XX医院无线局域网技术方案v1.0

1、XX医院无线局域网解决方案建议书2010年5月无线局域网解决方案建议书 目 录一、XX医院无线局域网系统建设需求31医疗信息化背景32医院为什么要部署无线网络3n1.2.1         用于病区移动查房31.2.2 无线网络用于视频监控41.2.3 通过无线网络系统承载VoIP语音电话应用51.2.4 用于床边护理61.2.5 无线网络用于病人识别61.2.6 资产管理和医疗设备的临时调配61.2.7 无线网络用于临床教育科研61.2.8 支撑医疗视频信息传输71.2.9 无线网络用于药库管理71.2.10&#

2、160;     方便信息点的扩展7二、XX医院无线局域网设计原则和技术需求821 XX医院无线局域网设计原则822 XX医院无线局域网技术需求82.2.1 遵循标准82.2.2 绿色无线92.2.3 稳定可靠92.2.4 802.11n标准的支持92.2.5 采用先进的无线网络架构92.2.6 部署方案灵活方便92.2.7 网络的安全性102.2.8 高性能102.2.9 可扩展性10三、传统无线局域网在医疗环境中面临的挑战103.1 不稳定的覆盖强度103.2 抗干扰能力差113.3 同频干扰113.4 无法对室内室外设备进行统一管理113.5 不够

3、绿色环保11四、Ruckus无线交换局域网系统技术特点1241 Ruckus先进的天线和射频控制12411智能天线技术12412 Ruckus的智能天线系统12413绿色的的电磁环境12414 BeamFlex和802.11n1342 RF的智能管控13423 漫游1443 Ruckus无线局域网系统的安全管理14431基础型无线网安全机制14432 Ruckus支持的认证方式15433无线接入点安全侦测和保护1644无线移动音视频应用Ruckus SmartCast16441 带宽控制与服务质量保证QOS1645 Ruckus的智能网状网SmartMesh16五、XX医院无线局域网系统建议1

4、751无线组网建议1752无线覆盖建议18521 一层1853无线网络对医院内多业务的支撑1854网络用户与应用管理实现1955医院无线网的安全系统实现19551 认证方式19552 数据加密20553 语音加密20554 无线空间的抗干扰2056 移动漫游设计21六、 Ruckus智能无线搭建医院网络的优点2261 组网方便2262 智能天线技术, 更少的AP数量, 更大更有效的覆盖2263 有效的支持视频和音频流，智能的QoS技术2264 抗干扰能力强2365 用户密度高2466 可预测的性能24七、设备配置清单25附件、Ruckus无线产品简介264.1MESH ZoneFlex 796

5、2/7762/7363系列AP介绍264.2ZoneDirector 介绍2629一、 XX医院无线局域网系统建设需求1医疗信息化背景医疗行业是关系到人民生活质量的一个重要行业，而医疗行业的信息化建设又是影响医疗水平的一个重要因素。2002年，国家卫生部颁布了医院信息系统基本功能规范，详细制订了医院信息系统建设的各方面标准。医疗行业的信息化也得到了一定的发展。但与发达国家相比，仍处于比较低的阶段。实际上，不少医院的信息系统在很大程度上只是医院管理流程的信息化，并不是真正的医疗信息化。现代医疗信息化的核心是病人信息的共享，包括医院各个科室之间比如化验科、放射科、造影室与医生之间的即时信息共享，甚

6、至是医院之 间、医院与社区之间的信息共享，以数据库为中心实现病人信息的无纸化和无胶片化，这就需要强大的网络支持。此外，由于医疗行业的特殊性，医护人员和病患者 之间需要频繁地在院内移动、同时处理大量的信息，这些都要求网络具备可移动性、传输速率高等特点。无线网络具备的移动性和灵活性，使得医院部署特殊的信息化应用成为可能。帮助医院实现医疗设备、医疗信息的高度共享和有效利用，从而达到提高效率、节省人手和提高医疗服务质量的目的。2医院为什么要部署无线网络许多医院已经建立了功能强大的医疗信息管理系统（如HIS、PACS等），医护人员可以通过有线网络来访问、修改、输入患者信息、诊断报告和治疗方案，但在使用过

7、程中发现，由于有线网络存在信息点固定的局限性，制约了系统发挥更大的作用。无线网络的应用彻底打破了这一局限。无线网络在医院的应用主要集中在以下几方面。n1.2.1         用于病区移动查房按照医院规定，医生医嘱要在指定时间内及时下发，在传统有线网络情况下，医生查房有两种选择：一是手持打印的纸质病历，供查房时查阅；二是医生在办公室工作站上事先调阅病历，并记忆分管病人的主要病史、生命体征数据，待查房时，凭记忆呈现病人情况。第一种方式，由于要经常打印病历，增加了工作量。第二种查房，极容易造成记忆不全甚至错误情况发生

8、。同时医生需要随身携带一大堆病历本了解不同患者病情，并且以手写方式记录医嘱信息，等查房完全结束后，再录入到电脑中交给护士去执行，医生要花大量时间在文字工作上，而另一个直接后果是患者只有等待查房结束才能得到及时治疗。为解决这个问题，在住院大楼中引入WLAN无线系统，越来越成为一种潮流，通过部署WLAN，医生只需手持平板电脑或者PDA即可在病床前实时调阅病人各种信息，而下达的医嘱信息也能通过无线方式及时传递给护士去执行，护士在执行医嘱的过程中，如果发生异常情况，还可通过无线的方式及时通知医生(无论医生在医院的任何地方)，医生可对医嘱进行调整，WLAN的使用将最大程度的降低患者等待时间，提升患者满意

