XX军区医院无线(WLAN)覆盖解决方案技术

1、南京军区医院无线覆盖解决方案技术建议书目 录1前言31.1概述31.2业务需求分析31.3整体建网原则42无线局域网总体技术方案62.1总体方案设计62.1.1认证方式选择62.1.2无线用户的认证管理82.2无线网络方案82.2.1组网方案82.2.2无线查房系统112.2.3无线设备选型132.2.4智能射频管理142.2.5智能负载均衡152.2.6无线入侵检测162.2.7ap供电172.2.8无线网络管理183附录1：wlan覆盖效果工程设计计算20附录2：用户认证系统介绍261 前言1.1概述随着21世纪社会经济迅速发展，互联网与无线通信技术的融合。高速率，高性能和兼容性已成为人们

2、的普遍要求，对随时随地进行通信和信息服务的需求变得迫切。现有的有线网络在某种程度上已不能满足需求，因此，无线化，智能化的移动通信以及快捷方便的无线接入，无线互联等众多适应当前需求的新概念和新产品应运而生。wlan是wireless local area network的缩写，中文全称为“无线局域网”。wlan采用射频（rf）技术构成局域网络，是一种便利的数据传输系统。由于无线局域网设备一般工作于免授权（unlicensed）频段，在频段的使用上无需高昂的许可费用，而无线局域网可以在不受地理条件限制、通信不便利以及移动通信的情况下，组建计算机网络，因此它是有线网络的重要补充。据cahners i

3、n-start集团预测，到2006年，全球将大约有4万个公共wlan场所，主要用于给装备有wlan便携pc的雇员提供无线桌面连接，以及会议室和拜访客人的无线连接；在小型公司里，wlan的灵活性和节省成本的优点体现得更强，将有45的小公司和分支机构将使用wlan解决方案；家庭网络由于用户数量巨大，也将是一个不可忽视的市场。目前无线局域网技术已成熟完善，802.11技术标准本身已具备作为运营网络的一种宽带接入手段所需要考虑的区分运营网络接入、空口安全、用户隔离、多ap间慢速切换、多ap间用户负载均衡等特性规范。802.11技术产品产业链已经逐步形成，产品成熟稳定，适合各种应用场合的ap基站以及配套

4、天馈系统已在运营商网络中大量应用。无线局域网技术已超越原先定义的为企业或家庭提供最后100m接入（无线hub）的范围。可以预见，wlan作为一种高速无线数据接入的手段，必将与现有网络一起，构成灵活、高效、完善的宽带网络。1.2业务需求分析南京军区医院的网络目前都是有线网络，但有线网络没有解决空间覆盖的问题，同时也不能解决信息实时收集的问题，面对将来医院网络趋于实时化、数字化的发展方向，wlan技术的移动性、灵活性和高效率不仅解决了网络覆盖问题，而且可使医护人员能实时获取患者信息或者搜索决策支持信息，这种系统使医护人员可以更加准确、快速和高效地制定决策和采取相应的措施，具体体现包括： 电子病历访

5、问/查看 医生处方输入和药物治疗匹配 护士呼叫系统 患者床边服务 对重要的统计数据的监控同时，本次南京军区医院无线工程还将满足以下业务需求： 针对医院的空间要进行全面覆盖； 无线网络通过安全认证，保证医院信息不能通过无线网络外泄露； 用户在无线区域内移动时，不需要多次重复认证，实现自动漫游，即业务不中断；1.3整体建网原则结合wlan的实际应用和发展要求，无线局域网(wlan)网络系统设计，主要遵循以下系统总体原则： 实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。 安全性原则：wlan是一个空间开放网络，同时作对信息的安全以及网络的安全要求较高。 可靠性原则：系统设计能有效的

6、避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。 规范性原则：系统设计所采用的技术和设备应符合wlan国际标准、国家标准和联通wlan企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。 可管理性

