医疗行业无线网络系统解决方案.doc

CHISC.NET - 全国医疗信息化联盟 ,为全国医疗信息化人士提供最强大的资源共享平台XXX 医院无线网络系统TRAPEZE解决方案建议书Trapeze Networks Inc.2007年8月目 录一、XXX医院无线网络通信系统建设需求41.1XXX简介41.2XXX医院无线网络应用需求41.3无线网络通信系统的应用支撑需求6二、XXX 医院无线网络系统设计原则72.0满足医疗中心应用需求72.0.1利用灵活便捷的无线接入方式补充有线网络的接入72.0.2通过无线网络系统承载VoIP语音电话应用82.0.3支撑医疗网络信息化管理系统92.0.4支撑医疗视频信息传输102.1遵循标准102.2成熟的无线射频技术112.3传输安全性能可靠112.4易管理易维护122.5支持内部语音通信系统13三、TRAPEZE方案的技术特点以及在医疗中心中的适用性阐述133.1先进而成熟的无线局域网交换架构133.1.1集中式的无线网络管理模式133.1.2无线射频的智能管理143.2具有安全保障的网络平台153.2.1无线用户网络接入的安全管理163.2.2无线网络的安全防护和监控163.2.3无线局域网的认证与加密173.2.4防御不可信和不良客户端设备的侵扰173.2.5无线射频终端的定位183.3支撑多业务的网络应用193.3.1无线网络的QoS实施与保障策略193.3.2网络系统的自愈功能203.3.3无线接入的负载均衡203.3.3VoWLAN无线语音通信系统213.4智能无线交换223.5. 统一的室内、室外 WLAN243.6. 无限的 WLAN 运行周期管理25四、医疗中心无线网络通信系统的设计与实施方案274.1整体系统架构设计274.1.1设计原则274.1.2拓扑结构274.1.3设备选型和配置284.1.4核心交换机连接284.1.5接入层AP部署294.1.6用户接入策略294.2认证与加密方案304.2.1设备认证方式建议304.2.2数据传输加密314.3网络管理措施314.3.1性能管理314.3.2故障管理31一、XXX医院无线网络通信系统建设需求1.1XXX简介1.2XXX医院无线网络应用需求在医疗环境中安装无线技术，主要是出于两个重要的原因。首先是电子病历系统EMR的部署。医疗中心希望借助无线网络，让医师、护士和其他临床医生可以尽可能有效地与患者交流，从而获得更加高效的床边护理。 医护人员可以通过在医院的手推车上安装的计算机，无线接入EMR。临床医生可以推着一辆手推车探视患者，并从患者的床边，迅速地获取患者的住院信息、病史、化验结果和其他患者数据。此外，临床医生还可以在转移到下一张病床之前，通过该应用更新患者的病历、预约化验和开处方。所有信息都将通过无线网络，记录在医院的主数据库中。支持无线的EMR为医护人员提供的移动能力非常重要，因为它不仅可以让医护人员更加方便和有效地进行床边探视，还可以从患者的角度提高探视的质量，这是因为医生在探视的过程中始终都可以待在患者的床边。 医疗中心建立无线网络的第二个重要原因是网络布线的局限性。安装网线几乎总是需要采取钻墙和穿越天花板等措施，这些措施不仅会干扰办公场所的正常工作，而且在病房中具有很高的危险性。传统布线所带来的大量灰尘和其它颗粒物质。这对于HIV或者化疗病房的患者非常有害，因为患者非常容易受到感染。无线系统部署非常快捷、灵活，可以减少甚至避免所有这些环境施工的危险。 医疗中心决定实施无线网络，并将其安装在急救医院和专科医院中。在安装完成以后，医疗中心的医院最终将拥有自己的无线局域网，手推车和某些特定桌面上的计算机将配备相应的PC客户端适配器，用来组成完美的无线网络。 纵观整个无线网络的建设项目，网络工程师会认为无线系统因为本身的技术原因，导致医院系统的信息化会面临信息安全的问题，尤其是数据传输的安全问题。目前的无线局域网使用的是基于WPA的802.1x技术，这项技术要求用户使用验证密钥来访问无线局域网。这项技术应该是比较安全的。医生进入系统，需要自己的密码和名字，并且同级医生之间的信息不能共享，只有职务高一级的医生才可以进入下一级医生的系统里。这样做除了安全性上的考虑外，还有监督的作用。基于用户的无线访问策略，为用户无线漫游提供方便。 很多医院的信息网络工程师还会有另外一个顾虑，即无线设备是否会影响医院设备的使用。关于无线设备是否会影响医院设备的使用问题，答案是否定的。理由是，无线站点的发射功率其实非常小，不会超过100MW（毫瓦），而手机的发射功率则在几瓦上，所以限制手机在医院的使用并不能说明无线局域网也会对医疗设备产生影响。并且，无线网络WiFi技术工作在ISM频段，ISM频段专为医疗和工业技术领域预留的无线频段，在医院中消毒常用到微波炉，WiFi技术就工作在2.4G点上，而无线设备功率是毫瓦级。以前很多医疗中心工作是基于有线网络的，非移动式的工作站信息系统对查房没有直接的帮助。医生到病房仍然要拿纸张、病例虽然这些病例可能是计算机打印出来的但查询仍然不方便实际上还是传统的查询模式。