XX醫(yī)院信息化建設(shè)技術(shù)建議書

XX醫(yī)院信息化建設(shè)技術(shù)建議書2016年10月

目錄1. 項目背景 42. 需求分析 43. 建設(shè)目標(biāo) 44. 建設(shè)思想 55. XXX醫(yī)院網(wǎng)絡(luò)總體建設(shè)規(guī)劃 65.1. 網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D 65.2. 基礎(chǔ)敏捷網(wǎng)絡(luò)建設(shè)規(guī)劃 75.2.1. 網(wǎng)絡(luò)設(shè)計原則 75.2.2. 總體網(wǎng)絡(luò)架構(gòu) 85.2.3. 物理組網(wǎng)規(guī)劃 95.2.4. 網(wǎng)絡(luò)出口規(guī)劃 95.2.5. 核心層設(shè)計規(guī)劃 95.2.6. 匯聚層設(shè)計規(guī)劃 105.2.7. 接入層設(shè)計規(guī)劃 105.2.8. 可靠性設(shè)計規(guī)劃 105.2.9. 安全性設(shè)計規(guī)劃 115.3. 遠(yuǎn)程訪問規(guī)劃 125.4. 有線無線融合規(guī)劃 145.5. 業(yè)務(wù)隨行規(guī)劃 145.6. SVF全網(wǎng)虛擬化規(guī)劃 155.7. 用戶接入認(rèn)證規(guī)劃 155.7.1. 有線用戶接入 155.7.2. 無線用戶接入 165.8. 無線網(wǎng)絡(luò)建設(shè)規(guī)劃 165.8.1. 無線醫(yī)療簡介 165.8.2. 無線醫(yī)療的總體需求 185.8.3. 無線網(wǎng)絡(luò)安全問題 185.8.4. 無線網(wǎng)絡(luò)規(guī)劃實施問題 185.8.5. 無線用戶漫游問題 195.8.6. 無線網(wǎng)絡(luò)管理問題 195.8.7. 無線醫(yī)療基礎(chǔ)網(wǎng)絡(luò)設(shè)計 195.8.8. WLAN覆蓋規(guī)劃 215.8.9. 容量規(guī)劃 225.8.10. 覆蓋規(guī)劃 235.8.11. SSID和漫游規(guī)劃 245.8.12. 漫游規(guī)劃 255.8.13. 業(yè)務(wù)帶寬規(guī)劃 265.8.14. 可靠性規(guī)劃 275.8.15. 安全性規(guī)劃 315.9. 網(wǎng)絡(luò)安全防護(hù)規(guī)劃 375.9.1. 網(wǎng)絡(luò)安全 375.9.2. 威脅管理 385.9.3. 網(wǎng)絡(luò)安全管理 385.9.4. 網(wǎng)絡(luò)安全設(shè)計原則 385.9.5. 網(wǎng)絡(luò)邊界防護(hù)規(guī)劃 395.10. 網(wǎng)絡(luò)審計管控規(guī)劃 405.10.1. 行為管控需求 405.10.2. 網(wǎng)絡(luò)設(shè)計原則 405.10.3. 具體系統(tǒng)設(shè)計 415.11. 網(wǎng)絡(luò)運維管理規(guī)劃 425.11.1. 安全管理 425.11.2. 拓?fù)涔芾?435.11.3. 告警管理 435.11.4. 性能管理 445.11.5. 服務(wù)器管理 455.11.6. 存儲管理 455.11.7. 網(wǎng)絡(luò)設(shè)備管理 475.11.8. WLAN管理 475.11.9. 應(yīng)用管理 496. 方案價值 526.1. 使用體驗極佳的網(wǎng)絡(luò) 526.1.1. 極致高速的網(wǎng)絡(luò)體驗 526.1.2. 無線全覆蓋，全網(wǎng)零漫游 526.1.3. 業(yè)務(wù)隨行的高體驗網(wǎng)絡(luò) 526.1.4. 安全可靠的體驗網(wǎng)絡(luò) 536.2. 極簡維護(hù)管理的敏捷網(wǎng)絡(luò) 536.2.1. 整網(wǎng)超級虛擬化，極致簡化日常運維管理工作 536.2.2. 全網(wǎng)安全穩(wěn)定CSS2架構(gòu)，實現(xiàn)99.999%的穩(wěn)定性 53

項目背景XXX醫(yī)院是一所集醫(yī)療、教學(xué)、科研為一體的現(xiàn)代化中西醫(yī)結(jié)合的?？漆t(yī)院，由于醫(yī)院業(yè)務(wù)快速增長，規(guī)劃在XX市東部建立分院區(qū)，初期規(guī)劃床位800張；需要依據(jù)新建分院建筑分布，樓層功能分布，信息節(jié)點分布、應(yīng)用功能需求等情況建設(shè)一套符合XXX醫(yī)院信息化辦公的現(xiàn)代化數(shù)據(jù)交換網(wǎng)絡(luò)，滿足XXX醫(yī)院現(xiàn)在及未來5-10年內(nèi)的業(yè)務(wù)規(guī)劃發(fā)展需要。需求分析根據(jù)XXX醫(yī)院現(xiàn)有業(yè)務(wù)要求及物理建筑分布狀態(tài)。要求新建信息化網(wǎng)絡(luò)符合以下幾點要求：要求網(wǎng)絡(luò)分層、分區(qū)建設(shè)，便于以后網(wǎng)絡(luò)擴(kuò)容及新增。新建網(wǎng)絡(luò)涉及到有線與無線覆蓋，要求內(nèi)外網(wǎng)做邏輯隔離，可以靈活調(diào)整網(wǎng)絡(luò)到網(wǎng)絡(luò)、終端到資源的權(quán)限控制。要求采用萬兆骨干，千兆到桌面，保證數(shù)據(jù)交互的高帶寬要求。針對外網(wǎng)移動辦公接入提供安全的專用接入點，便于移動辦公人員接入到內(nèi)網(wǎng)進(jìn)行相應(yīng)工作的開展及信息的獲取。建設(shè)目標(biāo)根據(jù)XXX醫(yī)院上述幾點建設(shè)需求及新建醫(yī)院具體情況，結(jié)合相應(yīng)醫(yī)療信息化網(wǎng)絡(luò)的建網(wǎng)原則，提出以下建設(shè)目標(biāo)：新建園區(qū)包括一棟門診樓，一棟住院樓。門診樓合計3層，每層15個診室，每層60個信息點位。住院部4層，共計800張床位。門診樓及住院樓根據(jù)各樓層信息點分布情況，建設(shè)有線網(wǎng)絡(luò)。網(wǎng)絡(luò)主體采用核心層-匯聚層-接入層的三層網(wǎng)絡(luò)組網(wǎng)結(jié)構(gòu)，滿足萬兆骨干，千兆接入的建設(shè)標(biāo)準(zhǔn)。針對服務(wù)器區(qū)域單獨建設(shè)數(shù)據(jù)中心區(qū)域，數(shù)據(jù)中心區(qū)域放置匯聚層交換機(jī)，采用千兆接入，萬兆上行?？紤]到無線醫(yī)療的應(yīng)用需求，針對住院樓做重點無線覆蓋。要求樓層內(nèi)移動實現(xiàn)零漫游。門診樓一樓大廳處（300人）、掛號區(qū)（2*150人）做無線覆蓋，滿足排隊掛號及預(yù)約看病的無線上網(wǎng)需求。門診樓其他區(qū)域（樓長80m）根據(jù)樓層情況在走廊處做無線覆蓋。無線覆蓋需根據(jù)場景選用合適的設(shè)備。有線無線網(wǎng)絡(luò)采用一張物理網(wǎng)絡(luò)，不僅要滿足內(nèi)部辦公需求，還要滿足病患及家屬的無線上網(wǎng)需求。因此整體網(wǎng)絡(luò)需要針對內(nèi)部辦公人員，采用基于IP、VLAN等方式進(jìn)行內(nèi)網(wǎng)及外網(wǎng)的隔離。針對無線網(wǎng)絡(luò)需要基于SSID劃分用于內(nèi)部無線醫(yī)療的專用Work網(wǎng)絡(luò)及用于病患上網(wǎng)的Guest網(wǎng)絡(luò)。且在網(wǎng)路與網(wǎng)絡(luò)間，網(wǎng)絡(luò)與內(nèi)部辦公資源及外部網(wǎng)絡(luò)資源需要有建設(shè)一套控制系統(tǒng)?？蓪Y源訪問做靈活的權(quán)限控制及等級劃分。由于互聯(lián)網(wǎng)的不安全性，需要在網(wǎng)絡(luò)出口處部署防火墻等安全設(shè)備，做網(wǎng)絡(luò)整體的安全防護(hù)。由于公安82號令要求，針對公開性場所的無線網(wǎng)絡(luò)接入，建設(shè)一套上網(wǎng)行為審計設(shè)備，對網(wǎng)內(nèi)人員的上網(wǎng)行為做審計及記錄。針對在外出差或辦公人員，建設(shè)VPN系統(tǒng)，提供專有的安全VPN通道滿足移動辦公的應(yīng)用需求。建設(shè)思想由于本次XXX醫(yī)院網(wǎng)絡(luò)建設(shè)涵蓋有線和無線覆蓋，且有線和無線網(wǎng)絡(luò)共用基礎(chǔ)硬件，不做物理分離，因此建議采用華為敏捷網(wǎng)絡(luò)有線無線一體化解決方案。通過利用華為敏捷交換機(jī)的無線融合特性，即作為有線網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)核心節(jié)點，同時又做為無線網(wǎng)絡(luò)的核心控制及轉(zhuǎn)發(fā)節(jié)點，做到有線無線的深度一體化融合，不用再單獨建設(shè)和部署兩套網(wǎng)絡(luò)，即減輕了運維人員壓力，又提高了各層次設(shè)備的利用率，保證用戶的資金投入。由于無線網(wǎng)絡(luò)的公開性及審計需求特性，建議對開放性無線網(wǎng)絡(luò)采用基于短信的認(rèn)證方式，確保網(wǎng)絡(luò)接入的實名制原則，在網(wǎng)內(nèi)出現(xiàn)發(fā)送或上傳非法內(nèi)容或言論時，結(jié)合上網(wǎng)行為審計設(shè)備，基于日志記錄進(jìn)行溯源?？紤]到內(nèi)網(wǎng)安全性，在網(wǎng)路出口區(qū)域部署安全防火墻，對進(jìn)出網(wǎng)數(shù)據(jù)流做安全檢查及過濾，保護(hù)內(nèi)部網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的安全威脅及惡意攻擊。針對無線網(wǎng)絡(luò)覆蓋，結(jié)合應(yīng)用場景采用不同的產(chǎn)品及組網(wǎng)方案，實現(xiàn)全網(wǎng)無縫無死角的無線覆蓋，實現(xiàn)網(wǎng)內(nèi)的任意無縫漫游。針對住院部，由于其房間密集特性，又要求無線漫游的切換時間及無線信號的覆蓋強(qiáng)度及穩(wěn)定性，采用華為敏捷分布式無線覆蓋組網(wǎng)方案。通過中心AP+敏分單元的方式，單AP下可最多覆蓋48個房間。針對門診大廳及掛號區(qū)的場景，屬于高密覆蓋場景，小范圍內(nèi)并發(fā)要求高，因此采用華為的高密型無線AP進(jìn)行型號覆蓋。針對傳統(tǒng)走廊的覆蓋場景，則采用放裝AP的方式在走廊吊頂處或墻壁處進(jìn)行無線AP的安裝，對走廊及相鄰房間進(jìn)行無線的信號覆蓋，且通過統(tǒng)一SSID的方式實現(xiàn)樓層內(nèi)及樓層間移動時的無縫漫游需求，保證信號連接的持續(xù)性及穩(wěn)定性。對于醫(yī)院內(nèi)部網(wǎng)絡(luò)，針對不同部門，不同職級，資源類型，定義不同的安全及資源組。結(jié)合華為敏捷網(wǎng)絡(luò)的業(yè)務(wù)隨行解決方案，做到業(yè)務(wù)隨行，策略隨身。在初期進(jìn)行策略及權(quán)限劃分時，一鍵式全網(wǎng)部署，下發(fā)策略。