醫(yī)院信息化建設(shè)技術(shù)建議書

1、 XX醫(yī)院信息化建設(shè)技術(shù)建議書 第PAGE74頁 共 NUMPAGES74頁XX醫(yī)院信息化建設(shè)技術(shù)建議書2016年10月目錄 TOC o 1-3 h z u HYPERLINK l _Toc464433726 1.項(xiàng)目背景 PAGEREF _Toc464433726 h 4 HYPERLINK l _Toc464433727 2.需求分析 PAGEREF _Toc464433727 h 4 HYPERLINK l _Toc464433728 3.建設(shè)目標(biāo) PAGEREF _Toc464433728 h 4 HYPERLINK l _Toc464433729 4.建設(shè)思想 PAGEREF _To

2、c464433729 h 5 HYPERLINK l _Toc464433730 5.XXX醫(yī)院網(wǎng)絡(luò)總體建設(shè)規(guī)劃 PAGEREF _Toc464433730 h 6 HYPERLINK l _Toc464433731 5.1.網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D PAGEREF _Toc464433731 h 6 HYPERLINK l _Toc464433732 5.2.基礎(chǔ)敏捷網(wǎng)絡(luò)建設(shè)規(guī)劃 PAGEREF _Toc464433732 h 7 HYPERLINK l _Toc464433733 5.2.1.網(wǎng)絡(luò)設(shè)計(jì)原則 PAGEREF _Toc464433733 h 7 HYPERLINK l _Toc46443

3、3734 5.2.2.總體網(wǎng)絡(luò)架構(gòu) PAGEREF _Toc464433734 h 8 HYPERLINK l _Toc464433735 5.2.3.物理組網(wǎng)規(guī)劃 PAGEREF _Toc464433735 h 9 HYPERLINK l _Toc464433736 5.2.4.網(wǎng)絡(luò)出口規(guī)劃 PAGEREF _Toc464433736 h 9 HYPERLINK l _Toc464433737 5.2.5.核心層設(shè)計(jì)規(guī)劃 PAGEREF _Toc464433737 h 9 HYPERLINK l _Toc464433738 5.2.6.匯聚層設(shè)計(jì)規(guī)劃 PAGEREF _Toc46443373

4、8 h 10 HYPERLINK l _Toc464433739 5.2.7.接入層設(shè)計(jì)規(guī)劃 PAGEREF _Toc464433739 h 10 HYPERLINK l _Toc464433740 5.2.8.可靠性設(shè)計(jì)規(guī)劃 PAGEREF _Toc464433740 h 10 HYPERLINK l _Toc464433741 5.2.9.安全性設(shè)計(jì)規(guī)劃 PAGEREF _Toc464433741 h 11 HYPERLINK l _Toc464433742 5.3.遠(yuǎn)程訪問規(guī)劃 PAGEREF _Toc464433742 h 12 HYPERLINK l _Toc464433743 5.

5、4.有線無線融合規(guī)劃 PAGEREF _Toc464433743 h 14 HYPERLINK l _Toc464433744 5.5.業(yè)務(wù)隨行規(guī)劃 PAGEREF _Toc464433744 h 14 HYPERLINK l _Toc464433745 5.6.SVF全網(wǎng)虛擬化規(guī)劃 PAGEREF _Toc464433745 h 15 HYPERLINK l _Toc464433746 5.7.用戶接入認(rèn)證規(guī)劃 PAGEREF _Toc464433746 h 15 HYPERLINK l _Toc464433747 5.7.1.有線用戶接入 PAGEREF _Toc464433747 h 1

6、5 HYPERLINK l _Toc464433748 5.7.2.無線用戶接入 PAGEREF _Toc464433748 h 16 HYPERLINK l _Toc464433749 5.8.無線網(wǎng)絡(luò)建設(shè)規(guī)劃 PAGEREF _Toc464433749 h 16 HYPERLINK l _Toc464433750 5.8.1.無線醫(yī)療簡介 PAGEREF _Toc464433750 h 16 HYPERLINK l _Toc464433751 5.8.2.無線醫(yī)療的總體需求 PAGEREF _Toc464433751 h 18 HYPERLINK l _Toc464433752 5.8.3

7、.無線網(wǎng)絡(luò)安全問題 PAGEREF _Toc464433752 h 18 HYPERLINK l _Toc464433753 5.8.4.無線網(wǎng)絡(luò)規(guī)劃實(shí)施問題 PAGEREF _Toc464433753 h 18 HYPERLINK l _Toc464433754 5.8.5.無線用戶漫游問題 PAGEREF _Toc464433754 h 19 HYPERLINK l _Toc464433755 5.8.6.無線網(wǎng)絡(luò)管理問題 PAGEREF _Toc464433755 h 19 HYPERLINK l _Toc464433756 5.8.7.無線醫(yī)療基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì) PAGEREF _Toc46

8、4433756 h 19 HYPERLINK l _Toc464433757 5.8.8.WLAN覆蓋規(guī)劃 PAGEREF _Toc464433757 h 21 HYPERLINK l _Toc464433758 5.8.9.容量規(guī)劃 PAGEREF _Toc464433758 h 22 HYPERLINK l _Toc464433759 5.8.10.覆蓋規(guī)劃 PAGEREF _Toc464433759 h 23 HYPERLINK l _Toc464433760 5.8.11.SSID和漫游規(guī)劃 PAGEREF _Toc464433760 h 24 HYPERLINK l _Toc4644

9、33761 5.8.12.漫游規(guī)劃 PAGEREF _Toc464433761 h 25 HYPERLINK l _Toc464433762 5.8.13.業(yè)務(wù)帶寬規(guī)劃 PAGEREF _Toc464433762 h 26 HYPERLINK l _Toc464433763 5.8.14.可靠性規(guī)劃 PAGEREF _Toc464433763 h 27 HYPERLINK l _Toc464433764 5.8.15.安全性規(guī)劃 PAGEREF _Toc464433764 h 31 HYPERLINK l _Toc464433765 5.9.網(wǎng)絡(luò)安全防護(hù)規(guī)劃 PAGEREF _Toc46443

10、3765 h 37 HYPERLINK l _Toc464433766 5.9.1.網(wǎng)絡(luò)安全 PAGEREF _Toc464433766 h 37 HYPERLINK l _Toc464433767 5.9.2.威脅管理 PAGEREF _Toc464433767 h 38 HYPERLINK l _Toc464433768 5.9.3.網(wǎng)絡(luò)安全管理 PAGEREF _Toc464433768 h 38 HYPERLINK l _Toc464433769 5.9.4.網(wǎng)絡(luò)安全設(shè)計(jì)原則 PAGEREF _Toc464433769 h 38 HYPERLINK l _Toc464433770 5.

11、9.5.網(wǎng)絡(luò)邊界防護(hù)規(guī)劃 PAGEREF _Toc464433770 h 39 HYPERLINK l _Toc464433771 5.10.網(wǎng)絡(luò)審計(jì)管控規(guī)劃 PAGEREF _Toc464433771 h 40 HYPERLINK l _Toc464433772 5.10.1.行為管控需求 PAGEREF _Toc464433772 h 40 HYPERLINK l _Toc464433773 5.10.2.網(wǎng)絡(luò)設(shè)計(jì)原則 PAGEREF _Toc464433773 h 40 HYPERLINK l _Toc464433774 5.10.3.具體系統(tǒng)設(shè)計(jì) PAGEREF _Toc4644337

12、74 h 41 HYPERLINK l _Toc464433775 5.11.網(wǎng)絡(luò)運(yùn)維管理規(guī)劃 PAGEREF _Toc464433775 h 42 HYPERLINK l _Toc464433776 5.11.1.安全管理 PAGEREF _Toc464433776 h 42 HYPERLINK l _Toc464433777 5.11.2.拓?fù)涔芾?PAGEREF _Toc464433777 h 43 HYPERLINK l _Toc464433778 5.11.3.告警管理 PAGEREF _Toc464433778 h 43 HYPERLINK l _Toc464433779 5.11

13、.4.性能管理 PAGEREF _Toc464433779 h 44 HYPERLINK l _Toc464433780 5.11.5.服務(wù)器管理 PAGEREF _Toc464433780 h 45 HYPERLINK l _Toc464433781 5.11.6.存儲(chǔ)管理 PAGEREF _Toc464433781 h 45 HYPERLINK l _Toc464433782 5.11.7.網(wǎng)絡(luò)設(shè)備管理 PAGEREF _Toc464433782 h 47 HYPERLINK l _Toc464433783 5.11.8.WLAN管理 PAGEREF _Toc464433783 h 47

