華為WLAN無線醫(yī)療技術(shù)建議書

1、 DOCPROPERTY Product&Project Name 無線醫(yī)療WLAN技術(shù)解決方案 DOCPROPERTY DocumentName 技術(shù)建議書 DOCPROPERTY Confidential 目 錄 TOC h z t 標題 1,1,標題 2,2,標題 3,3,標題 7,1,標題 8,2,標題 9,3,Heading1 No Number,1 HYPERLINK l _Toc511033963 1 無線醫(yī)療WLAN網(wǎng)絡(luò)背景和需求 PAGEREF _Toc511033963 h 1 HYPERLINK l _Toc511033964 1.1 無線醫(yī)療簡介 PAGEREF _To

2、c511033964 h 1 HYPERLINK l _Toc511033965 1.2 無線醫(yī)療的總體需求 PAGEREF _Toc511033965 h 2 HYPERLINK l _Toc511033966 1.2.1 無線網(wǎng)絡(luò)安全問題 PAGEREF _Toc511033966 h 2 HYPERLINK l _Toc511033967 1.2.2 無線網(wǎng)絡(luò)規(guī)劃實施問題 PAGEREF _Toc511033967 h 2 HYPERLINK l _Toc511033968 1.2.3 無線用戶漫游問題 PAGEREF _Toc511033968 h 3 HYPERLINK l _Toc

3、511033969 1.2.4 無線網(wǎng)絡(luò)管理問題 PAGEREF _Toc511033969 h 3 HYPERLINK l _Toc511033970 2 無線醫(yī)療WLAN基礎(chǔ)網(wǎng)絡(luò)方案 PAGEREF _Toc511033970 h 4 HYPERLINK l _Toc511033971 2.1 無線醫(yī)療架構(gòu) PAGEREF _Toc511033971 h 4 HYPERLINK l _Toc511033972 2.1.1 WLAN無線網(wǎng)在有線網(wǎng)絡(luò)上疊加 PAGEREF _Toc511033972 h 4 HYPERLINK l _Toc511033973 2.1.2 有線網(wǎng)改造+WLAN無

4、線網(wǎng)建設(shè) PAGEREF _Toc511033973 h 5 HYPERLINK l _Toc511033974 2.1.3 無線AP部署方案 PAGEREF _Toc511033974 h 6 HYPERLINK l _Toc511033975 2.2 WLAN覆蓋規(guī)劃 PAGEREF _Toc511033975 h 8 HYPERLINK l _Toc511033976 2.2.1 射頻規(guī)劃 PAGEREF _Toc511033976 h 8 HYPERLINK l _Toc511033977 2.2.2 SSID和漫游規(guī)劃 PAGEREF _Toc511033977 h 11 HYPER

5、LINK l _Toc511033978 2.2.3 醫(yī)院病房，手術(shù)室等具體場景規(guī)劃 PAGEREF _Toc511033978 h 13 HYPERLINK l _Toc511033979 2.3 業(yè)務(wù)帶寬規(guī)劃 PAGEREF _Toc511033979 h 13 HYPERLINK l _Toc511033980 2.3.1 基于用戶的帶寬管理 PAGEREF _Toc511033980 h 14 HYPERLINK l _Toc511033981 2.3.2 基于AP的帶寬管理 PAGEREF _Toc511033981 h 14 HYPERLINK l _Toc511033982 2.

6、3.3 基于SSID的帶寬管理 PAGEREF _Toc511033982 h 14 HYPERLINK l _Toc511033983 2.3.4 基于業(yè)務(wù)的帶寬管理 PAGEREF _Toc511033983 h 14 HYPERLINK l _Toc511033984 2.4 可靠性規(guī)劃 PAGEREF _Toc511033984 h 15 HYPERLINK l _Toc511033985 2.4.1 AC 1+1備份 PAGEREF _Toc511033985 h 15 HYPERLINK l _Toc511033986 2.4.2 CAPWAP斷鏈業(yè)務(wù)保持 PAGEREF _Toc

7、511033986 h 15 HYPERLINK l _Toc511033987 2.4.3 AP可靠性 PAGEREF _Toc511033987 h 16 HYPERLINK l _Toc511033988 2.4.4 自動調(diào)優(yōu) PAGEREF _Toc511033988 h 17 HYPERLINK l _Toc511033989 2.4.5 負載均衡 PAGEREF _Toc511033989 h 17 HYPERLINK l _Toc511033990 2.4.6 5G優(yōu)先接入 PAGEREF _Toc511033990 h 18 HYPERLINK l _Toc511033991

8、2.4.7 干擾檢測 PAGEREF _Toc511033991 h 19 HYPERLINK l _Toc511033992 2.4.8 逐包功率調(diào)整 PAGEREF _Toc511033992 h 19 HYPERLINK l _Toc511033993 2.5 安全性規(guī)劃 PAGEREF _Toc511033993 h 19 HYPERLINK l _Toc511033994 2.5.1 內(nèi)外網(wǎng)隔離 PAGEREF _Toc511033994 h 20 HYPERLINK l _Toc511033995 2.5.2 無線空口安全 PAGEREF _Toc511033995 h 21 HY

9、PERLINK l _Toc511033996 2.5.3 終端用戶精細化管控安全 PAGEREF _Toc511033996 h 24 HYPERLINK l _Toc511033997 2.6 無線定位方案 PAGEREF _Toc511033997 h 26 HYPERLINK l _Toc511033998 2.7 運維方案規(guī)劃 PAGEREF _Toc511033998 h 27 HYPERLINK l _Toc511033999 2.7.1 便捷設(shè)備配置和向?qū)綐I(yè)務(wù)部署管理 PAGEREF _Toc511033999 h 27 HYPERLINK l _Toc511034000 2

10、.7.2 可視化的WLAN網(wǎng)絡(luò)統(tǒng)一視圖 PAGEREF _Toc511034000 h 28 HYPERLINK l _Toc511034001 2.7.3 全方位的故障監(jiān)控 PAGEREF _Toc511034001 h 29 HYPERLINK l _Toc511034002 3 華為無線醫(yī)療WLAN方案優(yōu)勢 PAGEREF _Toc511034002 h 30 HYPERLINK l _Toc511034003 4 設(shè)備選型和配置建議 PAGEREF _Toc511034003 h 32 HYPERLINK l _Toc511034004 4.1 產(chǎn)品介紹 PAGEREF _Toc511

11、034004 h 32 HYPERLINK l _Toc511034005 4.1.1 大廳放裝AP：AP4050DN-E PAGEREF _Toc511034005 h 32 HYPERLINK l _Toc511034006 4.1.2 大廳高密放裝AP：AP4050DN-HD PAGEREF _Toc511034006 h 32 HYPERLINK l _Toc511034007 4.1.3 病房覆蓋：敏分AP PAGEREF _Toc511034007 h 33 HYPERLINK l _Toc511034008 4.1.4 室外普通覆蓋：AP8050DN & AP8150DN PAG

