定州人民医院无线网络建设方案v1

定州人民医院无线网络整体解决方案

目录一.

医疗行业对无线整体需求 3二.

无线网络整体设计方案 4三.飞塔SAA基础架构WiFi解决方案优势介绍 83.1.飞塔公司及SAA架构简介 83.2飞塔SAA解决方案介绍及优势介绍-高性能无线平台 103.2.1医疗行业对无线平台的刚性需求: 103.2.2与传统无线产品相比飞塔无线解决方案优势: 113.3.飞塔SAA解决方案介绍及优势介绍-全维度安全保障 17四.

技术实施方案 204.1.

拓扑结构 204.2.

AP设备选型和配置 214.3.

接入层AP部署 224.4.

用户接入策略 22五.

设备清单及产品介绍 245.1.设备清单列表 245.2硬件产品介绍： 245.2.1.Fortinet-WLC高性能无线控制器： 245.2.2.AP332系列无线接入点： 305.2.3.FortiSwitch系列安全交换机： 36六．点位分布及点位分布图 386.1.各区域/楼宇点位整体统计 386.2.各区域/楼宇点位分项统计及相关楼层点位图 396.3.FortiSwitch分布信息表: 57一.

医疗行业对无线整体需求随着信息技术的快速发展，医院信息系统在我国已得到了较快发展，国内多数医院已建立起以管理为主的HIS系统，建立了以管理为主的HIS系统，当前的发展重点则是建设以病人为中心的临床信息系统CIS（ClinicalInformationSystem）。临床信息化系统包括医生工作站系统、护理信息系统、检验信息系统（LIS）、放射信息系统（RIS）、手术麻醉信息系统、重症监护信息系统、医学图像管理系统（PACS）等子系统，而这些系统将以病人电子病历EMR（ElectronicMedicalRecord，EMR）为核心整合在一起。随着医疗改革的推进，医院正朝着以终末质量管理向环节质量管理转变，从而提高医疗服务质量，缓和医患关系，提高医院的服务效率。与以病人为中心的服务理念相适应，医院信息化也从传统的内部管理为主的HIS系统，向以病人为核心的临床信息化系统转变。伴随着临床信息化，医院正逐步地实现无纸化、无胶片化和无线化。随着无线局域网技术的不断成熟和普及，无线局域网在全球范围内医疗行业中的应用已经成为了一种趋势。作为医院有线局域网的补充，无线局域网（WLAN）有效地克服了有线网络的弊端，利用PDA、平板无线电脑和移动手推车随时随地进行生命体征数据采集、医护数据的查询与录入、医生查房、床边护理、呼叫通信、护理监控、药物配送、病人标识码识别，以及基于WLAN的语音多媒体应用等等，充分发挥医疗信息系统的效能，突出数字化医院的技术优势。

二.

无线网络整体设计方案2.1.1.

医院中WLAN的设计要求为客户提供好的系统解决方案，首先要准确地了解该系统应用的具体业务模式，以及实现该业务模式所需要的技术。通过医疗信息化建设中对无线网络平台应用模式的综合分析，我们总结出医疗信息化系统对无线网络平台具体要求：

（a）数据保密性要求高，病人数据不能被盗取

（b）无线网络系统整体安全性要求高，包括物理设备，因为医院内人员流动性很大

（c）PACS对网络带宽稳定性要求很高，VoWLAN对网络时延要求高

（d）系统可靠性要求高，医院的有线网和供电系统都有双备份机制，当然要求无线网络也能具有着这样的保险机制。

（e）系统可维护性要求高，无线网络的维护不能成为医院信息科的负担

（f）每个病区的并发用户数较低，主要提供给医生和护士使用。如无线网络也提供给病人和访客使用，则必须与医院内网做有效隔离，同时要求能够对访客网的带宽占用做有效的限制。2.1.2.

医院中WLAN的用途.

用于病区移动查房在传统有线网络情况下，医生查房有两种选择：一是手持打印的纸质病历，供查房时查阅；二是医生在办公室工作站上事先调阅病历，并记忆分管病人的主要病史、生命体征数据，待查房时，凭记忆呈现病人情况。第一种方式，由于要经常打印病历，增加了工作量。第二种查房，极容易造成记忆不全甚至错误情况发生。在病区组建WLAN后，医生不再受网线的困扰，可以方便、自由地携带电脑在病区内移动，利用无线网络登陆医生工作站，随时调阅病历，迅速地获取患者的住院信息、病史、检验、检查结果和其他生命体征信息，尽可能有效地与患者交流，从而获得高效率、高质量的床边探视和护理。医生还可以根据查房情况，及时将信息录入计算机，并根据病情变化当即开出检验、检查、治疗和其它医嘱，避免了查房后再次转抄医嘱或凭记忆补开医嘱、记录病程，造成重复工作甚至错误情况发生。结合临床用药知识库、药物配伍禁忌报警系统，医生在住院病人床边诊断就能最大限度地避免错误的发生，及时修正医嘱并采用合理的药物和治疗。.

