XX医院信息化建设技术建议书.docx

XX医院信息化建设技术建议书2016年10月目录1 .工程背算42 .需求分析43 .建谀目标44 .建设思摄55 .XXX医院网络总体建设规划65.1.网络规划拓扑图65.2.基础敏捷网络建设现划65.2.1,网络设计原则.65.2.2.总体网络架构75.2.3.物理组网规划85.2.4.网络出口规划85.2.5.核心层设计规划85.2.6.会聚层设计规划85.2.7.接入层设计规划95.2.8.可靠性设计规划95.2.9,平安性设计规划105.3,远程访问规划105.4.有线无线融合规划125.5.业务陆行规划125.6.SVF全网虚拟化规划135.7.用户接入认证规划135.7.1.有线用户接入135.7.2.无线用户接入115.8.无线网络建设规划115.8.1.无城医疗简介145.8.2.无线医疗的总体需求155.8.3.无线网络平安问题155.8.4,无线网络规划实施问鹿165.8.5.无城用户漫浙问题165.8.6.无线网络管理问题165.8.7.无线医疗基础网络设计165.8.8.TUN滑萩堤划175.8.9,容量规划195.8.10幽施规划20S.8.1!SSH）和漫游规划205.8.12漫游规划215.8.13业务带宽规划215.8.14可靠性规划225.8.15平安性规划265.9.网络平安防护规划325.9.1,网络平安325.9.2.威胁管理321.1.1. 9.3.网络平安管理325.9.4. 网络平安设计原则325.9.5. 网络边界防护规划335.10网络审计管控规划345. 10.1行为管控需求346. 10.2网络设计原则347. 10.3具体系统设计355.11网络运维管理规划365.11.1平安管理36S.11.2拓扑管理365.11.3告警管理375.11.4性能管理385.11.5效劳渊管理385.11.6存储管理395.11.7网络设备管理415.11.8QUN管理415.11.9应用管理436.方案价值456.1. 使用体验极佳的网络456. 1.1,极致高速的网络体脸457. 1.2.无线全覆靛,全网零漫游468. 1.3.业务随行的高体验网络469. 1.4,平安可察的体验网络466. 2.极的维护管理的敏捷网络466.2. 1.整网超级虚拟化.极致简化H常运维管理工作466.3. 2.2.全网平安稳定CSS2架构,实现9!).999%的稳定性161 .工程背景XXX医院是一所集医疗、教学、科研为一体的现代化中西医结合的专科医院,由于医院业务快速增长，规划在XX市东部建立分院区，初期规划床位800张：需要依据新建分院建筑分布，楼层功能分布，信息节点分布、应用功能需求等情况建设一套籽合XXX医院信息化办公的现代化数据交换网络，湎足XXX医院现在及未来5-10年内的业务规灯开展荡要.2 .需求分析根据XXX医院现行业务要求及物理建筑分布状态.要求新建信息化网络符合以下几点要求：1、要求网络分层、分区建设，便于以后Iq络扩容及新增，2、新建网络涉及到有城与无城覆盖,整求内外网检逻辑隔离，可以灵活调整网络到网络、终端到资源的权限控制.3、要求采用万兆骨干，兆到臬面，保证数据交互的高带宽要求，4、针对外网移动办公接入提供平安的专用接入点,便于移动办公人员接入到内网进行相应工作的开展及信息的狭取.3 .建设目标根掘XXX医院上述几点建设需求及新建医院具体情况，结合相应医疗信息化网络的建网原则,提出以下建i殳目标；1、新建国区包括栋门诊楼,一株住院楼.门诊楼合计3层,每层15个渗室，每层60个信息点位。住院部4层，共计800张床位.门诊楼及住院楼根据各楼层信息点分布情况，建设有线网络，2,网络主体采用核心层-会黑层-接入层的三层网络如网结构，满足万兆骨干，千兆接入的建设标准。3、针对效劳潺区域胞独建设数据中心区域,数据中心区域放置会聚层交换机.采用千兆接入,万兆上行.4、考虑到无线医疗的应用需求，针对住院楼做正点无畿獴靛。要求楼层内移动实现零漫游。门诊横,极大厅处<300>,挂号区（2*150人）粒无线覆盖，湎足排队挂号及预约看病的无线上网35求.门诊楼其他区域（楼长80Q根据楼层情况在走廊处效无线覆部.