辦公人員不論移動到醫(yī)院內(nèi)任何一個位置節(jié)點，不論是通過有線網(wǎng)絡(luò)或者無線網(wǎng)絡(luò)，都擁有一致的網(wǎng)絡(luò)訪問及使用權(quán)限，同時還可以基于角色進(jìn)行接入帶寬的分配及管控。為保證網(wǎng)絡(luò)的健壯性、可升級性及易擴(kuò)容特性，網(wǎng)絡(luò)采用模塊化的三層網(wǎng)絡(luò)結(jié)構(gòu)建設(shè)，由于核心層的重要性，針對核心層采用雙機(jī)冗余部署，結(jié)合華為CSS2集群方案，實現(xiàn)設(shè)備的橫向虛擬化。且快達(dá)21μs的跨板時延、高達(dá)320G的橫向虛擬化帶寬、N+1的主控備份方式、獨立專用的集群網(wǎng)版，保證核心節(jié)點的可靠性及快速的數(shù)據(jù)交換特性。為減輕運維人員的運維壓力，建議采用華為敏捷網(wǎng)絡(luò)的SVF全網(wǎng)虛擬化解決方案，實現(xiàn)從核心+匯聚+接入+AP的全網(wǎng)融合虛擬化。全網(wǎng)設(shè)備虛擬化后對外呈現(xiàn)一個邏輯的管理節(jié)點，通過一個節(jié)點可實現(xiàn)整網(wǎng)設(shè)備的配置管理及業(yè)務(wù)下發(fā)。匯聚及接入節(jié)點只相當(dāng)于核心節(jié)點的一塊普通業(yè)務(wù)板卡，AP經(jīng)虛擬化融合后相當(dāng)于核心節(jié)點的一個普通業(yè)務(wù)端口。為便于無線及有線的可視化運維，在網(wǎng)絡(luò)發(fā)生問題和故障時，運維人員能第一時間收到郵件或者短信提醒，并通過運維管理系統(tǒng)快速的定位鼓掌源頭，依據(jù)相關(guān)修復(fù)建議實現(xiàn)網(wǎng)絡(luò)的快速恢復(fù)。特別是無線網(wǎng)絡(luò)，通過一鍵式診斷，判斷無線登陸失敗節(jié)點的故障原因，極大的減輕了運維人員的工作壓力，提高運維人員的工作效率。XXX醫(yī)院網(wǎng)絡(luò)總體建設(shè)規(guī)劃網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D基礎(chǔ)敏捷網(wǎng)絡(luò)建設(shè)規(guī)劃網(wǎng)絡(luò)設(shè)計原則醫(yī)療網(wǎng)絡(luò)通常是一種用戶高密度的非運營網(wǎng)絡(luò)，在有限的空間內(nèi)聚集了大量的終端和用戶。同時對于醫(yī)療網(wǎng)絡(luò)而言，注重的是網(wǎng)絡(luò)的簡單可靠、易部署、易維護(hù)。因此在網(wǎng)絡(luò)中，拓?fù)浣Y(jié)構(gòu)通常以星型結(jié)構(gòu)為主，較少使用環(huán)網(wǎng)結(jié)構(gòu)（環(huán)網(wǎng)結(jié)構(gòu)較多的運用在運營商的城域網(wǎng)絡(luò)和骨干網(wǎng)絡(luò)中，可以節(jié)約光纖資源）?；谛切徒Y(jié)構(gòu)的園區(qū)網(wǎng)設(shè)計，通常遵循如下原則：層次化將網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層。每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。模塊化將網(wǎng)絡(luò)中的每個部門或者每個功能區(qū)劃分為一個模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進(jìn)行問題定位。冗余性關(guān)鍵設(shè)備采用雙節(jié)點冗余設(shè)計；關(guān)鍵鏈路采用Trunk方式冗余備份或者負(fù)載分擔(dān)；關(guān)鍵設(shè)備的電源、主控板等關(guān)鍵部件冗余備份。提高了整個網(wǎng)絡(luò)的可靠性。安全隔離網(wǎng)絡(luò)應(yīng)具備有效的安全控制。按業(yè)務(wù)、按權(quán)限進(jìn)行分區(qū)邏輯隔離，對特別重要的業(yè)務(wù)采取物理隔離?？晒芾硇院涂删S護(hù)性網(wǎng)絡(luò)應(yīng)當(dāng)具有良好的可管理性。為了便于維護(hù)，應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品?？傮w網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)的邏輯架構(gòu)如下圖所示，包括五大部分。終端層包含網(wǎng)內(nèi)的各種終端設(shè)備，例如PC、筆記本電腦、打印機(jī)、傳真、POTS話機(jī)、SIP話機(jī)、手機(jī)、攝像頭等。接入層負(fù)責(zé)將各種終端接入到網(wǎng)絡(luò)，通常由以太網(wǎng)交換機(jī)組成。對于某些終端，可能還要增加特定的接入設(shè)備，例如無線接入的AP設(shè)備、POTS話機(jī)接入的IAD等。匯聚層匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過一次匯聚后再接入到核心層，擴(kuò)展核心層接入用戶的數(shù)量。匯聚層通常還作為用戶三層網(wǎng)關(guān)，承擔(dān)L2/L3邊緣設(shè)備的角色，提供用戶管理、安全管理、QoS（QualityofService）調(diào)度等各項跟用戶和業(yè)務(wù)相關(guān)的處理。核心層核心層負(fù)責(zé)整個網(wǎng)絡(luò)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。核心網(wǎng)絡(luò)需要實現(xiàn)帶寬的高利用率和網(wǎng)絡(luò)故障的快速收斂。網(wǎng)絡(luò)出口網(wǎng)絡(luò)出口是園區(qū)網(wǎng)絡(luò)到外部公網(wǎng)的邊界，內(nèi)部用戶通過邊緣網(wǎng)絡(luò)接入到公網(wǎng)，外部用戶（包括合作伙伴、分支機(jī)構(gòu)、遠(yuǎn)程用戶等）也通過邊緣網(wǎng)絡(luò)接入到內(nèi)部網(wǎng)絡(luò)。數(shù)據(jù)中心區(qū)部署服務(wù)器和應(yīng)用系統(tǒng)的區(qū)域。為內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。DMZ（DemilitarizedZone）區(qū)通常公用服務(wù)器部署于該區(qū)域，為外部訪客（非職工）提供相應(yīng)的訪問業(yè)務(wù)，其安全性受到嚴(yán)格控制。網(wǎng)絡(luò)管理區(qū)對網(wǎng)絡(luò)、服務(wù)器、應(yīng)用系統(tǒng)進(jìn)行管理的區(qū)域。包括故障管理、配置管理、性能管理、安全管理等。物理組網(wǎng)規(guī)劃核心區(qū)域建議采用網(wǎng)絡(luò)出口、核心層、匯聚層和接入層的架構(gòu)模型，具有如下的優(yōu)勢：層次化設(shè)計：核心層、匯聚層、接入層，每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。模塊化設(shè)計：每一個模塊一個部門，部門內(nèi)部調(diào)整涉及范圍小，定位問題也容易。冗余性設(shè)計：雙節(jié)點冗余性設(shè)計，適當(dāng)?shù)娜哂嘈蕴岣呖煽啃?，過度的冗余不便于運行維護(hù)。對稱性設(shè)計：網(wǎng)絡(luò)的對稱性便于業(yè)務(wù)部署，拓?fù)渲庇^，便于設(shè)計和分析。網(wǎng)絡(luò)出口規(guī)劃網(wǎng)絡(luò)出口指醫(yī)院接入廣域網(wǎng)和Internet的出口，出口的主要功能是外部的互訪，出差職工的訪問。Internet網(wǎng)絡(luò)的安全性低、可靠性低、費用低，WAN安全性高、可靠性高、費用高。為保證WAN/Internet鏈路的高可靠性，可申請兩條鏈路，實現(xiàn)冗余備份，也可以WAN作為主用鏈路，Internet作為備份鏈路。出口網(wǎng)關(guān)需要配置防火墻、IPS等，根據(jù)不同的安全性要求和投資規(guī)模選擇安全部件。核心層設(shè)計規(guī)劃核心層部署醫(yī)院的核心設(shè)備，連接所有的匯聚交換機(jī)，轉(zhuǎn)發(fā)各個樓層的流量。核心層需要采用全連接結(jié)構(gòu)，保持核心層設(shè)備的配置盡量簡單。核心層設(shè)備需要具有高帶寬、高轉(zhuǎn)發(fā)性能，否則將無法支撐醫(yī)院內(nèi)外部的業(yè)務(wù)流量。核心層采用華為S12708敏捷交換機(jī)，使用CSS2（ClusterSwitchSystem）技術(shù)，將兩臺交換機(jī)從邏輯上整合成一臺交換機(jī)。這種技術(shù)支持主控1＋N備份，集群系統(tǒng)中只要保證任意一框的一個主控板運行正常，多框業(yè)務(wù)即可穩(wěn)定運行。相對于傳統(tǒng)業(yè)務(wù)口集群系統(tǒng)，每個框至少要有一塊主控單元運行正常的限制。通過集群+堆疊的無環(huán)網(wǎng)絡(luò)方案保障網(wǎng)絡(luò)可靠，再通過設(shè)備本身99.999%的電信級可靠綜合保障校園網(wǎng)應(yīng)用的穩(wěn)定運行。S12708敏捷交換機(jī)的業(yè)務(wù)板卡直接融合AC功能,可以對網(wǎng)絡(luò)中的AP進(jìn)行管控，實現(xiàn)有線無線深度融合接入、轉(zhuǎn)發(fā)、管理。匯聚層設(shè)計規(guī)劃匯聚層是部門的核心，轉(zhuǎn)發(fā)部門用戶間的“橫向”流量。同時提供到核心層的“縱向”流量。對接入層隱藏核心層，作為網(wǎng)絡(luò)的配線架，將大量用戶接入到互聯(lián)的網(wǎng)絡(luò)中，擴(kuò)展核心層設(shè)備接入用戶的數(shù)量。匯聚層需要雙歸到核心層并支持接入層的雙歸接入。通常匯聚層承擔(dān)著L2/L3邊緣的角色，需要具有高帶寬、高端口密度、高轉(zhuǎn)發(fā)性能等特點，用于支撐該匯聚層下各部門之間的流量。接入層設(shè)計規(guī)劃接入層是最靠近用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，是終端接入網(wǎng)絡(luò)的第一層，一般部署二層設(shè)備，歸屬到匯聚層交換機(jī)。接入層除了需要部署豐富的二層特性外，還需要部署安全、可靠性等相關(guān)功能。接入層需要具有高端口密度，以支持更多的終端接入網(wǎng)絡(luò)。接入層交換機(jī)使用iStack（IntelligentStack）技術(shù)，將多臺交換機(jī)從邏輯上整合成一臺交換機(jī)。這樣既簡化了配置和管理，又提高了網(wǎng)絡(luò)的可靠性和擴(kuò)展能力。可靠性設(shè)計規(guī)劃對于雙設(shè)備、鏈路冗余的網(wǎng)絡(luò)，如果接入層進(jìn)三層，在接入層和核心層之間采用三層路由的方式，通過等價路徑再輔助部署B(yǎng)FD（BidirectionalForwardingDetection）快速檢測故障，就能夠保證鏈路故障、設(shè)備故障的快速切換，同時也能夠充分利用冗余鏈路。更多的組網(wǎng)方式是在匯聚層進(jìn)三層，這樣就需要解決接入層和匯聚層之間二層流量的環(huán)路問題。