无线网络系统
1、系统概述
近年来计算机网络技术行业的迅猛发展,无线技术取得了重大突破。随着无线互联网的兴起,越来越多的企业都着手布局无线局域网。人们习惯于用智能手机或者智能平板来上网,无线WIFI的应用变得越来越普遍,为人们办公无线化提供良好的平台。因此,在本项目对WIFI需求较大的功能间内建设无线网络显得尤为必要。
无线网络属于医院网络的一部分,综合考虑医院的各种无线应用、无线环境、移动终端特点、建筑物结构等因素进行设计,无线网络采用企业级瘦AP密集部署无线网络覆盖方案。
本次医院无线网络包括内网部分和公共区域无线网。
我们对医院无线网络的要求主要集中在以下几个方面:
覆盖范围:除辅助楼外所有室内区域全覆盖
所涉及区域内各类无线终端在各AP间实现无缝切换。
医院无线网络中的重中之重,便是医院病房以及诊区中的无线网络覆盖,在病房与诊区中,医生护士利用移动终端、平板电脑等设备进行查房巡视,对于设备的漫游方面有很高的要求,要求在病房区利用软馈线入室形式的AP进行馈线入室型重点覆盖,保证病房区域信号全覆盖,各AP间实现无缝切换。
无线终端数量增加迅速,种类繁多,要求医院无线网络具有良好的终端兼容性和高密度终端接入能力,能够提供稳定、高性能的无线网络连接。特别是在会议室等人员密集场所需要同时接入大量的终端,并且承载各种应用要求。
医院网络无线用户身份各异,包括本院医生、护士、领导等,要求医院无线网络具有基于身份角色的动态策略控制机制,支持白名单,支持MAC地址与IP地址绑定,依据用户身份、时间和地点灵活控制每个用户的访问权限、带宽策略、连接数策略、路由策略。
医院无线网络内无线终端种类多样,包括平板电脑、智能终端、笔记本电脑、无线打印机、无线投影仪、移动病床等,要求医院无线网络具有无线终端类型识别能力,支持Bonjour, DLNA, UPnP等零配置设备发现协议的识别、代理和优化,以实现基于VLAN、身份、位置和用户的无线打印机、投影仪等终端设备跨子网发现和共享服务
本次wlan无线覆盖需求AP较多,从网络运营维护的角度出发,医院无线覆盖项目的网络运维必须具备界面直观、功能全面、易于分级管理的无线网络综合管理平台,提供可视化的全网配置管理、性能管理、故障管理和客户化报表定制能力,以满足整个医院无线网络的统一管理需要。
2、系统架构
无线AP接入网主要为满足本项目的无线互联终端上网需求。无线AP信号覆盖范围为办公室、会议室、病房、公共走道等场所。
根据本项目功能分布及外网办公的用户规模和对接入的安全考虑,方案采用无线控制器(AC)+瘦AP(Fit AP)的组网方式,瘦AP实现无线信号的处理,而用户管理、加密、漫游、AP管理等功能全部集中到AC进行,这样可以简化整个网络的管理,提高设备的工作效率。用户认证系统采用标准的Radius服务器来完成;AP的供电采用以太网供电(Power Over Ethernet,PoE),通过以太网线来汇聚AP的流量,同时为AP提供电源,这样可以简化布线,同时减少故障点,提高网络的可靠性。
根据某分院应用和需求特点,采用全分布式的AC+AP网络架构实现整个医院的无线网络覆盖。
此次某分院采用本地场点无线控制器+FIT AP的企业级无线方案。通过无线控制器集中管控下属所有FIT AP,方便AP管理。
WLAN网核心交换机采用两台三层万兆交换机通过虚拟化技术做虚拟化堆叠。双链路下接汇聚以及千兆POE交换机,双链路间做跨设备端口聚合,从设备、链路层面防止单点故障出现。
POE交换机下接AP,AP应综合考虑差异化场景部署,针对移动医护业务区域应采用直接通过软馈线将天线部署于病房之内,同时采用放装AP以及高密AP对非病房区域进行无线覆盖。
无线控制器采用1+1冗余设计,旁挂核心交换机侧。无线控制器除连接医院本地WLAN网外,另有独立链路连接联通大网。本次项目设计由无线控制器开启MAC地址认证功能并启用DHCP server功能,AC DHCP server将根据终端MAC地址分配固定IP地址。此外需考虑增加网管平台以及配套服务器,以便日后WLAN网运维管理。
3、无线业务需求分析
大多数医院的网络目前都是有线网络,但有线网络没有解决空间覆盖的问题,同时也不能解决信息实时收集的问题,在将来的医院网络趋于实时、数字化网络,同时还可以为医院的病人提供增值服务。也可以利用无线局域网技术的移动性、灵活性和高效率在护理点获取实时的患者信息或者搜索决策支持信息。这种系统使医护人员可以更加准确、快速和高效地制定决策和采取相应的措施,具体体现如下:
Ø电子病历访问/查看
Ø医生处方输入和药物治疗匹配
Ø护士呼叫系统
Ø患者床边服务
Ø对重要的统计数据的监控
对于具体的无线工程一般还要满足以下业务需求:
Ø针对医院的空间要进行全面覆盖;
Ø无线网络通过安全认证,保证医院信息不能通过无线网络对外泄露;
用户在无线区域内移动时,不需要多次重复认证,实现自动漫游,即业务不中断
4、整体无线建网原则
结合医疗行业和WLAN的实际应用与发展要求,无线局域网(WLAN)网络系统设计本着建设功能完整、技术成熟先进的网络系统的前提下,主要遵循以下系统总体原则:
Ø高可靠性原则:网络系统的稳定可靠是应用系统正常运行的关键保证,对于医院网络来说,更是如此,在网络设计中特别是关键节点的设计中,选用高可靠性网络产品,并合理设计网络冗余拓扑结构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地保证医院办公系统的高效运行。
Ø技术先进性和实用性原则:以现行需求为基础,保证满足医院办公应用系统业务的同时,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到医院网络应用的需求和未来的发展趋势。
Ø安全性原则:WLAN是一个空间开放网络,同时作对信息的安全以及网络的安全要求较高。制订统一的骨干网安全策略、VLAN策略和过滤机制,整体考虑网络平台的安全性。
Ø高性能原则:承载网络性能是医院整个办公系统良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图像)的高质量传输,力争实现透明网络,网络不能成为医院实施业务的瓶颈。
Ø规范性原则:系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准,为系统的扩展升级、与其他系统的互联提供良好的基础。
Ø开放性和标准化原则:在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。
Ø可扩充和扩展化原则:所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
可管理性原则:整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
5、无线总体方案设计
医院无线网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。
无线是有线网络的外延,整个方案设计的要点主要包括认证点的选择问题、网络安全设计、无线网部署、网络管理几个方面。我们将在后面的方案详细设计中进行分析和方案描述。
5.1、认证方式选择
在认证点选择方面,采用FIT AP与AC控制器进行组网的方案,FIT AP与AC控制器通过二层隧道协议通信,无线用户的认证点都是放置于AC控制器上。这样组网的优势是:当用户在不同AP之间进行L2、L3漫游切换的时候,可由AC控制器对用户的漫游切换进行管理控制,对于用户来说可以在无需重新认证的情况下跨区域开展业务。
业界主要采用802.1X认证终端软件与AP、无线交换机、网管平台配合使用进行802.1x认证,或者采用Portal认证,后面具有Portal/Web与802.1X认证二种方式的比较。
目前无线交换机能够同时支持802.1X/WEB PORTAL认证,当用户数较少的时候,可以在AC控制器本地建立用户数据库,将用户鉴权点放在AC控制器本地进行;当用户数达到一定规模的时候,也可将用户数据库放在网管平台系统上,网管平台与AC控制器配合作为用户鉴权点。
由于医院的网络主要用于护士和医生工作,并不提供作为公众运营网络接入,本次的WLAN建设中,采用:
Ø无线AC控制器完成用户的认证终结和用户鉴权;
此方式具有的优点:用户认证完成实体主要体现于无线交换机系统,呈现一个集中模式,便于维护与统一控制,无线系统用户与有线用户区分开来管理,保证无线系统的安全性。
5.2、802.1X认证介绍
802.1X协议是IEEE在2001.6通过的正式标准,标准的起草者包括Microsoft,Cisco,Extreme,Nortel等;802.1X定义了基于端口的网络接入控制协议(port based network access control),该协议适用于接入设备与接入端口间点到点的连接方式,其中端口既可以是物理端口,也可以是逻辑端口。FIT AP无线组网方案中,由后端的无线交换机对所有认证报文进行终结,并提取出用户名和密码信息交由后台的网管平台进行用户鉴权。
