H3C安全无线网络解决方案

【发布时间：2018-01-12】

提高网络接入率：

H3C网络解决方案包括智能的有线局域网和无线局域网，它们能够增大员工接入网络的范围，提供更大的上网便利性--无论是在办公室、会议室还是在空间复杂的车间，员工都能与网络保持连接，随时随地访问企业资源。这些解决方案不但能提高员工的生产效率和协作能力，也能为合作伙伴/ 客户提供方便的上网服务。

提高员工移动性：

利用H3C无线和移动性解决方案，员工可以随时随地与关键业务资源连接。无论员工身在公司何处，也不会浪费时间，因为他们可以使用无线技术安全地连接公司的关键业务、访问公司应用、客户信息。

H3C是目前国内唯一一家具有FAT/FIT AP兼容方案的厂商，两套方案没有主次之分，取决于不同的业务需求。简单来讲，仅仅作无线数据接入的、只需要L2漫游，对安全性、管理性各方面没有复杂要求，小规模无线应用适合FAT AP方案，成本也较低；需要高安全性、管理性及L3漫游切换、需要承载无线语音，且网络规模较大，适合FIT AP方案。

1、FAT AP方案

1)网络需求

能够获得较高的用户接入速率，构建便利的移动办公环境，实现企业的移动网络办公，成本投入不高，适合简单、小规模的无线部署。

2)H3C解决方案

采用FAT AP进行组网，可以通过低成本实现高质量的无线网络覆盖，同时满足基本的漫游和安全性需求。

FAT AP组网方案

3)为什么选择H3C？

大范围覆盖：高接收灵敏度，达到-97dBm（普通AP-95dBm），保证更远覆盖；

多VLAN支持：虚拟AP方式支持多VLAN，每个VLAN用户可以独立认证；

负载均衡：支持基于用户数的负载均衡、基于流量的负载均衡；

针对各类室外、特殊室内应用如仓库等复杂环境，提供专门的型号。

2、FIT AP方案

1)网络需求

能够获得较高的用户接入速率，构建便利的移动办公环境，实现企业的移动网络办公，随着无线覆盖范围的扩大，无线访问点AP的增多，AP点的安装和更换应当做到零配置，而且针对非法AP能够进行探测和定位，用户能够在WLAN覆盖区域内快速切换，用户信息和授权可无缝漫游，保持业务（数据、语音、视频）完整性、连续性，能够提供整网的全面管理，做到全面的系统级统计数据和配置变更自动告警。

2) H3C解决方案

采用无线局域网控制器来控制 FIT AP配置并优化射频(RF)覆盖和性能，同时实现集群管理，从而节省单独配置每个设备的耗时；无线局域网接入点采用FIT AP，向WLAN用户提供安全的无线局域网连接。AP为保证数据安全对传输进行加密并且响应来自无线控制器的命令，同时完全受控于无线控制器。

FIT AP+无线控制器组网方案

3)为什么选择H3C？

快速无缝漫游：保持业务（数据、语音、视频）完整性、连续性；

用户、MAC以及VLAN组：进行方便、有效、高性价比的WLAN管理；

基于用户身份的组网；

AP零配置安装：更换的AP从无线LAN交换机或控制器继承配置信息；

全面的AP控制和管理；

灵活的拓扑结构:无线控制器与AP之间跨越L2、L3网络灵活的拓扑结构；

双频AP可以实现胖瘦模式的自由切换。

连锁企业远程安全接入解决方案

【发布时间：2018-01-10】

一、连锁企业安全接入需求分析

连锁企业分支机构众多，地理分布广泛。普遍存在小型分支接入、合作伙伴远程接入和移动办公等需求。随着网络安全技术的不断发展，VPN已成为成本最低、应用最广泛的接入技术。但是，以下难题却一直困扰着用户：

● 分支机构、合作伙伴、移动用户等不同接入需求如何解决

● 接入用户的安全如何保证

● 众多分支机构如何管理

H3C远程安全接入解决方案能彻底解决上述问题，是业界最佳的VPN方案，方案由MSR多业务网关和智能管理平台组成。MSR多业务网关融合多种VPN技术和专业防火墙功能，实现分支机构、合作伙伴、移动用户的一体化远程安全接入；并通过智能管理平台实现众多MSR多业务网关的统一部署、监控、管理。