无线穆盅需跟物场景选用适宜的i殳备.5、有戏无戏网络采用一张物理网络，不仅要涧足内部办公需求，还要满足病患及家属的无战上网衢求.因此整体网络需要针对内部办公人员.采用基于IP、Y1.AN等方式进行内网及外网的隔离.针对无线网络需要基于SS1.D划分用于内部无线医疗的专用Ubrk网络及用于病患上网的GUeSt网络.同在网路与网络问，网络与内部办公资源及外部网络资源需要有速设一套控制系统.可对资源访问做灵活的权限控制及等级划分.6、由于互联网的不平安性.需要在N络出口处部*防火墙等平安设符做脚络整体的平安防护.7,由于公安82号令要求，针对公开性场所的无跷网络接入，建设一套上网行为审计设备，对网内人员的上网行为做审计及记录。8、针对在外出差或办公人员,建设VPN系统，提供专有的平安YP'通道满足移动办公的应用需求.4 .建设思想1、由于本次XXK医院网络建设涵盆行线和无线且有线和无线网络共用基础硬件.不做物理别离.因此建议采用华为板捷网络有税无践一体化斛决方案，通过利用华为根捷交换机的无线融合特性，即作为有我网络的数据转发核心节点,同时又归为无线网络的核心控制及出发节点,做到有戏无然的深度一体化融合，不用再单独建役和部署两套网络，即减轻了运维人员压力，又提高了各层次设备的利用率,保证用户的资金投入，2、由于无线网络的公开性及审计需求特性,建议对开放性无线网络采用基干短信的认证方式确保网络接入的实名制原则，在网内出现发送或上传非法内容或古论时，结合上网行为审计设备，基于日志记录进行溯圾3、考虑到内网平安性,在睥路出口区域部署平安防火摘.对进出网数据流做平安检查及过迪.保护内部网络不受来自互联网的平安威胁及恶意攻击。4.针对无线网络过前，结合应用场景采用不同的产品及如网方窠，实现全网无缝无死角的无然用盖，实现网内的任意无缝漫游.竹对住院部，由于其房间密集特性，又要求无线漫游的切换时间及无线佶号的1.¾施覆度及植定性，采用华为敏捷分布式无战国族组网方案，通过中心AP+脓分单元的方式，单AP下可以多置盖48个房间.针对门诊大厅及挂号区的场景,属于拓密覆盅场景,小范围内并发要求病,因此采用华为的高密型无线AP进行型号物姿.针对传统走廊的覆装场景，则采用放装AP的方式在走席吊顶处或墙壁处进行无段RP的安装,对走廊及和锦房间进行无线的信号网靛,且通过统一SSID的方式实现楼层内及楼层间移动时的无健漫游需求保证信号连接的持续性及稳定性.5、对于医院内部网络，针对不同部门，不同联次，资源类型，定义不同的平安及资源组。结合华为敏捷网络的业务随行解决方案,做到业务随行，策略随身，在初期进行策略及权限划分时，一键式全网部署，下发策略.办公人员不管移动到医院内任何一个位置节点，不管是通过行线网络或者无税网络，相拥仔致的网络访问及使用权限，同时还可以戒f角色iM行接入带宽的分配及管控。6,为保证网络的健壮性、可升级性及易扩容特性.同络采用模块化的三层刈络结构建设.由于核心层的重要性，针对核心层采用双机冗余部署，结合华为CSS2集群方案,实现谀备的横向虚拟化.口快达21s的跨板时廷、商达32OG的横向虚拟化带宽、N+1的主控备份方式、独立专用的集群网版，保证核心节点的可就性及快速的数据交换特性.7,为减轻运维人员的运维压力.建议采用华为收徒网洛的SVF全网虚拟化解决方案.实现从核心，会聚接入+AP的全网融合虚拟化。全网设备虚拟化后对外呈现一个逻辑的管理节点，通过一个节点可实现整网设备的配置管理及业务下发。会聚及接入节点只相当于核心节点的一块普通业务板BAP经虚拟化融合后相当于核心节点的一个普通业务洪II.8、为便于无税及有践的可视化运维，在网络发生问魄和故障时，运雒人员能笫一时间收到邮件或者短信提醒,并通过运维管理系统快速的定位鼓掌源头,依据相关修更建议实现网络的快速恢红.特别是无线网络，通过耀式诊断.判断无线登陆失败节点的故障原因，板大的战轻了运维人员的工作压力，提高运维人员的工作效率.5.XXX医院网络总体建设规划5.1. 网络规划拓扑图5.2. 基础敏捷网络建设规划5.2.1, 网络设计JK则医疗网络通常是一种用户高密度的非运营网络.在有限的空间内聚集了大量的终端和用户.