H3C公司XX医院无线医疗方案技术建.docx

XX医院无线医疗方案技术建议书杭州华三通信技术有限公司目 录1无线技术发展历程52无线网络是医院信息化建设的关键63无线网络选择的关键因素73.1无线网络架构选择73.2无线网络安全问题93.2.1设备安全103.2.2用户接入安全103.2.3网络安全113.3无线信号的干扰123.4无线系统同医院HIS系统的融合133.5无线网络规划实施问题133.6无线网络管理问题133.7如何计算无线网络TCO(总体拥有成本)143.7.1设备成本143.7.2运营成本173.7.3机会成本224XX医院无线网络需求概述234.1总体要求234.2覆盖范围234.3技术要求244.4工程要求255XX医院无线网络整体设计255.1无线网传输设计255.2无线网接入设计275.3网络准入设计285.4网络管理设计305.5安全方案设计355.5.1防ARP病毒355.5.2无线入侵检测355.6多SSID运营设计375.7部署与实施设计386XX医院无线接入方案416.1消化病医院416.2门诊楼416.3住院一部426.4住院二部436.5住院三部436.6住院四部446.7器材科446.8皮肤科446.9教学楼456.10门诊二期456.11会宾楼456.12骨科楼456.13心血管内外科楼456.14神经内外科楼466.15输血科楼466.16眼科门诊楼466.17信息科楼466.18室外区域467XX医院无线业务系统设计477.1无线HIS系统477.2无线语音系统设计487.3无线监控系统设计497.4无线定位方案设计508H3C无线覆盖方案清单509H3C关键产品介绍529.1H3C WX6000系列无线控制器529.1.1产品简介529.1.2产品特点549.1.3产品规格589.2H3C WA2600系列无线接入点669.2.1产品简介669.2.2产品特点689.2.3产品规格6910H3C无线医疗网优势7510.1802.11n网络7510.2高性能大容量无线控制器7510.3室内外统一瘦AP架构7510.4实时无线资源管理7710.5真正支持IPV67810.6绿色安全的无线网络7910.7丰富的工程经验和快速响应能力8011附：H3C公司售后保障体系以及用户认证培训体系介绍8111.1两小时厂家上门服务8111.2服务组织结构8111.2.1服务及时性保障8211.2.2服务有效性保障831 无线技术发展历程1999年，802.11b、802.11a标准相继发布，开启了无线局域网技术的大幕；2003年6月，采用2.4GHzOFDM射频技术的802.11g标准正式诞生，当年WLAN全球终端发货量25,930,000；2004年9月，Nokia、Moto、NEC、三星宣布推出蜂窝WLAN双模手机；2005年年初 ，世界第一个无线城市在美国费城启动；至2007年年底，每10万人拥有的热点数美国8.8个，英国18个，法国16个；中国热点数总共有5420个；有超过30家公司推出双模手机，型号达到110多个；2008年6月，Wi-Fi联盟公布，目前WLAN技术在全球的用户已超过4.5亿，WLAN 成为事实上的全球统一无线通信技术；2009年9月，802.11n标准正式发布、无线速率进入百兆时代；从1999年802.11b技术出现到2009年802.11n技术成为正式标准，WLAN的速率从11Mbps发展到300Mbps；伴随着WLAN速度的提升，双模手机、无线定位、无线摄像头、无线条码扫描枪、移动PoS等新业务和新产品快速推出；与此同时，无线医疗、无线园区、无线校园、无线城市概念也不断推出，伴随着这些新产品和新概念，WLAN用户数快速增长，截至2008年底，中国新建的无线城市数量达30多个，2009年全球WLAN用户将接近10亿。 对无线医疗网而言，使用802.11n技术是理想的选择。移动查房前期，医生护士专注于病患体征、遗嘱执行的无线数据业务，随着应用不断深入和效率的提升需求，PACS影像将被要求实现移动查询，传统的802.11g技术的54MHz带宽(实际文件传输速率20-25MHz)已经无法满足及时调用PACS影像的需求。