XX軍區(qū)醫(yī)院無線(WLAN)覆蓋解決方案技術(shù)

1、南京軍區(qū)醫(yī)院無線覆蓋解決方案技術(shù)建議書目 錄1前言31.1概述31.2業(yè)務(wù)需求分析31.3整體建網(wǎng)原則42無線局域網(wǎng)總體技術(shù)方案62.1總體方案設(shè)計(jì)62.1.1認(rèn)證方式選擇62.1.2無線用戶的認(rèn)證管理82.2無線網(wǎng)絡(luò)方案82.2.1組網(wǎng)方案82.2.2無線查房系統(tǒng)112.2.3無線設(shè)備選型132.2.4智能射頻管理142.2.5智能負(fù)載均衡152.2.6無線入侵檢測(cè)162.2.7ap供電172.2.8無線網(wǎng)絡(luò)管理183附錄1：wlan覆蓋效果工程設(shè)計(jì)計(jì)算20附錄2：用戶認(rèn)證系統(tǒng)介紹261 前言1.1概述隨著21世紀(jì)社會(huì)經(jīng)濟(jì)迅速發(fā)展，互聯(lián)網(wǎng)與無線通信技術(shù)的融合。高速率，高性能和兼容性已成為人們

2、的普遍要求，對(duì)隨時(shí)隨地進(jìn)行通信和信息服務(wù)的需求變得迫切。現(xiàn)有的有線網(wǎng)絡(luò)在某種程度上已不能滿足需求，因此，無線化，智能化的移動(dòng)通信以及快捷方便的無線接入，無線互聯(lián)等眾多適應(yīng)當(dāng)前需求的新概念和新產(chǎn)品應(yīng)運(yùn)而生。wlan是wireless local area network的縮寫，中文全稱為“無線局域網(wǎng)”。wlan采用射頻（rf）技術(shù)構(gòu)成局域網(wǎng)絡(luò)，是一種便利的數(shù)據(jù)傳輸系統(tǒng)。由于無線局域網(wǎng)設(shè)備一般工作于免授權(quán)（unlicensed）頻段，在頻段的使用上無需高昂的許可費(fèi)用，而無線局域網(wǎng)可以在不受地理?xiàng)l件限制、通信不便利以及移動(dòng)通信的情況下，組建計(jì)算機(jī)網(wǎng)絡(luò)，因此它是有線網(wǎng)絡(luò)的重要補(bǔ)充。據(jù)cahners i

3、n-start集團(tuán)預(yù)測(cè)，到2006年，全球?qū)⒋蠹s有4萬個(gè)公共wlan場(chǎng)所，主要用于給裝備有wlan便攜pc的雇員提供無線桌面連接，以及會(huì)議室和拜訪客人的無線連接；在小型公司里，wlan的靈活性和節(jié)省成本的優(yōu)點(diǎn)體現(xiàn)得更強(qiáng)，將有45的小公司和分支機(jī)構(gòu)將使用wlan解決方案；家庭網(wǎng)絡(luò)由于用戶數(shù)量巨大，也將是一個(gè)不可忽視的市場(chǎng)。目前無線局域網(wǎng)技術(shù)已成熟完善，802.11技術(shù)標(biāo)準(zhǔn)本身已具備作為運(yùn)營(yíng)網(wǎng)絡(luò)的一種寬帶接入手段所需要考慮的區(qū)分運(yùn)營(yíng)網(wǎng)絡(luò)接入、空口安全、用戶隔離、多ap間慢速切換、多ap間用戶負(fù)載均衡等特性規(guī)范。802.11技術(shù)產(chǎn)品產(chǎn)業(yè)鏈已經(jīng)逐步形成，產(chǎn)品成熟穩(wěn)定，適合各種應(yīng)用場(chǎng)合的ap基站以及配套

4、天饋系統(tǒng)已在運(yùn)營(yíng)商網(wǎng)絡(luò)中大量應(yīng)用。無線局域網(wǎng)技術(shù)已超越原先定義的為企業(yè)或家庭提供最后100m接入（無線hub）的范圍?？梢灶A(yù)見，wlan作為一種高速無線數(shù)據(jù)接入的手段，必將與現(xiàn)有網(wǎng)絡(luò)一起，構(gòu)成靈活、高效、完善的寬帶網(wǎng)絡(luò)。1.2業(yè)務(wù)需求分析南京軍區(qū)醫(yī)院的網(wǎng)絡(luò)目前都是有線網(wǎng)絡(luò)，但有線網(wǎng)絡(luò)沒有解決空間覆蓋的問題，同時(shí)也不能解決信息實(shí)時(shí)收集的問題，面對(duì)將來醫(yī)院網(wǎng)絡(luò)趨于實(shí)時(shí)化、數(shù)字化的發(fā)展方向，wlan技術(shù)的移動(dòng)性、靈活性和高效率不僅解決了網(wǎng)絡(luò)覆蓋問題，而且可使醫(yī)護(hù)人員能實(shí)時(shí)獲取患者信息或者搜索決策支持信息，這種系統(tǒng)使醫(yī)護(hù)人員可以更加準(zhǔn)確、快速和高效地制定決策和采取相應(yīng)的措施，具體體現(xiàn)包括： 電子病歷訪

