XX醫(yī)院信息化建設(shè)

技術(shù)建議書

2016年10月

目錄

1.工程背景......................................................................4

2.需求分析.....................................................................4

3.建設(shè)目標.....................................................................4

4.建設(shè)思想.....................................................................5

5.XXX醫(yī)院網(wǎng)絡(luò)總體建設(shè)規(guī)劃.....................................................6

5.1.網(wǎng)絡(luò)規(guī)劃拓撲圖..........................................................6

5.2.基礎(chǔ)敏捷網(wǎng)絡(luò)建設(shè)規(guī)劃....................................................6

5.2.1.網(wǎng)絡(luò)設(shè)計原則.....................................................6

5.2.2.總體網(wǎng)絡(luò)架構(gòu)....................................................7

5.2.3.物理組網(wǎng)規(guī)劃.....................................................8

5.2.4.網(wǎng)絡(luò)出口規(guī)劃.....................................................8

5.2.5.核心層設(shè)計規(guī)劃...................................................8

5.2.6.會聚層設(shè)計規(guī)劃...................................................8

5.2.7.接入層設(shè)計規(guī)劃...................................................9

5.2.8.可靠性設(shè)計規(guī)劃...................................................9

5.2.9.平安性設(shè)計規(guī)劃..................................................10

5.3.遠程訪問規(guī)劃............................................................10

5.4.有線無線融合規(guī)劃........................................................12

5.5.業(yè)務(wù)隨行規(guī)劃............................................................12

5.6.SVF全網(wǎng)虛擬化規(guī)劃......................................................13

5.7.用戶接入認證規(guī)劃........................................................13

5.7.1.有線用戶接入...................................................13

5.7.2.無線用戶接入.....................................................14

5.8.無線網(wǎng)絡(luò)建設(shè)規(guī)劃........................................................M

5.8.1.無線醫(yī)療簡介.....................................................14

5.8.2.無線醫(yī)療的總體需求..............................................15

5.8.3.無線網(wǎng)絡(luò)平安問題.................................................15

5.8.4.無線網(wǎng)絡(luò)規(guī)劃實施問題............................................16

5.8.5.無線用戶漫游問題...............................................16

5.8.6.無線網(wǎng)絡(luò)管理問題...............................................16

5.8.7.無線醫(yī)療基礎(chǔ)網(wǎng)絡(luò)設(shè)計............................................16

5.8.8.WLAN覆蓋規(guī)劃....................................................17

5.8.9.容量規(guī)劃........................................................19

5.8.10.................................................................................................................覆蓋規(guī)劃20

5.8.11.......................................................................................................SSID和漫游規(guī)劃20

5.8.12...............................................................................................................漫游規(guī)劃21

5.8.13.........................................................................................................業(yè)務(wù)帶寬規(guī)劃21

5.8.14.............................................................................................................可靠性規(guī)劃22

5.8.15.............................................................................................................平安性規(guī)劃26

5.9.網(wǎng)絡(luò)平安防護規(guī)劃........................................................32

5.9.1.網(wǎng)絡(luò)平安.........................................................32

5.9.2.威脅管理.........................................................32

5.9.3.網(wǎng)絡(luò)平安管理.....................................................32

5.9.4.網(wǎng)絡(luò)平安設(shè)計原則................................................32

5.9.5.網(wǎng)絡(luò)邊界防護規(guī)劃................................................33

5.10................................................................................................................網(wǎng)絡(luò)審計管控規(guī)劃34

5.10.1............................................................................................................行為管控需求34

5.10.2............................................................................................................網(wǎng)絡(luò)設(shè)計原則34

5.10.3............................................................................................................具體系統(tǒng)設(shè)計35

5.11...............................................................................................................網(wǎng)絡(luò)運維管理規(guī)劃36

5.11.1.................................................................................................................平安管理36

5.11.2.................................................................................................................拓撲管理36

5.11.3.................................................................................................................告警管理37

5.11.4.................................................................................................................性能管理38

5.11.5............................................................................................................效勞器管理38

5.11.6.................................................................................................................存儲管理39

5.11.7...........................................................................................................網(wǎng)絡(luò)設(shè)備管理41

5.11.8...................................................................................................................WLAN管理41

5.11.9................................................................................................................應(yīng)用管理43

6.方案價值....................................................................45

6.1.使用體驗極佳的網(wǎng)絡(luò).....................................................45

6.1.1.極致高速的網(wǎng)絡(luò)體驗..............................................45

6.1.2.無線全覆蓋，全網(wǎng)零漫游..........................................46

6.1.3.業(yè)務(wù)隨行的高體驗網(wǎng)絡(luò)............................................46

6.1.4.平安可靠的體驗網(wǎng)絡(luò)..............................................46

6.2.極簡維護管理的敏捷網(wǎng)絡(luò).................................................46

6.2.1.整網(wǎng)超級虛擬化，極致簡化日常運維管理工作.......................46

6.2.2.全網(wǎng)平安穩(wěn)定CSS2架構(gòu)，實現(xiàn)99.999%的穩(wěn)定性...................46

1.工程背景

XXX醫(yī)院是一所集醫(yī)療、教學(xué)、科研為一體的現(xiàn)代化中西醫(yī)結(jié)合的?？漆t(yī)院，由于醫(yī)院業(yè)務(wù)快速增長，規(guī)劃

在XX市東部建立分院區(qū)，初期規(guī)劃床位800張；需要依據(jù)新建分院建筑分布，樓層功能分布，信息節(jié)點分布、

應(yīng)用功能需求等情況建設(shè)一套符合XXX醫(yī)院信息化辦公的現(xiàn)代化數(shù)據(jù)交換網(wǎng)絡(luò)，滿足XXX醫(yī)院現(xiàn)在及未來5-10

年內(nèi)的業(yè)務(wù)規(guī)劃開展需要。

2.需求分析

根據(jù)XXX醫(yī)院現(xiàn)有業(yè)務(wù)要求及物理建筑分布狀態(tài)。要求新建信息化網(wǎng)絡(luò)符合以下幾點要求：

1、要求網(wǎng)絡(luò)分層、分區(qū)建設(shè)，便于以后網(wǎng)絡(luò)擴容及新增。

2、新建網(wǎng)絡(luò)涉及到有線與無線覆蓋，要求內(nèi)外網(wǎng)做邏輯隔離，可以靈活調(diào)整網(wǎng)絡(luò)到網(wǎng)絡(luò)、終端到資源的權(quán)

限控制。

3、要求采用萬兆骨干，千兆到桌面，保證數(shù)據(jù)交互的高帶寬要求。

4、針對外網(wǎng)移動辦公接入提供平安的專用接入點，便于移動辦公人員接入到內(nèi)網(wǎng)進行相應(yīng)工作的開展及信

息的獲取。

3.建設(shè)目標

根據(jù)XXX醫(yī)院上述幾點建設(shè)需求及新建醫(yī)院具體情況，結(jié)合相應(yīng)醫(yī)療信息化網(wǎng)絡(luò)的建網(wǎng)原則，提出以卜.建設(shè)

目標:

