1、 禹城市人民医院外科病房楼无线方案技术建议书目 录1.网络厂商的选择41.1.设备应用规模及稳定性、兼容性41.2.完善的研发体系和全系列的网络产品51.3.健全的服务支持和培训认证体系52.前言72.1.概述72.2.业务需求分析132.3.设计要求142.4.整体建网原则153.局域网无线技术方案163.1.无线方案设计163.1.1.认证方式选择173.1.2.有线无线混合组网下的认证方案193.1.3.用户管理193.1.4.网管方案213.1.5.无线网络方案223.2.网管方案333.2.1.基础网络资源管理343.2.2.基础网络拓扑管理343.2.3.故障与告警管理353.2.
2、4.性能监控353.2.5.系统管理354.网络业务设计354.1.IP地址规划354.1.1.IP地址分配原则364.1.2.IP地址规划方案364.2.路由设计374.2.1.路由协议选择及设计建议374.2.2.路由协议选择原则374.2.3.本网络路由协议的选择384.3.VLAN的划分384.3.1.划分VLAN的必要性384.3.2.划分VLAN的方法404.3.3.VLAN规划414.4.组播业务424.5.QoS设计434.5.1.QoS体系结构的选择444.5.2.QoS的实现机制454.5.3.QoS部署504.5.4.关键业务服务质量保证设计615.H3C公司售后保障体系
3、以及用户认证培训体系625.1.两小时厂家上门服务625.2.服务组织结构625.3.服务及时性保障635.4.服务有效性保障655.4.1.724小时热线技术支持电话655.4.2.区域技术支持平台655.4.3.网上问题处理系统655.4.4.完善的实验平台665.4.5.高效快捷的备件系统665.4.6.技术支持网站与技术支持论坛665.4.7.完备的技术支持资料开发系统676.方案产品介绍687.2H3C S3100-EI系列POE交换机687.2.1产品概述687.2.2产品特点697.2.3产品规格717.3H3C WX5000系列多业务无线控制器767.3.3产品概述767.3.
4、4产品特点787.4H3C WA2600系列无线接入点847.4.3产品概述847.4.4产品特点857.4.5产品规格87附1 WLAN覆盖效果工程设计计算901. 网络厂商的选择在充分研究禹城人民医院外科病房楼网络项目的需求的基础上,我们对目前业界的主流的网络厂商,做了较为详细的对比研究,综合考虑厂家产品及解决方案在医疗及其他行应用规模、产品技术的先进性、成熟度及兼容性、公司的研发实力和服务体系保障等因素,我们建议采用杭州华三通信技术有限公司(以下简称H3C公司)的网络产品作为此次项目的组网设备。选择H3C公司的依据:H3C公司可以提供全线的包括交换机、管理软件、无线系统以及防火墙等性价比
5、非常高的产品来满足此次项目的要求。1.1. 设备应用规模及稳定性、兼容性H3C公司的网络产品目前已经广泛应用与全球的各个行业中,截至2007年4季度H3C公司在中国市场交换机的市场份额为41,路由器为30(数据来源于CCID 2008年2月),名列前茅。目前H3C的全系列产品进入英国、德国、香港、俄罗斯、巴西、泰国、墨西哥等六十六个国家和地区,并承建了中国电信、中国移动、英国、泰国、巴西等14个国家级IP骨干网。 H3C目前在国内的医疗网建设中已经得到了大规模的应用。在国内,H3C承建了绝大部分的无线医疗网,包括:l 北京医院l 复旦大学附属中山医院l 解放军总医院l 中山市人民医院l 第三军
6、医大学l 广州医学院附属第三医院l 广州市第一人民医院l 开元医院l 江阴人民医院l 余姚人民医院l 泉州市人民医院l 兰州大学第一医院大规模的应用不但大大拉近了用户和H3C公司的距离,使得H3C公司能够更快更好为市场、为用户提供产品,同时也验证了H3C公司产品的稳定性和兼容性。1.2. 完善的研发体系和全系列的网络产品H3C每年将销售额的15以上用于研发投入,在中国的北京、杭州、深圳以及印度的班加罗尔设有研发机构,在北京和杭州设有产品鉴定测试中心。目前,H3C已申请专利超过700件,其中80是发明专利。H3C目前从事IP产品技术研发的研究所有6个,包括北京研究所、杭州研究所、印度研究所、南京
