XX医院无线网络设计方案.docx
《XX医院无线网络设计方案.docx》由会员分享,可在线阅读,更多相关《XX医院无线网络设计方案.docx(31页珍藏版)》请在冰豆网上搜索。
XX医院无线网络设计方案
XX医院无线网络设计方案
项目名称:
XX医院无线网络建设
申报单位(盖章):
项目起止日期:
XX编制
X年X月X日
XX医院无线网络建设
第一章项目概述
1项目名称:
XX医院无线网络设计方案
2项目建设单位:
XX医院
3项目建设方案编制依据
医疗行业正处于从基于纸张的手动流程驱动的行业向基于无纸化的数据传输工程中。
通过移动的技术,医院和医疗中心能够以更低的成本更有效地采集及管理信息,这不仅节省了资金和时间,而且在特殊情况下还挽救了生命。
移动医疗业务在推进医院数字化进程、提高病人满意度、提高医疗服务质量、降低医疗事故及差错、提高医护人员工作效率、降低医护人员劳动强度起着重要的作用。
Ø卫生部印发的《医院信息平台技术解决方案(试行)》
Ø卫生部印发的《卫生部电子病历基本架构与数据标准(试行)》
Ø卫生部印发的《综合卫生管理信息平台建设指南(试行)》
Ø卫生部印发的《电子病历系统功能应用水平分级评价方法及标准(试行)》
4项目概况
4.1项目背景
4.2建设目标
4.2.1业务建设目标
在医疗行业,无线的应用主要在以下2个方面:
护士移动护理:
护士们在护理病人的时候,只需手持一个PDA终端,即可进行病人信息以及药品信息的核对。
在核对时用PDA扫描病人的腕带便可随时查看病人的电子病历,也可扫描药品条码,以保证医嘱的可靠执行。
此外,还可在现场完成病人体征信息的录入,录入PDA的信息通过无线网络,与电子病历实时同步。
医生移动查房:
医生在查房过程中,随身携带平板电脑或手推车载笔记本电脑,通过无线网络与服务器相连,可现场直接往系统中录入医嘱信息。
也可随时调出病人的历史电子病历,包括PACS影像系统,以保证准确治疗。
4.2.2系统建设目标
高可靠性:
WLAN在医疗网络中承载业务众多,可靠性犹为重要。
采用Fit(瘦)AP方案,全网统一部署,单点AP故障可通过其他AP的功率调整进行补偿。
AC(无线控制器)为运营级高可靠架构,主控板、电源均可冗余备份,并支持热插拔。
高信号质量:
2.4GHz频段为ISM频段,其他应用带来的干扰较多,推荐采用双频AP进行覆盖,重要的业务采用5GHz频段进行承载,2.4GHz频段用作Internet接入等非关键用途。
此外,拥有专业的网络优化团队,可以对AP进行最合理的布放和调试,确保信号覆盖最佳,干扰最低。
高安全性:
为防止医疗信息的泄露,医院内部网络需要严格控制访问权限,并采用最严谨的加密方式。
同时支持业界安全等级最高的WLAN安全标准,802.11i和WAPI,前者为国际标准,后者为我国国标。
此外,提供业界领先的终端准入控制解决方案,,可以有效防止非法人员的接入,并能对内网接入设备进行严格检查与审计,从根本上维护WLAN网络安全性。
精确的定位:
采用的基于IP的WLAN定位方案,从根本上实现了有线无线网络的一体化,无需再额外引入其它系统,避免了重复建设和运维管理成本,有效降低用户投资。
。
同时,在AP合理布放的情况下,定位精度可达2米左右,完全满足医疗卫生应用。
易部署、易管理:
推荐采用PoE交换机供电,并通过网管软件把有线网络和无线网络进行统一管理。
由于AP通常布置在房间或楼道里,通过PoE供电方式可以省去大量布线工作。
并通过网管对PoE交换机端口的统一控制,可以轻松管理AP的开断;同时,网络管理软件有线无线同一拓扑,同一中文管理界面,可以让管理人员快速便捷准确的定位出网络故障,避免了两套网管来回切换的尴尬。