5、問/查看 醫(yī)生處方輸入和藥物治療匹配 護(hù)士呼叫系統(tǒng) 患者床邊服務(wù) 對(duì)重要的統(tǒng)計(jì)數(shù)據(jù)的監(jiān)控同時(shí)，本次南京軍區(qū)醫(yī)院無線工程還將滿足以下業(yè)務(wù)需求： 針對(duì)醫(yī)院的空間要進(jìn)行全面覆蓋； 無線網(wǎng)絡(luò)通過安全認(rèn)證，保證醫(yī)院信息不能通過無線網(wǎng)絡(luò)外泄露； 用戶在無線區(qū)域內(nèi)移動(dòng)時(shí)，不需要多次重復(fù)認(rèn)證，實(shí)現(xiàn)自動(dòng)漫游，即業(yè)務(wù)不中斷；1.3整體建網(wǎng)原則結(jié)合wlan的實(shí)際應(yīng)用和發(fā)展要求，無線局域網(wǎng)(wlan)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)，主要遵循以下系統(tǒng)總體原則： 實(shí)用性原則：以現(xiàn)行需求為基礎(chǔ)，充分考慮發(fā)展的需要來確定系統(tǒng)規(guī)模。 安全性原則：wlan是一個(gè)空間開放網(wǎng)絡(luò)，同時(shí)作對(duì)信息的安全以及網(wǎng)絡(luò)的安全要求較高。 可靠性原則：系統(tǒng)設(shè)計(jì)能有效的

6、避免單點(diǎn)失敗，在設(shè)備的選擇和關(guān)鍵設(shè)備的互聯(lián)時(shí)，應(yīng)提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡(luò)能在最短時(shí)間內(nèi)修復(fù)。 規(guī)范性原則：系統(tǒng)設(shè)計(jì)所采用的技術(shù)和設(shè)備應(yīng)符合wlan國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)和聯(lián)通wlan企業(yè)標(biāo)準(zhǔn)，為系統(tǒng)的擴(kuò)展升級(jí)、與其他系統(tǒng)的互聯(lián)提供良好的基礎(chǔ)。 開放性和標(biāo)準(zhǔn)化原則：在設(shè)計(jì)時(shí)，要求提供開放性好、標(biāo)準(zhǔn)化程度高的技術(shù)方案；設(shè)備的各種接口滿足開放和標(biāo)準(zhǔn)化原則。 可擴(kuò)充和擴(kuò)展化原則：所有系統(tǒng)設(shè)備不但滿足當(dāng)前需要，并在擴(kuò)充模塊后滿足可預(yù)見將來需求，如帶寬和設(shè)備的擴(kuò)展，應(yīng)用的擴(kuò)展和辦公地點(diǎn)的擴(kuò)展等。保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級(jí)時(shí)，能保護(hù)現(xiàn)有的投資。 可管理性

7、原則：整個(gè)系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡(jiǎn)單，易學(xué)，易用，便于進(jìn)行系統(tǒng)配置，在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進(jìn)行遠(yuǎn)程管理和故障診斷。2 無線局域網(wǎng)總體技術(shù)方案2.1總體方案設(shè)計(jì)南京軍區(qū)醫(yī)院無線網(wǎng)絡(luò)解決方案總體設(shè)計(jì)以高性能、高可靠性、高安全性、良好的可擴(kuò)展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)為原則，并考慮到技術(shù)的先進(jìn)性、成熟性，采用模塊化的設(shè)計(jì)方法。整個(gè)方案設(shè)計(jì)的要點(diǎn)主要包括認(rèn)證點(diǎn)的選擇問題、網(wǎng)絡(luò)安全設(shè)計(jì)、無線網(wǎng)部署、網(wǎng)絡(luò)管理幾個(gè)方面。我們將在后面的方案詳細(xì)設(shè)計(jì)中進(jìn)行分析和方案描述。本方案設(shè)計(jì)具有以下前提： 目前的網(wǎng)絡(luò)中都不具有poe供電功能，每臺(tái)ap的配件中帶有一

8、塊供電模塊，可以通過與交換機(jī)之間串接為ap供電； poe供電模塊的功率都能滿足ap的工作功率需要（10w）； 采購(gòu)新的poe交換機(jī)，實(shí)現(xiàn)ap的遠(yuǎn)程供電；2.1.1 認(rèn)證方式選擇由于本次工程使用的無線接入點(diǎn)設(shè)備ap（access point）數(shù)量較多，如果全部認(rèn)證由ap完成，則每個(gè)用戶信息全都要下發(fā)到每個(gè)ap內(nèi)，管理起來非常不方便，擴(kuò)展性也差，同時(shí)在多ap之間進(jìn)行移動(dòng)工作時(shí)，涉及到認(rèn)證中斷的問題：要進(jìn)行重新認(rèn)證；基于以上考慮，我們建議本次的wlan覆蓋中，有兩種方式供選擇：1. 由ap進(jìn)行802.1x協(xié)議終結(jié)，由后端的認(rèn)證平臺(tái)cams完成對(duì)移動(dòng)用戶的認(rèn)證；2. 如果現(xiàn)網(wǎng)的交換機(jī)具有802.1x的

9、終結(jié)能力，則由交換機(jī)與cams系統(tǒng)配合完成用戶認(rèn)證，這樣不論是移動(dòng)用戶還是固定用戶都可提供統(tǒng)一認(rèn)證。以上兩種方式都有一個(gè)共同的特點(diǎn)，即用戶的認(rèn)證管理如：用戶的口令、權(quán)限等管理工均由后臺(tái)的cams用戶認(rèn)證管理系統(tǒng)統(tǒng)一來完成的，與終端用戶的接入方式無關(guān)，后續(xù)系統(tǒng)的維護(hù)和管理非常方便。802.1x協(xié)議是ieee在2001.6通過的正式標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的起草者包括microsoft，cisco，extreme，nortel等；802.1x定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議（port based network access control），該協(xié)議適用于接入設(shè)備與接入端口間點(diǎn)到點(diǎn)的連接方式，其中端口既可以是物

