【文章內(nèi)容簡介】 、會(huì)議室、急救室等多種室內(nèi)條件。在這樣復(fù)雜的部署環(huán)境之下，采用人工配置和干預(yù)無線射頻參數(shù)的方式不僅效率低而且容易達(dá)不到效果。具有內(nèi)置智能無線射頻調(diào)控的網(wǎng)絡(luò)系統(tǒng)才是解決問題的最好方案。 ．傳輸安全性能可靠 無線傳輸媒介的非受控物理特性使得網(wǎng)絡(luò)的安全防護(hù)措施尤為重要，在醫(yī)療中心網(wǎng)絡(luò)通信系統(tǒng)這樣一個(gè)專 用的系統(tǒng)中，所傳輸?shù)臄?shù)據(jù)和控制信息都是需要受到嚴(yán)格保護(hù)，防止未授權(quán)用戶進(jìn)行隨意竊取和監(jiān)聽。傳統(tǒng)的無線網(wǎng)絡(luò)組網(wǎng)模式當(dāng)中，AP 可以隨意部署在任意一個(gè)有線端點(diǎn)之上，通過這樣一根無形的網(wǎng)絡(luò)鏈路，所有的用戶不管是合法還是惡意用戶都能夠輕而易舉的進(jìn)入網(wǎng)絡(luò)。更有甚者，由于 AP價(jià)格便宜，非法 AP 的接入防不勝防。在醫(yī)院這樣一個(gè)系統(tǒng)當(dāng)中，為了防范信息被非法 AP 所泄漏，所部署的無線網(wǎng)絡(luò)本身也需要具有偵測 /識(shí)別 /抑制非法 AP 接入的功能。同時(shí)，醫(yī)療中心接入用戶和設(shè)備的廣泛性，要求網(wǎng)絡(luò)本身能夠基于用戶身份去做相應(yīng)的權(quán)限和策略控制。 為 了在網(wǎng)絡(luò)接入層面的認(rèn)證和加密嚴(yán)格遵循國際上的標(biāo)準(zhǔn)，醫(yī)療環(huán)境中可以考慮的認(rèn)證方式包括： ? 用于設(shè)備接入的 MAC/WEP 認(rèn)證、 SSID認(rèn)證； ? 普通用戶接入網(wǎng)絡(luò)使用的 WEB認(rèn)證方式； ? 高級(jí)應(yīng)用、高端用戶認(rèn)證的 。 在設(shè)備接入網(wǎng)絡(luò)的應(yīng)用當(dāng)中，由于移動(dòng)設(shè)備目前支持的加密方式受到硬件本身的限制和制約，所以采用的加密方式多為靜態(tài)或者動(dòng)態(tài)的 WEP；而通過 WEB認(rèn)證接入進(jìn)入網(wǎng)絡(luò)的用戶，也可以采用同樣的 WEP 加密來保護(hù)信息的私密性，更為值得推薦的是通過 VPN 來進(jìn)一步保護(hù)通信數(shù)據(jù)； WPA、 WPA2 中的 TKIP 和AES 在無線網(wǎng)絡(luò)加密手段中的是最安全的，一般來說，由于配置的復(fù)雜程度以及推廣部署的問題，只有高端的應(yīng)用和特定的用戶群體才會(huì)去享受這種安全策略。 上海 眾翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd ．易管理易維護(hù) 無線網(wǎng)絡(luò)的可管理、可維護(hù)性是網(wǎng)絡(luò)能否健康運(yùn)行的重要保障。一個(gè)之上承載著重要應(yīng)用，時(shí)時(shí)刻刻傳輸著關(guān)鍵數(shù)據(jù)的網(wǎng)絡(luò)系統(tǒng)，如何有效、高效的對之進(jìn)行管理和維護(hù)，是所有網(wǎng)絡(luò)管理人員都必須面對的難題。 通過標(biāo)準(zhǔn)的 SNMP 對設(shè)備進(jìn)行配置和監(jiān)控，通過 syslog記錄發(fā)生問題的網(wǎng)絡(luò)環(huán)境上下文，通過 SNMP trap 和網(wǎng)頁警告通知相應(yīng)的網(wǎng)絡(luò)技術(shù)人員，通過無線網(wǎng)絡(luò)數(shù)據(jù) 采樣功能輔助相關(guān)人員進(jìn)行網(wǎng)絡(luò)的故障排除與調(diào)試；所有的這一切都是無線網(wǎng)絡(luò)運(yùn)轉(zhuǎn)正常的必要條件。