【文章內(nèi)容簡(jiǎn)介】 UBA無(wú)線(xiàn)交換機(jī)就會(huì)把所獲取的無(wú)線(xiàn)電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi)AP的無(wú)線(xiàn)電波。．具有安全保障的網(wǎng)絡(luò)平臺(tái)在傳統(tǒng)的無(wú)線(xiàn)局域網(wǎng)解決方案中，為保障網(wǎng)絡(luò)的安全，許多客戶(hù)把所有無(wú)線(xiàn)流量拒之于防火墻（從DMZ區(qū)接入）之外，用戶(hù)不得不繞道進(jìn)入單位網(wǎng)絡(luò)（如下圖）。從安全性方面看，這是個(gè)好方法，但卻使網(wǎng)絡(luò)設(shè)計(jì)達(dá)不到最優(yōu)狀態(tài)而且導(dǎo)致性能劣化，因?yàn)?WAN 級(jí)別的防火墻突然之間要被迫應(yīng)付許許多多以無(wú)線(xiàn)局域網(wǎng)速度訪問(wèn)的接入點(diǎn)。這種技術(shù)由于“統(tǒng)一尺碼”的訪問(wèn)控制方法而不夠靈活，因?yàn)樗x予所有無(wú)線(xiàn)用戶(hù)相同的網(wǎng)絡(luò)權(quán)限。如果不采用上述的解決方案，而是將無(wú)線(xiàn)系統(tǒng)直接連接到樓層交換機(jī)，這樣用戶(hù)連接至AP以后，所有的訪問(wèn)都將無(wú)從控制，對(duì)客戶(hù)的網(wǎng)絡(luò)安全更是極大的威脅。在醫(yī)院園區(qū)網(wǎng)的環(huán)境中，由于來(lái)往的人員多，流動(dòng)性很大，如果只是靠?jī)?nèi)網(wǎng)和外網(wǎng)的隔離，不能很好的提供服務(wù)給不同身份的用戶(hù)。假設(shè)醫(yī)生需要查詢(xún)病人的資料而使用隨身攜帶的PDA，如果只是簡(jiǎn)單的在內(nèi)網(wǎng)中部署WLAN（無(wú)線(xiàn)局域網(wǎng)），病人家屬和訪客很容易通過(guò)自己的PDA和筆記本電腦登陸到醫(yī)院的內(nèi)網(wǎng)，造成醫(yī)院網(wǎng)絡(luò)的安全漏洞。如果部署醫(yī)院全范圍內(nèi)的WLAN，傳統(tǒng)的無(wú)線(xiàn)局域網(wǎng)面臨無(wú)縫漫游和用戶(hù)管理的難題。 而ARUBA無(wú)線(xiàn)系統(tǒng)的安全管理是將防火墻、VPN、安全認(rèn)證、防病毒、無(wú)線(xiàn)入侵監(jiān)測(cè)以及RF 電磁波管理等多項(xiàng)安全功能匯聚到ARUBA無(wú)線(xiàn)交換機(jī)上來(lái)完成的，解決了傳統(tǒng)的無(wú)線(xiàn)網(wǎng)對(duì)安全的分散管理（AP、AC）和能力，給用戶(hù)帶來(lái)的安全感，擺脫了對(duì)有線(xiàn)網(wǎng)安全的依賴(lài)性。．無(wú)線(xiàn)用戶(hù)網(wǎng)絡(luò)接入的安全管理用戶(hù)狀態(tài)防火墻是ARUBA無(wú)線(xiàn)交換機(jī)的獨(dú)特功能，它本身就是針對(duì)無(wú)線(xiàn)接入的特性而設(shè)計(jì)。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒(méi)有用戶(hù)這概念，它的保護(hù)只是基于IP地址或物理端口來(lái)制定防火墻策略，所以對(duì)于沒(méi)有固定接入點(diǎn)的無(wú)線(xiàn)終端，這種防火墻的功效是不大。