对护士来说也存在着同样的问题，护士的工作最要到病床前测体温、量血压进行生命体征的数据采集然后再将记录在纸上的数据输送到计算机里，反而增加了工作的复杂度。而且过去服务过程也没有记录，一般是转抄医嘱。实际上这种信息系统和病房的管理模式并没有实现信息衔接，等于从医生、护士办公室到病人床前这一段“路程”没有实现数字化。而无线系统解决了这些问题。在无线技术得到广泛应用之前条形码技术的应用，为“以患者为中心”的口号提供了技术支持。医疗中心从挂号的起始环节开始就取消了病例本，而换成带有条形码的病例袋。这是就医者在医疗中心治疗的“通行证”。通过扫描呼叫病人就诊的同时医生就可以通过医生工作站调出患者的病历资料、化验单、以及各种影像检查资料。值得一提的是数字化摄影技术大大缩短了洗印时间，患者不必花费漫长的时间等待报告单。而且影像检查的精确度也得到成倍提高，一张X 光片存储可达10 多兆，以前普通x 光片上显示不出来的微小病灶，都会以千万像素的高清晰效果呈现在医生面前。诸如DHA 、C T、CR 、B超、彩超信息，可以在全院范围内实现各种设备影像的集中存储效和共享。就是做完了检查之后，门诊医生化和住院医生的影像都可以直接获取。看完医生后的处方单等也都由电脑打印出来并带有条码信息。这样在病人交费的时候只要在排号机前扫瞄一下储存一个号就可以等待被呼叫交费了此时医生所开的药物或检查项目、费用明细也都已经显示在电脑屏幕上，自然就不用排队了。在药房，以前是先交处方，再备药，等待时间很长。现在是收费完成之后配药单自动传到药房后台准备药之后再扫瞄一下，就医者就可以直接到窗口领药。药师扫描条形码核对处方，系统自动核检库存。这对于就医者来说是不用排队了，而对于药剂师来说，通过整个过程的计算机管理。药师不需要敲一下键盘，不需要按一下鼠标，避免了发药时候可能出现的错误。医疗中心在门诊建立条形码的体系，得益于门诊的各个环节紧密的整合，无线网络构建提供综合业务平台使得医疗中心信息流程非常顺畅。无论是应用条码技术还是采用了无线平台，所有应用的基础都是更全面的电子病例的有效集成为一线的医生诊治疾病提供数字化支持比如心电图监护、麻醉等，这些不光涉及到过去对病人的诊断，而且可以提供监护性的过程，而这些信息都能够从这个系统中获得。医疗中心可以为来此的就医者保存电子病历再次来到该院时无论已过多长时间，只要还保存着条形码，患者所有病理资料都可以在任意一台工作终端调出查阅，极大方便了病情的综合诊断。而从系统集成的角度来说系统要有效集成最重要的一点就是数据库一体化的结构设计，作为医疗中心要在上系统之前一定论证清楚，把需求提清楚这样系统进来之后才能有效整合。以前的医疗中心信息系统主要涉及管理和工作效率提升。并由此向业务延伸。随着医疗中心信息系统涵盖内容的不断扩大面向临床角度发展。这就又涉及到很多系统。而这些系统不是一个厂商或者是一个单位就能完成的，就必须有一个规范性规划包括各系统如何变异，如何解释等。如临床系统、信息影像系统都需要确立相应的标准。1.3无线网络通信系统的应用支撑需求无线网络通信系统为XXX 医院的日常业务应用提供支撑平台。目前被广泛采用的一些基于无线局域网技术的医疗解决方案包括下列面向患者的应用： 基本数据接入/访问互联网 电子病历访问/查看 医生处方输入和药物治疗匹配 护士呼叫系统 患者床边服务 对重要的统计数据的监控 手术实况传输 医疗影像实时传输二、XXX 医院无线网络系统设计原则2.0满足医疗中心应用需求2.0.1利用灵活便捷的无线接入方式补充有线网络的接入在早期医疗中心的弱点信息点设计当中，尽管医疗建筑中每个房间不一定需要使用电脑或者有网络接入的需求，但是为了考虑将来可能扩展的应用需求，往往在所有的房间中都一定部署电话和网络端口，这样的设计通常容易造成资源的闲置。而通过部署无线网络，在提供网络接入的同时带动了IP电话等各种应用，不仅削减有线网络信息点，提高了资源利用率，而且还可以使用移动IP电话替代传统的固定电话降低医疗中心的通信费用。这样的网络接入方式具有灵活便捷的特点，在经济上也是一种高性价比的投资。下表中给出了一个有线网络接入和无线网络接入投资的对比分析（元）：有线网络无线网络以太网交换端口数3700个370个硬件成本300200运营维护（10%每年）3020有线物理设施造价1,221,00081,400无线AP数目0370硬件成本02,500运营维护（10%每年）0250总共AP造价01017,500无线交换机数目02硬件成本0800,000运营维护（10%每年）080,000总共无线交换机造价0880,000无线物理设施造价01,897,500布线到桌面（400每根）1,480,000布线到屋顶（300每根）111,000总体费用2,701,0002189,900通过上面的表格可以很容易的看出无线网络接入方式具有一定的投资性价比。对于数以万计的医疗中心弱点信息点而言，将其中2030%的信息点利用无线网络加以补充和部分替代，无疑是合适而且可行的。2.0.2通过无线网络系统承载VoIP语音电话应用新技术要有推广和应用的价值一定是可以为实际工作中解决问题，特别是节省企业运做所花费用。