医院无线网络设计Word下载.docx

1、结合医疗行业和WLAN的实际应用与发展要求，无线局域网（WLAN）网络系统设计本着建设功能完整、技术成熟先进的网络系统的前提下，主要遵循以下系统总体原则： 高可靠性原则：网络系统的稳定可靠是应用系统正常运行的关键保证，对于医院网络来说，更是如此，在网络设计中特别是关键节点的设计中，选用高可靠性网络产品，并合理设计网络冗余拓扑结构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地保证医院办公系统的高效运行。 技术先进性和实用性原则：以现行需求为基础，保证满足医院办公应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到医

2、院网络应用的需求和未来的发展趋势。 安全性原则：WLAN是一个空间开放网络，同时作对信息的安全以及网络的安全要求较高。制订统一的骨干网安全策略、VLAN策略和过滤机制，整体考虑网络平台的安全性。 高性能原则：承载网络性能是医院整个办公系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图像）的高质量传输，力争实现透明网络，网络不能成为医院实施业务的瓶颈。 规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技

3、术方案；设备的各种接口满足开放和标准化原则。 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。 可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。1.2. 总体方案设计医院无线网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法

4、。 H3C无线方案理解为是有线网络的外延，整个方案设计的要点主要包括认证点的选择问题、网络安全设计、无线网部署、网络管理几个方面。我们将在后面的方案详细设计中进行分析和方案描述。1.2.1. 认证方式选择在认证点选择方面，由于H3C公司提供的是（FIT WAP2110）加核心交换机上无线AC控制器插卡进行组网的方案，（WAP2110）与AC控制器通过二层隧道协议通信，无线用户的认证点都是放置于AC控制器上。这样组网的优势是：当用户在不同（WAP2110）之间进行L2、L3漫游切换的时候，可由AC控制器对用户的漫游切换进行管理控制，对于用户来说可以在无需重新认证的情况下跨区域开展业务。业界主要采

5、用802.1X认证终端软件与AP、无线交换机、iMC配合使用进行802.1x认证，或者采用Portal认证，后面具有Portal/Web与802.1X认证二种方式的比较。目前无线交换机能够同时支持802.1X/WEB PORTAL认证，当用户数较少的时候，可以在AC控制器本地建立用户数据库，将用户鉴权点放在AC控制器本地进行；当用户数达到一定规模的时候，也可将用户数据库放在H3C的iMC系统上，iMC与AC控制器配合作为用户鉴权点。由于医院的网络主要用于护士和医生工作，并不提供作为公众运营网络接入，我司本次的WLAN建设中，建议采用： 无线AC控制器完成用户的认证终结和用户鉴权； 此方式具有的

6、优点：用户认证完成实体主要体现于无线交换机系统，呈现一个集中模式，便于维护与统一控制，无线系统用户与有线用户区分开来管理，保证无线系统的安全性；1.2.1.1. 802.1X认证方案介绍802.1X协议是IEEE在2001.6通过的正式标准，标准的起草者包括Microsoft，Cisco，Extreme，Nortel等；802.1X定义了基于端口的网络接入控制协议（port based network access control），该协议适用于接入设备与接入端口间点到点的连接方式，其中端口既可以是物理端口，也可以是逻辑端口。H3C的FIT AP无线组网方案中，由后端的无线交换机对所有认证报文

7、进行终结，并提取出用户名和密码信息交由后台的iMC进行用户鉴权。用户使用802.1X认证的过程如图所示：802.1X及WEB PORTAL认证流程示意图接入AP的无线终端采用802.1X模式，首先接入AP的客户端通过802.1X认证输入用户名、密码后客户端发起EAP报文至无线交换机，在无线交换机上终结EAP报文，然后从无线交换机经以太网交换机发起Raduis报文至iMC服务器，由iMC服务器来验证用户名、密码是否匹配，在认证通过以后由iMC服务器下发Raduis报文至无线交换机通知该用户认证通过，无线交换机中再将相对应的逻辑端口打开，允许学习MAC地址，允许用户上网。H3C公司对802.1x认

