【正文】 接入設(shè)備之間使用CAPWAP（Control And Provisioning of Wireless Access Points）通道建立連接。. 無(wú)線用戶接入S12700內(nèi)置硬件隨板Tbit AC，并支持統(tǒng)一用戶管理功能，更敏捷地實(shí)現(xiàn)了豐富的業(yè)務(wù)特性。醫(yī)療單位也步入了以服務(wù)患者為中心的數(shù)字化醫(yī)療發(fā)展階段。l 資產(chǎn)管理醫(yī)療設(shè)備不僅是開展醫(yī)療、教學(xué)、科研的必備條件，而且是提高醫(yī)療質(zhì)量的物資基礎(chǔ)和先決條件。. 無(wú)線醫(yī)療的總體需求隨著醫(yī)院信息化的發(fā)展、網(wǎng)絡(luò)中所承載內(nèi)容的變化、新的接入方式的成熟。w ，如微波爐、無(wú)繩電話、藍(lán)牙耳機(jī)等；w 無(wú)線設(shè)備對(duì)患者（患者體內(nèi)植入心臟起搏器或心臟除顫器）潛在的干擾；醫(yī)院部署時(shí)需要考慮無(wú)線網(wǎng)絡(luò)與醫(yī)療儀器之間不存在互相干擾，以及盡量解除部署無(wú)線給病人帶來(lái)的心里壓力。l AC設(shè)備：252。252。主要特性對(duì)比室內(nèi)放裝系統(tǒng)敏捷分布式部署覆蓋效果，部署情況需要根據(jù)實(shí)際環(huán)境與建筑布局等來(lái)綜合網(wǎng)規(guī)評(píng)估，病房覆蓋效果會(huì)受到穿墻等因素影響。頻點(diǎn)劃分為保證信道之間不相互干擾，大型無(wú)線醫(yī)院必須對(duì)WLAN信道進(jìn)行統(tǒng)一規(guī)劃并實(shí)施。單頻覆蓋和雙頻覆的示意圖如下圖所示。由公式推算可知：空間傳輸距離100m200m300m400m500m600m1000m100m(dBm)8086929410080(dBm)為便于理解鏈路估算的過(guò)程，這里給出一個(gè)室外場(chǎng)景覆蓋和室內(nèi)場(chǎng)景覆蓋的預(yù)算案例：根據(jù)WLAN覆蓋邊緣場(chǎng)強(qiáng)的要求，到達(dá)終端用戶的信號(hào)電平不低于－75dBm，500mW AP的輸出電平27dBm，天線增益11dBi，距離AP 500m處信號(hào)的衰減量94dBm，由于27+1194＝56dBm，大于75dBm，因此在通常情況下，AP的覆蓋范圍為500m。容量規(guī)劃步驟如下：l 明確移動(dòng)終端用戶數(shù)量及用戶并發(fā)率，在移動(dòng)辦公場(chǎng)景，用戶并發(fā)率按照100%考慮；l 根據(jù)業(yè)務(wù)帶寬需求和終端類型，選擇AP類型，明確單個(gè)AP可提供的并發(fā)用戶接入數(shù)；l AP數(shù)量＝用戶數(shù)用戶并發(fā)率／單AP并發(fā)接入用戶數(shù)。鏈路預(yù)算示例：l 室內(nèi)：室內(nèi)AP發(fā)射功率20dBm，AP天線增益3dBi，障礙物衰減0dB，終端（智能手機(jī)）發(fā)射功率12dBm，終端天線增益0dBi。無(wú)線網(wǎng)絡(luò)可按照用戶群體劃分不同的SSID，如下圖所示，針對(duì)三種不同的用戶群體，在AP上設(shè)置了3個(gè)SSID：SSID1用于患者、SSID2用于訪客和SSID3用于醫(yī)生。說(shuō)明：漫游過(guò)程中SSID必須一致，且使用相同的安全設(shè)置。以視頻流為例，端到到的方案流程如下圖所示：252。. 