(实例医院)无线网络系统

XXX 医院

无线网络系统

ARUBA解决方案建议书

一、XXX医院无线网络通信系统建设需求 ....................................................................................... 4

1.1．XXX简介 ............................................................................................................................. 4

1.2．XXX医院无线网络应用需求 ............................................................................................. 4

1.3．无线网络通信系统的应用支撑需求 ................................................................................... 7

二、XXX 医院无线网络系统设计原则 ............................................................................................... 7

2.0．满足医疗中心应用需求 ....................................................................................................... 7

2.0.1．利用灵活便捷的无线接入方式补充有线网络的接入 ........................................... 7

2.0.2．通过无线网络系统承载VoIP语音电话应用 ......................................................... 8

2.0.3．支撑医疗网络信息化管理系统 ............................................................................... 9

2.1．遵循标准 ............................................................................................................................ 10

2.2．成熟的无线射频技术 ......................................................................................................... 10

2.3．传输安全性能可靠 ............................................................................................................. 11

2.4．易管理易维护..................................................................................................................... 12

2.5．支持内部语音通信系统 ..................................................................................................... 12

三、ARUBA方案的技术特点以及在医疗中心中的适用性阐述 .................................................... 12

3.1．先进而成熟的无线局域网交换架构 ................................................................................. 12

3.1.1．集中式的无线网络管理模式 ................................................................................. 12

3.1.2．无线射频的智能管理 ............................................................................................ 13

3.2．具有安全保障的网络平台 ................................................................................................. 14

3.2.1．无线用户网络接入的安全管理 ............................................................................. 15

3.2.2．无线网络的安全防护和监控 ................................................................................. 16

3.2.3．无线局域网的认证与加密..................................................................................... 18

3.2.4．无线射频终端的定位 ............................................................................................ 19

3.3．支撑多业务的网络应用 ..................................................................................................... 20

3.3.1．无线网络的QoS实施与保障策略 ........................................................................ 20

3.3.2．网络系统的自愈功能 ............................................................................................ 21

3.3.3．无线接入的负载均衡 ............................................................................................ 22

3.3.3．VoWLAN无线语音通信系统 ............................................................................... 23

3.3.4．无缝的跨越不同的IP子网漫游 ........................................................................... 25

3.4．强大方便的网管平台 ......................................................................................................... 26

3.4.1．SNMP TRAP........................................................................................................... 26

3.4.2．EVENT / REPORT ................................................................................................. 26

3.4.3．NETWORK REPORT SYSTEM ............................................................................ 26

四、医疗中心无线网络通信系统的设计与实施方案 ....................................................................... 27

4.1．整体系统架构设计 ............................................................................................................. 27

4.1.1．设计原则 ................................................................................................................ 27

4.1.2．拓扑结构 ................................................................................................................ 27

4.1.3．设备选型和配置 .................................................................................................... 28

4.1.4．核心交换机连接 .................................................................................................... 28

4.1.5．接入层AP部署 ...................................................................................................... 29

4.1.7．用户接入策略 ........................................................................................................ 30

4.2．认证与加密方案 ................................................................................................................. 31

4.2.1．设备认证方式建议 ................................................................................................ 31

4.2.2．数据传输加密 ........................................................................................................ 32

4.3．网络管理措施..................................................................................................................... 32

4.3.1．性能管理 ................................................................................................................ 32

4.3.2．故障管理 ................................................................................................................ 33

4.4．VoWLAN语音子系统 ....................................................................................................... 33

五、设备清单 ....................................................................................................................................... 34

一、XXX医院无线网络通信系统建设需求

1.1．XXX简介

1.2．XXX医院无线网络应用需求

在医疗环境中安装无线技术，主要是出于两个重要的原因。首先是电子病历系统EMR的部署。医疗中心希望借助无线网络，让医师、护士和其他临床医生可以尽可能有效地与患者交流，从而获得更加高效的床边护理。

医护人员可以通过在医院的手推车上安装的计算机，无线接入EMR。临床医生可以推着一辆手推车探视患者，并从患者的床边，迅速地获取患者的住院信息、病史、化验结果和其他患者数据。此外，临床医生还可以在转移到下一张病床之前，通过该应用更新患者的病历、预约化验和开处方。所有信息都将通过无线网络，记录在医院的主数据库中。支持无线的EMR为医护人员提供的移动能力非常重要，因为它不仅可以让医护人员更加方便和有效地进行床边探视，还可以从患者的角度提高探视的质量，这是因为医生在探视的过程中始终都可以待在患者的床边。

医疗中心建立无线网络的第二个重要原因是网络布线的局限性。安装网线几乎总是需要采取钻墙和穿越天花板等措施，这些措施不仅会干扰办公场所的正常工作，而且在病房中具有很高的危险性。传统布线所带来的大量灰尘和其它颗粒物质。这对于HIV或者化疗病房的患者非常有害，因为患者非常容易受到感染。无线系统部署非常快捷、灵活，可以减少甚至避免所有这些环境施工的危险。

医疗中心决定实施无线网络，并将其安装在急救医院和专科医院中。在安装完成以后，医疗中心的医院最终将拥有自己的无线局域网，手推车和某些特定桌面上的计算机将配备相应的PC客户端适配器，用来组成完美的无线网络。

纵观整个无线网络的建设项目，网络工程师会认为无线系统因为本身的技术原因，导致医院系统的信息化会面临信息安全的问题，尤其是数据传输的安全问题。目前的无线局域网使用的是基于WPA的802.1x技术，这项技术要求用户使用

验证密钥来访问无线局域网。这项技术应该是比较安全的。医生进入系统，需要自己的密码和名字，并且同级医生之间的信息不能共享，只有职务高一级的医生才可以进入下一级医生的系统里。这样做除了安全性上的考虑外，还有监督的作用。无线网络防火墙概念的引进，对无线网络可以做到多层防护。基于用户的无线访问策略，为用户无线漫游提供方便。

很多医院的信息网络工程师还会有另外一个顾虑，即无线设备是否会影响医院设备的使用。关于无线设备是否会影响医院设备的使用问题，答案是否定的。理由是，无线站点的发射功率其实非常小，不会超过100MW（毫瓦），而手机的发射功率则在几瓦上，所以限制手机在医院的使用并不能说明无线局域网也会对医疗设备产生影响。并且，无线网络WiFi技术工作在ISM频段，ISM频段转为医疗和工业技术领域预留的无线频段，在医院中消毒常用到微波炉，WiFi技术就工作在

2.4G点上，而无线设备功率是毫瓦级。

以前很多医疗中心工作是基于有线网络的，非移动式的工作站信息系统对查房没有直接的帮助。医生到病房仍然要拿纸张、病例虽然这些病例可能是计算机打印出来的但查询仍然不方便．实际上还是传统的查询模式。对护士来说也存在着同样的问题，护士的工作最要到病床前测体温、量血压．进行生命体征的数据采

集．然后再将记录在纸上的数据输送到计算机里，反而增加了工作的复杂度。而且过去服务过程也没有记录，一般是转抄医嘱。实际上这种信息系统和病房的管理模式并没有实现信息衔接，等于从医生、护士办公室到病人床前这一段“路程”没有实现数字化。而无线系统解决了这些问题。

