XX医院juniper无线方案v4

1、 云南XXXXX医院 Juniper无线网络解决方案 第 PAGE 69页，共 NUMPAGES 69页云南XXXXX医院Juniper无线网络解决方案 TIME yyyy年M月 2011年1月目 录 TOC o 3-3 h z u t 标题 1,1,标题 2,2 HYPERLINK l _Toc284000479 前 言 PAGEREF _Toc284000479 h 4 HYPERLINK l _Toc284000480 一、XXXXX医院无线网络通信系统建设需求 PAGEREF _Toc284000480 h 4 HYPERLINK l _Toc284000481 1.1XXXXX医院新

2、区无线网络应用需求 PAGEREF _Toc284000481 h 4 HYPERLINK l _Toc284000482 1.2无线网络通信系统的应用支撑 PAGEREF _Toc284000482 h 7 HYPERLINK l _Toc284000483 二、XXXXX医院无线网络通信系统的设计与实施方案 PAGEREF _Toc284000483 h 9 HYPERLINK l _Toc284000484 2.1整体系统架构设计 PAGEREF _Toc284000484 h 9 HYPERLINK l _Toc284000485 2.1.1设计原则 PAGEREF _Toc28400

3、0485 h 9 HYPERLINK l _Toc284000486 2.1.2拓扑结构 PAGEREF _Toc284000486 h 9 HYPERLINK l _Toc284000487 2.1.3设备选型和配置 PAGEREF _Toc284000487 h 10 HYPERLINK l _Toc284000488 2.1.4核心交换机连接 PAGEREF _Toc284000488 h 10 HYPERLINK l _Toc284000489 2.1.5接入层AP部署 PAGEREF _Toc284000489 h 10 HYPERLINK l _Toc284000490 2.1.6

4、用户接入策略 PAGEREF _Toc284000490 h 10 HYPERLINK l _Toc284000491 2.1.7无线系统的稳定性及可靠性设计 PAGEREF _Toc284000491 h 12 HYPERLINK l _Toc284000492 2.1.8供电方式设计 PAGEREF _Toc284000492 h 12 HYPERLINK l _Toc284000493 2.1.9Juniper MP-522安装方法 PAGEREF _Toc284000493 h 13 HYPERLINK l _Toc284000494 2.2认证与加密方案 PAGEREF _Toc28

5、4000494 h 14 HYPERLINK l _Toc284000495 2.2.1设备认证方式建议 PAGEREF _Toc284000495 h 14 HYPERLINK l _Toc284000496 2.2.2数据传输加密 PAGEREF _Toc284000496 h 15 HYPERLINK l _Toc284000497 2.3网络管理措施 PAGEREF _Toc284000497 h 15 HYPERLINK l _Toc284000498 2.3.1性能管理 PAGEREF _Toc284000498 h 15 HYPERLINK l _Toc284000499 2.3

6、.2故障管理 PAGEREF _Toc284000499 h 15 HYPERLINK l _Toc284000500 2.4目标区域无线覆盖示意图 PAGEREF _Toc284000500 h 15 HYPERLINK l _Toc284000501 三、无线设备清单 PAGEREF _Toc284000501 h 17 HYPERLINK l _Toc284000502 四、技术偏离说明（无线网络部分） PAGEREF _Toc284000502 h 19 HYPERLINK l _Toc284000503 4.1无线控制器指标和功能 PAGEREF _Toc284000503 h 19

7、 HYPERLINK l _Toc284000504 4.2无线AP的技术参数和功能 PAGEREF _Toc284000504 h 22 HYPERLINK l _Toc284000505 4.3无线用户身份认证系统的技术参数和功能 PAGEREF _Toc284000505 h 24 HYPERLINK l _Toc284000506 4.4无线网络管理系统的技术 PAGEREF _Toc284000506 h 26 HYPERLINK l _Toc284000507 五、XXXXX医院无线网络系统设计原则 PAGEREF _Toc284000507 h 30 HYPERLINK l _T

8、oc284000508 5.1遵循标准 PAGEREF _Toc284000508 h 30 HYPERLINK l _Toc284000509 5.2成熟的无线射频技术 PAGEREF _Toc284000509 h 30 HYPERLINK l _Toc284000510 5.3传输安全性能可靠 PAGEREF _Toc284000510 h 31 HYPERLINK l _Toc284000511 5.4易管理易维护 PAGEREF _Toc284000511 h 32 HYPERLINK l _Toc284000512 5.5支持内部语音通信系统 PAGEREF _Toc2840005

9、12 h 32 HYPERLINK l _Toc284000513 六、Juniper无线方案的技术特点以及在医院中的适用性阐述 PAGEREF _Toc284000513 h 34 HYPERLINK l _Toc284000514 6.1先进而成熟的无线局域网交换架构 PAGEREF _Toc284000514 h 34 HYPERLINK l _Toc284000515 8.1.1集中式的无线网络管理模式 PAGEREF _Toc284000515 h 34 HYPERLINK l _Toc284000516 8.1.2无线射频的智能管理 PAGEREF _Toc284000516 h