12、EREF _Toc511034008 h 35 HYPERLINK l _Toc511034009 4.1.5 室外高密覆蓋：AP8082DN&AP8182DN PAGEREF _Toc511034009 h 35 HYPERLINK l _Toc511034010 4.1.6 AC6605-26-PWR PAGEREF _Toc511034010 h 36 HYPERLINK l _Toc511034011 4.1.7 ENP系列隨板無線接入控制單板 PAGEREF _Toc511034011 h 37 HYPERLINK l _Toc511034012 4.1.8 獨立盒式AC6005 P

13、AGEREF _Toc511034012 h 37 HYPERLINK l _Toc511034013 4.1.9 插卡式ACU2.0 PAGEREF _Toc511034013 h 38 HYPERLINK l _Toc511034014 4.1.10 S12700 PAGEREF _Toc511034014 h 39 HYPERLINK l _Toc511034015 4.1.11 eSight網(wǎng)管軟件 PAGEREF _Toc511034015 h 40 HYPERLINK l _Toc511034016 4.2 推薦配置 PAGEREF _Toc511034016 h 42無線醫(yī)療WL

14、AN網(wǎng)絡(luò)背景和需求無線醫(yī)療簡介當代社會，人口快速增長、老齡化趨勢加快、生態(tài)環(huán)境惡化，人們對健康生活渴望愈加強烈，多方面因素不可避免地對醫(yī)療 HYPERLINK /keyword/%D0%C5%CF%A2%BB%AF t _blank 信息化提出了越來越高的要求。醫(yī)療單位也步入了以服務(wù)患者為中心的數(shù)字化醫(yī)療發(fā)展階段。在此過程中，隨著 HYPERLINK /keyword/%D2%C6%B6%AF t _blank 移動技術(shù)日新月異地改變?nèi)藗兊纳罘绞?，“無線醫(yī)療”也成為近兩年醫(yī)療行業(yè)最關(guān)注的信息化技術(shù)和手段。目前大部分三甲醫(yī)院已經(jīng)建立了比較完備的醫(yī)療信息系統(tǒng)（如HIS、PACS等），醫(yī)護人員可以

15、通過有線網(wǎng)絡(luò)來訪問、修改、輸入患者信息、診斷報告和治療方案，但在使用過程中發(fā)現(xiàn)，由于有線網(wǎng)絡(luò)存在信息點固定的局限性，制約了系統(tǒng)發(fā)揮更大的作用。無線網(wǎng)絡(luò)的應(yīng)用徹底打破了這一局限。無線網(wǎng)絡(luò)在醫(yī)院的應(yīng)用主要集中在以下幾方面：移動查房醫(yī)生查房的過程中，需要隨時調(diào)取患者的診療記錄或病史等信息，并根據(jù)患者當時的具體病情隨時下醫(yī)囑。無線網(wǎng)絡(luò)的應(yīng)用，可以使醫(yī)生通過隨身攜帶的平板電腦或PDA，隨時查看病人病歷、檢驗、化驗報告單、影像圖等，把HIS、PACS等信息系統(tǒng)“延伸到床邊”，醫(yī)生在病人床邊即可采集病情、開出醫(yī)囑，以及實現(xiàn)醫(yī)護人員之間的便捷溝通，信息同步； 給醫(yī)生工作帶來便利的同時，也保證了醫(yī)囑和病歷的準確

16、性、實時性，讓患者享受到更滿意的健康服務(wù)；無線護理患者從就診到得到治療通常需要經(jīng)過3個步驟：醫(yī)生檢查患者得出初步診斷后開具醫(yī)囑，護士將醫(yī)囑轉(zhuǎn)抄到輸液袋或治療卡上并準備執(zhí)行，護士實施治療方案。這3個環(huán)節(jié)的每一步都至關(guān)重要。隨著無線網(wǎng)絡(luò)技術(shù)、用戶身份識別技術(shù)與醫(yī)用推車、小型電腦、PDA的結(jié)合，能夠?qū)崿F(xiàn)方便的移動護理，對醫(yī)囑執(zhí)行過程中的每一步進行實時檢查和確認，切實提高醫(yī)療質(zhì)量和醫(yī)護效率。資產(chǎn)管理醫(yī)療設(shè)備不僅是開展醫(yī)療、教學(xué)、科研的必備條件，而且是提高醫(yī)療質(zhì)量的物資基礎(chǔ)和先決條件。一般醫(yī)療單位的醫(yī)療設(shè)備約占醫(yī)院固定資產(chǎn)的1/2，而經(jīng)濟效益約占門診和住院病人資金收入的2/3，也是醫(yī)院產(chǎn)生醫(yī)療信息的主要

17、來源?；赪LAN技術(shù)和射頻技術(shù)（RFID），不僅可以實現(xiàn)貴重資產(chǎn)的精確定位、實時查找，同時可實現(xiàn)移動性的資產(chǎn)出入庫、資產(chǎn)盤點等功能特殊病人管理特殊人群管理包括母嬰管理，精神病人、突發(fā)病患者、殘疾病人等特殊人群管理；這類群體不具備自我管理能力，需要醫(yī)療單位給予更加完善、細致的照顧。結(jié)合WLAN技術(shù)和射頻識別技術(shù)，可以實現(xiàn)實時位置信息查詢、緊急情況告警、醫(yī)院特殊重地管理、安全范圍界定等，提高醫(yī)院管理水平。無線輸液門診輸液工作量大，業(yè)務(wù)繁忙瑣碎，一旦出現(xiàn)差錯，有可能危及病人生命安全；基于WLAN技術(shù)的無線輸液管理系統(tǒng)可以解決在門診場地有限、人員流動性大的場合病人輸液難題。輸液信息電子化，結(jié)合“病人

18、腕帶”、具備掃描功能的無線PDA，實現(xiàn)病人從入院、治療到出院全過程的身份確定，并在取藥、配藥、輸液等各個環(huán)節(jié)利用電子條碼對病人、藥物嚴格進行驗證匹配，醫(yī)護人員一目了然，最大程度上保證病人服藥及治療的安全，降低醫(yī)療差錯發(fā)生率。方便患者就診門診排隊、就醫(yī)環(huán)境差是目前醫(yī)院普遍存在的問題，減少就診等待時間，提高診治效率成為當務(wù)之急。無線網(wǎng)絡(luò)部署后，醫(yī)生可以通過平板電腦或者PDA，將接診或等待的患者數(shù)量信息實施傳送到前臺分診人員處，方便分診人員及時調(diào)配資源；同時在公共局域開放的無線網(wǎng)絡(luò)，可以提供給病人上網(wǎng)，并推送醫(yī)院電子地圖和推送就診指導(dǎo)信息，緩解病人情緒，提升患者滿意度。無線醫(yī)療的總體需求隨著醫(yī)院信息