用于床边护理在西欧和美国，已有少数医院取消了病区护士站，护理数据用无线电脑直接在患者床边采集和录入，这不仅提高了护理效率和质量，还增加了医护人员与患者的亲和力，使患者得到更多的护理。将PDA、条码腕带等技术手段应用于临床护理，给医院管理带来的成效将体现在多个方面：一是帮助护士正确执行医嘱；二是全程追踪医疗服务过程；三是为医护人员的绩效考核提供客观的依据，帮助医院真正做到奖勤罚懒。其根本目的是降低出错率，提高医疗服务质量，体现以病人为中心这一核心原则。.

无线网络用于呼叫通信组建WLAN后，医院可以利用IP语音（VoIP）系统代替传统的通信系统（如寻呼台），实现在网络中传输语音和视频数据，提供双向的语音视频通信。医护人员可以通过手持设备接收患者的呼叫，直接与患者通话，并能从系统中的任何位置立即了解患者的需求，许多危重病人因此可以得到及时抢救和特殊护理，同时医生也可以通过WLAN语音系统了解一些传染性隔离患者(如SARS)的情况，有效地保护医护人员的健康安全。目前在这方面最广泛的应用为WLAN手机——基于WLAN的手机，可以在无线局域网覆盖范围内实现清晰畅通的无线通讯，无须支付任何话费，此类手机只需在交换机上进行简单的参数设置后就能方便的使用。在网络中使用无线手机能够呼叫普通电话和手机，用户通话时在WLAN覆盖区域内自由移动，通话质量不受影响。.

无线网络用于护理监控目前，国内较先进的住院病房安装有有线视频监控系统，组建WLAN后，只需增配无线摄像头，进行简单的网络参数配置即可，摆脱了重新布线的烦琐。这种技术可以用于对病房、药房和其他重要场所的监控。无线摄像头的管理软件可以同时监控多个现场。在监控中心可以对现场进行录像记录。无线摄像头在应用时结合医院的无线通讯系统，能够进一步提供医护人员的工作效率。工作人员在收到病人的寻呼信号后，通过网络即可在计算机终端直接监控到病人的状况，并采取相应的医疗措施，这对于危重病人的监护有着重要作用。.

无线网络用于药库管理WLAN结合无线射频识别技术（RFID）进行药库药品管理。药品进库时通过RFID标签扫描，记录下进库药品的名称、制造商、功效等详细属性，并利用RFID进行药品存放的定位。这些数据都通过WLAN上传到医院的药品管理信息系统，方便医院对药品进行统一调配、管理。药品管理人员也无需人工输入大量数据以及花时间到处寻找药品，只需手持无线电脑或PDA等设备，进行药品的清点核对。在美国，许多医院在采用了药物条码无线识别设备后，WLAN环境下的药品配送和药库管理就显得更加简单、方便、准确和高效。.

无线网络用于临床教育科研无线网络极大地方便了临床教育科研。教师和科研人员可以在病人床边一边讲解一边通过无线移动终端实时调用病人的基本情况，包括：病史信息、病理信息、化验检验信息、放射信息、影像信息等。.

无线网络用于病人识别与资产管理利用无线条码标识带将病人的重要资料标注其中，并带于病人腕部。在病床旁，护士使用无线识别设备（PDA），扫描患者的条码标识带，关于患者的标识、用药、剂量及方法等的详细信息就会通过WLAN在护士工作站得到确认，如果存在任何差异，报警系统会显示警告，避免可能发生的任何差错。无线网络还用于加强对医院设备的管理。在可移动的医院设备上安装RFID标签后，配合无线读取器，医院就可以通过资产定位管理系统对电脑、医疗设备等贵重物品进行定位和管理。管理人员可以通过电子界面准确了解它们的位置，避免设备遗失以及无法及时定位而造成的损失。三.飞塔SAA基础架构WiFi解决方案优势介绍3.1.飞塔公司及SAA架构简介作为专业的安全设备厂商和安全解决方案提供商飞塔公司在安全领域获得了客户及业界的广泛认可，连续六年荣获Gartner统一威胁管理魔力象限领导者评级。早在5年前飞塔就认识到：正如移动电话取代有线电话一样，无线接入终将取代有线接入成为主流的边缘网接入方式，而实际的发展充分印证了飞塔之前的设想，目前无论是生活还是工作中，人们越来越习惯于使用无线接入这种可移动的、便捷的接入方式。伴随着802.11n、802.11ac协议的陆续推出，无线客户端的连接速率更是达到可空前的千兆级别。海量的应用和数据已经陆续迁移至无线平台。其中自然包括很多隐私、敏感、机密的数据，飞塔认为，无线接入的最基本需求是为用户提供稳定、高速的连接，但这仅仅是第一步，而更重要的是如何全方位的保证无线平台承载数据的安全性。基于这种构想，飞塔近期推出了“安接入架构”(SecureAccessArchitecture)－所谓安接入架构，顾名思义，就是安全的接入，即为用户提供稳定、高性能的接入的同时为无线及有线流量提供全方位的安全保障。很对不同规模、不同行业企业客户对于无线接入及安全方面的不同需求，SAA包括了3中不同的解决方案，分别为基于云架构的WiFi解决方案，基于集成架构的WiFi解决方案，以及基于“基础架构”WiFi解决方案.针对于对无线接入和网络安全存在较高要求的医疗行业，飞塔提供了“基础架构”的SAA解决方案。

