超详情的完整医院网络升级改造报价方案.docx

1、超详情的完整医院网络升级改造报价方案广东省医院网 络 改 造 方 案。2017 9. 1 5概述 2.整体解决方案3。2.1设计原则3，2. 2网络架构设计32.2.1无线控制器设ih 322.2 POE接入层设讣3。2- 23 I MC 役计3。22.5无线AP设讣。错误味定义书签2.2.6微信认证、短信认证及行为监控设汁 2.2.7无线网络架构设讣3。2.3网络可靠性设汁 2.3. 1物理设备和链路稳立性 232网络层稳怎性设计 3.1IRF虚拟化概念。33. 2IRF虚拟化架构3. 3IRF虚拟化冗余3。34 I RF虚拟化优势1 概述目前厂东省1医院有用户住的嗚楼号楼.*号楼号办公楼、

2、食堂楼、以及 门诊楼。都建设了有线网络，及提供了无线W 1 fi上网服务并了解到医院网络规模将发展到800人左右的规模。但疗养院现阶段的整体网络存在以下问题:大部分设备不支持网簣功能，可艇性差;网络出口多，难以统n划，搭建局域网； 有线网络布线杂乱,维护难度高;核心设备及出口设备不支持目前及未来人数的上网服务;局域网内没有统一规划I P地址的分配;无线网络大多采用家用式的无线路由器逬行组网；不能集中簷理无线网络设备，管理效率低，维护工作量大。外来客户和内部人员共用同F 线网络，存在一定安全隐患无法支持大畳人员同时使用无线网络的应用场景,如会议室、食堂等;上述问题在疗养院最近一次的网络局域网搭建

3、的过程中逐渐被发现，网络出口及核心设备等问题导致局域网搭建后网络瘫痪，目前的网络设备不能满足疗养院的对网络的需, 且不便于疗养院职工的日常工作以及不能为住户提供更好的网络体验。为此，为解决上述问 题疗养院需要靈新组建f 稳走.安全、高效的网络环境。2整体解决方案2.1设计原则此次网络系统设计将严格遵守各种相关的技术原则，遵循各种相关的技术标准和规范，整个网络系统设计严格按照以下原则逬行:先进性和实用性采用成熟的产品满足针对不同办公区无线覆盖的需求，兼顾其他相关的管理壽求，采用 先进的网络技术以适应更高的数据.语鼠 视频（多媒体）的传输需要，使整个系统在相当 一段时期内保持技术的先逬性以适应未来

4、倍息化的发展的需要安全性和可靠性为保证各项业务应用，网络必须輿有高可靠性,尽量避免系统的单点故障。要对网络结 构、网络设备等各个方面逬行高可蠡性的设计和建设。在无线网络设计上应采用硬件备份.冗余等可靠性技术提离整个网络系统的可靠性。灵活性和可扩展性网络是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性能够根据疗养院 深入发展的需要方便的扩展网络规模、扩大网络容畳和提离网络的各层次节点的功能。M 备支持多种应用系统的能力,提供技术升级.设备更新的灵活性。可管理性由于网络本身具有一走复杂性，随看业务的不断发展,网络管理的任务必定会日益繁靈。所以在网络设计中，必须建立一套全面的网络管理系统。

5、网络设备必须采用智能化,可管理 的设备伺时采用先进的网络艇软件，实现先逬的管理。最终能够实现监控.监测整个网络 的运行情况,合理分配网络资源、动态配网络负载、可以迅速确定网络故薩等。通过先逬 的簣理策略、管理工典提高网络的运行性能.可蠡性简化网络的维护工作，从而为办公、 管理提供最有力的保瞳。2 .2网络架构设计新改造的网络由无线控制器.无线A P组成、P0E交换机、新的核心、防火墙.汇聚接入交换机、IMC管理软件及ACG组成。逻辑架构如下:终端层包含疗养院内的各种终端设备，例如PC.笔记本电脑、无线打印机.等终 端设备。无线控制器负责将所有无线AP逬行集中管理和统一下发配a,调整各AP间的信