可靠性規(guī)劃WLAN網(wǎng)絡(luò)的穩(wěn)定性被醫(yī)院普遍關(guān)注。建議選擇同時(shí)支持局部調(diào)優(yōu)和全局調(diào)優(yōu)的AP設(shè)備。WLAN負(fù)載均衡如上圖所示。5G頻段可以提供更好的接入能力，減少干擾對(duì)用戶上網(wǎng)的影響。，當(dāng)密集布放AP時(shí)，不可避免的存在由于多個(gè)AP在一個(gè)信道頻段內(nèi)工作導(dǎo)致的同頻干擾，最終影響WLAN網(wǎng)絡(luò)的整體性能。從而最大限度的較少AP與AP之間，AP與STA之間的干擾，實(shí)現(xiàn)高密覆蓋，實(shí)現(xiàn)綠色節(jié)能。因此，鄰頻設(shè)備距離太近或信號(hào)太強(qiáng)時(shí)，會(huì)導(dǎo)致整體的噪聲變高，影響網(wǎng)絡(luò)性能。 病患接入醫(yī)院WIFI網(wǎng)絡(luò)，需要在網(wǎng)頁(yè)上自注冊(cè)，然后用戶名密碼通過(guò)短信自動(dòng)分發(fā)到手機(jī)，開放免費(fèi)上網(wǎng)權(quán)限，同時(shí)用戶信息自動(dòng)關(guān)聯(lián)到ASG上網(wǎng)行為管理，滿足公安部令第82號(hào)要求。此時(shí)AP僅能實(shí)現(xiàn)監(jiān)測(cè)功能，不能傳輸WLAN的數(shù)據(jù)，即該AP提供的所有WLAN服務(wù)都將關(guān)閉。WIDS還支持攻擊檢測(cè)功能，可以檢測(cè)泛洪攻擊，弱IV向量攻擊、欺騙攻擊、暴力破解WPA/WPA2/WAPI的預(yù)共享密鑰和WEP的共享密鑰，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)的不安全因素，通過(guò)日志，統(tǒng)計(jì)信息以及告警方式及時(shí)通知網(wǎng)絡(luò)管理員。252。l Rogue設(shè)備反制252。 Rogue設(shè)備管理可以與定位功能集合，如在地圖上可以查詢或者實(shí)時(shí)顯示Rogue設(shè)備的位置，為網(wǎng)管人員對(duì)網(wǎng)絡(luò)監(jiān)管和排障定位提供便捷。對(duì)于同一個(gè)AP或者VAP，STA黑名單功能和STA白名單功能不能同時(shí)配置，只能選擇其中一種配置。出于信息安全的需求，往往需要保證來(lái)訪的訪客不能訪問(wèn)醫(yī)院內(nèi)的資源。 用戶接入認(rèn)證通過(guò)用戶接入認(rèn)證，可以對(duì)接入網(wǎng)絡(luò)的用戶身份進(jìn)行合法性進(jìn)行認(rèn)證，只有合法用戶才允許接入，并且不同的角色，不同的用戶所能夠訪問(wèn)的資源是不同。使能黑名單功能后，匹配黑名單列表的用戶無(wú)法接入無(wú)線網(wǎng)絡(luò)，其他用戶都可以接入無(wú)線網(wǎng)絡(luò)。帶寬攻擊指通過(guò)大量的攻擊數(shù)據(jù)包占用正常業(yè)務(wù)數(shù)據(jù)的帶寬，導(dǎo)致網(wǎng)絡(luò)帶寬擁擠，正常業(yè)務(wù)受到影響；主機(jī)或者網(wǎng)絡(luò)設(shè)備攻擊指的是攻擊者通過(guò)攻擊主機(jī)或者網(wǎng)絡(luò)設(shè)備的某個(gè)應(yīng)用端口導(dǎo)致被攻擊設(shè)備處理不過(guò)來(lái)或者癱瘓使其不能處理正常業(yè)務(wù)數(shù)據(jù)；主機(jī)掃描指的是黑客在入侵之前通過(guò)IP或者端口掃描獲取網(wǎng)絡(luò)中活動(dòng)的主機(jī)信息，為下一步入侵提供必要的信息。. 