10、理端口，也可以是邏輯端口。華為公司的網(wǎng)絡(luò)設(shè)備對(duì)802.1x做了擴(kuò)充，使其可以基于mac地址進(jìn)行網(wǎng)絡(luò)接入控制。用戶使用802.1x認(rèn)證的過程如圖所示：802.1x認(rèn)證流程示意圖接入ap的無線終端采用802.1x模式，首先接入ap的客戶端通過802.1x認(rèn)證輸入用戶名、密碼后客戶端發(fā)起eap報(bào)文至ap，在ap上終結(jié)eap報(bào)文，然后從ap經(jīng)交換機(jī)發(fā)起raduis報(bào)文至cams服務(wù)器，由cams服務(wù)器來驗(yàn)證用戶名、密碼是否匹配，在認(rèn)證通過以后由cams服務(wù)器下發(fā)raduis報(bào)文至交換機(jī)和ap通知該用戶認(rèn)證通過，ap再將相對(duì)應(yīng)的信道打開，允許學(xué)習(xí)mac地址，允許用戶上網(wǎng)。如果采用接入交換機(jī)來完成認(rèn)證，則

11、ap不再承擔(dān)終結(jié)802.1x的eap報(bào)文的工作，而是透?jìng)鞯浇尤虢粨Q機(jī)，由交換機(jī)完成eap報(bào)文終結(jié)，轉(zhuǎn)換為radius報(bào)文后與cams認(rèn)證服務(wù)器交互，完成認(rèn)證過程。針對(duì)交換機(jī)的802.1x認(rèn)證方式，華為公司還對(duì)802.1x認(rèn)證方式進(jìn)行了優(yōu)化，使其可以支持基于mac的用戶控制，即一般情況下如果多個(gè)用戶連接到一個(gè)hub，其中一個(gè)用戶認(rèn)證通過后，其他用戶也能夠使用網(wǎng)絡(luò)，但華三公司對(duì)802.1x認(rèn)證方案優(yōu)化后，只有認(rèn)證通過的用戶（mac）才能使用網(wǎng)絡(luò)，其他用戶還是不能使用網(wǎng)絡(luò)。2.1.2 無線用戶的認(rèn)證管理wlan用戶的認(rèn)證和管理統(tǒng)一由華三的綜合訪問管理服務(wù)器cams （comprehensive ac

12、cess management server）來完成，cams具有系統(tǒng)功能強(qiáng)大，操作簡(jiǎn)單的特點(diǎn)，其特色功能如下： 用戶綁定功能cams支持綁定用戶名和設(shè)備ip地址、入端口號(hào)、vlan id、用戶mac地址、用戶ip地址等信息，保證用戶綁定合法性。并支持用戶mac地址和用戶ip地址自學(xué)習(xí)功能，大大減少管理員的錄入量。 認(rèn)證區(qū)域綁定功能通過認(rèn)證報(bào)文上傳的認(rèn)證接入設(shè)備ip地址，cams系統(tǒng)可實(shí)現(xiàn)認(rèn)證區(qū)域綁定功能。用戶上網(wǎng)的區(qū)域可被限制在一定范圍內(nèi)，增強(qiáng)了網(wǎng)絡(luò)的安全性。 防代理功能cams提供防代理功能，禁止用戶使用代理上網(wǎng)，并支持限制用戶使用的客戶端，要求用戶必須使用專用安全客戶端，并強(qiáng)制自動(dòng)升級(jí)，

13、確保認(rèn)證客戶端的安全性。 用戶黑名單管理cams認(rèn)證系統(tǒng)支持黑名單管理，支持手工加入黑名單、自動(dòng)將惡意登錄用戶加入黑名單、并提供黑名單增強(qiáng)功能：在被試探帳號(hào)加入黑名單的同時(shí)記錄惡意試探機(jī)器的mac地址，限制從該mac地址的機(jī)器試探該帳號(hào)，但被試探帳號(hào)可以在其它mac地址的機(jī)器上正常使用，保證登錄用戶的合法性。2.2 無線網(wǎng)絡(luò)方案2.2.1 組網(wǎng)方案南京軍區(qū)醫(yī)院具體ap點(diǎn)位如下圖所示：住院樓的無線覆蓋空間主要包括：病房、機(jī)房、護(hù)士站、醫(yī)生辦公室、庫(kù)房、理療室、備餐間、示教室、備餐間、主任辦公室、值班護(hù)士長(zhǎng)辦工室、護(hù)士值班室、醫(yī)生辦公室、換藥房、護(hù)士站等，每層的長(zhǎng)度大約為90米左右，本次無線覆蓋方

14、案以本著節(jié)約、全覆蓋為原則，ap都將放置在過道，滿足信號(hào)覆蓋到每一個(gè)房間；每層總共使用：4+4=8個(gè)ap；本大樓覆蓋的樓層包括從1到15層，其中這115層的結(jié)構(gòu)基本一致，共需ap 8*15=120個(gè)ap；高干樓共有六層，需要覆蓋的樓層為1層6層，由于高干樓的平面空間不大，通過實(shí)際的ap信號(hào)強(qiáng)度測(cè)試，建議在過道的天花板上放置4個(gè)ap即可。六層共需4624個(gè)ap腎臟病研究所共有四層，需要覆蓋的樓層為1層4層，和高干樓一樣，實(shí)際平面空間不大，通過實(shí)際的ap信號(hào)強(qiáng)度測(cè)試，建議在過道的天花板上放置4個(gè)ap即可。四層共需4416個(gè)apap在走廊部署情況如圖所示：綜上所述，整個(gè)南京軍區(qū)醫(yī)院的外網(wǎng)的無線覆蓋共