而802.11n技术的正式推出，第一次把WLAN的速度提升到百兆以上(实际文件传输速率高达150MHz以上，是802.11g的6倍)，无线的带宽不再是装饺子的茶壶嘴，而MIMO技术的使用，也极大的提升了WLAN的抗干扰性、穿透力和覆盖范围，因此802.11n一经推出就得以快速普及，并取得了大量商用部署成果，在医疗行业进行了广泛部署应用。近来国内大型三甲医院新建的无线查房业务，选择802.11n技术的医院超过70%。2 无线网络是医院信息化建设的关键许多医院已经建立了功能强大的医疗信息管理系统（如HIS、PACS等），医护人员可以通过有线网络来访问、修改、输入患者信息、诊断报告和治疗方案，但在使用过程中发现，由于有线网络存在信息点固定的局限性，制约了系统发挥更大的作用。无线网络的应用彻底打破了这一局限。无线网络在医院的应用主要集中在以下几方面。n 无线查房医生在查房的过程中，往往需要随时调取患者的诊疗记录或病史等信息，并根据患者当时的具体病情随时下医嘱。无线网络的应用，可以使医生通过随身携带的平板电脑或PDA，随时查询患者的相关的信息。免除了在病房内为患者诊治时的总要拿着一大堆病例记录本的麻烦，并且能够更加准确、及时、全面的了解患者的详细信息。医生的查房工作变得简单轻松，而患者也能够得到及时、准确的诊治。n 方便患者就诊门诊排队、就医环境差是目前医院普遍存在的问题，减少就诊等待，提高诊治效率，避免由于就诊等待而感染疾病成为当务之急。无线网络部署后，医生可以通过配备的平板电脑或者PDA，将接诊或等待的患者数量信息登记传输到前台负责分诊人员的计算机上，方便分诊人员了解每个门诊医生当前的接诊情况，及时调配资源。开处方时，医生通过无线网络设备可以及时了解处方中药品的种类和数量等信息。从而避免在制定处方时因字迹模糊潦草、手工操作而导致患者拿错药情况发生，提高诊治效率。n 方便信息点的扩展有线网络增加信息点相对困难，施工时又会产生灰尘和噪音，破坏医院的医疗环境，部署无线网络后，增加一个接入点，只需要安装一块无线网卡，非常快速方便。 n 方便贵重医疗设备仪器的管理整体而言，无线医疗的应用场景如下，医院里日常工作及活动的方方面面都涉及到无线应用：应用分类 序号 应用名称 用户 使用环境 建议终端 相关应用系统 核心应用：突破有线的范围限制，实现随时随地共享病人信息 1无线查房 医生 病房 WiFi笔记本+手推车 HIS软件PACS软件等 2无线护理 护士 病房 WiFi PDA HIS软件PACS软件等 3无线分诊 医生 诊室 WiFi笔记本、WiFi平板电脑 分诊系统等 4无线输液 护士 输液室WiFi PDA HIS软件病房 PACS软件等 增值应用：借助无线网络和各类无线终端，实现药品、资产信息的快捷方便共享；提供信息接入功能 5无线办公 医护人员 医护办公室 WiFi笔记本、WiFi平板电脑 内部OA系统 6无线上网 病人 病房 WiFi笔记本、WiFi平板电脑 互联网接入系统 7无线药品管理 药品管理人员 药房 WiFi扫描仪药品管理系统 终端上的WiFi扫描功能 8无线人员定位 医护人员 医院 WiFi条码标签 人员定位软件 9无线设备定位 设备管理人员 医院 WiFi无线条码标签 设备定位软件 10无线监控 保卫人员 医院 WiFi摄像头 视频监控系统 11无线呼叫 医护人员 医院 WiFi手机、PDA等 IP语音通信系统 3 无线网络选择的关键因素3.1 无线网络架构选择无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。第一代无线局域网主要是采用Fat AP（即“胖”AP），每一台AP都要单独进行配置，费时、费力、费成本；第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈，由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radius client的安全密码 (secret) 等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量 (IP sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。