工艺技术_某医院无线网络建设项目实施规划及工艺

XX医院无线网络建设项目实施规划及工艺(V1.0)xxxx电子科技有限公司二一一年四月我们总羡慕别人的幸福，却常常忽略自己生活中的美好。其实，幸福很平凡也很简单，它就藏在看似琐碎的生活中。幸福的人，并非拿到了世界上最好的东西，而是珍惜了生命中的点点滴滴，用感恩的心态看待生活，用乐观的态度闯过磨难。目 录第一章 前言11.1. 方案说明11.2. 工程概况1第二章 实施规划22.1. 无线网络规划22.1.1. 交换机管理地址及VLAN规划22.1.2. 无线AP管理地址规划42.1.3. 无线AP命名规划52.1.4. 交换机命名规划62.1.5. 无线SSID规划62.1.6. 无线信道规划72.1.7. 无线漫游规划72.1.8. 无线管理系统地址规划102.1.8.1. WiSM地址规划102.1.8.2. 服务器地址规划122.1.8.3. 无线终端节点IP地址及VLAN规划122.1.9. 无线安全接入规划162.1.10. 无线网络路由规划16第三章 实施工艺163.1. WLAN勘测173.1.1. 勘测目的173.1.2. 勘测工具173.1.3. 勘测方法173.2. 综合布线183.2.1. 施工参考标准183.2.2. 施工准备183.2.2.1. 材料准备183.2.2.2. 器具准备193.2.2.3. 作业条件193.2.2.4. 技术准备193.2.3. 施工流程193.2.3.1. 信息插座安装203.2.3.2. 管线的敷设213.2.3.2.1. 暗管敷设213.2.3.2.2. 线槽、桥架敷设213.2.3.3. 线缆敷设223.2.3.4. 室外光缆243.2.3.4.1. 光缆敷设243.2.3.4.2. 光缆熔接253.2.3.5. 设备安装263.2.3.5.1. 配线箱的安装263.2.3.5.2. 配线架的安装273.3. 无线网络安装273.3.1. WiSM安装273.3.1.1. 板卡前面板描述273.3.1.2. 系统需求283.3.1.2.1. 硬件组件283.3.1.2.2. 电源需求283.3.1.2.3. 软件需求293.3.1.3. 板卡安装293.3.2. WCS的安装313.3.3. ACS的安装393.3.4. 交换机安装453.3.4.1. 设备描述453.3.4.1.1. 设备前面板描述453.3.4.1.2. 设备后面板描述453.3.4.1.3. 电源模块描述463.3.4.1.4. 风扇模块描述463.3.4.1.5. 网络模块描述473.3.4.2. 设备安装473.3.5. 无线AP及天线安装493.3.5.1. 安装原则493.3.5.2. 准备工作503.3.5.3. 安装步骤503.3.5.4. Cisco 1142N室内无线AP安装513.3.5.5. Cisco 1252AG室外无线AP(网桥)的安装543.3.5.5.1. 室外无线AP安装543.3.5.5.2. 室外机箱壁挂安装553.3.5.5.3. 室外机箱抱杆安装563.3.5.5.4. 室外天线安装573.4. 无线设备调试593.4.1. WiSM调试593.4.2. ACS调试733.4.3. WCS配置823.5. 系统测试853.5.1 布线设备安装检验853.5.1.1信息插座安装检验853.5.1.2管线敷设检验853.5.1.3线缆敷设检验853.5.1.4配线设备安装检验853.5.2 布线系统测试863.5.2.1 测试连接图863.5.2.2 测试工具863.5.2.3 测试内容863.5.3 网络设备安装检验883.5.3.1无线AP安装检验883.5.3.2 室外机箱安装检验883.5.3.3天线安装检验883.5.3.4交换机安装检验893.5.3.5无线板卡安装检验893.5.4 无线网络系统测试893.5.4.1设备连通性测试893.5.4.2无线信号强度测试903.5.4.3无线网络吞吐量测试913.5.4.4无线加密认证测试923.5.4.5 单一SSID，动态VLAN的接入能力933.5.4.6不同AP间跨二层漫游933.5.4.7不同AP间跨三层漫游943.5.4.8无线网络管理功能95第一章 前言1.1. 方案说明本方案的目的是为XX医院无线网络建设工程提供一份切实可行的网络实施方案，以保证XX医院无线网络建设能够快速、高效的进行。在无线网络的建设过程中，我们应该考虑诸方面的因素，如有线网承载业务的连续性、无线网络设备安装部署和布线的规范性、合理性，及无线网络测试的方法等等。