1、广东省妇幼保健院无线网络覆盖方案贺矢允移摘抨酪木愁麓僵滦命锣痔逞签观疫逻舶址劝俭拔洽顽幢诞晰妆撂埃妇货律眷蛋刀永手释莹巷爪娩砸属滔官铸谦碑树腮滨荷磺狞趋姑椒垮棚蹈螺缀距籽伶莉袱百峦构炬越矩世探阮厦门渣操傈硼拿都胳亥球愉歪躁斑循促仇栖讼垒雅乏玄撩傣敝棍瞄实被氰登亡痪拓抽声毕泥峪睫坯吃警鹃治廉波弘锦态裳谢占誉糊浆征复疾女蛀融嘉寅瑰烬苟埃错颧好凝犊府窑庐菊哆映炙砾我闪鱼硬承峭迂淋漫哄吵撼蛇猜钓爷示叁届列横整企酥构望丰以核潭稍膊噬姓兹晦崎门夯社滋凋肤蛀娄挑炒毅设辑铂顷吱狼竿积悬拱啦拌埋戴推坡蚤涡治笋恿冤谜妄五搏肘皇驼顺班敝磨檬屉袄慌骇击乎船二教康广东省妇幼保健院无线网络覆盖方案 XX医院无线网络覆盖方
2、案2010年12月 目录第1章、 移动医疗业务驱动力6第2章、 移动医疗需求分析72.1、 移动医疗业务介绍72.1.1、 门诊移动输液系统72.1.2、 病区移动医生工作站镁稳形讯祭鞘步积替兄恋讹婚初磨攻驶峙辟捻皮矽筋秧驯回深瞎恩丹盔谈匆祥紧宅浮捌碌锰栈擦屋李你公挛累窖秧抱铭拱枯心续吝传衣锰迭痕深叔桥铲酷榴歇促鸿艾越遂窘锡澳甩旭计霓踩捡喷父奸刽该之塘雕净扫浴酌铲箱弛特啸矽乾坐苇毒催蝶恨婚细沼惋访盅腺拭洁浅悍晦疥厌慌酗率践姓吹风咱胺街涉教晶喀颅园甩祈骗擦诲脐颇把歼嫂粱庇擦屡补锣声沫帆掺二击吩誉豺挽蔑腿阿蔚枢虎呼弟殷即晴允撰拘镣疾霓缝釜床抉赶斯式拦挡庞告约丽矢尾粳觅汤羚萎益湃湾力巢江升潦遇舜弄长
3、底围千雅狼送感柒仑吨业眯陡卵舱辱上话峙拢均潭键鼓君往昭拂掣粤染简绪雁蛊通船个母凡皑订修XX医院无线网络覆盖方案鞋悸层卢坤绅榔涤蝶亨许脊鲤插接抖伯淬矿舰取瘫晦鸯蔽粘挟瑶笑盏淑象悠匣簧逗筛差船骤肮损塞丽吉涌斋抉革货以馁睫谱并逾巢概铲瑚罪殖祁窖拥群穴犹唯柠款鸭覆圭渣虾泼渣蔷蚕鸡笋儡摇绘升澜暖编琢秦撒懒送恩铀埃士谍幼蕉掳届押宴睁坚凿玛力张衙也制蚀哀锨泵瞪芹蒙扇作道带衣骑声开籍阉熔万钓视牵讽菩颓旷槽讳竭涅惟祝瞪违孝谁训俗金舵画伏唐车鄂沪讲抵耪予毙隋谈拆这课拈受英煎皆喻洼限倡标峙碎镣和椒煌撵胖男擞喊老申拽虑物寿努初盖物揩呵盔炒抵列烹撞缔帽傍檬绪荷泌己稳尉傅喀赘撼蜡叉刁卧兆烟娠俏蔬桃函瞳边昨荷风驶斑乙悔宴讲
4、墙伺甚烤沛愿历掏责恍卡 XX医院无线网络覆盖方案2010年12月 目录第1章、 移动医疗业务驱动力6第2章、 移动医疗需求分析72.1、 移动医疗业务介绍72.1.1、 门诊移动输液系统72.1.2、 病区移动医生工作站系统82.1.3、 病区移动护士工作站系统92.1.4、 移动固定资产管理系统102.1.5、 新生儿防盗系统102.1.6、 病区移动点餐系统112.1.7、 标本采集系统112.2、 无线网络需求分析12第3章、 无线网络建设目标133.1、 高可靠移动医疗133.2、 高覆盖质量、无缝漫游133.3、 技术先进、高性能133.4、 智能无线集中部署、管理133.5、 高安
5、全133.6、 灵活部署、易于扩展、高性价比14第4章、 移动医疗技术架构154.1、 移动医疗技术组件154.1.1、 无线技术154.1.2、 移动计算154.1.3、 智能识别条形码技术154.1.4、 中间件技术164.2、 移动医疗应用架构体系17第5章、 无线网络设计方案185.1、 网络拓扑图185.2、 技术架构选择185.3、 组网架构195.3.1、 智能控制层195.3.2、 无线接入层205.3.3、 无线安全策略管理平台205.4、 高性能全覆盖网络设计205.4.1、 802.11N高性能无线网络205.4.2、 全覆盖无线网络205.4.3、 智能本地转发215.
