XX医院信息化建设技术建议书

XX医院信息化建设技术建议书2016年10月

目录1. 项目背景 42. 需求分析 43. 建设目标 44. 建设思想 55. XXX医院网络总体建设规划 65.1. 网络规划拓扑图 65.2. 基础敏捷网络建设规划 75.2.1. 网络设计原则 75.2.2. 总体网络架构 85.2.3. 物理组网规划 95.2.4. 网络出口规划 95.2.5. 核心层设计规划 95.2.6. 汇聚层设计规划 105.2.7. 接入层设计规划 105.2.8. 可靠性设计规划 105.2.9. 安全性设计规划 115.3. 远程访问规划 125.4. 有线无线融合规划 145.5. 业务随行规划 145.6. SVF全网虚拟化规划 155.7. 用户接入认证规划 155.7.1. 有线用户接入 155.7.2. 无线用户接入 165.8. 无线网络建设规划 165.8.1. 无线医疗简介 165.8.2. 无线医疗的总体需求 185.8.3. 无线网络安全问题 185.8.4. 无线网络规划实施问题 185.8.5. 无线用户漫游问题 195.8.6. 无线网络管理问题 195.8.7. 无线医疗基础网络设计 195.8.8. WLAN覆盖规划 215.8.9. 容量规划 225.8.10. 覆盖规划 235.8.11. SSID和漫游规划 245.8.12. 漫游规划 255.8.13. 业务带宽规划 265.8.14. 可靠性规划 275.8.15. 安全性规划 315.9. 网络安全防护规划 375.9.1. 网络安全 375.9.2. 威胁管理 385.9.3. 网络安全管理 385.9.4. 网络安全设计原则 385.9.5. 网络边界防护规划 395.10. 网络审计管控规划 405.10.1. 行为管控需求 405.10.2. 网络设计原则 405.10.3. 具体系统设计 415.11. 网络运维管理规划 425.11.1. 安全管理 425.11.2. 拓扑管理 435.11.3. 告警管理 435.11.4. 性能管理 445.11.5. 服务器管理 455.11.6. 存储管理 455.11.7. 网络设备管理 475.11.8. WLAN管理 475.11.9. 应用管理 496. 方案价值 526.1. 使用体验极佳的网络 526.1.1. 极致高速的网络体验 526.1.2. 无线全覆盖，全网零漫游 526.1.3. 业务随行的高体验网络 526.1.4. 安全可靠的体验网络 536.2. 极简维护管理的敏捷网络 536.2.1. 整网超级虚拟化，极致简化日常运维管理工作 536.2.2. 全网安全稳定CSS2架构，实现99.999%的稳定性 53

项目背景XXX医院是一所集医疗、教学、科研为一体的现代化中西医结合的专科医院，由于医院业务快速增长，规划在XX市东部建立分院区，初期规划床位800张；需要依据新建分院建筑分布，楼层功能分布，信息节点分布、应用功能需求等情况建设一套符合XXX医院信息化办公的现代化数据交换网络，满足XXX医院现在及未来5-10年内的业务规划发展需要。需求分析根据XXX医院现有业务要求及物理建筑分布状态。要求新建信息化网络符合以下几点要求：要求网络分层、分区建设，便于以后网络扩容及新增。新建网络涉及到有线与无线覆盖，要求内外网做逻辑隔离，可以灵活调整网络到网络、终端到资源的权限控制。要求采用万兆骨干，千兆到桌面，保证数据交互的高带宽要求。针对外网移动办公接入提供安全的专用接入点，便于移动办公人员接入到内网进行相应工作的开展及信息的获取。建设目标根据XXX医院上述几点建设需求及新建医院具体情况，结合相应医疗信息化网络的建网原则，提出以下建设目标：新建园区包括一栋门诊楼，一栋住院楼。门诊楼合计3层，每层15个诊室，每层60个信息点位。住院部4层，共计800张床位。门诊楼及住院楼根据各楼层信息点分布情况，建设有线网络。网络主体采用核心层-汇聚层-接入层的三层网络组网结构，满足万兆骨干，千兆接入的建设标准。针对服务器区域单独建设数据中心区域，数据中心区域放置汇聚层交换机，采用千兆接入，万兆上行。考虑到无线医疗的应用需求，针对住院楼做重点无线覆盖。要求楼层内移动实现零漫游。门诊楼一楼大厅处（300人）、挂号区（2*150人）做无线覆盖，满足排队挂号及预约看病的无线上网需求。门诊楼其他区域（楼长80m）根据楼层情况在走廊处做无线覆盖。无线覆盖需根据场景选用合适的设备。有线无线网络采用一张物理网络，不仅要满足内部办公需求，还要满足病患及家属的无线上网需求。因此整体网络需要针对内部办公人员，采用基于IP、VLAN等方式进行内网及外网的隔离。针对无线网络需要基于SSID划分用于内部无线医疗的专用Work网络及用于病患上网的Guest网络。且在网路与网络间，网络与内部办公资源及外部网络资源需要有建设一套控制系统。可对资源访问做灵活的权限控制及等级划分。由于互联网的不安全性，需要在网络出口处部署防火墙等安全设备，做网络整体的安全防护。由于公安82号令要求，针对公开性场所的无线网络接入，建设一套上网行为审计设备，对网内人员的上网行为做审计及记录。针对在外出差或办公人员，建设VPN系统，提供专有的安全VPN通道满足移动办公的应用需求。建设思想由于本次XXX医院网络建设涵盖有线和无线覆盖，且有线和无线网络共用基础硬件，不做物理分离，因此建议采用华为敏捷网络有线无线一体化解决方案。通过利用华为敏捷交换机的无线融合特性，即作为有线网络的数据转发核心节点，同时又做为无线网络的核心控制及转发节点，做到有线无线的深度一体化融合，不用再单独建设和部署两套网络，即减轻了运维人员压力，又提高了各层次设备的利用率，保证用户的资金投入。由于无线网络的公开性及审计需求特性，建议对开放性无线网络采用基于短信的认证方式，确保网络接入的实名制原则，在网内出现发送或上传非法内容或言论时，结合上网行为审计设备，基于日志记录进行溯源。考虑到内网安全性，在网路出口区域部署安全防火墙，对进出网数据流做安全检查及过滤，保护内部网络不受来自互联网的安全威胁及恶意攻击。针对无线网络覆盖，结合应用场景采用不同的产品及组网方案，实现全网无缝无死角的无线覆盖，实现网内的任意无缝漫游。针对住院部，由于其房间密集特性，又要求无线漫游的切换时间及无线信号的覆盖强度及稳定性，采用华为敏捷分布式无线覆盖组网方案。通过中心AP+敏分单元的方式，单AP下可最多覆盖48个房间。针对门诊大厅及挂号区的场景，属于高密覆盖场景，小范围内并发要求高，因此采用华为的高密型无线AP进行型号覆盖。针对传统走廊的覆盖场景，则采用放装AP的方式在走廊吊顶处或墙壁处进行无线AP的安装，对走廊及相邻房间进行无线的信号覆盖，且通过统一SSID的方式实现楼层内及楼层间移动时的无缝漫游需求，保证信号连接的持续性及稳定性。对于医院内部网络，针对不同部门，不同职级，资源类型，定义不同的安全及资源组。结合华为敏捷网络的业务随行解决方案，做到业务随行，策略随身。在初期进行策略及权限划分时，一键式全网部署，下发策略。办公人员不论移动到医院内任何一个位置节点，不论是通过有线网络或者无线网络，都拥有一致的网络访问及使用权限，同时还可以基于角色进行接入带宽的分配及管控。为保证网络的健壮性、可升级性及易扩容特性，网络采用模块化的三层网络结构建设，由于核心层的重要性，针对核心层采用双机冗余部署，结合华为CSS2集群方案，实现设备的横向虚拟化。且快达21μs的跨板时延、高达320G的横向虚拟化带宽、N+1的主控备份方式、独立专用的集群网版，保证核心节点的可靠性及快速的数据交换特性。为减轻运维人员的运维压力，建议采用华为敏捷网络的SVF全网虚拟化解决方案，实现从核心+汇聚+接入+AP的全网融合虚拟化。全网设备虚拟化后对外呈现一个逻辑的管理节点，通过一个节点可实现整网设备的配置管理及业务下发。汇聚及接入节点只相当于核心节点的一块普通业务板卡，AP经虚拟化融合后相当于核心节点的一个普通业务端口。