在无线技术得到广泛应用之前条形码技术的应用，为“以患者为中心”的口号提供了技术支持。

医疗中心从挂号的起始环节开始就取消了病例本，而换成带有条形码的病例袋。这是就医者在医疗中心治疗的“通行证”。通过扫描呼叫病人就诊的同时医生就可以通过医生工作站调出患者的病历资料、化验单、以及各种影像检查资料。值得一提的是数字化摄影技术大大缩短了洗印时间，患者不必花费漫长的时间等待报告单。而且影像检查的精确度也得到成倍提高，一张X 光片存储可达10 多兆，以前普通x 光片上显示不出来的微小病灶，都会以千万像素的高清晰效果呈现在医生

面前。诸如DHA 、C T、CR 、B超、彩超信息，可以在全院范围内实现各种设备影像的集中存储效和共享。就是做完了检查之后，门诊医生化和住院医生的影像都可以直接获取。

看完医生后的处方单等也都由电脑打印出来并带有条码信息。这样在病人交费的时候．只要在排号机前扫瞄一下储存一个号．就可以等待被呼叫交费了．此时医生所开的药物或检查项目、费用明细也都已经显示在电脑屏幕上，自然就不用排队了。

在药房，以前是先交处方，再备药，等待时间很长。现在是收费完成之后配药单自动传到药房后台．准备药之后再扫瞄一下，就医者就可以直接到窗口领药。药师扫描条形码核对处方，系统自动核检库存。这对于就医者来说是不用排队了，而对于药剂师来说，通过整个过程的计算机管理。药师不需要敲一下键盘，不需要按一下鼠标，避免了发药时候可能出现的错误。

医疗中心在门诊建立条形码的体系，得益于门诊的各个环节紧密的整合，无线网络构建提供综合业务平台使得医疗中心信息流程非常顺畅。

无论是应用条码技术还是采用了无线平台，所有应用的基础都是更全面的电子病例的有效集成为一线的医生诊治疾病提供数字化支持比如心电图监护、麻醉等，这些不光涉及到过去对病人的诊断，而且可以提供监护性的过程，而这些信息都能够从这个系统中获得。

医疗中心可以为来此的就医者保存电子病历．再次来到该院时．无论已过多长时间，只要还保存着条形码，患者所有病理资料都可以在任意一台工作终端调出查阅，极大方便了病情的综合诊断。而从系统集成的角度来说．系统要有效集成最重要的一点就是数据库一体化的结构设计，作为医疗中心要在上系统之前一定论证清楚，把需求提清楚．这样系统进来之后才能有效整合。

以前的医疗中心信息系统主要涉及管理和工作效率提升。并由此向业务延

伸。随着医疗中心信息系统涵盖内容的不断扩大面向临床角度发展。这就又涉及到很多系统。而这些系统不是一个厂商或者是一个单位就能完成的，就必须有一个规范性规划．包括各系统如何变异，如何解释等。如临床系统、信息影像系统都需要确立相应的标准。

1.3．无线网络通信系统的应用支撑需求

无线网络通信系统为XXX 医院的日常业务应用提供支撑平台。目前被广泛采用的一些基于无线局域网技术的医疗解决方案包括下列面向患者的应用：

 基本数据接入/访问互联网

 电子病历访问/查看

 医生处方输入和药物治疗匹配

 护士呼叫系统

 患者床边服务

 对重要的统计数据的监控

二、XXX 医院无线网络系统设计原则

2.0．满足医疗中心应用需求

2.0.1．利用灵活便捷的无线接入方式补充有线网络的接入

在早期医疗中心的弱点信息点设计当中，尽管医疗建筑中每个房间不一定需要使用电脑或者有网络接入的需求，但是为了考虑将来可能扩展的应用需求，往往在所有的房间中都一定部署电话和网络端口，这样的设计通常容易造成资源的闲置。而通过部署无线网络，在提供网络接入的同时带动了IP电话等各种应用，不仅削减有线网络信息点，提高了资源利用率，而且还可以使用移动IP电话替代传统的固定电话降低医疗中心的通信费用。这样的网络接入方式具有灵活便捷的特点，在经济上也是一种高性价比的投资。

下表中给出了一个有线网络接入和无线网络接入投资的对比分析（元）：

通过上面的表格可以很容易的看出无线网络接入方式具有一定的投资性价

比。对于数以万计的医疗中心弱点信息点而言，将其中20~30%的信息点利用无线网络加以补充和部分替代，无疑是合适而且可行的。

2.0.2．通过无线网络系统承载VoIP语音电话应用

新技术要有推广和应用的价值一定是可以为实际工作中解决问题，特别是节省企业运做所花费用。VoWLAN（无线IP语音电话）也是如此，假设在无线网络上的VoIP系统可以帮助我们企业节省很大一部分通讯费用，另外在语音通讯上也比VoIP和传统电话要方便得多。

（1）节省话费：

VoIP能够得到推广最大的优点就是他可以节省企业大高额电话费，特别是长途话费。所以当企业建立了VoWLAN网络后也继承了VoIP的优点，所有长途通讯或者本地通讯都是通过网络解决，公司只需要支付网络使用费即可。而企业内部的语音通讯也完全可以通过网络实现，一不用购买电话交换机，二不用为电话交换机（程控交换机）的运营而向电话局申请单独的电话号码了。

（2）使用方便：

如果说VoWLAN节省话费的特点是继承自VoIP的话，那么使用方便则是

他对VoIP功能的提升。众所周知VoWLAN是基于无线网络的，也就是说所有语音通讯都可以实现无线，语音通讯设备也从传统的类似与固定电话的VoIP电话机转变为类似于手机的VoIP手机。这样用户就可以实现拿着VoWLAN手机在企业内部任何一个地方随意通话了。这点是以前有线网络中VoIP无法实现的。

（3）新的融合通信方式：

基于IP电话技术的VoWLAN系统，可以支持更多的新型增值业务，提高

了投资的性价比，例如：话音与EMAIL的结合；话音与演示板结合的网络实时演示；综合话音数据以及视频的远程会议等。

2.0.3．支撑医疗网络信息化管理系统

采用无线网络的最大优势在于无线网络的灵活性,及时性和移动性，ARUBA的无线网络提供了54Mbps高速的传输速率，兼容802.11G, 802.11b无线设备，具有丰富的用户安全认证/数据加密传输的功能.，配合医院的医疗管理系统

（HIS），可为整个医院提供了高速的54M网络信号的无隙覆盖，使整个医院处于整体的电脑网络系统管理之下，加快医生对病人病况信息的查询，认识和处理。无论是对医生、护士还是工作人员，整个工作的进程都将是可控的：

