XX医院无线网络设计方案

1/24XX医院无线网络设计方案项目名称：XX医院无线网络建设申报单位（盖章）：项目起止日期：XX编制X年X月X日2/24XX医院无线网络建设第一章项目概述1项目名称：XX医院无线网络设计方案2项目建设单位：XX医院3项目建设方案编制依据医疗行业正处于从基于纸张的手动流程驱动的行业向基于无纸化的数据传输工程中。通过移动的技术，医院和医疗中心能够以更低的成本更有效地采集及管理信息，这不仅节省了资金和时间，而且在特殊情况下还挽救了生命。移动医疗业务在推进医院数字化进程、提高病人满意度、提高医疗服务质量、降低医疗事故及差错、提高医护人员工作效率、降低医护人员劳动强度起着重要的作用。卫生部印发的《医院信息平台技术解决方案（试行）》卫生部印发的《卫生部电子病历基本架构与数据标准（试行）》3/24卫生部印发的《综合卫生管理信息平台建设指南（试行）》卫生部印发的《电子病历系统功能应用水平分级评价方法及标准（试行）》4项目概况4.1项目背景4.2建设目标4.2.1业务建设目标在医疗行业，无线的应用主要在以下2个方面：护士移动护理：护士们在护理病人的时候，只需手持一个PDA终端，即可进行病人信息以及药品信息的核对。在核对时用PDA扫描病人的腕带便可随时查看病人的电子病历，也可扫描药品条码，以保证医嘱的可靠执行。此外，还可在现场完成病人体征信息的录入，录入PDA的信息通过无线网络，与电子病历实时同步。医生移动查房：医生在查房过程中，随身携带平板电脑或手推车载笔记本电脑，通过无线网络与服务器相连，可现场直接往系统中录入医嘱信息。也可随时调出病人的历史电子病历，包括PACS影像系统，以保证准确治疗。4/244.2.2系统建设目标高可靠性：WLAN在医疗网络中承载业务众多，可靠性犹为重要。采用Fit（瘦）AP方案，全网统一部署，单点AP故障可通过其他AP的功率调整进行补偿。AC（无线控制器）为运营级高可靠架构，主控板、电源均可冗余备份，并支持热插拔。高信号质量：2.4GHz频段为ISM频段，其他应用带来的干扰较多，推荐采用双频AP进行覆盖，重要的业务采用5GHz频段进行承载，2.4GHz频段用作Internet接入等非关键用途。此外，拥有专业的网络优化团队，可以对AP进行最合理的布放和调试，确保信号覆盖最佳，干扰最低。高安全性：为防止医疗信息的泄露，医院内部网络需要严格控制访问权限，并采用最严谨的加密方式。同时支持业界安全等级最高的WLAN安全标准，802.11i和WAPI，前者为国际标准，后者为我国国标。此外，提供业界领先的终端准入控制解决方案，，可以有效防止非法人员的接入，并能对内网接入设备进行严格检查与审计，从根本上维护WLAN网络安全性。精确的定位：采用的基于IP的WLAN定位方案，从根本上实现了有线无线网络的一体化，无需再额外引入其它系统，避免了重复建设和运维管理成本，有效降低用户投资。。同时，在AP合理布放的情5/24况下，定位精度可达2米左右，完全满足医疗卫生应用。易部署、易管理：推荐采用PoE交换机供电，并通过网管软件把有线网络和无线网络进行统一管理。由于AP通常布置在房间或楼道里，通过PoE供电方式可以省去大量布线工作。并通过网管对PoE交换机端口的统一控制，可以轻松管理AP的开断；同时，网络管理软件有线无线同一拓扑，同一中文管理界面，可以让管理人员快速便捷准确的定位出网络故障，避免了两套网管来回切换的尴尬。4.3系统建设范围第二章信息化现状分析及系统总体建设方案1软件建设目前现有网络管理软件一套，实现对下属各分院无线网络设备的管控，详见附件一。2硬件建设现有无线汇聚交换机2台、无线控制器（AC）1台，无线AP293台，POE交换机19台，无线管理软件1套，整体运行状况良好，具体描述详细见附件二。