医院无线网络设计方案

医院无线网络设计方案内容摘要：

、会议室、急救室等多种室内条件。 在这样复杂的部署环境之下，采用人工配置和干预无线射频参数的方式不仅效率低而且容易达不到效果。 具有内置智能无线射频调控的网络系统才是解决问题的最好方案。 ．传输安全性能可靠 无线传输媒介的非受控物理特性使得网络的安全防护措施尤为重要，在医疗中心网络通信系统这样一个专 用的系统中，所传输的数据和控制信息都是需要受到严格保护，防止未授权用户进行随意窃取和监听。 传统的无线网络组网模式当中，AP 可以随意部署在任意一个有线端点之上，通过这样一根无形的网络链路，所有的用户不管是合法还是恶意用户都能够轻而易举的进入网络。 更有甚者，由于 AP价格便宜，非法 AP 的接入防不胜防。 在医院这样一个系统当中，为了防范信息被非法 AP 所泄漏，所部署的无线网络本身也需要具有侦测 /识别 /抑制非法 AP 接入的功能。 同时，医疗中心接入用户和设备的广泛性，要求网络本身能够基于用户身份去做相应的权限和策略控制。 为 了在网络接入层面的认证和加密严格遵循国际上的标准，医疗环境中可以考虑的认证方式包括：  用于设备接入的 MAC/WEP 认证、 SSID认证；  普通用户接入网络使用的 WEB认证方式；  高级应用、高端用户认证的。 在设备接入网络的应用当中，由于移动设备目前支持的加密方式受到硬件本身的限制和制约，所以采用的加密方式多为静态或者动态的 WEP；而通过 WEB认证接入进入网络的用户，也可以采用同样的 WEP 加密来保护信息的私密性，更为值得推荐的是通过 VPN 来进一步保护通信数据； WPA、 WPA2 中的 TKIP 和AES 在无线网络加密手段中的是最安全的，一般来说，由于配置的复杂程度以及推广部署的问题，只有高端的应用和特定的用户群体才会去享受这种安全策略。 上海 众翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd ．易管理易维护 无线网络的可管理、可维护性是网络能否健康运行的重要保障。 一个之上承载着重要应用，时时刻刻传输着关键数据的网络系统，如何有效、高效的对之进行管理和维护，是所有网络管理人员都必须面对的难题。 通过标准的 SNMP 对设备进行配置和监控，通过 syslog记录发生问题的网络环境上下文，通过 SNMP trap 和网页警告通知相应的网络技术人员，通过无线网络数据 采样功能辅助相关人员进行网络的故障排除与调试；所有的这一切都是无线网络运转正常的必要条件。 同时，是否能够通过网页、命令行、远程登录等多种网络配置方式对整个网络进行调控和优化也决定着网络的整体可管控性。 无线网络物理特性上的易受干扰特性，使得其更加依赖于网络的自愈功能、负载均衡能力、以及网络的冗余备份设计策略。 一个良好的无线网络能够通过提供这些功能来辅助网络管理。 ．支持内部语音通信系统 可以预见随着 VoIP 技术的成熟与普及，基于 SIP 的 WiFi电话将迅速变为XXX 医院 领导之间话音联络的主流。 WiFi电话除了可在 XXX 医院 、医疗中心楼以及办公室之间等不同 AP 之间漫游外，用户亦可在其它有 Inter连接的地方如酒店，住宅等使用，这是一般办公室无线电话（传统的电话交换机）所不能做到的。 简单地说，用户可在有宽带接入的地方继续使用办公室的电话号码，不管是国内或国外。 对于一些经常出差的用户基于无线网络技术的 VoIP 解决方案会带来极大的方便，亦可节省长途电话费。 很多手机厂家已开始推出双模制式的手机(GSM/CDMA + WiFi)，用户很快就可以漫游于手机移动网和无线局域网之间。 上海 众翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd 三、 AlcatelLucent 方案的技术特点以及在医疗中心中的适用性阐述 ．先进而成熟的无线局域网交换架构 ．集中式的无线网络管理模式 一家普通的医院，从门诊部到住院部，要实施无逢的无线网络覆盖，至少需要上百个甚至几百个 AP 无线设备，管理和维护如此大规模的无线局域网是一件很头痛和花时间的事情。 从射频信号的覆盖面，用户带宽，用户认证，以及接入安全等，都需要低成本的解决方案。 传统无线局域网的管理和维护是基于每一个单独的AP 进行，其大量的管理工作就是要逐一地对每个 AP 进行同样的设置和更改动作，即使是一个很小的改动，也 要将全部 AP 修改一次。 