15、需ap的數(shù)量為：住院樓120個(gè)ap 高干樓24個(gè)ap 腎臟病研究所 16個(gè)ap 160個(gè)ap考慮到無線網(wǎng)絡(luò)覆蓋，有可能存在個(gè)別盲點(diǎn)的問題，還預(yù)留10個(gè)ap進(jìn)行機(jī)動(dòng)調(diào)整，整個(gè)ap總數(shù)量為16010170。2.2.2 無線查房系統(tǒng)按照醫(yī)院規(guī)定，醫(yī)生醫(yī)囑要在指定時(shí)間內(nèi)及時(shí)下發(fā)，在傳統(tǒng)工作模式下，醫(yī)生需要隨身攜帶一大堆病歷本了解不同患者病情，并且以手寫方式記錄醫(yī)囑信息，等查房完全結(jié)束后，再錄入到電腦中交給護(hù)士去執(zhí)行，醫(yī)生要花大量時(shí)間在文字工作上，而另一個(gè)直接后果是患者只有等待查房結(jié)束才能得到及時(shí)治療。為解決這個(gè)問題，在住院大樓中引入wlan無線系統(tǒng)，越來越成為一種潮流，通過部署wlan，醫(yī)生只需手持平

16、板電腦或者pda即可在病床前實(shí)時(shí)調(diào)閱病人各種信息，而下達(dá)的醫(yī)囑信息也能通過無線方式及時(shí)傳遞給護(hù)士去執(zhí)行，護(hù)士在執(zhí)行醫(yī)囑的過程中，如果發(fā)生異常情況，還可通過無線的方式及時(shí)通知醫(yī)生，醫(yī)生可對(duì)醫(yī)囑進(jìn)行調(diào)整，wlan的使用將最大程度的降低患者等待時(shí)間，提升患者滿意度，提升醫(yī)生查房工作效率。與常用的會(huì)議室wlan的靜態(tài)接入不同，由于醫(yī)生在多個(gè)病房間移動(dòng)時(shí)需要保障數(shù)據(jù)傳遞不中斷，這涉及到跨ap漫游的問題，的無線接入交換機(jī)在解決漫游接入方面具有天然的優(yōu)勢(shì)。傳統(tǒng)無線網(wǎng)絡(luò)中，ap負(fù)責(zé)802.1x認(rèn)證終結(jié)、動(dòng)態(tài)密鑰的產(chǎn)生、漫游切換等全部工作，只有高端的多業(yè)務(wù)ap，即“fat ap”才能擔(dān)負(fù)起責(zé)任。引入無線交換機(jī)后

17、，這些工作由交換機(jī)來完成，使得ap的功能需求更低，可以選擇更低檔次的ap設(shè)備，即“fit ap”，并且原來需要人工參與設(shè)計(jì)的頻率規(guī)劃、無線功率調(diào)整等工作也可由無線交換機(jī)來自動(dòng)完成，網(wǎng)絡(luò)規(guī)模越大，無線交換機(jī)的優(yōu)勢(shì)就越明顯。2.1.7無線覆蓋解決方案在采用wlan實(shí)現(xiàn)大樓館覆蓋時(shí)，首先要保證覆蓋，讓最終用戶在場(chǎng)所內(nèi)任何角落都可接入；其次是接入帶寬，由于無線網(wǎng)絡(luò)本身的原因，沒有足夠的帶寬也無法與有線寬帶網(wǎng)絡(luò)媲美。采用wlan技術(shù)覆蓋室內(nèi)目前已非常成熟，在網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃方面都有很多的經(jīng)驗(yàn)可以選擇。并且可以根據(jù)實(shí)際衰減情況，適當(dāng)增加ap實(shí)現(xiàn)全覆蓋，并且還能提供更高的接入帶寬。此外考慮醫(yī)院大樓已付諸使用，考

18、慮到樓宇的整體美觀以及設(shè)計(jì)上的簡(jiǎn)便方式，實(shí)際覆蓋時(shí)建議采用可以采用wlan室內(nèi)覆蓋，對(duì)ap的供電采用獨(dú)立poe盒交換機(jī)供電方式。為避免對(duì)周邊環(huán)境美觀的影響，采用外置吸頂天線，將ap隱藏到天花板后面，達(dá)到所需要的覆蓋效果。以下為實(shí)際ap以及天線布放示意圖。fit ap wa 2110和配置天線后的示意圖2.2.3 無線設(shè)備選型華三通信作為ip通信設(shè)備的領(lǐng)導(dǎo)廠商，能夠提供全系列的無線接入局域網(wǎng)解決方案，在此我們推薦使用 wa2110 fit ap和wx6103無線控制設(shè)備進(jìn)行組網(wǎng)。通過無線交換機(jī)的控制，在ap之間可以通過iapp實(shí)現(xiàn)對(duì)用戶數(shù)的限制，靈活控制接入帶寬的流量。wa2110為一個(gè)fit

19、ap，主要負(fù)責(zé)射頻的控管部分，并偵測(cè)網(wǎng)絡(luò)內(nèi)是否有非法ap；由于所有的安全管理控制都由wireless switch統(tǒng)一進(jìn)行，可以達(dá)到使用者在不同ap間無縫自動(dòng)漫游的功能，及ap之間射頻的協(xié)調(diào)管理乃至負(fù)載平衡機(jī)制。wireless switch無線交換機(jī)是無線網(wǎng)絡(luò)系統(tǒng)中重要的一環(huán)，它的功能涵蓋事前站點(diǎn)監(jiān)控的工具，運(yùn)行期間各ap的設(shè)定及射頻調(diào)整，使整個(gè)網(wǎng)絡(luò)內(nèi)覆蓋率能達(dá)到最佳化，及無線網(wǎng)絡(luò)中所有節(jié)點(diǎn)包括wireless switch，ap，及使用者行為的統(tǒng)計(jì)與事件的記錄等。如果只是對(duì)ap進(jìn)行單臺(tái)配置，不但工作量大，且難于維護(hù)和管理，在次我們采用了無線交換機(jī)的形式，通過無線交換機(jī)的策略下發(fā)，對(duì)所有的a