 利用无线网络，医生和护士在病房，诊室，急救室，手术时可以不必

带着沉重的病例资料，使用笔记本电脑就可以实时的记录、查询和传

递信息。对于特级护理的病人，可通过无线网络随时查看患者监控数

据和病情状况。

 利用无线网络，药剂师将适时的根据医生制定的药剂配方，正确的配

置药品剂量。可以避免看不清楚或看错医生的处方而造成不必要的医

疗差错。

 对于突发性情况，比如接到具有特殊情况的病人，专家可以不必寻找

电脑去查找资料来帮助诊断，可以通过无线网络立即上网查询，没有

一分钟的延误。

 在查房的过程中，医生或者护士可以通过笔记本电脑将患者的各项数

据输入计算机，可以通过计算机随时查询患者的即往病史、过敏史等

关键资料，可以通过计算机核对处方药品及处置方式是否正确等等。

 针对临床教学过程中，专家或医生可以通过笔记本电脑的无线接入，

调取特殊患者的相关医学案例，结合现场患者情况，为学生提供生

动，多样的教学模式。

 在病房内，白领人士在医护人员允许的身体情况下，在适当的时间

内，通过自己的手提式电脑通过无线进行公司事务的远程处理。也可

通过MSN或QQ回复朋友的问候。真正达到住院办公两不误。

2.1．遵循标准

802.11协议族标准以其使用公共频点、物理层调制解调技术先进等技术特性从问世以来就受到业界的广泛关注，其中自1999年IEEE制定了802.11b之后相继标准化的802.11a和802.11g技术近年来更是在产品上不断推陈出新，与蓝牙、红外等技术产品共同分享了统治室内近距离无线传输的应用市场。与很多私有无线传输协议所不同的是，由IEEE制定的802.11系列国际标准协议工作在国际免收费的ISM无线频段，同时在物理/链路层技术上都具有公开的标准可以遵循。这样的国际标准使得设备厂商在追随标准的同时，保证了同一系统不同设备之间的兼容性，不但为整体项目/系统作了很好的投资保护，而且在将来标准演进的时候，更容易进行相关的升级。近年来，由于大型医疗器械设备电子频谱干扰的相关问题，以802.11系列产品为主体的无线网络系统，逐渐占据了医疗环境中多媒体通信的解决方案市场。而同时在大型医疗中心这样一个项目中严格遵循已有的国际标准无论从技术成熟度还是从投资保护的角度来考虑都是十分必要的。

2.2．成熟的无线射频技术

无线网络与有线网络最大的不同来自于传输媒介，无所不在难以固定的无线射频使得数据传输的性能严重的依赖着对于传输媒介的控制和调整。集中式控制架构的无线交换机+AP的解决方案，因为其无线交换机上实时收集着来自所有AP的无线信号信息并且进行统计处理，从而可以通过对于周围无线环境的分析判断，来集中调控所管理着的AP无线属性，达到网络性能的优化效果。

对于一个可管理、可运行的无线网络系统而言，其无线射频需要具有以下特性：



 可以通过自动调节AP发射功率而覆盖故障AP的信号漏洞区；支持实现自动侦测信号覆盖；实时动态分配AP工作的频点和发射功率；支持定位无线射频终端的物理位置。

医疗中心由于应用场景比较特殊，应用环境可能包括病房、医疗室、会议

室、急救室等多种室内条件。在这样复杂的部署环境之下，采用人工配置和干预无线射频参数的方式不仅效率低而且容易达不到效果。具有内置智能无线射频调控的网络系统才是解决问题的最好方案。

2.3．传输安全性能可靠

无线传输媒介的非受控物理特性使得网络的安全防护措施尤为重要，在医疗中心网络通信系统这样一个专用的系统中，所传输的数据和控制信息都是需要受到严格保护，防止未授权用户进行随意窃取和监听。传统的无线网络组网模式当中，AP可以随意部署在任意一个有线端点之上，通过这样一根无形的网络链路，所有的用户不管是合法还是恶意用户都能够轻而易举的进入网络。更有甚者，由于AP价格便宜，非法AP的接入防不胜防。在医院这样一个系统当中，为了防范信息被非法AP所泄漏，所部署的无线网络本身也需要具有侦测/识别/抑制非法AP接入的功能。同时，医疗中心接入用户和设备的广泛性，要求网络本身能够基于用户身份去做相应的权限和策略控制。

为了在网络接入层面的认证和加密严格遵循国际上的标准，医疗环境中可以考虑的认证方式包括：

 用于设备接入的MAC/WEP认证、SSID认证；

 普通用户接入网络使用的WEB认证方式；

 高级应用、高端用户认证的802.1X认证方式。

在设备接入网络的应用当中，由于移动设备目前支持的加密方式受到硬件本身的限制和制约，所以采用的加密方式多为静态或者动态的WEP；而通过WEB认证接入进入网络的用户，也可以采用同样的WEP加密来保护信息的私密性，更为值得推荐的是通过VPN来进一步保护通信数据；WPA、WPA2中的TKIP和AES在无线网络加密手段中的是最安全的，一般来说，由于配置的复杂程度以及推广部署的问题，只有高端的应用和特定的用户群体才会去享受这种安全策略。

2.4．易管理易维护

无线网络的可管理、可维护性是网络能否健康运行的重要保障。一个之上承载着重要应用，时时刻刻传输着关键数据的网络系统，如何有效、高效的对之进行管理和维护，是所有网络管理人员都必须面对的难题。

通过标准的SNMP对设备进行配置和监控，通过syslog记录发生问题的网

络环境上下文，通过SNMP trap和网页警告通知相应的网络技术人员，通过无线网络数据采样功能辅助相关人员进行网络的故障排除与调试；所有的这一切都是无线网络运转正常的必要条件。同时，是否能够通过网页、命令行、远程登录等多种网络配置方式对整个网络进行调控和优化也决定着网络的整体可管控性。

无线网络物理特性上的易受干扰特性，使得其更加依赖于网络的自愈功能、负载均衡能力、以及网络的冗余备份设计策略。一个良好的无线网络能够通过提供这些功能来辅助网络管理。

2.5．支持内部语音通信系统

可以预见随着VoIP技术的成熟与普及，基于SIP的Wi-Fi电话将迅速变为

XXX 医院领导之间话音联络的主流。Wi-Fi电话除了可在XXX 医院、医疗中心楼以及办公室之间等不同AP之间漫游外，用户亦可在其它有Internet连接的地方如酒店，住宅等使用，这是一般办公室无线电话（传统的电话交换机）所不能做到的。简单地说，用户可在有宽带接入的地方继续使用办公室的电话号码，不管是国内或国外。对于一些经常出差的用户基于无线网络技术的VoIP解决方案会带来极大的方便，亦可节省长途电话费。很多手机厂家已开始推出双模制式的手机

(GSM/CDMA + Wi-Fi)，用户很快就可以漫游于手机移动网和无线局域网之间。

三、ARUBA方案的技术特点以及在医疗中心中的适用性阐述

3.1．先进而成熟的无线局域网交换架构

3.1.1．集中式的无线网络管理模式

一家普通的医院，从门诊部到住院部，要实施无逢的无线网络覆盖，至少需要上百个甚至几百个AP无线设备，管理和维护如此大规模的无线局域网是一件很

头痛和花时间的事情。从射频信号的覆盖面，用户带宽，用户认证，以及接入安全等，都需要低成本的解决方案。传统无线局域网的管理和维护是基于每一个单独的AP进行，其大量的管理工作就是要逐一地对每个AP进行同样的设置和更改动作，即使是一个很小的改动，也要将全部AP修改一次。如果AP数量不断增多时，维护量变得非常庞大和烦琐。再者，无线局域网本应是一个整体的系统，AP之间需要互相协调工作，单独改变一个AP参数会引起AP之间的无线电波干扰、用户漫游重认证和授权等问题。