VoWLAN（无线IP语音电话）也是如此，假设在无线网络上的VoIP系统可以帮助我们企业节省很大一部分通讯费用，另外在语音通讯上也比VoIP和传统电话要方便得多。（1）节省话费：VoIP能够得到推广最大的优点就是他可以节省企业大高额电话费，特别是长途话费。所以当企业建立了VoWLAN网络后也继承了VoIP的优点，所有长途通讯或者本地通讯都是通过网络解决，公司只需要支付网络使用费即可。而企业内部的语音通讯也完全可以通过网络实现，一不用购买电话交换机，二不用为电话交换机（程控交换机）的运营而向电话局申请单独的电话号码了。（2）使用方便：如果说VoWLAN节省话费的特点是继承自VoIP的话，那么使用方便则是他对VoIP功能的提升。众所周知VoWLAN是基于无线网络的，也就是说所有语音通讯都可以实现无线，语音通讯设备也从传统的类似与固定电话的VoIP电话机转变为类似于手机的VoIP手机。这样用户就可以实现拿着VoWLAN手机在企业内部任何一个地方随意通话了。这点是以前有线网络中VoIP无法实现的。 （3）新的融合通信方式：基于IP电话技术的VoWLAN系统，可以支持更多的新型增值业务，提高了投资的性价比，例如：话音与EMAIL的结合；话音与演示板结合的网络实时演示；综合话音数据以及视频的远程会议等。2.0.3支撑医疗网络信息化管理系统采用无线网络的最大优势在于无线网络的灵活性,及时性和移动性，TRAPEZE的无线网络提供了54Mbps高速的传输速率，兼容802.11G, 802.11b无线设备，具有丰富的用户安全认证/数据加密传输的功能.，配合医院的医疗管理系统（HIS），可为整个医院提供了高速的54M网络信号的无隙覆盖，使整个医院处于整体的电脑网络系统管理之下，加快医生对病人病况信息的查询，认识和处理。无论是对医生、护士还是工作人员，整个工作的进程都将是可控的： 利用无线网络，医生和护士在病房，诊室，急救室，手术时可以不必带着沉重的病例资料，使用笔记本电脑就可以实时的记录、查询和传递信息。对于特级护理的病人，可通过无线网络随时查看患者监控数据和病情状况。 利用无线网络，药剂师将适时的根据医生制定的药剂配方，正确的配置药品剂量。可以避免看不清楚或看错医生的处方而造成不必要的医疗差错。 对于突发性情况，比如接到具有特殊情况的病人，专家可以不必寻找电脑去查找资料来帮助诊断，可以通过无线网络立即上网查询，没有一分钟的延误。 在查房的过程中，医生或者护士可以通过笔记本电脑将患者的各项数据输入计算机，可以通过计算机随时查询患者的即往病史、过敏史等关键资料，可以通过计算机核对处方药品及处置方式是否正确等等。 针对临床教学过程中，专家或医生可以通过笔记本电脑的无线接入，调取特殊患者的相关医学案例，结合现场患者情况，为学生提供生动，多样的教学模式。 在病房内，白领人士在医护人员允许的身体情况下，在适当的时间内，通过自己的手提式电脑通过无线进行公司事务的远程处理。也可通过MSN或QQ回复朋友的问候。真正达到住院办公两不误。2.0.4支撑医疗视频信息传输在支持医疗视频信息传输主要有两个方面：l 临床手术实况的传输，大多数医院已经建成的手术室都是无菌的环境，如果要求将手术的实况传输到手术室外势必会进行重新布线，从而会破坏手术室的环境，这种做法不可行。因此，可以考虑在手术室外部署AP，在手术室架设一台无线摄象机，这样的话手术的实况就可以通过无线网络传输到手术室外。专家和学者通过这种方式就可以实时的观看、指导手术现场。在临床教学时，也可以通过这种方式，能够实现结合现场患者情况，为学生提供生动，多样的教学模式。l 医疗影像传输，目前大多数医疗设备例如：B超、窥镜系统都能提供将模拟信号转为数字信号，并且提供网络接口。通过无线网络能够将医疗影像传输到远程的计算机上。通过这种方式能够整合医疗院所院内检查仪器， 使医疗影像检查结果能透过无线网络快速传输，提升工作流程效率以及医疗照护品质。Trapeze的产品线中目前已经有支持802.11n的AP，其目前支持传输速率能够达到大约300Mbps/秒，因此当前医疗影像信息是能够通过无线网络传递的。而在802.11b/g标准上传输比较大的医疗影像信息是比较困难的。 2.1遵循标准802.11协议族标准以其使用公共频点、物理层调制解调技术先进等技术特性从问世以来就受到业界的广泛关注，其中自1999年IEEE制定了802.11b之后相继标准化的802.11a和802.11g技术近年来更是在产品上不断推陈出新，与蓝牙、红外等技术产品共同分享了统治室内近距离无线传输的应用市场。与很多私有无线传输协议所不同的是，由IEEE制定的802.11系列国际标准协议工作在国际免收费的ISM无线频段，同时在物理/链路层技术上都具有公开的标准可以遵循。这样的国际标准使得设备厂商在追随标准的同时，保证了同一系统不同设备之间的兼容性，不但为整体项目/系统作了很好的投资保护，而且在将来标准演进的时候，更容易进行相关的升级。近年来，由于大型医疗器械设备电子频谱干扰的相关问题，以802.11系列产品为主体的无线网络系统，逐渐占据了医疗环境中多媒体通信的解决方案市场。