【正文】 l 告警重定義：對(duì)告警級(jí)別重新設(shè)置，突出用戶關(guān)心的告警。角色管理：提供角色創(chuàng)建、修改、刪除及查看等功能。6． 兼容性原則：要求系統(tǒng)的標(biāo)準(zhǔn)化程度高，可以做到不同應(yīng)用系統(tǒng)間的完全兼容；同時(shí)，也可以根據(jù)特殊的要求給出不兼容的設(shè)計(jì)。 針對(duì)內(nèi)網(wǎng)職工訪問外部網(wǎng)絡(luò)的行為，開啟URL過濾、文件過濾、數(shù)據(jù)過濾、反病毒、應(yīng)用行為控制等功能，既保護(hù)內(nèi)網(wǎng)主機(jī)不受外網(wǎng)威脅，又可以防止企業(yè)機(jī)密信息的泄露，提高醫(yī)療網(wǎng)絡(luò)的安全性。3． 可擴(kuò)展性：隨著單位規(guī)模的發(fā)展和壯大，其網(wǎng)絡(luò)也會(huì)不斷的擴(kuò)充變化，要求在保證網(wǎng)絡(luò)安全的基礎(chǔ)上整個(gè)網(wǎng)絡(luò)具有靈活的可擴(kuò)展性，特別是對(duì)安全區(qū)域的新增以及原有安全區(qū)域擴(kuò)充等要求具有良好的支持。如果AP和VAP都配置了黑白名單功能，則用戶上線時(shí)，根據(jù)AP和VAP配置的黑白名單，如果用戶不滿足任意一個(gè)接入條件，則該用戶不能上線。216。通過配置頻譜分析功能，及時(shí)、全面的檢測(cè)出WLAN網(wǎng)絡(luò)中的非WLAN干擾，提升用戶的體驗(yàn)。 AP通過監(jiān)聽Beacon，Associaton Request，Association Response協(xié)議報(bào)文和數(shù)據(jù)報(bào)文報(bào)文來識(shí)別Rogue設(shè)備是哪種設(shè)備（AP/Ad hoc/Client）。監(jiān)測(cè)AP掃描信道監(jiān)測(cè)周邊的無線設(shè)備信息，將收集到的設(shè)備信息定期上報(bào)AC。華為WLAN安全解決方案從無線空口安全，數(shù)據(jù)業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)安全，終端用戶精細(xì)化控制安全三個(gè)維度確保無線醫(yī)院的網(wǎng)絡(luò)安全問題。頻譜分析由于WLAN的工作頻段為ISM頻段，隨著藍(lán)牙、紅外、微波爐等無線應(yīng)用的增加，非WLAN設(shè)備對(duì)WLAN網(wǎng)絡(luò)的干擾問題日益突出。 流量模式：AP1和AP2屬于同一個(gè)負(fù)載均衡組，AP1已接入4個(gè)STA，AP2已接入2個(gè)STA。CAPWAP斷鏈業(yè)務(wù)保持在CAPWAP鏈路中斷后，AP能夠繼續(xù)允許新用戶上線，繼續(xù)訪問CAPWAP未中斷前的所有網(wǎng)絡(luò)資源?；谟脩舻膸捁芾砘谟脩舻膸捁芾戆谀硞€(gè)特定用戶的帶寬管理以及基于用戶組（角色）的帶寬管理。l 室外：室外AP發(fā)射功率27dBm，AP天線增益12dBi，障礙物衰減0dB，終端（智能手機(jī)）發(fā)射功率12dBm，終端天線增益0dBi。根據(jù)WLAN覆蓋邊緣場(chǎng)強(qiáng)的要求，到達(dá)終端用戶的信號(hào)電平不低于－75dBm，100mW AP的輸出電平20dBm，天線增益4dBi，距離AP 60m處信號(hào)的衰減量90dBm，由于20+490＝66dBm，大于75dBm，因此在正常情況下，室內(nèi)AP的覆蓋范圍為60m。主要有兩段：～、～。 核心層采用S12700交換機(jī)。. 