在整个实施方案的制订过程中，将遵循如下原则： 充分保证XX无线网络施方案整体的可靠性。全面考虑无线网络实施中会遇到的各方面因素。 在无线网络实施过程中加入必要的测试过程，保证整个网络实施过程的正确性。本方案可依实际情况进行具体分析讨论后做出相应调整1.2. 工程概况本工程在XX医院有线网络基础之上建立覆盖全院的无线网络系统。无线网络工程设备数量：设备名称设备型号数量（台/套）室内无线APAIR-LAP1142N-C-K9986室外无线APAIR-AP1252AG-C-K950无线控制器WS-SVC-WISM-1-K94无线网络管理系统WCS-APBASE-5002POE交换机WS-C3560X-24P-L60无线网络工程无线设备区域分布情况： 设备区域无线控制器无线网络管理系统室内AP室外AP主楼5楼机房2信息楼3楼机房22门诊楼84门诊二部48消化楼152老消化楼20主楼80神经内外科42骨科楼25住院二部45输血科楼20教学楼30皮肤楼35住院三部21住院四部康复楼一期28住院四部康复楼二期28器材科楼8机关楼15药剂楼12迎宾楼9室外50第二章 实施规划2.1. 无线网络规划2.1.1. 交换机管理地址及VLAN规划XX医院无线网络建设项目中所有无线AP设备接入交换机Cisco 3560X-24P-L（带POE供电）管理地址使用规划如下： 管理地址网段使用192.168.111.0/24一个C类地址网段。 管理地址VLAN使用VLAN 2。 管理VLAN网关终结在核心交换机上，并配置HSRP进行热备冗余。（1）管理网段最高位IP地址为HSRP的虚拟网关地址。（2）HSRP主用设备IP地址使用每个子网网段次高位IP地址，优先级设置为140，抢占模式打开。（3）HSRP备用一号设备IP地址使用每个子网网段第三高位IP地址，优先级设置为130，抢占模式打开。（4）HSRP备用二号设备IP地址使用每个子网网段第四高位IP地址，优先级设置为120，抢占模式打开。（5）HSRP备用三号设备IP地址使用每个子网网段第五高位IP地址，优先级设置为100(默认)，抢占模式打开。（6）HSRP组号与管理网段所属VLAN号对应。（7）HSRP优先级策略与STP的根桥主备设置一致。交换机管理网段位于核心交换机上的HSRP地址分配如下：序号设备名称IP地址/掩码虚拟IP地址/掩码1C6509E_1192.168.111.2/24192.168.111.1/242C6509E_2192.168.111.3/243C6509E_3192.168.111.4/244C6509E_4192.168.111.5/24交换机管理地址分配如下表所示：序号部署楼宇部署位置交换机型号IP地址子网掩码1骨科5F配线间C3560X192.168.111.7255.255.255.027F配线间C3560X192.168.111.8255.255.255.03神经内外科3F配线间C3560X192.168.111.9255.255.255.046F配线间C3560X192.168.111.10255.255.255.05消化楼1F配线间C3560X192.168.111.11255.255.255.063F配线间C3560X192.168.111.12255.255.255.076F配线间C3560X192.168.111.13255.255.255.089F配线间C3560X192.168.111.14255.255.255.0911F配线间C3560X192.168.111.15255.255.255.01014F配线间C3560X192.168.111.16255.255.255.01117F配线间C3560X192.168.111.17255.255.255.012主楼1F配线间C3560X192.168.111.18255.255.255.0133F配线间C3560X192.168.111.19255.255.255.0145F配线间C3560X192.168.111.20255.255.255.0158F配线间C3560X192.168.111.21255.255.255.016门诊楼6F配线间C3560X192.168.111.22255.255.255.0177F配线间C3560X192.168.111.23255.255.255.0188F配线间C3560X192.168.111.24255.255.255.0199F配线间C3560X192.168.111.25255.255.255.020门诊二部3F配线间C3560