4.3系统建设范围
第二章信息化现状分析及系统总体建设方案
5软件建设
目前现有网络管理软件一套,实现对下属各分院无线网络设备的管控,详见附件一。
6硬件建设
现有无线汇聚交换机2台、无线控制器(AC)1台,无线AP293台,POE交换机19台,无线管理软件1套,整体运行状况良好,具体描述详细见附件二。
7网络建设
8基础环境建设
第三章总体建设方案及业务需求
9业务需求
9.1业务分析
Ø病区无线网络覆盖,满足移动医护系统需求;
Ø无线网络覆盖范围:
对住院楼1-5层、康复楼2-3层,病区护士站、医生工作站、病房、过道等区域进行网络覆盖;
Ø无线网络模式及接入方式:
AP模式;
Ø无线网络支持协议,及最高速率:
802.11AC、802.11n技术,兼容802.11b/g协议、802.11a协议;
Ø安全及管理:
保证数据通讯的保密性和网络的稳定性;在保证信号强度情况下,输出功率在医疗安全要求标准内;对各种接入模式均要满足无线终端的快速移动、无缝漫游等;实现集团无线网络统一管理,统计接入认证,支持射频工作信道自动管理、射频功率强度管理、射频抗干扰管理等。
9.2功能设计与结构模块
分析现有查房流程和工作模式,结合移动技术及触摸特征带来的便利,优化工作流程,建立一套新的查房服务模式,系统结构模块结构图如下:
10总体建设方案
10.1总体设计思路与原则
系统的总体设计思路基于以下几点:
高可靠移动医疗
移动医疗业务实现7*24小时不间断运行。
高覆盖质量、无缝漫游
对目标覆盖区域内实现工作区域全覆盖,接收信号电平≥-70dBm,单个AP用户并发数≤20个。
在目标覆盖区域内,要求单用户接入时数据传输平均速率不低于100Mbps,支持用户在覆盖区域内快速移动,业务不中断,支持智能负载均衡功能,即AP超过负载超载时,会自动计算周围空AP并进行接入,求非OEM产品。
技术先进、高性能
采用目前先进的智能无线网络架构,选择主流的802.11n技术,兼容802.11b/g协议、802.11a协议。
灵活部署、易于扩展、高性价比
为方便医院网络的部署和未来维护的方便性,医院无线网络应具有灵活部署、易于扩展的特性,支持无线接入点的即插即用功能。
当然,医院无线网络要具有良好的性价比。
10.2建设方案
10.2.1无线网络规划拓扑图
对于一个无线接入点较多、覆盖范围较大的无线网络,采用FITAP组网方案,无线交换机作为中央集成控制设备实现对整网AP的管理控制,除了传统WLAN网络能够实现的无线接入基本功能之外,能够提供基于三层的漫游切换、基于用户名的权限区分,并可对未授权的非法AP和客户端接入网络。
楼层AP天线通过6类网线连接到弱电间的POE交换机,每三层安排一台24口POE交换机。
网络架构示意图如下:
10.2.2无线网络部署平面图
医院住院楼1-5层,每层走廊为一字型结构,走廊长度约为60米,天花板为石膏板,病房有3-4个病床,房间深度约为6米,门为木质结构,病房数量约为20间左右,楼层面积约1000m²,墙体为实体墙,根据实际情况,每层在过道天花板上部署7个AP(按照实际确定)设备,AP通过6类网线与楼层弱电间POE交换机连接.
康复楼2-3层,每层走廊为一字型结构,走廊长度约为80米,天花板为石膏板,病房有3-4个病床,房间深度约为6米,门为木质结构,病房数量约为30间左右,楼层面积约1500m²,墙体为实体墙,根据实际情况,每层在过道天花板上部署10个AP(按照实际确定)设备,AP通过6类网线与楼层弱电间POE交换机连接.
