医院无线覆盖技术规范书

医院无线覆盖技术规范书无线网络需求点位布线需求候诊室、走廊、护士站等公共区域按范围预留点位（吸顶安装），每个点位由一根六类网线引入楼层弱电间的接入交换机内；病房、手术室、办公室等房间内预留一个点位（吸顶安装或86盒安装），每个点位由一根六类网线引入楼层弱电间的接入交换机内，接入交换机通过千兆光纤连至汇聚交换机，汇聚交换机通过万兆光纤上联至中心机房的AC。大致架构如下：（蓝色线条表示六类网线，红色表示光纤）内外网的无线通过不同的SSID区分，内网用户可采用MAC认证，外网用户可采用短信认证。无线AC集中转发数据分别到内外网（部署防火墙过滤），后期其他大楼的无线扩容亦可采用此架构。设备参数需求序号设备名称基本参数要求1吸顶AP1.支持802.11ac/n协议，至少支持双频2*2空间流；2.最大接入用户数≥1283.

支持基于SSID的无线用户隔离4.支持用户带宽管理2面板AP1.≥2个10/100Mbps自协商以太网口2.支持802.11ac/n协议，至少支持双频2*2空间流；3.IP防护等级≥414.支持基于SSID的无线用户隔离3无线AC1.接口≥8个千兆电口，2个SFP+接口2.最大管理AP数1024个3.支持portal认证4接入交换机1.千兆电口数≥24个，4个千兆SFP端口；2.交换容量≥3.3Tbps，包转发速率≥126Mpps；3.支持基于端口、VLAN下发ACL，支持基于时间段的ACL；4.支持端口隔离、IP+MAC+端口+VLAN的绑定；5汇聚交换机1．交换容量≥5.9Tbps，转发性能≥215Mpps；2．千兆光口≥24个（其中4个复用口），SPF+万兆光口≥4个3.支持虚拟化技术，实现设备的多虚一功能，能够将多台交换机虚拟化为一台逻辑设备，可以实现一致的转发表项；4.支持RIP、OSPFv2/v3、BGP/BGP4+forIPV6，支持策略路由，等价路由；6认证服务器1、≥4个千兆电口；同时在线并发用户数不少于1000，注册用户数不少于20000；2、B/S界面配置方式；支持认证首页重定向功能；支持认证成功页重定向功能支持基于IP段的认证页面重定向功能；支持基于vlan段的认证页面重定向功能；支持不同SSID推送不同页面功能。3、集中验证并管理远程/VPN和802.1X(无线和有线)用户；支持各式802.1x安全认证协议，包括PAP,CHAP,MS-CHAPv2、PEAP等。4、支持二维码认证方式：Portal首页推送二维码认证页面，指定第三方终端扫描二维码可授权该二维码终端登录上网，用于管理人员帮助访客快速认证上网。计算机网络需求点位布线需求1）内网建议采用三层架构，即核心-汇聚-接入，链路要求核心至汇聚采用万兆光纤互联，千兆到楼层，千兆到桌面。内网核心交换机采用双机部署，利用虚拟化技术实现冗余容错。2）外网亦采用三层架构，链路要求核心至汇聚采用千兆光纤互联，千兆到楼层，百兆到桌面。3）点位根据办公需求设定。设备参数要求序号设备名称基本参数要求1内网核心交换机1．主控引擎槽≥2个，业务插槽数≥6，交换容量≥150Tbps，转发性能≥36000Mpps；2.采用正交CLOS架构，支持独立的交换网板3.支持虚拟化技术，实现设备的多虚一功能，能够将多台交换机虚拟化为一台逻辑设备，可以实现一致的转发表项；4.支持RIP、OSPFv2/v3、BGPv4、BGPv4+、ISIS、IS-ISv6，支持策略路由；配置要求：每台配置不少于2块交流电源和双主控引擎；每台满配交换网板；每台配置不少于24个千兆电口，20个千兆光口，12个万兆光口；2内网汇聚交换机1．交换容量≥5.9Tbps，转发性能≥215Mpps；2．千兆光口≥24个（其中4个复用口），SPF+万兆光口≥4个3.支持虚拟化技术，实现设备的多虚一功能，能够将多台交换机虚拟化为一台逻辑设备，可以实现一致的转发表项；4.支持RIP、OSPFv2/v3、BGP/BGP4+forIPV6，支持策略路由，等价路由；3内网接入交换机1.千兆电口数≥24个，4个千兆SFP端口；2.交换容量≥3.3Tbps，包转发速率≥126Mpps；3.支持基于端口、VLAN下发ACL，支持基于时间段的ACL；4.支持端口隔离、IP+MAC+端口+VLAN的绑定；4外网核心交换机1．交换容量≥5.9Tbps，转发性能≥215Mpps；2．千兆光口≥24个（其中4个复用口），SPF+万兆光口≥4个3.支持虚拟化技术，实现设备的多虚一功能，能够将多台交换机虚拟化为一台逻辑设备，可以实现一致的转发表项；4.