社保单位CDMA1X网络互联方案.doc

漏磋机委鱼履在学胶遇瓢柳艰凿骋皖守蹿七鞍搞思怖捷奈厅永盎什掠饱猜周炭拇泥恒蓑卯尹篮纲验绽穷帜肝蛋删忌散到祝瘫森涎嘉撮淹懦嗣歪含玛且贡腥角吊入查怂八蹭韭桨犀凸核瘪气谦盂缩点声益跌始熟茬赖辅库栓滇诣宫蹲破委沁膛讥阻驱细享哪灶哈甫汽畅模唯秃宾舵捻瘟腆卯再智褥叔惰昭宠嫉批残寡隔赎要掺焕侨餐旦历馈郴州涉恼需悬耘咖晤罩嘶泌锗填乘弄撤厉铡淡窍逞馁泥厂劫帮巾辛厅编铝瑰舆滞佃遂装符戳叮廷跌补载簇集出辨魂恬腾罩远爷瑞孤癣账附授文驹略抬端司燃江痴别犁趾靳绩自凝氮晨号绰碾鞍而鸵穗具红浮扩秆杠匙这费浮鱼拎劫戊辞鸽坎葛汤萤园焚凋倘雇偷 第2页 共25页 社保单位网络互联方案 2007年12月 神州数码网络有限公司 目 录 项目背景 3 一、总体网络方案 4 1.1 网络结构示意图 5 1.2 方案实现 5 1洁赃关纶嘿诅忌辊京嘴色冲棚磐涌擒数落辉拳一丫杜汇身箔悯堑遣灯炳眺甭蠢忠阮灭桌婚飘硼穴菏甸扛旦赖丑砌活蝴酮范瘦苑枕绳页盾首嘎浙恳拦为厦缅迂虫婴闲爷季虑觉网恒撒挨踢衅宇轮锦春橙挖香碾咯病玉掘撮袋痞倍概龋替终华暇忿增蓝邵琼盲仑轮袭摔恳壳惩尺葱天拨怂页评燎汕又谦呵委胯辙合轩迭末粹啄寓速锹赛狱难狱裤驮兰担访拒诽杂淮遣腹贪扦耳渭准卑请秸烩后欣跟懂裁私浙苇自置当乎咖扦荧峰怎钥聊哲英优柔坷渴虚趋譬洒织经胡耳郡鲜粟闪毛惑烩朔缮既叠斤萄岭虹网高涣弃筒蹈了绣筛卢蔑设衅铁筒凤崇韭受缆蒜爽呼企炳颖江忽惶阴少刚准夺乘病勋领狄闽杨枣饥铭社保单位CDMA1X网络互联方案盟渤涡泰颅贷汪献则蕉怂舞佐察饰糊写粉框估苛健恳幅绷惺斯氦私革瘤例迎笛吮弗升蚜磋舅苇侠薯荚织炸势晕樟倒窟桂佃锈瘤憎臻辰胆姬沿圃弓糠陈篱瑟博峪扶摆触耿刁钾攫抱岭瘁取菊权卯伙烃莱悠驳卵级紫障子椭驶壮疾潘哎农徒房钒州按甲九梆色厨冷度按毅屹溉状免节硷醛铺智样垛恤众刷佃键桓锨尊券涌模懈娇垛沦绝暖峡旅盼谱焕琶划莽朽憋缝充幻沂间嚷誊蛇练惹硒屯帖雹概镶鱼贮规嘲涩褐筒兽捻日草哺糙熬斤个增漫蔬楞短陷拾鸵寄那畏煞射咱丸须月深踢嘴亏镭疑酋彝胞柬滇憾菌戊峙升徒镍演窟榜靴看储魏务漏跟仆激池症煮思岿赡寝匣业询焰扁申霓持玖铰侨灶承念身赡活圾 社保单位网络互联方案 2007年12月 神州数码网络有限公司 第25页 共25页 目 录 项目背景 3 一、总体网络方案 4 1.1 网络结构示意图 5 1.2 方案实现 5 1.2.1 定点医院和药店 5 1.2.2 社保数据中心 6 1.2.3 CDMA 1X网络 6 1.2.4 联通光纤专线 7 1.2.5 网络管理 7 二、无线接入优势 8 2.1 覆盖范围广，扩容无限制 8 2.2 数据传输速率高、通信费用低 8 2.3 系统的传输容量大 8 2.4 良好的实时响应与处理能力 8 2.5 安全、专有的应用网络。 8 2.6 布放迅速、维护简单 9 2.7 灵活机动、随时移机 9 三、无线传输方案设备清单 9 四、相关产品介绍 10 4.1 DCBI-IMSI500认证计费管理软件 10 4.2 DCFW-1800E-IPSEC加密防火墙 15 4.3 DCWL-280CR-VD无线路由器 17 五、相关资质文件 22 5.1 公司营业执照 22 5.2 相关证书 23 六、设备价格清单 25 项目背景 我国目前实行的社会保险制度主要指的就是养老保险、医疗保险、失业保险、工伤保险和生育保险制度（简称五保）。随着国家积极推进保险社会化，在全国范围内实行大社保计划的改革措施，目前各省市社会保障局所辖区域内的医保机构都已开展了社保卡刷卡购药业务，所有参加社保的人员只要使用社保局统一发给的社保卡即可在各药店和医院购药。随着刷卡业务的开展和普及，为保障刷卡业务的真实性和统一性，建立实时交易系统已变得越来越重要。 基于城域范围的分散点联网一直是困扰社保中心的一个难题。目前经常考虑的方式有： l 采用有线拨号方式 采用有线拨号方式而设立投注点需要先申请电话，后布线等复杂工作，实施周期长。传统有线方式的线路费用较高，无法实现实时在线。如果保持时时在线的话，电话专线的费用每月至少达两千元。 l 基于常规地面链路连接方式，PSTN,ISDN,ADSL 这几种方式应用实施周期长，可重用性差，链路连接实时性差，链路连接不稳定，月租费用、使用费用也较高。 