【文章內(nèi)容簡介】 、會議室、急救室等多種室內(nèi)條件。在這樣復雜的部署環(huán)境之下，采用人工配置和干預無線射頻參數(shù)的方式不僅效率低而且容易達不到效果。具有內(nèi)置智能無線射頻調(diào)控的網(wǎng)絡系統(tǒng)才是解決問題的最好方案。 ．傳輸安全性能可靠 無線傳輸媒介的非受控物理特性使得網(wǎng)絡的安全防護措施尤為重要，在醫(yī)療中心網(wǎng)絡通信系統(tǒng)這樣一個專 用的系統(tǒng)中，所傳輸?shù)臄?shù)據(jù)和控制信息都是需要受到嚴格保護，防止未授權(quán)用戶進行隨意竊取和監(jiān)聽。傳統(tǒng)的無線網(wǎng)絡組網(wǎng)模式當中，AP 可以隨意部署在任意一個有線端點之上，通過這樣一根無形的網(wǎng)絡鏈路，所有的用戶不管是合法還是惡意用戶都能夠輕而易舉的進入網(wǎng)絡。更有甚者，由于 AP價格便宜，非法 AP 的接入防不勝防。在醫(yī)院這樣一個系統(tǒng)當中，為了防范信息被非法 AP 所泄漏，所部署的無線網(wǎng)絡本身也需要具有偵測 /識別 /抑制非法 AP 接入的功能。同時，醫(yī)療中心接入用戶和設備的廣泛性，要求網(wǎng)絡本身能夠基于用戶身份去做相應的權(quán)限和策略控制。 為 了在網(wǎng)絡接入層面的認證和加密嚴格遵循國際上的標準，醫(yī)療環(huán)境中可以考慮的認證方式包括： ? 用于設備接入的 MAC/WEP 認證、 SSID認證； ? 普通用戶接入網(wǎng)絡使用的 WEB認證方式； ? 高級應用、高端用戶認證的 。 在設備接入網(wǎng)絡的應用當中，由于移動設備目前支持的加密方式受到硬件本身的限制和制約，所以采用的加密方式多為靜態(tài)或者動態(tài)的 WEP；而通過 WEB認證接入進入網(wǎng)絡的用戶，也可以采用同樣的 WEP 加密來保護信息的私密性，更為值得推薦的是通過 VPN 來進一步保護通信數(shù)據(jù)； WPA、 WPA2 中的 TKIP 和AES 在無線網(wǎng)絡加密手段中的是最安全的，一般來說，由于配置的復雜程度以及推廣部署的問題，只有高端的應用和特定的用戶群體才會去享受這種安全策略。 上海 眾翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd ．易管理易維護 無線網(wǎng)絡的可管理、可維護性是網(wǎng)絡能否健康運行的重要保障。一個之上承載著重要應用，時時刻刻傳輸著關(guān)鍵數(shù)據(jù)的網(wǎng)絡系統(tǒng)，如何有效、高效的對之進行管理和維護，是所有網(wǎng)絡管理人員都必須面對的難題。 通過標準的 SNMP 對設備進行配置和監(jiān)控，通過 syslog記錄發(fā)生問題的網(wǎng)絡環(huán)境上下文，通過 SNMP trap 和網(wǎng)頁警告通知相應的網(wǎng)絡技術(shù)人員，通過無線網(wǎng)絡數(shù)據(jù) 采樣功能輔助相關(guān)人員進行網(wǎng)絡的故障排除與調(diào)試；所有的這一切都是無線網(wǎng)絡運轉(zhuǎn)正常的必要條件。同時，是否能夠通過網(wǎng)頁、命令行、遠程登錄等多種網(wǎng)絡配置方式對整個網(wǎng)絡進行調(diào)控和優(yōu)化也決定著網(wǎng)絡的整體可管控性。 無線網(wǎng)絡物理特性上的易受干擾特性，使得其更加依賴于網(wǎng)絡的自愈功能、負載均衡能力、以及網(wǎng)絡的冗余備份設計策略。一個良好的無線網(wǎng)絡能夠通過提供這些功能來輔助網(wǎng)絡管理。 ．支持內(nèi)部語音通信系統(tǒng) 可以預見隨著 VoIP 技術(shù)的成熟與普及，基于 SIP 的 WiFi電話將迅速變?yōu)閄XX 醫(yī)院 領(lǐng)導之間話音聯(lián)絡的主流。 WiFi電話除了可在 XXX 醫(yī)院 、醫(yī)療中心樓以及辦公室之間等不同 AP 之間漫游外，用戶亦可在其它有 Inter連接的地方如酒店，住宅等使用，這是一般辦公室無線電話（傳統(tǒng)的電話交換機）所不能做到的。