8、证方式进行了优化，使其可以支持基于MAC的用户控制，即一般情况下如果多个用户连接到一个HUB，其中一个用户认证通过后，其他用户也能够使用网络，但H3C公司对802.1X认证方案优化后，只有认证通过的用户（MAC）才能使用网络，其他用户还是不能使用网络。1.2.1.2. WEB认证方案介绍WEB用户上网时，设备强制用户到门户网站，并提供门户网站主页，用户可以免费访问其中的服务。当要使用互联网中的其他信息时，则必须在门户网站进行认证，只有认证通过后才可以使用这些服务。WEB认证用户不需要安装额外的客户端软件。在H3C的FIT AP方案中，使用WEB认证时，强制Portal仍然是在无线交换机上进行。

9、使用WEB认证时不需要安装客户端软件，使得管理和维护更简单，并同时能利用iMC的功能较好地对用户进行控制，如用户端口绑定、用户IP绑定、用户MAC绑定等，但无法做到用户通知消息下发和防止用户使用代理。1.2.1.3. WEB认证与802.1X认证对比功能WEB认证802.1x认证客户端软件不需要需要客户端版本限制不支持支持自动探测并屏蔽代理服务器限制多网卡、拨号上网显示当前网络状态及认证状态异常下线探测功能消息下发对AAA服务器的特别要求无分布式认证网络性能影响低Radius服务器的性能影响标准化程度高IP地址浪费1.2.2. 有线无线混合组网下的认证方案对有线用户和无线用户进行分别认证，有线

10、用户在以太网交换机上实现认证，无线用户在无线交换机设备上实现认证。通过在iMC上设定对应的绑定区域，对于只能使用有线上网的用户绑定所有以太网交换机IP地址，无线上网用户由于其漫游特性，无需绑定到无线交换机的IP地址。设备要求：实现认证的以太网交换机和无线交换机必须支持标准Radius协议，能够和iMC CAMS配合实现认证计费功能。如果要实现H3C扩展的Radius功能，如防代理、消息下发等功能。则必须使用对应的H3C设备。1.2.3. 用户管理iMC系统功能强大，操作简单，在用户认证管理上，具有以下特点： 用户绑定功能iMC 支持绑定用户名和设备IP地址、入端口号、VLAN ID、用户MAC

11、地址、用户IP地址等信息，保证用户绑定合法性。并支持用户MAC地址和用户IP地址自学习功能，大大减少管理员的录入量。 认证区域绑定功能通过认证报文上传的认证接入设备IP地址，iMC系统可实现认证区域绑定功能。用户上网的区域可被限制在一定范围内，增强了网络的安全性。 防代理功能针对医院用户，iMC提供防代理功能，禁止用户使用代理上网，并支持限制用户使用的客户端，要求用户必须使用专用安全客户端，并强制自动升级，确保认证客户端的安全性。目前iMC系统的防代理功能必须要与H3C交换机配合实现。 用户黑名单管理iMC认证系统支持黑名单管理，支持手工加入黑名单、自动将欠费用户加入黑名单、自动将恶意登录用户

12、加入黑名单、自动将充值失败超过阈值用户加入黑名单并提供黑名单增强功能：在被试探帐号加入黑名单的同时记录恶意试探机器的MAC地址，限制从该MAC地址的机器试探该帐号，但被试探帐号可以在其它MAC地址的机器上正常使用，保证登录用户的合法性。 用户上网全程监控iMC CAMS认证计费系统能对医生上网的全过程进行管理，实现医生上网的实时监测。对于网络上进行非法操作的医生，具备将用户踢下线的功能，控制医生对网络的使用。1.2.4. 无线网络方案WLAN技术1996年就已经提出，经历一条曲直的道路，已经逐渐被市场认可了，对于无线网络，医院部基本上采用室内覆盖模式，考虑到医院的建筑结构较为特殊，WLAN技术