19、化的發(fā)展、網(wǎng)絡(luò)中所承載內(nèi)容的變化、新的接入方式的成熟?，F(xiàn)代WLAN無線醫(yī)院的需求概括為如下幾點。無線網(wǎng)絡(luò)安全問題由于無線電波的開放性，對醫(yī)院通過傳統(tǒng)的內(nèi)網(wǎng)物理隔離來保證安全提出了新的挑戰(zhàn)；醫(yī)院中患者的電子病歷、個人資料一旦被泄漏、惡意修改，或者被其他機構(gòu)獲得，都會釀成嚴重后果。同時，醫(yī)院自身的信息保密也尤為重要，避免信息泄露造成難以彌補的損失。如何保證內(nèi)網(wǎng)、外網(wǎng)的安全隔離，如何保證移動場景下的接入訪問控制，以及避免信息通過移動終端泄露，成為無線安全方面關(guān)注的重要問題；無線網(wǎng)絡(luò)規(guī)劃實施問題無線網(wǎng)絡(luò)的規(guī)劃和實施直接決定了后續(xù)的業(yè)務(wù)應(yīng)用效果，主要關(guān)注以下幾個問題：信號覆蓋盲點問題：建筑物的不同架構(gòu)（

20、如衛(wèi)生間問題）和墻壁介質(zhì)會對無線信號的傳輸造成不同程度的影響，尤其是部署大量AP時，如何實現(xiàn)信號連續(xù)覆蓋無盲點是必須考慮的問題。無線AP供電：許多醫(yī)院在開始建樓時并沒有考慮到無線網(wǎng)絡(luò)的部署問題，也就沒有預(yù)留出電源供無線AP使用，如果重新改造電源線路，施工成本必然提升。AP之間的干擾問題：在一定的空間內(nèi)部署多個AP，信號會有相互交錯重疊，從而造成信號干擾。如何解決，需要關(guān)注。覆蓋環(huán)境中其他的2.4GHz/5GHz波段的射頻干擾源，如微波爐、無繩電話、藍牙耳機等；無線設(shè)備對患者（患者體內(nèi)植入心臟起搏器或心臟除顫器）潛在的干擾；醫(yī)院部署時需要考慮無線網(wǎng)絡(luò)與醫(yī)療儀器之間不存在互相干擾，以及盡量解除部署

21、無線給病人帶來的心里壓力。無線用戶漫游問題無線設(shè)備的最大特點就是接入點靈活方便，但同時對網(wǎng)絡(luò)性能提出更高的要求：醫(yī)護人員在不同無線網(wǎng)絡(luò)覆蓋區(qū)移動時能否快速接入醫(yī)院管理系統(tǒng)，在快速的移動過程中如何保證業(yè)務(wù)不中斷，不會造成信息丟失以及影響醫(yī)護人員的工作體驗。無線網(wǎng)絡(luò)管理問題為了達到信號全面覆蓋，無線網(wǎng)絡(luò)中往往需要部署大量AP，如何對數(shù)百個AP進行快速有效的配置和管理，融合到原有的管理系統(tǒng)中，有線無線網(wǎng)絡(luò)能否實現(xiàn)一體化的統(tǒng)一運維，也是許多醫(yī)院在部署無線網(wǎng)絡(luò)時關(guān)心的問題。無線醫(yī)療WLAN基礎(chǔ)網(wǎng)絡(luò)方案無線醫(yī)療架構(gòu)不同醫(yī)院現(xiàn)有有線網(wǎng)絡(luò)架構(gòu)的差異，使得各醫(yī)院的WLAN網(wǎng)絡(luò)建設(shè)存在一定的差異。根據(jù)WLAN無線

22、網(wǎng)建設(shè)對現(xiàn)有網(wǎng)絡(luò)的疊加的影響程度，整體可以分為兩個場景：不改變有線網(wǎng)，WLAN無線網(wǎng)在現(xiàn)有網(wǎng)絡(luò)上疊加；新建分院或者有線網(wǎng)改造和WLAN無線網(wǎng)建設(shè)同部進行。WLAN無線網(wǎng)在有線網(wǎng)絡(luò)上疊加WLAN無線網(wǎng)絡(luò)建設(shè)，直接在現(xiàn)有網(wǎng)絡(luò)上疊加，盡量減少對現(xiàn)有網(wǎng)絡(luò)的影響和改動。這個情況下，建議采用下圖所示的WLAN方案。AC放置在核心機房，旁掛于核心交換機上，采用集中轉(zhuǎn)發(fā)模式，數(shù)據(jù)報文直接通過隧道到AC進行處理，對現(xiàn)有網(wǎng)絡(luò)幾乎無影響；AP放置在目標覆蓋位置，通過接入交換機POE供電。AC設(shè)備：AC設(shè)備推薦盒式產(chǎn)品AC6605，旁掛在核心層交換機。AC6605可以提供24口PoE+滿供能力，可直接接入AP，并提供

23、PoE+供電能力。提供豐富靈活的用戶策略管理及權(quán)限控制能力。最大可支持1024個AP的管理。AP設(shè)備室內(nèi)或者室外場景推薦選擇放裝型設(shè)備，減少無線布線的繁瑣。AP設(shè)備采用POE供電，就近接入接入交換機，對于報告廳等高密場景推薦使用AP4050DN-HD以提高單臺AP容量。接入交換機：接入層新增千兆POE接入交換機，滿足AP供電以及WLAN 11n/11ac對接入帶寬的需求。接入交換機推薦選擇華為S5720SI。有線網(wǎng)改造+WLAN無線網(wǎng)建設(shè)WLAN無線網(wǎng)建設(shè)和有線網(wǎng)改造同時進行，有線采用802.1x認證，無線采用Portal/IPOE認證，打造有線無線一體化、統(tǒng)一認證和管理的一體化無線醫(yī)院方案。

24、新建醫(yī)院或者有線改造和無線WLAN網(wǎng)絡(luò)建設(shè)同步進行時，推薦整體解決方案如下圖所示。園區(qū)核心：核心層推薦采用華為S12700交換機。其獨創(chuàng)的CSS2集群，數(shù)據(jù)跨框1次交換，21us最低跨框時延，僅為業(yè)界平均時延的60%。且CSS2交換網(wǎng)集群支持1+N冗余備份，增加核心層設(shè)備的可靠性。 網(wǎng)絡(luò)改造的關(guān)鍵在于“統(tǒng)一認證，集中管理”，在醫(yī)院出口部署華為融合統(tǒng)一用戶管理特性的高性能交換機S12700。有線接入采取802.1x認證技術(shù)，無線接入采用Portal認證技術(shù)，所有認證工作通過寬帶業(yè)務(wù)網(wǎng)關(guān)完成。 S12700交換機的可編程單板內(nèi)置無線AC功能（Native AC），有線無線統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一控制、統(tǒng)一管

25、理，實現(xiàn)有線無線真正融合，且無需在單獨購買AC板卡。 AP設(shè)備：室內(nèi)或者室外場景推薦選擇放裝型設(shè)備，減少無線布線的繁瑣。AP設(shè)備采用POE供電，就近接入接入交換機，對于報告廳等高密場景推薦使用AP4050DN-HD以提高單臺AP容量。室內(nèi)AP推薦AP4050DN-E，室外AP推薦AP8050DN或者AP8082DN。接入交換機：接入層新增千兆POE接入交換機，滿足AP供電以及WLAN 11n/11ac對接入帶寬的需求。接入交換機推薦選擇華為S5720SI系列交換機。無線AP部署方案無線AP的部署方案整體分為放裝方案，敏分方案兩種。兩種方案的區(qū)別和比較如下。主要特性對比室內(nèi)放裝系統(tǒng)敏分方案系統(tǒng)覆