7、原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。2 无线局域网总体技术方案2.1总体方案设计南京军区医院无线网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则，并考虑到技术的先进性、成熟性，采用模块化的设计方法。整个方案设计的要点主要包括认证点的选择问题、网络安全设计、无线网部署、网络管理几个方面。我们将在后面的方案详细设计中进行分析和方案描述。本方案设计具有以下前提： 目前的网络中都不具有poe供电功能，每台ap的配件中带有一

8、块供电模块，可以通过与交换机之间串接为ap供电； poe供电模块的功率都能满足ap的工作功率需要（10w）； 采购新的poe交换机，实现ap的远程供电；2.1.1 认证方式选择由于本次工程使用的无线接入点设备ap（access point）数量较多，如果全部认证由ap完成，则每个用户信息全都要下发到每个ap内，管理起来非常不方便，扩展性也差，同时在多ap之间进行移动工作时，涉及到认证中断的问题：要进行重新认证；基于以上考虑，我们建议本次的wlan覆盖中，有两种方式供选择：1. 由ap进行802.1x协议终结，由后端的认证平台cams完成对移动用户的认证；2. 如果现网的交换机具有802.1x的

9、终结能力，则由交换机与cams系统配合完成用户认证，这样不论是移动用户还是固定用户都可提供统一认证。以上两种方式都有一个共同的特点，即用户的认证管理如：用户的口令、权限等管理工均由后台的cams用户认证管理系统统一来完成的，与终端用户的接入方式无关，后续系统的维护和管理非常方便。802.1x协议是ieee在2001.6通过的正式标准，标准的起草者包括microsoft，cisco，extreme，nortel等；802.1x定义了基于端口的网络接入控制协议（port based network access control），该协议适用于接入设备与接入端口间点到点的连接方式，其中端口既可以是物

10、理端口，也可以是逻辑端口。华为公司的网络设备对802.1x做了扩充，使其可以基于mac地址进行网络接入控制。用户使用802.1x认证的过程如图所示：802.1x认证流程示意图接入ap的无线终端采用802.1x模式，首先接入ap的客户端通过802.1x认证输入用户名、密码后客户端发起eap报文至ap，在ap上终结eap报文，然后从ap经交换机发起raduis报文至cams服务器，由cams服务器来验证用户名、密码是否匹配，在认证通过以后由cams服务器下发raduis报文至交换机和ap通知该用户认证通过，ap再将相对应的信道打开，允许学习mac地址，允许用户上网。如果采用接入交换机来完成认证，则

11、ap不再承担终结802.1x的eap报文的工作，而是透传到接入交换机，由交换机完成eap报文终结，转换为radius报文后与cams认证服务器交互，完成认证过程。针对交换机的802.1x认证方式，华为公司还对802.1x认证方式进行了优化，使其可以支持基于mac的用户控制，即一般情况下如果多个用户连接到一个hub，其中一个用户认证通过后，其他用户也能够使用网络，但华三公司对802.1x认证方案优化后，只有认证通过的用户（mac）才能使用网络，其他用户还是不能使用网络。2.1.2 无线用户的认证管理wlan用户的认证和管理统一由华三的综合访问管理服务器cams （comprehensive ac

12、cess management server）来完成，cams具有系统功能强大，操作简单的特点，其特色功能如下： 用户绑定功能cams支持绑定用户名和设备ip地址、入端口号、vlan id、用户mac地址、用户ip地址等信息，保证用户绑定合法性。并支持用户mac地址和用户ip地址自学习功能，大大减少管理员的录入量。 认证区域绑定功能通过认证报文上传的认证接入设备ip地址，cams系统可实现认证区域绑定功能。用户上网的区域可被限制在一定范围内，增强了网络的安全性。 防代理功能cams提供防代理功能，禁止用户使用代理上网，并支持限制用户使用的客户端，要求用户必须使用专用安全客户端，并强制自动升级，