7、研究所、深圳研究所、美国研究所,研发人员超过2000人。印度所、南京所、中央软件部、上海研究所等都通过“软件研发成熟度”最高级的CMM5级国际认证,北京研究所、杭州研究所通过CMM4级国际认证。H3C不但拥有全线路由器和以太网交换机产品,还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。目前,安全产品中国市场份额位居前三,IP存储亚太市场份额第一,IP监控技术全球领先,H3C已经从单一网络设备供应商转变为多产品IToIP解决方案供应商。因此选择该厂商的网络产品能够有效的保障用户在网络建设方面的延续性和持续性。1.3. 健全的服务支持和培训认证体系H3C
8、公司建立了遍布全国的服务机构。除公司总部设有完备的技术支援平台外,H3C还在全国建立了36个售后服务中心,建有完备的技术支援平台和备件系统,通过先进的通信技术与总部的技术支援平台连接,完成用户信息、故障处理流程、备件库存、产品分布等信息的共享,形成覆盖全国地市级城市,专职人员规模超过200人的技术支援体系。同时还在各省市派遣有售后服务工程师,以提高售后服务的响应速度。H3C技术支持支援平台拥有一批高素质的服务队伍,所有服务人员都具有本科以上学历,且有3年以上大型网络服务经验。为了满足不同客户不同层次的培训需求,H3C服务公司建立了规范、专业的用户培训体系,将总部培训与分部培训、集中培训与现场培
9、训有机结合。目前,在数据通信网络技术领域,H3C培训面向全球,致力于培养专业务实网络人才。考虑客户不同层次需求, 提供全系列的网络产品培训,网络技术认证培训和客户化培训解决方案。同时建立起国际规范的完整的网络技术认证体系。l 在中国建立30余家授权培训中心,海外建立7家授权培训中心;覆盖中国各大中心城市以及拉美、亚太、中东、北非、俄罗斯等地区和国家。l 在中国建立60余家网络学院,海外建立1家网络学院。l 与40余所职业院校建立合作,支持中国职教IT专业课程改革项目。鉴于以上几个主要原因,我们在此次投标中选用了H3C公司的网络产品做为此次投标的网络产品。2. 前言2.1. 概述随着21世纪社会
10、经济迅速发展,互联网与无线通信技术的融合。高速率,高性能和兼容性已成为人们的普遍要求,对随时随地进行通信和信息服务的需求变得迫切。现有的有线网络在某种程度上已不能满足需求,因此,无线化,智能化的移动通信以及快捷方便的无线接入,无线互联等众多适应当前需求的新概念和新产品应运而生。WLAN是Wireless Local Area Network的缩写,中文全称为“无线局域网”。WLAN采用射频(RF)技术构成局域网络,是一种便利的数据传输系统。由于无线局域网设备一般工作于免授权(unlicensed)频段,在频段的使用上无需高昂的许可费用,而无线局域网可以在不受地理条件限制、通信不便利以及移动通信
11、的情况下,组建计算机网络,因此它是有线网络的重要补充。据Cahners In-start集团预测,到2006年,全球将大约有4万个公共WLAN场所,主要用于给装备有WLAN便携PC的雇员提供无线桌面连接,以及会议室和拜访客人的无线连接;在小型公司里,WLAN的灵活性和节省成本的优点体现得更强,将有45的小公司和分支机构将使用WLAN解决方案;家庭网络由于用户数量巨大,也将是一个不可忽视的市场。目前无线局域网技术已成熟完善,802.11技术标准本身已具备作为运营网络的一种宽带接入手段所需要考虑的区分运营网络接入、空口安全、用户隔离、多AP间慢速切换、多AP间用户负载均衡等特性规范。802.11技
12、术产品产业链已经逐步形成,产品成熟稳定,适合各种应用场合的AP基站以及配套天馈系统已在运营商网络中大量应用。无线局域网技术已超越原先定义的为企业或家庭提供最后100m接入(无线Hub)的范围。可以预见,WLAN作为一种高速无线数据接入的手段,必将与现有网络一起,构成灵活、高效、完善的宽带网络。医疗行业作为与人民生活息息相关的行业,在计算机技术高速发展的今天,它的信息化建设就显得尤为重要。特别是具有灵活、方便性的无线局域网技术在安全、稳定性得到很好保证的前提下,其在医疗领域的应用就更加广泛和有效了。目前,国内外颇具影响力的医院纷纷采用以WLAN为基础的医院无线网络,来进一步提高工作效率,改善服务