26、蓋效果支持2.4G/5G終端接入，部署情況需要根據(jù)實際環(huán)境與建筑布局等來綜合網(wǎng)規(guī)評估，病房覆蓋效果會受到穿墻等因素影響。保證99%以上的信號覆蓋率，病房覆蓋效果好，移動查房業(yè)務(wù)不中斷 每AP最大覆蓋房間數(shù)量需要根據(jù)實際客戶需求以及部署場景來綜合網(wǎng)規(guī)評估。通?？筛采w46個房間。一個中心AP下掛24個RU單元，可以覆蓋24個房間其他輔料不需要其他輔料，AC、AP只需要網(wǎng)線即可需AC、AP間走網(wǎng)線【方案一】室內(nèi)放裝：AP布放在所規(guī)劃的安裝點，接入交換機放在弱電井內(nèi)，提供AP的POE供電，同時做接入層匯聚到上層交換機。廣域網(wǎng)網(wǎng)管、服務(wù)器AC6605接入交換機-原網(wǎng)絡(luò)置于樓層弱電井AP4050DN-EA

27、P4050DN-EAP4050DN-E用戶樓層內(nèi)天花板布放圖1 WLAN無線網(wǎng)絡(luò)方裝方案【方案二】敏分方案：在每個樓層的弱電井內(nèi)或者走廊布放AD9430，通過網(wǎng)線，連接RRU R240D到病房，實現(xiàn)雙頻覆蓋圖2 WLAN無線網(wǎng)絡(luò)建設(shè)廣域網(wǎng)網(wǎng)管、服務(wù)器原網(wǎng)絡(luò)AC6605匯聚交換機置于樓層弱電井RU病房WLAN覆蓋規(guī)劃射頻規(guī)劃與IP地址規(guī)劃一樣，WLAN信道是WLAN網(wǎng)絡(luò)設(shè)計中重要一環(huán)，大型無線醫(yī)院必須對WLAN信道進行統(tǒng)一規(guī)劃。WLAN信道規(guī)劃的好壞，影響到無線網(wǎng)絡(luò)的帶寬、無線網(wǎng)絡(luò)的性能、無線網(wǎng)絡(luò)的擴展以及無線網(wǎng)絡(luò)的抗干擾能力，也必將直接影響到無線網(wǎng)絡(luò)的用戶體驗。頻點劃分為保證信道之間不相互干擾

28、，大型無線醫(yī)院必須對WLAN信道進行統(tǒng)一規(guī)劃并實施。WLAN系統(tǒng)主要應(yīng)用兩個頻段：2.4GHz和5.0GHz。2.4G頻段具體頻率范圍為2.42.4835GHz的連續(xù)頻譜，信道編號114，非重疊信道共有三個，一般選取1、6、11這三個非重疊信道。5.0G頻段分配的頻譜并不連續(xù)，主要有兩段：5.155.35GHz、5.725GHz5.85GHz。不重疊信道在5.155.35GHz頻段有8個，分別為36、40、44、48、52、56、60、64；在5.725GHz5.85GHz頻段有4個，分別為149、153、157、161，可以根據(jù)實際部署情況，選擇相應(yīng)的非重疊信道。信道覆蓋WLAN信道規(guī)劃需遵

29、循兩個原則：蜂窩覆蓋、信道間隔。根據(jù)覆蓋密度、干擾情況、選擇2.4G/5G單頻或雙頻覆蓋。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信號相互干擾；一般情況單獨使用2.4G或5.0G的頻段，對于會議室等高密度用戶接入的場所，可以啟用雙頻進行覆蓋，以便提供更好的接入能力。單頻覆蓋和雙頻覆的示意圖如下圖所示。鏈路預(yù)算WLAN鏈路預(yù)算一般經(jīng)過邊緣場強確認，空間損耗計算，覆蓋距離計算等步驟。邊緣場強確認是指：在WLAN工程部署中，要求重點覆蓋區(qū)域內(nèi)的WLAN信號到達用戶終端的電平不低于75dBm。這樣可以保障用戶與AP的協(xié)商速率以及收發(fā)數(shù)據(jù)質(zhì)量。空間損耗計算通常采用如下

30、公式：。其中：PrdB為最小接收電平，即為AP在不同傳輸速率下的接收靈敏度；PtdB為最大發(fā)射功率；GtdB為發(fā)射天線增益；GrdB為接收天線增益；PldB為路徑損耗（包括空間傳播損耗、饋線傳播損耗、墻體/玻璃阻擋損耗）。實際部署中終端天線增益不可知，為方便計算常忽略接收天線增益，而采用如下公式：到達用戶端的信號電平AP發(fā)射功率AP天線增益路徑損耗。路徑損耗主要指WLAN信號的空間損耗，空間損耗92.4+20lgf+20lgd （f：GHz，d：km）。由公式推算可知：空間傳輸距離100m200m300m400m500m600m1000m100m2.4GHz信號的空間衰減(dBm)808689

31、.5929495.5100805.8GHz信號的空間衰減(dBm)87.693.697.199.6101.6103.1107.687.6為便于理解鏈路估算的過程，這里給出一個室外場景覆蓋和室內(nèi)場景覆蓋的預(yù)算案例：根據(jù)WLAN覆蓋邊緣場強的要求，到達終端用戶的信號電平不低于75dBm，500mW AP的輸出電平27dBm，天線增益11dBi，距離AP 500m處信號的衰減量94dBm，由于27+11-94-56dBm，大于-75dBm，因此在通常情況下，AP的覆蓋范圍為500m。由于數(shù)據(jù)通信是雙向的，終端的信號發(fā)射功率相對AP較弱，綜合考慮，一般建議室外AP的覆蓋范圍為200m300m。有些場景

32、需要利用無線AP設(shè)備做橋接，華為AP橋接可以按照3km5km規(guī)劃。根據(jù)WLAN覆蓋邊緣場強的要求，到達終端用戶的信號電平不低于75dBm，100mW AP的輸出電平20dBm，天線增益4dBi，距離AP 60m處信號的衰減量90dBm，由于20+4-90-66dBm，大于-75dBm，因此在正常情況下，室內(nèi)AP的覆蓋范圍為60m?？紤]到室內(nèi)環(huán)境復(fù)雜，無線信號需要穿越墻體等障礙物，一般建議覆蓋半徑為20m左右。 規(guī)劃工具無論是室內(nèi)還是室外，精細地覆蓋規(guī)劃都是一件非常有挑戰(zhàn)的工作。很多項目的無線網(wǎng)絡(luò)規(guī)劃設(shè)計完全參照經(jīng)驗進行設(shè)計，與現(xiàn)網(wǎng)環(huán)境不能有機結(jié)合，不但缺乏科學(xué)的依據(jù)，準確率也不高，且規(guī)劃效率低