無線醫(yī)療基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)不同醫(yī)院現(xiàn)有有線網(wǎng)絡(luò)架構(gòu)的差異，使得各醫(yī)院的WLAN網(wǎng)絡(luò)建設(shè)存在一定的差異。結(jié)合WLAN技術(shù)和射頻識(shí)別技術(shù)，可以實(shí)現(xiàn)實(shí)時(shí)位置信息查詢、緊急情況告警、醫(yī)院特殊重地管理、安全范圍界定等，提高醫(yī)院管理水平。S12700支持統(tǒng)一用戶管理功能，屏蔽了接入層設(shè)備能力和接入方式的差異。在網(wǎng)絡(luò)中，為實(shí)現(xiàn)用戶不同的網(wǎng)絡(luò)訪問需求，可在接入設(shè)備上為用戶部署不同的網(wǎng)絡(luò)訪問策略。在握手協(xié)議中，認(rèn)證可以是雙向的，協(xié)商密鑰的過程是可靠的，協(xié)商得到的密鑰是安全的。外部IP包頭指定將對(duì)IP數(shù)據(jù)包進(jìn)行IPSec處理的目的地址，內(nèi)部IP包頭指定原始IP數(shù)據(jù)包最終的目的地址。l 帶寬利用率高采用鏈路Trunk的方式，帶寬利用率可以達(dá)到100%。接入層交換機(jī)使用iStack（Intelligent Stack）技術(shù)，將多臺(tái)交換機(jī)從邏輯上整合成一臺(tái)交換機(jī)。. 核心層設(shè)計(jì)規(guī)劃核心層部署醫(yī)院的核心設(shè)備，連接所有的匯聚交換機(jī)，轉(zhuǎn)發(fā)各個(gè)樓層的流量。為內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。 冗余性關(guān)鍵設(shè)備采用雙節(jié)點(diǎn)冗余設(shè)計(jì)；關(guān)鍵鏈路采用Trunk方式冗余備份或者負(fù)載分擔(dān)；關(guān)鍵設(shè)備的電源、主控板等關(guān)鍵部件冗余備份。結(jié)合華為敏捷網(wǎng)絡(luò)的業(yè)務(wù)隨行解決方案，做到業(yè)務(wù)隨行，策略隨身。針對(duì)無線網(wǎng)絡(luò)需要基于SSID劃分用于內(nèi)部無線醫(yī)療的專用Work網(wǎng)絡(luò)及用于病患上網(wǎng)的Guest網(wǎng)絡(luò)。 新建網(wǎng)絡(luò)涉及到有線與無線覆蓋，要求內(nèi)外網(wǎng)做邏輯隔離，可以靈活調(diào)整網(wǎng)絡(luò)到網(wǎng)絡(luò)、終端到資源的權(quán)限控制。 考慮到無線醫(yī)療的應(yīng)用需求，針對(duì)住院樓做重點(diǎn)無線覆蓋。 考慮到內(nèi)網(wǎng)安全性，在網(wǎng)路出口區(qū)域部署安全防火墻，對(duì)進(jìn)出網(wǎng)數(shù)據(jù)流做安全檢查及過濾，保護(hù)內(nèi)部網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的安全威脅及惡意攻擊。特別是無線網(wǎng)絡(luò)，通過一鍵式診斷，判斷無線登陸失敗節(jié)點(diǎn)的故障原因，極大的減輕了運(yùn)維人員的工作壓力，提高運(yùn)維人員的工作效率。對(duì)于某些終端，可能還要增加特定的接入設(shè)備，例如無線接入的AP設(shè)備、POTS話機(jī)接入的IAD等。 冗余性設(shè)計(jì)：雙節(jié)點(diǎn)冗余性設(shè)計(jì)，適當(dāng)?shù)娜哂嘈蕴岣呖煽啃裕^度的冗余不便于運(yùn)行維護(hù)。同時(shí)提供到核心層的“縱向”流量。