1、新建園區(qū)包括一橋門診樓，一棟住院樓。門診樓合計3層，每層15個診室，每層60個信息點位。住院部4

層，共計800張床位。門診樓及住院樓根據(jù)各樓層信息點分布情況，建設(shè)有線網(wǎng)絡(luò)。

2、網(wǎng)絡(luò)主體采用核心層-會聚層-接入層的三層網(wǎng)絡(luò)組網(wǎng)結(jié)構(gòu)，滿足萬兆骨干，千兆接入的建設(shè)標準。

3、針對效勞器區(qū)域單獨建設(shè)數(shù)據(jù)中心區(qū)域，數(shù)據(jù)中心區(qū)域放置會聚層交換機，采用千兆接入，萬兆上行。

4、考慮到無線醫(yī)療的應(yīng)用需求，針對住院樓做重點無線覆蓋。要求樓層內(nèi)移動實現(xiàn)零漫游,門診樓一樓大

廳處（300人）、掛號區(qū)（2*150人）做無線覆蓋，滿足排隊掛號及預(yù)約看病的無線上網(wǎng)需求。門診樓其

他區(qū)域（樓長80m）根據(jù)樓層情況在走廊處做無線覆蓋。無線覆蓋需根據(jù)場景選用適宜的設(shè)備。

5、有線無線網(wǎng)絡(luò)采用一張物理網(wǎng)絡(luò)，不僅要滿足內(nèi)部辦公需求，還要滿足病患及家屬的無線上網(wǎng)需求。因

此整體網(wǎng)絡(luò)需要針對內(nèi)部辦公人員，采用基于IP、VLAN等方式進行內(nèi)網(wǎng)及外網(wǎng)的隔離。針對無線網(wǎng)絡(luò)

需要基于SSID劃分用于內(nèi)部無線醫(yī)療的專用Work網(wǎng)絡(luò)及用于病患上網(wǎng)的Guest網(wǎng)絡(luò)。且在網(wǎng)路與網(wǎng)絡(luò)間，

網(wǎng)絡(luò)與內(nèi)部辦公資源及外部網(wǎng)絡(luò)資源需要有建設(shè)一套控制系統(tǒng)?？蓪Y源訪問做靈活的權(quán)限控制及等級

劃分。

6、由于互聯(lián)網(wǎng)的不平安性，需要在網(wǎng)絡(luò)出口處部署防火墻等平安設(shè)備，做網(wǎng)絡(luò)整體的平安防護。

7、由于公安82號令要求，針對公開性場所的無線網(wǎng)絡(luò)接入，建設(shè)一套上網(wǎng)行為審計設(shè)備，對網(wǎng)內(nèi)人員的上

網(wǎng)行為做審計及記錄。

8、針對在外出差或辦公人員，建設(shè)VPN系統(tǒng)，提供專有的平安YPN通道滿足移動辦公的應(yīng)用需求。

4.建設(shè)思想

1、由于本次XXX醫(yī)院網(wǎng)絡(luò)建設(shè)涵蓋有線和無線覆蓋，且有線和無線網(wǎng)絡(luò)共用基礎(chǔ)硬件，不做物埋別離，因

此建議采用華為敏捷網(wǎng)絡(luò)有線無線一體化解決方案。通過利用華為敏捷交換機的無線融合特性，即作為

有線網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)核心節(jié)點，同時又做為無線網(wǎng)絡(luò)的核心控制及轉(zhuǎn)發(fā)節(jié)點，做到有線無線的深度一體

化融合，不用再單獨建設(shè)和部署兩套網(wǎng)絡(luò)，即減輕了運維人員壓力，又提高了各層次設(shè)備的利用率，保

證用戶的資金投入。

2、由于無線網(wǎng)絡(luò)的公開性及審計需求特性，建議對開放性無線網(wǎng)絡(luò)采用基于短信的認證方式，確保網(wǎng)絡(luò)接

入的實名制原則，在網(wǎng)內(nèi)出現(xiàn)發(fā)送或上傳非法內(nèi)容或言論時，結(jié)合上網(wǎng)行為審計設(shè)備，基于日志記錄進

行溯源。

3、考慮到內(nèi)網(wǎng)平安性，在網(wǎng)路出口區(qū)域部署平安防火墻，對進出網(wǎng)數(shù)據(jù)流做平安檢查及過謔，保護內(nèi)部網(wǎng)

絡(luò)不受來自互聯(lián)網(wǎng)的平安威脅及惡意攻擊。

4、針對無線網(wǎng)絡(luò)覆蓋，結(jié)合應(yīng)用場景采用不同的產(chǎn)品及組網(wǎng)方案，實現(xiàn)全網(wǎng)無縫無死角的無線覆蓋，實現(xiàn)

網(wǎng)內(nèi)的任意無縫漫游。針對住院部，由于其房間密集特性，又要求無線漫游的切換時間及無線信號的覆

蓋強度及穩(wěn)定性，采用華為敏捷分布式無線覆蓋組網(wǎng)方案。通過中心AP+敏分單元的方式，單AP下可最

多覆蓋48個房間。針對門診大廳及掛號區(qū)的場景，屬于高密覆蓋場景，小范圍內(nèi)并發(fā)要求高，因此采用

華為的高密型無線AP進行型號覆蓋。針對傳統(tǒng)走廊的覆蓋場景，則采用放裝AP的方式在走廊吊頂處或墻

壁處進行無線AP的安裝，對走廊及相鄰房間進行無線的信號覆蓋，且通過統(tǒng)一SSID的方式實現(xiàn)樓層內(nèi)及

樓層間移動時的無縫漫游需求，保證信號連接的持續(xù)性及穩(wěn)定性。

5、對于醫(yī)院內(nèi)部網(wǎng)絡(luò)，針對不同部門，不同職級，資源類型，定義不同的平安及資源組。結(jié)合華為敏捷網(wǎng)

絡(luò)的業(yè)務(wù)隨行解決方案，做到業(yè)務(wù)隨行，，策略隨身。在初期進行策略及權(quán)限劃分時，一鍵式全網(wǎng)部署，

下發(fā)策略。辦公人員不管移動到醫(yī)院內(nèi)任何一個位置節(jié)點，不管是通過有線網(wǎng)絡(luò)或者無線網(wǎng)絡(luò)，都擁有

一致的網(wǎng)絡(luò)訪問及使用權(quán)限，同時還可以基于角色進行接入帶寬的分配及管控。

6、為保證網(wǎng)絡(luò)的健壯性、可升級性及易擴容特性，網(wǎng)絡(luò)采用模塊化的三層網(wǎng)絡(luò)結(jié)構(gòu)建設(shè)，由于核心層的重

要性，針對核心層采用雙機冗余部署，結(jié)合華為CSS2集群方案，實現(xiàn)設(shè)備的橫向虛擬化。且快達21Hs

的跨板時延、高達320G的橫向虛擬化帶寬、N+1的主控備份方式、獨立專用的集群網(wǎng)版，保證核心節(jié)點

的可靠性及快速的數(shù)據(jù)交換特性。

7、為減輕運維人員的運維壓力，建議采用華為敏捷網(wǎng)絡(luò)的SV7全網(wǎng)虛擬化解決方案，實現(xiàn)從核心+會聚+接

入+AP的全網(wǎng)融合虛擬化。金網(wǎng)設(shè)備虛擬化后對外呈現(xiàn)一個邏輯的管理節(jié)點，通過一個早點可實現(xiàn)整網(wǎng)

設(shè)備的配置管理及業(yè)務(wù)下發(fā)。會聚及接入節(jié)點只相當于核心節(jié)點的一塊普通業(yè)務(wù)板卡，AP經(jīng)虛擬化融合

