經濟項目管理與財務知識分析原則

安徽涉外經濟學院一體化項目

解決方案

2012年8月

杭州華三通信技術有限公司

目錄

第1章項目需求分析..............................................................2

1.1涉外經濟學院一體化網絡無線接入..............................錯誤!未定義書簽。

1.2涉外經濟管理學院一體化網絡有線網接入........................錯誤!未定義書簽。

1.3涉外經濟管理學院上網認證計費................................錯誤!未定義書簽。

1.4涉外經濟管理學院上網安全（防火墻+行為管理+入侵防御）........錯誤!未定義書簽。

第2章總體設計原則................................................................5

第3章智能管理中心..............................................錯誤!未定義書簽。

3.1智能網絡管理中心系統(tǒng).........................................錯誤!未定義書簽。

3.2認證計費系統(tǒng).................................................錯誤!未定義書簽。

3.3上網行為管理................................................................6

第4章網絡規(guī)劃及總體設計.........................................................31

4.1網絡結構設計...............................................................31

4.2設備選型.....................................................錯誤!未定義書簽。

ITolP解決方事\?;杭州華三通信技術有限公司

第1章項目需求分析

涉外經濟學院有線無線一體化網絡建成后，將滿足學生、教職工以及校方有關部

門不同要求，以不同帶寬、接入方式接入到互聯(lián)網；

本規(guī)劃總體本著先進性、現(xiàn)實性和經濟性相統(tǒng)一的原則進行網絡設計，使網絡具

有高性能、高可靠性、高安全性、高可擴展性、標準化和易管理的特點，能靈活地根

據(jù)用戶的需求提供不同網絡業(yè)務的服務保證。

方案整體采用有線無線一體化方式進行建設，新校區(qū)：核心側部署高端運營級交

換機，負責連接本校區(qū)內匯聚交換機和出口BRAS,同時該核心交換機上部署無線控

制器插卡，對校內所有AP進行統(tǒng)一管理和配置下發(fā)；出口側部署B(yǎng)RAS,實現(xiàn)所有

校園用戶的PPPOE等互聯(lián)網連接，部署行為審計插卡實現(xiàn)審計功能，后臺部署認證計

費等管理軟件。

1.1涉外經濟學院一體化網絡無線接入

隨著移動互聯(lián)網趨勢加快以及智能終端的快速普及，WLAN應用需求在全球保持

高速增長態(tài)勢。H3c作為業(yè)界領先的一體化移動網絡解決方案提供商，自產品推出以

來，穩(wěn)步增長?，F(xiàn)涉外經濟學院建設有線無線一體化網絡覆蓋校區(qū)內所有學生宿舍樓、

教學樓、圖書館、行政樓等公共活動區(qū)域。打造無線校園，使校園達到有線無線雙覆

蓋。

無線網絡和有線網絡一樣是教育信息化建設的基礎，為師生提供了更靈活、更便

捷的接入方式，隨著無線網絡的建設和發(fā)展，無線正在融入到學校的信息化、多業(yè)務

的各個方面，為師生提供精彩的無線校園生活體驗。

無線網絡的建設需要滿足未來學校多種信息化的應用，無線校園網解決方案，深

刻理解校園信息化的業(yè)務發(fā)展，其解決方案以其先進性、前瞻性為學校教育信息化建

設的未來提供了堅實的發(fā)展平臺。

第2頁共59頁

H3C

ITolPN決方累，不杭州華三通信技術有限公司

無線校園網采用了802.Un高帶寬技術，為學校的教學、科研、管理、服務等各

項應用提供了基礎無線平臺:

無線多媒體教室、無線科研數(shù)據(jù)傳輸、無線視頻監(jiān)控、無線訪問視頻課程、無線

語音、無線網絡運營商租賃。

無線科研

1.2涉外經濟學院一體化網絡有線網接入

針對原有校園中寬帶用戶的接入，校區(qū)內所有學生宿舍樓，新增接入交換機，接

入到新建有線無線一體化核心設備上實現(xiàn)有線無線一體化。

針對校園網，為方便學生閱覽校園網共享資源以及教職工辦公，把原有有線網0A

辦公系統(tǒng)等接入該網中。這樣校園中通過新建有線和無線網也可以訪問原有校園網。

1.3涉外經濟學院上網認證計費

針對無線網用戶，需要認證計費來實現(xiàn)用戶的認證與計費，使用IMC平臺的UAM

和CAMS組件來實現(xiàn)。用戶有線無線想訪問互聯(lián)網則通過PPPOE或PORTAL方式進

行撥號，報文通過核心路由器終結，將用戶名等RADUIS信息上傳給我們UAM、CAMS

服務器，正確后通過核心路由器公網出口訪問外網。

第3頁共59頁

ITolP解決方事\?;杭州華三通信技術有限公司

1.4涉外經濟學院上網安全（防火墻+行為管理+入侵

防御）

隨著網絡的發(fā)展，互聯(lián)網應用已經滲透到社會生活的每一個角落，成為人們學習、

工作、生活不可或缺的工具，成為企業(yè)運營的基礎平臺?；ヂ?lián)網的開放性、交互性、

延伸性為人們快速獲取知識、即時溝通以及跨地域交流提供了極大的便利；與此同時，

互聯(lián)網的便利性與虛擬性也成為各種不和諧行為滋生的溫床，誹謗中傷、網絡惡搞、

人肉搜索、工作時間“偷菜”、BT下載、色情網站等問題，就像打開了潘多拉盒子，

越來越對國家安定、社會和諧、企業(yè)效率、青少年成長等提出了嚴峻的挑戰(zhàn)。

校園網絡互聯(lián)出口有一個電信出口到Internet,為保障網絡安全，在網絡互聯(lián)出口

的BRAS核心路由器SR6616上部署RT-SPE-FWM-H3高性能多業(yè)務綜合防火墻板卡

和LS-LSQM1IPSSC0+1Y千兆入侵防御系統(tǒng)通過以太網接口上行互聯(lián)網。下行通過

ACG跟核心交換機互聯(lián)，H3CSecBladeACG（ApplicationControlGateway,應用控

制網關）是業(yè)界第一款千兆高性能應用控制模塊，可應用于H3c

S7500E/S9500E/S10500/S12500系列交換機和SR6600/SR8800路由器，創(chuàng)新性的將應

用監(jiān)控、審計與網絡進行無縫融合。SecBladcACG能對網絡中的P2P/IM/VoIP帶寬濫

用、網絡游戲、炒股、多媒體應用、非法網站訪問等行為進行精細化識別和控制；同

時，根據(jù)對網絡流量、用戶上網行為進行深入分析與全面的事后審計，并具有強大的

URL過濾功能，進而全面了解網絡應用模型和流量趨勢，大大提升網絡的業(yè)務控制能

力，幫助用戶優(yōu)化其網絡資源，為用戶打造一個和諧、有序的網絡環(huán)境。

第4頁共59頁

ITolP解決方事\?;杭州華三通信技術有限公司

第2章總體設計原則

根據(jù)涉外經濟學院網絡現(xiàn)狀、需求及網絡技術發(fā)展的趨勢，我們按以下原則設計網

絡方案：

?高可靠性：具有很高的容錯能力，具有抵御外界環(huán)境影響和人為操作失誤的能力，

保證單點故障不影響整個網絡的正常運行。

?高性能：具有較高的傳輸帶寬，并在高負荷情況下仍然具有較高的吞吐能力和效率，

延遲低。

?支持QoS：能根據(jù)業(yè)務的要求提供不同等級的服務并保證服務質量，提供擁塞控制，

報文分類，流量整形等強大的IPQoS和MPLSQoS功能。

?安全性：具有保證系統(tǒng)安全，防止系統(tǒng)被人為破壞的能力。支持AAA認證、ACL、

VPN、NAT、路由驗證、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能。

?擴展性：易于增加新設備、新用戶，易于和各種公用網絡連接，隨系統(tǒng)應用的逐步

成熟不斷延伸和擴充，充分俁護現(xiàn)有投資。

?開放性：符合開放性規(guī)范，方便接入不同廠商的設備和網絡產品。

?標準化：各種協(xié)議和接口符合國際標準（IEEE、IETF等）。

?實用性：具有良好的性能價格比，經濟實用，設計方案和設備選型應符合骨干網絡

信息量大、信息流集中的特點。

?易管理：一個好的網絡系統(tǒng)必須是一個易管理的網絡系統(tǒng)，本方案中通過配置網管

系統(tǒng)軟件對整個網絡實施高效的管理。

第5頁共59頁

H3C

ITdPN決方累，不杭州華三通信技術有限公司

第3章智能管理中心

3.1智能網絡管理中心系統(tǒng)

在設計網絡管理系統(tǒng)時，應全面考慮網絡管理的內容，建設網絡管理平臺、網絡設

備管理軟件模塊、網絡故障管理模塊、網絡流量模塊、網絡故障告警模塊。通過網絡管

理系統(tǒng)多種模塊的組合，實現(xiàn)對整網設備和安全性等各個方面進行全面的管理，有效地

提高網絡的安全可靠性。

H3c公司的網絡智能管理中心(iMC)產品，基于SOA開放式框架，將網絡用戶、

網絡設備和網絡業(yè)務有機的整合起來，可以有效地解決上述問題的同時實現(xiàn)網絡的運營

和管理從“網絡資源運營”向“信息服務和流程服務”、從“粗放的規(guī)模運營和管理”

向“精確管理和精益運營”轉變。

按

增iMC增值業(yè)務流

需

值

性能優(yōu)化業(yè)務I故障維護業(yè)務外部接口裝

業(yè)

配

務

流

iMC基礎管理iMC資源管理

WEB服務

拓撲管理ACL管理

組

功

件

能網絡告警QoS管理

化

組

件性能監(jiān)控VLAN^51

公共組件

平

平

臺MC平臺框架—統(tǒng)一奧源訪問，基礎資源管理

SOA架構臺

框

設備/文件/數(shù)據(jù)訪問適配層［設備資源管理［用戶資源管理化

架

SNMF^~1RADIUS

設備/終端文件系統(tǒng)