33、下。粗放的覆蓋規(guī)劃不能充分發(fā)揮WLAN的性能，并且也給后期維護優(yōu)化帶來更多的工作量，增加后期成本。華為提供專業(yè)的規(guī)劃服務(wù)工具，可以提供從規(guī)劃、建設(shè)和優(yōu)化全流程的工具支撐，大大提升醫(yī)院這種場景覆蓋規(guī)劃的效率和準確性。SSID和漫游規(guī)劃SSID規(guī)劃AP可以配置多個SSID，華為單頻AP可支持16個SSID，雙頻AP可支持32個SSID。通過配置多個SSID，AC針對不同的SSID下發(fā)不同的策略，SSID根據(jù)策略進行終端與業(yè)務(wù)管理。無線網(wǎng)絡(luò)可按照用戶群體劃分不同的SSID，如下圖所示，針對三種不同的用戶群體，在AP上設(shè)置了3個SSID：SSID1用于患者、SSID2用于訪客和SSID3用于醫(yī)生。SS

34、ID和VLAN的映射通常，以太網(wǎng)中管理VLAN和業(yè)務(wù)VLAN是分離的。業(yè)務(wù)VLAN主要用于區(qū)分不同的業(yè)務(wù)類型或用戶群體。在WLAN網(wǎng)絡(luò)中SSID也同樣可以承擔(dān)相應(yīng)的工作。因此，在SSID的規(guī)劃中必須綜合考慮VLAN與SSID的映射關(guān)系。業(yè)務(wù)VLAN應(yīng)根據(jù)實際業(yè)務(wù)需要與SSID匹配映射關(guān)系，映射關(guān)系有1:1、1:N、N:1、N:N四種。漫游規(guī)劃漫游是指用戶在部署了WLAN網(wǎng)絡(luò)的場所移動時，用戶終端可以從一個AP的覆蓋范圍移動到另一個AP的覆蓋范圍，用戶無需重新登錄和認證，如下圖所示。醫(yī)護人員從一個AP覆蓋范圍移動到另一個AP覆蓋范圍，無需重新登錄和認證, 醫(yī)護人員在同樓層移動，跨樓層移動，園區(qū)內(nèi)

35、移動時業(yè)務(wù)不中斷。說明：1、漫游過程中SSID必須一致，且使用相同的安全設(shè)置。2、漫游中選擇連接哪個AP是無線客戶端的動作，這個切換的時機和快慢受無線客戶端的芯片或設(shè)置的影響，所以在漫游切換過程中會出現(xiàn)不同的終端切換性能有差異。醫(yī)院病房，手術(shù)室等具體場景規(guī)劃醫(yī)院病房通常為空心磚、加氣混泥土等低密墻體的筒子結(jié)構(gòu)，無線信號可穿兩道墻，因此建議放裝性方案，AP部署在走廊，病房內(nèi)的信號通過信號穿墻的方式覆蓋，該方案施工難度低，運維方案。如果醫(yī)院的病房墻體為35厘米左右的鋼筋混泥土，建議采用智分方案，把天線引入病房房間內(nèi)，確保信號的覆蓋效果。手術(shù)室內(nèi)部一般不允許施工，AP需要部署在手術(shù)室外部走廊的天花板

36、上面，AP正對大門以增強無線信號覆蓋。通常一個AP覆蓋兩個手術(shù)室，相鄰AP采用不同信道，避免信號干擾。醫(yī)院室外園區(qū)的覆蓋，選擇周圍樓頂部署室外型AP，通過定向天線覆蓋目標區(qū)域。在某些不適合部署AP特殊空間，也可以通過室外AP進行室內(nèi)無線信號的覆蓋，室外AP采用定向天線，通常部署在樓頂，信號只需要穿過外層窗戶或者墻壁，就可以對室內(nèi)提供較好的信號覆蓋。下面以北大醫(yī)院的病房為例講述規(guī)劃圖。病房墻體為空心磚構(gòu)造，對無線信號阻礙小，因此采用放裝型AP，在走廊天花板上部署，可以降低部署難度，減少施工量，加快部署速度。 相鄰病房的房門是相鄰的，所以在房門外部署AP可以同時覆蓋兩個病房。相鄰AP使用不同信道，

37、有效避免AP干擾。 實測無線信號強度為-58dBm，遠高于-70dBm，信號良好。 業(yè)務(wù)帶寬規(guī)劃出于管理的需要，醫(yī)院運維的工程師往往需要系統(tǒng)地對用戶或者單AP的帶寬進行管理，比如要求醫(yī)院外的訪客用戶的帶寬不超過512kbps，醫(yī)生這類用戶上網(wǎng)獲得的帶寬不超過1Mbps，華為WLAN解決方案能夠提供基于用戶，基于AP（VAP）或者基于某SSID的帶寬管理?；谟脩舻膸捁芾砘谟脩舻膸捁芾戆谀硞€特定用戶的帶寬管理以及基于用戶組（角色）的帶寬管理?；谟脩舻膸捁芾硇枰猂adius服務(wù)器參與，在認證后Radius下發(fā)用戶帶寬或者用戶組給AC，AC通知AP進行相應(yīng)的帶寬控制。 基于AP的帶寬

38、管理出于管理的目的，有時需要對某個具體的AP進行帶寬管理，如限制某個辦公室里的AP帶寬為30Mbps，可以通過配置Traffic profile 里的VAP Limit Rate實現(xiàn)帶寬管理。 基于SSID的帶寬管理為來自醫(yī)院外的訪客提供上網(wǎng)服務(wù)不是醫(yī)院建設(shè)WLAN的主要目的，一般需要對訪客SSID的容量做限制，以保障內(nèi)部用戶的帶寬和業(yè)務(wù)體驗?；跇I(yè)務(wù)的帶寬管理華為Native AC 可以做到5級Qos調(diào)度，滿足業(yè)務(wù)服務(wù)質(zhì)量要求，保證高優(yōu)先級業(yè)務(wù)的帶寬。以視頻流為例，端到到的方案流程如下圖所示：視頻服務(wù)器通過IP網(wǎng)絡(luò)將廣播報文發(fā)送給AC，并打上優(yōu)先級：Erthnet 802.1p優(yōu)先級為5。A

39、C通過CAPWAP隧道將報文發(fā)送給AP。AC需要將Earthnet優(yōu)先級映射到隧道的優(yōu)先級。在保證效率的同時，為了提升穩(wěn)定性，AP上先將組播報文轉(zhuǎn)為單播報文，然后將報文從有線的優(yōu)先級映射到無線的優(yōu)先級。不同的業(yè)務(wù)進入不同的空口隊列，并且獲取到不同的空口EDCA參數(shù)，從而對不同優(yōu)先級的業(yè)務(wù)實現(xiàn)差異性調(diào)度，保障QOS性能?？煽啃砸?guī)劃WLAN網(wǎng)絡(luò)的穩(wěn)定性被醫(yī)院普遍關(guān)注。一方面是設(shè)備的穩(wěn)定性,AC能夠?qū)崿F(xiàn)倒換后用戶無感知的Session級的備份以及常年工作在室外的AP在惡劣環(huán)境下的適應(yīng)能力等都是醫(yī)院WLAN網(wǎng)絡(luò)可靠性關(guān)注的重點。另一方面射頻能夠?qū)崿F(xiàn)自動檢查周邊無線信號環(huán)境、動態(tài)調(diào)整信道和發(fā)射功率等射頻

