医院无线内网设计方案Word文档下载推荐.docx
《医院无线内网设计方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《医院无线内网设计方案Word文档下载推荐.docx(27页珍藏版)》请在冰豆网上搜索。
应以较高的性能价格比构建本计算机网络系统,使资金的产出投入比达到最大值。
能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。
尽可能保留延长已有系统的投资,充分利用以往在资金与技术方面的投入。
2.6可管理性
由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。
所以在网络设计中,必须建立一套全面的网络管理解决方案。
网络设备必须采用智能化,可管理的设备。
最终能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。
通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为医院运作提供最有力的保障。
3网络方案设计
3.1无线组网拓扑图
3.2无线组网方案介绍
本项目无线网络设计方案主体由AC控制器、无线AP和敏捷控制器构成。
AC控制器与敏捷控制器均位于中心机房的网络核心层,无线AP分布在各楼层的网络接入层。
无线AP通过DHCP获取到IP地址后,无线控制器即可自动发现无线AP并完成注册,实现对无线AP的集中式管控。
敏捷控制器内置Radius服务器,负责对无线接入用户进行身份认证。
无线AP为即插即用设备,AP加电后,自动发现无线控制器,并且注册到控制器上才能为无线客户端提供无线服务。
无线AP采用本地转发模式,无线接入用户通过核心交换机的网关自动分配IP地址,当无线客户端的流量到达AP后,上网的业务流量通过核心交换机网关进行直接数据转发。
AC控制器通过双10GE光纤上行链路连接到内网核心交换机,采用2台AC控制器实现1+1冗余备份。
PoE交换机位于1#病房楼、2#病房楼、医技楼、行政科研楼、门急诊楼的各个楼层弱电机房,上行通过千兆光纤链路连接到内网核心交换机,若对链路可靠性要求高,可通过双上行链路连接,实现链路冗余;
同时通过千兆网线连接到各个室内放装式AP,为无线AP完成PoE供电及数据传输的需求。
在1#病房楼、2#病房楼,采用华为敏捷分布式WiFi方案,即中心APAD9430DN-24+远端接入单元R240D,中心AP通过千兆光纤链路连接内网核心交换机,并通过千兆网线连接到部署在各个病房内的远端接入单元R240D,且同时为远端接入单元R240D完成PoE供电与数据传输需求。
3.3无线覆盖方案介绍
本方案中根据实际需求将室内型双频AP覆盖在各个点,静态为AP指定管理IP地址,并让AP和所需要建立隧道的无线控制器IP地址告诉AP,AP自动和无线服务控制器建立管理隧道,并获得配置。
此时无线控制服务模块能管理并配置AP。
AP同时工作在2.4和5G两个频段。
本项目是实现全院各病区的无线信号全面覆盖,病房床旁、过道、办公室、护士站内不能出现信号死角。
并采用目前标准的无线局域网技术,符合标准IEEE802.11a/b/g/n/ac传输协议,能便于各种WiFi设备如笔记本电脑、PDA、WiFi电话等的连接。
支持双频802.11ac工作模式,支持在2.4GHz和5GHz频段上向后兼容传统的802.11a/b/g/n客户端。
支持2个空间流的2x2MIMO和3个空间流的3x3MIMO,带宽需达到1Gbps。
支持20MHz、40MHz和80MHz信道带宽。
考虑无线AP的覆盖能力,冗余设计,接入容量,以及无线控制器的功能设置,整体系统架构做如下考虑:
采用AC6605接入控制器,可通过旁路模式连接到医院的核心交换机,单台AC6605最大可管理1024个AP,并通过2台AC6605实现AC控制器的冗余备份。
采用AP5030DN和AP7030DE(室内放装型AP)作为门急诊楼、医技楼、行政科研楼无线覆盖的无线接入点,以及1#和2#病房楼会议室、走廊、公共区域部分的无线接入点。