后相當于核心節(jié)點的一個普通業(yè)務(wù)端口。

8、為便于無線及有線的可視化運維，在網(wǎng)絡(luò)發(fā)生問題和故障時，運維人員能第一時間收到郵件或者短信提

醒，并通過運維管理系統(tǒng)快速的定位鼓掌源頭，依據(jù)相關(guān)修復(fù)建議實現(xiàn)網(wǎng)絡(luò)的快速恢復(fù),特別是無線網(wǎng)

絡(luò)，通過一鍵式診斷，判斷無線登陸失敗節(jié)點的故障原因，極大的減輕了運維人員的工作壓力，提高運

維人員的工作效率。

5.XXX醫(yī)院網(wǎng)絡(luò)總體建設(shè)規(guī)劃

5.1.網(wǎng)絡(luò)規(guī)劃拓撲圖

遠程辦公終翦

stwAh

ls

中

心

區(qū)

魚

5.2.基礎(chǔ)敏捷網(wǎng)絡(luò)建設(shè)規(guī)劃

5.2.1.網(wǎng)絡(luò)設(shè)計原則

醫(yī)療網(wǎng)絡(luò)通常是一種用戶高密度的非運營網(wǎng)絡(luò)，在有限的空間內(nèi)聚集了大量的終端和用戶。同時對于醫(yī)療網(wǎng)

絡(luò)而言，注重的是網(wǎng)絡(luò)的簡單可靠、易部署、易維護。因此在網(wǎng)絡(luò)中，拓撲結(jié)構(gòu)通常以星型結(jié)構(gòu)為主，較少使用

環(huán)網(wǎng)結(jié)構(gòu)（環(huán)網(wǎng)結(jié)構(gòu)較多的運用在運營商的城域網(wǎng)絡(luò)和骨干網(wǎng)絡(luò)中，可以節(jié)約光纖資源）。

基于星型結(jié)構(gòu)的園區(qū)網(wǎng)設(shè)計，通常遵循如下原則：

1、層次化

籽網(wǎng)絡(luò)劃分為核心層、會聚層、接入層。每層功能清晰，架構(gòu)穩(wěn)定，易于擴展和維護。

2、模塊化

將網(wǎng)絡(luò)中的每個部門或者每個功能區(qū)劃分為一個模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進行問題定位。

3、冗余性

關(guān)鍵設(shè)備采用雙節(jié)點冗余設(shè)計；關(guān)鍵鏈路采用Trunk方式冗余備份或者負載分擔：關(guān)鍵設(shè)備的電源、主控板

等關(guān)鍵部件冗余備份。提高了整個網(wǎng)絡(luò)的可靠性。

4、平安隔離

網(wǎng)絡(luò)應(yīng)具備有效的平安控制。按業(yè)務(wù)、按權(quán)限進行分區(qū)邏輯隔離，對特別重要的業(yè)務(wù)采取物理隔離。

5、可管理性和可維護性

網(wǎng)絡(luò)應(yīng)當具有良好的可管理性。為了便于維護，應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品。

5.2.2.總體網(wǎng)絡(luò)架構(gòu)

網(wǎng)絡(luò)的邏輯架構(gòu)如下列圖所示，包括五大局部。

1、終端層

包含網(wǎng)內(nèi)的各種終端設(shè)備，例如PC、筆記本電腦、打印機、傳真、POTS話機、SIP話機、手機、攝像

頭等。

2、接入層

負責將各種終端接入到網(wǎng)絡(luò)，通常由以太網(wǎng)交換機組成。對于某些終端，可能還要增加特定的接入設(shè)備，

例如無線接入的AP設(shè)備、POTS話機接入的IAD等。

3、會聚層

會聚層將眾多的接入設(shè)備和大量用戶經(jīng)過一次會聚后再接入到核心層，擴展核心層接入用戶的數(shù)量。會

聚層通常還作為用戶三層網(wǎng)關(guān)，承當L2/L3邊緣設(shè)備的角色，提供用戶管理、平安管理、QoS（Quality

ofService）調(diào)度等各項跟用戶和業(yè)務(wù)相關(guān)的處理。

4、核心層

核心層負責整個網(wǎng)絡(luò)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。核心網(wǎng)絡(luò)需要實現(xiàn)帶寬的高利用率和網(wǎng)絡(luò)故

障的快速收斂。

5、網(wǎng)絡(luò)出口

網(wǎng)絡(luò)出口是園區(qū)網(wǎng)絡(luò)到外端公網(wǎng)的邊界，內(nèi)部用戶通過邊緣網(wǎng)絡(luò)接入到公網(wǎng)，外部用戶（包括合作伙伴、

分支機構(gòu)、遠程用戶等)也通過邊緣網(wǎng)絡(luò)接入到內(nèi)部網(wǎng)絡(luò)。

6、數(shù)據(jù)中心區(qū)

部署效勞器和應(yīng)用系統(tǒng)的區(qū)域。為內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用效勞。

7、DMZ(DemilitarizedZone)區(qū)

通常公用效勞器部署于該區(qū)域，為外部訪客(非職工)提供相應(yīng)的訪問業(yè)務(wù)，其平安性受到嚴格控制。

8、網(wǎng)絡(luò)管理區(qū)

對網(wǎng)絡(luò)、效勞器、應(yīng)用系統(tǒng)進行管理的區(qū)域。包括故障管理、配置管理、性能管理、平安管理等。

5.2.3.物理組網(wǎng)規(guī)劃

核心區(qū)域建議采用網(wǎng)絡(luò)出口、核心層、會聚層和接入層的架構(gòu)模型，具有如下的優(yōu)勢：

>層次化設(shè)計：核心層、會聚層、接入層，每層功能清晰，架構(gòu)穩(wěn)定，易于擴展和維護。

>模塊化設(shè)計：每一個模塊一個部門，部門內(nèi)部調(diào)整涉及范圍小，定位問題也容易。

>冗余性設(shè)計：雙節(jié)點冗余性設(shè)計，適當?shù)娜哂嘈蕴岣呖煽啃裕^度的冗余不便于運行維護。

>對稱性設(shè)計：網(wǎng)絡(luò)的對稱性便于業(yè)務(wù)部署，拓撲直觀，便于設(shè)計和分析。

5.2.4.網(wǎng)絡(luò)出口規(guī)劃

網(wǎng)絡(luò)出口指醫(yī)院接入廣域網(wǎng)和Internet的出口，出口的主要功能是外部的互訪，出差職工的訪問。

Internet網(wǎng)絡(luò)的平安性低、可靠性低、費用低，WAN平安性高、可靠性高、費用高。為保證WAN/Internet

鏈路的高可靠性，可申請兩條鏈路，實現(xiàn)冗余備份，也可以WAN作為主用鏈路，Internet作為冬份鏈路。

出口網(wǎng)關(guān)需要配置防火墻、IPS等，根據(jù)不同的平安性要求和投資規(guī)模選擇平安部件.