用户使用802.1X认证的过程如图所示:
802.1X及WEB PORTAL认证流程示意图
接入AP的无线终端采用802.1X模式,首先接入AP的客户端通过802.1X认证输入用户名、密码后客户端发起EAP报文至无线交换机,在无线交换机上终结EAP报文,然后从无线交换机经以太网交换机发起Raduis报文至网管平台服务器,由网管平台服务器来验证用户名、密码是否匹配,在认证通过以后由网管平台服务器下发Raduis报文至无线交换机通知该用户认证通过,无线交换机中再将相对应的逻辑端口打开,允许学习MAC地址,允许用户上网。
针对对802.1x认证方式进行优化,使其可以支持基于MAC的用户控制,即一般情况下如果多个用户连接到一个HUB,其中一个用户认证通过后,其他用户也能够使用网络针对对802.1X认证方案优化后,只有认证通过的用户(MAC)才能使用网络,其他用户还是不能使用网络。
5.3、WEB认证方案介绍
WEB用户上网时,设备强制用户到门户网站,并提供门户网站主页,用户可以免费访问其中的服务。当要使用互联网中的其他信息时,则必须在门户网站进行认证,只有认证通过后才可以使用这些服务。WEB认证用户不需要安装额外的客户端软件。
FIT AP方案中,使用WEB认证时,强制Portal仍然是在无线交换机上进行。使用WEB认证时不需要安装客户端软件,使得管理和维护更简单,并同时能利用iMC的功能较好地对用户进行控制,如用户端口绑定、用户IP绑定、用户MAC绑定等,但无法做到用户通知消息下发和防止用户使用代理。
5.4、WEB认证与802.1X认证对比
功能 | WEB认证 | 802.1x认证 |
客户端软件 | 不需要 | 需要 |
客户端版本限制 | 不支持 | 支持 |
自动探测并屏蔽代理服务器 | 不支持 | 支持 |
限制多网卡、拨号上网 | 不支持 | 支持 |
显示当前网络状态及认证状态 | 支持 | 支持 |
异常下线探测功能 | 支持 | 支持 |
消息下发 | 不支持 | 支持 |
对AAA服务器的特别要求 | 无 | 无 |
分布式认证 | 支持 | 支持 |
网络性能影响 | 低 | 低 |
Radius服务器的性能影响 | 无 | 无 |
标准化程度 | 低 | 高 |
IP地址浪费 | 无 | 无 |
5.5、有线无线混合组网下的认证
对有线用户和无线用户进行分别认证,有线用户在以太网交换机上实现认证,无线用户在无线交换机设备上实现认证。通过在网管平台上设定对应的绑定区域,对于只能使用有线上网的用户绑定所有以太网交换机IP地址,无线上网用户由于其漫游特性,无需绑定到无线交换机的IP地址。
设备要求:实现认证的以太网交换机和无线交换机必须支持标准Radius协议,能够和网管平台 CAMS配合实现认证计费功能。如果要实现扩展的Radius功能,如防代理、消息下发等功能。则必须使用对应的品牌设备。
5.6、用户管理
网管平台系统功能强大,操作简单,在用户认证管理上,具有以下特点:
Ø用户绑定功能
网管平台支持绑定用户名和设备IP地址、入端口号、VLAN ID、用户MAC地址、用户IP地址等信息,保证用户绑定合法性。并支持用户MAC地址和用户IP地址自学习功能,大大减少管理员的录入量。
Ø认证区域绑定功能
通过认证报文上传的认证接入设备IP地址,网管平台系统可实现认证区域绑定功能。用户上网的区域可被限制在一定范围内,增强了网络的安全性。
Ø防代理功能
针对医院用户,网管平台提供防代理功能,禁止用户使用代理上网,并支持限制用户使用的客户端,要求用户必须使用专用安全客户端,并强制自动升级,确保认证客户端的安全性。目前网管平台系统的防代理功能必须要与同一厂家交换机配合实现。
Ø用户黑名单管理
网管平台认证系统支持黑名单管理,支持手工加入黑名单、自动将欠费用户加入黑名单、自动将恶意登录用户加入黑名单、自动将充值失败超过阈值用户加入黑名单并提供黑名单增强功能:在被试探帐号加入黑名单的同时记录恶意试探机器的MAC地址,限制从该MAC地址的机器试探该帐号,但被试探帐号可以在其它MAC地址的机器上正常使用,保证登录用户的合法性。
Ø用户上网全程监控