網(wǎng)絡(luò)安全設(shè)計(jì)原則根據(jù)醫(yī)療單位網(wǎng)絡(luò)安全的需求以及華為公司對(duì)網(wǎng)絡(luò)安全的積累，我們提出網(wǎng)絡(luò)安全設(shè)計(jì)必須滿足以下原則：1． 先進(jìn)性原則：網(wǎng)絡(luò)中的安全設(shè)備必須采用專用的硬件平臺(tái)和安全專業(yè)的軟件平臺(tái)保證設(shè)備本身的安全，符合業(yè)界技術(shù)的發(fā)展趨勢(shì)，既體現(xiàn)先進(jìn)性又比較成熟，并且是各個(gè)領(lǐng)域公認(rèn)的領(lǐng)先產(chǎn)品。 216。 根據(jù)公司對(duì)外提供的網(wǎng)絡(luò)服務(wù)的類型開啟相應(yīng)的內(nèi)容安全防護(hù)功能。216。3． 先進(jìn)性原則：具體技術(shù)和技術(shù)方案應(yīng)保證整個(gè)系統(tǒng)具有技術(shù)領(lǐng)先性和持續(xù)發(fā)展性。如下圖所示，將ASG部署在單位與Internet連接的出口，通過(guò)規(guī)范職工上網(wǎng)行為、保證對(duì)外關(guān)鍵服務(wù)的帶寬、保證上網(wǎng)安全和防止內(nèi)部重要信息資產(chǎn)外泄，打造可管控的安全上網(wǎng)環(huán)境。. 網(wǎng)絡(luò)運(yùn)維管理規(guī)劃. 安全管理通過(guò)對(duì)用戶管理、角色管理（授權(quán)管理——分權(quán)分域）、用戶登錄管理等一系列安全策略，實(shí)現(xiàn)對(duì)eSight本身的安全控制，保證eSight的安全。. 拓?fù)涔芾硖峁┩負(fù)湟晥D、拓?fù)浔O(jiān)控、拓?fù)涓婢裙δ埽瑤椭脩魧?shí)時(shí)了解網(wǎng)絡(luò)的組網(wǎng)情況和設(shè)備運(yùn)行狀態(tài)?！就?fù)涓婢縧 通過(guò)不同的顏色或圖標(biāo)表示子網(wǎng)和網(wǎng)元狀態(tài)，實(shí)時(shí)的監(jiān)控網(wǎng)元的告警狀態(tài)。 【告警處理】l 告警統(tǒng)計(jì)：按照用戶設(shè)定條件對(duì)告警信息進(jìn)行統(tǒng)計(jì)。l 全網(wǎng)告警集中監(jiān)視：通過(guò)告警面板、告警列表等方式按照告警級(jí)別或者設(shè)備分類集中顯示告警，實(shí)時(shí)掌握全網(wǎng)的運(yùn)行狀況。鏈路性能狀態(tài)監(jiān)控：提供鏈路兩端標(biāo)簽的顯示能力，能夠在其中擴(kuò)展顯示鏈路的性能狀況。l RADIUS認(rèn)證：由RADIUS服務(wù)器對(duì)登錄請(qǐng)求進(jìn)行認(rèn)證，根據(jù)用戶在RADIUS服務(wù)器上的所屬用戶組，映射到eSight中所屬角色為用戶授權(quán)。6. 出口網(wǎng)關(guān)部署在Internet出口作為網(wǎng)關(guān)，提供路由接入、攻擊防范、源NAT和虛擬服務(wù)器（對(duì)外提供企業(yè)網(wǎng)站、郵件等服務(wù)）功能。主要用于規(guī)范職工上網(wǎng)行為、帶寬管理和保證職工上網(wǎng)安全。