有见及此，ARUBA公司推出强大的具有集中式管理的瘦AP＋无线交换机

架构，该无线架构具有简单而强大的无线局域网集中式管理功能，AP本身并不存放任何的配置文件，AP的配置是从无线交换机上获取的，通过无线交换机Master Switch和Local Switch管理模式就可以统一管理整个无线网络的AP。网管人员只需简单地配置无线交换机，即可实现开通、管理和维护所有AP设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。

无论多么庞大的医疗网络，ARUBA的先进架构都可以让管理者在瞬间内完成所有AP的修改和自动协调动作。例如，在医院里共部署了300个分布在各科室各楼层的无线AP，出于安全性的需要，每三个月修改一次WEP加密密钥，如果用传统方法，只能逐一对每个AP进行修改，估计需时几天，而用ARUBA的集中式统一管理架构，只需几秒钟就完成了，效率是从前的几百倍。再者，对于超大型无线网络（几千个AP数量级以上的网络），如果没有集中式的统一配置管理，是无法想象的。自从有了集中式统一管理的无线架构后，现今越来越多的医疗机构开始逐步实施“移动边缘”战略，因为不需再担心因规模问题导致额外的管理时间和成本。

3.1.2．无线射频的智能管理

传统无线局域网射频管理是依靠工

程师手动配置的，这种固定式，静态的管

理手段并不灵活，有很大缺陷，尤其不能

适应大规模的无线网部署及动态复杂多变

的无线环境。因此，我们需要更智能化的动态射频管理。

ARUBA的无线架构是基于无线交换机的集中式统一管理系统，而无线交换机正好是全局AP的中心和沟通桥梁。AP与AP之间的射频信息通过无线交换机汇总后，通过RF智能控管，便可以很方便地自动调节线上所有ARUBA AP的电波特性，而无需逐一设置，这是传统AP方式无法做到的。

当初次安装无线局域网时，用户可通过RF Planning的Auto Calibration功能来自动协调整个无线网上所有AP的无线电信号频率和发射功率等参数。启动了Auto Calibration后，AP和AP之间便会自动互传相关射频的信息，然后计算得出最佳的通讯频率和发射功率，直到AP之间达到了一个最优化的无线电波运行环境。而且，这种射频优化过程是动态的，持续的，对于医疗行业这个复杂而多变的室内环境，经常会受到各类无线电波干扰，拥有动态的射频管理是很必要的。

智能化的射频管理原理及主要过程如下：当无线局域网经过Auto Calibration功能进行调整后正式运作，并在ARUBA无线交换机内启动ARM这功能，于是无线网上所有的ARUBA AP都会在设定的时间内自行扫描其它的无线频道。所谓电波扫描，是指ARUBA AP 从一个电波频道跳到另一频道时，如Ch 1 到 Ch 2 到 Ch

3....，由于扫描的速度非常快，所以对于连线的无线用户（指连接到AP上在同一频率上的无线终端）传输过程是不会受到影响。当AP停留在一个频道时，它会把在这频道上收到的无线电波信息转送回ARUBA无线交换机。这样ARUBA无线交换机就对整个无线网上的整体无线电波情况有一定了解和记录，并通过优化算法，计算得出每个AP最佳的无线频率和发射功率。当某一覆盖范围内的电波改变或出现干扰时，ARUBA无线交换机就会把所获取的无线电波资料做分析，以确定是否需要调整这范围内AP的无线电波。

3.2．具有安全保障的网络平台

在传统的无线局域网解决方案中，为保障网络的安全，许多客户把所有无线流

之

火量拒于防墙

（从DMZ区接入）之外，用户不得不绕道进入单位网络（如下图）。从安全性方面看，这是个好方法，但却使网络设计达不到最优状态而且导致性能劣化，因为 WAN 级别的防火墙突然之间要被迫应付许许多多以无线局域网速度访问的接入点。这种技术由于“统一尺码”的访问控制方法而不够灵活，因为它赋予所有无线用户相同的网络权限。如果不采用上述的解决方案，而是将无线系统直接连接到楼层交换机，这样用户连接至AP以后，所有的访问都将无从控制，对客户的网络安全更是极大的威胁。在医院园区网的环境中，由于来往的人员多，流动性很大，如果只是靠内网和外网的隔离，不能很好的提供服务给不同身份的用户。假设医生需要查询病人的资料而使用随身携带的PDA，如果只是简单的在内网中部署WLAN（无线局域网），病人家属和访客很容易通过自己的PDA和笔记本电脑登陆到医院的内网，造成医院网络的安全漏洞。如果部署医院全范围内的WLAN，传统的无线局域网面临无缝漫游和用户管理的难题。

而ARUBA无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测以及RF 电磁波管理等多项安全功能汇聚到ARUBA无线交换机上来完成的，解决了传统的无线网对安全的分散管理（AP、AC）和能力，给用户带来的安全感，摆脱了对有线网安全的依赖性。

3.2.1．无线用户网络接入的安全管理

用户状态防火墙是ARUBA无线交换机的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念，它的保护只是基于IP地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。ARUBA无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如医院管理人员和医生可以使用更多的服务，而病人及访客只可以浏览网页、收发Email等，这样可以极大方便医院用户的安全管理。例如医院领导可以通过无线网络访问全院的管理、财务、人员信息，医生可以通过无线网络访问病人的病情信息、治疗信息，病人可以通过网络访问个人信息、费用信

息，访客可以通过无线网络访问医院的公众网站，了解医院的具体情况。基于身份的访问原则很好的保护医院的网络安全，同时也提供了不同等级的访问权限。（如下图）

3.2.2．无线网络的安全防护和监控

由于无线终端接入是没有明确物理位置限制的，所以管理方极难用固定的网络防火墙设备来防范无线连接(防火墙一般很少会设置在每一个接入层的数据链路上)。并且网络防火墙是不能防止无线终端之间的通信，所以万一有无线终端被病毒感染或黑客在无线发起攻击的话，它都很会容易散播到其它的无线终端及整个传输网络内的其它网点。有一些单位为了安全就采用一刀切的方法，把所有无线接入汇聚到一个DMZ内，再通过一网络防火墙的过滤才让无线数据进入企业内网。这种方式在具体实施时有一定的困难，只能局限在传输网内的某些范围，因无线用户/终端必需集中在一VLAN上处理，否则的话很难把它们汇聚到一个DMZ内。如果不是经过DMZ的话，则可能威胁到内网的安全，但要把在不同接入点AP的无线用户/终端和有线用户(在同一接入点)完全分隔开而设置到DMZ上的同一个

VLAN则需在现有的局域网做很多改动。且未来如要增加多一些AP接入点的话，亦同样需要在局域网的接入层，汇聚层做很多改动。

采用传统的网络防火墙来实现无线接入安全保护的最大问题是缺乏灵活性，因它本质上不是设计来做内部的安全保护，而是用来确保外来数据进入企业内网是安全可靠的，所以一般都会设置在企业因特网的连接口。从因特网进入企业内网和企业内部的无线接入的最大区别在于后者是可对用户做认证，但前者是不可能实现。由于不能确认用户的身份，所以防火墙的检查或策略只可按端口和IP 原地址来制定，不管用户是