如果 AP 数量不断增多时，维护量变得非常庞大和烦琐。 再者，无线局域网本应是一个整体的系统， AP之间需要互相协调工作，单独改变一个 AP 参数会引起 AP 之间的无线电波干扰、用户漫游重认证和授权等问题。 有见及此， AlcatelLucent公司推出强大的具有集中式管理的瘦 AP＋无线交换机架构，该无线架构具有简单而强大的无线局域网集中式管理功能， AP 本身并不存放任何的配置文件， AP 的配置是从无线交换机上获取的，通过无线交换机Master Switch和 Local Switch管理模式就可以统一管 理整个无线网络的 AP。 网管人员只需简单地配置无线交换机，即可实现开通、管理和维护所有 AP 设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 无论多么庞大的医疗网络， AlcatelLucent的先进架构都可以让管理者在瞬间内完成所有 AP 的修改和自动协调动作。 例如，在医院里共部署了 300 个分布在各科室各楼层的无线 AP，出于安全性的需要，每三个月修改一次 WEP 加密密钥，如果用传统方法，只能逐一对每个 AP 进行修改，估计需时几天，而用AlcatelLucent 的集中式统一管理架构，只需 几秒钟就完成了，效率是从前的几百倍。 再者，对于超大型无线网络（几千个 AP 数量级以上的网络），如果没有集中式的统一配置管理，是无法想象的。 自从有了集中式统一管理的无线架构后，现今上海 众翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd 越来越多的医疗机构开始逐步实施“移动边缘”战略，因为不需再担心因规模问题导致额外的管理时间和成本。 ．无线射频的智能管理 传统无线局域网射频管理是依靠工程师手动配置的，这种固定式，静态的管理手段并不灵活，有很大缺陷，尤其不能适应大规模的无线网部署及动态复杂多变的无线环境。 因此，我们需要更智能化的动态射频管理。 AlcatelLucent的无线 架构是基于无线交 换机的集中式统一管理系统，而无线交换机正好是全局 AP 的中心和沟通桥梁。 AP 与AP 之间的射频信息通过无线交换机汇总后，通过 RF 智能控管，便可以很方便地自动调节线上所有 AlcatelLucent AP 的电波特性，而无需逐一设置，这是传统 AP方式无法做到的。 当初次安装无线局域网时，用户可通过 RF Planning的 Auto Calibration功能来自动协调整个无线网上所有 AP 的无线电信号频率和发射功率等参数。 启动了Auto Calibration后， AP 和 AP 之间便会自动互传相关射频的信息，然后计算得出最佳的通讯频率和发射功率，直到 AP 之间达到了一个最优化的无线电波运行环境。 而且，这种射频优化过程是动态的，持续的，对于医疗行业这个复杂而多变的室内环境，经常会受到各类无线电波干扰，拥有动态的射频管理是很必要的。 智能化的射频管理原理及主要过程大厅 病房 会议室 办公室 /公位 病房 病房 病房 病房 病房 病房 上海 众翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd 如下：当无线局域网经过 Auto Calibration功能进行调整后正式运作，并在 AlcatelLucent无线交换机内启动 ARM 这功能，于是无线网上所有的 AlcatelLucent AP 都会在设定的时间内自行扫描 其它的无线频道。 所谓电波扫描，是指 AlcatelLucent AP 从一个电波频道跳到另一频道时，如 Ch 1 到 Ch 2 到 Ch 3....，由于扫描的速度非常快，所以对于连线的无线用户（指连接到 AP 上在同一频率上的无线终端）传输过程是不会受到影响。 当 AP 停留在一个频道时，它会把在这频道上收到的无线电波信息转送回 AlcatelLucent 无线交换机。 这样 AlcatelLucent无线交换机就对整个无线网上的整体无线电波情况有一定了解和记录，并通过优化算法，计算得出每个 AP 最佳的无线频率和发射功率。 当某一覆盖范围内的电波改变或出现干扰时，AlcatelLucent 无线交换机就会把所获取的无线电波资料做分析，以确定是否需要调整这范围内 AP 的无线电波。 ．具有安全保障的网络平台 在传统的无线局域网解决方案中，为保障网络的安全，许多客户把所有无线流量拒之于防火墙（从 DMZ区接入）之外，用户不得不绕道进入单位网络（如下图）。 