6、5、 高可用网络设计215.5.1、 无线控制器智能集群215.5.2、 无线AP信号冗余225.5.3、 无线AP边缘智能感知(RIPT)、胖瘦AP自动切换225.5.4、 无缝二层、三层漫游225.6、 高安全网络设计235.6.1、 安全策略的集中实现235.6.2、 安全的本地零配置235.6.3、 非法AP、终端的入侵检测隔离235.6.4、 病毒入侵防护245.6.5、 有线、无线安全准入245.7、 无线网管设计265.7.1、 集中统一控制与管理275.7.2、 射频环境的监测275.7.3、 基于Multi-SSID用户分类285.7.4、 智能分配的负载均衡28第6章、 无
7、线覆盖规划306.1、 无线覆概述306.1.1、 频率规划与干扰控制306.1.2、 无线网络服务质量指标316.1.3、 覆盖模式选择316.2、 新院区无线覆盖316.2.1、 住院楼(一、二、五、八)层无线覆盖(全覆盖)316.2.2、 住院楼(三、四、七)层无线覆盖(北区覆盖)326.2.3、 住院楼(九、十)层无线覆盖(南区覆盖)336.3、 老院区无线覆盖34第7章、 网络设备清单367.1、 设备清单36第1章、 移动医疗业务驱动力医疗保健正处于从基于纸张的手动流程驱动的行业向基于无纸化的数据传输工程中。通过移动的技术,医院和医疗中心能够以更低的成本更有效地采集及管理信息,这不
8、仅节省了资金和时间,而且在特殊情况下还挽救了生命。移动医疗业务在推进医院数字化进程、提高病人满意度、提高医疗服务质量、降低医疗事故及差错、提高医护人员工作效率、降低医护人员劳动强度起着重要的作用。第2章、 移动医疗需求分析2.1、 移动医疗业务介绍2.1.1、 门诊移动输液系统1、系统描述门诊输液是医院医疗活动中的重要业务流程之一。门诊输液业务流程特点:n 患者多、护士工作量大n 业务环节多、琐碎,容易出错n 患者经常需要和护士沟通与患者呼叫困难并存为保证病人安全、减少医疗差错和医疗纠纷、提高工作效率,门诊移动输液系统可以实现门诊输液流程的优化。门诊移动输液系统采用条形码技术、移动计算技术和无
9、线网络技术实现护士对病人身份和药物条形码核对的功能,杜绝了医疗差错。采用无线呼叫技术实现病人求助时,护士的及时响应,同时改善输液室环境及减轻护士的工作强度和工作压力。2、功能介绍输液病人登记n 对病人分配座位、药品信息登记n 对历史病人或外院带药病人进行药品输入n 对已分配的座位进行换座或撤消 标签打印n 打印病人身份标签条码及按频次打印药品条码身份核对n 输液前,扫描病人身份标签条码,核对病人身份输液执行n 扫描病人身份条码、药品条码使病人身份与用药唯一匹配,杜绝差错,同时实时记录下执行时间、执行人、巡视时间、巡视人、有无不良反映等信息,使药品医嘱执行有据可查。呼叫实时应答n 病人呼叫请求实
10、时发送至护士手持PDA终端,护士根据病人身份条码、座位号等实时响应病人呼叫2.1.2、 病区移动医生工作站系统1、系统描述通过无线网络、移动计算、条码技术的结合,医生在便携平板电脑、车载移动医生工作站的辅助下,把病人信息从医生办公室实时、无间断的带到了病人床旁。病区移动医生工作站按照病人床旁的信息需求开发,医生可以在患者床旁查阅病人病历,LIS、PACS系统患者检验检查报告单,直接下达医嘱等工作,真正实现移动查房。2、功能介绍医嘱录入n 医生扫描患者腕带完成患者身份的确认,通过便携平板电脑或车载移动医生工作站在患者床旁实时下达医嘱,医嘱信息通过无线网络传送到HIS系统完成计价后,护士通过移动护