10、35 HYPERLINK l _Toc284000517 6.2高可靠性，永不停机的结构 PAGEREF _Toc284000517 h 36 HYPERLINK l _Toc284000518 6.3具有安全保障的网络平台 PAGEREF _Toc284000518 h 38 HYPERLINK l _Toc284000519 8.3.1无线用户网络接入的安全管理 PAGEREF _Toc284000519 h 39 HYPERLINK l _Toc284000520 8.3.2无线网络的安全防护和监控 PAGEREF _Toc284000520 h 39 HYPERLINK l _Toc2

11、84000521 8.3.3无线局域网的认证与加密 PAGEREF _Toc284000521 h 40 HYPERLINK l _Toc284000522 8.3.4防御不可信和不良客户端设备的侵扰 PAGEREF _Toc284000522 h 40 HYPERLINK l _Toc284000523 8.3.5无线射频终端的定位 PAGEREF _Toc284000523 h 41 HYPERLINK l _Toc284000524 6.4支撑多业务的网络应用 PAGEREF _Toc284000524 h 42 HYPERLINK l _Toc284000525 8.4.1无线网络的Q

12、oS实施与保障策略 PAGEREF _Toc284000525 h 42 HYPERLINK l _Toc284000526 8.4.2网络系统的自愈功能 PAGEREF _Toc284000526 h 42 HYPERLINK l _Toc284000527 8.4.3无线接入的负载均衡 PAGEREF _Toc284000527 h 43 HYPERLINK l _Toc284000528 8.4.4VoWLAN无线语音通信系统 PAGEREF _Toc284000528 h 44 HYPERLINK l _Toc284000529 6.5智能无线交换轻松应对11n PAGEREF _To

13、c284000529 h 45 HYPERLINK l _Toc284000530 6.6统一的室内、室外 WLAN PAGEREF _Toc284000530 h 47 HYPERLINK l _Toc284000531 6.7无限的 WLAN 运行周期管理 PAGEREF _Toc284000531 h 48 HYPERLINK l _Toc284000532 七、选用Juniper本次配置组网的方案优势 PAGEREF _Toc284000532 h 50 HYPERLINK l _Toc284000533 八、附件：Juniper公司无线网络产品介绍 PAGEREF _Toc28400

14、0533 h 52 HYPERLINK l _Toc284000534 8.1Juniper智能无线控制器 MX-800R PAGEREF _Toc284000534 h 52 HYPERLINK l _Toc284000535 8.2Juniper智能无线接入点 MP-522 PAGEREF _Toc284000535 h 58 HYPERLINK l _Toc284000536 8.3Juniper 智能无线网络管理软件RingMaster PAGEREF _Toc284000536 h 62 HYPERLINK l _Toc284000537 8.4Juniper 无线定位服务器LA-2

15、00 PAGEREF _Toc284000537 h 67 HYPERLINK l _Toc284000538 8.5Juniper SmartPass安全访客接入解决方案 PAGEREF _Toc284000538 h 68 HYPERLINK l _Toc284000539 九、医疗行业部分用户及典型案例介绍 PAGEREF _Toc284000539 h 72前 言做为全球最具技术领先的无线网络公司，曾为Stanford School of Medicine（斯坦福医学院）、United Piacenza Hospita、Duncan Regional Hospital、Radiolog

16、ical Society of North America、Royal Hospital Group、Wheaton Franciscan Healthcare System、绍兴人民医院、北京肿瘤医院、辽宁省中医院、上海中山医院、上海胸科医院、皖南医学院弋矶山医院等国内外著名医疗机构构建第三代Nonstop Wireless技术的无线网络。Juniper Networks很荣幸能为XXXXX医院使用Juniper无线网络产品设计Smart Mobile架构的Nonstop Wireless智能无线网络。XXXXX医院无线网络通信系统建设需求XXXXX医院新区无线网络应用需求XXXXX医院前身

17、是1920年英国教会（中华圣公会）创办的“惠滇医院”。1950年，由昆明市人民政府接管，作为当时昆明陆军医院的妇产分院，于1958年改建为XXXX医院。目前已成为云南省唯一一所集医疗、康复、保健、科研、教学为一体的XX综合性医院。根据昆明市“十一五”卫生事业发展规划和区域卫生规划，为了科学合理地配置医疗资源，满足日益增加的XX医疗服务需求，解决病人看病难的问题，省委、省政府和市委、市政府高度重视，结合现代新昆明建设发展规划，将XX医院南市区新建项目纳入昆明市“十一五”规划和重点建设项目，决定在南市区建设一所代表全省最高XX医疗水平的大型综合性XX医院，新院总用地面积114.1亩，投资6.9亿，

18、建筑面积达11万余平方米，设置床位800张，日接诊量可达5000人次，年门诊量可突破100万人次，年收治住院病人约3万人次，预计2010年竣工，2011年投入使用。医院将以改革和项目推进为契机，抓住机遇，加快改革步伐，不断提高医院管理水平和医疗服务质量，精心组织，严格管理，加大施工监督力度，狠抓工程质量，建好南市区XX医院,更好的为全省全市XX服务.XXXXX医院计划在新院区部署第三代先进无线网络，以满足未来无线临床、无线诊疗、无线定位、无线追踪等多方位的医院无线应用。本章节就无线网络在医疗行业的推广目的将作以详尽的分析。在医疗环境中安装无线技术，主要是出于两个重要的原因。首先是HIS中如电子