而同时在大型医疗中心这样一个项目中严格遵循已有的国际标准无论从技术成熟度还是从投资保护的角度来考虑都是十分必要的。今年IEEE已经提出了802.11pre-N的标准，明年会正式推出802.11n标准，这样，在无线网络上数据传输带宽会越来越大。2.2成熟的无线射频技术无线网络与有线网络最大的不同来自于传输媒介，无所不在难以固定的无线射频使得数据传输的性能严重的依赖着对于传输媒介的控制和调整。集中式控制架构的无线交换机+AP的解决方案，因为其无线交换机上实时收集着来自所有AP的无线信号信息并且进行统计处理，从而可以通过对于周围无线环境的分析判断，来集中调控所管理着的AP无线属性，达到网络性能的优化效果。对于一个可管理、可运行的无线网络系统而言，其无线射频需要具有以下特性： 可以通过自动调节AP发射功率而覆盖故障AP的信号漏洞区； 支持实现自动侦测信号覆盖； 实时动态分配AP工作的频点和发射功率； 支持定位无线射频终端的物理位置。医疗中心由于应用场景比较特殊，应用环境可能包括病房、医疗室、会议室、急救室等多种室内条件。在这样复杂的部署环境之下，采用人工配置和干预无线射频参数的方式不仅效率低而且容易达不到效果。具有内置智能无线射频调控的网络系统才是解决问题的最好方案。2.3传输安全性能可靠无线传输媒介的非受控物理特性使得网络的安全防护措施尤为重要，在医疗中心网络通信系统这样一个专用的系统中，所传输的数据和控制信息都是需要受到严格保护，防止未授权用户进行随意窃取和监听。传统的无线网络组网模式当中，AP可以随意部署在任意一个有线端点之上，通过这样一根无形的网络链路，所有的用户不管是合法还是恶意用户都能够轻而易举的进入网络。更有甚者，由于AP价格便宜，非法AP的接入防不胜防。在医院这样一个系统当中，为了防范信息被非法AP所泄漏，所部署的无线网络本身也需要具有侦测/识别/抑制非法AP接入的功能。同时，医疗中心接入用户和设备的广泛性，要求网络本身能够基于用户身份去做相应的权限和策略控制。为了在网络接入层面的认证和加密严格遵循国际上的标准，医疗环境中可以考虑的认证方式包括： 用于设备接入的MAC/WEP认证； 普通用户接入网络使用的WEB认证方式； 高级应用、高端用户认证的802.1X认证方式。在设备接入网络的应用当中，由于移动设备目前支持的加密方式受到硬件本身的限制和制约，所以采用的加密方式多为静态或者动态的WEP；而通过WEB认证接入进入网络的用户，也可以采用同样的WEP加密来保护信息的私密性； WPA、WPA2中的TKIP和AES在无线网络加密手段中的是最安全的，一般来说，由于配置的复杂程度以及推广部署的问题，只有高端的应用和特定的用户群体才会去享受这种安全策略。2.4易管理易维护无线网络的可管理、可维护性是网络能否健康运行的重要保障。一个之上承载着重要应用，时时刻刻传输着关键数据的网络系统，如何有效、高效的对之进行管理和维护，是所有网络管理人员都必须面对的难题。无线网络物理特性上的易受干扰特性，使得其更加依赖于网络的自愈功能、负载均衡能力、以及网络的冗余备份设计策略。一个良好的无线网络能够通过提供这些功能来辅助网络管理。2.5支持内部语音通信系统可以预见随着VoIP技术的成熟与普及，基于SIP的Wi-Fi电话将迅速变为XXX 医院领导之间话音联络的主流。Wi-Fi电话除了可在XXX 医院、医疗中心楼以及办公室之间等不同AP之间漫游外，用户亦可在其它有Internet连接的地方如酒店，住宅等使用，这是一般办公室无线电话（传统的电话交换机）所不能做到的。简单地说，用户可在有宽带接入的地方继续使用办公室的电话号码，不管是国内或国外。对于一些经常出差的用户基于无线网络技术的VoIP解决方案会带来极大的方便，亦可节省长途电话费。很多手机厂家已开始推出双模制式的手机(GSM/CDMA + Wi-Fi)，用户很快就可以漫游于手机移动网和无线局域网之间。三、TRAPEZE方案的技术特点以及在医疗中心中的适用性阐述3.1先进而成熟的无线局域网交换架构3.1.1集中式的无线网络管理模式一家普通的医院，从门诊部到住院部，要实施无逢的无线网络覆盖，至少需要上百个甚至几百个AP无线设备，管理和维护如此大规模的无线局域网是一件很头痛和花时间的事情。从射频信号的覆盖面，用户认证，以及接入安全等，都需要低成本的解决方案。传统无线局域网的管理和维护是基于每一个单独的AP进行，其大量的管理工作就是要逐一地对每个AP进行同样的设置和更改动作，即使是一个很小的改动，也要将全部AP修改一次。如果AP数量不断增多时，维护量变得非常庞大和烦琐。再者，无线局域网本应是一个整体的系统，AP之间需要互相协调工作，单独改变一个AP参数会引起AP之间的无线电波干扰、用户漫游重认证和授权等问题。有见及此，TRAPEZE公司推出强大的具有集中式管理的瘦AP无线交换机架构，该无线架构具有简单而强大的无线局域网集中式管理功能，AP本身并不存放任何的配置文件，AP的配置是从无线交换机上获取的，通过无线交换机管理模式就可以统一管理整个无线网络的AP。