医院行业WLAN技术建议书.doc

医院行业无线覆盖解决方案技术建议书华为3com技术有限公司2007年3月目 录1.前言31.1概述31.2业务需求分析31.3整体建网原则42.1总体方案设计62.1.1认证方式选择62.1.2有线无线混合组网下的认证方案92.1.3用户管理92.1.4网管方案102.1.5无线网络方案113医院WLAN方案产品配置建议173.1 CAMS173.1.1 软件配置173.1.2 硬件配置173.1.3 可靠性设计措施173.2 WLAN 产品184 方案产品介绍194.1 AP2750194.2 无线局域网控制器WX4400/交换机WX1200244.3 无线局域网网管系统WXM324.4 CAMS系统365华为3Com公司售后保障体系以及用户认证培训体系405.1两小时厂家上门服务405.2服务组织结构405.3服务及时性保障425.4 服务有效性保障435.4.1 724小时热线技术支持电话435.4.2 区域技术支持平台435.4.3 网上问题处理系统435.4.4 完善的实验平台445.4.5 高效快捷的备件系统445.4.6 技术支持网站与技术支持论坛445.4.7 完备的技术支持资料开发系统455.4.8 健全的认证体系45附1 WLAN覆盖效果工程设计计算481. 前言1.1概述随着21世纪社会经济迅速发展，互联网与无线通信技术的融合。高速率，高性能和兼容性已成为人们的普遍要求，对随时随地进行通信和信息服务的需求变得迫切。现有的有线网络在某种程度上已不能满足需求，因此，无线化，智能化的移动通信以及快捷方便的无线接入，无线互联等众多适应当前需求的新概念和新产品应运而生。WLAN是Wireless Local Area Network的缩写，中文全称为“无线局域网”。WLAN采用射频（RF）技术构成局域网络，是一种便利的数据传输系统。由于无线局域网设备一般工作于免授权（unlicensed）频段，在频段的使用上无需高昂的许可费用，而无线局域网可以在不受地理条件限制、通信不便利以及移动通信的情况下，组建计算机网络，因此它是有线网络的重要补充。据Cahners In-start集团预测，到2006年，全球将大约有4万个公共WLAN场所，主要用于给装备有WLAN便携PC的雇员提供无线桌面连接，以及会议室和拜访客人的无线连接；在小型公司里，WLAN的灵活性和节省成本的优点体现得更强，将有45的小公司和分支机构将使用WLAN解决方案；家庭网络由于用户数量巨大，也将是一个不可忽视的市场。目前无线局域网技术已成熟完善，802.11技术标准本身已具备作为运营网络的一种宽带接入手段所需要考虑的区分运营网络接入、空口安全、用户隔离、多AP间慢速切换、多AP间用户负载均衡等特性规范。802.11技术产品产业链已经逐步形成，产品成熟稳定，适合各种应用场合的AP基站以及配套天馈系统已在运营商网络中大量应用。无线局域网技术已超越原先定义的为企业或家庭提供最后100m接入（无线Hub）的范围。可以预见，WLAN作为一种高速无线数据接入的手段，必将与现有网络一起，构成灵活、高效、完善的宽带网络。医疗行业作为与人民生活息息相关的行业，在计算机技术高速发展的今天，它的信息化建设就显得尤为重要。特别是具有灵活、方便性的无线局域网技术在安全、稳定性得到很好保证的前提下，其在医疗领域的应用就更加广泛和有效了。目前，国内外颇具影响力的医院纷纷采用以WLAN为基础的医院无线网络，来进一步提高工作效率，改善服务质量，而且取得了非常好的效果。1.2业务需求分析大多数医院的网络目前都是有线网络，但有线网络没有解决空间覆盖的问题，同时也不能解决信息实时收集的问题，在将来的医院网络趋于实时、数字化网络，同时还可以为医院的病人提供增值服务。也可以利用无线局域网技术的移动性、灵活性和高效率在护理点获取实时的患者信息或者搜索决策支持信息。这种系统使医护人员可以更加准确、快速和高效地制定决策和采取相应的措施，具体体现如下： 电子病历访问/查看 医生处方输入和药物治疗匹配 护士呼叫系统 患者床边服务 对重要的统计数据的监控 。对于具体的无线工程一般还要满足以下业务需求： 针对医院的空间要进行全面覆盖； 无线网络通过安全认证，保证医院信息不能通过无线网络对外泄露； 用户在无线区域内移动时，不需要多次重复认证，实现自动漫游，即业务不中断；1.3整体建网原则结合医疗行业和WLAN的实际应用与发展要求，无线局域网(WLAN)网络系统设计本着建设功能完整、技术成熟先进的网络系统的前提下，主要遵循以下系统总体原则： 高可靠性原则：网络系统的稳定可靠是应用系统正常运行的关键保证，对于医院网络来说，更是如此，在网络设计中特别是关键节点的设计中，选用高可靠性网络产品，并合理设计网络冗余拓扑结构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地保证医院办公系统的高效运行。 