超详情的完整医院网络升级改造报价方案.docx
《超详情的完整医院网络升级改造报价方案.docx》由会员分享,可在线阅读,更多相关《超详情的完整医院网络升级改造报价方案.docx(38页珍藏版)》请在冰豆网上搜索。
超详情的完整医院网络升级改造报价方案
广东省医院
网络改造方案
。
2017・9.15
概述
2.整体解决方案3。
2.1设计原则3,
2.2网络架构设计3・
2.2.1无线控制器设ih3
2・2.2POE接入层设讣3。
2-23IMC役计3。
2・2.5无线AP设讣。
错误味定义书签•
2.2.6微信认证、短信认证及行为监控设汁2.2.7无线网络架构设讣3。
2.3网络可靠性设汁
2.3.1物理设备和链路稳立性
2・3・2网络层稳怎性设计
3.1IRF虚拟化概念。
3
3.2IRF虚拟化架构
3.3IRF虚拟化冗余3。
3・4IRF虚拟化优势••…
1•概述
目前厂东省1医院有用户住的嗚楼「号楼.*号楼「号办公楼、食堂楼、以及门诊楼。
都建设了有线网络,及提供了无线W1fi上网服务•并了解到医院网络规模将发展
到800人左右的规模。
但疗养院现阶段的整体网络存在以下问题:
大部分设备不支持网簣功能,可艇性差;
网络出口多,难以统n划,搭建局域网;有线网络布线杂乱,维护难度高;
核心设备及出口设备不支持目前及未来人数的上网服务;
局域网内没有统一规划IP地址的分配;
无线网络大多采用家用式的无线路由器逬行组网;
不能集中簷理无线网络设备,管理效率低,维护工作量大。
外来客户和内部人员共用同F线网络,存在一定安全隐患
无法支持大畳人员同时使用无线网络的应用场景,如会议室、食堂等;
上述问题在疗养院最近一次的网络局域网搭建的过程中逐渐被发现,网络出口及核
心设备等问题导致局域网搭建后网络瘫痪,目前的网络设备不能满足疗养院的对网络的需,且不便于疗养院职工的日常工作以及不能为住户提供更好的网络体验。
为此,为解决上述问题疗养院需要靈新组建f稳走.安全、高效的网络环境。
2•整体解决方案
2.1设计原则
此次网络系统设计将严格遵守各种相关的技术原则,遵循各种相关的技术标准和规范,整
个网络系统设计严格按照以下原则逬行:
♦先进性和实用性
采用成熟的产品满足针对不同办公区无线覆盖的需求,兼顾其他相关的管理壽求,采用先进的网络技术以适应更高的数据.语鼠视频(多媒体)的传输需要,使整个系统在相当一段时期内保持技术的先逬性以适应未来倍息化的发展的需要
♦安全性和可靠性
为保证各项业务应用,网络必须輿有高可靠性,尽量避免系统的单点故障。
要对网络结构、网络设备等各个方面逬行高可蠡性的设计和建设。
在无线网络设计上应采用硬件备份.
冗余等可靠性技术提离整个网络系统的可靠性。
♦灵活性和可扩展性
网络是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性能够根据疗养院深入发展的需要•方便的扩展网络规模、扩大网络容畳和提离网络的各层次节点的功能。
M备支持多种应用系统的能力,提供技术升级.设备更新的灵活性。
♦可管理性
由于网络本身具有一走复杂性,随看业务的不断发展,网络管理的任务必定会日益繁靈。
所以在网络设计中,必须建立一套全面的网络管理系统。
网络设备必须采用智能化,可管理的设备伺时采用先进的网络艇软件,实现先逬的管理。
最终能够实现监控.监测整个网络的运行情况,合理分配网络资源、动态配■网络负载、可以迅速确定网络故薩等。
通过先逬的簣理策略、管理工典提高网络的运行性能.可蠡性•简化网络的维护工作,从而为办公、管理提供最有力的保瞳。
2.2网络架构设计
新改造的网络由无线控制器.无线AP组成、P0E交换机、新的核心、防
火墙.汇聚接入交换机、IMC管理软件及ACG组成。
逻辑架构如下:
>终端层
包含疗养院内的各种终端设备,例如PC.笔记本电脑、无线打印机.等终端设备。
>无线控制器
负责将所有无线AP逬行集中管理和统一下发配a,调整各AP间的信号干扰和信道的利用。
采用内置智能天线和高密度AP对各办公区域及其他区域进行无线覆盖,针对密集区域和外部干扰的影响来针对不同环境来安装不同AP,本次采用的AP
都支持POE供电,实现用一条网线便可作为AP的供电和网络传输之用,以节
省电源线布线费用和降^氐AP安装难度和工作量
>P0E交阕几
通过POE交换机对各无线AP进行供电,方便了各AP点位的供电问题解
决了本地供电带来的安装困难问题(而且可通过P0E对AP进行集中供电
>核心
高背板及高转发率的高性能参数满足疗养院目前及未来网络规模发展的需求,保证疗养院内的良好的网络体验。