为了说明飞塔的“基础架构”SAA解决方案是如何切实的满足医疗行业对无线接入及网络安全的要求，下面我们将分别通过“高性能的无线接入”和“全方位网络安全”两部分来进行阐述。

3.2飞塔SAA解决方案介绍及优势介绍-高性能无线平台3.2.1医疗行业对无线平台的刚性需求:医疗行业对无线平台建设或者无线接入的核心需求如下：1.无线平台必须易于规划、部署和维护，同时支持透明的扩容由于医疗行业的自身的特点，对于像“候诊区域”和“病房区域”这样对无线接入存在刚需的区域基本上是7*24为病患提供服务的，这就对无线网络建设及维护的时间及时长提出了较为苛刻的要求，必须要求无线网络可以简易、快速的部署、易于维护、可以透明扩容。2.屏蔽客户端软硬件差异性、提供“公平的”、“稳定的”的连接性

对于住院区域的移动查房应用为例，需要通过无线接入到医院内网的终端设备可能包括医疗小推车、PDA、平板电脑等。

再以候诊区域为例，病患及其家属需要使用自己的无线终端访问医院对外提供的信息化平台。这是就存在了不同类型、不同品牌、不同性能的设备接入无线网络的需求，而这些设备间可能存在着种类、性能方面的巨大差异，无线网络应该能够尽量屏蔽客户端在硬件、软件及性能方面的差异性，提供“公平的”“稳定的”无线连接。3.快速、无缝的无线漫游移动查房可以说是医疗信息中最重要的应用之一，医疗客户端的移动漫游效果直接影响到移动查房应用的实用效果，及医疗人员的工作效率。4.真实环境中实现高速接入

在查访过程中，医生可能随时对存放在后台服务器上高清影片进行实时查看，无线接入和传输速度也直接影响到医生的工作效率。5.内网、外网物理层隔离

通过将内网应用和外网应用进行物理介质的隔离可提升内网重点应用的安全性。3.2.2与传统无线产品相比飞塔无线解决方案优势:下面我们根据医疗行业对无线平台的核心需求，逐一对比传统无线解决方案和飞塔的“基础架构”SAA解决方案：1．针对“无线平台需要易于规划、部署和维护，透明的扩容”需求由于所有AP必须要进行“错品部署”，所以传统无线解决方案中网络的规划、部署和维护以及后期扩容方面一般比较繁琐、难度较大，而且周期较长。之所以传统无线解决方案中AP必须要进行错品部署其根本原因是要尽量的避免同频干扰问题对网络整体性能的影响。那到底什么是同频干扰呢？同频干扰又会带来什么样严重的负面影响呢，为了方便大家理解，我们先用典型的有线网设备--集线器（Hub）进行举例说明，众所周知，集线器是基于半双工的总线介质进行传输。当两个100M集线器独立部署时，由于它们各自的冲突域相互独立，所以此时网络整体吞吐量为200M,但如果我们把两个集线器进行连接，此时由于两个集线器的冲突域发生了合并，所以此时网络的整体吞吐只有100M。所以对于半双工介质传输的设备而言，一旦发生冲突域合并，就会造成网络整体性能及承载力能力的严重下降。由于AP是基于空气进行传输，而空气也属于半双工介质，同理，当两个工作在相同信道的AP信号发生交叠时也就产生了冲突域合并的情况，换言之，虽然部署了2颗物理AP,但网络的实际吞吐和承载力与仅部署1颗AP并没有本质差别。我们称这种现象为AP间产生了同频干扰。而同品干扰问题越严重，网络整体的性能就越差。传统无线解决方案为了要减少同频干扰现象对网络性能的负面影响，所以必须采用错频部署的方式，亦即相邻的AP工作在不同信道，而工作在相同信道的AP由工作在不同信道的AP隔开，如图1-1所示。错品部署方式在很大程度上增加了网络规划、部署的难度、增加了后期系统调优的时间。