使用的信息安全產(chǎn)品和技術(shù)方案在設(shè)計(jì)和實(shí)現(xiàn)的全過(guò)程中有具體的措施來(lái)充分保證其安全性。216。基于以上特征，USG系列防火墻作為大中型企業(yè)的出口網(wǎng)關(guān)提供如下功能：216。. 網(wǎng)絡(luò)邊界防護(hù)規(guī)劃圖1大中型企業(yè)邊界防護(hù)典型部署針對(duì)XX醫(yī)院網(wǎng)絡(luò)網(wǎng)絡(luò)通常具有以下業(yè)務(wù)特征：216。安全區(qū)域指的是在網(wǎng)絡(luò)中擁有相同網(wǎng)絡(luò)資源訪問(wèn)權(quán)限的主機(jī)集合，安全區(qū)域的劃分主要依據(jù)企業(yè)內(nèi)部部門的劃分，例如財(cái)務(wù)部門、研發(fā)部門、市場(chǎng)部門分別劃分為三個(gè)不同安全等級(jí)的安全區(qū)域。主要的攻擊包括：ARP Flood、ICMP Flood、IP Spoofing、UDP Flood、Synflood、Smurf 攻擊、Land 攻擊、超大ICMP攻擊、Fragile 攻擊、Ping of Death、Tear Drop、Ping Scan、Port Scan、IP 路由選項(xiàng)攻擊、Tracert 攻擊等等。使能白名單功能后，只有匹配白名單列表的用戶可以接入無(wú)線網(wǎng)絡(luò)，其他用戶都無(wú)法接入無(wú)線網(wǎng)絡(luò)。實(shí)現(xiàn)精細(xì)化的管控。因此可以放心的在醫(yī)院使用。 黑名單列表：拒絕接入WLAN網(wǎng)絡(luò)的STA的MAC地址列表。 對(duì)Rogue Client、Ad hoc設(shè)備的反制：監(jiān)測(cè)AP通過(guò)使用Rogue Client、Ad hoc設(shè)備的BSSID、MAC地址發(fā)送假的單播解除認(rèn)證幀，對(duì)指定非法Client的進(jìn)行反制。l Rogue設(shè)備判斷252。252。通過(guò)這種反制機(jī)制，可以阻止STA與非法AP的連接。為了實(shí)現(xiàn)檢測(cè)和反制非法設(shè)備，AP存在三種工作模式： l 接入模式：AP僅傳輸WLAN用戶的數(shù)據(jù)，不進(jìn)行任何監(jiān)測(cè)。SSID2只允許醫(yī)護(hù)人員接入辦公或者訪問(wèn)internet，且采用黑名單的方式，禁止醫(yī)院終端接入該網(wǎng)絡(luò)。當(dāng)這些AP之間存在著重復(fù)區(qū)域時(shí)，就存在同頻干擾問(wèn)題，大大降低網(wǎng)絡(luò)性能。逐包功率調(diào)整傳統(tǒng)的射頻功率控制只是靜態(tài)的將AP的功率設(shè)為固定值，對(duì)AP覆蓋范圍內(nèi)的所有用戶的功率都保持一致。減少弱信號(hào)和低速率用戶對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)性能的影響?，F(xiàn)網(wǎng)應(yīng)用中，STA通過(guò)AP接入Internet時(shí)。由于WLAN是基于CSMA/CA機(jī)制，實(shí)現(xiàn)多用戶接入，當(dāng)單臺(tái)AP接入用戶數(shù)過(guò)多時(shí)，用戶吞吐率性能會(huì)出現(xiàn)急劇下降且穩(wěn)定性無(wú)法保證。該功能允許所有通過(guò)輸入正確密鑰的用戶上線，即AC上配置的STA黑白名單在CAPWAP斷鏈后不再生效。 