医院无线网络设计Word格式文档下载.docx

医院无线网络设计Word格式文档下载.docx

《医院无线网络设计Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《医院无线网络设计Word格式文档下载.docx（9页珍藏版）》请在冰豆网上搜索。

对于具体的无线工程一般还要满足以下业务需求：

针对医院的空间要进行全面覆盖；

无线网络通过安全认证，保证医院信息不能通过无线网络对外泄露；

用户在无线区域内移动时，不需要多次重复认证，实现自动漫游，即业务不中断；

1.1.2.整体无线建网原则

结合医疗行业和WLAN的实际应用与发展要求，无线局域网（WLAN）网络系统设计本着建设功能完整、技术成熟先进的网络系统的前提下，主要遵循以下系统总体原则：

高可靠性原则：

网络系统的稳定可靠是应用系统正常运行的关键保证，对于医院网络来说，更是如此，在网络设计中特别是关键节点的设计中，选用高可靠性网络产品，并合理设计网络冗余拓扑结构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地保证医院办公系统的高效运行。

技术先进性和实用性原则：

以现行需求为基础，保证满足医院办公应用系统业务的同时，又要体现出网络系统的先进性。

在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到医院网络应用的需求和未来的发展趋势。

安全性原则：

WLAN是一个空间开放网络，同时作对信息的安全以及网络的安全要求较高。

制订统一的骨干网安全策略、VLAN策略和过滤机制，整体考虑网络平台的安全性。

高性能原则：

承载网络性能是医院整个办公系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图像）的高质量传输，力争实现透明网络，网络不能成为医院实施业务的瓶颈。

规范性原则：

系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。

开放性和标准化原则：

在设计时，要求提供开放性好、标准化程度高的技术方案；

设备的各种接口满足开放和标准化原则。

可扩充和扩展化原则：

所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。

保证建设完成后的系统在向新的技术升级时，能保护现有的投资。

可管理性原则：

整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。

1.2.总体方案设计

医院无线网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。

H3C无线方案理解为是有线网络的外延，整个方案设计的要点主要包括认证点的选择问题、网络安全设计、无线网部署、网络管理几个方面。

我们将在后面的方案详细设计中进行分析和方案描述。

1.2.1.认证方式选择

在认证点选择方面，由于H3C公司提供的是（FITWAP2110）加核心交换机上无线AC控制器插卡进行组网的方案，（WAP2110）与AC控制器通过二层隧道协议通信，无线用户的认证点都是放置于AC控制器上。

这样组网的优势是：

当用户在不同（WAP2110）之间进行L2、L3漫游切换的时候，可由AC控制器对用户的漫游切换进行管理控制，对于用户来说可以在无需重新认证的情况下跨区域开展业务。

业界主要采用802.1X认证终端软件与AP、无线交换机、iMC配合使用进行802.1x认证，或者采用Portal认证，后面具有Portal/Web与802.1X认证二种方式的比较。

目前无线交换机能够同时支持802.1X/WEBPORTAL认证，当用户数较少的时候，可以在AC控制器本地建立用户数据库，将用户鉴权点放在AC控制器本地进行；

当用户数达到一定规模的时候，也可将用户数据库放在H3C的iMC系统上，iMC与AC控制器配合作为用户鉴权点。

由于医院的网络主要用于护士和医生工作，并不提供作为公众运营网络接入，我司本次的WLAN建设中，建议采用：

无线AC控制器完成用户的认证终结和用户鉴权；

此方式具有的优点：

用户认证完成实体主要体现于无线交换机系统，呈现一个集中模式，便于维护与统一控制，无线系统用户与有线用户区分开来管理，保证无线系统的安全性；

1.2.1.1.802.1X认证方案介绍

802.1X协议是IEEE在2001.6通过的正式标准，标准的起草者包括Microsoft，Cisco，Extreme，Nortel等；

802.1X定义了基于端口的网络接入控制协议（portbasednetworkaccesscontrol），该协议适用于接入设备与接入端口间点到点的连接方式，其中端口既可以是物理端口，也可以是逻辑端口。

H3C的FITAP无线组网方案中，由后端的无线交换机对所有认证报文进行终结，并提取出用户名和密码信息交由后台的iMC进行用户鉴权。

用户使用802.1X认证的过程如图所示：

802.1X及WEBPORTAL认证流程示意图

接入AP的无线终端采用802.1X模式，首先接入AP的客户端通过802.1X认证输入用户名、密码后客户端发起EAP报文至无线交换机，在无线交换机上终结EAP报文，然后从无线交换机经以太网交换机发起Raduis报文至iMC服务器，由iMC服务器来验证用户名、密码是否匹配，在认证通过以后由iMC服务器下发Raduis报文至无线交换机通知该用户认证通过，无线交换机中再将相对应的逻辑端口打开，允许学习MAC地址，允许用户上网。

H3C公司对802.1x认证方式进行了优化，使其可以支持基于MAC的用户控制，即一般情况下如果多个用户连接到一个HUB，其中一个用户认证通过后，其他用户也能够使用网络，但H3C公司对802.1X认证方案优化后，只有认证通过的用户（MAC）才能使用网络，其他用户还是不能使用网络。