6、号干 扰和信道的利用。采用内置智能天线和高密度AP对各办公区域及其他区域进行无线覆盖，针 对密集区域和外部干扰的影响来针对不同环境来安装不同A P,本次采用的AP都支持POE供电,实现用一条网线便可作为A P的供电和网络传输之用,以节省电源线布线费用和降氐A P安装难度和工作量 P0E交阕几通过POE交换机对各无线A P进行供电,方便了各AP点位的供电问题解决了本地供电带来的安装困难问题（而且可通过P 0E对A P进行集中供电核心高背板及高转发率的高性能参数满足疗养院目前及未来网络规模发展的需 求，保证疗养院内的良好的网络体验。防火墙提供对接电信专线功能的同时，提供多种网络攻击的防御机制。汇聚

7、接入交换机千兆光纤上行到核心，同时提供较高面板带宽及转发率，满足移动楼内的上网 需求。对网络、月畏务器、应用系统进行管理的区域。包括故障管理、配置管理、性 能管理、安全管理等进彳h体化管理。 ACG对各终端进行认证，如支捋微信认证，短信认证,porta 1认证等多种认证方式，对夕陳访客扫描疗养院二维码关注公众号一键上网提供方便快捷的上网方 式，同时也可以作为很好的一个公众号吸粉工具,而且可通过ACG实时监控到访 客的行为和流量的统计，做到认证和上网行为一体化监控。整体网络设计拓扑参见下图。2. 2.1无线控制器设计采用集中转发的方式，无线用户的流星先通过AC再转发到核心。AC下发配豪到每个AR

8、集中监控AP状态，管理AP。2.2. 2 POE接入层设计接入层则实现各终端电脑的高速接入，负责将各种终端接入到中心网络络。对于某些终 端,可能还要壇加特定的接入设备，例如无驛入的AP设魚 POTS话机接入的IAD等,根据此次网络应用的实际情况,以及主流接入要求,因此本次将采用千兆到桌面的设计方案。并且作为接入层交换机还需典有丰富的安全特性，同时交换机还应a有防伪DHCP S erver的接入实现对终端A R P各种形式攻击的防护。2.2.3 IMC 设计中的资源分为两类：网络资源和用户资源。对H3C、極.华为.Cisco各厂家网络设备的分类和识别;对设备状态和基本倍息的 管理，不仅包含了设备

9、的基本倍S.接口倍息.性做媚和告警倍S ,同时还可以在增加其他组件的情况下显示扩展后的业务倍患。与业务无关的用户基本倍息的统一维护，这些墓本倍息是独立于业务的，包括用户姓名、 证件号码.通讯地址、电话、电子邮件、用户分组;并提供用户附加倍息管理功能管理员 可根据网络运营的习惯进行用户倍想走制,如学校可以走制学号.年级等倍息，企业可以走 制部门、职务等倍想。通过增加设备和自动发现两种方式，将网络资源加入iMC中逬行管理。壇加设备时可 以选择多种选项,满足不同网络环境下的需求壇强网管部署的易用性。fjsA 护 nxaiMS)exsia*)HHiSB彳毎 9hffWP叔p网R发e识发3啦*址不提供的

10、设备导入/导出功能为系统升级和网營系统切换提供了便利，尤其是导入文件的可定制化使得用户很容易手工编辑一个导入文件,也可以对其他网管系统导出的设备逬行快速编辑后导入系统。0 9岀Sfi9入与入设备是19夬d斩的设备新左虫P决S中的设务倩为安金超见，备的8：1毎钥詡的容Tg导入 备导入拓ES,适重?fS备的S：耳；第I內客&烧J；$入设备智能簣理平台提供多种类型的拓扑:提供传统的基于IP网络的IP拓扑、二层拓扑和邻居拓扑。用户可以根据实际组网情况自由走义自己关注的网络拓扌卜视图（自走义拓扑）智能簣理中心能自动】匚总全网中故US设备,形成故障设备列表使管理员能快速、溝晰的找到需要关注的故憧设备，而且