在真实环境进行部署时，为决定某颗AP的工作信道，除了要考虑同层AP间潜在同频干扰，还需要考虑相邻楼层间AP潜在的同频干扰，需要进行“立体的”的错频部署。而随着建筑环境或房间内陈设的复杂性增加无线设计的难度也变的异常复杂。图1-1飞塔的“基础架构”WiFi解决方案中使用的AP，除了可以向传统无线AP一样进行错频部署外，通过飞塔智能算法和私有技术，使得飞塔AP可以进行同频部署，亦即相邻飞塔AP可以工作在相同信道，而AP彼此间不会产生同频干扰。通过这种方式可以最简化规划、部署和维护过程，而且还可以实现透明的扩容。如下图1-2所示，在同一区域，所有AP工作在同一信道，而不用担心同频干扰带来的负面影响。图1-2当使用飞塔AP进行实际部署时，我们推荐的部署方式为：同层内所有AP部署在相同信道，而相邻楼层的AP部署在不同信道。通过这种方式，在充分降低设计部署难度的同时，最大化无线网络的整体吞吐。对于无线扩容而言，譬如在某区域发现覆盖较弱或要增加无线连接数，可能在某一位置需要添加AP，对于传统无线网络而言，在某位置添加的AP无论工作在任何信道，都可能会和周边的AP发生同频干扰，从而影响到周边AP上已连接用户的使用效果，虽然有些厂商的AP提供动态信道切换功能，但AP信道切换势必会造成已连接用户重连，影响到已连接用户的使用体验。而且信道切换功能影响的范围通常部署及颗AP，而是大面积的AP甚至整个网络中的所有AP。当使用飞塔AP进行扩容时，可直接让该AP部署在与周边AP相同的信道，而不用担心与周边AP产生同频干扰，扩容过程对于已连接用户完全透明。2.针对“屏蔽客户端软硬件差异性、提供‘公平’的‘最佳’连接”的需求传统无线解决方案中，是由客户端自行选择、决定与哪颗“物理”AP进行连接，由于硬件或软件上的差异，经常会出现在同一位置上有些终端可以稳定的连接无线网，而有些终端却出现频繁断网甚至根本连接不上的情况。传统网络对这种客户端自主连接行为没有任何的控制。飞塔的“基础架构”WiFi解决方案中，通过其特有的同频、虚拟蜂窝技术，可以完全屏蔽客户端在硬件性能及软件设置上的差异性，任何终端在飞塔的无线网络中可以体验到“公平的”“最佳的”连接体验。所谓“同频”，即：所有AP工作单一信道，所谓“虚拟化”，即所有AP并不会把自己真实的BSSID通告出去，仅对外通告唯一的、虚拟的BSSID,客户端在整个区域内只能在单一信道里面看到单一得、虚拟化的BSSID,客户端也就不需要自主选择，而具体客户端和那颗AP进行连接是由控制器决定。3.针对“快速、无缝的无线漫游”的需求漫游效果对于移动查房应用至关重要。在传统无线网络中，一般会面临“次优ap粘连”和“切换重认证”等漫游相关问题。“次优ap粘连”指的是，当无线客户端从一颗AP下移动到另一颗AP下时，客户端还保持着与原先AP的连接，而不与新的、更优的AP进行连接。从而引发诸如“次优速率”、“隐藏终端”等问题，直观上看就是“响应慢”、“丢包”。而“切换重认证”指的是，无线客户端与新的AP建立连接时需要与新的AP进行802.11重认证。而重认证过程会引入100ms～3s的延迟，当通过ping测试漫游效果时会出现1～2个丢包，这可能会造成系统访问较明显的延时，甚至造成移动查房系统自动退出。极大的降低了移动查房系统的可用性和查房的工作效率。飞塔的“基础架构”WiFi解决方案，同样通过“同频，虚拟蜂窝技术”，屏蔽各物理AP，将客户端和AP的连接决定权交予控制器，从而解决“次优AP粘连”问题。由于整个区域内客户端只能看到唯一一颗虚拟AP,所以在整个网络中漫游时客户端自然不需要对新设备进行重认证，从而减少100ms～3s的延时。实现“0”丢包的无缝漫游。