傳統(tǒng)的方案是STP＋VRRP的方案。該方案通過阻塞某些鏈路的轉(zhuǎn)發(fā)實現(xiàn)二層破環(huán)，雖然該方案采用了標(biāo)準(zhǔn)的協(xié)議，支持多個廠家設(shè)備的混合組網(wǎng)，但是其缺點也是顯而易見的：收斂時間傳統(tǒng)的STP（SpanningTreeProtocol）技術(shù)收斂速度慢，在故障發(fā)生時，故障收斂時間>10秒；雖然采用RSTP進(jìn)行優(yōu)化，但收斂時間任是秒級，秒級的業(yè)務(wù)中斷，會導(dǎo)致較差的用戶體驗。鏈路利用率低如果同一機(jī)架內(nèi)的服務(wù)器屬于同一VLAN，則有一個上行鏈路的帶寬無法利用。帶寬利用率只有50%；雖然MSTP基于VLAN進(jìn)行優(yōu)化，但不能從根本上解決問題。配置維護(hù)復(fù)雜，網(wǎng)絡(luò)故障率高每個接入交換機(jī)和匯聚交換機(jī)都需要運行STP協(xié)議，隨著接入交換機(jī)的增加，交換機(jī)需要處理的STP也越來越復(fù)雜，會導(dǎo)致可靠性問題。我們推薦采用集群+堆疊的無環(huán)網(wǎng)絡(luò)方案來解決上面的這些缺陷。核心采用兩臺框式交換機(jī)集群。接入層采用盒式交換機(jī)，盒式交換機(jī)每兩臺堆疊。接入層交換機(jī)和核心/匯聚層交換機(jī)間的鏈路進(jìn)行鏈路捆綁。這個方案有四大優(yōu)勢：簡化管理和配置首先，集群和堆疊技術(shù)將需要管理的設(shè)備節(jié)點減少一半以上。其次，組網(wǎng)變得簡潔不需要配置復(fù)雜的協(xié)議，如：STP/SmartLink/VRRP等?？焖俚墓收鲜諗挎溌饭收鲜諗繒r間可以控制在<10ms，大大降低了網(wǎng)絡(luò)鏈路/節(jié)點的故障對業(yè)務(wù)的影響。帶寬利用率高采用鏈路Trunk的方式，帶寬利用率可以達(dá)到100%。擴(kuò)容方便、保護(hù)投資隨著業(yè)務(wù)的增加，當(dāng)用戶進(jìn)行網(wǎng)絡(luò)升級時，只需要增加新設(shè)備，而不需要更改網(wǎng)絡(luò)配置。平滑擴(kuò)容，很好的保護(hù)了投資。該方案極大提高了可靠性，以單鏈路故障率為1小時/1千小時為例，增加到兩條鏈路，就可以將故障率降低到3.6秒/1千小時，可靠性從3個9提高到6個9?？煽啃缘牧硪粋€重要方面是設(shè)備可靠性，核心區(qū)設(shè)備一般為框式設(shè)備，在可靠性方面的要求包括：支持主控單元的備份支持電源模塊的備份支持模塊化的風(fēng)扇設(shè)計，支持單風(fēng)扇失效支持所有模塊的熱插拔安全性設(shè)計規(guī)劃核心層與網(wǎng)絡(luò)出口部署防火墻設(shè)備，主要解決如下幾個安全問題：網(wǎng)內(nèi)、外網(wǎng)之間的訪問控制，實現(xiàn)內(nèi)、外網(wǎng)的安全隔離。分支與內(nèi)網(wǎng)的訪問控制，實現(xiàn)分支和內(nèi)網(wǎng)業(yè)務(wù)的安全隔離。出差職工與服務(wù)器區(qū)的訪問控制，實現(xiàn)出差職工與內(nèi)網(wǎng)的安全隔離。合作伙伴/訪客與服務(wù)器的訪問控制，實現(xiàn)合作伙伴/訪客與內(nèi)網(wǎng)的安全隔離。遠(yuǎn)程訪問規(guī)劃遠(yuǎn)程訪問在網(wǎng)絡(luò)最重要的兩個場景，一個是與分支或總部的整體網(wǎng)絡(luò)互聯(lián)互通，一個是個體用戶因為出差或者其他原因，需要在外網(wǎng)訪問內(nèi)網(wǎng)的資源或者辦公系統(tǒng)。VPN設(shè)備是一個非常具有性價比的安全解決方案。其易用性，安全性在全球的各個行業(yè)環(huán)境中都得到了使用。在本方案中，通過利用USG下一代防火墻的VPN特性，建設(shè)院區(qū)之間與提供外部用戶安全遠(yuǎn)程訪問的平臺。利用互聯(lián)網(wǎng)的資源實現(xiàn)靈活VPN組網(wǎng)一般有IPSecVPN和SSLVPN兩種方式。IPSecVPNIPSec（IPSecurity）是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私有性、完整性和真實性。IPSec協(xié)議有兩種工作模式：隧道模式和傳輸模式。在隧道模式下，IPSec將整個原始IP數(shù)據(jù)包放入一個新的IP數(shù)據(jù)包中，這樣每一個IP數(shù)據(jù)包都有兩個IP包頭：外部IP包頭和內(nèi)部IP包頭。外部IP包頭指定將對IP數(shù)據(jù)包進(jìn)行IPSec處理的目的地址，內(nèi)部IP包頭指定原始IP數(shù)據(jù)包最終的目的地址。IP包的源地址和目的地址都被隱藏起來，使IP包能安全地在網(wǎng)上傳送。其最大優(yōu)點在于終端系統(tǒng)不必為了適應(yīng)IP安全而作任何改動。隧道模式既可以用于兩個主機(jī)之間的IP通信，又可以用于兩個安全網(wǎng)關(guān)之間或一個主機(jī)與一個安全網(wǎng)關(guān)之間的IP通信。在傳輸模式下，要保護(hù)的內(nèi)容是IP包的載荷，在IP包頭之后和傳輸層數(shù)據(jù)字段之前插入IPSec包頭（AH或ESP或二者同時），原始的IP包頭未作任何修改，只對包中的凈荷(數(shù)據(jù))部分進(jìn)行加密。由于傳輸模式的IP包頭暴露在外，因而容易遭到攻擊。傳輸模式常用于兩個終端節(jié)點間的連接，如客戶機(jī)和服務(wù)器之間。IPSec定義了一套用于認(rèn)證、保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議。它支持一系列加密算法如DES、3DES；檢查傳輸數(shù)據(jù)包的完整性，以確保數(shù)據(jù)沒有被修改。IPSec可用來在多個防火墻和服務(wù)器之間提供安全性，確保運行在TCP/IP協(xié)議上的VPN之間的互操作性。SSLVPNSSLVPN是以SSL/TLS協(xié)議為基礎(chǔ)，利用標(biāo)準(zhǔn)瀏覽器都內(nèi)置支持SSL/TLS的優(yōu)勢，對其應(yīng)用功能進(jìn)行擴(kuò)展的新型VPN。SSL協(xié)議最初是由Netscape公司開發(fā)，用于保護(hù)web通信安全。到目前為止，SSLv3和TLS1.0（也被成為SSLv3.1）得到了廣泛的應(yīng)用，2006年IETF推出了TLS1.1協(xié)議（RFC4346），2006年IETF推出了TLS1.2(RFC5246)并在2011年對其進(jìn)行了修正（RFC6176）。隨著SSL協(xié)議的不斷完善，包括微軟IE在內(nèi)的愈來愈多的瀏覽器支持SSL，SSL協(xié)議成為應(yīng)用最廣泛的安全協(xié)議之一。SSL協(xié)議分為兩層，上層是握手協(xié)議，底層是記錄協(xié)議。SSL握手協(xié)議主要完成客戶端與服務(wù)器之間的相互認(rèn)證，協(xié)商加密算法與密鑰。在握手協(xié)議中，認(rèn)證可以是雙向的，協(xié)商密鑰的過程是可靠的，協(xié)商得到的密鑰是安全的。SSL記錄協(xié)議建立在可靠的傳輸協(xié)議之上，主要完成數(shù)據(jù)的加密和鑒別。通過對稱密碼算法確保了數(shù)據(jù)傳輸?shù)臋C(jī)密性，通過HMAC算法確保數(shù)據(jù)傳輸過程的完整性。由此可見，SSL協(xié)議從以下方面確保了數(shù)據(jù)通信的安全：認(rèn)證－在建立SSL連接之前，客戶端和服務(wù)器之間需要進(jìn)行認(rèn)證，認(rèn)證采用數(shù)字證書，可以是客戶端對服務(wù)器的認(rèn)證，也可以是雙方進(jìn)行雙向認(rèn)證。機(jī)密性－采用加密算法對需要傳輸?shù)臄?shù)據(jù)進(jìn)行加密。完整性－采用數(shù)據(jù)鑒別算法驗證所接收的數(shù)據(jù)在傳輸過程中是否被修改。除了web訪問、TCP/UDP應(yīng)用之外，SSLVPN還能夠?qū)P通信進(jìn)行保護(hù)。在保證通信安全性的基礎(chǔ)上，SSLVPN實現(xiàn)了更加細(xì)致的訪問控制能力，大大增強(qiáng)了對內(nèi)網(wǎng)的安全保護(hù)。同時，SSLVPN通信基于標(biāo)準(zhǔn)TCP/IP，因而不受NAT限制，能夠穿越防火墻，使用戶在任何地方都能夠通過SSLVPN網(wǎng)關(guān)代理訪問內(nèi)網(wǎng)資源，使得遠(yuǎn)程安全接入更加靈活簡單。另外，使用SSLVPN訪問B/S應(yīng)用時不需要安裝任何客戶端軟件，只要用標(biāo)準(zhǔn)的瀏覽器就可以實現(xiàn)對內(nèi)網(wǎng)Web資源的訪問，省去了客戶端的繁瑣的維護(hù)和支持工作，不僅極大地解放了IT管理員的時間和精力，更提高了遠(yuǎn)程接入人員（如出差員工）的工作效率，節(jié)省了企業(yè)的培訓(xùn)和IT服務(wù)費用；同時，也意味著遠(yuǎn)程用戶在進(jìn)行遠(yuǎn)程訪問時不會再受到地域的限制，不論是在公共網(wǎng)吧或是在商業(yè)合作伙伴那里，甚至是隨手借一臺筆記本，只要有網(wǎng)絡(luò)，遠(yuǎn)程訪問就沒問題。有線無線融合規(guī)劃傳統(tǒng)網(wǎng)絡(luò)中常見的無線部署方式有獨立AC或插卡式AC，不管采用哪種，所有無線流量都要通過AC集中轉(zhuǎn)發(fā)，有線和無線網(wǎng)絡(luò)在轉(zhuǎn)發(fā)和控制層面上是分離的。隨著802.11ac時代的到來和智能終端設(shè)備的普及，網(wǎng)絡(luò)中存在手持智能手機(jī)、Pad、便攜等多種設(shè)備高速上網(wǎng)，AC設(shè)備由于轉(zhuǎn)發(fā)能力、端口各方面的限制將逐漸成為流量瓶頸。因而有線和無線網(wǎng)絡(luò)如果想要獲得一致的使用和管理體驗，不能僅僅依靠目前常見的AC插卡式整合部署的方式，還需要在此基礎(chǔ)之上向深度融合演進(jìn)。在本部署方案中采用敏捷交換機(jī)12700的有線無線融合理念實現(xiàn)有線無線流量深度融合，具體包括：融合轉(zhuǎn)發(fā)：敏捷交換機(jī)支持隨板AC功能，有線無線流量都直接在交換機(jī)處理，報文轉(zhuǎn)發(fā)行為一致，不存在AC集中后再通過有線轉(zhuǎn)發(fā)的情況，消除無線流量瓶頸限制，整機(jī)轉(zhuǎn)發(fā)能力能達(dá)到Tbit，學(xué)校不需要單獨購買AC設(shè)備或者插卡，既解決了節(jié)省了投資又減少了故障點。融合管理：借鑒業(yè)界AC管理AP的成功經(jīng)驗，讓敏捷交換機(jī)把接入層交換機(jī)也管理起來，有線無線采用一種協(xié)議，通過CAPWAP隧道實現(xiàn)一致的管理機(jī)制，實現(xiàn)接入交換機(jī)即插即用，降低信息中心老師日常工作中的管理復(fù)雜度。業(yè)務(wù)隨行規(guī)劃業(yè)務(wù)隨行是敏捷網(wǎng)絡(luò)中一種能夠滿足不管用戶身處何地、使用哪個IP地址，都可以保證該用戶獲得相同的網(wǎng)絡(luò)訪問策略的解決方案。