医院无线控制器WLAN解决方案.doc

医院无线控制器WLAN解决方案医院无线控制器WLAN解决方案目 录一概述51.1医院网络现状和发展评估51.2医院无线网络的应用需求71.2.1移动办公的需求71.2.2电子病历系统及RFID系统的建设81.2.3 即时药物和治疗配合91.2.4 监护数据的采集91.2.5 护士呼叫和患者床边服务91.2.4 病人定位及追踪系统101.2.5手术实况传输101.2.6医疗影像实时传输101.3医院无线网络的覆盖需求11二、NETGEAR WLAN解决方案在医疗行业的优势112.1 成熟的产品和专注的解决方案112.1.1产品系列丰富122.1.2配套解决方案齐全122.1.3电信级产品质量保证122.1.4丰富的无线网络工程经验132.2 满足医疗中心应用需求132.2.1 原有线网络的有效补充和无缝升级132.2.2 医院区内无线定位功能的实现132.2.3 医院内的VOIP及多媒体应用传输支持142.2.4 支撑医疗网络信息化管理系统142.1.5 支撑医疗视频信息传输15三、医院WLAN网络方案设计163.1无线网络组网架构163.1.1 FAT AP组网结构163.1.2 FIT AP组网结构183.2无线网络方案总体规划设计193.3整体无线局域网规划设计原则193.4 无线网络设备实施规划设计213.4.1院区内建筑楼宇覆盖213.4.2院区室外公共区域覆盖无线方案233.4.3医院用户无线控制器安全策略243.4.5无线AP的防盗和避雷措施26四、NETGEAR无线控制器优势特性274.1 全方位管理的解决方案274.2 运营商级设备的性能设计274.3 轻松管理和维护284.3.1 集中式管理284.3.2 全中文网管软件284.3.3实时射频管理294.3.4集中转发和本地转发314.3.5网络负载均衡324.3.6 无线漫游功能334.3.7 网络安全设计344.3.8 Multi-SSID和802.1Q VLAN364.3.9 智能业务流转发和QoS保障364.3.10 远程节点AP的安全连接374.3.11 容易扩展和适时冗余384.3.12 IPv6支持38五、NETGEAR POE交换机优势39六、设备清单及报价42七、医院WLAN建设项目相关产品介绍447.1 智能无线控制器WNAC7512447.2 NETGEAR机架式万兆智能无线控制器WNAC9505487.3 室内802.11b/g无线接入点WG103527.4 室外大功率802.11b/g无线接入点WGAP950527.5 24端口以太网供电交换机FS728TP537.6 9dbi室外全向天线带防雷器58附件一:NETGEAR WLAN行业成功案例名录60一概述1.1医院网络现状和发展评估医院创建于1946年，是某省最大的综合性医院，是国内规模最大、综合实力最强的医院之一。医院建筑面积近25.3万平方米，在职职工4478人。现有住院床位数2288张，年收治住院病人6.5万人次，年大型手术例数达到2万多台。医院东川门诊、心研所门诊、老研所门诊、惠福院区门诊、合群门诊、平洲分院门诊六个门诊部。随着医院的学术成果的不断积累和专科规模的不断扩大，目前的经营规模和业务发展均得到了空前的提高。落后的医疗设备，管理制度，医疗环境等均因为不能满足医院的高速发展而需要进行换代，升级和改革。目前随着卫生部开展的”金卫工程”的多年推广和实施,医疗信息化建设已实现了普及化,相关的应用系统也越来越完善.各大医院基本都实现了医院网络信息化管理(HIS系统)、电子病历系统（EMR系统），部分医院还开展了远程会诊、远程医学教学、国内外学术交流、医学情报资料查询、医疗影像资料信息化等业务 。这些业务的展开，都需要基础网络的支撑。就网络升级改造而言，有线网络技术已经发展到历史阶段的瓶颈位置，以目前的网络速度和容量水平，已经能够满足业务应用的需求，而且在今后一段时间里不会有太大的变化。但传统的有线网络存在着网络布线的局限性。随着无线局域网，也被称为WLAN(Wireless LAN) 技术的发展和兴起，无线局域网作为传统布线网络的一种替代方案或延伸，把个人从办公桌边解放了出来，使他们可以随时随地获取信息。目前无线局域网可以用于大楼内部、园区内部以及医疗单位里，典型距离覆盖几十米至几百米。WLAN利用无线技术在空中传输数据、话音和视频信，提高了网络使用的便利性和效率。目前采用的技术主要是802.11a/b/g/n系列。一般而言，对比于传统的有线网络，无线局域网的应用价值体现在：- 可移动性：由于没有线缆的限制，用户可以在不同的地方移动工作，网络用户不管在任何地方都可以实时地访问信息。- 布线容易：由于不需要布线，消除了穿墙或过天花板布线的繁琐工作，因此安装容易，建网时间可大大缩短。- 组网灵活：无线局域网可以组成多种拓扑结构，可以十分容易地从少数用户的点对点模式扩展到上千用户的基础架构网络。 - 成本优势：这种优势体现在用户有线网络节点敷设量大的，或需要租用大量的电信专线进行通信的时候，自行组建的WLAN会为用户节约大量的敷设网络节点或租用的费用。