針對校園網的部署現(xiàn)狀，iMC主要功能亮點如下:

1、全面的基礎網絡資源管理

第6頁共59頁

H3C

ITolPN決方累，不杭州華三通信技術有限公司

iMC可以對全網資源進行統(tǒng)一部署、管理和調配，除了能夠有效的對H3c等各種主

流廠商的路由器、交換機、安全、無線、語音等傳統(tǒng)網絡資源進行管理之外，還可以對

存儲、服務器、PC、UPS等設備類型進行管理，實現(xiàn)了故障、性能、拓撲、配置等管

理內容，成為業(yè)務融合聯(lián)動的基礎。

2、網絡資源和用戶的統(tǒng)一管理

iMC在對網絡設備進行管理的基礎上，將網絡用戶一同納入管理范疇，從網絡拓撲

圖上即可以了解到有哪些用戶通過哪些網絡設備接入網絡，每個用戶的上網行為和安全

狀態(tài)都可以實時得到監(jiān)控和審計<：iMC可以支持LAN、WAN、WLAN>VPN等方式的用

戶認證接入，實現(xiàn)接入業(yè)務的統(tǒng)一、集中管理；同時支持智能卡、證書等強認證功能，

支持多種方式的端點準入控制和基于身份的網絡服務，實現(xiàn)用戶與資源和業(yè)務的融合管

So

3、無線網管理

近幾年來，網絡已經融入到人類生活的方方面面，生產辦公、交通運輸、醫(yī)療衛(wèi)

生、休閑娛樂無一不在使用網絡，隨著網絡的快速發(fā)展，網絡業(yè)務層出不窮，人們越

來越多地需要時時刻刻地能夠接入網絡，于是筆記本電腦用戶日漸增多，手機、PDA

不斷普及，更多的便攜式網絡接入設備進入人們的視線，而無線網絡以其施工簡單、

接入方便逐漸被人們所喜愛。這種情況下，傳統(tǒng)的有線網絡連接形式已經無法應付新

的生活方式所帶來的挑戰(zhàn)。

第7頁共59頁

ITolP解決方事\?;杭州華三通信技術有限公司

作為接入層網絡，無線網絡維護工作量較大，加之無線網絡的靈活性和不可見性，對

無線網絡的管理需求也較有線網絡更加強烈。無線網絡直接面對最終用戶，對管理系

統(tǒng)穩(wěn)定性、實時性、有效性要求都較高。

WSM無線運營管理組件依托iMC智能管理平臺，實現(xiàn)有線無線一體化的管理，在

iMC系統(tǒng)全面的有線網絡管理的基礎上，為管理員提供無線網絡管理能力。管理員無

需重新搭建IT管理平臺，即可在原有的有線網絡管理系統(tǒng)中增加無線管理功能，與有

線管理平臺統(tǒng)一部署，節(jié)省用戶投入，節(jié)約維護成本。

H3C無線運營管理組件（WSM）在下一代業(yè)務軟件平臺iMC的基礎上進行開發(fā)，

不僅為管理員提供了靈活的組件選擇，同時符合業(yè)界主流的SOA架構，具備良好的擴

展性，能夠滿足客戶網絡管理不斷發(fā)展的需求?；赪eb的管理系統(tǒng)，為無線業(yè)務管

理者提供了簡便、友好的管理平臺。與iMC智能管理平臺及其它組件配合，還可實現(xiàn)

無線設備的面板管理、故障管理、性能監(jiān)控、軟件版本管理、配置文件管理、接入用

戶管理等功能，并可對網絡中的其它設備進行統(tǒng)一管理，真正實現(xiàn)有線無線一體化管

理。

無線有線一體化管理

H3c無線運營管理組件（WSM）作為iMC智能管理中心的無線業(yè)務管理核心，

對于網絡中的AC、FATAP.FITAP,移動終端等無線設備與有線設備進行一體化集

中管理，全網設備信息和狀態(tài)一目了然。網絡資源通過多種視圖進行查看，視圖內分

組管理，將規(guī)模巨大的無線接入設備有效組織，便于管理員維護。

第8頁共59頁

ITolP解決方事\?;杭州華三通信技術有限公司

多樣化的拓撲管理

WSM中的無線業(yè)務邏輯拓撲幫助管理員直觀了解網絡部署情況及設備/鏈路當前

狀態(tài)。系統(tǒng)可根據(jù)不同的方式組織資源，有效進行拓撲分組、真實組織全網資源。物

理位置視圖中管理員可根據(jù)需要創(chuàng)建多緯度、多層次的物理位置結構，并在指定建筑

物底圖上根據(jù)真實情況擺放設備，逼近真實網絡環(huán)境。

無線終端查看和漫游記錄審計

WSM可以直接在拓撲圖中對移動終端的信息進行查看，包括MAC地址、信號強

度、發(fā)射速率集、RSSLSSID、使用信道、所在AC設備、所在AP設備等，并能查

看各移動終端的全部漫游記錄，使管理員隨時了解最終接入用戶的情況，并對其接入

軌跡進行審計。

第9頁共59頁

H3C

ITolPN決方累，不杭州華三通信技術有限公司

ZW6■M???A???irv?MQ??