13、质量,而且取得了非常好的效果。H3C公司作为IP解决方案的领导者,一直致力于我国医疗卫生事业,过去的几年中,在公共卫生信息化、医疗服务信息化等多个领域不断探索、实践,产品和解决方案全面服务于全国数百家三甲医院及各类卫生医疗机构,取得了令人瞩目的成绩,并得到了广大用户的支持和肯定。最重要的是,在实践的过程中,H3C积累了丰富的实施经验,对卫生医疗相关业务不断加深理解,并积极汲取营养,将其与业界领先的IP产品技术和理念相结合,不断完善自身,为参与医疗卫生信息化新阶段建设积极准备。“有线”“无线”大比拼,应用体验是关键众所周知,查房是住院部医生每天的例行工作。在传统工作模式下,医生或护士需要随身携带
14、一大堆病历本,并以手写方式记录医嘱信息。这样既不利于查房效率的提高,也容易因录入和识别而产生误差。因此,有些医院开始在病房里部署医疗网络,减少手工操作。在有线网络模式下,医生将工作站插到病房里的网络接口上,就可以完成例行检查。这比传统查房方便了许多,但多次插拔很容易造成设备损坏,加大不必要的开支。而采用无线局域网的方式覆盖各病房无需考虑人数,无需插拔接口,只要估算接入带宽即可,而且还能为用户提供在覆盖区内任何角落接入网络的优势。事实上,无线查房,就是把数字化推到病人床前。医生或护士只需轻轻点击随身携带的平板电脑或PDA,就可随时调阅病人的病历、医嘱和各种检查、化验以及护理等信息,并可以准确地在
15、床边下医嘱,记录病情变化,及时将相关信息,传输至科室和医院的管理终端。无线查房系统的使用将最大程度的提升医生查房的工作效率,减少患者等待时间,提升患者满意度。可以说,无线查房系统是医院HIS 系统的一项革命性应用。H3C无的发展,建设一个安全可靠、易于管理和扩展的无线查房系统需要考虑哪些方面呢?作为业内优秀的网络供应商,H3C通过多年建网经验的积累和对医疗行业的深入了解,推出了一套符合医院需求的无线查房系统建设方案。1无线技术选择选择医院无线查房系统,首先需要确定技术标准。目前主要的标准有IEEE 802.11、HomeRF和蓝牙等。就纯粹的无线局域网技术而言,最成熟的是IEEE 802.11
16、标准,包括已经批准的IEEE802.11a、b和g规范以及等待批准的802.11n规范。相比较下,802.11g标准是不错的选择,目前市场上的大部分无线接入点AP、医用PDA、平板电脑等都遵循802.11g标准。表1、三种基本IEEE802.11标准的对比标准802.11b802.11a802.11g波段2.4GHz5.8GHz2.4GHz调制方式DSSSOFDMOFDM最大覆盖范围250m125m250m最大传输速率11 Mbps54 Mbps54 Mbps实际最大数据流量6Mbps27-30Mbps27-30Mbps最大无交叠信道数3123其他问题网络拥有最大的已安装量在有些地区需要802
17、.11扩展(如EMEA)向前兼容802.11b应用场景- 不需要高带宽的应用。- 需要更大的覆盖范围。- 价格是主要考虑因素。- 需要例如语音和视频等高带宽的应用。- 拥有少量紧密集中的用户。- 运行既需要高带宽同时又需要大覆盖区域;- 需要向下兼容802.11b设备。2系统架构选择目前,无线查房系统有两种典型的解决方案:FAT AP解决方案和FIT AP解决方案。简单来讲,如果仅仅作无线数据接入、只需要二层漫游,对安全性、管理性各方面没有复杂要求的话,FAT AP方案(也称胖AP解决方案)就可以胜任;如果需要高安全性、管理性及三层漫游切换、需要承载无线语音,且网络规模较大,那么只有选择FIT
18、 AP方案(也称瘦AP解决方案)才可以。表2、FAT AP 和FIT AP 的对比方案FAT AP方案FIT AP方案技术模式传统主流新生方式,增强型管理安全性传统加密、认证方式,普通安全性增加射频环境监控,基于用户位置安全策略,高安全性网络管理对每AP下发配置文件无线交换机上配置好文件,AP本身零配置用户管理类似有线,根据AP接入的有线端口区分权限无线专门虚拟专用组方式,根据用户名区分权限WLAN组网规模二层漫游,适合小规模组网,成本较低二层、三层漫游,拓扑无关性,适合大规模组网,成本较高增值业务能力仅实现简单数据接入可扩展语音等丰富业务典型的FIT AP无线查房系统由三个部分组成:无线平板
