【文章內容簡介】 UBA無線交換機就會把所獲取的無線電波資料做分析，以確定是否需要調整這范圍內AP的無線電波。．具有安全保障的網絡平臺在傳統(tǒng)的無線局域網解決方案中，為保障網絡的安全，許多客戶把所有無線流量拒之于防火墻（從DMZ區(qū)接入）之外，用戶不得不繞道進入單位網絡（如下圖）。從安全性方面看，這是個好方法，但卻使網絡設計達不到最優(yōu)狀態(tài)而且導致性能劣化，因為 WAN 級別的防火墻突然之間要被迫應付許許多多以無線局域網速度訪問的接入點。這種技術由于“統(tǒng)一尺碼”的訪問控制方法而不夠靈活，因為它賦予所有無線用戶相同的網絡權限。如果不采用上述的解決方案，而是將無線系統(tǒng)直接連接到樓層交換機，這樣用戶連接至AP以后，所有的訪問都將無從控制，對客戶的網絡安全更是極大的威脅。在醫(yī)院園區(qū)網的環(huán)境中，由于來往的人員多，流動性很大，如果只是靠內網和外網的隔離，不能很好的提供服務給不同身份的用戶。假設醫(yī)生需要查詢病人的資料而使用隨身攜帶的PDA，如果只是簡單的在內網中部署WLAN（無線局域網），病人家屬和訪客很容易通過自己的PDA和筆記本電腦登陸到醫(yī)院的內網，造成醫(yī)院網絡的安全漏洞。如果部署醫(yī)院全范圍內的WLAN，傳統(tǒng)的無線局域網面臨無縫漫游和用戶管理的難題。 而ARUBA無線系統(tǒng)的安全管理是將防火墻、VPN、安全認證、防病毒、無線入侵監(jiān)測以及RF 電磁波管理等多項安全功能匯聚到ARUBA無線交換機上來完成的，解決了傳統(tǒng)的無線網對安全的分散管理（AP、AC）和能力，給用戶帶來的安全感，擺脫了對有線網安全的依賴性。．無線用戶網絡接入的安全管理用戶狀態(tài)防火墻是ARUBA無線交換機的獨特功能，它本身就是針對無線接入的特性而設計。傳統(tǒng)的網絡防火墻是沒有用戶這概念，它的保護只是基于IP地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效是不大。ARUBA無線系統(tǒng)的防火墻功能則是與用戶認證捆綁在一起，當無線用戶成功通過認證后，他會獲得一個預設的用戶狀態(tài)防火墻，不同的無線用戶有不同的防火墻策略，例如醫(yī)院管理人員和醫(yī)生可以使用更多的服務，而病人及訪客只可以瀏覽網頁、收發(fā)Email等，這樣可以極大方便醫(yī)院用戶的安全管理。例如醫(yī)院領導可以通過無線網絡訪問全院的管理、財務、人員信息，醫(yī)生可以通過無線網絡訪問病人的病情信息、治療信息，病人可以通過網絡訪問個人信息、費用信息，訪客可以通過無線網絡訪問醫(yī)院的公眾網站，了解醫(yī)院的具體情況?；谏矸莸脑L問原則很好的保護醫(yī)院的網絡安全，同時也提供了不同等級的訪問權限。（如下圖）．無線網絡的安全防護和監(jiān)控由于無線終端接入是沒有明確物理位置限制的，所以管理方極難用固定的網絡防火墻設備來防范無線連接(防火墻一般很少會設置在每一個接入層的數(shù)據鏈路上)。并且網絡防火墻是不能防止無線終端之間的通信，所以萬一有無線終端被病毒感染或黑客在無線發(fā)起攻擊的話，它都很會容易散播到其它的無線終端及整個傳輸網絡內的其它網點。有一些單位為了安全就采用一刀切的方法，把所有無線接入匯聚到一個DMZ內，再通過一網絡防火墻的過濾才讓無線數(shù)據進入企業(yè)內網。這種方式在具體實施時有一定的困難，只能局限在傳輸網內的某些范圍，因無線用戶/終端必需集中在一VLAN上處理，否則的話很難把它們匯聚到一個DMZ內。如果不是經過DMZ的話，則可能威脅到內網的安全，但要把在不同接入點AP的無線用戶/終端和有線用戶(在同一接入點)完全分隔開而設置到DMZ上的同一個VLAN則需在現(xiàn)有的局域網做很多改動。且未來如要增加多一些AP接入點的話，亦同樣需要在局域網的接入層，匯聚層做很多改動。采用傳統(tǒng)的網絡防火墻來實現(xiàn)無線接入安全保護的最大問題是缺乏靈活性，因它本質上不是設計來做內部的安全保護，而是用來確保外來數(shù)據進入企業(yè)內網是安全可靠的，所以一般都會設置在企業(yè)因特網的連接口。從因特網進入企業(yè)內網和企業(yè)內部的無線接入的最大區(qū)別在于后者是可對用戶做認證，但前者是不可能實現(xiàn)。