在需要频繁移动和变化的动态环境中，无线局域网的投资更有回报。可见，无线局域网具有的高灵活性和可靠性可以为医疗单位的业务展开和日常工作提供极大的便利，比如在整个医院里办公室/病房/门诊/发药/理疗/放射/手术/休息区等建筑楼内实现可支持移动和漫游的无线宽带网络的覆盖时，可以为医院带来以下的网络体验和业务得以运行和改善：随时随地获取信息和办公移动教学电子病历系统移动电子查房的诊断下药流程的简化电子标签系统因此，在医院建设无线网络可营造更良好的医院网络办公和业务环境，立竿见影地提高生产率，为医院创造崭新的生活和工作风尚。 随着医疗卫生体制改革的不断深入，医院将以改革为动力，不断创新、与时俱进、全员参与，力争把医院建设成为一个现代化的医疗中心，为广大人民群众提供一流的医疗服务。1.2医院无线网络的应用需求移动无线解决方案是一种全新的医疗行业解决方案。它允许用户在患者病榻旁即时地更新患者病历，从而可以确保数据完全地反应了患者最新的信息。这些解决方案有助于消除医疗差错、节医院疗保健专业人员的时间，以及降低数据录入成本。因此，同时移动无线解决方案在无线病房视频监控、人员与重要设备监控、移动和无线计算的推广应用都提供具有极其重要的意义。这些优势包括节省成本、消除数据重复录入、提高数据准确性，最根本的是改善了患者的医疗质量，有效提高医疗的服务水平和品牌效应。如下图：医院希望通过无线网络实现如：移动办公，电子查房，VOIP，手术直播，医疗图像转发，远程医疗教育等一系列功能：图：移动医疗信息系统图例 先分别对各个功能的实现方式详细描述如下：1.2.1移动办公的需求移动的数据通讯平台可以为医院用户提供更为便捷的基于以太网的无线数据通讯方式，医护人员可以方便地在该平台上随时访问企业数据（传统的OA应用，或者是更加专业的库房管理数据通讯、医院病房信息通讯、放射影像管理通讯等等），收发电子邮件，播放教学视频等等。做到随时随地，不分场合的移动办公。1.2.2电子病历系统及RFID系统的建设目前医院的电子系统是从医疗中心从挂号的起始环节开始就取消了病例本，而换成带有条形码的病例袋。这是就医者在医疗中心治疗的“通行证”。通过扫描呼叫病人就诊的同时医生就可以通过医生工作站调出患者的病历资料、化验单、以及各种影像检查资料。值得一提的是数字化摄影技术大大缩短了洗印时间，患者不必花费漫长的时间等待报告单。而且影像检查的精确度也得到成倍提高，一张X 光片存储可达10 多兆，以前普通x 光片上显示不出来的微小病灶，都会以千万像素的高清晰效果呈现在医生面前。诸如DHA 、C T、CR 、B超、彩超信息，可以在全院范围内实现各种设备影像的集中存储效和共享。就是做完了检查之后，门诊医生化和住院医生的影像都可以直接获取。看完医生后的处方单等也都由电脑打印出来并带有条码信息。这样在病人交费的时候只要在排号机前扫瞄一下储存一个号就可以等待被呼叫交费了此时医生所开的药物或检查项目、费用明细也都已经显示在电脑屏幕上，自然就不用排队了。在药房，以前是先交处方，再备药，等待时间很长。现在是收费完成之后配药单自动传到药房后台准备药之后再扫瞄一下，就医者就可以直接到窗口领药。药师扫描条形码核对处方，系统自动核检库存。这对于就医者来说是不用排队了，而对于药剂师来说，通过整个过程的计算机管理。药师不需要敲一下键盘，不需要按一下鼠标，避免了发药时候可能出现的错误。医疗中心在门诊建立条形码的体系，得益于门诊的各个环节紧密的整合，无线网络构建提供综合业务平台使得医疗中心信息流程非常顺畅。目前条码技术依靠的是有线网络的平台，而在住院区，由于医护人员是没有固定的工作位置的，一般是在病床旁边进行诊治，传统的有线网络不能满足这种移动的病床医疗的需求。医疗中心希望借助无线网络，让医师、护士和其他临床医生可以尽可能有效地与患者交流，以完善电子病历系统，从而获得更加高效的床边护理。 医护人员可以通过在医院的手推车上安装的计算机，无线接入EMR。临床医生可以推着一辆手推车探视患者，并从患者的床边，迅速地获取患者的住院信息、病史、化验结果和其他患者数据。此外，临床医生还可以在转移到下一张病床之前，通过该应用更新患者的病历、预约化验和开处方。所有信息都将通过无线网络，记录在医院的主数据库中。支持无线的EMR为医护人员提供的移动能力非常重要，因为它不仅可以让医护人员更加方便和有效地进行床边探视，还可以提供对急诊，突发症状的应变能力，从患者的角度出发，更加可以提高探视的质量以达到比较好的治疗效果。所以说，无线网络平台能够帮助完善电子病历系统。 1.2.3 即时药物和治疗配合 在住院区里，以前很多医疗中心工作是基于有线网络的，非移动式的工作站信息系统对查房没有直接的帮助。主治医生查房后，还是必须要到办公室按照查房时的病历和处方记录在电脑旁边通过电子系统下配药清单，这份清单才能够通过有线网络传输配药中心，配药中心在得到医生电脑上开出的处方后才能给病人进行配药和治疗，显然，这大大影响了医生出发到配药的流程运行时间。