采用AD9430DN-24中心AP并搭配R240D远端射频接入单元作为1#和2#病房楼中病房部分的无线覆盖方案产品,该方案的架构如下图所示。
针对本次室内无线AP的布放选择需要考虑几个方面:
Ø
网络工作频段
采用802.11g单频AP部署会遇到仅有三个不重叠频点部署以及2.4G非许可频点产品(2.4G步话机、微波炉、蓝牙耳机、2.4G无线耳机、无绳电话等数百种类型产品)的干扰等问题所以网络容量往往不能满足未来应用之发展需求。
而随着双频802.11a/b/g/n/ac无线网卡及终端的普及,园区网络及大型企业WLAN的覆盖也逐渐由802.11n转为主流的802.11ac,并向下兼容802.11a/b/g/n。
因此,建议采用同时能够提供双频的AP来进行网络部署。
考虑到现阶段多媒体无线终端设备的情况,本次以2.4G频段覆盖为基础,结合5G频段覆盖进行设计。
网络容量和性能
传统的AP设备无论在2.4G还是在5G上最多只能提供54M的带宽,并且随着信号的强弱,所提供的带宽也会大范围的缩减,在信号的边缘有可能最终只能提供1-2M的带宽。
而这是远远不能满足医疗办公及病人上网的需求。
所以本次室内建议部署支持802.11n或802.11ac技术的AP。
在802.11n下最高可提供600Mbps带宽、在802.11ac下最高可提供超过1Gbps带宽,完全可以满足各种多媒体业务的需求。
同时利用802.11n或801.11ac技术的MIMO(多输入多输出技术)、MRC(最大合并比)、数据包聚合等技术还提供远超传统AP的高稳定性的网络。
并且在客户端不支持802.11n或802.11ac的情况下也可以提供A/B/G的接入,网络性能提高30%。
所有本次建设部署支持802.11n或802.11ac技术的室内AP。
3.3.1无线射频规划
WLAN信道是WLAN网络设计中重要一环,无线网络必须对WLAN信道进行统一规划。
WLAN信道规划的好坏,影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力,也必将直接影响到无线网络的用户体验。
3.3.1.1频点划分
为保证信道之间不相互干扰,无线网络必须对WLAN信道进行统一规划并实施。
WLAN系统主要应用两个频段:
2.4GHz和5.0GHz。
2.4G频段具体频率范围为2.4~2.4835GHz的连续频谱,信道编号1~13,非重叠信道共有三个,一般选取1、6、11这三个非重叠信道。
5.0G频段分配的频谱并不连续,主要有两段:
5.15~5.35GHz、5.725GHz~5.85GHz。
不重叠信道在5.15~5.35GHz频段有8个,分别为36、40、44、48、52、56、60、64;
在5.725GHz~5.85GHz频段有4个,分别为149、153、157、161,可以根据实际部署情况,选择相应的非重叠信道。
3.3.1.2信道覆盖
WLAN信道规划需遵循两个原则:
蜂窝覆盖、信道间隔。
根据覆盖密度、干扰情况、选择2.4G/5G单频或双频覆盖。
AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道,避免信号相互干扰;
一般情况单独使用2.4G或5.0G的频段,对于报告厅、会议室和叫号等待区等高密度用户接入的场所,可以启用双频进行覆盖,以便提供更好的接入能力。
单频覆盖和双频覆的示意图如下图所示。
3.3.1.3链路预算
WLAN链路预算一般经过边缘场强确认,空间损耗计算,覆盖距离计算等步骤。
边缘场强确认是指:
在WLAN工程部署中,要求重点覆盖区域内的WLAN信号到达用户终端的电平不低于-75dBm。
这样可以保障用户与AP的协商速率以及收发数据质量。
空间损耗计算通常采用如下公式,其中:
Pr[dB]为最小接收电平,即为AP在不同传输速率下的接收灵敏度;
Pt[dB]为最大发射功率;
Gt[dB]为发射天线增益;
Gr[dB]为接收天线增益;
Pl[dB]为路径损耗(包括空间传播损耗、馈线传播损耗、墙体/玻璃阻挡损耗)。
