医院无线、运营及运维解决方案方案建议书

1、XXXXXX无线、运运营及运运维解决决方案锐捷网络络股份有有限公司司20166/044/255版权所有有 侵侵权必究究目录TOC o 1-3 h z u HYPERLINK l _Toc122 1 项目目背景 PAGEREF _Toc122 1 HYPERLINK l _Toc11769 2 建设设要求 PAGEREF _Toc11769 2 HYPERLINK l _Toc30581 3 方案案设计 PAGEREF _Toc30581 3 HYPERLINK l _Toc3335 3.1 基础方方案设计计原则 PAGEREF _Toc3335 3 HYPERLINK l _Toc32371

2、3.2 医院无无线、运运营和运运维整体体规划 PAGEREF _Toc32371 4 HYPERLINK l _Toc15159 3.3 场景化化无线部部署设计计 PAGEREF _Toc15159 4 HYPERLINK l _Toc7045 3.3.1 病病区无线线覆盖 PAGEREF _Toc7045 5 HYPERLINK l _Toc6583 3.3.2 行行政办公公、门诊诊输液区区无线覆覆盖【可可选】 PAGEREF _Toc6583 9 HYPERLINK l _Toc22782 3.3.3 室室外区域域无线覆覆盖【可可选】 PAGEREF _Toc22782 10 HYPERL

3、INK l _Toc26630 3.4 无线安安全准入入平台设设计【可可选】 PAGEREF _Toc26630 11 HYPERLINK l _Toc9481 3.4.1 无无线网络络的安全全威胁 PAGEREF _Toc9481 11 HYPERLINK l _Toc32160 3.4.2 无无线网络络安全的的实现 PAGEREF _Toc32160 12 HYPERLINK l _Toc6955 3.4.3 WWEB无无感知认认证 PAGEREF _Toc6955 16 HYPERLINK l _Toc2567 3.4.4 微微信认证证 PAGEREF _Toc2567 19 HYPER

4、LINK l _Toc28330 3.5 运维管管理平台台设计【可选】 PAGEREF _Toc28330 23 HYPERLINK l _Toc22032 3.5.1 基基于业界界主流标标准的融融合管理理信息模模型 PAGEREF _Toc22032 25 HYPERLINK l _Toc9503 3.5.2 系系统架构构 PAGEREF _Toc9503 26 HYPERLINK l _Toc6303 3.5.3 系系统功能能 PAGEREF _Toc6303 27 HYPERLINK l _Toc2762 4 方案案特点和和优势 PAGEREF _Toc2762 35 HYPERLINK

5、 l _Toc16948 4.1 面向移移动医护护业务的的用户场场景的产产品特性性 PAGEREF _Toc16948 35 HYPERLINK l _Toc22116 4.1.1 标标准化配配件简化化无线网网络设计计 PAGEREF _Toc22116 35 HYPERLINK l _Toc32251 4.2 整体方方案特点点 PAGEREF _Toc32251 36 HYPERLINK l _Toc24693 4.2.1 一一个病区区内零漫漫游、无无中断 PAGEREF _Toc24693 36 HYPERLINK l _Toc23609 4.2.2 走走廊和房房间内部部均为满满格信号号

6、PAGEREF _Toc23609 36 HYPERLINK l _Toc12931 4.2.3 11套零漫漫游即可可完成448个房房间的无无线覆盖盖 PAGEREF _Toc12931 37 HYPERLINK l _Toc31057 4.2.4 智智分单元元，在医疗疗行业又又一次创创新 PAGEREF _Toc31057 37 HYPERLINK l _Toc5268 4.2.5 智智分单元元提供高高速8002.111acc网络 PAGEREF _Toc5268 38 HYPERLINK l _Toc19890 4.2.6 内内网实名名制安全全准入 PAGEREF _Toc19890 38

7、 HYPERLINK l _Toc13269 4.2.7 外外网微信信认证 PAGEREF _Toc13269 38 HYPERLINK l _Toc30313 5 配置置建议 PAGEREF _Toc30313 39项目背景景无线局域域网技术术是新世世纪无线线通信领领域最有有发展前前景的技技术之一一，随着着下一代代宽带无无线接入入方式的的宽带化化、移动动化、IIP化理理念的提提出，WWLANN凭借其其接入速速率高、架构使使用便捷捷、系统统费用低低廉及可可扩展性性较好等等优点，应用日日趋广泛泛，成为为近些年年来各行行各业信信息化建建设的重重点之一一。在医院信信息化建建设的进进程中医医院管理理信

8、息系系统（HHMISS）、临临床信息息系统（CISS）、区区域医疗疗信息系系统（GGMISS）等已已日趋成成熟。移移动医护护、无线线查房、无线体体征监护护则成为为医院提提高医护护人员工工作效率率、降低低医疗事事故发生生率、提提升病患患满意度度的新方方向，而而无线病病房是实实现移动动医疗的的基础。卫生部在在三甲医医院评审审标准中中，大力力推进电电子病历历等新技技术，明明确指出出“医护人人员书写写护理文文书时间间原则上上每日不不超过半半小时”，如此此严苛的的要求，只有推推行无线线医护等等新技术术，才能能提高医医护效率率，达标标三甲标标准。早在20010年年，卫生生部在全全国范围围推广“优质护护理服