病人不时在医生诊断完后，就可以马上接受治疗，而必须等待到医生查房完毕，并在电脑前输入药物处方后，才能得到有效的治疗，显然这对于病人来说是不利的，无线网络则通过其移动可以非常简单地解决该问题，做到诊断和配药的快速衔接，大大提高了工作效率。1.2.4 监护数据的采集对护士来说也存在着同样的问题，护士的工作最要到病床前测体温、量血压进行生命体征的数据采集然后再将记录在纸上的数据输送到计算机里，反而增加了工作的复杂度。而且过去服务过程也没有记录，一般是转抄医嘱。实际上这种信息系统和病房的管理模式并没有实现信息衔接，等于从医生、护士办公室到病人床前这一段“路程”没有实现数字化。而无线系统解决了这些问题。无线系统建成后，护士可以通过手持终端（笔记本），直接在系统里面输入病人的各种测试数据，通过系统进行汇总，并可以随时查询。1.2.5 护士呼叫和患者床边服务 由于有线网络需要配合施工和对楼宇进行伤根动骨的改动，似乎在目前的已经非常拥挤，并且要通过排期才能得到床位的病房里尽心这些改造似乎不切实际。首先这需要很长的改造时间，住院区可能要暂停运作，其次即使是细微的改造，不至于停止运作，也会影响病人的休息以及治疗。但是，传统的护士呼叫系统和房屋提供也确实需要改造，病人不仅仅是需要简单的铃声呼叫，而是需要在床边就可以直接和医护人员取得联系或者服务信息，而得到更加直接的多和多样化的服务，事实上，科技发展的今天，计算机系统确实能够为病人提供类似的服务，但是这些系统是需要网络进行支持的，而正正是在病房里面安装有线网络不可行的这一矛盾，影响了这些电子呼叫系统的升级和改造。显然，无线网络也可以马上解决这些问题，直接把无线呼叫终端放置到病人旁边，并人可通过终端和网络直接和医护人员面对面地通话，同时更可以通过电子菜单使用预先设置好的各种定制服务，极大地提高服务质素和工作效率。1.2.4 病人定位及追踪系统手持无线标识带的病人,主要针对儿童,老人和神智迷糊,不能自控的病人可以被无线网络体统识别和进行追行踪定位。这个功能对于医院对病人的看护非常重要，医护人员可以通过无线网络系统时刻监控病人的行为，以防止因为家属或者医护人员疏忽照顾，而造成病人走失或者延误治疗。另外无线标识带还用于标识医院固定资产，影像资料，处方药品等，对这些物品进行准确的定位和跟踪，配合医疗信息化系统工作，为病人和医院的日常运作和管理带来便利。提高工作效率。1.2.5手术实况传输在手术过程中似乎不适合使用有线的摄像机或者监听设备对手术过程的图像，声音等多媒体信息进行传输，因为这样做会影响手术医生的工作，容易导致医疗事故。如果使用传统的摄像机或者监听设备进行摄像或者录音则无法进行实时的传输，使得现场会诊或者教学等功能无法实现。和传统的摄影手法相比，通过无线摄录机或者监听设备和无线网络对手术现场的图像和声音进行传输可以解决即时的现场图像和声音无法实时传送到远端的问题，医院的领导，专家甚至其它医疗单位的专家和领导均可以通过无线系统的实时传输，对手术现场进行监视，以方便远程教学，专家远程会诊等先进的医疗和学习手段的实现。1.2.6医疗影像实时传输和手术实况传输一样，在放射科，同样需要对病人的X光照片，MR扫描影像，CT成像等图片或者图像资料实时传递其它地方。以方便主治医生进行诊断，或者专家会诊，医疗教学等工作和学习手段的开展。同样地，使用有线的，或者传统的摄录设备依然无法做到对放射影像的实时传输。我们仍然需要依靠无线网络系统，以实现实时传输，同时。无线网络更家具有速度快的特点，可以随时，随地将高清的，大容量的数码文件传送到各个需要工作岗位上。或者直接传送到存储系统进行保存和备份，极大地提高了工作效率和减轻了维护和管理医疗影像的劳动时间。1.3医院无线网络的覆盖需求医院在提供多种业务接入的要求外还对无线网络的覆盖区域提供了以下要求，以满足业务接入的需要：l 门诊住院大楼8-23层l 伟伦楼8013层l 东一号楼5-13层l 东三号楼4-12层l 英东楼3-9层l 惠福西院区5-8层l 平洲分院住院楼二、NETGEAR WLAN解决方案在医疗行业的优势2.1 成熟的产品和专注的解决方案医疗单位和其它行业不同，医疗单位无论对医疗设备或者其配套的相关设备都比其它行业的要求，病人患者被送到医院就等于把生命交托到医疗机构，因此在各种医疗及配套设备拥有足够足够的先进性的同时，必须保证设备的和系统的稳定和高效，才能配合医护人员对病人、患者进行抢救或者治疗。同样，在医院选择无线网络设备的同时，同样对设备及设备的供应商及解决方案提出了比其他行业更高的要求，产品除了功能上能满足医院的接入要求的同时，还应该具有产品成熟，稳定的特点。NETGEAR作为全球无线网络的先锋和主要的运营设备供应商，产品具有以下特点：2.1.1产品系列丰富美国网件公司提供形态丰富的WLAN产品线，AP产品包括了室内型100mW,室内/室外型500mW(型号:WG102,WG103,WAG102;WGAP150和WGAP950)FIT/FAT AP和不同规范的无线控制器产品(WNAC7512/WNAC9505);另外NETGEAR还在业界率先推出支持802.11n的成熟商用AP WNDAP350，可满足于不同的室内办公环境、复杂环境、室外覆盖和桥接等多种场合的应用。