在網(wǎng)絡(luò)中，為實現(xiàn)用戶不同的網(wǎng)絡(luò)訪問需求，可在接入設(shè)備上為用戶部署不同的網(wǎng)絡(luò)訪問策略。但隨著企業(yè)網(wǎng)絡(luò)移動化、BYOD等技術(shù)的應(yīng)用，用戶的物理位置以及IP地址變化愈加頻繁，這就使得原有基于物理端口、IP地址的網(wǎng)絡(luò)控制方案很難滿足用戶網(wǎng)絡(luò)訪問體驗一致性的需求（譬如網(wǎng)絡(luò)訪問權(quán)限不隨用戶物理位置變化而變化）。在傳統(tǒng)網(wǎng)絡(luò)中，當(dāng)用戶的物理位置發(fā)生變化時，為保證用戶的網(wǎng)絡(luò)訪問體驗一致，管理員需要在用戶的每個接入設(shè)備上為其部署相同的網(wǎng)絡(luò)訪問策略，這在用戶物理位置變更頻繁時會給管理員帶來巨大的工作量。而在敏捷網(wǎng)絡(luò)中，通過業(yè)務(wù)隨行方案，管理員僅需在控制器上統(tǒng)一為用戶部署網(wǎng)絡(luò)訪問策略，然后將其下發(fā)到所有關(guān)聯(lián)的接入設(shè)備即可滿足不管用戶的物理位置以及IP地址如何變化，都可以使其獲得相同的訪問策略。業(yè)務(wù)隨行通過在網(wǎng)關(guān)設(shè)備上統(tǒng)一管理用戶的訪問策略，并且在網(wǎng)關(guān)設(shè)備和接入設(shè)備執(zhí)行用戶的訪問策略，來解決網(wǎng)絡(luò)中策略強(qiáng)度與復(fù)雜度之間矛盾的一種解決方案?？刂圃O(shè)備和接入設(shè)備之間使用CAPWAP（ControlAndProvisioningofWirelessAccessPoints）通道建立連接。并且，通過CAPWAP通道完成控制設(shè)備和接入設(shè)備之間的用戶關(guān)聯(lián)、消息通信、用戶授權(quán)策略下發(fā)、用戶同步等處理。SVF全網(wǎng)虛擬化規(guī)劃傳統(tǒng)網(wǎng)絡(luò)多采用樹狀分層結(jié)構(gòu)，分為核心、匯聚、接入三層，其中核心/匯聚層多采用橫向集群，接入交換機(jī)數(shù)量龐大。本部署方案旨在通過SVF超級虛擬交換網(wǎng)，將整個網(wǎng)絡(luò)虛擬化為一臺設(shè)備，實現(xiàn)將盒式交換機(jī)虛擬為核心敏捷交換機(jī)的板卡，將AP虛擬為核心敏捷交換機(jī)的無線端口，使得原來“核心/匯聚+接入交換機(jī)+AP”的校園網(wǎng)絡(luò)架構(gòu)，虛擬化為一臺設(shè)備，整個網(wǎng)絡(luò)成為“OneBox”，從而最大程度簡化運維人員的日常運維工作，同時降低多協(xié)議應(yīng)用下的網(wǎng)絡(luò)配置、運行復(fù)雜度，提升網(wǎng)絡(luò)可靠性。用戶接入認(rèn)證規(guī)劃有線用戶接入（1）接入交換機(jī)配置端口隔離，每個接入交換機(jī)配置一個VLAN，VLAN編號可以重復(fù)。（2）S12700做為用戶網(wǎng)關(guān)，Portal用戶上線到后DHCP服務(wù)器給用戶分配IP地址，在通過認(rèn)證之前用戶只能訪問認(rèn)證前域的服務(wù)器，用戶的第一個HTTP報文進(jìn)行重定向到Portal服務(wù)器，實現(xiàn)WEB認(rèn)證，認(rèn)證通過后允許用戶訪問認(rèn)證后域。（3）S127作為用戶網(wǎng)關(guān)，1X用戶直接到第三方AAA服務(wù)器進(jìn)行用戶名和密碼認(rèn)證。（4）有線用戶的互訪都需要通過S12700進(jìn)行流量轉(zhuǎn)發(fā)。無線用戶接入S12700內(nèi)置硬件隨板T-bitAC，并支持統(tǒng)一用戶管理功能，更敏捷地實現(xiàn)了豐富的業(yè)務(wù)特性。S12700內(nèi)置硬件隨板T-bitAC，可節(jié)省用戶額外購買AC硬件的費用。此外，S12700內(nèi)置硬件隨板T-bitAC突破外置AC處理性能的瓶頸，從容面向高速無線時代。S12700支持統(tǒng)一用戶管理功能，屏蔽了接入層設(shè)備能力和接入方式的差異。S12700不僅支持802.1X/MAC/Portal等多種認(rèn)證方式，還支持對終端進(jìn)行分組/分域/分時的管理，使終端、業(yè)務(wù)可視可控，實現(xiàn)了從“以設(shè)備管理為中心”到“以用戶管理為中心”的飛躍。交換機(jī)配套X1E接口板，可以部署WLANAC功能，集中管理大量的AP，對海量用戶提供Wi-Fi接入服務(wù)。AC通過CAPWAP協(xié)議報文管理和控制AP，而X1E接口板可以處理CAPWAP報文，所以組網(wǎng)時，需要保證AP的報文流量通過X1E接口板進(jìn)入交換機(jī)。無線網(wǎng)絡(luò)建設(shè)規(guī)劃無線醫(yī)療簡介當(dāng)代社會，人口快速增長、老齡化趨勢加快、生態(tài)環(huán)境惡化，人們對健康生活渴望愈加強(qiáng)烈，多方面因素不可避免地對醫(yī)療信息化提出了越來越高的要求。醫(yī)療單位也步入了以服務(wù)患者為中心的數(shù)字化醫(yī)療發(fā)展階段。在此過程中，隨著移動技術(shù)日新月異地改變?nèi)藗兊纳罘绞?，“無線醫(yī)療”也成為近兩年醫(yī)療行業(yè)最關(guān)注的信息化技術(shù)和手段。目前大部分三甲醫(yī)院已經(jīng)建立了比較完備的的醫(yī)療信息系統(tǒng)（如HIS、PACS等），醫(yī)護(hù)人員可以通過有線網(wǎng)絡(luò)來訪問、修改、輸入患者信息、診斷報告和治療方案，但在使用過程中發(fā)現(xiàn)，由于有線網(wǎng)絡(luò)存在信息點固定的局限性，制約了系統(tǒng)發(fā)揮更大的作用。無線網(wǎng)絡(luò)的應(yīng)用將徹底打破了這一局限。無線網(wǎng)絡(luò)在醫(yī)院的應(yīng)用主要集中在以下幾方面：移動查房醫(yī)生查房的過程中，需要隨時調(diào)取患者的診療記錄或病史等信息，并根據(jù)患者當(dāng)時的具體病情隨時下醫(yī)囑。無線網(wǎng)絡(luò)的應(yīng)用，可以使醫(yī)生通過隨身攜帶的平板電腦或PDA，隨時查看病人病歷、檢驗、化驗報告單、影像圖等，把HIS、PACS等信息系統(tǒng)“延伸到床邊”，醫(yī)生在病人床邊即可采集病情、開出醫(yī)囑，以及實現(xiàn)醫(yī)護(hù)人員之間的便捷溝通，信息同步；給醫(yī)生工作帶來便利的同時，也保證了醫(yī)囑和病歷的準(zhǔn)確性、實時性，讓患者享受到更滿意的健康服務(wù)；無線護(hù)理患者從就診到得到治療通常需要經(jīng)過3個步驟：醫(yī)生檢查患者得出初步診斷后開具醫(yī)囑，護(hù)士將醫(yī)囑轉(zhuǎn)抄到輸液袋或治療卡上并準(zhǔn)備執(zhí)行，護(hù)士實施治療方案。這3個環(huán)節(jié)的每一步都至關(guān)重要。隨著無線網(wǎng)絡(luò)技術(shù)、用戶身份識別技術(shù)與醫(yī)用推車、小型電腦、PDA的結(jié)合，能夠?qū)崿F(xiàn)方便的移動護(hù)理，對醫(yī)囑執(zhí)行過程中的每一步進(jìn)行實時檢查和確認(rèn)，切實提高醫(yī)療質(zhì)量和醫(yī)護(hù)效率。資產(chǎn)管理醫(yī)療設(shè)備不僅是開展醫(yī)療、教學(xué)、科研的必備條件，而且是提高醫(yī)療質(zhì)量的物資基礎(chǔ)和先決條件。一般醫(yī)療單位的醫(yī)療設(shè)備約占醫(yī)院固定資產(chǎn)的1/2，而經(jīng)濟(jì)效益約占門診和住院病人資金收入的2/3，也是醫(yī)院產(chǎn)生醫(yī)療信息的主要來源。基于WLAN技術(shù)和射頻技術(shù)（RFID），不僅可以實現(xiàn)貴重資產(chǎn)的精確定位、實時跟蹤，同時可實現(xiàn)移動性的資產(chǎn)出入庫、資產(chǎn)盤點等功能特殊病人管理特殊人群管理包括母嬰管理，精神病人、突發(fā)病患者、殘疾病人等特殊人群管理；這類群體不具備自我管理能力，需要醫(yī)療單位給予更加完善、細(xì)致的照顧。結(jié)合WLAN技術(shù)和射頻識別技術(shù)，可以實現(xiàn)實時位置信息查詢、緊急情況告警、醫(yī)院特殊重地管理、安全范圍界定等，提高醫(yī)院管理水平。無線輸液門診輸液工作量大，業(yè)務(wù)繁忙瑣碎，一旦出現(xiàn)差錯，有可能危及病人生命安全；基于WLAN技術(shù)的無線輸液管理系統(tǒng)可以解決在門診場地有限、人員流動性大的場合病人輸液難題。輸液信息電子化，結(jié)合“病人腕帶”、具備掃描功能的無線PDA，實現(xiàn)病人從入院、治療到出院全過程的身份確定，并在取藥、配藥、輸液等各個環(huán)節(jié)利用電子條碼對病人、藥物嚴(yán)格進(jìn)行驗證匹配，醫(yī)護(hù)人員一目了然，最大程度上保證病人服藥及治療的安全，降低醫(yī)療差錯發(fā)生率。方便患者就診門診排隊、就醫(yī)環(huán)境差是目前醫(yī)院普遍存在的問題，減少就診等待時間，提高診治效率成為當(dāng)務(wù)之急。無線網(wǎng)絡(luò)部署后，醫(yī)生可以通過平板電腦或者PDA，將接診或等待的患者數(shù)量信息實施傳送到前臺分診人員處，方便分診人員及時調(diào)配資源；同時在公共局域開放的無線網(wǎng)絡(luò)，可以提供給病人上網(wǎng)，并推送醫(yī)院電子地圖和推送就診指導(dǎo)信息，緩解病人情緒，提升患者滿意度。無線醫(yī)療的總體需求隨著醫(yī)院信息化的發(fā)展、網(wǎng)絡(luò)中所承載內(nèi)容的變化、新的接入方式的成熟?，F(xiàn)代WLAN無線醫(yī)院的需求概括為如下幾點。無線網(wǎng)絡(luò)安全問題由于無線電波的開放性，對醫(yī)院通過傳統(tǒng)的內(nèi)網(wǎng)物理隔離來保證安全提出了新的挑戰(zhàn)；醫(yī)院中患者的電子病歷、個人資料一旦被泄漏、惡意修改，或者被其他機(jī)構(gòu)獲得，都會釀成嚴(yán)重后果。同時，醫(yī)院自身的信息保密也尤為重要，避免信息泄露造成難以彌補(bǔ)的損失。如何保證內(nèi)網(wǎng)、外網(wǎng)的安全隔離，如何保證移動場景下的接入訪問控制，以及避免信息通過移動終端泄露，成為無線安全方面關(guān)注的重要問題；無線網(wǎng)絡(luò)規(guī)劃實施問題無線網(wǎng)絡(luò)的規(guī)劃和實施直接決定了后續(xù)的業(yè)務(wù)應(yīng)用效果，主要關(guān)注以下幾個問題：信號覆蓋盲點問題：建筑物的不同架構(gòu)（如衛(wèi)生間問題）和墻壁介質(zhì)會對無線信號的傳輸造成不同程度的影響，尤其是部署大量AP時，如何實現(xiàn)信號連續(xù)覆蓋無盲點是必須考慮的問題。無線AP供電：許多醫(yī)院在開始建樓時并沒有考慮到無線網(wǎng)絡(luò)的部署問題，也就沒有預(yù)留出電源供無線AP使用，如果重新改造電源線路，施工成本必然提升。AP之間的干擾問題：在一定的空間內(nèi)部署多個AP，信號會有相互交錯重疊，從而造成信號干擾。如何解決，需要關(guān)注。覆蓋環(huán)境中其他的2.4GHz/5GHz波段的射頻干擾源，如微波爐、無繩電話、藍(lán)牙耳機(jī)等；無線設(shè)備對患者（患者體內(nèi)植入心臟起搏器或心臟除顫器）潛在的干擾；醫(yī)院部署時需要考慮無線網(wǎng)絡(luò)與醫(yī)療儀器之間不存在互相干擾，以及盡量解除部署無線給病人帶來的心里壓力。