9、务务示范工工程”，目前前各个三三甲医院院都是由由院领导导作为组组长，牵牵头此工工作。而而无线医医护业务务慢慢成成为院方方“落实基基础护理理”、“丰富服服务内涵涵”、“持续质质量改进进”的重要要工作手手段之一一。随着WIIFI无无线、移移动互联联网应用用的快速速普及和和发展，移动互互联网正正在改变变和颠覆覆着人们们的生活活、工作作和学习习方式，人们迫迫切希望望随时随随地尽可可能方便便、快速速的使用用无线网网络网。同时为为缓解医医患关系系、提升升病人和和家属对对医院服服务的满满意度，为此在在医院部部署无线线网络也也显得尤尤为必要要和重要要！建设要求求利用先进进的无线线网络技技术进一一步扩展展我院病

10、病房、门门诊、行行政办公公等区域域的无线线信号覆覆盖范围围，使医医护人员员能够随随时随地地、方便便高效地地使用内内网无线线开展移移动医护护业务；也使患患者及其其家属可可以通过过外网无无线随时时随地高高效的访访问互联联网，提提升用户户体验；构建一个个真正可可用的、低延时时的、无无中断的的无线内内网，满满足移动动医护对对无线网网络的需需求；促进移动动医护业业务全面面开展，提高工工作效率率，推动动我院的的信息化化建设。通过无线线外网提提供统一一门户，关注我我院微信信公众账账号，提提供精准准信息推推送。提供基于于医院信信息化的的统一运运维管理理平台，实时监监控基础础网络、服务器器、业务务系统等等核心的

11、的运行情情况、监监控状况况等，同同时也可可以为我我院信息息化的建建设提供供决策依依据。方案设计计基础方案案设计原原则我院无线线网络的的建设目目标是实实现内外外网无线线覆盖。针对医医院住院院部儿童童治疗中中心的无无线网络络全面覆覆盖，要要求提供供一个无无漫游、无终端端的无线线网络为为移动医医护业务务开展构构建一个个真正可可用的无无线内网网；针对对行政办办公、门门诊输液液的无线线覆盖，要求提提供一个个稳定、高带宽宽的无线线网络。总体要求求：一、高信信号质量量：保证证用户环环境下房房间内和和走廊各各个角落落的无线线信号强强度-65ddBm（根据医医护终端端情况而定定），注注重满足足应用及及终端使使用

12、需求求；二、高可可用性：由于移移动医护护业务中中的移动动终端对对漫游灵灵敏度低低，且护护士需要要经常移移动，为为保证业业务的正正常，要要求一个个病区内内的无线线网络不不存在漫漫游现象象三、高数数据传输输性能：支持最最新的8802.11aac标准准，在病病区开展展移动医医护业务务，医生生在查看看PACCS影像像资料时时使用无无线接入入，提供供高数据据传输速速率；四、低干干扰：确确保同一一房间内内同频干干扰信号号强度-700dBmm，提高高整网吞吞吐性能能，构建建真正可可用的无无线网络络；五、多WWLANN并存：合理的的信道规规划部署署，实现现多WLLAN网网络在同同一用户户场景的的共存。；（适适

13、用于外外网共建建的项目目）医院无线线、运营营和运维维整体规规划整个医院院无线网网络采用用成熟可可靠的无无线控制制器+瘦瘦AP组组网方式式，全院院无线AAP通过过无线控控制器集集中管理理控制，实现AAP的零零配置管管理。内内外网无无线控制制器采用用独立设设备部署署，通过过万兆接接口旁挂挂现网核核心路由由交换机机上，单单台控制制器最大大可管理理3200个无线线AP。无线APP的供电电全部采采用POOE供电电，通过过楼宇内内的千兆兆POEE交换机机实现AAP的供供电和数数据传输输。无线线的覆盖盖和APP的型号号选择根根据医院院不同的的场景、用户需需求、接接入密度度等采用用不同类类型APP进行覆覆盖。

14、如如病区采采用锐捷捷医疗零零漫游方方案，行行政办公公及门诊诊采用室室内放装装，具体体规划和和设计如如下。场景化无无线部署署设计XXXXXX无线线网络建建设项目目中用户户场景多多种多样样，如密密集多房房间的病病区、开开阔环境境的门诊诊输液大大厅、室室外公共共环境等等。而本本次主要要是针对对开展移移动医护护业务的的儿童治治疗中心心病区，其属于于多房间间隔断、有屏蔽蔽门、走走道侧无无窗设计计等复杂杂的无线线部署环环境，这这对无线线网络建建设提出出了更高高的要求求。 病区无线线覆盖传统病区区的建筑筑结构如如下图所所示，首首先其具具有房间间密集、无线穿穿墙衰减减大等不不可避免免的问题题。其次次移动业业务

15、在该该区域对对无线有有较为特特殊需求求，如信信号覆盖盖、强度度、漫游游等，具具体分析析如下：信号覆盖盖需求：医生和护护士需要要到每个个病房，病床前前，完成成自己的的工作。这一特特性要求求信号在在病房内内、病床床前也要要有足够够的强度度。之所所以放装装部署方方式不适适用于移移动医护护业务，就是因因为如果果AP部部署在楼楼道，信信号需要要穿墙进进入房间间。信号号经过房房间会有有衰减，特别是是洗漱间间在门口口的房间间，经过过两堵墙墙的衰减减和镜子子，信号号会变得得非常弱弱。对于于业务来来讲，信信号的强强弱将会会直接影影响到业业务的开开展，信信号太弱弱终端甚甚至会掉掉线。从上面的的表中，可以看看到墙体

16、体对信号号的阻挡挡是很大大的，放装AAP的发发射功率率是200dbmm 国家规定，室内放装AP的发射功率不能100mw，室外大功率AP的发射功率不能超过500mw。（1000mww），在在靠近AAP正下下方的信信号一般般在-40ddbm，如果经经过两堵堵45ccm混凝凝土墙（每堵墙墙衰减118bBB），信信号将在在-755dbmm 信号值在-75dbm以下，业务上基本上不能开展。，接近不不可用。数据传输输性能要要求：某些科室室，如骨骨科、呼呼吸科，医生在在查房的的时候，需要打打开病人人的影像像图片，要求部部署的带带宽足够够，缩短短医生的的打开等等待时间间；除了了足够的的带宽，也可以以要求PPA