9、度，提升医生查房工作效率。在病区组建WLAN 后，医生不再受网线的困扰，可以方便、自由地携带电脑在病区内移动，利用无线网络登陆医生工作站，随时调阅病历，迅速地获取患者的住院信息、病史、检验、检查结果和其他生命体征信息，尽可能有效地与患者交流，从而获得高效率、高质量的床边探视和护理。医生还可以根据查房情况，及时将信息录入计算机，并根据病情变化当即开出检验、检查、治疗和其它医嘱，避免了查房后再次转抄医嘱或凭记忆补开医嘱、记录病程，造成重复工作甚至错误情况发生。结合临床用药知识库、药物配伍禁忌报警系统，医生在住院病人床边诊断就能最大限度地避免错误的发生，及时修正医嘱并采用合理的药物和治疗。医生的查房

10、工作变得简单轻松，而患者也能够得到及时、准确的诊治。与常用的会议室WLAN的静态接入不同，由于医生在多个病房间移动时需要保障数据传递不中断，这涉及到跨AP漫游的问题，MESH的无线接入解决方案可用提供完善的漫游解决方案。1.2.2 无线网络用于视频监控目前，国内较先进的住院病房安装有有线视频监控系统，组建WLAN 后，只需增配无线摄像头，进行简单的网络参数配置即可，摆脱了重新布线的烦琐。这种技术可以用于对病房、药房和其他重要场所的监控。无线摄像头的管理软件可以同时监控多个现场。在监控中心可以对现场进行录像记录。无线摄像头在应用时结合医院的无线通讯系统，能够进一步提供医护人员的工作效率。工作人员

11、在收到病人的寻呼信号后，通过网络即可在计算机终端直接监控到病人的状况，并采取相应的医疗措施，这对于危重病人的监护有着重要作用。1.2.3 通过无线网络系统承载VoIP语音电话应用随着VoIP技术的成熟与普及，基于SIP的Wi-Fi电话将迅速变为医院领导之间话音联络的主流。Wi-Fi电话除了可在医院、医疗中心楼以及办公室之间等不同AP之间漫游外，用户亦可在其它有Internet连接的地方如酒店，住宅等使用，这是一般办公室无线电话（传统的电话交换机）所不能做到的。简单地说，用户可在有宽带接入的地方继续使用办公室的电话号码，不管是国内或国外。对于一些经常出差的用户基于无线网络技术的VoIP解决方案会

12、带来极大的方便，亦可节省长途电话费。有了VoWLAN，无论医生或护士在覆盖范围的任何一个地方，都可用接收到相应的呼叫和信息。结合新的服务器软件，还可实现广播、群（组）呼等功能。现在已经有新型的小型可佩带型、一键通话的语音终端，医生和护士可用一边工作一边进行通话。（1）节省话费：VoIP能够得到推广最大的优点就是他可以节省企业大高额电话费，特别是长途话费。所以当企业建立了VoWLAN网络后也继承了VoIP的优点，所有长途通讯或者本地通讯都是通过网络解决，公司只需要支付网络使用费即可。而企业内部的语音通讯也完全可以通过网络实现，一不用购买电话交换机，二不用为电话交换机（程控交换机）的运营而向电话局

13、申请单独的电话号码了。（2）使用方便：如果说VoWLAN节省话费的特点是继承自VoIP的话，那么使用方便则是他对VoIP功能的提升。众所周知VoWLAN是基于无线网络的，也就是说所有语音通讯都可以实现无线，语音通讯设备也从传统的类似与固定电话的VoIP电话机转变为类似于手机的VoIP手机。这样用户就可以实现拿着VoWLAN手机在WLAN覆盖内任何一个地方随意通话了。这点是以前有线网络中VoIP无法实现的。 （3）新的融合通信方式： 基于IP电话技术的VoWLAN系统，可以支持更多的新型增值业务，提高了投资的性价比，例如：话音与EMAIL的结合；话音与演示板结合的网络实时演示；综合话音数据以及视

14、频的远程会议等。1.2.4 用于床边护理在西欧和美国，已有少数医院取消了病区护士站，护理数据用无线电脑直接在患者床边采集和录入，这不仅提高了护理效率和质量，还增加了医护人员与患者的亲和力，使患者得到更多的护理。将PDA 、条码腕带等技术手段应用于临床护理，给医院管理带来的成效将体现在多个方面：一是帮助护士正确执行医嘱；二是全程追踪医疗服务过程；三是为医护人员的绩效考核提供客观的依据，帮助医院真正做到奖勤罚懒。其根本目的是降低出错率，提高医疗服务质量，体现以病人为中心这一核心原则。1.2.5 无线网络用于病人识别利用无线条码标识带将病人的重要资料标注其中，并带于病人腕部。在病床旁，护士使用无线识