14、HYPERLINK l _Toc464433784 5.11.9.應(yīng)用管理 PAGEREF _Toc464433784 h 49 HYPERLINK l _Toc464433785 6.方案價(jià)值 PAGEREF _Toc464433785 h 52 HYPERLINK l _Toc464433786 6.1.使用體驗(yàn)極佳的網(wǎng)絡(luò) PAGEREF _Toc464433786 h 52 HYPERLINK l _Toc464433787 6.1.1.極致高速的網(wǎng)絡(luò)體驗(yàn) PAGEREF _Toc464433787 h 52 HYPERLINK l _Toc464433788 6.1.2.無線全覆蓋，全

15、網(wǎng)零漫游 PAGEREF _Toc464433788 h 52 HYPERLINK l _Toc464433789 6.1.3.業(yè)務(wù)隨行的高體驗(yàn)網(wǎng)絡(luò) PAGEREF _Toc464433789 h 52 HYPERLINK l _Toc464433790 6.1.4.安全可靠的體驗(yàn)網(wǎng)絡(luò) PAGEREF _Toc464433790 h 53 HYPERLINK l _Toc464433791 6.2.極簡維護(hù)管理的敏捷網(wǎng)絡(luò) PAGEREF _Toc464433791 h 53 HYPERLINK l _Toc464433792 6.2.1.整網(wǎng)超級(jí)虛擬化，極致簡化日常運(yùn)維管理工作 PAGEREF

16、 _Toc464433792 h 53 HYPERLINK l _Toc464433793 6.2.2.全網(wǎng)安全穩(wěn)定CSS2架構(gòu)，實(shí)現(xiàn)99.999%的穩(wěn)定性 PAGEREF _Toc464433793 h 53項(xiàng)目背景XXX醫(yī)院是一所集醫(yī)療、教學(xué)、科研為一體的現(xiàn)代化中西醫(yī)結(jié)合的專科醫(yī)院，由于醫(yī)院業(yè)務(wù)快速增長，規(guī)劃在XX市東部建立分院區(qū)，初期規(guī)劃床位800張； 需要依據(jù)新建分院建筑分布，樓層功能分布，信息節(jié)點(diǎn)分布、應(yīng)用功能需求等情況建設(shè)一套符合XXX醫(yī)院信息化辦公的現(xiàn)代化數(shù)據(jù)交換網(wǎng)絡(luò)，滿足XXX醫(yī)院現(xiàn)在及未來5-10年內(nèi)的業(yè)務(wù)規(guī)劃發(fā)展需要。需求分析根據(jù)XXX醫(yī)院現(xiàn)有業(yè)務(wù)要求及物理建筑分布狀態(tài)。要

17、求新建信息化網(wǎng)絡(luò)符合以下幾點(diǎn)要求：要求網(wǎng)絡(luò)分層、分區(qū)建設(shè)，便于以后網(wǎng)絡(luò)擴(kuò)容及新增。新建網(wǎng)絡(luò)涉及到有線與無線覆蓋，要求內(nèi)外網(wǎng)做邏輯隔離，可以靈活調(diào)整網(wǎng)絡(luò)到網(wǎng)絡(luò)、終端到資源的權(quán)限控制。要求采用萬兆骨干，千兆到桌面，保證數(shù)據(jù)交互的高帶寬要求。針對(duì)外網(wǎng)移動(dòng)辦公接入提供安全的專用接入點(diǎn)，便于移動(dòng)辦公人員接入到內(nèi)網(wǎng)進(jìn)行相應(yīng)工作的開展及信息的獲取。建設(shè)目標(biāo)根據(jù)XXX醫(yī)院上述幾點(diǎn)建設(shè)需求及新建醫(yī)院具體情況，結(jié)合相應(yīng)醫(yī)療信息化網(wǎng)絡(luò)的建網(wǎng)原則，提出以下建設(shè)目標(biāo)：新建園區(qū)包括一棟門診樓，一棟住院樓。門診樓合計(jì)3層，每層15個(gè)診室，每層60個(gè)信息點(diǎn)位。住院部4層，共計(jì)800張床位。門診樓及住院樓根據(jù)各樓層信息點(diǎn)分布情

18、況，建設(shè)有線網(wǎng)絡(luò)。網(wǎng)絡(luò)主體采用核心層-匯聚層-接入層的三層網(wǎng)絡(luò)組網(wǎng)結(jié)構(gòu)，滿足萬兆骨干，千兆接入的建設(shè)標(biāo)準(zhǔn)。針對(duì)服務(wù)器區(qū)域單獨(dú)建設(shè)數(shù)據(jù)中心區(qū)域，數(shù)據(jù)中心區(qū)域放置匯聚層交換機(jī)，采用千兆接入，萬兆上行?？紤]到無線醫(yī)療的應(yīng)用需求，針對(duì)住院樓做重點(diǎn)無線覆蓋。要求樓層內(nèi)移動(dòng)實(shí)現(xiàn)零漫游。門診樓一樓大廳處（300人）、掛號(hào)區(qū)（2*150人）做無線覆蓋，滿足排隊(duì)掛號(hào)及預(yù)約看病的無線上網(wǎng)需求。門診樓其他區(qū)域（樓長80m）根據(jù)樓層情況在走廊處做無線覆蓋。無線覆蓋需根據(jù)場(chǎng)景選用合適的設(shè)備。有線無線網(wǎng)絡(luò)采用一張物理網(wǎng)絡(luò)，不僅要滿足內(nèi)部辦公需求，還要滿足病患及家屬的無線上網(wǎng)需求。因此整體網(wǎng)絡(luò)需要針對(duì)內(nèi)部辦公人員，采用基于

19、IP、 VLAN等方式進(jìn)行內(nèi)網(wǎng)及外網(wǎng)的隔離。針對(duì)無線網(wǎng)絡(luò)需要基于SSID劃分用于內(nèi)部無線醫(yī)療的專用Work網(wǎng)絡(luò)及用于病患上網(wǎng)的Guest網(wǎng)絡(luò)。且在網(wǎng)路與網(wǎng)絡(luò)間，網(wǎng)絡(luò)與內(nèi)部辦公資源及外部網(wǎng)絡(luò)資源需要有建設(shè)一套控制系統(tǒng)。可對(duì)資源訪問做靈活的權(quán)限控制及等級(jí)劃分。由于互聯(lián)網(wǎng)的不安全性，需要在網(wǎng)絡(luò)出口處部署防火墻等安全設(shè)備，做網(wǎng)絡(luò)整體的安全防護(hù)。由于公安82號(hào)令要求，針對(duì)公開性場(chǎng)所的無線網(wǎng)絡(luò)接入，建設(shè)一套上網(wǎng)行為審計(jì)設(shè)備，對(duì)網(wǎng)內(nèi)人員的上網(wǎng)行為做審計(jì)及記錄。針對(duì)在外出差或辦公人員，建設(shè)VPN系統(tǒng)，提供專有的安全VPN通道滿足移動(dòng)辦公的應(yīng)用需求。建設(shè)思想由于本次XXX醫(yī)院網(wǎng)絡(luò)建設(shè)涵蓋有線和無線覆蓋，且有線和

20、無線網(wǎng)絡(luò)共用基礎(chǔ)硬件，不做物理分離，因此建議采用華為敏捷網(wǎng)絡(luò)有線無線一體化解決方案。通過利用華為敏捷交換機(jī)的無線融合特性，即作為有線網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)核心節(jié)點(diǎn)，同時(shí)又做為無線網(wǎng)絡(luò)的核心控制及轉(zhuǎn)發(fā)節(jié)點(diǎn)，做到有線無線的深度一體化融合，不用再單獨(dú)建設(shè)和部署兩套網(wǎng)絡(luò)，即減輕了運(yùn)維人員壓力，又提高了各層次設(shè)備的利用率，保證用戶的資金投入。由于無線網(wǎng)絡(luò)的公開性及審計(jì)需求特性，建議對(duì)開放性無線網(wǎng)絡(luò)采用基于短信的認(rèn)證方式，確保網(wǎng)絡(luò)接入的實(shí)名制原則，在網(wǎng)內(nèi)出現(xiàn)發(fā)送或上傳非法內(nèi)容或言論時(shí)，結(jié)合上網(wǎng)行為審計(jì)設(shè)備，基于日志記錄進(jìn)行溯源?？紤]到內(nèi)網(wǎng)安全性，在網(wǎng)路出口區(qū)域部署安全防火墻，對(duì)進(jìn)出網(wǎng)數(shù)據(jù)流做安全檢查及過濾，保護(hù)內(nèi)