实际部署中终端天线增益不可知,为方便计算常忽略接收天线增益,而采用如下公式:
到达用户端的信号电平=AP发射功率+AP天线增益-路径损耗。
路径损耗主要指WLAN信号的空间损耗,空间损耗=92.4+20lgf+20lgd(f:
GHz,d:
km)。
由公式推算可知:
空间传输距离
1m
2m
5m
10m
15m
20m
40m
80m
100m
200m
2.4GHz信号的空间衰减(dBm)
46dB
53.5dB
63.5dB
71dB
75.4dB
78.5dB
86dB
93.6dB
96dB
103.5dB
5.8GHz信号的空间衰减(dBm)
53dB
62dB
74dB
83dB
88.3dB
92dB
101dB
110.1dB
113dB
122dB
为便于理解链路估算的过程,这里给出一个室内场景覆盖的预算案例:
根据WLAN覆盖边缘场强的要求,到达终端用户的信号电平不低于-75dBm,100mWAP的输出电平20dBm,天线增益4dBi,距离AP60m处信号的衰减量90dBm,由于20+4-90=-66dBm,大于-75dBm,因此在正常情况下,室内AP的覆盖范围为60m。
考虑到室内环境复杂,无线信号需要穿越墙体等障碍物,一般建议覆盖半径为20m左右。
3.3.1.4规划工具
无论是室内还是室外,精细地覆盖规划都是一件非常有挑战的工作。
很多项目的无线网络规划设计完全参照经验进行设计,与现网环境不能有机结合,不但缺乏科学的依据,准确率也不高,且规划效率低下。
粗放的覆盖规划不能充分发挥WLAN的性能,并且也给后期维护优化带来更多的工作量,增加后期成本。
华为提供专业的规划服务工具,可以提供从规划、建设和优化全流程的工具支撑,大大提升各种场景中覆盖规划的效率和准确性。
3.3.1.5规划原则
在规划WLAN网络时,首先考虑到的是满足AP跟无线网卡信号的交互,以及用户可有效的接入网络。
系统的覆盖规划应主要考虑为保证AP无线信号的有效覆盖,对AP天线进行选址与相关配置。
在选择AP摆放位置的时候,需遵循以下几个原则:
如果在一个大厅里只安装一个AP,则尽量把AP安放在大厅的中央位置,而且最好是放置于大厅天花板上;
如果同一空间安装两个AP,则可以放在两个对角上。
保持信号穿过墙壁和天花板的数量最小。
WLAN信号能够穿透墙壁和天花板,然而,信号的穿透损耗较大。
应放置AP与计算机于合适的位置,使墙壁和天花板阻碍信号的路径最短,损耗最小。
考虑AP和覆盖区域之间直线连接。
注意AP的放置位置,要尽量使信号能够垂直的穿过墙壁或天花板。
室外网桥长距离数据回传,要避免站点周围有高大建筑或山体,保证网桥两端信号的视距可达。
AP天线方向可调,安装AP的位置应确保天线主波束方向正对覆盖目标区域,保证良好的覆盖效果。
AP安装位置需远离电子设备,避免覆盖区域内放置微波炉、无线摄像头、无绳电话等电子设备。
3.3.2无线AP点位图
另附AP点位图文件,请参考。
3.3.3无线SSID和漫游规划
3.3.3.1SSID规划
AP可以配置多个SSID,华为单频AP可支持16个SSID,双频AP可支持32个SSID。
通过配置多个SSID,AC针对不同的SSID下发不同的策略,SSID根据策略进行终端与业务管理。
无线网络可按照用户群体划分不同的SSID,如下图所示,针对三种不同的应用群体,在AP上设置了3个SSID:
SSID1用于办公、SSID2用于病人上网和SSID3用于专业应用终端。
3.3.3.2SSID和VLAN的映射
通常,以太网中管理VLAN和业务VLAN是分离的。
业务VLAN主要用于区分不同的业务类型或用户群体。
在WLAN网络中SSID也同样可以承担相应的工作。
因此,在SSID的规划中必须综合考虑VLAN与SSID的映射关系。
业务VLAN应根据实际业务需要与SSID匹配映射关系,映射关系有1:
1、1:
N、N:
1、N:
N四种。
3.3.3.3漫游规划
漫游是指用户在部署了WLAN网络的场所移动时,用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围,用户无需重新登录和认证,如下图所示。