13、确保认证客户端的安全性。 用户黑名单管理cams认证系统支持黑名单管理，支持手工加入黑名单、自动将恶意登录用户加入黑名单、并提供黑名单增强功能：在被试探帐号加入黑名单的同时记录恶意试探机器的mac地址，限制从该mac地址的机器试探该帐号，但被试探帐号可以在其它mac地址的机器上正常使用，保证登录用户的合法性。2.2 无线网络方案2.2.1 组网方案南京军区医院具体ap点位如下图所示：住院楼的无线覆盖空间主要包括：病房、机房、护士站、医生办公室、库房、理疗室、备餐间、示教室、备餐间、主任办公室、值班护士长办工室、护士值班室、医生办公室、换药房、护士站等，每层的长度大约为90米左右，本次无线覆盖方

14、案以本着节约、全覆盖为原则，ap都将放置在过道，满足信号覆盖到每一个房间；每层总共使用：4+4=8个ap；本大楼覆盖的楼层包括从1到15层，其中这115层的结构基本一致，共需ap 8*15=120个ap；高干楼共有六层，需要覆盖的楼层为1层6层，由于高干楼的平面空间不大，通过实际的ap信号强度测试，建议在过道的天花板上放置4个ap即可。六层共需4624个ap肾脏病研究所共有四层，需要覆盖的楼层为1层4层，和高干楼一样，实际平面空间不大，通过实际的ap信号强度测试，建议在过道的天花板上放置4个ap即可。四层共需4416个apap在走廊部署情况如图所示：综上所述，整个南京军区医院的外网的无线覆盖共

15、需ap的数量为：住院楼120个ap 高干楼24个ap 肾脏病研究所 16个ap 160个ap考虑到无线网络覆盖，有可能存在个别盲点的问题，还预留10个ap进行机动调整，整个ap总数量为16010170。2.2.2 无线查房系统按照医院规定，医生医嘱要在指定时间内及时下发，在传统工作模式下，医生需要随身携带一大堆病历本了解不同患者病情，并且以手写方式记录医嘱信息，等查房完全结束后，再录入到电脑中交给护士去执行，医生要花大量时间在文字工作上，而另一个直接后果是患者只有等待查房结束才能得到及时治疗。为解决这个问题，在住院大楼中引入wlan无线系统，越来越成为一种潮流，通过部署wlan，医生只需手持平

16、板电脑或者pda即可在病床前实时调阅病人各种信息，而下达的医嘱信息也能通过无线方式及时传递给护士去执行，护士在执行医嘱的过程中，如果发生异常情况，还可通过无线的方式及时通知医生，医生可对医嘱进行调整，wlan的使用将最大程度的降低患者等待时间，提升患者满意度，提升医生查房工作效率。与常用的会议室wlan的静态接入不同，由于医生在多个病房间移动时需要保障数据传递不中断，这涉及到跨ap漫游的问题，的无线接入交换机在解决漫游接入方面具有天然的优势。传统无线网络中，ap负责802.1x认证终结、动态密钥的产生、漫游切换等全部工作，只有高端的多业务ap，即“fat ap”才能担负起责任。引入无线交换机后

17、，这些工作由交换机来完成，使得ap的功能需求更低，可以选择更低档次的ap设备，即“fit ap”，并且原来需要人工参与设计的频率规划、无线功率调整等工作也可由无线交换机来自动完成，网络规模越大，无线交换机的优势就越明显。2.1.7无线覆盖解决方案在采用wlan实现大楼馆覆盖时，首先要保证覆盖，让最终用户在场所内任何角落都可接入；其次是接入带宽，由于无线网络本身的原因，没有足够的带宽也无法与有线宽带网络媲美。采用wlan技术覆盖室内目前已非常成熟，在网络设计规划方面都有很多的经验可以选择。并且可以根据实际衰减情况，适当增加ap实现全覆盖，并且还能提供更高的接入带宽。此外考虑医院大楼已付诸使用，考

