H3C医院无线方案设计建议书.docx
《H3C医院无线方案设计建议书.docx》由会员分享,可在线阅读,更多相关《H3C医院无线方案设计建议书.docx(32页珍藏版)》请在冰点文库上搜索。
H3C医院无线方案设计建议书
香河开发区医院无线方案建议书
2015-6-30
1.概述3
1.1.香河开发区医院简介3
1.2.医院建设需求3
1.3.无线网络需求3
2.香河开发区医院无线网络系统设计4
2.1.无线网络部署方式4
2.1.1.部署方式4
2.1.2.无线效果6
2.2.无线网络功能7
2.2.1.微信认证、APP认证、短信方案介绍7
2.2.2.第三方微信、QQ、短信认证介绍10
2.2.3.802.1X认证方案介绍17
2.2.4.WEB认证方案介绍17
2.2.5.有线无线混合组网下的认证方案18
2.2.6.用户管理18
2.2.7.频率规划与负载均衡19
3.典型案例20
3.1.中南大学湘雅医院20
3.2.医科大学附属第一医院21
3.3.天坛医院22
3.4.省人民医院23
3.5.H3C移动医疗网部分用户24
1.概述
1.1.香河开发区医院简介
香河县气管炎哮喘医院位于中国·香河经济技术开发区,第一城西行一公里,距35Km、50Km、80Km、35Km,紧邻103国道,交通方便,环境优美,是一所专科特色突出的大型全民所有制医疗机构。
该院设有气管炎哮喘专科、急诊科、科、外科、妇产科、中医理疗科、放射科、化验室、制剂中心等30余个临床医技科室,共有气管炎哮喘病区4个,综合病区2个,万级净化手术室2个。
1.2.医院建设需求
香河开发区医院现有办公网、办公外网两套网络,办公网主要负责主治医生、护士等办公人员使用,办公外网没有进行统一规划,只有将近20台PC机通过一条4M的运营商链路,实现互联网访问;随着医院信息化的发展,目前医院有建设无线外网络实现病患或家属提供无线上网服务。
通过与贵院信息中心沟通,具体了解到医院网络需求,及目前网络存在的问题。
H3C公司本着为客户负责的态度,为贵院提供一个稳定可靠、智能弹性、无缝接入、安全可控的面向办公与科研等多业务的网络建设规划,保障院区数字化业务的高可用性与服务质量,满足未来至少五年医院信息化的科学可持续发展。
具体方案规划如下:
1.3.无线网络需求
随着移动终端的快速普及,如:
智能手机、平板电脑、PDA等。
无线网络需求越来越丰富,目前已经不单单停留在无线上网、游戏、收发等业务上;移动医疗业务也越来越普及,如医导、移动查房、移动护理、无线挂号等业务层出不穷。
香河开发区医院作为燕郊地区最具规模的医院,在无线建设方面非常重视,目前香河开发区医院无线需求覆盖整个院区,实现所有楼层无死角无线覆盖,通过对香河开发区医院住院楼、门诊楼所有楼层的实际工勘情况,特此在无线覆盖方面采用H3C的放装式无线覆盖方案对需要覆盖的区域进行无线部署。
1、所有AP均采用最新一代802.11ac的无线协议标准,最高可实现单频1.3G的无线接入带宽。
2、所有无线AP支持静谧模式,在无人连接无线的时候,AP可自动调低功率,达到绿色节能的目的,当有人连接无线的时候,AP自动将功率调整到正常状态,实现用户的无线接入。
无线AP的功能均小于12.95W,采用标准的POE供电标准即可。
3、大部分病区、办公室区域门窗均为木质结构,将放装式APWA4320-ACN安装至走廊天花板,可以完全实现对走廊、病房及办公室区域的信号覆盖。
4、部署一台高性能无线控制器WX3510E,实现无线控制器AC对所有AP的统一配置、统一管理、统一维护,保证无线网络的高可靠、高稳定、高可用,单台设备最大可管理128个无线AP。
7、所有AP均采用POE供电的方案,在各楼层部署8口POE交换机,实现对AP的远程POE供电功能。