11、可通过由阱或者短倍来告知管理员。Wgf 2)Qanar Sw2. 2.5无线AP设计通过不同区域安装具体的智能天线和离密度A B智能天线A P内覽终端感矩型硬件智能天线阵列配合墓于终端的射频智能感知算法，可以实现无线传输中不同距离.不同场的针 对性覆盖技术。同时，通过H3C锐捷.华为无线控制器实现基于特征和协议的射频优化 可以有效提升无线部S中高密度接入.流媒体传输等场景中的应用加速能力和质劉呆Bt效 果。离密度AP采用三频设计在保留原有双射频的同时増加了f灵活可变的第三个射烦 当实际接入的终端类型支持5GHZ的数量较多时，可将该射频配量成5GH Z频段，从而提高 5GHz的接入用户数量和带克

12、能力，反之.2 4GHZ终臟多时则可以配畫成2.4GH乙组2. 2. 6微信认证.短信认证及行为监控设计内网主要是读业务，常用的写业务也是认证通过的接入用户授权操作，所以内部网络厲 于较安全的区域，是绿色区域，风险比较低。主要的安全风险来自内部网络自身的用户（如用 户XX的存取）,ACG根据实际需求控制和监控用户的流量和应用。针对用户做到精准 应用识别、明确身份.事后行为审计.丰富日志报表、深度数据挖掘、全局流星簣控、精细确授权等。 明确用户身份一个這员S 猊超 13170cmy ：职业：身高：兔海波f性S真以为“也”是女S全网统一身份认证用鏈导的电 腌还量不能 上R3S工区无法上网XJB互鎂

13、网iLji用iP泄不SLt 网:畀 t Y.iPod! E：舲王 n0W dMt fiiWt#!彌2(193) we 3砺那坤台B1 ( SfteeffF/9 娜H u弘卫世异 P2做件(均 08劭议 建觀P r POCO 3Me S8- QQoa 凤*nuifiCKBK芟审iiwI XbM|qQ2 b关行出93SQM且tt评论fi用押1*ttx好*# *anantH脣艮QAM KXflTH- fifU su 如u .MBMncoin平u. SBdVVtne*ttn a MM关行为J *行力! !BM ! JE Hg 3* ! !注 i :an Utt xa it m 容馳和商风险行为 全局流

14、長管控ilili : 11112Jlil3 :通尝 4IP/用户：应用多级嵌套谨道,匹配行政架构需求I洌絡遵量匚丐超过4级通道芾題套,满足大型网 络SS耍求L,II11HIBlTenTil ipa xximxur 一 4-jrfrfv-qVMI-_-utMzlPWebqq鉴于峽用户，畴趣时间 等上下行帝抚 及多优先级控制j荒量瓷理无死角I Gtttn11上2)下flg“ 2rp! *fin I IfHfMM更msr mw911fl0Mv)DOMtO9MUQOM-*1HMMM40*nMnan *MvwMM4UXMa0OMM:MHM42*IZBMI -粗tSMUOKaPIM*tJMICHA3aKW

15、|PIMSM Wr*m2M5UCMwwUOMAWQaft轻Mx用8鼻*r*-W M4亠*C5MI- IM9M*皿K2丰雷日志报表IHW HMB W-in x*u/MUn于用户澹分析1C*f 応 ：1 nw ttl.M&xMa H :,rww,i*9 Mu*W*MtTtMumliftIKIXHAWW*Xl*ru* EHkWmMUi*4iiMMl3*VM事后行为审计IM日志审计IUURL访问日志社区0志审计MitTJl m V、t VtEtaA 9” HMW SW IWJ UKVMPI m.MJ U IAJM4MWIMMACBMPI，性m y X i仲3m、 iDMltttI iAiaieU2.t