二、远程安全接入解决方案

1.分支机构接入方式

方案亮点

● 总部双VPN网关组网，可以实现负载分担和备份。

● 支持OSPF over GRE over IPSec组网，实现动态链路检测和备份切换。

● 智能管理平台实现远程接入的统一部署、监控和管理。

2.移动用户接入方式

方案亮点

● 无须客户端软件

● 使用SSL完成用户身份认证和报文加密，安全性高

● 包括本地认证、Radius认证、LDAP认证、AD认证、证书认证、双因素认证等完备的认证方式

三、方案总体优势

● 一体化安全接入方式

一台VPN网关同时支持IPSec VPN、SSL VPN、GRE VPN 以及VPE（VPN+PE）技术，一台设备即可解决分支机构、合作伙伴、移动用户的不同接入需求。

在涉及到MPLS网的情况下，通过H3C专有的VPE技术，可将不同用户映射到相应的MPLS VPN，实现分支机构、移动用户和MPLS网的加密互联。

● 全面的接入安全保障

MSR多业务网关集成多样化的防火墙功能，支持各种ARP防攻击、单包攻击、扫描攻击和泛洪攻击等防范手段，支持流量统计辅助攻击防范，应用识别和控制，网络流量监控，能有效防范来自外部和内部攻击、过滤VPN隧道中的非法流量，既保护了传输通道的安全，也保证了传输内容的安全；通过对接入用户的认证、授权和审计，防止接入用户越权使用网络，造成信息泄漏；同时对于移动用户的接入，则通过终端安全漏洞审查，杜绝不符合安全策略的用户接入。

● 统一安全管理

智能管理平台实现了远程接入的统一部署、监控和管理。BIMS能对所有分支进行统一系统软件升级、策略集中下发，当分支机构通过拨号或者NAT连接上Internet时，公网IP地址不固定，普通的网管系统不能管理，BIMS能突破普通网管的限制，实现整网设备的统一部署；VPN Manager对VPN隧道实时监控，第一时间了解用户接入状态、流量分布。

● 高可靠性

通过双机热备、动态路由等先进技术对链路状态实时探测，在链路故障或者设备故障的情况下，及时发现故障并快速自动切换，保障业务不间断运行。

商场无线零售解决方案

【发布时间：2018-01-10】

一、无线零售发展概况

当顾客走进一家商场，商家既不知道逛街的人是谁，也不知道这些人买了什么东西，所以商场不可能像亚马逊那样挖掘出有价值的数据，当你不了解你的客户时，只能坐等寿终正寝了。曾经最了解顾客需求的人便是传统零售商，如果他们希望走出泥潭，最应该尝试的便是回归本源。

基于无线的新技术给传统零售带来新的契机，用Wi-Fi无线网络完成线下数据采集，以此逐渐建立起一个庞大的顾客数据库，将电商的优势移植到传统零售业来，这将是一场传统零售业的大革命。

二、商场无线零售建设需求

商场无线网络覆盖项目是要保证商场内的员工和顾客能够使用移动终端（手机、平板电脑等）经过简单快捷的认证之后，随时随地的接入网络，并且可以实现商场内顾客的无线定位，以及对于顾客信息的收集和统一管理，进一步针对不同的顾客展开更加精细的营销信息推送；同时，为了未来扩展商场可能的无线办公系统，该无线网络必须具有一定的安全性、可管理性和可扩展性。

商场无线建设包括以下几点需求：

三、新华三无线零售解决方案

新华三的无线零售解决方案通过结合新华三的WLAN产品线，iMC业务软件产品，定制化商场业务组件产品提供了业界领先的针对商场的无线网络应用。包括，商场顾客无线上网、无线定位、基于无线WLAN的营销信息呈现、基于位置的营销短信推送等。为百货、购物中心、商场客户提供贴近营销业务的定制化解决方案无线上网认证和管理解决方案。