19、电脑/PDA、AP、无线交换机及用户认证系统。医生用无线平板电脑或护士无线PDA,经过AP无线接入点接入医院网络系统,必须要通过无线认证系统的安全认证和授权,才能够访问病人的电子病历。3部署方案部署位置:考虑到楼宇的整体美观以及设计和部署上的简便,实际覆盖时可以采用WLAN室内覆盖,采用外置吸顶天线,将AP隐藏到天花板后面,实现对病房、护士工作站、病区楼道无线网络信号覆盖的效果。运行环境:选择AP时需要考虑其工作环境温度和湿度能否在本医院的各部署位置正常运行。POE供电:对AP的供电采用POE(以太网线供电)方式由上层网络设备完成(支持POE的以太网交换机,如H3C的S3900-PWR等),无
20、需本地供电,简化设备供电上的安装难题。信号强度:一般情况下,88dBm以上可保证较高数据传输速率,当信号小于96dBm时则不能保证用户的接入需求。最佳信道选择:AP接入点应该能够扫描可用信道并自动选择最合适信道,这种特性能够将同信道干扰降到最低。快速漫游:医生/护士移动终端是在各病房之间移动的,会通过不同的AP接入网络,这需要医生/护士用户信息和授权在WLAN移动域内快速交互。当用户漫游网络时,用户位置、安全性以及访问详细信息迅速地在交换机或控制器之间传输,在保持无缝安全性和会话完整性的情况下快速漫游,而无需再次认证。当用户漫游时这些组共享用户信息和授权,从而跨越整个无线网络支持移动性并增强安
21、全性。4健全的安全机制医院的HIS、PACS 系统保存了大量的病人私人信息,必须防止无关人员通过无线查房系统,杜绝非法的访问甚至破坏。H3C建议在适当的位置采用合适的机制,用以消除医院用户对此的顾虑。WPA标准:早期的无线网络系统的安全机制WEP,没有用户认证机制,存在的风险很大。为了增强用户认证机制,医院开始采用WPA标准对终端用户进行身份认证。现在的无线PDA一般都支持WPA安全机制,接入无线查房系统前需要通过802.1x的用户认证,传送数据时无线PDA和AP之间采用TKIP进行数据加密。安全机制WLAN安全技术加密和数据私有性加密算法WPA TKIP、WPA2 AES(128位)消息一致
22、性TKIP-MIC、AES-CBC-MAC安全认证、授权和访问控制认证框架802.1x、EAP认证算法LEAP、PEAP、EAP-FASTAP零配置:AP支持零配置安装,可以降低安装维护成本,且AP本身不保存任何安全信息,失窃后对整网安全不构成威胁。非法AP监测和隔离:由于Wi-Fi产品都很容易安装,很可能会有一些不为医院IT部门所知的非法用户接入,这些没有正确配置和管理的用户将会对医院的网络系统构成很大的安全威胁。定期的物理检测当然是必要的,最好是网络管理工具可以自动定期扫描非法AP的接入,并对其进行隔离。漫游的安全性:医生或护士查房时需要手持PDA终端在各病房之间走动,PDA可能通过不同厂
23、家的AP接入电子病历系统,需要在AP间无缝移动。因此,漫游的安全性的问题也被推到台前,H3C认为,这一问题可以基于接入点间协议(IAPP)来解决。IAPP的目标是,当AP执行分布式系统任务时,便于不同供应商之间的AP无缝漫游。IAPP处理网络中AP的注册以及当用户在不同供应商的AP的覆盖区域漫游时所需的信息交换,有助于AP间的快速切换。5简单易行的集中管理工作H3C无线查房系统的管理包括AP 管理、用户管理、安全管理等。通过无线交换机进行AP的管理,通过RADIUS系统来进行用户管理、安全认证和授权。全自动设备管理:对于一个无线查房系统网络规模较大的医院而言,集中管理无线查房系统就变得日益重要
24、,它使网管人员具有通过网络发现、管理、升级接入点的能力。网络管理员通过管理工具发现无线设备的接入、配置参数、诊断程序的运行、监测性能、查看设备特性以及配置设备。用户管理:推荐通过设置用户名和密码来控制接入用户来进行配置,以保护每个网络基础接入点。为了减轻网络管理工作,类似“保存并加载工具”这样的功能十分有用,它可以使你批量配置设备。安全管理:集中式管理的方法也允许高级的功能性管理和带宽管理。IT部门可以通过域和对不同用户组授予相应的权限来组织WLAN。对于大一些的网络,这种功能可以集中管理自动完成,这样当一个无线用户通过802.1x和RADIUS认证后,无线接入交换机将自动给该用户分配合适的V
