【正文】 章 建設(shè)原則 實用性原則 先進性和實用性并重系統(tǒng)要有一定的前瞻性。 兼容性網(wǎng)絡(luò)采用開放式體系結(jié)構(gòu)，易于擴充，使相對獨立的分系統(tǒng)易于進行組合和調(diào)整。 無線方案設(shè)計原則根據(jù)中國國家無線電管理委員會的規(guī)定，在辦公室內(nèi)部署無線網(wǎng)絡(luò)信號輻射不得超過100mw。隨著終端和AP之間的信號的強弱，AP和終端會自動協(xié)商根據(jù)信號的衰減程度，自動降低傳輸速率和增大傳輸功率，功率智能調(diào)節(jié)。無線網(wǎng)絡(luò)與醫(yī)療儀器的相互干擾和影響取決于設(shè)備的擺放位置、發(fā)射頻率、輸出功率，以及設(shè)備自身的抗干擾能力，無線網(wǎng)絡(luò)的信號必須不能干擾醫(yī)療儀器。必須采用正確的RF設(shè)計、發(fā)射功率控制和先進的定位技術(shù)。 自動頻道管理和跨IP域漫游，11，為了實現(xiàn)自動漫游，需要對頻道的管理。無線局域網(wǎng)的AP如果處于不同的子網(wǎng)，在漫游的過程中，需要處理三層的漫游，在后臺保持用戶的DHCP得來的IP租用，認證的會話密鑰等，控制器可以自動完成三層無線漫游。通過對射頻的實時監(jiān)測，發(fā)現(xiàn)并定位惡意的AP，惡意AP是未經(jīng)授權(quán)的人員通過自己設(shè)置一個AP，吸引無線終端連接到惡意AP從而非法獲得數(shù)據(jù)的黑客方法。第4章 XXXX無線網(wǎng)絡(luò)方案設(shè)計 無線網(wǎng)絡(luò)結(jié)構(gòu)可把工堪的實際情況以及方案設(shè)計思路，把方案的布署方式，結(jié)構(gòu)做簡要分析。因此，本次方案將采用無線控制器+FIT AP架構(gòu)建設(shè)基于IEEE ，并實現(xiàn)整個無線網(wǎng)絡(luò)的統(tǒng)一集中式管理。各分院的無線AP均工作在FIT模式，由控制器集中管理，實現(xiàn)安全策略、無線QoS策略統(tǒng)一下發(fā)。POE交換機部署于各配線間，通過千兆鏈路連接局域網(wǎng)骨干，實現(xiàn)無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的銜接。整體網(wǎng)絡(luò)拓撲結(jié)構(gòu)如下圖所示： (根據(jù)用戶實際需求,及網(wǎng)絡(luò)現(xiàn)狀畫出拓撲,拓撲比較重要,一定要專業(yè)) 無線控制器(無線控制器可根所實際選型來定,以下以WX5004為例)根據(jù)現(xiàn)場的實際考察，針對XX大樓、XX大樓…………………本次網(wǎng)絡(luò)建設(shè)需部署xx個無線AP。WX5004最高管理256個無線AP，滿足xx單位無線網(wǎng)絡(luò)建設(shè)實際需求，并為將來網(wǎng)絡(luò)擴張預留空間。H3C WX5004無線控制器支持300毫秒業(yè)務(wù)備份，AP會同時和兩臺無線控制器建立CAPWAP鏈路，一臺作為主控制器，另外一臺作為備份控制器，備份控制器和主控制器建立的CAPWAP鏈路處于工作狀態(tài)。信道切換功能—H3C WX5004支持信道切換功能，通過信道智能切換功能，可以保證每個AP能夠分配到最優(yōu)的信道，盡可能地減少和避免相鄰信道干擾，而且通過實時信道干擾檢測，可以讓AP實時避開雷達，微波爐等干擾源。系統(tǒng)不僅支持按照用戶在線會話數(shù)的負載分擔，而且支持按照用戶流量負載的分擔。特別無線協(xié)議攻擊防御可以和動態(tài)黑名單配合使用，當控制器檢測到攻擊時，可以將發(fā)起攻擊的無線客戶端動態(tài)添加到動態(tài)黑名單中，從而保證WLAN系統(tǒng)不再被該設(shè)備攻擊。本方案中，室內(nèi)型無線AP建議選用H3C WA2620IAGN智能型AP。H3C WA2620IAGN為雙頻設(shè)計。如筆記本電腦和平板電腦等，互不影響，從而提高網(wǎng)絡(luò)的實用性和安全性。因此在本方案中，無線AP統(tǒng)一由POE交換機進行遠程供電。S512028CPWREI為全千兆交換機，配置24個千兆以太網(wǎng)電接口和4個千兆光接口，提供高密度的網(wǎng)絡(luò)接入服務(wù)。