网管平台 CAMS认证计费系统能对医生上网的全过程进行管理,实现医生上网的实时监测。对于网络上进行非法操作的医生,具备将用户踢下线的功能,控制医生对网络的使用。
5.7、组网方案
医院的无线覆盖空间主要包括:病房、护士站、医生办公室、会议室等;一般医院病房每间的空间不是特别的大,同时病房之间不是承重墙,建议无线的覆盖方案的原则是:以本着节约、全覆盖的原则,每隔15~20米左右布放1个AP。为了避免对病人造成辐射将AP放置在过道可以满足覆盖每一个房间。
根据医院设计图纸初步规划,经过初期无线规划,建议每2个三/双人病房区的走道上部署一台Fit AP,,每一个VIP病房区单独部署一台Fit AP。
5.8、WLAN组网关键问题解决
构架可运营WLAN网络,除了要求AP(Access Point)支持宽带无线接入网络的覆盖特性、可运营、可管理特性外,还要求整个网络的开放、兼容、安全、可运营、可管理、可盈利。在构架WLAN公众网络一般基于网络分层的理念,即不同层面的设备承担不同的功能,以达到组合后整网的功能与业务支撑。
在实际WLAN可运营组网应用中,网络分为用户接入层、边缘汇聚层、核心交换层。
用户接入层对应设备为AP(Access Point),主要承担与终端用户基于802.11协议的PHY/MAC层的协议对接,具体包括工作模式、无线鉴权、ESSID诊别、MAC帧插入、IAPP、节电模式、Allow Guest、MAC层访问控制、用户接入认证报文承载、动态密钥协商等等。此外还要保证承载层的高性能、高可靠性。AP在设备的设计上支持了此类功能,可以与后台系统进行配合完成认证与计费的功能,对于复杂的NAT、路由策略等其它的高层应用不进行支持。
边缘汇聚层对应设备为AC(Access Controller),主要承担WLAN网络接入网关的角色,具体可以支持对用户的合法性认证、计费的发起(Client)、用户管理(访问控制、接入带宽控制、用户的信息绑定),子网内无缝切换的布署、整网安全的布署、整网QoS的布署、子网网络设备管理等以及与业务控制层结合提供增值业务如强制Portal、即插即用、与医院营帐系统接口等等。在电信运营商可以由BRAS或支持用户管理、认证、计费的汇聚层设备承担,AC的设备形态可以由L2/L3与iMC进行配合使用进行完成;
核心交换层主要为WLAN网络提供连接有线网络和管理计费等服务的转发枢纽,由于WLAN具有宽带网络的特性同时也具备无线网络的特性,因此,主要为运营增值业务而进行准备。
5.9、整网安全
WLAN网络主要服务于公众型用户,运营者与最终用户都很担心安全问题,即用户安全,具体细分包括用户帐号密码的安全,用户上往后计算机内部数据,用户数据在网上传输的安全等。此外,WLAN作为运营网络自身的安全也是运营者必须考虑的问题。
WLAN解决方案可提供端到端的安全部署,能满足公众运营网络的安全要求。
Ø针对终端用户上网认证的用户名密码的安全:
采用802.1X EAP-MD5方式上网的用户,由于EAP-MD5信息本身就是密文传递,用户名、密码的安全能得到保证。
采用WEB方式上网的用户, WLAN网络支持标准的SSL/HTTP应用层加密保证用户名、密码的安全。
Ø针对用户上网后计算机内部数据的安全:
WLAN网络实现了二层隔离,三层受控互访的机制保证用户计算机数据的安全,具体用户在通过认证前能接入的网络都是二层网络,认证通过后,通过网络设备的三层功能可访问所有向它开放的网络。WLAN网络可实现用户在二层网络内是隔离的(无线口AP支持USF以及动态加密功能隔离用户,AP上行支持UIMF功能实现到认证点网段均是二层隔离)。在用户通过认证后,还可以通过强大的ACL控制用户否是允许互访,保证用户的安全。
Ø针对用户上网后数据在网络上传输的安全:
无线接口以上的网络基本上为IP网络,用户数据在IP网络上的安全的保证,IP的安全部署是可以保证的,针对空中接口的安全, AP支持以下几种安全机制:
ØMAC地址过滤:目前支持基于MAC地址的过滤,限制具有某种类型的MAC地址特征的终端才能进入网络中;
ØSSID管理:是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带SSID,如果没有SSID标识则不能进入网络;
ØWEP加密:WEP加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进行加密;