18、虑到楼宇的整体美观以及设计上的简便方式，实际覆盖时建议采用可以采用wlan室内覆盖，对ap的供电采用独立poe盒交换机供电方式。为避免对周边环境美观的影响，采用外置吸顶天线，将ap隐藏到天花板后面，达到所需要的覆盖效果。以下为实际ap以及天线布放示意图。fit ap wa 2110和配置天线后的示意图2.2.3 无线设备选型华三通信作为ip通信设备的领导厂商，能够提供全系列的无线接入局域网解决方案，在此我们推荐使用 wa2110 fit ap和wx6103无线控制设备进行组网。通过无线交换机的控制，在ap之间可以通过iapp实现对用户数的限制，灵活控制接入带宽的流量。wa2110为一个fit

19、ap，主要负责射频的控管部分，并侦测网络内是否有非法ap；由于所有的安全管理控制都由wireless switch统一进行，可以达到使用者在不同ap间无缝自动漫游的功能，及ap之间射频的协调管理乃至负载平衡机制。wireless switch无线交换机是无线网络系统中重要的一环，它的功能涵盖事前站点监控的工具，运行期间各ap的设定及射频调整，使整个网络内覆盖率能达到最佳化，及无线网络中所有节点包括wireless switch，ap，及使用者行为的统计与事件的记录等。如果只是对ap进行单台配置，不但工作量大，且难于维护和管理，在次我们采用了无线交换机的形式，通过无线交换机的策略下发，对所有的a

20、p进行统一的策略管理。公司提供的无线网络管理软件，也为wlan网络的部署和管理提供了图形化的智能管理工具。2.2.4 智能射频管理智能射频管理决定了无线系统的可用性和自愈能力。的每个fit ap上电时，无线控制器会根据ap的邻居关系动态调整ap工作的信道和发射功率，在保证覆盖的前提下保证ap间的干扰最小。当ap覆盖区域受到外界强信号干扰时，无线控制器会控制ap自动切换到合适的工作信道以规避干扰信号。当覆盖区域内的某个ap发生故障而造成覆盖黑洞时，无线控制器会自动调整相邻的ap的发射功率以消除黑洞区域，当故障ap恢复工作后无线控制器可以自动调整邻居ap的发射功率恢复原始工作状态。2.2.5 智能

21、负载均衡通过的wx6103系列无线控制器可以设定ap间对接入用户进行负载分担，如下图所示，当ap1接入用户数量达到一定的阈值时，ap1会将情况上报到无线控制器，由无线控制器下达指令：“该区域新增用户统一与ap2进行关联”。负载分担的策略可以是基于ap接入的用户数量，ap流量负载情况。当无线控制器发现ap的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的ap可供用户接入，如果有则ap会拒绝用户的关联请求，用户会转而接入其他负载较轻的ap。公司的无线网络解决方案更加创新的使用了“智能负载均衡”技术，保证只对处于ap覆盖重叠区的无线用户才启动ap负载均衡功能

22、，有效的避免误均衡的出现。2.2.6 无线入侵检测的无线解决方案能够有效的进行非法设备的识别和处理，有效的抵御外部设备的入侵，非法设备是未经网络管理者许可部署的无线设备或者是发起无线攻击的设备。wx6103无线控制器可以指定ap工作在两种工作模式：模式一、ap负责监听空口所有信道的信息，但不负责用户报文的转发。模式二、ap在为用户转发数据的同时定期切换到其他信道监听信息。在监控信息的状态下，ap设备负责把监听到的无线设备和有攻击行为的无线设备上报给无线控制器，无线控制器根据ap上报的设备信息识别非法设备，排除合法设备。wx6103无线控制器还可以控制ap 将非法设备列入黑名单或者对其发起攻击。