15、别设备（PDA），扫描患者的条码标识带，关于患者的标识、用药、剂量及方法等的详细信息就会通过WLAN在护士工作站得到确认，如果存在任何差异，报警系统会显示警告，避免可能发生的任何差错。同时采用无线定位，也可以实时了解病人的确切位置，减少事故隐患。1.2.6 资产管理和医疗设备的临时调配无线网络还用于加强对医院设备的管理。在可移动的医院设备上安装RFID标签后，配合无线读取器，医院就可以通过资产定位管理系统对电脑、医疗设备等贵重物品进行定位和管理。管理人员可以通过电子界面准确了解它们的位置，避免设备遗失以及无法及时定位而造成的损失。同时也可用实时了解重要医疗设备的位置，便于调配使用。1.2.7

16、无线网络用于临床教育科研无线网络极大地方便了临床教育科研。教师和科研人员可以在病人床边一边讲解一边通过无线移动终端实时调用病人的基本情况，包括：病史信息、病理信息、化验检验信息、放射信息、影像信息等。1.2.8 支撑医疗视频信息传输在支持医疗视频信息传输主要有两个方面：l 临床手术实况的传输，大多数医院已经建成的手术室都是无菌的环境，如果 要求将手术的实况传输到手术室外势必会进行重新布线，从而会破坏手术室的环境， 这种做法不可行。因此，可以考虑在手术室外部署AP，在手术室架设一台无线摄象 机，这样的话手术的实况就可以通过无线网络传输到手术室外。专家和学者通过这种 方式就可以实时的观看、指导手术

17、现场。在临床教学时，也可以通过这种方式，能够 实现结合现场患者情况，为学生提供生动，多样的教学模式。l 医疗影像传输，目前大多数医疗设备例如：B超、窥镜系统都能提供将模拟 信号转为数字信号，并且提供网络接口。通过无线网络能够将医疗影像传输到远程 的计算机上。通过这种方式能够整合医疗院所院内检查仪器， 使医疗影像检查结 果能透过无线网络快速传输，提升工作流程效率以及医疗照护品质。1.2.9 无线网络用于药库管理WLAN结合无线射频识别技术（RFID）进行药库药品管理。药品进库时通过RFID标签扫描，记录下进库药品的名称、制造商、功效等详细属性，并利用RFID进行药品存放的定位。这些数据都通过WL

18、AN上传到医院的药品管理信息系统，方便医院对药品进行统一调配、管理。药品管理人员也无需人工输入大量数据以及花时间到处寻找药品，只需手持无线电脑或PDA等设备，进行药品的清点核对。在美国，许多医院在采用了药物条码无线识别设备后，WLAN环境下的药品配送和药库管理就显得更加简单、方便、准确和高效。   1.2.10      方便信息点的扩展有线网络增加信息点相对困难，施工时又会产生灰尘和噪音，破坏医院的医疗环 境，部署无线网络后，增加一个接入点，通过无线MESH就可用扩展覆盖。而终端只需 要安装一块无线网卡，非常快速

19、方便。二、 XX医院无线局域网设计原则和技术需求21 XX医院无线局域网设计原则XX医院无线网络的建设本着满足当前实际应用需求，同时又节省成本的原则进行建设，建设完成的医院无线局域网应该可以达到以下目标：Ø 利用无线网络技术可以在医院内部开展各种应用，让医护人员可以尽可能增加有效手段与患者沟通交流并能实时获得医疗和数据信息Ø 医生通过无线网络可以随时随地电子病历、PACS访问/查看Ø 无线网络能够满足未来电子病历系统、PACS等HIS应用对网络的要求Ø 可以同时支持语音、高带宽视频和数据应用Ø 稳定可靠的信号覆盖，随时提供可靠的高带宽Ø

20、; 网络管理员对无线网络以及无线用户有良好的可管理性和控制性；Ø 支持802.11 b/g/n（300M带宽）以提供高带宽需求的网络通讯服务；Ø 全面的无线网络覆盖（室内、室外）和支撑系统（包括MESH技术、无线网管、无线安全）；Ø 保证网络访问的安全性和信息传输的安全，包括接入认证以确定合法的接入者和空中信息的传输加密。支持802.1x等安全认证方式。Ø 无线网络要具有良好的可扩展性22 XX医院无线局域网技术需求为达到医院网络的建设目标，XX医院对无线局域网系统有如下技术需求：2.2.1 遵循标准无线局域网采用的技术支持应为国际标准或业界标准，不使用

21、某个厂商的专用技术和协议，以保证网络设备的互通性，有利于网络的投资保护。2.2.2 绿色无线 由于医院属于负责大众健康的行业，因此，在医院内建设无线网络一定要保证无线网络设备不能辐射人体，以及干扰正常医疗设备，以免引起安全方面的隐患。2.2.3 稳定可靠 只有稳定可靠的网络平台才能提供流畅的应用，因此整个网络的稳定，可靠，是对整个网络最基本也是最重要的要求。无线网络的稳定性需要从两个方面进行考虑：A，无线信号的稳定； B，产品，设备自身的可靠性，除了无线信号的稳定可靠外，同时还要保证设备自身的稳定可靠。2.2.4 802.11n标准的支持802.11n是IEEE最新一个无线物理层标准，和较老的