無線用戶漫游問題無線設(shè)備的最大特點就是接入點靈活方便，但同時對網(wǎng)絡(luò)性能提出更高的要求：醫(yī)護(hù)人員在不同無線網(wǎng)絡(luò)覆蓋區(qū)移動時能否快速接入醫(yī)院管理系統(tǒng)，在快速的移動過程中如何保證業(yè)務(wù)不中斷，不會造成信息丟失以及影響醫(yī)護(hù)人員的工作體驗。無線網(wǎng)絡(luò)管理問題為了達(dá)到信號全面覆蓋，無線網(wǎng)絡(luò)中往往需要部署大量AP，如何對數(shù)個AP進(jìn)行快速有效的配置和管理，融合到原有的管理系統(tǒng)中，有線無線網(wǎng)絡(luò)能否實現(xiàn)一體化的統(tǒng)一運維，也是許多醫(yī)院在部署無線網(wǎng)絡(luò)時關(guān)心的問題。無線醫(yī)療基礎(chǔ)網(wǎng)絡(luò)設(shè)計不同醫(yī)院現(xiàn)有有線網(wǎng)絡(luò)架構(gòu)的差異，使得各醫(yī)院的WLAN網(wǎng)絡(luò)建設(shè)存在一定的差異。根據(jù)獲嘉縣紅十字醫(yī)院減租結(jié)構(gòu)及網(wǎng)絡(luò)狀況，建議不改變有線網(wǎng)，WLAN無線網(wǎng)在現(xiàn)有網(wǎng)絡(luò)上疊加。組網(wǎng)架構(gòu)設(shè)計WLAN無線網(wǎng)絡(luò)建設(shè)，直接在現(xiàn)有網(wǎng)絡(luò)上疊加，盡量減少對現(xiàn)有網(wǎng)絡(luò)的影響和改動。這個情況下，建議采用下圖所示的WLAN方案。AC放置在核心機(jī)房，旁掛于核心交換機(jī)上，采用集中轉(zhuǎn)發(fā)模式，數(shù)據(jù)報文直接通過隧道到AC進(jìn)行處理，對現(xiàn)有網(wǎng)絡(luò)幾乎無影響；AP放置在目標(biāo)覆蓋位置，通過接入交換機(jī)POE供電。AC設(shè)備：核心層推薦采用華為S12700交換機(jī)的可編程單板內(nèi)置無線AC功能（NatvieAC），有線無線統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一控制、統(tǒng)一管理，實現(xiàn)有線無線真正融合，且無需在單獨購買AC板卡AP設(shè)備:室內(nèi)或者室外場景推薦選擇放裝型設(shè)備，減少無線布線的繁瑣。AP設(shè)備采用POE供電，就近接入接入交換機(jī)，針對門診樓，推薦AP4030DN-E11ac放裝型AP設(shè)備與高密型AP4030TN無線AP進(jìn)行相應(yīng)需求的信號覆蓋。針對住院部，由于房間分布較多，信號受干擾衰減嚴(yán)重，因此建議采用華為智分型AD9430DN-24無線AP，設(shè)備自帶24個POE供電口，可直接為遠(yuǎn)端射頻單元進(jìn)行POE供電，通過一個中心AP帶至多48個射頻單元R240D，每射頻單元可以采用86面板或者壁掛等方式便捷的部署在各個病房內(nèi)部，兼容IEEE802.11a/b/g/n/ac標(biāo)準(zhǔn)，支持2*2MIMO，2.4G和5G頻段可同時工作，信號覆蓋能力強(qiáng)，最高速率可達(dá)千兆，保證信號的覆蓋密度和覆蓋強(qiáng)度。接入交換機(jī)：接入層新增千兆POE接入交換機(jī)，滿足AP供電以及WLAN11n/11ac對接入帶寬的需求。接入交換機(jī)推薦選擇華為S5720-28X-PWR-SI。核心交換機(jī)：核心層采用S12700交換機(jī)。其獨創(chuàng)的CSS2集群，數(shù)據(jù)跨框1次交換，21us最低跨框時延，僅為業(yè)界平均時延的60%。且CSS2交換網(wǎng)集群支持1+N冗余備份，增加核心層設(shè)備的可靠性。無線AP部署方案無線AP的部署方案整體分為放裝方案，智分方案兩種。兩種方案的區(qū)別和比較如下。主要特性對比室內(nèi)放裝系統(tǒng)敏捷分布式部署覆蓋效果支持2.4G/5G終端接入，部署情況需要根據(jù)實際環(huán)境與建筑布局等來綜合網(wǎng)規(guī)評估，病房覆蓋效果會受到穿墻等因素影響。保證99%以上的信號覆蓋率，病房覆蓋效果好，可同時支持2.4G/5G終端接入。每AP最大覆蓋房間數(shù)量需要根據(jù)實際客戶需求以及部署場景來綜合網(wǎng)規(guī)評估。通常可覆蓋4～6個房間。針對房間密集的場景，采用86盒面板方式直接部署在房間內(nèi)部，覆蓋效果好，信號強(qiáng)度及穩(wěn)定性較好。其他輔料不需要其他輔料，AC、AP只需要網(wǎng)線即可中心AP、間走網(wǎng)線或者直接替換現(xiàn)有房間內(nèi)部信息面板。WLAN覆蓋規(guī)劃射頻規(guī)劃與IP地址規(guī)劃一樣，WLAN信道是WLAN網(wǎng)絡(luò)設(shè)計中重要一環(huán)，大型無線醫(yī)院必須對WLAN信道進(jìn)行統(tǒng)一規(guī)劃。WLAN信道規(guī)劃的好壞，影響到無線網(wǎng)絡(luò)的帶寬、無線網(wǎng)絡(luò)的性能、無線網(wǎng)絡(luò)的擴(kuò)展以及無線網(wǎng)絡(luò)的抗干擾能力，也必將直接影響到無線網(wǎng)絡(luò)的用戶體驗。頻點劃分為保證信道之間不相互干擾，大型無線醫(yī)院必須對WLAN信道進(jìn)行統(tǒng)一規(guī)劃并實施。WLAN系統(tǒng)主要應(yīng)用兩個頻段：2.4GHz和5.0GHz。2.4G頻段具體頻率范圍為2.4～2.4835GHz的連續(xù)頻譜，信道編號1～14，非重疊信道共有三個，一般選取1、6、11這三個非重疊信道。5.0G頻段分配的頻譜并不連續(xù)，主要有兩段：5.15～5.35GHz、5.725GHz～5.85GHz。不重疊信道在5.15～5.35GHz頻段有8個，分別為36、40、44、48、52、56、60、64；在5.725GHz～5.85GHz頻段有4個，分別為149、153、157、161，可以根據(jù)實際部署情況，選擇相應(yīng)的非重疊信道。信道覆蓋WLAN信道規(guī)劃需遵循兩個原則：蜂窩覆蓋、信道間隔。根據(jù)覆蓋密度、干擾情況、選擇2.4G/5G單頻或雙頻覆蓋。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信號相互干擾；一般情況單獨使用2.4G或5.0G的頻段，對于會議室等高密度用戶接入的場所，可以啟用雙頻進(jìn)行覆蓋，以便提供更好的接入能力。單頻覆蓋和雙頻覆的示意圖如下圖所示。鏈路預(yù)算WLAN鏈路預(yù)算一般經(jīng)過邊緣場強(qiáng)確認(rèn)，空間損耗計算，覆蓋距離計算等步驟。邊緣場強(qiáng)確認(rèn)是指：在WLAN工程部署中，要求重點覆蓋區(qū)域內(nèi)的WLAN信號到達(dá)用戶終端的電平不低于－75dBm。這樣可以保障用戶與AP的協(xié)商速率以及收發(fā)數(shù)據(jù)質(zhì)量?？臻g損耗計算通常采用如下公式：。其中：Pr[dB]為最小接收電平，即為AP在不同傳輸速率下的接收靈敏度；Pt[dB]為最大發(fā)射功率；Gt[dB]為發(fā)射天線增益；Gr[dB]為接收天線增益；Pl[dB]為路徑損耗（包括空間傳播損耗、饋線傳播損耗、墻體/玻璃阻擋損耗）。實際部署中終端天線增益不可知，為方便計算常忽略接收天線增益，而采用如下公式：到達(dá)用戶端的信號電平＝AP發(fā)射功率＋AP天線增益－路徑損耗。路徑損耗主要指WLAN信號的空間損耗，空間損耗＝92.4+20lgf+20lgd（f：GHz，d：km）。由公式推算可知：空間傳輸距離100m200m300m400m500m600m1000m100m2.4GHz信號的空間衰減(dBm)808689.5929495.5100805.8GHz信號的空間衰減(dBm)87.693.697.199.6101.6103.1107.687.6為便于理解鏈路估算的過程，這里給出一個室外場景覆蓋和室內(nèi)場景覆蓋的預(yù)算案例：根據(jù)WLAN覆蓋邊緣場強(qiáng)的要求，到達(dá)終端用戶的信號電平不低于－75dBm，500mWAP的輸出電平27dBm，天線增益11dBi，距離AP500m處信號的衰減量94dBm，由于27+11-94＝-56dBm，大于-75dBm，因此在通常情況下，AP的覆蓋范圍為500m。由于數(shù)據(jù)通信是雙向的，終端的信號發(fā)射功率相對AP較弱，綜合考慮，一般建議室外AP的覆蓋范圍為200m～300m。有些場景需要利用無線AP設(shè)備做橋接，華為AP橋接可以按照3km～5km規(guī)劃。根據(jù)WLAN覆蓋邊緣場強(qiáng)的要求，到達(dá)終端用戶的信號電平不低于－75dBm，100mWAP的輸出電平20dBm，天線增益4dBi，距離AP60m處信號的衰減量90dBm，由于20+4-90＝-66dBm，大于-75dBm，因此在正常情況下，室內(nèi)AP的覆蓋范圍為60m?？紤]到室內(nèi)環(huán)境復(fù)雜，無線信號需要穿越墻體等障礙物，一般建議覆蓋半徑為20m左右。容量規(guī)劃無線網(wǎng)絡(luò)覆蓋樓宇內(nèi)全部功能區(qū)域，包括病房區(qū)、門診區(qū)、辦公區(qū)、會議室、等候區(qū)等。根據(jù)用戶分布密集程度，可劃分為用戶密集區(qū)域和用戶稀疏區(qū)域。用戶密集區(qū)域容量規(guī)劃典型用戶密集區(qū)域如開放辦公區(qū)、會議室、多功能廳等，用戶對信號質(zhì)量和用戶帶寬要求較高，應(yīng)首先從滿足容量需求出發(fā)，確定AP數(shù)量。容量規(guī)劃步驟如下：明確移動終端用戶數(shù)量及用戶并發(fā)率，在移動辦公場景，用戶并發(fā)率按照100%考慮；根據(jù)業(yè)務(wù)帶寬需求和終端類型，選擇AP類型，明確單個AP可提供的并發(fā)用戶接入數(shù)；AP數(shù)量＝用戶數(shù)×用戶并發(fā)率／單AP并發(fā)接入用戶數(shù)。華為WLANAP采用第三代Wi-Fi芯片以及業(yè)界領(lǐng)先的智能多用戶調(diào)度算法，提供高性能多用戶接入能力。考慮一定的無線環(huán)境干擾影響和容量冗余，參考的多用戶接入能力如下表所示：序號單用戶接入帶寬（Mbps）單頻AP并發(fā)用戶數(shù)(2.4GHz)雙頻AP并發(fā)用戶數(shù)(2.4GHz&5GHz)下行上行18Mbps2Mbps102024Mbps1Mbps183032Mbps1Mbps253541Mbps512Kbps3045用戶稀疏區(qū)域容量規(guī)劃對于用戶分布密度不高的場所如大廳、走道、休息室、獨立隔斷的小辦公室和室外公共區(qū)域等，接入用戶數(shù)不多，主要以滿足信號覆蓋為主，需根據(jù)現(xiàn)場無線傳播環(huán)境、空間布局和面積等信息，額外考慮AP數(shù)量。覆蓋規(guī)劃WLAN無線信號的覆蓋范圍取決于AP和終端之間的鏈路預(yù)算。鏈路預(yù)算計算公式如下：終端接收信號強(qiáng)度＝AP發(fā)射功率＋AP發(fā)射天線增益－空間傳輸距離衰減－障礙物損耗＋終端接收天線增益。