一套簡單實用的無線網(wǎng)絡(luò)系統(tǒng)設(shè)計方案

第1章  無線網(wǎng)絡(luò)系統(tǒng)

1.1  概述

XX醫(yī)院辦公內(nèi)網(wǎng)設(shè)計過程中，涵蓋了無線網(wǎng)絡(luò)系統(tǒng)的設(shè)計，以解決有線網(wǎng)絡(luò)無法解決的空間覆蓋和移動醫(yī)療業(yè)務(wù)的問題。作為XX醫(yī)院有線網(wǎng)絡(luò)系統(tǒng)的補充，無線網(wǎng)絡(luò)的建設(shè)將有效地克服了有線網(wǎng)絡(luò)的弊端，利用無線終端設(shè)備和移動手推車隨時隨地進(jìn)行生命體征數(shù)據(jù)采集、醫(yī)護(hù)數(shù)據(jù)的查詢與錄入、醫(yī)生查房、床邊護(hù)理、呼叫通信、護(hù)理監(jiān)控、藥物配送、病人標(biāo)識碼識別，以及基于WLAN 的語音多媒體應(yīng)用等，充分發(fā)揮醫(yī)療信息系統(tǒng)的效能，突出數(shù)字化醫(yī)院的技術(shù)優(yōu)勢。

1.2  總體設(shè)計

1.2.1 系統(tǒng)架構(gòu)

XX醫(yī)院無線網(wǎng)絡(luò)采用FIT AP方案（無線控制器+AP接入設(shè)備），由無線控制器對全網(wǎng)AP實施集中式管理，簡化無線組網(wǎng)和管理，提高漫游穩(wěn)定性，提高網(wǎng)絡(luò)安全性。整個無線網(wǎng)絡(luò)內(nèi)可實現(xiàn)無縫漫游，并采用一致的安全和QoS策略。

無線控制器支持向AP提供相應(yīng)的參數(shù)設(shè)置，實現(xiàn)動態(tài)功率調(diào)整、動態(tài)信道調(diào)整、漫游切換與監(jiān)控、用戶定位、AP集中配置、干擾檢測和避免、QoS保證、盲區(qū)覆蓋等功能。提供全面的安全防范技術(shù)手段，包括各種認(rèn)證手段和加密機(jī)制，可以自動排查和封鎖非法AP進(jìn)入。 

無線網(wǎng)絡(luò)系統(tǒng)具有良好的安全性，在無線用戶接入網(wǎng)絡(luò)前必須接受認(rèn)證授權(quán)，確保只有通過認(rèn)證的用戶才能夠使用訪問無線網(wǎng)絡(luò)資源，拒絕非法用戶接入，有效的控制用戶對網(wǎng)絡(luò)的訪問，靈活的實施網(wǎng)絡(luò)的安全控制策略。無線信息傳輸必須要首先經(jīng)過加密過程，保證數(shù)據(jù)的完整性、可靠性、真實性，防止惡意用戶破壞數(shù)據(jù)。

整個醫(yī)院WLAN建設(shè)，共分為一下幾個部分：

Ø核心區(qū)域

采用雙核心架構(gòu)部署WLAN骨干網(wǎng)，雙核心之間采用虛擬化萬兆鏈路進(jìn)行數(shù)據(jù)交互及轉(zhuǎn)發(fā)。核心交換下聯(lián)所有匯聚交換機(jī)，采用萬兆鏈路。核心端部署一臺無線控制器，對全網(wǎng)所有AP進(jìn)行控制。

Ø匯聚交換區(qū)域

醫(yī)院內(nèi)所有子建筑，按照有線匯聚區(qū)域的匯聚交換機(jī)部署，進(jìn)行無線匯聚建設(shè)。將安全范圍縮小，同時幫助核心交換機(jī)分擔(dān)數(shù)據(jù)轉(zhuǎn)發(fā)的容量。（將POE接入交換機(jī)直接連接到區(qū)域匯聚交換機(jī)上，無線不需要增加匯聚設(shè)備）。

Ø接入?yún)^(qū)域

所有無線AP采用放裝模式進(jìn)行部署，通過POE交換機(jī)進(jìn)行供電和數(shù)據(jù)轉(zhuǎn)發(fā)。

Ø認(rèn)證及管理區(qū)域

針對整個WLAN網(wǎng)絡(luò)與有線網(wǎng)絡(luò)，實現(xiàn)統(tǒng)一的準(zhǔn)入及準(zhǔn)出認(rèn)證。對于醫(yī)院網(wǎng)無線管理也采用旁掛核心的方式部署，對全網(wǎng)AP進(jìn)行統(tǒng)一監(jiān)控及配置。

1.2.2 無線接入規(guī)劃

無線接入AP上聯(lián)POE交換機(jī)，通過POE交換機(jī)進(jìn)行網(wǎng)線遠(yuǎn)程供電，減少電源布線麻煩、并方便管理AP開關(guān)。 

在無線網(wǎng)絡(luò)應(yīng)用中可以根據(jù)不同業(yè)務(wù)采用獨立的SSID（虛擬AP），并映射到有線網(wǎng)上不同的VLAN，實現(xiàn)業(yè)務(wù)邏輯隔離。各業(yè)務(wù)采用獨立的AAA、QoS、訪問控制策略，采用802.1x認(rèn)證＋安全訪問定義控制，數(shù)據(jù)流量WPA/WPA2加密，允許訪問授權(quán)的網(wǎng)絡(luò)資源。 