17、CSS系统对对于移动动查房的的业务有有优化设设计，如如适当的的压缩比比，更符符合人性性化设计计的打开开方式，使医生生的使用用体验更更加流畅畅。无缝漫游游要求：PDA、移动心心电监护护、查房房车，都都是在移移动中工工作，特特别是PPDA和和移动心心电监护护设备，由于终终端功率率低漫游游效率低低，但是是实时性性要求高高，所以以要求网网络能做做到无缝缝漫游，让终端端在每一一个病房房走动保保持业务务不中断断。放装APP的不适适用性也也在于，一个病病区需要要部署多多个APP接入点点，终端端在移动动过程中中必须发发生漫游游，如果果终端漫漫游不够够灵敏，可能会会产生业业务终端端；另外外，频繁繁的漫游游也会导

18、导致频繁繁丢包降降低体验验目前业界界流行的的智分方方案（锐锐捷、HH3C都都有智分分方案）可以减减弱漫游游问题，但是不不能根除除，对于于需要全全病区移移动的终终端，如如PDAA和移动动心电监监护，漫漫游还是是不可避避免，而而这类终终端的实实时性要要求高，如果PPDA掉掉线再重重新连接接，不仅仅医护业业务会中中断，系系统中登登录的护护士身份份信息也也需要重重新输入入，会大大大降低低护士的的工作效效率。小贴士：智分方方案介绍绍智分方案案的特点点在于，AP接接入点的的信号通通过馈线线进入室室内，避避免信号号穿墙衰衰减，一一个智分分AP接接入点，一般可可以覆盖盖688个房间间；而医医院病区区一般有有2

19、040个个病房，如果采采用智分分方案，需要部部署多个个AP接接入点，还是存存在多个个漫游区区域,，如图，终端穿穿过红色色和绿色色区域需需要漫游游。锐捷零漫漫游解决决方案：针对上述述对医院院病区环环境和移移动医护护业务对对无线的的要求，锐捷网网络针对对医院病病区定制制化开发发移动医医护零漫漫游解决决方案，其方案案原理如如下：锐捷网络络的零漫漫游解决决方案是是专门针针对移动动医疗业业务发布布的无线线解决方方案，解解决了生生产关键键业务在在移动应应用中遇遇到的漫漫游、性性能难题题。锐捷捷网络的的零漫游游解决方方案中包包含设备备：智分分基站、智分单单元、馈馈线、美美化天线线。锐捷零漫漫游解决决方案，智

20、分基基站通过过柔软的的馈线连连接智分分单元和和美化天天线，实实现连续续区域的的无线覆覆盖，并并且实现现区域内内的零漫漫游。同同时智分分单元内内置射频频卡，为为高带宽宽生产业业务提供供高性能能保障。智分方方案中涉涉及相关关组件内内容具体体如下：实际勘测测部署结结果实际勘测测部署效效果图：实际测试试得到信信息反馈馈（在移移动过程程中进行行影响资资料调用用时）：行政办公公、门诊诊输液区区无线覆覆盖【可可选】针对大多多数行政政办公楼楼、门诊诊输液区区，由于于教室一一般面积积较大，内部宽宽敞无阻阻挡，房房间多采采用木门门，且在在走廊侧侧会有大大型玻璃璃窗体。又由于于该区域域主要用用户为医医生移动动办公、

21、输液，病人及及家属的的互联网网访问等等。因此此，可以以在该区区域采用用室内AAP稀疏疏的放装装式部署署方案：将APP放在走走廊里，覆盖走走廊两侧侧的房间间，一个个AP可可覆盖直直径200-300米。针针对较大大的开阔阔空间可可以采用用在室内内放装AAP方式式部署，确保人人数较多多的能同同时接入入无线网网络。这些区域域采用的的是RGG-APP5200-I锐锐捷网络络的新一一代APP，支持持两条空空间流技技术，单单路射频频单元可可以提供供高达8866MMbpss的接入入速率，整机提提供11166MMbpss的接入入速率，近千兆兆的极速速无线让让性能不不再成为为瓶颈，为大空空间开放放空间内内高密度度

22、用户场场景下下下提供的的更高的的传输性性能。同同时采用用了业界界领先的的“X-ssensse”灵动天天线，跨跨越式的的提升了了AP的的覆盖性性能，保保障了移移动智能能终端最最优的接接入效果果，确保保无线信信号最优优覆盖。 RG-AP5520-I产品品外观 X-sennse灵灵动天线线室外区域域无线覆覆盖【可可选】主要应用用于室外外公共区区域，这这类区域域面积广广阔， 室外区区域分布布有较高高、密集集的建筑筑群和植植物群，这对于于信号的的阻挡将将是较大大的障碍碍。因此此，选用用专用的的室外大大功率无无线APP产品RRG-AAP6330，配配置使用用定向天天线，可可以保证证无障碍碍下的2200米米