谁。这种模式在企业

内部署会对用户的内

网访问有很多限制，

缺乏灵活性，所以是

很难被用户广泛接

受，只可在小范围或

小规模的情况下实

现。要做到实施和维

护简单方便，亦可根

据用户身份来制定安

全访问策略，ARUBA的无线解决方案就可以彻底解决这些问题。

采用ARUBA 无线系统的RF侦测功能和保护机制可以实时监测大厦无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。通过ARUBA 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的AP接入，发现后可以开启自动保护机制，阻止无线终端通过非法AP联接到无线网中。在医院网络中，如果某位医生或行政人员私下安装了无线的AP，提供了直接连接医院内网的接入，ARUBA无线安全管理的功能可以及时的发现这个非法的AP，并且可以通知管理人员断掉非法AP的网络连接，显示非法AP接入的大致方位。

今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对医院和运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击在HotSpot会导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。

ARUBA 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当ARUBA 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。

3.2.3．无线局域网的认证与加密

传统的无线

局域网解决方案中

用户认证主要依赖

于802.1x，这种认

证方法需要用户安

装802.1x客户端

程序，后端还需要

Radius服务器支

持。一方面用户的

技术水平参差不

齐，客户端的操作

系统多种多样，以及系统可能出现的软件冲突等，对802.1x客户端的安装造成极大障碍，另一方面，后端的数据库只能使用Radius，不能使用其他类型的认证数据库，在适应性上也比较差，这些对于大规模推广和使用都是极大的阻碍。考虑到客户所使用的设备安全认证的多样性，我们认为将来的的接入方式可以多种选择，医院的医生可能通过手持PDA设备查询数据，病人可以通过医院提供的PC机查询信息，访客和医院领导可以通过笔记本电脑上网，医院同时可以考虑提供WiFi

手机提供语音的服务。在ARUBA无线系统中，一个无线用户进入无线网以后，只会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过DHCP获取IP地址、传送DNS协议数据包，通过认证以后才可以接入无线网。ARUBA无线系统支持目前各种用户认证的方式（802.1X、WEB认证、MAC、SSID、VPN等），医院用户可以根据需要方便选择。我们可以考虑医生和医院的管理人员可以通过身份认证的方式登陆到医院内网，病人和访客可以通过WEB界面访问医院的公众服务器，远程的医院员工可以通过VPN的方式访问医院内网。WiFi手机的用户可以事先设置好登陆的方式。

ARUBA无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP，而是在ARUBA无线交换机上实现。由于ARUBA的AP是不储存任何网络配置（IP地址除外）和安全设置，因此ARUBA 管理的AP是不能单独工作的，因此获得和接入进ARUBA AP，黑客也不会拿到无线网的网络和安全配置参数。但一个破坏者通过其他的手段（偷盗和窃取）攻破了边缘的接入网络，他也无法破译ARUBA 无线网络建立起的加密通道，无法窃取网络的真实信息。

3.2.4．无线射频终端的定位

ARUBA 还有一个独特的无

线射频特性是可跟踪在无线网络内

所有Wi-Fi终端的位置，如PDA,

Wi-Fi手机，和笔记本等。在医疗中

心在安装ARUBA无线系统之前或

安装以后，网管人员可把各个建筑

物的图纸输入到ARUBA无线交换

机内的RF Planning 系统，然后把AP安装的物理位置输入到图纸上的座标或具体的位置上。当在这个系统环境中寻找带有无线终端的工作人员或病人等的所在位置时，例如非法AP或Wi-Fi

手机，在交换机内无线终端的记录表内找到了终端的网

络地址后，可按“定位”这按钮，则网管界面会弹出在RF Planning上终端在医疗中心图纸的物理位置。

这种无线定位模式称为三角定位，它的准确性可达到2.5米以内，先决条件是所寻找的无线终端附近须有最小三个ARUBA的AP 在范围内。这是传统无线网络所不能做的，在一些其他行业，如医院就是采用了无线定位技术来取代传呼机在医院内寻找医生、病人等。

3.3．支撑多业务的网络应用

3.3.1．无线网络的QoS实施与保障策略

ARUBA的AP所使用的硬件支持无线多媒体扩展（WME）的队列，同时可以将这些射频的队列映射到IP的QoS机制如DSCP和802.1来保证无线的应用可以在有线的网络上获得相应的优先级。此外，阿尔卡特在支持802.11e服务质量的基础上，增加了基于用户状态流的区分和优先级映射，使得同一个设备的不同应用可以得到不同的处理优先级。区分数据流的各种参数可以包括源/目的地址、协议、服务（如HTTP、TFTP、SIP等）。

ARUBA的无线交换机在启用内置的防火墙时，可以识别数据流的状态和类型，因此可以根据用户或应用来分配不同的带宽。带宽分配是在无线交换机内由一个专业的漏桶算法来控制的，当用户的流量超过预定义的带宽时，数据包将被丢弃。

ARUBA的AP和无线交换机可以利用802.1p和IP DSCP来给网络里的数据包来标记QoS的优先级：

 下行——往无线用户的方向，无线交换机根据应用和流的标识来标记

802.1p标签，无线交换机内部的状态防火墙可以识别需要高优先级的

数据流，然后根据用户定义的802.1p标签来标记相应的数据包，这

样在无线交换机和AP之间的网络就可以据此来保证下行数据的优先

级；当AP收到下行数据时，它可以根据数据包的GRE包头的信息

来确定该数据包的优先级。

 上行——无线用户往AP的方向，AP不作解密的工作，所以没有办

法知道数据流的优先级，但是一旦高优先级的数据流到达无线交换

机，该数据流就立即被识别并且AP被告知哪个用户具有较高的优先

级，此后该用户的数据流就会被标上用户定义的802.1p标签。

目前，由于无线上的服务质量标准802.11e还没有最后定稿，所以ARUBA支持Wi-Fi联盟的WMM规范（802.11e的子集）。一旦IEEE 802.11e被定稿和正式公布，ARUBA将完全支持该标准。ARUBA的AP具有8个硬件队列，目前只使用了两个：高优先级和低优先级，以后可以配合802.11e标准的发布启用8个队列，以实现更为丰富的服务质量保证方案。

当前我国医疗行业的通信系统正面临着升级换代的重大转折点。新环境下医院对于通信的需求，已经不能仅仅满足于以往的传统电话、上网功能；除了在医院内部搭建高效、通畅、低廉的通信网络外，还应该包括向病人提供便捷、先进的通信业务和多媒体信息服务等新内容，以便改善医院就医条件、病人就医感受，并为医院创造新的业务模式，提高工作效率。融合语音数据、实现多媒体协同、室内外无线覆盖、多种终端及应用集成„„这些当前最时髦的“融合通信”的相关理念，已经开始叩响部分医院的大门，为医疗行业的信息化吹进一缕清新的风。

当所有的数据、语音和图像的应用共同运行在医院的无线网络环境中时，

ARUBA的无线解决方案可以根据医院网络应用的实际需要保证不同重要性的应用具有不同的优先级，从而保证在网络流量发生拥挤时关键性应用的网络服务质量。例如：电子查房系统，医院内部VOIP语音系统，无线视频监控系统，当这些应用统一运行在ARUBA无线网络平台上时，在ARUBA的解决方案中可以支持对不同的应用的优先级设定从而保证在ARUBA无线平台上保证关键应用的网络带宽。