10.2.3无线AP的管理
住院楼1-5层、康复楼2-3层无线网络的覆盖需要部署60个(按照实际数量调整)无线AP设备,假如每个AP都单独管理,维护工作量巨大,故此次采用无线控制器+瘦AP+无线管理软件的方式,通过无线控制器、无线管理软件统一对无线AP设备、无线终端进行配置、管理、扩容。
10.2.4无线AP供电模式
为了方便无线AP的部署和安装,无线AP采用POE远程供电,通过POE供电交换机对无线AP进行供电,在楼层弱电间部署POE供电交换机,POE供电交换机通过千兆单模光纤与中心核心交换机互联,POE供电交换机通过六类双绞线与楼层AP连接,对AP进行远程供电。
10.2.5无线网络安全部署
医疗行业对无线网络的应用都比较谨慎,安全问题首当其充。
这种情况通常发生在无线空间没有安全控制的情况下。
如果一个非法用户与合法AP建立连接,就意味着我们的网络向外部开放了,这会导致重要数据和信息外泄。
我院无线安全应提供多层次多技术手段进行安全防范:
层次体系
主要技术
解决的问题
物理接入
WEP64/128、TKIP、CCMP加密
可升级支持WAPI加密
防止无线报文被监听和篡改
SSID隐藏
解决不明用户访问网络
逻辑链路
802.1x/PSK/MAC/Portal
多种认证方式的混合接入
802.1x支持PEAP/TLS/TTLS/SIM多种模式
可升级支持WAPI认证
用户身份鉴别和安全准入
动态下发用户的权限
业务隔离
Hotspot用户隔离
限制用户互访
黑名单
限制恶意用户
网络
无线入侵检测系统
非法设备的检测、无线攻击的告警和规避
安全策略在无线控制器统一部署
避免在大量的无线接入点部署策略
AC和AP间的CAPWAP隧道下行流量限速
防范外界对AP的数据流量攻击
资源绑写(MAC、ESS、VLAN、Port)
最大可能防止AP假冒
设备
AP本地不再保存配置信息
避免设备丢失造成配置泄漏
AP身份认证
只有合法的AP才能和无线控制器建立关联
AP支持多无线控制器的冗余备份
无线控制器down机不会造成无线网络的瘫痪
网管
无线安全策略配置
无线安全策略的统一部署
非法设备监控和告警
非法设备的检测、无线攻击的告警和规避
设备信道调整告警
了解设备遭受干扰后的信道调整情况
10.3设备选型原则与配置清单
序号
设备名称
规格要求
数量(台)
备注
1
无线控制器
技术参数要求:
1.单台控制器最多管理AP数量≥1000个;
2.可配置SSID数量≥512个;
3.支持对802.11a/b/g/nAP进行统一控制;
4.支持内置1+1电源冗余,可插拔电源,根据需要选择AC/DC接入;
5.支持无线终端跨IP子网的快速无缝漫游,良好支持语音业务,并保持全网漫游身份的唯一;
6.支持802.1x,包括EAP-PEAP,EAP-TLS,EAP-TTLS,EAP-SIM,EAP-MD5等加密技术;
7.支持基于用户名的安全策略,并支持跨交换机之间漫游的用户安全信息共享;
8.支持WAPI;
9.支持IPV6;
10.支持DHCPServer和Relay;
11.支持RIPV1/V2,支持OSPF;
12.支持SNMP(V1、V2、V3),支持有线和无线网络的统一网管,支持远程HTTP、HTTPS配置管理;
13.设备提供三年质保。
14.设备厂商必须通过能力成熟度认证CMMI4级及以上,投标时并且提供相关复印件。
硬件配置要求:
1.10/100/1000M电口≥24个,1000M光口接口≥4个,万兆口数量≥2个;
2.本次配置AP许可授权≥64个。
其他要求:
1.设备利旧说明:
集团现有无线控制器一台,配置320个AP许可,若投标人所投无线AP可以兼容该控制器,仅需对原有无线控制器设备许可授权扩容即可(确保通过验收及采购人能正常使用)。
