(fā)，自動發(fā)送給感興趣的治理人員應用先進的Web2.0動態(tài)前端技術構建Web2.0動態(tài)頁面技術，比傳統的C/S或者B/S架構具備更好的可視化呈現和交互能力可穿越防火墻進行訪問，具備更好的遠程治理能力可與SOA架構無縫融合對掃瞄器具有更好的適應性可方便的支持治理客戶端安全連接高度可擴展的軟件體系結構能夠面向上層應用，提供符合SOA架構的開放治理接口基于WebService架構的模塊化設計，可擴展性強，能夠與第三方應用快速集成支持多治理員并發(fā)治理，并能夠對不同治理員靈活定義不同的治理權限和視圖范圍能夠分布式部署，具備良好的性能伸縮性，適合大規(guī)模網絡和信息系統治理需求能夠通過基于中間件的分布式部署，具備良好的性能伸縮性，適合大規(guī)模網絡和信息系統治理需求基于各種標準的通信協議和治理協議，應用規(guī)范和治理接口實現具備良好的跨平臺兼容性，能夠選擇不同版本支持在Linux,Solaris或Windows操作系統上進行部署可視化的業(yè)務和資源建模能力提供可視化業(yè)務建模工具，適應業(yè)務環(huán)境的變化所見即所得的業(yè)務系統和關系建?？膳渲眯阅苣Ｐ秃托畔⒛Ｐ吞峁┳詣訕I(yè)務拓撲生成功能，可依照選擇的資源自動生成業(yè)務拓撲關系可基于身份治理系統接口導入用戶信息，并針對用戶群進行業(yè)務建模，將用戶關聯到業(yè)務系統方案特點和優(yōu)勢面向移動醫(yī)護業(yè)務的用戶場景的產品特性標準化配件簡化無線網絡設計在移動醫(yī)護場景下實現無線覆蓋采納的最多確實是室內分布式部署的方式。室分型大功率AP通過功率放大器、功分器、耦合器將無線信號通過多級處理后發(fā)射出去，獲得較好的無線覆蓋效果，但室內分布型系統一般需專業(yè)人員做設計與部署。整個系統涉及室分專用元器件眾多，為非標準化配件，且天饋為剛性饋線，不宜彎折，增加了施工和方案設計的難度，而且這些元器件差不多不能保證是由同一家廠商生產，治理維護工作量大。銳捷網絡獨創(chuàng)的智分單元內置了干線放大單元和功率分配單元，將上下行信號放大和功率平均分成4路的同時帶來更簡化的部署。創(chuàng)新的擴分單元完全解決了傳統室分解決方案因元器件復雜、施工難度大的問題。室分