在保證效率的同時(shí)，為了提升穩(wěn)定性，AP上先將組播報(bào)文轉(zhuǎn)為單播報(bào)文，然后將報(bào)文從有線的優(yōu)先級(jí)映射到無(wú)線的優(yōu)先級(jí)?；赟SID的帶寬管理為來(lái)自醫(yī)院外的訪客提供上網(wǎng)服務(wù)不是醫(yī)院建設(shè)WLAN的主要目的，一般需要對(duì)訪客SSID的容量做限制，以保障內(nèi)部用戶的帶寬和業(yè)務(wù)體驗(yàn)。. 漫游規(guī)劃漫游是指用戶在部署了WLAN網(wǎng)絡(luò)的場(chǎng)所移動(dòng)時(shí)，用戶終端可以從一個(gè)AP的覆蓋范圍移動(dòng)到另一個(gè)AP的覆蓋范圍，用戶無(wú)需重新登錄和認(rèn)證，如下圖所示。. SSID和漫游規(guī)劃SSID規(guī)劃AP可以配置多個(gè)SSID，華為單頻AP可支持16個(gè)SSID，雙頻AP可支持32個(gè)SSID。其中，空間距離對(duì)信號(hào)的衰減如下：頻段不同空間傳播距離下的無(wú)線信號(hào)衰減1m5m10m20m40m100m200m320m46dB72dB98dB5G56dB82dB108dB為滿足移動(dòng)場(chǎng)景下不同類型終端（便攜筆記本、智能手機(jī)、PAD、啞終端等）的接入，在重點(diǎn)覆蓋區(qū)域終端接收信號(hào)電平應(yīng)大于－65dBm，普通覆蓋區(qū)域終端接收信號(hào)電平應(yīng)大于－75dBm。根據(jù)用戶分布密集程度，可劃分為用戶密集區(qū)域和用戶稀疏區(qū)域。實(shí)際部署中終端天線增益不可知，為方便計(jì)算常忽略接收天線增益，而采用如下公式：到達(dá)用戶端的信號(hào)電平＝AP發(fā)射功率＋AP天線增益－路徑損耗。根據(jù)覆蓋密度、干擾情況、。. WLAN覆蓋規(guī)劃射頻規(guī)劃與IP地址規(guī)劃一樣，WLAN信道是WLAN網(wǎng)絡(luò)設(shè)計(jì)中重要一環(huán)，大型無(wú)線醫(yī)院必須對(duì)WLAN信道進(jìn)行統(tǒng)一規(guī)劃。無(wú)線AP部署方案無(wú)線AP的部署方案整體分為放裝方案，智分方案兩種。l 接入交換機(jī)：252。這個(gè)情況下，建議采用下圖所示的WLAN方案。w AP之間的干擾問(wèn)題：在一定的空間內(nèi)部署多個(gè)AP，信號(hào)會(huì)有相互交錯(cuò)重疊，從而造成信號(hào)干擾。l 方便患者就診門診排隊(duì)、就醫(yī)環(huán)境差是目前醫(yī)院普遍存在的問(wèn)題，減少就診等待時(shí)間，提高診治效率成為當(dāng)務(wù)之急。這3個(gè)環(huán)節(jié)的每一步都至關(guān)重要。AC通過(guò)CAPWAP協(xié)議報(bào)文管理和控制AP，而X1E接口板可以處理CAPWAP報(bào)文，所以組網(wǎng)時(shí)，需要保證AP的報(bào)文流量通過(guò)X1E接口板進(jìn)入交換機(jī)。 （3）S127作為用戶網(wǎng)關(guān)，1X用戶直接到第三方AAA服務(wù)器進(jìn)行用戶名和密碼認(rèn)證。而在敏捷網(wǎng)絡(luò)中，通過(guò)業(yè)務(wù)隨行方案，管理員僅需在控制器上統(tǒng)一為用戶部署網(wǎng)絡(luò)訪問(wèn)策略，然后將其下發(fā)到所有關(guān)聯(lián)的接入設(shè)備即可滿足不管用戶的物理位置以及IP地址如何變化，都可以使其獲得相同的訪問(wèn)策略。