頁面推送：根據(jù)不同地理位置、不同用戶定制Portal業(yè)務(wù)。通過Portal server，能夠?qū)崿F(xiàn)基于用戶位置和用戶屬性的頁面推送，例如在用戶登錄時展示醫(yī)院相關(guān)業(yè)務(wù)、廣告信息等。 

l住院區(qū)接入規(guī)劃

在充分考慮并發(fā)接入用戶數(shù)及無線覆蓋盡量沒有死角的前提下，建議采用室分型的安裝方式，即在每個住院區(qū)層的走廊吊頂內(nèi)或墻面上部署室分型無線接入AP，將天線引入每間住院病房，保證病房內(nèi)無線信號無盲區(qū)。

同時為了保證住院病區(qū)層公共區(qū)的無線信號覆蓋，在公共走廊及醫(yī)護(hù)人員辦公區(qū)域亦采用室分型AP，將天線部署在走廊的方式。

l公共區(qū)接入規(guī)則

XX醫(yī)院內(nèi)公共區(qū)部分采用AP直接分布覆蓋的方式，主要分布在院街、公共走廊、門診區(qū)、行政辦公區(qū)等區(qū)域，AP設(shè)備放置在吊頂或墻面上。

1.2.3 頻率規(guī)劃與干擾控制

1、802.11b/802.11g/802.11n使用開放的2.4GHz頻段，可工作的信道數(shù)為歐洲標(biāo)準(zhǔn)信道數(shù)13個。由于其支持直序擴(kuò)頻技術(shù)造成相鄰頻點之間存在重疊，對于真正相互不重疊信道只有相隔5個信道的工作中心頻點。因此對于802.11b/802.11g/802.11n在2.4GHz地工作頻段，理論上只能進(jìn)行三信道的蜂窩規(guī)劃實現(xiàn)對需要規(guī)劃的熱點的無縫覆蓋。考慮到制式的兼容性，相鄰區(qū)域頻點配置時宜選用1，6，11信道。

2、頻點配置時首先應(yīng)對目標(biāo)區(qū)域現(xiàn)場進(jìn)行頻率檢測，對于覆蓋區(qū)域內(nèi)已有AP采用的信道，應(yīng)盡量避免采用。

3、對于室內(nèi)區(qū)域存在多套室內(nèi)覆蓋系統(tǒng)的情況，應(yīng)充分考慮其他通信系統(tǒng)使用的頻段，設(shè)計時預(yù)留必要的保護(hù)頻帶，以滿足干擾保護(hù)比的要求。

4、室內(nèi)AP覆蓋區(qū)頻點配置時應(yīng)充分利用建筑物內(nèi)部結(jié)構(gòu)，從平層和相鄰樓層的角度盡量避免每一個AP所覆蓋的區(qū)域?qū)M向和縱向相鄰區(qū)域可能存在的干擾。

5、系統(tǒng)設(shè)計時應(yīng)注意避免干擾源的影響。

6、WLAN規(guī)劃設(shè)計時結(jié)合現(xiàn)場勘察和測試之后，應(yīng)指定覆蓋區(qū)域的每個AP的工作頻率，可通過無線控制器實施AP自動頻率調(diào)整。

1.2.4 負(fù)載均衡

通過負(fù)載均衡的部署，可實現(xiàn)在一個熱點內(nèi)用戶平均分配到所部署的所有AP上，達(dá)到在一個服務(wù)區(qū)AP接入用戶數(shù)流量的平衡，為用戶提供更高的服務(wù)質(zhì)量。具體可部署的負(fù)載均衡策略有：

1、對所有AP設(shè)置基于用戶數(shù)的負(fù)載均衡功能，AP通過對接入用戶數(shù)的統(tǒng)計，與設(shè)定AP接入用戶數(shù)量的閥值進(jìn)行比較，達(dá)到閥值后，不允許新的用戶接入。

2、對所有AP設(shè)置基于流量的負(fù)載均衡功能，AP通過對接入用戶流量的統(tǒng)計，與設(shè)定AP上的流量漏桶閥值上沿比較，達(dá)到閥值后，不允許新的用戶接入，少于閥值下沿，再允許新用戶接入。

3. 配合網(wǎng)絡(luò)規(guī)劃，設(shè)置AP群功能，在一個群內(nèi)的AP通過組播報文實時通報接入用戶數(shù)量，當(dāng)發(fā)現(xiàn)AP間用戶數(shù)差值大于設(shè)定閥值，接入用戶多的AP將部分用戶趕下網(wǎng)。

1.2.5 認(rèn)證方案

在認(rèn)證方式選擇方面，由于系統(tǒng)采用的是無線AP+無線控制器進(jìn)行組網(wǎng)的方案，無線AP與無線控制器通過二層隧道協(xié)議通信，無線用戶的認(rèn)證點都是放置于無線控制器設(shè)備上。 

這樣組網(wǎng)的優(yōu)勢是：當(dāng)用戶在不同AP之間進(jìn)行L2、L3漫游切換的時候，可由無線控制器對用戶的漫游切換進(jìn)行管理控制，對于用戶來說可以在無需重新認(rèn)證的情況下跨區(qū)域開展業(yè)務(wù)。 

無線控制器能夠同時支持802.1X/WEB PORTAL認(rèn)證，當(dāng)用戶數(shù)較少的時候，可以在無線控制器本地建立用戶數(shù)據(jù)庫，將用戶鑒權(quán)點放在無線控制器本地進(jìn)行；當(dāng)用戶數(shù)達(dá)到一定規(guī)模的時候，也可將用戶數(shù)據(jù)庫放在綜合訪問控制系統(tǒng)上，該系統(tǒng)與無線控制器配合作為用戶鑒權(quán)點。 

此方式具有的優(yōu)點：用戶認(rèn)證完成實體主要體現(xiàn)于無線控制器系統(tǒng)，呈現(xiàn)一個集中模式，便于維護(hù)與統(tǒng)一控制和管理的無線網(wǎng)絡(luò)系統(tǒng)，保證了無線系統(tǒng)的安全性。