在这样的环境下，基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和FIT AP（即“瘦”AP）的架构，对传统WLAN设备的功能做了重新划分，将密集型的无线网络和安全处理功能转移到集中的无线控制器(以下简称AC)中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。下表个Fit AP架构与Fat AP架构的技术对比表Fit AP架构 Fat AP架构业界主流技术，先进的WLAN架构。早期WLAN技术架构。AP零配置，易安装，软件/配置批量升级。AP不支持零配置，需要预先设置好配置文件，每AP单独安装配置。二级计算体系，AC主要完成用户验证、安全管理、移动管理，RF管理等通过，不仅可以通过更强的硬件平台实现更复杂算法，并使得多AP协同的优化算法实现成为可能，可以有效提高系统的功能和性能；AP仅需实现物理层功能和MAC中帧处理等高实时要求功能，AP侧无线处理能力极大提高 。一级计算体系，射频、漫游、加密、用户管理等功能全部在AP上实现，无法协同计算，AP侧对于无线处理能力较低。管理节点上移后，管理数据采集将针对AC而非AP，网管系统受限于AP处理能力和性能的问题得以解决，更复杂的管理逻辑成为可能；网管管理通过AC强大的计算能力管理所有AP。每个AP对外显示是单独的网元，管理成本和难度大大增加。 自动信道分配和选择、自动功率调整、智能负载均衡无法实现信道自动分配、功率自动调整和基于用户数或者流量的负载均衡更强的安全策略，支持WIDS；瘦AP防盗性强，不丢失配置数据。不支持WIDS，AP被盗后可以照常使用，配置数据会丢失。支持加密状态下的三层漫游不支持三层漫游Fit AP产品在推出多年后终于修成正果。Fit AP技术带来的AP零配置、即联即用、统一管理等便利，使得大规模部署WLAN网络成为可能。可以设想，不久的将来几乎所有的WLAN网络都会采用标准的Fit AP技术（支持CAPWAP协议），当然从保护投资考虑用户也会要求早期建设的Fat AP网络能够平滑切换成Fit AP网络。 同时，Fit AP架构，也很好解决了无线医疗中需要特别关注的无线漫游问题。需要特别注意的是，随着计算机网络应用的发展，核心网不仅要承载传统的语音、视频会议和数据应用，还会承载IP监控、IP/TV、备份数据等新的应用，新的应用需要高速带宽，包括为了更好地支持802.11n技术使用，位于核心的无线控制器(AC)应至少基于10G平台的体系结构，满足未来三到五年的需求。3.2 无线网络安全问题由于无线电波的开放性，任何人都能监听到信道中无线数据的传输，这就对无线网络的安全性提出了更高的要求。医院中，患者的电子病历、个人资料都被视为机密，一旦被泄漏、恶意修改，或者被其他机构获得，都会带来麻烦。同时，医院自身的信息保密也尤为重要，如果出现信息泄漏的情况，也会给医院造成难以弥补的损失。由此可见无线网络安全部署重要性。如何保证WLAN网络的安全性一直是WLAN技术在应用推广中面临的最大障碍。IEEE标准组织及WI-FI联盟为此一直在进行着努力，先后推出了WEP、WPA、802.11i等安全标准，逐步实现了WLAN网络安全性的提升。但802.11i并不是WLAN安全的终极标准，针对802.11i标准的不完善之处，中国在无线局域网国家标准GB15629.11-2003中提出了安全等级更高的WAPI(无线局域网鉴别与保密基础结构)机制，来实现无线局域网的安全。WAPI采用国家密码管理委员会办公室批准的公钥密码体制（椭圆曲线密码算法和对称密码体制的分组密码算法），分别用于WLAN接入设备的数字证书、证书鉴别、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。