5.2.5.核心層設(shè)計規(guī)劃

核心層部署醫(yī)院的核心設(shè)備，連接所有的會聚交換機，轉(zhuǎn)發(fā)各個樓層的流量。

核心層需要采用全連接結(jié)構(gòu)，保持核心層設(shè)備的配置盡量簡單。核心層設(shè)備需要具有高帶寬、高轉(zhuǎn)發(fā)性能，

否則將無法支撐醫(yī)院內(nèi)外部的業(yè)務(wù)流量。

核心層采用華為S12708敏捷交換機，使用CSS2(ClusterSwitchSystem)技術(shù)，將兩臺交換機從邏輯上

整合成一臺交換機。這種技術(shù)支持主控1+N備份，集群系統(tǒng)中只要保證任意一框的一個主控板運行正常，多框

業(yè)務(wù)即可穩(wěn)定運行。相對于傳統(tǒng)業(yè)務(wù)口集群系統(tǒng)，每個框至少要有一塊主控單元運行正常的限制。通過集群+堆

疊的無環(huán)網(wǎng)絡(luò)方案保障網(wǎng)絡(luò)可靠，再通過設(shè)備本身99.999%的電信級可靠綜合保隙校園網(wǎng)應(yīng)用的穩(wěn)定運行。

S12708敏捷交換機的業(yè)務(wù)板卡直接融合AC功能,可以對網(wǎng)絡(luò)中的AP進行管控,實現(xiàn)有線無線深度融合接入、

轉(zhuǎn)發(fā)、管理。

5.2.6.會聚層設(shè)計規(guī)劃

會聚層是部門的核心，轉(zhuǎn)發(fā)部門用戶間的“橫向”流量。同時提供到核心層的“縱向”流量。對接入層隱藏

核心層，作為網(wǎng)絡(luò)的配線架，將大量用戶接入到互聯(lián)的網(wǎng)絡(luò)中，擴展核心層設(shè)備接入用戶的數(shù)量。

會聚層需要雙歸到核心層并支持接入層的雙歸接入。通常會聚層承當著L2/L3邊緣的角色，輻要具有高帶寬、

高端口密度、高轉(zhuǎn)發(fā)性能等特點，用于支撐該會聚層下各部門之間的流量。

5.2.7.接入層設(shè)計規(guī)劃

接入層是最靠近用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，是終端接入網(wǎng)絡(luò)的第一層，一般部署二層設(shè)備，歸