ARUBA無(wú)線(xiàn)系統(tǒng)的防火墻功能則是與用戶(hù)認(rèn)證捆綁在一起，當(dāng)無(wú)線(xiàn)用戶(hù)成功通過(guò)認(rèn)證后，他會(huì)獲得一個(gè)預(yù)設(shè)的用戶(hù)狀態(tài)防火墻，不同的無(wú)線(xiàn)用戶(hù)有不同的防火墻策略，例如醫(yī)院管理人員和醫(yī)生可以使用更多的服務(wù)，而病人及訪客只可以瀏覽網(wǎng)頁(yè)、收發(fā)Email等，這樣可以極大方便醫(yī)院用戶(hù)的安全管理。例如醫(yī)院領(lǐng)導(dǎo)可以通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)訪問(wèn)全院的管理、財(cái)務(wù)、人員信息，醫(yī)生可以通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)訪問(wèn)病人的病情信息、治療信息，病人可以通過(guò)網(wǎng)絡(luò)訪問(wèn)個(gè)人信息、費(fèi)用信息，訪客可以通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)訪問(wèn)醫(yī)院的公眾網(wǎng)站，了解醫(yī)院的具體情況。基于身份的訪問(wèn)原則很好的保護(hù)醫(yī)院的網(wǎng)絡(luò)安全，同時(shí)也提供了不同等級(jí)的訪問(wèn)權(quán)限。（如下圖）．無(wú)線(xiàn)網(wǎng)絡(luò)的安全防護(hù)和監(jiān)控由于無(wú)線(xiàn)終端接入是沒(méi)有明確物理位置限制的，所以管理方極難用固定的網(wǎng)絡(luò)防火墻設(shè)備來(lái)防范無(wú)線(xiàn)連接(防火墻一般很少會(huì)設(shè)置在每一個(gè)接入層的數(shù)據(jù)鏈路上)。并且網(wǎng)絡(luò)防火墻是不能防止無(wú)線(xiàn)終端之間的通信，所以萬(wàn)一有無(wú)線(xiàn)終端被病毒感染或黑客在無(wú)線(xiàn)發(fā)起攻擊的話(huà)，它都很會(huì)容易散播到其它的無(wú)線(xiàn)終端及整個(gè)傳輸網(wǎng)絡(luò)內(nèi)的其它網(wǎng)點(diǎn)。有一些單位為了安全就采用一刀切的方法，把所有無(wú)線(xiàn)接入?yún)R聚到一個(gè)DMZ內(nèi)，再通過(guò)一網(wǎng)絡(luò)防火墻的過(guò)濾才讓無(wú)線(xiàn)數(shù)據(jù)進(jìn)入企業(yè)內(nèi)網(wǎng)。這種方式在具體實(shí)施時(shí)有一定的困難，只能局限在傳輸網(wǎng)內(nèi)的某些范圍，因無(wú)線(xiàn)用戶(hù)/終端必需集中在一VLAN上處理，否則的話(huà)很難把它們匯聚到一個(gè)DMZ內(nèi)。如果不是經(jīng)過(guò)DMZ的話(huà)，則可能威脅到內(nèi)網(wǎng)的安全，但要把在不同接入點(diǎn)AP的無(wú)線(xiàn)用戶(hù)/終端和有線(xiàn)用戶(hù)(在同一接入點(diǎn))完全分隔開(kāi)而設(shè)置到DMZ上的同一個(gè)VLAN則需在現(xiàn)有的局域網(wǎng)做很多改動(dòng)。且未來(lái)如要增加多一些AP接入點(diǎn)的話(huà)，亦同樣需要在局域網(wǎng)的接入層，匯聚層做很多改動(dòng)。采用傳統(tǒng)的網(wǎng)絡(luò)防火墻來(lái)實(shí)現(xiàn)無(wú)線(xiàn)接入安全保護(hù)的最大問(wèn)題是缺乏靈活性，因它本質(zhì)上不是設(shè)計(jì)來(lái)做內(nèi)部的安全保護(hù)，而是用來(lái)確保外來(lái)數(shù)據(jù)進(jìn)入企業(yè)內(nèi)網(wǎng)是安全可靠的，所以一般都會(huì)設(shè)置在企業(yè)因特網(wǎng)的連接口。