网管人员只需简单地配置无线交换机，即可实现开通、管理和维护所有AP设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。无论多么庞大的医疗网络，TRAPEZE的先进架构都可以让管理者在瞬间内完成所有AP的修改和自动协调动作。例如，在医院里共部署了300个分布在各科室各楼层的无线AP，出于安全性的需要，每三个月修改一次WEP加密密钥，如果用传统方法，只能逐一对每个AP进行修改，估计需时几天，而用TRAPEZE的集中式统一管理架构，只需几秒钟就完成了，效率是从前的几百倍。再者，对于超大型无线网络（几千个AP数量级以上的网络），如果没有集中式的统一配置管理，是无法想象的。自从有了集中式统一管理的无线架构后，现今越来越多的医疗机构开始逐步实施“移动边缘”战略，因为不需再担心因规模问题导致额外的管理时间和成本。3.1.2无线射频的智能管理传统无线局域网射频管理是依靠工程师手动配置的，这种固定式，静态的管理手段并不灵活，有很大缺陷，尤其不能适应大规模的无线网部署及动态复杂多变的无线环境。因此，我们需要更智能化的动态射频管理。TRAPEZE的无线架构是基于无线交换机的集中式统一管理系统，而无线交换机正好是全局AP的中心和沟通桥梁。AP与AP之间的射频信息通过无线交换机汇总后，通过RF智能控管，便可以很方便地自动调节线上所有TRAPEZE AP的电波特性，而无需逐一设置，这是传统AP方式无法做到的。 启动了Auto-Tuning后，AP和AP之间便会自动互传相关射频的信息，然后计算得出最佳的通讯频率和发射功率，直到AP之间达到了一个最优化的无线电波运行环境。而且，这种射频优化过程是动态的，持续的，对于医疗行业这个复杂而多变的室内环境，经常会受到各类无线电波干扰，拥有动态的射频管理是很必要的。智能化的射频管理原理及主要过程如下：当在TRAPEZE无线交换机内启动RF AUTO-TUNING这功能，于是无线网上所有的TRAPEZE AP都会在设定的时间内自行扫描其它的无线频道。所谓电波扫描，是指TRAPEZE AP 从一个电波频道跳到另一频道时，如Ch 1 到 Ch 2 到 Ch 3.，由于扫描的速度非常快，所以对于连线的无线用户（指连接到AP上在同一频率上的无线终端）传输过程是不会受到影响。当AP停留在一个频道时，它会把在这频道上收到的无线电波信息转送回TRAPEZE无线交换机。这样TRAPEZE无线交换机就对整个无线网上的整体无线电波情况有一定了解和记录，并通过优化算法，计算得出每个AP最佳的无线频率和发射功率。当某一覆盖范围内的电波改变或出现干扰时，TRAPEZE无线交换机就会把所获取的无线电波资料做分析，以确定是否需要调整这范围内AP的无线电波。3.2具有安全保障的网络平台在传统的无线局域网解决方案中，为保障网络的安全，许多客户把所有无线流量拒之于防火墙（从DMZ区接入）之外，用户不得不绕道进入单位网络。从安全性方面看，这是个好方法，但却使网络设计达不到最优状态而且导致性能劣化，因为 WAN 级别的防火墙突然之间要被迫应付许许多多以无线局域网速度访问的接入点。这种技术由于“统一尺码”的访问控制方法而不够灵活，因为它赋予所有无线用户相同的网络权限。如果不采用上述的解决方案，而是将无线系统直接连接到楼层交换机，这样用户连接至AP以后，所有的访问都将无从控制，对客户的网络安全更是极大的威胁。在医院园区网的环境中，由于来往的人员多，流动性很大，如果只是靠内网和外网的隔离，不能很好的提供服务给不同身份的用户。假设医生需要查询病人的资料而使用随身携带的PDA，如果只是简单的在内网中部署WLAN（无线局域网），病人家属和访客很容易通过自己的PDA和笔记本电脑登陆到医院的内网，造成医院网络的安全漏洞。如果部署医院全范围内的WLAN，传统的无线局域网面临无缝漫游和用户管理的难题。 而TRAPEZE无线系统的安全管理是将访问控制、安全认证、防病毒、无线入侵监测以及RF 电磁波管理等多项安全功能汇聚到TRAPEZE无线交换机上来完成的，解决了传统的无线网对安全的分散管理（AP、AC）和能力，给用户带来的安全感，摆脱了对有线网安全的依赖性。3.2.1无线用户网络接入的安全管理由于无线客户端是移动的，因此，Trapeze Network 使用创新的基于身份的组网来提供网络服务。这种方法基于用户身份而非端口或设备。群组与移动域(Mobility Domain)中的多个交换机共享用户数据库，以便跨越整个网络（包括远端局）实现移动性和安全性。当用户漫游网络时，通过这种无线网络范围内的信息交换，以实现在网络范围内执行一致的访问和安全策略。用户位置、安全性以及访问详细信息迅速地在交换机或控制器之间传输，而不再依靠连接，这可在保持无缝安全性和会话完整性的情况下快速漫游，而无需再次认证，在保持会话完整性的情况下快速漫游还可与 Wi-Fi 语音电话进行交互。无线交换解决方案根据Trapeze Network 的加强无线安全性功能建立，以增强对网络的保护。