>防火墙
提供对接电信专线功能的同时,提供多种网络攻击的防御机制。
>汇聚接入交换机
千兆光纤上行到核心,同时提供较高面板带宽及转发率,满足移动楼内的上网需求。
对网络、月畏务器、应用系统进行管理的区域。
包括故障管理、配置管理、性能管理、安全管理等进彳h体化管理。
>ACG
对各终端进行认证,如支捋微信认证,短信认证,porta1认证等多种认证
方式,对夕陳访客扫描疗养院二维码关注公众号一键上网提供方便快捷的上网方式,同时也可以作为很好的一个公众号吸粉工具,而且可通过ACG实时监控到访客的行为和流量的统计,做到认证和上网行为一体化监控。
整体网络设计拓扑参见下图。
2.2.1无线控制器设计
采用集中转发的方式,无线用户的流星先通过AC再转发到核心。
AC下发配豪到每个
AR集中监控AP状态,管理AP。
2.2.2POE接入层设计
接入层则实现各终端电脑的高速接入,负责将各种终端接入到中心网络络。
对于某些终端,可能还要壇加特定的接入设备,例如无驛入的AP设魚POTS话机接入的IAD等,
根据此次网络应用的实际情况,以及主流接入要求,因此本次将采用千兆到桌面的设计方案。
并且作为接入层交换机还需典有丰富的安全特性,同时交换机还应a有防伪DHCPServer的接入实现对终端ARP各种形式攻击的防护。
2.2.3IMC设计
>中的资源分为两类:
网络资源和用户资源。
对H3C、極.华为.Cisco各厂家网络设备的分类和识别;对设备状态和基本倍息的管理,不仅包含了设备的基本倍S.接口倍息.性做媚和告警倍S,同时还可以在增加其
他组件的情况下显示扩展后的业务倍患。
与业务无关的用户基本倍息的统一维护,这些墓本倍息是独立于业务的,包括用户姓名、证件号码.通讯地址、电话、电子邮件、用户分组;并提供用户附加倍息管理功能•管理员可根据网络运营的习惯进行用户倍想走制,如学校可以走制学号.年级等倍息,企业可以走制部门、职务等倍想。
通过增加设备和自动发现两种方式,将网络资源加入iMC中逬行管理。
壇加设备时可以选择多种选项,满足不同网络环境下的需求壇强网管部署的易用性。
fjsA护n^xaiMS)
e^xsia*)
HHiSB彳毎9h
ffWP
叔p网R发e识发{3啦*址«■•不
>提供的设备导入/导出功能为系统升级和网營系统切换提供了便利,尤其是导入文
件的可定制化使得用户很容易手工编辑一个导入文件,也可以对其他网管系统导
出的设备逬行快速编辑后导入系统。
09岀Sfi
©9入《»
与入设备是19夬d斩的设备新左虫P决S中的设务倩《•
为安金超见,《备的8:
1^毎钥詡的容Tg导入•备导入拓ES,适重?
f«S«备的S:
耳§;<第I內客
]&烧…J
;$入设备[
>智能簣理平台提供多种类型的拓扑:
提供传统的基于IP网络的IP拓扑、二层拓扑和邻居
拓扑。
用户可以根据实际组网情况自由走义自己关注的网络拓扌卜视图(自走义拓扑)
>智能簣理中心能自动】匚总全网中故US设备,形成故障设备列表•使管理员能快速、溝晰
的找到需要关注的故憧设备,而且可通过由阱或者短倍来告知管理员。
Wgf2«)Qanar2.2.5无线AP设计
通过不同区域安装具体的智能天线和离密度AB智能天线AP内覽终端感矩型硬件智能
天线阵列•配合墓于终端的射频智能感知算法,可以实现无线传输中不同距离.不同场《的针对性覆盖技术。
同时,通过H3C锐捷.华为无线控制器实现基于特征和协议的射频优化•可以有效提升无线部S中高密度接入.流媒体传输等场景中的应用加速能力和质劉呆Bt效果。
离密度AP采用三频设计在保留原有双射频的同时増加了f灵活可变的第三个射烦当实际接入的终端类型支持5GHZ的数量较多时,可将该射频配量成5GHZ频段,从而提高5GHz的接入用户数量和带克能力,反之.2•4GHZ终臟多时则可以配畫成2.4GH乙组
2.2.6微信认证.短信认证及行为监控设计
内网主要是读业务,常用的写业务也是认证通过的接入用户授权操作,所以内部网络厲于较安全的区域,是绿色区域,风险比较低。
主要的安全风险来自内部网络自身的用户(如用户XX的存取),ACG根据实际需求控制和监控用户的流量和应用。
针对用户做到精准应用识别、明确身份.事后行为审计.丰富日志报表、深度数据挖掘、全局流星簣控、精细
确授权等。
•明确用户身份
一个這员
S猊超13170cm
y:
职业:
身高:
兔海波
f性S真以为“也”
是女S……
全网统一身份认证
用鏈导的电腌还量不能上R3
S工区无法
上网
XJB
互鎂网
iLji
用iP泄不
SLt网
:
畀t■Y'^.iPod
!