19、病历系统系统的部署。医院希望借助无线网络，让医师、护士和其他临床医生可以尽可能有效地与患者交流，从而获得更加高效的床边护理。 医护人员可以通过在医院的手推车上安装的计算机、或者移动无线临床终端、护士PDA等设备，无线接入EMR（Electronic Medical Record）。比如，临床医生可以推着一辆手推车探视患者，并从患者的床边，迅速地获取患者的住院信息、病史、化验结果和其他患者数据。此外，临床医生还可以在转移到下一张病床之前，通过该应用更新患者的病历、预约化验和开处方。所有信息都将通过无线网络，记录在医院的主数据库中。护士可以在病人床前实时将病人的体温、血压、血糖、服药等情况通过无线

20、网络及时的更新进入系统，以便医生及医技科室调用及查询。支持无线的EMR为医护人员提供的移动能力非常重要，因为它不仅可以让医护人员更加方便和有效地进行床边探视，还可以从患者的角度提高探视的质量，这是因为医生在探视的过程中始终都可以待在患者的床边。 医院建立无线网络的第二个重要原因是网络布线的局限性。安装网线几乎总是需要采取钻墙和穿越天花板等措施，这些措施不仅会干扰办公场所的正常工作，而且在病房中具有很高的危险性。传统布线所带来的大量灰尘和其它颗粒物质。这对于体虚的患者如化疗病人、上呼吸道感染、XX病人、孕妇等非常有害。无线系统部署非常快捷、灵活，可以减少甚至避免所有这些环境施工的危险。 XXXX

21、X医院决定实施无线网络，并将其安装在住院楼中。在安装完成以后，医院最终将拥有自己的独立架构的第三代智能无线局域网，手推车、无线医疗临床终端、护理PDA和某些特定桌面上带有无线网卡的计算机，用来组成完美的无线网络。 纵观整个无线网络的建设项目，网络工程师会认为无线系统因为本身的技术原因，导致医院系统的信息化会面临信息安全的问题，尤其是数据传输的安全问题。目前的无线局域网使用的是基于WPA的802.1X技术，这项技术要求用户使用验证密钥来访问无线局域网。这项技术应该是比较安全的。同时结合如Juniper业绩好评的Smartpass无线网络安全准入系统，可以实现如：医生进入系统，需要自己的密码和名字

22、，并且同级医生之间的信息不能共享，只有职务高一级的医生才可以进入下一级医生的系统里。这样做除了安全性上的考虑外，还有监督的作用。基于用户的无线访问策略，为用户无线漫游提供方便。甚至可以结合Juniper Location定位服务器，可以实现如二楼内科的医生他的终端在二楼可以登录EMR，但在三楼外科病房就无法访问EMR的基于位置的管理控制权限服务。很多医院的信息网络工程师还会有另外一个顾虑，即无线设备是否会影响医院设备的使用。关于无线设备是否会影响医院设备的使用问题，答案是否定的。理由是，无线站点的发射功率其实非常小，不会超过100MW（毫瓦），而手机的发射功率则在几瓦上，所以限制手机在医院的使

23、用并不能说明无线局域网也会对医疗设备产生影响。并且，无线网络WiFi技术工作在ISM频段，ISM频段专为医疗和工业技术领域预留的无线频段，在医院中消毒常用到微波炉，WiFi技术就工作在2.4G点上，而无线设备功率是毫瓦级。但是有一点也是须要指出的，如目前在某些国内医院使用的无线天馈网络（智能天线）系统，其因为技术须要，常使用高达1W-2W的无线基站加馈线的方式来覆盖医院楼层，这其实对医院工作人员、病患及医疗设备都无形中存在辐射及干扰的最大隐患。以前很多的医院工作是基于有线网络的，非移动式的工作站信息系统对查房没有直接的帮助。医生到病房仍然要拿纸张、病例虽然这些病例可能是计算机打印出来的但查询仍

24、然不方便实际上还是传统的查询模式。对护士来说也存在着同样的问题，护士的工作最要到病床前测体温、量血压进行生命体征的数据采集然后再将记录在纸上的数据输送到计算机里，反而增加了工作的复杂度。而且过去服务过程也没有记录，一般是转抄医嘱。实际上这种信息系统和病房的管理模式并没有实现信息衔接，等于从医生、护士办公室到病人床前这一段“路程”没有实现数字化。而无线系统解决了这些问题。在无线技术得到广泛应用之前条形码技术的应用，为“以患者为中心”的口号提供了技术支持。现代信息化医院从挂号的起始环节开始就取消了病例本，而换成带有条形码的病例袋。这是就医者在XXXXX医院治疗的“通行证”。通过扫描呼叫病人就诊的同

