精选医院无线网络设计资料_第1页
精选医院无线网络设计资料_第2页
精选医院无线网络设计资料_第3页
已阅读5页,还剩5页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、1.1.无线网络设计1.3.1. 无线业务需求分析大多数医院的网络目前都是有线网络, 但有线网络没有解决空间覆盖的问题, 同时也不 能解决信息实时收集的问题, 在将来的医院网络趋于实时、 数字化网络, 同时还可以为医院 的病人提供增值服务。 也可以利用无线局域网技术的移动性、 灵活性和高效率在护理点获取 实时的患者信息或者搜索决策支持信息。 这种系统使医护人员可以更加准确、 快速和高效地 制定决策和采取相应的措施,具体体现如下:电子病历访问 /查看医生处方输入和药物治疗匹配护士呼叫系统患者床边服务对重要的统计数据的监控。对于具体的无线工程一般还要满足以下业务需求:针对医院的空间要进行全面覆盖;

2、 无线网络通过安全认证,保证医院信息不能通过无线网络对外泄露; 用户在无线区域内移动时, 不需要多次重复认证, 实现自动漫游, 即业务不中 断;1.3.2. 整体无线建网原则结合医疗行业和 WLAN 的实际应用与发展要求,无线局域网 (WLAN) 网络系统设计本 着建设功能完整、技术成熟先进的网络系统的前提下,主要遵循以下系统总体原则:高可靠性原则: 网络系统的稳定可靠是应用系统正常运行的关键保证,对于医院 网络来说,更是如此,在网络设计中特别是关键节点的设计中,选用高可靠性网 络产品,并合理设计网络冗余拓扑结构,制订可靠的网络备份策略,保证网络具 有故障自愈的能力,最大限度地保证医院办公系统

3、的高效运行。技术先进性和实用性原则 :以现行需求为基础,保证满足医院办公应用系统业务 的同时,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的 成熟技术和标准结合起来,充分考虑到医院网络应用的需求和未来的发展趋势。 安全性原则: WLAN 是一个空间开放网络,同时作对信息的安全以及网络的安全VLAN 策略和过滤机制,整体考虑网络要求较高。制订统一的骨干网安全策略、平台的安全性。高性能原则: 承载网络性能是医院整个办公系统良好运行的基础,设计中必须保 障网络及设备的高吞吐能力,保证各种信息(数据、语音、图像)的高质量传输, 力争实现透明网络,网络不能成为医院实施业务的瓶颈。规范性原

4、则: 系统设计所采用的技术和设备应符合 WLAN 国际标准、国家标准和 联通 WLAN 企业标准,为系统的扩展升级、与其他系统的互联提供良好的基础。 开放性和标准化原则: 在设计时,要求提供开放性好、标准化程度高的技术方案; 设备的各种接口满足开放和标准化原则。可扩充和扩展化原则: 所有系统设备不但满足当前需要,并在扩充模块后满足可 预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。保证建 设完成后的系统在向新的技术升级时,能保护现有的投资。可管理性原则: 整个系统的设备应易于管理,易于维护,操作简单,易学,易用, 便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的

5、监视和 控制,并可以进行远程管理和故障诊断。1.4. 总体方案设计医院无线网络解决方案总体设计以高性能、高可靠性、高安全性、 良好的可扩展性、可 管理性和统一的网管系统为原则, 以及考虑到技术的先进性、 成熟性, 并采用模块化的设计 方法。H3C 无线方案理解为是有线网络的外延,整个方案设计的要点主要包括认证点的 选择问题、 网络安全设计、无线网部署、 网络管理几个方面。 我们将在后面的方案 详细设计中进行分析和方案描述。1.4.1. 认证方式选择在认证点选择方面,由于 H3C 公司提供的是( FIT WAP2110 )加核心交换机上无线 AC 控制器插卡进行组网的方案, (WAP2110 )

6、与 AC 控制器通过二层隧道协议通信,无线 用户的认证点都是放置于 AC 控制器上。这样组网的优势是:当用户在不同( WAP2110 ) 之间进行 L2、L3 漫游切换的时候,可由 AC 控制器对用户的漫游切换进行管理控制,对于 用户来说可以在无需重新认证的情况下跨区域开展业务。业界主要采用 802.1X 认证终端软件与 AP 、无线交换机、 iMC 配合使用进行 802.1x 认 证,或者采用 Portal 认证,后面具有 Portal/Web 与 802.1X 认证二种方式的比较。目前无线交换机能够同时支持 802.1X/WEB PORTAL 认证,当用户数较少的时候,可 以在 AC 控制