为便于无线及有线的可视化运维，在网络发生问题和故障时，运维人员能第一时间收到邮件或者短信提醒，并通过运维管理系统快速的定位鼓掌源头，依据相关修复建议实现网络的快速恢复。特别是无线网络，通过一键式诊断，判断无线登陆失败节点的故障原因，极大的减轻了运维人员的工作压力，提高运维人员的工作效率。XXX医院网络总体建设规划网络规划拓扑图基础敏捷网络建设规划网络设计原则医疗网络通常是一种用户高密度的非运营网络，在有限的空间内聚集了大量的终端和用户。同时对于医疗网络而言，注重的是网络的简单可靠、易部署、易维护。因此在网络中，拓扑结构通常以星型结构为主，较少使用环网结构（环网结构较多的运用在运营商的城域网络和骨干网络中，可以节约光纤资源）。基于星型结构的园区网设计，通常遵循如下原则：层次化将网络划分为核心层、汇聚层、接入层。每层功能清晰，架构稳定，易于扩展和维护。模块化将网络中的每个部门或者每个功能区划分为一个模块，模块内部的调整涉及范围小，易于进行问题定位。冗余性关键设备采用双节点冗余设计；关键链路采用Trunk方式冗余备份或者负载分担；关键设备的电源、主控板等关键部件冗余备份。提高了整个网络的可靠性。安全隔离网络应具备有效的安全控制。按业务、按权限进行分区逻辑隔离，对特别重要的业务采取物理隔离。可管理性和可维护性网络应当具有良好的可管理性。为了便于维护，应尽可能选取集成度高、模块可通用的产品。总体网络架构网络的逻辑架构如下图所示，包括五大部分。终端层包含网内的各种终端设备，例如PC、笔记本电脑、打印机、传真、POTS话机、SIP话机、手机、摄像头等。接入层负责将各种终端接入到网络，通常由以太网交换机组成。对于某些终端，可能还要增加特定的接入设备，例如无线接入的AP设备、POTS话机接入的IAD等。汇聚层汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。汇聚层通常还作为用户三层网关，承担L2/L3边缘设备的角色，提供用户管理、安全管理、QoS（QualityofService）调度等各项跟用户和业务相关的处理。核心层核心层负责整个网络的高速互联，一般不部署具体的业务。核心网络需要实现带宽的高利用率和网络故障的快速收敛。网络出口网络出口是园区网络到外部公网的边界，内部用户通过边缘网络接入到公网，外部用户（包括合作伙伴、分支机构、远程用户等）也通过边缘网络接入到内部网络。数据中心区部署服务器和应用系统的区域。为内部和外部用户提供数据和应用服务。DMZ（DemilitarizedZone）区通常公用服务器部署于该区域，为外部访客（非职工）提供相应的访问业务，其安全性受到严格控制。网络管理区对网络、服务器、应用系统进行管理的区域。包括故障管理、配置管理、性能管理、安全管理等。物理组网规划核心区域建议采用网络出口、核心层、汇聚层和接入层的架构模型，具有如下的优势：层次化设计：核心层、汇聚层、接入层，每层功能清晰，架构稳定，易于扩展和维护。模块化设计：每一个模块一个部门，部门内部调整涉及范围小，定位问题也容易。冗余性设计：双节点冗余性设计，适当的冗余性提高可靠性，过度的冗余不便于运行维护。对称性设计：网络的对称性便于业务部署，拓扑直观，便于设计和分析。网络出口规划网络出口指医院接入广域网和Internet的出口，出口的主要功能是外部的互访，出差职工的访问。Internet网络的安全性低、可靠性低、费用低，WAN安全性高、可靠性高、费用高。为保证WAN/Internet链路的高可靠性，可申请两条链路，实现冗余备份，也可以WAN作为主用链路，Internet作为备份链路。出口网关需要配置防火墙、IPS等，根据不同的安全性要求和投资规模选择安全部件。核心层设计规划核心层部署医院的核心设备，连接所有的汇聚交换机，转发各个楼层的流量。核心层需要采用全连接结构，保持核心层设备的配置尽量简单。核心层设备需要具有高带宽、高转发性能，否则将无法支撑医院内外部的业务流量。核心层采用华为S12708敏捷交换机，使用CSS2（ClusterSwitchSystem）技术，将两台交换机从逻辑上整合成一台交换机。这种技术支持主控1＋N备份，集群系统中只要保证任意一框的一个主控板运行正常，多框业务即可稳定运行。相对于传统业务口集群系统，每个框至少要有一块主控单元运行正常的限制。通过集群+堆叠的无环网络方案保障网络可靠，再通过设备本身99.999%的电信级可靠综合保障校园网应用的稳定运行。S12708敏捷交换机的业务板卡直接融合AC功能,可以对网络中的AP进行管控，实现有线无线深度融合接入、转发、管理。汇聚层设计规划汇聚层是部门的核心，转发部门用户间的“横向”流量。同时提供到核心层的“纵向”流量。对接入层隐藏核心层，作为网络的配线架，将大量用户接入到互联的网络中，扩展核心层设备接入用户的数量。汇聚层需要双归到核心层并支持接入层的双归接入。通常汇聚层承担着L2/L3边缘的角色，需要具有高带宽、高端口密度、高转发性能等特点，用于支撑该汇聚层下各部门之间的流量。接入层设计规划接入层是最靠近用户的网络，为用户提供各种接入方式，是终端接入网络的第一层，一般部署二层设备，归属到汇聚层交换机。接入层除了需要部署丰富的二层特性外，还需要部署安全、可靠性等相关功能。接入层需要具有高端口密度，以支持更多的终端接入网络。接入层交换机使用iStack（IntelligentStack）技术，将多台交换机从逻辑上整合成一台交换机。这样既简化了配置和管理，又提高了网络的可靠性和扩展能力。可靠性设计规划对于双设备、链路冗余的网络，如果接入层进三层，在接入层和核心层之间采用三层路由的方式，通过等价路径再辅助部署BFD（BidirectionalForwardingDetection）快速检测故障，就能够保证链路故障、设备故障的快速切换，同时也能够充分利用冗余链路。更多的组网方式是在汇聚层进三层，这样就需要解决接入层和汇聚层之间二层流量的环路问题。传统的方案是STP＋VRRP的方案。该方案通过阻塞某些链路的转发实现二层破环，虽然该方案采用了标准的协议，支持多个厂家设备的混合组网，但是其缺点也是显而易见的：收敛时间传统的STP（SpanningTreeProtocol）技术收敛速度慢，在故障发生时，故障收敛时间>10秒；虽然采用RSTP进行优化，但收敛时间任是秒级，秒级的业务中断，会导致较差的用户体验。链路利用率低如果同一机架内的服务器属于同一VLAN，则有一个上行链路的带宽无法利用。带宽利用率只有50%；虽然MSTP基于VLAN进行优化，但不能从根本上解决问题。配置维护复杂，网络故障率高每个接入交换机和汇聚交换机都需要运行STP协议，随着接入交换机的增加，交换机需要处理的STP也越来越复杂，会导致可靠性问题。我们推荐采用集群+堆叠的无环网络方案来解决上面的这些缺陷。核心采用两台框式交换机集群。接入层采用盒式交换机，盒式交换机每两台堆叠。接入层交换机和核心/汇聚层交换机间的链路进行链路捆绑。这个方案有四大优势：简化管理和配置首先，集群和堆叠技术将需要管理的设备节点减少一半以上。其次，组网变得简洁不需要配置复杂的协议，如：STP/SmartLink/VRRP等。快速的故障收敛链路故障收敛时间可以控制在<10ms，大大降低了网络链路/节点的故障对业务的影响。带宽利用率高采用链路Trunk的方式，带宽利用率可以达到100%。扩容方便、保护投资随着业务的增加，当用户进行网络升级时，只需要增加新设备，而不需要更改网络配置。平滑扩容，很好的保护了投资。该方案极大提高了可靠性，以单链路故障率为1小时/1千小时为例，增加到两条链路，就可以将故障率降低到3.6秒/1千小时，可靠性从3个9提高到6个9。可靠性的另一个重要方面是设备可靠性，核心区设备一般为框式设备，在可靠性方面的要求包括：支持主控单元的备份支持电源模块的备份支持模块化的风扇设计，支持单风扇失效支持所有模块的热插拔安全性设计规划核心层与网络出口部署防火墙设备，主要解决如下几个安全问题：网内、外网之间的访问控制，实现内、外网的安全隔离。