高安全性/复杂度的加密算法、支持双向鉴别、使用数字证书、支持完善的鉴别协议等是WAPI相对于802.11i的优势，也是目前业界最先进的WLAN网络安全标准。但是，网络安全应该作为一个整体体系，不仅仅关注安全标准，更要注重分层实施安全策略。因此，在这里创新性的提出了分层的安全体系架构，将WLAN的安全从单一的物理层安全延伸到设备安全、用户接入安全、网络层安全、管理安全等多个层面上，使用户在使用WLAN网络时能够像使用有线网络一样安全可靠。3.2.1 设备安全厂商所提供的无线产品应该能够通过以下手段来保证设备的安全可靠性：AP零配置传统的FAT AP组网模式要求在AP上配置并保存业务参数，一旦设备丢失，AP的配置信息就可能泄漏，形成安全漏洞。FIT AP不保存业务配置，这样可以有效避免设备丢失造成安全隐患。AP身份认证无线控制器FIT AP组网时，需要预先在无线控制器上输入AP序列号，防止非法FIT AP接入。无线控制器冗余备份AP可以根据配置选择最适合接入的无线控制器，将其它无线控制器作为备份。主用控制器故障时，AP会自动和备份无线控制器建立连接，提高了网络的可靠性。3.2.2 用户接入安全厂商对于用户接入安全应该包含三方面的手段：用户接入认证无线接入认证主要有802.1x接入认证、PSK认证、MAC接入认证以及有线网络常用的portal认证和PPPoE认证多种认证方式，还应该可以支持国家WAPI标准规定的终端接入认证协议。动态控制用户权限接入认证解决了用户的身份验证问题，通过和AAA服务器配合，无线设备应能支持对认证用户动态下发带宽、VLAN、ACL、优先级等参数，给不同的用户分配不同的权限。Hotspot用户隔离为了保证用户的行为可控，WLAN网络一个重要需求是用户的数据流量在AP本地不做交换，而经由BRAS设备交换和控制。厂商WLAN解决方案可以限制相同SSID下的接入用户的互访，达到用户隔离的目的。802.1x接入认证为了提高WLAN服务的数据安全性，IEEE 802.1x和IEEE 802.11i中使用了EAPOL-Key的协商过程，设备端和客户端实现动态密钥协商和管理；同时通过802.1x协商，客户端PAE和设备端PAE协商相同的一个种子密钥PMK（参见IEEE802.11i），进一步提高了密钥协商的安全性。PSK接入认证PSK认证需要实现在客户端和设备端配置相同的预共享密钥，而具体的认证过程实际上在密钥协商过程（EAPOL-Key密钥协商过程）中完成。在密钥协商过程中，预共享密钥将作为输入生成密钥协商使用的PMK。在WLAN应用中，PSK接入认证可以和MAC接入认证配合使用。MAC接入认证MAC接入认证是另外一种接入认证方式，当设备端发现客户端的MAC地址为未知时，设备端会发起对客户端的MAC地址的认证。MAC接入认证过程不需要客户端参与，MAC接入认证可以支持有线用户和WLAN用户。EAP终结和本地认证针对一些AAA服务器不支持802.1x接入认证方式，无法处理EAPOL报文的情况，厂商的无线产品应该支持对用户EAP报文的终结，与AAA服务器之间采用标准的AAA协议，而不是EAP over AAA协议。通过该功能可以有效的保护用户已有的投资。此外，针对一些企业客户不具备AAA服务器的现状，厂商的无线产品应该内置本地认证服务器功能，可以有效的节省用户的投资。3.2.3 网络安全为了保证无线用户之间以及其连接的整个网络的安全，仅仅保证接入点的安全性是远远不够的。应该从整个网络的安全角度出发，在以下几方面着手部署网络安全措施：端点准入防御厂商的解决方案应该能够从网络用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，加强了网络用户终端的主动防御能力，保护网络安全。其无线产品、端点客户端配合认证服务器，可以为用户提供一体化的整体安全解决方案。