簡單地說，用戶可在有寬帶接入的地方繼續(xù)使用辦公室的電話號碼，不管是國內(nèi)或國外。對于一些經(jīng)常出差的用戶基于無線網(wǎng)絡技術(shù)的 VoIP 解決方案會帶來極大的方便，亦可節(jié)省長途電話費。很多手機廠家已開始推出雙模制式的手機(GSM/CDMA + WiFi)，用戶很快就可以漫游于手機移動網(wǎng)和無線局域網(wǎng)之間。 上海 眾翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd 三、 AlcatelLucent 方案的技術(shù)特點以及在醫(yī)療中心中的適用性闡述 ．先進而成熟的無線局域網(wǎng)交換架構(gòu) ．集中式的無線網(wǎng)絡管理模式 一家普通的醫(yī)院，從門診部到住院部，要實施無逢的無線網(wǎng)絡覆蓋，至少需要上百個甚至幾百個 AP 無線設備，管理和維護如此大規(guī)模的無線局域網(wǎng)是一件很頭痛和花時間的事情。從射頻信號的覆蓋面，用戶帶寬，用戶認證，以及接入安全等，都需要低成本的解決方案。傳統(tǒng)無線局域網(wǎng)的管理和維護是基于每一個單獨的AP 進行，其大量的管理工作就是要逐一地對每個 AP 進行同樣的設置和更改動作，即使是一個很小的改動，也 要將全部 AP 修改一次。如果 AP 數(shù)量不斷增多時，維護量變得非常龐大和煩瑣。再者，無線局域網(wǎng)本應是一個整體的系統(tǒng)， AP之間需要互相協(xié)調(diào)工作，單獨改變一個 AP 參數(shù)會引起 AP 之間的無線電波干擾、用戶漫游重認證和授權(quán)等問題。 有見及此， AlcatelLucent公司推出強大的具有集中式管理的瘦 AP＋無線交換機架構(gòu)，該無線架構(gòu)具有簡單而強大的無線局域網(wǎng)集中式管理功能， AP 本身并不存放任何的配置文件， AP 的配置是從無線交換機上獲取的，通過無線交換機Master Switch和 Local Switch管理模式就可以統(tǒng)一管 理整個無線網(wǎng)絡的 AP。網(wǎng)管人員只需簡單地配置無線交換機，即可實現(xiàn)開通、管理和維護所有 AP 設備以及移動終端，包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶。 無論多么龐大的醫(yī)療網(wǎng)絡， AlcatelLucent的先進架構(gòu)都可以讓管理者在瞬間內(nèi)完成所有 AP 的修改和自動協(xié)調(diào)動作。例如，在醫(yī)院里共部署了 300 個分布在各科室各樓層的無線 AP，出于安全性的需要，每三個月修改一次 WEP 加密密鑰，如果用傳統(tǒng)方法，只能逐一對每個 AP 進行修改，估計需時幾天，而用AlcatelLucent 的集中式統(tǒng)一管理架構(gòu)，只需 幾秒鐘就完成了，效率是從前的幾百倍。再者，對于超大型無線網(wǎng)絡（幾千個 AP 數(shù)量級以上的網(wǎng)絡），如果沒有集中式的統(tǒng)一配置管理，是無法想象的。自從有了集中式統(tǒng)一管理的無線架構(gòu)后，現(xiàn)今上海 眾翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd 越來越多的醫(yī)療機構(gòu)開始逐步實施“移動邊緣”戰(zhàn)略，因為不需再擔心因規(guī)模問題導致額外的管理時間和成本。 ．無線射頻的智能管理 傳統(tǒng)無線局域網(wǎng)射頻管理是依靠工程師手動配置的，這種固定式，靜態(tài)的管理手段并不靈活，有很大缺陷，尤其不能適應大規(guī)模的無線網(wǎng)部署及動態(tài)復雜多變的無線環(huán)境。因此，我們需要更智能化的動態(tài)射頻管理。 AlcatelLucent的無線 架構(gòu)是基于無線交 換機的集中式統(tǒng)一管理系統(tǒng)，而無線交換機正好是全局 AP 的中心和溝通橋梁。 