分支与内网的访问控制，实现分支和内网业务的安全隔离。出差职工与服务器区的访问控制，实现出差职工与内网的安全隔离。合作伙伴/访客与服务器的访问控制，实现合作伙伴/访客与内网的安全隔离。远程访问规划远程访问在网络最重要的两个场景，一个是与分支或总部的整体网络互联互通，一个是个体用户因为出差或者其他原因，需要在外网访问内网的资源或者办公系统。VPN设备是一个非常具有性价比的安全解决方案。其易用性，安全性在全球的各个行业环境中都得到了使用。在本方案中，通过利用USG下一代防火墙的VPN特性，建设院区之间与提供外部用户安全远程访问的平台。利用互联网的资源实现灵活VPN组网一般有IPSecVPN和SSLVPN两种方式。IPSecVPNIPSec（IPSecurity）是一组开放协议的总称，特定的通信方之间在IP层通过加密与数据源验证，以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec协议有两种工作模式：隧道模式和传输模式。在隧道模式下，IPSec将整个原始IP数据包放入一个新的IP数据包中，这样每一个IP数据包都有两个IP包头：外部IP包头和内部IP包头。外部IP包头指定将对IP数据包进行IPSec处理的目的地址，内部IP包头指定原始IP数据包最终的目的地址。IP包的源地址和目的地址都被隐藏起来，使IP包能安全地在网上传送。其最大优点在于终端系统不必为了适应IP安全而作任何改动。隧道模式既可以用于两个主机之间的IP通信，又可以用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。在传输模式下，要保护的内容是IP包的载荷，在IP包头之后和传输层数据字段之前插入IPSec包头（AH或ESP或二者同时），原始的IP包头未作任何修改，只对包中的净荷(数据)部分进行加密。由于传输模式的IP包头暴露在外，因而容易遭到攻击。传输模式常用于两个终端节点间的连接，如客户机和服务器之间。IPSec定义了一套用于认证、保护私有性和完整性的标准协议。它支持一系列加密算法如DES、3DES；检查传输数据包的完整性，以确保数据没有被修改。IPSec可用来在多个防火墙和服务器之间提供安全性，确保运行在TCP/IP协议上的VPN之间的互操作性。SSLVPNSSLVPN是以SSL/TLS协议为基础，利用标准浏览器都内置支持SSL/TLS的优势，对其应用功能进行扩展的新型VPN。SSL协议最初是由Netscape公司开发，用于保护web通信安全。到目前为止，SSLv3和TLS1.0（也被成为SSLv3.1）得到了广泛的应用，2006年IETF推出了TLS1.1协议（RFC4346），2006年IETF推出了TLS1.2(RFC5246)并在2011年对其进行了修正（RFC6176）。随着SSL协议的不断完善，包括微软IE在内的愈来愈多的浏览器支持SSL，SSL协议成为应用最广泛的安全协议之一。SSL协议分为两层，上层是握手协议，底层是记录协议。SSL握手协议主要完成客户端与服务器之间的相互认证，协商加密算法与密钥。在握手协议中，认证可以是双向的，协商密钥的过程是可靠的，协商得到的密钥是安全的。SSL记录协议建立在可靠的传输协议之上，主要完成数据的加密和鉴别。通过对称密码算法确保了数据传输的机密性，通过HMAC算法确保数据传输过程的完整性。由此可见，SSL协议从以下方面确保了数据通信的安全：认证－在建立SSL连接之前，客户端和服务器之间需要进行认证，认证采用数字证书，可以是客户端对服务器的认证，也可以是双方进行双向认证。机密性－采用加密算法对需要传输的数据进行加密。完整性－采用数据鉴别算法验证所接收的数据在传输过程中是否被修改。除了web访问、TCP/UDP应用之外，SSLVPN还能够对IP通信进行保护。在保证通信安全性的基础上，SSLVPN实现了更加细致的访问控制能力，大大增强了对内网的安全保护。同时，SSLVPN通信基于标准TCP/IP，因而不受NAT限制，能够穿越防火墙，使用户在任何地方都能够通过SSLVPN网关代理访问内网资源，使得远程安全接入更加灵活简单。另外，使用SSLVPN访问B/S应用时不需要安装任何客户端软件，只要用标准的浏览器就可以实现对内网Web资源的访问，省去了客户端的繁琐的维护和支持工作，不仅极大地解放了IT管理员的时间和精力，更提高了远程接入人员（如出差员工）的工作效率，节省了企业的培训和IT服务费用；同时，也意味着远程用户在进行远程访问时不会再受到地域的限制，不论是在公共网吧或是在商业合作伙伴那里，甚至是随手借一台笔记本，只要有网络，远程访问就没问题。有线无线融合规划传统网络中常见的无线部署方式有独立AC或插卡式AC，不管采用哪种，所有无线流量都要通过AC集中转发，有线和无线网络在转发和控制层面上是分离的。随着802.11ac时代的到来和智能终端设备的普及，网络中存在手持智能手机、Pad、便携等多种设备高速上网，AC设备由于转发能力、端口各方面的限制将逐渐成为流量瓶颈。因而有线和无线网络如果想要获得一致的使用和管理体验，不能仅仅依靠目前常见的AC插卡式整合部署的方式，还需要在此基础之上向深度融合演进。在本部署方案中采用敏捷交换机12700的有线无线融合理念实现有线无线流量深度融合，具体包括：融合转发：敏捷交换机支持随板AC功能，有线无线流量都直接在交换机处理，报文转发行为一致，不存在AC集中后再通过有线转发的情况，消除无线流量瓶颈限制，整机转发能力能达到Tbit，学校不需要单独购买AC设备或者插卡，既解决了节省了投资又减少了故障点。融合管理：借鉴业界AC管理AP的成功经验，让敏捷交换机把接入层交换机也管理起来，有线无线采用一种协议，通过CAPWAP隧道实现一致的管理机制，实现接入交换机即插即用，降低信息中心老师日常工作中的管理复杂度。业务随行规划业务随行是敏捷网络中一种能够满足不管用户身处何地、使用哪个IP地址，都可以保证该用户获得相同的网络访问策略的解决方案。在网络中，为实现用户不同的网络访问需求，可在接入设备上为用户部署不同的网络访问策略。但随着企业网络移动化、BYOD等技术的应用，用户的物理位置以及IP地址变化愈加频繁，这就使得原有基于物理端口、IP地址的网络控制方案很难满足用户网络访问体验一致性的需求（譬如网络访问权限不随用户物理位置变化而变化）。在传统网络中，当用户的物理位置发生变化时，为保证用户的网络访问体验一致，管理员需要在用户的每个接入设备上为其部署相同的网络访问策略，这在用户物理位置变更频繁时会给管理员带来巨大的工作量。而在敏捷网络中，通过业务随行方案，管理员仅需在控制器上统一为用户部署网络访问策略，然后将其下发到所有关联的接入设备即可满足不管用户的物理位置以及IP地址如何变化，都可以使其获得相同的访问策略。业务随行通过在网关设备上统一管理用户的访问策略，并且在网关设备和接入设备执行用户的访问策略，来解决网络中策略强度与复杂度之间矛盾的一种解决方案。控制设备和接入设备之间使用CAPWAP（ControlAndProvisioningofWirelessAccessPoints）通道建立连接。并且，通过CAPWAP通道完成控制设备和接入设备之间的用户关联、消息通信、用户授权策略下发、用户同步等处理。SVF全网虚拟化规划传统网络多采用树状分层结构，分为核心、汇聚、接入三层，其中核心/汇聚层多采用横向集群，接入交换机数量庞大。本部署方案旨在通过SVF超级虚拟交换网，将整个网络虚拟化为一台设备，实现将盒式交换机虚拟为核心敏捷交换机的板卡，将AP虚拟为核心敏捷交换机的无线端口，使得原来“核心/汇聚+接入交换机+AP”的校园网络架构，虚拟化为一台设备，整个网络成为“OneBox”，从而最大程度简化运维人员的日常运维工作，同时降低多协议应用下的网络配置、运行复杂度，提升网络可靠性。