2.香河开发区医院无线网络系统设计
2.1.无线网络部署方式
基于网络的先进性考虑,香河开发区医院无线网络建议采用主流的无线控制器+瘦AP的架构,在实现对医院进行无缝覆盖的同时,又能够实现对无线网络的灵活管理配置,提高网络维护效率,该架构下的无线网络由一台无线控制器,和多台无线AP组成,所有的无线AP皆由该控制器进行统一的配置和管理。
无线AP可以通过PoE交换机进行远程的PoE供电或者选择本地供电。
如果采用远程的PoE供电,则可以在无线控制器上按照时间进行无线AP的开关定时,按照设定好的策略自动定时开关AP,满足一定的节能需求。
2.1.1.部署方式
放装AP部署
此方案中采用放装式AP吸顶安装的部署方式进行无线覆盖。
放装AP部署图:
H3C新一代无线AP采用智能覆盖技术具备更好的覆盖效果:
采用了新一代终端感知型智能天线阵列技术,它结合了“On-Chip”和“On-Antenna”的优势特点,对于WA4300系列AP,其天线阵列由12个天线振子构成,最高可形成多达4000个以上的天线辐射图型。
每一个天线振子都精心调配,协同工作,使可能产生的辐射图达到接近于完美的覆盖(如图5所示)。
同时AP会运行H3C专利的天线选择算法,针对不同位置的终端,从若干天线振子中选择出不同的振子来进行报文的发送或接收,在选择的同时,会加入相位和延时的整体考量,进一步加强了对终端行为的探测感知和天线阵列的快速收敛。
①创新的终端感知型智能天线阵列(最高可达4096种波形),按照终端的应用智能调整MIMO路径
②基于特征和协议的射频优化,不同距离、不同场景的智能覆盖
③部署更简便、维护更方便、性能更优越
绿色低碳设计
全速率全特性能够满足标准POE供电(低于12.95W)。
WA4300i系列AP采用专业绿色低碳设计,支持动态MIMO省电模式(DMPS)与增强型自动省电传送(E-APSD),智能辨识终端实际性能需求,合理化调配终端休眠队列,动态调整MIMO工作模式。
WA4300i系列AP支持GreenAP模式,实现单天线待机,节能更精准。
WA4300i系列AP通过创新性的逐包功率控制(PPC)技术,在确保报文能成功传输的前提下动态调节AP设备和客户端直接的双向功率,以达到减少设备能耗和延长移动终端待机时间的作用。
2.1.2.无线效果
无线施工完成以后,5GHz频段的全区域信号强度达到-65dBm以上,并且大部分区域在-45db到-55dB左右,完全满足移动终端的使用要求。
无线的报文性能也较高,具体可参考如下现场的测试数据。
图3中最后两个测试了病房距离天线最远的角落,并且用人作为遮挡来测试,强度都很高,终端可以正常通信。
3信号强度测试数据
图4为病房单用户性能测试结果,可以看出,在病房各个区域,用户性能都在60-70Mbps左右,并且非常稳定,完全满足医院的各种无线业务应用。
4单用户性能测试结果
医疗WLAN业务承载网不同于普通的WiFi热点服务,对网络质量要求较高。
不管是2.4G频段还是5.8G频段,业务区域的信号强度需要达到-65dB以上,才能保证业务的稳定展开。
对于医院自主建设的WLAN网络,推荐5G作为医疗业务承载频段,2.4G可以供非医疗业务,无线定位等使用,对5G网络没有影响;
2.2.无线网络功能
2.2.1.微信认证方案
针对为用户组建免费WIFI的大趋势并结合移动互联网营销需求,H3CACG1000产品为用户提供创新的微信推广方案,用户只需关注企业公众号后简单操作即可获得上网权限。
用户第一次访问流程
第1步访客先通过3G或者企业WIFI接入(将微信服务器地址作为FreeIP),通过扫描二维码或查找企业公众号进行订阅;
第2步微信客户端将订阅信息发送到腾讯微信服务器,微信服务器将访客的订阅动作以及微信OpenID等信息发送给企业微信服务器。