21、部網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的安全威脅及惡意攻擊。針對(duì)無線網(wǎng)絡(luò)覆蓋，結(jié)合應(yīng)用場(chǎng)景采用不同的產(chǎn)品及組網(wǎng)方案，實(shí)現(xiàn)全網(wǎng)無縫無死角的無線覆蓋，實(shí)現(xiàn)網(wǎng)內(nèi)的任意無縫漫游。針對(duì)住院部，由于其房間密集特性，又要求無線漫游的切換時(shí)間及無線信號(hào)的覆蓋強(qiáng)度及穩(wěn)定性，采用華為敏捷分布式無線覆蓋組網(wǎng)方案。通過中心AP+敏分單元的方式，單AP下可最多覆蓋48個(gè)房間。針對(duì)門診大廳及掛號(hào)區(qū)的場(chǎng)景，屬于高密覆蓋場(chǎng)景，小范圍內(nèi)并發(fā)要求高，因此采用華為的高密型無線AP進(jìn)行型號(hào)覆蓋。針對(duì)傳統(tǒng)走廊的覆蓋場(chǎng)景，則采用放裝AP的方式在走廊吊頂處或墻壁處進(jìn)行無線AP的安裝，對(duì)走廊及相鄰房間進(jìn)行無線的信號(hào)覆蓋，且通過統(tǒng)一SSID的方式實(shí)現(xiàn)樓層內(nèi)及樓

22、層間移動(dòng)時(shí)的無縫漫游需求，保證信號(hào)連接的持續(xù)性及穩(wěn)定性。對(duì)于醫(yī)院內(nèi)部網(wǎng)絡(luò)，針對(duì)不同部門，不同職級(jí)，資源類型，定義不同的安全及資源組。結(jié)合華為敏捷網(wǎng)絡(luò)的業(yè)務(wù)隨行解決方案，做到業(yè)務(wù)隨行，策略隨身。在初期進(jìn)行策略及權(quán)限劃分時(shí)，一鍵式全網(wǎng)部署，下發(fā)策略。辦公人員不論移動(dòng)到醫(yī)院內(nèi)任何一個(gè)位置節(jié)點(diǎn)，不論是通過有線網(wǎng)絡(luò)或者無線網(wǎng)絡(luò)，都擁有一致的網(wǎng)絡(luò)訪問及使用權(quán)限，同時(shí)還可以基于角色進(jìn)行接入帶寬的分配及管控。為保證網(wǎng)絡(luò)的健壯性、可升級(jí)性及易擴(kuò)容特性，網(wǎng)絡(luò)采用模塊化的三層網(wǎng)絡(luò)結(jié)構(gòu)建設(shè)，由于核心層的重要性，針對(duì)核心層采用雙機(jī)冗余部署，結(jié)合華為CSS2集群方案，實(shí)現(xiàn)設(shè)備的橫向虛擬化。且快達(dá)21s的跨板時(shí)延、高達(dá)32

23、0G的橫向虛擬化帶寬、N+1的主控備份方式、獨(dú)立專用的集群網(wǎng)版，保證核心節(jié)點(diǎn)的可靠性及快速的數(shù)據(jù)交換特性。為減輕運(yùn)維人員的運(yùn)維壓力，建議采用華為敏捷網(wǎng)絡(luò)的SVF全網(wǎng)虛擬化解決方案，實(shí)現(xiàn)從核心+匯聚+接入+AP的全網(wǎng)融合虛擬化。全網(wǎng)設(shè)備虛擬化后對(duì)外呈現(xiàn)一個(gè)邏輯的管理節(jié)點(diǎn)，通過一個(gè)節(jié)點(diǎn)可實(shí)現(xiàn)整網(wǎng)設(shè)備的配置管理及業(yè)務(wù)下發(fā)。匯聚及接入節(jié)點(diǎn)只相當(dāng)于核心節(jié)點(diǎn)的一塊普通業(yè)務(wù)板卡，AP經(jīng)虛擬化融合后相當(dāng)于核心節(jié)點(diǎn)的一個(gè)普通業(yè)務(wù)端口。為便于無線及有線的可視化運(yùn)維，在網(wǎng)絡(luò)發(fā)生問題和故障時(shí)，運(yùn)維人員能第一時(shí)間收到郵件或者短信提醒，并通過運(yùn)維管理系統(tǒng)快速的定位鼓掌源頭，依據(jù)相關(guān)修復(fù)建議實(shí)現(xiàn)網(wǎng)絡(luò)的快速恢復(fù)。特別是無線網(wǎng)

24、絡(luò)，通過一鍵式診斷，判斷無線登陸失敗節(jié)點(diǎn)的故障原因，極大的減輕了運(yùn)維人員的工作壓力，提高運(yùn)維人員的工作效率。XXX醫(yī)院網(wǎng)絡(luò)總體建設(shè)規(guī)劃網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D基礎(chǔ)敏捷網(wǎng)絡(luò)建設(shè)規(guī)劃網(wǎng)絡(luò)設(shè)計(jì)原則醫(yī)療網(wǎng)絡(luò)通常是一種用戶高密度的非運(yùn)營網(wǎng)絡(luò)，在有限的空間內(nèi)聚集了大量的終端和用戶。同時(shí)對(duì)于醫(yī)療網(wǎng)絡(luò)而言，注重的是網(wǎng)絡(luò)的簡單可靠、易部署、易維護(hù)。因此在網(wǎng)絡(luò)中，拓?fù)浣Y(jié)構(gòu)通常以星型結(jié)構(gòu)為主，較少使用環(huán)網(wǎng)結(jié)構(gòu)（環(huán)網(wǎng)結(jié)構(gòu)較多的運(yùn)用在運(yùn)營商的城域網(wǎng)絡(luò)和骨干網(wǎng)絡(luò)中，可以節(jié)約光纖資源）。基于星型結(jié)構(gòu)的園區(qū)網(wǎng)設(shè)計(jì)，通常遵循如下原則：層次化將網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層。每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。模塊化將網(wǎng)絡(luò)中的每個(gè)部

25、門或者每個(gè)功能區(qū)劃分為一個(gè)模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進(jìn)行問題定位。冗余性關(guān)鍵設(shè)備采用雙節(jié)點(diǎn)冗余設(shè)計(jì)；關(guān)鍵鏈路采用Trunk方式冗余備份或者負(fù)載分擔(dān)；關(guān)鍵設(shè)備的電源、主控板等關(guān)鍵部件冗余備份。提高了整個(gè)網(wǎng)絡(luò)的可靠性。安全隔離網(wǎng)絡(luò)應(yīng)具備有效的安全控制。按業(yè)務(wù)、按權(quán)限進(jìn)行分區(qū)邏輯隔離，對(duì)特別重要的業(yè)務(wù)采取物理隔離?？晒芾硇院涂删S護(hù)性網(wǎng)絡(luò)應(yīng)當(dāng)具有良好的可管理性。為了便于維護(hù)，應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品?？傮w網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)的邏輯架構(gòu)如下圖所示，包括五大部分。終端層包含網(wǎng)內(nèi)的各種終端設(shè)備，例如PC、筆記本電腦、打印機(jī)、傳真、POTS話機(jī)、SIP話機(jī)、手機(jī)、攝像頭等。接入層負(fù)責(zé)將各種終端

26、接入到網(wǎng)絡(luò)，通常由以太網(wǎng)交換機(jī)組成。對(duì)于某些終端，可能還要增加特定的接入設(shè)備，例如無線接入的AP設(shè)備、POTS話機(jī)接入的IAD等。匯聚層匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過一次匯聚后再接入到核心層，擴(kuò)展核心層接入用戶的數(shù)量。匯聚層通常還作為用戶三層網(wǎng)關(guān)，承擔(dān)L2/L3邊緣設(shè)備的角色，提供用戶管理、安全管理、QoS（Quality of Service）調(diào)度等各項(xiàng)跟用戶和業(yè)務(wù)相關(guān)的處理。核心層核心層負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。核心網(wǎng)絡(luò)需要實(shí)現(xiàn)帶寬的高利用率和網(wǎng)絡(luò)故障的快速收斂。網(wǎng)絡(luò)出口網(wǎng)絡(luò)出口是園區(qū)網(wǎng)絡(luò)到外部公網(wǎng)的邊界，內(nèi)部用戶通過邊緣網(wǎng)絡(luò)接入到公網(wǎng)，外部用戶（包括合作伙伴、分