E
■
£
:
^^^<^毛1除接入述,真正基于用
户的上网行为管理
不同用户分配不同权限.即使位罰口上网设备发生变化,访问权限依憑行
支持本地Web认证、第三方Porta认证、犷展微信认证,满足多种业务坏境霧求
阿可以上同
精准应用识别
可实现多种认证方式混合使用
E浏咻(93)0KjRB乐倉3S»H6a
CPPSvevnQ快finl«l/±5»W5
••千千IW0«票师0)
大演"大if!
峻剑&>
♦舲王n
0W»d
MtfiiWt#!
©彌2£(193)we3砺那坤台
B
1(S
fteeff
F/9■娜
Hu弘卫»世异®P2做件(均08劭议建觀PrPOCO€3^M«e'^S8
-•QQoa凤
*nui
fiCK・
BK芟■审
iiw
IXbM
|qQ2«b关行出93SQ
M
»«
且tt
评论
◎fi用
■押■
1
*・
・tt
«x好*#••***
ana
nt^H
脣艮・■
QAM■・
KXflT
H
«-«■fifUsu
«•如
u.
MB
M
ncoin
平u.
«•SBdV
V
tn
■e*
tt««naMM
关行为J**行力!
!
BM!
J
EH
g«3**!
!
'注«i:
an<»Utt»»xait«m«■<9
is用S
申关・9
.血二
r*i4xn+
M«9
ffl户
fflpffl
URL血
a作
日志昭
策路1
馬有用户
SISS
ns访待
工作希夹
允詳,Mfgmm
±se?
s
上SB志
«35:
SfWfflP
s?
有esan
±SSEr
允洋.XfSfSBr
iS討養
不上jas$
互联网"2
內sns
ACG更可实现叵一用户在不同时间地点访问相同目标对魚,给予不同的内蓉及行为控制.
通过和IMC及第三方认证服务器胡妾,实现以-人"为核心不^维度的便撩管理
IMC"SK■*»»«»
左观际炯邮件、文制专$6^途径控制墓5Lt>容馳和商风险行为
•全局流長管控
ilili:
11112
Jlil3:
通尝4
IP/用户:
应用
多级嵌套谨道,匹配行政架构需求
I洌絡遵量匚丐
超过4级通道芾題套,满足大型网络SS耍求
L,
II
11
HIBlTenTilip^axx
imxur[
一4
-jrfrfv
-qVMI
-_>»-»
-utMzlP
Web
""qq
鉴于峽用户,畴趣时间等上下行帝抚及多优先级控制j荒量瓷理无死角
IGtttn
1
1
上2)
下flg
“2
rp!
«*
finIIfH
fMM更
■ms
«rmw9
1
1
•
fl«0M
v)DOM
«tO9M
UQOM
-
*1»H
•MM
»M>4
•
0®
*»n»
Mnan«*Mv«
•w
•MM
«4U
«XM
a
0O
■MM
•:
M
'HM
4
2
*
IZ®
BMI-
•粗
tSM
UOK
a
PI©
M*
tJM
•ICH
A
3
a
K©
«W|P
»IM
»SM
•«
W©
r<*>**m
・2M
«5U
CM
«
ww
UOM
AWQ
a
ft
轻®
Mx»
用・8鼻***r*
-W
■>M
4
亠
*
C5©
MI-«
•IM
•9M
*
皿
K
2®
•丰雷日志报表
IHWH
MBW-i
nx*u
■/>MU
n于用户澹■分析
1C*
"f••応…:
1nw
>ttl.M&xMa
•H:
rww,i*
9Mu*W*
Mt
TtM
um
lift
IKIX
•HAW
W*
Xl*»
ru>*
■E
HkW
mM
Ui*4
iiM
Ml
3—
*»»•
V«M
•事后行为审计
IM日志审计
"IU
URL访问日志
社区0志审计
MitTJl■«
mV
、t«VtE
ta
A
・《9”HMWS«
WIWJUKVMPIm.MJUIAJM4M
WIMMACBMPI,性myXi仲3m、■<»
应阳剧□;;:
mibUKSXMi«iw.uiciMmWMAJJJUBMn1*117.UKSMK
・5WK计
酬息
•土
平台跚
iPad
i
>iDMlttt
IiAiai>e
•U2.tax>
■IdHM..