无线入侵检测系统厂商无线产品支持完善的无线入侵检测系统，能有效地提供无线攻击检测和防范，支持非法AP检测、白名单功能、黑名单功能、无线协议攻击防御等功能，无线产品应该支持多种攻击的检测，例如DOS攻击，Flood攻击，去认证、去连接报文的仿冒检测，以及无线用户Weak IV检测。安全策略统一部署厂商解决方案可以设置所有的用户数据流都经由无线控制器做集中转发，很容易在无线控制器上进行安全策略的集中部署。可以避免在大量分散的AP设备上分别部署安全策略，减少了维护和管理的工作量。智能流量控制厂商的无线控制器能够支持针对AP的下行流量限速，可以保证发往AP的流量被限制在AP处理能力范围之内，从而提高整个无线网络的安全可靠性。安全管理配合厂商的智能网管系统，厂商的无线设备可以支持完善的安全管理配置和告警，可以实现无线安全策略配置、非法设备监控和告警、设备信道调整告警等功能，极大简化WLAN设备的维护管理工作量，提升了设备使用的效率。3.3 无线信号的干扰n 无线设备对患者（患者体内植入心脏起搏器或心脏除颤器）潜在的干扰n 无线设备对医疗设备潜在的干扰3.4 无线系统同医院HIS系统的融合n 与HIS（医院信息管理系统）的挂号收费模块连接，读取患者基本信息及挂号就诊信息；n 与HIS的收费划价模块连接，掌握患者就诊流程；n 与HIS的药房调剂模块连接，读取发药信息。并可随时提供患者在各环节中的排队信息；3.5 无线网络规划实施问题无线网络实施也是需要解决的问题，归纳起来，主要有以下三点：n 无线实施过程中如何解决信号覆盖盲点问题建筑物的不同材质的墙壁会对无线信号的传输造成不同程度的影响，在实施的过程中，特别是在部署成大量AP时，如何实现盲点覆盖是必须考虑的问题。n 如何解决无线AP供电问题许多医院在开始建楼时并没有考虑到无线网络的部署问题，也就没有预留出电源供无线AP使用，如果重新改造电源线路，施工成本必然提升。n AP之间的干扰问题在一定的空间内部署多个AP，信号会有相互交错重叠，从而造成信号干扰。如何解决，需要关注。3.6 无线网络管理问题为了达到信号全面覆盖，无线网络中往往需要部署大量AP，如何对成百上千AP进行快速有效的配置和管理，融合到原有的管理系统中，也是许多医院在部署无线网络时关心的问题。虽然FIT AP解决方案在应用上取得了成功，帮助管理员实现了更加灵活地安装与应用，但管理无线网络却仍然是一项非常耗时且麻烦的事情，在大型企业网环境中尤为如此。传统的FIT AP解决方案由无线控制器（AC）及无线接入点（FIT AP）构成，虽然整个无线网络具有一些设备管理、安全管理功能和用户管理功能，但是与有线网络难于统一，无法在整个企业范围内实现用户管理及认证、服务质量控制和安全策略实施等。因此，通常引入无线网络会降低安全性，整个网络管理起来比较复杂，并且维护成本也比预期高。 有效地整合有线和无线网络，实现统一的网络控制、可扩展性、安全性和可靠性，对于企业应用具有重要的意义。把无线控制器功能集成到交换机或路由器平台之中，通过提供覆盖整个企业的设备管理、资源管理、安全策略、服务质量保证，可以构筑统一的、端到端的网络环境，将有效保证应用、保护用户投资、降低部署的复杂性、减少管理维护工作量，从而降低总体拥有成本（TCO）。一体化移动网络能够有效实现有线和无线网络的融合。通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全，为大型园区、中小型办公场所及远程分支机构提供安全的企业无线接入。一体化移动网络有效实现有线与无线的融合，减少了硬件投入，大大降低了企业大规模部署WLAN的难度，减少网络管理维护的工作量，提高了生产效率，最终实现降低企业TCO，提高了赢利能力，从全球WLAN网络发展格局看来，这种建网思路也将成为一种趋势。3.7 如何计算无线网络TCO(总体拥有成本)WLAN产品的成本不仅仅体现在产品报价上，更准确地应该是使用TCO(总体拥有成本)来进行衡量。TCO（设备成本、运营成本、机会成本）体现于建网各环节，下面的章节从TCO的角度综合分析WLAN设备5年总拥有成本，可以得出结论，各个厂家之间的 WLAN设备涵盖的高附加值有明显区别，通过以下几方面来来衡量医院总体拥有成本是比较合理的。