40、資源、智能均衡用戶接入，從而降低射頻信號干擾，增加無線網(wǎng)絡(luò)的可靠性。AC 1+1備份WLAN無線醫(yī)院通常規(guī)模較大，為了避免AC單點故障的問題，建設(shè)采取AC 1+1熱備份，增加網(wǎng)絡(luò)的可靠性。如下圖所示。AC 1+1 熱備CAPWAP斷鏈業(yè)務(wù)保持在CAPWAP鏈路中斷后，AP能夠繼續(xù)允許新用戶上線，繼續(xù)訪問CAPWAP未中斷前的所有網(wǎng)絡(luò)資源。當CAPWAP鏈路恢復(fù)后，AP將所有在鏈路中斷期間上線的STA強制下線讓STA重新與該AP進行關(guān)聯(lián)，并通過日志上報所有的STA信息。CAPWAP斷鏈業(yè)務(wù)保持該功能僅在WLAN使用的安全策略為開放系統(tǒng)認證、共享密鑰認證和WPA/WPA2PSK時生效。該功能允許所

41、有通過輸入正確密鑰的用戶上線，即AC上配置的STA黑白名單在CAPWAP斷鏈后不再生效。AP可靠性常年工作在室外的AP面臨嚴寒酷暑，風(fēng)吹雨淋以及雷電災(zāi)害的惡劣環(huán)境。華為室外型AP6510/AP6610提供業(yè)界領(lǐng)先的防塵，防水，防風(fēng)能力，以及防雷能力。領(lǐng)先的防風(fēng)設(shè)計，能夠在大于120mph風(fēng)力下工作（mph=miles per hour，120mph約為16級臺風(fēng)），AP全金屬外殼設(shè)計，符合IP67防護標準，可以完全組織灰塵和細沙的進入，且長時間不懼怕雨淋。AP在-40度60的環(huán)境中正常工作。防雷設(shè)計是華為室外型AP 6510和6610的另外一大亮點。其內(nèi)置的防雷設(shè)計可以減少另外購置防雷設(shè)備。I

42、P 表示Ingress Protection（進入防護）. IP等防護級系統(tǒng)提供了一個以電器設(shè)備和包裝的防塵、防水和防碰撞程度來對產(chǎn)品進行分類的方法，這套系統(tǒng)得到了多數(shù) HYPERLINK /view/3622.htm t _blank 歐洲國家的認可，國際電工協(xié)會IEC（International Electro Technical Commission）起草，并在IED529（BS EN 60529：1992）外包裝防護等級（IP code）中宣布。防護等級多以IP后跟隨兩個數(shù)字來表述，數(shù)字用來明確防護的等級。第一個數(shù)字表明設(shè)備抗微塵的范圍，或者是人們在密封環(huán)境中免受危害的程度。I代表防止

43、固體異物進入的等級，最高級別是6；第二個數(shù)字表明設(shè)備防水的程度。P代表防止進水的等級，最高級別是8。另一方面，AP的調(diào)優(yōu)特性可以在個別AP故障或者性能惡化時自動調(diào)優(yōu)，以提升WLAN網(wǎng)絡(luò)的穩(wěn)定性；在報告廳等高密覆蓋場所，AP間的負載均衡和5G優(yōu)先特性對WLAN網(wǎng)絡(luò)的穩(wěn)定性也做出重要貢獻。自動調(diào)優(yōu)當AP射頻環(huán)境出現(xiàn)惡化，某個AP故障或新增擴容AP時，需要啟動射頻自動調(diào)優(yōu)，以增強系統(tǒng)的可靠性和穩(wěn)定性。建議選擇同時支持局部調(diào)優(yōu)和全局調(diào)優(yōu)的AP設(shè)備。局部調(diào)優(yōu)可方便的應(yīng)用于擴容新AP、單點AP故障或者微波爐等局部環(huán)境變化而引起的信道環(huán)境變化場景，如下圖所示。全局調(diào)優(yōu)更多的應(yīng)用于新建WLAN網(wǎng)絡(luò)或者大面積信

44、道環(huán)境惡化場景。局部調(diào)優(yōu)當AP3掉電或故障時，其鄰近AP1和AP4自動感知，并調(diào)整發(fā)射功率，從而達到補盲的效果。AP3重新上線后，其鄰居AP1和AP4的自動的調(diào)整發(fā)射功率，避免AP與鄰居因覆蓋區(qū)域重疊造成AP間相互干擾。負載均衡無線客戶端一般會根據(jù)AP信號強度（RSSI）選擇AP，這很容易導(dǎo)致大量的客戶端僅僅因為某個AP信號較強而連接到同一個AP上。由于WLAN是基于CSMA/CA機制，實現(xiàn)多用戶接入，當單臺AP接入用戶數(shù)過多時，用戶吞吐率性能會出現(xiàn)急劇下降且穩(wěn)定性無法保證。負載均衡特性可以按照用戶數(shù)量和用戶流量，將用戶分配到同一組但負載不同的AP上，從而實現(xiàn)不同AP之間的負載分擔(dān)，避免出現(xiàn)某

45、個AP負載過高而使其性能不穩(wěn)的情況。WLAN負載均衡如上圖所示。用戶模式：AP1和AP2屬于同一個負載均衡組，AP1已接入4個STA，AP2已接入2個STA。AP1與AP2接入STA個數(shù)的差值為2，當閾值設(shè)置為1時，新接入的STA7被均衡到接入用戶數(shù)量較少的AP2上。 流量模式：AP1和AP2屬于同一個負載均衡組，AP1已接入4個STA，AP2已接入2個STA。但AP2上的STA5/STA6承載高帶寬業(yè)務(wù)，總帶寬流量30M超過AP1的總帶寬8M，當設(shè)定閾值為12M，新接入的STA7被均衡到流量負荷較小的AP1上。 5G優(yōu)先接入5G優(yōu)先接入是指對于雙頻AP（AP同時支持2.4G和5G射頻），如果

46、STA也同時支持5G和2.4G的功能，則AP控制STA優(yōu)先接入5G。現(xiàn)網(wǎng)應(yīng)用中，大多數(shù)STA同時支持5G和2.4G的功能，STA通過AP接入Internet時，通常默認選擇2.4G接入。如果用戶想要接入5G，需要手工選擇。在高密度用戶或者2.4G頻段干擾較為嚴重的環(huán)境中，5G頻段可以提供更好的接入能力，減少干擾對用戶上網(wǎng)的影響。通過5G優(yōu)先接入功能，AP可以控制STA優(yōu)先接入5G。 干擾檢測WLAN網(wǎng)絡(luò)的無線信道經(jīng)常會受到周圍環(huán)境影響而導(dǎo)致服務(wù)質(zhì)量變差。通過配置干擾檢測，監(jiān)測AP可以實時了解周圍無線信號環(huán)境，并及時向AC上報告警。干擾檢測可以檢測的干擾類型包括：AP同頻干擾、AP鄰頻干擾和ST