我們推薦采用集群+堆疊的無環(huán)網(wǎng)絡(luò)方案來解決上面的這些缺陷。VPN設(shè)備是一個(gè)非常具有性價(jià)比的安全解決方案。IPSec可用來在多個(gè)防火墻和服務(wù)器之間提供安全性，確保運(yùn)行在TCP/IP協(xié)議上的VPN之間的互操作性。另外，使用SSL VPN訪問B/S應(yīng)用時(shí)不需要安裝任何客戶端軟件，只要用標(biāo)準(zhǔn)的瀏覽器就可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)Web資源的訪問，省去了客戶端的繁瑣的維護(hù)和支持工作，不僅極大地解放了IT管理員的時(shí)間和精力，更提高了遠(yuǎn)程接入人員（如出差員工）的工作效率，節(jié)省了企業(yè)的培訓(xùn)和IT服務(wù)費(fèi)用；同時(shí)，也意味著遠(yuǎn)程用戶在進(jìn)行遠(yuǎn)程訪問時(shí)不會(huì)再受到地域的限制，不論是在公共網(wǎng)吧或是在商業(yè)合作伙伴那里，甚至是隨手借一臺(tái)筆記本，只要有網(wǎng)絡(luò)，遠(yuǎn)程訪問就沒問題。. 用戶接入認(rèn)證規(guī)劃. 有線用戶接入（1）接入交換機(jī)配置端口隔離，每個(gè)接入交換機(jī)配置一個(gè)VLAN， VLAN編號(hào)可以重復(fù)。無線網(wǎng)絡(luò)在醫(yī)院的應(yīng)用主要集中在以下幾方面：l 移動(dòng)查房醫(yī)生查房的過程中，需要隨時(shí)調(diào)取患者的診療記錄或病史等信息，并根據(jù)患者當(dāng)時(shí)的具體病情隨時(shí)下醫(yī)囑。如何保證內(nèi)網(wǎng)、外網(wǎng)的安全隔離，如何保證移動(dòng)場(chǎng)景下的接入訪問控制，以及避免信息通過移動(dòng)終端泄露，成為無線安全方面關(guān)注的重要問題；. 無線網(wǎng)絡(luò)規(guī)劃實(shí)施問題無線網(wǎng)絡(luò)的規(guī)劃和實(shí)施直接決定了后續(xù)的業(yè)務(wù)應(yīng)用效果，主要關(guān)注以下幾個(gè)問題：w 信號(hào)覆蓋盲點(diǎn)問題：建筑物的不同架構(gòu)（如衛(wèi)生間問題）和墻壁介質(zhì)會(huì)對(duì)無線信號(hào)的傳輸造成不同程度的影響，尤其是部署大量AP時(shí)，如何實(shí)現(xiàn)信號(hào)連續(xù)覆蓋無盲點(diǎn)是必須考慮的問題。AP設(shè)備采用POE供電，就近接入接入交換機(jī)，針對(duì)門診樓，推薦AP4030DNE 11ac放裝型AP設(shè)備與高密型AP4030TN無線AP進(jìn)行相應(yīng)需求的信號(hào)覆蓋。針對(duì)房間密集的場(chǎng)景，采用86盒面板方式直接部署在房間內(nèi)部，覆蓋效果好，信號(hào)強(qiáng)度及穩(wěn)定性較好。空間損耗計(jì)算通常采用如下公式：。. 覆蓋規(guī)劃WLAN無線信號(hào)的覆蓋范圍取決于AP和終端之間的鏈路預(yù)算。因此，在SSID的規(guī)劃中必須綜合考慮VLAN與SSID的映射關(guān)系。AC需要將Earthnet優(yōu)先級(jí)映射到隧道的優(yōu)先級(jí)。AP3重新上線后，其鄰居AP1和AP4的自動(dòng)的調(diào)整發(fā)射功率，避免AP與鄰居因覆蓋區(qū)域重疊造成AP間相互干擾。強(qiáng)制弱信號(hào)或低速率用戶下線WLAN網(wǎng)絡(luò)中，當(dāng)STA與AP間的距離越來越遠(yuǎn)時(shí)，AP收到的STA信號(hào)也越來越差，但是，STA仍然保持與AP的連接而不是主動(dòng)發(fā)起重新連接或漫游。 