同時(shí)，是否能夠通過網(wǎng)頁、命令行、遠(yuǎn)程登錄等多種網(wǎng)絡(luò)配置方式對整個(gè)網(wǎng)絡(luò)進(jìn)行調(diào)控和優(yōu)化也決定著網(wǎng)絡(luò)的整體可管控性。 無線網(wǎng)絡(luò)物理特性上的易受干擾特性，使得其更加依賴于網(wǎng)絡(luò)的自愈功能、負(fù)載均衡能力、以及網(wǎng)絡(luò)的冗余備份設(shè)計(jì)策略。一個(gè)良好的無線網(wǎng)絡(luò)能夠通過提供這些功能來輔助網(wǎng)絡(luò)管理。 ．支持內(nèi)部語音通信系統(tǒng) 可以預(yù)見隨著 VoIP 技術(shù)的成熟與普及，基于 SIP 的 WiFi電話將迅速變?yōu)閄XX 醫(yī)院 領(lǐng)導(dǎo)之間話音聯(lián)絡(luò)的主流。 WiFi電話除了可在 XXX 醫(yī)院 、醫(yī)療中心樓以及辦公室之間等不同 AP 之間漫游外，用戶亦可在其它有 Inter連接的地方如酒店，住宅等使用，這是一般辦公室無線電話（傳統(tǒng)的電話交換機(jī)）所不能做到的。簡單地說，用戶可在有寬帶接入的地方繼續(xù)使用辦公室的電話號(hào)碼，不管是國內(nèi)或國外。對于一些經(jīng)常出差的用戶基于無線網(wǎng)絡(luò)技術(shù)的 VoIP 解決方案會(huì)帶來極大的方便，亦可節(jié)省長途電話費(fèi)。很多手機(jī)廠家已開始推出雙模制式的手機(jī)(GSM/CDMA + WiFi)，用戶很快就可以漫游于手機(jī)移動(dòng)網(wǎng)和無線局域網(wǎng)之間。 上海 眾翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd 三、 AlcatelLucent 方案的技術(shù)特點(diǎn)以及在醫(yī)療中心中的適用性闡述 ．先進(jìn)而成熟的無線局域網(wǎng)交換架構(gòu) ．集中式的無線網(wǎng)絡(luò)管理模式 一家普通的醫(yī)院，從門診部到住院部，要實(shí)施無逢的無線網(wǎng)絡(luò)覆蓋，至少需要上百個(gè)甚至幾百個(gè) AP 無線設(shè)備，管理和維護(hù)如此大規(guī)模的無線局域網(wǎng)是一件很頭痛和花時(shí)間的事情。從射頻信號(hào)的覆蓋面，用戶帶寬，用戶認(rèn)證，以及接入安全等，都需要低成本的解決方案。傳統(tǒng)無線局域網(wǎng)的管理和維護(hù)是基于每一個(gè)單獨(dú)的AP 進(jìn)行，其大量的管理工作就是要逐一地對每個(gè) AP 進(jìn)行同樣的設(shè)置和更改動(dòng)作，即使是一個(gè)很小的改動(dòng)，也 要將全部 AP 修改一次。如果 AP 數(shù)量不斷增多時(shí)，維護(hù)量變得非常龐大和煩瑣。再者，無線局域網(wǎng)本應(yīng)是一個(gè)整體的系統(tǒng)， AP之間需要互相協(xié)調(diào)工作，單獨(dú)改變一個(gè) AP 參數(shù)會(huì)引起 AP 之間的無線電波干擾、用戶漫游重認(rèn)證和授權(quán)等問題。 有見及此， AlcatelLucent公司推出強(qiáng)大的具有集中式管理的瘦 AP＋無線交換機(jī)架構(gòu)，該無線架構(gòu)具有簡單而強(qiáng)大的無線局域網(wǎng)集中式管理功能， AP 本身并不存放任何的配置文件， AP 的配置是從無線交換機(jī)上獲取的，通過無線交換機(jī)Master Switch和 Local Switch管理模式就可以統(tǒng)一管 理整個(gè)無線網(wǎng)絡(luò)的 AP。