47、A干擾。 AP同頻干擾：兩個工作在相同頻段上的AP之間的相互干擾。例如，對于規(guī)模較大的WLAN網(wǎng)絡(luò)（例如高校），同一信道常常需要被不同AP使用。當這些AP之間存在著重復(fù)區(qū)域時，就存在同頻干擾問題，大大降低網(wǎng)絡(luò)性能。AP鄰頻干擾：兩個中心頻率不同的AP的發(fā)射頻寬有重疊的部分，形成了鄰頻干擾。因此，鄰頻設(shè)備距離太近或信號太強時，會導(dǎo)致整體的噪聲變高，影響網(wǎng)絡(luò)性能。STA干擾：如果AP周圍存在過多的非本AP管理的STA，可能會對本AP下的STA的業(yè)務(wù)造成干擾。逐包功率調(diào)整傳統(tǒng)的射頻功率控制只是靜態(tài)的將AP的功率設(shè)為固定值，對AP覆蓋范圍內(nèi)的所有用戶的功率都保持一致。而逐包功率調(diào)整功能可以使AP實時檢

48、測STA的信號強度，如果STA信號強度強（距離AP較近），則發(fā)送數(shù)據(jù)包時自動降低實際發(fā)送的功率；如果STA信號強度弱（距離AP較遠），則恢復(fù)正常功率發(fā)送無線信號。從而實現(xiàn)綠色節(jié)能和減少無線干擾的目的。安全性規(guī)劃在醫(yī)院中部署WLAN網(wǎng)絡(luò)需要格外關(guān)注WLAN網(wǎng)絡(luò)的安全，保障WLAN網(wǎng)絡(luò)的安全運行，需要考慮如何保證內(nèi)網(wǎng)、外網(wǎng)的安全隔離，如何保證移動場景下的接入訪問控制，以及避免信息通過移動終端泄露，成為無線安全方面關(guān)注的重要問題。華為WLAN安全解決方案從無線空口安全，數(shù)據(jù)業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)安全，終端用戶精細化控制安全三個維度確保無線醫(yī)院的網(wǎng)絡(luò)安全問題。內(nèi)外網(wǎng)隔離根據(jù)醫(yī)院無線應(yīng)用，整體劃分三個SSID，

49、SSID1用于醫(yī)護內(nèi)網(wǎng)應(yīng)用，SSID2用于醫(yī)護外網(wǎng)應(yīng)用，SSID3用于患者無線上網(wǎng)。SSID1關(guān)閉廣播報文，且配置白名單只允許醫(yī)院終端接入，訪問醫(yī)院核心業(yè)務(wù)，其他所有終端無法搜做到該SSID和接入網(wǎng)絡(luò)。SSID2只允許醫(yī)護人員接入辦公或者訪問internet，且采用黑名單的方式，禁止醫(yī)院終端接入該網(wǎng)絡(luò)。另外通過DHCP snooping綁定MAC地址，防止MAC欺騙。 病患接入醫(yī)院WIFI網(wǎng)絡(luò)，需要在網(wǎng)頁上自注冊，然后用戶名密碼通過短信自動分發(fā)到手機，開放免費上網(wǎng)權(quán)限，同時用戶信息自動關(guān)聯(lián)到ASG上網(wǎng)行為管理。 病患流量和醫(yī)院外網(wǎng)流量采用不同的SSID實現(xiàn)邏輯隔離，病患只能訪問Internet

50、。另外還可以通過網(wǎng)頁可以主動推送醫(yī)院電子地圖或樓層說明等信息，病患下載之后方便就醫(yī)。 無線空口安全WIDS/WIPSWLAN網(wǎng)絡(luò)很容易受到各種網(wǎng)絡(luò)威脅的影響，如未經(jīng)授權(quán)的AP、用戶、Ad-hoc網(wǎng)絡(luò)等，設(shè)備支持以下兩種技術(shù)，分別用于檢測和反制非法設(shè)備。 WIDS可以檢測出非法的AP、網(wǎng)橋、用戶終端、Adhoc，以及信道重合的干擾AP。WIPS可以斷開合法用戶與仿冒AP的WLAN連接，也可以斷開非法用戶終端和Adhoc的接入，實現(xiàn)對非法設(shè)備的反制。為了實現(xiàn)檢測和反制非法設(shè)備，AP存在三種工作模式： 接入模式：AP僅傳輸WLAN用戶的數(shù)據(jù)，不進行任何監(jiān)測。 監(jiān)測模式：AP需要掃描無線網(wǎng)絡(luò)中的設(shè)備，

51、探測無線信道中的所有802.11幀。此時AP僅能實現(xiàn)監(jiān)測功能，不能傳輸WLAN的數(shù)據(jù)，即該AP提供的所有WLAN服務(wù)都將關(guān)閉。 混合模式：AP可以監(jiān)測無線網(wǎng)絡(luò)中設(shè)備，也可以同時傳輸WLAN數(shù)據(jù)。只有AP工作在監(jiān)測模式或混合模式下，才可以實現(xiàn)對非法設(shè)備的檢測和反制功能。監(jiān)測AP掃描信道監(jiān)測周邊的無線設(shè)備信息，通過探測周圍設(shè)備發(fā)送的802.11管理幀和數(shù)據(jù)幀來搜集周邊的無線設(shè)備信息，將收集到的設(shè)備信息定期上報AC。 AC判斷設(shè)備為非法AP時（既不是本AC管理的AP，也不在SSID的白名單列表中），將非法AP告知監(jiān)測AP。監(jiān)測AP以非法AP的身份發(fā)送廣播或單播解除認證幀，這樣，接入非法AP的STA收

52、到解除認證幀后，就會斷開與非法AP的連接。通過這種反制機制，可以阻止STA與非法AP的連接。 AC判斷設(shè)備為非法用戶終端（非本ACAP管理）和Adhoc時，監(jiān)測AP使用非法設(shè)備的BSSID或MAC地址，發(fā)送單播解除認證幀，斷開非法設(shè)備的連接。WIDS還支持攻擊檢測功能，可以檢測泛洪攻擊，弱IV向量攻擊、欺騙攻擊、暴力破解WPA/WPA2/WAPI的預(yù)共享密鑰和WEP的共享密鑰，及時發(fā)現(xiàn)網(wǎng)絡(luò)的不安全因素，通過日志，統(tǒng)計信息以及告警方式及時通知網(wǎng)絡(luò)管理員。對于檢測到的進行泛洪攻擊和暴力破解密鑰攻擊的設(shè)備，ACAP可以將其加入黑名單，在動態(tài)黑名單老化時間內(nèi)，拒絕接收其發(fā)送的報文。Rogue設(shè)備的檢測

53、和反制醫(yī)院中可能出現(xiàn)的Rogue設(shè)備包括Rogue AP，Rogue Client，Ad-hoc設(shè)備，這些設(shè)備對運維的WLAN網(wǎng)絡(luò)會帶來諸多的安全隱患，如干擾，用戶和非法AP建立連接等。華為WLAN支持對網(wǎng)絡(luò)中的Rogue 設(shè)備（包括AP，Client，Ad-hoc）的進行檢測、識別以及反制功能。偵聽周邊設(shè)備AP有三種工作模式：接入模式混，偵聽模式和合模式。接入模式只提供覆蓋功能，不提供非法設(shè)備偵聽功能；偵聽模式只偵聽，不能接入業(yè)務(wù)；而混合模式可以在接入業(yè)務(wù)的同時進行偵聽。推薦AP工作在混合模式，在接入業(yè)務(wù)的同時偵聽周邊設(shè)備，低成本部署。設(shè)備類型識別AP通過偵聽Beacon，Associato