3.3.2．网络系统的自愈功能

传统无线网络里的每个AP都是一个独立的个体，相互之间不存在任何沟通与协商，如果有某一AP突然损坏或失效时，这个AP原来覆盖区域就会失去无线连接，无线网络变得不可用。遇到这种情况的一般做法就是马上把失效的AP更换。但由于大多数的AP都是布置在楼道里(并不是在机房)，所以不一定能马上作更换，现场的环境也有局限性，很多时候维护人员较难即时做出更换动作(很多的AP都是安装在天花板上)。而且，从故障发现，处理，找到新AP，替换，整个过

程需时漫长，尤其是这对于一些紧急的应

用是不能接受的。因此我们必须寻找另一

种方法去缩短故障处理周期。

为了提高无线网络的可用性和增强

整个架构的冗余性，ARUBA系统设计了故

障自动恢复的功能，即实时侦测出线上AP

是否存在失效，当发现有AP出现故障时，

ARUBA无线交换机能自动调节邻近的AP射频参数，一般是加大发射功率（覆盖范围）共同接替失效AP原先覆盖的范围。

在医疗行业，这个功能尤其重要，大部分

的AP都是覆盖办公区和住院区，无线网的可靠

性关系到病人的安危，例如当某个房间的病人遇

到危险，按了急救键，需急呼护士，而护士正在

其他病房查房，请求信号本应可通过无线网到达

护士随身携带的WiFi电话，而刚好护士所在区

域的AP设备发生了故障，失去无线信号，结果

导致找寻失败。可见无线网的可靠性高低直接关

乎病人的生命安全，有了故障自动恢复功能，无线信号就可在很短的时间内，自动恢复正常。然后管理人员可以慢慢更换掉损坏的设备。

3.3.3．无线接入的负载均衡

在医院里，有很多大型的后台应

用，例如PACS，HIS等数据中心资料

库，这些应用都需要较高的带宽支持，

当用无线网的人较多时，争用共享的无

线带宽，尤其是局部使用较密集时，必

需有合理的负载均衡去分配带宽才能获

得较高的应用效率。在一个AP的覆盖

范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。例如10个医生同在一会议内开会讨论病人状况时，在传统的无线架构下，这10个医生都连接会到同一个AP上，于是大家都一起共享这54M的带宽，而可能邻近的AP只有较少的用户连接。为了更合理地分配带宽，ARUBA提供了网络负载均衡功能。ARUBA的无线系统是一个集中式的管理系统，逻辑上相当于一个大的AP在统一管理，统一协调，在无线交换机里有全部分布AP的列表和负载状况，于是，无线交换机会跟据一定的算法，指示一些连接用户数量较多的AP把其覆盖范围内的无线用户或终端分散连接到邻近的AP上，从而分担AP的负担，达到最佳的使用效果，网络资源亦得到充份的利用。ARUBA无线系统还可以透过应用层面即4－7层交换模块来实现服务器的负载均衡，VPN设备，防火墙设备等等一系列基于TCP/IP协议设备的负载均衡来保证整体网络的可靠性。负载均衡功能在语音和视频应用中显得尤其重要。

3.3.3．VoWLAN无线语音通信系统

随着VoIP的越来越普及(如Skype,„等)，基于SIP的Wi-Fi电话将迅速变为企业内部员工之间话音联络的主流。Wi-Fi电话可在包括校园、酒店，医院、机场等地方使用，这是一般办公室无线电话(传统的电话交换机)不能做到的。简单地说，用户可在有宽带接入的地方继续使用办公室的电话号码，不管是国内或国外。对于一些经常出差的用户VoWiFi

会带来极大的方便，亦可节省长途电话费。很多

手机厂家已开始推出双模制式的手机(GSM/CDMA + Wi-Fi)，用户很快就可以漫游于手机移动网和无线局域网之间。

ARUBA的无线交换技术已经证明很多业界VoIP系统在ARUBA系统上成

功的运行，且在最近的Network World VoWLAN测试结果被评选为市场上最卓越的产品。在具体实现Wi-Fi语音时要注意考虑语音的时延， AP呼叫的容量，和漫游切换时间。尤其语音的漫游,它会比一般的数据移动传输更普及，但相对的要求也较严紧，所以要在无线局域网实现语音和数据融合，就不能随意的安装一些AP，而必须是有规范的组建无线局域网。

ARUBA无线系统可容许用户设置专有的语音SSID，把单纯是数据传输的

用户和Wi-Fi手机用户分开，但也可以在单一SSID内同时传送数据和话音，关键的重点就是怎样保证语音传输的质量。 ARUBA无线交换机内的用户防火墙可把SIP/RTP等VoIP协议数据包放在较高的优先队列，所以就可确保在数据和语音同时传送时，语音的质量不受影响。另在语音安全接入方面，ARUBA可防止没有无线语音权限的用户使用无线语音，以确保网络资源能有效运用。

在传统的语音通信方面，出现了一些具有时代特点的新需求：由于医院园区规模扩大，以及医生工作的特点，需要在园区内、楼层间、医院间实现通信的移动性；需要充分利用各种新技术、新工具，实现迅速、快捷、多渠道的信息沟通；随着IP语音通信技术的发展和成熟，医院也希望利用它实现多点分支之间的通信，从而简化呼叫流程、降低费用，并实现医院的统一管理。

未来医院为了扩大营销必定会扩大服务覆盖范围，不断增设分支机构，并兼并一些规模较小的医院或专科医院。如何解决医院总部与各分支机构之间的频繁通信、提高工作效率、降低通信费用，使被兼并的单位快速融合到医院的整体当中，同时提供与本医院完全一致的通信手段和通信水平，达到资源共享，就成为医院要考虑的切实问题。届时，IP语音通信将会进一步体现出自己的优势。

为了满足这些通信需求，新的医院通信系统就应该在提供稳定高效的语音通信的基础上，同时提供灵活的WiFi VOIP语音系统为医院提供强大的通信能力。

利用ARUBA的无线移动网络解决方案可以通过统一的WiFi网络同时支持语音和数据业务，支持多样化的通信手段，同时可以简化网络管理，实现集中控

制，使人员的移动、增加和变动都更加简单轻松、成本低廉。由于采用开放、标准的协议和结构，该解决方案还可以实现各种应用的集成，更易于开创新服务。对于医院来说，可以实现生产力的显著提升、节约成本。

3.3.4．无缝的跨越不同的IP子网漫游

在传统无线网络内，无线终端要跨越不同AP之间漫游是有一定的困难的，因为不同AP它的无线用户IP子网可能都不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时，由于它们之间的缺省IP字网不同，无线终端会重新发出DHCP请求，这样的话终端的IP地址就会更新，而所有在原先AP建立的连接都会被切断。过去为了解决跨越三层的漫游，有些用户采用了Mobile IP的技术，但Mobile IP的缺点是它必须在无线终端安装软件。这是一般企业IT管理不愿意做的事情，因为它们就必须支持和维护用户的无线接入端。

通过ARUBA无线交换Proxy Mobile IP 功能，就可解决了跨越不同三层IP子网的无线漫游问题。当无线终端从一AP的IP字网漫游到另一AP的IP子网时，连接从这AP端接的ARUBA无线交换机转发到它的Home 无线交换机。用户的Home 交换机会告知用户漫游到的ARUBA交换机继续保持用户的原有的IP地址。所以仍然无线用户已漫游到另一IP子网，但它仍可以原本的IP地址继续在新的AP上入网。Proxy Mobile 的优点是它无需要求在用户终端安装任何软件就可让终端无缝的在不同IP子网之间漫游。