網(wǎng)管人員只需簡單地配置無線交換機(jī)，即可實(shí)現(xiàn)開通、管理和維護(hù)所有 AP 設(shè)備以及移動(dòng)終端，包括無線電波頻譜、無線安全、接入認(rèn)證、移動(dòng)漫游以及接入用戶。 無論多么龐大的醫(yī)療網(wǎng)絡(luò)， AlcatelLucent的先進(jìn)架構(gòu)都可以讓管理者在瞬間內(nèi)完成所有 AP 的修改和自動(dòng)協(xié)調(diào)動(dòng)作。例如，在醫(yī)院里共部署了 300 個(gè)分布在各科室各樓層的無線 AP，出于安全性的需要，每三個(gè)月修改一次 WEP 加密密鑰，如果用傳統(tǒng)方法，只能逐一對每個(gè) AP 進(jìn)行修改，估計(jì)需時(shí)幾天，而用AlcatelLucent 的集中式統(tǒng)一管理架構(gòu)，只需 幾秒鐘就完成了，效率是從前的幾百倍。再者，對于超大型無線網(wǎng)絡(luò)（幾千個(gè) AP 數(shù)量級(jí)以上的網(wǎng)絡(luò)），如果沒有集中式的統(tǒng)一配置管理，是無法想象的。自從有了集中式統(tǒng)一管理的無線架構(gòu)后，現(xiàn)今上海 眾翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd 越來越多的醫(yī)療機(jī)構(gòu)開始逐步實(shí)施“移動(dòng)邊緣”戰(zhàn)略，因?yàn)椴恍柙贀?dān)心因規(guī)模問題導(dǎo)致額外的管理時(shí)間和成本。 ．無線射頻的智能管理 傳統(tǒng)無線局域網(wǎng)射頻管理是依靠工程師手動(dòng)配置的，這種固定式，靜態(tài)的管理手段并不靈活，有很大缺陷，尤其不能適應(yīng)大規(guī)模的無線網(wǎng)部署及動(dòng)態(tài)復(fù)雜多變的無線環(huán)境。因此，我們需要更智能化的動(dòng)態(tài)射頻管理。 AlcatelLucent的無線 架構(gòu)是基于無線交 換機(jī)的集中式統(tǒng)一管理系統(tǒng)，而無線交換機(jī)正好是全局 AP 的中心和溝通橋梁。 AP 與AP 之間的射頻信息通過無線交換機(jī)匯總后，通過 RF 智能控管，便可以很方便地自動(dòng)調(diào)節(jié)線上所有 AlcatelLucent AP 的電波特性，而無需逐一設(shè)置，這是傳統(tǒng) AP方式無法做到的。 當(dāng)初次安裝無線局域網(wǎng)時(shí)，用戶可通過 RF Planning的 Auto Calibration功能來自動(dòng)協(xié)調(diào)整個(gè)無線網(wǎng)上所有 AP 的無線電信號(hào)頻率和發(fā)射功率等參數(shù)。啟動(dòng)了Auto Calibration后， AP 和 AP 之間便會(huì)自動(dòng)互傳相關(guān)射頻的信息，然后計(jì)算得出最佳的通訊頻率和發(fā)射功率，直到 AP 之間達(dá)到了一個(gè)最優(yōu)化的無線電波運(yùn)行環(huán)境。而且，這種射頻優(yōu)化過程是動(dòng)態(tài)的，持續(xù)的，對于醫(yī)療行業(yè)這個(gè)復(fù)雜而多變的室內(nèi)環(huán)境，經(jīng)常會(huì)受到各類無線電波干擾，擁有動(dòng)態(tài)的射頻管理是很必要的。 智能化的射頻管理原理及主要過程大廳 病房 會(huì)議室 辦公室 /公位 病房 病房 病房 病房 病房 病房 上海 眾翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd 如下：當(dāng)無線局域網(wǎng)經(jīng)過 Auto Calibration功能進(jìn)行調(diào)整后正式運(yùn)作，并在 AlcatelLucent無線交換機(jī)內(nèi)啟動(dòng) ARM 這功能，于是無線網(wǎng)上所有的 AlcatelLucent AP 都會(huì)在設(shè)定的時(shí)間內(nèi)自行掃描 其它的無線頻道。