22、802.11标准相比，在吞吐量和传输距离上有了显著的提升。在物理层面上，其理论数据传输率最高可达IEEE 802.11a/g系统最大速度54Mbps的11倍。已经渐渐发展为了无线网络的主流技术，无线网络建设需要以为当前应用服务为主，只有11n才能同时满足语音、高带宽视频和数据接入应用的需求。2.2.5 采用先进的无线网络架构 要建设具有先进性的无线网络，该无线网络系统应该既能够解决“胖”AP相互之间互相独立，不能集中管理和控制的缺点，又能够避免传统集中控制型无线网络系统中所有数据流量必须流经无线控制器，使无线控制器成为网络瓶颈以及单点故障的缺点。 同时无线网络需要同时支持室内和室外覆盖，以达到

23、区域内无缝覆盖的目的。并且支持无线MESH，以避免线路施工造成的影响。2.2.6 部署方案灵活方便 无线网络的部署应该可以借助原来的有线网络基础进行就近组网，而不需要为 无线网络重新搭建有线网络，同时，原有骨干有线线路应该不需要进行更改。在原来没有有线网络节点的地方应该尽量利用MESH方式进行组网。2.2.7 网络的安全性 在网络安全性方面，无线局域网系统要具有与有线局域网同样要求的安全防护措施，无线网的安全性主要从以下几个方面考虑： （1）用户接入认证：具有支持多种用户认证方式； （2）数据链路的全程加密；2.2.8 高性能 为了降低建网以及维护的成本，无线AP应该具有较强的覆盖能力，保持在

24、各个位置的信号强度，在使用较少AP的情况下覆盖更多的面积，同时每个AP下应该能够容纳较多的用户，并同时保证各个用户的效率。2.2.9 可扩展性 医院的无线网络会随着业务的发展而扩展，因此，无线网络系统必须具备较好的可扩展性，如何解决原有AP与新增AP之间的资源协调，用户身份统一等工作必须提前考虑。扩展后的功能和管理应该保持不变。三、 传统无线局域网在医疗环境中面临的挑战3.1 不稳定的覆盖强度 无线网络通过空中资源传输的特性决定了无线网络的信号在受到阻挡，反射，折射等情况下会产生衰减，同样人员的走动也会无线信号的传输产生影响，而大部分医院中建筑物数量都比较多，建筑风格和建筑布局也比较复杂，传统

25、的无线局域网使用全向天线进行无线信号发射，因此无法适应不同的物理环境，造成了无线信号的不稳定，由此造成了很多关于“掉线”，“无法关联”等令网络管理员头疼的问题。3.2 抗干扰能力差 传统的无线网络系统使用全向天线进行无线覆盖，因此对RF发射的方向和形状都没有办法控制，在大规模组网的情况下，多个AP的覆盖区域将不可避免的重叠，此时同信道或者相邻信道之中的AP就造成了互相“干扰”，尤其是有些厂家为了增强单个AP的覆盖范围而增大AP发射功率的做法使AP间相互重叠的区域增大，更是大大的增强了AP之间的干扰。由此会严重的影响整个网络性能，从而出现莫名其妙的整体网络性能下降，用户连接不稳定的现象。3.3

26、同频干扰 由于传统的无线网络系统使用全向天线进行无线覆盖，为了应为医院里复杂的物理结构，增强无线网络对病房，诊室内的覆盖，有很多厂家都采用增大无线接入点功率的方式来增强覆盖效果，但这样随之而来的问题却更严重，那就是在使用过大的发射功率病使用全向天线覆盖的时候，无线接入点会对其他的同频设备产生干扰，而没有相对智能的方式对同频的设备进行保护。对无线网络与医疗设备双方都是一种伤害，而如何避免这种伤害在医疗行业中则显得尤其重要。3.4 无法对室内室外设备进行统一管理 户外AP与户内AP要求不同。户外AP 通常都会使用 Mesh/ Bridge 功能，而大部分传统无线网络系统对室内集中覆盖的AP与室外通

27、过Mesh或Bridge组网的AP采用不同的平台，因此，无法做到整个医院网络平台的统一性，由此失去了整个网络内用户身份，安全策略的一致性以及无缝漫游等功能。3.5 不够绿色环保 传统的全向天线，无线信号的发射是全方位的；无论某个区域有没有无线客户端，无线信号都会发射过去，这样既浪费了无线资源、增加了功耗，有对其他AP或无线设备造成了干扰，形成电磁污染。四、 Ruckus无线交换局域网系统技术特点41 Ruckus先进的天线和射频控制411智能天线技术智能天线通过一组带有可编程电子相位关系的固定天线单元获取方向性，并可以同时获取基站和移动台之间各个链路的方向特性。智能天线的原理是将无线电的信号导

28、向具体的方向，产生空间定向波束，使天线主波束对准用户信号到达方向DOA(Direction of Arrinal)，旁瓣或零陷对准干扰信号到达方向，达到充分高效利用移动用户信号并删除或抑制干扰信号的目的。同时，智能天线技术利用各个移动用户间信号空间特征的差异，通过阵列天线技术在同一信道上接收和发射多个移动用户信号而不发生相互干扰，使无线电频谱的利用和信号的传输更为有效。在不增加系统复杂度的情况下，使用智能天线可满足服务质量和扩展网络容量的需要。412 Ruckus的智能天线系统Ruckus BeamFlex采用的就是自适应天线阵形式的智能天线系统。它由12个天线单元组成可以形成2N1种不同的波