X192.168.111.26255.255.255.0216F配线间C3560X192.168.111.27255.255.255.022心脏内外科1F配线间C3560X192.168.111.28255.255.255.0234F配线间C3560X192.168.111.29255.255.255.0247F配线间C3560X192.168.111.30255.255.255.025老消化楼3F配线间C3560X192.168.111.31255.255.255.026住院二部1F配线间C3560X192.168.111.32255.255.255.0272F配线间（3台）C3560X192.168.111.33255.255.255.028住院三部1F配线间C3560X192.168.111.34255.255.255.0293F配线间（2台）C3560X192.168.111.35255.255.255.030住院四部康复一期2F配线间C3560X192.168.111.36255.255.255.0313F配线间C3560X192.168.111.37255.255.255.032住院四部康复二期2F配线间C3560X192.168.111.38255.255.255.0333F配线间C3560X192.168.111.39255.255.255.034输血科楼2F配线间C3560X192.168.111.40255.255.255.035教学楼2F配线间C3560X192.168.111.41255.255.255.0364F配线间C3560X192.168.111.42255.255.255.037皮肤楼3F配线间C3560X192.168.111.43255.255.255.0385F配线间C3560X192.168.111.44255.255.255.039器材科楼3F配线间C3560X192.168.111.45255.255.255.040机关楼3F配线间C3560X192.168.111.46255.255.255.041药剂楼2F配线间C3560X192.168.111.47255.255.255.042迎宾楼2F配线间C3560X192.168.111.48255.255.255.02.1.2. 无线AP管理地址规划XX医院无线网络建设项目中使用的无线AP管理地址规划如下： AP管理地址段使用192.168.112.0/24192.168.131.0/24共20个C类地址段。 AP管理地址按照楼宇位置进行分配，位于每栋楼宇的无线AP同处于一个管理子网内，分配一个C类地址段。 建立单独的DHCP服务器将上述网段地址下发作为AP管理地址。 DHCP服务器针对AP的MAC地址做特定IP地址保留。形成AP MAC地址与AP管理地址的对应，便于日后管理和维护。 DHCP服务器配置Option 43字段参数指向WLC管理接口IP地址。 无线AP管理VLAN网关终结在核心交换机上，并配置HSRP进行热备冗余。（1）管理网段最高位IP地址为HSRP的虚拟网关地址。（2）HSRP主用设备IP地址使用每个子网网段次高位IP地址，优先级设置为140，抢占模式打开。（3）HSRP备用一号设备IP地址使用每个子网网段第三高位IP地址，优先级设置为130，抢占模式打开。（4）HSRP备用二号设备IP地址使用每个子网网段第四高位IP地址，优先级设置为120，抢占模式打开。（5）HSRP备用三号设备IP地址使用每个子网网段第五高位IP地址，优先级设置为100(默认)，抢占模式打开。（6）HSRP组号与管理网段所属VLAN号对应。（7）HSRP优先级策略与STP的根桥主备设置一致。无线AP管理网段位于核心交换机上的HSRP地址分配如下所示：序号设备名称IP地址/掩码虚拟IP地址/掩码1C6509E_12C6509E_23C6509E_34C6509E_4无线AP安装到位调试完毕后，输出如下表格：无线AP设备名称无线AP管理地址无线AP MAC地址无线AP安装位置2.1.3. 无线AP命名规划对XX医院无线网络建设项目中使用的无线AP设备进行有规则的命名，采用等长命名规则，字段分隔符为“_”(下划线)。