屬到會聚層交換機。接入層除了需要部署豐富的二層特性外，還需要部署平安、可靠性等相關(guān)功能。

接入層需要具有高端口密度，以支持更多的終端接入網(wǎng)絡(luò)。

接入層交換機使用逐tack(IntelligentStack)技術(shù)，將多臺交換機從邏輯上整合成一臺交換機。這樣既

簡化了配置和管理，又提高了網(wǎng)絡(luò)的可靠性和擴展能力。

5.2.8.可靠性設(shè)計規(guī)劃

對于雙設(shè)備、鏈路冗余的網(wǎng)絡(luò)，如果接入層進三層，在接入層和核心層之間采用三層路由的方式，通過等價

路徑再輔助部署B(yǎng)FD(BidirectionalForwardingDetection)快速檢測故障,就能夠保證鏈路故障、設(shè)備故障

的快速切換,同時也能夠充分利用冗余鏈路。

更多的組網(wǎng)方式是在會聚層進三層，這樣就需要解決接入層和會聚層之間二層流量的環(huán)路問題。傳統(tǒng)的方案

是STP+VRRP的方案。該方案通過阻塞某些鏈路的轉(zhuǎn)發(fā)實現(xiàn)二層破環(huán)，雖然該方案采用了標準的協(xié)議，支持多個

廠家設(shè)備的混合組網(wǎng)，但是其缺點也是顯而易見的：

?收斂時間

傳統(tǒng)的STP(SpanningTreeProtocol)技術(shù)收斂速度慢,在故障發(fā)生時,故障收斂時間＞10秒；雖然采用

RSTP進行優(yōu)化，但收斂時間任是秒級，秒級的業(yè)務(wù)中斷，會導(dǎo)致較差的用戶體驗。

?鏈路利用率低

如果同一機架內(nèi)的效勞器屬于同一VLAN,則有一個上行鏈路的帶寬無法利用。帶寬利用率只有50%；雖然

MSTP基于VLAN進行優(yōu)化，但不能從根本上解決問題。

?配置維護好雜，網(wǎng)絡(luò)故障率高

每個接入交換機和會聚交換機都需要運行STP協(xié)議，隨著接入交換機的增加，交換機需要處理的STP也越來

越復(fù)雜，會導(dǎo)致可靠性問題。

我們推昔采用集群+堆疊的無環(huán)網(wǎng)絡(luò)方案來解決上面的這些缺陷.核心采用兩臺框式交換機集群.接入層采

用盒式交換機，盒式交換機每兩臺值疊。接入層交換機和核心/會聚層交換機間的鏈路進行鏈路捆綁。

這個方案有四大優(yōu)勢：

?簡化管理和配置

首先，集群和堆疊技術(shù)將需要管理的設(shè)備節(jié)點減少一半以上。

其次，組網(wǎng)變得簡潔不需要配置復(fù)雜的協(xié)議，如：STP/SmarlLink/V'RRP等。

快速的故障收斂

鏈路故障收斂時間可以控制在GOms,大大降低了網(wǎng)絡(luò)鏈路/節(jié)點的故障對業(yè)務(wù)的影響。

?帶寬利用率高

采用鏈路Trunk的方式，帶寬利用率可以到達100乳

?擴容方便、保護投資

隨著業(yè)務(wù)的增加，當用戶遂行網(wǎng)絡(luò)升級時，只需要增加新設(shè)備，而不需要更改網(wǎng)絡(luò)配置，平滑擴容，很

好的保護了投資。

該方案極大提高了可靠性，以單鏈路故障率為1小時/I千小時為例，增加到兩條鏈路，就可以將故障率降

低到3.6秒/I千小時，可靠性從3個9提高到6個9。

可靠性的另一個重要方面是設(shè)備可靠性，核心區(qū)設(shè)備一般為樞式設(shè)備，在可靠性方面的要求包括：

?支持主控單元的備份

?支持電源模塊的備份

?支持模塊化的風扇設(shè)計，支持單風扇失效

?支持所有模塊的熱插拔

5.2.9,平安性設(shè)計規(guī)劃

核心層與網(wǎng)絡(luò)出口部署防火墻設(shè)備，主要解決如下幾個平安問題：

?網(wǎng)內(nèi)、外網(wǎng)之間的訪問控制，實現(xiàn)內(nèi)、外網(wǎng)的平安隔離。

?分支與內(nèi)網(wǎng)的訪問控制，實現(xiàn)分支和內(nèi)網(wǎng)業(yè)務(wù)的平安隔離。

?出差職工與效勞器區(qū)的訪問控制，實現(xiàn)出差職工與內(nèi)網(wǎng)的平安隔離。

合作伙伴/訪客與效勞器的訪問控制，實現(xiàn)合作伙伴/訪客與內(nèi)網(wǎng)的平安隔離。

5.3.遠程訪問規(guī)劃

遠程訪問在網(wǎng)絡(luò)最重要的兩個場景，一個是與分支或總部的整體網(wǎng)絡(luò)互聯(lián)互通，一個是個體用戶因為出差或

者其他原因，需要在外網(wǎng)訪問內(nèi)網(wǎng)的資源或者辦公系統(tǒng)。VPN設(shè)備是一個非常具有性價比的平安解決方案。其易

用性，平安性在全球的各個行業(yè)環(huán)境中都得到了使用。

在本方案中，通過利用USG下一代防火墻的VPN特性，建設(shè)院區(qū)之間與提供外部用戶平安遠程訪問的平臺。

利用互聯(lián)網(wǎng)的資源實現(xiàn)靈活VPN組網(wǎng)一般有IPSecVPN和SSLVPN兩種方式。

IPSecVPN

IPSec(IPSecurity)是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證，以保證

數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私有性、完整性和真實性。

IPSoc協(xié)議有兩種工作模式：隧道模式和傳輸模式。在隧道模式下，IPS"將整個原始IP數(shù)據(jù)包放入一個新

的IP數(shù)據(jù)包中，這樣每一個1P數(shù)據(jù)包都有兩個IP包頭：外部IP包頭和內(nèi)部IP包頭v外部IP包頭指定將對

IP數(shù)據(jù)包進行IPSec處理的目的地址，內(nèi)部IP包頭指定原始IP數(shù)據(jù)包最終的目的地址。IP包的源地址和目的

地址都被隱藏起來，使IP包能平安地在網(wǎng)上傳送。其最大優(yōu)點在于終端系統(tǒng)不必為了適應(yīng)IP平安而作任何改動。

隧道模式既可以用于兩個主機之間的IP通信，又可以用于兩個平安網(wǎng)關(guān)之間或一個主機與一個平安網(wǎng)關(guān)之間的

IP通信。

在傳輸模式下，要保護的內(nèi)容是1P包的載荷，在IP包頭之后和傳輸層數(shù)據(jù)字段之前插入IPSec包頭（AH

或ESP或二者同時），原始的IP包頭未作任何修改，只對包中的凈荷（數(shù)據(jù)）局部進行加密。由于傳輸模式的IP

包頭暴露在外，因而容易遭到攻擊。傳輸模式常用于兩個終端節(jié)點間的連接，如客戶機和效勞器之間。

IPSec定義了一套用于認證、保護私有性和完整性的標準協(xié)議。它支持一系列加密算法如DES、3DES；檢查

傳輸數(shù)據(jù)包的完整性，以確保數(shù)據(jù)沒有被修改。IPS*可用來在多個防火墻和效勞器之間提供平安性，確保運行

在TCP/IP協(xié)議上的VPN之間的互操作性。

SSLVPN

SSLVPN是以SSL/TLS協(xié)議為基礎(chǔ)，利用標準瀏覽器都內(nèi)置支持SSL/TLS的優(yōu)勢，對其應(yīng)用功能進行擴展的

新型VPNo

SSL協(xié)議最初是由Netscape公司開發(fā)，用于保護web通信平安。到目前為止，SSLv3和TLS1.0（也被成為

SSLv3.1）得到了廣泛的應(yīng)用，2006年IETF推出了TLS1.1協(xié)議（RFC4346）,2006年IETF推出了TLSF2（RFC5246）

并在2011年對其進行了修正（RFC6176）。隨著SSL協(xié)議的不斷完善，包括微軟IE在內(nèi)的愈來愈多的瀏覽器支持

SSL,SSL協(xié)議成為應(yīng)用最廣泛的平安協(xié)議之一。

SSL協(xié)議分為兩層，上層是握手協(xié)議，底層是記錄協(xié)議。SSL握手協(xié)議主要完成客戶端與效勞器之間的相互

認證，協(xié)商加密算法與密鑰。在握手協(xié)議中，認證可以是雙向的，協(xié)商密鑰的過程是可靠的，協(xié)商得到的密鑰是

平安的。SSL記錄協(xié)議建立在可靠的傳輸協(xié)議之上，主要完成數(shù)據(jù)的加密和鑒別。通過對稱密碼算法確保了數(shù)據(jù)

傳輸?shù)臋C密性，通過HMAC算法確保數(shù)據(jù)傳輸過程的完整性。

由此可見，SSL協(xié)議從以下方面確保了數(shù)據(jù)通信的平安：

認證一在建立SSL連接之前，客戶端和效勞器之間需要進行認證，認證采用數(shù)字證書，可以是客戶端對效

勞器的認證，也可以是雙方進行雙向認證。

機密性一采用加密算法對需要傳輸?shù)臄?shù)據(jù)進行加密。

完整性一采用數(shù)據(jù)鑒別算法驗證所接收的數(shù)據(jù)在傳輸過程中是否被修改。

除了web訪問、TCP/UDP應(yīng)用之外，SSLVPN還能夠?qū)P通信進行保護。在保證通信平安性的基礎(chǔ)上，SSLVPN

實現(xiàn)了更加細致的訪問控制能力，大大增強了對內(nèi)網(wǎng)的平安保護。同時，SSLVPN通信基于標準TCP/IP,因而不

受NAT限制，能夠穿越防火墻，使用戶在任何地方都能夠通過SSLVPN網(wǎng)關(guān)代理訪問內(nèi)網(wǎng)資源，使得遠程平安接

入更加靈活簡單。另外，使用SSLVPN訪問B/S應(yīng)用時不需要安裝任何客戶端軟件，只要用標準的瀏覽器就可以

實現(xiàn)對內(nèi)網(wǎng)資源的訪問，省去了客戶端的繁瑣的維護和支持工作，不僅極大地解放了TT管理員的時間和精

力，更提高了遠程接入人員（如出差員工）的工作效率，節(jié)省了企業(yè)的培訓(xùn)和IT效勞費用；同時，也意味著遠

程用戶在進行遠程訪問時不會再受到地域的限制，不管是在公共網(wǎng)吧或是在商業(yè)合作伙伴那里，甚至是隨手借一

臺筆記本，只要有網(wǎng)絡(luò)，遠程訪問就沒問題。

54.有線無線融合規(guī)劃

傳統(tǒng)網(wǎng)絡(luò)中常見的無線部署方式有獨立AC或插卡式AC,不管采用哪種，所有無線流量都要通過AC集中轉(zhuǎn)

發(fā)，有線和無線網(wǎng)絡(luò)在轉(zhuǎn)發(fā)和控制層面上是別離的。隨著802.llac時代的到來和智能終端設(shè)備的普及，網(wǎng)絡(luò)中

存在手持智能手機、Pad、便攜等多種設(shè)備高速上網(wǎng)，AC設(shè)備由于轉(zhuǎn)發(fā)能力、端口各方面的限制將逐漸成為流量

瓶頸。因而有線和無線網(wǎng)絡(luò)如果想要獲得一致的使用和管理體驗，不能僅僅依靠目前常見的AC插卡式整合部署

的方式，還需要在此基礎(chǔ)之上向深度融合演進。

在本部署方案中采用敏捷交換機12700的有線無線融合理念實現(xiàn)有線無線流量深度融合，具體包括：

融合轉(zhuǎn)發(fā)：敏捷交換機支持隨板AC功能，有線無線流量都直蚤在交換機處理，報文轉(zhuǎn)發(fā)行為一致，不存在

AC集中后再通過有線轉(zhuǎn)發(fā)的情況，消除無線流量瓶頸限制，整機轉(zhuǎn)發(fā)能力能到達Tbit,學(xué)校不需要單獨購置AC

設(shè)備或者插卡，既解決了節(jié)省了投資又減少了故障點。

融合管理：借鑒業(yè)界AC管理AP的成功經(jīng)驗，讓敏捷交換機把接入層交換機也管理起來，有線無線采用一種

協(xié)議，通過CAP見AP隧道實現(xiàn)一致的管理機制，實現(xiàn)接入交換機即誦即用，降低信息中心老師日常工作中的管理

復(fù)雜度。

5.5.業(yè)務(wù)隨行規(guī)劃

業(yè)務(wù)隨行是敏捷網(wǎng)絡(luò)中一種能夠滿足不管用戶身處何地、使比哪個1P地址，都可以保證該用戶獲得相同的

網(wǎng)絡(luò)訪問策略的解決方案。

在網(wǎng)絡(luò)中，為實現(xiàn)用戶不同的網(wǎng)絡(luò)訪問需求，可在接入設(shè)備上為用戶部署不同的網(wǎng)絡(luò)訪問策咯。但隨著企業(yè)