20、p進(jìn)行統(tǒng)一的策略管理。公司提供的無線網(wǎng)絡(luò)管理軟件，也為wlan網(wǎng)絡(luò)的部署和管理提供了圖形化的智能管理工具。2.2.4 智能射頻管理智能射頻管理決定了無線系統(tǒng)的可用性和自愈能力。的每個(gè)fit ap上電時(shí)，無線控制器會(huì)根據(jù)ap的鄰居關(guān)系動(dòng)態(tài)調(diào)整ap工作的信道和發(fā)射功率，在保證覆蓋的前提下保證ap間的干擾最小。當(dāng)ap覆蓋區(qū)域受到外界強(qiáng)信號(hào)干擾時(shí)，無線控制器會(huì)控制ap自動(dòng)切換到合適的工作信道以規(guī)避干擾信號(hào)。當(dāng)覆蓋區(qū)域內(nèi)的某個(gè)ap發(fā)生故障而造成覆蓋黑洞時(shí)，無線控制器會(huì)自動(dòng)調(diào)整相鄰的ap的發(fā)射功率以消除黑洞區(qū)域，當(dāng)故障ap恢復(fù)工作后無線控制器可以自動(dòng)調(diào)整鄰居ap的發(fā)射功率恢復(fù)原始工作狀態(tài)。2.2.5 智能

21、負(fù)載均衡通過的wx6103系列無線控制器可以設(shè)定ap間對(duì)接入用戶進(jìn)行負(fù)載分擔(dān)，如下圖所示，當(dāng)ap1接入用戶數(shù)量達(dá)到一定的閾值時(shí)，ap1會(huì)將情況上報(bào)到無線控制器，由無線控制器下達(dá)指令：“該區(qū)域新增用戶統(tǒng)一與ap2進(jìn)行關(guān)聯(lián)”。負(fù)載分擔(dān)的策略可以是基于ap接入的用戶數(shù)量，ap流量負(fù)載情況。當(dāng)無線控制器發(fā)現(xiàn)ap的負(fù)載超過設(shè)定的門限值以后，對(duì)于新接入的用戶無線控制器會(huì)自動(dòng)計(jì)算此用戶周圍是否還有負(fù)載較輕的ap可供用戶接入，如果有則ap會(huì)拒絕用戶的關(guān)聯(lián)請(qǐng)求，用戶會(huì)轉(zhuǎn)而接入其他負(fù)載較輕的ap。公司的無線網(wǎng)絡(luò)解決方案更加創(chuàng)新的使用了“智能負(fù)載均衡”技術(shù)，保證只對(duì)處于ap覆蓋重疊區(qū)的無線用戶才啟動(dòng)ap負(fù)載均衡功能

22、，有效的避免誤均衡的出現(xiàn)。2.2.6 無線入侵檢測(cè)的無線解決方案能夠有效的進(jìn)行非法設(shè)備的識(shí)別和處理，有效的抵御外部設(shè)備的入侵，非法設(shè)備是未經(jīng)網(wǎng)絡(luò)管理者許可部署的無線設(shè)備或者是發(fā)起無線攻擊的設(shè)備。wx6103無線控制器可以指定ap工作在兩種工作模式：模式一、ap負(fù)責(zé)監(jiān)聽空口所有信道的信息，但不負(fù)責(zé)用戶報(bào)文的轉(zhuǎn)發(fā)。模式二、ap在為用戶轉(zhuǎn)發(fā)數(shù)據(jù)的同時(shí)定期切換到其他信道監(jiān)聽信息。在監(jiān)控信息的狀態(tài)下，ap設(shè)備負(fù)責(zé)把監(jiān)聽到的無線設(shè)備和有攻擊行為的無線設(shè)備上報(bào)給無線控制器，無線控制器根據(jù)ap上報(bào)的設(shè)備信息識(shí)別非法設(shè)備，排除合法設(shè)備。wx6103無線控制器還可以控制ap 將非法設(shè)備列入黑名單或者對(duì)其發(fā)起攻擊。

23、2.2.7 ap供電由于實(shí)際組網(wǎng)應(yīng)用中ap設(shè)備數(shù)量較大，ap都帶有一個(gè)供電模塊，只需要通過ap供電模塊和現(xiàn)有的樓層配線間的交換機(jī)，為ap實(shí)現(xiàn)遠(yuǎn)程供電，供電距離達(dá)100米，能夠滿足實(shí)際組網(wǎng)的要求。ap通過ap供電模塊供電示意圖通過ap供電模塊進(jìn)行供電的方式可用于臨時(shí)盲點(diǎn)覆蓋使用?？紤]到本次組網(wǎng)方案中ap數(shù)量眾多，為方便ap電源的統(tǒng)一部署，還配備了帶有遠(yuǎn)程供電功能的s3100-pwr-ei，s3100-pwr-ei固定配備16或者24個(gè)10/100兆遠(yuǎn)程供電接口，可滿足24臺(tái)ap的遠(yuǎn)程供電需求。同時(shí)配備了2個(gè)千兆電接口/光接口，能與原有的樓層交換機(jī)對(duì)接。2.2.8 無線網(wǎng)絡(luò)管理wsm無線業(yè)務(wù)管理器