由于不能確認用戶的身份，所以防火墻的檢查或策略只可按端口和IP 原地址來制定，不管用戶是誰。這種模式在企業(yè)內部署會對用戶的內網訪問有很多限制，缺乏靈活性，所以是很難被用戶廣泛接受，只可在小范圍或小規(guī)模的情況下實現(xiàn)。要做到實施和維護簡單方便，亦可根據用戶身份來制定安全訪問策略，ARUBA的無線解決方案就可以徹底解決這些問題。采用ARUBA 無線系統(tǒng)的RF偵測功能和保護機制可以實時監(jiān)測大廈無線網覆蓋區(qū)域內的所有AP接入情況,如相鄰房間的AP、設置錯誤的AP以及未經認可而連接到網絡中的AP。通過ARUBA 的網絡安全管理系統(tǒng)，網絡安全管理人員可以及時發(fā)現(xiàn)是否有非法的AP接入，發(fā)現(xiàn)后可以開啟自動保護機制，阻止無線終端通過非法AP聯(lián)接到無線網中。在醫(yī)院網絡中，如果某位醫(yī)生或行政人員私下安裝了無線的AP，提供了直接連接醫(yī)院內網的接入，ARUBA無線安全管理的功能可以及時的發(fā)現(xiàn)這個非法的AP，并且可以通知管理人員斷掉非法AP的網絡連接，顯示非法AP接入的大致方位。今天已經有很多的無線入侵和攻擊的工具可從網站下載，這些工具的普及對醫(yī)院和運營商的無線網的安全構成很大的威脅。今天絕大部分的無線局域網都沒有偵測無線入侵的功能，所以當受到像無線DOS攻擊時，就會誤以為是無線電波的信號受干擾或AP出現(xiàn)不穩(wěn)定情況。這些攻擊在HotSpot會導致用戶的無線連接斷線，但網管中心仍然不知，用戶則誤以為是網絡問題，間接影響無線網系統(tǒng)的品質。ARUBA 無線系統(tǒng)的特點是交換機由專有的網絡處理器和加密處理器組成，且內置一個無線入侵模式庫，實時檢測異常的無線數(shù)據包，當ARUBA 無線系統(tǒng)偵測出有入侵時，它會記錄和顯示入侵的格式，并對入侵做出自動保護響應。．無線局域網的認證與加密，后端還需要Radius服務器支持。一方面用戶的技術水平參差不齊，客戶端的操作系統(tǒng)多種多樣，以及系統(tǒng)可能出現(xiàn)的軟件沖突等，另一方面，后端的數(shù)據庫只能使用Radius，不能使用其他類型的認證數(shù)據庫，在適應性上也比較差，這些對于大規(guī)模推廣和使用都是極大的阻礙?？紤]到客戶所使用的設備安全認證的多樣性，我們認為將來的的接入方式可以多種選擇，醫(yī)院的醫(yī)生可能通過手持PDA設備查詢數(shù)據，病人可以通過醫(yī)院提供的PC機查詢信息，訪客和醫(yī)院領導可以通過筆記本電腦上網，醫(yī)院同時可以考慮提供WiFi手機提供語音的服務。在ARUBA無線系統(tǒng)中，一個無線用戶進入無線網以后，只會拿到一個最基本的入網權限，這個權限不容許用戶訪問任何網段，只讓用戶通過DHCP獲取IP地址、傳送DNS協(xié)議數(shù)據包，通過認證以后才可以接入無線網。ARUBA無線系統(tǒng)支持目前各種用戶認證的方式（、WEB認證、MAC、SSID、VPN等），醫(yī)院用戶可以根據需要方便選擇。我們可以考慮醫(yī)生和醫(yī)院的管理人員可以通過身份認證的方式登陸到醫(yī)院內網，病人和訪客可以通過WEB界面訪問醫(yī)院的公眾服務器，遠程的醫(yī)院員工可以通過VPN的方式訪問醫(yī)院內網。WiFi手機的用戶可以事先設置好登陸的方式。ARUBA無線系統(tǒng)和其它廠家在無線接入的認證和加密上最大的區(qū)別是前者不是通過AP，而是在ARUBA無線交換機上實現(xiàn)。由于ARUBA的AP是不儲存任何網絡配置（IP地址除外）和安全設置，因此ARUBA 管理的AP是不能單獨工作的，因此獲得和接入進ARUBA AP，黑客也不會拿到無線網的網絡和安全配置參數(shù)。但一個破壞者通過其他的手段（偷盜和竊?。┕テ屏诉吘壍慕尤刖W絡，他也無法破譯ARUBA 無線網絡建立起的加密通道，無法竊取網絡的真實信息。．無線射頻終端的定位ARUBA 還有一個獨特的無線射頻特性是可跟蹤在無線網絡內所有WiFi終端的位置，如PDA, WiFi手機，和筆記本等。在醫(yī)療中心在安裝ARUBA無線系統(tǒng)之前或安裝以后，網管人員可把各個建筑物的圖紙輸入到ARUBA無線交換機內的RF Planning 系統(tǒng)，然后把AP安裝的物理位置輸入到圖紙上的座標或具體的位置上。