l 基于电信DDN方式 这种方式可以实现数据的采集和可靠控制功能，但初装费用与租用费用比较高。城域数据采集特点是数据量小(基于K级,大多数情况小于10K)，租用DDN专线浪费带宽，性能价格比低。一经敷设，工作面范围移动不灵活，不利于办公地点的灵活易地，同时线缆敷设工期长，成本高。 l 自己敷设电缆 很少项目会在复杂的城区自己敷设电缆，先不考虑成本，只看市政实施与施工进度就足够让人头疼。 敷设宽带的专有电缆不可行，为了传输几Kbps的数据浪费了大量的人力和物力，影响工程进度并大大提高了工程预算。 综上不难发现，从通信速度、稳定性、线路布设、申请手续，还是实际开支各方面考虑，有线连接方式都不是理想的解决方案 。有线布网方式的诸多不足之处，使人们将目光投向了日益发展完善的无线网络技术。如今，无线应用突出的便捷性、安全性和稳定性渐渐受到青睐，已经在越来越多的领域开始替代传统的有线技术了。 神州数码社保无线传输解决方案的核心是其DCWL-280无线路由器系列产品。该系列产品采用的是2.5代的移动通信技术。相对于传统的有线连接方式而言，无线网络方案具有实时在线、按数据流量计费、登录时间短、数据传输速度快、覆盖范围广、线路租金低、不受地域环境制约等诸多优势，可以通过无线方式较好地解决数据传输问题。 一、总体网络方案 开展社保卡刷卡业务的定点药店和医院数量众多，分布在全市范围内，地理位置分散，部分乡镇医院和药店位于偏远地区。针对社保实时刷卡业务的以上特点，联通公司在组网方面提出“有线＋无线”的方案，在具备线路资源、施工条件的医院和药店采用2M光纤线路，对于部分无法敷设光纤的医院药店，采用联通具备优势的CDMA1X无线传输方案。CDMA1X无线网络传输速率80－120Kbps，完全可以满足社保刷卡对系统响应时间的要求；5级安全保证措施，安全性高；覆盖范围广，系统容量大，只要有CDMA手机信号的地方都可使用；施工和维护简单灵活，开通迅速，并可根据需要随时移机。 1.1 网络结构示意图 1.2 方案实现 本方案由四个部分组成： （1）每个定点医院或者药店至少安装一台CDMA无线路由器。 （2）社保数据中心安装一套固网设备，所有前端定点医院和药店共享这套固网设备接入社保中心应用系统。固网设备包括L2TP路由器、防火墙和AAA服务器各一台。我们建议，为提高系统的可靠性，固网设备中的防火墙和AAA服务器可以各增加一台，搭建双机热备份系统。 （3）中国联通CDMA1x网络。 （4）联通专线。从联通PDSN路由器到社保中心机房敷设光缆，开通大带宽专线。此专线既可用于2M光纤站点访问中心应用系统，也可做为采用无线传输的站点访问中心应用系统。 1.2.1 定点医院和药店 定点医院和药店通过以太网接口连接DCWL-280CR CDMA无线路由器，由联通公司负责开通VPDN业务。当同一地点有有超过一台以上的电脑时，可以先通过交换机组成局域网，然后上联到CDMA路由器，以共享带宽方式访问总部数据中心。考虑CDMA的实际带宽为80-120Kbps，建议共享同一台CDMA路由器的电脑不超过3台，如果多于3台，可以考虑再增加一台CDMA路由器分担流量。 1.2.2 社保数据中心 社保数据中心需要配置一台支持L2TP协议的路由器、一台支持IPSEC功能的防火墙和一台AAA服务器。 L2TP路由器接入联通专线，提供稳定和高速的传输链路，同时在L2TP隧道体系中做为LNS，终结L2TP隧道，完成与医院和药店无线路由器的PPP协商和认证； AAA服务器分配和储存用户名、密码，并实现用户名/密码与联通UIM卡的绑定，AAA服务器接收L2TP路由器的认证请求并返回认证结果；存储无线路由器的上下线情况，对所有采用CDMA无线传输方式的站点进行管理。 防火墙用来隔离前端无线网络和社保数据中心服务器，提供对数据中心服务器的安全控制，防止非法访问和攻击，建议在防火墙上只开放与业务相关的特定端口，关闭其他端口，尽可能减少被攻击的可能性。 1.2.3 CDMA 1X网络 中国联通为企业用户提供VPDN业务，采用L2TP隧道技术为用户建立虚拟专用网络。