上述FIT/FAT系列AP均可以根据组网和架构的业务需要,将FAT(”胖”)转FIT(”瘦”)型AP,或者从FIT(”瘦”)转FAT(”胖”)型AP;灵活而且实用,具有投资保护性NETGEAR公司还提供WLAN工程中所涉及到的天线、802.3af POE交换机、POE模块，天线馈线等配套设备，从而充分保证了工程实施质量。2.1.2配套解决方案齐全凭借NETGEAR多年以来在企业级WLAN市场的领先技术和丰富行业建设经验,结合行业用户的实际应用需求,可提供完备的无线控制器+(FAT/FIT) AP的整体解决方案,单从WLAN的业务规模,应用方案和技术特点而言,可分为:1.FAT”胖”AP室内单点部署; 2.FAT”胖”AP室外无线覆盖;3. WLAN无线控制器的集中管理(AC+FIT AP)(此方案将着重描述:3.无线控制器的集中管理方案(AC+FIT AP)2.1.3电信级产品质量保证美国网件公司自1996年公司成立以来就定位于为运营商/企业级客户提供高性能、可管理的WLAN设备和解决方案。目前在市场上销售的无线网络产品均具有符合电信级产品所需的性能要求和设备质量的保证;确保医院网络能有保障,放心的使用;2.1.4丰富的无线网络工程经验无线网络的工程实施对整个项目的成败至关重要。NETGEAR有着经验丰富的售前,售中技术支持和800客户服务团队,通过不同方式的交流,现场指导,安装和售后技术培训,来确保无线网络工程项目的顺利实施，具备每位技术工程师均具有丰富的无线项目实施工程经验。2.2 满足医疗中心应用需求2.2.1 原有线网络的有效补充和无缝升级 很多单位和用户在铺设或者升级时无线局域网接入，需要在现有的局域网上做很多路由的修改，这当然是网管人员不愿意做的事情，特别医院，用户更家不希望任何的施工而影响医院的正常运作和病人的康复，采用NETGEAR系统无需更改现有的有线网结构。由于无线用户的传输是通过NETGEAR AP 内已建立的GRE隧道和NETGEAR交换机互连的，所以实际上无线用户的VLAN是无须在接入层和汇聚层存在。无线用户的VLAN是可透过NETGEAR交换机和骨干交换机互连互通。这样非常方便在医院里实施无线局域网，同时也非常方便进行扩展。NETGEAR的无线控制器可以安装医院的中心机房，而AP则可以放置于院区内的需要无线信号提供接入服务的区域，这些区域包括住院部，门诊，取药处等等。无需用二层设备连到无线交换机，或者划分VLAN；其他厂家则需要二层交换机连接或者划分VLAN，否则只能将认证点下放到AP上，导致整体性能的降低和漫游特性的缺失。不用划分VLAN，对于无线网络的管理带来极大的便利性。对原有的有线网路由器不需要改变路由结构，减轻了由于无线网的建设而对原有网络的结构改变的工作量。有利于进行原来的网络的改造和升级。2.2.2 医院区内无线定位功能的实现NETGEAR 的无线控制器和AP配合，并结合网络管理系统可以跟踪和定位无线终端的位置，诸如无线接入的电脑、PDA和 Wi-Fi手机等。NETGEAR采用的无线定位模式称为三角定位，无线定位的准确性可达到2.5米以内，无线定位的条件是所寻找的无线终端附近须有最少三个NETGEAR的AP 在范围内。这是传统无线局域网所不能做的，这功能特别适合于医疗行业结合使用，采用了无线定位技术来取代传呼机在医院内寻找医生、病人等。另外对于医院的资产管理，定位功能更加可以取代GPS系统，用作贵重设备的跟踪和管理，以保护医院自有资产。另外，自动定位功能还可以对非法AP的进行定位，可以成为医院网络中心的管理人员提供非法AP的位置信息，可以方便快捷的清除非法AP的网络接入。可以保证园区网络接入的安全可靠性。2.2.3 医院内的VOIP及多媒体应用传输支持NETGEAR无线网络可以轻松地支持VOIP电话和终端的接入，在院区内清晰，快速地传达语音或者图像信息。从而为医院节省大量的通讯费用的开销。同时在语音通讯上也比VoIP和传统电话要方便得多。NETGEAR无线交换技术已经证明支持业界VoIP系统在NETGEAR系统上成功的运行，且在最近的Network World VoWLAN测试结果被评选为市场上最卓越的产品。在具体实现Wi-Fi语音时要注意考虑语音的时延， AP呼叫的容量和漫游切换时间。 尤其无线语音的漫游,它会比一般的数据移动传输更普及，但相对的要求也较严紧，所以要在无线局域网实现语音和数据融合，就不能随意的安装一些AP，而必须是有规范的组建无线局域网。NETGEAR无线系统可容许用户设置专有的语音SSID，把单纯是数据传输的用户和Wi-Fi手机用户分开，但也可以在单一SSID内同时传送数据和话音，关键的重点就是怎样保证语音传输的质量。 NETGEAR无线交换机内的用户防火墙可把SIP/RTP等VoIP协议数据包放在较高的优先队列，所以就可确保在数据和语音同时传送时，语音的质量不受影响。