23、半径覆覆盖以及及近距离离的多重重障碍物物的穿透透能力，完全保保证了室室外区域域的信号号覆盖品品质，同同时设备备本省具具备抗雷雷击、防防雨、防防潮、抗抗高低温温、阻燃燃等多项项指标，无线室室外覆盖盖，建议议部署在在覆盖区区域内的的制高点点上，同同时采用用定向天天线定向向照射、全向天天线进行行补充的的方式进进行覆盖盖。对于医院院大楼外外公共区区域的无无线采用用新一代代室外RRG-AAP6330无线线AP，内置定定向和全全向的智智能天线线矩阵，通过内内置天线线即可完完成室外外空旷区区域的无无线覆盖盖，安装装部署更更加的方方便和灵灵活，而而且可以以根据需需求选配配外置天天线。产产品支持持8022.11

24、1ac、3*33 MIIMO，实现更更高的无无线接入入带宽服服务。图8 室室外APP RRG-AAP6330无线安全全准入平平台设计计【可选选】随着医院院业务的的发展以以及办公公便携性性的迫切切需要，医院内内外网无无线的建建设，移移动办公公、移动动医护及及相关应应用访问问安全依依然成为为了必须须考虑的的内容。但是由由于无线线网络的的信道开开放的特特点，使使得攻击击者能够够很容易易的进行行窃听，恶意修修改并转转发，因因此安全全性成为为阻碍医医院无线线网络发发展的重重要因素素。虽然然一方面面对无线线局域网网需求不不断增长长，但同同时也让让许多医医院用户户对不能能够得到到可靠的的安全保保护而对对最终

25、是是否采用用无线局局域网系系统犹豫豫不决。利用WWLANN接入医医院网络络，对于于现有的的WLAAN技术术，它的的安全隐隐患主要要有以下下几点：无线网络络的安全全威胁ARP欺欺骗攻击击在有线网网络上AARP欺欺骗是常常见的病病毒和攻攻击行为为，通常常在有线线网络的的接入交交换机做做了很多多的安全全策略，保障只只有正常常的ARRP数据据才可以以通过。避免了了ARPP欺骗使使得其他他用户无无法访问问网络。因为用户户使用的的笔记本本的接入入终端，在有线线和无线线网络上上同时使使用，由由于无线线网络的的开放性性，师生生可以随随时随地地接入无无线网络络，如何何防御AARP病病毒的发发生需要要AC设设备具

26、有有ARPP的攻击击和防御御能力。未经授权权使用网网络服务务由于无线线局域网网的开放放式访问问方式，非法用用户可以以未经授授权而擅擅自使用用网络资资源，不不仅会占占用宝贵贵的无线线信道资资源，增增加带宽宽费用，降低合合法用户户的服务务质量，而且未未经授权权的用户户滥用无无线网络络资源，使得合合法的无无线内网网的用户户无法正正常使用用。同时，非非法用户户私自架架设无线线AP，诱使用用户接入入不安全全的无线线AP上上。接入入非法AAP轻则则会导致致客户无无法访问问网络资资源，重重则会导导致用户户的重要要数据被被窃取地址欺骗骗和会话话拦截在无线环环境中，非法用用户通过过侦听等等手段获获得网络络中合法

27、法站点的的MACC地址比比有线环环境中要要容易得得多，这这些合法法的MAAC地址址可以被被用来进进行恶意意攻击。另外，如果基基于IEEEE8802.11没没有对AAP身份份进行认证证，非法法用户很很容易装装扮成AAP进入入网络，并进一一步获取取合法用用户的鉴鉴别身份份信息，通过会会话拦截截实现网网络入侵侵。无线网络络安全的的实现基于无线线网络的的集中常常见安全全问题，本方案案结合业业界的综综合无线线安全技技术以及及锐捷网网络在医医院环境境下的定定制化解解决方案案，在无无线网络络的各个个环节进进行相应应的安全全保护、数据加加密、身身份认证证等安全全手段，实现全全方位无无线安全全防护体体系。链路认

28、证证方式开放系统统认证开放系统统认证是是缺省使使用的认认证机制制，也是是最简单单的认证证算法，即不认认证。如如果认证证类型设设置为开开放系统统认证，则所有有请求认认证的客客户端都都会通过过认证。开放系系统认证证包括两两个步骤骤：第一一步是请请求认证证，第二二步是返返回认证证结果。如果认认证结果果为“成功”，那么么客户端端和APP 就通通过双向向认证。图表 11 STYLEREF 1 s 3 SEQ 图表 * ARABIC s 1 1 开放系系统认证证过程共享密钥钥认证共享密钥钥认证是是除开放放系统认认证以外外的另外外一种认认证机制制。共享享密钥认认证需要要客户端端和设备备端配置置相同的的共享密

29、密钥。共共享密钥钥认证的的认证过过程为：客户端端先向设设备发送送认证请请求，无无线设备备端会随随机产生生一个CChalllennge包包发送给给客户端端；客户户端会将将接收到到字符串串拷贝到到新的消消息中，用密钥钥加密后后再发送送给无线线设备端端；无线线设备端端接收到到该消息息后，用用密钥将将该消息息解密，然后对对解密后后的字符符串和最最初给客客户端的的字符串串进行比比较。如如果相同同，则说说明客户户端拥有有无线设设备端相相同的共共享密钥钥，即通通过了SSharred Keyy 认证证；否则则Shaaredd Keey 认认证失败败。链路认证证方式由由于安全全级别较较低，不不够灵活活和认识识因

30、此不不适合我我院的环环境！无线数据据保密相对于有有线网络络，无线线网络服服务存在在着数据据安全隐隐患。在在一个区区域内的的所有的的WLAAN 设设备共享享一个传传输媒介介，任何何一个设设备可以以接收到到其他所所有设备备的数据据，这个个特性直直接威胁胁到WLLAN 接入数数据的安安全。明文数据据该种服务务本质上上为无安安全保护护的WLLAN 服务，所有的的数据报报文都没没有通过过加密处处理。WEP加加密WEP(Wirred Equuivaalennt PPrivvacyy，有线线等效加加密)用用来保护护无线局局域网中中的授权权用户所所交换的的数据的的机密性性，防止止这些数数据被随随机窃听听。在实