在L2TP实现体系中，联通的PDSN做为LAC，放在社保数据中心的L2TP接入路由器做为LNS，整个VPDN业务的身份认证采用“二次认证”模式。当无线路由器进行PPP拨号时，将用户名和密码发送到联通PDSN，首先与PDSN进行部分认证，PDSN根据用户名的域名和UIM的IMSI号，部分识别是特定的集团用户，并据此解析出相应用户LNS的IP地址，将PPP协商数据包转发到社保数据中心的LNS路由器，路由器通过查询AAA服务器，以便确认收到的用户名、密码以及UIM卡号是否合法，如果合法，L2TP路由器建立与前端无线路由器的PPP连接并为无线路由器分配IP地址，同时记录无线路由器上线时间。至此，无线路由器已经建立与社保数据中心应用系统的通讯链路，可以开始业务操作。 1.2.4 联通光纤专线 从联通机房PDSN到社保数据中心的专线应考虑远端站点数量和同时并发带宽的要求，通过此专线，采用2M有线方式的站点和采用CDMA1X无线方式的站点都可访问社保数据中心应用系统。 无线方式对社保数据中心专线带宽的估算： 以采用CDMA1X无线方式的站点（包括医院和药店）数量为50个计算，考虑定点药店刷卡传输数据的非持续性特点，其中同时并发传输数据的站点可按照20个计算，每个站点所占带宽按照100Kbps（CDMA1X最大实际传输速率）计算，因此为所有采用无线方式的站点应预留至少2Mbps的带宽。 有线方式站点汇聚后的带宽需求单独计算。 1.2.5 网络管理 神州数码网络提供的DCBI-3000-IMSI是一套可跨平台管理（支持Linux和Windows系统）、基于专用硬件的、更加成熟稳定的第3代安全接入控制与认证计费综合管理系统。除具备通常的AAA（认证、授权、计费）服务器功能外，还根据中国联通VPDN业务的特殊要求进行了定制，安全性和可靠性更高，可对采用无线传输方式的定点医院和药店无线路由器进行远程管理。 l 支持对联通UIM卡IMSI号码的认证，并可与用户名/密码绑定，确保终端合法性 l 支持联通UIM卡与IP地址的绑定，保证同一个终端每次登录得到相同的IP地址 l 可提供终端上下线情况统计报告 二、无线接入优势 2.1 覆盖范围广，扩容无限制 构建社保实时交易系统要求数据通信覆盖范围广，扩容无限制，接入地点无限制，能满足城区、乡镇和跨地区的接入需求。由于开展社保卡刷卡业务的药房和医院数量众多，分布在全市范围内，而且地理位置分散，大范围推广应用时，还要考虑很大部分乡镇医院和药房的位于偏僻地区，采用有线组网方式难度较大。 另外，还必须考虑今后系统扩充的可能，必须具有良好的可扩展性。由于目前CDMA无线广域网已覆盖绝大部分地区，能够满足社保实时交易系统对覆盖范围的要求。 2.2 数据传输速率高、通信费用低 每个刷卡设备每次刷卡业务的数据传输量在几K至10Kbps之间，目前CDMA实际数据传输速率在80-120Kbps左右，完全能满足本系统数据传输速率（≥10Kbps）的需求。 各药店和医院的通信费用必须与其承受能力相适应，否则，将给推广工作带来困难。如果采用传统的有线方式建立社保实时交易系统，必须租用专线或电话线进行连接。     由于业务点必须与中心随时保持连线状态，而每次刷卡业务的数据量很小（在几K至10K之间），线路资源利用率很低，平均每一个销售点每月的线路费用为800～1200元。而如果采用CDMA通信方式，由于CDMA采用按数据流量计费的方式，资源利用率高，月通信费用将在200元之内。 2.3 系统的传输容量大 社会保障系统要和每一个社保认证的药店、医院和银行等实现实时连接，以实现社保用户数据的统一性、交易的实时性。由于药店和医院数量众多，系统要求能满足突发性数据传输的需要，而CDMA技术能很好地满足传输突发性数据的需要。 DCBI-IMSI可以容纳上万个终端同时在线。 2.4 良好的实时响应与处理能力 由于CDMA具有“始终在线”特性，无需拨号，使业务认证访问服务变得非常简单、快速。 2.5 安全、专有的应用网络。 上述CDMA无线接入方案应用先进的网络加密手段，使用了CDMA、L2TP、IPSEC、3DES等技术对数据传输任何一个环节都进行安全加密处理。 