27、支機(jī)構(gòu)、遠(yuǎn)程用戶等）也通過邊緣網(wǎng)絡(luò)接入到內(nèi)部網(wǎng)絡(luò)。數(shù)據(jù)中心區(qū)部署服務(wù)器和應(yīng)用系統(tǒng)的區(qū)域。為內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。DMZ（Demilitarized Zone）區(qū)通常公用服務(wù)器部署于該區(qū)域，為外部訪客（非職工）提供相應(yīng)的訪問業(yè)務(wù)，其安全性受到嚴(yán)格控制。網(wǎng)絡(luò)管理區(qū)對(duì)網(wǎng)絡(luò)、服務(wù)器、應(yīng)用系統(tǒng)進(jìn)行管理的區(qū)域。包括故障管理、配置管理、性能管理、安全管理等。物理組網(wǎng)規(guī)劃核心區(qū)域建議采用網(wǎng)絡(luò)出口、核心層、匯聚層和接入層的架構(gòu)模型，具有如下的優(yōu)勢(shì)：層次化設(shè)計(jì)：核心層、匯聚層、接入層，每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。模塊化設(shè)計(jì)：每一個(gè)模塊一個(gè)部門，部門內(nèi)部調(diào)整涉及范圍小，定位問題也容易。冗余性

28、設(shè)計(jì)：雙節(jié)點(diǎn)冗余性設(shè)計(jì)，適當(dāng)?shù)娜哂嘈蕴岣呖煽啃裕^度的冗余不便于運(yùn)行維護(hù)。對(duì)稱性設(shè)計(jì)：網(wǎng)絡(luò)的對(duì)稱性便于業(yè)務(wù)部署，拓?fù)渲庇^，便于設(shè)計(jì)和分析。網(wǎng)絡(luò)出口規(guī)劃網(wǎng)絡(luò)出口指醫(yī)院接入廣域網(wǎng)和Internet的出口，出口的主要功能是外部的互訪，出差職工的訪問。Internet網(wǎng)絡(luò)的安全性低、可靠性低、費(fèi)用低，WAN安全性高、可靠性高、費(fèi)用高。為保證WAN/Internet鏈路的高可靠性，可申請(qǐng)兩條鏈路，實(shí)現(xiàn)冗余備份，也可以WAN作為主用鏈路，Internet作為備份鏈路。出口網(wǎng)關(guān)需要配置防火墻、IPS等，根據(jù)不同的安全性要求和投資規(guī)模選擇安全部件。核心層設(shè)計(jì)規(guī)劃核心層部署醫(yī)院的核心設(shè)備，連接所有的匯聚交換機(jī)，

29、轉(zhuǎn)發(fā)各個(gè)樓層的流量。核心層需要采用全連接結(jié)構(gòu)，保持核心層設(shè)備的配置盡量簡單。核心層設(shè)備需要具有高帶寬、高轉(zhuǎn)發(fā)性能，否則將無法支撐醫(yī)院內(nèi)外部的業(yè)務(wù)流量。核心層采用華為S12708敏捷交換機(jī)，使用CSS2（Cluster Switch System）技術(shù)，將兩臺(tái)交換機(jī)從邏輯上整合成一臺(tái)交換機(jī)。這種技術(shù)支持主控1N備份，集群系統(tǒng)中只要保證任意一框的一個(gè)主控板運(yùn)行正常，多框業(yè)務(wù)即可穩(wěn)定運(yùn)行。相對(duì)于傳統(tǒng)業(yè)務(wù)口集群系統(tǒng)，每個(gè)框至少要有一塊主控單元運(yùn)行正常的限制。通過集群+堆疊的無環(huán)網(wǎng)絡(luò)方案保障網(wǎng)絡(luò)可靠，再通過設(shè)備本身99.999%的電信級(jí)可靠綜合保障校園網(wǎng)應(yīng)用的穩(wěn)定運(yùn)行。S12708敏捷交換機(jī)的業(yè)務(wù)板卡直

30、接融合AC功能,可以對(duì)網(wǎng)絡(luò)中的AP進(jìn)行管控，實(shí)現(xiàn)有線無線深度融合接入、轉(zhuǎn)發(fā)、管理。匯聚層設(shè)計(jì)規(guī)劃匯聚層是部門的核心，轉(zhuǎn)發(fā)部門用戶間的“橫向”流量。同時(shí)提供到核心層的“縱向”流量。對(duì)接入層隱藏核心層，作為網(wǎng)絡(luò)的配線架，將大量用戶接入到互聯(lián)的網(wǎng)絡(luò)中，擴(kuò)展核心層設(shè)備接入用戶的數(shù)量。匯聚層需要雙歸到核心層并支持接入層的雙歸接入。通常匯聚層承擔(dān)著L2/L3邊緣的角色，需要具有高帶寬、高端口密度、高轉(zhuǎn)發(fā)性能等特點(diǎn)，用于支撐該匯聚層下各部門之間的流量。接入層設(shè)計(jì)規(guī)劃接入層是最靠近用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，是終端接入網(wǎng)絡(luò)的第一層，一般部署二層設(shè)備，歸屬到匯聚層交換機(jī)。接入層除了需要部署豐富的二層特性

31、外，還需要部署安全、可靠性等相關(guān)功能。接入層需要具有高端口密度，以支持更多的終端接入網(wǎng)絡(luò)。接入層交換機(jī)使用iStack（Intelligent Stack）技術(shù)，將多臺(tái)交換機(jī)從邏輯上整合成一臺(tái)交換機(jī)。這樣既簡化了配置和管理，又提高了網(wǎng)絡(luò)的可靠性和擴(kuò)展能力?？煽啃栽O(shè)計(jì)規(guī)劃對(duì)于雙設(shè)備、鏈路冗余的網(wǎng)絡(luò)，如果接入層進(jìn)三層，在接入層和核心層之間采用三層路由的方式，通過等價(jià)路徑再輔助部署B(yǎng)FD（Bidirectional Forwarding Detection）快速檢測(cè)故障，就能夠保證鏈路故障、設(shè)備故障的快速切換，同時(shí)也能夠充分利用冗余鏈路。更多的組網(wǎng)方式是在匯聚層進(jìn)三層，這樣就需要解決接入層和匯聚層之

32、間二層流量的環(huán)路問題。傳統(tǒng)的方案是STPVRRP的方案。該方案通過阻塞某些鏈路的轉(zhuǎn)發(fā)實(shí)現(xiàn)二層破環(huán)，雖然該方案采用了標(biāo)準(zhǔn)的協(xié)議，支持多個(gè)廠家設(shè)備的混合組網(wǎng)，但是其缺點(diǎn)也是顯而易見的：收斂時(shí)間傳統(tǒng)的STP（Spanning Tree Protocol）技術(shù)收斂速度慢，在故障發(fā)生時(shí)，故障收斂時(shí)間10秒；雖然采用RSTP進(jìn)行優(yōu)化，但收斂時(shí)間任是秒級(jí)，秒級(jí)的業(yè)務(wù)中斷，會(huì)導(dǎo)致較差的用戶體驗(yàn)。鏈路利用率低如果同一機(jī)架內(nèi)的服務(wù)器屬于同一VLAN，則有一個(gè)上行鏈路的帶寬無法利用。帶寬利用率只有50%；雖然MSTP基于VLAN進(jìn)行優(yōu)化，但不能從根本上解決問題。配置維護(hù)復(fù)雜，網(wǎng)絡(luò)故障率高每個(gè)接入交換機(jī)和匯聚交換機(jī)都

33、需要運(yùn)行STP協(xié)議，隨著接入交換機(jī)的增加，交換機(jī)需要處理的STP也越來越復(fù)雜，會(huì)導(dǎo)致可靠性問題。我們推薦采用集群+堆疊的無環(huán)網(wǎng)絡(luò)方案來解決上面的這些缺陷。核心采用兩臺(tái)框式交換機(jī)集群。接入層采用盒式交換機(jī)，盒式交換機(jī)每兩臺(tái)堆疊。接入層交換機(jī)和核心/匯聚層交換機(jī)間的鏈路進(jìn)行鏈路捆綁。這個(gè)方案有四大優(yōu)勢(shì)：簡化管理和配置首先，集群和堆疊技術(shù)將需要管理的設(shè)備節(jié)點(diǎn)減少一半以上。其次，組網(wǎng)變得簡潔不需要配置復(fù)雜的協(xié)議，如：STP/SmartLink/VRRP等?？焖俚墓收鲜諗挎溌饭收鲜諗繒r(shí)間可以控制在10ms，大大降低了網(wǎng)絡(luò)鏈路/節(jié)點(diǎn)的故障對(duì)業(yè)務(wù)的影響。帶寬利用率高采用鏈路Trunk的方式，帶寬利用率可以達(dá)