3.7.1 设备成本A、WAPI部署关键对比项 说明 分项 优秀厂商实现方式 其他厂商实现方式 TCO成本差额（五年/AP） WAPI部署说明：WAPI是我国自主知识产权的WLAN安全标准，在WLAN网络中大力发展WAPI技术是国家信息安全的战略之一。优秀厂商：能够针对WAPI与现网认证设备融合，可实现运营级WAPI部署。部署WAPI认证服务器通过WAPI over Radius功能，可复用现网Radius服务器，无须购买单独的鉴别服务器需要单独购买建设WAPI鉴别服务器，约8-10万8万/2000台=40元（五年/AP）WAPI证书管理证书集中在AC控制器上管理，无需在AP上部署证书在AC/AP都要部署管理，每AP上证书的维护管理成本约50元50元（五年/AP）对WAPI接入的支持只需一个SSID即可实现WAPI/802.11i/明文三种模式混合接入需要分别创建三个不同的SSID实现三种模式的分别接入，增加的营销成本和管理成本约40元40元（五年/AP）B、IPv4/IPv6双协议栈关键对比项说明分项优秀厂商实现方式 其他厂商实现方式 TCO成本差额（五年/AP） IPv4/IPv6双协议栈说明：为了满足网络规划和业务演进的需要，网络需要关注IPv4和IPv6的平滑过渡。IPv6已成为建设热点。在无线医疗网中部署IPv6设备天然支持IPv4/IPv6协议栈IPV6在无线建设中是必备需求，是将来技术发展的必然潮流。如果不支持IPV6，估计五年内设备更换率为10%，以802.11n AP平均价格4500元计算，单AP更换需要增加成本4500元*10%450元。 450元（五年/AP）C、升级扩容关键对比项 说明 分项 优秀厂商实现方式 其他厂商实现方式 TCO成本差额（五年/AP） 升级扩容说明：随着WLAN网络的搭建，需要实现业务的动态、平滑扩展。应该选择AC设备采用插槽式设计，梯度丰富，容量庞大，可提供灵活丰富的业务插卡和license扩展能力。AP管理扩容（以在200个AP基础上扩容128个AP为例）购买128个license费用约4.5万单独购买新AC，需要成本及五年维护费用约22万（成本20万，五年维护费10%）17.5万元/328台533元（五年/AP）增加安全防护业务（可选）购买防火墙插卡购买独立的防火墙设备9万元/200台450元（五年/AP）增加流量管控业务（可选）购买流量管控DPI插卡购买独立的流量管控设备4万元/200台200元（五年/AP）3.7.2 运营成本A、节能环保关键对比项 说明分项优秀厂商实现方式 其他厂商实现方式 TCO成本差额（五年/AP） 节能环 保说明：近年来，节能减排持续受到各个国家和地区的普遍重视。医院客户普遍将成本均摊到各个科室，节能减排成为科室关注的焦点。优质厂商在整个产品设计阶段引入生态设计方法，通过器件和工艺引入源头控制、电源系统节能设计、智能的系统散热方案、高可靠性设计、智能化的能效管理软件等方法实现高效节能环保。PoE单点供电1）单点PoE供电，不需要额外的安装成本和维护成本。2）PoE供电能够按照作息时间进行自动开关电处理，降低能效和提升安全性。此项每年电费节省50元/AP。1）需要提供供电线路。此种情况下，额外的一次性增加安装成本（含电缆、插座、安装费等）约100元/AP。2）五年维护成本（含电源维护、更换费用等）约为50元/AP。400元（五年/AP）B、用户高密部署关键对比项 说明 分项 优秀厂商实现方式 部分厂商实现方式 TCO成本差额（五年/AP） 用户高密部署说明：随着无线应用的日益广泛，使用无线接入的用户越来越密集。厂商应该能够基于流量和用户的负载均衡技术，可通过流量、用户分担和多AP合路接入来实现高密度部署负载均衡高密部署可检测AP流量和用户密度，通过智能负载均衡实现高密部署没有有效的手段实现用户的负载分担将影响用户体验。在无线医疗典型应用中，查房客户端一旦并发较多，则无法全部线速接入，造成业务拥塞，影响医护查房效率。