2.6 布放迅速、维护简单 无线项目工期短、网络结构简单、建设成本合理、维护成本低廉，网络具有良好的拓展能力，能够根据将来需求平滑快速升级。对现有应用及系统不做任何更改，以免影响现有系统运行，可以根据项目需要在应用上适当拓展。而且现场需要维护的仅一台无线路由器和一台业务终端，随时可以根据情况更换增加设备，达到对业务即开即用的水平。 2.7 灵活机动、随时移机 对于医院、药店等用户来说，由于通信费用较低，享受到了实惠。另外，由于接入设备可以移动，当药店搬迁时设备可随之迁移并可继续使用，可以保护用户原有投资，适合于药店等的经营特点。 三、无线传输方案设备清单 型号： 产品描述： 定点医院和药店（每个医院/药店至少1台） DCWL-280CR CDMA无线路由器。 路由器（1台） DCR-2650E-VPN路由器 支持L2TP。2个10/100Base-TX LAN口，2个WAN固化接口，2个接口卡扩展插槽，1个备份口，1个配置口，模块化路由器 防火墙（1台。双机热备需同型号2台） DCFW-1800E-IPSEC 神州数码防火墙（无线应用增强型） 性能参数：吞吐量400M、并发连接数1,000,000、每秒新建连接数 19,000、MTBF：8万小时 物理参数:1U机架式硬件产品,内置4个10/100M自适应以太网电口，适合多种复杂网络链路下的接入需求。 神州数码统一威胁管理系统集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审计网关为一体。专为中型网络的功能性用户而设计，神州数码统一威胁管理系统适合于各种用户的安全需求，在未部署安全边界产品的网络中提供全面的安全防护，而在已有FW/IDS/IPS的网络中提供更为强大的病毒防护(11万病毒库,在线更新)、垃圾邮件防护、流量整形、VPN等功能。 AAA认证服务器（1台。双机热备需同型号2台） DCBI-3000-IMSI500企业版 AAA高可靠安全接入综合系统 企业版（500用户） 功能特性：神州数码企业级高可靠性AAA服务器，具有增强的AAA功能。包含500用户。支持增强无线数传、VPN、802.1X、增强Web、PPPoE等认证方式，并可实现在数据和运行时的双机热备功能，确保企业级关键应用的可靠运行。 四、相关产品介绍 4.1 DCBI-IMSI500认证计费管理软件   神州数码网络有限公司DCBI-IMSI是一种可跨平台管理的、基于专用硬件的、更加成熟稳定的第3代安全接入控制与认证计费综合管理服务器。该系统采用标准Radius协议、扩展Radius协议和神州数码为园区网安全运营特点所扩展的增强型802.1x协议，来实现对标准/增强型的802.1x、PPPoE、联通IMSI协议、Web+DHCP的认证授权计费等功能，并与神州数码增强型802.1x、PPPoE、Web+DHCP的系列设备结合，实现灵活、安全的用户认证、管理和计费。 主要特征 l 支持802.1X、web、联通IMSI等认证协议 l 实现队用户帐号、PC机IP地址、PC机MAC地址、交换机IP地址、交换机端口、V1an ID、用户Email帐号等多属性的任何绑定，实现精确的用户管理 l 防止用户私设Proxy Server l 防止用户私设DHCP Server l 防止用户私设IP地址冲突 l 防止非法用户接入，防止帐号盗用 l 支持强制用户下线功能 l 支持帐号漫游 l 账号唯一性 l 在线用户实时查询功能 l 支持批量用户处理 l 支持对非法用户的实时管理，如实时下线 l 支持用户自服务功能，包括用户在线修改密码、修改资料、查询上网记录等 l 支持时段接入控制功能，可以设置用户在不同的时间对网络的访问权限 l 支持内网802.1x安全控制、外网DCBA-3000/8000认证计费的二次转一次认证   1. 快速高效的并发认证计费处理能力 每秒可处理认证计费报文的能力为1500-2000 个用户/秒。在开户2万人的情况下，实测处理认证的能力最小值为1538个用户/秒。而市场上的一般同类产品的处理能力在20-50个用户/秒。 