25、时医生就可以通过医生工作站调出患者的病历资料、化验单、以及各种影像检查资料。值得一提的是数字化摄影技术大大缩短了洗印时间，患者不必花费漫长的时间等待报告单。而且影像检查的精确度也得到成倍提高，一张X 光片存储可达10-100 多兆，以前普通x 光片上显示不出来的微小病灶，都会以千万像素的高清晰效果呈现在医生面前。诸如DHA 、C T、CR 、B超、彩超信息，可以在全院范围内实现各种设备影像的集中存储效和共享。就是做完了检查之后，门诊医生化和住院医生的影像都可以直接获取。看完医生后的处方单等也都由电脑打印出来并带有条码信息。这样在病人交费的时候只要在排号机前扫瞄一下储存一个号就可以等待被呼叫交费

26、了此时医生所开的药物或检查项目、费用明细也都已经显示在电脑屏幕上，自然就不用排队了。在药房，以前是先交处方，再备药，等待时间很长。现在是收费完成之后配药单自动传到药房后台准备药之后再扫瞄一下，就医者就可以直接到窗口领药。药师扫描条形码核对处方，系统自动核检库存。这对于就医者来说是不用排队了，而对于药剂师来说，通过整个过程的计算机管理。药师不需要敲一下键盘，不需要按一下鼠标，避免了发药时候可能出现的错误。无论是应用条码技术还是采用了无线平台，所有应用的基础都是更全面的电子病例的有效集成为一线的医生诊治疾病提供数字化支持比如心电图监护、麻醉等，这些不光涉及到过去对病人的诊断，而且可以提供监护性的过

27、程，而这些信息都能够从这个系统中获得。医院可以为来此的就医者保存电子病历再次来到该院时无论已过多长时间，只要还保存着条形码，患者所有病理资料都可以在任意一台工作终端调出查阅，极大方便了病情的综合诊断。而从系统集成的角度来说系统要有效集成最重要的一点就是数据库一体化的结构设计。无线网络通信系统的应用支撑 为XXXXX医院的日常业务应用提供支撑平台，会包括有如下面向患者的应用，但不局限于以下应用：基本数据接入/访问互联网电子病历访问/查看 医生处方输入和药物治疗匹配 护士呼叫系统 患者床边服务 对重要的统计数据的监控手术实况传输医疗影像实时传输无线网络的语音通信人员和重要资产定位无线视频监控无线网

28、络系统入侵检测防护婴儿防盗仓库药品管理XXXXX医院无线网络通信系统的设计与实施方案整体系统架构设计设计原则结合XXXXX医院的网络和应用需求以及Juniper解决方案的特点，无线网络通信系统的设计原则可以分为以下几大点：采用无线交换架构组建无线网络子系统；利用现有的有线网络资源，架设“层叠”网络，保持已有的有线网络配置和设置不更改；用户子网和设备子网隔离，无线用户无法访问设备子网；AP的IP网络设置从DHCP获取或者进行安装前静态配置，AP的无线网络设置由交换机集中推送；拓扑结构如下图所示，在整个无线网络系统当中，JUNIPER的两台无线控制器MX-800R放置在数据中心（注：目前阶段只采购

29、1台），与核心交换机之间采用VLAN trunk进行连接；同时，在数据中心放置一台无线定位服务器LA-200，对医院内的人员以及设备进行定位，而楼层中的AP通过隧道汇接回到无线控制器，途经楼层汇聚有线交换机和其它相关的有线网络设备。图1：拓扑示意图在这样的网络实现当中，AP上用户的流量都将通过AP与无线控制器建立起的隧道，流向无线控制器，在经过相应的策略匹配之后，用户会被要求认证，或者流量会被转发/丢弃。同时，所有wifi的终端都将被定位设备选型和配置由于此次无线网络通信系统需要部署住院大楼，还需要考虑到备份中心使用的备份策略，同时还需要为将来各大楼的无线部署做扩容准备，所以在设备选型的时候需

30、要着重考虑设备性能，冗余方案，扩展能力等因素。综合了以上几点之后，设备的型号以及配置见第5节的设备清单。核心交换机连接采用1台Juniper MX-800R无线控制器，放置在XXXXX医院的网络机房，每台Juniper MX-800R无线控制器可以支持128个AP接入和管理，完全满足XXXXX医院无线覆盖的需求，并留有一定的扩展余量。同时，以后需要扩充整个网络，只需要利用Juniper的集群技术，把新的无线控制器加入原有的无线控制器集群，就可以为整个网络提供永不停机的可靠性，无线控制器和AP的连接可以穿透三层，因此，方案的实现完全不影响原有网络的结构，并且可以实现全网的漫游。AP的供电采用单独

31、的PoE供电设备（或与原有的普通楼层POE交换机配合，不用添加新的POE交换机），用于AP的数据接入和供电，又不增加过多的成本。接入层AP部署Juniper方案能够方便的实现跨三层部署，接入层的AP部署只是需要拿到属于自己的IP网络设置和网络中已经部署的Juniper无线控制器IP地址即可。这样的架构大大简化了传统无线网络部署当中的复杂程度，减轻了AP设置与用户设备以及AP所连接的有线网络配置相杂揉的状况。通常，视AP需要管理的程度，以及有线网络的整体架构来规划AP的部署。用户接入策略图1：基于医院内部用户的安全服务图2：基于医院网络管理人员的安全服务图3：基于访客的安全服务从XXXXX医院的