29、束特征，也就是4095种的组合。BeamFlex系统软件实时了解工作环境，包括射频情况，通讯设备，网络性能已经应用流，并为每一台通讯设备选择最合适的天线阵列。传输控制模块能够选择高质量的信号路径，并为接收设备选择最佳的数据传输速率。413绿色的的电磁环境Ruckus基于BeamFlex技术的智能无线网解决方案可以使得有限的无线信号能量更有目的性的指向正在通讯的客户端；而在没有无线客户端工作的区域，没有电磁辐射。与现有的无线网相比较，工作环境更绿色环保，电磁辐射的目的性更强，更有效率。最大程度的避免了电磁污染现象。还要强调的是，人体对于电磁波有很强的衰减。如果人体处于Ruckus的AP和客户端之

30、间时，Ruckus的AP会主动选择其他信号路径，主动避免对人体的照射。414 BeamFlex和802.11n虽然生产商们在不断宣传802.11n的理论数据传输率是300Mbps或者更高，但实际用户们的吞吐量却要低了不止一个数量级。这是因为当前的802.11n产品并未能最有效的使用这些新技术。因为拥有对Wi-Fi信号构成以及信号方向的完全控制能力,Smart Wi-Fi通过使用这些技术，无论在时间上还是距离上，都确保了更高的TCP吞吐量。如今，几乎所有的802.11n AP都使用了多根全方位天线，以发射不同的数据流。这些全方位天线几乎是同等极化的，因此导致了多路径的可能性被降到最低，特别是在很

31、短的距离上。相反，智能天线阵列允许使用水平或者垂直极化的天线部件，以用于不同的空间数据流。这增加了（几乎是确保了）正确多路径传输的可能性。要最大化802.11n的运作，AP和客户端方面是否都有足够的智能以确认运作的正确模式，就显得非常重要了。Smart Wi-Fi通过其独有的方式解决了干扰问题，因而在2.4GHz频谱内解决了频道复合的问题。 Smart Wi-Fi结合了智能天线阵列以及QoS（服务质量控制）技术来解决这个问题。智能天线阵列允许对每一个数据包及每一个客户端使用不同的天线阵列。与此同时，一个复杂的服务质量控制引擎为每一个客户端都保持4条软件队列。不同的客户端之间应用一个加权的循环法

32、则。这些技术结合在一起，可以形成不同的特定策略，保证对不同客户端之间的传输时间分配可以达到最优化效果。42 RF的智能管控Ruckus基于BeamFlex技术的智能无线网解决方案可以使得有限的无线信号能量更有目的性的指向正在通讯的客户端；而在没有无线客户端工作的区域，没有电磁辐射。与现有的无线网相比较，工作环境更绿色环保，电磁辐射的目的性更强，更有效率。最大程度的避免了电磁污染现象。 Ruckus无线控制器ZoneDirector自动设定AP的工作信道，当检测到AP工作信道有射频干扰时，ZoneDirector 会自动调整AP的工作信道来避免干扰。当AP的部署密度很高，一旦AP内置的BeamF

33、lex技术无法有效避免邻近AP的相互干扰，ZoneDirector会自动调整AP的发射功率来有效避免相互之间的射频干扰。由于Ruckus无线公司的2942 AP采用专利的BeamFlex智能天线技术，AP只往有无线用户的方向定向发送无线信号，而不象其它厂商的AP采用360度全向发送无线信号，因此大大减少了邻近AP之间的相互干扰，ZoneDirector 无需像其它厂商的无线交换机频繁地调整AP的发射功率，这一点在动态环境下尤为重要。423 漫游 无线用户在在ZoneDirector 管理下的不同AP之间可以无缝漫游，维持会话包括语音会话的连续性。43 Ruckus无线局域网系统的安全管理431

34、通用的无线网安全机制 Ruckus的WLAN系统支持各种标准的安全机制，包括802.11i甚至WAPI等。如用户可以通过设置AP自身对无线用户和信息进行认证和加密。认证和加密方式有以下几种：WEP，WPA/WPA2，802.1X认证。 对用户认证，Ruckus的WLAN系统可以和医院现有的认证系统如：Windows服务器的AD认证，LDAP，以及RADIUS服务器无缝整合进行认证，也可以使用系统本身数据库进行认证 为了保证WLAN系统接入以及信息的安全，可以（1）SSID设置成隐藏，不广播SSID（2）采用比WEP更安全的WPA，甚至WPA2（3）MAC地址访问控制列表可以采用MAC访问列表功

35、能的精确限制哪些无线工作站可以连接到无线网中，而那些不在访问列表中的工作站，是无权进入无线网络中的。每一块无线网卡都有自己的MAC地址，可以在无线网络节点设备中创建一张“MAC访问控制表”，可用于语音终端和PDA等设备。（4）802.1x认证802.1X 是一个 IEEE 标准，用于对有线以太网和无线 802.11 网络进行经过身份验证的网络访问。IEEE 802.1X 支持集中化用户标识、身份验证、动态密钥管理以及记帐。802.1X 标准通过允许计算机和网络彼此验证身份、生成通过无线连接加密数据的每用户/每会话密钥以及提供动态更改密钥的能力来提高安全性。 （5）Web Portal WebP