用户接入认证规划有线用户接入（1）接入交换机配置端口隔离，每个接入交换机配置一个VLAN，VLAN编号可以重复。（2）S12700做为用户网关，Portal用户上线到后DHCP服务器给用户分配IP地址，在通过认证之前用户只能访问认证前域的服务器，用户的第一个HTTP报文进行重定向到Portal服务器，实现WEB认证，认证通过后允许用户访问认证后域。（3）S127作为用户网关，1X用户直接到第三方AAA服务器进行用户名和密码认证。（4）有线用户的互访都需要通过S12700进行流量转发。无线用户接入S12700内置硬件随板T-bitAC，并支持统一用户管理功能，更敏捷地实现了丰富的业务特性。S12700内置硬件随板T-bitAC，可节省用户额外购买AC硬件的费用。此外，S12700内置硬件随板T-bitAC突破外置AC处理性能的瓶颈，从容面向高速无线时代。S12700支持统一用户管理功能，屏蔽了接入层设备能力和接入方式的差异。S12700不仅支持802.1X/MAC/Portal等多种认证方式，还支持对终端进行分组/分域/分时的管理，使终端、业务可视可控，实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。交换机配套X1E接口板，可以部署WLANAC功能，集中管理大量的AP，对海量用户提供Wi-Fi接入服务。AC通过CAPWAP协议报文管理和控制AP，而X1E接口板可以处理CAPWAP报文，所以组网时，需要保证AP的报文流量通过X1E接口板进入交换机。无线网络建设规划无线医疗简介当代社会，人口快速增长、老龄化趋势加快、生态环境恶化，人们对健康生活渴望愈加强烈，多方面因素不可避免地对医疗信息化提出了越来越高的要求。医疗单位也步入了以服务患者为中心的数字化医疗发展阶段。在此过程中，随着移动技术日新月异地改变人们的生活方式，“无线医疗”也成为近两年医疗行业最关注的信息化技术和手段。目前大部分三甲医院已经建立了比较完备的的医疗信息系统（如HIS、PACS等），医护人员可以通过有线网络来访问、修改、输入患者信息、诊断报告和治疗方案，但在使用过程中发现，由于有线网络存在信息点固定的局限性，制约了系统发挥更大的作用。无线网络的应用将彻底打破了这一局限。无线网络在医院的应用主要集中在以下几方面：移动查房医生查房的过程中，需要随时调取患者的诊疗记录或病史等信息，并根据患者当时的具体病情随时下医嘱。无线网络的应用，可以使医生通过随身携带的平板电脑或PDA，随时查看病人病历、检验、化验报告单、影像图等，把HIS、PACS等信息系统“延伸到床边”，医生在病人床边即可采集病情、开出医嘱，以及实现医护人员之间的便捷沟通，信息同步；给医生工作带来便利的同时，也保证了医嘱和病历的准确性、实时性，让患者享受到更满意的健康服务；无线护理患者从就诊到得到治疗通常需要经过3个步骤：医生检查患者得出初步诊断后开具医嘱，护士将医嘱转抄到输液袋或治疗卡上并准备执行，护士实施治疗方案。这3个环节的每一步都至关重要。随着无线网络技术、用户身份识别技术与医用推车、小型电脑、PDA的结合，能够实现方便的移动护理，对医嘱执行过程中的每一步进行实时检查和确认，切实提高医疗质量和医护效率。资产管理医疗设备不仅是开展医疗、教学、科研的必备条件，而且是提高医疗质量的物资基础和先决条件。一般医疗单位的医疗设备约占医院固定资产的1/2，而经济效益约占门诊和住院病人资金收入的2/3，也是医院产生医疗信息的主要来源。基于WLAN技术和射频技术（RFID），不仅可以实现贵重资产的精确定位、实时跟踪，同时可实现移动性的资产出入库、资产盘点等功能特殊病人管理特殊人群管理包括母婴管理，精神病人、突发病患者、残疾病人等特殊人群管理；这类群体不具备自我管理能力，需要医疗单位给予更加完善、细致的照顾。结合WLAN技术和射频识别技术，可以实现实时位置信息查询、紧急情况告警、医院特殊重地管理、安全范围界定等，提高医院管理水平。无线输液门诊输液工作量大，业务繁忙琐碎，一旦出现差错，有可能危及病人生命安全；基于WLAN技术的无线输液管理系统可以解决在门诊场地有限、人员流动性大的场合病人输液难题。输液信息电子化，结合“病人腕带”、具备扫描功能的无线PDA，实现病人从入院、治疗到出院全过程的身份确定，并在取药、配药、输液等各个环节利用电子条码对病人、药物严格进行验证匹配，医护人员一目了然，最大程度上保证病人服药及治疗的安全，降低医疗差错发生率。方便患者就诊门诊排队、就医环境差是目前医院普遍存在的问题，减少就诊等待时间，提高诊治效率成为当务之急。无线网络部署后，医生可以通过平板电脑或者PDA，将接诊或等待的患者数量信息实施传送到前台分诊人员处，方便分诊人员及时调配资源；同时在公共局域开放的无线网络，可以提供给病人上网，并推送医院电子地图和推送就诊指导信息，缓解病人情绪，提升患者满意度。无线医疗的总体需求随着医院信息化的发展、网络中所承载内容的变化、新的接入方式的成熟。现代WLAN无线医院的需求概括为如下几点。无线网络安全问题由于无线电波的开放性，对医院通过传统的内网物理隔离来保证安全提出了新的挑战；医院中患者的电子病历、个人资料一旦被泄漏、恶意修改，或者被其他机构获得，都会酿成严重后果。同时，医院自身的信息保密也尤为重要，避免信息泄露造成难以弥补的损失。如何保证内网、外网的安全隔离，如何保证移动场景下的接入访问控制，以及避免信息通过移动终端泄露，成为无线安全方面关注的重要问题；无线网络规划实施问题无线网络的规划和实施直接决定了后续的业务应用效果，主要关注以下几个问题：信号覆盖盲点问题：建筑物的不同架构（如卫生间问题）和墙壁介质会对无线信号的传输造成不同程度的影响，尤其是部署大量AP时，如何实现信号连续覆盖无盲点是必须考虑的问题。无线AP供电：许多医院在开始建楼时并没有考虑到无线网络的部署问题，也就没有预留出电源供无线AP使用，如果重新改造电源线路，施工成本必然提升。AP之间的干扰问题：在一定的空间内部署多个AP，信号会有相互交错重叠，从而造成信号干扰。如何解决，需要关注。覆盖环境中其他的2.4GHz/5GHz波段的射频干扰源，如微波炉、无绳电话、蓝牙耳机等；无线设备对患者（患者体内植入心脏起搏器或心脏除颤器）潜在的干扰；医院部署时需要考虑无线网络与医疗仪器之间不存在互相干扰，以及尽量解除部署无线给病人带来的心里压力。无线用户漫游问题无线设备的最大特点就是接入点灵活方便，但同时对网络性能提出更高的要求：医护人员在不同无线网络覆盖区移动时能否快速接入医院管理系统，在快速的移动过程中如何保证业务不中断，不会造成信息丢失以及影响医护人员的工作体验。无线网络管理问题为了达到信号全面覆盖，无线网络中往往需要部署大量AP，如何对数个AP进行快速有效的配置和管理，融合到原有的管理系统中，有线无线网络能否实现一体化的统一运维，也是许多医院在部署无线网络时关心的问题。无线医疗基础网络设计不同医院现有有线网络架构的差异，使得各医院的WLAN网络建设存在一定的差异。根据获嘉县红十字医院减租结构及网络状况，建议不改变有线网，WLAN无线网在现有网络上叠加。组网架构设计WLAN无线网络建设，直接在现有网络上叠加，尽量减少对现有网络的影响和改动。这个情况下，建议采用下图所示的WLAN方案。AC放置在核心机房，旁挂于核心交换机上，采用集中转发模式，数据报文直接通过隧道到AC进行处理，对现有网络几乎无影响；AP放置在目标覆盖位置，通过接入交换机POE供电。AC设备：核心层推荐采用华为S12700交换机的可编程单板内置无线AC功能（NatvieAC），有线无线统一转发、统一控制、统一管理，实现有线无线真正融合，且无需在单独购买AC板卡AP设备:室内或者室外场景推荐选择放装型设备，减少无线布线的繁琐。AP设备采用POE供电，就近接入接入交换机，针对门诊楼，推荐AP4030DN-E11ac放装型AP设备与高密型AP4030TN无线AP进行相应需求的信号覆盖。