WLAN网络漫游中需要了解以下两点:
1、漫游过程中SSID必须一致,且使用相同的安全设置。
2、漫游中选择连接哪个AP是无线客户端的动作,这个切换的时机和快慢受无线客户端的芯片或设置的影响,所以在漫游切换过程中会出现不同的终端切换性能有差异。
3.3.4无线带宽管理
出于管理的需要,无线网络往往需要系统地对用户或者单AP的带宽进行管理,比如要求病人上网的带宽不超过512Kbps,医护人员办公上网这类用户上网获得的带宽不超过1Mbps,医疗专业应用终端保证获得2Mbps的带宽,WLAN解决方案能够提供基于用户,基于AP(VAP)或者基于某SSID的带宽管理。
3.3.4.1基于用户的带宽管理
基于用户的带宽管理包含基于某个特定用户的带宽管理以及基于用户组(角色)的带宽管理。
基于用户的带宽管理需要Radius服务器参与,在认证后Radius下发用户带宽或者用户组给AC,AC通知AP进行相应的带宽控制,如下图示。
3.3.4.2基于AP的带宽管理
出于管理的目的,有时需要对某个具体的AP进行带宽管理,如限制医院某个指定区域的AP带宽为30Mbps,可以通过配置Trafficprofile里的VAPLimitRate实现带宽管理,如下图所示。
3.3.4.3基于SSID的带宽管理
为来自医院病人提供上网服务不是建设WLAN的主要目的,一般需要对病人的SSID的容量做限制,以保障医护人员办公上网及医疗专业应用终端的带宽和业务体验。
如下图所示,对病人的SSID限制了20M的访问带宽。
3.3.5可靠性规划
WLAN网络的稳定性被普遍关注。
一方面是设备的稳定性,AC能够实现倒换后用户无感知的Session级的备份以及常年工作在室外的AP在恶劣环境下的适应能力等都是WLAN网络可靠性关注的重点。
另一方面,AP的调优特性可以在个别AP故障或者性能恶化时自动调优,以提升WLAN网络的稳定性;
在个别高密覆盖场所,AP间的负载均衡和5G优先特性对WLAN网络的稳定性也做出重要贡献。
3.3.5.1自动调优
当AP射频环境出现恶化,某个AP故障或新增扩容AP时,需要启动射频自动调优,以增强系统的可靠性和稳定性。
建议选择同时支持局部调优和全局调优的AP设备。
局部调优可方便的应用于扩容新AP、单点AP故障或者微波炉等局部环境变化而引起的信道环境变化场景,如下图所示。
全局调优更多的应用于新建WLAN网络或者大面积信道环境恶化场景。
当AP3掉电或故障时,其邻近AP1和AP4自动感知,并调整发射功率,从而达到补盲的效果。
AP3重新上线后,其邻居AP1和AP4的自动的调整发射功率,避免AP与邻居因覆盖区域重叠造成AP间相互干扰。
3.3.5.2负载均衡
无线客户端一般会根据AP信号强度(RSSI)选择AP,这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。
由于WLAN是基于CSMA/CA机制,实现多用户接入,当单台AP接入用户数过多时,用户吞吐率性能会出现急剧下降且稳定性无法保证。
负载均衡特性可以按照用户数量和用户流量,将用户分配到同一组但负载不同的AP上,从而实现不同AP之间的负载分担,避免出现某个AP负载过高而使其性能不稳的情况。
如上图所示。
用户模式:
AP1和AP2属于同一个负载均衡组,AP1已接入4个STA,AP2已接入2个STA。
AP1与AP2接入STA个数的差值为2,当阈值设置为1时,新接入的STA7被均衡到接入用户数量较少的AP2上。
流量模式:
但AP2上的STA5/STA6承载高带宽业务,总带宽流量30M超过AP1的总带宽8M,当设定阈值为12M,新接入的STA7被均衡到流量负荷较小的AP1上。
3.4无线网络安全性规划
在部署WLAN网络时需要格外关注WLAN网络的安全,保障WLAN网络的安全运行。
由于WLAN开放环境的存在,需要考虑如何解决RogueAP等设备带来的安全隐患?
如何防止非法的用户访问行为?
怎么禁止非法用户接入网络?
怎么防止空口窃听?
如何保证AP接入AC的安全?