AP同頻干擾：兩個(gè)工作在相同頻段上的AP之間的相互干擾。 l WIDS可以檢測(cè)出非法的AP、網(wǎng)橋、用戶終端、Adhoc，以及信道重合的干擾AP。l 偵聽周邊設(shè)備252。 對(duì)Rogue AP的反制：監(jiān)測(cè)AP通過使用Rogue AP設(shè)備的地址發(fā)送假的廣播解除認(rèn)證幀來對(duì)Rogue AP設(shè)備進(jìn)行反制，抑制無線用戶和非法AP建立鏈接。專業(yè)認(rèn)證，醫(yī)院放心無線網(wǎng)絡(luò)對(duì)患者（患者體內(nèi)植入心臟起搏器或心臟除顫器）潛在的干擾，無線網(wǎng)絡(luò)對(duì)醫(yī)療器械的干擾都要避免。對(duì)比項(xiàng)Portal認(rèn)證MAC認(rèn)證客戶端需求必須Portal需要，web強(qiáng)推不需要不需要優(yōu)點(diǎn)部署在接入層時(shí)，直接控制網(wǎng)絡(luò)接入信息口的通斷，安全性高部署靈活無需安裝客戶端缺點(diǎn)部署不靈活安全性不高管理復(fù)雜，需登記MAC地址適合場(chǎng)景新建網(wǎng)絡(luò)，用戶集中，信息安全要求嚴(yán)格的場(chǎng)景認(rèn)證方式靈活，適用于用戶分散，無線場(chǎng)景適用于SIP終端，打印機(jī)，傳真機(jī)等終端接入認(rèn)證的場(chǎng)景216。統(tǒng)一威脅管理平臺(tái)為企業(yè)提供全面的安全解決方案，提前扼殺網(wǎng)絡(luò)威脅。 216。4． 單位正常網(wǎng)絡(luò)業(yè)務(wù)帶寬受到工作無關(guān)業(yè)務(wù)影響。4. 威脅過濾攔截釣魚、網(wǎng)馬和惡意軟件下載等惡意頁(yè)面，自動(dòng)過濾病毒和攜帶威脅的流量，確保用戶安全上網(wǎng)。設(shè)備在線狀態(tài)監(jiān)控：通過對(duì)于設(shè)備圖標(biāo)顏色的渲染展示設(shè)備當(dāng)前的離在線狀態(tài)。l 告警轉(zhuǎn)儲(chǔ)和確認(rèn)：提供告警手工確認(rèn)和自動(dòng)確認(rèn)功能?！就?fù)浔O(jiān)控】設(shè)備告警狀態(tài)監(jiān)控：通過對(duì)設(shè)備圖標(biāo)顏色的渲染展示設(shè)備當(dāng)前的運(yùn)行狀態(tài)。2. 管控外發(fā)數(shù)據(jù)管控Web、郵件發(fā)送行為，有效防止信息外泄。. 網(wǎng)絡(luò)審計(jì)管控規(guī)劃. 行為管控需求新增上網(wǎng)行為管理，用以滿足以下需求：1． 公開性網(wǎng)絡(luò)的接入及使用審計(jì)2． 職工上班時(shí)間上網(wǎng)炒股、玩游戲，影響工作效率。 216。威脅越來越復(fù)雜化，并且新的應(yīng)用和技術(shù)也帶來了更多漏洞。、MAC認(rèn)證、Portal認(rèn)證多種網(wǎng)絡(luò)訪問控制方式，并可靈活部署在用戶網(wǎng)絡(luò)的接入交換機(jī)、匯聚交換機(jī)、無線控制器、AR等多種網(wǎng)絡(luò)設(shè)備上，配合代理客戶端和認(rèn)證服務(wù)器共同完成用戶接入控制，為無線網(wǎng)絡(luò)提供安全可靠的訪問控制。設(shè)備既支持基于AP配置STA黑白名單，也支持基于VAP配置黑白名單。反制功能，根據(jù)反制的模式，監(jiān)測(cè)模式AP從無線控制器下載攻擊列表，并對(duì)Rogue設(shè)備采取措施，阻止其工作。