6/243网络建设4基础环境建设第三章总体建设方案及业务需求1业务需求1.1业务分析病区无线网络覆盖，满足移动医护系统需求；无线网络覆盖范围：对住院楼1-5层、康复楼2-3层，病区护士站、医生工作站、病房、过道等区域进行网络覆盖；无线网络模式及接入方式：AP模式；无线网络支持协议，及最高速率：802.11AC、802.11n技术，兼容802.11b/g协议、802.11a协议；安全及管理：保证数据通讯的保密性和网络的稳定性；在保证信号强度情况下，输出功率在医疗安全要求标准内；对各种接入模式均要满足无线终端的快速移动、无缝漫游等；实现集团无线网络统一管理，统计接入认证，支持射频工作信道自动管理、射频功率强度管理、射频抗干扰管理等。7/241.2功能设计与结构模块分析现有查房流程和工作模式，结合移动技术及触摸特征带来的便利，优化工作流程，建立一套新的查房服务模式，系统结构模块结构图如下：2总体建设方案2.1总体设计思路与原则系统的总体设计思路基于以下几点：高可靠移动医疗移动医疗业务实现7*24小时不间断运行。高覆盖质量、无缝漫游对目标覆盖区域内实现工作区域全覆盖，接收信号电平≥-70dBm，8/24单个AP用户并发数≤20个。在目标覆盖区域内，要求单用户接入时数据传输平均速率不低于100Mbps，支持用户在覆盖区域内快速移动，业务不中断，支持智能负载均衡功能，即AP超过负载超载时，会自动计算周围空AP并进行接入，求非OEM产品。技术先进、高性能采用目前先进的智能无线网络架构，选择主流的802.11n技术，兼容802.11b/g协议、802.11a协议。灵活部署、易于扩展、高性价比为方便医院网络的部署和未来维护的方便性，医院无线网络应具有灵活部署、易于扩展的特性，支持无线接入点的即插即用功能。当然，医院无线网络要具有良好的性价比。2.2建设方案2.2.1无线网络规划拓扑图对于一个无线接入点较多、覆盖范围较大的无线网络，采用FITAP组网方案，无线交换机作为中央集成控制设备实现对整网AP的管理9/24控制，除了传统WLAN网络能够实现的无线接入基本功能之外，能够提供基于三层的漫游切换、基于用户名的权限区分，并可对未授权的非法AP和客户端接入网络。楼层AP天线通过6类网线连接到弱电间的POE交换机，每三层安排一台24口POE交换机。网络架构示意图如下：10/242.2.2无线网络部署平面图医院住院楼1-5层，每层走廊为一字型结构,走廊长度约为60米,天花板为石膏板,病房有3-4个病床,房间深度约为6米,门为木质结构，病房数量约为20间左右,楼层面积约1000m²,墙体为实体墙，根据实际情况，每层在过道天花板上部署7个AP（按照实际确定）设备，AP通过6类网线与楼层弱电间POE交换机连接.11/24康复楼2-3层，每层走廊为一字型结构,走廊长度约为80米,天花板为石膏板，病房有3-4个病床,房间深度约为6米,门为木质结构，病房数量约为30间左右,楼层面积约1500m²,墙体为实体墙，根据实际情况，每层在过道天花板上部署10个AP（按照实际确定）设备，AP通过6类网线与楼层弱电间POE交换机连接.2.2.3无线AP的管理住院楼1-5层、康复楼2-3层无线网络的覆盖需要部署60个（按照实际数量调整）无线AP设备，假如每个AP都单独管理，维护工作量巨大，故此次采用无线控制器+瘦AP+无线管理软件的方式，通过无线控制器、无线管理软件统一对无线AP设备、无线终端进行配置、管理、扩容。2.2.4无线AP供电模式为了方便无线AP的部署和安装，无线AP采用POE远程供电，通过POE供电交换机对无线AP进行供电，在楼层弱电间部署POE供电交换机，POE供电交换机通过千兆单模光纤与中心核心交换机互联，POE供电交换机通过六类双绞线与楼层AP连接,对AP进行远程供电。2.2.5无线网络安全部署医疗行业对无线网络的应用都比较谨慎，安全问题首当其充。这12/24种情况通常发生在无线空间没有安全控制的情况下。如果一个非法用户与合法AP建立连接，就意味着我们的网络向外部开放了，这会导致重要数据和信息外泄。