31、实际实现现中，已已经广泛泛使用1104 位密钥钥的WEEP 来来代替440位密密钥的WWEP，1044 位密密钥的WWEP 称为WWEP-1044。虽然然WEPP1044 在一一定程度度上提高高了WEEP 加加密的安安全性，但是受受到RCC4 加加密算法法以及静静态配置置密钥的的限制，WEPP加密还还是存在在比较大大的安全全隐患。TKIPP加密TKIPP 是一一种加密密方法，用于增增强prre-RRSN 硬件上上的WEEP 协协议的加加密的安安全性，其加密密的安全全性高于于WEPP。WEEP 主主要的缺缺点在于于，尽管管IV（Iniitiaal VVecttor，初始向向量）改改变，但但在所有

32、有的帧中中使用相相同的密密钥，而而且缺少少密钥管管理系统统，不可可靠。TTKIPP 和WWEP 加密机机制都是是使用RRC4 算法，但是相相比WEEP 加加密机制制，TKKIP 加密机机制可以以为WLLAN服服务提供供更加安安全的保保护。首先，TTKIPP 通过过增长了了算法的的IV 长度，提高了了WEPP 加密密的安全全性；其其次，TTKIPP 支持持密钥的的动态协协商，解解决了WWEP 加密需需要静态态配置密密钥的限限制；另另外，TTKIPP 还支支持了MMIC 认证（Messsagge IInteegriity Cheeck，信息完完整性校校验）和和Couunteermeeasuure

33、功能。CCMPP加密CCMPP(Coountter modde wwithh CBBC-MMAC Prootoccol，计数数器模式式搭配配区块块密码锁锁链信信息真实实性检查查码协协议)加加密机制制是基于于AESS（Addvanncedd Enncryyptiion Staandaard，高级加加密标准准）加密密机制的的CCMM（Coountter-Modde/CCBC-MACC，区块块密码锁锁链信信息真实实性检查查码）方方法，仅仅用于RRSNAA客户端端。CCCM 结结合CTTR（CCounnterr moode，计数器器模式）进行机机密性校校验，同同时结合合CBCC-MAAC（区区块密码码

34、锁链信息真真实性检检查码）进行认认证和完完整性校校验。CCCM 可以保保护MPPDU 数据段段和IEEEE 8022.111首部中中被选字字段的完完整性。CCMMP 中中所有的的AESS 处理理进程都都使用1128 位的密密钥和1128 位的块块大小。CCMM 中每每个会话话都需要要一个新新的临时时密钥。CCMMP 使使用488 位的的PN（pacckett nuumbeer）来来实现这这个目的的。对于于同一个个临时密密钥，重重复使用用PN 会使所所有的安安全保证证无效。为充分保保障数据据在传输输过程中中的安全全，防止止窃取和和破解，方案中中选择CCCMPP协议对对无线传传输的数数据进行行加密

35、。无线认证证方式PSK 认证PSK 认证需需要实现现在无线线客户端端和设备备端配置置相同的的预共享享密钥。如果密密码相同同，PSSK 接接入认证证成功；如果密密钥不同同，PSSK 接接入认证证失败。802.1X 认证802.1X 协议是是一种基基于端口口的网络络接入控控制协议议（poort bassed nettworrk aacceess conntrool pprottocool）。这种认认证方式式在WLLAN 接入设设备的端端口这一一级对所所接入的的用户设设备进行行认证和和控制。连接在在端口上上的用户户设备如如果能通通过认证证，就可可以访问问WLAAN 中中的资源源；如果果不能通通过认证

36、证，则无无法访问问WLAAN 中中的资源源。Web认认证Web Porrtall认证又又称为强强制WEEB认证证或WEEB+DDHCPP，其对对具有对对新业务务支撑能能力强大大、无需需安装客客户软件件、与组组网设备备无关等等特点。受到越越来越多多用户的的欢迎。Porrtall认证业业务可以以为管理理者提供供方便的的管理功功能，如如要求所所有的用用户都到到门户网网站去认认证，门门户网站站可以开开展广告告、信息息服务、个性化化的业务务等，为为信息传传播提供供一个良良好的载载体。密钥协商商协议WPA方方式WPA(Wi-Fi Prootecctedd Acccesss) 是Wii-Fii联盟为为了适应

37、应市场需需求定制制的无线线安全方方案，保保证了与与未来出出现的IIEEEE8022.111i协议议向前兼兼容。WWPA密密钥协商商协议也也被称为为WPAA1，一一般与TTKIPP数据保保密算法法一起使使用。RSN方方式RSN(Robbustt Seecurre NNetwworkk，鲁棒棒性安全全网络)，在IIEEEE8022.111i草案案协议里里具体定定义，在在20007年发发布的IIEEEE8022.111协议里里正式启启用。RRSN密密钥协商商协议也也被称为为WPAA2，一一般与CCCMPP数据保保密算法法一起使使用。WEB无无感知认认证场景分析析在传统的的webb认证方方案中，用户普

38、普遍反应应webb易用性性差，每每次都需需要连接接SSIID，打打开浏览览器，输输入用户户名和密密码，操操作步骤骤多，而而且掉线线了还不不能够自自动登录录，依然然需要手手动输入入用户名名和密码码进行在在此认证证。为了使所所有的wweb认认证用户户永远在在线，无无感知的的接入网网络，在在用户首首次weeb认证证之后，就可以以无感知知接入网网络的体体验，不不需要再再次进行行webb认证的的配置。实际操作作实例所有客户户端操作作步骤都都如下，此处以以winn7为例例。关联上hhexiinbiiao-tesst的SSSIDD。打开IEE浏览器器，随意意访问 HYPERLINK m，ACC wwww.b