Rogue設(shè)備的檢測(cè)和反制醫(yī)院中可能出現(xiàn)的Rogue設(shè)備包括Rogue AP，Rogue Client，Adhoc設(shè)備，這些設(shè)備對(duì)運(yùn)維的WLAN網(wǎng)絡(luò)會(huì)帶來諸多的安全隱患，如干擾，用戶和非法AP建立連接等。另外還可以通過網(wǎng)頁(yè)可以主動(dòng)推送醫(yī)院電子地圖或樓層說明等信息，病患下載之后方便就醫(yī)。通過配置干擾檢測(cè)，監(jiān)測(cè)AP可以實(shí)時(shí)了解周圍無線信號(hào)環(huán)境，并及時(shí)向AC上報(bào)告警。 限制弱信號(hào)或低速率用戶接入WLAN網(wǎng)絡(luò)中，有些STA的射頻信號(hào)發(fā)送到AP后，AP收到的信號(hào)很差，這樣的用戶關(guān)聯(lián)AP后，速率比較低，會(huì)嚴(yán)重影響網(wǎng)絡(luò)的吞吐量。全局調(diào)優(yōu)更多的應(yīng)用于新建WLAN網(wǎng)絡(luò)或者大面積信道環(huán)境惡化場(chǎng)景。252。業(yè)務(wù)VLAN主要用于區(qū)分不同的業(yè)務(wù)類型或用戶群體?？紤]一定的無線環(huán)境干擾影響和容量冗余，參考的多用戶接入能力如下表所示：AP并發(fā)用戶數(shù)據(jù)序號(hào)單用戶接入帶寬（Mbps）單頻AP并發(fā)用戶數(shù)( GHz)雙頻AP并發(fā)用戶數(shù)( amp。邊緣場(chǎng)強(qiáng)確認(rèn)是指：在WLAN工程部署中，要求重點(diǎn)覆蓋區(qū)域內(nèi)的WLAN信號(hào)到達(dá)用戶終端的電平不低于－75dBm。每AP最大覆蓋房間數(shù)量需要根據(jù)實(shí)際客戶需求以及部署場(chǎng)景來綜合網(wǎng)規(guī)評(píng)估。 S12700交換機(jī)的可編程單板內(nèi)置無線AC功能（Natvie AC），有線無線統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一控制、統(tǒng)一管理，實(shí)現(xiàn)有線無線真正融合，且無需在單獨(dú)購(gòu)買AC板卡l AP設(shè)備:252。. 無線網(wǎng)絡(luò)安全問題由于無線電波的開放性，對(duì)醫(yī)院通過傳統(tǒng)的內(nèi)網(wǎng)物理隔離來保證安全提出了新的挑戰(zhàn)；醫(yī)院中患者的電子病歷、個(gè)人資料一旦被泄漏、惡意修改，或者被其他機(jī)構(gòu)獲得，都會(huì)釀成嚴(yán)重后果。目前大部分三甲醫(yī)院已經(jīng)建立了比較完備的的醫(yī)療信息系統(tǒng)（如HIS、PACS等），醫(yī)護(hù)人員可以通過有線網(wǎng)絡(luò)來訪問、修改、輸入患者信息、診斷報(bào)告和治療方案，但在使用過程中發(fā)現(xiàn)，由于有線網(wǎng)絡(luò)存在信息點(diǎn)固定的局限性，制約了系統(tǒng)發(fā)揮更大的作用。. SVF全網(wǎng)虛擬化規(guī)劃傳統(tǒng)網(wǎng)絡(luò)多采用樹狀分層結(jié)構(gòu)，分為核心、匯聚、接入三層，其中核心/匯聚層多采用橫向集群，接入交換機(jī)數(shù)量龐大。在保證通信安全性的基礎(chǔ)上，SSL VPN實(shí)現(xiàn)了更加細(xì)致的訪問控制能力，大大增強(qiáng)了對(duì)內(nèi)網(wǎng)的安全保護(hù)。IPSec定義了一套用于認(rèn)證、保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議。