當在這個系統(tǒng)環(huán)境中尋找?guī)в袩o線終端的工作人員或病人等的所在位置時，例如非法AP或WiFi 手機，在交換機內無線終端的記錄表內找到了終端的網絡地址后，可按“定位”這按鈕，則網管界面會彈出在RF Planning上終端在醫(yī)療中心圖紙的物理位置。這種無線定位模式稱為三角定位，先決條件是所尋找的無線終端附近須有最小三個ARUBA的AP 在范圍內。這是傳統(tǒng)無線網絡所不能做的，在一些其他行業(yè)，如醫(yī)院就是采用了無線定位技術來取代傳呼機在醫(yī)院內尋找醫(yī)生、病人等。．支撐多業(yè)務的網絡應用．無線網絡的QoS實施與保障策略ARUBA的AP所使用的硬件支持無線多媒體擴展（WME）的隊列。此外，增加了基于用戶狀態(tài)流的區(qū)分和優(yōu)先級映射，使得同一個設備的不同應用可以得到不同的處理優(yōu)先級。區(qū)分數(shù)據流的各種參數(shù)可以包括源/目的地址、協(xié)議、服務（如HTTP、TFTP、SIP等）。ARUBA的無線交換機在啟用內置的防火墻時，可以識別數(shù)據流的狀態(tài)和類型，因此可以根據用戶或應用來分配不同的帶寬。帶寬分配是在無線交換機內由一個專業(yè)的漏桶算法來控制的，當用戶的流量超過預定義的帶寬時，數(shù)據包將被丟棄。 DSCP來給網絡里的數(shù)據包來標記QoS的優(yōu)先級： 下行——往無線用戶的方向，無線交換機內部的狀態(tài)防火墻可以識別需要高優(yōu)先級的數(shù)據流，這樣在無線交換機和AP之間的網絡就可以據此來保證下行數(shù)據的優(yōu)先級；當AP收到下行數(shù)據時，它可以根據數(shù)據包的GRE包頭的信息來確定該數(shù)據包的優(yōu)先級。 上行——無線用戶往AP的方向，AP不作解密的工作，所以沒有辦法知道數(shù)據流的優(yōu)先級，但是一旦高優(yōu)先級的數(shù)據流到達無線交換機，該數(shù)據流就立即被識別并且AP被告知哪個用戶具有較高的優(yōu)先級。目前，所以ARUBA支持WiFi聯(lián)盟的WMM規(guī)范（）。一旦IEEE ，ARUBA將完全支持該標準。ARUBA的AP具有8個硬件隊列，目前只使用了兩個：高優(yōu)先級和低優(yōu)先級，以實現(xiàn)更為豐富的服務質量保證方案。當前我國醫(yī)療行業(yè)的通信系統(tǒng)正面臨著升級換代的重大轉折點。新環(huán)境下醫(yī)院對于通信的需求，已經不能僅僅滿足于以往的傳統(tǒng)電話、上網功能；除了在醫(yī)院內部搭建高效、通暢、低廉的通信網絡外，還應該包括向病人提供便捷、先進的通信業(yè)務和多媒體信息服務等新內容，以便改善醫(yī)院就醫(yī)條件、病人就醫(yī)感受，并為醫(yī)院創(chuàng)造新的業(yè)務模式，提高工作效率。融合語音數(shù)據、實現(xiàn)多媒體協(xié)同、室內外無線覆蓋、多種終端及應用集成……這些當前最時髦的“融合通信”的相關理念，已經開始叩響部分醫(yī)院的大門，為醫(yī)療行業(yè)的信息化吹進一縷清新的風。當所有的數(shù)據、語音和圖像的應用共同運行在醫(yī)院的無線網絡環(huán)境中時，ARUBA的無線解決方案可以根據醫(yī)院網絡應用的實際需要保證不同重要性的應用具有不同的優(yōu)先級，從而保證在網絡流量發(fā)生擁擠時關鍵性應用的網絡服務質量。例如：電子查房系統(tǒng)，醫(yī)院內部VOIP語音系統(tǒng)，無線視頻監(jiān)控系統(tǒng)，當這些應用統(tǒng)一運行在ARUBA無線網絡平臺上時，在ARUBA的解決方案中可以支持對不同的應用的優(yōu)先級設定從而保證在ARUBA無線平臺上保證關鍵應用的網絡帶寬。．網絡系統(tǒng)的自愈功能傳統(tǒng)無線網絡里的每個AP都是一個獨立的個體，相互之間不存在任何溝通與協(xié)商，如果有某一AP突然損壞或失效時，這個AP原來覆蓋區(qū)域就會失去無線連接，無線網絡變得不可用。遇到這種情況的一般做法就是馬上把失效的AP更換。但由于大多數(shù)的AP都是布置在樓道里(并不是在機房)，所以不一定能馬上作更換，現(xiàn)場的環(huán)境也有局限性，很多時候