從因特網(wǎng)進(jìn)入企業(yè)內(nèi)網(wǎng)和企業(yè)內(nèi)部的無(wú)線(xiàn)接入的最大區(qū)別在于后者是可對(duì)用戶(hù)做認(rèn)證，但前者是不可能實(shí)現(xiàn)。由于不能確認(rèn)用戶(hù)的身份，所以防火墻的檢查或策略只可按端口和IP 原地址來(lái)制定，不管用戶(hù)是誰(shuí)。這種模式在企業(yè)內(nèi)部署會(huì)對(duì)用戶(hù)的內(nèi)網(wǎng)訪問(wèn)有很多限制，缺乏靈活性，所以是很難被用戶(hù)廣泛接受，只可在小范圍或小規(guī)模的情況下實(shí)現(xiàn)。要做到實(shí)施和維護(hù)簡(jiǎn)單方便，亦可根據(jù)用戶(hù)身份來(lái)制定安全訪問(wèn)策略，ARUBA的無(wú)線(xiàn)解決方案就可以徹底解決這些問(wèn)題。采用ARUBA 無(wú)線(xiàn)系統(tǒng)的RF偵測(cè)功能和保護(hù)機(jī)制可以實(shí)時(shí)監(jiān)測(cè)大廈無(wú)線(xiàn)網(wǎng)覆蓋區(qū)域內(nèi)的所有AP接入情況,如相鄰房間的AP、設(shè)置錯(cuò)誤的AP以及未經(jīng)認(rèn)可而連接到網(wǎng)絡(luò)中的AP。通過(guò)ARUBA 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時(shí)發(fā)現(xiàn)是否有非法的AP接入，發(fā)現(xiàn)后可以開(kāi)啟自動(dòng)保護(hù)機(jī)制，阻止無(wú)線(xiàn)終端通過(guò)非法AP聯(lián)接到無(wú)線(xiàn)網(wǎng)中。在醫(yī)院網(wǎng)絡(luò)中，如果某位醫(yī)生或行政人員私下安裝了無(wú)線(xiàn)的AP，提供了直接連接醫(yī)院內(nèi)網(wǎng)的接入，ARUBA無(wú)線(xiàn)安全管理的功能可以及時(shí)的發(fā)現(xiàn)這個(gè)非法的AP，并且可以通知管理人員斷掉非法AP的網(wǎng)絡(luò)連接，顯示非法AP接入的大致方位。今天已經(jīng)有很多的無(wú)線(xiàn)入侵和攻擊的工具可從網(wǎng)站下載，這些工具的普及對(duì)醫(yī)院和運(yùn)營(yíng)商的無(wú)線(xiàn)網(wǎng)的安全構(gòu)成很大的威脅。今天絕大部分的無(wú)線(xiàn)局域網(wǎng)都沒(méi)有偵測(cè)無(wú)線(xiàn)入侵的功能，所以當(dāng)受到像無(wú)線(xiàn)DOS攻擊時(shí)，就會(huì)誤以為是無(wú)線(xiàn)電波的信號(hào)受干擾或AP出現(xiàn)不穩(wěn)定情況。這些攻擊在HotSpot會(huì)導(dǎo)致用戶(hù)的無(wú)線(xiàn)連接斷線(xiàn)，但網(wǎng)管中心仍然不知，用戶(hù)則誤以為是網(wǎng)絡(luò)問(wèn)題，間接影響無(wú)線(xiàn)網(wǎng)系統(tǒng)的品質(zhì)。ARUBA 無(wú)線(xiàn)系統(tǒng)的特點(diǎn)是交換機(jī)由專(zhuān)有的網(wǎng)絡(luò)處理器和加密處理器組成，且內(nèi)置一個(gè)無(wú)線(xiàn)入侵模式庫(kù)，實(shí)時(shí)檢測(cè)異常的無(wú)線(xiàn)數(shù)據(jù)包，當(dāng)ARUBA 無(wú)線(xiàn)系統(tǒng)偵測(cè)出有入侵時(shí)，它會(huì)記錄和顯示入侵的格式，并對(duì)入侵做出自動(dòng)保護(hù)響應(yīng)。．