否则投标人须在投标文件清单中列出新的设备(须满足招标文件要求)并对该设备进行报价(含在总投标报价内)。
1
部署到网络中心
2
POE交换机
技术参数要求:
1.交换容量≥240Gbps,转发性能≥60Mpps;
2.提供IPv4和Ipv6三层路由功能;
3.提供基于端口、VLAN下发ACL,支持基于时间段的ACL,支持基于硬件Ipv6的ACL;
4.VLAN表项≥4K;
5.提供STP/RSTP/MSTP协议;
6.提供IGMPSnoopingv1/v2/v3,MLDSnooping;
7.提供DHCPClient、DHCPSnooping、DHCPSnoopingOption82功能;
8.设备提供三年质保。
硬件配置要求:
1.每台提供24个10/100/1000Base-T以太网端口,24端口均支持POE+供电;
2.每台提供4个非复用的1000Base-X千兆SFP端口;
3.每台提供千兆单模模块2个
3.与无线控制器同一品牌。
4
部署到楼层弱电间
3
无线AP
可支持瘦AP工作模式,协议支持802.11a/b/g/n,同时支持802.11a/n、802.11b/g/n,双频速率600Mb1个千兆电口,设备采用内置矩阵天线或硬件智能天线,支持POE和本地供电,内置2.4G及5.8G天线,支持标准802.3afPoE供电方式及外部供电,支持802.1x认证、MAC地址认证、PSK认证、Portal认证等,支持吸顶式或挂壁式安装要求
设备提供三年原厂质保。
60
按照每层满足走廊、病房内、医生办公室等区域无线信号覆盖部署,每层实际安装数量根据产品自身情况进行,实际情况调整。
另提供3个AP作为备用。
4
汇聚交换机
技术参数要求:
1.交换容量≥256Gbps,转发性能≥100Mpps;
2.提供静态路由、RIP,OSPFv2,BGP,ISIS,RIPng,OSPFv3,BGP4+forIPV6,ISISv6;
3.提供基于端口、VLAN下发ACL,支持基于时间段的ACL,支持基于硬件Ipv6的ACL;
4.提供STP/RSTP/MSTP协议;
5.提供IGMPSnoopingv1/v2/v3,MLDSnooping;
6.提供DHCPClient、DHCPSnooping、DHCPSnoopingOption82功能;
7.设备提供三年质保。
8.所投产品厂商须通过TL9000质量管理体系认证、工信部入网许可证,并在投标文件内提供证书复印件。
硬件配置要求:
1.每台提供24个千兆光口;
2.每台提供2个万兆光口;
3.每台配置同品牌2个万兆多模模块,12个单模模块;
4.每台配置冗余电源;
5.与无线控制器同一品牌。
2
南院部署一台;传染病院部署一台
5
网线
Ø线规:
23AWG无氧铜
Ø规格:
线对采用线对隔离的4对六类非屏蔽双绞线(UTP)
Ø工作温度范围:
-20℃到60℃
Ø外皮:
低烟无卤级的产品,其中低烟散发符合IEC61034-2标准,无腐蚀散发符合IEC60754-2标准,阻燃能力符合IEC60332-3;
Ø支持短链路及六链接
Ø外皮颜色:
根据业主需求可提供多种颜色
Ø有效带宽:
≧250MHZ
3000米
根据现场情况,由中标单位根据实际需要提供
6
网络六类非屏蔽模块
Ø匹配线规:
22-24AWG
Ø卡接次数:
≧750次
Ø模块主体塑料材质:
聚碳酸酯(PC)
Ø打线方式:
T568A或B
Ø标签:
自带明显数据或语音标签
Ø阻燃级别:
耐高冲击及阻燃型,★
Ø强度要求:
耐抗击强冲击
Ø工作温度范围:
-10至60度
Ø安装方式:
任选90度直插或45度斜插
100个