13、很难穿透建筑物，同时又由于WLAN属于高频窄波，绕建筑物的能力较弱。1.2.4.1. 组网方案 医院的无线覆盖空间主要包括：病房、护士站、医生办公室、会议室等；一般医院病房每间的空间不是特别的大，同时病房之间不是承重墙，建议无线的覆盖方案的原则是：以本着节约、全覆盖的原则，每隔1520米左右布放1个AP。为了避免对病人造成辐射将AP放置在过道可以满足覆盖每一个房间。根据医院设计图纸初步规划，经过初期无线规划，建议每2个三/双人病房区的走道上部署一台Fit AP，每一个VIP病房区单独部署一台Fit AP。1.2.4.2. WLAN组网关键问题解决构架可运营WLAN网络，除了要求AP（Acces

14、s Point）支持宽带无线接入网络的覆盖特性、可运营、可管理特性外，还要求整个网络的开放、兼容、安全、可运营、可管理、可盈利。在构架WLAN公众网络一般基于网络分层的理念，即不同层面的设备承担不同的功能，以达到组合后整网的功能与业务支撑。在实际WLAN可运营组网应用中，网络分为用户接入层、边缘汇聚层、业务控制层、业务管理层。用户接入层对应设备为AP（Access Point），主要承担与终端用户基于802.11协议的PHY/MAC层的协议对接，具体包括工作模式、无线鉴权、ESSID诊别、MAC帧插入、IAPP、节电模式、Allow Guest、MAC层访问控制、用户接入认证报文承载、动态密钥

15、协商等等。此外还要保证承载层的高性能、高可靠性。 AP在设备的设计上支持了此类功能，可以与后台系统进行配合完成认证与计费的功能，对于复杂的NAT、路由策略等其它的高层应用不进行支持。边缘汇聚层对应设备为AC（Access Controller），主要承担WLAN网络接入网关的角色，具体可以支持对用户的合法性认证、计费的发起（Client）、用户管理（访问控制、接入带宽控制、用户的信息绑定），子网内无缝切换的布署、整网安全的布署、整网QoS的布署、子网网络设备管理等以及与业务控制层结合提供增值业务如强制Portal、即插即用、与酒店营帐系统接口等等。在电信运营商可以由BRAS或支持用户管理、认证

16、、计费的汇聚层设备承担，AC的设备形态可以由L2/L3与iMC进行配合使用进行完成；业务管理层主要为WLAN网络提供基于网络服务的业务，由于WLAN具有宽带网络的特性同时也具备无线网络的特性，因此，主要为将运运营增值业务而进行准备，在运营商领域中目前已成熟的宽带价值连业务、移动数据业务均可以部署其中。整网安全H3C的WLAN网络主要服务于公众型用户，运营者与最终用户都很担心安全问题，即用户安全，具体细分包括用户帐号密码的安全，用户上往后计算机内部数据，用户数据在网上传输的安全等。此外，WLAN作为运营网络自身的安全也是运营者必须考虑的问题。H3C公司WLAN解决方案可提供端到端的安全部署，能满

17、足公众运营网络的安全要求。 针对终端用户上网认证的用户名密码的安全：采用802.1X EAP-MD5方式上网的用户，由于EAP-MD5信息本身就是密文传递，用户名、密码的安全能得到保证。采用WEB方式上网的用户，H3C WLAN网络支持标准的SSL/HTTP应用层加密保证用户名、密码的安全。 针对用户上网后计算机内部数据的安全：H3C公司WLAN网络实现了二层隔离，三层受控互访的机制保证用户计算机数据的安全，具体用户在通过认证前能接入的网络都是二层网络，认证通过后，通过网络设备的三层功能可访问所有向它开放的网络。H3C WLAN网络可实现用户在二层网络内是隔离的（无线口AP支持USF以及动态加

18、密功能隔离用户，AP上行支持UIMF功能实现到认证点网段均是二层隔离）。在用户通过认证后，还可以通过强大的ACL控制用户否是允许互访，保证用户的安全。 针对用户上网后数据在网络上传输的安全：无线接口以上的网络基本上为IP网络，用户数据在IP网络上的安全的保证，H3C IP的安全部署是可以保证的，针对空中接口的安全，H3C AP支持以下几种安全机制： MAC地址过滤：目前支持基于MAC地址的过滤，限制具有某种类型的MAC地址特征的终端才能进入网络中； SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络； WEP