同时对于医疗网络而言，注虫的是网络的简单可靠、易部署、易雒护,因此在同络中，拓扑结构通附以星型结构为主，较少使用环网结构(环网结构较多的运用在运营商的城城网络和骨干网络中,可以节约光纤资源.基于星型结构的园区网设计，通常遵循如下原则：I.层次化将网络划分为核心层、会聚层、接入层.每层功能清断,架构稳定.易于扩展和维护.2,模块化招网络中的每个部门或者每个功能区划分为一个模块模块内部的谓整涉及范围小,易于进行问题定位.3、冗余性关键设符采用双节点冗余设计：关键链路枭用TrUnk方式冗余备份或者负我分担；关键设备的电源、主控板等关犍部件冗余备份.提高了整个网络的可端性。4、平安隔离网络应具得有效的平安控制.按业务、按权限进行分区龙卷隔离，时特别重要的业务采取物理隔离。5、可管理性和可维妒性网络应当具有良好的可管理性，为了便于维护，应尽可能选取集成度高、模块可通用的产品。5.2.2, 总体网络架构网络的逻辑架向如下列图所示，包括五大局部.I，终端层包含网内的各种终端设备,例如PC、笔记本电脑、打印机'传真、PoTS话机、SIP话机、于机、掇一头等。2、接入层负击将各种终剧接入到网络，通常由以太网交换机组成.对于某些终端.可能还要增加特定的接入设备，例如无线接入的AP设的、POTS话机接入的IAD等.3、会聚层会聚层将众多的接入设备和大球用户经过一次会聚后再接入到核心层，扩展核心层接入用户的数玳，会景层通常还作为用户三层网关，承当1.2/1.3边缘设备的角色，提供用户方理、平安管理、QoS(Qua1.ityofService)因度等各项跟用户和业务相关的处理.4、核心层核心层负贵整个网络的高速互联，一般不部署具体的业务.核心N络需要实现带宽的高利用率和网络故障的快速收敛.5.网络出口网络出I是园区网络到外部公网的边界,内部用户通过边缘网络接入到公网,外部用户(包括合作伙伴、分支机构、远程用户等)也通过边修网络接入到内部网络.6、数据中心区部署效劳器和应用系统的区域.为内部和外部用户提供数据和应用收劳。7»DMZ(Demi1.itarizedZone)区通常公用效劳潞部署于该区域，为外部访客非职工提供相应的访问业务，其平安性受到严格控制，8.网络管理区对网络、效劳器、应用系统进行管埋的区域.包括故障管理、配跣管理、性能管理、平安管理等.1.1.3. 物理电网规划核心区域建议采用网络出口、核心层、会聚层和接入层的架构模型,具有如下的优势：> 层次化设计：核心层、会聚层、接入层，每层功能滴眼架内稳定，易于犷展和维护.> 模块化设计；每一个模块一个部门，部门内部调整涉及莅困小，定位问题也容易，> 冗余性设计：双节点冗余性设计,适当的冗氽性提高可凝性.过度的冗余不便于运行维护.对称性设计：网络的对称性便于业务部拓扑直观，便于设计和分析.1.1.4. 网络出口规划网络出口指医院接入广域网和In1.erneI的出口，出口的主要功能是外部的互访，出差职工的访问。Internet网络的平安性低、可靠性低、费用低，WAN平安性高、可SE性高、费用高”为保证BAN/Internet链路的高可咏性，可申请两条链路，实现冗余备份，也可以AN作为主用锌路，In1.crnc1.作为需份链路，出口河关需要配置防火墙、IPS等,根据不同的平安性要求和投资规模选择平安部件.1.1.5. 铁心层设计加a核心层部署医院的核心设法，连接所有的会聚交换机，转发各个楼层的流鼠核心层需要采用全连接结构，保挣核心层设备的配置反量简单.核心层设备需要具有将带宽、高转发性能.否则格无法支撑医院内外部的业务流信.核心层采用华为S12708敏捷交换机,使用CSS2(C1.usterSwitchSysW技术，将两台交换机从逻辑上整合成一台交换机.这种技术支持主控1+N备份,集群系统中只要保证任意一框的一个主捽板运行正常.多框业务即可稳定运行。相对于传统业务口集群系统，每个框至少要有埃主控单元运行正常的限制，通过集群一堆段的无环网络方案保障网络可犯，再通过设备本身99.999%的电信级可琳媒合保障校园网应用的柩定运行.S12708故捷交换机的业务板卡直接融合AC功能,可以对网络中的AP进行管控,实现有线无线深度融合接入、转发、管理。1.1.6. 会聚层设计规划会聚层是部门的核心,转发部门用户间的“横向”流B1.