医院无线网络整体解决方案.docx
《医院无线网络整体解决方案.docx》由会员分享,可在线阅读,更多相关《医院无线网络整体解决方案.docx(21页珍藏版)》请在冰点文库上搜索。
塔里木大学信息工程学院无线网络课程设计
目录
1. 应用需求 2
2. 无线网络整体设计方案 3
2.1医院中WLAN的设计要求 3
2.2 用于病区移动查房 4
2.2.1用于床边护理 4
2.2.2无线网络用于呼叫通信 5
2.2.3无线网络用于护理监控 5
2.2.4无线网络用于药库管理 5
2.2.5无线网络用于临床教育科研 6
2.2.6 无线网络用于病人识别与资产管理 6
3.LECI无线网络的设计思想 6
4. 无线网络总体描述 7
4.1 AP电源的供给 8
5.1 AP的集中管理与自动配置 11
5.1.1用户认证及加密 12
5.1.2 基于策略的用户访问控制 13
5.1.3用户漫游及QoS保障 13
5.1.4用户动态负载均衡 14
6.无线信号自动优化与调整 14
7.无线网络的可扩展性 15
8.SmartPass 15
9. 无线覆盖示意图 16
10. 拓扑结构 18
10.1设备选型和配置 19
10.2交换机连接 19
10.3 接入层AP部署 19
10.4用户接入策略 20
10.5无线网络对医疗仪器的影响 20
10.6 最高扩容性及投资保障 21
11.参考文献 22
医院无线网络整体解决方案
1. 应用需求
随着信息技术的快速发展,医院信息系统在我国已得到了较快发展,国内多数医院已建立起以管理为主的HIS系统,建立了以管理为主的HIS系统,当前的发展重点则是建设以病人为中心的临床信息系统CIS(ClinicalInformationSystem)。
临床信息化系统包括医生工作站系统、护理信息系统、检验信息系统(LIS)、放射信息系统(RIS)、手术麻醉信息系统、重症监护信息系统、医学图像管理系统(PACS)等子系统,而这些系统将以病人电子病历EMR(ElectronicMedicalRecord,EMR)为核心整合在一起。
随着医疗改革的推进,医院正朝着以终末质量管理向环节质量管理转变,从而提高医疗服务质量,缓和医患关系,提高医院的服务效率。
与以病人为中心的服务理念相适应,医院信息化也从传统的内部管理为主的HIS系统,向以病人为核心的临床信息化系统转变。
伴随着临床信息化,医院正逐步地实现无纸化、无胶片化和无线化。
随着无线局域网技术的不断成熟和普及,无线局域网在全球范围内医疗行业中的应用已经成为了一种趋势。
作为医院有线局域网的补充,无线局域网(WLAN)有效地克服了有线网络的弊端,利用PDA、平板无线电脑和移动手推车随时随地进行生命体征数据采集、医护数据的查询与录入、医生查房、床边护理、呼叫通信、护理监控、药物配送、病人标识码识别,以及基于WLAN的语音多媒体应用等等,充分发挥医疗信息系统的效能,突出数字化医院的技术优势。
2. 无线网络整体设计方案
2.1医院中WLAN的设计要求
为客户提供好的系统解决方案,首先要准确地了解该系统应用的具体业务模式,以及实现该业务模式所需要的技术。
通过医疗信息化建设中对无线网络平台应用模式的综合分析,我们总结出医疗信息化系统对无线网络平台具体要求:
(a)数据保密性要求高,病人数据不能被盗取
(b)无线网络系统整体安全性要求高,包括物理设备,因为医院内人员流动性很大
(c)PACS对网络带宽稳定性要求很高,VoWLAN对网络时延要求高
(d)系统可靠性要求高,医院的有线网和供电系统都有双备份机制,当然要求无线网络也能具有着这样的保险机制。
2.2 用于病区移动查房
在传统有线网络情况下,医生查房有两种选择:
一是手持打印的纸质病历,供查房时查阅;二是医生在办公室工作站上事先调阅病历,并记忆分管病人的主要病史、生命体征数据,待查房时,凭记忆呈现病人情况。
第一种方式,由于要经常打印病历,增加了工作量。