34、到100%。擴(kuò)容方便、保護(hù)投資隨著業(yè)務(wù)的增加，當(dāng)用戶進(jìn)行網(wǎng)絡(luò)升級(jí)時(shí)，只需要增加新設(shè)備，而不需要更改網(wǎng)絡(luò)配置。平滑擴(kuò)容，很好的保護(hù)了投資。該方案極大提高了可靠性，以單鏈路故障率為1小時(shí)/1千小時(shí)為例，增加到兩條鏈路，就可以將故障率降低到3.6秒/1千小時(shí)，可靠性從3個(gè)9提高到6個(gè)9?？煽啃缘牧硪粋€(gè)重要方面是設(shè)備可靠性，核心區(qū)設(shè)備一般為框式設(shè)備，在可靠性方面的要求包括：支持主控單元的備份支持電源模塊的備份支持模塊化的風(fēng)扇設(shè)計(jì)，支持單風(fēng)扇失效支持所有模塊的熱插拔安全性設(shè)計(jì)規(guī)劃核心層與網(wǎng)絡(luò)出口部署防火墻設(shè)備，主要解決如下幾個(gè)安全問題：網(wǎng)內(nèi)、外網(wǎng)之間的訪問控制，實(shí)現(xiàn)內(nèi)、外網(wǎng)的安全隔離。分支與內(nèi)網(wǎng)的訪問控

35、制，實(shí)現(xiàn)分支和內(nèi)網(wǎng)業(yè)務(wù)的安全隔離。出差職工與服務(wù)器區(qū)的訪問控制，實(shí)現(xiàn)出差職工與內(nèi)網(wǎng)的安全隔離。合作伙伴/訪客與服務(wù)器的訪問控制，實(shí)現(xiàn)合作伙伴/訪客與內(nèi)網(wǎng)的安全隔離。遠(yuǎn)程訪問規(guī)劃遠(yuǎn)程訪問在網(wǎng)絡(luò)最重要的兩個(gè)場(chǎng)景，一個(gè)是與分支或總部的整體網(wǎng)絡(luò)互聯(lián)互通，一個(gè)是個(gè)體用戶因?yàn)槌霾罨蛘咂渌?，需要在外網(wǎng)訪問內(nèi)網(wǎng)的資源或者辦公系統(tǒng)。VPN設(shè)備是一個(gè)非常具有性價(jià)比的安全解決方案。其易用性，安全性在全球的各個(gè)行業(yè)環(huán)境中都得到了使用。在本方案中，通過利用USG下一代防火墻的VPN特性，建設(shè)院區(qū)之間與提供外部用戶安全遠(yuǎn)程訪問的平臺(tái)。利用互聯(lián)網(wǎng)的資源實(shí)現(xiàn)靈活VPN組網(wǎng)一般有IPSec VPN和SSL VPN兩種方式。

36、IPSec VPN IPSec（IP Security）是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私有性、完整性和真實(shí)性。IPSec協(xié)議有兩種工作模式：隧道模式和傳輸模式。在隧道模式下，IPSec將整個(gè)原始IP數(shù)據(jù)包放入一個(gè)新的IP數(shù)據(jù)包中，這樣每一個(gè)IP數(shù)據(jù)包都有兩個(gè)IP包頭：外部IP包頭和內(nèi)部IP包頭。外部IP包頭指定將對(duì)IP數(shù)據(jù)包進(jìn)行IPSec處理的目的地址，內(nèi)部IP包頭指定原始IP數(shù)據(jù)包最終的目的地址。IP包的源地址和目的地址都被隱藏起來，使IP包能安全地在網(wǎng)上傳送。其最大優(yōu)點(diǎn)在于終端系統(tǒng)不必為了適應(yīng)IP安全而作任何改

37、動(dòng)。隧道模式既可以用于兩個(gè)主機(jī)之間的IP通信，又可以用于兩個(gè)安全網(wǎng)關(guān)之間或一個(gè)主機(jī)與一個(gè)安全網(wǎng)關(guān)之間的IP通信。在傳輸模式下，要保護(hù)的內(nèi)容是IP包的載荷，在IP包頭之后和傳輸層數(shù)據(jù)字段之前插入IPSec包頭（AH或ESP或二者同時(shí)），原始的IP包頭未作任何修改，只對(duì)包中的凈荷(數(shù)據(jù))部分進(jìn)行加密。由于傳輸模式的IP包頭暴露在外，因而容易遭到攻擊。傳輸模式常用于兩個(gè)終端節(jié)點(diǎn)間的連接，如客戶機(jī)和服務(wù)器之間。IPSec定義了一套用于認(rèn)證、保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議。它支持一系列加密算法如DES、3DES；檢查傳輸數(shù)據(jù)包的完整性，以確保數(shù)據(jù)沒有被修改。IPSec可用來在多個(gè)防火墻和服務(wù)器之間提供安全

38、性，確保運(yùn)行在TCP/IP協(xié)議上的VPN之間的互操作性。 SSL VPNSSL VPN是以SSL/TLS協(xié)議為基礎(chǔ)，利用標(biāo)準(zhǔn)瀏覽器都內(nèi)置支持SSL/TLS的優(yōu)勢(shì)，對(duì)其應(yīng)用功能進(jìn)行擴(kuò)展的新型VPN。SSL協(xié)議最初是由Netscape公司開發(fā)，用于保護(hù)web通信安全。到目前為止， SSLv3和TLS1.0（也被成為SSLv3.1）得到了廣泛的應(yīng)用，2006年IETF推出了TLS1.1協(xié)議（RFC4346），2006年IETF推出了TLS1.2(RFC5246)并在2011年對(duì)其進(jìn)行了修正（RFC6176）。隨著SSL協(xié)議的不斷完善，包括微軟IE在內(nèi)的愈來愈多的瀏覽器支持SSL，SSL協(xié)議成為應(yīng)用最

39、廣泛的安全協(xié)議之一。SSL協(xié)議分為兩層，上層是握手協(xié)議，底層是記錄協(xié)議。SSL握手協(xié)議主要完成客戶端與服務(wù)器之間的相互認(rèn)證，協(xié)商加密算法與密鑰。在握手協(xié)議中，認(rèn)證可以是雙向的，協(xié)商密鑰的過程是可靠的，協(xié)商得到的密鑰是安全的。SSL記錄協(xié)議建立在可靠的傳輸協(xié)議之上，主要完成數(shù)據(jù)的加密和鑒別。通過對(duì)稱密碼算法確保了數(shù)據(jù)傳輸?shù)臋C(jī)密性，通過HMAC算法確保數(shù)據(jù)傳輸過程的完整性。由此可見，SSL協(xié)議從以下方面確保了數(shù)據(jù)通信的安全：認(rèn)證 在建立SSL連接之前，客戶端和服務(wù)器之間需要進(jìn)行認(rèn)證，認(rèn)證采用數(shù)字證書，可以是客戶端對(duì)服務(wù)器的認(rèn)證，也可以是雙方進(jìn)行雙向認(rèn)證。機(jī)密性 采用加密算法對(duì)需要傳輸?shù)臄?shù)據(jù)進(jìn)行加密

40、。完整性 采用數(shù)據(jù)鑒別算法驗(yàn)證所接收的數(shù)據(jù)在傳輸過程中是否被修改。除了web訪問、TCP/UDP應(yīng)用之外，SSL VPN還能夠?qū)P通信進(jìn)行保護(hù)。在保證通信安全性的基礎(chǔ)上，SSL VPN實(shí)現(xiàn)了更加細(xì)致的訪問控制能力，大大增強(qiáng)了對(duì)內(nèi)網(wǎng)的安全保護(hù)。同時(shí)，SSL VPN通信基于標(biāo)準(zhǔn)TCP/IP，因而不受NAT限制，能夠穿越防火墻，使用戶在任何地方都能夠通過SSL VPN網(wǎng)關(guān)代理訪問內(nèi)網(wǎng)資源，使得遠(yuǎn)程安全接入更加靈活簡單。另外，使用SSL VPN訪問B/S應(yīng)用時(shí)不需要安裝任何客戶端軟件，只要用標(biāo)準(zhǔn)的瀏覽器就可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)Web資源的訪問，省去了客戶端的繁瑣的維護(hù)和支持工作，不僅極大地解放了IT管理員的