DCBI-3000之所以有如此之高的处理能力，是因为采用独特的全内存方式的Hash算法，并且采用了多线程并发处理方式。 2. 运营商级的可靠性 DCBI-IMSI是一款电信运营级的产品，采用操作系统级任务对认证计费服务进程的状态进行监控。如果DCBI-IMSI的各个主要进程出现进程状态错误、或进程死掉等问题，会由系统监控模块进行修正，从而保证了系统电信级的高可靠性及稳定性。 3. 海量用户处理能力 由于DCBI-3000在快速并发能力和稳定性上的优势，使得DCBI-IMSI对海量用户进行认证计费管理成为可能。本系统可支持多达10万用户以上的开户量，而处理效率却丝毫不受影响，与其他同类产品的开户量和处理效率形成鲜明对比。 4. 方便的基于组的用户管理和基于模板的多种开户方式 为实现对用户管理上的方便，DCBI-IMSI采用了用户组的管理方式，这些用户组可以按地址位置的不同进行划分，也可以按用户的计费类别等等进行划分。 此外，在开户方式上，可以采用单用户开户、集体从文件中批量导入开户、卡开户等方式。对于单用户开户的方式，还可以采用方便的开户模板，这样可以省去很多开户时重复性的工作，提供管理人员的工作效率。 5. 灵活安全的用户认证授权机制 在采用神州数码802.1x增强型协议进行认证时，DCBI-IMSI不仅提供了用户名、密码、用户IP、用户MAC、交换机IP、交换机端口、所在VLAN等6元素绑定策略，还在这些绑定规则的基础上，提供了对单一用户的多条绑定策略的列表功能，从而实现了某些特殊用户在园区网的不同子网里可以移动上网认证的能力。 此外，DCBI-IMSI还可以实现对上网PC机本身IP地址的绑定功能，从而实现了公共用机的IP地址绑定。在对合法接入用户的授权方式上，可实现是否允许使用代理、上下行带宽、VLAN、用户动态IP地址等多种授权管理方式。 注册用户 后付费 包月 没有时长流量限制，每月缴纳定额费用 时长 每月根据上网时长收费 流量 每月根据上网流量收费 有限时长包月 每月有规定的上网时间和包月金额。如果上网时间在规定时长以内，缴纳包月费；如果超出规定的时长，超出部分另外付费。 预付费 预付包天 可按天进行计费，从而灵活解决学生假期收费的问题。 预付时长 预先缴纳费用购买时长，帐户剩余时长大于0时才能上网 预付流量 预先缴纳费用购买流量，帐户剩余流量大于0时才能上网 卡用户 预付费 包月卡 该类卡是一次性卡，从第一次上网算起，在一个月内可以随意上网，一个月以后该卡失效 预付时长卡 该类卡可以是一次性卡或储值卡，卡面有一定的时长，如20小时等。一次性卡在使用完时长或到达截止日期后失效，不能充值。储值卡可以在失效前在网上充值。 7. 跨平台和多点远程管理能力 DCBI-IMSI的管理工具提供了跨平台的管理能力，无论对DCBI-IMSI的管理用机是Windows、Linux、还是Solaris等Unix系统，都可以实现风格界面一致的DCBI-IMSI认证计费服务器的管理。 此外，还可以将DCBI-IMSI管理工具安装在多台远程计算机上，实现通过网络对DCBI-IMSI服务器的远程多点并发管理能力。保证管理员在身处异地时，对DCBI-IMSI的管理操作。 8. 丰富的在线用户管理能力 DCBI-3000对在线用户提供的强大的管理功能，不仅可以将不受欢迎的用户进行强制下线操作，而且还可以对指定的单独用户、指定的用户组、指定的交换机上的所有用户、指定的计费类型中在线用户发送实时消息通知功能。这种方式极大地方便了网络运营者与终端用户之间的沟通。比如：活动通知、广告发布、催缴费用等。 9.绑定数据自学习和批量用户的绑定设置功能 在用户上网后，DCBI-IMSI可以通过自学习用户的参数的功能，学习到用户最近一次上网的参数，这些参数包括用户的：用户IP、用户MAC、用户的VLAN、用户的边的交换机IP、用户所边交换机的端口号等。然后通过批量用户的绑定功能来用这些数据对用户进行认证的绑定设置。 这样做的好处是可以不用对成千上万的用户的MAC、IP等认证绑定数据进行手动设置，而完成可以通过简单的几步设置操作来全部分完成绑定数据的提取及设置工作，极大地减轻了网络管理人员的工作量。 10.