?e”

*3|8SO|

0AM?

wd-?n.

y*,*

M1|MW1

?4*I|H|[]

A幺AC

.BM1SO.■14BJI.，?99■手：，

ARwe"H?<MKAHftW

gib，-，M.?M謂懈1”，”*?B*J

M.?O?U44J??，*HtOWYJH

RF覆蓋及無線網絡規(guī)劃

在實際無線環(huán)境的部署和維護中，需要關注無線設備的RF范圍、覆蓋管理以及

無線網絡規(guī)劃擴容問題。H3C無線運營管理組件（WSM）可以用很直觀的拓撲圖表

示出無線網絡中的RF狀況。通過障礙物的設置，用戶可以更加精確的查看由于遮擋

對信號衰減的情況。查詢RF覆蓋可以分別按照信號強度、速率、信道進行，滿足用

戶分析信號覆蓋情況的需要。

可根據(jù)用戶的需求，將虛擬AP加入位置視圖拓撲，并查看信號覆蓋范圍，幫助

用戶在建設或擴容WLAN網絡之前，通過評估具體位置中AP信號覆蓋情況，對AP

型號選擇和布局進行詳細的網絡規(guī)劃。

第10頁共59頁

H3C

ITolPN決方累，不杭州華三通信技術有限公司

無線定位與GIS管理功能

對網絡的管理有時需要無線定位功能，通過無線定位系統(tǒng)，可以實現(xiàn)對在線STA

以及非法STA、非法AP的定位，同時可以實現(xiàn)對H3CiNode用戶的定位，方便用戶

第一時間的了解無線用戶和非法設備的物理位置，第一時間解決問題。通過GIS管理

功能，可以實現(xiàn)對對AP的GIS信息管理功能，地理位置確定等等。

第11頁共59頁

H3C

ITolPN決方累，不杭州華三通信技術有限公司

小-”oe

基于物理位置的無線終端準入控制

結合iNode客戶端，WSM可以實現(xiàn)基于物理位置的無線終端準入控制。通過設

置準入區(qū)域及其準入規(guī)則，用戶可以將未經授權的iNode用戶強制下線或向其發(fā)送通

知等方式進行控制，方便了用戶實施基于物理位置的終端準入控制。

_j.>-------■..?.in——■--2Wi二

第12頁共59頁

ITolP解決方事\?;杭州華三通信技術有限公司

無線網絡質量評估

WSM網絡評估功能為用戶提供了評估無線網絡質量的途徑，方便用戶了解某區(qū)

域內的AP工作情況及用戶體驗情況，根據(jù)評估結果及數(shù)據(jù)記錄，用戶可采取有效措

施進行網絡優(yōu)化，改善網絡質量.通過AP設備及移動終端的相關數(shù)據(jù)進行采集并匯

總，根據(jù)任務閾值設置的AP及用戶的評價標準對AP及用戶進行評價，完成評估后

可查看網絡評估報告了解評估期間AP的工作情況及用戶網絡使用情況。WSM提供豐

富的評估報告，顯示各位置視圖下AP設備的總評信息、評估期間AP及用戶各項統(tǒng)

計指標的歷史及匯總記錄、以及相應的評價結果，可通過總評信息了解某位置下AP

的整體工作情況，通過各查詢條件迅速找到關心的AP及用戶。

AP0W-c夕

.vmootMMoovMins*-jt*

PoE供電管理

WSM可以實現(xiàn)對AP可能的上聯(lián)設備進行查詢的功能，并可以確定AP與上聯(lián)設

備是否直連。通過此功能，用戶可以方便的查找AP的物理接入端口。如果AP是使

用PoE供電的方式，還可以通過對PoE端口的操作實現(xiàn)對AP的斷電、上電。

第13頁共59頁

H3C

ITolPM決方累雪家杭州華三通信技術有限公司

綠色節(jié)能管理

WSM可對整網的WLAN設備制定綠色節(jié)能策略，包括AP、Radio按計劃啟動和

停止，Radio的功率按計劃動態(tài)調整，Radio提供的SSID服務按計劃啟動和停止，

以達到節(jié)約能源、減少輻射、改善環(huán)境的目的。

州北努》無線業(yè)務管理》節(jié)炎策略管理>>諾加節(jié)指W

。提示

?策略名禰

m類幻爐啟動停止。

執(zhí)行方式一次性▼啟動停止▼

?停止時詞定時執(zhí)行▼□

?啟動時間定B做行▼[3?

輯述

主備AC管理

WSM可以提供強大的主備AC管理功能。在界面中，可以看到各個AP的主備連

接狀態(tài)，并且可以對相同序列號的AP進行合并，從而實現(xiàn)了全網級別的AP管理。

同時，在處理報表等性能數(shù)據(jù)時，自動對主備情況下的性能數(shù)據(jù)進行整合，極大提高

第14頁共59頁

H3C

ITolPN決方累，不杭州華三通信技術有限公司

了性能數(shù)據(jù)的可用性、移動性。同時，通過主備AC分組的配置，用戶可以方便的將

配置同時下發(fā)到主備AC上，方便了用戶的使用.