同时提供到核心层的“纵向.流量.对接入层隐藏核心层作为网络的配线架,符大豉用户接入到互联的网络中,扩展核心层设备接入用户的数壮.会聚层需要双归到核心层并支持接入层的双归接入,通常会凝层承当着1.2/1.3边缘的角色，施娈具有而带宽、高端口密度、商转发性能等特点，用于支撑该会聚层下各部门之间的流量。1.1.7. 按入层设计短划接入层是轼近用户的网络，为用户提供各种接入方式，是终端接入网络的第一层，一般部署：层设备，归属到会聚层交换机，接入层除了需要部署丰富的二层特性外，还需要部署平安、可施性等相关功能.接入层需要具有高端I密度.以支持更多的终端接入网络.接入层交换机使用iSiack(Inte1.1.igenIStaCk)技术，将多台交换机从设辑上整合成一台交换机，这样既简化了配置和管理,乂提高了网络的可靠性和扩展能力.1.1.8. 可惠性设计规划对于双设茁、造跖冗余的网络，如果接入层进三层，在接入层和核心层之间采用三层路用的方式，通过等价路径再辅助部署BFD(Bidirectiona1.ForwardinjIDCtCC1.iUn)快速检测故障，就健弊保证链路故降、设符故障的快速切换，同时也能蜂充分利用冗余桂路.更多的组网方式是在会聚层进三层，这样就需要解决接入层和会聚层之间二层流量的环路向明，传统的方案是STP+VRRP的方案.该方案通过阻塞某些琏跖的转发实现二层破环，虽然该方案采用了标准的办议，支持多个厂家设备的混合组网,但是其缺点也是显而易见的： 收敛时间传统的STP(SpanningTreeProtoco1.)技术收敛速度慢.在故障发生时,故障收敛时间10秒：坦然采用RSTP进行优化，但收敛时间任是秒级,杪级的业务中断.会导致较差的用户体脆. 链路利用率低如果同一机架内的效劳器属于同一V1.AN,则有一个上行链跖的带宽无法利用。带宽利用率只有50%虽然MSTP基于V1.AN进行优化.但不能从根本上解决何跑. 配置维护复杂，网络故障率高知个接入交换机和会聚交换机都需要运行STP协议，随者接入交换机的增加，交换机衢要处理的STP也越来越发杂，会导致可推性何趣，我们推荐采用集群+堆施的无环网络方案来解决上面的这些缺陷.核心采用两台框式交换机集群,接入层采用盆式交换机，盒式交换机每两台堆小，接入层交换机和核心/会聚层交换机间的链路迸行链路掴绑。这个方案有四大优势： 简化管理和配置首先，集群和堆段技术将需要管理的设茶节点及少一半以上。我次，组网变得简洁不需要配置复杂的协议，如：STPSartI.inkYRRp等. 快速的故障收敛住路故障收敛时间可以控制在10ms.大大降低了网洛链路/节点的故障对业务的影响. 带宽利用率高我用链跖TrUnk的方式，带宽利用率可以到达100%o 扩容方便、保护投资随着业务的熠加,当用户进行网络升级时，只需要熠加新设备，而不需鬟更改网络配置,平滑扩容，很好的保护了投资.该方案极大提而了可毒性，以单St路故除率为1小时/1小时为例，增加到两条流跖，就可以将故障率降低到3.6秒/1千小时,可靠性从3个9提高到6个9.可靠性的另一个曳要方面是设备可靠性，核心区设备-搬为框式设备，在可藁性方面的要求包括： 支持主控单元的得份 支持电源模块的备份 支持模块化的风扇设计，支持单风扇失效 支持所有模块的热插拔1.1.9. 平安性设计短划核心层与网络出口部署防火墙设备，主要解决如N几个平安问题： 网内、外网之间的访问控制，实现内、外网的平安隔熟- 分支与内网的访问控制，实现分支和内网业务的平安隔离。 出差职工与效劳器区的访问控制，实现出差职工与内网的平安隔离.合作伙伴/访客与效劳器的访问控制，实现合作伙伴/访客与内网的平安隔周5.3. 远程访问规划远程访问在网络最更要的两个场景,一个是与分支或总部的整体网络互联互通，一个是个体用户因为出基或者其他原因，需要在外网访问内网的资源或者办公系统.VPN设备是一个非常具有性价比的平安解决方案。其易用性,平安性在全球的各个行业环境中都得到了使用.在本方案中，辿过利用USG下一代防火墙的YPr特性，建设院区之间与提供外部用户平安远程访问的平台.利用互联网的资源实现灵活VPN现网一般有IPSVCVPN和SS1.VPN两种方式。