AP 與AP 之間的射頻信息通過無線交換機匯總后，通過 RF 智能控管，便可以很方便地自動調(diào)節(jié)線上所有 AlcatelLucent AP 的電波特性，而無需逐一設置，這是傳統(tǒng) AP方式無法做到的。 當初次安裝無線局域網(wǎng)時，用戶可通過 RF Planning的 Auto Calibration功能來自動協(xié)調(diào)整個無線網(wǎng)上所有 AP 的無線電信號頻率和發(fā)射功率等參數(shù)。啟動了Auto Calibration后， AP 和 AP 之間便會自動互傳相關(guān)射頻的信息，然后計算得出最佳的通訊頻率和發(fā)射功率，直到 AP 之間達到了一個最優(yōu)化的無線電波運行環(huán)境。而且，這種射頻優(yōu)化過程是動態(tài)的，持續(xù)的，對于醫(yī)療行業(yè)這個復雜而多變的室內(nèi)環(huán)境，經(jīng)常會受到各類無線電波干擾，擁有動態(tài)的射頻管理是很必要的。 智能化的射頻管理原理及主要過程大廳 病房 會議室 辦公室 /公位 病房 病房 病房 病房 病房 病房 上海 眾翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd 如下：當無線局域網(wǎng)經(jīng)過 Auto Calibration功能進行調(diào)整后正式運作，并在 AlcatelLucent無線交換機內(nèi)啟動 ARM 這功能，于是無線網(wǎng)上所有的 AlcatelLucent AP 都會在設定的時間內(nèi)自行掃描 其它的無線頻道。所謂電波掃描，是指 AlcatelLucent AP 從一個電波頻道跳到另一頻道時，如 Ch 1 到 Ch 2 到 Ch 3....，由于掃描的速度非?？欤詫τ谶B線的無線用戶（指連接到 AP 上在同一頻率上的無線終端）傳輸過程是不會受到影響。當 AP 停留在一個頻道時，它會把在這頻道上收到的無線電波信息轉(zhuǎn)送回 AlcatelLucent 無線交換機。這樣 AlcatelLucent無線交換機就對整個無線網(wǎng)上的整體無線電波情況有一定了解和記錄，并通過優(yōu)化算法，計算得出每個 AP 最佳的無線頻率和發(fā)射功率。 當某一覆蓋范圍內(nèi)的電波改變或出現(xiàn)干擾時，AlcatelLucent 無線交換機就會把所獲取的無線電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi) AP 的無線電波。 ．具有安全保障的網(wǎng)絡平臺 在傳統(tǒng)的無線局域網(wǎng)解決方案中，為保障網(wǎng)絡的安全，許多客戶把所有無線流量拒之于防火墻（從 DMZ區(qū)接入）之外，用戶不得不繞道進入單位網(wǎng)絡（如下圖）。從安全性方面看，這是個好方法，但卻使網(wǎng)絡設計達不到最優(yōu)狀態(tài)而且導致性能劣化，因為 WAN 級別的防火墻突然之間要被迫應付許許多多以無線局域網(wǎng)速度訪問的接入點。這種技術(shù)由于“統(tǒng)一尺碼 ”的訪問控制方法而不夠靈活，因為它賦予所有無線用戶相同的網(wǎng)絡權(quán)限。如果不采用上述的解決方案，而是將無線系統(tǒng)直接連接到樓層交換機，這樣用戶連接至 AP 以后，所有的訪問都將無從控制，對客戶的網(wǎng)絡安全更是極大的威脅。在醫(yī)院園區(qū)網(wǎng)的環(huán)境中，由于來往的人員多，流動性很大，如果只是靠內(nèi)網(wǎng)和外網(wǎng)的隔離，不能很好的提供服務給不同身份的用戶。假設醫(yī)生需要查詢病人的資料而使用隨身攜帶的 PDA，如果只是簡單的在內(nèi)網(wǎng)中部署 WLAN（無線局域網(wǎng)），病人家屬和訪客 很容易通過自己的 PDA和筆記本電腦登陸到醫(yī)院的內(nèi)網(wǎng)，造成醫(yī)院網(wǎng)絡的安全漏洞。如果部署醫(yī)院全范圍內(nèi)的WLAN，傳統(tǒng)的無線局域網(wǎng)面臨無縫漫游和用戶管理的難題。 