我院无线安全应提供多层次多技术手段进行安全防范：层次体系主要技术解决的问题物理接入WEP64/128、TKIP、CCMP加密可升级支持WAPI加密防止无线报文被监听和篡改SSID隐藏解决不明用户访问网络逻辑链路802.1x/PSK/MAC/Portal多种认证方式的混合接入802.1x支持PEAP/TLS/TTLS/SIM多种模式可升级支持WAPI认证用户身份鉴别和安全准入动态下发用户的权限业务隔离Hotspot用户隔离限制用户互访黑名单限制恶意用户网络无线入侵检测系统非法设备的检测、无线攻击的告警和规避安全策略在无线控制器统一部署避免在大量的无线接入点部署策略AC和AP间的CAPWAP隧道下行流量限速防范外界对AP的数据流量攻击资源绑写（MAC、ESS、VLAN、Port）最大可能防止AP假冒设备AP本地不再保存配置信息避免设备丢失造成配置泄漏AP身份认证只有合法的AP才能和无线控制器建立关联AP支持多无线控制器的冗余备份无线控制器down机不会造成无线网络的瘫痪网管无线安全策略配置无线安全策略的统一部署非法设备监控和告警非法设备的检测、无线攻击的告警和规避设备信道调整告警了解设备遭受干扰后的信道调整情况13/242.3设备选型原则与配置清单序号设备名称规格要求数量（台）备注1无线控制器技术参数要求：1.单台控制器最多管理AP数量≥1000个；2.可配置SSID数量≥512个；3.支持对802.11a/b/g/nAP进行统一控制；4.支持内置1+1电源冗余，可插拔电源，根据需要选择AC/DC接入；5.支持无线终端跨IP子网的快速无缝漫游，良好支持语音业务，并保持全网漫游身份的唯一；6.支持802.1x，包括EAP-PEAP,EAP-TLS,EAP-TTLS,EAP-SIM，EAP-MD5等加密技术；7.支持基于用户名的安全策略，并支持跨交换机之间漫游的用户安全信息共享；8.支持WAPI；9.支持IPV6；10.支持DHCPServer和Relay；11.支持RIPV1/V2，支持OSPF；12.支持SNMP（V1、V2、V3），支持有线和无线网络的统一网管,支持远程HTTP、HTTPS配置管理；13.设备提供三年质保。14.设备厂商必须通过能力成熟度认证CMMI4级及以上，投标时并且提供相关复印件。硬件配置要求：1.10/100/1000M电口≥24个，1000M光口接口≥4个，万兆口数量≥2个；2.本次配置AP许可授权≥64个。其他要求：1.设备利旧说明：集团现有无线控制器一台，配置320个AP许可，若投标人所投无线AP可1部署到网络中心14/24以兼容该控制器，仅需对原有无线控制器设备许可授权扩容即可（确保通过验收及采购人能正常使用）。否则投标人须在投标文件清单中列出新的设备（须满足招标文件要求）并对该设备进行报价（含在总投标报价内）。2POE交换机技术参数要求：1.交换容量≥240Gbps，转发性能≥60Mpps；2.提供IPv4和Ipv6三层路由功能；3.提供基于端口、VLAN下发ACL，支持基于时间段的ACL，支持基于硬件Ipv6的ACL；4.VLAN表项≥4K；5.提供STP/RSTP/MSTP协议；6.提供IGMPSnoopingv1/v2/v3，MLDSnooping；7.提供DHCPClient、DHCPSnooping、DHCPSnoopingOption82功能；8.设备提供三年质保。硬件配置要求：1.每台提供24个10/100/1000Base-T以太网端口，24端口均支持POE+供电；2.每台提供4个非复用的1000Base-X千兆SFP端口；3.每台提供千兆单模模块2个3.与无线控制器同一品牌。4部署到楼层弱电间3无线AP可支持瘦AP工作模式，协议支持802.11a/b/g/n，同时支持802.11a/n、802.11b/g/n，双频速率600Mb1个千兆电口，设备采用内置矩阵天线或硬件智能天线，支持POE和本地供电，内置2.4G及5.8G天线，支持标准802.3afPoE供电方式及外部供电，支持802.1x认证、MA