无线零售解决方案拓扑

1.商场无线网络架构设计

由于商场涉及的AP数量较多，综合考虑，建议使用FIT AP方案，对AP使用无线控制器进行统一管理。

FIT AP组网最大的优点在于AP本身零配置，AP上电后会自动从无线控制器下载软件版本和配置文件，同时无线控制器会自动调节AP的工作信道以及发射功率。另外，通过无线控制器的RF扫描探测热点地区Rouge AP，可以及时排除其他AP存在的干扰，保障AP的稳定运行。在网络管理方面，网管可以只通过管理无线控制器设备就可以达到控制AP的效果，极大的减少了无线网络后期维护和管理的工作量。

2.商场无线供电设计

为方便统一管理，提高设备的安全性，商场无线供电设计建议采用POE供电的方式对无线AP进行远程供电，降低施工难度，节约施工成本。

3.新华三无线网络管理（绿洲云）

新华三绿洲平台智能远程运维帮助客户提升网络运维的便利性。

为了让用户更加便捷、明了的查看网络状况，绿洲提供了强大、完善的网络监控功能，来监控网络的日常运行情况，在监控网络状态的同时，为用户提供有价值的数据分析，进而根据实际网络应用情况优化网络配置。

绿洲可对网络进行体检，根据体检结果，对当前网络健康状况进行评分，同时生成体网络评分趋势图和体检报告，实现智能化的云巡检与深度体检。

四、新华三解决方案优势

1.上网认证快速简捷，用户管理完善全面

新华三 EIA用户管理组件对有线、无线接入用户可以提供统一的接入认证、授权功能，从而对有线、无线用户使用统一帐号进行管理。

2.完善的无线实施，保障无线信号覆盖质量，保障与第三方定位引擎完美对接

无线网络的工程实施对整个项目的成败至关重要。新华三专门成立了无线工程督导团队来确保无线网络工程的顺利实施，具备丰富的无线项目实施工程经验，保证项目进度，后顾无忧。

3.开发业务接口，与合作伙伴携手打造移动互联网无线零售整体解决方案。

新华三无线零售解决方案支持与第三方无缝对接，可以很方便的开发多种基于wifi的应用，包括无线客流统计，商场广场数字矢量地图和手机实时导航，基于地理区域的信息推送平台，停车场寻车应用等大数据时代的新无线营销手段。

4.完善的服务体系

新华三公司在全国建立了30个区域服务中心和区域备件系统，承诺为客户提供专业、快捷、规范的服务，通过先进的通信技术与总部的技术服务平台连接，完成客户档案、维护经验案例、备件库存、产品发布等信息的共享，形成覆盖全国地市级城市，专职人员规模超过400人的技术服务体系。新华三致力于通过高质量的服务提高用户网络的可用性，提升用户满意度。

门店无线解决方案

【发布时间：2018-01-10】

一、中小商贸连锁门店发展趋势

如今的消费者已经成为不间断购物的顾客，他们使用网络、出入门店，并且通过微信等社交工具保持联系。想要吸引这些消费者，传统零售商就必须不断变革，经历数字化转型，建立社交化购物时代的新型顾客关系。

二、中小商贸连锁门店网络现状分析

中小商贸连锁门店分布在全国各地，由总部IT 对于门店的信息化进行管理，在日常的管理上存在问题。另外在门店方面，分为直营和加盟两种类型，因而在设备选型方面追求功能全，价格低的具备性价比的产品。同时连锁门店对于无线的需求也与日俱增。业界有一定规模的商贸连锁，对信息化会有如下要求：

● 具备营销功能的无线部署，实现顾客上网的同时，还可分析顾客行为，进店人数，广告投放的点击率，形成商贸连锁的精准营销

● 稳定的总分型网络，具备集中的运维能力，可及时定位问题

● 连锁门店设备必须为具备性价比的多功能统一的设备

三、新华三云网端一体化方案

新华三通过绿洲平台集合了智能远程运维，精准营销，以及适合于商贸连锁的客流分析等，助力商贸连锁门店的生态化平台建设。

新华三绿洲平台

1.绿洲平台智能远程运维帮助商贸连锁打理好各门店基础网络要求

● 云端监控

为了让用户更加便捷、明了的查看网络状况，绿洲提供了强大、完善的网络监控功能， 来监控网络的日常运行情况，在监控网络状态的同时，为用户提供有价值的数据分析，进而根据实际网络应用情况优化网络配置。