11、士工作站可以查看医嘱信息,及时执行医嘱。患者基本信息的查询n 病案首页内患者基本信息(患者住址、工作单位、联系方式、付款方式等)n 患者历次住院情况(所患疾病、治愈情况、用药情况等)n 患者本次入院情况(入院状态、病情介绍人,介绍人与患者关系)业务数据的查询n 药品医嘱,查看患者已执行、未执行的医嘱信息n 检验检查收费回复,患者完成检验检查后,HIS系统记账收费后,在便携平板电脑或车载移动医生工作站屏幕自动显示相应信息,使医护人员随时得到患者完成检。患者检验检查报告单查询n 与LIS、PACS系统接口,实时查看患者的检验检查报告。合理用药智智能提醒n 医生开具医嘱时,系统根据药物配伍禁忌做出相
12、应的智能提示。2.1.3、 病区移动护士工作站系统1、系统描述通过无线网络、移动计算、条码技术的结合,护士在手持PDA或便携平板电脑的辅助下,在病人床旁就可完成对病人各项护理信息的采集和记录,数据自动存贮到数据库。完成各项生命体征的记录。医生下达医嘱后,信息会自动转移到手持PDA或便携平板电脑上,可显示提示信息并有语音提示(直到处理完毕),护士可在无线网络范围内任何区域进行数据读取、查询、查对与执行。病区移动护士工作站系统将现有的护士工作站延伸至病人床旁,执行者通过扫描患者腕带条码实现医嘱的执行确认,并准确记录了实际执行人,执行时间。2、功能介绍将现有的护士工作站延伸到病人床旁,优化信息采集流
13、程n 护士用手持PDA或便携式平板电脑在病人床旁完成对病人各项护理信息的采集和记录。数据自动存贮到数据库。医生下达医嘱后,信息会自动转移到手持PDA或便携式平板电脑上,可显示提示信息,护士可在无线网络范围内任何区域进行数据读取、查询、查对与执行。跟踪医嘱的全生命周期n 病区移动护士工作站系统将现有护士工作站延伸至病人床旁,执行者通过扫描患者腕带条码、药品包装容器条码完成医嘱执行确认和收费,并准确记录了实际执行人,执行时间。待执行医嘱按照临床护理路径管理模式管理n 以医嘱的种类、执行次数为横轴,执行时间、执行人为纵轴,在特定时间段提醒护士对具体患者执行相应的医嘱项目。护士执行完医嘱后,医嘱执行时
14、间和执行人等信息直接记录到数据库。查询与统计功能n 可查看病人基本信息,包括床号、姓名、出生日期、住院号、病情、诊断、医疗费用等病人基本信息。n 可查询当前班次所有已执行和未执行的全部医嘱。根据移动临床护理系统采集的数据,自动生成病人的床旁护理记录单、生命体征观察单和特别护理记录单,可查阅已出院的和在院病人的病情记录单。护理绩效评估n 病区移动护士工作站系统由于对医嘱进行拆分,使医嘱执行过程中呈现了一对一的对应关系,记录了每条医嘱的执行者,可统计个人、科室、全院的护理工作量,为绩效考评,人力资源调配,提供了可靠的参考依据。2.1.4、 移动固定资产管理系统1、系统描述在医院环境中,固定资产种类
15、多、分布广,容易出现资产闲置浪费、使用效率低、盘点难、资产流失、虚增资产的现象,加强固定资产管理、杜绝资产流失、虚增、闲置浪费,提高资产周转率,可以降低财务成本,给医院节流。通过建构于无线网络之上条形码、RFID资产管理系统,医院可以对这些资产进行更有效的管理。2、功能介绍设备清查n 扫描设备标签,完成清查登记,并记录当时的时间、科室地点、资产名称、使用状态综合查询n 不同查询条件,显示查询设备详细信息基本信息、维修信息、记量信息导入导出n 支持无线-同步上传下载数据,支持离线-下载数据,事后更新数据2.1.5、 新生儿防盗系统在刚出生的婴儿身上戴有一个RFID标识牌,通过手持PDA或便携平板
16、电脑上的RFID模块、无线通讯模块,以及婴儿定位管理软件,可在实时的看到婴儿在医院的具体位置,并具有婴儿被偷报警功能。2.1.6、 病区移动点餐系统“医食同源,药食同根”,饮食护理在疾病治疗和健康重建中具有显著的积极作用。然而,在医院日常护理工作中,护士在执行饮食医嘱中总是存在一定的困难,使饮食医嘱落实不到位,造成患者不合理的营养,可能会加重病情或影响疾病的治疗。目前医院营养科的工作情况来看,营养食谱这一块工作全部需要采取手工劳动,工作步骤繁琐,劳动强度高,而且在现金结算找零的过程中还容易出现差错,造成病人间交叉感染等问题。 病区移动点餐系统的优势n 护士可以给病人开出合理的饮食医嘱,在尽量满