Trapeze Network 的现有无线安全性基础包括与 WPA 和 802.1X 认证结合的 AES、TKIP 以及 WEP 加密，而现在的方案通过集中式安全管理显著增强了无线安全性。在移动域(Mobility Domain)内进行基于用户的信息交换增加了一个全新的控制级别，用于控制用户和组对网络资源的访问权。此外，当用户漫游时，在无线交换机之间共享用户特定的安全策略将能够在整个无线网络范围内一致地控制用户属性和组属性。3.2.2无线网络的安全防护和监控Trapeze 卓思 已和无线入侵防护系统 (IPS) 的先驱和领导者 AirDefense建立了合作伙伴关系，以最低的拥有成本共同提供业内唯一的完全集成的 IPS。 集成的配置和管理 与独立部署的 IPS 相比，极大地优化了添加、移动和变更之类的任务，配置工作减少了 50%。网络管理员可以在一个控制台上监控 WLAN 运转情况和警报。 NIAP 公共标准认证 AirDefense 是唯一一家通过了 NIAP 公共标准认证（美国国防部要求）的无线 IPS 供应商。 360o 全方位防御 230+ 威胁 Trapeze/AirDefense 解决方案可抵御非法设备、拒绝服务攻击、欺骗合法热点的“Evil Twins”、配置不当的计算机和许多其他威胁。 24/7 不间断监控 时间片监控会给威胁留下网络漏洞，Trapeze/AirDefense 解决方案会连续不断监控无线频道，以防任何潜在威胁。 全面的取证分析 超长期取证数据库让人们能够更深入地了解试图的攻击、有助于进行调查和安全规划以及防御未来的攻击。 通用硬件 Trapeze Mobility Point 接入点和 AirDefense 传感器利用完全相同的硬件（即一个用于安装、存储、维护和操作的组件），因此减轻了 IT 负担，降低了成本。 动态威胁响应 为进行快速反击，可以快速将接入点转换成传感器，之后又将其转换回接入点服务，这就将所需的专用传感器数减少了 50%TRAPEZE 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当TRAPEZE 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。3.2.3无线局域网的认证与加密通过使用强大的身份验证和加密功能，Trapeze 智能无线网可防止滥用和窃听，并可将多个非公开用户组之间的通信隔离开。TrapezeMobility Point 接入点中实施的分布式加密算法可确保安全策略可以升级。 基于 802.1X 的身份验证 最安全的企业级身份验证方案 AES CCMP 加密 业内最强有力的加密算法 Wi-Fi 联盟 WPA2 最高级别的无线安全认证 全面的访客访问控制措施，可保障公司网络和资源的安全3.2.4防御不可信和不良客户端设备的侵扰Trapeze 智能无线网通过检查是否装有最新的安全修补程序和 Service Pack、防火墙、防病毒软件以及防间谍软件，来防止配置不当或已感染的设备访问网络。端点保障功能包括： 可信网络连接支持 作为可信赖计算联盟 (TCG) 的积极参与者，Trapeze 卓思 支持 TCG 的可信网络连接 (TNC)，这个行业标准方法旨在保证访问控制和端点的完整性。 Symantec On-Demand Endpoint Protection Trapeze 已在 Trapeze Mobility Exchange 交换机中内置了 Symantec 公司On-Demand Protection 代理。该安全代理在允许端点访问网络之前先查看其是否符合公司的安全策略。 Microsoft Network Access Protection (NAP) 支持 Trapeze是 NAP 解决方案的合作伙伴。Trapeze Mobility System 与 MicrosoftNAP 基础结构一起合作，共同确保端点的完整性。 支持端点补救服务 包括隔离和转向到补救服务器。3.2.5无线射频终端的定位实时跟踪并定位贵重资产是医疗行业必不可少的要求，因为在这些行业，延误意味着高昂的成本，甚至会威胁生命。通过与基于 Wi-Fi 的定位系统方面的行业领导者们合作，Trapeze 的智能无线网可以最低的拥有成本提供可扩展性最大、基于 WLAN 的集成式实时定位解决方案。智能无线网体系结构确保了应用程序的可扩展性智能无线网提供业内可扩展性最大的位置跟踪服务，让组织机构可以在整个企业范围内部署，而不用担心会削减其他应用程序的性能或要牺牲未来的 Voice over Wi-Fi 部署规模。与其他基于 Wi-Fi 的定位解决方案不同，Trapeze可提供可靠的实时定位数据，却不会给 WLAN 控制器造成额外的负担，一切都可通过智能无线网的智能交换体系结构来完成，这个交换体系结构允许网络管理员通过分布式交换来优化位置的应用程序的性能。Trapeze 已和多家位置服务技术领导者（包括 Newbury Networks、PanGo、AeroScout 和 ekahau）建立了合作伙伴关系，可确保完整的位置跟踪佩套环境。