企业微信服务器通过OpenID可以查询该用户的昵称,头像,性别等信息;
第3步企业微信服务器调用ACG1000微信认证功能,用微信OpenID作为账号名进行开户,密码动态生成,昵称为用户,头像,性别等相应保存。
第4步.企业微信服务器通知访客订阅成功并且推出含H3C无线WebPortal认证的,且提示用户必须先启用某个SSID的WIFI。
给访客推出H3C无线WebPortal认证,可以直接附加在订阅动作中,也可以单独通过菜单动作(例如接入WIFI),或者命令行触发。
第5步访客看到第4步的提示后接入企业实际WIFI,点击微信公众平台发出的上网,通过单点登录自动完成身份认证,即可成功上网。
用户后续访问流程
第1步访客第二次接入,通过企业微信公众平台发送“接入WIFI”指令;
第2步微信客户端将指令发送到腾讯微信服务器,腾讯微信服务器将将微信OpenID、上网指令等信息返回给企业微信服务器。
第3步企业微信服务器通过OpenID调用ACG1000微信接口查询该用户是否已经开户,若已开户,直接下一步。
若未开户,则再次参考第一次接入流程中的步骤3使用该OpenID进行开户动作;
第4步.企业微信服务器向访客推出无线认证提示页面,提示访客接入企业WIFI后,点击提供的地址完成登录;
第5步访客看到第4步的提示后接入企业实际WIFI,点击微信公众平台发出的上网,通过单点登录自动完成身份认证,即可成功上网。
2.2.2.访客账号管理
访客账号需专人(前台或信息中心)管理的情况下,访客接待员可以通过登录自助系统为来访人员直接创建账号并分配接入策略,开户成功后通过,具体流程如下:
1)访客接待登录iMCEIA服务器自助平台,创建访客并分配访客接入控制策略及有效时长;
2)iMCEIA服务器通过Email、短信方式将及密码信息发送给访客;
3)访客连接“访客SSID”;
4)访客在推送的Web认证页面中输入其访客账号和密码;
5)访客身份验证成功后,根据访客接入控制策略控制访问Internet及特定网络资源;;
6)EIA服务器定期自动删除失效访客账号
2.2.3.应用层管理
H3CSecPathACG1000是H3C公司新一代应用控制网关,ACG1000引入了全方位上网行为管理要素,是面向客户业务而量身定制的全业务网关产品。
最全面的应用识别能力
通过H3C长期积累的状态机检测、流量交互检测技术,能精确检测115网盘、电信通、盛大网盘、XX网盘、360云盘、Thunder/WebThunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQ、MSN、新浪UC、阿里旺旺、新浪微博、腾讯微博、天涯论坛、猫扑论坛、微信等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等多种主流网络应用,为应用控制及审计提供有力支撑。
精细化的流量管理功能
SecPathACG支持超过4级通道带宽嵌套,满足大型网络管理要求,支持基于地址、用户、服务、应用、时间等新五元组一体化策略的上下行带宽及多优先级控制,流量管理无死角。
SecPathACG设备的智能流控技术将出口物理线路带宽划分为逻辑虚拟线路,在父线路支持二次划分,即将线路划分为通道,从而达到多级流控。
根据流量特征,智能识别应用和服务,之后根据流量特性,识别出配置的虚拟线路和流控管道,计算出管道的带宽使用率,是否需要向父节点借用带宽等信息。
在转发过程中,支持流量整形,在接口上缓存报文,并以比较均匀的速度发送出去,避免网络出现burst,导致丢包。
SecPathACG产品整机提供32个虚拟线路、1024个带宽通道、4级流控,彻底告别旧的流控技术,让带宽管理做到最精细!
