恒星医院无线网络整体解决方案

恒星医院无线网络整体解决方案内容摘要：

5) 最具时效的网络管理手段－降低总体管理成本、提高整网管理效率 针对网络中部署的无线接入点，润满科技提供集中化的零配置管控能力，允许所有接入点自动发现并与控制设备关联，并提供对接入点的配置信 息和软件版本进行自动更新和升级。 由此，最大限度减少网络管理人员对无线接入点的维护工作量。 为了解决无线接入点设备供电问题，汉云科技全系列无线接入点均提供基于 标准的以太网供电（ POE）支持。 由此，网络建设可以使用 POE 供电设备为广泛分布的无线接入点进行集中供电，有效解决在各种环境下部署无线接入点时的电源引入问题，提高部署灵活性、减少部署时间并降低部署成本。 同时，通过配合使用华三的 POE 供电交换机，网络管理者还可以实现对无线接入点工作状态及其耗电情况等方面的远程检测或调整。 对于每一个在网 络中部署的设备，汉云科技均提供内置于设备的可视化中英文 WEB 网管系统。 基于该网管系统用户可获得基于统一风格和操作习惯设计的有线、无线集成网管所带来的好处，有效帮助网络管理员以最高的效率完成设备的配置和维护工作。 针对 河南汉 云软件科技有限公司 HanYun Technology 14 整个网络所有设备的集中化管理需求，汉云科技提供全面集成有线、无线管理能力的智能融合一体化网络级大型网管平台。 是一个将有线和无线网络管理特性完美融合开发而成的开创性网管平台，除向用户提供风格完全一致的有线、无线网络管理操作手段和全特性的有线、无线管理套件，还提供全面的网络性能、事件、日志和趋势分 析能力。 借助于丰富强大的管理和分析特性，网络管理员只需操作一套软件即可顺利完成对整体网络的部署、管理和优化，还可快速定位并帮助解决网络中产生的故障。 这极大简化了网络维护的复杂性，并有效降低网络运营成本。 6) 满足多业务融合的软硬件平台－降低投资风险、提供投资保护 汉云科技云 wifi 系列无线控制器是汉云科技公司为网络运营者交付的全特性无线网络控制和管理设备。 全系列产品采用先进的并行多核多业务处理器及高速 ASIC 作为业务和数据处理平台。 借助于先进的软、硬件产品设计，汉云科技 wifi 系列无线控制器除提供无线用 户接入、无线设备管理、无线实时语音、无线视频传送、无线快速漫游等全面无线业务能力外，还可提供高性能的 NAT、 VPN、基于 DPI 的应用控制、带宽管理等丰富业务特性。 同时，汉云科技云 wifi 系列无线控制器还提供基于芯片级别的 IPv6 业务特性，可对 Ipv6 数据报文进行硬件级的高速转发，加速各种基于 Ipv6 的业务处理能力。 系统方案设计原则 本方案的设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总 体设计，力图使该系统真正成为符合医院无线覆盖需求的网络系统。 系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及经济性。 在网络的设计和实现中，本方案严格遵守以下原则： 河南汉 云软件科技有限公司 HanYun Technology 15 标准性和开放性 只有支持标准性和开放性的系统，才能支持与其它开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准，以便能和不同厂家的开放性产品在同一网络中同时共存。 通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺 利进行通讯。 本方案中，网络设计及网络设备选型遵从国际标准及工业标准，使网络具有开放性和兼容性。 汉云科技无线局域网系统满足国际和国内的无线标准，汉云 wifi 最大程度的兼容符合 WiFi 标准的各种无线终端设备。 网络采用开放式体系结构，易于扩充，使相对独立的分系统易于进行组合和调整。 选用的通信协议符合国际标准或工业标准，网络的硬件环境、通信环境、软件环境相互独立，自成平台，使相互间依赖减至最小，同时保证网络的互联。 系统所有的组成要素均应充分地考虑其先进性。 不能一味地追求实用而忽略先进，只 有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益。 