字段1_字段2_字段3_字段4字段1标识医院名称，统一为“XJ”表示XX医院字段2标识安装地点，为“楼宇名称”和“楼层名称”楼宇名称，为楼宇名称表示为拼音字母中首个大写字母缩写，楼层名称表示为“ xF”(x为楼层层数，F是表示楼层的意思)如骨科楼2楼为“GK2F”字段3标示AP在楼层或室外的安装方位East东West西South南North北Middle 中Northeast东北Northwest西北Southeast东南Southwest西南字段4标示设备数量，使用阿拉伯数字，表示该设备为同类设备的第几台通过以上命名规则可以直观明了的知道无线AP设备的安装位置，根据上述设备命名规则，设备命名示例如下：设备名称描述XJ_GK2F_East安装于XX医院骨科楼2楼东边的无线APXJ_XH10F_Northeast安装于XX医院消化楼10楼东北边的无线APXJ_ZL3F_Southwest_2安装于XX医院主楼3楼西南边的第2台无线AP2.1.4. 交换机命名规划对XX医院无线网络系统中使用的POE供电交换机进行有规则的命名，采用等长命名规则，字段分隔符为“_”(下划线)。字段1_字段2_字段3_字段4_字段5字段1标识医院名称，统一为“XJ”表示XX医院字段2标识安装地点，为“楼宇名称”和“楼层名称”楼宇名称，为楼宇名称表示为拼音字母中首个大写字母缩写，楼层名称表示为“ xF”(x为楼层层数，F是表示楼层的意思)如骨科楼2楼为“GK2F”字段3标示功能和设备型号该字段表示无线网络系统接入交换机Cisco3560X，即Wireless Switch Cisco3560X ；统一为表示为WSC3560X 字段5标示设备数量使用阿拉伯数字，表示该设备为同类设备的第几台通过以上命名规则可以直观明了知道设备的安装位置和功能，根据上述设备命名规则，设备命名示例如下：设备名称描述XJ_XH2F_WSC3560X消化楼2楼配线间的无线接入交换机Cisco3560XXJ_GK4F_WSC3560X骨科楼4楼配线间的无线接入交换机Cisco3560XXJ_SJ6F_WSC3560X_1神经内外科楼6楼配线间的第一台无线接入交换机Cisco3560X2.1.5. 无线SSID规划SSID是无线服务的标示，直接反映接入服务的属性。SSID可以按照服务对象、地点等信息来命名。本次工程中无线网络SSID的规划遵循以下原则： 对于支持输入验证信息或能够安装证书的无线接入终端，如PC终端。设置统一的广播SSID，命名为XJWireless1。 对于不支持输入验证信息或能够安装证书的无线接入终端，如手持PDA 终端。设置统一的隐含SSID（不广播），命名为XJWireless2。PDA终端需要手工输入隐含SSID接入无线网络。2.1.6. 无线信道规划在XX医院无线网络中，为了实现AP的有效覆盖，同时避免信道间的相互干扰，在信道分配时采用蜂窝覆盖原理，进行信道的分配。如下图所示：无线信道规划基本原则如下： 同一区域所的频率应该至少间隔25MHz,可以使用3个不重叠信道（如1、6、11） 相邻AP选择不同的 信道，并确保在选择相同信道的AP之间，有其他选择了不同信道的AP设备作为分隔部署。 在考虑AP之间彼此信号覆盖范围时，不仅考虑水平面上的信道区别设置，还要考虑到垂直层面上的信道区别设置。 如果在某些特殊环境下，需要使用较多AP，信道无法完全隔开，可以考虑适当降低AP的发射功率，减小干扰。在本次工程中，所有无线AP使用的信道及发射功率均不采用手工设定，全部交由无线控制器进行自动调整。无线控制器可自动感知无线AP周围的无线设备所使用的信道，从而动态的调整无线AP自身使用的信道，以达到消除无线AP间信道重叠所产生的干扰。2.1.7. 无线漫游规划本次工程中无线漫游采用3层漫游的方式。部署于4台核心交换机上的WiSM板卡位于同一移动组，使用组名的“XJ_Mobility_Group”移动组配置遵循以下原则：（1）所有的控制器配置相同的LWAPP传输模式（2）所有控制器的管理接口之间保证IP可达（3）所有控制器配置相同的虚拟接口P地址（4）所有控制器配置相同的移动组名（5）所有控制器运行的软件版本相同漫游分为以下几种类型：（1）控制器内漫游 AP1和AP2广播相同的SSID，并且连接在同一台控制器WLC1上。 无线客户端在位置A时关联到WLC1,所有前往和来自该客户端的数据流都将通过AP1和WLC1之间的LWAPP隧道。 客户开始移动，进入到AP2的覆盖区域内，客户端变成了通过AP2关联WLC1。WLC1只需要更新其表项将旧关联缓存的数据交给新关联，并使用连接到AP2的LWAPP隧道来找到客户端。 虽然使用的AP不同，但无线关联和LWAPP隧道是由同一个控制器提供的，这被称为控制器内漫游。（2）控制器间漫游（控制器位于同一子网）XX医院无线网络中包含大量的LAP，使用单个WLC无法支持它们，必须使用多个WLC，并将这些LAP分散到多个控制器。