IPSecVPNIPSec(IPSecurity)是一组开放怖议的总称，特定的通信方之间在IP层通过加密与数据源验证，以保证数据包在Internet网上传输时的私有性、完粘性和口实性。IPSeC协议有两种工作模式：隧道模式和传输模式.在隧道模式下，IPSeC将整个原始IP数据包放入一个新的IP数据包中，这样每一个IP数据包都干j两个IP包头；外部IP包头和内部IP包头。外部IP包头指定将对IP数据包进行JPSeC处理的目的地址,内部IP包头指定原始IP数据包最终的目的地址.IP包的源地址和目的地址都被Ki藏起来，使IP包能平安地在网上传送。其大优点在于终端系统不必为了适应IP平安而作任何改动.陞道模式既可以用于两个主机之间的IP通信，兄可以用于两个平安网关之间或一个主机与一个平安网关之间的IP通信.在传输模式下，要保护的内容是IP包的我荷，在IP包头之后和传输层数据字段之前插入IpSeC包头（M或ESP或二者同时）.原始的IP包头未作任何修改只对包中的净荷（数据）局部进行加定.由于传输模式的IP包头暴露在外，因而容易遭到攻击.传输模式常用于两个终端节点间的连接，如许户机和效劳器之间.IPSeC定义了一套用于认证、保护私有性和完整性的标准协议,它支持一系列加密总法如DES、3DES：检查传输数据包的完整性,以确保数据没有被修改.IPSeC可用来在多个防火墙和效劳渊之间提供平安性.确保运行在TCP/IP协议上的VpN之间的互操作性。SS1.VPNSSI.VPN是以SSMT1.S协议为基础，利用标准浏览器都内置支持SS1./TI.S的优势,对其应用功能进行扩展的新型VPN,SS1.协议最初是由Netscape公司开发,用干保护web通信平安.到目前为I匕SS1.v3和T1.S1.O也被成为SS1.v3.1）得到了广泛的应用，2006年IETF推出了T1.S1.1协议（RFC4346）,2006年IETF推出了T1.S1.2（RFC5246）并在2011年劝其进行了怅正RFC6176）随箭SS1.防议的不断完碎，包括微软IE在内的愈来愈多的浏览器支持SS1.SS1.协议成为应用最广泛的平安协议之一.SS1.称议分为两层，上层是握手协议，底层是记录协议，SS1.握手协议主要完成客户端与效劳器之间的相互认证，协商加密算法与密钥.在押手协议中，认证可以是双向的，称商密钥的过程是可绑的，协商得到的密钥是平安的.SS1.记录协议建立在可扰的传输协议之上，主要完成数据的加密和鉴别.通过对称带码算法确保了数据传输的机密性，通过InIAC蚯法确保数据传输过程的完整性，由此可见.SS1.协议从以下方面确保了数据通信的平安：认证-在建立SS1.连接之前，客户端和效劳器之间需要进行认证，认证采用数字证书，可以是客户珀对效劳器的认证，也可以是双方进行双向认证。机密性一果用加密亢法对缁要传输的数据进行加密.完竣性一采用数据睡别算法骁证所接收的数据在传输过程中是否被修改，除了web访问、TCP/IDP应用之外,SS1.VPN还能够对I1.1通信进行保护。在保证通信平安性的基础上，SS1.VPN实现了更加细致的访问控制能力,大大增强了对内网的平安保护.同时，SSI.YPN通信基于标准TCP/IP,因而不受NAT限制，能够穿越防火墙，使用户在任何地方都能钙通过SS1.YPN网为代理访问内网资源，使汨远程平安接入更加灵活简单.另外.使用SS1.YPN访问B/S应用时不需要安装任何客户端软件,只要用标准的浏览器就可以实现时内府Web资源的访问，省去了客户端的繁顼的维妒和支持工作，不仅极大地解放了“管理员的时间和精力.更提高了远程接入人员（如出差员工）的工作效率,节省了企业的培训和IT效劳费用：同时,也意味着远程用户在进行远程访问时不会再受到地域的限制，不管是在公共网吧或是在商业合作伙伴那里，认至是班手借一台笔记本，只要有网络，远程访问就没问鹿，5.4. 有线无线融合规划传统网络中常见的无战部署方式有独立AC或插H式AC.不管采用哪种，所有无线流附都要通过AC集中筑发,有线和无线网络在转发和控制层面上是别离的.随着802.1IaC时代的到来和智能终端设备的普及,网络中存在手持智能手机、Pad、便携等多种设备高速上网，AC设备由于转发能力、然口各方面的限制将逐渐成为流汆瓶颈“因而有线和无线网络如果想要获得一致的使用和管理体脸，不能仅仅依弁目前常见的AC插I：,式整合部署的方式，还需要在此基础之上向深度融合演进.