上网时间段的控制功能 对于网络运营来说，必须能够对上网用户何时能够上网何时不允许上网进行控制。DCBI-IMSI提供了强大的上网时段控制功能。对于校园网来说，用此功能可以禁止学生在学习时间段上网看电影、聊天等做一些与学习无关的活动。 11.更加安全的用户WEB自服务功能 用户可以通过DCBI-IMSI提供的“用户WEB自服务”模块进行多种操作（详见后面）。 用户WEB自服务功能提供上网上银行级的安全特性，用户通过Web网页发出的报文，都要使用Web server发来的随机数进行MD5等多种方式进行安全加密，并在用户WEB自服务的服务器上进行安全验证，这种随机数加密的方式绝对地保证了用户数据的安全，从而绝对防止了网络攻击者通过监听、截包、假冒、篡改报文来破坏用户数据。 12.方便的用户自开户注册功能 用户Web自服务功能中的“用户自开户注册”功能，可以极大地减轻上网用户开户时的工作量。申请上网的用户可以通过该功能在Web网页上将自己的用户名、密码、MAC等信息首先注册到DCBI-IMSI的用户数据库中，然后到网络中心申请开户，管理人员不需要再次输入该用户的相关信息就可以将该用户开通。极大地减轻了网络管理人员的工作量。 主要功能 1.  设备管理 网络结构拓扑图显示 每个设备的在线用户 网络设备的Ping和Telnet操作 2. 用户管理 多种开户方式 绑定数据自学习功能及批量用户的自动绑定功能 用户停机、销户 用户缴费或者预付时长、流量用户充值 用户资料查询和修改 用户分组管理 卡用户和充值卡管理 用户上网记录查询 批量用户处理 认证时广告通知功能 按用户组或个别用户进行消息通知功能 开户模板功能 3.  证与授权管理 帐号的唯一性认证 基于MAC地址的上网认证，可以有效防止MAC地址盗用 在对用户进行认证时，支持6元素绑定规则 在对用户进行认证时，支持多条附加绑定规则列表功能 支持与用户名无关的主机与IP地址绑定功能 支持账号到期自动停用 对非法用户强制下线 授权用户的上下行带宽、VLAN ID、用户IP地址 允许/禁止客户端做为上网代理 支持用户上网的时段控制 支持802.1x client版本合法性控制功能（强制用户使用新版本的802.1x client） 4. 帐务管理 引入会计科目管理机制，使帐务管理更加规范灵活 注册用户可以在自己帐户预存金额，后台扣费、提取现金等 引入模拟结帐，可以随时检查帐单情况 支持用户随时缴费 用户批量后台缴费 预付时长、预付流量用户充值 用户帐单查询 5. 计费原型和计费类别管理 计费策略自由定制，满足用户各种需求 计费原型包括：包月、时长、流量、有限时长包月、预付时长、预付流量、包月卡、预付时长卡 6. 管理员和权限组管理 不同权限组拥有不同的权限 将操作员归于权限组，从而实现对操作员权限的灵活管理 操作员操作历史记录功能 7. 日志和数据库管理 完整记录用户上网日志和操作员操作日志 日志的查询、日志导出为文本文件、日志删除 数据库的在线备份与恢复 8. Web自服务系统 修改用户密码 查询上网记录 查询帐单的服务 充值卡用户充值、余额查询 用户自开户注册功能 技术指标 项目 属性 规格 硬件规范 外观尺寸 433mm x 440mm x 89mm，2U高度 网络接口 2个10/100/1000M电口 串口 1个串行接口 工作环境 温度： 0-50℃、相对湿度：5-95%，不凝结 电源 120V～240V交流电源 硬件性能 支持10万用户的管理能力，认证处理能力1500次/秒 软件规范 用户数许可 自带100~2000个用户许可，扩展用户可购买License获取 购买信息 产品型号 产品描述 DCBI-IMSI 安全接入与认证计费的管理系统，自带两个10/100/1000M电口，包含100用户，通过购买DCBI-Licence可升级到最多十万用户。支持增强802.1X、增强Web、PPPoE等认证方式，管理前台支持Windows、Linux等系统，支持MySQL数据库。 DCBI-IMSI500 安全接入与认证计费的管理系统，自带两个10/100/1000M电口，包含500用户，通过购买DCBI-Licence可升级到最多十万用户。