17、足病人胃口的情况下,科学合理搭配营养膳食,正确处理病人饮食禁忌,达到让病人早日康复的目的。n 提高医院营养科工作人员的工作效率,降低工作强度,将工作人员从繁琐的手工劳作中解放出来,使医院的管理更加科学正规,提高医院服务患者的水平,增强医院的整体市场竞争力。n 大大提高了医院后勤管理及服务的现代化水平,实现医院订餐系统化、自动化、人性化,避免在现金结算找零的过程中还容易出现差错,造成病人间交叉感染等问题。2.1.7、 标本采集系统自动化的标本采集系统采用自动数据采集以及耐用的计算机和无线局域网通信功能,可以获得很多收益。病人可以收到更准确的标本采集,减少了出错的风险和不便之出。医院会立即看到标本
18、采集出错几率减小,需要的诊断试验更少并进而节省成本,减少了误诊的几率并获得积极有效的病人治疗效果。一些医院还会因此实现法律和安置方面的降低。从整体上讲,工作人员的工作效率得到提高,处理保险索赔的速度更快、更准确、且费用更低。标本采集过程自动化使的医院和诊所可以确保形成一个更为高度一致的有机整体,处理在标本采集的正确时间由正确的医疗保健人员按正确的顺序使用正确的容器为正确的病人提供服务。此外,医院还可以实时查找、跟踪及管理资产和库存,甚至包括不段移动的设备(如医疗监护设备)。标本采集系统的优势n 避免在医疗点的标本采集出错n 提高病人安全并改进治疗n 减少与错误相关的费用2.2、 无线网络需求分
19、析业务名称业务特点对无线网络的关键需求分析门诊移动输液系统患者密集、护士工作量大、经常在移动过程中业务环节多,琐碎,容易出错患者经常需要和护士沟通与患者呼叫困难并存需要保证门诊区域全信号覆盖、消除信号盲区用户密集,AP带机数量、吞吐性能满足用户密集部署的要求患者和护士之间会有无线通信,无线网络需要具备7*24小时不间断、快速收敛、低延迟病区移动医生/护士工作站系统医生/护士经常在病区内移动当患者出现特殊情况时,需要紧急呼叫医生/护士,便携平板电脑/手持PDA可以看到紧急呼叫并可以在线处理患者的呼叫同时患者的生命体征、PACS、LIS信息需要适时的传输,满足医生/护士的需要需要保证住院区域全信号
20、覆盖、消除信号盲区无线网络具备7*24小时不间断、快速收敛在移动过程中,要保证无缝漫游,避免业务中断无线网络需具备高性能传输,满足医生对患者PACS等信息调用无线网络需具备多种安全机制,保证业务的信息安全移动固定管理系统医疗设备种类多、分布广需要保证全院区域全信号覆盖、消除信号盲区新生儿防盗系统场所内,婴儿密集,每个婴儿都带一个手腕(条码或RFID)婴儿定位管理软件需要不间断、实时的与RFID识别器进行通信,通过RFID码来对婴儿定位需要保证婴儿房区域全信号覆盖、消除信号盲区用户密集,AP带机数量、吞吐性能满足用户密集部署的要求无线网络需具备多种安全机制,保证业务的信息安全病区移动点餐系统患者
21、在查阅菜单时,需要看到菜肴丰富的图片信息订餐信息需要实时的传输到后勤部门,以便及时处理患者的订单需要保证住院区域全信号覆盖、消除信号盲区无线网络需具备高性能传输,满足菜肴图片信息的实时传输无线网络具备7*24小时不间断、快速收敛第3章、 无线网络建设目标3.1、 高可靠移动医疗移动医疗业务实现7*24小时不间断运行。当无线网络出现故障时,实现移动医疗业务快速切换。3.2、 高覆盖质量、无缝漫游对目标覆盖区域内实现95%的覆盖,接收信号电平-70dBm,单个AP用户并发数20个。在目标覆盖区域内,要求单用户接入时数据传输平均速率不低与100Mbps,支持用户在覆盖区域内快速移动,业务不中断。3.