41、時(shí)間和精力，更提高了遠(yuǎn)程接入人員（如出差員工）的工作效率，節(jié)省了企業(yè)的培訓(xùn)和IT服務(wù)費(fèi)用；同時(shí)，也意味著遠(yuǎn)程用戶在進(jìn)行遠(yuǎn)程訪問時(shí)不會(huì)再受到地域的限制，不論是在公共網(wǎng)吧或是在商業(yè)合作伙伴那里，甚至是隨手借一臺(tái)筆記本，只要有網(wǎng)絡(luò)，遠(yuǎn)程訪問就沒問題。有線無線融合規(guī)劃傳統(tǒng)網(wǎng)絡(luò)中常見的無線部署方式有獨(dú)立AC或插卡式AC，不管采用哪種，所有無線流量都要通過AC集中轉(zhuǎn)發(fā)，有線和無線網(wǎng)絡(luò)在轉(zhuǎn)發(fā)和控制層面上是分離的。隨著802.11ac時(shí)代的到來和智能終端設(shè)備的普及，網(wǎng)絡(luò)中存在手持智能手機(jī)、Pad、便攜等多種設(shè)備高速上網(wǎng)，AC設(shè)備由于轉(zhuǎn)發(fā)能力、端口各方面的限制將逐漸成為流量瓶頸。因而有線和無線網(wǎng)絡(luò)如果想要獲得一

42、致的使用和管理體驗(yàn)，不能僅僅依靠目前常見的AC插卡式整合部署的方式，還需要在此基礎(chǔ)之上向深度融合演進(jìn)。在本部署方案中采用敏捷交換機(jī)12700的有線無線融合理念實(shí)現(xiàn)有線無線流量深度融合，具體包括：融合轉(zhuǎn)發(fā)：敏捷交換機(jī)支持隨板AC功能，有線無線流量都直接在交換機(jī)處理，報(bào)文轉(zhuǎn)發(fā)行為一致，不存在AC集中后再通過有線轉(zhuǎn)發(fā)的情況，消除無線流量瓶頸限制，整機(jī)轉(zhuǎn)發(fā)能力能達(dá)到Tbit，學(xué)校不需要單獨(dú)購買AC設(shè)備或者插卡，既解決了節(jié)省了投資又減少了故障點(diǎn)。 融合管理：借鑒業(yè)界AC管理AP的成功經(jīng)驗(yàn)，讓敏捷交換機(jī)把接入層交換機(jī)也管理起來，有線無線采用一種協(xié)議，通過CAPWAP隧道實(shí)現(xiàn)一致的管理機(jī)制，實(shí)現(xiàn)接入交換機(jī)即

43、插即用，降低信息中心老師日常工作中的管理復(fù)雜度。業(yè)務(wù)隨行規(guī)劃業(yè)務(wù)隨行是敏捷網(wǎng)絡(luò)中一種能夠滿足不管用戶身處何地、使用哪個(gè)IP地址，都可以保證該用戶獲得相同的網(wǎng)絡(luò)訪問策略的解決方案。在網(wǎng)絡(luò)中，為實(shí)現(xiàn)用戶不同的網(wǎng)絡(luò)訪問需求，可在接入設(shè)備上為用戶部署不同的網(wǎng)絡(luò)訪問策略。但隨著企業(yè)網(wǎng)絡(luò)移動(dòng)化、BYOD等技術(shù)的應(yīng)用，用戶的物理位置以及IP地址變化愈加頻繁，這就使得原有基于物理端口、IP地址的網(wǎng)絡(luò)控制方案很難滿足用戶網(wǎng)絡(luò)訪問體驗(yàn)一致性的需求（譬如網(wǎng)絡(luò)訪問權(quán)限不隨用戶物理位置變化而變化）。在傳統(tǒng)網(wǎng)絡(luò)中，當(dāng)用戶的物理位置發(fā)生變化時(shí)，為保證用戶的網(wǎng)絡(luò)訪問體驗(yàn)一致，管理員需要在用戶的每個(gè)接入設(shè)備上為其部署相同的網(wǎng)絡(luò)

44、訪問策略，這在用戶物理位置變更頻繁時(shí)會(huì)給管理員帶來巨大的工作量。而在敏捷網(wǎng)絡(luò)中，通過業(yè)務(wù)隨行方案，管理員僅需在控制器上統(tǒng)一為用戶部署網(wǎng)絡(luò)訪問策略，然后將其下發(fā)到所有關(guān)聯(lián)的接入設(shè)備即可滿足不管用戶的物理位置以及IP地址如何變化，都可以使其獲得相同的訪問策略。業(yè)務(wù)隨行通過在網(wǎng)關(guān)設(shè)備上統(tǒng)一管理用戶的訪問策略，并且在網(wǎng)關(guān)設(shè)備和接入設(shè)備執(zhí)行用戶的訪問策略，來解決網(wǎng)絡(luò)中策略強(qiáng)度與復(fù)雜度之間矛盾的一種解決方案?？刂圃O(shè)備和接入設(shè)備之間使用CAP And Provisioning of Wireless Access Points）通道建立連接。并且，通過CAPWAP通道完成控制設(shè)備和接入設(shè)備之間的用戶關(guān)聯(lián)、消

45、息通信、用戶授權(quán)策略下發(fā)、用戶同步等處理。SVF全網(wǎng)虛擬化規(guī)劃傳統(tǒng)網(wǎng)絡(luò)多采用樹狀分層結(jié)構(gòu)，分為核心、匯聚、接入三層，其中核心/匯聚層多采用橫向集群，接入交換機(jī)數(shù)量龐大。 本部署方案旨在通過SVF超級(jí)虛擬交換網(wǎng)，將整個(gè)網(wǎng)絡(luò)虛擬化為一臺(tái)設(shè)備，實(shí)現(xiàn)將盒式交換機(jī)虛擬為核心敏捷交換機(jī)的板卡，將AP虛擬為核心敏捷交換機(jī)的無線端口，使得原來“核心/匯聚+接入交換機(jī)+AP”的校園網(wǎng)絡(luò)架構(gòu)，虛擬化為一臺(tái)設(shè)備，整個(gè)網(wǎng)絡(luò)成為“One Box”，從而最大程度簡化運(yùn)維人員的日常運(yùn)維工作，同時(shí)降低多協(xié)議應(yīng)用下的網(wǎng)絡(luò)配置、運(yùn)行復(fù)雜度，提升網(wǎng)絡(luò)可靠性。用戶接入認(rèn)證規(guī)劃有線用戶接入（1）接入交換機(jī)配置端口隔離，每個(gè)接入交換機(jī)配

46、置一個(gè)VLAN， VLAN編號(hào)可以重復(fù)。 （2）S12700做為用戶網(wǎng)關(guān)，Portal用戶上線到后DHCP服務(wù)器給用戶分配IP地址，在通過認(rèn)證之前用戶只能訪問認(rèn)證前域的服務(wù)器，用戶的第一個(gè)HTTP報(bào)文進(jìn)行重定向到Portal服務(wù)器，實(shí)現(xiàn)WEB認(rèn)證，認(rèn)證通過后允許用戶訪問認(rèn)證后域。 （3）S127作為用戶網(wǎng)關(guān)，1X用戶直接到第三方AAA服務(wù)器進(jìn)行用戶名和密碼認(rèn)證。（4）有線用戶的互訪都需要通過S12700進(jìn)行流量轉(zhuǎn)發(fā)。無線用戶接入S12700內(nèi)置硬件隨板T-bit AC，并支持統(tǒng)一用戶管理功能，更敏捷地實(shí)現(xiàn)了豐富的業(yè)務(wù)特性。S12700內(nèi)置硬件隨板T-bit AC，可節(jié)省用戶額外購買AC硬件的費(fèi)

47、用。此外，S12700內(nèi)置硬件隨板T-bit AC突破外置AC處理性能的瓶頸，從容面向高速無線時(shí)代。S12700支持統(tǒng)一用戶管理功能，屏蔽了接入層設(shè)備能力和接入方式的差異。S12700不僅支持802.1X/MAC/Portal等多種認(rèn)證方式，還支持對(duì)終端進(jìn)行分組/分域/分時(shí)的管理，使終端、業(yè)務(wù)可視可控，實(shí)現(xiàn)了從“以設(shè)備管理為中心”到“以用戶管理為中心”的飛躍。交換機(jī)配套X1E接口板，可以部署WLAN AC功能，集中管理大量的AP，對(duì)海量用戶提供Wi-Fi接入服務(wù)。AC通過CAPWAP協(xié)議報(bào)文管理和控制AP，而X1E接口板可以處理CAPWAP報(bào)文，所以組網(wǎng)時(shí)，需要保證AP的報(bào)文流量通過X1E接口