36、ortal认证的基本过程是：客户机首先通过DHCP协议获取到IP地址（也可以使用静态IP地址），但是客户使用获取到的IP地址并不能登上Internet，在认证通过前只能访问特定的IP地址，这个地址通常是PORTAL服务器的IP地址。WebPortal认证一般用于访客服务。432 Ruckus独有的Dynamic PSK无线安全ZoneDirector 提供了创新的技术，简化和自动化了Wi-Fi 的安全防护。ZoneDirector 还支持一种动态预共享密钥（PSK，Pre-Shared Key）的专利技术，为每个用户提供独立的、唯一的、63字节长的加密密钥，同时简化无线局域网的安全防护工作。初

37、次使用的用户只需简单的将他们的电脑接入局域网，然后指定一个URL 地址，即可进入一个一次性认证的捕获网页门户。一旦认证完毕，ZoneDirector 就会自动使用预先指定的SSID，以及一个动态生成的加密密钥，对用户的系统进行配置，并产生一个可执行的程序（Windows或MAC OS）。以后用户如果需要接入无线网络，那么需要做的就是双击运行这个应用程序，系统将自动完成无线接入认证和数据加密的公众。这个密钥会在超出有效期后自动移除，或者是在用户（用户设备）失去信任后而被人工删除。具体工作过程如下。433无线接入点安全侦测和保护采用Ruckus 无线系统的RF侦测功能和保护机制可以实时监测园区无线

38、网覆盖区域内的所有AP接入情况,如相邻的AP、设置错误的AP以及未经认可而连接到网络中的AP。通过Ruckus 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的AP接入，发现后可以开启自动保护机制，阻止无线终端通过非法AP联接到无线网中。Ruckus的无线安全检测和保护系统，还可以防止流氓用户的侵扰。如果非法用户没有得到授权，而在一定时间内重复尝试登录或消耗无线资源，ZoneDirector将其列入黑名单，直接拒绝响应。44无线移动音视频应用Ruckus SmartCast441 带宽控制与服务质量保证QOSRuckus Wirelss专利的SmartCast技术，包括创新的组播流

39、量处理技术、智能QoS和基于“识别应用”的流量分类能力。这些技术可确保无线数据传输能够实现最高的可靠性。 SmartCast能够从所有流量中自动区分和管理语音、视频流以及数据和背景管理数据流，还能够提供从宽带网关到用户多媒体终端的强大稳定无线传输。当SmartCast检测出用户为多媒体终端时，就会将相关的语音或视频，包括组播视频包使用优化的数据传输速率和信号传输路径传递到接收端。这样即可为语音和视频包的可靠传输保证最佳的性能。为多媒体优化的流量管理算法，能够确保语音和多个广播级质量视频流性能，同时还能确保针对数据应用足够的带宽。 Ruckus无线系统的带宽管理能力使得在移动音视频应用方面表现出

40、很强的优势。还可以限制用户无线连接的最高带宽，以及分别设置语音、视频和数据的应用带宽。45 Ruckus的智能网状网SmartMesh智能的Ruckus Wi Fi AP是一个获得专利的创新，使AP能将无线信号以波束的方式，选择传播路径是Wi - Fi信号传输得更远，更快和更可靠。Ruckus智能AP能够选择无线信号的传输路径，避免干扰，得到更高的性能。如下图面对干扰，传统AP要么丢弃数据包或降低传输数据率，从而降低了系统吞吐量。Ruckus SmartMESH的智能AP具有独特的功能，可以找到一个信号路径以避免干扰，从而防止数据包丢失和维护更高的传输速率。Ruckus的SmartMESH的配

41、置和组网，以及网络拓扑的形成是全自动的。用户无需对各AP进行详细配置就可以在10分钟内形成一个无线MESH网络。五、 XX医院无线局域网系统建议目前XX医院的无线网络应用主要考虑为无线移动查房、视频监控和语音通讯方面；以后将扩展到支持人员、资产定位，现场教学，视频信息传输、床边护理，药品管理等。鉴于此，建议采用双频11n AP进行室内和室外覆盖。51无线组网建议无线网络组网拓扑图示意如下：52无线网络对医院内多业务的支撑根据无线网络需求及医院内实地的了解，并结合以往的工程经验，对无线网络覆盖做出以下规划：根据接入点的数目，在各楼的每层（也可以每二层或几层）配置POE接入交换机接入AP。各楼层交

42、换机接入到各楼的汇聚交换机，汇聚交换机在接到核心层的核心交换机（根据医院规模，汇聚交换机和核心交换机可以是同一设备）。通过核心交换机接到：1、 无线AP控制器ZoneDirector2、 视频监控服务器和监控中心3、 接入到计费认证、IP-PBX服务器（IP语音），网络管理服务器5.2.1 网络拓扑中各部分设备的功能简介各部分设备功能如下：1、 ZoneDirector管理所有AP，包括SSID的配置、无线用户的认证（包括MAC地址认证）和加密，无线AP和用户的监控，不同业务的无线QoS，访客接入和内部员工接入的动态PSK安全接入，应用屏蔽、ACL以及防止ARP等攻击。2、 汇聚层的路由器或三