另在无线语音安全接入方面，NETGEAR可防止没有无线语音权限的用户使用无线语音，以确保无线网络资源能有效运用。对于VOIP语音和视频图像传送的支持为医院的影像管理和医疗现场传输提供了必要的保障。2.2.4 支撑医疗网络信息化管理系统采用无线网络的最大优势在于无线网络的灵活性,及时性和移动性，NETGEAR的无线网络提供了54Mbps高速的传输速率，兼容802.11G, 802.11b无线设备，具有丰富的用户安全认证/数据加密传输的功能.，配合医院的医疗管理系统（HIS），可为整个医院提供了高速的54M网络信号的无隙覆盖，使整个医院处于整体的电脑网络系统管理之下，加快医生对病人病况信息的查询，认识和处理。无论是对医生、护士还是工作人员，整个工作的进程都将是可控的：l 利用无线网络，医生和护士在病房，诊室，急救室，手术时可以不必带着沉重的病例资料，使用笔记本电脑就可以实时的记录、查询和传递信息。对于特级护理的病人，可通过无线网络随时查看患者监控数据和病情状况。l 利用无线网络，药剂师将适时的根据医生制定的药剂配方，正确的配置药品剂量。可以避免看不清楚或看错医生的处方而造成不必要的医疗差错。l 对于突发性情况，比如接到具有特殊情况的病人，专家可以不必寻找电脑去查找资料来帮助诊断，可以通过无线网络立即上网查询，没有一分钟的延误。l 在查房的过程中，医生或者护士可以通过笔记本电脑将患者的各项数据输入计算机，可以通过计算机随时查询患者的即往病史、过敏史等关键资料，可以通过计算机核对处方药品及处置方式是否正确等等。l 针对临床教学过程中，专家或医生可以通过笔记本电脑的无线接入，调取特殊患者的相关医学案例，结合现场患者情况，为学生提供生动，多样的教学模式。l 在病房内，白领人士在医护人员允许的身体情况下，在适当的时间内，通过自己的手提式电脑通过无线进行公司事务的远程处理。也可通过MSN或QQ回复朋友的问候。真正达到住院办公两不误。2.1.5 支撑医疗视频信息传输在支持医疗视频信息传输主要有两个方面：1)临床手术实况的传输，大多数医院已经建成的手术室都是无菌的环境，如果要求将手术的实况传输到手术室外势必会进行重新布线，从而会破坏手术室的环境，这种做法不可行。因此，可以考虑在手术室外部署AP，在手术室架设一台无线摄象机，这样的话手术的实况就可以通过无线网络传输到手术室外。专家和学者通过这种方式就可以实时的观看、指导手术现场。在临床教学时，也可以通过这种方式，能够实现结合现场患者情况，为学生提供生动，多样的教学模式。2)医疗影像传输，目前大多数医疗设备例如：B超、窥镜系统都能提供将模拟信号转为数字信号，并且提供网络接口。通过无线网络能够将医疗影像传输到远程的计算机上。通过这种方式能够整合医疗院所院内检查仪器， 使医疗影像检查结果能透过无线网络快速传输，提升工作流程效率以及医疗照护品质。NETGEAR的产品线中目前已经全面支持802.11n的AP，其目前支持传输速率能够达到大约300Mbps/秒。但目前由于802.11n把并不是国际标准和成熟的技术，因此在本方案中，我们选择了相对更加成熟，稳定和兼容性良好的802 .11b/g协议为医院提供无线网络服务。随着应用的普及，当医疗影像信息的传输需要更高的带宽要求时，NETGEAR支持方便地在原来控制器的基础上，更换AP升级到支持802.11N。这种对投资的保护性也是其它厂商无办法比拟的，想对于其它厂商的设备而然，升级到新的通讯协议，您必须更换主要的无线板卡，甚至更换系统里的所有设备。三、医院WLAN网络方案设计3.1无线网络组网架构在前面的文章里，我们对医院的需求作出非常详细的分析，并介绍了其是如何配合无线网络工作和使用的，要实现医院的需求，作为一个医院网WLAN整体解决方案，虽然有在不同场地环境下的无线AP的接入, 但都应是随时可以被位于中心的无线控制器集中控制和管理的; 无论采用何种的AP的布放方式,何种网络组网架构, 目的都是以无线终端的接入和安全策略为实现的。为了达到这个目的，我们建议院方使用无线控制器+“瘦”AP的解决方案。而NETGEAR在此次设计中提供的解决方案区别于其他竞争对手的重要特色是，我们可以根据业务实现的轻重缓急,应用的需求, 分阶段或直接部署无线控制器和无线AP; 既可先以FAT(”胖”) AP的网络结构方式部属,也可以通过软件升级的方式,将FAT(”胖”)转换成FIT(”瘦” ) AP与无线控制器(AC)进行对接(仅需一次升级,以后就可通过AP配置界面进行模式转换),无需改变任何有线网络结构和配置;即可实现WLAN网络的大融合;这个特色的设计对于保护用户的投资和保障项目的进度都有非常重要的意义，现在这两种组网拓扑结构拓扑的区别如下:3.1.1 FAT AP组网结构如下,FAT(“胖”) AP网络拓扑示意图:FAT AP,作为传统模式的无线访问点AP, 每台设备都具备完全的射频控制,终端接入,认证,加密,权限控制,二层漫游,Qos等等特性, 每个AP都可以独立的支撑本区域的无线覆盖;作为医院无线网络的覆盖, FAT AP模式将无线接入/控制与管理区分开,所有的无线AP均按预先设计好的医院网规划, 单独的配置安全策略和访问控制;通过网络中心的网管软件对所有AP进行统一的管理和监控;FAT AP模式,可工作在不同的场地和环境,室内单点覆盖,室外单点覆盖,室外桥接等等;采用FAT AP模式,好处在于先期资金投入不多,容易扩展;比较适合开放式或对用户行为控制不是很敏感的医院网络环境;比如在门诊或者出药处和室外覆盖等场合。