網(wǎng)絡(luò)移動化、BY0D等技術(shù)的應(yīng)用，月戶的物理位置以及IP地址變化愈加頻繁，這就使得原有基于物理端口、IP

地址的網(wǎng)絡(luò)控制方案很難滿足用戶網(wǎng)絡(luò)訪問體驗一致性的需求（譬如網(wǎng)絡(luò)訪問權(quán)限不隨用戶物理位置變化而變

化）。

在傳統(tǒng)網(wǎng)絡(luò)中，當用戶的物理位置發(fā)生變化時，為保證用戶的網(wǎng)絡(luò)訪問體驗一致，管理員需要在用戶的每個

接入設(shè)備上為其部署相同的網(wǎng)絡(luò)訪問策略，這在用戶物理位置變更頻繁時會給管理員帶來巨大的工作量。而在敏

捷網(wǎng)絡(luò)中，通過業(yè)務(wù)隨行方案，管理員僅需在控制器上統(tǒng)一為用戶部署網(wǎng)絡(luò)訪問策略，然后將其下發(fā)到所有關(guān)聯(lián)

的接入設(shè)備即可滿足不管用戶的物理位置以及IP地址如何變化，都可以使其獲得相同的訪問策略。

業(yè)務(wù)隨行通過在網(wǎng)關(guān)設(shè)備上統(tǒng)一管理用戶的訪問策略，并且在網(wǎng)關(guān)設(shè)備和接入設(shè)備執(zhí)行用戶的訪問策略，來

解決網(wǎng)絡(luò)中策略強度與復(fù)雜度之間矛盾的一種解決方案。

控制設(shè)備和接入設(shè)備之間使用CAPAndProvisioningofWirelessAccessPoints）通道建立連接。并且，

通過CAPWAP通道完成控制設(shè)備和接入設(shè)備之間的用戶關(guān)聯(lián)、消息通信、用戶授權(quán)策略下發(fā)、用戶同步等處理。

BOZlxporta隊1Z8021x088021xtZ毛等本腳證

PC/LaptopIPPhoneTC打印機/克瑞

5.6.SVF全網(wǎng)虛擬化規(guī)劃

傳統(tǒng)網(wǎng)絡(luò)多采用樹狀分層結(jié)構(gòu)，分為核心、會聚、接入三層，其中核心/會聚層多采用橫向集群，接入交換

機數(shù)量龐大.

本部署方案旨在通過SVF超級虛擬交換網(wǎng)，將整個網(wǎng)絡(luò)虛擬化為一臺設(shè)備，霎現(xiàn)將盒式交換機虛擬為核心敏

捷交換機的板卡，將AP虛擬為核心敏捷交換機的無線端口，使得原來“核心/會聚+接入交換機+AP”的校園網(wǎng)絡(luò)

架構(gòu)，虛擬化為一臺設(shè)備，整個網(wǎng)絡(luò)成為“OneBox",從而最大程度簡化運維人員的日常運維工作，同時降低

多協(xié)議應(yīng)用下的網(wǎng)絡(luò)配置、運行復(fù)雜度，提升網(wǎng)絡(luò)可靠性。

5.7,用戶接入認證規(guī)劃

5.7.1.有線用戶接入

（1）接入交換機配置端口隔離，每個接入交換機配置一個VLAN,VLAN編號可以重復(fù)。

（2）S12700做為用戶網(wǎng)關(guān)，Portal用戶上線到后DHCP效勞器給用戶分配IP地址，在通過認證之前用戶只

能訪問認證前域的效勞器，用戶的第一個HTTP報文進行重定向到Porlal效勞器，實現(xiàn)WEB認證：認證通過后允

許用戶訪問認證后域。

（3）S127作為用戶網(wǎng)關(guān)，IX用戶直接到第三方AAA效勞器進行用戶名和密碼認證。

（4）有線用戶的互訪都需要通過S12700進行流量轉(zhuǎn)發(fā)。

5.7.2.無線用戶接入

S12700內(nèi)置硬件隨板『bitAC,并支持統(tǒng)一用戶管理功能，更敏捷地實現(xiàn)了豐富的業(yè)務(wù)特性。

S12700內(nèi)置硬件隨板T-bitAC,可節(jié)省用戶額外購置AC硬件的費用。此外，S12700內(nèi)置硬件隨板T-bitAC

突破外置AC處理性能的瓶頸，沉著面向高速無線時代。

S12700支持統(tǒng)一用戶管理功能，屏蔽了接入層設(shè)備能力和接入方式的差異。S12700不僅支持

802.IX/MAC/Portal等多種認證方式，還支持對終端進行分組/分域/分時的管理，使終端、業(yè)務(wù)可視可控，實現(xiàn)

了從“以設(shè)備管理為中心〃到“以用戶管理為中心”的飛躍。

交換機配套X1E接口板，可以部署WLANAC功能，集中管理大量的AP,對海量用戶提供Wi-Fi接入效勞。

AC通過CAPWAP協(xié)議報文管理和控制AP,而X1E接LI板可以處理CAPWAP報文，所以組網(wǎng)時，需要保證AP的報文

流量通過X1E接口板進入交換機。

5.8.無線網(wǎng)絡(luò)建設(shè)規(guī)劃

5.8.1.無線醫(yī)療簡介

當代社會，人口快速增K、老齡化趨勢加快、生態(tài)環(huán)境惡化，人們對健康生活渴望愈加強烈，多方面因素不

可防止地對醫(yī)療信息化提出了越來越高的要求。醫(yī)療單位也步入了以效勞患者為中心的數(shù)字化醫(yī)療開展階段。在

此過程中，隨著移動技術(shù)日新月異地改變?nèi)藗兊纳罘绞剑?'無線醫(yī)療〃也成為近兩年醫(yī)療行業(yè)最關(guān)注的信息化

技術(shù)和手段。

目前大局部三甲醫(yī)院已經(jīng)建立了比較完備的的醫(yī)療信息系統(tǒng)（如HIS、PACS等），醫(yī)護人員可以通過有線網(wǎng)

絡(luò)來訪問、修改、輸入患者信息、診斷報告和治療方案，但在使用過程中發(fā)現(xiàn)，由于有線網(wǎng)絡(luò)存在信息點固定的

局限性，制約了系統(tǒng)發(fā)揮更大的作莊。無線網(wǎng)絡(luò)的應(yīng)用將徹底打破了這一局限。無線網(wǎng)絡(luò)在醫(yī)院的應(yīng)用主要集中