除了支持快速部署资产管理、工作流、资源规划和网络管理应用程序，Trapeze 卓思 解决方案还包括有用的即用型位置跟踪工具，以及用于集成的 API。我们的合作伙伴还提供其他现成的、以企业为中心的位置跟踪应用程序。Trapeze 解决方案支持任何 Wi-Fi 客户端，以及任何波段上的调频或信标“标志”。不需要任何特殊的客户终端软件或代理。快速响应时间和定位报告的精确度是部署实时定位服务中的关键因素。许多任务关键的定位应用程序都要求快速准确地将位置精确到几米内。智能无线网基于位置的服务能够准确地检测并监控整个企业内的数千台设备的位置，同时还能提供业内最高的整体性能。通过使用现有的 WLAN 基础结构来支持位置服务，客户可以比部署独立的定位系统低得多的成本实现相同的功能。事实证明，Trapeze 智能无线网的拥有成本低于所有其他 WLAN 的拥有成本，客户可以轻松地利用其 WLAN 基础结构来实现目前成本最高效的定位解决方案。3.3支撑多业务的网络应用3.3.1无线网络的QoS实施与保障策略TRAPEZE的AP所使用的硬件支持无线多媒体扩展（WME）的队列，同时可以将这些射频的队列映射到IP的QoS机制如DSCP和802.1来保证无线的应用可以在有线的网络上获得相应的优先级当前我国医疗行业的通信系统正面临着升级换代的重大转折点。新环境下医院对于通信的需求，已经不能仅仅满足于以往的传统电话、上网功能；除了在医院内部搭建高效、通畅、低廉的通信网络外，还应该包括向病人提供便捷、先进的通信业务和多媒体信息服务等新内容，以便改善医院就医条件、病人就医感受，并为医院创造新的业务模式，提高工作效率。融合语音数据、实现多媒体协同、室内外无线覆盖、多种终端及应用集成这些当前最时髦的“融合通信”的相关理念，已经开始叩响部分医院的大门，为医疗行业的信息化吹进一缕清新的风。当所有的数据、语音和图像的应用共同运行在医院的无线网络环境中时，TRAPEZE的无线解决方案可以根据医院网络应用的实际需要保证不同重要性的应用具有不同的优先级，从而保证在网络流量发生拥挤时关键性应用的网络服务质量。例如：电子查房系统，医院内部VOIP语音系统，无线视频监控系统，当这些应用统一运行在TRAPEZE无线网络平台上时，在TRAPEZE的解决方案中可以支持对不同的应用的优先级设定从而保证在TRAPEZE无线平台上保证关键应用的网络带宽。3.3.2网络系统的自愈功能传统无线网络里的每个AP都是一个独立的个体，相互之间不存在任何沟通与协商，如果有某一AP突然损坏或失效时，这个AP原来覆盖区域就会失去无线连接，无线网络变得不可用。遇到这种情况的一般做法就是马上把失效的AP更换。但由于大多数的AP都是布置在楼道里(并不是在机房)，所以不一定能马上作更换，现场的环境也有局限性，很多时候维护人员较难即时做出更换动作(很多的AP都是安装在天花板上)。而且，从故障发现，处理，找到新AP，替换，整个过程需时漫长，尤其是这对于一些紧急的应用是不能接受的。因此我们必须寻找另一种方法去缩短故障处理周期。为了提高无线网络的可用性和增强整个架构的冗余性，TRAPEZE系统设计了故障自动恢复的功能，即实时侦测出线上AP是否存在失效，当发现有AP出现故障时，TRAPEZE无线交换机能自动调节邻近的AP射频参数，一般是加大发射功率（覆盖范围）共同接替失效AP原先覆盖的范围。在医疗行业，这个功能尤其重要，大部分的AP都是覆盖办公区和住院区，无线网的可靠性关系到病人的安危，例如当某个房间的病人遇到危险，按了急救键，需急呼护士，而护士正在其他病房查房，请求信号本应可通过无线网到达护士随身携带的WiFi电话，而刚好护士所在区域的AP设备发生了故障，失去无线信号，结果导致找寻失败。可见无线网的可靠性高低直接关乎病人的生命安全，有了故障自动恢复功能，无线信号就可在很短的时间内，自动恢复正常。然后管理人员可以慢慢更换掉损坏的设备。3.3.3无线接入的负载均衡在医院里，有很多大型的后台应用，例如PACS，HIS等数据中心资料库，这些应用都需要较高的带宽支持，当用无线网的人较多时，争用共享的无线带宽，尤其是局部使用较密集时，必需有合理的负载均衡去分配带宽才能获得较高的应用效率。在一个AP的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。例如10个医生同在一会议内开会讨论病人状况时，在传统的无线架构下，这10个医生都连接会到同一个AP上，于是大家都一起共享这54M的带宽，而可能邻近的AP只有较少的用户连接。为了更合理地分配带宽，TRAPEZE提供了网络负载均衡功能。TRAPEZE的无线系统是一个集中式的管理系统，逻辑上相当于一个大的AP在统一管理，统一协调，在无线交换机里有全部分布AP的列表和负载状况，于是，无线交换机会跟据一定的算法，指示一些连接用户数量较多的AP把其覆盖范围内的无线用户或终端分散连接到邻近的AP上，从而分担AP的负担，达到最佳的使用效果，网络资源亦得到充份的利用。负载均衡功能在语音和视频应用中显得尤其重要。