从安全性方面看，这是个好方法，但却使网络设计达不到最优状态而且导致性能劣化，因为 WAN 级别的防火墙突然之间要被迫应付许许多多以无线局域网速度访问的接入点。 这种技术由于“统一尺码 ”的访问控制方法而不够灵活，因为它赋予所有无线用户相同的网络权限。 如果不采用上述的解决方案，而是将无线系统直接连接到楼层交换机，这样用户连接至 AP 以后，所有的访问都将无从控制，对客户的网络安全更是极大的威胁。 在医院园区网的环境中，由于来往的人员多，流动性很大，如果只是靠内网和外网的隔离，不能很好的提供服务给不同身份的用户。 假设医生需要查询病人的资料而使用随身携带的 PDA，如果只是简单的在内网中部署 WLAN（无线局域网），病人家属和访客 很容易通过自己的 PDA和笔记本电脑登陆到医院的内网，造成医院网络的安全漏洞。 如果部署医院全范围内的WLAN，传统的无线局域网面临无缝漫游和用户管理的难题。 上海 众翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd 而 AlcatelLucent无线系统的安全管理是将防火墙、 VPN、安全认证、防病毒、无线入侵监测以及 RF 电磁波管理等多项安全功能汇聚到 AlcatelLucent无线交换机上来完成的，解决了传统的无线网对安全的分散管理（ AP、 AC）和能力，给用户带来的安全感，摆脱了对有线网安全的依赖性。 ．无线用户网络接入的安全管理 用户状态防火墙是 AlcatelLucent无线交换机的独特功能，它本身就是针对无线接入的特性而设计。 传统的网络防火墙是没有用户这概念，它的保护只是基于IP 地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。 AlcatelLucent无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如医院管理人员和医生可以使用更多的服务，而病人及访客只可以浏览网页、收发 Email等，这样可以极大方便医院用户的安 全管理。 例如医院领导可以通过无线网络访问全院的管理、财务、人员信息，医生可以通过无线网络访问病人的病情信息、治疗信息，病人可以通过网络访问个人信息、费用信息，访客可以通过无线网络访问医院的公众网站，了解医院的具体情况。 基于身份的访问原则很好的保护医院的网络安全，同时也提供了不同等级的访问权限。 （如下图） 上海 众翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd ．无线网络的安全防护和监控 由于无线终端接入是没有明确物理位置限制的，所以管理方极难用固定的网络防火墙设备来防范无线连接 (防火墙一般很少会设置在每一个接入层的数据链路上 )。 并且网络防火墙是不能 防止无线终端之间的通信，所以万一有无线终端被病毒感染或黑客在无线发起攻击的话，它都很会容易散播到其它的无线终端及整个传输网络内的其它网点。 有一些单位为了安全就采用一刀切的方法，把所有无线接入汇聚到一个 DMZ内，再通过一网络防火墙的过滤才让无线数据进入企业内网。 这种方式在具体实施时有一定的困难，只能局限在传输网内的某些范围，因无线用户/终端必需集中在一 VLAN 上处理，否则的话很难把它们汇聚到一个 DMZ内。 如果不是经过 DMZ的话，则可能威胁到内网的安全，但要把在不同接入点 AP 的无线用户 /终端和有线用户 (在同一接 入点 )完全分隔开而设置到 DMZ上的同一个VLAN 则需在现有的局域网做很多改动。 且未来如要增加多一些 AP 接入点的话，亦同样需要在局域网的接入层，汇聚层做很多改动。 上海 众翔信息 有限公司 Shanghai ALLWIN Technology Co., Ltd 采用传统的网络防火墙来实现无线接入安全保护的最大问题是缺乏灵活性，因它本质上不是设计来做内部的安全保护，而是用来确保外来数据进入企业内网是安全可靠的，所以一般都会设置在企业因特网的连接口。 从因特网进入企业内网和企业内部的无线接入的最大区别在于后者是可对用户做认证，但前者是不可能实现。 由于不能确认用户的身份，所以防火墙的检查或策略只可按端口和 IP 原地址来制定，不管用户是谁。 这种模式在企业内部署会对用户的内网访问有很多限制，缺乏灵活性，所以是很难被用户广泛接受，只可在小范围或。