其中，空間距離對信號的衰減如下：頻段不同空間傳播距離下的無線信號衰減1m5m10m20m40m100m200m320m2.4G46dB64.2dB72dB79.8dB87.6dB98dB105.8dB113.6dB5G56dB74.2dB82dB89.8dB97.6dB108dB115.8dB123.6m為滿足移動場景下不同類型終端（便攜筆記本、智能手機(jī)、PAD、啞終端等）的接入，在重點覆蓋區(qū)域終端接收信號電平應(yīng)大于－65dBm，普通覆蓋區(qū)域終端接收信號電平應(yīng)大于－75dBm。考慮用戶的接入體驗，根據(jù)空間開闊程度和用戶分布的不同，建議AP覆蓋半徑如下：空間開闊且用戶較少時，建議AP覆蓋半徑＜20米；空間開闊且用戶密集時，盡量降低單AP覆蓋半徑，以覆蓋半徑5~8米為宜，即單AP覆蓋面積80~200m2；存在少量障礙物遮擋且用戶數(shù)分布適中時，建議AP覆蓋半徑以8~12米為宜，即AP覆蓋面積200~400m2；存在大量障礙物遮擋時，重點考慮障礙物對信號的衰減，建議對小空間單獨AP覆蓋；室外公共區(qū)域覆蓋，建議AP覆蓋半徑＜200米。鏈路預(yù)算示例：室內(nèi)：室內(nèi)AP發(fā)射功率20dBm，AP天線增益3dBi，障礙物衰減0dB，終端（智能手機(jī)）發(fā)射功率12dBm，終端天線增益0dBi。終端在距離AP20米處的2.4G下行接收電平Pr＝20dBm＋3dBi－79.8dB＋0dBi＝-56.8dBm?？紤]到室內(nèi)環(huán)境復(fù)雜，無線信號需要穿越墻體等障礙物，一般建議覆蓋半徑為10m～20m左右。室外：室外AP發(fā)射功率27dBm，AP天線增益12dBi，障礙物衰減0dB，終端（智能手機(jī)）發(fā)射功率12dBm，終端天線增益0dBi。終端在距離AP200米處的2.4G下行接收電平Pr＝27dBm＋12dBi－105.8dB＋0dBi＝-66.8dBm。一般建議室外AP的覆蓋范圍為200m～300m。SSID和漫游規(guī)劃SSID規(guī)劃AP可以配置多個SSID，華為單頻AP可支持16個SSID，雙頻AP可支持32個SSID。通過配置多個SSID，AC針對不同的SSID下發(fā)不同的策略，SSID根據(jù)策略進(jìn)行終端與業(yè)務(wù)管理。無線網(wǎng)絡(luò)可按照用戶群體劃分不同的SSID，如下圖所示，針對三種不同的用戶群體，在AP上設(shè)置了3個SSID：SSID1用于患者、SSID2用于訪客和SSID3用于醫(yī)生。SSID和VLAN的映射通常，以太網(wǎng)中管理VLAN和業(yè)務(wù)VLAN是分離的。業(yè)務(wù)VLAN主要用于區(qū)分不同的業(yè)務(wù)類型或用戶群體。在WLAN網(wǎng)絡(luò)中SSID也同樣可以承擔(dān)相應(yīng)的工作。因此，在SSID的規(guī)劃中必須綜合考慮VLAN與SSID的映射關(guān)系。業(yè)務(wù)VLAN應(yīng)根據(jù)實際業(yè)務(wù)需要與SSID匹配映射關(guān)系，映射關(guān)系有1:1、1:N、N:1、N:N四種。漫游規(guī)劃漫游是指用戶在部署了WLAN網(wǎng)絡(luò)的場所移動時，用戶終端可以從一個AP的覆蓋范圍移動到另一個AP的覆蓋范圍，用戶無需重新登錄和認(rèn)證，如下圖所示。醫(yī)護(hù)人員從一個AP覆蓋范圍移動到另一個AP覆蓋范圍，無需重新登錄和認(rèn)證,醫(yī)護(hù)人員在同樓層移動，跨樓層移動，園區(qū)內(nèi)移動時業(yè)務(wù)不中斷。說明：1、漫游過程中SSID必須一致，且使用相同的安全設(shè)置。2、漫游中選擇連接哪個AP是無線客戶端的動作，這個切換的時機(jī)和快慢受無線客戶端的芯片或設(shè)置的影響，所以在漫游切換過程中會出現(xiàn)不同的終端切換性能有差異。業(yè)務(wù)帶寬規(guī)劃出于管理的需要，醫(yī)院運維的工程師往往需要系統(tǒng)地對用戶或者單AP的帶寬進(jìn)行管理，比如要求醫(yī)院外的訪客用戶的帶寬不超過512kbps，醫(yī)生這類用戶上網(wǎng)獲得的帶寬不超過1Mbps，華為WLAN解決方案能夠提供基于用戶，基于AP（VAP）或者基于某SSID的帶寬管理。基于用戶的帶寬管理基于用戶的帶寬管理包含基于某個特定用戶的帶寬管理以及基于用戶組（角色）的帶寬管理?；谟脩舻膸捁芾硇枰猂adius服務(wù)器參與，在認(rèn)證后Radius下發(fā)用戶帶寬或者用戶組給AC，AC通知AP進(jìn)行相應(yīng)的帶寬控制。基于AP的帶寬管理出于管理的目的，有時需要對某個具體的AP進(jìn)行帶寬管理，如限制某個辦公室里的AP帶寬為30Mbps，可以通過配置Trafficprofile里的VAPLimitRate實現(xiàn)帶寬管理?；赟SID的帶寬管理為來自醫(yī)院外的訪客提供上網(wǎng)服務(wù)不是醫(yī)院建設(shè)WLAN的主要目的，一般需要對訪客SSID的容量做限制，以保障內(nèi)部用戶的帶寬和業(yè)務(wù)體驗?；跇I(yè)務(wù)的帶寬管理華為NativeAC可以做到5級Qos調(diào)度，滿足業(yè)務(wù)服務(wù)質(zhì)量要求，保證高優(yōu)先級業(yè)務(wù)的帶寬。以視頻流為例，端到到的方案流程如下圖所示：視頻服務(wù)器通過IP網(wǎng)絡(luò)將廣播報文發(fā)送給AC，并打上優(yōu)先級：Erthnet802.1p優(yōu)先級為5。AC通過CAPWAP隧道將報文發(fā)送給AP。AC需要將Earthnet優(yōu)先級映射到隧道的優(yōu)先級。在保證效率的同時，為了提升穩(wěn)定性，AP上先將組播報文轉(zhuǎn)為單播報文，然后將報文從有線的優(yōu)先級映射到無線的優(yōu)先級。不同的業(yè)務(wù)進(jìn)入不同的空口隊列，并且獲取到不同的空口EDCA參數(shù)，從而對不同優(yōu)先級的業(yè)務(wù)實現(xiàn)差異性調(diào)度，保障QOS性能?？煽啃砸?guī)劃WLAN網(wǎng)絡(luò)的穩(wěn)定性被醫(yī)院普遍關(guān)注。一方面是設(shè)備的穩(wěn)定性,AC能夠?qū)崿F(xiàn)倒換后用戶無感知的Session級的備份以及常年工作在室外的AP在惡劣環(huán)境下的適應(yīng)能力等都是醫(yī)院WLAN網(wǎng)絡(luò)可靠性關(guān)注的重點。另一方面射頻能夠?qū)崿F(xiàn)自動檢查周邊無線信號環(huán)境、動態(tài)調(diào)整信道和發(fā)射功率等射頻資源、智能均衡用戶接入，從而降低射頻信號干擾，增加無線網(wǎng)絡(luò)的可靠性。CAPWAP斷鏈業(yè)務(wù)保持在CAPWAP鏈路中斷后，AP能夠繼續(xù)允許新用戶上線，繼續(xù)訪問CAPWAP未中斷前的所有網(wǎng)絡(luò)資源。當(dāng)CAPWAP鏈路恢復(fù)后，AP將所有在鏈路中斷期間上線的STA強(qiáng)制下線讓STA重新與該AP進(jìn)行關(guān)聯(lián)，并通過日志上報所有的STA信息。該功能僅在WLAN使用的安全策略為開放系統(tǒng)認(rèn)證、共享密鑰認(rèn)證和WPA/WPA2–PSK時生效。該功能允許所有通過輸入正確密鑰的用戶上線，即AC上配置的STA黑白名單在CAPWAP斷鏈后不再生效。自動調(diào)優(yōu)當(dāng)AP射頻環(huán)境出現(xiàn)惡化，某個AP故障或新增擴(kuò)容AP時，需要啟動射頻自動調(diào)優(yōu)，以增強(qiáng)系統(tǒng)的可靠性和穩(wěn)定性。建議選擇同時支持局部調(diào)優(yōu)和全局調(diào)優(yōu)的AP設(shè)備。局部調(diào)優(yōu)可方便的應(yīng)用于擴(kuò)容新AP、單點AP故障或者微波爐等局部環(huán)境變化而引起的信道環(huán)境變化場景，如下圖所示。全局調(diào)優(yōu)更多的應(yīng)用于新建WLAN網(wǎng)絡(luò)或者大面積信道環(huán)境惡化場景。當(dāng)AP3掉電或故障時，其鄰近AP1和AP4自動感知，并調(diào)整發(fā)射功率，從而達(dá)到補(bǔ)盲的效果。AP3重新上線后，其鄰居AP1和AP4的自動的調(diào)整發(fā)射功率，避免AP與鄰居因覆蓋區(qū)域重疊造成AP間相互干擾。負(fù)載均衡無線客戶端一般會根據(jù)AP信號強(qiáng)度（RSSI）選擇AP，這很容易導(dǎo)致大量的客戶端僅僅因為某個AP信號較強(qiáng)而連接到同一個AP上。由于WLAN是基于CSMA/CA機(jī)制，實現(xiàn)多用戶接入，當(dāng)單臺AP接入用戶數(shù)過多時，用戶吞吐率性能會出現(xiàn)急劇下降且穩(wěn)定性無法保證。負(fù)載均衡特性可以按照用戶數(shù)量和用戶流量，將用戶分配到同一組但負(fù)載不同的AP上，從而實現(xiàn)不同AP之間的負(fù)載分擔(dān)，避免出現(xiàn)某個AP負(fù)載過高而使其性能不穩(wěn)的情況。如上圖所示。用戶模式：AP1和AP2屬于同一個負(fù)載均衡組，AP1已接入4個STA，AP2已接入2個STA。AP1與AP2接入STA個數(shù)的差值為2，當(dāng)閾值設(shè)置為1時，新接入的STA7被均衡到接入用戶數(shù)量較少的AP2上。流量模式：AP1和AP2屬于同一個負(fù)載均衡組，AP1已接入4個STA，AP2已接入2個STA。但AP2上的STA5/STA6承載高帶寬業(yè)務(wù)，總帶寬流量30M超過AP1的總帶寬8M，當(dāng)設(shè)定閾值為12M，新接入的STA7被均衡到流量負(fù)荷較小的AP1上。5G優(yōu)先接入5G優(yōu)先接入是指對于雙頻AP（AP同時支持2.4G和5G射頻），如果STA也同時支持5G和2.4G的功能，則AP控制STA優(yōu)先接入5G?，F(xiàn)網(wǎng)應(yīng)用中，大多數(shù)STA同時支持5G和2.4G的功能，STA通過AP接入Internet時，通常默認(rèn)選擇2.4G接入。如果用戶想要接入5G，需要手工選擇。在高密度用戶或者2.4G頻段干擾較為嚴(yán)重的環(huán)境中，5G頻段可以提供更好的接入能力，減少干擾對用戶上網(wǎng)的影響。通過5G優(yōu)先接入功能，AP可以控制STA優(yōu)先接入5G。限制弱信號或低速率用戶接入WLAN網(wǎng)絡(luò)中，有些STA的射頻信號發(fā)送到AP后，AP收到的信號很差，這樣的用戶關(guān)聯(lián)AP后，速率比較低，會嚴(yán)重影響網(wǎng)絡(luò)的吞吐量。通過配置限制弱信號或低速率用戶接入功能，可以禁止低于指定信號強(qiáng)度或接入速率的STA接入WLAN網(wǎng)絡(luò)，減少弱信號或低速率用戶對其他STA的影響，從而提升整個WLAN網(wǎng)絡(luò)的應(yīng)用效果。強(qiáng)制弱信號或低速率用戶下線WLAN網(wǎng)絡(luò)中，當(dāng)STA與AP間的距離越來越遠(yuǎn)時，AP收到的STA信號也越來越差，但是，STA仍然保持與AP的連接而不是主動發(fā)起重新連接或漫游。通過配置強(qiáng)制弱信號或低速率用戶下線功能，AP檢測到STA的信號強(qiáng)度低于門限值，或接入速率低于門限值后，主動向STA發(fā)送解除關(guān)聯(lián)報文，讓STA可以重新連接或者漫游。減少弱信號和低速率用戶對整個無線網(wǎng)絡(luò)性能的影響。