网络的安全是事关重要的，在某些情况下，宁可牺牲系统的部分功能也必须保证系统的安全。 在无线网络建成后的 35 年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。 同时要考虑实际的应用水平，避免技术环境过于超前造成投资浪费。 作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。 网络硬件体系结构在实际应用中能经过较长时间的考验，在运行速度和性能上 河南汉 云软件科技有限公司 HanYun Technology 16 都应是稳定可靠的、拥有完善的 、实用的解决方案，并通到较多的第三方开发商和用户在全球的广泛支持和使用。 同时，应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品，以适应系统未来的发展需要。 可靠性也是衡量一个计算机应用系统的重要标准之一。 在确保系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，使系统出现问题和故障时能迅速地修复。 因此需要采取一定的预防措施，如对关键应用的主干设备考虑有适当的冗余。 应急处理信息系统能够全天候工作，达到每周 7*24 小时工作的要求。 一个高可用性的系统才能使用户 的投资真正得到回报。 整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。 对复杂和庞大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网络状态及控制网络的运行，因此，网络所选的网络设备应支持多种协议，管理员能方便进行网络管理、维护甚至修复。 在设计和实现时，必须充分考虑整个系统的便于维护性，以使系统万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。 网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接 连、产品支持等方面具有扩充与升级换代的可能，采用的产品要遵循通用的工业标准，以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。 为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资，在设计系统时，应将系统按功能做成模块化的，可根据需要增加和删除功能模块。 河南汉 云软件科技有限公司 HanYun Technology 17 第 3 章 .无线网络系统详细设计 无线网络组网拓扑示意图 在网络核心层，我们采用了目前基于最先进的第 四 代无线网络技术的 云端 无线控制器对整个无线 网 络 进行统一的管理。 采用 汉云 科技 云端 无线控制器对全网 AP 进行集中管理和控制，各覆盖区域内 AP 通过有线方式经 POE 交换机连接至 汉云核心网关WS750，实现了 基于云端的 无线集中控制。 使得跨越大的范围内的假设成本更低、组网更迅速、可靠性更高。 鉴于采用传统的 “胖 AP”技术部署无线网时，安装复杂，管理困难，整网安全强度不高，在实际应用中会存在以下问题： （ a）不能实现全面的、统一的全网级的管理策略 （ b）不便于无线网络业务的划分 （ c）不能实现无线网用户的 3 层无缝漫游 河南汉 云软件科技有限公司 HanYun Technology 18 （ d）没有 RF 自动调节能力 （ e）整体无线网容量过小，不能轻松扩容 （ f）对室内、室外无线接入点无法做到集中管理、统一配置和固件升级 （ g）对于基于 WiFi 的高级功能，如安全、语音等支持能力很差 为了解决传统 “胖 AP”存在的上述问题，采 用汉云科技“云 wifi” 技术的智能无线网络产品代替传统 AP 的方法来解决这一问题。 汉云科技 无线网络系统主要由以下 四 部分组成 ： 无线网络管理系统 云端控制后台、云端 AC 无线交换机 无线接入点 （ WS230） 无线 组网方式设计 采用 1 台出口 核心 路由器对公网进行接入。 在接入侧，采用 云 WIFI 的 WS230 作 为无线接入点，通过 POE 供电模块为 AP 进行供电所有无线用户通过 AP 进行数据转发至出口路由器访问广域网资源。 