7、器本地建立用户数据库,将用户鉴权点放在 AC 控制器本地进行;当用户数达 到一定规模的时候,也可将用户数据库放在 H3C 的 iMC 系统上, iMC 与 AC 控制器配合作 为用户鉴权点。由于医院的网络主要用于护士和医生工作, 并不提供作为公众运营网络接入, 我司本次 的 WLAN 建设中,建议采用:无线 AC 控制器完成用户的认证终结和用户鉴权; 此方式具有的优点:用户认证完成实体主要体现于无线交换机系统,呈现一个集中 模式,便于维护与统一控制,无线系统用户与有线用户区分开来管理,保证无线系 统的安全性;. 802.1X 认证方案介绍802.1X 协议是 IEEE 在 200

8、1.6 通过的正式标准, 标准的起草者包括 Microsoft ,Cisco , Extreme , Nortel 等; 802.1X 定义了基于端口的网络接入控制协议( port based network access control ),该协议适用于接入设备与接入端口间点到点的连接方式, 其中端口既可以 是物理端口,也可以是逻辑端口。 H3C 的 FIT AP 无线组网方案中,由后端的无线交换机对 所有认证报文进行终结,并提取出用户名和密码信息交由后台的 iMC 进行用户鉴权。用户使用 802.1X 认证的过程如图所示:阳八认址报文802.1X及WEB PORTAL认证流程示意图接入AP

9、的无线终端采用802.1X模式,首先接入AP的客户端通过802.1X认证输入用 户名、密码后客户端发起 EAP报文至无线交换机, 在无线交换机上终结 EAP报文,然后从 无线交换机经以太网交换机发起Raduis报文至iMC服务器,由iMC服务器来验证用户名、密码是否匹配,在认证通过以后由iMC服务器下发Raduis报文至无线交换机通知该用户认 证通过,无线交换机中再将相对应的逻辑端口打开,允许学习MAC地址,允许用户上网。H3C公司对802.1x认证方式进行了优化,使其可以支持基于MAC的用户控制,即一般情况下如果多个用户连接到一个HUB,其中一个用户认证通过后,其他用户也能够使用网络,但H3

10、C公司对802.1X认证方案优化后,只有认证通过的用户(MAC )才能使用网络,其他用户还是不能使用网络。. WEB认证方案介绍WEB用户上网时,设备强制用户到门户网站,并提供门户网站主页,用户可以免费访问其中的服务。当要使用互联网中的其他信息时,则必须在门户网站进行认证,只有认证通过后才可以使用这些服务。WEB认证用户不需要安装额外的客户端软件。在H3C的FIT AP方案中,使用WEB认证时,强制Portal仍然是在无线交换机上进行。iMC的使用 WEB认证时不需要安装客户端软件,使得管理和维护更简单,并同时能利用功能较好地对用户进行控制,如用户端口绑定、用户IP绑定、用户 M

11、AC绑定等,但无法做到用户通知消息下发和防止用户使用代理。1413 WEB认证与802.1X认证对比功能WEB认证802.1x认证客户端软件不需要需客户端版本限制不支持支持自动探测并屏蔽代理服务器不支持支持限制多网卡、拨号上网不支持支持显示当前网络状态及认证状态支持支持异常下线探测功能支持支持消息下发不支持支持对AAA服务器的特别要求无无分布式认证支持支持网络性能影响低低Radius服务器的性能影响无无标准化程度低高IP地址浪费无无有线无线混合组网下的认证方案对有线用户和无线用户进行分别认证,有线用户在以太网交换机上实现认证,无线用户在无线交换机设备上实现认证。通过在iMC上设定对应的绑定区域

12、,对于只能使用有线上网的用户绑定所有以太网交换机IP地址,无线上网用户由于其漫游特性,无需绑定到无线交换机的IP地址。设备要求:实现认证的以太网交换机和无线交换机必须支持标准Radius协议,能够和iMC CAMS配合实现认证计费功能。如果要实现 H3C扩展的Radius功能,如防代理、消 息下发等功能。则必须使用对应的 H3C设备。用户管理iMC系统功能强大,操作简单,在用户认证管理上,具有以下特点:用户绑定功能iMC支持绑定用户名和设备 IP地址、入端口号、 VLAN ID、用户MAC地址、用户IP 地址等信息,保证用户绑定合法性。并支持用户 MAC 地址和用户 IP 地址自学习功能,大