高密功能對于會議廳、報告廳、發(fā)布會現(xiàn)場等人員密集和數(shù)據(jù)流量需求高的場景，密集布放AP是提升用戶體驗的一種重要手段。由于WLAN在2.4G只有三個獨立頻點，當(dāng)密集布放AP時，不可避免的存在由于多個AP在一個信道頻段內(nèi)工作導(dǎo)致的同頻干擾，最終影響WLAN網(wǎng)絡(luò)的整體性能。通過配置高密功能，AP可以根據(jù)相應(yīng)的算法對天線、功率和信號接收門限值進(jìn)行調(diào)整，減少AP間的同頻干擾，提高用戶的上網(wǎng)體驗。同時了建議采用雙頻AP，通過2.4G與5G兩個無線頻段進(jìn)行覆蓋。頻譜分析由于WLAN的工作頻段為ISM頻段，隨著藍(lán)牙、紅外、微波爐等無線應(yīng)用的增加，非WLAN設(shè)備對WLAN網(wǎng)絡(luò)的干擾問題日益突出。頻譜分析是指通過頻譜分析服務(wù)器對采集到的無線信號進(jìn)行特征分析，識別出Non-WiFi干擾設(shè)備，進(jìn)而對干擾設(shè)備進(jìn)行定位，實現(xiàn)對WLAN網(wǎng)絡(luò)的調(diào)優(yōu)。通過配置頻譜分析功能，及時、全面的檢測出WLAN網(wǎng)絡(luò)中的非WLAN干擾，提升用戶的體驗。逐包功率調(diào)整傳統(tǒng)的射頻功率控制只是靜態(tài)的將AP的功率設(shè)為固定值，對AP覆蓋范圍內(nèi)的所有用戶的功率都保持一致。而逐包功率調(diào)整功能可以使AP實時檢測STA的信號強(qiáng)度，如果STA信號強(qiáng)度強(qiáng)（距離AP較近），則發(fā)送數(shù)據(jù)包時自動降低實際發(fā)送的功率；如果STA信號強(qiáng)度弱（距離AP較遠(yuǎn)），則恢復(fù)正常功率發(fā)送無線信號。從而最大限度的較少AP與AP之間，AP與STA之間的干擾，實現(xiàn)高密覆蓋，實現(xiàn)綠色節(jié)能。干擾檢測WLAN網(wǎng)絡(luò)的無線信道經(jīng)常會受到周圍環(huán)境影響而導(dǎo)致服務(wù)質(zhì)量變差。通過配置干擾檢測，監(jiān)測AP可以實時了解周圍無線信號環(huán)境，并及時向AC上報告警。干擾檢測可以檢測的干擾類型包括：AP同頻干擾、AP鄰頻干擾和STA干擾。AP同頻干擾：兩個工作在相同頻段上的AP之間的相互干擾。例如，對于規(guī)模較大的WLAN網(wǎng)絡(luò)（例如高校），同一信道常常需要被不同AP使用。當(dāng)這些AP之間存在著重復(fù)區(qū)域時，就存在同頻干擾問題，大大降低網(wǎng)絡(luò)性能。AP鄰頻干擾：兩個中心頻率不同的AP的發(fā)射頻寬有重疊的部分，形成了鄰頻干擾。因此，鄰頻設(shè)備距離太近或信號太強(qiáng)時，會導(dǎo)致整體的噪聲變高，影響網(wǎng)絡(luò)性能。STA干擾：如果AP周圍存在過多的非本AP管理的STA，可能會對本AP下的STA的業(yè)務(wù)造成干擾。安全性規(guī)劃在醫(yī)院中部署WLAN網(wǎng)絡(luò)需要格外關(guān)注WLAN網(wǎng)絡(luò)的安全，保障WLAN網(wǎng)絡(luò)的安全運行，需要考慮如何保證內(nèi)網(wǎng)、外網(wǎng)的安全隔離，如何保證移動場景下的接入訪問控制，以及避免信息通過移動終端泄露，成為無線安全方面關(guān)注的重要問題。華為WLAN安全解決方案從無線空口安全，數(shù)據(jù)業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)安全，終端用戶精細(xì)化控制安全三個維度確保無線醫(yī)院的網(wǎng)絡(luò)安全問題。內(nèi)外網(wǎng)隔離根據(jù)醫(yī)院無線應(yīng)用，整體劃分三個SSID，SSID1用于醫(yī)護(hù)內(nèi)網(wǎng)應(yīng)用，SSID2用于醫(yī)護(hù)外網(wǎng)應(yīng)用，SSID3用于患者無線上網(wǎng)。SSID1關(guān)閉廣播報文，且配置白名單只允許醫(yī)院終端接入，訪問醫(yī)院核心業(yè)務(wù)，其他所有終端無法搜做到該SSID和接入網(wǎng)絡(luò)。SSID2只允許醫(yī)護(hù)人員接入辦公或者訪問internet，且采用黑名單的方式，禁止醫(yī)院終端接入該網(wǎng)絡(luò)。另外通過DHCPsnooping綁定MAC地址，防止MAC欺騙。病患接入醫(yī)院WIFI網(wǎng)絡(luò)，需要在網(wǎng)頁上自注冊，然后用戶名密碼通過短信自動分發(fā)到手機(jī)，開放免費上網(wǎng)權(quán)限，同時用戶信息自動關(guān)聯(lián)到ASG上網(wǎng)行為管理，滿足公安部令第82號要求。病患流量和醫(yī)院外網(wǎng)流量采用不同的SSID實現(xiàn)邏輯隔離，病患只能訪問Internet。另外還可以通過網(wǎng)頁可以主動推送醫(yī)院電子地圖或樓層說明等信息，病患下載之后方便就醫(yī)。無線空口安全WIDS/WIPSWLAN網(wǎng)絡(luò)很容易受到各種網(wǎng)絡(luò)威脅的影響，如未經(jīng)授權(quán)的AP、用戶、Ad-hoc網(wǎng)絡(luò)等，設(shè)備支持以下兩種技術(shù)，分別用于檢測和反制非法設(shè)備。WIDS可以檢測出非法的AP、網(wǎng)橋、用戶終端、Adhoc，以及信道重合的干擾AP。WIPS可以斷開合法用戶與仿冒AP的WLAN連接，也可以斷開非法用戶終端和Adhoc的接入，實現(xiàn)對非法設(shè)備的反制。為了實現(xiàn)檢測和反制非法設(shè)備，AP存在三種工作模式：接入模式：AP僅傳輸WLAN用戶的數(shù)據(jù)，不進(jìn)行任何監(jiān)測。監(jiān)測模式：AP需要掃描無線網(wǎng)絡(luò)中的設(shè)備，探測無線信道中的所有802.11幀。此時AP僅能實現(xiàn)監(jiān)測功能，不能傳輸WLAN的數(shù)據(jù)，即該AP提供的所有WLAN服務(wù)都將關(guān)閉?；旌夏Ｊ剑篈P可以監(jiān)測無線網(wǎng)絡(luò)中設(shè)備，也可以同時傳輸WLAN數(shù)據(jù)。只有AP工作在監(jiān)測模式或混合模式下，才可以實現(xiàn)對非法設(shè)備的檢測和反制功能。監(jiān)測AP掃描信道監(jiān)測周邊的無線設(shè)備信息，通過探測周圍設(shè)備發(fā)送的802.11管理幀和數(shù)據(jù)幀來搜集周邊的無線設(shè)備信息，將收集到的設(shè)備信息定期上報AC。AC判斷設(shè)備為非法AP時（既不是本AC管理的AP，也不在SSID的白名單列表中），將非法AP告知監(jiān)測AP。監(jiān)測AP以非法AP的身份發(fā)送廣播或單播解除認(rèn)證幀，這樣，接入非法AP的STA收到解除認(rèn)證幀后，就會斷開與非法AP的連接。通過這種反制機(jī)制，可以阻止STA與非法AP的連接。AC判斷設(shè)備為非法用戶終端（非本ACAP管理）和Adhoc時，監(jiān)測AP使用非法設(shè)備的BSSID或MAC地址，發(fā)送單播解除認(rèn)證幀，斷開非法設(shè)備的連接。WIDS還支持攻擊檢測功能，可以檢測泛洪攻擊，弱IV向量攻擊、欺騙攻擊、暴力破解WPA/WPA2/WAPI的預(yù)共享密鑰和WEP的共享密鑰，及時發(fā)現(xiàn)網(wǎng)絡(luò)的不安全因素，通過日志，統(tǒng)計信息以及告警方式及時通知網(wǎng)絡(luò)管理員。對于檢測到的進(jìn)行泛洪攻擊和暴力破解密鑰攻擊的設(shè)備，ACAP可以將其加入黑名單，在動態(tài)黑名單老化時間內(nèi)，拒絕接收其發(fā)送的報文。Rogue設(shè)備的檢測和反制醫(yī)院中可能出現(xiàn)的Rogue設(shè)備包括RogueAP，RogueClient，Ad-hoc設(shè)備，這些設(shè)備對運維的WLAN網(wǎng)絡(luò)會帶來諸多的安全隱患，如干擾，用戶和非法AP建立連接等。華為WLAN支持對網(wǎng)絡(luò)中的Rogue設(shè)備（包括AP，Client，Ad-hoc）的進(jìn)行檢測、識別以及反制功能。偵聽周邊設(shè)備AP有三種工作模式：接入模式混，監(jiān)聽模式和合模式。接入模式只提供覆蓋功能，不提供非法設(shè)備監(jiān)聽功能；監(jiān)聽模式只監(jiān)聽，不能接入業(yè)務(wù)；而混合模式可以在接入業(yè)務(wù)的同時進(jìn)行監(jiān)聽。推薦AP工作在混合模式，在接入業(yè)務(wù)的同時監(jiān)聽周邊設(shè)備，低成本部署。設(shè)備類型識別AP通過監(jiān)聽Beacon，AssociatonRequest，AssociationResponse協(xié)議報文和數(shù)據(jù)報文報文來識別Rogue設(shè)備是哪種設(shè)備（AP/Adhoc/Client）。監(jiān)控AP搜集到無線設(shè)備后，維護(hù)一個無線設(shè)備信息列表，并把這些信息上報給AC，在AC上根據(jù)一定的規(guī)則進(jìn)行Rogue設(shè)備判斷。Rogue設(shè)備判斷當(dāng)AP設(shè)備工作在混合模式或者監(jiān)聽模式時可以實現(xiàn)對整個網(wǎng)絡(luò)的監(jiān)控，監(jiān)控設(shè)備包括AP、Client、Adhoc終端、無線網(wǎng)橋等。Rogue設(shè)備反制檢測到Rogue設(shè)備后，可以使能防范、反制功能。反制功能，根據(jù)反制的模式，監(jiān)測模式AP從無線控制器下載攻擊列表，并對Rogue設(shè)備采取措施，阻止其工作。對RogueAP的反制：監(jiān)測AP通過使用RogueAP設(shè)備的地址發(fā)送假的廣播解除認(rèn)證幀來對RogueAP設(shè)備進(jìn)行反制，抑制無線用戶和非法AP建立鏈接。對RogueClient、Adhoc設(shè)備的反制：監(jiān)測AP通過使用RogueClient、Adhoc設(shè)備的BSSID、MAC地址發(fā)送假的單播解除認(rèn)證幀，對指定非法Client的進(jìn)行反制。Rogue設(shè)備管理可以與定位功能集合，如在地圖上可以查詢或者實時顯示Rogue設(shè)備的位置，為網(wǎng)管人員對網(wǎng)絡(luò)監(jiān)管和排障定位提供便捷。頻譜分析由于WLAN的工作頻段為ISM頻段，隨著藍(lán)牙、紅外、微波爐等無線應(yīng)用的增加，非WLAN設(shè)備對WLAN網(wǎng)絡(luò)的干擾問題日益突出。頻譜分析是指通過頻譜分析服務(wù)器對采集到的無線信號進(jìn)行特征分析，識別出Non-WiFi干擾設(shè)備，進(jìn)而對干擾設(shè)備進(jìn)行定位，實現(xiàn)對WLAN網(wǎng)絡(luò)的調(diào)優(yōu)。通過配置頻譜分析功能，及時、全面的檢測出WLAN網(wǎng)絡(luò)中的非WLAN干擾，提升用戶的體驗。STA黑白名單STA黑白名單實現(xiàn)對無線客戶端的接入控制，以保證合法客戶端能夠正常接入WLAN網(wǎng)絡(luò)，避免非法客戶端強(qiáng)行接入WLAN網(wǎng)絡(luò)：白名單列表：允許接入WLAN網(wǎng)絡(luò)的STA的MAC地址列表。