23、2.2.7 ap供电由于实际组网应用中ap设备数量较大，ap都带有一个供电模块，只需要通过ap供电模块和现有的楼层配线间的交换机，为ap实现远程供电，供电距离达100米，能够满足实际组网的要求。ap通过ap供电模块供电示意图通过ap供电模块进行供电的方式可用于临时盲点覆盖使用。考虑到本次组网方案中ap数量众多，为方便ap电源的统一部署，还配备了带有远程供电功能的s3100-pwr-ei，s3100-pwr-ei固定配备16或者24个10/100兆远程供电接口，可满足24台ap的远程供电需求。同时配备了2个千兆电接口/光接口，能与原有的楼层交换机对接。2.2.8 无线网络管理wsm无线业务管理器

24、是imc智能管理中心的业务组件之一。 imc智能管理中心采用分布式、组件化、跨平台的开放体系结构。通过选择安装wsm无线业务管理器，用户可以获得全面的无线业务管理能力，实现ac设备、fat ap设备、fit ap设备、移动终端等无线设备的集中管理，轻松实现设备配置管理功能，并提供资源分组、无线拓扑功能，对全网无线设备进行直观有效的组织，对网络部署和设备状态一目了然，策略模板等功能实现网络和设备的批量配置，提升效率，降低维护工作量，降低维护成本。基于web的管理系统，为无线业务管理者提供了简便、友好的管理平台。与imc智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性能监控、软

25、件版本管理、配置文件管理、接入用户管理、用户认证管理等功能，并可对网络中的其它设备进行统一管理，真正实现有线无线一体化管理。wsm无线业务管理器界面 有线无线一体化管理，提升整体管理能力，使用户获得最佳管理体验，并节约用户部署和维护成本； 漫游域、物理位置、设备类型等多种视图呈现网络资源，网络部署情况更加清晰； 多纬度、多层次、自定义的资源分组管理，有效组织全网资源，灵活机动，建立更加适应用户的个性化网络管理平台； 从纷繁复杂的网络中抽象出逻辑化的无线业务拓扑，使无线网络展示更加清晰，帮助用户更加有针对性地管理无线业务； 漫游域、物理位置等多种拓扑视图帮助用户从多角度监控无线网络，物理位置拓扑

26、视图通过用户实际的户型结构，根据无线设备真实的摆放位置，展示最为逼真的网络部署情况； 支持目前普遍使用的fat ap和更加先进的ac+fit ap两种无线网络部署方案，提供全面的无线网络业务管理能力； 全面的无线参数浏览及批量配置功能，使用户真正实现无线网络和设备的远程集中监控和管理； 强大的故障管理能力及设备状态实时显示功能，使用户对网络运行情况了如指掌； 移动终端漫游过程记录，帮助用户审计最终用户漫游轨迹wsm无线业务管理器拓扑展示3 附录1：wlan覆盖效果工程设计计算 wlan室内传播模型无线局域网室内覆盖主要特点是：覆盖范围较小，环境变动较大。一般情况下我们选取以下两种适用于wlan

27、的模型进行分析。由于室内无线环境千差万别，在规划中需根据实际情况选择参考模型与模型系数。l devasirvatham模型devasirvatham模型又称线性路径衰减模型，公式如下：pl(d,f)db为室内路径损耗（a=0.47）其中，为自由空间损耗d：为传播路径；f：为电波频率；a：模型系数l 衰减因子模型就电波空间传播损耗来说，2.4g频段的电磁波有近似的路径传播损耗公式为：pathloss(db) = 46 +10* n*log d（m）其中，d为传播路径，n为衰减因子。对不同的无线环境，衰减因子n的取值有所不同，在自由空间中，路径衰减与距离的平方成正比，即衰减因子为2。在建筑物内，距

28、离对路径损耗的影响将明显大于自由空间。一般来说，对于全开放环境下n的取值为2.02.5；对于半开放环境下n的取值为2.53.0；对于较封闭环境下n的取值为3.03.5。典型路径传播损耗理论计算值如下表：距离（米）传播损耗（n=2.5）传播损耗（n=3.0）传播损耗（n=3.5）10m63.47db66.97db70.46db50m80.95db87.94db94.93db100m88.47db96.97db105.46db ap信号链路损耗计算根据模型，室内路径损耗等于自由空间损耗加上附加损耗因子，且随距离成指数增长。接收电平估算公式如下：其中：prdb为最小接收电平，即为ap在不同传输速率下