在本部署方案中来用敢博交换机12700的有线无线融合理会实现有戏无线流盘深度融合，具体包括：Ii合转发，敏拢交换机支持随板AC功能,行线无线流量都比接在交换机处理,报文转发行为一致.不存在AC集中后再通过有线转发的情况,消除无线流信越颈限制整机转发能力能到达Tbit,学校不得要单独购也AC设符或者插P,既斛决了节省了投资又收少了故障点。融合管理，借将业界AC管埋AP的成功经验，让敏拢交换机把接入层交换机也管理起来，有线无线采用一种协议，通过CApWAP随道实现,致的管理机制，实现接入交换机即插即用，降低信息中心老师11常工作中的管理复杂度.5.5. 业务随行规划业务随行是敏抉网络中一种能够满足不管用户身处何地、使用哪个IP地址，都可以保证该用户获得相同的网络访问策略的解决方案.在网络中，为实现用户不同的网络访问需求，可在接入设备上为用户部部不同的网络访问策略.但随老企业网络移动化、BYoD等技术的应用，用户的物理位词以及IP他址变化愈加频繁，这就使得原行暴于物理端口、IP地址的网络控制方案很难满足用户网络访问体验一致性的需求（性如网络访问权限不随用户物理位置变化而变化.在传统网络中，当用户的初理位置发生变化时，为保证用户的网络访问体脸一致，管理员需要在用户的埒个接入设备上为其部署相同的网络访问策略，这在用户物理位置变更短繁时会给管理员带来巨大的工作量.而在敏捷刈络中，通过业务随行方案,管理员仅需在控制器上统一为用户部省网络访问策略，然后将其下发到所有关联的接入设备即可满足不管用户的物理位置以及Ip地址如何变化，都可以使其获得相同的访问策略,业务前行通过在网关设备上统一管理用户的访问镜略.并且在网关设备和接入设备执行用户的访问策略，来解决网络中策略强度与红杂度之间矛盾的一种解决方案。控制设备和接入设备之间使用CAPAndProvisioningofBire1.essAccessPointS）通道建立连接并且.通过CAPmAP通道完成控制设备和接入设备之间的用户关联、消息通信、用户授权策略下发、用户同步等处理.01UPort>tJ1.M21xfmix江W*7jkuzpc/upeoppphcncr三ms三*m5.6. SVF全网虚拟化规划传统脚络多采用树状分层结构,分为核心、会聚、接入三层.其中核心/会聚层多采用横向集群.接入交换机数fit庞大.本部署方案旨在通过SVE超缎虚拟交换网，将整个网络虚拟化为一台设备，实现将盒式交换机虚拟为核心敏把交换机的板卡，将AP虚拟为核心圾提交换机的无线端口.使得原来“放心/会聚接入交换机，AP”的校园网络架构，虚拟化为一台设徐，整个网络成为“OnCBox",从而坳大程度简化运维人员的前运维工作，同时降低多协议应用下的网络配置.运行发杂度,提升网络可推性.5.7. 用户接入认证规划5.7.1. 有线用户接入(I)接入交换机配词.口隔离，好个接入交换机配置一个V1.AN,V1.AN编写可以31笑，(2) S12700做为用户网关，Porta1.用户上找到后MICP效劳器给用户分配IP地址，在通过认证之前用户只能访问认证前域的效劳器,用户的第一个HTTP报文进行曳定向到Porta1.效劳器，实现WEB认证，认证通过后允许用户访问认证后域,(3) S127作为用户网关,IX用户比接到第三方MA效劳器进行用户名和密码认证.(4)仃线用户的互访椰福要通过S12700进行流瓜转发.5.7.2. 利用户接入S12700内置硬件的板T-bitAC,并支持统一用户管理功能，更敏提地实现了丰富的业务特性.S12700内附四件的板T-bitAC,可节省用户额外购建AC硬件的费用。此外，S12700内置硬件附板T-bitAC突破外置AC处理性能的瓶颈沉着面向高速无线时代.S12700支持统一用户管理功能，疥献了接入层设备能力和接入方式的差异,S12700不仅支持802.IX/MAC/Porta1.等多种认证方式,还支持对终端进行分批/分域/分时的管理,使终端、业务可视可控，实现了从“以设备管埋为中心”到"以用户管理为中心”的飞跃.