在以下幾方面：

?移動查房

醫(yī)生查房的過程中，需要隨時調(diào)取患者的診療記錄或病史等信息，并根據(jù)患者當時的具體病情隨時下醫(yī)囑。

無線網(wǎng)絡(luò)的應(yīng)用，可以使醫(yī)生通過隨身攜帶的平板電腦或PDA,隨時查看病人病歷、檢驗、化驗報告單、影像圖

等,把HIS、PACS等信息系統(tǒng)“延伸到床邊〃，醫(yī)生在病人床邊即可采集病情、開出醫(yī)囑，以及實現(xiàn)醫(yī)護人員之

間的便捷溝通，信息同步；給醫(yī)生工作帶來便利的同時，也保證了醫(yī)囑和病歷的準確性、實時性，讓患者享受

到更滿意的健康效勞；

?無線護理

患者從就診到得到治療通常需要經(jīng)過3個步驟：醫(yī)生檢查患者得出初步診斷后開具醫(yī)囑，護士將醫(yī)囑轉(zhuǎn)抄到

輸液袋或治療卡上并準備執(zhí)行，護士實施治療方案。這3個環(huán)節(jié)的每一步都至關(guān)重要。

隨著無線網(wǎng)絡(luò)技術(shù)、用戶身份識別技術(shù)與醫(yī)用推車、小型電腦、PDA的結(jié)合，能夠?qū)崿F(xiàn)方便的移動護理，對

醫(yī)囑執(zhí)行過程中的每一步進行實時檢查和確認，切實提高醫(yī)療質(zhì)量和醫(yī)護效率。

?資產(chǎn)管理

醫(yī)療設(shè)備不僅是開展醫(yī)療.、教學(xué)、科研的必備條件，而且是提高醫(yī)療質(zhì)量的物資基礎(chǔ)和先決條件。一般醫(yī)療

單位的醫(yī)療設(shè)備約占醫(yī)院固定資產(chǎn)的1/2,而經(jīng)濟效益約占門診和住院病人資金收入的2/3,也是醫(yī)院產(chǎn)生醫(yī)療

信息的主要來源?；赪LAN技術(shù)和射頻技術(shù)（RFID）,不僅可以實現(xiàn)貴重資產(chǎn)的精確定位、實時跟蹤，同時可實

現(xiàn)移動性的資產(chǎn)出入庫、資產(chǎn)盤點筆功能

?特殊病人管理

特殊人群管理包括母嬰管理，精神病人、突發(fā)病患者、殘疾病人等特殊人群管理：這類群體不具備自我管理

能力，需要醫(yī)療單位給予更加完善、細致的照顧。結(jié)合WLAN技術(shù)和射頻識別技術(shù)，可以實現(xiàn)實時位置信息查詢、

緊急情況告警、醫(yī)院特殊重地管理、平安范圍界定等，提高醫(yī)院管理水平。

?無線輸液

門診輸液工作量大，業(yè)務(wù)繁忙瑣碎，一旦出現(xiàn)過錯，有可能危及病人生命平安；基于WLAN技術(shù)的無線輸液

管理系統(tǒng)可以解決在門診場地有限、人員流動性大的場合病人輸液難題。輸液信息電子化，結(jié)合“病人腕帶”、

具備掃描功能的無線PDA,實現(xiàn)病人從入院、治療到出院全過程的身份確定，并在取藥、配藥、輸液等各個環(huán)節(jié)

利用電子條碼對病人、藥物嚴格進行驗證匹配，醫(yī)護人員一目了然，最大程度上保證病人服藥及治療的平安，降

低醫(yī)療過錯發(fā)生率。

?方便患者就診

門診排隊、就醫(yī)環(huán)境差是目前醫(yī)院普遍存在的問題，減少就診等待時間，提高診治效率成為當務(wù)之急。無線

網(wǎng)絡(luò)部署后，醫(yī)生可以通過平板電腦或者PDA,將接診或等待的患者數(shù)量信息實施傳送到前臺分診人員處，方便

分診人員及時調(diào)配資源；同時在公共局域開放的無線網(wǎng)絡(luò)，可以提供應(yīng)病人上網(wǎng)，并推送醫(yī)院電子地圖和推送就

診指導(dǎo)信息，緩解病人情緒，提升患者滿意度。

5.8.2.無線醫(yī)療的總體需求

隨著醫(yī)院信息化的開展、網(wǎng)絡(luò)中所承載內(nèi)容的變化、新的接入方式的成熟。現(xiàn)代WLAN無線醫(yī)院的需求概括

為如下幾點。

5.8.3.無線網(wǎng)絡(luò)平安問題

由于無線電波的開放性，對醫(yī)院通過傳統(tǒng)的內(nèi)網(wǎng)物理隔離來保證平安提出了新的挑戰(zhàn)；醫(yī)院中患者的電子病

歷、個人資料一旦被泄漏、惡意修改，或者被其他機構(gòu)獲得，都會釀成嚴重后果。同時，醫(yī)院自身的信息保密也

尤為重要，防止信息泄露造成難以彌補的損失。

如何保證內(nèi)網(wǎng)、外網(wǎng)的平安隔離，如何保證移動場景下的接入訪問控制，以及防止信息通過移動終端泄露，

成為無線平安方面關(guān)注的重要問題;

5.8.4.無線網(wǎng)絡(luò)規(guī)劃實施問題

無線網(wǎng)絡(luò)的規(guī)劃和實施直接決定了后續(xù)的業(yè)務(wù)應(yīng)用效果，主要關(guān)注以下幾個問題：

?信號覆蓋盲點問題：建筑物的不同架構(gòu)（如衛(wèi)生間問題）和墻壁介質(zhì)會對無線信號的傳輸造成不同程度

的影響，尤其是部署大量AP時，如何實現(xiàn)信號連續(xù)覆蓋無盲點是必須考慮的問題。

?無線AP供電：許多醫(yī)院在開始建樓時并沒有考慮到無線網(wǎng)絡(luò)的部署問題，也就沒有預(yù)留出電源供無線AP

使用，如果重新改造電源線路，施工本錢必然提升。

?AP之間的干擾問題：在一定的空間內(nèi)部署多個AP,信號會有相互交錯重疊，從而造成信號干擾。如何解

決，需要關(guān)注。

?覆蓋環(huán)境中其他的2.4GHz/5GHz波段的射頻干擾源，如微波爐、無繩電話、藍牙耳機等；

?無線設(shè)備對■患者（患者體內(nèi)植入心臟起搏器或心臟除顫器）潛在的干擾；

醫(yī)院部署時需要考慮無線網(wǎng)絡(luò)與醫(yī)療儀器之間不存在互相干擾，以及盡量解除部署無線給病人帶來的心里壓

力。

5.8.5.無線用戶漫游問題

無線設(shè)備的最大特點就是接入點靈活方便，但同時對網(wǎng)絡(luò)性能提出更高的要求：醫(yī)護人員在不同無線網(wǎng)絡(luò)覆

蓋區(qū)移動時能否快速接入醫(yī)院管理系統(tǒng)，在快速的移動過程中如何保證業(yè)務(wù)不中斷，不會造成信息喪失以及影響

醫(yī)護人員的工作體驗。

5.8.6.無線網(wǎng)絡(luò)管理問題

為了到達信號全面覆蓋，無線網(wǎng)絡(luò)中往往需要部署大量AP,如何對數(shù)個AP進行快速有效的配置和管理，融

合到原有的管理系統(tǒng)中，白線無線網(wǎng)絡(luò)能否實現(xiàn)一體化的統(tǒng)一運維，也是許多醫(yī)院在部署無線網(wǎng)絡(luò)時關(guān)心的問題。