無(wú)線(xiàn)局域網(wǎng)的認(rèn)證與加密，后端還需要Radius服務(wù)器支持。一方面用戶(hù)的技術(shù)水平參差不齊，客戶(hù)端的操作系統(tǒng)多種多樣，以及系統(tǒng)可能出現(xiàn)的軟件沖突等，另一方面，后端的數(shù)據(jù)庫(kù)只能使用Radius，不能使用其他類(lèi)型的認(rèn)證數(shù)據(jù)庫(kù)，在適應(yīng)性上也比較差，這些對(duì)于大規(guī)模推廣和使用都是極大的阻礙?？紤]到客戶(hù)所使用的設(shè)備安全認(rèn)證的多樣性，我們認(rèn)為將來(lái)的的接入方式可以多種選擇，醫(yī)院的醫(yī)生可能通過(guò)手持PDA設(shè)備查詢(xún)數(shù)據(jù)，病人可以通過(guò)醫(yī)院提供的PC機(jī)查詢(xún)信息，訪客和醫(yī)院領(lǐng)導(dǎo)可以通過(guò)筆記本電腦上網(wǎng)，醫(yī)院同時(shí)可以考慮提供WiFi手機(jī)提供語(yǔ)音的服務(wù)。在ARUBA無(wú)線(xiàn)系統(tǒng)中，一個(gè)無(wú)線(xiàn)用戶(hù)進(jìn)入無(wú)線(xiàn)網(wǎng)以后，只會(huì)拿到一個(gè)最基本的入網(wǎng)權(quán)限，這個(gè)權(quán)限不容許用戶(hù)訪問(wèn)任何網(wǎng)段，只讓用戶(hù)通過(guò)DHCP獲取IP地址、傳送DNS協(xié)議數(shù)據(jù)包，通過(guò)認(rèn)證以后才可以接入無(wú)線(xiàn)網(wǎng)。ARUBA無(wú)線(xiàn)系統(tǒng)支持目前各種用戶(hù)認(rèn)證的方式（、WEB認(rèn)證、MAC、SSID、VPN等），醫(yī)院用戶(hù)可以根據(jù)需要方便選擇。我們可以考慮醫(yī)生和醫(yī)院的管理人員可以通過(guò)身份認(rèn)證的方式登陸到醫(yī)院內(nèi)網(wǎng)，病人和訪客可以通過(guò)WEB界面訪問(wèn)醫(yī)院的公眾服務(wù)器，遠(yuǎn)程的醫(yī)院?jiǎn)T工可以通過(guò)VPN的方式訪問(wèn)醫(yī)院內(nèi)網(wǎng)。WiFi手機(jī)的用戶(hù)可以事先設(shè)置好登陸的方式。ARUBA無(wú)線(xiàn)系統(tǒng)和其它廠家在無(wú)線(xiàn)接入的認(rèn)證和加密上最大的區(qū)別是前者不是通過(guò)AP，而是在ARUBA無(wú)線(xiàn)交換機(jī)上實(shí)現(xiàn)。由于ARUBA的AP是不儲(chǔ)存任何網(wǎng)絡(luò)配置（IP地址除外）和安全設(shè)置，因此ARUBA 管理的AP是不能單獨(dú)工作的，因此獲得和接入進(jìn)ARUBA AP，黑客也不會(huì)拿到無(wú)線(xiàn)網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。但一個(gè)破壞者通過(guò)其他的手段（偷盜和竊取）攻破了邊緣的接入網(wǎng)絡(luò)，他也無(wú)法破譯ARUBA 無(wú)線(xiàn)網(wǎng)絡(luò)建立起的加密通道，無(wú)法竊取網(wǎng)絡(luò)的真實(shí)信息。．無(wú)線(xiàn)射頻終端的定位ARUBA 還有一個(gè)獨(dú)特的無(wú)線(xiàn)射頻特性是可跟蹤在無(wú)線(xiàn)網(wǎng)絡(luò)內(nèi)所有WiFi終端的位置，如PDA, WiFi手機(jī)，和筆記本等。