交换机配套XIE接口板，可以部器W1.ANAC功能,集中管理大量的AP,对海必用户提供Wi-Fi接入效劳，AC通过CAPWAP协议报文管理和控制AP,而XIE接口板可以处理CAPWAP报文，所以组网时，需要保证AP的报文流房通过X1.E接口板进入交换机.5.8. 无线网络建设规划5.8.1. 无线医疗简介当代社会,人口快速增长、老龄化趋势加快、生态环境恶化.人们对61班生活渴望愈加强烈.多方面因索不可防止地对医疗信息化提出了越来越高的要求-医疗单位也步入了以效劳患者为中心的数字化医疗开展阶段.在此过程中，随着移动技术日新月异地改变人们的生活方式，“无戏医疗”也成为近两年俣疗行业最关注的信息化技术和手段。目前大局部三甲医院已羟住立了比较完备的的医疗信息系统（如HIS、PACS等），医护人员可以通过有规网络来访问、修改、输入患若信息、诊断报告和治疔方案,但在使用过程中发现，由于有线网络存在信息点固定的局限性，制为了系统发挥更大的作用.无线网络的应用将彻底打破了这一局限.无税网络在医院的应用主要集中在以下几方面； 移动查房医生查房的过程中，需要的时网取患者的诊疗记录或病史等信息，并根据患者当时的具体病情的时下医1.无线网络的应用，可以使医生.通过随身携带的平板电脑或PDA,随时查看病人病历、检脸、化粉报告单、影像图等,把HIS、PACS等信息系统“廷伸到床边”.医生在病人床边即可采集病情、开出医掘,以及实现医护人员之间的便捷沟通，信息同步；给医生工作带来便利的同时，也保证了医M和病历的准确性、实时性，让患者享受到更满意的健康效劳； 无线护理患者从就诊到得到治疗通常需要经过3个步骤：医生检杳患者得出初步诊断后开具医瞩，护士将医典转抄到输液袋或治疗卡上并准的执行.护士实施治疗方案.这3个环节的每一步都至关里要.随着无线用络技术、用户身份识别技术与医用推东、小型电脑、PDA的结合，能够实现方便的移动护理,对医M执行过程中的每一步进行实时检查和确认.切实提高医疗质fit和医护效率. 资产管理医疗设备不仅是开展医疔、教学、科研的必备条件，而且是提口医疗麻埴的物资基础和先决条件.一般医疗单位的医疗设备约占医院固定资产的1/2,而钱济效益约占门诊和住院病人资金收入的2/3,也是医院产生医疗信息的主要来源。胫干町AN技术和射频技术（RF1.D）,不仅可以实现货无资产的就确定位、实时跟踪，同时可实现移动性的资产出入库、资产盘点等功能 特殊病人管理特殊人群管理包括母娶管理，精神I病人、突发精忠者、残疾病人等特殊人群管理：这类群体不具需自我管理能力.需要医疗单位给予更加完善、细致的照顾.结合B1.AN技术和射频识别技术,可以实现实时位置信息查询、紧急情况告警、医院特殊Hi地管理、平安莅国界定等，提高医院管理水平. 无线,液门珍输液工作成大，业务繁忙地砰,一旦出现过错，有可能危及病人生命平安：基于W1.A'技术的无线输液管理系统可以解决在门诊场地有限、人员流动性大的场合衲人输液施SS,输液信息电子化，结台“病人腕带”、具备扫描功能的无线Pi）,实现病人从入院、治疗到出院全过程的身份确定.并在取药、配药、谕液等各个环节利用电子条码对病人、药物严格进行验证匹配，医护人员一目了然，最大程度上保证病人服药及治疗的平安,降低医疗过错发生率. 方便患者就诊门珍排队、就医环境差是目前医院普遍存在的问题，减少就诊等待时间,提高诊治效率成为当务之急，无i网络部署后，医生可以通过平板电脑或者PDA,将接诊或等恃的患齐数趾信息实施传送到前台分珍人员处,方便分诊人员及时调配资源：同时在公共局域开放的无线网络，可以提供应病人上网.并推送医院电子地图和推送就诊指导信息，缓解病人情绪，提升患者满懑度。5.8.2. 无线医疗的Ja体需求随着医院伯恩化的开展、网络中所承我内衣的变化、新的接入方式的成熟.现代创小、无疑医院的需求概括为如下几点。5.8.3. 无线网络平安向JB他于无线电波的开放性,对医院通过传统的内网物理聃商来保证平安提出了新的挑战：医院中患者的电子病历、个人资料一旦被池混、恶意惜改，或拧被其他机构共得,都会硬成产或后果.同时.医院自身的信忠保密也尤为重要，防止信息泄裾造成难以弥补的损失。如何保证内网、外网的平安隔熟,如何保证移动场景下的接入访问控制，以及防止伯恩通过移动终端泄新.