網(wǎng)絡(luò)中存在手持智能手機(jī)、Pad、便攜等多種設(shè)備高速上網(wǎng)，AC設(shè)備由于轉(zhuǎn)發(fā)能力、端口各方面的限制將逐漸成為流量瓶頸。由此可見，SSL協(xié)議從以下方面確保了數(shù)據(jù)通信的安全：認(rèn)證 － 在建立SSL連接之前，客戶端和服務(wù)器之間需要進(jìn)行認(rèn)證，認(rèn)證采用數(shù)字證書，可以是客戶端對(duì)服務(wù)器的認(rèn)證，也可以是雙方進(jìn)行雙向認(rèn)證。SSL協(xié)議最初是由Netscape公司開發(fā)，用于保護(hù)web通信安全。隧道模式既可以用于兩個(gè)主機(jī)之間的IP通信，又可以用于兩個(gè)安全網(wǎng)關(guān)之間或一個(gè)主機(jī)與一個(gè)安全網(wǎng)關(guān)之間的IP通信。在本方案中，通過(guò)利用USG下一代防火墻的VPN特性，建設(shè)院區(qū)之間與提供外部用戶安全遠(yuǎn)程訪問(wèn)的平臺(tái)。該方案極大提高了可靠性，以單鏈路故障率為1小時(shí)/1千小時(shí)為例，增加到兩條鏈路，可靠性從3個(gè)9提高到6個(gè)9。接入層采用盒式交換機(jī)，盒式交換機(jī)每?jī)膳_(tái)堆疊。更多的組網(wǎng)方式是在匯聚層進(jìn)三層，這樣就需要解決接入層和匯聚層之間二層流量的環(huán)路問(wèn)題。匯聚層需要雙歸到核心層并支持接入層的雙歸接入。核心層采用華為S12708敏捷交換機(jī)，使用CSS2（Cluster Switch System）技術(shù)，將兩臺(tái)交換機(jī)從邏輯上整合成一臺(tái)交換機(jī)。 對(duì)稱性設(shè)計(jì)：網(wǎng)絡(luò)的對(duì)稱性便于業(yè)務(wù)部署，拓?fù)渲庇^，便于設(shè)計(jì)和分析。包括故障管理、配置管理、性能管理、安全管理等。匯聚層通常還作為用戶三層網(wǎng)關(guān)，承擔(dān)L2/L3邊緣設(shè)備的角色，提供用戶管理、安全管理、QoS（Quality of Service）調(diào)度等各項(xiàng)跟用戶和業(yè)務(wù)相關(guān)的處理。按業(yè)務(wù)、按權(quán)限進(jìn)行分區(qū)邏輯隔離，對(duì)特別重要的業(yè)務(wù)采取物理隔離。同時(shí)對(duì)于醫(yī)療網(wǎng)絡(luò)而言，注重的是網(wǎng)絡(luò)的簡(jiǎn)單可靠、易部署、易維護(hù)。 為保證網(wǎng)絡(luò)的健壯性、可升級(jí)性及易擴(kuò)容特性，網(wǎng)絡(luò)采用模塊化的三層網(wǎng)絡(luò)結(jié)構(gòu)建設(shè)，由于核心層的重要性，針對(duì)核心層采用雙機(jī)冗余部署，結(jié)合華為CSS2集群方案，實(shí)現(xiàn)設(shè)備的橫向虛擬化。針對(duì)住院部，由于其房間密集特性，又要求無(wú)線漫游的切換時(shí)間及無(wú)線信號(hào)的覆蓋強(qiáng)度及穩(wěn)定性，采用華為敏捷分布式無(wú)線覆蓋組網(wǎng)方案。 由于互聯(lián)網(wǎng)的不安全性，需要在網(wǎng)絡(luò)出口處部署防火墻等安全設(shè)備，做網(wǎng)絡(luò)整體的安全防護(hù)。門診樓一樓大廳處（300人）、掛號(hào)區(qū)（2*150人）做無(wú)