技术先进性和实用性原则：以现行需求为基础，保证满足医院办公应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到医院网络应用的需求和未来的发展趋势。 安全性原则：WLAN是一个空间开放网络，同时作对信息的安全以及网络的安全要求较高。制订统一的骨干网安全策略、VLAN策略和过滤机制，整体考虑网络平台的安全性。 高性能原则：承载网络性能是医院整个办公系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，力争实现透明网络，网络不能成为医院实施业务的瓶颈。 规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。 可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。2无线局域网总体技术方案2.1总体方案设计医院无线网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。华为3Com公司无线方案理解为是有线网络的外延，整个方案设计的要点主要包括认证点的选择问题、网络安全设计、无线网部署、网络管理几个方面。我们将在后面的方案详细设计中进行分析和方案描述。本方案设计具有以下前提： 目前的网络中都不具有POE供电功能，每台AP的配件中带有一块供电模块，可以通过与交换机之间串接为AP供电；或者在AP接入比较集中的交换机下增加一台专门的POE交换机对下挂AP进行集中供电； POE供电模块的功率都能满足AP的工作功率需要（15.4W）； 现有的交换机端口数量都足够AP接入，有线网络方案中已经考虑交换机POE供电的问题；2.1.1认证方式选择在认证点选择方面，由于华为3Com公司提供的是FIT AP2750+无线交换机WX4400进行组网的方案，AP2750与WX4400通过二层隧道协议通信，无线用户的认证点都是放置于WX4400设备上。这样组网的优势是：当用户在不同AP2750之间进行L2、L3漫游切换的时候，可由WX4400对用户的漫游切换进行管理控制，对于用户来说可以在无需重新认证的情况下跨区域开展业务。业界主要采用802.1X认证终端软件与AP、无线交换机、CAMS配合使用进行802.1x认证，或者采用Portal认证，后面具有Portal/Web与802.1X认证二种方式的比较。目前无线交换机能够同时支持802.1X/WEB PORTAL认证，当用户数较少的时候，可以在WX4400本地建立用户数据库，将用户鉴权点放在WX4400本地进行；当用户数达到一定规模的时候，也可将用户数据库放在华为3Com公司的CAMS综合访问控制系统上，CAMS与WX4400配合作为用户鉴权点。由于医院的网络主要用于护士和医生工作，并不提供作为公众运营网络接入，我司本次的WLAN建设中，建议采用： 无线交换机WX4400完成用户的认证终结和用户鉴权；此方式具有的优点：用户认证完成实体主要体现于无线交换机系统，呈现一个集中模式，便于维护与统一控制，无线系统用户与有线用户区分开来管理，保证无线系统的安全性； 802.1X认证方案介绍802.1X协议是IEEE在2001.6通过的正式标准，标准的起草者包括Microsoft，Cisco，Extreme，Nortel等；802.1X定义了基于端口的网络接入控制协议（port based network access control），该协议适用于接入设备与接入端口间点到点的连接方式，其中端口既可以是物理端口，也可以是逻辑端口。华为3Com的FIT AP无线组网方案中，由后端的无线交换机对所有认证报文进行终结，并提取出用户名和密码信息交由后台的CAMS进行用户鉴权。用户使用802.1X认证的过程如图所示：802.1X及WEB PORTAL认证流程示意图接入AP的无线终端采用802.1X模式，首先接入AP的客户端通过802.1X认证输入用户名、密码后客户端发起EAP报文至无线交换机，在无线交换机上终结EAP报文，然后从无线交换机经以太网交换机发起Raduis报文至CAMS服务器，由CAMS服务器来验证用户名、密码是否匹配，在认证通过以后由CAMS服务器下发Raduis报文至无线交换机通知该用户认证通过，无线交换机中再将相对应的逻辑端口打开，允许学习MAC地址，允许用户上网。华为3Com公司对802.1x认证方式进行了优化，使其可以支持基于MAC的用户控制，即一般情况下如果多个用户连接到一个HUB，其中一个用户认证通过后，其他用户也能够使用网络，但华为3Com公司对802.1X认证方案优化后，只有认证通过的用户（MAC）才能使用网络，其他用户还是不能使用网络。 WEB认证方案介绍WEB用户上网时，设备强制用户到门户网站，并提供门户网站主页，用户可以免费访问其中的服务。当要使用互联网中的其他信息时，则必须在门户网站进行认证，只有认证通过后才可以使用这些服务。WEB认证用户不需要安装额外的客户端软件。