成为无战平安方面关注的术要问啊:5.8.4. 无线网络规划实证向题无线网络的规划和实施宜接决定了后续的业芬应用效果,主要关注以下几个问题： 信号覆蔽白点向阳：建筑物的不I可架构（如卫生间问题）和墙壁介旗会对无发信号的传输造成不同程度的影响.尤其是部署大量AP时.如何实现信号连城覆旗无百点是必须考虑的问遨. 无线”供电：许多医院在开始建楼时并没有考虑到无线网络的部著问题，也就没有预宙出电源供无规AP使用，如果重新改造电源线路，施工本钱必然提升。 AP之间的干扰同SS：在一定的空间内部署多个AP,伯号会有相互交错:曳我.从而造成信号干扰,如何解决，福要关注。 泓益环境中其他的2IGHz5GHz波段的射频干扰源，如做波炉、无绳电话、蓝牙耳机等： 无线i殳备对田拧（患者体内植入心脏起搏器或心脏除颤器）潜在的干扰：医院部詈时雷要考虑无城网络与医疗仪涔之间不存在互相干扰，以及尽量解除部署无线给病人带来的心里压力.5.8.5. 无战用户漫总问题无线设备的G大特点就是接入点灵活方便，但同时对网络性能提出更高的要求：医护人员在不同无规网络股盖区移动时能否快速接入医院管卉系统，在快速的移动过程中如何保证业务不中断，不会造成信息丧失以及影响医护人员的工作体验.5.8.6. 无线网络管理向题为了到达信号全面K?盖，无线网络中往往需要部署大爵AP,如何对数个AP进行快速有效的配置和管理，融合到原有的管理系统中，有或无线网络能否实现一体化的统一运维，也是许多医院在剖詈无线网络时关心的问Sfi.5.8.7.无线医疔若网络设计不同医院现有有戏网络架构的差异，使得各医院的W1.AN网络建设存在一定的差异,根据获曷县红卜字医院M租结梅及网络状况，建议不改变有线网，W1.AN无线网在现有网络上会加.但网架构设计W1.AN无线网络建设,直接在现有网络上强加，尽量减少对现有网络的影响和改动。这个情况卜，建议枭用下列图所示的P1.AN方案.AC放置在核心机房，旁挂于核心交换机上，采用集中转发模式，数刖报文直接通过隧道到AC迸行处理，对现有网络几乎无影响；AP放过在目标覆靛位置，通过接入交换InPoE供电。 A。设在：/核心层推荐采用华为/SI2700交换机的可编程单板内置无线AC功能（NatvieAC）,有线无税统一转发、统一控制、蜕一管理，实现有线无线X1.IE融合，且无需在单独购置Ae板卡 AP设备：，室内或科空外场景推律选择放装型设备，M少无线布战的繁琐,AP设备采用POE供电，就近接入接入交换机,针对门诊楼,推荐AP4O3ODNEI1.He放装型RP设备与高密型AP4030K无线AP进行相应需求的信号榄蓬.计对住院部，由于房间分布较多，信号受干扰衰战严重,因此建议采用华为智分型AD9430DN-24无战RP,设在自带24个POE供电口.可百.接为远擢射频单元进行POE供电，通过一个中心AP带至多48个射频单元R240D,每射版单元可以采用86面板或者壁挂等方式使徒的部詈在各个病房内部，兼容IEEE802.1.1.a/b/g/n/ac标准，支持2*2M1.MO.2.4G和5G频段可同时工作,信号獴靛能力强,最高逑率可达千兆，保证信号的冠盖密度和温盖强度. 接入交换机：/接入层新增千兆PoE接入交换机.满足AP供电以及叽N1.1.n/1.1.uc对接入带宽的需求./接入交换机推荐选择华为S5720-28X-PWR-S1. 核心交换机：,核心层采用S12700交换机.其独创的CSS2集群，数据跨框1次交换，21US最低跨框时征，仅为业界平均时延的60%.且CSS2交换冏集群支持1不冗余备份.增加核心层设备的可靠性.无线AP部署方案无线AP的部署方窠然体分为放装方案，智分方案两种.两种方案的M别和比较如卜.主*辑性比照1内放装系统”分布式部署支持2.4G/5G终端接入.部冲情况需瞿根据实际环境与建筑布局等株价M就评估.新房留芾效果会殳到穿堵等因未影响.保证99、以上的伶与弱心率.病房1房效果好.可同时支持2.4G/5G终端接入。每APfAARIfU常要根据实际客户需求以及部篮场景来然合网规评估.通常可用Jfi46个历间.计对以间密奥的场景，采M86盒面板方式JI接部冲在济间内儡.效JK好.信号强度及也定性较好.不而察