25、LAN。违反安全规则的行为可以通过AP接入点的安全违反标志或是管理控制台的错误信息被发现。当然,未授权接入点也能被捕捉到,它们将会被删除或是进行合适的配置。统一管理:医院的目标应该是将无线查房系统的网络管理与整个有线网络的网管系统结合起来。支持SNMP管理协议对于AP和无线交换机的安全管理非常关键,一些供应商已经实现了该目标。不想实现集中化管理的医院可以考虑使用基于Web的Wi-Fi设备的管理能力。这也可以进行升级、重配置以及通过标准网页浏览器进行简单的性能检测。6H3C医院无线查房系统方案总结2 采用802.11g 无线产品、FIT AP 组网方案、802.11i/WPA安全标准2 支持快速
26、漫游和AP 零配置2 采用集中式安全管理与非法AP 的监测和隔离 2 全自动的统一的设备管理 “医者父母心”,对于医生来说,争取一分钟时间就可能挽救一条生命。将无线网络技术应用于医疗行业,将能够提升医院的医护能力,使医生提高对病人的确诊效率。无线技术为医生争取了时间,也就意味着为每一个患者争取着生命。2.2. 业务需求分析随着信息技术的快速发展,国内越来越多的医院正加速实施基于信息化平台、HIS系统的整体建设,以提高医院的服务水平与核心竞争力。信息化不仅提升了医生的工作效率,使医生有更多的时间为患者服务,更提高了患者满意度和信任度,无形之中树立起了医院的科技形象。因此,医疗业务应用与基础网络平
27、台的逐步融合正成为国内医院,尤其是大中型医院信息化发展的新方向。随着计算机网络技术的发展与成熟,大多数发达国家和一些发展中国家已开展网络报病和传染病信息的网络化管理,大大提高了对突发传染病的应对速度与能力。为了适应信息技术的发展,与国际接轨,自2003年SARS之后,我国已经将疾病预防控制与公共卫生领域突发公共卫生事件的应急处理上升到国家安全、社会稳定的高度,我国卫生事业将面临难得的机遇和严峻的挑战,目前,我国已基本实现对突发传染病疫情监控的网络化与数字化。随着卫生信息化的纵深发展,在突发公共卫生为主线的基础上,国家和各省已逐步建立起多个监测网络系统,如何实现对现有的信息网络系统的运行维护,如
28、何实现这些监测网络系统的综合集成,如何建立一个“横向到边,纵向到底”的国家疾病监测网络系统,成为近年来对公共卫生事业的新挑战,也是公共卫生信息化建设的一个重要课题。近年来兴起的系统论、控制论、信息论对于我们实现医疗卫生信息化建设发挥了重要的作用。特别是系统论,它向我们讲述的是一种联系的、发展的观点。系统论的创始人是美籍奥地利理论物理学家贝塔朗菲(Bertalanfy),他提出了机体系统理论,强调生命现象不能用机械观点来揭示其规律,而只能把它当成一个整体或系统来考察。世界上任何事物都可以看成一个系统,系统是普遍存在的。系统论认为,整体性、关联性,等级结构性、动态平衡性、时序性等是所有系统的共同的
29、基本特征。这些,既是系统所具有的基本观点,也是系统方法的基本原则。 公共卫生信息化建设是一项复杂的系统工程,从工程的规划、设计、建设实施、应用整合及运行维护等方面是一个相互关联的整体。因此,研究和论证中国公共卫生信息化建设,应当站在系统论的高度,应用系统论的基本原理对信息化各个方面进行严密的剖析。大多数医院的网络目前都是有线网络,但有线网络没有解决空间覆盖的问题,同时也不能解决信息实时收集的问题,在将来的医院网络趋于实时、数字化网络,同时还可以为医院的病人提供增值服务。也可以利用无线局域网技术的移动性、灵活性和高效率在护理点获取实时的患者信息或者搜索决策支持信息。这种系统使医护人员可以更加准确