所謂電波掃描，是指 AlcatelLucent AP 從一個(gè)電波頻道跳到另一頻道時(shí)，如 Ch 1 到 Ch 2 到 Ch 3....，由于掃描的速度非?？?，所以對于連線的無線用戶（指連接到 AP 上在同一頻率上的無線終端）傳輸過程是不會(huì)受到影響。當(dāng) AP 停留在一個(gè)頻道時(shí)，它會(huì)把在這頻道上收到的無線電波信息轉(zhuǎn)送回 AlcatelLucent 無線交換機(jī)。這樣 AlcatelLucent無線交換機(jī)就對整個(gè)無線網(wǎng)上的整體無線電波情況有一定了解和記錄，并通過優(yōu)化算法，計(jì)算得出每個(gè) AP 最佳的無線頻率和發(fā)射功率。 當(dāng)某一覆蓋范圍內(nèi)的電波改變或出現(xiàn)干擾時(shí)，AlcatelLucent 無線交換機(jī)就會(huì)把所獲取的無線電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi) AP 的無線電波。 ．具有安全保障的網(wǎng)絡(luò)平臺(tái) 在傳統(tǒng)的無線局域網(wǎng)解決方案中，為保障網(wǎng)絡(luò)的安全，許多客戶把所有無線流量拒之于防火墻（從 DMZ區(qū)接入）之外，用戶不得不繞道進(jìn)入單位網(wǎng)絡(luò)（如下圖）。從安全性方面看，這是個(gè)好方法，但卻使網(wǎng)絡(luò)設(shè)計(jì)達(dá)不到最優(yōu)狀態(tài)而且導(dǎo)致性能劣化，因?yàn)? WAN 級(jí)別的防火墻突然之間要被迫應(yīng)付許許多多以無線局域網(wǎng)速度訪問的接入點(diǎn)。這種技術(shù)由于“統(tǒng)一尺碼 ”的訪問控制方法而不夠靈活，因?yàn)樗x予所有無線用戶相同的網(wǎng)絡(luò)權(quán)限。如果不采用上述的解決方案，而是將無線系統(tǒng)直接連接到樓層交換機(jī)，這樣用戶連接至 AP 以后，所有的訪問都將無從控制，對客戶的網(wǎng)絡(luò)安全更是極大的威脅。在醫(yī)院園區(qū)網(wǎng)的環(huán)境中，由于來往的人員多，流動(dòng)性很大，如果只是靠內(nèi)網(wǎng)和外網(wǎng)的隔離，不能很好的提供服務(wù)給不同身份的用戶。假設(shè)醫(yī)生需要查詢病人的資料而使用隨身攜帶的 PDA，如果只是簡單的在內(nèi)網(wǎng)中部署 WLAN（無線局域網(wǎng)），病人家屬和訪客 很容易通過自己的 PDA和筆記本電腦登陸到醫(yī)院的內(nèi)網(wǎng)，造成醫(yī)院網(wǎng)絡(luò)的安全漏洞。如果部署醫(yī)院全范圍內(nèi)的WLAN，傳統(tǒng)的無線局域網(wǎng)面臨無縫漫游和用戶管理的難題。 上海 眾翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd 而 AlcatelLucent無線系統(tǒng)的安全管理是將防火墻、 VPN、安全認(rèn)證、防病毒、無線入侵監(jiān)測以及 RF 電磁波管理等多項(xiàng)安全功能匯聚到 AlcatelLucent無線交換機(jī)上來完成的，解決了傳統(tǒng)的無線網(wǎng)對安全的分散管理（ AP、 AC）和能力，給用戶帶來的安全感，擺脫了對有線網(wǎng)安全的依賴性。 ．無線用戶網(wǎng)絡(luò)接入的安全管理 用戶狀態(tài)防火墻是 AlcatelLucent無線交換機(jī)的獨(dú)特功能，它本身就是針對無線接入的特性而設(shè)計(jì)。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有用戶這概念，它的保護(hù)只是基于IP 地址或物理端口來制定防火墻策略，所以對于沒有固定接入點(diǎn)的無線終端，這種防火墻的功效是不大。 