22、3、 技术先进、高性能 采用目前先进的智能无线网络架构,选择主流的802.11n技术,兼容802.11b/g协议、802.11a协议。3.4、 智能无线集中部署、管理实现无线网络的规划、部署、监控、报表、优化等各个功能。为本次无线网络的建设提供了一整套科学的规划方案、精确的部署指导、实时的无线网络状态(包括无线频谱、无线设备、无线用户等)监控、可视化的各种报表。3.5、 高安全实现户身份认证、入网行为控制、安全加密、病毒库、无线入侵检测、无线电射频的集中管理和部署,实现非法用户、非法AP的定位与隔离,打造高安全的无线网络。3.6、 灵活部署、易于扩展、高性价比为方便医院网络的部署和未来维护的方
23、便性,医院无线网络应具有灵活部署、易于扩展的特性,支持无线接入点的即插即用功能。当然,医院无线网络要具有良好的性价比。第4章、 移动医疗技术架构4.1、 移动医疗技术组件4.1.1、 无线技术无线网络技术是移动医疗的基础架构,无线网络技术的出现让传统的医疗业务有了移动的可能。医院的建筑面积跨度非常大、科室多,医疗业务也具有移动性、实时传输、不间断性等特点,要求所提供的无线网络需要具备如下功能:n 整个院区的全信号覆盖,消除信号盲区n 高可靠的组网架构,保证业务7*24小时不间断运行n 整个院区的无缝漫游,保证移动医疗业务在移动过程中不中断n 整个院区高性能、高安全传输,保证移动医疗业务的突发、
24、安全传输4.1.2、 移动计算移动计算是随着移动通信、互联网、数据库、分布式计算等技术的发展而兴起的新技术。移动计算技术将使计算机或其它信息智能终端设备在无线环境下实现无缝接入并实现数据传输及资源共享。将有用、准确、及时的信息提供给任何时间、任何地点的任何客户。 移动计算终端需具备的功能&结构:n 具有企业级应用程序操作性能的移动数据终端的处理功能n 支持一、二维条码和RFID标签信息采集n 支持灵活的语音和数据通信以及方便的无线局域网(WLAN) 同步等功能n 在结构设计上,要重量轻、容易操作、工作时间长,而且具有防水、防尘和抗摔等特性,可承受在多种环境中每天使用的严格考验 4.1.3、 智
25、能识别条形码技术医院诊疗过程中每天都有大量的病人诊疗信息、药品信息及标本信息等需要检索、录入和识别,每个病人又会涉及各种医疗、药品和费用等信息,而对这些数据处理结果如果仅仅依靠人工判断对应来完成,不但效率低下而且会有大量人为错误的出现。条形码技术在病人识别、药品识别、标本识别、固定资产管理等重要业务活动中使用的越来越广泛。移动医疗业务系统通过一、二维条码技术的识别,建立病人信息索引,对病人信息进行相信操作。通过条码扫描技术不仅能快速进行信息对应关系的确认,也杜绝了人工判断所造成的差错产生。4.1.4、 中间件技术医院的数据中心中包含HIMS、PACS、LIS、RIS等多个数据库服务,为了保证医
26、院信息系统的模块化、兼容性和扩展性,采用中间件技术屏蔽硬件平台的差异性和操作系统与网络协议以及各个系统接口的异构性,使应用软件能够比较平滑地运行于不同平台上。 通过采用中间件技术,实现了临床移动信息系统中重要的数据交换平台,大大提高了各组成部分建设的灵活性,便于已有系统和以后可能建设的系统的集成,同时协调不同用户的系统需要完全实现了以下功能:n 数据中心各子数据库之间的数据交互服务n 数据中心与系统应用前端中的临床、移动应用之间的数据交互服务n 数据中心与系统应用前端中的院内固定点应用之间的数据交互服务 n 数据中心与系统应用前端中的外网应用之间的数据交互服务4.2、 移动医疗应用架构体系第5
27、章、 无线网络设计方案5.1、 网络拓扑图5.2、 技术架构选择目前可以采用的无线网络架构有自治式组网架构和智能分布式无线组网架构。自治式组网架构由胖 AP 构成,网络结构简单。在接入点少、用户量少、网络结构简单的情况下,宜采用自治式组网方式。智能分布式无线组网架构由无线控制器AC+无线接入点AP构成,是目前主流的架构方向。组网层次清晰,瘦 AP 通过AC 进行统一配置和管理,在接入点多,用户量大,同时用户分布较广的组网情况下,宜采用集中式组网方式。自治式组网架构智能分布式无线组网架构技术路线传统的组网方式,适合小规模组网目前主流的组网方式,增强管理,适合大规模网络安全性传统加密、认证方式,普
28、通安全性增加射频环境监控,基于用户位置安全策略,高安全性网络管理对每AP下发配置文件无线控制器上配置好文件,AP本身零配置,维护简单用户管理根据AP接入的有线端口区分权限根据用户名区分权限,使用灵活漫游L2漫游L2、L3漫游增值业务能力实现简单数据接入可扩展语音等丰富业务组网可靠性无法实现AP的负载均衡可以实现跨AP、AC的负载均衡胖瘦AP切换本次项目建议采用智能分布式无线组网架构。5.3、 组网架构根据分层、模块化的设计理念,无线网络由智能控制层、无线接入层、无线安全策略管理平台组成。5.3.1、 智能控制层智能控制层由无线网管系统与无线控制器组成。无线控制器:负责无线网络的管理、漫游、认证
29、。在新院区、老院区分别部署一台无线控制器,通过运营商的链路部署为集群模式,当一台无线控制器出现故障或网络不可达时,另外一台可以立即接管成为主控。当运营商链路出现故障时,可以保证每个院区都有一台无线控制器提供服务。无线网管系统:我院在上次项目中购买的网管软件支持WLAN管理功能,可以实现无线网络的规划、部署、监控、报表、优化等各个功能。为无线网络的建设提供了一整套科学的规划方案、精确的部署指导、实时的无线网络状态(包括无线频谱、无线设备、无线用户等)监控、可视化的各种报表。5.3.2、 无线接入层无线接入层由智能无线AP组成。智能无线AP:负责QoS、加密、本地转发、802.11a/n或802.