3.1.2 FIT AP组网结构如下, FIT(“瘦”) AP网络拓扑示意图:FIT AP,仅需要在网络中心加入一台无线控制器, 就可以将NETGEAR传统模式的无线访问点AP(仅需一次软件升级)或直接布放的FIT AP,集中的控管起来, 形成一个大的集中配置/监控/管理的无线控制区域;同时也具备了自动的射频控制/调整,灵活的认证机制,行为控制,设备管理,甚至是严格的基于个人和射频的安全防火墙/攻击防御的完整系统; 为无线终端提供了灵活和严格的接入限制手段,二/三层漫游,Qos流分类等等应用高级特性,网管员可以通过无线控制器内部的监控界面和日志报告,清晰的了解异常流量,未识别的攻击,以及告警的原因和分析,做出相应的决策, 同时也提供了跨院区网IP路由,将总院和分院的无线AP,统一纳入一个无线控制器中集中管理,实施统一的认证和行为控制策略。所以,根据医院应该当前的业务形态,管理以及安全的实际需求,资金投入情况,选择不同的无线组网架构,如果有必要可分阶段或直接实施WLAN无线网络,可以满足医疗单位日益增加的电子医疗，医疗教学等应用需要;3.2无线网络方案总体规划设计根据以往NETGEAR在医疗行业无线网络建设的经验和此次无线网络建设的需求分析，我们将预先关注无线网络方案设计的二个阶段内容:1）整体无线局域规划设计原则 包含院区楼室内无线覆盖和院内室外公共区域的无线覆盖；2）无线网络设备实施规划设计;整体无线网络设计方案逻辑拓扑示意图如下:图：无线网络设计图3.3整体无线局域网规划设计原则l 设备选型和网络拓朴介绍如上图所示,在医院各院区的网络核心交换机旁边分别配置一台无线控制器,其中东川路院区的无线控制器采用机箱式架构的无线控制器WNAC9505（最大支持1024个AP的同时接入），惠福院区采用1U机架式无线控制器WNAC7512（最大支持256个AP）、平洲院区采用1U机架式无线控制器WNAC7324（最大支持96个AP），无线控制器的选择个医院的规模和对未来扩展的需求作出相应的选择。三台控制器分别控制各自院区的无线接入点，同时之间作环形连接。其中东川路总医院的被配置成主无线控制器，主无线控制器可以对惠福或者平洲分院的无线控制器进行备份，当惠福或者平洲分院的无线控制器出现故障时，主无线控制器可以及时接管理惠福或者平洲分院的AP，以保证网路的畅通。在本方案中，东川路医院配置的无线控制器为机箱架构，本身已经有足够的稳定性，如果仍然需要对其进行备份的话，那么我们还可以另外在医院东川路院区再增加配置一台冗余无线控制器WNAC9505，备份的WNAC9505和主控制器WNAC9505并列连接。通过环形链路对三个院区的三台控制器进行“N+1”的备份，所谓的N+1备份就是在东川路院区增加的这台控制器可以对三个院区内人任意的一台无线控制器进行热备份，当三个院区其中任何一台控制器出现故障，备份控制器都回接关其工作以保障无线网络的稳定运行。在每个院区内的无线控制器将独立管理自己院区内的无线接入点，从逻辑结构上实现集中的安全,无线射频自动优化和调谐,有效的无线网络用户的安全接入,管理和监控策略,非法攻击和防御.三个院区内的所有室内型的无线接入点AP均通过以太网线连接到各自所属的建筑楼内的NETGAE系列802.3af快速以太网PoE交换机的10/100M端口上(如果采用的是11N的AP,那相应的配置NETGEAR系列802.3af千兆以太网交换机),零散部署的室外型AP将连接就近的建筑楼层内的接入层802.3af系列以太网交换机的端口内.所有无线AP均按预规划的设计要求,划分到指定的WLAN使用的专用VLAN内,由无线控制器直接自动发现,统一集中配置,管理和监控.如果现有的网络不方便,或者难以实施无线AP的专用VLAN,那么我们将通过跨网IP路由实现AC与AP的隧道加密的管理通道的自动或手动的发现和连接,实现所有AP”零”配置的强大功能和便利;为了便于管理和未来扩展,及全面实施无线覆盖,或无线网络的二期,三期等项目分步实施扩展接入.如果未来无线用户的扩大,当时推荐使用的无线控制器连接的无线AP数量不能满足扩展的需要,我们仅需另外采购打包的AP许可证数量, 对无线控制器进行容量扩展;NETGEAR WNAC7512最多支持256个AP,预配置可从32个AP许可证起步; NETGEAR WNAC9505最多支持1024个AP,预配置可从256个AP许可证起步;WNAC7312，最多支持96个AP,预配置可从48个AP许可证起步。控制器的按照医院个分院和院区的需求灵活配置，从而节省了建网的成本，更体现了NETGEAR作为厂商在该项产品的成熟和专注，多样化的产品线为用户的组网节省了大量的成本。