● 智能云巡检与深度体检

绿洲每天自动对小贝进行体检，根据体检结果，对当前网络健康状况进行评分，同时生成体网络评分趋势图和体检报告。

2.绿洲平台精准营销帮助商贸连锁门店构建新型顾客关系

● 分级分权掌握全国门店客流情况，充分了解客户习惯

通过小贝系列产品的探针特性，记录不同时段的客流数量以及停留时间，为制定营销策略提供数据支撑。

● 微信营销

目前微信活跃用户已逼近8 亿，除了是消费者普遍使用的社交工具，也承载了支付，娱乐等越来越多的功能；众多商贸连锁门店也都拥有自己的微信公众号，通过微信公众号和顾客形成线上的营销推广和互动。

● 广告推广与统计

绿洲平台为商贸连锁门店提供定制化广告页面，门店管理员或者总部运营人员可以轻松便捷的在绿洲平台设定首页、登录以及认证成功等页面的广告内容。同时可以统计和分析广告点击率等数据，进一步了解营销效果。

3.小贝系列无线产品帮助商贸连锁门店搭建基础网络

小贝系列无线产品，聚焦于中小场景，产品包括无线控制器以及无线AP。小贝系列产品在无线品质与价格中需求平衡，相对于传统无线产品来讲性价比更高，部署更方便，界面更友好。

H3C 批发市场解决方案

【发布时间：2018-01-10】

底层基础架构

新华三作为IT 基础架构领导者，为众多专业批发市场完成了底层IT 基础设施的布局。批发市场的网络架构一般涵盖了无线外网、商业运营网、办公管理网及智能化承载网：

■ 无线外网：供场内顾客上网接入，并且承载微信认证、无线定位等O2O 应用；

■ 商业运营网：承载POS 收银业务，提供高安全性保障；

■ 办公管理网：承载有线及无线办公需求，并提供一体化管理方案；

■ 智能化承载网：承载监控/ 门禁/ 楼控等弱电系统。

上层应用

大型批发市场大多体量巨大，且商品信息不透明，因而需要一个有效的线上信息平台供消费者进行线上商品浏览、价格查看、销量查询等。例如在APP 中集成的店铺搜索模块可以帮助场内的消费者快速根据自己的需求搜索相应店铺，并且通过基于室内Wi-Fi 定位的导航功能帮助顾客规划到达店铺的行进路线。

批发市场典型组网拓扑

构建连锁行业高品质VPN网络

【发布时间：2017-06-22】

VPN（Virtual Private Network）做为连锁零售企业最佳的远程安全接入解决方案，随着企业门店数量的迅速扩张，门店业务的快速增加，其重要性更是提升到了前所未有的高度。

如何构建高品质VPN网络，如何把握3个VPN建网要点：一、设备的可靠性；二、故障应急方案；三、降低维护成本。是摆在每个CIO的现实问题。本文将结合H3C多年VPN网络建设经验，给出系统性的解决方案。

VPN方案概述

VPN是利用Internet来搭建企业的私有专用网络，当需要时，VPN从Internet中独占一部分带宽，作为私有网使用；当VPN通信结束后，这部分带宽又还给Internet。由于租用Internet的成本比租用企业专线的成本低得多，加上VPN虚拟专用通道具有独占的隐密性。因此，VPN可以说是兼具低成本、高安全、灵活性于一身的解决方案，可充分满足连锁零售企业中心端、分支机构、合作伙伴、移动用户安全通信的需求。

要点一：设备的可靠性

连锁零售企业VPN网络是信息系统的承载网络，其中VPN设备的可靠性至关重要，尤其对于批量部署在连锁零售门店的VPN设备，要求能够：耐振动（掉落）、耐温差变化、抗电磁干扰（当然也不能干扰其它设备和伤害人体）。只有那些采用工业级软、硬件设计，出厂前经过严格的可靠性实验测试的设备，才能够满足连锁零售企业VPN网络的需要。