针对住院部，由于房间分布较多，信号受干扰衰减严重，因此建议采用华为智分型AD9430DN-24无线AP，设备自带24个POE供电口，可直接为远端射频单元进行POE供电，通过一个中心AP带至多48个射频单元R240D，每射频单元可以采用86面板或者壁挂等方式便捷的部署在各个病房内部，兼容IEEE802.11a/b/g/n/ac标准，支持2*2MIMO，2.4G和5G频段可同时工作，信号覆盖能力强，最高速率可达千兆，保证信号的覆盖密度和覆盖强度。接入交换机：接入层新增千兆POE接入交换机，满足AP供电以及WLAN11n/11ac对接入带宽的需求。接入交换机推荐选择华为S5720-28X-PWR-SI。核心交换机：核心层采用S12700交换机。其独创的CSS2集群，数据跨框1次交换，21us最低跨框时延，仅为业界平均时延的60%。且CSS2交换网集群支持1+N冗余备份，增加核心层设备的可靠性。无线AP部署方案无线AP的部署方案整体分为放装方案，智分方案两种。两种方案的区别和比较如下。主要特性对比室内放装系统敏捷分布式部署覆盖效果支持2.4G/5G终端接入，部署情况需要根据实际环境与建筑布局等来综合网规评估，病房覆盖效果会受到穿墙等因素影响。保证99%以上的信号覆盖率，病房覆盖效果好，可同时支持2.4G/5G终端接入。每AP最大覆盖房间数量需要根据实际客户需求以及部署场景来综合网规评估。通常可覆盖4～6个房间。针对房间密集的场景，采用86盒面板方式直接部署在房间内部，覆盖效果好，信号强度及稳定性较好。其他辅料不需要其他辅料，AC、AP只需要网线即可中心AP、间走网线或者直接替换现有房间内部信息面板。WLAN覆盖规划射频规划与IP地址规划一样，WLAN信道是WLAN网络设计中重要一环，大型无线医院必须对WLAN信道进行统一规划。WLAN信道规划的好坏，影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力，也必将直接影响到无线网络的用户体验。频点划分为保证信道之间不相互干扰，大型无线医院必须对WLAN信道进行统一规划并实施。WLAN系统主要应用两个频段：2.4GHz和5.0GHz。2.4G频段具体频率范围为2.4～2.4835GHz的连续频谱，信道编号1～14，非重叠信道共有三个，一般选取1、6、11这三个非重叠信道。5.0G频段分配的频谱并不连续，主要有两段：5.15～5.35GHz、5.725GHz～5.85GHz。不重叠信道在5.15～5.35GHz频段有8个，分别为36、40、44、48、52、56、60、64；在5.725GHz～5.85GHz频段有4个，分别为149、153、157、161，可以根据实际部署情况，选择相应的非重叠信道。信道覆盖WLAN信道规划需遵循两个原则：蜂窝覆盖、信道间隔。根据覆盖密度、干扰情况、选择2.4G/5G单频或双频覆盖。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信号相互干扰；一般情况单独使用2.4G或5.0G的频段，对于会议室等高密度用户接入的场所，可以启用双频进行覆盖，以便提供更好的接入能力。单频覆盖和双频覆的示意图如下图所示。链路预算WLAN链路预算一般经过边缘场强确认，空间损耗计算，覆盖距离计算等步骤。边缘场强确认是指：在WLAN工程部署中，要求重点覆盖区域内的WLAN信号到达用户终端的电平不低于－75dBm。这样可以保障用户与AP的协商速率以及收发数据质量。空间损耗计算通常采用如下公式：。其中：Pr[dB]为最小接收电平，即为AP在不同传输速率下的接收灵敏度；Pt[dB]为最大发射功率；Gt[dB]为发射天线增益；Gr[dB]为接收天线增益；Pl[dB]为路径损耗（包括空间传播损耗、馈线传播损耗、墙体/玻璃阻挡损耗）。实际部署中终端天线增益不可知，为方便计算常忽略接收天线增益，而采用如下公式：到达用户端的信号电平＝AP发射功率＋AP天线增益－路径损耗。路径损耗主要指WLAN信号的空间损耗，空间损耗＝92.4+20lgf+20lgd（f：GHz，d：km）。由公式推算可知：空间传输距离100m200m300m400m500m600m1000m100m2.4GHz信号的空间衰减(dBm)808689.5929495.5100805.8GHz信号的空间衰减(dBm)87.693.697.199.6101.6103.1107.687.6为便于理解链路估算的过程，这里给出一个室外场景覆盖和室内场景覆盖的预算案例：根据WLAN覆盖边缘场强的要求，到达终端用户的信号电平不低于－75dBm，500mWAP的输出电平27dBm，天线增益11dBi，距离AP500m处信号的衰减量94dBm，由于27+11-94＝-56dBm，大于-75dBm，因此在通常情况下，AP的覆盖范围为500m。由于数据通信是双向的，终端的信号发射功率相对AP较弱，综合考虑，一般建议室外AP的覆盖范围为200m～300m。有些场景需要利用无线AP设备做桥接，华为AP桥接可以按照3km～5km规划。根据WLAN覆盖边缘场强的要求，到达终端用户的信号电平不低于－75dBm，100mWAP的输出电平20dBm，天线增益4dBi，距离AP60m处信号的衰减量90dBm，由于20+4-90＝-66dBm，大于-75dBm，因此在正常情况下，室内AP的覆盖范围为60m。考虑到室内环境复杂，无线信号需要穿越墙体等障碍物，一般建议覆盖半径为20m左右。容量规划无线网络覆盖楼宇内全部功能区域，包括病房区、门诊区、办公区、会议室、等候区等。根据用户分布密集程度，可划分为用户密集区域和用户稀疏区域。用户密集区域容量规划典型用户密集区域如开放办公区、会议室、多功能厅等，用户对信号质量和用户带宽要求较高，应首先从满足容量需求出发，确定AP数量。容量规划步骤如下：明确移动终端用户数量及用户并发率，在移动办公场景，用户并发率按照100%考虑；根据业务带宽需求和终端类型，选择AP类型，明确单个AP可提供的并发用户接入数；AP数量＝用户数×用户并发率／单AP并发接入用户数。华为WLANAP采用第三代Wi-Fi芯片以及业界领先的智能多用户调度算法，提供高性能多用户接入能力。考虑一定的无线环境干扰影响和容量冗余，参考的多用户接入能力如下表所示：序号单用户接入带宽（Mbps）单频AP并发用户数(2.4GHz)双频AP并发用户数(2.4GHz&5GHz)下行上行18Mbps2Mbps102024Mbps1Mbps183032Mbps1Mbps253541Mbps512Kbps3045用户稀疏区域容量规划对于用户分布密度不高的场所如大厅、走道、休息室、独立隔断的小办公室和室外公共区域等，接入用户数不多，主要以满足信号覆盖为主，需根据现场无线传播环境、空间布局和面积等信息，额外考虑AP数量。覆盖规划WLAN无线信号的覆盖范围取决于AP和终端之间的链路预算。链路预算计算公式如下：终端接收信号强度＝AP发射功率＋AP发射天线增益－空间传输距离衰减－障碍物损耗＋终端接收天线增益。其中，空间距离对信号的衰减如下：频段不同空间传播距离下的无线信号衰减1m5m10m20m40m100m200m320m2.4G46dB64.2dB72dB79.8dB87.6dB98dB105.8dB113.6dB5G56dB74.2dB82dB89.8dB97.6dB108dB115.8dB123.6m为满足移动场景下不同类型终端（便携笔记本、智能手机、PAD、哑终端等）的接入，在重点覆盖区域终端接收信号电平应大于－65dBm，普通覆盖区域终端接收信号电平应大于－75dBm。考虑用户的接入体验，根据空间开阔程度和用户分布的不同，建议AP覆盖半径如下：空间开阔且用户较少时，建议AP覆盖半径＜20米；空间开阔且用户密集时，尽量降低单AP覆盖半径，以覆盖半径5~8米为宜，即单AP覆盖面积80~200m2；存在少量障碍物遮挡且用户数分布适中时，建议AP覆盖半径以8~12米为宜，即AP覆盖面积200~400m2；存在大量障碍物遮挡时，重点考虑障碍物对信号的衰减，建议对小空间单独AP覆盖；室外公共区域覆盖，建议AP覆盖半径＜200米。