無線入侵檢測和防護

無線網絡靈活多變，并且基礎設施不可見，因此比有線網絡更容易遭到越權使用。

對于這類問題，WSM提供了Rogue設備檢測功能，可對無線入侵進行檢測，可明確

顯示非法接入設備，并對其進行信息查詢、加入黑名單及發(fā)起攻擊等動作。

H三方AP查._______________

最…?百35H

回而正］畫3而11

A*第-'NHM速備

第三方AP并派

出招＜少靛備所EM*

.?pmcsaneraouiflUMtew同反擊M劣一上."

rAMMIcSIJkfOMKIC51.3W優(yōu)魯已械擊視

rAM4C5W黑產”制素小??-

無線入侵檢測和防護

豐富的無線統(tǒng)計報表

對網絡進行運營管理需要對網絡進行全方位的監(jiān)控，從網絡各種性能指標、告警

指標中進行智能的統(tǒng)計和分析，才能有效從整體對網絡狀況進行衡量。WSM提供了

豐富的無線統(tǒng)計報表查詢和定制功能，以幫助管理員對網絡進行綜合而全面的管理。

第15頁共59頁

H3C

ITolPN決方累，不杭州華三通信技術有限公司

通過配置分級報表系統(tǒng)，可以實現(xiàn)對大規(guī)模的無線網絡的報表系統(tǒng)，從而可以滿足運

營商級別的報表統(tǒng)計需求.

?MB

■sIM.【.XMH

AP流發(fā)明細報表

RWAHK

APS<WAR

??*?字”無w■■■■

八0?，：8.1”0：KM7GJ”巾級X，I%IK

2e人???18?3m"31%E2rg2.FJS

0,00?i00

mMUTtUM4”，0K9TKW“40

McM.，，Q.M00t.??.??.KI

.

4人?」■MU"ts021%叫Azicugnc^gIKMUIMm.ntj，

S3

tK4ClM.INmg??1也?rxmA-

m“l(fā)TKI8?LMl0I.MKIM4mgKMI.m

加0K0OBX

3.2認證計費系統(tǒng)