2004年，H3C斥资3000余万元的可靠性实验室成立，这个实验室是H3C所有产品硬件标准和物理性能的终极测试场所，也是H3C质量保障体系的又一个里程碑。

高加速应力实验：新产品需要在强烈的振动环境里接受严酷考验。进入试验箱的产品，将面临最高达60G的振动环境（比蹦极的自由落体还要剧烈得多），“颠簸”十分钟左右，在这种环境下“摔打”出来的产品，如果性能的各方面仍能不受影响，才算得上是H3C认可的合格产品。

环境实验室：产品会进入一个容积达10立方米的步入式温箱，其温度能够在零上200度到零下100度之间任意变换，考验产品对环境的适应能力，这种试验还可以让产品在最短的时间里暴露出在正常使用环境中可能需要几年才会有的缺陷。通过高低温试验，淘汰不合格产品，为市场提供最优质的产品。

EMS（电磁敏感度）实验室：如果把设备比作人体的话，那么，电磁能量就像流感病毒，电磁敏感度则意味着人的抵抗力。如果在流感威胁下，不易患感冒的话，那就说明免疫力强，也就是抗电磁干扰性强。EMS实验室拥有可模拟各种电磁辐射的浪涌信号发生器，为H3C产品的全面检测提供支撑。

要点二：故障应急方案

作为CIO，必须考虑VPN网络的故障应急方案。假设故障是门店人员软性误操作引起，则必须有专人指导门店人员去修复，或者有专人指挥从距离门店最近的维护点派技术人员去修复；假设故障是设备硬件损坏引起的，则必须有专人指挥从距离门店最近的备件库调拨备件，派技术人员赶去替换……总之，构成故障应急方案的基础要素是：地域分布广泛的专业技术服务队伍和产品备件库。

H3C在全国建立了30多个区域服务中心和区域备件库，通过先进的通信技术与总部的技术服务平台连接，完成客户档案、维护经验案例、备件库存、产品发布等信息的共享，形成覆盖全国地市级城市，专职人员规模超过400人的技术服务体系。

H3C还与数千家服务代理商共同承担客户的服务需求，服务网点可延伸到区县一级，推行统一的服务规范、统一的服务流程、统一的质量监控工作，通过服务链条的各个环节的团结协作，共同构筑良好的H3C服务品牌。

图1：H3C分布在全国的办事处、服务中心、备件中心示意图及服务体系流程图

要点三：降低维护成本

因为是基础设施，所以VPN网络的维护成本必须千方百计地被降低。有2方面需要考虑：一是，解决方案是否能提供给企业总部维护人员足够的远程管理手段，以减少分支机构现场的维护需求，这样可以减少分支机构所需的人员配备或减少总部人员到分支机构维护的出差次数；二是解决方案是否提供了较多的人性化功能，使得要新增VPN接入点的时候，可以快速、方便地完成。

H3C的远程安全接入解决方案中，提供了BIMS（Branch Intelligent Management System，分支智能管理系统），能够实现从企业总部网络管理中心集中对分支VPN设备的管理，如：配置文件下发、设备软件升级等。具有特色的是，BIMS还能实现对动态获取IP地址的设备或位于NAT网关后面的分支VPN设备的集中、有效的监控和管理。另外，在对配置基本相同、数量庞大并且分布广泛的VPN设备进行管理时，BIMS还可以提供配置模板，能够极大地提高管理的效率，大大节约维护成本。

总结

H3C连锁零售企业远程安全接入（VPN）解决方案是经过多年艰苦努力，研究、实践、摸索出来的。在连锁零售企业VPN需求广泛出现之前，就已经大规模服务于平安保险、中国人寿、中石油等大型企业的广域网。随着中国连锁零售企业信息化需求的快速增长，H3C将依托自身在产品质量、服务体系、解决方案等方面的优势，不断提高，更好地为连锁零售企业服务。