合作伙伴/訪客與服務(wù)器的訪問控制，實(shí)現(xiàn)合作伙伴/訪客與內(nèi)網(wǎng)的安全隔離。帶寬利用率只有50%；雖然MSTP基于VLAN進(jìn)行優(yōu)化，但不能從根本上解決問題。S12708敏捷交換機(jī)的業(yè)務(wù)板卡直接融合AC功能,可以對(duì)網(wǎng)絡(luò)中的AP進(jìn)行管控，實(shí)現(xiàn)有線無線深度融合接入、轉(zhuǎn)發(fā)、管理。 模塊化設(shè)計(jì)：每一個(gè)模塊一個(gè)部門，部門內(nèi)部調(diào)整涉及范圍小，定位問題也容易。 終端層包含網(wǎng)內(nèi)的各種終端設(shè)備，例如PC、筆記本電腦、打印機(jī)、傳真、POTS話機(jī)、SIP話機(jī)、手機(jī)、攝像頭等。匯聚及接入節(jié)點(diǎn)只相當(dāng)于核心節(jié)點(diǎn)的一塊普通業(yè)務(wù)板卡，AP經(jīng)虛擬化融合后相當(dāng)于核心節(jié)點(diǎn)的一個(gè)普通業(yè)務(wù)端口。通過利用華為敏捷交換機(jī)的無線融合特性，即作為有線網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)核心節(jié)點(diǎn)，同時(shí)又做為無線網(wǎng)絡(luò)的核心控制及轉(zhuǎn)發(fā)節(jié)點(diǎn)，做到有線無線的深度一體化融合，不用再單獨(dú)建設(shè)和部署兩套網(wǎng)絡(luò)，即減輕了運(yùn)維人員壓力，又提高了各層次設(shè)備的利用率，保證用戶的資金投入。 網(wǎng)絡(luò)主體采用核心層匯聚層接入層的三層網(wǎng)絡(luò)組網(wǎng)結(jié)構(gòu)，滿足萬兆骨干，千兆接入的建設(shè)標(biāo)準(zhǔn)。 針對(duì)外網(wǎng)移動(dòng)辦公接入提供安全的專用接入點(diǎn)，便于移動(dòng)辦公人員接入到內(nèi)網(wǎng)進(jìn)行相應(yīng)工作的開展及信息的獲取。可對(duì)資源訪問做靈活的權(quán)限控制及等級(jí)劃分。辦公人員不論移動(dòng)到醫(yī)院內(nèi)任何一個(gè)位置節(jié)點(diǎn)，不論是通過有線網(wǎng)絡(luò)或者無線網(wǎng)絡(luò)，都擁有一致的網(wǎng)絡(luò)訪問及使用權(quán)限，同時(shí)還可以基于角色進(jìn)行接入帶寬的分配及管控。 安全隔離網(wǎng)絡(luò)應(yīng)具備有效的安全控制。 網(wǎng)絡(luò)管理區(qū)對(duì)網(wǎng)絡(luò)、服務(wù)器、應(yīng)用系統(tǒng)進(jìn)行管理的區(qū)域。核心層設(shè)備需要具有高帶寬、高轉(zhuǎn)發(fā)性能，否則將無法支撐醫(yī)院內(nèi)外部的業(yè)務(wù)流量。. 可靠性設(shè)計(jì)規(guī)劃對(duì)于雙設(shè)備、鏈路冗余的網(wǎng)絡(luò)，如果接入層進(jìn)三層，在接入層和核心層之間采用三層路由的方式，通過等價(jià)路徑再輔助部署B(yǎng)FD（Bidirectional Forwarding Detection）快速檢測(cè)故障，就能夠保證鏈路故障、設(shè)備故障的快速切換，同時(shí)也能夠充分利用冗余鏈路。平滑擴(kuò)容，很好的保護(hù)了投資。其最大優(yōu)點(diǎn)在于終端系統(tǒng)不必為了適應(yīng)IP安全而作任何改動(dòng)。通過對(duì)稱密碼算法確保了數(shù)據(jù)傳輸?shù)臋C(jī)密性，通過HMAC算法確保數(shù)據(jù)傳輸過程