48、板進(jìn)入交換機(jī)。無線網(wǎng)絡(luò)建設(shè)規(guī)劃無線醫(yī)療簡介當(dāng)代社會(huì)，人口快速增長、老齡化趨勢(shì)加快、生態(tài)環(huán)境惡化，人們對(duì)健康生活渴望愈加強(qiáng)烈，多方面因素不可避免地對(duì)醫(yī)療 HYPERLINK t _blank 信息化提出了越來越高的要求。醫(yī)療單位也步入了以服務(wù)患者為中心的數(shù)字化醫(yī)療發(fā)展階段。在此過程中，隨著 HYPERLINK t _blank 移動(dòng)技術(shù)日新月異地改變?nèi)藗兊纳罘绞?，“無線醫(yī)療”也成為近兩年醫(yī)療行業(yè)最關(guān)注的信息化技術(shù)和手段。目前大部分三甲醫(yī)院已經(jīng)建立了比較完備的的醫(yī)療信息系統(tǒng)（如HIS、PACS等），醫(yī)護(hù)人員可以通過有線網(wǎng)絡(luò)來訪問、修改、輸入患者信息、診斷報(bào)告和治療方案，但在使用過程中發(fā)現(xiàn)，由于有

49、線網(wǎng)絡(luò)存在信息點(diǎn)固定的局限性，制約了系統(tǒng)發(fā)揮更大的作用。無線網(wǎng)絡(luò)的應(yīng)用將徹底打破了這一局限。無線網(wǎng)絡(luò)在醫(yī)院的應(yīng)用主要集中在以下幾方面：移動(dòng)查房醫(yī)生查房的過程中，需要隨時(shí)調(diào)取患者的診療記錄或病史等信息，并根據(jù)患者當(dāng)時(shí)的具體病情隨時(shí)下醫(yī)囑。無線網(wǎng)絡(luò)的應(yīng)用，可以使醫(yī)生通過隨身攜帶的平板電腦或PDA，隨時(shí)查看病人病歷、檢驗(yàn)、化驗(yàn)報(bào)告單、影像圖等，把HIS、PACS等信息系統(tǒng)“延伸到床邊”，醫(yī)生在病人床邊即可采集病情、開出醫(yī)囑，以及實(shí)現(xiàn)醫(yī)護(hù)人員之間的便捷溝通，信息同步； 給醫(yī)生工作帶來便利的同時(shí)，也保證了醫(yī)囑和病歷的準(zhǔn)確性、實(shí)時(shí)性，讓患者享受到更滿意的健康服務(wù)；無線護(hù)理患者從就診到得到治療通常需要經(jīng)過3

50、個(gè)步驟：醫(yī)生檢查患者得出初步診斷后開具醫(yī)囑，護(hù)士將醫(yī)囑轉(zhuǎn)抄到輸液袋或治療卡上并準(zhǔn)備執(zhí)行，護(hù)士實(shí)施治療方案。這3個(gè)環(huán)節(jié)的每一步都至關(guān)重要。隨著無線網(wǎng)絡(luò)技術(shù)、用戶身份識(shí)別技術(shù)與醫(yī)用推車、小型電腦、PDA的結(jié)合，能夠?qū)崿F(xiàn)方便的移動(dòng)護(hù)理，對(duì)醫(yī)囑執(zhí)行過程中的每一步進(jìn)行實(shí)時(shí)檢查和確認(rèn)，切實(shí)提高醫(yī)療質(zhì)量和醫(yī)護(hù)效率。資產(chǎn)管理醫(yī)療設(shè)備不僅是開展醫(yī)療、教學(xué)、科研的必備條件，而且是提高醫(yī)療質(zhì)量的物資基礎(chǔ)和先決條件。一般醫(yī)療單位的醫(yī)療設(shè)備約占醫(yī)院固定資產(chǎn)的1/2，而經(jīng)濟(jì)效益約占門診和住院病人資金收入的2/3，也是醫(yī)院產(chǎn)生醫(yī)療信息的主要來源?；赪LAN技術(shù)和射頻技術(shù)（RFID），不僅可以實(shí)現(xiàn)貴重資產(chǎn)的精確定位、實(shí)時(shí)跟

51、蹤，同時(shí)可實(shí)現(xiàn)移動(dòng)性的資產(chǎn)出入庫、資產(chǎn)盤點(diǎn)等功能特殊病人管理特殊人群管理包括母嬰管理，精神病人、突發(fā)病患者、殘疾病人等特殊人群管理；這類群體不具備自我管理能力，需要醫(yī)療單位給予更加完善、細(xì)致的照顧。結(jié)合WLAN技術(shù)和射頻識(shí)別技術(shù)，可以實(shí)現(xiàn)實(shí)時(shí)位置信息查詢、緊急情況告警、醫(yī)院特殊重地管理、安全范圍界定等，提高醫(yī)院管理水平。無線輸液門診輸液工作量大，業(yè)務(wù)繁忙瑣碎，一旦出現(xiàn)差錯(cuò)，有可能危及病人生命安全；基于WLAN技術(shù)的無線輸液管理系統(tǒng)可以解決在門診場(chǎng)地有限、人員流動(dòng)性大的場(chǎng)合病人輸液難題。輸液信息電子化，結(jié)合“病人腕帶”、具備掃描功能的無線PDA，實(shí)現(xiàn)病人從入院、治療到出院全過程的身份確定，并在取

52、藥、配藥、輸液等各個(gè)環(huán)節(jié)利用電子條碼對(duì)病人、藥物嚴(yán)格進(jìn)行驗(yàn)證匹配，醫(yī)護(hù)人員一目了然，最大程度上保證病人服藥及治療的安全，降低醫(yī)療差錯(cuò)發(fā)生率。方便患者就診門診排隊(duì)、就醫(yī)環(huán)境差是目前醫(yī)院普遍存在的問題，減少就診等待時(shí)間，提高診治效率成為當(dāng)務(wù)之急。無線網(wǎng)絡(luò)部署后，醫(yī)生可以通過平板電腦或者PDA，將接診或等待的患者數(shù)量信息實(shí)施傳送到前臺(tái)分診人員處，方便分診人員及時(shí)調(diào)配資源；同時(shí)在公共局域開放的無線網(wǎng)絡(luò)，可以提供給病人上網(wǎng)，并推送醫(yī)院電子地圖和推送就診指導(dǎo)信息，緩解病人情緒，提升患者滿意度。無線醫(yī)療的總體需求隨著醫(yī)院信息化的發(fā)展、網(wǎng)絡(luò)中所承載內(nèi)容的變化、新的接入方式的成熟?，F(xiàn)代WLAN無線醫(yī)院的需求概括

53、為如下幾點(diǎn)。無線網(wǎng)絡(luò)安全問題由于無線電波的開放性，對(duì)醫(yī)院通過傳統(tǒng)的內(nèi)網(wǎng)物理隔離來保證安全提出了新的挑戰(zhàn)；醫(yī)院中患者的電子病歷、個(gè)人資料一旦被泄漏、惡意修改，或者被其他機(jī)構(gòu)獲得，都會(huì)釀成嚴(yán)重后果。同時(shí)，醫(yī)院自身的信息保密也尤為重要，避免信息泄露造成難以彌補(bǔ)的損失。如何保證內(nèi)網(wǎng)、外網(wǎng)的安全隔離，如何保證移動(dòng)場(chǎng)景下的接入訪問控制，以及避免信息通過移動(dòng)終端泄露，成為無線安全方面關(guān)注的重要問題；無線網(wǎng)絡(luò)規(guī)劃實(shí)施問題無線網(wǎng)絡(luò)的規(guī)劃和實(shí)施直接決定了后續(xù)的業(yè)務(wù)應(yīng)用效果，主要關(guān)注以下幾個(gè)問題：信號(hào)覆蓋盲點(diǎn)問題：建筑物的不同架構(gòu)（如衛(wèi)生間問題）和墻壁介質(zhì)會(huì)對(duì)無線信號(hào)的傳輸造成不同程度的影響，尤其是部署大量AP時(shí)，