UAM用戶管理組件

第16頁共59頁

ITolP解決方事\?;杭州華三通信技術有限公司

業(yè)界傳統(tǒng)的網絡管理、用戶管理軟件各自發(fā)展已經較為完善，網絡管理系統(tǒng)關注

于網絡基礎資源的管理，包括路由器、交換機、服務器等，而用戶管理則關注于對當

前正在使用網絡基礎資源的用戶的管理，包括對用戶身份的認證、對用戶信息的組織

管理等，但實際上網絡和用戶是有機融合的整體，需要統(tǒng)一集中管理。

iMC智能管理中心的平臺組件實現(xiàn)了完善的網絡設備管理功能，在此的基礎上，

iMC智能管理中心用戶管理組件將管理的范疇從網絡設備延展到了網絡用戶的管理，

通過網絡設備管理和用戶管理的深度融合和聯(lián)動，在統(tǒng)一的平臺上實現(xiàn)了用戶、網絡

的集中管理。

iMC智能管理中心除了實現(xiàn)基礎的用戶管理和網絡管理功能外，最大的特色在于

實現(xiàn)了兩者之間的有機融合，在統(tǒng)一的操作界面上同時完成網絡、用戶的管理。

集中化的設備資源和用戶資源管理

除對網絡設備的統(tǒng)一管理外，iMC也對用戶基本信息進行集中維護，包括用戶姓

名、證件號碼、通訊地址、電話、電子郵件、用戶分組；并提供用戶附加信息管理功

能，管理員可根據(jù)網絡運營的習慣進行用戶信息定制，如學?？梢远ㄖ茖W號、年級等

信息，企業(yè)可以定制部門、職務等信息。

第17頁共59頁

H3C

ITolPN決方累，不杭州華三通信技術有限公司

設備和用戶的統(tǒng)一分組管理

?支持設備和用戶分組功能，通過對設備資源和用戶進行分組管理，系統(tǒng)管理員方

便的分配其他管理員的管理權限，便于職責分離。

?接入業(yè)務服務和用戶分組可靈活對應，使得特定分組用戶才能配置對應的特定服

務，便于管理員進行接入業(yè)務管理。

用戶管理與網絡設備管理相融合，用戶管理操作更簡單

?接入設備列表中可以直接看到用戶相關信息，提高了操作員日常維護的效率。

?設備選定后可直接對其進行用戶操作，比如，針對某個接入設備，將其所掛的用

戶全部下線處理等。

■在線用戶列表中提供接入設備查看入口，可查看當前在線用戶所對應的接入設備

的詳細信息，比如，對應的基本信息、告警、性能狀況等。

■網絡設備管理和用戶管理的全面融和，使得操作更友好，全面提升操作員操作體

驗。

支持多種接入及認證方式，適合多種接入組網場景及應用場景

?支持802.lx、PortaKVPN接入等多種認證接入方式。

第18頁共59頁

ITolP解決方事\?;杭州華三通信技術有限公司

?支持PAP、CHAP、EAP-MD5.EAP-PAP.EAP-TLS、PEAP等多種身份驗證方式，適

應不同安全要求的應用場景。

?既支持用戶與設備IP地址、接入端口、VLAN、用戶IP地址和MAC地址等硬件信

息綁定認證，也支持與計算機名、域用戶、SSID等身份信息綁定認證，增強用戶認證

的安全性，防止帳號盜用和非法接入。

■支持與LDAP服務器、Windows域管理器、第三方郵件系統(tǒng)（必須支持LDAP協(xié)議）

的統(tǒng)一認證，避免用戶記憶多個用戶名和密碼。

■支持啞終端（IP電話、打印機等）通過預置用戶方式快捷接入網絡，使用“MAC

地址”作為用戶賬號進行網絡認證。

■支持終端準入控制（EAD）解決方案，確保所有接入網絡的用戶終端符合企業(yè)的

安全策略。

嚴格的權限控制手段，強化用戶接入控制管理

?基于用戶的權限控制策略，可以為不同用戶定制不同網絡訪問權限。

■可以控制用戶的上網帶寬（QoS）、限制用戶同時在線數(shù)、禁止用戶設置和使用

代理服務器，有效防止個別用戶對網絡資源的過度占用。

■支持最大閑置時長限制。

■可以實現(xiàn)對用戶ACL、VLAN的控制，限制用戶對內部敏感服務器和外部非法網站

的訪問。

■可以限制用戶IP地址分配策略，防止IP地址盜用和沖突。監(jiān)控用戶認證成功后

的IP地址，若有變更則強制要求下線。

■可以限制用戶的接入時段和接入區(qū)域，用戶只能在允許的時間和地點上網。

■可以限制終端用戶使用多網卡和撥號網絡，禁止修改終端MAC地址，防止內部信

息泄露。

■可以限制用戶必須使用專用安全客戶端，并強制自動升級，防止安全客戶端被破

解，確保認證客戶端的安全性。

?接入用戶網關配置，提供接入用戶網關IP、MAC地址配置信息。配合iNode客戶

端實現(xiàn)防止本地受到假冒網關方式的ARP欺騙功能

第19頁共59頁

ITolP解決方事\?;杭州華三通信技術有限公司

詳盡的用戶監(jiān)控，強化對終端用戶的監(jiān)視控制

■iMC用戶接入管理組件提供強大的“黑名單”管理，可以將惡意猜測密碼的用戶

加入黑名單，并可按MAC、IP地址跟蹤非法行為的來源。

■管理員可以實時監(jiān)控在線用戶，強制非法用戶下線。

?支持消息下發(fā)，管理員可以向上網用戶發(fā)布通知消息，如“系統(tǒng)升級，網絡將在

10分中后切斷”、“您的密碼遭惡意試探，請注意保護密碼安全”等。

■iMC用戶接入管理組件記錄認證失敗日志，便于方便定位用戶無法認證通過的原

因。提供接入明細日志，便于審計用戶的接入網絡記錄。

集中方便的接入業(yè)務用戶管理，簡化管理員維護操作

■基于服務的用戶分類管理，用戶的認證綁定策略、安全策略、訪問權限均封裝于

服務中，簡化管理員的操作，保證網絡管理模式的統(tǒng)一。

?接入用戶相關的管理動作集中化，界面對操作員來說更友好、更美觀易用。

■接入用戶可使用自助服務，帳號申請、查詢、修改都通過自助服務頁面完成，既

提高效率，又減輕管理員的工作量。

■提供針對企業(yè)訪客等臨時接入賬號的訪客管理功能，訪客管理員可創(chuàng)建來賓賬號

并申請訪客接入網絡服務。企業(yè)訪客通過批準的訪客賬號訪問企業(yè)網絡，該賬號將在

超過保留時長后失效。

靈活的業(yè)務及運行環(huán)境參數(shù)調整，適應不同的運行及應用環(huán)境