根据现场情况,由中标单位根据实际需要提供
7
无线网管
1.用B/S架构,对无线交换机、无线AP、POE供电交换机等设备实现统一网管(交换机面板、统一的无线有线管理、智能告警、直观的状态监控);
2.支持网络管理与用户管理联动,如通过点击拓扑楼层接入交换机图标,可查看该设备所有接入用户帐户信息,查询在线用户列表、强制用户下线、下发消息、总在线用户数统计、不安全用户数统计等;
3.支持802.1x、Portal、L2TPIPSecVPN、无线等多种网络环境的身份认证,支持基于端口的802.1x和基于MAC地址的802.1x,可管理HUB或非智能交换机下的多个用户;支持用户名、密码与用户IP、MAC、VLAN、设备IP、设备端口、主机名、域用户、SSID等多种元素的绑定认证;
4.支持对软件进行监控、对进程进行监控、支持对服务进行监控。
支持纯白软件管理,终端用户只能安装该纯白软件列表中的软件,不能安装该纯白软件列表之外的软件。
支持MD5方式进程检查,即使修改进程名也无法逃避检查;
5.使用同一个客户端实现网络准入、用户认证、终端安全状态检查、桌面资产管理等所有功能,避免多个客户端带来的管理不便;
6.配置网络智能管理软件一套,配置64个无线AP管理授权;配置终端安全准入控制组件,提供管理客户端100个终端准入的授权。
7.与无线控制器同一品牌。
8.设备提供三年质保。
其他要求:
1.设备利旧说明:
集团现有网络管理软件一套,配置320个无线管理授权,客户端500个终端准入授权。
若投标人所投网管可以兼容并管理现网无线设备,仅需对原网管许可授权扩容即可(确保通过验收及采购人能正常使用)。
否则投标人须在投标文件清单中列出新的设备(须满足招标文件要求)并对该设备进行报价(含在总投标报价内)。
1套
8
辅材
pvc管道、成品跳线、配线架、理线架、光纤跳线
1批
根据现场情况,由中标单位根据实际需要提供
第四章其他
11标准问题
应符合以下设计标准:
Ø医院使用的无线局域网设备必须符合中华人民共和国无线电管理相关规定和技术标准,并拥有中华人民共和国信息产业部颁发的无线电发射设备型号核准证及CCC证书;
Ø所部署的无线局域网解决方案要具有异常无线信号的检测、定位和抑制功能;
Ø禁止客户端之间的Ad-hoc访问,即不允许无线客户端之间不通过AP而进行直接的通信;
Ø用增强的加密算法,并使用动态密钥,以保证患者和医院的重要信息的安全私密性;
Ø如果为病人提供无线上网服务,必须用独立的SSID创建独立的病人WLAN虚网,并且只在病人WLAN虚网上使用广播SSID,开放认证和数据的明文传输;对医院内部使用的WLAN虚网,需要参照上文描述的安全策略实施安全防护。
12接口问题
系统涉及到和网络运维管理软件对接。
所有系统对接的接口问题由业主负责协调解决;中标方承诺免费深度开放系统接口。
注:
所有项目建设方案编制必须按照上述要求填写,若方案编制与提纲不符,我办有权不予受理。
附件一:
软件建设描述
序号
名称
提供商
软件功能概述
建设
日期
使用
情况
1
无线网络运维管理软件
无线设备及交换机的管理与维护
良好
2
3
4
5
6
7
8
附件二:
硬件建设描述
序号
名称
品牌型号
硬件配置情况
采购
日期
使用
情况
1
无线AC
华为AC6605
24个10/100/1000Base-T以太网端口,4个千兆SFP,PoE+,交流供电
良好
2
无线AP
华为AP5010DN-AGN
802.11n,室内普通型2x2双频,内置天线
良好
3
接入交换机
华为S5700-28P-PWR-LI-AC
24个10/100/1000Base-T以太网端口,4个千兆SFP,PoE+,交流供电
良好
4