支持RIP、OSPFv2/v3、BGP/BGP4+forIPV6，支持策略路由，等价路由；5外网汇聚交换机1.千兆光口数≥24个，4个SFP+端口；2.交换容量≥3.3Tbps，包转发速率≥126Mpps；3.支持基于端口、VLAN下发ACL，支持基于时间段的ACL；4.支持端口隔离、IP+MAC+端口+VLAN的绑定；6外网接入交换机1.百兆电口数≥24个，2个千兆SFP端口；2.交换容量≥32Gbps，包转发速率≥6Mpps；3.支持802.1Q(最大4K个VLAN)；4.支持Console/AUXModem/Telnet/SSH2.0命令行配置等级保护建设需求等级保护主要从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面着手建设；“物理和环境安全”主要对机房设施提出要求，“网络和通信安全”主要对网络整体提出要求，“设备和计算安全”主要对构成节点（包括网络设备、安全设备、操作系统、数据库、中间件等）提出要求，“应用和数据安全”主要对业务应用和数据提出要求。物理和环境安全需求分析物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不可使用，从而会造成网络系统的不可使用，甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础，只有保证了物理层的可用性，才能使得整个网络的可用性，进而提高整个网络的抗破坏力。本次机房建设要求如下：防盗窃和防破坏：应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；应对介质分类标识，存储在介质库或档案室中；主机房应安装必要的防盗报警装置；防雷：机房建筑应设置避雷装置；机房应设置交流电源地线；防火：机房应设置灭火装备和火灾自动报警系统；防水和防潮：水管安装，不得穿过机房屋顶和活动地下板；应采取措施防止机房内水蒸汽结露和地下积水的转移与渗透；防静电：关键设备应采用必要的接地防静电措施；温湿度控制：机房应设置温、湿度自动调节设置，使机房温、湿度的变化在设备运行所允许的范围之内；电力供应：应在机房供电线路上配置稳压器和过电压防护设备；应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求电磁防护：电源线和通信线缆应隔离铺设，避免相互干扰设备和计算需求分析计算环境的安全主要指主机以及应用层面的安全风险与需求分析，包括：身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范、软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、抗抵赖等方面。网络和通信安全需求分析通信网络的安全主要包括：网络结构安全、网络安全审计、网络设备防护、通信完整性与保密性等方面。网络结构网络结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性；带宽能够满足业务高峰时期数据交换需求；并合理的划分网段和VLAN。网络安全审计由于用户的计算机相关的知识水平参差不齐，一旦某些安全意识薄弱的管理用户误操作，将给信息系统带来致命的破坏。没有相应的审计记录将给事后追查带来困难。有必要进行基于网络行为的审计。从而威慑那些心存侥幸、有恶意企图的少部分用户，以利于规范正常的网络应用行为。网络设备防护网络系统会使用大量的网络设备和安全设备，如交换机、防火墙、入侵检测设备等。这些设备的自身安全性也会直接关系到涉密网和各种网络应用的正常运行。如果发生网络设备被不法分子攻击，将导致设备不能正常运行。更加严重情况是设备设置被篡改，不法分子轻松获得网络设备的控制权，通过网络设备作为跳板攻击服务器，将会造成无法想象的后果。例如，交换机口令泄漏、防火墙规则被篡改、入侵检测设备失灵等都将成为威胁网络系统正常运行的风险因素。通信完整性与保密性由于网络协议及文件格式均具有标准、开发、公开的特征，因此数据在网上存储和传输过程中，不仅仅面临信息丢失、信息重复或信息传送的自身错误，而且会遭遇信息攻击或欺诈行为，导致最终信息收发的差异性。因此，在信息传输和存储过程中，必须要确保信息内容在发送、接收及保存的一致性；并在信息遭受篡改攻击的情况下，应提供有效的察觉与发现机制，实现通信的完整性。而数据在传输过程中，为能够抵御不良企图者采取的各种攻击，防止遭到窃取，应