16、axIdHM.*IlJJWJJt r 血z.*izak fJJIM V1.I4UJIl P4U.U PUA2RU 加” JH P/.KJJ* :u tD-taxou max*233jn2MinoaBZM5HO* M0 oaMmoaMewooi詡乍wvt、 L|Tnrrnwmj nuBMPiiw mSkwoito i mZ H0M4狀OKSMI.*UMlPiUOMItO aiUAdr.d(tM IttOKVl mCA*XM IPJSXUI mtnMtrAt iirmpi icgy* tUIW.U6(BMPt 1I9.K2.U HMttaa WICVMSM wiazi3mMR iQMja u人gi

17、n tawdnaiM WBM*iVOO UlUgWMCitoO1 iMtaUM移嫉端用户自识S!l.?UJII ?“ n I：llltWJJt HQJMUaHOAtM. mtVduMiriHInAddroid/IOSM4jI 14MhMjZgM i(8bl Ml (CAMMUCD平台期碗罗拉f 0 力8 * mxm-M 7 (Ulin MHCDtfr o-irjw Mm CTCtO0 M*47?Jw:打为平台陶 f n u-H IT1M niM nioet4rt8 n-iriMVflVflM；2H,：8Q4U34 IM) 托 1MA)MUK420n4-(41MH l3IM紧贴最新互联网业涪应用

18、.针对用户.应用、动作、萦统、平需细化审计 微倍认证上网方便、快捷、安全移动客户端连接 ssid或扫描二维码上网时浏览器弾出porta 1页面止 0 矿,lu4,0 O用户点击一键打开微倍连W i-Fi按钮,从浏览器肠濮到微倍界面（点击立即连接后,用户成功上网fSilWin外来人员使用笔记本（有线/无线）连接认证网络访问网页页面跳转至认证界面。使用手机扫描浏览器二维码，弹出认证确认页面,手机确认后,pc即认证成功,可以正常上网。用户上网擁:1手机3G或4G模式下扫码连wif 1手机在3G或者 4G模式下扫描二维码.使手机连接对应的ssid。c. l“iuatlFlKirty 扫碍之启提示点击立

19、BP谨接2.连接ssid之后推出 port a I,开始认证流程。 & #*, o5* * - rMilAVR推回 figportal唤醒的微信连接之后 短倍认证-M 耶192,166.10.1 C2 3,.?! A8C DEF 2. 2.7无线网络架构设计无线局域网技术经过十几年的发展 已经历了三代技术及产品的发展。第一代无线局域网主要是采用Fat AP(即胖” AP ),每一台AP都要单独进行配 5 ,费时、费力、费成本;第二代无线局域网融入了无线网关功能但还是不能集中进行岛和配量 具簷理性和安 全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈由于这一代技 术的AP储存了

20、大量的网络和安全的配董,包括加密的钥恶Ra d ius cl i en t的安全密码(secre t )等，而AP又是分敵在建筑物中的各个位置，一旦AP的配爲被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是墓于Pentium架构的，所以当用户接入数量(IP sessio n s )增多时，无线网的性能会憩剧下降，时常 会发生掉线或死机情况。在这样的环境下,基于无线交换机技术的第三代WLAN产品应运 而生。第三代无线局域网采用无线交换机和FIT AP (即瘦” AP)的架构,对传统WLAN设备的功能做了畫新划分，将密集型的无线网络和安全处理功能转移到集中的WLA

21、N 交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安獸RF监 测、无缝漫游以及Qos。，使得无线局域网的网络性能、网络簣理和安全管理能力得以大幅提高。FAT AP方案FIT AP方案技术模戒传统主流新生方式，增强管理安全性传统加密、认证方式，普通 安全性增加射频环境监控，基于用户位 置安全策略，高安全性网络管理对每AP下发配置文件无线控制器上配置好文件，AP 本身零配置，自动下载配置文件用户管理类似有线，根据AP接入的 有线端口区分权限虚拟专用组方式，根据用户名区 分权限WLAN组网规模L2漫游，适合小规卿财L2、L3漫游，拓扑无关性，适合 大规模组网增值业务能力实现