汇聚交换机
S5700-28C-EI-24S
24个千兆SFP,4个复用的10/100/1000Base-T以太网端口Combo
良好
5
6
附件三:
基础环境建设描述(空调、UPS等设备注明有无)
序号
面积
空调
UPS
网管
监控
气体
灭火
建设
日期
使用
情况
1
2
3
4
5
6
7
8
附件四:
软硬件配置清单
XX医院无线网络项目预算
价格单位:
元
序号
设备名称
技术指标及参数
数量
单位
单价
总价
安装位置及作用
1
无线控制器
1.单台控制器最多管理AP数量≥1000个;
2.可配置SSID数量≥512个;
3.支持对802.11a/b/g/nAP进行统一控制;
4.10/100/1000M电口≥24个,1000M光口接口≥4个,万兆口数量≥2个
其他要求:
1.设备利旧说明:
现有无线控制器一台,配置320个AP许可,若投标人所投无线AP可以兼容该控制器,仅需对原有无线控制器设备许可授权扩容即可(确保通过验收及采购人能正常使用)。
否则投标人须在投标文件清单中列出新的设备(须满足招标文件要求)并对该设备进行报价(含在总投标报价
1
台
45000
45000
用于对无线设备的管控
2
POE交换机
1.每台提供24个10/100/1000Base-T以太网端口,24端口均支持POE+供电;
2.每台提供4个非复用的1000Base-X千兆SFP端口;
3.每台提供千兆单模模块2个
4
台
12000
48000
部署到相应院区的弱电井,用于AP设备的供电
3
无线AP
可支持瘦AP工作模式,协议支持802.11a/b/g/n,同时支持802.11a/n、802.11b/g/n,双频速率600Mb1个千兆电口,设备采用内置矩阵天线或硬件智能天线,支持POE和本地供电,内置2.4G及5.8G天线,支持标准802.3afPoE供电方式及外部供电,支持802.1x认证、MAC地址认证、PSK认证、Portal认证等,支持吸顶式或挂壁式安装要求
60
台
2600
156000
部署到相应院区的走廊,用于无线信号的接受与发送
4
汇聚交换机
1.每台提供24个千兆光口;
2.每台提供2个万兆光口;
3.每台配置同品牌2个万兆多模模块,12个单模模块;
4.每台配置冗余电源;
2
台
25000
50000
部署到相应院区的网络中心,用于上下行数量的发送与接受
5
网线
六类非屏蔽双绞线(UTP)
3000
米
5
15000
根据现场情况,由中标单位根据实际需要提供
6
网络模块
网络六类非屏蔽模块
100
个
100
10000
根据现场情况,由中标单位根据实际需要提供
7
无线网管
1.用B/S架构,对无线交换机、无线AP、POE供电交换机等设备实现统一网管(交换机面板、统一的无线有线管理、智能告警、直观的状态监控);
2.使用同一个客户端实现网络准入、用户认证、终端安全状态检查、桌面资产管理等所有功能,避免多个客户端带来的管理不便;
3.配置网络智能管理软件一套,配置64个无线AP管理授权;配置终端安全准入控制组件,提供管理客户端100个终端准入的授权。
其他要求:
1.设备利旧说明:
集团现有网络管理软件一套,配置320个无线管理授权,客户端500个终端准入授权。
若投标人所投网管可以兼容并管理现网无线设备,仅需对原网管许可授权扩容即可(确保通过验收及采购人能正常使用)。
否则投标人须在投标文件清单中列出新的设备(须满足招标文件要求)并对该设备进行报价(含在总投标报价内)。
1
套
40000
40000
用于对下属院区已有无线网络设备的管控与监视
8
系统实施、培训、维护
项目系统实施、培训、三年原厂维保
1
次
36000
36000
升级会员 