*IlJJWJJtr血z.*
■izak
»fJJI
MV1.I4UJ«
IlP^4«U.»
UPUA2R
U加•”J
HP/.KJJ*:
utD-taxo
umax*
233
jn
2M
in
oa
B
ZM
5
HO
««■*<▼««
M0»
■oa
Mmoa
Mewooi
詡乍wvt
、「L|Tnrrn・
wmjnuBMPiiwmSk^w^oitoim
Z"H0M4狀OKSMI.*
UM»lPi
UOMItOai«UAdr.d(tMIttOKVlmC^A*XMIPJSXUImt^nMtrAtiirmpiicgy*tUIW.U6(BMPt1I9.K2.UHMttaaWICV^MSMwi«azi3mMRiQMjau人gintawdnaiMWB
M*WMCitoO
1iMtaUM
移嫉端用
户自识S!
l
.?
U
JII?
“nI:
llltWJJtHQJM^Ua
HOAtM.mtVduMiriHI
»n
Addroid/IOS
M4j
I14
MhMZgMi(8blMl(CAM
MUCD
平台期
碗罗拉
f0«力8
»«*mxm-
M7(UlinMHCDtfro-irjw・
Mm»
CT«CtO0M*
47?
J«
w
:
打为
平台陶
fn»u«-HI
«T^1Mn・t4rt8n-iriM
Vfl
Vfl
M
;2H
:
8Q4
»U^34IM«)托1«MA)
MU«»K4
20n4«-(4
»1M»Hl«3IM
紧贴最新互联网业涪应用.针对用户.应用、动
作、萦统、平需细化审计
•微倍认证上网方便、快捷、安全
移动客户端连接ssid或扫描二维码上网时■浏览器弾出porta1页面
止«•
0矿,lu
4,0
•O
用户点击一键打开微倍连Wi-Fi按钮,从浏览器肠濮到微倍界面(点击立即连接后,
用户成功上网
■fSilWin
外来人员使用笔记本(有线/无线)连接认证网络•访问网页•页面跳转至认证界面。
使用
手机扫描浏览器二维码,弹出认证确认页面,手机确认后,pc即认证成功,可以正常上网。
用户上网擁:
1•手机3G或4G模式下扫码连wif1手机在3G或者4G模式下扫描二维码.
使手机连接对应的ssid。
c.
•l“iua
tlFlK
irt
y»
扫碍之启提示
点击立BP谨接
2.连接ssid之后推出portaI,开始认证流程。
•&・'#
*,•
・o・•
<5
**<-・r
MilAVR
推回figportal
唤醒的微信
连接之后
•短倍认证
-M耶・<1・-T:
TSM>
192,166.10.1C
23©
.?
!