39、baiddu.ccom，AC将将强推弹弹出weeb认证证界面，输入用用户名密密码，点点击登录录。Web认认证成功功。首次weeb认证证后自动动注册MMAC地地址查看在线线用户，如下图图。查看注册册的移动动终端，如下图图。（用用户组开开启注册册移动终终端之后后，所属属该用户户组的用用户weeb认证证之后，自动注注册移动动终端，如果用用户注册册的移动动终端超超过管理理员允许许的上线线，则系系统自动动删除最最早注册册的移动动终端）。注册册移动终终端是为为了后续续的maac bby ppasss认证能能够通过过，不在在弹出wweb认认证界面面。客户端MMacBByPaass无无感知认认证当用户第第一次

40、wweb认认证后，用户下下线。第第二次系系统检测测到移动动终端进进入到hhexiinbiiao-tesst的wwifii信号区区时，将将自动连连接到该该SSIID，AAC通过过MACC地址认认证直接接发送报报文到SSMP统统一认证证平台，SMPP由于记记录了该该用户首首次weeb认证证的maac地址址，发送送ACCCETPP报文给给AC，AC记记录用户户认证成成功，不不在推送送webb界面给给用户。用户无无需任何何操作，即可上上网。微信认证证患者及其其家属到到医院打打点滴、住院等等，通常常时间都都比较长长，医院院可以为为客户提提供只有有关注医医院的微微信即可可免费享享受WLLAN上上网服务务，

41、可以以使等待待的时间间更容易易打发，避免感感到不耐耐烦或因因排队太太久而焦焦急。从从而也可可让患者者及其家家属通过过微信了了解医院院相关信信息、医医疗常识识等，提提供病患患及其家家属对医医院的认认知、亲亲密度以以及满意意度。微微信认证证具体流流程如下下：重定向到到微信引引导界面面用户使用用终端浏览览器进行行网络访访问时，会发起起网页访访问请求求；如果该网网页资源源不是NNAS(认证节节点，该该方案是是的是AAC控制制器)放放行的资资源，那么NNAS对对用户请请求进行行拦截，并进行行重定向向到SMMP(认认证平台台)提供供的WEEB微信信认证引导导界面；用户浏览览器根据据重定向向地址，访问SSM

42、P的的微信认证证引导界界面。微信APPP认证证流程打开公众众号关注注微信：可通过过扫描引引导界面面的二维维码图片片，图片片可通过过保存到到手机相相册再进进行扫描描，或者者直接输输入公众众号查找找关注。点击一键键上网的的菜单链链接发送送HTTTP请求求，ACC和SMMP配合合校验上上网链接接URLL的合法法性，并并在SMMP生成成微信账账号。SMP将将认证结结果填入入页面，和门户户网站一一起推送送给客户户。如果果配置了了上线公公告地址址，则会会弹出右右边的门门户主页页页面。 退出认证证流程用户主动动下线用户发起起下线请请求到SSMP（内置PPorttal），只有有存在在在线界面面有下线线按钮的的

43、情况下下才可主主动发起起下线；管理员员强制下下线和用用户主动动下线流流程基本本一致，管理员员强制下下线是由由管理员员发起的的下线请请求。流量保活活下线AC上开开启流量量保活功功能，进进行检测测用户是是否下线线；允许许接入时时间是否否已到；流量检测测不符合合设置时时，ACC向SMMP发送送下线请请求报文文；SMP发发送下线线应答报报文；AC发送送记账结结束报文文；SMP响响应记账账结束。查看微信信用户上上网记录录再次进行行微信认认证通过weeb+MMAC地地址无感感知认证证的方式式SMP开开启允许许注册MMAC地地址，AAC支持持MACC地址无无感知，并开启启该功能能。当微微信用户户认证通通过P

44、oortaal认证证之后，SMPP学习到到用户终终端的MMAC地地址。AC的微微信poortaal的WWLANNSECC下配置置MABB MAAC地址址认证。当终端端再次关关联SSSID之之后，AAC先发发起MAAC地址址认证，SMPP直接放放行，免免去再次次打开微微信进行行认证。通过公众众号的菜菜单点击击触发连连接到认认证的UURL。运维管理理平台设设计【可可选】随着信息息化建设设的推进进，为了了让凝聚聚了巨大大人力物物力投入入的信息息基础设设施发挥挥出其效效益，保保障整个个信息系系统的平平稳可靠靠运行，需要有有一个可可从整体体上对包包括IPP网络，存储，安全等等组件在在内的IIT基础础设施

45、环环境进行行综合管管理的平平台，并并能够提提供业务务系统运运行异常常的实时时告警和和进行图图形化问问题定位位，性能能趋势分分析和预预警，能能够基于于关键业业务系统统的角度度，以业业务重要要性为导导向进行行事件处处理和通通知。由于信息息系统是是一个包包括了众众多软件件，硬件件技术，涉及多多厂家产产品，从从网络，安全，存储，计算到到中间件件和应用用的复杂杂异构环环境，而而且随着着信息建建设的深深入和持持续优化化和发展展，这个个复杂庞庞大的基基础设施施，还会会随之不不断进行行演进，在产品品，技术术和网络络结构，业务关关系上不不断发生生变化，因此，要求针针对该环环境进行行管理的的系统具具有良好好的可扩