在这种情况下，客户端就有可能从一个控制器漫游到另一个控制器。 AP1和AP2广播相同的SSID，并且各自分别连接在两台控制器WLC1和WLC上。两个控制器WLC1和WLC2位于同一个IP子网中。 无线客户端当前通过AP1关联到WLC1，所有客户端的数据流都将经过AP1到WLC1的LWAPP隧道。 客户开始移动，进入到AP2的覆盖区域内，发现使用的SSID相同，客户端将关联切换到WLC2。 WLC1和WLC2通过移动消息交换有关客户端的信息。 完成移动消息交换后，客户端便使用AP2和WLC2之间LWAPP隧道。 客户端的IP地址没有改变，整个漫游过程对客户端来说是完全透明的。（2）控制器间漫游（控制器位于不同的子网）XX医院无线网络中包含大量的LAP，使用单个WLC无法支持它们，必须使用多个WLC，并将这些LAP分散到多个控制器。在这种情况下，客户端就有可能从一个控制器漫游到另一个控制器。 AP1和AP2广播相同的SSID，并且各自分别连接在两台控制器WLC1和WLC上。两个控制器WLC1和WLC2位于不同的IP子网中。两个子网分别是VLAN A 和VLAN B。 无线客户端当前通过AP1关联到WLC1，客户端获得的IP地址位于VLAN A中，所有客户端的数据流都将经过AP1到WLC1的LWAPP隧道传输到VLAN A中。 客户开始移动，进入到AP2的覆盖区域内，发现使用的SSID相同，客户端将通过AP2关联到WLC2。客户端的IP地址没有改变，但是其IP地址移动到了其他子网内。 两个控制器之间建立一条Ether-IP隧道，用于传输前往客户端的数据流。通过使用Ether-IP隧道，控制器 可以使用IP协议97将MAC层数据封装在IP分组中。 为将分组转发给客户端，一个控制器封装分组并将其发送给另一个控制器，后者通过隧道收到分组后将其拆封。 离开客户端的数据流经LWAPP隧道从AP2传输到WLC2，然后进入VLAN B。 前往客户端的数据流经交换机进入VLAN A，然后被转发到WLC1，WLC1通过Ether-IP隧道将数据流转发给WLC2，后者再通过连接到AP2的LWAPP隧道将数据流发送给客户端。2.1.8. 无线管理系统地址规划2.1.8.1. WiSM地址规划WiSM作为无线网络的控制器，存在以下接口： 管理接口：使用静态IP地址接口，用于传输带内管理数据流，该接口也用于建立到WLC的WEB会话。必须和AP管理接口位于同一子网。 AP管理接口：使用静态的IP地址接口，所有LAP都使用它来端接LWAPP隧道；WLC也在该接口上侦听LAP试图发现控制器时发送的子网广播。必须和管理接口位于同一子网。 服务端口：使用静态IP地址，用于带外管理的以太网接口，仅当控制器正在启动或网络问题导致无法进行其他方式接入时才使用。必须和管理接口及AP管理接口位于不同的子网。 分布式系统接口：连接到核心交换机的接口，该接口通常是一个中继链路接口，用于中继所有VLAN的数据流。 虚拟接口：用于中继来自无线客户端的DHCP请求的逻辑接口；该接口使用静态的（全网唯一）IP地址，客户端将把该虚拟接口视为DHCP服务器。在同一移动组中，所有WLC都必须使用相同的虚拟接口地址。 动态接口：也称为用户接口，根据需要，为通过LWAPP隧道扩展到LAP的VLAN自动创建的接口。动态接口使用的IP地址属于无线客户端VLAN的子网。本次工程中预留一个管理VLAN和子网供WiSM（WLC）使用。以上接口的地址规划如下： WLC管理/AP管理接口接口网段使用192.168.132.0/24一个C类地址网段，采用静态分配。 WLC服务接口地址段使用11.1.1.250/2411.1.1.253/24，采用静态分配。 WLC管理/AP管理接口地址段VLAN使用VLAN 3。 WLC服务接口地址段VLAN使用VLAN 1000。 VLAN网关终结在核心交换机上，并配置HSRP进行热备冗余。（1）管理网段最高位IP地址为HSRP的虚拟网关地址。（2）HSRP主用设备IP地址使用每个子网网段次高位IP地址，优先级设置为140，抢占模式打开。（3）HSRP备用一号设备IP地址使用每个子网网段第三高位IP地址，优先级设置为130，抢占模式打开。（4）HSRP备用二号设备IP地址使用每个子网网段第四高位IP地址，优先级设置为120，抢占模式打开。（5）HSRP备用三号设备IP地址使用每个子网网段第五高位IP地址，优先级设置为100(默认)，抢占模式打开。（6）HSRP组号与管理网段所属VLAN号对应。（7）HSRP优先级策略与STP的根桥主备设置一致。