第二种查房,极容易造成记忆不全甚至错误情况发生。
在病区组建WLAN后,医生不再受网线的困扰,可以方便、自由地携带电脑在病区内移动,利用无线网络登陆医生工作站,随时调阅病历,迅速地获取患者的住院信息、病史、检验、检查结果和其他生命体征信息,尽可能有效地与患者交流,从而获得高效率、高质量的床边探视和护理。
医生还可以根据查房情况,及时将信息录入计算机,并根据病情变化当即开出检验、检查、治疗和其它医嘱,避免了查房后再次转抄医嘱或凭记忆补开医嘱、记录病程,造成重复工作甚至错误情况发生。
结合临床用药知识库、药物配伍禁忌报警系统,医生在住院病人床边诊断就能最大限度地避免错误的发生,及时修正医嘱并采用合理的药物和治疗。
2.2.1用于床边护理
在西欧和美国,已有少数医院取消了病区护士站,护理数据用无线电脑直接在患者床边采集和录入,这不仅提高了护理效率和质量,还增加了医护人员与患者的亲和力,使患者得到更多的护理。
将PDA、条码腕带等技术手段应用于临床护理,给医院管理带来的成效将体现在多个方面:
一是帮助护士正确执行医嘱;二是全程追踪医疗服务过程;三是为医护人员的绩效考核提供客观的依据,帮助医院真正做到奖勤罚懒。
其根本目的是降低出错率,提高医疗服务质量,体现以病人为中心这一核心原则。
2.2.2无线网络用于呼叫通信
组建WLAN后,医院可以利用IP语音(VoIP)系统代替传统的通信系统(如寻呼台),实现在网络中传输语音和视频数据,提供双向的语音视频通信。
医护人员可以通过手持设备接收患者的呼叫,直接与患者通话,并能从系统中的任何位置立即了解患者的需求,许多危重病人因此可以得到及时抢救和特殊护理,同时医生也可以通过WLAN语音系统了解一些传染性隔离患者(如SARS)的情况,有效地保护医护人员的健康安全。
目前在这方面最广泛的应用为WLAN手机——基于WLAN的手机,可以在无线局域网覆盖范围内实现清晰畅通的无线通讯,无须支付任何话费,此类手机只需在交换机上进行简单的参数设置后就能方便的使用。
在网络中使用无线手机能够呼叫普通电话和手机,用户通话时在WLAN覆盖区域内自由移动,通话质量不受影响。
2.2.3无线网络用于护理监控
目前,国内较先进的住院病房安装有有线视频监控系统,组建WLAN后,只需增配无线摄像头,进行简单的网络参数配置即可,摆脱了重新布线的烦琐。
这种技术可以用于对病房、药房和其他重要场所的监控。
无线摄像头的管理软件可以同时监控多个现场。
在监控中心可以对现场进行录像记录。
无线摄像头在应用时结合医院的无线通讯系统,能够进一步提供医护人员的工作效率。
工作人员在收到病人的寻呼信号后,通过网络即可在计算机终端直接监控到病人的状况,并采取相应的医疗措施,这对于危重病人的监护有着重要作用。
2.2.4无线网络用于药库管理
WLAN结合无线射频识别技术(RFID)进行药库药品管理。
药品进库时通过RFID标签扫描,记录下进库药品的名称、制造商、功效等详细属性,并利用RFID进行药品存放的定位。
这些数据都通过WLAN上传到医院的药品管理信息系统,方便医院对药品进行统一调配、管理。
药品管理人员也无需人工输入大量数据以及花时间到处寻找药品,只需手持无线电脑或PDA等设备,进行药品的清点核对。
在美国,许多医院在采用了药物条码无线识别设备后,WLAN环境下的药品配送和药库管理就显得更加简单、方便、准确和高效。
2.2.5无线网络用于临床教育科研
无线网络极大地方便了临床教育科研。
教师和科研人员可以在病人床边一边讲解一边通过无线移动终端实时调用病人的基本情况,包括:
病史信息、病理信息、化验检验信息、放射信息、影像信息等。
2.2.6 无线网络用于病人识别与资产管理
利用无线条码标识带将病人的重要资料标注其中,并带于病人腕部。
在病床旁,护士使用无线识别设备(PDA),扫描患者的条码标识带,关于患者的标识、用药、剂量及方法等的详细信息就会通过WLAN在护士工作站得到确认,如果存在任何差异,报警系统会显示警告,避免可能发生的任何差错。