30、、快速和高效地制定决策和采取相应的措施,具体体现如下:电子病历访问/查看医生处方输入和药物治疗匹配护士呼叫系统 患者床边服务 对重要的统计数据的监控。对于具体的无线工程一般还要满足以下业务需求:针对医院的空间要进行全面覆盖;无线网络通过安全认证,保证医院信息不能通过无线网络对外泄露;用户在无线区域内移动时,不需要多次重复认证,实现自动漫游,即业务不中断;2.3. 设计要求山东省禹城人民医院坐落在国内外闻名的禹王亭遗址禹城,禹城市人民医院始建于1945年,是一所装备精良、医术精湛、服务一流,集医疗、科研、教学、预防保健、康复急救于一体的综合性二级甲等医院,编制床位400张,年门诊量达到12万人次
31、,年出院病人16000人次,年住院手术4500人次。 医院现有职工426名,其中高级职称43人,中级职称210人,大专以上学历近300人,培养出3名博士生和14名硕士研究生。开展了大量新技术、新业务,如脊髓肿瘤摘除术,全髋关节置换术,垂体瘤切除术,前列腺电切术,低位直肠癌保肛根治术,断臂再植术,巨大脑肿瘤切除,放疗、介入治疗、综合治疗恶性肿瘤、电子胃肠镜诊疗技术、颅内血肿微创穿刺碎取术、无创呼吸机治疗呼吸衰竭、急性心肌梗塞溶栓治疗、按置心脏临时起搏器等60多项,有2项省级科研成果奖,5项地级科研成果奖,填补了我市多项空白;建立肿瘤治疗中心,血液净化中心、重症监护病房、新生儿病房等“高科技园”,
32、形成以内、外、妇、儿四大专业为主的11个病区;为提高诊疗档次,构筑健康长城,医院加大投入,强化“硬件”建设,当前,投资1500万元,总面积达8700平方米,配有中央空调和高档电梯等先进设施的现代化门诊大楼已全部启用,日接诊量达300多人次,病房楼后1000多平方米的高标准特需楼亦已竣工。近年来,筹资2000多万元购置了螺旋CT、数字胃肠机、彩超等大型设备50多台套,2005年,又投资1000多万元购进西门子核磁共振,日本原装全自动生化分析仪,6台德国产牙科综合治疗台等先进设备。2.4. 整体建网原则结合医院的实际应用和发展要求,局域网网络系统设计,主要遵循以下系统总体原则: 实用性原则:以现行
33、需求为基础,充分考虑发展的需要来确定系统规模。 安全性原则:制订统一的骨干网安全策略、VLAN策略和过滤机制,整体考虑网络平台的安全性。 可靠性原则:系统设计能有效的避免单点失败,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。 规范性原则:系统设计所采用的技术和设备应符合国际标准、国家标准和联通WLAN企业标准,为系统的扩展升级、与其他系统的互联提供良好的基础。 开放性和标准化原则:在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。 可扩充和扩展化原则:所有系统设备不但满足当前
34、需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时,能保护现有的投资。 技术先进性和实用性:保证满足办公应用系统业务的同时,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到网络应用的需求和未来的发展趋势。 高性能:承载网络性能是整个办公系统良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图象)的高质量传输,力争实现透明网络,网络不能成为实施现代化办公业务的瓶颈。 可管理性原则:整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于
35、进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。3. 局域网无线技术方案3.1. 无线方案设计禹城市人民医院网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则,并考虑技术的先进性、成熟性,采用模块化的设计。医院无线网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法,使用WX5004多业务无线控制器做为无线核心,下行使用超5类双绞线连接到各楼层的POE汇聚交换机S3100-26p-pwr上。无线A