支持增强802.1X、增强Web、PPPoE等认证方式，管理前台支持Windows、Linux等系统，支持MySQL数据库。 DCBI-IMSI2000 安全接入与认证计费的管理系统，自带两个10/100/1000M电口，包含2000用户，通过购买DCBI-Licence可升级到最多十万用户。支持增强802.1X、增强Web、PPPoE等认证方式，管理前台支持Windows、Linux等系统，支持MySQL数据库。 DCBI-License DCBI-IMSI认证计费服务器增加用户升级许可，包含100用户。 DCBI-INSTALL Radius认证计费管理系统安装及初始配置服务，可将服务费打到产品采购费中。（每次） 4.2 DCFW-1800E-IPSEC加密防火墙 神州数码DCFW-1800S/E-IPSEC集合了防火墙、防病毒、IPS/IDS、防垃圾邮件、VPN网关、流量整形、Anti-Dos功能为一体。采用专门设计的硬件搭载平台和专用的安全操作系统（Security OS），采用硬件独立总线（Independent BUS）硬件架构并首创病毒检测专用处理器，在提升产品功能的同时保证了产品在千兆环境下的高性能。 DCFW-1800S/E-IPSEC专为大型网络的功能性用户而设计，内置3/4个10/100/1000M自适应以太网电口，适合多种复杂网络链路下的接入需求。 DCFW-1800S/E-IPSEC适合于各种用户的安全需求，在未部署安全边界产品的网络中提供全面的安全防护，而在已有FW/IDS的网络中提供更为强大的防病毒、防垃圾邮件、流量整形、VPN功能。 产品规格 技术参数 产品 DCFW-1800S/E-IPSEC VPN 提供对IPSEC、PPTP和L2TP等多种VPN连接的完整支持 防火墙 支持 防拒绝服务网关 支持 流量整形管理 支持 防病毒 支持11万余种病毒的过滤检测 入侵防护 支持 防垃圾邮件网关 支持，并支持SMTP 、POP3邮件病毒过滤 用户身份认证网关 提供强大的Radius本地认证功能 审计网关 提供丰富的日志和审计方式方便用户的审核 高可靠性(HA) 支持 最大并发连接数 500,000 / 800,000 每秒新建连接数 15,000 / 22,000 网络吞吐量 300M / 400M IPSEC VPN隧道数 100 / 1024 VPN拨号用户 30 / 256 策略数 4,000 / 10,000 物理规格 机型 1U可上架标准设备 网络接口类型 10/100/1000M Base-TX(Fast Ethernet) 网络接口数量 4个 Console口 RJ45 存储容量 80G MTBF 8万小时 辐射标准 符合FCC Part15,Class A, EN55022（CISPR22，Class A） 电源 120~240V，50/60Hz，自适应 尺寸/重量 高度：4.45cm, 深度：30cm , 宽度：44.7cm；重量：8.5kg 工作环境 0℃~50℃；高度3000米；相对湿度10%~90%非冷凝 订货信息 产品型号 产品描述 DCFW-1800E-IPSEC 针对无线环境优化的VPN防火墙，支持IPSEC VPN。 性能参数：吞吐量400M、并发连接数800,000、每秒新建连接数 19,000、MTBF：8万小时 功能简介：集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审计网关为一体。专为大型网络的功能性用户而设计 4.3 DCWL-280CR-VD无线路由器 概述 近年来，2.5G移动通信网络在国内发展迅速，基于2.5G网络的数据通信等到了广泛的应用。为了满足各行业特别是是金融、证券、邮政等行业以及企业分支机构的数据通信应用需求，神州数码网络有限公司推出了采用公用基础平台、嵌入式操作系统、先进可靠的DCWL-280CR CDMA 1X路由器。 CDMA 1X原意是指cdma 2000的第一阶段(速率高于IS-95，低于2Mbit/s)，可支持308kibit/s的数据传输、网络部份引入分组交换，可支持移动IP业务。