智能阻断技术
相比传统的QoS丢包技术,SecPathACG提供的智能阻断技术抛弃了"允许所有流量转发到接口,在接口上区分流量优先级,并在接口上进行缓存和丢包"的技术实现方式,而采用更加优化的阻断方式:
一旦流控模块识别出用户设定的垃圾流量,立刻在设备上删除所有与该垃圾应用相关的数据连接,所以垃圾流量从一开始就不会产生,所以宝贵的带宽资源无需被吞噬;而同时,设备可以免于接口队列调度丢包,节省大量资源,帮助客户节省带宽和设备资源。
精细化的应用控制功能
SecPathACG采用了DPI/DFI融合识别技术,相对于传统的流控产品,控制力度更精细,控制层面不再局限在主程序,更能深入识别应用程序的子功能。
例如对新浪微博的控制力度不仅仅是登录动作,更是深入识别到注销、发表、评论、转发、关注、搜索等子功能,支持单应用高达12种行为动作控制、超过八百种主流应用类别识别、近60种分类URL审计过滤、桌面及移动终端均可审计控制,提供最精细的控制功能。
丰富的报表
提供实时的业务流量趋势图、流量分布图、TopN用户列表、TopN应用协议列表等报表,并支持按照用户名/用户组、使用时段、应用分类、应用协议、流量大小、安全事件等进行多维度组合定制报表,使用户能全面掌握网络中的流量、应用和业务分布,为合理规划网络、制定流量控制策略提供依据。
完善的安全审计系统
可对各种网络社区、P2P/IM、网络游戏、网络多媒体、文件共享、收发、数据传输、数据库应用等各种上网行为提供全方面的行为监控和记录;同时,通过综合分析、检测用户网络流量与流向趋势,对历史数据进行分析,为用户提供细粒度的网络应用审计管理系统。
高性能、高可靠性
采用最新的基于MIPS64的多核SoC(SystemonChip)处理器,控制与转发相分离,实现了千兆级线速业务处理能力,仅有微秒级时延;通过Bypass、双电源冗余等高可靠性设计,保证SecPathACG在断电、软硬件故障或链路故障、流量过载的情况下,网络链路仍然畅通。
及时的特征库更新
H3C专业特征库团队密切跟踪应用变化,并对应用协议特征库及时更新;支持对协议特征库的在线自动/手动升级、本地升级,且升级过程无需重启系统,不影响系统业务运行。
2.2.4.频率规划与负载均衡
Ø频率规划
802.11b/802.11g使用开放的2.4GHzISM频段,可工作的信道数为欧洲标准信道数13个。
由于其支持直序扩频技术造成相邻频点之间存在重叠。
对于真正相互不重叠信道只有相隔5个信道的工作中心频点。
因此对于802.11b/802.11g在2.4GHz地工作频段,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。
此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。
实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带宽业务的开展。
频率规划原理图
频率规划需要配合使用的功能包括:
AP支持11个信道设置
AP支持外置天线以及定向天线
针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能
结合以上功能的支持,以及勘探工具,可以较好的部署AP达到频率规划的效果。
针对医院、无线小区、机场、酒店、高密度会议场所(APEC会议)等热点区域进行过频率规划,使用效果较好。
Ø负载均衡
WLAN解决方案,AP上支持标准的IAPP协议框架,通过负载均衡的部署,可实现在一个热点用户平均分配到所部署的所有AP上,达到在一个服务区AP接入用户数何流量的平衡,为用户提供更高的服务质量。
具体可部署的负载均衡策略有:
1.对所有AP设置基于用户数的负载均衡功能,AP通过对接入用户数的统计,与设定AP接入用户数量的阀值进行比较,达到阀值后,不允许新的用户接入。
2.对所有AP设置基于流量的负载均衡功能,AP通过对接入用户流量的统计,与设定AP上的流量漏桶阀值上沿比较,达到阀值后,不允许新的用户接入,少于阀值下沿,再允许新用户接入。