在华为3Com的FIT AP方案中，使用WEB认证时，强制Portal仍然是在无线交换机上进行。使用WEB认证时不需要安装客户端软件，使得管理和维护更简单，并同时能利用CAMS的功能较好地对用户进行控制，如用户端口绑定、用户IP绑定、用户MAC绑定等，但无法做到用户通知消息下发和防止用户使用代理。 WEB认证与802.1X认证对比功能WEB认证802.1x认证客户端软件不需要需要客户端版本限制不支持支持自动探测并屏蔽代理服务器不支持支持限制多网卡、拨号上网不支持支持显示当前网络状态及认证状态支持支持异常下线探测功能支持支持消息下发不支持支持对AAA服务器的特别要求无无分布式认证支持支持网络性能影响低低Radius服务器的性能影响无无标准化程度低高IP地址浪费无无2.1.2有线无线混合组网下的认证方案对有线用户和无线用户进行分别认证，有线用户在以太网交换机上实现认证，无线用户在无线交换机设备上实现认证。通过在CAMS上设定对应的绑定区域，对于只能使用有线上网的用户绑定所有以太网交换机IP地址，无线上网用户由于其漫游特性，无需绑定到无线交换机的IP地址。设备要求：实现认证的以太网交换机和无线交换机必须支持标准Radius协议，能够和CAMS配合实现认证计费功能。如果要实现华为扩展的Radius功能，如防代理、消息下发等功能。则必须使用对应的华为3Com设备。2.1.3用户管理CAMS系统功能强大，操作简单，在用户认证管理上，具有以下特点： 用户绑定功能CAMS支持绑定用户名和设备IP地址、入端口号、VLAN ID、用户MAC地址、用户IP地址等信息，保证用户绑定合法性。并支持用户MAC地址和用户IP地址自学习功能，大大减少管理员的录入量。 认证区域绑定功能通过认证报文上传的认证接入设备IP地址，CAMS系统可实现认证区域绑定功能。用户上网的区域可被限制在一定范围内，增强了网络的安全性。 防代理功能针对医院用户，CAMS提供防代理功能，禁止用户使用代理上网，并支持限制用户使用的客户端，要求用户必须使用专用安全客户端，并强制自动升级，确保认证客户端的安全性。目前CAMS系统的防代理功能必须要与华为3com交换机配合实现。华为AP暂不支持防代理功能。 用户黑名单管理CAMS认证系统支持黑名单管理，支持手工加入黑名单、自动将欠费用户加入黑名单、自动将恶意登录用户加入黑名单、自动将充值失败超过阈值用户加入黑名单并提供黑名单增强功能：在被试探帐号加入黑名单的同时记录恶意试探机器的MAC地址，限制从该MAC地址的机器试探该帐号，但被试探帐号可以在其它MAC地址的机器上正常使用，保证登录用户的合法性。 用户上网全程监控CAMS认证计费系统能对医生上网的全过程进行管理，实现医生上网的实时监测。对于网络上进行非法操作的医生，具备将用户踢下线的功能，控制医生对网络的使用。2.1.4网管方案基于标准的SNMP协议实现对设备的管理，Quidview专门的无线局域网管理模块WXM可实现对WLAN所有网元的管理。网管工作站可以放在网上的任意位置，通过标准的SNMP即可实现对无线交换机的管理。无线交换机WX4400可以实现更为强大的管理包括AP的自动拓扑发现、自动升级、批量配置、分级管理、分级告警等，并可实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。而无线局域网管理软件WXM可以实现配置管理整个WLAN无线网络，其具备以下特点：1、零配置安装：接入点无需准备预设置，AP从无线控制器继承配置信息。可将无线控制器WX4400接入中心机房核心交换机中，AP2750无需事先进行任何配置，即通过接入层交换机接入有线网络，并自动注册到WX4400上，获得DHCP SERVER分配的IP地址，并自动下载配置文件正常工作，在大规模AP的项目中大量节省安装维护成本。2、防盗防入侵：敏感配置信息不在本地保存，即使设备被入侵被盗也不会丢失安全信息。实际运营中很多AP是放置在公共场所，如果密钥、SSID等安全信息在本地保存的话，一旦失窃对全网安全性造成威胁，AP2750由于其零配置安装，一旦掉电不会保存任何信息，避免入侵。3、支持灵活的拓扑结构：AP允许多种部署，从而能够直接或间接连接到管理它的无线局域网控制器。WX4400与A2750之间可以隔离任何路由器或交换机，只要共同连接进有线网络，AP2750就可以自动寻找到WX4400实现注册。4、自动设置发射功率和分配射频信道：自动设置发射功率和分配射频信道，用以优化射频单元大小和满足各国对射频信道的要求。当有个别AP故障时，WX4400会自动调大相邻AP的功率弥补信号盲区。5、基于身份的组网：根据用户名对用户权限进行区分，不同于传统的WLAN网络通过接入的有线交换机端口对用户权限进行划分，并且可以对用户的位置、带宽以及漫游等历史数据进行记录跟踪。