4.针对“真实部署环境中实现高速接入”的需求：从802.11a/b/g,到802.11n到802.11ac标准的演变,最直观变化是客户端的连接速率攀升，对于常见的MIMO2*2、2空间流的802.11n设备而言，它可以最高300M的连接速率，但要想真正实现300Mbps的连接速率，一个重要的前提是该无线网络的工作信道必须设定为40MHz频宽，而在2.4GHz频带上根本无法提供2个完全独立的40MHz频宽信道，也就是说这无法满足传统无线产品进行错频部署的基本要求。换言之，传统产品在真实部署场景下是无法为用户提供300Mbps连接速率的。而802.11ac标准下要想实现千兆速率的无线连接，提供80MHz的信道频宽是关键，从目前情况看，5GHz频带上也无法提供3个独立的80MHz频宽的信道，所以在真实部署场景下，即便部署了传统厂商的802.11ac产品，由于80MHz信道资源匮乏，802.11ac产品也只能工作在40MHz的信道，用户无法享受到千兆的接入速率，802.11ac在连接速率的优势无法在真实部署场景下体现。由于飞塔的“基础架构”WiFi产品可以支持“同频部署”方式，对于802.11n网络的部署只需要提供1个40MHz信道，对于802.11ac网络的部署只需要提供一个80MHz信道。飞塔得无线产品既可以进行正常组网，所以在正式的部署场景下，飞塔是唯一一家可以提供802.11n／802.11ac标准定义高连接速率的厂商。5.针对“内网、外网物理层隔离”的需求：出于保障核心应用的目的，在医疗行业中“内外网隔离”是建网的基本参考标准之一，对于有线网而言，内、外网隔离意味着独立硬件设备和独立的传输介质-线缆。对于无线网而言，物力传输介质是空气信道。由于传统无线网络必须要进行错品部署，这也就意味着在特定区域只能基于1/6/11信道建立一张物理网络，而对于内、外网络的隔离只能基于SSID/VLAN来进行隔离，而并非真正的物理隔离。由于飞塔的“基础架构”WiFi产品可以支持“同频部署”方式，也就是说，通过单一信道，飞塔设备就可以构建出一张无线网络。针对“内外网隔离”需求，飞塔的解决方案是，部署两套AP,其中一套用于内网接入，而另一套用于外网接入，通过设定内网SSID工作在1+5信道，为接入内网的终端提供40MHz接入频宽，以实现更快的连接，并要求连接内网SSID时完成强安全级别的认证，如EAP-PEAP货EAP-TLS,以实现更高的安全性。

如果外网应用不属于重点应用，可以适当的减少AP部署密度，外网SSID可工作在信道11，并采用较简单、便捷的认证方式，如portal认证。3.3.飞塔SAA解决方案介绍及优势介绍-全维度安全保障“基础架构”的SAA解决方案提供全方位的网络安全：

作为专业的安全设备及安全解决方案提供商，飞塔在业界得到了极高肯定，连续六年荣获Gartner统一威胁管理魔力象限领导者评级！飞塔核心UTM产品Fortigate,可通过如下功能模块为用户网络提供全方位的安全保护：防火墙VPN应用控制IPSWeb过滤反恶意软件WAN加速敏感信息防泄漏WiFi控制器高级威胁防御SaaS网关除了功能以外，Fortinet自研的硬件ASIC，可以实现相对于传统安全设备10X的数据中心防火墙性能，5X的NGFW性能，使安全能够跟上带宽发展需求。通过分布在全球安全研发团队结合完整的自有安全技术实现对突发安全事件的快速、整体的安全响应。第三方独立机构验证结果证明了我们拥有极高的安全效能，足以帮您应对如今的高级威胁Fortiswitch除了提供丰富的L2/L3功能并为无线AP提供PoE供电外，用户还可以将Fortiswitch与Fortigate进行集成，可以在Fortigate界面上对Fortiswtich进行统一管理，并且可以Fortiswitch的物力接口做为Fortigate的扩展接口，可以灵活、方便的Fortigate上设定的高级访问策略及其他安全策略应用到任意Fortiswitch接口。总结：综上所述，飞塔“基础架构”WiFi解决方案，可以实现无线网络的快速规划部署，简单的维护，透明的扩容，可以很好的屏蔽客户端软硬件差异并提供完美的漫游效果，实现真正的高带宽接入，并提供真正的无线内外网物理隔离。通过部署飞塔的FortiGate可以为网络提供全方位的安全保护，通过将Fortiswith与Fortigate集成，可以将安全访问策略灵活、简便的应用在接入层。高性能的无线平台和全方位的安全保护可以切实的护航医疗行业信息化。

四.

技术实施方案4.1.

拓扑结构如下图所示，在整个无线网络系统当中，在医院的数据中心部署2台高性能的FORTI-WLC500D控制器，两台控制器之间形成1＋1冗余，其中一台控制器作为Master控制器负责整个无线网络的配置、管理等工作，而另一台控制器作为Slave控制器，对Master控制器进行监控，一旦Master控制器本身或其网络链接产生故障，作为Slave的备份控制器会接管Master控制器所有的工作，保障无线业务的无间断运行。每台无线控制器提供4个1000Mb/s以太网电口，4个以太网电可逻辑捆绑为提供更大吞吐的逻辑接口，两台控制器分别通过4个接口冗余上行连接到医院现有有线网络，进行有线与无线二网合一；分布室内、室外各个位置的AP通过专有线路与无线交换机相连。室内、室外合计部署408个AP，具体见无线部署示意图。在这样的网络实现当中，AP上用户的流量都将通过AP与无线交换机建立起的隧道，流向无线交换机，在经过相应的策略匹配之后，用户会被要求认证，或者流量会被转发/丢弃。4.2.