36、P通过S3100-26p-pwr的poe供电安装在每层走廊、手术室及办公室内。现无线点位设计情况如下:2楼沿病房走廊放置3台AP,3楼10个手术间各放置1台AP,培训室及走廊放置6台AP,5楼沿病房走廊放置3台AP,6-11,13-15楼沿病房走廊各放置4台AP,12楼放置2台AP.共60台AP.H3C公司无线方案理解为是有线网络的外延,整个方案设计的要点主要包括认证点的选择问题、网络安全设计、无线网部署、网络管理几个方面。我们将在后面的方案详细设计中进行分析和方案描述。3.1.1. 认证方式选择在认证点选择方面,由于H3C公司提供的是FIT AP+ H3C WX5004无线控制器进行组网的方
37、案,AP与H3C WX5004无线控制器通过二层隧道协议通信,无线用户的认证点都是放置于H3C WX5004无线控制器上。这样组网的优势是:当用户在不同AP之间进行L2、L3漫游切换的时候,可由H3C WX5004无线控制器对用户的漫游切换进行管理控制,对于用户来说可以在无需重新认证的情况下跨区域开展业务。业界主要采用802.1X认证终端软件与AP、无线交换机、CAMS配合使用进行802.1x认证,或者采用Portal认证,后面具有Portal/Web与802.1X认证二种方式的比较。目前无线交换机能够同时支持802.1X/WEB PORTAL认证,当用户数较少的时候,可以在H3C WX500
38、4无线控制器本地建立用户数据库,将用户鉴权点放在H3C WX5004无线控制器本地进行;当用户数达到一定规模的时候,也可将用户数据库放在H3C公司的CAMS综合访问控制系统上,CAMS与H3C WX5004无线控制器配合作为用户鉴权点。由于医院的网络主要用于护士和医生工作,并不提供作为公众运营网络接入,我司本次的WLAN建设中,建议采用: H3C WX5004无线控制器完成用户的认证终结和用户鉴权;此方式具有的优点:用户认证完成实体主要体现于无线交换机系统,呈现一个集中模式,便于维护与统一控制,无线系统用户与有线用户区分开来管理,保证无线系统的安全性;3.1.1.1. 802.1X认证方案介绍
39、802.1X协议是IEEE在2001.6通过的正式标准,标准的起草者包括Microsoft,Cisco,Extreme,Nortel等;802.1X定义了基于端口的网络接入控制协议(port based network access control),该协议适用于接入设备与接入端口间点到点的连接方式,其中端口既可以是物理端口,也可以是逻辑端口。H3C的FIT AP无线组网方案中,由后端的无线交换机对所有认证报文进行终结,并提取出用户名和密码信息交由后台的CAMS进行用户鉴权。用户使用802.1X认证的过程如图所示:802.1X及WEB PORTAL认证流程示意图接入AP的无线终端采用802.1
40、X模式,首先接入AP的客户端通过802.1X认证输入用户名、密码后客户端发起EAP报文至无线交换机,在无线交换机上终结EAP报文,然后从无线交换机经以太网交换机发起Raduis报文至CAMS服务器,由CAMS服务器来验证用户名、密码是否匹配,在认证通过以后由CAMS服务器下发Raduis报文至无线交换机通知该用户认证通过,无线交换机中再将相对应的逻辑端口打开,允许学习MAC地址,允许用户上网。H3C公司对802.1x认证方式进行了优化,使其可以支持基于MAC的用户控制,即一般情况下如果多个用户连接到一个HUB,其中一个用户认证通过后,其他用户也能够使用网络,但H3C公司对802.1X认证方案优
41、化后,只有认证通过的用户(MAC)才能使用网络,其他用户还是不能使用网络。3.1.1.2. WEB认证方案介绍WEB用户上网时,设备强制用户到门户网站,并提供门户网站主页,用户可以免费访问其中的服务。当要使用互联网中的其他信息时,则必须在门户网站进行认证,只有认证通过后才可以使用这些服务。WEB认证用户不需要安装额外的客户端软件。在H3C的FIT AP方案中,使用WEB认证时,强制Portal仍然是在无线交换机上进行。使用WEB认证时不需要安装客户端软件,使得管理和维护更简单,并同时能利用CAMS的功能较好地对用户进行控制,如用户端口绑定、用户IP绑定、用户MAC绑定等,但无法做到用户通知消息