32、用户分类与分布情况分析，用户主要分成以下几类：（1）医院医生、护士及医技科室工作人员；（2）病人；（3）来访人员；使用网络是被分为不同的业务类型，因此，在设计上采用无线局域网多SSID技术，设置多业务区分方式。在一个无线局域网内可以设置多个SSID，例如一个SSID可给内部员工所用，而另一个可给外来的客户专用。由于用户一般把SSID看成VLAN，所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内，不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内，因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播，所以当无线终端在这个AP覆盖范围内

33、启动时，它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。为什么要把不同的安全加密协议设置在不同的SSID呢? 802.11的标准内定义了不同加密情况时数据包的封装格式，所以在使用不同的加密程式时，如WEP,TKIP(WPA),802.11i(WPA2)，它们是不可能在同一个SSID内同时存在的。用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用二个SSID，一个定义为OPEN/Static WEP供客户用，另一个SSID则为TKIP(WPA)专为内部员工使用。未来的发展趋势是新增设一个802.11i SSID让

34、员工以过度的方式逐渐从转移到这个SSID上。不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i，而是不可能把所有的终端一次更换成最新的软件程序。SSID可以覆盖全网，也可以只局限于XXXXX医院网内的某些范围。一般的情况下是全网开通，例如客人(Guest)使用的SSID；但有些SSID则可能只供某些部门使用，所以无线覆盖范围通常只会局限在某些范围内。所以针对XXXXX医院无线局域网多种用户的不同业务类型应该采取不同的SSID进行管理和控制。XXXXX医院XXXXX医院领导员工、XXXXX医院工作人员和属于XXXXX医院内的固定用户，可以采用专门的SSID，可以采用级别

35、较高的认证和加密手段，对参加会议人员和来访人员可以使用另一个SSID，采用级别相对较低的认证和加密手段，这样就实现了区分的服务。无线系统的稳定性及可靠性设计整个无线系统主要是由无线控制器和无线接入点组成。所以要避免无线控制器和无线接入点的单点故障。对于无线控制器：冗余备份：我们建议配置2台无线控制器MX-200R，2台MX组成一个mobility domain，各MX之间能够能够做到业界最快速的故障切换，切换时间小于30ms，对无线网络中的所有运行业务，包括wifi语音业务，都不会产生中断，真正实现Non_stop_wireless（永不停机无线网）的备份。上联接口备份：MX-200R有2个S

36、FP光口插槽，我们可对其进行以太网通道绑定，以保证上联端口避免单点故障。电源备份：为防止电源单点故障，每台MX-200R上均有2个电源接口，可以支持双路电源输入。对于无线接入点：物理连接备份：每个AP上均有2个RJ-45网口，可以同时进行上联，并可以进行自动备份切换。同时上联时，只会有1个网口作用。逻辑连接备份：每台AP工作时，会跟2台MX之间有连接，其中一个连接为主连接，另一个为备份连接。当主连接存在时，备份连接不起作用；当与主连接的MX失去联系后，备份连接马上启用，避免MX出现故障导致AP的连接中断。供电方式设计对许多网络系统的设计来讲，当建筑中某些区域的用途不确定或布线施工难度较大时，部

37、署无线接入点(AP)是十分必要的解决方案。但是，十分具有讽刺意义的是，在大多数情况下，无线接入点仍然需要电源，这就削弱了无线局域网的优势。而且，在安装时，我们不得不考虑电源插口是否存在，以及连接是否可靠，电源是否会从墙板上脱落等不确定因素。因此，如果采用不使用POE供电的方式，而采用AP本地供电的方式，则在部署以及维护AP时，一定要有电气方面专家对无线网络进行支持，对于新增或修改的部署点都需要通过电气工程师的规划和配合。十分不方便，使本来以灵活著称的无线网络无形的增加了局限性。而如果采用POE供电方式，则完全可以避免上述缺点，因此建议采用以POE供电的方式。Juniper MP-522安装方法

38、美国Juniper Network公司提供的无线接入点设备MP522配套完整的安装附件，适合多种条件安装需要。下面通过图示的简要说明设备固定方法。 无线接入点MP-522 T型固定件 固定支架 无线接入点可以锁在固定支架上解锁后可以取下无线接入点 利用T型固定件固定在天花板轻钢龙骨上 T型固定件与支架通常用的固定方法 利用T型固定件将支架固定后，可以通过上方的开口处将网线插入无线接入点直接安装在墙体上可以采用底座的方式固定 网线通过预留接口插入无线接入点认证与加密方案设备认证方式建议XXXXX医院将会存在两种类型的用户，一是网络移动设备，而是医院中的接入用户。对于运算和存储能力都相对比较弱的移

39、动终端设备，目前业界普遍的做法是使用静态WEP与基于MAC地址的认证方式来进行设备接入认证。Juniper无线网络解决方案支持内置和外置的MAC地址数据库用于网络的设备认证，同时内置的静态WEP算法由于采用了防止“弱”初始化向量措施，使得对于此类网络的破解大为困难。无线网络通信系统不仅仅需要服务于需要进行数据传输的移动终端设备，对于可以借助网络进行其它业务操作的数据用户，也应该同样提供数据传输的能力，并且保证两者互不干扰。JUNIPER所架设的无线网络系统支持多SSID，能够利用一套物理网络设备建立起几套虚拟的无线网络环境，并且每一套无线网络环境都具有其专门的认证方法。在一般数据用户进行网络访