在醫(yī)療中心在安裝ARUBA無(wú)線(xiàn)系統(tǒng)之前或安裝以后，網(wǎng)管人員可把各個(gè)建筑物的圖紙輸入到ARUBA無(wú)線(xiàn)交換機(jī)內(nèi)的RF Planning 系統(tǒng)，然后把AP安裝的物理位置輸入到圖紙上的座標(biāo)或具體的位置上。當(dāng)在這個(gè)系統(tǒng)環(huán)境中尋找?guī)в袩o(wú)線(xiàn)終端的工作人員或病人等的所在位置時(shí)，例如非法AP或WiFi 手機(jī)，在交換機(jī)內(nèi)無(wú)線(xiàn)終端的記錄表內(nèi)找到了終端的網(wǎng)絡(luò)地址后，可按“定位”這按鈕，則網(wǎng)管界面會(huì)彈出在RF Planning上終端在醫(yī)療中心圖紙的物理位置。這種無(wú)線(xiàn)定位模式稱(chēng)為三角定位，先決條件是所尋找的無(wú)線(xiàn)終端附近須有最小三個(gè)ARUBA的AP 在范圍內(nèi)。這是傳統(tǒng)無(wú)線(xiàn)網(wǎng)絡(luò)所不能做的，在一些其他行業(yè)，如醫(yī)院就是采用了無(wú)線(xiàn)定位技術(shù)來(lái)取代傳呼機(jī)在醫(yī)院內(nèi)尋找醫(yī)生、病人等。．支撐多業(yè)務(wù)的網(wǎng)絡(luò)應(yīng)用．無(wú)線(xiàn)網(wǎng)絡(luò)的QoS實(shí)施與保障策略ARUBA的AP所使用的硬件支持無(wú)線(xiàn)多媒體擴(kuò)展（WME）的隊(duì)列。此外，增加了基于用戶(hù)狀態(tài)流的區(qū)分和優(yōu)先級(jí)映射，使得同一個(gè)設(shè)備的不同應(yīng)用可以得到不同的處理優(yōu)先級(jí)。區(qū)分?jǐn)?shù)據(jù)流的各種參數(shù)可以包括源/目的地址、協(xié)議、服務(wù)（如HTTP、TFTP、SIP等）。ARUBA的無(wú)線(xiàn)交換機(jī)在啟用內(nèi)置的防火墻時(shí)，可以識(shí)別數(shù)據(jù)流的狀態(tài)和類(lèi)型，因此可以根據(jù)用戶(hù)或應(yīng)用來(lái)分配不同的帶寬。帶寬分配是在無(wú)線(xiàn)交換機(jī)內(nèi)由一個(gè)專(zhuān)業(yè)的漏桶算法來(lái)控制的，當(dāng)用戶(hù)的流量超過(guò)預(yù)定義的帶寬時(shí)，數(shù)據(jù)包將被丟棄。 DSCP來(lái)給網(wǎng)絡(luò)里的數(shù)據(jù)包來(lái)標(biāo)記QoS的優(yōu)先級(jí)： 下行——往無(wú)線(xiàn)用戶(hù)的方向，無(wú)線(xiàn)交換機(jī)內(nèi)部的狀態(tài)防火墻可以識(shí)別需要高優(yōu)先級(jí)的數(shù)據(jù)流，這樣在無(wú)線(xiàn)交換機(jī)和AP之間的網(wǎng)絡(luò)就可以據(jù)此來(lái)保證下行數(shù)據(jù)的優(yōu)先級(jí)；當(dāng)AP收到下行數(shù)據(jù)時(shí)，它可以根據(jù)數(shù)據(jù)包的GRE包頭的信息來(lái)確定該數(shù)據(jù)包的優(yōu)先級(jí)。 上行——無(wú)線(xiàn)用戶(hù)往AP的方向，AP不作解密的工作，所以沒(méi)有辦法知道數(shù)據(jù)流的優(yōu)先級(jí)，但是一旦高優(yōu)先級(jí)的數(shù)據(jù)流到達(dá)無(wú)線(xiàn)交換機(jī)，該數(shù)據(jù)流就立即被識(shí)別并且AP被告知哪個(gè)用戶(hù)具有較高的優(yōu)先級(jí)。