3.3.3VoWLAN无线语音通信系统随着VoIP的越来越普及(如Skype,等)，基于SIP的Wi-Fi电话将迅速变为企业内部员工之间话音联络的主流。Wi-Fi电话可在包括校园、酒店，医院、机场等地方使用，这是一般办公室无线电话(传统的电话交换机)不能做到的。简单地说，用户可在有宽带接入的地方继续使用办公室的电话号码，不管是国内或国外。对于一些经常出差的用户VoWiFi会带来极大的方便，亦可节省长途电话费。很多手机厂家已开始推出双模制式的手机(GSM/CDMA + Wi-Fi)，用户很快就可以漫游于手机移动网和无线局域网之间。在与多家固网和移动网结合 (FMC) 创导者的合作中，Trapeze 证明了双模式手机和领先的蜂窝式移动网络运营商之间的交互性。FMC 的优点包括： 无缝语音移动性 跨 WLAN 和蜂窝式移动网络 控制转换 控制权从蜂窝式移动网络运营商转换到企业，控制条件可以是服务区、容量和其他影响呼叫量和质量的因素。 降低了基础结构和管理成本 通过为员工提供单部手机、单个手机号和语音信箱TRAPEZE的无线交换技术已经证明很多业界VoIP系统在TRAPEZE系统上成功的运行。在具体实现Wi-Fi语音时要注意考虑语音的时延， AP呼叫的容量，和漫游切换时间。 尤其语音的漫游,它会比一般的数据移动传输更普及，但相对的要求也较严紧，所以要在无线局域网实现语音和数据融合，就不能随意的安装一些AP，而必须是有规范的组建无线局域网。TRAPEZE无线系统可容许用户设置专有的语音SSID，把单纯是数据传输的用户和Wi-Fi手机用户分开，但也可以在单一SSID内同时传送数据和话音，关键的重点就是怎样保证语音传输的质量。 TRAPEZE无线交换机内能够将VoIP协议数据包放在较高的优先队列，所以就可确保在数据和语音同时传送时，语音的质量不受影响。在传统的语音通信方面，出现了一些具有时代特点的新需求：由于医院园区规模扩大，以及医生工作的特点，需要在园区内、楼层间、医院间实现通信的移动性；需要充分利用各种新技术、新工具，实现迅速、快捷、多渠道的信息沟通；随着IP语音通信技术的发展和成熟，医院也希望利用它实现多点分支之间的通信，从而简化呼叫流程、降低费用，并实现医院的统一管理。未来医院为了扩大营销必定会扩大服务覆盖范围，不断增设分支机构，并兼并一些规模较小的医院或专科医院。如何解决医院总部与各分支机构之间的频繁通信、提高工作效率、降低通信费用，使被兼并的单位快速融合到医院的整体当中，同时提供与本医院完全一致的通信手段和通信水平，达到资源共享，就成为医院要考虑的切实问题。届时，IP语音通信将会进一步体现出自己的优势。 为了满足这些通信需求，新的医院通信系统就应该在提供稳定高效的语音通信的基础上，同时提供灵活的WiFi VOIP语音系统为医院提供强大的通信能力。 利用TRAPEZE的无线移动网络解决方案可以通过统一的WiFi网络同时支持语音和数据业务，支持多样化的通信手段，同时可以简化网络管理，实现集中控制，使人员的移动、增加和变动都更加简单轻松、成本低廉。由于采用开放、标准的协议和结构，该解决方案还可以实现各种应用的集成，更易于开创新服务。对于医院来说，可以实现生产力的显著提升、节约成本。3.4智能无线交换由于兼具集中的 WLAN 管理和优化的通信流量，智能无线网可以提供当前性能最高的 WLAN 已采用802.11n 标准，没有高昂的升级费用。智能无线网的智能交换是第一个也是仅有的一个 WLAN 体系结构，它能够根据基础应用程序的要求以集中或分布方式转发数据。例如，Voice over WLAN 就要求极短的延迟。智能无线网的智能交换技术（目前正在申请专利）以分布方式转发语音通信，即直接从接入点转发到接入点，而不必每次都经过中央控制器，从而将延迟缩至最短并允许大规模的 VoWLAN 部署。尽管分布式转发具有效率优势，但某些应用程序仍需要集中式转发。例如，访客的通信就需要保留在防火墙之外。智能无线网允许客户通过指定的控制器集中转发所有访客的通信，以保证它们与内部网络严格区分开来。智能无线网是唯一一个提供此灵活性的企业WLAN 解决方案。IEEE 802.11n 标准将开创超高速无线技术的新时代。这项新标准预计将在 2007 年底或 2008 年初定案，届时，很快市场推出各种802.11n 无线电通信设备。新标准指定数据传输速率高达 700 Mbps，而现在的最高速率为 54 Mbps。802.11n 将使网络负载量增加 12 倍，当代 WLAN 控制器无法处理这一负载量。因此，某些 WLAN 供应商建议客户购买昂贵的新控制器以支持 802.11n。而 Trapeze 的采用智能交换技术的智能无线网体系结构则截然相反，它可以扩展到支持将增加 12 倍的网络负载量，而不需要客户升级其整个交换网络结构。通过智能交换，智能无线网将大量的处理任务（包括数据转发、加密和策略实施）从控制器交给了接入点。由于极大地减少了控制器的负担，智能无线网可以毫无困难地处理 802.11n 将带来的 12 倍的吞吐量。智能无线网