40、问的时候，JUNIPER可以提供包括开放系统在内的五、六种认证方案，包括：WEB页面认证，802.1X认证，基于SSID的认证等。用户在接入网络之前，透过无线网络子系统把相关身份信息发送到后台的认证数据库当中，只有通过身份验证的用户才能够得到进入网络进行访问的许可授权。数据传输加密JUNIPER架构中的集中式加密解密模式尤其适用于对于数据传输具有严格私密性要求的场所。在XXXXX医院的通信系统，正是这样的一个典型例子。控制中心和终端之间的来往控制信息以及数据都不希望受到非授权用户的任意监听进而窃取其中的敏感信息，端到端的通信受到先进加密算法的保护。JUNIPER架构中可以直接对二层的无线网络数

41、据采用AES算法进行加密。网络管理措施性能管理QoS保证/负载均衡：如果一旦发生多个终端竞争一个AP的时候，基于流量和基于用户/终端数目两种负载均衡功能都将被启用，从而根据现场的负载情况进行均衡操作。故障管理AP的双备份：JUNIPER的设备支持冗余部署，无论是那一台控制器失效，AP都可以通过备份隧道与另外的控制器完成注册，因此，在此过程中完全不会影响网络的应用，可以保障实时应用的随时可用。自愈功能：JUNIPER的系统中AP具有自愈的功能，当一个AP失效的时候，附近的AP可以感知到，通过加大发生功率来覆盖失效AP原来所覆盖的区域，达到自动治愈网络覆盖空洞的目的，也提高了网络的可用性。目标区域

42、无线覆盖示意图下列示意图中表示AP。本次XXXXX医院的无线网络主要是覆盖门诊大楼及住院楼。由于并未得到大楼图纸，故本次所规划AP数量直接参考客户所提供数据。部署及配置数量的数据仅供参考。无线设备总计设备名称设备型号数量无线控制器MX-800R1无线接入点MP-52271PoE供电器PD-7001-CN供电器71备注：以上配置仅为参考配置，具体部署点位及实际部署数量按照实际环境测试结果为准，以上数据仅供参考数值。无线设备清单根据用户实际环境，为了更迅捷和方便的使用无线网络，以及更好的使用和管理用户的无线网络，建议采用如下配置方案。序号产品类型型号说明数量1无线网络交换机MX-800RJunip

43、er无线控制器每台控制器初始包含16个无线接入点的license最大支持128个在线瘦AP数目具备8个GigE (4个RJ-45，4个SFP)端口1个10/100Base-T管理端口1个console控制端口双冗余电源支持cluster集群技术1MX-800-U32无线控制器MX-200R的升级许可证，包含32个无线接入点数目，最大可升级到128个瘦AP数目2SFP-SX 千兆SFP多模光纤模块，LC duplex connector,，短波(850 nm)，最大可支持220米的50/125m多模光纤, 最大可支持550米的62.5/125 m多模光纤22无线接入点MP-522Juniper

44、802.11n室内无线瘦AP接入点，支持802.11a、b、g、n四种模式同时工作, 单个802.3af PoE以太端口, 内置双频分集天线, 支持MESH功能713无线网络系统管理软件RMTS无线控制器相应管理软件，包含安装光盘和用户手册，初始包含5个无线接入点管理许可证1RMTS-100无线控制器管理软件的许可证，包含100个无线接入点的管理许可证14无线定位服务器LA-200E无线定位服务器，支持2000个以上wifi终端的实时定位，硬件架构设备15无线定位软件平台Asset ManagementNewbury Active Asset 软件及支持50个定位标签的授权 16无线定位标签A

45、T-320Wi-Fi定位用标签，支持802.11b/g507无线网络安全认证系统SP/SP-ENT无线网络安全认证系统18PoE供电器PD-7001符合802.3af PoE 规范，单口POE供电模块 （或者在有线端采用PoE交换机）719售后服务SNS-SP-101硬件部分一年维护服务110售后服务SNS-SP-201软件部分一年维护服务111安装服务Service深化设计、施工、安装服务1注：上表中 表示为可选配置 表示为推荐配置备注：以上配置建议以后增加一台控制器做实时冗余，保证整个网络的运行稳定性及数据交换的负载均衡。我们的优势在于，其他厂家的无线控制器组网时，相互之间有角色之分，必须

46、一台为主，master/home，其他控制器受控制和管理于这台控制器，如果这台控制器出现问题，其他控制器无法为这台控制器进行备份，则整个网络都会出现故障，因此需要为这台控制器单独备份一台。而Juniper的优势在于多台控制器之间是集群模式，任何一台都可以为其他控制器提供冗余功能。因为，即保证网络稳定有降低成本。这就是Juniper被业界公认的None-Stop技术； 技术偏离说明（无线网络部分）无线控制器指标和功能序号指标指标项技术规范要求应答1硬件及接入能力实现架构采用瘦AP架构，国际知名品牌满足，是瘦AP架构2接口数量至少标配2个千兆光纤口（SFP）满足，提供总共8个千兆接口，其中4个为S