6、提供增强的安全性和无缝漫游：通过这项基于身份的组网功能，经过改进的用户组认证接入控制、始终强制的漫游策略以及对带宽使用的监视实现了无线局域网的增强的安全性，实现了无缝的用户移动性和自由性，从而可以进行安全连接和漫游，一次认证多次接入，免去在不同AP下切换的再次认证。7、辅助网规：WXM可以进行无线局域网部署前的辅助规划和配置，通过导入建筑平面图，并自动配置容量和覆盖范围，自动考虑各种常见的射频障碍物并输出网络规划配置，并且还可以对输出的网络规划配置进行验证。2.1.5无线网络方案WLAN技术1996年就已经提出，经历一条曲直的道路，已经逐渐被市场认可了，对于无线网络，医院部基本上采用室内覆盖模式，考虑到医院的建筑结构较为特殊，WLAN技术很难穿透建筑物，同时又由于WLAN属于高频窄波，绕建筑物的能力较弱。组网方案医院的无线覆盖空间主要包括：病房、护士站、医生办公室、会议室等；一般医院病房每间的空间不是特别的大，同时病房之间不是承重墙，并且在利用原信息点（不另外布线）的情况下，建议无线的覆盖方案的原则是：以本着节约、全覆盖的原则，单边3个房间布放1个AP，部分走廊布放信息点，吸顶安装AP。此处增加无线覆盖方案（覆盖示意图或AP具体分布表格） WLAN组网关键问题解决分层网络构架构架可运营WLAN网络，除了要求AP（Access Point）支持宽带无线接入网络的覆盖特性、可运营、可管理特性外，还要求整个网络的开放、兼容、安全、可运营、可管理、可盈利。在构架WLAN公众网络一般基于网络分层的理念，即不同层面的设备承担不同的功能，以达到组合后整网的功能与业务支撑。目前WLAN网络分层模式如下： WLAN网络体系架构在实际WLAN可运营组网应用中，网络分为用户接入层、边缘汇聚层、业务控制层、业务管理层。用户接入层对应设备为AP（Access Point），主要承担与终端用户基于802.11协议的PHY/MAC层的协议对接，具体包括工作模式、无线鉴权、ESSID诊别、MAC帧插入、IAPP、节电模式、Allow Guest、MAC层访问控制、用户接入认证报文承载、动态密钥协商等等。此外还要保证承载层的高性能、高可靠性。 AP在设备的设计上支持了此类功能，可以与后台系统进行配合完成认证与计费的功能，对于复杂的NAT、路由策略等其它的高层应用不进行支持。边缘汇聚层对应设备为AC（Access Controller），主要承担WLAN网络接入网关的角色，具体可以支持对用户的合法性认证、计费的发起（Client）、用户管理（访问控制、接入带宽控制、用户的信息绑定），子网内无缝切换的布署、整网安全的布署、整网QoS的布署、子网网络设备管理等以及与业务控制层结合提供增值业务如强制Portal、即插即用、与酒店营帐系统接口等等。在电信运营商可以由BRAS或支持用户管理、认证、计费的汇聚层设备承担，AC的设备形态可以由L2/L3与CAMS进行配合使用进行完成；业务管理层主要为WLAN网络提供基于网络服务的业务，由于WLAN具有宽带网络的特性同时也具备无线网络的特性，因此，主要为将运运营增值业务而进行准备，在运营商领域中目前已成熟的宽带价值连业务、移动数据业务均可以部署其中。整网安全华为3Com的WLAN网络主要服务于公众型用户，运营者与最终用户都很担心安全问题，即用户安全，具体细分包括用户帐号密码的安全，用户上往后计算机内部数据，用户数据在网上传输的安全等。此外，WLAN作为运营网络自身的安全也是运营者必须考虑的问题。华为3Com公司WLAN解决方案可提供端到端的安全部署，能满足公众运营网络的安全要求。 针对终端用户上网认证的用户名密码的安全：采用802.1X EAP-MD5方式上网的用户，由于EAP-MD5信息本身就是密文传递，用户名、密码的安全能得到保证。采用WEB方式上网的用户，华为3Com WLAN网络支持标准的SSL/HTTP应用层加密保证用户名、密码的安全。 针对用户上网后计算机内部数据的安全：华为3Com公司WLAN网络实现了二层隔离，三层受控互访的机制保证用户计算机数据的安全，具体用户在通过认证前能接入的网络都是二层网络，认证通过后，通过网络设备的三层功能可访问所有向它开放的网络。华为WLAN网络可实现用户在二层网络内是隔离的（无线口AP支持USF以及动态加密功能隔离用户，AP上行支持UIMF功能实现到认证点网段均是二层隔离）。在用户通过认证后，还可以通过强大的ACL控制用户否是允许互访，保证用户的安全。 针对用户上网后数据在网络上传输的安全：无线接口以上的网络基本上为IP网络，用户数据在IP网络上的安全的保证，华为IP的安全部署是可以保证的，针对空中接口的安全，华为3Com AP支持以下几种安全机制： MAC地址过滤：目前支持基于MAC地址的过滤，限制具有某种类型的MAC地址特征的终端才能进入网络中； SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络； WEP加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密； 支持AES加密，AES安全机制是一种动态密钥管理机制，同时密钥生成也基于不对称密钥机制来实现的，同时密钥的管理也定期更新，具有体的时间由系统可以设定，一般情况都设定为5分钟左右，这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来，从无线空口的流量来看，基本上是不可能的； 华为3COM的无线方案中的密钥设置可能根据SSID信息与用户信息进行组合，即不同的SSID下不同的用户的密钥生成可以不一样，这样在一定程度上保证用户之间串号问题的产生，从而保护投资，以达到运营平衡。 