WiSM（WLC）管理网段位于核心交换机上的HSRP地址分配如下：序号设备名称AP管理/管理接口通信IP地址/掩码虚拟IP地址/掩码1WLZX_backup192.168.132.250/24192.168.132.254/242WLZX_core192.168.132.251/243Zhulou_backup192.168.132.252/244Zhulou_core192.168.132.253/24序号设备名称Service-port接口通信IP地址/掩码1WLZX_backup11.1.1.250/242WLZX_core11.1.1.251/243Zhulou_backup11.1.1.252/244Zhulou_core11.1.1.253/24 服务端口使用自定义不可路由的静态IP地址，保证与现网中使用IP地址不冲突。该地址只具有本地意义。， 分布式系统接口连接核心交换机设置为trunk接口（默认） 所有WLC虚拟接口统一使用地址1.1.1.1。 动态接口的使用无线接入终端所在子网的倒数第1个到第4个IP地址。序号名称管理接口AP管理接口服务端口虚拟接口1WLC_1&2192.168.132.6-7/24192.168.132.8-9/2411.1.1.1-2/241.1.1.12WLC_3&4192.168.132.10-11/24192.168.132.12-13/2411.1.1.3-4/241.1.1.13WLC_5&6192.168.132.14-15/24192.168.132.16-17/2411.1.1.5-6/241.1.1.14WLC_7&8192.168.132.18-19/24192.168.132.20-21/2411.1.1.7-8/241.1.1.12.1.8.2. 服务器地址规划XX医院无线网络中包含WCS无线网络管理系统服务器、ACS认证服务器、AD（含CA、DHCP）服务器。这三台服务器需要和WLC进行数据交互，在本次工程中无线网络系统服务器的IP地址从WLC管理接口及AP管理接口使用的C类地址网段192.168.132.0/24中分配，使用该网段中的最后三个可用IP地址。序号部署位置服务器名称IP地址1网络中心机房Cisco UCS服务器192.168.132.1/242网络中心机房WCS服务器（虚拟机）192.168.132.2/243网络中心机房ACS服务器（虚拟机）192.168.132.3/244网络中心机房AD（CA&DCHP）服务器（虚拟机）192.168.132.4/242.1.8.3. 无线终端节点IP地址及VLAN规划XX医院无线网络中无线终端节点地址采用外置DHCP服务器进行自动分配下发，具体规划如下： 无线接入终端使用IP地址段及VLAN与现有有线网匹配 无线接入终端使用IP地址段从172.16.0.0/16一个B类地址段中选取 从上述B类地址中的第一个C类地址172.16.0.0/24开始，依次顺延使用。 新分配的VLAN号不与现网使用的VLAN信息冲突，号码范围200-255。 VLAN命名规则为功能区中文拼音首字母大写缩写加wireless组成。 位于WLC上的动态接口的使用无线接入终端所在子网的倒数第1个到第8个IP地址。 无线客户端使用的VLAN信息通过认证服务器进行动态下发。IP地址及VLAN分配见下表：序号网段描述VLAN名称VLAN_ID网段地址可用IP地址HSRP虚拟IP地址HSRP主用IP地址HSRP备用IP地址动态接口IP地址起始终止1门诊楼1FMZ_1F_Wireless200172.16.0.0172.16.0.1172.16.0.254172.16.0.1172.16.0.2172.16.0.35172.16.0.2512542门诊楼2FMZ_2F_Wireless201172.16.1.0172.16.1.1172.16.1.254172.16.1.1172.16.1.2172.16.1.35172.16.1.2512543门诊楼3FMZ_3F_Wireless202172.16.2.0172.16.2.1172.16.2.254172.16.2.1172.16.2.2172.16.2.35172.16.2.2512544门诊楼4FMZ_4F_Wireless203172.16.3.0172.16.3.1172.16.3.254172.16.3.1172.16.3.2172.16.3.35172.16.3.2512545门诊楼5FMZ_5F_Wireless204172.16.4.0172.16.4.1172.16.4.254172.16.4.1