22、简单数据接入可扩展语音等丰富业务室内无线覆盖将使用大量无线接入点(AP)提供无线网络接入服务必须有效实现多个AP的统一策略部署和可蠡的安全认证机制，因此，采用FI T AP的解决方案即采用无线控制器结合瘦A P与无线网络管理系统的架构。综合上述分析对于大规模部署的无线局域网,我们建议采用FIT AP的方氯采用FIT AP解决方案构建的无线局域网具有以下功能和特点:FIT AP解决方秦采用集中式架构，在不改变其网络的原有规划和部署的情况下.甚至不需要中断原有网络就可以轻松蠱加一个无线网络该无线网络和原有的有线网络可以形成 有线无线F化的接入方案，可以大大减少网络升级和部署的成本。易于管理 AP

23、零配置”采用无线控制器和FIT AP配合组网时,只需要在无线控制器上对一类相同厲性的AP建立配爲模板AP在启动时可以自动从无线控制器上下载最新的配爲文件奠正做到了零配畫,免维护,即插即用板大地减轻了网络管理员在部署网络阶段的维护工作量。A方便升级FITAP还支持软件自动更新功能在其每次畫新启动时会自动比较当前运行的版本和无线控制器上保存的版本，如果无线控制器上保存的版本更新.AP会自动更新本地的软件 映像,软件升级不再需要网管人员的干预。漫游无线控制器支持三层漫游，并支持快速漫游,漫游切换时间小于50m S ,满足5（砌换时 间要求最苛刻的语音业务。支持虚拟APFIT A P支持多SSID实艇

24、拟A P 馳，每个S SID可对应不同的VLAN、从而对于每一个S SID可以实现不同的网络服务及认证方式。该特性使管理员可以方便的为不同用户群、不同的业务制定区分的服务策略。丰冨的RF管理和安全RF管理功能，可以使得无线网络的布网灵活性大大增强，网络的可维护性得到很大的提高。A P的功率调整和倍道切换是网络部署和调试时不可缺少的遁要手段倍道和功率还需要按照国家代码自动设董无线控制器的RF管理功能使得网络部署非常简单。RSSI/SNR 的不断更新,更理让系统可以适时了解每一个无线用户所处电磁环境的好坏、离AP的距离, 从而可以采取相应的策略来提升网络可用性。支持智能的员载均衡支持智能负载均衡技

25、术保证只对处于A P覆盖靈蠱区的无线用户才启动A P负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。IPv6无线控制器实现了 IPV4/IPv6双协议栈。A P和无线控制器之间可以穿过IPv6网络互联，从而使组网方式更加灵活,可以满足今后网络发展的需要，保护用户投资。完善的QoS无线控制器支持DiffServ标准包括流分类.流畳监管(Pol icing)、队列簣理、队列调度(Scheduling)等,完整实现了标准中走义的EF、AF1AF4、BE等六组PHB 及业务可为用户提供典有不同服务质墨等级的服务保证，奠正成为同时承翳据.语盲和 视频业务的综合网络。室内放装对于大楼内厲于-般的办公楼类型,放用最简单的室内吸顶安装覆盖。楼道放装模式应用场景:办公楼层、会客区等;角色:员工、访客.合作伙伴;终端：笔记本电脑，手机终端，平板电脑;AP部署方式：根据室内墙体阻挡情况部署多个AP覆盖採用吸顶或者圈圭安装;AP采用H3C、观 华为WA4 3 20 i双频无线A P,支持1167Mb ps的无线传输速率以及整机千兆接入能力,全面支持IPv6特性，支持IPv6 Portal I Pv6 SAVI, 支持频谱分析.频谱导航漫游导航无线定位C无线终端准入.无感知认证。功率调整传统的射频功率控制一般缺省将发射功率设为最大值，单纯地追求倍号覆