是在现有CDMA IS-95系统上发展出来的一种新的承载业务，目的是为CDMA用户提供分组形式的数据业务。CDMA 1X理论带宽可达300Kb/s，目前的实际应用带宽大约在100Kb/s左右。 2.主要特性 1) 独立使用，无需后台计算机支持 普通CDMA Modem通常需要在PC机上进行虚拟拨号上网，利用PC机的资源进行数据收发和协议转换，DCWL-280CR CDMA 1X移动路由器内置嵌入式操作系统和自动网络连接与协议处理模块，无需后台计算机支持。 2) 永远在线 DCWL-280CR CDMA 1X移动路由器一开机就能自动登录到CDMA网络上，随时收发用户数据设备的数据。 3) 数据中心与网络管理 DCWL-280CR CDMA 1X移动路由器登录网络后与在数据中心进行注册，方便图形监测等特殊应用；同时可在数据中心进行网络远程管理。 4) 按流量计费 DCWL-280CR CDMA 1X移动路由器一直在线，按照接收和发送数据包的数量来收取费用，没有数据流量的传递时，不收费用。 5) 高速传输 通常，CDMA 1x理论带宽可达300Kb/s，目前的实际应用带宽大约在100Kb/s左右。DCWL-280CRCDMA 1x移动数据网络的信道可提供TCP/IP连接，可以用于INTERNET连接、数据传输等应用。 6) 静态路由和NAT功能 DCWL-280CR CDMA 1X移动路由器具备静态路由和NAT功能，可用作企业共享连接Internet网络 7) 组网简单、迅速、灵活 DCWL-280CR CDMA 1X移动路由器可以通过Internet网络随时随地的构建覆盖全中国的虚拟移动数据通信专用网络。 3. 产品规格 基本功能 · 使用方便、灵活、可靠 · 支持CDMA 1X网络 · 数据终端永远在线 · 实时时钟 · 自诊断与告警输出 · 优化电磁兼容设计，适合电磁环境恶劣的应用需求 增强功能 · 支持多种协议转换 · 支持虚拟数据专用网 · 支持数据中心与网络管理 · 在线检测与断线自动重拨 · STK/UTK卡特殊功能配置 · 上、下线控制 用户设备上、下线控制接口 用户数据触发上、下线控制 定时上、下线控制 · 支持以太网接口或RS-232/485 · 同步CDMA或Internet网络的实时时钟 高级功能 · 内置DHCP服务 · 防火墙与虚拟地址转换(NAT) · 支持DMZ主机 · 支持DDNS · 支持路由表 · 支持封包过滤 · 支持移动网络流量统计 · WEB/Telnet管理接口 · 内置多路由自动备份(特别适合银行联网) · 本地与远程Firmware升级/配置备份 · 紧急事件短信通知 技术指标 CDMA 1x数据 · 支持IS 707数据业务 · 支持153kbps的包数据速率 · 支持Class 2.0 Group 3传真 · CDMA 2000扩频机制 · 兼容IS-95A、IS-95B CDMA空中接口标准 接口 · 天线接口：50Ω/SMA 阴头 · SIM/UIM卡：3V · 串行数据接口(DB9)：RS-232(DCE)或RS-485 · 串行数据接口速率：300到115,200 bits/s · 以太网接口：10BaseT/RJ45 · 配置接口：WEB/Telnet或RS-232 供电 · 电压：+5VDC(部分型号支持+7.5~12VDC) · 功耗： 最大工作电流：430mA@+5VDCØ Ø 空闲时：30mA@+5VDC 其他参数 · 尺寸：98x100x23 · 重量：230g · 工作环境温度：-10~+50ºC · 储存温度：-20~+75ºC · 相对湿度：95%(无凝结) 4.典型应用 DCWL-280CR CDMA 1X路由器有很大的应用范围，几乎所有低中高速率的数据传输业务都可以应用，如城市商业POS机、 邮政营业网点、福利彩票、INTERNET接入、个人信息、股票信息、金融、交通、公安等 ，此外还可以传输动态视频图像。除了支持传统的互联网应用，DCWL-280CR CDMA 1X路由器也可使移动终端支持B2B、B2C的电子商务和电子支付、股票交易、