47、FP3最大接入AP数量单台设备可支持AP数100个，无线控制器必须是独立硬件设备满足，单台可管理AP数为1284电源标配双电源冗余，提供高可靠性的双电源冗余满足5扩展性支持控制器堆叠，支持N+1冗余方式，控制器之间要求支持无缝冗余切换，切换过程中应用不中断（请详细描述实现方式）满足，提供集群模式，支持N对N冗余并可无缝切换，该模式下，所有AP逻辑上同时连接到2台无线控制器，切换时间1ms，即使语音应用也不会中断6SSID支持64 SSID满足7功能支持标准支持802.11n 、802.11b、802.11g、802.11a、802.1q、802.1X、802.3z、802.3ab满足8无线资源

48、管理支持自动无线资源管理功能，根据无线网络实际情况自动调节无线网络射频参数，下发至AP生效，并不影响AP正常接入性能满足，支持无线射频自动调整9IPv6支持支持IPv6透传满足10认证模式能支持基于MAC地址、WEB页面认证，支持802.1X认证满足11支持本地或RIDUS服务器802.1x认证和portal认证满足12基于用户身份访问控制策略,能够基于用户名为用户分配不同的权限满足13组播支持IGMP、IGMP Snooping满足14Qos控制支持每用户的Qos控制，支持WMM和SVP满足15带宽控制基于每用户进行带宽控制满足16DHCP支持DHCP Server满足17安全性系统能够支持

49、无线IDS/IPS能力，能够对基于无线的入侵进行检测并对一些比较严重的无线攻击进行报警及防护，须提供实现该功能之设备满足，提供无线IDS/IPS功能18系统能够支持与第三方准入系统结合（如NAP，UAC），实现用户完整性检查满足，支持与第三方准入系统结合19非法AP控制支持非法AP、非法客户端的发现、抑制功能要求必须采用接入模式的AP做为非法AP的检测、抑制设备，无需另外添加专门AP做为AP检测设备满足，所有AP均可同时做接入以及非法AP、非法客户端的发现和抑制20高级AAA功能支持内置AAA功能，用于访客接入满足21动态VLAN支持基于用户的VLAN分配满足22加密功能必须支持WEP、WPA

50、、WPA2、AES满足23抓包功能支持通过AP进行空中抓包功能，并将抓包结果发送至有线网络上制定服务器上满足24可管理性能够基于用户、SSID进行带宽管理满足25支持SNMP（V1、V2、V3）标准满足26至少支持基于WEB浏览器，串口命令行CLI以及网管系统三种管理配置方式满足27必须配置有专门的无线网管软件，适用于整个WLAN的生命周期，能够实现规划、配置、监控和报告满足28网管软件能够安装在各种操作系统之上Windows、Linux、Unix、MAC OS满足29支持RFC3576，实现外部程序能够对已经授权的无线用户连接进行再控制（断线或其改变授权属性）满足，支持RFC 357630能

51、够支持第三方Web-Portal认证满足31控制统一管理支持统一控制器配置管理室内AP、室外AP及Mesh接入点的能力，支持瘦AP管理模式下的MESH和桥接的方式，能够将WLAN扩展到不易于布线的环境满足32网络管理支持远程HTTP、HTTPS配置管理满足33支持CLI以及网管软件管理方式满足34零配置管理室内AP、室外AP及Mesh设备完全零配置操作，完全由控制器进行统一配置满足35其它要求无线AP应对医疗设备无干扰（提供证明材料复印件）满足36备注非OEM产品，所提供产品品牌必须与国家无线电委员会入网核准证上及国际标准化组织WIFI联盟认证证书上的AP品牌及生产厂家一致无线控制器应完整配置

52、相应的软、硬件模块以满足上述技术要求满足无线AP的技术参数和功能序号指标指标项技术规范要求应答1总体要求采用瘦AP架构，国际知名品牌满足2接入模式可以同时工作于WLAN的2.4GHz频段和5GHz频段之上满足3环境要求温度：支持-1040(不结露)范围湿度：10%-90%满足4功能接口2个10/100Mbps(RJ45)端口并同时支持 IEEE802.3af远程供电协议满足, 1个10/100/1000Mbps(RJ45)端口5天线既能自带天线，也能搭配外挂天线, 支持2.4和5.8G两个天线输出口部分满足，只支持内置天线6电源支持IEEE802.3af远程供电协议满足，支持802.3af以及

53、新的大功率PoE标准802.3at7IPv6支持支持IPv6的二层透传满足8组网方式可以进行二层和三层组网，当控制器与无线AP处于不同网段时，AP应该可以自动完成到无线控制器的注册过程，不需要更改有线网络配置支持瘦 AP管理模式下的MESH和桥接的方式满足9数据加密AP应支持WEP、Dynamic WEP、TKIP、CCMP、AES等数据加密技术AP支持AP自身对用户无线数据的加解密AP应支持PSK、PSKMAC authentication、802.1x11Key handshake、WPA等密钥技术满足10无线入侵防护支持无线射频监控模式，并提供无线入侵检测和防护功能。能够同时支持无线接入