172.16.4.2172.16.4.35172.16.4.2512546门诊楼6FMZ_6F_Wireless205172.16.5.0172.16.5.1172.16.5.254172.16.5.1172.16.5.2172.16.5.35172.16.5.2512547门诊楼7FMZ_7F_Wireless206172.16.6.0172.16.6.1172.16.6.254172.16.6.1172.16.6.2172.16.6.35172.16.6.2512548门诊楼8FMZ_8F_Wireless207172.16.7.0172.16.7.1172.16.7.254172.16.7.1172.16.7.2172.16.7.35172.16.7.2512549门诊楼9FMZ_9F_Wireless208172.16.8.0172.16.8.1172.16.8.254172.16.8.1172.16.8.2172.16.8.35172.16.8.25125410门诊二部MZ2B_Wireless209172.16.9.0172.16.9.1172.16.9.254172.16.9.1172.16.9.2172.16.9.35172.16.9.25125411主楼1-3ZL1-3_Wireless210172.16.10.0172.16.10.1172.16.10.254172.16.10.1172.16.10.2172.16.10.35172.16.10.25125412主楼4-8ZL4-8_Wireless211172.16.11.0172.16.11.1172.16.11.254172.16.11.1172.16.11.2172.16.11.35172.16.11.25125413消化楼XHL_Wireless212172.16.12.0172.16.12.1172.16.12.254172.16.12.1172.16.12.2172.16.12.35172.16.12.25125414老消化楼XHL(old)_Wireless213172.16.13.0172.16.13.1172.16.13.254172.16.13.1172.16.13.2172.16.13.35172.16.13.25125415神经内外科SJ_Wireless214172.16.14.0172.16.14.1172.16.14.254172.16.14.1172.16.14.2172.16.14.35172.16.14.25125416心脏内外科XZ_Wireless215172.16.15.0172.16.15.1172.16.15.254172.16.15.1172.16.15.2172.16.15.35172.16.15.25125417骨科楼GK_Wireless216172.16.16.0172.16.16.1172.16.16.254172.16.16.1172.16.16.2172.16.16.35172.16.16.25125418输血科楼SX_Wireless217172.16.17.0172.16.17.1172.16.17.254172.16.17.1172.16.17.2172.16.17.35172.16.17.25125419皮肤科楼PF_Wireless218172.16.18.0172.16.18.1172.16.18.254172.16.18.1172.16.18.2172.16.18.35172.16.18.25125420药剂楼YJ_Wireless219172.16.19.0172.16.19.1172.16.19.254172.16.19.1172.16.19.2172.16.19.35172.16.19.25125421教学楼JX_Wireless220172.16.20.0172.16.20.1172.16.20.254172.16.20.1172.16.20.2172.16.20.35172.16.20.25125422机关楼JG_Wireless221172.16.21.0172.16.21.1172.16.21.254172.16.21.1172.16.21.2172.16.21.35172.16.21.25125423迎宾楼YB_Wireless222172.16.22.0172.16.22.1172.16.22.254172.16.22.1172.16.22.2172.16.22.35172.16.22.25125424器材科楼QC_Wireless223172.