华为3COM的无线方案提供无线入侵检测功能，AP 可以不断地扫描空域，以便对要求更高安全性的环境提供全天候保护。一旦无线网络中有非法接入点接入，AP2750将上报相应的告警给WX4400，并通过网管软件显示。频率规划与负载均衡 频率规划802.11b/802.11g使用开放的2.4GHz ISM频段，可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11b/802.11g在2.4GHz地工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外，由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。华为3Com公司针对如何进行802.11b/802.11g的频率规划作了大量的实验，实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖，并提供更高的服务带宽提高服务质量，和高带宽业务的开展。 频率规划原理图频率规划需要配合使用的功能包括：nAP支持11个信道设置nAP支持外置天线以及定向天线n针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能结合以上功能的支持，以及勘探工具，可以较好的部署AP达到频率规划的效果。华为3Com公司针对医院、无线小区、机场、酒店、高密度会议场所（APEC会议）等热点区域进行过频率规划，使用效果较好。 负载均衡华为WLAN解决方案，AP上支持标准的IAPP协议框架，通过负载均衡的部署，可实现在一个热点内用户平均分配到所部署的所有AP上，达到在一个服务区AP接入用户数何流量的平衡，为用户提供更高的服务质量。具体可部署的负载均衡策略有：1. 对所有AP设置基于用户数的负载均衡功能，AP通过对接入用户数的统计，与设定AP接入用户数量的阀值进行比较，达到阀值后，不允许新的用户接入。2. 对所有AP设置基于流量的负载均衡功能，AP通过对接入用户流量的统计，与设定AP上的流量漏桶阀值上沿比较，达到阀值后，不允许新的用户接入，少于阀值下沿，再允许新用户接入。3. 配合网络规划，设置AP群功能，在一个群内的AP通过组播报文实时通报接入用户数量，当发现AP间用户数差值大于设定阀值，接入用户多的AP将部分用户赶下网。切换与漫游 切换定义：用户在不同AP间移动，不需要重认证，业务不中断；1. AP位于同一L3/L2之下的不同物理端口下同一VLAN之中2. AP位于同一L3/L2之下的不同物理端口下不同VLAN之中3. AP位于同一Wireless Switch之下不同L3/L2之下的同一VLAN之中4. AP位于不同Wireless Switch之下不同L3/L2之下的同一VLAN之中5. AP位于不同子网下6. 支持动态加密 漫游功能漫游主要是指异地用户通过本地WLAN网络上网或者本地用户移动到异地可通过异地的WLAN网络上网。通过AAA Server支持Proxy功能进行用户判别、认证、计费与结算。此功能已经在运营商网络中已经实现并验证，效果良好，目前在行业网络中基本上没有这应用，但在华为网络中必须使用此功能，此功能要求后端系统的用户信息进行互动，采用协议达成或者数据共享进行达成，对于华为3Com公司，建议采用后端系统进行协议交互达成用户在漫游地认证通过并获得服务。 AP供电由于实际组网应用中AP设备数量较大，AP都带有一个供电模块，只需要通过AP供电模块和现有的楼层配线间的交换机，为AP实现远程供电，供电距离达100米，能够满足实际组网的要求。AP通过AP供电模块供电示意图3医院WLAN方案产品配置建议3.1 CAMS3.1.1 软件配置SWP-CAMS-WPLFM-STD功能模块-CAMS-平台(for Windows)-纯软件(CD)中文版标准（含1000用户）（不含操作系统，数据库）SWP-CAMS-WLANC-STD功能模块-CAMS-LAN接入业务组件(for Windows)-纯软件(CD)中文版标准版(含1000用户)3.1.2 硬件配置华为3Com公司CAMS建议采用HP ML350系列服务器,用户既可从华为3Com公司购买，也可自行购买。具体硬件配置需根据用户数量决定。