这些安全隐患整体可以分为空口安全和用户安全两类。
3.4.1空口安全
空口安全主要来自非法rogue设备,空口监听和恶意攻击三个方面,如下图所示。
Rogue设备:
现网环境中可能出现的Rogue设备包括RogueAP,RogueClient,Ad-hoc设备,这些设备对运维的WLAN网络会带来诸多的安全隐患,如干扰,用户和非法AP建立连接等。
WLANWIDS方案支持对网络中的Rogue设备(包括AP,Client,Ad-hoc)的进行检测、识别以及反制功能。
下面分别从非法设备的监听,识别,判断以及反制四个方面详细阐述。
侦听周边设备:
AP有三种工作模式:
接入模式混,监听模式和合模式。
接入模式只提供覆盖功能,不提供非法设备监听功能;
监听模式只监听,不能接入业务;
而混合模式可以在接入业务的同时进行监听。
推荐AP工作在混合模式,在接入业务的同时监听周边设备,低成本部署。
设备类型识别:
AP通过监听Beacon,AssociatonRequest,AssociationResponse协议报文和数据报文报文来识别Rogue设备是哪种设备(AP/Adhoc/Client)。
监控AP搜集到无线设备后,维护一个无线设备信息列表,并把这些信息上报给AC,在AC上根据一定的规则进行Rogue设备判断。
Rogue设备判断:
当AP设备工作在混合模式或者监听模式时可以实现对整个网络的监控,监控设备包括AP、Client、Adhoc终端、无线网桥等。
Rogue设备反制:
检测到Rogue设备后,可以使能防范、反制功能。
反制功能,根据反制的模式,监测模式AP从无线控制器下载攻击列表,并对Rogue设备采取措施,阻止其工作。
对RogueAP的反制:
监测AP通过使用RogueAP设备的地址发送假的广播解除认证帧来对RogueAP设备进行反制,抑制无线用户和非法AP建立链接。
对RogueClient、Adhoc设备的反制:
监测AP通过使用RogueClient、Adhoc设备的BSSID、MAC地址发送假的单播解除认证帧,对指定非法Client的进行反制。
Rogue设备管理可以与定位功能集合,如在地图上可以查询或者实时显示Rogue设备的位置,为网管人员对网络监管和排障定位提供便捷。
3.4.2恶意攻击
针对恶意攻击,WLAN要拥有多种方式。
下面针对现网环境中最常用的flood攻击,WeakIV攻击,Spoof攻击方式,方案需要具备防御规划和措施。
Flood攻击检测:
当“恶意用户”发送大量的“连接请求报文”至AP时,这些报文会被AP转发到AC设备上进行处理,这样会对内部网络造成冲击。
启动Floodattack检测,AC会检测到来自于该恶意用户的Flood攻击,AP会将来自于该用户的报文将全部被丢弃,从而实现了对于网络的安全防御。
WeakIV攻击检测:
对于Client的数据报文,如果该报文使用了WEP加密算法,需要启动IV检测;
AC根据IV的安全性策略判断是否存在WeakIV攻击。
Spoof攻击检测:
这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。
恶意AP或者恶意用户发送一个欺骗的解除认证报文会导致无线客户端下线。
AC接受到这种报文时将立刻被定义为欺骗攻击,并阻止该用户。
3.4.3空口窃听
空口监听往往是经常尝试破解的点,需要考虑对空口数据进行加密。
常用的空口加密方式有WEP,WPA/WPA2,WAPI等。
在最新的实现中,不管是WPA1还是WPA2都可以使用802.1X,使用802.1X时称为WPA企业版,不使用802.1X时称为WPA个人版,或者叫WPA-PSK版。
在实际网络部署中,空口加密通常和用户认证一起考虑,在现网中推荐使用Portal+PSK方式部署,加密方式推荐采用CCMP,在网络侧进行配置。
3.4.4用户安全
用户安全可以分为合法用户非法地访问其范围以外的资源和非法用户的接入网络两部分,如下图所示。
3.4.4.1非法访问
在WLAN网络中根据需要,往往划分了不同的SSID供不用的用户群使用,如外部用户SSID-A,内部用户SSID-B。
出于信息安全的需求,往往需要保证病人不能访问医院内网的资源。
同时各医护人员之间也可能需要授予不同访问权限。
这些可以通过用户组的方式来实现。
用户访问授权可以在本地网络设备授权,也可以通过AAA服务器进行远端授权。
在AAA服务器授权
升级会员 