54、如何實(shí)現(xiàn)信號(hào)連續(xù)覆蓋無盲點(diǎn)是必須考慮的問題。無線AP供電：許多醫(yī)院在開始建樓時(shí)并沒有考慮到無線網(wǎng)絡(luò)的部署問題，也就沒有預(yù)留出電源供無線AP使用，如果重新改造電源線路，施工成本必然提升。AP之間的干擾問題：在一定的空間內(nèi)部署多個(gè)AP，信號(hào)會(huì)有相互交錯(cuò)重疊，從而造成信號(hào)干擾。如何解決，需要關(guān)注。覆蓋環(huán)境中其他的2.4GHz/5GHz波段的射頻干擾源，如微波爐、無繩電話、藍(lán)牙耳機(jī)等；無線設(shè)備對(duì)患者（患者體內(nèi)植入心臟起搏器或心臟除顫器）潛在的干擾；醫(yī)院部署時(shí)需要考慮無線網(wǎng)絡(luò)與醫(yī)療儀器之間不存在互相干擾，以及盡量解除部署無線給病人帶來的心里壓力。無線用戶漫游問題無線設(shè)備的最大特點(diǎn)就是接入點(diǎn)靈活方便，但同

55、時(shí)對(duì)網(wǎng)絡(luò)性能提出更高的要求：醫(yī)護(hù)人員在不同無線網(wǎng)絡(luò)覆蓋區(qū)移動(dòng)時(shí)能否快速接入醫(yī)院管理系統(tǒng)，在快速的移動(dòng)過程中如何保證業(yè)務(wù)不中斷，不會(huì)造成信息丟失以及影響醫(yī)護(hù)人員的工作體驗(yàn)。無線網(wǎng)絡(luò)管理問題為了達(dá)到信號(hào)全面覆蓋，無線網(wǎng)絡(luò)中往往需要部署大量AP，如何對(duì)數(shù)個(gè)AP進(jìn)行快速有效的配置和管理，融合到原有的管理系統(tǒng)中，有線無線網(wǎng)絡(luò)能否實(shí)現(xiàn)一體化的統(tǒng)一運(yùn)維，也是許多醫(yī)院在部署無線網(wǎng)絡(luò)時(shí)關(guān)心的問題。無線醫(yī)療基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)不同醫(yī)院現(xiàn)有有線網(wǎng)絡(luò)架構(gòu)的差異，使得各醫(yī)院的WLAN網(wǎng)絡(luò)建設(shè)存在一定的差異。根據(jù)獲嘉縣紅十字醫(yī)院減租結(jié)構(gòu)及網(wǎng)絡(luò)狀況，建議不改變有線網(wǎng)，WLAN無線網(wǎng)在現(xiàn)有網(wǎng)絡(luò)上疊加。組網(wǎng)架構(gòu)設(shè)計(jì)WLAN無線網(wǎng)絡(luò)建設(shè)

56、，直接在現(xiàn)有網(wǎng)絡(luò)上疊加，盡量減少對(duì)現(xiàn)有網(wǎng)絡(luò)的影響和改動(dòng)。這個(gè)情況下，建議采用下圖所示的WLAN方案。AC放置在核心機(jī)房，旁掛于核心交換機(jī)上，采用集中轉(zhuǎn)發(fā)模式，數(shù)據(jù)報(bào)文直接通過隧道到AC進(jìn)行處理，對(duì)現(xiàn)有網(wǎng)絡(luò)幾乎無影響；AP放置在目標(biāo)覆蓋位置，通過接入交換機(jī)POE供電。AC設(shè)備：核心層推薦采用華為S12700交換機(jī)的可編程單板內(nèi)置無線AC功能（Natvie AC），有線無線統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一控制、統(tǒng)一管理，實(shí)現(xiàn)有線無線真正融合，且無需在單獨(dú)購買AC板卡AP設(shè)備:室內(nèi)或者室外場(chǎng)景推薦選擇放裝型設(shè)備，減少無線布線的繁瑣。AP設(shè)備采用POE供電，就近接入接入交換機(jī)，針對(duì)門診樓，推薦AP4030DN-E 11

57、ac放裝型AP設(shè)備與高密型AP4030TN無線AP進(jìn)行相應(yīng)需求的信號(hào)覆蓋。針對(duì)住院部，由于房間分布較多，信號(hào)受干擾衰減嚴(yán)重，因此建議采用華為智分型AD9430DN-24無線AP，設(shè)備自帶24個(gè)POE供電口，可直接為遠(yuǎn)端射頻單元進(jìn)行POE供電，通過一個(gè)中心AP帶至多48個(gè)射頻單元R240D，每射頻單元可以采用86面板或者壁掛等方式便捷的部署在各個(gè)病房內(nèi)部，兼容IEEE 802.11a/b/g/n/ac標(biāo)準(zhǔn)，支持2*2 MIMO，2.4G和5G頻段可同時(shí)工作，信號(hào)覆蓋能力強(qiáng)，最高速率可達(dá)千兆，保證信號(hào)的覆蓋密度和覆蓋強(qiáng)度。接入交換機(jī)：接入層新增千兆POE接入交換機(jī)，滿足AP供電以及WLAN 11n

58、/11ac對(duì)接入帶寬的需求。接入交換機(jī)推薦選擇華為S5720-28X-PWR-SI。核心交換機(jī)：核心層采用S12700交換機(jī)。其獨(dú)創(chuàng)的CSS2集群，數(shù)據(jù)跨框1次交換，21us最低跨框時(shí)延，僅為業(yè)界平均時(shí)延的60%。且CSS2交換網(wǎng)集群支持1+N冗余備份，增加核心層設(shè)備的可靠性。無線AP部署方案無線AP的部署方案整體分為放裝方案，智分方案兩種。兩種方案的區(qū)別和比較如下。主要特性對(duì)比室內(nèi)放裝系統(tǒng)敏捷分布式部署覆蓋效果支持2.4G/5G終端接入，部署情況需要根據(jù)實(shí)際環(huán)境與建筑布局等來綜合網(wǎng)規(guī)評(píng)估，病房覆蓋效果會(huì)受到穿墻等因素影響。保證99%以上的信號(hào)覆蓋率，病房覆蓋效果好，可同時(shí)支持2.4G/5G終

59、端接入。每AP最大覆蓋房間數(shù)量需要根據(jù)實(shí)際客戶需求以及部署場(chǎng)景來綜合網(wǎng)規(guī)評(píng)估。通?？筛采w46個(gè)房間。針對(duì)房間密集的場(chǎng)景，采用86盒面板方式直接部署在房間內(nèi)部，覆蓋效果好，信號(hào)強(qiáng)度及穩(wěn)定性較好。其他輔料不需要其他輔料，AC、AP只需要網(wǎng)線即可中心AP、間走網(wǎng)線或者直接替換現(xiàn)有房間內(nèi)部信息面板。WLAN覆蓋規(guī)劃射頻規(guī)劃與IP地址規(guī)劃一樣，WLAN信道是WLAN網(wǎng)絡(luò)設(shè)計(jì)中重要一環(huán)，大型無線醫(yī)院必須對(duì)WLAN信道進(jìn)行統(tǒng)一規(guī)劃。WLAN信道規(guī)劃的好壞，影響到無線網(wǎng)絡(luò)的帶寬、無線網(wǎng)絡(luò)的性能、無線網(wǎng)絡(luò)的擴(kuò)展以及無線網(wǎng)絡(luò)的抗干擾能力，也必將直接影響到無線網(wǎng)絡(luò)的用戶體驗(yàn)。頻點(diǎn)劃分為保證信道之間不相互干擾，大型無

60、線醫(yī)院必須對(duì)WLAN信道進(jìn)行統(tǒng)一規(guī)劃并實(shí)施。WLAN系統(tǒng)主要應(yīng)用兩個(gè)頻段：2.4GHz和5.0GHz。2.4G頻段具體頻率范圍為2.42.4835GHz的連續(xù)頻譜，信道編號(hào)114，非重疊信道共有三個(gè)，一般選取1、6、11這三個(gè)非重疊信道。5.0G頻段分配的頻譜并不連續(xù)，主要有兩段：5.155.35GHz、5.725GHz5.85GHz。不重疊信道在5.155.35GHz頻段有8個(gè)，分別為36、40、44、48、52、56、60、64；在5.725GHz5.85GHz頻段有4個(gè)，分別為149、153、157、161，可以根據(jù)實(shí)際部署情況，選擇相應(yīng)的非重疊信道。信道覆蓋WLAN信道規(guī)劃需遵循兩個(gè)原