54、和无线监控防护功能满足11负载均衡支持对无线终端的负载均衡满足12SSID单个AP必须支持Multi-SSID和划分多个无线VLAN的功能，单个AP应支持SSID满足，单个AP支持64个SSID13射频管理AP能够智能的根据周边环境调节工作的频道和发射功率，达到最优化的覆盖效果，并且能够实现自愈功能满足14无线AP的管理支持零配置支持由无线控制器对AP的统一集中管理支持跨三层部署，无需准备预设置，从无线控制器或控制器获取配置信息支持版本自动升级支持防盗防入侵，本地不保存任何配置信息支持自动设置发射功率和分配射频信道满足15核准非OEM产品，需提供国际标准化组织WIFI联盟认证证书及信息产业部无

55、线电管理局颁发的产品核准证书，并可以在上述机构网站查到相应编号满足, 非OEM产品，提供证书16备注非OEM产品，所提供产品品牌必须与国家无线电委员会入网核准证上及国际标准化组织WIFI联盟认证证书上的AP品牌及生产厂家一致满足，非OEM产品，提供证书无线用户身份认证系统的技术参数和功能序号指标指标项技术规范要求应答1总体要求国际知名品牌，通过认证管理系统，可以灵活，精确的控制每一位无线用户的时间，方式和地点满足，可以精确的控制每一位无线用户的时间，方式和地点2功能接入时间管理可以控制每一位用户的具体接入时间和日期满足3基于位置认证管理能够根据位置对用户进行认证，如用户位置发生变化时，认证服务

56、器应该可以自动变更其用户属性满足4生存周期管理用户到期后可自动在系统中删除满足5网络权限管理可控制每一位用户的带宽限制，服务质量，以及网络访问权限满足6VLAN可控制每一位用户的接入的VLAN 满足7认证方式支持802.1x，web portal，MAC地址等认证方式，使用这些认证方式时，可以控制每一个帐户的上述属性满足8MAC支持MAC地址对用户名的绑定。满足9易操作性可批量生成用户，支持随即生成批量用户的密码满足10直观性支持通过自定义模板或图表格式，打印用户信息以及免责声明满足11操作方式支持HTTP/HTTPS操作方式满足12管理能力认证系统需支持至少10000个帐户的使用满足13审计

57、能力可以为每一个帐户生成报告，接入时长，使用流量等，以便于审计满足14集成能力提供API接口，便于与其他系统的集成满足15可靠性认证系统出现故障时，不会影响无线网络系统的运行。满足16支持操作系统至少支持Windows 2000,Windows XP, Windows Server 2003等操作系统满足17厂商无线AP、无线控制器、无线网络管理系统应为同一品牌满足18备注非OEM产品，所提供产品品牌必须与国家无线电委员会入网核准证上及国际标准化组织WIFI联盟认证证书上的AP品牌及生产厂家一致满足无线网络管理系统的技术序号指标指标项技术规范要求应答1总体要求国际知名品牌，可对于网络中的AC、

58、FIT AP、移动终端等无线设备进行集中管理，可监控AP的拓扑结构、部署位置、运行状态、信号覆盖状态（本次投标网管系统必须配置管理本次招标相应数量的AP的授权）满足2功能资源统一管理对于网络中的AC、FIT AP、移动终端等无线设备进行集中管理，同时可获取无线相关信息和配置。通过SSID视图、物理位置、设备类型等多种视图，将规模巨大的无线接入设备进行有效分组，便于用户查看和管理。可监控AP的拓扑结构、部署位置、运行状态、信号覆盖状态满足3用户统一管理系统支持无线资源与用户的统一管理，提供对终端进行强制用户下线、下发消息、安全检查、加入黑名单、查看用户详细信息等功能满足4802.11n支持对80

59、2.11n协议设备的识别与管理满足5MESH支持对Mesh设备的识别与管理满足6最大管理AP数量1000台满足7无线设备性能监控系统支持AC、AP、Station、空口流量等统计，并可提供多种图形、表格、报表展示满足8功能无线业务告警系统支持多种无线特有告警，包括隧道告警、工作模式告警、操作状态告警、信息告警、配置告警、Station状态告警、非法设备及入侵检测告警满足9AC设备管理能查看其下挂的FIT AP设备基本信息和详细列表，对AC设备、国家代码等无线业务参数进行配置，提供Radio策略、服务策略、故障管理、性能监控等管理功能满足10FIT AP设备管理能够查看AP下挂的移动终端信息，对

60、FIT AP在线状态、AP使用模板、所在AC设备等无线业务参数进行配置，提供Radio策略、服务策略、BSS信息浏览、故障管理、性能监控等管理功能满足11配置管理和软件升级系统支持批量进行AC软件版本显示、AC设备软件版本升级恢复、AC软件下载等操作满足12移动终端管理支持对移动终端的信息进行查看，包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等、所在Radio等等同时可以查看终端的漫游轨迹及时间满足13无线策略配置支持统一的Radio策略配置、服务策略配置以及配置批量下发等等满足14RF覆盖视图管理系统支持自定义各信号范围使用颜色，设置信号衰减