19、加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密； 支持AES加密，AES安全机制是一种动态密钥管理机制，同时密钥生成也基于不对称密钥机制来实现的，同时密钥的管理也定期更新，具有体的时间由系统可以设定，一般情况都设定为5分钟左右，这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来，从无线空口的流量来看，基本上是不可能的； H3C的无线方案中的密钥设置可能根据SSID信息与用户信息进行组合，即不同的SSID下不同的用户的密钥生成可以不一样，这样在一定程度上保证用户之间串号问题的产生，从而保护投资，以达到运营平衡。

20、 H3C的无线方案提供无线入侵检测功能，AP 可以不断地扫描空域，以便对要求更高安全性的环境提供全天候保护。一旦无线网络中有非法接入点接入，WAP2110将上报相应的告警给AC控制器，并通过网管软件显示。1.2.4.3. 频率规划与负载均衡 频率规划802.11b/802.11g使用开放的2.4GHz ISM频段，可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11b/802.11g在2.4GHz地工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外，由于功率模板

21、是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。H3C公司针对如何进行802.11b/802.11g的频率规划作了大量的实验，实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖，并提供更高的服务带宽提高服务质量，和高带宽业务的开展。 频率规划原理图频率规划需要配合使用的功能包括： AP支持11个信道设置 AP支持外置天线以及定向天线 针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能结合以上功能的支持，以及勘探工具，可以较好的部署AP达到频率规划的效果。H3C公司针对医院、无线小区、机场、酒店、高密度会议场所（APEC会议）等热点区域进行过频率规划，使用效果较好。 负载均

22、衡H3C WLAN解决方案，AP上支持标准的IAPP协议框架，通过负载均衡的部署，可实现在一个热点内用户平均分配到所部署的所有AP上，达到在一个服务区AP接入用户数何流量的平衡，为用户提供更高的服务质量。具体可部署的负载均衡策略有：1. 对所有AP设置基于用户数的负载均衡功能，AP通过对接入用户数的统计，与设定AP接入用户数量的阀值进行比较，达到阀值后，不允许新的用户接入。2. 对所有AP设置基于流量的负载均衡功能，AP通过对接入用户流量的统计，与设定AP上的流量漏桶阀值上沿比较，达到阀值后，不允许新的用户接入，少于阀值下沿，再允许新用户接入。3. 配合网络规划，设置AP群功能，在一个群内的A

23、P通过组播报文实时通报接入用户数量，当发现AP间用户数差值大于设定阀值，接入用户多的AP将部分用户赶下网。1.2.4.4. 切换与漫游 切换定义：用户在不同AP间移动，不需要重认证，业务不中断；1. AP位于同一L3/L2之下的不同物理端口下同一VLAN之中2. AP位于同一L3/L2之下的不同物理端口下不同VLAN之中3. AP位于同一Wireless Switch之下不同L3/L2之下的同一VLAN之中4. AP位于不同Wireless Switch之下不同L3/L2之下的同一VLAN之中5. AP位于不同子网下6. 支持动态加密 漫游功能漫游主要是指异地用户通过本地WLAN网络上网或者本地用户移动到异地可通过异地的WLAN网络上网。通过AAA Server支持Proxy功能进行用户判别、认证、计费与结算。此功能已经在运营商网络中已经实现并验证，效果良好，目前在行业网络中基本上没有这应用，但在H3C网络中必须使用此功能，此功能要求后端系统的用户信息进行互动，采用协议达成或者数据共享进行达成，对于H3C公司，建议采用后端系统进行协议交互达成用户在漫游地认证通过并获得服务。1.2.4.5. AP供电由于实际组网应用中AP设备数量较大，AP都带有一个供电模块，只需要通过AP供电模块和现有的楼层配线间的交换机，为AP实现远程供电，供电距离达100米，能够满足实际组网的要求。