无线网络还用于加强对医院设备的管理。
在可移动的医院设备上安装RFID标签后,配合无线读取器,医院就可以通过资产定位管理系统对电脑、医疗设备等贵重物品进行定位和管理。
管理人员可以通过电子界面准确了解它们的位置,避免设备遗失以及无法及时定位而造成的损失。
3.LECI无线网络的设计思想
经过多年的发展,医院成为集医疗、科研、教学、预防、保健和康复于一体的三级甲等综合性医院。
医院长期以来是中山大学等6所大、中专院校的教学医院和实习医院。
2005年成为中山大学附属江门医院,是中山大学硕士研究生教学基地和博士后流动站科研基地。
医院占地面积5.6万M2,建筑面积达9万M2。
建筑风格独特,承传着仁济医院的精神,融汇着现代化浓郁的文化气息。
医院编制床位1200张,在职员工1548人,医务人员占87%,其中高级职称243人,临床兼职正、副教授69人,市授予的著名专家、中青年专家、名医14人,医学博士、硕士122人,硕士研究生导师18人。
设职能科室16个,临床、医技科室45个,功能检查室21个,专科专病门诊91个,专家门诊62个。
设分门诊一个,年门诊量130多万人次,住院4万人次,住院手术1.6万例。
(a)不能实现全面的、统一的全网级的管理策略
(b)不便于无线网络业务的划分
(c)不能实现无线网用户的2、3层无缝漫游
(d)没有RF自动调节能力
为了解决传统“胖AP”存在的上述问题,采用林昌盛威科技有限公司“AC+AP”技术的智能无线网络产品代替传统AP的方法来解决这一问题。
LECI无线网络系统主要由以下三部分组成:
【无线AC集中管理平台】【POE交换机】【无线接入点】
4. 无线网络总体描述
无线网络组网拓扑示意图:
接入网络部分:
无线覆盖区域物理分布在医院住院部二到十五层的室内建筑区域,我们在本次无线网络项目建设中室内覆盖采用LC312AP
无线网控制、管理部分:
在网络核心层,我们采用了目前基于最先进的第三代无线网络技术的交换机对整个无线网路进行统一的管理。
采用乐词2000AC-1000型交换机对全网AP进行集中管理和控制,各覆盖区域内AP通过有线连接至POE千兆交换机,实现了无线集中控制。
无线网络管理部分:
乐词2000AC-1000是林昌盛威公司推出的网络交换机管理系统,主要提供增强的管理、无缝的安全性,并且易于规划各种规模的无线网络,提供对AP、交换机和控制器的全面控制以优化网络并增强安全性。
4.1 AP电源的供给
对许多网络系统的设计来讲,当建筑中某些区域的用途不确定或布线施工难度较大时,部署无线接入点(AP)是十分必要的解决方案。
但是,十分具有讽刺意义的是,在大多数情况下,无线接入点仍然需要电源,这就削弱了无线局域网的优势。
而且,在安装时,我们不得不考虑电源插口是否存在,以及连接是否可靠,电源是否会从墙板上脱落等不确定因素。
为了解决这上述问题,我们在本次无线网络项目建设中室内覆盖采用LC312AP,可采用支持IEEE802.3af标准的PoE交换机或PoE供电器通过网线对AP进行供电。
4.1.1分布式的AP部署
目前,随着网络应用和数据量的急剧增长,为了减少广播包对网络性能的影响,普遍采用的解决方法是采用VLAN技术进行子网划分,通过三层交换技术对各子网进行路由交换;另外,在医院进行有线网络建设时也考虑到将来可能会有扩展,在有线信息点、光纤和交换机端口等资源上都留有余量,因此在进行无线网络建设时,医院网络中心希望建成的无线网络系统能够尽可能利用原先的网络资源,以降低工程造价和施工周期,因此一般采用AP就近接入空余的接入层交换机端口上,采用无线网络与有线网混合组网方式。
由于有线网的固定性,一般采用根据楼层或楼宇方式进行子网划分,而无线网络必须承载于有线网络之上,因此,造成所接AP也分别划到各个子网之中,造成了原本应该统一管理的无线网络被有线网络分割成了独立的无线“网络孤岛”,这种“网络孤岛”在实际应用中会存在以下问题:
1. 不能实现全面的、统一的全网级的管理策略
2. 不便于无线网络业务的划分
3. 不能实现无线网用户的漫游
4. 对无线接入点无法做到集中管理、统一配置和固件升级
为了解决传统有线与无线混合组网存在的上述问题,本方案中采用的是LC312AP,并配合乐词2000AC-1000进行组网。
LC312AP本身不带任何软件及配置,当AP在加电后,AP通过广播、DHCP或DNS方式来获得位于网络骨干上的交换机的IP地址信息,AP在得到交换机地址之后,便采用CAPWAP协议与乐词2000AC-1000取得通信,随后由乐词2000AC-1000将AP运行所需的固件以及AP的相关配置发送给AP,AP收到这些信息后,随即进行系统启动并根据交换机提供的配置进行自身参数的配置。
在AP启动完毕后,AP与乐词2000AC-1000之间采用TUNNEL方式进行互连,用户的数据包在进入AP后,被AP重新封包进入该TUNNEL传入乐词2000AC-1000,由于数据全部被封入TUNNEL,用户的数据并不因AP与交换机之间跨了路由而改变路由路径,从用户角度来看,用户的数据直接跨越了层层路由,直接进入了交换机,无需改变现有网络拓扑结构、也无需考虑协议兼容性,从而实现了拓扑无关的组网。
采用“THINAP”组网的优势在于:
1. AP与交换机之间建立跨越路由的TUNNEL,从而将无线业务与有线网络策略区分开
2. AP运行所需的固件及配置在启动时由交换机动态下发,轻而易举的实现了传统“FATAP”方案无法动态升级AP固件和配置的问题
由于采用THINAP的组网方式,即使是在分布式网络中,彼此被子网路由隔开了的AP也可作为一个整体结构运行,以便于按需扩展或修改无线局域网。
5. 提供灵活的多业务支持
早先,由于技术及成本的制约,AP只能提供单一SSID,因此要想在使得无线网所能提供的服务均混合在一个服务集之上,无法实现业务的区分,无法支持QoS,不同权限用户的隔离;随后出来的第二代产品诸如LC312系列AP,支持广播最多2个SSID,并可以对每一个SSID分配不同的认证、加密、QoS和VLAN策略,用户一旦连接上一SSID后,可以被赋予该SSID所提供的属性,但是由于用户的属性受到所连SSID的制约,第二代的这种基于SSID的业务策略属于静态的策略,因此无法实现基于用户的策略控制。
5.1 AP的集中管理与自动配置
在传统无线网络建设中,有一个始终令网管人员感到头痛的问题,那就是对AP的管理、监控以及AP自身固件的升级。
由于传统AP是一种称作为“FATAP”,即自身需要有相应控制软件以及独立的配置才能运行,而由于AP是一种接入层设备,数量较多,且由于医院网络的复杂性以及业务的多样性,导致需要根据各“热点”区域进行相应配置,并且还需要网管员对这些特殊配置进行记录,以方便日后维护;此外,在日常运行中,还需要了解这些数量众多AP的工作状态及性能等数据,而一般AP管理工具功能太过简单,如果采用有线网络网管软件,由于没有很好的对无线网络做相应的开发与支持,从而不能很好的管理无线网络。
5.1.1用户认证及加密
众所周知,无线网络采用电磁波作为传出媒介进行数据传输,而电磁波由于可以穿透建筑物而泄漏到外部空间,因此对于无线网络的安全策略就不能采用有线网的思路,因而必须采取一些切实有效的方法来保护无线网络免遭黑客入侵及避免用户数据被非法窃取。
目前国际上比较流行的方法是对用户进行身份的认证以及认证成功后要对用户数据加密来反制非法入侵。
多种认证方式:
支持基于数字证书的强安全认证方式RSN(WPA2,IEEE802.11i)、WPA;同时也兼容一些使用较为广泛的WebPortal认证及MAC认证,以便于临时来访用户的接入数据加密:
1. 多种加密方式:
执行高级加密标准(AES)、临时密钥交换协议(TKIP)以及有线对等加密(WEP)加密有助于保护所有的通信连接。
2. 每用户的加密分配:
对每用户或每组执行不同的安全策略,以便进行灵活、深入的安全控制和管理。
5.1.2 基于策略的用户访问控制
不仅支持丰富的安全认证及加密方法以外,还提供基于用户身份的服务,以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表(ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。
还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。
5.1.3用户漫游及QoS保障
由于无线局域网采用类似于移动通信网中的“蜂窝”覆盖方式,来实现大面积覆盖,当终端在移动一点到另外一点的移动过程中,不可避免的需要从一个AP切换到另外一个AP,在切换过程中,移动终端需要进行“取消关联”及“重关联”的操作,该过程一般需要300-500ms的时间,此外,在有后台认证系统存在的情况下,用户还需要进行重认证、sessionkey重分发及重新分配IP地址的过程,这种方式无法满足一些对时延非常敏感的业务诸如VOD点播、VoWLAN等的支持,因为传统无线网络的漫游只停留在IEEE802.11协议层上,并没有对用户会话进行完整性保持。
而在本方案中,该方案以交换机为核心,对所有AP上接入的用户采用统一会话管理,所有已认证终端均在中心交换机中保存相应会话,AP仅仅只负载传输用户数据,因此无论终端移动到哪个AP下,用户信息和授权都在交换机所管辖的移动域内快速的交互,可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游。
5.1.4用户动态负载均衡
传统上,由于受到客户端无线网卡底层驱动算法机制的限制,用户总是会连上信号最强的AP,而并没有考虑到该AP是否能够提供最佳的服务。
乐词2000AC-1000可以根据周围无线信号覆盖情况以及用户的流量需求,动态的将用户强制连接到其他可用AP上,将用户流量分配到其他可用AP,从而保证了整个无线网络的高效能和高可用度。
例如在一个用户较多的会议室,正常情况下大约有30人左右,采用一个AP即可满足需求,但当用户数突然增加后,导致该AP无法连接数过多,而此时,位于会议室外的AP由于相对与会议室来说,信号虽然比较弱,但仍然是可以满足一定的网络用量,此时交换机则强制后来的一部分用户连接信号较弱的AP,从而实现了负载均衡,保障了网络的畅通。
6.无线信号自动优化与调整
传统“FATAP”组建的无线网络,在建设初期,需要对无线频谱及channel和发射功率进行规划,以降低同频干扰,但是无线信号受到用户数、天气、湿度等环境影响因素较大,一旦外界因素发生变化后,如果AP仍使用原始参数进行运行,必然导致信号强度降低、覆盖区域缩小等情况,导致网络运行不稳定。
采用AC+AP解决方案,支持RFAuto-Tune技术。
LC312AP可以监听、扫描所在空域中的信号强度和使用量,并将数据传送至位于核心的乐词2000AC上,根据各AP报告的测量数据进行一个全局的调配,例如,当某一区域多数AP报告信号不足时,可以动态改变该区域内相关AP的发射功率;当AP报告该区域内有相同信道信号时,则可以动态调整相关AP,以避开信道的重叠。
7.无线网络的可扩展性
采用基于LECIMobilitySystem系统架构下的无线网络解决方案,不仅提供了完善的基于用户的控制策略、安全认证和数据安全加密机制,还保持着良好的网络可扩展性。
LECIMobilitySystem采用了THINAP+交换机架构,AP与交换机之间通过TUNNEL进行通讯,无需改变现有网络拓扑结构,也无需考虑协议兼容性,实现了拓扑无关的组网,使得整个无线网络有着更强的伸缩性,为今后网络的升级和扩容提供良好的可扩展性。
8.SmartPass
SmartPass功能模块使非IT人员可以完成配置临时用户帐户访客进入公司网络的申请,网络管理员通过一些简单培训使其它网络管理员或非IT人员也可以作为员工管理员。