使能白名單功能后，只有匹配白名單列表的用戶可以接入無線網(wǎng)絡(luò)，其他用戶都無法接入無線網(wǎng)絡(luò)。黑名單列表：拒絕接入WLAN網(wǎng)絡(luò)的STA的MAC地址列表。使能黑名單功能后，匹配黑名單列表的用戶無法接入無線網(wǎng)絡(luò)，其他用戶都可以接入無線網(wǎng)絡(luò)。對于同一個AP或者VAP，STA黑名單功能和STA白名單功能不能同時配置，只能選擇其中一種配置。如果STA白名單或者STA黑名單為空，則所有用戶都可以接入WLAN網(wǎng)絡(luò)。設(shè)備既支持基于AP配置STA黑白名單，也支持基于VAP配置黑白名單。如果AP和VAP都配置了黑白名單功能，則用戶上線時，根據(jù)AP和VAP配置的黑白名單，如果用戶不滿足任意一個接入條件，則該用戶不能上線。專業(yè)認(rèn)證，醫(yī)院放心無線網(wǎng)絡(luò)對患者（患者體內(nèi)植入心臟起搏器或心臟除顫器）潛在的干擾，無線網(wǎng)絡(luò)對醫(yī)療器械的干擾都要避免。華為WLAN產(chǎn)品滿足Wi-Fi聯(lián)盟的企業(yè)級認(rèn)證，滿足醫(yī)用場景IEC60601-1-2要求，滿足SRRC認(rèn)證（國家無線電管理委員會認(rèn)證)，并通過工信部授權(quán)泰爾實驗室認(rèn)證的《醫(yī)院無線網(wǎng)絡(luò)質(zhì)量及醫(yī)療設(shè)備的潛在干擾檢測方案》,并通過電信研究院頒發(fā)的醫(yī)療認(rèn)證。因此可以放心的在醫(yī)院使用。終端用戶精細(xì)化管控安全在醫(yī)院中根據(jù)需要，往往劃分了不同的SSID供不用的用戶群使用，如外部用戶SSID-Guest，內(nèi)部用戶SSID-xxhospital。出于信息安全的需求，往往需要保證來訪的訪客不能訪問醫(yī)院內(nèi)的資源。同時醫(yī)院內(nèi)的醫(yī)生和護(hù)士或者不同科室之間的醫(yī)生也可能需要授予不同訪問權(quán)限。這些需要根據(jù)用戶的角色以及終端類型做精細(xì)化的管控，確保業(yè)務(wù)的安全。終端類型識別終端類型識別是指AC通過對用戶發(fā)送的報文中的字段的特征進(jìn)行分析，包括MAC、用戶代理UA（UserAgent）和DHCPOption信息，識別出終端類型。AC可以識別出用戶接入內(nèi)部網(wǎng)絡(luò)的設(shè)備類型，以控制某些指定移動設(shè)備的接入，實現(xiàn)基于用戶、設(shè)備類型、接入時間、接入地點、設(shè)備環(huán)境的認(rèn)證和授權(quán)。實現(xiàn)精細(xì)化的管控。用戶接入認(rèn)證通過用戶接入認(rèn)證，可以對接入網(wǎng)絡(luò)的用戶身份進(jìn)行合法性進(jìn)行認(rèn)證，只有合法用戶才允許接入，并且不同的角色，不同的用戶所能夠訪問的資源是不同。管理員可以為用戶分組，或者定義不同的角色，配置不同的資源，使得特定的用戶只能訪問授權(quán)的特定資源，禁止訪問未授權(quán)的網(wǎng)絡(luò)資源。華為WLAN無線網(wǎng)絡(luò)支持802.1X、MAC認(rèn)證、Portal認(rèn)證多種網(wǎng)絡(luò)訪問控制方式，并可靈活部署在用戶網(wǎng)絡(luò)的接入交換機(jī)、匯聚交換機(jī)、無線控制器、AR等多種網(wǎng)絡(luò)設(shè)備上，配合代理客戶端和認(rèn)證服務(wù)器共同完成用戶接入控制，為無線網(wǎng)絡(luò)提供安全可靠的訪問控制。802.1X認(rèn)證、Portal認(rèn)證和MAC認(rèn)證的優(yōu)劣勢比較如下表所示。對比項802.1X認(rèn)證Portal認(rèn)證MAC認(rèn)證客戶端需求必須Portal需要，web強(qiáng)推不需要不需要優(yōu)點部署在接入層時，直接控制網(wǎng)絡(luò)接入信息口的通斷，安全性高部署靈活無需安裝客戶端缺點部署不靈活安全性不高管理復(fù)雜，需登記MAC地址適合場景新建網(wǎng)絡(luò)，用戶集中，信息安全要求嚴(yán)格的場景認(rèn)證方式靈活，適用于用戶分散，無線場景適用于SIP終端，打印機(jī)，傳真機(jī)等終端接入認(rèn)證的場景STA黑白名單STA黑白名單實現(xiàn)對無線客戶端的接入控制，以保證合法客戶端能夠正常接入WLAN網(wǎng)絡(luò)，避免非法客戶端強(qiáng)行接入WLAN網(wǎng)絡(luò)：白名單列表：允許接入WLAN網(wǎng)絡(luò)的STA的MAC地址列表。使能白名單功能后，只有匹配白名單列表的用戶可以接入無線網(wǎng)絡(luò)，其他用戶都無法接入無線網(wǎng)絡(luò)。黑名單列表：拒絕接入WLAN網(wǎng)絡(luò)的STA的MAC地址列表。使能黑名單功能后，匹配黑名單列表的用戶無法接入無線網(wǎng)絡(luò)，其他用戶都可以接入無線網(wǎng)絡(luò)。如果STA白名單或者STA黑名單為空，則所有用戶都可以接入WLAN網(wǎng)絡(luò)。設(shè)備既支持基于AP配置STA黑白名單，也支持基于VAP配置黑白名單。如果AP和VAP都配置了黑白名單功能，則用戶上線時，根據(jù)AP和VAP配置的黑白名單，如果用戶不滿足任意一個接入條件，則該用戶不能上線。網(wǎng)絡(luò)安全防護(hù)規(guī)劃網(wǎng)絡(luò)安全I(xiàn)nternet由于其開放性，使得非常容易遭受攻擊。隨著攻擊手段的變化多樣而且攻擊工具更容易獲取，以及基于僵尸網(wǎng)絡(luò)DDoS攻擊的出現(xiàn)，使得基于網(wǎng)絡(luò)層的攻擊層出不窮。主要的攻擊包括：ARPFlood、ICMPFlood、IPSpoofing、UDPFlood、Synflood、Smurf攻擊、Land攻擊、超大ICMP攻擊、Fragile攻擊、PingofDeath、TearDrop、PingScan、PortScan、IP路由選項攻擊、Tracert攻擊等等。網(wǎng)絡(luò)層攻擊的目標(biāo)主要有三個：帶寬攻擊、主機(jī)或者網(wǎng)絡(luò)設(shè)備攻擊以及入侵前的主機(jī)掃描。帶寬攻擊指通過大量的攻擊數(shù)據(jù)包占用正常業(yè)務(wù)數(shù)據(jù)的帶寬，導(dǎo)致網(wǎng)絡(luò)帶寬擁擠，正常業(yè)務(wù)受到影響；主機(jī)或者網(wǎng)絡(luò)設(shè)備攻擊指的是攻擊者通過攻擊主機(jī)或者網(wǎng)絡(luò)設(shè)備的某個應(yīng)用端口導(dǎo)致被攻擊設(shè)備處理不過來或者癱瘓使其不能處理正常業(yè)務(wù)數(shù)據(jù)；主機(jī)掃描指的是黑客在入侵之前通過IP或者端口掃描獲取網(wǎng)絡(luò)中活動的主機(jī)信息，為下一步入侵提供必要的信息。威脅管理越來越復(fù)雜的威脅、持續(xù)提高的規(guī)章要求以及持續(xù)發(fā)展的應(yīng)用程序，不斷給企業(yè)帶來新的網(wǎng)絡(luò)安全問題。威脅越來越復(fù)雜化，并且新的應(yīng)用和技術(shù)也帶來了更多漏洞。給IT管理者也帶來巨大的挑戰(zhàn)。統(tǒng)一威脅管理平臺為企業(yè)提供全面的安全解決方案，提前扼殺網(wǎng)絡(luò)威脅。網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理指的是企業(yè)對自身的網(wǎng)絡(luò)資源進(jìn)行有效的安全區(qū)域、等級劃分，使得在網(wǎng)絡(luò)安全運行的基礎(chǔ)上，促進(jìn)企業(yè)自身的信息安全管理水平，更好的保證企業(yè)正常運作。安全區(qū)域指的是在網(wǎng)絡(luò)中擁有相同網(wǎng)絡(luò)資源訪問權(quán)限的主機(jī)集合，安全區(qū)域的劃分主要依據(jù)企業(yè)內(nèi)部部門的劃分，例如財務(wù)部門、研發(fā)部門、市場部門分別劃分為三個不同安全等級的安全區(qū)域。將一個企業(yè)進(jìn)行清晰的安全區(qū)域劃分，大大簡化了企業(yè)的網(wǎng)絡(luò)資源控制與管理，在此基礎(chǔ)上，實施適合企業(yè)管理要求的安全策略管理，提高企業(yè)信息安全管理水平。網(wǎng)絡(luò)安全設(shè)計原則根據(jù)醫(yī)療單位網(wǎng)絡(luò)安全的需求以及華為公司對網(wǎng)絡(luò)安全的積累，我們提出網(wǎng)絡(luò)安全設(shè)計必須滿足以下原則：先進(jìn)性原則：網(wǎng)絡(luò)中的安全設(shè)備必須采用專用的硬件平臺和安全專業(yè)的軟件平臺保證設(shè)備本身的安全，符合業(yè)界技術(shù)的發(fā)展趨勢，既體現(xiàn)先進(jìn)性又比較成熟，并且是各個領(lǐng)域公認(rèn)的領(lǐng)先產(chǎn)品。高可靠性：網(wǎng)絡(luò)是信息化的基礎(chǔ)，網(wǎng)絡(luò)的穩(wěn)定性至關(guān)重要；網(wǎng)絡(luò)安全設(shè)備由于部署在關(guān)鍵節(jié)點，成為網(wǎng)絡(luò)穩(wěn)定性的重要因素。整個網(wǎng)絡(luò)設(shè)計必須考慮到高可靠性因素?？蓴U(kuò)展性：隨著單位規(guī)模的發(fā)展和壯大，其網(wǎng)絡(luò)也會不斷的擴(kuò)充變化，要求在保證網(wǎng)絡(luò)安全的基礎(chǔ)上整個網(wǎng)絡(luò)具有靈活的可擴(kuò)展性，特別是對安全區(qū)域的新增以及原有安全區(qū)域擴(kuò)充等要求具有良好的支持。開放兼容性：安全產(chǎn)品設(shè)計規(guī)范、技術(shù)指標(biāo)符合國際和工業(yè)標(biāo)準(zhǔn)，支持多廠家產(chǎn)品，從而有效的保護(hù)投資。安全最小授權(quán)原則：安全策略管理必須遵從最小授權(quán)原則，即不同安全區(qū)域內(nèi)的主機(jī)只能訪問屬于相應(yīng)網(wǎng)絡(luò)資源，對網(wǎng)絡(luò)資源必須完全等到控制保護(hù)，防止未授權(quán)訪問，保證內(nèi)網(wǎng)信息安全。網(wǎng)絡(luò)邊界防護(hù)規(guī)劃圖1大中型企業(yè)邊界防護(hù)典型部署針對XX醫(yī)院網(wǎng)絡(luò)網(wǎng)絡(luò)通常具有以下業(yè)務(wù)特征：辦公人員眾多，業(yè)務(wù)復(fù)雜，流量構(gòu)成豐富多樣。對外提供網(wǎng)絡(luò)服務(wù)，例如公司網(wǎng)站、郵件服務(wù)等。容易成為DDoS攻擊的目標(biāo)，而且一旦攻擊成功，業(yè)務(wù)損失巨大。對設(shè)備可靠性要求較高，需要邊界設(shè)備支持持續(xù)大流量運行，即使設(shè)備故障也不能影響網(wǎng)絡(luò)運轉(zhuǎn)?；谝陨咸卣?，USG系列防火墻作為大中型企業(yè)的出口網(wǎng)關(guān)提供如下功能：將企業(yè)職工網(wǎng)絡(luò)、公司服務(wù)器網(wǎng)絡(luò)、外部網(wǎng)絡(luò)劃分到不同安全區(qū)域，對安全區(qū)域間的流量進(jìn)行檢測和保護(hù)根據(jù)公司對外提供的網(wǎng)