例如：对于1000用户网络，推荐硬件配置如下：AAA服务器： HP Proliant ML350 G3/1*Xeon 2.8G CPU/1024M(2*512M) MEM/2*72GB(10K) SCSI硬盘 RAID1/642 RAID卡(128M缓存,Linux驱动软盘)/软驱-CDROM/键盘/鼠标/15显示器/3年服务。用户自助、Portal服务器：服务器-HP Proliant ML350 G3/1*Xeon 2.8G CPU/1024M(2*512M) MEM/36GB(10K) SCSI硬盘/软驱-CDROM/键盘/鼠标/15显示器/双网卡/3年服务。3.1.3 可靠性设计措施为了保证CAMS的安全，建议将CAMS放于防火墙之后，利用防火墙过滤非法报文；或者设置特殊路由，使外部机器不能直接访问CAMS。具体组网时，可以使用硬件防火墙，也可以使用软件防火墙。为实现应用和数据安全的高性价比，CAMS系统使用两台机器分别做认证服务器和用户自助服务器，如图3所示，A配置较高，B配置低些。CAMS组网示意图配置高的A机器上安装Oracle应用程序和CAMS后台程序。一台机器中，最容易损坏的是硬盘，所以，应对其硬盘加RAID措施保证安全性。配置低的B机器上安装CAMS的Web用户自助程序。如果系统使用Web认证，B机器上同时安装Portal Server。这台机器上配置了双网卡，一个网卡配置外网地址，一个配置内网地址。外网地址对用户公开，最终用户可以通过外网地址访问Web Server修改密码、查询帐单等。用户自助Web Server和Portal Server通过内网连接Oracle数据库。这样，Oracle数据库和CAMS的后台程序完全放置于内网中，对外不可见，保证了安全性。3.2 WLAN 产品根据项目的需求，我司推荐带网管功能的室内运营型接入点AP2750，同时配合无线局域网控制器WX4400/交换机WX1200对AP进行统一管理、配置。是否使用网桥及室外型AP设备根据具体项目而定。另外，配合无线局域网控制器/交换机使用的还有无线局域网交换机管理系统WXM。Wireless LAN Switch Manager是华为3Com公司推出的无线局域网交换机管理系统，主要提供增强的管理、无缝的安全性，并且易于规划各种规模的无线网络，同时还兼容了华为3Com的路由器、以太网交换机设备组网，提供对 AP、交换机和控制器的全面控制以优化网络并增强安全性。4 方案产品介绍4.1 AP2750华为3Com无线局域网管理型接入点 AP2750 加强了无线安全性，向WLAN 用户提供安全的无线局域网连接。AP2750为保证数据安全对传输进行加密并且响应来自无线局域网交换机WX1200或者无线局域网控制器 WX4400 的命令，同时完全受控于无线局域网交换机或控制器。AP2750实现对敏感数据的非本地存储，消除了AP遭受黑客攻击或盗窃时导致安全信息泄漏的弱点。AP2750利用基于标准的无线局域网交换机WX1200和控制器WX4400 集中进行简单的即插即用安装。配置信息保存在无线局域网交换机/无线局域网控制器中，即使更换接入设备，配置信息可以自动下发，无需重新配置。AP2750通过优化射频增益、分配无线信道，以达到负载平衡，甚至按需或按时扫描射频环境，无线局域网交换机与无线局域网控制器的自动网络控制功能改善了AP 的覆盖面和服务。 AP2750提供了本地流量加密，跨网络的分布式加密处理而不是依靠单一中央设备。持续的、按需的或按时的射频扫描不仅可以用于定位用户而且能够识别和隔离潜在有害的非法接入点(AP)或其他侵入者，以保证网络的安全性。无线局域网交换机和控制器与后端授权/认证/计费 (AAA) 服务器集成，控制用户和组跨越无线局域网的访问策略，当用户漫游网络时提供安全的业务连续性、完整性。 AP2750产品视图产品特性： 高速无线性能：支持最高速率为54Mbps的802.11a 或802.11b/g，802.11b/g用户的最远距离为100米，802.11a 用户的最远距离为 50 米。 双模可选：802.11a 或 b/g双模无线工作频段的配置都是由无线局域网交换机进行配置选择。 POE供电：支持通过 802.3af 兼容的PoE设备供电。 加密：提供了强大的数据安全保证，支持WEP、TKIP 和 AES加密。 支持虚拟专用组（Virtual Private Group）：管理人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离。 射频扫描：能发现非法接入点、Ad-Hoc 用户或其它射频干扰，并上报相应的告警。 防盗防入侵：敏感配置信息不在本地保存，即使设备被入侵被盗也不会丢失安全信息。 零配置安装：接入点无需准备预设置，更换的 AP 从无线局域网交换机或控制器继承配置信息。 支持灵活的拓扑结构：AP允许多种部署，从而能够直接或间接连接到管理它的无线局域网交换机或控制器。 