29、的接收灵敏度；ptdb为最大发射功率；gtdb为发射天线增益；grdb为接收天线增益；pldb为路径损耗；我们可以对ap信号极限传播距离作如下理论计算：假设天线发射和接收增益为零，ap发射功率为16.2dbm时，理论室内传播最大距离如表中所示：速率（mbps）灵敏度（dbm）室内最大传播距离（m）devasirvatham模型衰减因子模型11-885348.95.5-916063.12-936472.41-966994.8 ap信号穿透损耗现阶段可提供的2.4g电磁波对于各种建筑材质的穿透损耗的经验值如下：l 隔墙的阻挡（砖墙厚度100-300mm）：20-40db；l 楼层的阻挡：30db以

30、上；l 木制家具、门和其它木板隔墙阻挡2-15db；l 厚玻璃（12mm）：10db（2450mhz）另外，在衡量墙壁等对于ap信号的穿透损耗时，需考虑ap信号入射角度。一面0.5米厚的墙壁，当ap信号和覆盖区域之间直线连接呈45度角入射时，相当于1米厚的墙壁；在2度角时相当于超过14米厚的墙壁。所以要获取更好的接受效果应尽量使ap信号能够垂直的穿过（90度角）墙壁或天花板。 用rf器件的关键技术指标不同厂家的wlan设备在使用天馈系统时对通道隔离度要求不同，以下为华为wlan方案对rf期间的关键指标要求，局方在选型时作为参照。滤波器合路器的技术指标：合路方式gsm、dcs/wlan2合1gs

31、m/dcs/wlan3合1通道间隔离度50db（min）若其它厂家直放站接入，则需要80db插入损耗0.5db（max）1045端口驻波1.3：1（max）功率容量20w（每个通道）接头形式n-female等功率分配器技术指标：（表中的插入损耗包括分配损耗）描述1分21分31分4工作频段880-2500mhz功率分配比1:11:1:11:1:1:1插入损耗3.4db5.1db6.4db端口输入驻波1.5:1接头形式n_female功率耦合器技术指标：（小规模室内覆盖系统工程中主要选用以下三种不同耦合度的耦合器）描述7db耦合器10 db耦合器15 db耦合器工作频段880-2500mhz耦合度

32、7db10db15db插入损耗1.2db0.5db0.3db端口驻波1.5接头形式n_female室内天线技术指标宽频带全向天线宽频带定向天线工作频段880-2500mhz880-2500mhz增益1-4dbi5-10dbi水平面波束宽度36050-90极化形式垂直功率容量20w驻波22接头形式n_female同轴连接器技术指标类型n型n型描述同轴连接器-n型插头-50/直角/公型-螺母安装-配1/2电缆同轴连接器-n型插头-50/直式/母型-配7/8电缆所配电缆型号1/27/8阻抗50欧驻波1.2泄漏电缆技术指标描述特性阻抗：50欧衰减常数：900mhz：0.051db/m；1800mhz：

33、0.076db/m；2450mhz： 0.088db/m耦合损耗：900mhz：72db； 1800mhz：84db; 2450mhz： 88db(耦合孔2米远处的损耗值，95%)电缆结构规格7/8配套接头型号防火性能有阻燃和防紫外线能力馈线技术指标1/2普通1/2超柔7/8普通特性阻抗50欧50欧50欧衰减常数900mhz：0.069db/m1800mhz：0.101db/m2450mhz: 0.121db/m900 mhz：0.112db/m1800mhz：0.166db/m2450mhz:0.20 db/m900mhz：0.039db/m1800mhz：0.056db/m2450mhz