链路预算示例：室内：室内AP发射功率20dBm，AP天线增益3dBi，障碍物衰减0dB，终端（智能手机）发射功率12dBm，终端天线增益0dBi。终端在距离AP20米处的2.4G下行接收电平Pr＝20dBm＋3dBi－79.8dB＋0dBi＝-56.8dBm。考虑到室内环境复杂，无线信号需要穿越墙体等障碍物，一般建议覆盖半径为10m～20m左右。室外：室外AP发射功率27dBm，AP天线增益12dBi，障碍物衰减0dB，终端（智能手机）发射功率12dBm，终端天线增益0dBi。终端在距离AP200米处的2.4G下行接收电平Pr＝27dBm＋12dBi－105.8dB＋0dBi＝-66.8dBm。一般建议室外AP的覆盖范围为200m～300m。SSID和漫游规划SSID规划AP可以配置多个SSID，华为单频AP可支持16个SSID，双频AP可支持32个SSID。通过配置多个SSID，AC针对不同的SSID下发不同的策略，SSID根据策略进行终端与业务管理。无线网络可按照用户群体划分不同的SSID，如下图所示，针对三种不同的用户群体，在AP上设置了3个SSID：SSID1用于患者、SSID2用于访客和SSID3用于医生。SSID和VLAN的映射通常，以太网中管理VLAN和业务VLAN是分离的。业务VLAN主要用于区分不同的业务类型或用户群体。在WLAN网络中SSID也同样可以承担相应的工作。因此，在SSID的规划中必须综合考虑VLAN与SSID的映射关系。业务VLAN应根据实际业务需要与SSID匹配映射关系，映射关系有1:1、1:N、N:1、N:N四种。漫游规划漫游是指用户在部署了WLAN网络的场所移动时，用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围，用户无需重新登录和认证，如下图所示。医护人员从一个AP覆盖范围移动到另一个AP覆盖范围，无需重新登录和认证,医护人员在同楼层移动，跨楼层移动，园区内移动时业务不中断。说明：1、漫游过程中SSID必须一致，且使用相同的安全设置。2、漫游中选择连接哪个AP是无线客户端的动作，这个切换的时机和快慢受无线客户端的芯片或设置的影响，所以在漫游切换过程中会出现不同的终端切换性能有差异。业务带宽规划出于管理的需要，医院运维的工程师往往需要系统地对用户或者单AP的带宽进行管理，比如要求医院外的访客用户的带宽不超过512kbps，医生这类用户上网获得的带宽不超过1Mbps，华为WLAN解决方案能够提供基于用户，基于AP（VAP）或者基于某SSID的带宽管理。基于用户的带宽管理基于用户的带宽管理包含基于某个特定用户的带宽管理以及基于用户组（角色）的带宽管理。基于用户的带宽管理需要Radius服务器参与，在认证后Radius下发用户带宽或者用户组给AC，AC通知AP进行相应的带宽控制。基于AP的带宽管理出于管理的目的，有时需要对某个具体的AP进行带宽管理，如限制某个办公室里的AP带宽为30Mbps，可以通过配置Trafficprofile里的VAPLimitRate实现带宽管理。基于SSID的带宽管理为来自医院外的访客提供上网服务不是医院建设WLAN的主要目的，一般需要对访客SSID的容量做限制，以保障内部用户的带宽和业务体验。基于业务的带宽管理华为NativeAC可以做到5级Qos调度，满足业务服务质量要求，保证高优先级业务的带宽。以视频流为例，端到到的方案流程如下图所示：视频服务器通过IP网络将广播报文发送给AC，并打上优先级：Erthnet802.1p优先级为5。AC通过CAPWAP隧道将报文发送给AP。AC需要将Earthnet优先级映射到隧道的优先级。在保证效率的同时，为了提升稳定性，AP上先将组播报文转为单播报文，然后将报文从有线的优先级映射到无线的优先级。不同的业务进入不同的空口队列，并且获取到不同的空口EDCA参数，从而对不同优先级的业务实现差异性调度，保障QOS性能。可靠性规划WLAN网络的稳定性被医院普遍关注。一方面是设备的稳定性,AC能够实现倒换后用户无感知的Session级的备份以及常年工作在室外的AP在恶劣环境下的适应能力等都是医院WLAN网络可靠性关注的重点。另一方面射频能够实现自动检查周边无线信号环境、动态调整信道和发射功率等射频资源、智能均衡用户接入，从而降低射频信号干扰，增加无线网络的可靠性。CAPWAP断链业务保持在CAPWAP链路中断后，AP能够继续允许新用户上线，继续访问CAPWAP未中断前的所有网络资源。当CAPWAP链路恢复后，AP将所有在链路中断期间上线的STA强制下线让STA重新与该AP进行关联，并通过日志上报所有的STA信息。该功能仅在WLAN使用的安全策略为开放系统认证、共享密钥认证和WPA/WPA2–PSK时生效。该功能允许所有通过输入正确密钥的用户上线，即AC上配置的STA黑白名单在CAPWAP断链后不再生效。自动调优当AP射频环境出现恶化，某个AP故障或新增扩容AP时，需要启动射频自动调优，以增强系统的可靠性和稳定性。建议选择同时支持局部调优和全局调优的AP设备。局部调优可方便的应用于扩容新AP、单点AP故障或者微波炉等局部环境变化而引起的信道环境变化场景，如下图所示。全局调优更多的应用于新建WLAN网络或者大面积信道环境恶化场景。当AP3掉电或故障时，其邻近AP1和AP4自动感知，并调整发射功率，从而达到补盲的效果。AP3重新上线后，其邻居AP1和AP4的自动的调整发射功率，避免AP与邻居因覆盖区域重叠造成AP间相互干扰。负载均衡无线客户端一般会根据AP信号强度（RSSI）选择AP，这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于WLAN是基于CSMA/CA机制，实现多用户接入，当单台AP接入用户数过多时，用户吞吐率性能会出现急剧下降且稳定性无法保证。负载均衡特性可以按照用户数量和用户流量，将用户分配到同一组但负载不同的AP上，从而实现不同AP之间的负载分担，避免出现某个AP负载过高而使其性能不稳的情况。如上图所示。用户模式：AP1和AP2属于同一个负载均衡组，AP1已接入4个STA，AP2已接入2个STA。AP1与AP2接入STA个数的差值为2，当阈值设置为1时，新接入的STA7被均衡到接入用户数量较少的AP2上。流量模式：AP1和AP2属于同一个负载均衡组，AP1已接入4个STA，AP2已接入2个STA。但AP2上的STA5/STA6承载高带宽业务，总带宽流量30M超过AP1的总带宽8M，当设定阈值为12M，新接入的STA7被均衡到流量负荷较小的AP1上。5G优先接入5G优先接入是指对于双频AP（AP同时支持2.4G和5G射频），如果STA也同时支持5G和2.4G的功能，则AP控制STA优先接入5G。现网应用中，大多数STA同时支持5G和2.4G的功能，STA通过AP接入Internet时，通常默认选择2.4G接入。如果用户想要接入5G，需要手工选择。在高密度用户或者2.4G频段干扰较为严重的环境中，5G频段可以提供更好的接入能力，减少干扰对用户上网的影响。通过5G优先接入功能，AP可以控制STA优先接入5G。限制弱信号或低速率用户接入WLAN网络中，有些STA的射频信号发送到AP后，AP收到的信号很差，这样的用户关联AP后，速率比较低，会严重影响网络的吞吐量。通过配置限制弱信号或低速率用户接入功能，可以禁止低于指定信号强度或接入速率的STA接入WLAN网络，减少弱信号或低速率用户对其他STA的影响，从而提升整个WLAN网络的应用效果。强制弱信号或低速率用户下线WLAN网络中，当STA与AP间的距离越来越远时，AP收到的STA信号也越来越差，但是，STA仍然保持与AP的连接而不是主动发起重新连接或漫游。