AP设备选型和配置由于此次无线覆盖范围为全院覆盖，包括室内，室外众多区域。要求所有区域可以提供平稳的信号覆盖，信号强度不低于－70dBm，同时还要支持较好的接入密度、客户端兼容性，而最重要的是要实现极好的“无线漫游”效果，所以针对与本项目的需求，选取飞塔高性能的AP332系列无线访问点，AP332系列是飞塔推出的超高性的、支持802.11a/b/g/n的双频、双模的无线访问点，支持MIMO,3*3:3,单模块可谓用户提供450Mbps的吞吐量，单颗AP332可以为用户提供900Mbps的吞吐。由于AP332支持可“同频部署”特性，这除了可以实现0丢包的、完美的漫游效果外。这就意味着更大的部署灵活性，真实部署场景种，可以分别配置它的两个模块工作在5GHz的不同信道。并分别承载不同应用的流量，这种方法同样可以用于实现医疗内、外网“物理层”隔离。对于室内区域的部署我们选取AP332系列种的室内型、内置天线无线访问点-AP332i.对于室外区域覆盖，我们选取AP332系列种的室外型无线访问点-AP332v2并配置高增益定向天线。保证在较恶劣的室外环境下提供更大范围、稳定的无线覆盖。4.3.

接入层AP部署本方案能够方便的实现跨三层部署，AP直接连接至具有PoE供电功能的接入层交换机，通过将部署在不同区域、不同用途的AP划分至不同的VLAN,使它们获得属于自己的IP网络设置，及option－43信息。各AP自动基于IP协议三层注册到网络中已经部署的FORTI-WLC500D控制器上。这样的架构大大简化了传统无线网络部署当中的复杂程度，减轻了AP设置与用户设备以及AP所连接的有线网络配置相杂揉的状况。对于部分AP不具备直接通过PoE交换机的情况，考虑通过外接电源或PoE模块实现对AP的供电。4.4.

用户接入策略从用户分类与分布情况分析，用户主要分成以下几类：（1）内部员工(医生/护士)；

（2）Guest用户（病患及其家属）；使用网络是被分为不同的业务类型，因此，在设计上采用无线局域网多SSID技术，设置多业务区分方式。在一个无线局域网内可以设置多个SSID，例如一个SSID可给内部员工所用，而另一个可给外来的客户专用。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用二个SSID，一个定义为OPEN/StaticWEP供客户用，另一个SSID则为TKIP(WPA)专为内部员工使用。另外，可以增设一个802.11iSSID让员工以过度的方式逐渐从转移到这个SSID上。不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i。SSID可以覆盖全网，也可以只局限于xx大楼内的某些范围。一般的情况下是全网开通，例如客人(Guest)使用的SSID；但有些SSID则可能只供某些部门使用，所以无线覆盖范围通常只会局限在某些范围内。所以针对无线局域网多种用户的不同业务类型应该采取不同的SSID进行管理和控制。大楼内部的员工可以采用专门的SSID，可以采用级别较高的认证和加密手段，对参加会议人员和来访人员可以使用另一个SSID，采用级别相对较低的认证和加密手段，这样就实现了区分的服务。

五.