13、大减少管理员的录入量。认证区域绑定功能通过认证报文上传的认证接入设备 IP 地址, iMC 系统可实现认证区域绑定功能。用户 上网的区域可被限制在一定范围内,增强了网络的安全性。防代理功能针对医院用户, iMC 提供防代理功能, 禁止用户使用代理上网, 并支持限制用户使用的 客户端,要求用户必须使用专用安全客户端,并强制自动升级,确保认证客户端的安全性。 目前 iMC 系统的防代理功能必须要与 H3C 交换机配合实现。用户黑名单管理iMC 认证系统支持黑名单管理, 支持手工加入黑名单、 自动将欠费用户加入黑名单、 自 动将恶意登录用户加入黑名单、 自动将充值失败超过阈值用户加入黑名单并提供黑名

14、单增强 功能:在被试探帐号加入黑名单的同时记录恶意试探机器的 MAC 地址,限制从该 MAC 地 址的机器试探该帐号,但被试探帐号可以在其它 MAC 地址的机器上正常使用,保证登录用 户的合法性。用户上网全程监控iMC CAMS 认证计费系统能对医生上网的全过程进行管理,实现医生上网的实时监测。 对于网络上进行非法操作的医生,具备将用户踢下线的功能,控制医生对网络的使用。无线网络方案WLAN 技术 1996 年就已经提出,经历一条曲直的道路,已经逐渐被市场认可了,对于 无线网络,医院部基本上采用室内覆盖模式,考虑到医院的建筑结构较为特殊, WLAN 技 术很难穿透建筑物,同时又由于 WLAN

15、属于高频窄波,绕建筑物的能力较弱。. 组网方案 医院的无线覆盖空间主要包括:病房、护士站、医生办公室、会议室等;一般医院病房 每间的空间不是特别的大, 同时病房之间不是承重墙, 建议无线的覆盖方案的原则是: 以本 着节约、全覆盖的原则,每隔1520米左右布放1个AP。为了避免对病人造成辐射将AP放置在过道可以满足覆盖每一个房间。根据医院设计图纸初步规划,经过初期无线规划,建议每2 个三 /双人病房区的走道上部署一台 Fit AP ,每一个 VIP 病房区单独部署一台 Fit AP 。. WLAN 组网关键问题解决构架可运营 WLAN 网络, 除了要求 AP(Acce

16、ss Point )支持宽带无线接入网络的覆盖 特性、可运营、可管理特性外,还要求整个网络的开放、兼容、安全、可运营、可管理、可 盈利。在构架 WLAN 公众网络一般基于网络分层的理念,即不同层面的设备承担不同的功 能,以达到组合后整网的功能与业务支撑。在实际 WLAN 可运营组网应用中,网络分为用户接入层、边缘汇聚层、业务控制层、 业务管理层。用户接入层对应设备为 AP(Access Point ),主要承担与终端用户基于 802.11 协议的 PHY/MAC层的协议对接,具体包括工作模式、无线鉴权、ESSID诊另MAC帧插入、IAPP、 节电模式、 Allow Guest 、 MAC 层访

17、问控制、用户接入认证报文承载、动态密钥协商等等。 此外还要保证承载层的高性能、高可靠性。 AP 在设备的设计上支持了此类功能,可以与 后台系统进行配合完成认证与计费的功能,对于复杂的NAT、路由策略等其它的高层应用不进行支持。边缘汇聚层对应设备为 AC ( Access Controller ),主要承担 WLAN 网络接入网关的角 色,具体可以支持对用户的合法性认证、计费的发起( Client )、用户管理(访问控制、接 入带宽控制、用户的信息绑定) ,子网内无缝切换的布署、 整网安全的布署、 整网 QoS 的布 署、子网网络设备管理等以及与业务控制层结合提供增值业务如强制Portal 、即