46、扩展性，能够将将下层网网络和的的复杂度度有效的的通过抽抽象屏蔽蔽起来，向上层层应用和和运维流流程开放放稳定的的接口。基于锐捷捷网络RRIILL平台的的“关键业业务系统统运行监监控中心心”实施对对网络和和业务应应用系统统的集中中智能管管理，可可以让有有限的IIT运维维人员精精力和IIT预算算投入到到最关键键的资源源的维护护和保障障中，降降低复杂杂IT环环境的管管理难度度，更轻轻松地把把握支撑撑关键业业务的网网络和系系统的运运行状态态，并不不断提升升关键业业务系统统的运行行服务质质量水平平，提升升用户满满意度。利用基于于统一信信息模型型的融合合抽象建建模技术术和自动动发现技技术，实实现对全全IP网

47、网络中各各种基于于IP技技术的基基础设施施的自动动发现和和资源化化，基于于统一信信息模型型，生成成一个可可管理，可重用用的实时时对象库库，并通通过实时时事件和和同步技技术，保保持与实实际管理理对象的的一致性性。由于于可以在在统一的的信息模模型定义义下，针针对多厂厂商，多多技术的的基础设设施进行行抽象，从而为为解决异异构基础础设施的的融合难难题奠定定了关键键的基础础，解决决了对IIP基础础环境的的总体把把握和全全局理解解的问题题。在此基础础之上，进一步步的通过过关键业业务性能能评估模模型，以以业务系系统的重重要性为为导向，对业务务系统所所依赖的的各种下下层资源源进行具具有服务务优先级级差别的的监

48、控和和管理，让管理理人员可可以实时时的，针针对影响响关键业业务和关关键用户户的异常常事件进进行优先先处理，并在问问题发生生的时候候快速判判断其影影响范围围和程度度，通过过图形化化手段快快速制定定最佳控控制和问问题解除除方案。通过面面向关键键业务的的基础设设施管理理，让IIT投入入的效益益的到最最大化的的体现，并能够够在网络络和信息息团队运运维资源源有限的的条件下下，让用用户按照照其重要要性体验验到服务务品质的的提升。该平台是是通过多多年网络络IP基础础设施研研发经验验，面向向网络融融合与虚虚拟化趋趋势打造造的可分分布式部部署，兼兼容大规规模复杂杂异构IIP网络络和ITT计算环环境的可可扩展管管

49、理平台台。它基基于标准准开放的的信息建建模技术术，实时时分布式式计算平平台和SSOA架架构实现现，能够够通过灵灵活丰富富的管理理协议对对接各种种主流IIP基础础设施，包括多多厂家IIP网络络设备，IP存储储设备，中间件件，服务务器，数数据库和和关键应应用系统统，并提提供强大大的事件件管理，拓扑关关联分析析和性能能监控组组件。在目前广广大用户户基于IIP的网网络计算算环境日日益复杂杂和庞大大，业务务系统依依赖的资资源越来来越难以以掌控的的背景下下，能够够为ITT组织提提供一个个随着IIT环境境变化不不断扩展展，但同同时又能能向上提提供稳定定的管理理接口和和管理服服务的抽抽象层中中间件，屏蔽硬硬件

50、的异异构性，降低管管理复杂杂度，从从而帮助助用户构构建可持持续发展展，高回回报的IIP计算算环境，大大降降低ITT服务管管理的复复杂度，以可视视化，对对象化的的方式实实现ITT环境透透明化。基于业界界主流标标准的融融合管理理信息模模型基于统一一信息模模型泛化化技术实实现网络络资源抽抽象和资资源化参考RFFC31198，DTMMF CCIM和和TMFF SIID的统统一信息息模型建建模标准准，面向向最新的的系统和和NGNN融合管管理需求求系统架构构融合开放放的RIIIL管管理平台台：应用了动动态自适适应技术术的性能能评估模模型，通通过可定定义性能能门限与与自适应应算法相相结合，进行性性能趋势势分

51、析和和状态评评估基于统一一信息模模型和性性能评估估模型生生成集中中IP基基础设施施资源库库能够对多多厂商的的设备、中间件件、服务务器、数数据库系系统进行行统一发发现和管管理面向ITTIL流流程自动动化集成成环境需需求基于RIIIL平平台的关关键业务务运行管管理系统统（BMMC）体体系架构构：系统功能能从关键业业务系统统重要性性角度来来管理下下层ITT资源以用户群群重要性性自动关关联评估估业务重重要性根据业务务相关性性为ITT资源自自动生成成业务标标签自动评估估实时事事件的业业务影响响度以关键业业务为单单位管理理基础IIP资源源，图形形化关联联业务系系统及其其相关的的资源池池以多层逻逻辑视图图对

52、业务务系统进进行透视视管理多维度立立体透视视关键业业务系统统及其资资源关系系将资源对对象按照照网络层层，计算算层，应应用层进进行分层层管理根据业务务资源对对象之间间的逻辑辑依赖关关系，生生成资源源层间依依赖视图图根据拓扑扑关联和和业务逻逻辑关联联关系，进行图图形化的的事件传传播显示示交互性和和可视性性极强的的管理界界面非常适合合匹配高高清大屏屏幕来构构建医院院IT基基础平台台运行监监控中心心Toucch-FFloww风格的的管理界界面支持自定定义Daashbboarrd和关关键业务务监控视视图可实现业业务系统统的四维维立体透透视，一一目了然然其运行行状态、底层资资源的关关联关系系和组成成关系以