设备清单及产品介绍5.1.设备清单列表本项目采购的硬件及软件授权清单如下：设备名称设备描述数量备注FORTI-WLC500DFortinet-MC系列高性能无线控制器2实现1+1备份AP332i飞塔高性能室内型、内置天线无线接入访问点，双频、双模，支持802.11a/b/g/n，MIMO3*3:3400AP332EV2飞塔高性能室外型、定向天线无线接入访问点，双频、双模，支持802.11a/b/g/n，MIMO3*3:38APLicense适用于FORTI-WLC500D的无线接入点软件授权408FORTISWITCH108D-POE8口PoE安全智能交换机118端口802.11at/afPoEFORTISWITCH224D-POE24口PoE安全智能交换机812端口802.11at/afPoEFORTISWITCH224D-FPOE24口PoE安全智能交换机1524端口802.11at/afPoE5.2硬件产品介绍：5.2.1.Fortinet-WLC高性能无线控制器：在Fortinet强大的SystemDirector5操作系统平台下FORTI-WLC500D为您带来集中化的配置，管理，多层安全防御，N+1冗余和灵活的可扩展性。与其他厂商的控制器不同，FORTI-WLC500D为所有AP进行实时的协调化管理为您创建一个简单而又统一的无线网络系统最大支持500个AP，轻松满足大企业高用户端密度和多类型用户接入终端的需求。为了满足您将来的扩容，FORTI-WLC500D能够很方便的和现有的无线和有线网络集成。为您的无线网络带来管理的简单性，接入终端的多样性和像交换机一样的稳定性。FORTI-WLC500D为您的企业网开启全无线时代做好准备。随着无线终端密度的提高和终端种类的迅速增加，以及从一般日常应用到关键业务应用的需求日益增长，Fortinet一直致力于帮助客户跨越式的建设迎接WiFi潮流的无线网络。由于长期专注于无线产品的研发和标准的制定，Fortinet是业界唯一一家能够提供虚拟无线网络，全面可管理，高稳定性，以及高灵活性的无线解决方案提供商—带来终极完美的可移动性。FORTI-WLC500D高性能无线控制器技术参数型号FORTI-WLC500D物理参数FORTI-WLC500D，最高支持500个无线接入点，主要用于中等规模的无线网络。尺寸：16.97in(43.1cm)长，16.49in(41.88cm)宽，1.74in(4.45cm)高重量：25lbs6oz(9.51kg)电源功率：275W双电源备份环境：工作温度:0°to40°C(32°Fto104°F)工作湿度:95%at40°C(104°F)存放温度:-40°to85°C(-40°Fto185°F)存放湿度:95%at40°C(104°F)物理接口：4个10/100/1000自适应以太电口4个GESFPPort可扩展2个万兆接口及8个以太网光口串口(RJ-45)2个USB端口电源开关按钮系统状态指示灯HDD状态指示灯LED以太口状态（连接/活动/速率）监控灯安装：1U标准机架保修一年全标准支持Wi-Fi联盟认证的802.11a/b/g/n标准IEEE802.11a/b/g/n,IEEE802.11isupport(AES,WEP,WPA,WPA2),IEEE802.11e,WMMRoHS标准遵守(MC1500)安全标准UL60950-1IEC60950-1EMCFCCPart15/ICES-003ClassAVCCIClassA–JapanEN55022ClassA–EuropeEN55024–EuropeEN60601-1–EuropeEN60601-1-2–EuropeKCC-KoreaQoS和语音协议支持支持SIP和H.323协议动态交互式支持SIP和H323v1协议和编码QoS支持Over-the-air的资源预留QoS策略能自动识别出各种语音视频协议如SIP,H.323,CiscoSCCP,SVP和Vocera等，支持基于应用或用户的静态或动态QoS策略。支持电话授权控制，电话负载均衡以及Wi-FiMultimedia安全支持Captiveportal，802.1x，开放性认证和WPA/WPA2等客户体系认证802.1xEAP验证类型EAP-TransportLayerSecurity(EAP-TLS),TunneledTLS(EAP-TTLS),ProtectedEAP(PEAP)MSCHAPv2,Smartcard/Certificate,LightweightEAP(LEAP),EAP-FASTandEAP-MD5,支持动态的双因素认证，支持基于用户或会话的单播和广播密钥支持Https，radius和可客户化定制的captiveportal加密支持静态和动态40位和128位IEEE802.11WEP密钥支持AES-CCMP加密（WPA2），TKIP（WPA）和MIC安全策略Radius集成，MAC过滤，基于用户或ESSID的访问控制多个ESSID或BSSID可使用共享或独立的安全策略非法AP的侦测和压制Fortinet的AP射频卡能自动检测区域内的其他或非法的802.11a/b/g/n的AP安全防火墙支持10,000个并发连接可用系统配置的安全策略，也可和Radius联合部署基于用户的安全策略移动性零丢包漫游在Fortinet的WLAN中移动时，能够实现无缝漫游虚拟蜂窝负载均衡特点在于，当某个AP发生故障时，虚拟蜂窝能迅速的弥补该AP覆盖的区域，从整体上保证无线网络最优化的性能集中化管理AP零配置，一插即用的部署方式AP能自动选择工作频率和所需要的电源功率AP能自动发现无线控制器，并从中下载配置系统管理中心或远端都可通过基于网页的GUI，SNMP或命令行的方式对设备进行访问。通过串口，SSH，telnet协议或集中管理工具EzRF对AP进行管理。集中化的安全策略管理能够灵活调度安全策略给不同的WLAN和ESSID。智能化射频管理Fortinet的射频管理能够使AP协同工作，负载均衡，动态适应客户端所需要的性能和带宽要求集中化管理AP的信道和输入功率，提高了无线覆盖的效率和总吞吐量Fortinet的同频干扰管理技术能够使所有AP在同一个频点工作，并能控制同频干扰自动发现&配置所有Fortinet的无线接入点有线交换网络特性支持IEEE802.1QVLANtagging,GRE隧道andIEEE802.1D生成树协议类型指标详细信息硬件特点设备形态19英寸标准1RU机架式设备管理AP数量单机管理AP数量≥500★并发用户数单机并发用户数≥5000★以太网接口提供10/100/1000Mbps(RJ45)≥4，GESFPPort≥4，10G端口≥2管理接口提供RJ45控制接口功能扩展接口提供功能扩展接口，如USB接口等★电源配置每台配置冗余电源★电源功耗电源功耗≤275W★(每个电源)电源开关提供物理电源开关按钮★功能特点可靠性支持N+1冗余(N≥5)VLAN支持≥512个VLAN★组播支持IGMP、IGMPSnooping，支持组播速率的优化和组播/单播智能转换SSID控制支持SSID的隐藏非法AP控制能够发现和抑制非法AP和非法客户端★远程抓包可进行远程抓包，并能通过主流第三方的数据包分析工具分析无线数据。用户隔离提供用户二层隔离功能★信道及智能化射频管理支持同频部署和错频部署；