Ø支持AES加密,AES安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都设定为5分钟左右,这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来,从无线空口的流量来看,基本上是不可能的;
Ø无线方案中的密钥设置可能根据SSID信息与用户信息进行组合,即不同的SSID下不同的用户的密钥生成可以不一样,这样在一定程度上保证用户之间串号问题的产生,从而保护投资,以达到运营平衡。
无线方案提供无线入侵检测功能,AP 可以不断地扫描空域,以便对要求更高安全性的环境提供全天候保护。一旦无线网络中有非法接入点接入,WAP2110将上报相应的告警给AC控制器,并通过网管软件显示。
5.10、频率规划与负载均衡
Ø频率规划
802.11b/802.11g使用开放的2.4GHz ISM频段,可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11b/802.11g在2.4GHz地工作频段,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。
针对如何进行802.11b/802.11g的频率规划作了大量的实验,实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带宽业务的开展。
频率规划原理图
频率规划需要配合使用的功能包括:
AP支持11个信道设置
AP支持外置天线以及定向天线
针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能
结合以上功能的支持,以及勘探工具,可以较好的部署AP达到频率规划的效果。H3C公司针对医院、无线小区、机场、酒店、高密度会议场所(APEC会议)等热点区域进行过频率规划,使用效果较好。
Ø负载均衡
WLAN解决方案,AP上支持标准的IAPP协议框架,通过负载均衡的部署,可实现在一个热点内用户平均分配到所部署的所有AP上,达到在一个服务区AP接入用户数何流量的平衡,为用户提供更高的服务质量。具体可部署的负载均衡策略有:
1.对所有AP设置基于用户数的负载均衡功能,AP通过对接入用户数的统计,与设定AP接入用户数量的阀值进行比较,达到阀值后,不允许新的用户接入。
2.对所有AP设置基于流量的负载均衡功能,AP通过对接入用户流量的统计,与设定AP上的流量漏桶阀值上沿比较,达到阀值后,不允许新的用户接入,少于阀值下沿,再允许新用户接入。
配合网络规划,设置AP群功能,在一个群内的AP通过组播报文实时通报接入用户数量,当发现AP间用户数差值大于设定阀值,接入用户多的AP将部分用户赶下网。
5.11、切换与漫游
Ø切换定义:用户在不同AP间移动,不需要重认证,业务不中断;
(1)AP位于同一L3/L2之下的不同物理端口下同一VLAN之中
(2)AP位于同一L3/L2之下的不同物理端口下不同VLAN之中
(3)AP位于同一Wireless Switch之下不同L3/L2之下的同一VLAN之中
(4)AP位于不同Wireless Switch之下不同L3/L2之下的同一VLAN之中
(5)AP位于不同子网下
(6)支持动态加密
Ø漫游功能
漫游主要是指异地用户通过本地WLAN网络上网或者本地用户移动到异地可通过异地的WLAN网络上网。通过AAA Server支持Proxy功能进行用户判别、认证、计费与结算。此功能已经在运营商网络中已经实现并验证,效果良好,目前在行业网络中基本上没有这应用,但在H3C网络中必须使用此功能,此功能要求后端系统的用户信息进行互动,采用协议达成或者数据共享进行达成,建议采用后端系统进行协议交互达成用户在漫游地认证通过并获得服务。
5.12、AP供电
由于实际组网应用中AP设备数量较大,AP都带有一个供电模块,只需要通过AP供电模块和现有的楼层配线间的交换机,为AP实现远程供电,供电距离达100米,能够满足实际组网的要求。
相关文章:
每日文案|用孩子的纯真,治愈大人的疲惫✦12-25
每日文案🛼🍧|烟火里谋生,月光下谋爱𓈒𓏸12-25
每日文案|活得漂亮,才是你最好的复仇12-25
每日文案|那时阳光无尽,事事都可以12-25
每日文案|无山可靠,我自当山゚ ✦12-25
每日文案🐻🧦|自然有诗,荒野有歌 ˘༥˘12-25