无法准确估量C、专业网络优化关键对比项 说明 分项 优秀厂商实现方式 其他友商实现方式 TCO成本差额专业的网络优化说明：经过充分优化的网络可提高设备接入用户量，提升设备利用率，在一定范围提高业务收入，并有效提升使用者的满意度。厂商应该具备成熟的网络优化方案和专业的网优团队，能够提供更优质的网优服务，提高网优效果。网络优化提供专业优质的网优服务没有经过充分优化的网络，由于用户体验的下降，用户的离离网率每增加1%，以每AP发展10个用户，全院服务500用户进行计算，均摊每用户的建设费用为800元，每离网一位用户则损失或浪费800元的投资。同时，未经过专业网优的网络环境相对故障率要比充分网优的网络要高，存在更多的人工维护成本和用户投诉成本，在此未计算在内。每离网一位用户损失或浪费800元投资D、有线无线一体化管理关键对比项 说明 分项 优秀厂商实现方式 其他厂商实现方式 TCO成本差额（五年/AP） 有线无线统一管理说明：通过对有线无线网路的统一管理，增强整网的可维护性。通过POE交换机实现远程电源管理，减少单点故障，减少维护人员投入。厂商的网管平台最好能够支持对AP、AC以及城域网设备的管理。能够通过POE交换机支持通过端口管理操作对AP进行远程电源管理。统一网管，统一命令行界面网管平台支持对AP、AC以及城域网设备的管理。POE交换机支持通过端口管理操作对AP进行远程电源管理。不支持无线有线统一网管，需要采购两套网管软件。一套网管系统的价格计为6000元，平均每个AP的网关费用增加6000/200=30元。不支持电源管理，每年有10的设备需要人工干预重启一次，每次现场人工干预费用为50元，五年成本增加50*5*10%=25元。55元（五年/AP）E、成熟的培训体系、丰富的中文资料关键对比项 说明 分项 优秀厂商实现方式 其他厂商实现方式 TCO成本差额（五年/AP） 1）培训体系 2）中文资料 说明：建设单位需要培养WLAN维护团队，为提供有竞争力的优质网络而提供良好保障。厂商应该对所有无线有线设备提供完整的全套包括工程、产品介绍、命令/操作手册、维护手册、常见故障排除手册等百科全书式的资料，并在本地具备成熟的WLAN网络培训体系成熟的培训体系、丰富的中文资料本土化的培训、资料输出中心，为客户提供全套从工程到维护的全面技术资料及培训体系。 部分友商的资料全部是英文，中文只有简单的产品说明翻译。而且没有完整的全套技术资料，给客户的工程师队伍培养，工程师维护能力学习带来困难。假设管理200个AP需要0.5个人力，每年每人培训费用和其他学习成本增加3000元，平局每AP 5年增加培训费用3000/200*5*0.5=38元。38元（5年/AP） 3.7.3 机会成本A、可管理、可运营特性关键对比项 说明 分项 优质厂商实现方式 部分厂商实现方式 TCO成本差额（五年/AP） 丰富的可运营可管理特性说明：三分建设、七分管理，WLAN网络的价值需要有丰富的管理特性来支撑。厂商应该具备全系列WLAN设备支持丰富的MIB特性与接口，可以与网管配合，提供逼真的物理拓扑和RF覆盖效果拓扑。网管特性提供丰富的网管维护功能。只能支持基本的无线网络开通，却不能医疗客户在运营管理方面提供丰富的可管理特性，无法满足可运营可管理的网络要求。如果需要达到运营级的管理和优化，需要进行网管接口和网管系统的定制开发，一般一套网管系统约4万元。4万元/2000台20元（五年/AP）4 XX医院无线网络需求概述4.1 总体要求l 先进通行的协议标准，采用无线局域网最新协议标准802.11n，与802.11a、802.11b、802.11g标准兼容，提供可供实际应用的稳定网络通讯服务。l 实现室内无线网络的合理分布，本次无线网络主要应用于无线查房、无线语音、无线OA等业务，考虑室内实现无线网络的不同情况和特点以及各区域终端数分布不均匀等情况，应采取合理的布网方式满足现在以及未来发展的需要。l 在实施无线覆盖工程时，如无特别说明，以考虑信号覆盖范围为主，单个AP的并发用户数及每用户无线上网带宽不作为工程的重要因素予以考虑。