可以使用相同信道部署所有相邻AP，并解决AP同频干扰的问题无线带宽管理对同一区域支持无线带宽x3倍的扩容能力语音协议识别能识别H323，SIP和SCCP等语音协议，并提供优先的QoSQoS策略支持基于应用或用户的静态或动态QoS策略，支持802.11e/WMM无缝漫游无线用户在可以全网无缝漫游，漫游切换时间<5ms弹出页面功能支持Https，radius和可客户化定制的captiveportal，支持本地数据库内置用户而无需外置radiusserver本地模式下CP在本地转发模式下可以进行captiveportal认证认证类型支持802.1x，开放性认证和WPA/WPA2等客户体系认证IPV6支持IPv6透传带宽控制基于IP的带宽控制DHCP功能支持基于SSID的DHCPRelay，即每个SSID可配置独立的DHCPRelayRF防火墙RF信号层防火墙，对不信任的RF信号进行屏蔽，在蜂窝边缘对内部无线信号进行保护安全策略联动可用系统配置的安全策略，也可和Radius联合部署基于用户的安全策略安全策略共享多个ESSID或BSSID可使用共享或独立的安全策略频谱检测1．配合原厂AP或者原厂频谱分析产品提供频谱检测功能

2．提供无线频谱分析功能，能够对2.4GHz/5GHz频段（Wi-Fi或者非Wi-Fi）进行实时扫描和分析，并通过控制器GUI图形化管理界面提供实时的Wi-Fi、蓝牙、无绳电话、微波炉等多种无线信号的干扰分析图表

3．本项目所采购的AP，可在所有射频卡上提供用户数据转发功能的同时，提供频谱分析功能（仅802.11a/b/g/n的Wi-Fi频谱）

4．提供空口质量分析报告设备指纹被采集到的信息可以完全或者部分鉴别个人设备，包括用户的操作系统，设备型号以及使用的浏览器。统一管理同一控制器配置和管理本品牌的任何型号AP

5.2.2.AP332系列无线接入点：AP332iAP332EV2

AP332是双射频模块，双频，3空间流的802.11n无线接入点，专门用于数据、语音、视频应用的企业级网络。AP332的每组射频卡提供450Mbps空口接入速率，整机可以接入256个客户端。

AP332使得您的敏感应用，特别是在高密度要求下的环境，表现依然值得信赖。AP332能够同时支持多个资源密集型应用，最大限度的提高您企业的生产力。即插即用的部署方式可以降低IT部门的负担。AP332还使得您可以非常便捷的部署一套可信赖的802.11n网络，而且AP332对传统802.11a/b/g终端设备具有良好的兼容性。

AP332可以提供无可比拟的Fortinet虚拟无线网络架构。AP332为您选择内置或者外置天线提供灵活性。和其他Fortinet无线接入点一样，她可以无缝兼容所有Fortinet控制器、SystemDirector管理系统、Fortinet其他管理工具，从而为您的无线网络提供智能化管理和流量控制的可能。技术参数

所有支持应用和Over-the-Air的QoS

支持SIP协议

动态交互式支持SIP协议和编码

QoS

支持Over-the-air的资源预留QoS策略，能自动识别出各种语音视频协议如SIP,H.323。

可配置的QoS策略，包括SIP,H.323,Ascom,Avaya,Microsoft,Polycom,Siemens,Shoretel,Vocera,和CiscoSCCP等。

支持基于应用或用户的静态或动态QoS策略。

支持CAC电话授权控制，电话负载均衡。

支持WMM。

支持WMM速率适应，根据实时网络情况优化。安全

认证

支持Captiveportal，802.1x，开放性认证和WPA/WPA2等客户体系认证。

802.1xEAP验证类型。

EAP-TransportLayerSecurity(EAP-TLS),TunneledTLS(EAP-TTLS),ProtectedEAP(PEAP)MSCHAPv2,Smartcard/Certificate,LightweightEAP(LEAP),EAP-FASTandEAP-MD5,支持动态的双因素认证，支持基于用户或会话的单播和广播密钥。

支持HTTPS，RADIUS和可视化定制的CaptivePor