H3C S512052CPWREI POE對外供電功率370W，滿足全端口POE供電，可實現(xiàn)無線AP高密度接入。第一代無線局域網(wǎng)主要是采用Fat AP（即“胖”AP），每一臺AP都要單獨進行配置，費時、費力、費成本；第二代無線局域網(wǎng)融入了無線網(wǎng)關(guān)功能但還是不能集中進行管理和配置，其管理性和安全性以及對有線網(wǎng)絡(luò)的依賴成為了第一代和第二代WLAN產(chǎn)品發(fā)展的瓶頸，由于這一代技術(shù)的AP儲存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙，Radius client的安全密碼 (secret) 等，而AP又是分散在建筑物中的各個位置，一旦AP的配置被盜取讀出并修改，其無線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。在這樣的環(huán)境下，基于無線交換機技術(shù)的第三代WLAN產(chǎn)品應(yīng)運而生。使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。 無線傳輸技術(shù)，WLAN的速率從11Mbps發(fā)展到300Mbps；伴隨著WLAN速度的提升，雙模手機、無線定位、無線攝像頭、無線條碼掃描槍、移動PoS等新業(yè)務(wù)和新產(chǎn)品快速推出；與此同時，無線醫(yī)療、無線園區(qū)、無線校園、無線城市概念也不斷推出，伴隨著這些新產(chǎn)品和新概念，WLAN用戶數(shù)快速增長，截至2008年底，中國新建的無線城市數(shù)量達30多個，2009年全球WLAN用戶將接近10億。移動查房前期，醫(yī)生護士專注于病患體征、遺囑執(zhí)行的無線數(shù)據(jù)業(yè)務(wù)，隨著應(yīng)用不斷深入和效率的提升需求，PACS影像將被要求實現(xiàn)移動查詢，(實際文件傳輸速率2025MHz)已經(jīng)無法滿足及時調(diào)用PACS影像的需求。近來國內(nèi)大型三甲醫(yī)院新建的無線查房業(yè)務(wù)，%。 無線網(wǎng)絡(luò)規(guī)劃 信號覆蓋規(guī)劃 XX大樓可對大樓環(huán)境進行相應(yīng)描述,把特別的需注意的問題指出以及將方案設(shè)計的理由做闡述….如:北院大樓共22層，包括一樓大廳、二樓輸液樓、（三樓PICU、四樓手術(shù)室、六樓NICU由于擺放較多醫(yī)學儀器，故該樓層不進行信號覆蓋、五樓機房也不需要）、7至22樓為標準病房。詳細點位數(shù)見《點位表》一樓輸液區(qū)功能比較簡單，包括大廳及少數(shù)辦公室，所以布2個AP。根據(jù)實際用戶端對無線傳輸協(xié)議標準的支持程度，從網(wǎng)絡(luò)規(guī)劃的角度出發(fā)，：PathLoss(dB) = 46 +10* n*Log D（m），：PathLoss(dB) = +20*lg f[MHz]+ 20*lgd[KM] +a * d[KM]，以上二信號衰減模型進行網(wǎng)絡(luò)的設(shè)計，到具體網(wǎng)絡(luò)實施時要進行工勘與優(yōu)化，而對于信道主要采用11三個信道交錯使用，具體的面覆蓋邏輯示意圖如下： 頻率復用針對頻率復用的設(shè)計與實現(xiàn)主要側(cè)重于重疊區(qū)域，這樣會導致從網(wǎng)絡(luò)實施的角度出發(fā)，沒有辦法做到像GSM、3G網(wǎng)絡(luò)的控制力度，從技術(shù)原理的角度出發(fā)，沒有辦法實現(xiàn)很好的頻率復用，只能被動做些負載均衡的功能。 AP容量規(guī)劃從業(yè)界實現(xiàn)的DCF方式來看，沒有一個最大用戶數(shù)的限制，但業(yè)界各個廠商進行實現(xiàn)時都基于一定理解的前提下進行默認限制，H3C目前每個AP單射頻最大的用戶默認限制為64個用戶，從網(wǎng)絡(luò)規(guī)劃的角度出發(fā)，按每個AP支持20個用戶進行網(wǎng)絡(luò)規(guī)劃。，除開無線開銷，真正可用的帶寬為24M，同時，接入用戶數(shù)越多，無線網(wǎng)絡(luò)的使用效率就越低。，覆蓋距離更大，能提供更多用戶、更大范圍、更大流量的無線接入服務(wù)。