43、层交换完成多网段的自动和手动分配IP地址，可绑定IP与MAC地址，DHCP Server功能。3、 防火墙或UTM完成防火墙（包括端口映射）、防病毒和网站过滤和防止来自Internet的各种攻击，IPS、IDS等功能。5.2.2 无线SSID的配置和分配 使用无线网络可以分为不同的无线接入业务类型。因此，在设计上采用无线局域网多SSID技术，设置多业务区分方式。在一个无线局域网内可以设置多个SSID，例如一个SSID可给内部员工使用，而另一个可给外来的访客专用。由于用户一般把SSID看成VLAN，所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内，不管用户连接到那一个SSID

44、它们实际上都是在同一个802.11广播域内，因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播，所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。初步配置4个SSID,每个SSID都可以对应不同的VLAN。在不同的区域科可以启用或不启用相应的SSID。如用于访客的SSID可能只在特别病房、门诊大厅，大堂等公共区域开放。2个SSID用于数据，一个SSID用于视频监控，一个 SSID用于语音。具体分配如下：1、 一个SSID用于视频监控，主要传输视频摄像头的数据2、 一个SSID用于语音，

45、主要用于VoWiFi应用。3、 用于数据的SSID都使用2.4GHz频带，主要是考虑到一般电脑和PDA目前只支持2.4GHz的WiFi。可用根据需要采用5.8GHz 或混合接入。根据内部医生和护士接入和访客上网两种应用，配置了两个SSID，并通过VLAN隔离。医生或护士接入的SSID采用独有的动态PSK技术，保证每个人的无线接入的加密密钥都不相同，即保证了信息的安全，也保证了用户间的安全。在启用动态PSK后，当网络用户首先激活自己对WLAN的访问时，一个独一无二、预先共享的key（PSK）就会被自动生成，以用于他们的认证过程（这是被WLAN安装精灵默认激活的）。默认情况下，所有的动态PSK都会

46、在2个月的时间内失效。不过，你可以对PSK的失效进行控制，设定具体何时会对用户提示PSK失效，要求他们重新激活自己的无线访问。动态PSK技术还简化了无线接入的操作：点击一下即可接入。（关于动态PSK技术的介绍，见附件）在可能只在特别病房、门诊大厅，4、 在一些特别病房、门诊大厅堂等公共区域，可能都有接入Internet的需求。他们的需求是临时的，为此无线接入系统专门支持有访客服务功能，支持提供指定时期的上网服务。过期则上网密码自动失效。其工作过程如下：访客SSID是开放的，没有加密的。ZoneDirector对访客SSID上的数据流量进行专门处理以禁止访客访问任何内部网络资源或与内部网络的设备

47、进行通讯。要实现访客服务，必须先创建一个用户，该用户（一般为前台或秘书）有权限为访客创建临时密码。访客服务的工作过程如下：1) 首先需要一个医生或护士，具有附加的创建访客临时上网密码的权限。2) 如果访客需要上网，可以告诉他连接Guest这个SSID3) 然后该医生或护士打开浏览器，输入https:/Zonedirector URL/guestpass4) 系统将弹出对话框要求该员工输入其用户名和密码。5) 输入验证成功后，系统将弹出对话框选择临时密码的使用期限，从一小时到几个星期。6) 系统将产生十位字符的临时密码。7) 访客打开浏览器，系统将弹出对话框（该对话框可定制）要求输入临时密码。8

48、) 访客输入第6步产生的临时密码后，可以上网了。9) 临时密码到期后，自动失效。5.2.3 视频监控的分区、分域、分权管理和查询 所有的视频监控信号都传输到监控中心。监控中心再根据各部门或各单位所需监控和负责的区域，创建监控域并创建相应域的管理员帐号。各部门或单位的监控管理员登录后就能、并只能查看和调整其区域内的摄像头。而监控中心具有全域管理权限，可以查询、管理、监控和记录所有监控区域和摄像头。5.2.4 Ruckus ZoneFlex 无线覆盖解决方案 根据需求，考虑到无线同时要支持数据、语音和视频监控的功能，决定室内采用ZoneFlex 7962或ZoneFlex7363双频11n AP进

49、行覆盖，室外采用ZoneFlex7762 双频11n AP 进行室外覆盖（关于ZoneFlex 7x6x系列AP的介绍，见附件）。其中频率资源分配如下：1、 无线上网覆盖：使用2.4GHz频带，为保证系统的稳定，信道带宽选择20MHz。根据实际视频摄像头的多少和每个摄像头的带宽需求，5.8GHz带宽也可以部分用于数据业务。2、 无线视频监控：采用5.8GHz频道，信道带宽为40MHz以便尽可能提供更多的带宽。考虑到摄像头都是有线的，每个摄像头均需要配置一个MF7111。3、 语音：为了保证语音的质量和尽可能避开干扰，可用选择5.8GHz频道。考虑到覆盖问题，也可选择使用2.4GHz频带。4、

50、室外覆盖可同时提供2.4GHz和5.8GHz覆盖。ZoneFlex7762安装在楼顶进行覆盖。ZoneFlex 7762即可覆盖室外区域，也可覆盖室内，提供无线数据业务。AC控制器采用ZoneDirector3000，为了防止出现单点故障，配置冗余。 53网络用户与应用管理实现采用Ruckus无线系统的多SSID结构的管理技术将不同类型的用户和应用划分到不同的SSID中，赋予不同的访问规则与权限以及配置不同的管理策略。在具体实施时可以将用户权限与业务类型灵活组合，并和现有的有线系统和认证系统进行结合，对用户的认证和相关权限进行管理。Ruckus无线系统可以根据用户名等信息赋予用户不同的接入和访