访客首先连接到GuestSSID后,使用SmartPass建立的客户名、密码很快并很轻易通过MX-200R交换机认证后实现internet连接服务等。
SmartPass可以根据具体需要定制访客用户名、密码、用户组及访客访问时间等。
9. 无线覆盖示意图
第二层儿科覆盖示意图:
设备名称
数量
APMP-422
4
PD-3001-CN供电器
4
五类线
第三层至十二层覆盖示意图:
第三层使用8个MP-422做楼层覆盖,因第三层至第十二层结构完全一样,AP数量类同,所以第三层至第十二层总共所需设备如下表所示:
设备名称
数量
APMP-422
80
PD-3001-CN供电器
80
五类线
第十四层至第十五层覆盖示意图:
第十四层使用4个MP-422做楼层覆盖,因第十五层和第十四层结构完全一样,AP数量类同,所以第十四层至第十五层总共所需设备如下表所示:
设备名称
数量
APMP-422
8
PD-3001-CN供电器
8
五类线
10. 拓扑结构
如下图所示,在整个无线网络系统当中,部署LECI的一台乐词2000AC-1000放置在数据中心,通过2个SFP冗余线路上行连接到医院现有有线网络,进行有线与无线二网合一;楼层中的AP通过专有线路与交换机相连。
共部署92个AP,具体见无线部署示意图。
在这样的网络实现当中,AP上用户的流量都将通过AP与交换机建立起的隧道,流向交换机,在经过相应的策略匹配之后,用户会被要求认证,或者流量会被转发/丢弃。
在这样的网络中,医院有线网络中的用户及数据与无线网络完全隔离,两网完全分开,保证了两网中各自应用系统的独立性。
10.1设备选型和配置
由于此次无线覆盖范围室内,实现空中或地面全覆盖,要求住院部各个区间都能接收到无线信号。
10.2交换机连接
采用LECIMX-200R交换机,放置在数据中心的网络机房,每台MX-200R交换机最大可以支持192个AP接入和管理,完全满足用户整个无线覆盖的需求。
10.3 接入层AP部署
LECI方案能够方便的实现跨三层部署,接入层的AP部署只是需要拿到属于自己的IP网络设置和网络中已经部署的MX-200R交换机IP地址即可。
这样的架构大大简化了传统无线网络部署当中的复杂程度,减轻了AP设置与用户设备以及AP所连接的有线网络配置相杂揉的状况。
10.4用户接入策略
从用户分类与分布情况分析,用户主要分成以下几类:
(1)内部员工;
(2)Guest用户;
使用网络是被分为不同的业务类型,因此,在设计上采用无线局域网多SSID技术,设置多业务区分方式。
在一个无线局域网内可以设置多个SSID,例如一个SSID可给内部员工所用,而另一个可给外来的客户专用。
SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。
用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。
最常见的做法是使用二个SSID,一个定义为OPEN/StaticWEP供客户用,另一个SSID则为TKIP(WPA)专为内部员工使用。
另外,可以增设一个802.11iSSID让员工以过度的方式逐渐从转移到这个SSID上。
不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i。
所以针对无线局域网多种用户的不同业务类型应该采取不同的SSID进行管理和控制。
大楼内部的员工可以采用专门的SSID,可以采用级别较高的认证和加密手段,对参加会议人员和来访人员可以使用另一个SSID,采用级别相对较低的认证和加密手段,这样就实现了区分的服务。
。
目的是为了避免护理差错,保证病人医疗安全。
另外,无线网络还可以与条码与无线射频技术相结合对病人、药品进行安全、高效的管理。
10.5无线网络对医
升级会员 