上海 眾翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd 而 AlcatelLucent無線系統(tǒng)的安全管理是將防火墻、 VPN、安全認證、防病毒、無線入侵監(jiān)測以及 RF 電磁波管理等多項安全功能匯聚到 AlcatelLucent無線交換機上來完成的，解決了傳統(tǒng)的無線網(wǎng)對安全的分散管理（ AP、 AC）和能力，給用戶帶來的安全感，擺脫了對有線網(wǎng)安全的依賴性。 ．無線用戶網(wǎng)絡接入的安全管理 用戶狀態(tài)防火墻是 AlcatelLucent無線交換機的獨特功能，它本身就是針對無線接入的特性而設計。傳統(tǒng)的網(wǎng)絡防火墻是沒有用戶這概念，它的保護只是基于IP 地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效是不大。 AlcatelLucent無線系統(tǒng)的防火墻功能則是與用戶認證捆綁在一起，當無線用戶成功通過認證后，他會獲得一個預設的用戶狀態(tài)防火墻，不同的無線用戶有不同的防火墻策略，例如醫(yī)院管理人員和醫(yī)生可以使用更多的服務，而病人及訪客只可以瀏覽網(wǎng)頁、收發(fā) Email等，這樣可以極大方便醫(yī)院用戶的安 全管理。例如醫(yī)院領(lǐng)導可以通過無線網(wǎng)絡訪問全院的管理、財務、人員信息，醫(yī)生可以通過無線網(wǎng)絡訪問病人的病情信息、治療信息，病人可以通過網(wǎng)絡訪問個人信息、費用信息，訪客可以通過無線網(wǎng)絡訪問醫(yī)院的公眾網(wǎng)站，了解醫(yī)院的具體情況?；谏矸莸脑L問原則很好的保護醫(yī)院的網(wǎng)絡安全，同時也提供了不同等級的訪問權(quán)限。（如下圖） 上海 眾翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd ．無線網(wǎng)絡的安全防護和監(jiān)控 由于無線終端接入是沒有明確物理位置限制的，所以管理方極難用固定的網(wǎng)絡防火墻設備來防范無線連接 (防火墻一般很少會設置在每一個接入層的數(shù)據(jù)鏈路上 )。并且網(wǎng)絡防火墻是不能 防止無線終端之間的通信，所以萬一有無線終端被病毒感染或黑客在無線發(fā)起攻擊的話，它都很會容易散播到其它的無線終端及整個傳輸網(wǎng)絡內(nèi)的其它網(wǎng)點。有一些單位為了安全就采用一刀切的方法，把所有無線接入?yún)R聚到一個 DMZ內(nèi)，再通過一網(wǎng)絡防火墻的過濾才讓無線數(shù)據(jù)進入企業(yè)內(nèi)網(wǎng)。這種方式在具體實施時有一定的困難，只能局限在傳輸網(wǎng)內(nèi)的某些范圍，因無線用戶/終端必需集中在一 VLAN 上處理，否則的話很難把它們匯聚到一個 DMZ內(nèi)。如果不是經(jīng)過 DMZ的話，則可能威脅到內(nèi)網(wǎng)的安全，但要把在不同接入點 AP 的無線用戶 /終端和有線用戶 (在同一接 入點 )完全分隔開而設置到 DMZ上的同一個VLAN 則需在現(xiàn)有的局域網(wǎng)做很多改動。且未來如要增加多一些 AP 接入點的話，亦同樣需要在局域網(wǎng)的接入層，匯聚層做很多改動。 上海 眾翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd 采用傳統(tǒng)的網(wǎng)絡防火墻來實現(xiàn)無線接入安全保護的最大問題是缺乏靈活性，因它本質(zhì)上不是設計來做內(nèi)部的安全保護，而是用來確保外來數(shù)據(jù)進入企業(yè)內(nèi)網(wǎng)是安全可靠的，所以一般都會設置在企業(yè)因特網(wǎng)的連接口。從因特網(wǎng)進入企業(yè)內(nèi)網(wǎng)和企業(yè)內(nèi)部的無線接入的最大區(qū)別在于后者是可對用戶做認證，但前者是不可能實現(xiàn)。由于不能確認用戶的身份，所以防火墻的檢查或策略只可按端口和 IP 原地址來制定，不管用戶是誰。這種模式在企業(yè)內(nèi)部署會對用戶的內(nèi)網(wǎng)訪問有很多限制，缺乏靈活性，所以是很難被用戶廣泛接受，只可在小范圍或