51、问权限（具体方案根据用户实际情况）54 医院无线网的安全系统实现Ruckus无线网的安全系统实现如下安全功能：· 接入认证控制： 验证用户， 授权他们接入特定的资源， 同时拒绝为未经授权的用户提供接入。 · 确保链路的保密与数据的完整： 防止未经授权的用户读取或更动在网络上传输的数据。 · 侦测非法接入：防止非法AP接入医院的无线网络中。· 监测和阻断无线攻击： 防止攻击占用某个接入点的所有可用带宽， 导致其他用户的正当接入。· 根据每个SSID设定无线用户的上行、下行带宽：防止P2P应用大量占用带宽。· 二层用户隔离选择：保证用户数

52、据的安全性。541 认证方式Ruckus的无线解决方案支持MAC地址认证，WEB认证，以及802.1X等多种认证方式，同时可以对不同的SSID采取不同的认证方式。 对于医院的应用, 无线局域网的用户可能是网络管理人员,可能是本院的工作人员, 也有可能是来校的访客;无线局域网的应用又分数据应用和语音应用。为了加强管理，同时也为了保证不同应用在无线网络中的品质。可以考虑不同的网络用户进不同的SSID；不同的SSID采用相同或不同的认证方式（根据实际情况进行部署）。542 数据加密用户可以酌情考虑对内部管理的信息，用户信息等数据进行加密。加密数据可以采用以下三个方式:1. 标准的WiFi加密如WPA

53、，WPA2等，并和现有的认证系统关联。所有要进入敏感网络的用户必须经过认证，数据链路在空中进行加密。2. 采用Ruckus的动态PSK技术，密钥和设备绑定。既保证了接入安全，还保证了信息安全，同时达到减少了维护管理工作。543 语音加密建议所有语音设备接入直接进入无线局域网中语音专用的SSID专网。所有语音接入设备要严格管理，避免不必要的网络配置信息的外泄。同时，语音的网络要跟所有其他的网络隔离，以免WiFi电话遗失造成网络配置信息外泄。544 无线空间的抗干扰我们可以把性能增强分成三类并称之为3R：扩展覆盖范围(Range)、改进数据速率(Rate)和提高鲁棒性(Robustness)。 通

54、过智能天线技术可以有效的回避干扰,并提高通讯的品质. 智能天线系统通过检测射频和多径问题以及邻居网络噪声带来的干扰，能够实时重新自我配置和调整，使得AP在一个不断变化的环境中从多种不同质量的信号传输路径中立即选择一个最优的传输路径。在建筑物中，由于AP众多，在每个频道都有多个AP，因此无法通过跳频来解决干扰问题，而又不想因为缩小功率而减少覆盖范围，Ruckus AP可以通过改变传输路径来避开干扰，保证数据的可靠传输。55 移动漫游设计在传统的无线局域网内，无线终端要跨越不同AP之间漫游是有一定的困难，因为不同AP之间，它的无线用户IP子网可能不在同一个VLAN内。所以当无线终端从一个AP漫游到

55、另一AP时，由于它们之间的缺省IP子网可能不同，无线终端会重新发出DHCP请求，这样的话终端的IP地址就会更新，所有在原先AP建立的连接都会被切断。通过Ruckus 无线系统，解决了无线漫游问题。 当无线终端从一个AP漫游到另一个AP的时，oneDirector就可以了解到用户漫游到了哪个相邻的AP以及相应的加密和认证信息。由于ZoneDirector内部缓存了相关用户的认证和加密信息，无线用户已漫游到另一个AP时，可用直接接入而无需重新认证，即流量不会中断，直到用户完全漫游过来。56无线覆盖建议为了尽可能准确地设计AP的安装位置。2010年3月26日到现场对还在建设中的安监大楼使用ZoneF

56、lex7962 和ZoneFlex7363进行了现场勘查。结果如下。这些结果将作为后面AP数量和安装位置的主要依据。531 一层六、 Ruckus智能无线搭建医院网络的优点61 组网方便无需重新布线或划分VLAN，AP就近接入现有网。在网络的中心或集中交换机处部署无线控制器ZoneDirector，对AP进行同一的AP、用户接入、安全和无线RF管理。AP接入网络后，如果需要也可以在网管中心部署（适合于具有多个区域的部署）FlexMaster集中管理系统。这样各区域采用ZoneDirector进行本地无线网络的管理（包括AP配置和状态、软件管理、用户认证、安全和无线RF管理等），而中心FlexMaster对ZoneDirector进行统一管理和监控。BeamFlex技术对AP的安装位置没有特殊的要求，可以安装在方便安装（如具有以太网接口的几乎任何地方）。这样不仅方便了安装，还节省了安装成本。另外，内置的MESH技术可以扩展覆盖不方便布线的区域。62 智能天线技术, 更少的AP数量, 更大更有效的覆盖AP的天线是由多根水平和垂直极化天线组成的智能天线矩阵系统，可以提供4095种天线模式，系统控制软件利用构