远程管理：信道编号、功率等级、SSID 和安全设置都由无线局域网交换机或控制器处理，增强了安全性。 自动设置发射功率和分配射频信道：自动设置发射功率和分配射频信道，用以优化射频单元大小和满足各国对射频信道的要求。产品规格：产品属性企业级无线局域网接入点系统要求无线局域网交换机 WX1200 或无线局域网控制器 WX4400；无线局域网交换机管理系统。端口10BASE-T/100BASE-TX端口：具有自协商功能，兼容 802.3af PoE供电。对外接口RJ-45、802.11a、802.11b、802.11g、DB-9。数据速率802.11g/a： 54、48、36、24、18、12、9、6 Mbps；802.11b： 11、9、5.5、2、1 Mbps。频段802.11a：5 GHz；802.11b/g：2.4 GHz。调制技术DSSS（直接序列扩频）；OFDM（正交频分复用）。媒体访问协议CSMA/CA操作范围802.11a：最远收发距离为 50 米；802.11b/g：最远收发距离为 100 米。天线AP2750 附带的两个双频段 2.4-2.48/5.15-5.85 GHz 和 2 dBi 全向天线；多种可选外置天线。发射功率设置802.11a：6 Mbps：+20 dBm9 Mbps：+20 dBm12 Mbps：+20 dBm18 Mbps：+20 dBm24 Mbps：+19 dBm36 Mbps：+19 dBm48 Mbps：+16 dBm54 Mbps：+16 dBm802.11b/g：1-11 Mbps： +19 dBm12 Mbps： +19 dBm18 Mbps： +19 dBm24 Mbps： +19 dBm36 Mbps： +19 dBm48 Mbps： +19 dBm54 Mbps： +19 dBm接收灵敏度802.11a：6 Mbps：-87 dBm9 Mbps：-86 dBm12 Mbps：-84 dBm18 Mbps：-82 dBm24 Mbps：-79 dBm36 Mbps：-75 dBm48 Mbps：-72 dBm54 Mbps：-71 dBm802.11b/g:1 Mbps：-95 dBm2 Mbps：-92 dBm5.5 Mbps：-91dBm6 Mbps：-89 dBm9 Mbps：-88 dBm 11 Mbps：-88 dBm 12 Mbps：-86 dBm18 Mbps：-84 dBm24 Mbps：-81 dBm36 Mbps：-77 dBm48 Mbps：-73 dBm54 Mbps：-72 dBm耗电量最大为 6 W。安全性40/104 位 WEP、WPA TKIP 和 WPA2 128 位 AES 加密；支持多SSID；无线局域网交换机和控制器支持IEEE 802.1X 网络登录或 802.1X RADIUS 认证、访问控制列表 （ACL）、VLAN 和 VPN。管理通过本地控制台或通过 SSL 或 HTTPS集中管理 Web 浏览器；通过本地控制台或通过 SSH v2 或 Telnet 远程管理的命令行界面。指示灯Power、10/100 Mbps Link status、802.11a、11b 或 11g Activity遵循标准IEEE 802.11a、IEEE 802.11b、IEEE 802.11g、IEEE 802.3、 IEEE 802.3af、IEEE 802.1X、IEEE 802.11i、WEP、WPA、AES、Wi-Fi认证。国际认证安全性：UL 60950 2000 +ZB &ZC 认证、 EN60950 1999、 CSA 22.2 60950 第3 版； NOM-119 SCFI；AS/NZS 60950 2000；EMC/EMI：EN55022 Class A、FCC 15 Subpart B Class A、EN 60111 3-2、ICES-003 Class A、VCCI Class A、CNS 13438 Class A、EN55024。尺度和重量高度：26.7 厘米；宽度：8.3 厘米；厚度：3.2 厘米；重量：200 克。环境范围运行温度：-10 至 40C ；非运行温度：-40 至 80C ；湿度：5 至 95% 不结露。订购信息：名称产品描述备注3CRWX275075A华为3Com无线局域网管理型接入点 AP2750 4必选（需要PoE交换机）无线局域网控制器和交换机3CRWX440095A华为3Com 无线局域网控制器 WX4400 1必选（与WX1200任选其一）3CWX4400L24A华为3Com无线局域网控制器 WX4400 24 MAP 升级许可证 2可选3CWX4400RPSA华为3Com无线局域网控制器 WX4400 备用电源WX4400选配GBIC-SX-MM850-A光模块-GBIC-GE-多模模块-(850nm,0.55km,SC)WX4400选配GBIC-LX-SM1310-A光模块-GBIC-GE-单模模块-(1310nm,10km,SC)WX4400选配3CRWX120695A华为3Com无线局域网交换机 