通过配置强制弱信号或低速率用户下线功能，AP检测到STA的信号强度低于门限值，或接入速率低于门限值后，主动向STA发送解除关联报文，让STA可以重新连接或者漫游。减少弱信号和低速率用户对整个无线网络性能的影响。高密功能对于会议厅、报告厅、发布会现场等人员密集和数据流量需求高的场景，密集布放AP是提升用户体验的一种重要手段。由于WLAN在2.4G只有三个独立频点，当密集布放AP时，不可避免的存在由于多个AP在一个信道频段内工作导致的同频干扰，最终影响WLAN网络的整体性能。通过配置高密功能，AP可以根据相应的算法对天线、功率和信号接收门限值进行调整，减少AP间的同频干扰，提高用户的上网体验。同时了建议采用双频AP，通过2.4G与5G两个无线频段进行覆盖。频谱分析由于WLAN的工作频段为ISM频段，随着蓝牙、红外、微波炉等无线应用的增加，非WLAN设备对WLAN网络的干扰问题日益突出。频谱分析是指通过频谱分析服务器对采集到的无线信号进行特征分析，识别出Non-WiFi干扰设备，进而对干扰设备进行定位，实现对WLAN网络的调优。通过配置频谱分析功能，及时、全面的检测出WLAN网络中的非WLAN干扰，提升用户的体验。逐包功率调整传统的射频功率控制只是静态的将AP的功率设为固定值，对AP覆盖范围内的所有用户的功率都保持一致。而逐包功率调整功能可以使AP实时检测STA的信号强度，如果STA信号强度强（距离AP较近），则发送数据包时自动降低实际发送的功率；如果STA信号强度弱（距离AP较远），则恢复正常功率发送无线信号。从而最大限度的较少AP与AP之间，AP与STA之间的干扰，实现高密覆盖，实现绿色节能。干扰检测WLAN网络的无线信道经常会受到周围环境影响而导致服务质量变差。通过配置干扰检测，监测AP可以实时了解周围无线信号环境，并及时向AC上报告警。干扰检测可以检测的干扰类型包括：AP同频干扰、AP邻频干扰和STA干扰。AP同频干扰：两个工作在相同频段上的AP之间的相互干扰。例如，对于规模较大的WLAN网络（例如高校），同一信道常常需要被不同AP使用。当这些AP之间存在着重复区域时，就存在同频干扰问题，大大降低网络性能。AP邻频干扰：两个中心频率不同的AP的发射频宽有重叠的部分，形成了邻频干扰。因此，邻频设备距离太近或信号太强时，会导致整体的噪声变高，影响网络性能。STA干扰：如果AP周围存在过多的非本AP管理的STA，可能会对本AP下的STA的业务造成干扰。安全性规划在医院中部署WLAN网络需要格外关注WLAN网络的安全，保障WLAN网络的安全运行，需要考虑如何保证内网、外网的安全隔离，如何保证移动场景下的接入访问控制，以及避免信息通过移动终端泄露，成为无线安全方面关注的重要问题。华为WLAN安全解决方案从无线空口安全，数据业务数据转发安全，终端用户精细化控制安全三个维度确保无线医院的网络安全问题。内外网隔离根据医院无线应用，整体划分三个SSID，SSID1用于医护内网应用，SSID2用于医护外网应用，SSID3用于患者无线上网。SSID1关闭广播报文，且配置白名单只允许医院终端接入，访问医院核心业务，其他所有终端无法搜做到该SSID和接入网络。SSID2只允许医护人员接入办公或者访问internet，且采用黑名单的方式，禁止医院终端接入该网络。另外通过DHCPsnooping绑定MAC地址，防止MAC欺骗。病患接入医院WIFI网络，需要在网页上自注册，然后用户名密码通过短信自动分发到手机，开放免费上网权限，同时用户信息自动关联到ASG上网行为管理，满足公安部令第82号要求。病患流量和医院外网流量采用不同的SSID实现逻辑隔离，病患只能访问Internet。另外还可以通过网页可以主动推送医院电子地图或楼层说明等信息，病患下载之后方便就医。无线空口安全WIDS/WIPSWLAN网络很容易受到各种网络威胁的影响，如未经授权的AP、用户、Ad-hoc网络等，设备支持以下两种技术，分别用于检测和反制非法设备。WIDS可以检测出非法的AP、网桥、用户终端、Adhoc，以及信道重合的干扰AP。WIPS可以断开合法用户与仿冒AP的WLAN连接，也可以断开非法用户终端和Adhoc的接入，实现对非法设备的反制。为了实现检测和反制非法设备，AP存在三种工作模式：接入模式：AP仅传输WLAN用户的数据，不进行任何监测。监测模式：AP需要扫描无线网络中的设备，探测无线信道中的所有802.11帧。此时AP仅能实现监测功能，不能传输WLAN的数据，即该AP提供的所有WLAN服务都将关闭。混合模式：AP可以监测无线网络中设备，也可以同时传输WLAN数据。只有AP工作在监测模式或混合模式下，才可以实现对非法设备的检测和反制功能。监测AP扫描信道监测周边的无线设备信息，通过探测周围设备发送的802.11管理帧和数据帧来搜集周边的无线设备信息，将收集到的设备信息定期上报AC。AC判断设备为非法AP时（既不是本AC管理的AP，也不在SSID的白名单列表中），将非法AP告知监测AP。监测AP以非法AP的身份发送广播或单播解除认证帧，这样，接入非法AP的STA收到解除认证帧后，就会断开与非法AP的连接。通过这种反制机制，可以阻止STA与非法AP的连接。AC判断设备为非法用户终端（非本ACAP管理）和Adhoc时，监测AP使用非法设备的BSSID或MAC地址，发送单播解除认证帧，断开非法设备的连接。WIDS还支持攻击检测功能，可以检测泛洪攻击，弱IV向量攻击、欺骗攻击、暴力破解WPA/WPA2/WAPI的预共享密钥和WEP的共享密钥，及时发现网络的不安全因素，通过日志，统计信息以及告警方式及时通知网络管理员。对于检测到的进行泛洪攻击和暴力破解密钥攻击的设备，ACAP可以将其加入黑名单，在动态黑名单老化时间内，拒绝接收其发送的报文。Rogue设备的检测和反制医院中可能出现的Rogue设备包括RogueAP，RogueClient，Ad-hoc设备，这些设备对运维的WLAN网络会带来诸多的安全隐患，如干扰，用户和非法AP建立连接等。华为WLAN支持对网络中的Rogue设备（包括AP，Client，Ad-hoc）的进行检测、识别以及反制功能。侦听周边设备AP有三种工作模式：接入模式混，监听模式和合模式。接入模式只提供覆盖功能，不提供非法设备监听功能；监听模式只监听，不能接入业务；而混合模式可以在接入业务的同时进行监听。推荐AP工作在混合模式，在接入业务的同时监听周边设备，低成本部署。设备类型识别AP通过监听Beacon，AssociatonRequest，AssociationResponse协议报文和数据报文报文来识别Rogue设备是哪种设备（AP/Adhoc/Client）。监控AP搜集到无线设备后，维护一个无线设备信息列表，并把这些信息上报给AC，在AC上根据一定的规则进行Rogue设备判断。Rogue设备判断当AP设备工作在混合模式或者监听模式时可以实现对整个网络的监控，监控设备包括AP、Client、Adhoc终端、无线网桥等。Rogue设备反制检测到Rogue设备后，可以使能防范、反制功能。反制功能，根据反制的模式，监测模式AP从无线控制器下载攻击列表，并对Rogue设备采取措施，阻止其工作。对RogueAP的反制：监测AP通过使用RogueAP设备的地址发送假的广播解除认证帧来对RogueAP设备进行反制，抑制无线用户和非法AP建立链接。对RogueClient、Adhoc设备的反制：监测AP通过使用RogueClient、Adhoc设备的BSSID、MAC地址发送假的单播解除认证帧，对指定非法Client的进行反制。Rogue设备管理可以与定位功能集合，如在地图上可以查询或者实时显示Rogue设备的位置，为网管人员对网络监管和排障定位提供便捷。频谱分析由于WLAN的工作频段为ISM频段，随着蓝牙、红外、微波炉等无线应用的增加，非WLAN设备对WLAN网络的干扰问题日益突出。