24、是imc智能管理中心的業(yè)務(wù)組件之一。 imc智能管理中心采用分布式、組件化、跨平臺(tái)的開放體系結(jié)構(gòu)。通過選擇安裝wsm無線業(yè)務(wù)管理器，用戶可以獲得全面的無線業(yè)務(wù)管理能力，實(shí)現(xiàn)ac設(shè)備、fat ap設(shè)備、fit ap設(shè)備、移動(dòng)終端等無線設(shè)備的集中管理，輕松實(shí)現(xiàn)設(shè)備配置管理功能，并提供資源分組、無線拓?fù)涔δ?，?duì)全網(wǎng)無線設(shè)備進(jìn)行直觀有效的組織，對(duì)網(wǎng)絡(luò)部署和設(shè)備狀態(tài)一目了然，策略模板等功能實(shí)現(xiàn)網(wǎng)絡(luò)和設(shè)備的批量配置，提升效率，降低維護(hù)工作量，降低維護(hù)成本?；趙eb的管理系統(tǒng)，為無線業(yè)務(wù)管理者提供了簡(jiǎn)便、友好的管理平臺(tái)。與imc智能管理平臺(tái)及其它組件配合，還可實(shí)現(xiàn)無線設(shè)備的面板管理、故障管理、性能監(jiān)控、軟

25、件版本管理、配置文件管理、接入用戶管理、用戶認(rèn)證管理等功能，并可對(duì)網(wǎng)絡(luò)中的其它設(shè)備進(jìn)行統(tǒng)一管理，真正實(shí)現(xiàn)有線無線一體化管理。wsm無線業(yè)務(wù)管理器界面 有線無線一體化管理，提升整體管理能力，使用戶獲得最佳管理體驗(yàn)，并節(jié)約用戶部署和維護(hù)成本； 漫游域、物理位置、設(shè)備類型等多種視圖呈現(xiàn)網(wǎng)絡(luò)資源，網(wǎng)絡(luò)部署情況更加清晰； 多緯度、多層次、自定義的資源分組管理，有效組織全網(wǎng)資源，靈活機(jī)動(dòng)，建立更加適應(yīng)用戶的個(gè)性化網(wǎng)絡(luò)管理平臺(tái)； 從紛繁復(fù)雜的網(wǎng)絡(luò)中抽象出邏輯化的無線業(yè)務(wù)拓?fù)?，使無線網(wǎng)絡(luò)展示更加清晰，幫助用戶更加有針對(duì)性地管理無線業(yè)務(wù)； 漫游域、物理位置等多種拓?fù)湟晥D幫助用戶從多角度監(jiān)控?zé)o線網(wǎng)絡(luò)，物理位置拓?fù)?/p>

26、視圖通過用戶實(shí)際的戶型結(jié)構(gòu)，根據(jù)無線設(shè)備真實(shí)的擺放位置，展示最為逼真的網(wǎng)絡(luò)部署情況； 支持目前普遍使用的fat ap和更加先進(jìn)的ac+fit ap兩種無線網(wǎng)絡(luò)部署方案，提供全面的無線網(wǎng)絡(luò)業(yè)務(wù)管理能力； 全面的無線參數(shù)瀏覽及批量配置功能，使用戶真正實(shí)現(xiàn)無線網(wǎng)絡(luò)和設(shè)備的遠(yuǎn)程集中監(jiān)控和管理； 強(qiáng)大的故障管理能力及設(shè)備狀態(tài)實(shí)時(shí)顯示功能，使用戶對(duì)網(wǎng)絡(luò)運(yùn)行情況了如指掌； 移動(dòng)終端漫游過程記錄，幫助用戶審計(jì)最終用戶漫游軌跡wsm無線業(yè)務(wù)管理器拓?fù)湔故? 附錄1：wlan覆蓋效果工程設(shè)計(jì)計(jì)算 wlan室內(nèi)傳播模型無線局域網(wǎng)室內(nèi)覆蓋主要特點(diǎn)是：覆蓋范圍較小，環(huán)境變動(dòng)較大。一般情況下我們選取以下兩種適用于wlan

27、的模型進(jìn)行分析。由于室內(nèi)無線環(huán)境千差萬別，在規(guī)劃中需根據(jù)實(shí)際情況選擇參考模型與模型系數(shù)。l devasirvatham模型devasirvatham模型又稱線性路徑衰減模型，公式如下：pl(d,f)db為室內(nèi)路徑損耗（a=0.47）其中，為自由空間損耗d：為傳播路徑；f：為電波頻率；a：模型系數(shù)l 衰減因子模型就電波空間傳播損耗來說，2.4g頻段的電磁波有近似的路徑傳播損耗公式為：pathloss(db) = 46 +10* n*log d（m）其中，d為傳播路徑，n為衰減因子。對(duì)不同的無線環(huán)境，衰減因子n的取值有所不同，在自由空間中，路徑衰減與距離的平方成正比，即衰減因子為2。在建筑物內(nèi)，距

28、離對(duì)路徑損耗的影響將明顯大于自由空間。一般來說，對(duì)于全開放環(huán)境下n的取值為2.02.5；對(duì)于半開放環(huán)境下n的取值為2.53.0；對(duì)于較封閉環(huán)境下n的取值為3.03.5。典型路徑傳播損耗理論計(jì)算值如下表：距離（米）傳播損耗（n=2.5）傳播損耗（n=3.0）傳播損耗（n=3.5）10m63.47db66.97db70.46db50m80.95db87.94db94.93db100m88.47db96.97db105.46db ap信號(hào)鏈路損耗計(jì)算根據(jù)模型，室內(nèi)路徑損耗等于自由空間損耗加上附加損耗因子，且隨距離成指數(shù)增長(zhǎng)。接收電平估算公式如下：其中：prdb為最小接收電平，即為ap在不同傳輸速率下