42、下发和防止用户使用代理。3.1.1.3. WEB认证与802.1X认证对比功能WEB认证802.1x认证客户端软件不需要需要客户端版本限制不支持支持自动探测并屏蔽代理服务器不支持支持限制多网卡、拨号上网不支持支持显示当前网络状态及认证状态支持支持异常下线探测功能支持支持消息下发不支持支持对AAA服务器的特别要求无无分布式认证支持支持网络性能影响低低Radius服务器的性能影响无无标准化程度低高IP地址浪费无无3.1.2. 有线无线混合组网下的认证方案对有线用户和无线用户进行分别认证,有线用户在以太网交换机上实现认证,无线用户在无线交换机设备上实现认证。通过在CAMS上设定对应的绑定区域,对于只
43、能使用有线上网的用户绑定所有以太网交换机IP地址,无线上网用户由于其漫游特性,无需绑定到无线交换机的IP地址。设备要求:实现认证的以太网交换机和无线交换机必须支持标准Radius协议,能够和CAMS配合实现认证计费功能。如果要实现华为扩展的Radius功能,如防代理、消息下发等功能。则必须使用对应的H3C设备。3.1.3. 用户管理CAMS系统功能强大,操作简单,在用户认证管理上,具有以下特点: 用户绑定功能CAMS支持绑定用户名和设备IP地址、入端口号、VLAN ID、用户MAC地址、用户IP地址等信息,保证用户绑定合法性。并支持用户MAC地址和用户IP地址自学习功能,大大减少管理员的录入量
44、。 认证区域绑定功能通过认证报文上传的认证接入设备IP地址,CAMS系统可实现认证区域绑定功能。用户上网的区域可被限制在一定范围内,增强了网络的安全性。 防代理功能针对医院用户,CAMS提供防代理功能,禁止用户使用代理上网,并支持限制用户使用的客户端,要求用户必须使用专用安全客户端,并强制自动升级,确保认证客户端的安全性。目前CAMS系统的防代理功能必须要与H3C交换机配合实现。华为AP暂不支持防代理功能。 用户黑名单管理CAMS认证系统支持黑名单管理,支持手工加入黑名单、自动将欠费用户加入黑名单、自动将恶意登录用户加入黑名单、自动将充值失败超过阈值用户加入黑名单并提供黑名单增强功能:在被试探
45、帐号加入黑名单的同时记录恶意试探机器的MAC地址,限制从该MAC地址的机器试探该帐号,但被试探帐号可以在其它MAC地址的机器上正常使用,保证登录用户的合法性。 用户上网全程监控CAMS认证计费系统能对医生上网的全过程进行管理,实现医生上网的实时监测。对于网络上进行非法操作的医生,具备将用户踢下线的功能,控制医生对网络的使用。3.1.4. 网管方案基于标准的SNMP协议实现对设备的管理,Quidview专门的无线局域网管理模块WXM可实现对WLAN所有网元的管理。网管工作站可以放在网上的任意位置,通过标准的SNMP即可实现对无线交换机的管理。H3C WX5004无线控制器可以实现更为强大的管理包
46、括AP的自动拓扑发现、自动升级、批量配置、分级管理、分级告警等,并可实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。而无线局域网管理软件WXM可以实现配置管理整个WLAN无线网络,其具备以下特点:1、零配置安装:接入点无需准备预设置,AP从无线控制器继承配置信息。可将无线控制器H3C WX5004无线控制器接入中心机房核心交换机中,AP无需事先进行任何配置,即通过接入层交换机接入有线网络,并自动注册到H3C WX5004无线控制器上,获得DHCP SERVER分配的IP地址,并自动下载配置文件正常工作,在大规模AP的项目中大量节省安装维护成本。2、防盗防入侵:敏感配置信息不在本地保存,即使设备被入侵被盗也不会丢失安全信息。实际运营中很多AP是放置在公共场所,如果密钥、SSID等安全信息在本地保存的话,一旦失窃对全网安全性造成威胁,AP由于其零配置安装,一旦掉电不会保存任何信息,避免入侵。3、支持灵活的拓扑结构:AP允许多种部署,从而能够直接或间接连接到管理它的无线局域网控制器。H3C WX5004无线控制器与WA2620之间可以隔离任何路由器或交换机,只要共同连接进有线网络,AP就可以自动寻找到H3C WX5004无线控制器实现注册。
浙ICP备2021020529号-1 | 浙B2-20240490 