16.23.0172.16.23.1172.16.23.254172.16.23.1172.16.23.2172.16.23.35172.16.23.25125425住院二部ZY2B_Wireless224172.16.24.0172.16.24.1172.16.24.254172.16.24.1172.16.24.2172.16.24.35172.16.24.25125426住院三部ZY3B_Wireless225172.16.25.0172.16.25.1172.16.25.254172.16.25.1172.16.25.2172.16.25.35172.16.25.25125427住院四部康复一期ZY4B(KF1)_Wireless226172.16.26.0172.16.26.1172.16.26.254172.16.26.1172.16.26.2172.16.26.35172.16.26.25125428住院四部康复二期ZY4B(KF2)_Wireless227172.16.27.0172.16.27.1172.16.27.254172.16.27.1172.16.27.2172.16.27.35172.16.27.25125429网络中心WLZX_Wireless228172.16.28.0172.16.28.1172.16.28.254172.16.28.1172.16.28.2172.16.28.35172.16.28.2512542.1.9. 无线安全接入规划部署于XX医院的无线网络系统支持多种的用户认证和加密类型。在本次工程中无线网络的安全接入规划遵循以下原则： 针对WLAN启用1层安全特性，对无线侧攻击如IP地址盗用、多次关联失败、多次认证失败等情况，进行无线客户端剔除。 针对WLAN只启用2层安全特性，联合后台的AAA服务器进行无线数据流量的认证和加密处理。 对于支持输入验证信息或能够安装证书的无线接入终端，如PC终端。设置其2层安全特性为企业级的WPA。（1）企业模式的WPA均采用IEEE802.1X/EAP作为认证密钥管理。（2）企业模式的WPA采用AES和TKIP作为加密认证方法。 对于不支持输入验证信息或不能够安装证书的无线接入终端，如手持PDA 终端。采用MAC地址认证的方式，不做加密处理。 为WLC和AP启用MFP（无线控制帧安全管理）功能，为无线管理帧进行认证、加密和签名，杜绝攻击者通过模拟无线网络中的管理帧信息来破坏网络状态和窃取网络信息而造成用户掉线和用户无法正常接入AP的现象。2.1.10. 无线网络路由规划无线网络路由的规划在XX医院军卫网优化完成的基础上进行规划如下： 无线AP及交换机的管理网段地址全部进行动态路由发布，全网可达。 无线网络终端接入地址网段全部进行动态路由发布，全网可达。 单独规划的服务器地址网段进行动态路由发布，全网可达。 无线网络中不同VLAN间路由由核心交换机MSFC完成。 有线网络和无线网络中不同VLAN间路由核心交换机MSFC完成。第三章 实施工艺XX医院无线项目的实施，以楼宇为单位进行逐一实施，第一栋楼宇的实施和第二栋楼宇的勘测同步进行。实施流程如图所示：3.1. WLAN勘测3.1.1. 勘测目的在满足客户使用需求的前提下，主要确定以下内容： 确定室内外无线AP及天线的安装位置 确定室内外无线AP的信号覆盖范围 确定室内外无线AP的信号强度能否达到-60dbm 确定室内外无线干扰源或障碍物的位置及干扰程度 确定室内外无线AP的部署位置 确定室内外无线AP至交换机互联线缆的长度及走向3.1.2. 勘测工具勘测中需要使用的工具如下： Cisco室内无线AP 1142N Cisco室外无线AP 1252AG Cisco 无线控制器WLC 4404 Cisco 交换机3560X(带POE供电) 测试笔记本Thinkpad x201、手持PDA 测试软件Insider 测试线缆 双绞线/天线/馈线 电子测距仪 AP支撑杆具 后备电源3.1.3. 勘测方法无线现场勘测步骤如下：（1）根据客户需求，确定各楼宇中需要无线覆盖的病区范围。（2）将该楼宇中各楼层CAD图纸导入WCS服务器，预设定无线信号覆盖范围及信号强度，计算得出各楼层大致需要部署的AP数量及位置。（3）携带测试工具前往楼层进行实地勘测，将无线AP、交换机及无线控制器进行互联，并按照WCS计算结果在病区内进行无线AP部署。（4）携带安装有Insider无线信号强度测试软件的Thinkpad x201笔记本终端对病区内逐个房间进行无线信号覆盖范围及信号强度的测试。每个房间至少挑选两个点位