34、: 0.069db/m所配n型接头型号弯曲性能一般较好较差负载技术指标工作频段0-2.5ghz特性阻抗50欧端口驻波比1.2接头形式n_male功率容量2w附录2：用户认证系统介绍cams（comprehensive access management server）综合访问管理服务器是华为3com公司推出的集事前认证、事中监控、事后审计和业务管理为一体的多业务安全接入管理平台，可以与华为3com交换机、路由器、vpn网关等网络设备共同组网，实现对用户宽带接入、vpn接入、无线接入以及ip电话接入的管理、认证、授权和计费。 cams作为企业网的用户管理中心，在基本的aaa（authorizat

35、ion、authentication and accounting）功能之上， 提供了多业务融合的管理、维护和安全控制平台，可与企业现有系统平滑对接，构建可管理、可运营、高安全的企业网络。产品特点cams采用分布式、模块化、跨平台的开放体系结构和基于tcp/ip的通信机制，可以平滑扩容、灵活扩展、按需定制。cams采用windows操作系统平台和sql server数据库管理系统，并支持集群服务器、磁盘阵列、数据库备份等特性，为用户提供了一种低价格、高可靠、高性能的网络安全和用户管理解决方案，能够满足各种规模网络的用户管理、身份认证、权限控制和实时计费的要求。完备、可靠的网络安全保证强大的用户

36、身份认证l 支持802.1x、pppoe、portal/portal+（dhcp+web）、vpn接入、无线接入、ip电话等多种认证接入方式。l 支持pap、chap、eap-md5、eap-tls、peap等多种身份验证方式，适应不同安全要求的应用场景。l 支持用户与设备ip地址、接入端口、vlan、用户ip地址和mac地址等硬件信息的绑定认证，增强用户认证的安全性，防止账号盗用和非法接入。l 支持与windows域管理器、第三方邮件系统（必须支持ldap协议）的统一认证，避免用户记忆多个用户名和密码。l 支持多区域用户漫游。l 支持端点准入防御（ead）解决方案，确保所有接入网络的用户终端

37、符合企业的安全策略。（提供自动补丁管理、多厂商防病毒联动防御等系统漏洞管理能力，确保终端的自防御能力。提供桌面管理代理，支持软件安装合法性检查、网络服务合法性检查、终端安全设置检查等功能，确保终端的运行环境符合企业安全标准，防止滥用网络游戏，私设dhcp、代理等网络服务。支持安全级别的个性化设置，可以根据实际需要进行各种安全策略的灵活配置。）严格的用户权限控制l 基于用户的权限控制策略，可以为不同用户定制不同网络访问权限。l 可以控制用户的上网带宽（qos；802.1x认证支持）、限制用户的同时在线数、禁止用户设置和使用代理服务器，有效防止个别用户对网络资源的过度占用。l 可以实现对用户acl

38、、vlan的控制，限制用户对内部敏感服务器和外部非法网站的访问（802.1x认证支持）。l 可以限制用户ip地址分配策略，防止ip地址盗用和冲突。l 可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网。l 可以限制终端用户使用多网卡和拨号网络，防止内部信息泄露。l 可以限制用户必须使用专用安全客户端，并强制自动升级，确保认证客户端的安全性。详尽的用户行为监控l cams提供强大的“黑名单”管理策略，可以将恶意猜测密码的用户加入黑名单，并可按mac、ip地址跟踪非法行为的来源。l 管理员可以实时监控在线用户，强制非法用户下线。l 支持消息下发，管理员可以通过cams向上网用户发布通知消息，如“系统升级，网络将在10分中后切断”、“您的密码遭恶意试探，请注意保护密码安全”等。l cams记录认证失败日志、并可以全面跟踪用户上网流程，方便定位与解决用户无法接入、异常断线等问题。灵活、开放的计费策略cams系统采用开放、抽象的计费模型，具有良好的适应性和扩充性，能够满足不同应用场景的计费需求，用户可以根据运营的需要轻松定制计费方式和费率。l 支持纯包月、包月限时、包月限流量等易于管理的包月型计费方式。l 支持包月暂停的功能，可以