AlcatelLucent無線系統(tǒng)的防火墻功能則是與用戶認(rèn)證捆綁在一起，當(dāng)無線用戶成功通過認(rèn)證后，他會(huì)獲得一個(gè)預(yù)設(shè)的用戶狀態(tài)防火墻，不同的無線用戶有不同的防火墻策略，例如醫(yī)院管理人員和醫(yī)生可以使用更多的服務(wù)，而病人及訪客只可以瀏覽網(wǎng)頁、收發(fā) Email等，這樣可以極大方便醫(yī)院用戶的安 全管理。例如醫(yī)院領(lǐng)導(dǎo)可以通過無線網(wǎng)絡(luò)訪問全院的管理、財(cái)務(wù)、人員信息，醫(yī)生可以通過無線網(wǎng)絡(luò)訪問病人的病情信息、治療信息，病人可以通過網(wǎng)絡(luò)訪問個(gè)人信息、費(fèi)用信息，訪客可以通過無線網(wǎng)絡(luò)訪問醫(yī)院的公眾網(wǎng)站，了解醫(yī)院的具體情況?；谏矸莸脑L問原則很好的保護(hù)醫(yī)院的網(wǎng)絡(luò)安全，同時(shí)也提供了不同等級(jí)的訪問權(quán)限。（如下圖） 上海 眾翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd ．無線網(wǎng)絡(luò)的安全防護(hù)和監(jiān)控 由于無線終端接入是沒有明確物理位置限制的，所以管理方極難用固定的網(wǎng)絡(luò)防火墻設(shè)備來防范無線連接 (防火墻一般很少會(huì)設(shè)置在每一個(gè)接入層的數(shù)據(jù)鏈路上 )。并且網(wǎng)絡(luò)防火墻是不能 防止無線終端之間的通信，所以萬一有無線終端被病毒感染或黑客在無線發(fā)起攻擊的話，它都很會(huì)容易散播到其它的無線終端及整個(gè)傳輸網(wǎng)絡(luò)內(nèi)的其它網(wǎng)點(diǎn)。有一些單位為了安全就采用一刀切的方法，把所有無線接入?yún)R聚到一個(gè) DMZ內(nèi)，再通過一網(wǎng)絡(luò)防火墻的過濾才讓無線數(shù)據(jù)進(jìn)入企業(yè)內(nèi)網(wǎng)。這種方式在具體實(shí)施時(shí)有一定的困難，只能局限在傳輸網(wǎng)內(nèi)的某些范圍，因無線用戶/終端必需集中在一 VLAN 上處理，否則的話很難把它們匯聚到一個(gè) DMZ內(nèi)。如果不是經(jīng)過 DMZ的話，則可能威脅到內(nèi)網(wǎng)的安全，但要把在不同接入點(diǎn) AP 的無線用戶 /終端和有線用戶 (在同一接 入點(diǎn) )完全分隔開而設(shè)置到 DMZ上的同一個(gè)VLAN 則需在現(xiàn)有的局域網(wǎng)做很多改動(dòng)。且未來如要增加多一些 AP 接入點(diǎn)的話，亦同樣需要在局域網(wǎng)的接入層，匯聚層做很多改動(dòng)。 上海 眾翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd 采用傳統(tǒng)的網(wǎng)絡(luò)防火墻來實(shí)現(xiàn)無線接入安全保護(hù)的最大問題是缺乏靈活性，因它本質(zhì)上不是設(shè)計(jì)來做內(nèi)部的安全保護(hù)，而是用來確保外來數(shù)據(jù)進(jìn)入企業(yè)內(nèi)網(wǎng)是安全可靠的，所以一般都會(huì)設(shè)置在企業(yè)因特網(wǎng)的連接口。從因特網(wǎng)進(jìn)入企業(yè)內(nèi)網(wǎng)和企業(yè)內(nèi)部的無線接入的最大區(qū)別在于后者是可對用戶做認(rèn)證，但前者是不可能實(shí)現(xiàn)。由于不能確認(rèn)用戶的身份，所以防火墻的檢查或策略只可按端口和 IP 原地址來制定，不管用戶是誰。這種模式在企業(yè)內(nèi)部署會(huì)對用戶的內(nèi)網(wǎng)訪問有很多限制，缺乏靈活性，所以是很難被用戶廣泛接受，只可在小范圍或