频谱分析是指通过频谱分析服务器对采集到的无线信号进行特征分析，识别出Non-WiFi干扰设备，进而对干扰设备进行定位，实现对WLAN网络的调优。通过配置频谱分析功能，及时、全面的检测出WLAN网络中的非WLAN干扰，提升用户的体验。STA黑白名单STA黑白名单实现对无线客户端的接入控制，以保证合法客户端能够正常接入WLAN网络，避免非法客户端强行接入WLAN网络：白名单列表：允许接入WLAN网络的STA的MAC地址列表。使能白名单功能后，只有匹配白名单列表的用户可以接入无线网络，其他用户都无法接入无线网络。黑名单列表：拒绝接入WLAN网络的STA的MAC地址列表。使能黑名单功能后，匹配黑名单列表的用户无法接入无线网络，其他用户都可以接入无线网络。对于同一个AP或者VAP，STA黑名单功能和STA白名单功能不能同时配置，只能选择其中一种配置。如果STA白名单或者STA黑名单为空，则所有用户都可以接入WLAN网络。设备既支持基于AP配置STA黑白名单，也支持基于VAP配置黑白名单。如果AP和VAP都配置了黑白名单功能，则用户上线时，根据AP和VAP配置的黑白名单，如果用户不满足任意一个接入条件，则该用户不能上线。专业认证，医院放心无线网络对患者（患者体内植入心脏起搏器或心脏除颤器）潜在的干扰，无线网络对医疗器械的干扰都要避免。华为WLAN产品满足Wi-Fi联盟的企业级认证，满足医用场景IEC60601-1-2要求，满足SRRC认证（国家无线电管理委员会认证)，并通过工信部授权泰尔实验室认证的《医院无线网络质量及医疗设备的潜在干扰检测方案》,并通过电信研究院颁发的医疗认证。因此可以放心的在医院使用。终端用户精细化管控安全在医院中根据需要，往往划分了不同的SSID供不用的用户群使用，如外部用户SSID-Guest，内部用户SSID-xxhospital。出于信息安全的需求，往往需要保证来访的访客不能访问医院内的资源。同时医院内的医生和护士或者不同科室之间的医生也可能需要授予不同访问权限。这些需要根据用户的角色以及终端类型做精细化的管控，确保业务的安全。终端类型识别终端类型识别是指AC通过对用户发送的报文中的字段的特征进行分析，包括MAC、用户代理UA（UserAgent）和DHCPOption信息，识别出终端类型。AC可以识别出用户接入内部网络的设备类型，以控制某些指定移动设备的接入，实现基于用户、设备类型、接入时间、接入地点、设备环境的认证和授权。实现精细化的管控。用户接入认证通过用户接入认证，可以对接入网络的用户身份进行合法性进行认证，只有合法用户才允许接入，并且不同的角色，不同的用户所能够访问的资源是不同。管理员可以为用户分组，或者定义不同的角色，配置不同的资源，使得特定的用户只能访问授权的特定资源，禁止访问未授权的网络资源。华为WLAN无线网络支持802.1X、MAC认证、Portal认证多种网络访问控制方式，并可灵活部署在用户网络的接入交换机、汇聚交换机、无线控制器、AR等多种网络设备上，配合代理客户端和认证服务器共同完成用户接入控制，为无线网络提供安全可靠的访问控制。802.1X认证、Portal认证和MAC认证的优劣势比较如下表所示。对比项802.1X认证Portal认证MAC认证客户端需求必须Portal需要，web强推不需要不需要优点部署在接入层时，直接控制网络接入信息口的通断，安全性高部署灵活无需安装客户端缺点部署不灵活安全性不高管理复杂，需登记MAC地址适合场景新建网络，用户集中，信息安全要求严格的场景认证方式灵活，适用于用户分散，无线场景适用于SIP终端，打印机，传真机等终端接入认证的场景STA黑白名单STA黑白名单实现对无线客户端的接入控制，以保证合法客户端能够正常接入WLAN网络，避免非法客户端强行接入WLAN网络：白名单列表：允许接入WLAN网络的STA的MAC地址列表。使能白名单功能后，只有匹配白名单列表的用户可以接入无线网络，其他用户都无法接入无线网络。黑名单列表：拒绝接入WLAN网络的STA的MAC地址列表。使能黑名单功能后，匹配黑名单列表的用户无法接入无线网络，其他用户都可以接入无线网络。如果STA白名单或者STA黑名单为空，则所有用户都可以接入WLAN网络。设备既支持基于AP配置STA黑白名单，也支持基于VAP配置黑白名单。如果AP和VAP都配置了黑白名单功能，则用户上线时，根据AP和VAP配置的黑白名单，如果用户不满足任意一个接入条件，则该用户不能上线。网络安全防护规划网络安全Internet由于其开放性，使得非常容易遭受攻击。随着攻击手段的变化多样而且攻击工具更容易获取，以及基于僵尸网络DDoS攻击的出现，使得基于网络层的攻击层出不穷。主要的攻击包括：ARPFlood、ICMPFlood、IPSpoofing、UDPFlood、Synflood、Smurf攻击、Land攻击、超大ICMP攻击、Fragile攻击、PingofDeath、TearDrop、PingScan、PortScan、IP路由选项攻击、Tracert攻击等等。网络层攻击的目标主要有三个：带宽攻击、主机或者网络设备攻击以及入侵前的主机扫描。带宽攻击指通过大量的攻击数据包占用正常业务数据的带宽，导致网络带宽拥挤，正常业务受到影响；主机或者网络设备攻击指的是攻击者通过攻击主机或者网络设备的某个应用端口导致被攻击设备处理不过来或者瘫痪使其不能处理正常业务数据；主机扫描指的是黑客在入侵之前通过IP或者端口扫描获取网络中活动的主机信息，为下一步入侵提供必要的信息。威胁管理越来越复杂的威胁、持续提高的规章要求以及持续发展的应用程序，不断给企业带来新的网络安全问题。威胁越来越复杂化，并且新的应用和技术也带来了更多漏洞。给IT管理者也带来巨大的挑战。统一威胁管理平台为企业提供全面的安全解决方案，提前扼杀网络威胁。网络安全管理网络安全管理指的是企业对自身的网络资源进行有效的安全区域、等级划分，使得在网络安全运行的基础上，促进企业自身的信息安全管理水平，更好的保证企业正常运作。安全区域指的是在网络中拥有相同网络资源访问权限的主机集合，安全区域的划分主要依据企业内部部门的划分，例如财务部门、研发部门、市场部门分别划分为三个不同安全等级的安全区域。将一个企业进行清晰的安全区域划分，大大简化了企业的网络资源控制与管理，在此基础上，实施适合企业管理要求的安全策略管理，提高企业信息安全管理水平。网络安全设计原则根据医疗单位网络安全的需求以及华为公司对网络安全的积累，我们提出网络安全设计必须满足以下原则：先进性原则：网络中的安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全，符合业界技术的发展趋势，既体现先进性又比较成熟，并且是各个领域公认的领先产品。高可靠性：网络是信息化的基础，网络的稳定性至关重要；网络安全设备由于部署在关键节点，成为网络稳定性的重要因素。整个网络设计必须考虑到高可靠性因素。可扩展性：随着单位规模的发展和壮大，其网络也会不断的扩充变化，要求在保证网络安全的基础上整个网络具有灵活的可扩展性，特别是对安全区域的新增以及原有安全区域扩充等要求具有良好的支持。开放兼容性：安全产品设计规范、技术指标符合国际和工业标准，支持多厂家产品，从而有效的保护投资。安全最小授权原则：安全策略管理必须遵从最小授权原则，即不同安全区域内的主机只能访问属于相应网络资源，对网络资源必须完全等到控制保护，防止未授权访问，保证内网信息安全。网络边界防护规划图1大中型企业边界防护典型部署针对XX医院网络网络通常具有以下业务特征：办公人员众多，业务复杂，流量构成丰富多样。对外提供网络服务，例如公司网站、邮件服务等。容易成为DDoS攻击的目标，而且一旦攻击成功，业务损失巨大。对设备可靠性要求较高，需要边界设备支持持续大流量运行，即使设备故障也不能影响网络运转。基于以上特征，USG系列防火墙作为大中型企业的出口网关提供如下功能：将企业职工网络、公司服务器网络、外部网络划分到不同安全区域，对安全区域间的流量进行检测和保护根据公司对外提供的网