医院的无线网络覆盖非常广泛，通常会包括医院主园区，各个分院，附属院校，甚至包括远程移动用户，因此无线的应用常常会面临网络的三层漫游问题，例如，某一个医生在从门诊楼到病房的过程中，进行WiFi语音通话，这就是WiFi终端漫游的典型例子，在这个漫游过程中，WiFi终端跨不同的IP子网进行漫游时，如果无线方案不支持跨IP子网漫游的功能，就会出现二次认证，从而造成正在进行的通话无法继续进行的问题。

ARUBA的医院无线解决方案中充分考虑到了无线应用的跨IP子网漫游的

技术问题，ARUBA的解决方案可以实现多子网以及多VLAN 之间无缝地漫游，保证医院的WiFi应用的持续性，不会丢失连接。

ARUBA的医院无线解决方案在提供跨IP子网漫游的同时还可以提供良好

的移动性，用户可以在院区内跨越不同的AP时，以及跨越不同的WLAN 交换机，不同的子网以及 VLAN 之间无缝地漫游，同时也不需要在每个移动基站上安装移动性软件。 ARUBA 完善的 Qos 和业界最低的漫游切换时延保障语音和视频的应用。

3.4．强大方便的网管平台

3.4.1．SNMP TRAP

ARUBA 无线交换机与AP 支持标准的SNMP v1、v2、v3 3个版本。

ARUBA系统支持对交换机系统的Trap，也支持对AP的Trap。交换机SNMP Trap的信息非常丰富，包括：交换机ip地址改变，角色改变，认证服务的各种情况，设备电源，风扇运行情况等等。AP支持Trap信息也非常多，例如：不安全站点检测，SSID错误配置等。

网管服务器通过实时接受ARUBA网络系统的SNMP Trap信息，网管人员透过这些信息可以实时的对网络进行检测，管理。

3.4.2．EVENT / REPORT

ARUBA系统有很详细的触发事件报表系统，管理者通过查看报告，可以帮助管理者了解网络发生了什么事情，例如：有Dos攻击，有黑客攻击等，管理者可以通过这些信息做出判断，是否网络出了什么问题，从而采取必要的手段去处理。

3.4.3．NETWORK REPORT SYSTEM

ARUBA可以提供一套网络报告系统，系统简称NRS，它是第一套中文化网络设备日志数据分析统计报表管理软件，它提供设备状态监控、流量及攻击事件等警示服务，可同时支持多台装置日志接收分析，并提供中文化的图形化分析报告，以利于网管人员确实掌握公司的网络使用情形及网络安全状况。NRS在不需安装任何程序之下，即可以透过浏览器直接了解目前网络状况，除了可以提供每一个IP使用

情形，在透过数据分析后，并进而可提供企业内部各阶层的应用。NRS的

图形

画报表，可以协助公司快速地将复杂难懂的网络设备信息，转换成清楚易懂的图形化报表，让管理者与相关的主管单位充分地了解网络设备状况。从而做出合理判断，是否对网络做调整等。

四、医疗中心无线网络通信系统的设计与实施方案

4.1．整体系统架构设计

4.1.1．设计原则

结合医疗中心的网络和应用需求以及ARUBA解决方案的特点，无线网络通信系统的设计原则可以分为以下几大点：

 采用无线交换架构组建无线网络子系统；

 利用现有的有线网络资源，架设“层叠”网络，保持已有的有线网络

配置和设置不更改；

 用户子网和设备子网隔离，无线用户无法访问设备子网；

 AP的IP网络设置从DHCP获取或者进行安装前静态配置，AP的无

线网络设置由交换机集中推送；

4.1.2．拓扑结构

如下图所示，在整个无线网络系统当中，ARUBA的无线交换机A6000放置在数据中心，与核心交换机之间采用VLAN trunk进行连接；而楼层中的AP通过GRE隧道汇接回到无线交换机，途经楼层汇聚有线交换机和其它相关的有线网络设备。

在这样的网络实现当中，AP上用户的流量都将通过AP与无线交换机建立

起的GRE隧道，流向无线交换机，在经过相应的策略匹配之后，用户会被要求认证，或者流量会被转发/丢弃。

4.1.3．设备选型和配置

由于此次无线网络通信系统需要部署D区住院部大楼，还需要考虑到备份

中心使用的备份策略，同时还需要为将来各大楼的无线部署做扩容准备，所以在设备选型的时候需要着重考虑设备性能，冗余方案，扩展能力等因素。综合了以上几点之后，设备的型号以及配置见第5节的设备清单。

4.1.4．核心交换机连接

采用ARUBA6000交换机，放置在XXX 医院的网络机房，每台

ARUBA6000无线交换机可以支持512个AP接入和管理，完全满足XXX 医院无线覆盖的需求，并留有一定的扩展余量。无线交换机和AP的连接可以穿透三层，因此，方案的实现完全不影响原有网络的结构，并且可以实现全网的漫游。

AP的供电采用单独的Poe供电设备（或与原有的普通楼层交换机配合，不用添加新的POE交换机），用于AP的数据接入和供电，又不增加过多的成本。

实现后的XXX 医院无线局域网系统，在XXX 医院内的任何一处，即便是在没有安装有线网络信息点的地方，也可以很方便地进行可视化的音视频医疗中心和召开各种需要使用网络音视频的会议。在无线网络音视频会议医疗中心系统的支持下，在XXX 医院领导和行政办公人员以及与会的来宾等，就可以利用其所携带

的笔记本电脑或是配置有无线网络适配器的PC 机，在XXX 医院内的任何一个地方上网与世界的任何一地进行信息交流、医疗中心或媒体演示。这样可以十分方便、快捷地创造一个多方位的可视化的远程多媒体医疗中心环境。

在ARUBA的解决方案当中，无线交换机的放置位置需要注意以下两点：

 ARUBA的无线交换机与相连核心交换机/路由器之间端口协商的匹配

性：如果存在着匹配失误的情况，则整个网络的稳定性会受到影响，

具体表现为AP会进行自我的重新启动。

 ARUBA的无线交换机与核心设备之间相连的VLAN情况需要和网络

的规划一起进行，一般来说，ARUBA无线交换机和网络核心设备之

间会建立VLAN trunk的标志，用于将用户划分到不同策略的VLAN

当中去。

4.1.5．接入层AP部署

ARUBA方案能够方便的实现跨三层部署，接入层的AP部署只是需要拿到属于自己的IP网络设置和网络中已经部署的ARUBA交换机IP地址即可。这样的架构大大简化了传统无线网络部署当中的复杂程度，减轻了AP设置与用户设备以及AP所连接的有线网络配置相杂揉的状况。

通常，视AP需要管理的程度，以及有线网络的整体架构来规划AP的部

署。

根据用户中的介绍及对XXX 医院实地的了解，并结合以往的工程经验，对第一期D区住院部大楼无线网络覆盖做出以下规划：使用AP的数量预计为240个AP。

室内区东区：

根据对已有医疗中心区域的实际勘测，依据用户的实际需要，预计需要120个AP。

室内区西区：

根据对已有医疗中心区域的实际勘测，依据用户的实际需要，预计需要120个AP。楼的结构为对称模式，部署如下图：

每层布置支持网络供电POS设备，POS交换机作为分层供电交换机，通过汇聚交换机，网络汇聚到医疗中心的网络中心，在网络中心通过光纤和ARUBA 6000交换机连接。