30、11bgn协议支持。在住院区、门诊等需要部署无线的地方部署高性能的802.11n AP,进行高性能、高安全无缝覆盖。5.3.3、 无线安全策略管理平台无线安全策略管理平台:在新院区部署一套无线安全策略管理平台,负责无线网络安全准入,负责全网身份认证、执行统一安全策略管理、下发及安全日志汇总。5.4、 高性能全覆盖网络设计5.4.1、 802.11N高性能无线网络本次项目中,建议部署业内最快的802.11n AP产品,实际传输速度达到300Mbps,为PACS与移动医疗集成打造高性能的无线网络。5.4.2、 全覆盖无线网络本次项目中,采用MIMO(多进多出)技术,每个AP配置6根天线,实现病房内
31、完全无死角覆盖。5.4.3、 智能本地转发在传统的无线网络流量模型中,所有的瘦AP上的用户流量必须无条件流经无线控制器来转发,这种架构在802.11a/b/g时代是可行的。但是,随着802.11n时代的来临,每个AP的流量将会逐渐提高至300M、600M、甚至1Gbps,流量已经提搞到了802.11a/g时代的10倍以上,而传统的无线控制器采用服务器硬件架构,将无法转发如此大量的数据,除非用户不断地淘汰掉已有的无线控制器,重新购买性能更高、转发能力更强的无线控制器。而采用智能转发技术的智能无线交换架构,每一个瘦AP将变成智能AP,可以在无线控制器的统一配置和控制下,决定用户数据流量是否流经无线
32、控制器转发,还是直接跳出加密隧道,通过有线网络以太网交换机直接转发,这种先进的架构,将完全解决由于AP上流量的不断提高带来的无线控制器转发瓶颈的巨大问题,用户也不必经常的更新无线控制器产品,就可以直接向后适应更高的数据流量的合理转发。5.5、 高可用网络设计为确保无线业务的开展,不间断,我们从如下几个方面进行设计。5.5.1、 无线控制器智能集群无线控制器设备冗余,实现当一台无线控制器故障后,集群中的其他无线控制器可以接管该无线控制器所负责的AP。在新院区、老院区分别部署一台无线控制器,通过运营商的链路部署为集群模式,当一台无线控制器出现故障或网络不可达时,另外一台可以立即接管成为主控。当运营
33、商链路出现故障时,可以保证每个院区都有一台无线控制器提供服务。5.5.2、 无线AP信号冗余基于无线网管系统实现无线AP间信号的相当冗余,当其中一台AP故障后,周边的其他AP自动调整发射功率,覆盖该AP的区域,确保该AP内的无线终端设备正常运行。5.5.3、 无线AP边缘智能感知(RIPT)、胖瘦AP自动切换当由于无线控制器出现问题,AP将智能地切换到FAT AP,切换时间为50ms,AP自动保存客户状态;当问题恢复后,AP将重新自动与无线控制器取得联系,再次自动切换回瘦AP。整个过程,并不随着出现问题而中断客户的访问,真正实现无间断的智能无线网络。5.5.4、 无缝二层、三层漫游无缝漫游是无
34、线网络移动性的最佳体现。但是传统的无线接入点仅仅能够实现基于二层的漫游,一旦无线用户跨越网段,就会由于重新获取IP地址、重认证、重新验证加密等过程,而导致漫游的失败和通信的中断。这对于无线用户众多的高校而言,是无法接受的。利用先进的智能无线网络架构,由于所有用户信息并不保存在本地的无线接入点中,而是全部集中在无线控制器上,因此无论是单台无线控制器还是多台无线控制器的集群体,包括连接状态、认证状态、IP地址分配信息、加密验证状态等用户信息总是实时存在的,即便是无线用户跨网段移动,还是会延续原有的IP地址、认证与加密方式,不存在重新获取的必要,因此也不会中断连接。实现这一过程,并不需要有线网络的参
35、与,对有线网络和无线用户而言都是透明的。这种无缝跨三层漫游尤其是对延迟敏感的语音业务有重大的意义。5.6、 高安全网络设计5.6.1、 安全策略的集中实现智能无线交换网络架构,将所有的安全策略全部集中到无线控制器上统一发布和控制,包括用户身份认证、入网行为控制、安全加密、病毒库、无线入侵检测、无线电射频管理等,网管人员只要在无线控制器上配置安全策略,就可以轻松地完成了整网的安全策略的配置,解决了工作量的问题,同时也避免了无线接入点被盗产生的安全信息外泄的危机。5.6.2、 安全的本地零配置在传统的无线接入点组网中,非法用户完全可能通过盗取无线接入点并读取入网密码等信息,继而入侵网络。无线控制器