?系統(tǒng)參數(shù)配置，提供業(yè)務相關的常用參數(shù)信息配置功能。

■運行參數(shù)配置，提供系統(tǒng)運行環(huán)境相關的路徑、數(shù)據(jù)庫屬性等基本信息的能。

?證書文件配置，提供證書認證配置信息功能。

■用戶提示信息配置，提供給用戶的相關提示信息配置功能。

■客戶端自動運行任務配置，提供配置客戶端認證后自動運行相關程序的配能。

?用戶密碼控制策略配置，提供配置用戶密碼的控制策略配置功能。

第20頁共59頁

ITolP解決方事\?;杭州華三通信技術有限公司

穩(wěn)定可靠的保障機制，細化的管理

?系統(tǒng)的雙機熱備、雙機冷備，并提供可靠的逃生方案。

■管理中心支持Windows和Linux操作系統(tǒng)，支持集中式和分布式部署。

■支持對操作員權限的精細化控制，不僅可以指定操作員可訪問的功能范疇，也提

供對功能項目的增、刪、改、查的操作控制，并支持對管理員的業(yè)務分權管理。

?提供多種統(tǒng)計報表：在線用戶安全狀態(tài)分類統(tǒng)計、休眠帳號統(tǒng)計、帳號數(shù)月統(tǒng)計、

平均在線用戶數(shù)統(tǒng)計、認證失敗類型統(tǒng)計、下線原因分類統(tǒng)計、服務的用戶數(shù)統(tǒng)計，

滿足日常運營維護的需要。

?提供二次開發(fā)接口，便于客戶第三方系統(tǒng)與用戶接入管理組件對接。

?提供報修管理功能。當終端用戶網絡出現(xiàn)故障時，可通過自助平臺提交網絡報修

單。網絡管理員則通過報修管理對用戶報修單進行集中處理，并可針對常見問題進行

FAQ發(fā)布。

融合的接入設備管理，操作簡單、管理方便

■為接入設備提供查詢設備明細信息的鏈接，可通過簡單的鼠標點擊看到接入設備

的詳細信息，比如對應的基本信息、告警、性能狀況等。

■接入設備管理與拓撲管理的融合，拓撲中可以清晰的顯示出接入設備，查看接入

設備相關信息，并可通過鼠標點擊方式，將此接入設備設置為非接入設備。拓撲中融

合了接入設備和用戶監(jiān)視管理功能，可針對接入設備進行在線用戶查詢、強制用戶下

線、查看該設備所掛接的終端用戶及其安全狀態(tài)等多項操作。

有線無線體化，智能的廣告推送，適應不同網絡運營方需求

■iMCUAM組件可以配合iMC管理平臺，針對不同用戶身份/接入位置進行不同的廣

告推送業(yè)務，協(xié)助接入用戶最快獲取最需要的信息，從而可與第三方廣告平臺配合，

適應不同網絡運營方需求，達成廣告平臺、網絡運營方以及接入用戶的三贏。

■對有線、無線接入用戶可以提供統(tǒng)一的接入認證、授權功能，從而對有線、無線

用戶使用統(tǒng)一帳號進行管理。在對無線接入用戶接入綁定限定的基礎上，針對無線接

入特性，提供了無線SSID綁定功能。

CAMS計費管理組件

第21頁共59頁

H3C

ITolPN決方累，不杭州華三通信技術有限公司

網絡早已融入到人們生活的方方面面，人們對網絡的依賴性也日益增加。為了保

護網絡使用者的合法權益，降低網絡的運營成本，也為了增加網絡運營者的收益，需

要對網絡的使用進行收費。在實際生活中，需要進行計費管理的網絡普遍存在，如：

運營商布設的商用網絡，學校、小區(qū)寬帶等園區(qū)網絡，網吧等小型運營網絡，都是網

絡計費運營的典型例子。

依托iMC智能管理中心及UAM用戶接入管理組件，iMC提供了功能強大的CAMS計費管

理組件。它可以穩(wěn)定、高效地完成對網絡接入用戶的帳務管理、計費管理等功能，滿

足各種網絡可運營、可管理的需求。同時，它還提供豐富而開放的第三方接口，能幫

助管理員快速有效地與第三方系統(tǒng)進行對接。

在iMC平臺可靈活擴展的基礎上，CAMS計費管理組件還可以與EAD終端準入控制組件

以及UBA用戶行為審計組件進行很好的融合，為管理員提供從認證、計費到控制、審

計全流程的具有強大競爭力的用戶終端管理解決方案。

基于UAM的CAMS與EAD、UBA融合提供全流程的用戶終端管理解決方案

先進的設計理念

基于“用戶”、“服務”和“策略”三維關系進行設計，便于管理員理解和操作，解決

了傳統(tǒng)計費系統(tǒng)操作的復雜性問題。

統(tǒng)一的接入業(yè)務管理模型

支持對多樣的RADIUS接入認證、授權和計費等業(yè)務進行統(tǒng)一管理。

第22頁共59頁

ITolP解決方事\?;杭州華三通信技術有限公司

靈活多樣的計費策略

■開放的計費模型，能夠滿足不同應用場景的計費需求，用戶可以根據(jù)運營需要輕

松定制計費方式和費率；

?內置支持純包月、包天、包月限時、包月限流量等易于管理的包月型計費方式；

?支持包月暫停功能，可以使用戶的包月截止日期順延，并支持用戶認證上網自動

取消暫停；支持自適應包月，用戶包月計費周期可從用戶的實際使用包月服務的時間

點開始；

■支持按時長和按流量計費、分檔計費、獎勵和時段優(yōu)惠，可以適應不同用戶群體

的不同需求。

清晰準確的帳務處理

?支持實時預付費和后付費兩種付費方式，滿足不同用戶群體的消費習慣；

?支持營業(yè)廳繳費、充值卡繳費以及批量繳費，簡化管理員和用戶的續(xù)費操作。支

持通過二次開發(fā)接口進行繳費，方便與第三方帳務管理系統(tǒng)的對接。；

?提供詳盡的用戶上網明細、賬單和繳費信息，支持查詢與打印功能，有效避免帳

務糾紛；

?支持欠費催繳，當用戶欠費、余額不足或包月即將到期時，可以通過Email和客

戶端等多種方式進行費用催繳；

?支持用戶信息、上網明細、用戶賬單和繳費記錄的手工/自動導出，方便與第三

方帳務管理系統(tǒng)的對接。

■對于后付費用戶，系統(tǒng)按照設定的帳務周期定時自動出賬，出賬后可進行繳費。

對于臨時性用戶（比如酒店客戶），系統(tǒng)也提供了管理員手工出賬功能，從而進行及

時的費用結算。

上網明編

??名：

30

下回太：

□色幅0指定“由

可他。理列?：

lMtW.