18、插即用、与酒店营帐系统接口等等。在电信运营商可以由 BRAS 或支持用户管理、认证、计费的汇聚 层设备承担, AC 的设备形态可以由 L2/L3 与 iMC 进行配合使用进行完成;业务管理层主要为 WLAN 网络提供基于网络服务的业务, 由于 WLAN 具有宽带网络的 特性同时也具备无线网络的特性, 因此, 主要为将运运营增值业务而进行准备, 在运营商领 域中目前已成熟的宽带价值连业务、移动数据业务均可以部署其中。整网安全H3C 的 WLAN 网络主要服务于公众型用户, 运营者与最终用户都很担心安全问题, 即 用户安全, 具体细分包括用户帐号密码的安全, 用户上往后计算机内部数据, 用户数据在

19、网 上传输的安全等。此外, WLAN 作为运营网络自身的安全也是运营者必须考虑的问题。H3C 公司 WLAN 解决方案可提供端到端的安全部署, 能满足公众运营网络的安全要求。针对终端用户上网认证的用户名密码的安全:采用 802.1X EAP-MD5 方式上网的用户,由于 EAP-MD5 信息本身就是密文传递,用户名、密码的安全能得到保证。采用 WEB 方式上网的用户, H3C WLAN 网络支持标准的 SSL/HTTP 应用层加密 保证用户名、密码的安全。针对用户上网后计算机内部数据的安全:H3C 公司 WLAN 网络实现了二层隔离, 三层受控互访的机制保证用户计算机数据的安 全,具体用户在通

20、过认证前能接入的网络都是二层网络, 认证通过后, 通过网络设备的三层 功能可访问所有向它开放的网络。 H3C WLAN 网络可实现用户在二层网络内是隔离的(无 线口 AP 支持 USF 以及动态加密功能隔离用户, AP 上行支持 UIMF 功能实现到认证点网段 均是二层隔离) 。在用户通过认证后, 还可以通过强大的 ACL 控制用户否是允许互访, 保证 用户的安全。针对用户上网后数据在网络上传输的安全:无线接口以上的网络基本上为 IP 网络,用户数据在 IP 网络上的安全的保证, H3C IP 的安全部署是可以保证的,针对空中接口的安全, H3C AP 支持以下几种安全机制:MAC 地址过滤:

21、目前支持基于 MAC 地址的过滤,限制具有某种类型的 MAC 地 址特征的终端才能进入网络中;SSID 管理:是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发 的报文都要求进行上带 SSID ,如果没有 SSID 标识则不能进入网络; WEP 加密: WEP 加密是一种静态加密的机制,通信双方具有一个共同的密钥, 终端发送的空口信息报文必须使用共同的密钥进行加密;支持 AES 加密, AES 安全机制是一种动态密钥管理机制,同时密钥生成也基于 不对称密钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可 以设定,一般情况都设定为 5 分钟左右,这样非法用户要想在 5 分钟之

22、内进行获 取足够数量的报文进行匹配出密钥出来,从无线空口的流量来看,基本上是不可 能的;H3C 的无线方案中的密钥设置可能根据 SSID 信息与用户信息进行组合,即不同 的 SSID 下不同的用户的密钥生成可以不一样,这样在一定程度上保证用户之间 串号问题的产生,从而保护投资,以达到运营平衡。H3C 的无线方案提供无线入侵检测功能, AP 可以不断地扫描空域,以便对要求 更高安全性的环境提供全天候保护。一旦无线网络中有非法接入点接入,WAP2110将上报相应的告警给 AC控制器,并通过网管软件显示。1443频率规划与负载均衡频率规划802.11b/802.11g 使用开放的2.4GHz ISM

23、频段,可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11b/802.11g 在2.4GHz地工作频段,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。H3C公司针对如何进行 802.11b/802.11g 的频率规划作了大量的实验,实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量, 和高带宽业务的开展。anoflliil134 TMil7频率规划原理图频率规划需要配合使用的功能包括:AP支持11个信道设置AP支持外置天线以及定向天线针对特殊应用还需要 AP支持桥接功能、接入功能以及WDS功能结合以上功能的支持,以及勘探工具,可以较好的部署AP达到频率规划的效果。H3C 公司针对医院、无线小区、机场、酒店、高密度会议场所(APEC会议)等热点区域进行过频率规划,使用效果较好。负载均衡H3C WLAN解决方案,AP上支持标准的IAPP协议框架,通过负载均衡的部署, 可实 现在一个热点内用户平均分配到所部署的所有AP上,达到

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论