WX1200 1必选（与WX4400任选其一）3CWXM10A华为3Com Wireless LAN Switch Manager 1可选（最多支持10台无线 控制器或交换机）3CWXMUPA华为3Com Wireless LAN Switch Manager 无限升级许可证3可选PoE交换机S5624P-PWR华为3Com S5624 PoE交换机可选S5648P-PWR华为3Com S5648 PoE交换机可选S3928P-PWR-EI华为3Com S3928 PoE交换机可选S3952P-PWR-EI华为3Com S3952 PoE交换机可选网卡（适配器）WCB300g华为3Com Aolynk WCB300g 网卡可选WUB300g华为3Com Aolynk WUB300g USB适配器可选WCB500ag华为3Com Aolynk WCB500ag网卡可选3CRPAG175-AP华为3Com 11abg 无线 PC 卡带XJACK 天线可选3CRSHPW196-AP华为3Com 11M 无线局域网办公室连接 PC 卡 带XJACK 天线可选3CRWE154A72华为3Com办公室连接无线 11abg PC 卡可选注释 1：软件升级仅适用于拥有华为 3Com 维护协议的客户。 注释 2：每个 WX4400 无线控制器可以购买最多四个 24-MAP 许可证，从而每个 WX4400 无线控制器支持的 MAP 总数达 120个。注释 3：升级 3CWXM10A 以支持任意多个无线交换机或控制器。 注释 4：仅与华为3Com 无线 LAN 交换机 WX1200 或华为3Com 无线 LAN 控制器 WX4400 配合使用。4.2 无线局域网控制器WX4400/交换机WX1200华为3Com公司的无线局域网控制器WX4400与无线局域网交换机WX1200是WLAN领域发展过程的必然产品，随着用户的WLAN网络规模越来越大，给AP管理、无线用户的控制、无线业务的连续运营都带来的一定的问题，华为3Com公司鉴于此推出性价比最优的无线局域网交换机。无线环境的集中式可视化、管理和控制的功能将高安全性、多局域网的WLAN无线网络部署工作简化；通过软件Wireless LAN Switch Manager管理无线局域网控制器和交换机来控制 MAP 配置并优化射频 (RF) 覆盖和性能，同时实现集群管理，从而节省单独配置每个设备的耗时。增强的无缝安全性和移动性控制：由于无线客户端是移动的，因此，华为3Com 使用创新的基于身份的组网来提供网络服务。这种方法基于用户身份而非端口或设备。群组与移动域中的多个控制器和交换机共享用户数据库，以便跨越整个网络（包括远端局）实现移动性和安全性。当用户漫游网络时，通过这种 WLAN 范围内的信息交换，以实现在网络范围内执行一致的访问和安全策略。用户位置、安全性以及访问详细信息迅速地在交换机或控制器之间传输，而不再依靠连接，这可在保持无缝安全性和会话完整性的情况下快速漫游，而无需再次认证，在保持会话完整性的情况下快速漫游还可与 Wi-Fi 语音电话进行交互。无线交换解决方案根据华为3Com 的加强无线安全性功能建立，以增强对网络的保护。华为3Com 的现有无线安全性基础包括与 WPA 和 802.1X 认证结合的 AES、TKIP 以及 WEP 加密，而现在的方案通过集中式安全管理显著增强了无线安全性。在移动域内进行基于用户的信息交换增加了一个全新的控制级别，用于控制用户和组对网络资源的访问权。此外，当用户漫游时，在 WLAN 控制器与交换机之间共享用户特定的安全策略将能够在整个 WLAN 范围内一致地控制用户属性和组属性。可以在任何现有的 2 层或 3 层 LAN 拓扑上部署华为3Com 的通用解决方案，而无需重新配置主干或硬件。无线局域网控制器或交换机以及随路 MAP 可以位于网络中的任何位置（通过 2 层/3 层设备隔开），并可作为集成的基础设施执行操作，从而易于按照业务需求的指示进行调整或更改。WX1200 最多支持 12 个 MAP，而 WX4400 初始配置可支持 24 个 MAP，并且可以在每次递增 24 个 MAP 的基础上扩展到最多支持 120 个 MAP，从而具有“按需购买，渐进扩展”的灵活性。WX4400 和 WX1200 可以在移动域内搭配并配合使用，以管理和控制数以千计的 MAP，从而获得无可比拟的扩展性。目前，华为3Com 无线局域网控制器和交换机已经支持未来的无线 LAN 功能，例如无线 IP 电话 (VoIP)，并且可下载的升级软件将使现有网络与正在开发的标准版本保持同步。无线局域网控制器WX4400/无线局域网交换机WX1200产品特性： 移动域：当用户漫游时这些组共享用户信息和授权，从而跨越整个无线网络支持移动性并增强安全性。 拓扑无关性：即使是在分布式网络中，无线局域网控制器、交