下做方式?9?

e育禽MB

第23頁共59頁

H3C

ITolPN決方累，不杭州華三通信技術有限公司

強大的報表展示功能

?支持強大的自定義報表展示，可支持靈活定義報表中包含的字段、數(shù)據(jù)等內容,

還可定制數(shù)據(jù)的展示方式(表格、餅圖、曲線圖、柱狀圖)。

■支持定義報表的生成時間、生成周期及生成格式(PDF、HTML、Excel.TXT)等。

?提供業(yè)務使用量、人均業(yè)務使用量、帳號數(shù)、消費金額、每小時平均在線用戶數(shù)、

操作員收費記錄等統(tǒng)計報表，幫助管理員了解業(yè)務和網絡的使用情況。

高可靠的計費解決方案

?依托于iMC平臺，可采用分布式、組件化的體系結構;

■支持雙機冷備和熱備，提供準確、穩(wěn)定、高性能和高可靠的計費保障。

燃？》㈱?》柵拆

V珞勃就抬：—X

■喇蟠:V

叫二V，諦搬i：0懂

，蛔：遮V曲松[i幅

陽舞：￡8百「

HH箱鎖

第24頁共59頁

H3C

ITolPN決方累，不杭州華三通信技術有限公司

tag：|tw獨：鬧地—3

折扣X：|i至：|1

枷跳；物砌18確

共有2條以展"3+因。需?償原《上一員下一頁?

方便的分權分域管理

?支持分權分域管理，可最大程度滿足不同管理員管理不同區(qū)域用戶的接入認證計

費要求；

?支持用戶漫游，方便與第三方認證和計費系統(tǒng)的對接，也輕松實現(xiàn)移動用戶的異

地認證計費。

全流程的用戶終端管理

可融合EAD終端準入控制組件和UBA用戶行為審計組件為最終用戶提供基于用

戶終端生命周期的管理。包含終端的接入認證、計費管理、終端準入控制、用戶行為

審計等囊括事前、事中、事后的全流程終端管理方案，便于管理員在一套系統(tǒng)上操作。

第25頁共59頁

ITolP解決方事\?;杭州華三通信技術有限公司

靈活高效的開放接口

■支持提供標準、通用的基于%bServices二次開發(fā)接口，經過簡單的二次開發(fā)

工作，管理員可輕松將系統(tǒng)集成到現(xiàn)有運營管理系統(tǒng)中，從而真正實現(xiàn)多系統(tǒng)的統(tǒng)一

管理；

?支持基于RADIUSProxy技術的計費漫游和計費代理功能，便于與第三方運營管

理系統(tǒng)進行對接。

3.3上網行為管理

強大的P2P/IM業(yè)務監(jiān)控

能精確檢測Thunder（迅雷）、BitTorrentAeMule（申騾）、eDonkey（電驢）、

QQ、MSN、PPLive等近百種P2P/IM應用。同時，可基于時間、用戶（組）、應用協(xié)議,

對P2P/IM應用進行告警、限速或阻斷。

第26頁共59頁

H3C

ITolPN決方累，不杭州華三通信技術有限公司

基于應用的QoS

能精確識別各種常見的應用，如E即應用、視頻會議等，在識別業(yè)務的基礎上，

ACG可對關鍵業(yè)務進行帶寬保證，對其他業(yè)務按優(yōu)先級進行智能流量調度。

完善的安全審計系統(tǒng)

可對各種P2P/IM、網絡游戲、網絡多媒體、文件共享、郵件收發(fā)、數(shù)據(jù)傳輸?shù)雀?/p>

種上網行為提供全方面的行為監(jiān)控和記錄；同時，通過綜合分析、檢測用戶網絡流量

與流向趨勢，事后對歷史數(shù)據(jù)進行分析，為用戶提供細粒度的網絡行為審計管理系統(tǒng)。

VoIP昔理共享接入告育行為審it設備與系推時理美干I退出(admin)

行為審計。用戶行為審計->FTPf?用審計

用尸IP:膈務器IP:登錄名：文件名：

區(qū)域：全齷域V時間段從：2008-05-1600:00國到：2008-05-1623:59三1查詢1

FTP訪問明細列裝同導出

第1至9條總共:：9條頁：⑴每頁顯示：10[50]100500

用戶IP最務器IP登錄名探作理文件名訪問時間

0112.7815410下或ms235.tmp2008-05-1609:48:23

10.15478.12510.15478.112下我sysloglog2008-05-1611:47:06

1015478.12510,15478.112ms252.tmp2008-05-161147:06

1015478.12510,15478.112Tftms252.tmp2009-05-16115442

101547812510.15478.112Tftsysloglog2008-05-1611:56:42

1015478.12510.15478.112