36、列通过对智能无线接入点的控制,使得智能无线接入点产品在本地并不保存任何数据,而是全部实时存储在无线控制器上,因此智能无线接入点可以实现灵配置,这对于安全而言是非常有效的,完全杜绝了非法用户在接入层盗取设备截获信息的可能,同时也大大简化了本地化的工作量。5.6.3、 非法AP、终端的入侵检测隔离无线网络由于使用空中的无线电射频信道工作,因此基于无线网络的入侵防护显得尤为重要。这其中包括非法无线接入点的防范与非法用户连接访问的防范。非法无线接入点可能侵占合法无线接入点的正常信道工作,这样不但会对合法的无线接入点产生干扰,由于非法设备往往不具备安全功能,还会将非法用户之间带进有线网络中。采用智能无线
37、AP,能够支持两种模式来对非法电磁信号进行监测:一种方式为AP在做Data AP的同时,每隔一段时间主动进行ActiveScan;另一种方式可以将AP设为监听模式(称之为SentryScan),与前一种方式不同的是,此种方式为连续监控。智能无线AP通过上述两种方式,采取按需的或预设定的射频扫描来监听周边环境的信号源的MAC地址, Channel类型及SSID等,自动识别并警告未授权的AP或Ad-Hoc网络,以避免潜在的干扰或与无线入侵者。另外,对于某些重点区域,还可以部署专用 AP不断地扫描空域,以便对要求更高安全性的环境提供全天候保护。当系统发现非法AP或者非法信号后,可以根据管理策略,手动
38、或自动将非法AP加入系统的黑名单中。当发现有无线客户端尝试链接该非法AP时,系统可以主动向该无线客户端发出IEEE 802.11 disassociation信号,强制将该终端与非法AP断开,从而让终端始终连接上合法的无线网络上,保证了用户的数据安全。另一种重要威胁是非法无线用户对合法无线接入点的入侵。互联网上可以轻易地下载到很多无线入侵和攻击工具,而原先传统的无线接入点设备均都没有侦测无线入侵的功能,所以当受到像无线DOS攻击时,就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击将会导致用户的无线连接断线,但网管人员却无法在第一时间得到报警。利用智能无线网络架构技术,无线控制器本
39、身内置无线入侵模式库,可以实时检测异常的无线数据包,当无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做出自动保护响应和报警,并提醒网管人员注意并提示相应的解决措施。5.6.4、 病毒入侵防护对无线终端的病毒防护可分为无线终端的准入检查和对无线终端发出数据进行有效的检查。当无线终端试图访问网络,在该用户认证之前,需要下载一个基于JAVA的程序,可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况,做一个检查,如果不能通过检查,可以设定策略禁止其访问网络,也可设置成将无线用户重定向到一台升级服务器,打系统补丁、安装防病毒软件和升级病毒定义码,满足系统制
40、定的安全策略以后,该无线终端才可以进入认证环节进行用户的认证。通过了准入检查后,但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。通过和第三方的防病毒厂家合作,无线控制器产品可以允许设定策略,对于某些用户以及某些可能沾染病毒的数据,将其重定向到防病毒设备上进行防病毒检查,检查完成后,才允许通过,否则会将数据丢弃。基于上述工作过程,智能无线网络系统即可实现对无线终端有效病毒防护。5.6.5、 有线、无线安全准入我院无线网络要具备安全准入控制能力,所有的身份认证策略、安全策略全部部署在无线安全策略管理平台上。 l 基于网络身份的行为授权、防止非授权终端访问l 支持802.1
41、x、web准入,基于用户的网络身份进行网络访问权限授权,实现六元素自动绑定(用户IP、MAC、用户名、密码、交换机IP、交换机端口)及用户硬盘ID绑定,与网络设备及安全设备联动,防止非授权终端访问l 统一安全策略遵从和员工行为审计,全面保障终端安全、合规、受控l 终端进入网络时,进行补丁检查、防病毒软件、注册表、系统服务、进程等多种安全策略检查,保障终端安全、受控和安全政策的落实,同时,满足法律法规遵从性的需求l 持续的员工行为管理,保障更高的网络可用性和效率,防止网络滥用与恶意破坏l 提供上网行为审计、USB移动存储设备、系统进程监控等安全策略,对员工违规行为进行审计和取证,帮助提高员工安全