53、业务卡卡片方式式集中监监控多个个业务系系统及其其资源的的运行智能灵活活的告警警管理能能力可支持识识别，处处理，关关联多厂厂商的上上千种告告警事件件，并通通过多种种手段通通知给用用户内置上千千种事件件，并可可扩展支支持更多多的网络络和系统统事件与与告警具备事件件匹配和和抖动处处理，过过滤等关关联机制制，提高高事件识识别效率率可图形化化的定义义事件处处理和分分发策略略支持短信信，邮件件，声光光等告警警通知手手段多厂商复复杂IPP网络、系统和和应用组组件自动动发现能能力可自动发发现和监监控多厂厂商网络络设备，服务器器，存储储，安全全设备，UPSS，计算算机，中中间件等等IP基基础设施施，具备备强大的

54、的多协议议物理和和逻辑拓拓扑发现现和呈现现能力基于标准准的FDDB，LLLDPP，以及及厂商私私有的如如CDPP等协议议的强大大二层发发现技术术基于三层层路由协协议的广广域网发发现和拓拓扑呈现现能力基于数据据库，WWeb Serrvicce接口口的应用用层中间间件自动动发现能能力多线程并并发发现现机制，成倍优优化传统统拓扑发发现效率率，适合合大型网网络的拓拓扑发现现支持通过过标准管管理协议议对可管管理型机机房基础础设施的的监控融合事件件、流量量、性能能和安全全信息的的多维拓拓扑呈现现能力支持分层层显示物物理和拓拓扑视图图，并可可支持多多种自动动布局算算法支持业务务系统视视图的呈呈现可提供平平面

55、或者者网段分分层拓扑扑显示模模式通过过与事件件管理器器的无缝缝连接，实现设设备状态态在事件件管理器器中的实实时通知知与处理理在拓扑图图中集成成图形化化流量和和性能指指标查看看视图提供安全全域管理理视图，直接与与安全边边界和等等级保护护体系相相结合智能性能能指标监监测和趋趋势告警警可自动进进行后台台性能指指标不间间断监测测，并根根据性能能模型实实时提示示性能变变化趋势势内置性能能采集引引擎，能能够灵活活的通过过复杂公公式定义义采集指指标可自动后后台运行行多个并并发采集集进程，并生成成历史性性能数据据库可通过自自适应算算法自动动计算业业务系统统性能基基线可进行图图形化的的性能数数据查询询和趋势势分

56、析可根据自自定义性性能门限限生成告告警并通通知相关关管理人人员灵活强大大的可定定制报表表功能内置强大大的报表表引擎，可根据据后台任任务自动动生成运运维统计计报表并并进行自自动分发发可图形化化选择数数据，订订购丰富富的业务务和资源源运行统统计报表表后台按照照报表定定义，按按照模板板自动生生成报表表并进行行报表分分发，自自动发送送给感兴兴趣的管管理人员员应用先进进的Weeb2.0动态态前端技技术构建建Web22.0动动态页面面技术，比传统统的C/S或者者B/SS架构具具备更好好的可视视化呈现现和交互互能力可穿越防防火墙进进行访问问，具备备更好的的远程管管理能力力可与SOOA架构构无缝融融合对浏览器

57、器具有更更好的适适应性可方便的的支持管管理客户户端安全全连接高度可扩扩展的软软件体系系结构能够面向向上层应应用，提提供符合合SOAA架构的的开放管管理接口口基于Weeb SServvicee架构的的模块化化设计，可扩展展性强，能够与与第三方方应用快快速集成成支持多管管理员并并发管理理，并能能够对不不同管理理员灵活活定义不不同的管管理权限限和视图图范围能够分布布式部署署，具备备良好的的性能伸伸缩性，适合大大规模网网络和信信息系统统管理需需求能够通过过基于中中间件的的分布式式部署，具备良良好的性性能伸缩缩性，适适合大规规模网络络和信息息系统管管理需求求基于各种种标准的的通信协协议和管管理协议议，应

58、用用规范和和管理接接口实现现具备良好好的跨平平台兼容容性，可可以选择择不同版版本支持持在Liinuxx, SSolaariss或Wiindoows操操作系统统上进行行部署可视化的的业务和和资源建建模能力力提供可视视化业务务建模工工具，适适应业务务环境的的变化所见即所所得的业业务系统统和关系系建模可配置性性能模型型和信息息模型提供自动动业务拓拓扑生成成功能，可根据据选择的的资源自自动生成成业务拓拓扑关系系可基于身身份管理理系统接接口导入入用户信信息，并并针对用用户群进进行业务务建模，将用户户关联到到业务系系统方案特点点和优势势面向移动动医护业业务的用用户场景景的产品品特性标准化配配件简化化无线网

59、网络设计计在移动医医护场景景下实现现无线覆覆盖采用用的最多多就是室室内分布布式部署署的方式式。室分分型大功功率APP通过功功率放大大器、功功分器、耦合器器将无线线信号经经过多级级处理后后发射出出去，获获得较好好的无线线覆盖效效果，但但室内分分布型系系统一般般需专业业人员做做设计与与部署。整个系系统涉及及室分专专用元器器件众多多，为非非标准化化配件，且天馈馈为刚性性馈线，不宜弯弯折，增增加了施施工和方方案设计计的难度度，而且且这些元元器件基基本不能能保证是是由同一一家厂商商生产，管理维维护工作作量大。锐捷网络络独创的的智分单单元内置置了干线线放大单单元和功功率分配配单元，将上下下行信号号放大和和功率平平均分成成4路的的同时带带来更简简化的部部署。创创新的扩扩分单元元彻底解解决了传传统室分分解决方方案因元元器件复复杂、施工难难度大的的问题。室分解解决方案案需要维维护功分分器、干干线放大大器等至至少300多个元元器件，而扩分分单元完完全替代代这些配配件，使使得锐捷捷