3.配合网络规划,设置AP群功能,在一个群的AP通过组播报文实时通报接入用户数量,当发现AP间用户数差值大于设定阀值,接入用户多的AP将部分用户赶下网。
2.2.4.1.切换与漫游
Ø切换定义:
用户在不同AP间移动,不需要重认证,业务不中断;
1.AP位于同一L3/L2之下的不同物理端口下同一VLAN之中
2.AP位于同一L3/L2之下的不同物理端口下不同VLAN之中
3.AP位于同一WirelessSwitch之下不同L3/L2之下的同一VLAN之中
4.AP位于不同WirelessSwitch之下不同L3/L2之下的同一VLAN之中
5.AP位于不同子网下
6.支持动态加密
Ø漫游功能
漫游主要是指异地用户通过本地WLAN网络上网或者本地用户移动到异地可通过异地的WLAN网络上网。
通过AAAServer支持Proxy功能进行用户判别、认证、计费与结算。
此功能已经在运营商网络中已经实现并验证,效果良好,目前在行业网络中基本上没有这应用,但在网络中必须使用此功能,此功能要求后端系统的用户信息进行互动,采用协议达成或者数据共享进行达成,建议采用后端系统进行协议交互达成用户在漫游地认证通过并获得服务。
2.2.4.2.AP供电
由于实际组网应用中AP设备数量较大,AP都带有一个供电模块,只需要通过AP供电模块和现有的楼层配线间的交换机,为AP实现远程供电,供电距离达100米,能够满足实际组网的要求。
2.3.智能网管平台功能
(1)IMC网管管理平台
H3CiMC网管平台支持用户分权管理功能:
可以为不同的管理员设置不同的用户名、密码,并限制管理员的管理权限和管理围,实现用户分权管理。
全面的基础资源管理
广泛的管理设备类型:
除了传统的路由器、交换机外,更能对网络中的无线、安全、存储、语音、监控、视频、服务器、虚拟设备、打印机、UPS等设备进行管理,实现设备资源的集中化管理。
多厂家设备的统一管理:
除了对H3C的网络设备管理外,H3C智能管理平台还实现了对业界其他主流厂家网络设备的管理。
灵活快捷的自动发现算法:
基于H3C专利的发现算法,H3C智能管理平台不仅提供了快速自动发现方式,还提供了五种高级自动发现方式,包括路由方式、ARP方式、IPSecVPN方式、网段方式、PPP方式等,能快速、准确地发现网络资源。
直观的设备面板管理:
支持设备面板管理,所见即所得的显示设备的资产组成和运行状态。
个性化的用户界面
iMC提供可定制的主题风格界面,并缺省提供五套主题外观——天蓝、浅蓝、酷黑、雅灰、藏青。
iMC智能管理中心天蓝色主题
iMC智能管理中心藏青色主题
iMC提供了操作系统桌面式web桌面版,用户可定义个性化的个人桌面,例如桌面图标、桌面背景等。
iMC智能管理中心桌面版
iMC首页提供了个性化定制功能,可方便地将业务发布的信息集中展现到一个页面上,用户可在权限允许的围定制自己的首页展示容,并可通过任意拖拉的方式定制展示布局。
一个widget就是首页中用户定制的部分区域,代表了业务的一个具体功能。
iMC首页提供了首页布局更改和widget的各种操作,如折叠、还原、最大化、拖拉、关闭、新窗口打开等。
个性化首页
灵活方便的拓扑功能
丰富、实用的网络拓扑视图:
除传统的IP拓扑视图外,H3C智能管理中心平台还提供全网络的拓扑视图和自定义拓扑视图,使用户可以根据自己的组织结构、地域情况、甚至楼层情况清晰灵活地绘制出客户化的网络拓扑。
在全网络拓扑视图中,用户可以随意组织和定制子图。
增强的二层拓扑:
传统实现的拓扑都是基于IP的三层拓扑,H3C智能管理中心平台在此基础上更支持二层拓扑,实现了同一个VLAN或者网段部PC与网络设备、二层网络设备之间的互连关系,更方便直观的体现了网络中设备的互联关系。
自动化拓扑视图建立,可以按IP地址网段规则将新增设备自动加入自定义视图、自定义拓扑中。
GIS地图拓扑
全景拓扑:
全景拓扑将物理拓扑、虚拟机、无线设备统一在一个拓扑视图中展示。
流量拓扑:
以端口流量和网络负载为主要视角,向使用者展示所关注的网路拓扑结构和流量负载数据统计及分析情况。
智能手机客户端
为了方便用户管理网络,iMC支持智能手机客户端访问iMC。
目前已支持Android操作系统和iOS操作系统的智能移动设备(包括Androd智能手机、平板、iPhone、iPad、iPodtouch等),访问iMC中的设备、告警、视图等信息,并可接收告警的实时推送。
灵活快捷的自动发现算法
基于H3C专利的发现算法,H3C智能管理平台能快速、准确地发现网络资源,包括路由方式、ARP方式、IPSecVPN方式、网段方式等。
清晰、直观的故障列表
智能管理中心能自动汇总全网中故障设备,形成故障设备列表,使管理员能快速、清晰的找到需要关注的故障设备。
一目了然的网络性能指标
CPU利用率、存利用率、带宽利用率、设备响应性能、设备不可达等是网络性能管理中用户最关注的几项,基于此智能管理中心通过TopN列表,使用户能一目了然当前网络中的性能瓶颈问题。
详实的性能统计报表
利用采集到的性能数据信息,智能管理中心能对关键的性能监控容形成实用、详实的统计报表,用户可以直接打印这些报表,也可以将报表导成Excel、Html、PDF、Word等形式的文件。
(2)EIA用户接入管理组件
集中化的设备资源和用户资源管理
除对网络设备的统一管理外,iMC也对用户基本信息进行集中维护,包括用户、证件、通讯地址、、电子、用户分组;并提供用户附加信息管理功能,管理员可根据网络运营的习惯进行用户信息定制,如学校可以定制学号、年级等信息,企业可以定制部门、职务等信息。
设备和用户的统一分组管理
支持设备和用户分组功能,通过对设备资源和用户进行分组管理,系统管理员方便的分配其他管理员的管理权限,便于职责分离。
接入业务服务和用户分组可灵活对应,使得特定分组用户才能配置对应的特定服务,便于管理员进行接入业务管理。
用户管理与网络设备管理相融合,用户管理操作更简单
接入设备列表中可以直接看到用户相关信息,提高了操作员日常维护的效率。
设备选定后可直接对其进行用户操作,比如,针对某个接入设备,将其所挂的用户全部下线处理等。
在线用户列表中提供接入设备查看入口,可查看当前在线用户所对应的接入设备的详细信息,比如,对应的基本信息、告警、性能状况等。
网络设备管理和用户管理的全面融和,使得操作更友好,全面提升操作员操作体验。
支持多种接入及认证方式,适合多种接入组网场景及应用场景
支持802.1x、VPN接入等多种认证接入方式。
支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多种身份验证方式,适应不同安全要求的应用场景。
支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证,增强用户认证的安全性,防止盗用和非法接入。
支持与Windows域管理器、第三方系统(必须支持LDAP协议)的统一认证,避免用户记忆多个用户名和密码。
支持终端准入控制(EAD)解决方案,确保所有接入网络的用户终端符合企业的安全策略
严格的权限控制手段,强化用户接入控制管理
基于用户的权限控制策略,可以为不同用户定制不同网络访问权限。
可以控制用户的上网带宽(QoS;802.1x认证支持)、限制用户同时在线数、禁止用户设置和使用代理服务器,有效防止个别用户对网络资源的过度占用。
支持最大闲置时长限制。
可以实现对用户ACL、VLAN的控制,限制用户对部敏感服务器和外部非法的访问(802.1x认证支持)。
可以限制用户IP地址分配策略,防止IP地址盗用和冲突。
可以限制用户的接入时段和接入区域,用户只能在允许的时间和地点上网。
可以限制终端用户使用多网卡和拨号网络,防止部信息泄露。
可以限制用户必须使用专用安全客户端,并强制自动升级,确保认证客户端的安全性。
详尽的用户监控,强化对终端用户的监视控制
iMC用户管理组件提供强大的“黑”管理,可以将恶意猜测密码的用户加入黑,并可按MAC、IP地址跟踪非法行为的来源。
管理员可以
升级会员 