对于第一期中的A区、B区和C区，具体AP的部署情况由于图表复杂，详细可参见附件中的Visio文件。

4.1.7．用户接入策略

从XXX 医院的用户分类与分布情况分析，用户主要分成以下几类：

（1）XXX 医院领导与工作人员；

（2）参加会议人员和来访人员；

（3）XXX 医院业务人员。

使用网络是被分为不同的业务类型，因此，在设计上采用无线局域网多

SSID技术，设置多业务区分方式。在一个无线局域网内可以设置多个SSID，例如一个SSID可给内部员工所用，而另一个可给外来的客户专用。由于用户一般把SSID看成VLAN，所以它们都会惯性地以VLAN概念来划分SSID。其实在一个

AP范围内，不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内，因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播，所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。

为什么要把不同的安全加密协议设置在不同的SSID呢? 802.11的标准内定义了不同加密情况时数据包的封装格式，所以在使用不同的加密程式时，如WEP,TKIP(WPA),802.11i(WPA2)，它们是不可能在同一个SSID内同时存在的。

用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用二个SSID，一个定义为OPEN/Static WEP供客户用，另一个SSID则为TKIP(WPA)专为内部员工使用。未来的发展趋势是新增设一个802.11i SSID让员工以过度的方式逐渐从转移到这个SSID上。不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i，而是不可能把所有的终端一次更换成最新的软件程序。

SSID可以覆盖全网，也可以只局限于XXX 医院网内的某些范围。一般的情况下是全网开通，例如客人(Guest)使用的SSID；但有些SSID则可能只供某些部门使用，所以无线覆盖范围通常只会局限在某些范围内。

所以针对XXX 医院无线局域网多种用户的不同业务类型应该采取不同的SSID进行管理和控制。XXX 医院XXX 医院领导员工、XXX 医院工作人员和属于XXX 医院内的固定用户，可以采用专门的SSID，可以采用级别较高的认证和加密手段，对参加会议人员和来访人员可以使用另一个SSID，采用级别相对较低的认证和加密手段，这样就实现了区分的服务。

4.2．认证与加密方案

4.2.1．设备认证方式建议

医疗中心将会存在两种类型的用户，一是网络移动设备，而是医院中的接入用户。

对于运算和存储能力都相对比较弱的移动终端设备，目前业界普遍的做法是使用静态WEP与基于MAC地址的认证方式来进行设备接入认证。ARUBA无线网

络解决方案支持内置和外置的MAC地址数据库用于网络的设备认证，同时内置的静态WEP算法由于采用了防止“弱”初始化向量措施，使得对于此类网络的破解大为困难。

无线网络通信系统不仅仅需要服务于需要进行数据传输的移动终端设备，对于可以借助网络进行其它业务操作的数据用户，也应该同样提供数据传输的能力，并且保证两者互不干扰。ARUBA所架设的无线网络系统支持多SSID，能够利用一套物理网络设备建立起几套虚拟的无线网络环境，并且每一套无线网络环境都具有其专门的认证方法。在一般数据用户进行网络访问的时候，ARUBA可以提供包括开放系统在内的五、六种认证方案，包括：WEB页面认证，802.1X认证，基于SSID的认证等。用户在接入网络之前，透过无线网络子系统把相关身份信息发送到后台的认证数据库当中，只有通过身份验证的用户才能够得到进入网络进行访问的许可授权。

4.2.2．数据传输加密

ARUBA架构中的集中式加密解密模式尤其适用于对于数据传输具有严格私密性要求的场所。在医疗中心的通信系统，正是这样的一个典型例子。控制中心和终端之间的来往控制信息以及数据都不希望受到非授权用户的任意监听进而窃取其中的敏感信息，端到端的通信受到先进加密算法的保护。ARUBA架构中可以直接对二层的无线网络数据采用AES算法进行加密，也可以通过VPN的方式，在应用层对所传输的数据进行加密，灵活的满足不同应用场景的需求。

4.3．网络管理措施

4.3.1．性能管理

QoS保证/负载均衡：如果一旦发生多个终端竞争一个AP的时候，基于流量和基于用户/终端数目两种负载均衡功能都将被启用，从而根据现场的负载情况进行均衡操作。

4.3.2．故障管理

VRRP和AP的双备份：ARUBA的设备支持VRRP热备份，同时在AP之上也支持双备份功能。如果是集中控制的无线交换机失效，则VRRP中的备份交换机会自动激活成为网络中的ARUBA无线交换机，保证网络的连续可用性。如果是AP到主交换机的连接出现问题，AP也可以向从交换机发起连接申请，建立集中式的无线网络，以此来确保网络的运行。

自愈功能：ARUBA的系统中AP具有自愈的功能，当一个AP失效的时候，附近的AP可以感知到，通过加大发生功率来覆盖失效AP原来所覆盖的区域，达到自动治愈网络覆盖空洞的目的，也提高了网络的可用性。

4.4．VoWLAN语音子系统

ARUBA能够无缝的把VoWLAN系统和现有的VoIP系统结合起来。

五、设备清单

方案一（单频）

6000-BASE-2PSU-200

Aruba 6000 Base System (Standard Power)

SC-256-C2 Aruba Supervisor Card II (256 AP Support) LC-2G

Aruba 2xGE Line Card

LC-GBIC-SX Aruba GBIC Interface Adapter - SX

LIC-SC2-PEF Policy Enforcement Firewall Module for Aruba Supervisor Card II (256 AP) PD-3001-AC 1 Port PowerDsine POE Midspan AP-60

Aruba 60 Wireless Access Point

AP-60-MNT Aruba 60/61 Wireless Access Point Wall / Ceiling Mounting Kit AP-antenna A/B/C

2400-48-AOS-STD A2400-48 Mobility Controller - SPOE, GBIC GigE - 48 AP Limit LIC-2400-PEF Policy Enforcement Firewall Module for A2400-48 (48 AP License) PD-3001-AC 1 Port PowerDsine POE Midspan AP-60

Aruba 60 Wireless Access Point

AP-60-MNT Aruba 60/61 Wireless Access Point Wall / Ceiling Mounting Kit AP-antenna

方案二（双频）

6000-BASE-2PSU-200

Aruba 6000 Base System (Standard Power)

SC-256-C2 Aruba Supervisor Card II (256 AP Support) LC-2G

Aruba 2xGE Line Card

LC-GBIC-SX Aruba GBIC Interface Adapter - SX

LIC-SC2-PEF Policy Enforcement Firewall Module for Aruba Supervisor Card II (256 AP) PD-3001-AC 1 Port PowerDsine POE Midspan AP-70

Aruba 70 Wireless Access Point

AP-70-MNT Aruba 70/2E Wireless Access Point Wall / Ceiling Mounting Kit AP-antenna A/B/C

Aruba 70 Wireless Access Point

AP-70-MNT Aruba 70/2E Wireless Access Point Wall / Ceiling Mounting Kit AP-antenna

1 1 1 1 1 240 240 240 240 3 3 130 130 130 130 1 1 1 1 1 240 240 240 240 3 3 130 130 130 130