按照此AP数量的升级许可证包的设计方案,无需购买任何无线控制器硬件设备;随着无线覆盖的项目实施,而不断扩展网络的规模.位于三个院区核心机房内的NETGEAR无线控制器,可通过万兆/千兆主干光纤或以太网线连接至核心交换机上.如果将来无线网络规模很大,可能超过NETGEAR现有的无线控制器的规格(1024个AP), 那么我们可以另外增加一台无线控制器连接多余的无线区域.值得关注的是,NETGEAR无线控制器是具有”N”+1的冗余备份功能,保证任何一台无线控制器断电/故障时,其所控管的无线AP可以无缝的切换到备份无线控制上,所连接的无线客户端应用不会随之而中断;l 接入安全性管理针对于省人民医院目前网络的网易用需求，我们推荐使用以下集中认证的方案，以实现对用户的接入管理。 无线控制器可提供内置的多种认证方式接口(WEB,802.1x,MAC,Guest 帐号等等),以及内置的帐号数据库服务(AAA,Radius或内部数据库),提供基于无线终端的集中统一的帐号/口令管理和有效用户行为的策略管理。图：医院用户接入认证系统 NETGEAR无线控制器支持各种认证手段和方法，省人民医院网管中心可以根据接入用户的身份定义不同的使用权限，和不同的接入认证方案对用户的身份和入网行为进行控制。有效合理地分配网络资源。3.4 无线网络设备实施规划设计3.4.1院区内建筑楼宇覆盖如下图典型的室内无线局域网拓扑示意图示意,我们将推荐在医院内建筑楼的各楼内的接入层交换机，配置使用NETGEAR具有以太网供电特性的PoE系列工作组交换机(根据参考实际楼层AP数量,分布和布线系统),利用医院网建筑楼内的综合布线系统,通过以太网线连接可远程供电的交换机到楼内需要布署无线接入点802.11b/g AP的10/100M端口上(802.11n AP为10/100/1000M端口).这样,就可以为建筑楼内需要无线信号覆盖的区域提供无线网络的终端接入.接入层工作组系列802.3af PoE交换机 可灵活选择千兆光纤或以太网线以连接到所关联的汇聚层交换机/核心交换机上。典型的无线局域网络连接示意图如下:图：室内热点覆盖根据初步的统计，医院此次建设的无线网络需要使用到的无线接入点的数目统计如下。（本方案中给出的仅为根据图纸对项目进行估算的大致数目，实际方案建设中需要用到的AP数量需要经过现场测试后方能提供准确的数量，介时我们会初具具体的AP安装位置和设计方案。）位置AP型号数量门诊住院大楼8层 WG10312门诊住院大楼9层WG10312门诊住院大楼10层WG10312门诊住院大楼11层WG10312门诊住院大楼12层WG10312门诊住院大楼13层WG10312门诊住院大楼14层WG10312门诊住院大楼15层WG10312门诊住院大楼16层WG10312门诊住院大楼17层WG10312门诊住院大楼18层WG10312门诊住院大楼19层WG10312门诊住院大楼20层WG10312门诊住院大楼21层WG10312门诊住院大楼22层WG10312门诊住院大楼23层WG10312伟伦楼8层WG1036伟伦楼9层WG1036伟伦楼10层WG1036伟伦楼11层WG1036伟伦楼12层WG1036伟伦楼13层WG1036东一号楼5层WG1035东一号楼6层WG1035东一号楼7层WG1035东一号楼8层WG1035东一号楼9层WG1035东一号楼10层WG1035东一号楼11层WG1035东一号楼12层WG1035东一号楼13层WG1035东三号楼4层WG1035东三号楼5层WG1035东三号楼6层WG1035东三号楼7层WG1035东三号楼8层WG1035东三号楼9层WG1035东三号楼10层WG1035东三号楼11层WG1035东三号楼12层WG1035英东楼3层WG1037英东楼4层WG1037英东楼5层WG1037英东楼6层WG1037英东楼7层WG1037英东楼8层WG1037英东楼9层WG1037惠福西院区5层WG1033惠福西院区6层WG1033惠福西院区7层WG1033惠福西院区8层WG1033平洲分院住院三层楼WG10312合计：399如上表，省人民医院在本设计方案中预计需要AP399个3.4.2院区室外公共区域覆盖无线方案与医院网络室内无线覆盖方式不同的是，在建筑楼室外配置大功率室外型AP的无线接入点要相对复杂一些，既要对各自所需的公共“热点”区域实施无线覆盖，又要依靠比较靠近的各栋建筑楼内的有线网络，通过以太网络连接室外型无线接入点AP将无线用户连接到医院网。所以我们建议在所需覆盖的室外“热点”区域，要合理选择适合的位置放置无线接入点AP，并要保证在一定距离范围内或有可能信号会弱的地方保证高的接入速率，所以我们建议使用外接式的高增益的全向/定向室外天线，这样就可以实现相对较广的范围区域内的无线连接了。但我们还需要考虑到用户密度，可以适当考虑增加AP来覆盖整个区域。另外需要考虑全向/定向室外天线的垂直发射夹角，所以可以通过用低位置放置室外型全向天线覆盖较近的区域,用高位置放置室外型定向天线覆盖较远的距离。