具體可部署的負載均衡策略有：對所有AP設(shè)置基于用戶數(shù)的負載均衡功能，AP通過對接入用戶數(shù)的統(tǒng)計，與設(shè)定AP接入用戶數(shù)量閥值比較，達到閥值后，不允許新的用戶接入。配合網(wǎng)絡(luò)規(guī)劃，設(shè)置AP群功能，在一個群內(nèi)的AP通過組播報文實時通報接入用戶數(shù)量，當發(fā)現(xiàn)AP間用戶數(shù)差值大于設(shè)定閥值，接入用戶多的AP將部分用戶趕下網(wǎng)。SSID管理：是一種網(wǎng)絡(luò)標識的方案，將網(wǎng)絡(luò)進行一個邏輯化標識，對終端上發(fā)的報文都要求進行上帶SSID，如果沒有SSID標識則不能進入網(wǎng)絡(luò)；通過定義多個SSID，可以制定基于SSID的網(wǎng)絡(luò)服務(wù)，實現(xiàn)不同等級的用戶擁有不同的權(quán)限。WEP采用RC4算法實現(xiàn)對稱加密。在通信時，WEP標準要求傳輸程序創(chuàng)建一個特定于數(shù)據(jù)包的初始化向量(IV)，將其與預置密鑰相組合，生成用于數(shù)據(jù)包加密的加密密鑰。WPA加密：WPA(WiFi Protected Access)是保護WiFi登錄安全的裝置。不同于WEP，WPA同時提供加密和認證。WPA采用TKIP協(xié)議(TemporalKeyIntegrityProtocol)作為加密協(xié)議，該協(xié)議提供密鑰重置機制，并且增強了密鑰的有效長度，通過這些方法彌補了WEP協(xié)議的不足。WAPI采用非對稱(橢圓曲線密碼)和對稱密碼體制(分組密碼)相結(jié)合的方法實現(xiàn)安全保護，實現(xiàn)了設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護。同時，AP和移動終端證書的驗證交給AS完成，一方面減少了MT和AP的電量消耗，另一方面為MT和AP使用不同頒發(fā)者頒發(fā)的公鑰證書提供了可能。Portal認證：Portal又稱為門戶網(wǎng)站，Portal認證通常也稱為Web認證。 系統(tǒng)安全無線終端的異常流量檢測及報警：無線網(wǎng)管提供全面的系統(tǒng)級統(tǒng)計數(shù)據(jù)：可提供包括錯誤和流量的以太網(wǎng)統(tǒng)計數(shù)據(jù)，其中包括包的大小、無線統(tǒng)計數(shù)據(jù)以及用戶會話統(tǒng)計數(shù)據(jù)，它們保存為用戶在多個AP上的漫游記錄，并且都具有易查看的表格和圖表，以便快速識別數(shù)據(jù)走向。用戶訪問控制：提供基于身份的組網(wǎng)：提供基于用戶身份的所有服務(wù)，以使用戶在漫游時具有諸如虛擬專用組（Virtual Private Group）成員資格，并實現(xiàn)不同權(quán)限的劃分；在實際應(yīng)用中可通過給不同部門分配不同的用戶名訪問無線網(wǎng)絡(luò)，并給予不同部門不同的訪問權(quán)限。無線控制器可以指定AP工作在兩種工作模式：模式一、AP負責監(jiān)聽空口所有信道的信息，但不負責用戶報文的轉(zhuǎn)發(fā)。AP設(shè)備負責把監(jiān)聽到的無線設(shè)備和有攻擊行為的無線設(shè)備上報給無線控制器。無線控制器可以控制AP 將非法設(shè)備列入黑名單或者對其發(fā)起攻擊。通過在已有的WLAN網(wǎng)絡(luò)中部署非法設(shè)備檢測功能，可以對整個WLAN網(wǎng)絡(luò)中的異常設(shè)備進行監(jiān)視，并且可以根據(jù)需要對非法的設(shè)備進行防攻擊處理（在實際的網(wǎng)絡(luò)應(yīng)用中，可以啟動防攻擊功能，即WIDS會盡量阻止非法的設(shè)備提供服務(wù)或者接入到無線網(wǎng)絡(luò)）。入侵檢測主要為了及時發(fā)現(xiàn)WLAN網(wǎng)絡(luò)中的有意或者無意的攻擊，通過記錄信息或者日志方式通知網(wǎng)絡(luò)管理者。、AP Spoof檢測以及Weak IV檢測，而且其中Flood攻擊檢測可以根據(jù)不同類型的報文進行攻擊檢測。目前WIDS接入控制主要根據(jù)MAC地址進行規(guī)則控制，并且支持兩種控制規(guī)則：黑