29、的接收靈敏度；ptdb為最大發(fā)射功率；gtdb為發(fā)射天線增益；grdb為接收天線增益；pldb為路徑損耗；我們可以對(duì)ap信號(hào)極限傳播距離作如下理論計(jì)算：假設(shè)天線發(fā)射和接收增益為零，ap發(fā)射功率為16.2dbm時(shí)，理論室內(nèi)傳播最大距離如表中所示：速率（mbps）靈敏度（dbm）室內(nèi)最大傳播距離（m）devasirvatham模型衰減因子模型11-885348.95.5-916063.12-936472.41-966994.8 ap信號(hào)穿透損耗現(xiàn)階段可提供的2.4g電磁波對(duì)于各種建筑材質(zhì)的穿透損耗的經(jīng)驗(yàn)值如下：l 隔墻的阻擋（磚墻厚度100-300mm）：20-40db；l 樓層的阻擋：30db以

30、上；l 木制家具、門和其它木板隔墻阻擋2-15db；l 厚玻璃（12mm）：10db（2450mhz）另外，在衡量墻壁等對(duì)于ap信號(hào)的穿透損耗時(shí)，需考慮ap信號(hào)入射角度。一面0.5米厚的墻壁，當(dāng)ap信號(hào)和覆蓋區(qū)域之間直線連接呈45度角入射時(shí)，相當(dāng)于1米厚的墻壁；在2度角時(shí)相當(dāng)于超過14米厚的墻壁。所以要獲取更好的接受效果應(yīng)盡量使ap信號(hào)能夠垂直的穿過（90度角）墻壁或天花板。 用rf器件的關(guān)鍵技術(shù)指標(biāo)不同廠家的wlan設(shè)備在使用天饋系統(tǒng)時(shí)對(duì)通道隔離度要求不同，以下為華為wlan方案對(duì)rf期間的關(guān)鍵指標(biāo)要求，局方在選型時(shí)作為參照。濾波器合路器的技術(shù)指標(biāo)：合路方式gsm、dcs/wlan2合1gs

31、m/dcs/wlan3合1通道間隔離度50db（min）若其它廠家直放站接入，則需要80db插入損耗0.5db（max）1045端口駐波1.3：1（max）功率容量20w（每個(gè)通道）接頭形式n-female等功率分配器技術(shù)指標(biāo)：（表中的插入損耗包括分配損耗）描述1分21分31分4工作頻段880-2500mhz功率分配比1:11:1:11:1:1:1插入損耗3.4db5.1db6.4db端口輸入駐波1.5:1接頭形式n_female功率耦合器技術(shù)指標(biāo)：（小規(guī)模室內(nèi)覆蓋系統(tǒng)工程中主要選用以下三種不同耦合度的耦合器）描述7db耦合器10 db耦合器15 db耦合器工作頻段880-2500mhz耦合度

32、7db10db15db插入損耗1.2db0.5db0.3db端口駐波1.5接頭形式n_female室內(nèi)天線技術(shù)指標(biāo)寬頻帶全向天線寬頻帶定向天線工作頻段880-2500mhz880-2500mhz增益1-4dbi5-10dbi水平面波束寬度36050-90極化形式垂直功率容量20w駐波22接頭形式n_female同軸連接器技術(shù)指標(biāo)類型n型n型描述同軸連接器-n型插頭-50/直角/公型-螺母安裝-配1/2電纜同軸連接器-n型插頭-50/直式/母型-配7/8電纜所配電纜型號(hào)1/27/8阻抗50歐駐波1.2泄漏電纜技術(shù)指標(biāo)描述特性阻抗：50歐衰減常數(shù)：900mhz：0.051db/m；1800mhz：

33、0.076db/m；2450mhz： 0.088db/m耦合損耗：900mhz：72db； 1800mhz：84db; 2450mhz： 88db(耦合孔2米遠(yuǎn)處的損耗值，95%)電纜結(jié)構(gòu)規(guī)格7/8配套接頭型號(hào)防火性能有阻燃和防紫外線能力饋線技術(shù)指標(biāo)1/2普通1/2超柔7/8普通特性阻抗50歐50歐50歐衰減常數(shù)900mhz：0.069db/m1800mhz：0.101db/m2450mhz: 0.121db/m900 mhz：0.112db/m1800mhz：0.166db/m2450mhz:0.20 db/m900mhz：0.039db/m1800mhz：0.056db/m2450mhz

34、: 0.069db/m所配n型接頭型號(hào)彎曲性能一般較好較差負(fù)載技術(shù)指標(biāo)工作頻段0-2.5ghz特性阻抗50歐端口駐波比1.2接頭形式n_male功率容量2w附錄2：用戶認(rèn)證系統(tǒng)介紹cams（comprehensive access management server）綜合訪問管理服務(wù)器是華為3com公司推出的集事前認(rèn)證、事中監(jiān)控、事后審計(jì)和業(yè)務(wù)管理為一體的多業(yè)務(wù)安全接入管理平臺(tái)，可以與華為3com交換機(jī)、路由器、vpn網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備共同組網(wǎng)，實(shí)現(xiàn)對(duì)用戶寬帶接入、vpn接入、無線接入以及ip電話接入的管理、認(rèn)證、授權(quán)和計(jì)費(fèi)。 cams作為企業(yè)網(wǎng)的用戶管理中心，在基本的aaa（authorizat