目前，所以ARUBA支持WiFi聯(lián)盟的WMM規(guī)范（）。一旦IEEE ，ARUBA將完全支持該標(biāo)準(zhǔn)。ARUBA的AP具有8個(gè)硬件隊(duì)列，目前只使用了兩個(gè)：高優(yōu)先級(jí)和低優(yōu)先級(jí)，以實(shí)現(xiàn)更為豐富的服務(wù)質(zhì)量保證方案。當(dāng)前我國(guó)醫(yī)療行業(yè)的通信系統(tǒng)正面臨著升級(jí)換代的重大轉(zhuǎn)折點(diǎn)。新環(huán)境下醫(yī)院對(duì)于通信的需求，已經(jīng)不能僅僅滿(mǎn)足于以往的傳統(tǒng)電話(huà)、上網(wǎng)功能；除了在醫(yī)院內(nèi)部搭建高效、通暢、低廉的通信網(wǎng)絡(luò)外，還應(yīng)該包括向病人提供便捷、先進(jìn)的通信業(yè)務(wù)和多媒體信息服務(wù)等新內(nèi)容，以便改善醫(yī)院就醫(yī)條件、病人就醫(yī)感受，并為醫(yī)院創(chuàng)造新的業(yè)務(wù)模式，提高工作效率。融合語(yǔ)音數(shù)據(jù)、實(shí)現(xiàn)多媒體協(xié)同、室內(nèi)外無(wú)線(xiàn)覆蓋、多種終端及應(yīng)用集成……這些當(dāng)前最時(shí)髦的“融合通信”的相關(guān)理念，已經(jīng)開(kāi)始叩響部分醫(yī)院的大門(mén)，為醫(yī)療行業(yè)的信息化吹進(jìn)一縷清新的風(fēng)。當(dāng)所有的數(shù)據(jù)、語(yǔ)音和圖像的應(yīng)用共同運(yùn)行在醫(yī)院的無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境中時(shí)，ARUBA的無(wú)線(xiàn)解決方案可以根據(jù)醫(yī)院網(wǎng)絡(luò)應(yīng)用的實(shí)際需要保證不同重要性的應(yīng)用具有不同的優(yōu)先級(jí)，從而保證在網(wǎng)絡(luò)流量發(fā)生擁擠時(shí)關(guān)鍵性應(yīng)用的網(wǎng)絡(luò)服務(wù)質(zhì)量。例如：電子查房系統(tǒng)，醫(yī)院內(nèi)部VOIP語(yǔ)音系統(tǒng)，無(wú)線(xiàn)視頻監(jiān)控系統(tǒng)，當(dāng)這些應(yīng)用統(tǒng)一運(yùn)行在ARUBA無(wú)線(xiàn)網(wǎng)絡(luò)平臺(tái)上時(shí)，在ARUBA的解決方案中可以支持對(duì)不同的應(yīng)用的優(yōu)先級(jí)設(shè)定從而保證在ARUBA無(wú)線(xiàn)平臺(tái)上保證關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬。．網(wǎng)絡(luò)系統(tǒng)的自愈功能傳統(tǒng)無(wú)線(xiàn)網(wǎng)絡(luò)里的每個(gè)AP都是一個(gè)獨(dú)立的個(gè)體，相互之間不存在任何溝通與協(xié)商，如果有某一AP突然損壞或失效時(shí)，這個(gè)AP原來(lái)覆蓋區(qū)域就會(huì)失去無(wú)線(xiàn)連接，無(wú)線(xiàn)網(wǎng)絡(luò)變得不可用。遇到這種情況的一般做法就是馬上把失效的AP更換。但由于大多數(shù)的AP都是布置在樓道里(并不是在機(jī)房)，所以不一定能馬上作更換，現(xiàn)場(chǎng)的環(huán)境也有局限性，很多時(shí)候