5.8.7.無線醫(yī)療基礎(chǔ)網(wǎng)絡(luò)設(shè)計

不同醫(yī)院現(xiàn)有有線網(wǎng)絡(luò)架構(gòu)的差異，使得各醫(yī)院的WLAN網(wǎng)絡(luò)建設(shè)存在一定的差異。根據(jù)獲嘉縣紅十字醫(yī)院

減租結(jié)構(gòu)及網(wǎng)絡(luò)狀況，建議不改變有線網(wǎng)，WLAN無線網(wǎng)在現(xiàn)有網(wǎng)絡(luò)上疊加。

組網(wǎng)架構(gòu)設(shè)計

WI.AN無線網(wǎng)絡(luò)建設(shè)，直接在現(xiàn)有網(wǎng)絡(luò)上疊加，盡量減少對現(xiàn)有網(wǎng)絡(luò)的影響和改動。這個情況下，建議采用

下列圖所示的WLAN方案。AC放置在核心機房，旁掛于核心交換機_L,采用集中轉(zhuǎn)發(fā)模式，數(shù)據(jù)報文直接通過隧

道到AC進行處理，對現(xiàn)有網(wǎng)絡(luò)幾乎無影響；AP放置在目標覆蓋位置，通過接入交換機POE供電。

?AC設(shè)備：

/核心層推薦采用華為

/S12700交換機的可編程單板內(nèi)置無線AC功能（NatvieAC）,有線無線統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一控制、統(tǒng)一管

理，實現(xiàn)有線無線真正融合，且無需在單獨購置AC板卡

?AP設(shè)備:

/室內(nèi)或者室外場景推存選擇放裝型設(shè)備，減少無線布線的繁瑣。AP設(shè)備采用POE供電，就近接入接

入交換機，針對門診樓，推薦AP4030DN-E1lac放裝型AP設(shè)備與高密型AP4030TN無線AP進行相應(yīng)需

求的信號覆蓋。針對住院部，由于房間分布較多，信號受干擾衰減嚴重，因此建議采用華為智分型

AD9430DN-24無線AP,設(shè)備自帶24個POE供電口，可直接為遠端射頻單元進行POE供電，通過一個中

心AP帶至多48個射頻單元R240D,每射頻單元可以采用86面板或者壁掛等方式便捷的部署在各個病

房內(nèi)部,兼容IEEE802.lla/b/g/n/ac標準,支持2*2MIMO,2.4G和5G頻段可同時工作,信號覆蓋

能力強，最高速率可達千兆，保證信號的覆蓋密度和覆蓋強度。

?接入交換機：

/接入層新增千兆POE接入交換機，滿足AP供電以及WLANHn/llac對接入帶寬的需求。

/接入交換機推薦選擇華為55720-28*^W爪-51。

?核心交換機：

,核心層采用S12700交換機。其獨創(chuàng)的CSS2集群，數(shù)據(jù)跨框1次交換，21us最低跨框時延，僅為業(yè)界

平均時延的60%且CSS2交換網(wǎng)集群支持1+N冗余備份，增加核心層設(shè)備的可靠性。

無線AP部署方案

無線AP的部署方案整體分為放裝方案，智分方案兩種。兩種方案的區(qū)別和比較如下。

主要特性比照室內(nèi)放裝系統(tǒng)敏捷分布式部署

支持2.4G/5G終端接入，部署情況需要根

保證99%以上的信號覆蓋率，病房覆蓋效果好，可同

覆蓋效果據(jù)實際環(huán)境與建筑布局等來綜合網(wǎng)規(guī)評

時支持2.4G/5G終端接入。

估，病房覆蓋效果會受到穿墻等因素影響。

需要根據(jù)實際客戶需求以及部署場景來綜針對房間密集的場景，采用86盒而板方式直接部署

每AP最大覆蓋房間數(shù)量

合網(wǎng)規(guī)評估。通?？筛采w4?6個房間。在房間內(nèi)部，覆蓋效果好，信號強度及穩(wěn)定性較好。

中心AP、間走網(wǎng)線或者直接替換現(xiàn)有房間內(nèi)部信息

其他輔料不需要其他輔料，AC、AP只需要網(wǎng)線即可

面板。

5.8.8.WLAN覆蓋規(guī)劃

射頻規(guī)劃

與IP地址規(guī)劃一樣，WLAN信道是WLAN網(wǎng)絡(luò)設(shè)計中重要一環(huán)，大型無線醫(yī)院必須對"WLAN信道進行統(tǒng)一規(guī)劃。

WLAN信道規(guī)劃的好壞，影響到無線網(wǎng)絡(luò)的帶寬、無線網(wǎng)絡(luò)的性能、無線網(wǎng)絡(luò)的擴展以及無線網(wǎng)絡(luò)的抗干擾能力,

也必籽直接影響到無線網(wǎng)絡(luò)的用戶體驗。

頻點劃分

為保證信道之間不相互干擾，大型無線醫(yī)院必須對WLAN信道進行統(tǒng)一規(guī)劃并實施。WLAN系統(tǒng)主要應(yīng)用兩個

頻段：2.4GHz和5.0GHz。2.4G頻段具體頻率范圍為2.4?2.4835GHz的連續(xù)頻譜,信道編號1?14,非重疊信道

共有三個，一般選取1、6、11這三個非重疊信道。5.0G頻段分配的頻譜并不連續(xù)，主要有兩段：5.15?5.35GHz、

5.725GHz?5.85GHz。不重疊信道在5.15~5.35GHz頻段有8個,分別為36、40、44、48、52、56、60、64；在

5.725GHz?5.85GHz頻段有4個，分別為149、153、157、161,可以根據(jù)實際部署情況，選擇相應(yīng)的非重疊信道。

信道覆蓋

WLAN信道規(guī)劃需遵循兩個原則：蜂窩覆蓋、信道間隔。根據(jù)覆蓋密度、干擾情況、選擇2.4G/5G單頻或雙

頻覆蓋。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，防止信號相互干擾；一般情況單獨使

用2.4G或5.0（；的頻段，對于會議室等高密度用戶接入的場所，可以啟用雙頻進行覆蓋，以便提供更好的接入能

力。單頻覆蓋和雙頻覆的不意圖如F列圖所不。

鏈路預(yù)算

WLAN鏈路預(yù)算一般經(jīng)過邊緣場強確認,空間損耗計算，覆蓋直離計算等步驟。邊緣場強確認是指：在WLAN

工程部署中，要求重點覆蓋區(qū)域.內(nèi)的WLAN信號到達用戶終端的電平不低于一75dBm。這樣可以保障用戶與AP的

協(xié)商速率以及收發(fā)數(shù)據(jù)質(zhì)量。

空間損耗計算通常采用如下公式：Pr［期=R［d8］+G2［期-用的+Q?陽］。其中：P“dB］為最小接

收電平，即為AP在不同傳輸速率下的接收靈敏度；Pt［dB］為最大發(fā)射功率：Gt［dB］為發(fā)射天線增益：G