1.2.1.2.WEB认证方案介绍

WEB用户上网时，设备强制用户到门户网站，并提供门户网站主页，用户可以免费访问其中的服务。

当要使用互联网中的其他信息时，则必须在门户网站进行认证，只有认证通过后才可以使用这些服务。

WEB认证用户不需要安装额外的客户端软件。

在H3C的FITAP方案中，使用WEB认证时，强制Portal仍然是在无线交换机上进行。

使用WEB认证时不需要安装客户端软件，使得管理和维护更简单，并同时能利用iMC

的功能较好地对用户进行控制，如用户端口绑定、用户IP绑定、用户MAC绑定等，但无法做到用户通知消息下发和防止用户使用代理。

1.2.1.3.WEB认证与802.1X认证对比

功能

WEB认证

802.1x认证

客户端软件

不需要

需要

客户端版本限制

不支持

支持

自动探测并屏蔽代理服务器

限制多网卡、拨号上网

显示当前网络状态及认证状态

异常下线探测功能

消息下发

对AAA服务器的特别要求

无

分布式认证

网络性能影响

低

Radius服务器的性能影响

标准化程度

高

IP地址浪费

1.2.2.有线无线混合组网下的认证方案

对有线用户和无线用户进行分别认证，有线用户在以太网交换机上实现认证，无线用户在无线交换机设备上实现认证。

通过在iMC上设定对应的绑定区域，对于只能使用有线上网的用户绑定所有以太网交换机IP地址，无线上网用户由于其漫游特性，无需绑定到无线交换机的IP地址。

设备要求：

实现认证的以太网交换机和无线交换机必须支持标准Radius协议，能够和iMCCAMS配合实现认证计费功能。

如果要实现H3C扩展的Radius功能，如防代理、消息下发等功能。

则必须使用对应的H3C设备。

1.2.3.用户管理

iMC系统功能强大，操作简单，在用户认证管理上，具有以下特点：

用户绑定功能

iMC支持绑定用户名和设备IP地址、入端口号、VLANID、用户MAC地址、用户IP地址等信息，保证用户绑定合法性。

并支持用户MAC地址和用户IP地址自学习功能，大大减少管理员的录入量。

认证区域绑定功能

通过认证报文上传的认证接入设备IP地址，iMC系统可实现认证区域绑定功能。

用户上网的区域可被限制在一定范围内，增强了网络的安全性。

防代理功能

针对医院用户，iMC提供防代理功能，禁止用户使用代理上网，并支持限制用户使用的客户端，要求用户必须使用专用安全客户端，并强制自动升级，确保认证客户端的安全性。

目前iMC系统的防代理功能必须要与H3C交换机配合实现。

用户黑名单管理

iMC认证系统支持黑名单管理，支持手工加入黑名单、自动将欠费用户加入黑名单、自动将恶意登录用户加入黑名单、自动将充值失败超过阈值用户加入黑名单并提供黑名单增强功能：

在被试探帐号加入黑名单的同时记录恶意试探机器的MAC地址，限制从该MAC地址的机器试探该帐号，但被试探帐号可以在其它MAC地址的机器上正常使用，保证登录用户的合法性。

用户上网全程监控

iMCCAMS认证计费系统能对医生上网的全过程进行管理，实现医生上网的实时监测。

对于网络上进行非法操作的医生，具备将用户踢下线的功能，控制医生对网络的使用。

1.2.4.无线网络方案

WLAN技术1996年就已经提出，经历一条曲直的道路，已经逐渐被市场认可了，对于无线网络，医院部基本上采用室内覆盖模式，考虑到医院的建筑结构较为特殊，WLAN技术很难穿透建筑物，同时又由于WLAN属于高频窄波，绕建筑物的能力较弱。

1.2.4.1.组网方案

医院的无线覆盖空间主要包括：

病房、护士站、医生办公室、会议室等；

一般医院病房每间的空间不是特别的大，同时病房之间不是承重墙，建议无线的覆盖方案的原则是：

以本着节约、全覆盖的原则，每隔15～20米左右布放1个AP。

为了避免对病人造成辐射将AP放置在过道可以满足覆盖每一个房间。

根据医院设计图纸初步规划，经过初期无线规划，建议每2个三/双人病房区的走道上部署一台FitAP，，每一个VIP病房区单独部署一台FitAP。

1.2.4.2.WLAN组网关键问题解决

构架可运营WLAN网络，除了要求AP（AccessPoint）支持宽带无线接入网络的覆盖特性、可运营、可管理特性外，还要求整个网络的开放、兼容、安全、可运营、可管理、可盈利。

在构架WLAN公众网络一般基于网络分层的理念，即不同层面的设备承担不同的功能，以达到组合后整网的功能与业务支撑。

在实际WLAN可运营组网应用中，网络分为用户接入层、边缘汇聚层、业务控制层、业务管理层。

用户接入层对应设备为AP（AccessPoint），主要承担与终端用户基于802.11协议的PHY/MAC层的协议对接，具体包括工作模式、无线鉴权、ESSID诊别、MAC帧插入、IAPP、节电模式、AllowGuest、MAC层访问控制、用户接入认证报文承载、动态密钥协商等等。

此外还要保证承载层的高性能、高可靠性。

AP在设备的设计上支持了此类功能，可以与后台系统进行配合完成认证与计费的功能，对于复杂的NAT、路由策略等其它的高层应用不进行支持。

边缘汇聚层对应设备为AC（AccessController），主要承担WLAN网络接入网关的角色，具体可以支持对用户的合法