35、ion、authentication and accounting）功能之上， 提供了多業(yè)務(wù)融合的管理、維護(hù)和安全控制平臺(tái)，可與企業(yè)現(xiàn)有系統(tǒng)平滑對(duì)接，構(gòu)建可管理、可運(yùn)營(yíng)、高安全的企業(yè)網(wǎng)絡(luò)。產(chǎn)品特點(diǎn)cams采用分布式、模塊化、跨平臺(tái)的開放體系結(jié)構(gòu)和基于tcp/ip的通信機(jī)制，可以平滑擴(kuò)容、靈活擴(kuò)展、按需定制。cams采用windows操作系統(tǒng)平臺(tái)和sql server數(shù)據(jù)庫(kù)管理系統(tǒng)，并支持集群服務(wù)器、磁盤陣列、數(shù)據(jù)庫(kù)備份等特性，為用戶提供了一種低價(jià)格、高可靠、高性能的網(wǎng)絡(luò)安全和用戶管理解決方案，能夠滿足各種規(guī)模網(wǎng)絡(luò)的用戶管理、身份認(rèn)證、權(quán)限控制和實(shí)時(shí)計(jì)費(fèi)的要求。完備、可靠的網(wǎng)絡(luò)安全保證強(qiáng)大的用戶

36、身份認(rèn)證l 支持802.1x、pppoe、portal/portal+（dhcp+web）、vpn接入、無線接入、ip電話等多種認(rèn)證接入方式。l 支持pap、chap、eap-md5、eap-tls、peap等多種身份驗(yàn)證方式，適應(yīng)不同安全要求的應(yīng)用場(chǎng)景。l 支持用戶與設(shè)備ip地址、接入端口、vlan、用戶ip地址和mac地址等硬件信息的綁定認(rèn)證，增強(qiáng)用戶認(rèn)證的安全性，防止賬號(hào)盜用和非法接入。l 支持與windows域管理器、第三方郵件系統(tǒng)（必須支持ldap協(xié)議）的統(tǒng)一認(rèn)證，避免用戶記憶多個(gè)用戶名和密碼。l 支持多區(qū)域用戶漫游。l 支持端點(diǎn)準(zhǔn)入防御（ead）解決方案，確保所有接入網(wǎng)絡(luò)的用戶終端

37、符合企業(yè)的安全策略。（提供自動(dòng)補(bǔ)丁管理、多廠商防病毒聯(lián)動(dòng)防御等系統(tǒng)漏洞管理能力，確保終端的自防御能力。提供桌面管理代理，支持軟件安裝合法性檢查、網(wǎng)絡(luò)服務(wù)合法性檢查、終端安全設(shè)置檢查等功能，確保終端的運(yùn)行環(huán)境符合企業(yè)安全標(biāo)準(zhǔn)，防止濫用網(wǎng)絡(luò)游戲，私設(shè)dhcp、代理等網(wǎng)絡(luò)服務(wù)。支持安全級(jí)別的個(gè)性化設(shè)置，可以根據(jù)實(shí)際需要進(jìn)行各種安全策略的靈活配置。）嚴(yán)格的用戶權(quán)限控制l 基于用戶的權(quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問權(quán)限。l 可以控制用戶的上網(wǎng)帶寬（qos；802.1x認(rèn)證支持）、限制用戶的同時(shí)在線數(shù)、禁止用戶設(shè)置和使用代理服務(wù)器，有效防止個(gè)別用戶對(duì)網(wǎng)絡(luò)資源的過度占用。l 可以實(shí)現(xiàn)對(duì)用戶acl

38、、vlan的控制，限制用戶對(duì)內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問（802.1x認(rèn)證支持）。l 可以限制用戶ip地址分配策略，防止ip地址盜用和沖突。l 可以限制用戶的接入時(shí)段和接入?yún)^(qū)域，用戶只能在允許的時(shí)間和地點(diǎn)上網(wǎng)。l 可以限制終端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)，防止內(nèi)部信息泄露。l 可以限制用戶必須使用專用安全客戶端，并強(qiáng)制自動(dòng)升級(jí)，確保認(rèn)證客戶端的安全性。詳盡的用戶行為監(jiān)控l cams提供強(qiáng)大的“黑名單”管理策略，可以將惡意猜測(cè)密碼的用戶加入黑名單，并可按mac、ip地址跟蹤非法行為的來源。l 管理員可以實(shí)時(shí)監(jiān)控在線用戶，強(qiáng)制非法用戶下線。l 支持消息下發(fā)，管理員可以通過cams向上網(wǎng)用戶發(fā)布通知消息，如“系統(tǒng)升級(jí)，網(wǎng)絡(luò)將在10分中后切斷”、“您的密碼遭惡意試探，請(qǐng)注意保護(hù)密碼安全”等。l cams記錄認(rèn)證失敗日志、并可以全面跟蹤用戶上網(wǎng)流程，方便定位與解決用戶無法接入、異常斷線等問題。靈活、開放的計(jì)費(fèi)策略cams系統(tǒng)采用開放、抽象的計(jì)費(fèi)模型，具有良好的適應(yīng)性和擴(kuò)充性，能夠滿足不同應(yīng)用場(chǎng)景的計(jì)費(fèi)需求，用戶可以根據(jù)運(yùn)營(yíng)的需要輕松定制計(jì)費(fèi)方式和費(fèi)率。l 支持純包月、包月限時(shí)、包月限流量等易于管理的包月型計(jì)費(fèi)方式。l 支持包月暫停的功能，可以