A8CDEF©
2.2.7无线网络架构设计
无线局域网技术经过十几年的发展<已经历了三代技术及产品的发展。
第一代无线局域网主要是采用FatAP(即"胖”AP),每一台AP都要单独进行配5,费时、费力、费成本;
第二代无线局域网融入了无线网关功能但还是不能集中进行岛和配量具簷理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈•由于这一代技术的AP储存了大量的网络和安全的配董,包括加密的钥恶Radiusclient的安全密
码(secret)等,而AP又是分敵在建筑物中的各个位置,一旦AP的配爲被盗取读出并
修改,其无线网络系统就失去了安全性。
另外由于AC或无线网关的硬件多数是墓于Pen
tium架构的,所以当用户接入数量(IPsessions)增多时,无线网的性能会憩剧下降,时常会发生掉线或死机情况。
在这样的环境下,基于无线交换机技术的第三代WLAN产品应运而生。
第三代无线局域网采用无线交换机和FITAP(即"瘦”AP)的架构,对传统WLAN
设备的功能做了畫新划分,将密集型的无线网络和安全处理功能转移到集中的WLAN交
换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安獸RF监测、无缝漫游以及Qos。
,使得无线局域网的网络性能、网络簣理和安全管理能力得以大幅
提高。
FATAP方案
FITAP方案
技术模戒
传统主流
新生方式,增强管理
安全性
传统加密、认证方式,普通安全性
增加射频环境监控,基于用户位置安全策略,高安全性
网络管理
对每AP下发配置文件
无线控制器上配置好文件,AP本身零配置,自动下载配置文件
用户管理
类似有线,根据AP接入的有线端口区分权限
虚拟专用组方式,根据用户名区分权限
WLAN组网规模
L2漫游,适合小规卿财
L2、L3漫游,拓扑无关性,适合大规模组网
增值业务能力
实现简单数据接入
可扩展语音等丰富业务
室内无线覆盖将使用大量无线接入点(AP)提供无线网络接入服务必须有效实现多个A
P的统一策略部署和可蠡的安全认证机制,因此,采用FITAP的解决方案即采用无线控
制器结合瘦AP与无线网络管理系统的架构。
综合上述分析•对于大规模部署的无线局域网,我们建议采用FITAP的方氯
采用FITAP解决方案构建的无线局域网具有以下功能和特点:
FITAP解决方秦采用集中式架构,在不改变其网络的原有规划和部署的情况下.甚至
不需要中断原有网络就可以轻松蠱加一个无线网络该无线网络和原有的有线网络可以形成有线无线F化的接入方案,可以大大减少网络升级和部署的成本。
易于管理■AP"零配置”
采用无线控制器和FITAP配合组网时,只需要在无线控制器上对一类相同厲性的
AP建立配爲模板AP在启动时可以自动从无线控制器上下载最新的配爲文件•奠正做到了
零配畫,免维护,即插即用板大地减轻了网络管理员在部署网络阶段的维护工作量。
A方便升级
FITAP还支持软件自动更新功能■在其每次畫新启动时会自动比较当前运行的版本
和无线控制器上保存的版本,如果无线控制器上保存的版本更新.AP会自动更新本地的软件映像,软件升级不再需要网管人员的干预。
漫游
无线控制器支持三层漫游,并支持快速漫游,漫游切换时间小于50mS,满足5(砌换时间要求最苛刻的语音业务。
>支持虚拟AP
FITAP支持多SSID实艇拟AP馳,每个SSID可对应不同的VLAN、从而对
于每一个SSID可以实现不同的网络服务及认证方式。
该特性使管理员可以方便的为不同用
户群、不同的业务制定区分的服务策略。
丰冨的RF管理和安全
RF管理功能,可以使得无线网络的布网灵活性大大增强,网络的可维护性得到很大的
提高。
AP的功率调整和倍道切换是网络部署和调试时不可缺少的遁要手段•倍道和功率还需
要按照国家代码自动设董•无线控制器的RF管理功能使得网络部署非常简单。
RSSI/SNR的不断更新,更理让系统可以适时了解每一个无线用户所处电磁环境的好坏、离AP的距离,从而可以采取相应的策略来提升网络可用性。
>支持智能的员载均衡
支持智能负载均衡技术•保证只对处于AP覆盖靈蠱区的无线用户才启动AP负载均
衡功能,有效的避免误均衡的出现,从而最大限度的提高了无线网络容量。
IPv6
无线控制器实现了IPV4/IPv6双协议栈。
AP和无线控制器之间可以穿过IPv6网络
互联,从而使组网方式更加灵活,可以满足今后网络发展的需要,保护用户投资。
完善的QoS
无线控制器支持Diff・Serv标准包括流分类.流畳监管(Policing)、队列簣理、
队列调度(Scheduling)等,完整实现了标准中走义的EF、AF1~AF4、BE等六组PHB及业务『可为用户提供典有不同服务质墨等级的服务保证,奠正成为同时承翳据.语盲和视频业务的综合网络。
室内放装
对于大楼内厲于-般的办公楼类型,放用最简单的室内吸顶安装覆盖。
楼道放装模式
应用场景:
办公楼层、会客区等;
角色:
员工、访客.合作伙伴;
终端:
笔记本电脑,手机终端,平板电脑;
AP部署方式:
根据室内墙体阻挡情况部署多个AP覆盖採用吸顶或者圈圭安装;
AP采用H3C、观华为WA4320i双频无线AP,支持1167Mbps的无线
传输速率以及整机千兆接入能力,全面支持IPv6特性,支持IPv6PortalIPv6SAVI,支持频谱分析.频谱导航漫游导航•无线定位C无线终端准入.无感知认证。
功率调整
传统的射频功率控制一般缺省将发射功率设■为最大值,单纯地追求倍号覆