图：室外热点覆盖如上图所示可以采用在楼体外，部署外置天线来满足园区内的无线覆盖。 在本设计项目中，根据省人民医院无线网络的使用要求，我们预算的室外AP安装数量如下： 位置AP型号数量东川路院区WGAP9508惠福路院区WGAP9503平洲院区WGAP9503合计：143.4.3医院用户无线控制器安全策略建议整个无线网络设计将对所有无线接入访问实现全面的安全身份认证和行为控制策略；所有无线网络覆盖区域的AP均核心机房放置的无线控制器统一配置/管理/监控,为所有无线网络客户端用户提供可选的多种身份认证的方式(WEB,802.1x,MAC,Guest帐号等);同时,强劲的无线控制器具有状态包检测机制（SPI）和入侵检测特性，可提供灵活基于帐号,SSID,IP,协议,MAC,VLAN和时间的ACL安全控制手段，可以防止来自无线网络的黑客和病毒的攻击,比如DoS,ARP,RF攻击,AD-Hoc终端,非法欺骗/攻击等;无线控制器甚至可提供为每个无线接入用户定制个人身份策略，可定制访问权限,时间，流量限速,业务流分类和优先的功能。保证所有无线用户的身份统一集中的管理，自由自在的漫游。我们推荐:建议在核心层/或异地部署两台NETGEAR无线控制器(即N+1模式),就可以轻易实现基于VRRP的冗余备份的主控保护, WNAC9505无线控制器一组最大支持7+1台冗余备份;WNAC7512无线控制器一组最大可实现15+1台,一组中任何一台NETGEAR无线控制器故障/损坏,备份无线控制器可以立即无缝接管其连接的所有AP,并保持其所连接的无线客户端应用连接,不中断;实现核心层设备最大的可靠性和稳定性设计. 通过无线控制器提供的安全和管理控制特性,可以帮助医院无线网建立统一的内部安全调配，通过先进的入侵检测/防御功能来无线设备自身和无线终端的安全、增强的非法无线设备检测，优化WLAN的性能,无线信号检测、无线终端追踪定位和无线电波传输分析等强大的功能;NETGEAR无线控制器所具备的强大的入侵检测(IDS)防火墙特性能够保护暴露的无线网络免受例如未授权用户、网络病毒等内部安全威胁影响。结合医院网的应用管理特性,可以有效防御/阻止无线客户端IP地址占用,ARP攻击,CPU攻击等;另外直观的内置管理界面可提供CPU当前状态,流量性能监测/分析系统,射频监控/状态分析，可精确检测到非法无线AP和无线用户的连接和接入,并及时告警,记录和阻止.智能流分类功能,自动匹配和优先处理无线终端发起的敏感的语音,视频数据流和特定的重要数据,自动转发到相对应的VLAN内, 如VoIP电话,PDA和PC上的软电话等等;从而为基于从无线终端-无线AP-有线网络的”端到端”的QoS提供了保障.基于应用层的安全控制,可有效控制类似BT,eMuLe等P2P软件下载,避免无线网络带宽资源被占用和阻塞; 以上相关技术与实现原理请参阅后面章节的描述。3.4.5无线AP的防盗和避雷措施 无线控制器具有的定位和状态监控/告警特性,可实时提供设备在线状态的监控,对于某个物理位置的无线AP下线/中断连接,提供详细的日志记录和告警信息; 可提供网管员最直观的从无线控制器的配置界面里设备位置图中,找到此AP的精确位置,第一时间去现场查找AP被盗的第一手信息;这里,我们建议现场部属的AP可辅助一些安全措施,比如由于室内型无线网络AP的部署都在楼道吊顶和悬挂在墙壁高处,我们可以为这些无线AP定制一个铁皮箱,铁皮箱将被固定悬挂在墙壁高处或楼道吊顶内;铁皮合设有一个可开启的铁皮门,此们可通过锁将铁皮合锁定,同时也便于网络管理员取出AP; 无线AP将放置在铁皮合内,;铁皮合的上下两侧开有园孔,可将AP自带的天线从圆孔中伸出,以便于无线信号最大化的发射; 另一侧的圆孔,以方便楼层内部署的太网线连接AP,此种定制的防盗合的固定装置是藏在铁皮合内的,要比那些在AP上设计的所谓”防盗锁链”的装置要牢固的多.那些防盗锁链由于比较细,很容易被拉断;而且防盗锁链的固定件是暴露在墙壁上的; 如果室外覆盖采用的NETGEAR大功率AP,外壳背侧具有紧固装置件,可牢固放置在较高墙体外侧或固件在架杆上;室外型AP外壳具有电信级IP61设计,可防晒,防水,防尘; NETGEAR 企业级系列室内/室外型AP,从产品设计角度而言就针对了运营商和公共”热点”的特性,在外壳处均具有设计的避雷接地装置,同时,AP的以太网端口连接的以太网供电交换机也具有设备安全保护措施,一但发现设备故障或短路的现象,在400ms之内立即切断电源的供应.可有效保护和防止交换机端口的损坏;四、NETGEAR无线控制器优势特性4.1 全方位管理的解决方案具有统一无线网络设备管理、统一医院网用户认/管理和统一安全应用策略的企业级WLAN解决方案。NETGEAR系列无线控制器采用了目前最先进的并行多核多业务处理器及高速ASIC 作为业务和数据处理平台，并基于业界领先的智能分布式WLAN 交换架构进行开发。具有强大灵活的无线用户及Fit AP 管理特性，最高规格的单台无线控制器可达1024 个FIT AP和32K 无线用户管理能力，两款无线控制器都可提供