54、n Request，Association Response協(xié)議報文和數(shù)據(jù)報文報文來識別Rogue設(shè)備是哪種設(shè)備（AP/Ad hoc/Client）。監(jiān)控AP搜集到無線設(shè)備后，維護一個無線設(shè)備信息列表，并把這些信息上報給AC，在AC上根據(jù)一定的規(guī)則進行Rogue設(shè)備判斷。Rogue設(shè)備判斷當AP設(shè)備工作在混合模式或者偵聽模式時可以實現(xiàn)對整個網(wǎng)絡(luò)的監(jiān)控，監(jiān)控設(shè)備包括AP、Client、Ad hoc終端、無線網(wǎng)橋等。Rogue設(shè)備反制檢測到Rogue設(shè)備后，可以使能防范、反制功能。反制功能，根據(jù)反制的模式，監(jiān)測模式AP從無線控制器下載攻擊列表，并對Rogue設(shè)備采取措施，阻止其工作。對Rogue

55、AP的反制：監(jiān)測AP通過使用Rogue AP設(shè)備的地址發(fā)送假的廣播解除認證幀來對Rogue AP設(shè)備進行反制，抑制無線用戶和非法AP建立鏈接。對Rogue Client、Ad hoc設(shè)備的反制：監(jiān)測AP通過使用Rogue Client、Ad hoc設(shè)備的BSSID、MAC地址發(fā)送假的單播解除認證幀，對指定非法Client的進行反制。 Rogue設(shè)備管理可以與定位功能集合，如在地圖上可以查詢或者實時顯示Rogue設(shè)備的位置，為網(wǎng)管人員對網(wǎng)絡(luò)監(jiān)管和排障定位提供便捷。頻譜分析由于WLAN的工作頻段為ISM頻段，隨著藍牙、紅外、微波爐等無線應(yīng)用的增加，非WLAN設(shè)備對WLAN網(wǎng)絡(luò)的干擾問題日益突出。頻

56、譜分析是指通過頻譜分析服務(wù)器對采集到的無線信號進行特征分析，識別出No-Wi-Fi干擾設(shè)備，進而對干擾設(shè)備進行定位，實現(xiàn)對WLAN網(wǎng)絡(luò)的調(diào)優(yōu)。通過配置頻譜分析功能，及時、全面的檢測出WLAN網(wǎng)絡(luò)中的非WLAN干擾，提升用戶的體驗。STA黑白名單STA黑白名單實現(xiàn)對無線客戶端的接入控制，以保證合法客戶端能夠正常接入WLAN網(wǎng)絡(luò)，避免非法客戶端強行接入WLAN網(wǎng)絡(luò)： 白名單列表：允許接入WLAN網(wǎng)絡(luò)的STA的MAC地址列表。使能白名單功能后，只有匹配白名單列表的用戶可以接入無線網(wǎng)絡(luò)，其他用戶都無法接入無線網(wǎng)絡(luò)。 黑名單列表：拒絕接入WLAN網(wǎng)絡(luò)的STA的MAC地址列表。使能黑名單功能后，匹配黑名單

57、列表的用戶無法接入無線網(wǎng)絡(luò)，其他用戶都可以接入無線網(wǎng)絡(luò)。對于同一個AP或者VAP，STA黑名單功能和STA白名單功能不能同時配置，只能選擇其中一種配置。如果STA白名單或者STA黑名單為空，則所有用戶都可以接入WLAN網(wǎng)絡(luò)。設(shè)備既支持基于AP配置STA黑白名單，也支持基于VAP配置黑白名單。如果AP和VAP都配置了黑白名單功能，則用戶上線時，根據(jù)AP和VAP配置的黑白名單，如果用戶不滿足任意一個接入條件，則該用戶不能上線。專業(yè)認證，醫(yī)院放心無線網(wǎng)絡(luò)對患者（患者體內(nèi)植入心臟起搏器或心臟除顫器）潛在的干擾，無線網(wǎng)絡(luò)對醫(yī)療器械的干擾都要避免。華為WLAN產(chǎn)品滿足Wi-Fi聯(lián)盟的企業(yè)級認證，滿足醫(yī)用場

58、景IEC60601-1-2要求，滿足SRRC認證（國家無線電管理委員會認證)，并通過工信部授權(quán)泰爾實驗室認證的醫(yī)院無線網(wǎng)絡(luò)質(zhì)量及醫(yī)療設(shè)備的潛在干擾檢測方案,并通過電信研究院頒發(fā)的醫(yī)療認證。因此可以放心的在醫(yī)院使用。終端用戶精細化管控安全在醫(yī)院中根據(jù)需要，往往劃分了不同的SSID供不用的用戶群使用，如外部用戶SSID-Guest，內(nèi)部用戶SSID-xx hospital。出于信息安全的需求，往往需要保證來訪的訪客不能訪問醫(yī)院內(nèi)的資源。同時醫(yī)院內(nèi)的醫(yī)生和護士或者不同科室之間的醫(yī)生也可能需要授予不同訪問權(quán)限。這些需要根據(jù)用戶的角色以及終端類型做精細化的管控，確保業(yè)務(wù)的安全。終端類型識別終端類型識別是

59、指AC通過對用戶發(fā)送的報文中的字段的特征進行分析，包括MAC、用戶代理UA（User Agent）和DHCP Option信息，識別出終端類型。AC可以識別出用戶接入內(nèi)部網(wǎng)絡(luò)的設(shè)備類型，以控制某些指定移動設(shè)備的接入，實現(xiàn)基于用戶、設(shè)備類型、接入時間、接入地點、設(shè)備環(huán)境的認證和授權(quán)。實現(xiàn)精細化的管控。終端識別用戶接入認證通過用戶接入認證，可以對接入網(wǎng)絡(luò)的用戶身份進行合法性進行認證，只有合法用戶才允許接入，并且不同的角色，不同的用戶所能夠訪問的資源是不同。管理員可以為用戶分組，或者定義不同的角色，配置不同的資源，使得特定的用戶只能訪問授權(quán)的特定資源，禁止訪問未授權(quán)的網(wǎng)絡(luò)資源。華為WLAN無線園區(qū)支

60、持802.1X、MAC認證、Portal認證多種網(wǎng)絡(luò)訪問控制方式，并可靈活部署在用戶網(wǎng)絡(luò)的接入交換機、匯聚交換機、無線控制器、AR等多種網(wǎng)絡(luò)設(shè)備上，配合代理客戶端和認證服務(wù)器共同完成用戶接入控制，為無線園區(qū)提供安全可靠的訪問控制。802.1X認證、Portal認證和MAC認證的優(yōu)劣勢比較如下表所示。對比項802.1X認證Portal認證MAC認證客戶端需求必須Portal需要，web強推不需要不需要優(yōu)點部署在接入層時，直接控制網(wǎng)絡(luò)接入信息口的通斷，安全性高部署靈活無需安裝客戶端缺點部署不靈活安全性不高管理復(fù)雜，需登記MAC地址適合場景新建網(wǎng)絡(luò)，用戶集中，信息安全要求嚴格的場景認證方式靈活，適用