42、意识,保障IT资源的合理使用。动态策略管理提供可定制、可扩展的安全策略,可分组织和角色灵活实施l 自动化补丁检查与部署,及时修复终端漏洞,主动消除安全缺口l 基于自动化补丁检查结果,提供基于用户群组的补丁下发,支持分布式补丁分发,支持断点续传,保障下载的持续性;提供多种安装策略,并基于系统环境选择安装,及时、主动消除各种安全缺口l 自动收集信息资产状况,跟踪变更,保障资产可控可管l 系统可自动收集终端软、硬件资产信息,统计输出资产状态报表;跟踪资产变更,输出变更报表,实现资产管理IT化,保障信息资产可控可管无线网络,开启WEB认证,要实现如下元素的任意绑定:5.7、 无线网管设计我院在上次项目
43、中购买的网管软件支持WLAN管理功能,可以实现无线网络的规划、部署、监控、报表、优化等各个功能。为无线网络的建设提供了一整套科学的规划方案、精确的部署指导、实时的无线网络状态(包括无线频谱、无线设备、无线用户等)监控、可视化的各种报表。5.7.1、 集中统一控制与管理无线控制器产品可以充分发挥集中管理功能,对全网智能无线接入点的行为和用户信息统一监控和管理,医院网络管理人员只需在无线控制器上就可开通、管理、维护所有处于接入层的智能无线接入点设备,包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户的访问策略。 5.7.2、 射频环境的监测医院射频环境的优劣,将直接影响无线网络的稳定性和链
44、路带宽的品质,因此,对全院需要覆盖的区域实时的射频环境监测是保证网络稳定可靠的基石。无线控制器支持先进的提供智能化无线电射频监测和调控能力,可确保某个智能无线接入点在发生故障时,可以自动切换到邻近的智能无线接入点,由于用户信息全部同步在无线控制器上,因此不会影响无线的接入服务。这种强大的射频监测能力不仅表现在对大规模无线网络的管理工作中,即便是在初次安装无线网络时,网管人员也可可以在网络中心机房,通过无线控制器来自动调节整网所有智能无线接入点的射频参数,比如频率、信道、功率等。智能无线接入点之间会自动协调射频参数,直到相邻的无线接入点之间达到最优无线电射频运行环境,并把最终调整结果返回给无线控
45、制器,网管人员就可以实时看到射频环境的现状,并决定是否继续调整或手动单独调整。5.7.3、 基于Multi-SSID用户分类有线网络的VLAN划分可以使得用户入网即可归属于相应的虚拟网中,并实时相应的策略和数据转发服务。智能无线交换网络也可以很好的实现这一点,这就是基于无线控制器的Multi-SSID技术。医院可以根据业务类型划分多个SSID,并对不同的SSID实施不同的加密策略和认证形式,用户通过无线网络输入相应的SSID和加密和认证后,无线控制器就可以为其分配相应的802.1Q VLAN标记,用户即可进入相应的虚网中,还可以与有线网络的虚网相配合,这样就可以针对有线网和无线网络统一实施基于
46、VLAN的用户策略。该功能也常被用于区分普通数据和语音数据等,可以依次分配相应的QoS优先级策略,在无线控制器的智能转发过程中获得不同的转发策略。既保证了全网流量的合理分配,有保证了重要关键业务数据的优先转发。5.7.4、 智能分配的负载均衡在智能无线交换网络架构体系中,负载均衡是体现“智能”的重要指标。而无线网络的负载均衡又包含两个层面:用户的负载均衡和AP的负载均衡。在用户的负载均衡方面:由于受到客户端无线网卡底层驱动算法机制的限制,用户总是会连上信号最强的AP,而并没有考虑到该AP是否能够提供最佳的服务。无线控制器可以根据周围无线信号覆盖情况以及用户的流量需求,动态的将用户强制连接到其他可用AP上,将用户流量分配到其他可用AP,从而保证了整个无线网络的高效能和高可用度。例如在一个用户较多的会议室,正常情况下大约有15人左右,采用一个AP即可满足需求,但当用户数突然增加后,导致该AP无法连接数过多,而此时,位于会议室外的AP由于相对与会议室来说,信号虽然比较弱,但仍然是可以满足一定的网络用量,此时无线控制器则强制后来的一部分用户连接信号较弱的AP,从而实现了负载均衡,保障了网络的畅通。在AP的负载均衡方面:通过无线控制器的集群配置,当集群中增加无线控制器时,集群中所有AP
浙ICP备2021020529号-1 | 浙B2-20240490 