AP 和交换机之间的网络结构无需考虑，无线网络管理员可通过中心配置的云 AC，对全网的 AP 和交换机进行有效的集中式管理。 使用 云 WIFI 远程 AP，网络中心管理员可以访问所有远程 云 WiFiAP 参数，例如操作信道、无线电类型、 SSID 、 BSSID 和所有相关客户机，并可以集中更改配置。 此外，网络管理员可以查看详细的客户机状态报告，这些报告显示了客户机 MAC 地址、客户机制造商、信道、无线电、状 态以及最后活动日期和时间。 远程连接的 云 WiFi AP 使用现有客户机上的 申请者运行，通过对所有客户机和移动控制器之间的认证信息进行 Ipsec 加密来提供安全认证。 远程 AP 支持终 河南汉 云软件科技有限公司 HanYun Technology 19 端到终端，即从客户机到移动控制器的 WPA2 和 安全，不管客户机是有线还是无线。 在认证成功之后，在 Ipsec 内部对所有的通信进行隧接或加密。 这样就不需要安装和维护一台 VPN 客户机或在远程机器上下载一个临时 SSL VPN 客户机，大大减轻了管理成本。 远程 云 WiFi AP 从 云 WiFi 云端下载它的配置和安全策略。 这消除了错误配置安全策略的风险，同时在远程位置也不再需要技术专家。 在远程 AP 上没有存储任何安全证书，因此即使 AP 丢失或被窃，也不存在破坏安全的风险。 远程 云 WiFi AP 与用户属性（例如认证方法、应用程序、设备类型）进行通信。 该通信提供了高度的团状和动态安全策略，大大改良了 恒星医院 WLAN 的安全状态。 例如，可以限制远程用户使用特定的应用程序或网络资源。 这项高级功能允许职员通过远程 AP 安全连接到网络，而无需考虑用户位置，因为用户安全策 略将始终跟随他们。 从 恒星医院 的用户分类与分布情况分析，使用无线网络的用户主要分成以下几类： （ 1） 医院内部工作人员 ； （ 2） 患者及来访者 ； 使用无线网络可以分为不同的无线接入业务类型。 因此，建议在设计上采用无线局域网多 SSID技术，设置多业务区分方式。 在一个无线局域网内可以设置多个 SSID，例如一个 SSID可给内部员工所用，而另一个可给外来的 病人和访客 专用。 由于用户一般把 SSID 看成 WLAN，所以它们都会惯性地以 WLAN 概念来划分 SSID。 其实在一个 AP 范围内，不管用户连接到那一 个 SSID 它们实际上都是在同一个 广播域内，因为无线电波的传输是共享。 一个最简单的例子就是 AP 把不同的 SSID 名字广播，所以当无线终端在这个 AP 覆盖范围内启动时，它就能同时看到多个 SSID。 SSID 的最主要用途是可让无线终端以不同的安全认证和加密方式入网。 为什么要把不同的安全加密协议设置在不同的 SSID 呢 ? 的标准内定义了不同加密情况时数据包的封装格式，所以在用户的无线接入使用不同的加密程式，例如：WEP,TKIP(WPA),(WPA2)等等，不同加密方式不能在同一个 SSID 内同时存在的。 河南汉 云软件科技有限公司 HanYun Technology 20 医院 可根据实际的情况和 发展来制定以怎样方式来实现无线加密。 最常见的做法是使用多个 SSID，例如：一个定义为通过 WEB 门户的方式为访客使用，另一个SSID 则为 TKIP(WPA)专为内部员工使用。 未来的发展趋势是新增设一个 加密的 SSID 让员工以过度的方式逐渐从转移到这个 SSID 上。 要注意的是 SSID 可以覆盖全网，也可以只局限于 恒星医院 网内的某些范围。 一般的情况下是全网开通，例如：客人 (Guest)使用的 SSID；但有些 SSID 则可能供某些部门使用，所以它的覆 盖范围通常只会局限在某些范围内。 所以针对无线局域网多种用户的不同业务类型应该采取不同的 SSID 进行管理和控制。 恒星医院医护 人员属 于 内 部 的固定用户，可以采用专门的 SSID，可以采用级别较高的认证和加密手段，对于 访 客而言 可以使用另一个 SSID，采用级别相对较低的认证和加密手段，这样就实现了区分的服务。 云 WiFi系统内置强大的 PORTAL 登录界面可以通过网络管理灵活简洁的进行客户化，进行广告招商，登录页面推送，欢迎页面推送等多种模式以配。