l 无线系统须具备对无线AP进行统一控制、管理的软硬件平台，软硬件控制、管理平台所提供的网元License数量与实际网元数量相匹配并易于扩充，网管系统须提供必要的网络监控、管理、统计、报表功能，提供足够数量的License授权。l 本次建设的无线网络做为有线网络的备份网，因此完全独立建设，包括POE交换机、线缆等均不共用原有线网络。4.2 覆盖范围本次建设主要覆盖医院的医疗业务区域、XX医院的教学区域、医院办公区域、及部分室外区域，现分别描述如下：1、医疗业务区域（1）XX消化病医院（2）住院一部（3）住院二部（4）住院三部（5）住院四部（6）门诊楼（7）门诊二期2、办公区域（1）器材科（2）会宾楼3、XX医院教学区域（1）教学楼4、室外区域门诊楼、住院一部、住院二部、住院三部、住院四部周边区域。4.3 技术要求l 室内无线AP输出点信号强度20dbm，室外无线AP输出信号强度-73dbml 无线接入点供电方式需采用IEEE802.3af POE交换机远程供电l 为了满足大容量并且以备扩容和发展，室内无线AP要求必须支持两个射频模块，可以工作在2.4GHz和5.8GHz频段l 无线接入点（AP）必须支持802.11n、IEEE802.11a、IEEE802.11b、 IEEE802.11g四种无线传输协议 l 无线AP必须支持通过802.3 af兼容的POE交换机供电l 无线AP必须支持无线用户的隔离功能，以防止在公共区域无线用户间的信息泄露l 无线AP必须支持Multi SSID功能，AP自身具备为不同SSID无线用户接入有线网络或互联网络提供不同身份认证策略的功能l 无线AP自身具备智能的、无需要辅助设备就可根据周围电磁波环境的变化，自动进行频道最优化设置，以达到最优化覆盖的目的l 无线AP之间可根据相互通告来获取对方连接的用户数量及流量，从而实现AP的负载均衡，并支持用户在不同AP间平滑漫游l 无线AP支持射频(RF)信号加密特性，支持802.11i安全标准，提供WPA2认证机制可同时提供TKIP以及AES加密方式，且AP具有自动识别客户端两种加密请求方式l 无线AP支持SNMP Vi/Vii管理及支持Watchdog功能l 无线系统的用户认证页面需要能够支持个性化定制，并完成与校园网当前使用的认证系统对接，从而实现无线用户上网时的接入认证，以达到对校园网上网用户进行统一认证及管理的目的l 无线系统须支持WPA以及WPA2认证，支持WPA/WPA2安全规范，支持标准的802.1x认证流程，内嵌Radius Server，支持EAP-MD5，EAP-TLS，EAP-TTLS，PEAP等多种认证协议l 系统须支持WEBDHCP认证，认证过程支持SSL的加密技术l 系统须支持基于MAC地址的认证，以及用户账号与MAC地址的绑定认证l 系统能够对用户进行访问控制（ACL）和策略路由，可建立完整的访问控制列表l 无线AP支持射频(RF)信号加密特性，支持802.11i安全标准，提供WPA2认证机制可同时提供TKIP以及AES加密方式，且AP具有自动识别客户端两种加密请求方式l 系统必须支持基于二层的用户隔离l 系统必须支持Portal业务，Portal Server支持可定制的Portal页面l 系统必须提供Web和SSH方式管理；支持SNMP v2/v3网管协议4.4 工程要求室内AP要求从室内进行覆盖的区域包括病房、医疗办公室、机关办公室、教学楼、实验室等区域，为了不影响建筑风格，要求设计方案考虑美学要求； 室外AP对于室外使用的AP设备，必须使用专业的室外型设备，并且有专门的防雷击措施来保护AP设备以及与AP相连的交换机设备。5 XX医院无线网络整体设计5.1 无线网传输设计本次建设的无线网络将做为有线网络的备份网.因此，无线网络的接入及传输均采用无线，传输网使用无线网桥设备，进行点对点组网，无线网桥中心站设在信息科大楼，远端站为本次将进行无线覆盖的各大楼。大楼内部AP采用五类线连接，使用二层POE交换机做为AP间的数据转发设备。二层POE交换机再与室外无线网桥连接。由于无线桥接要求中心站与远端站之间完全可视，本项目中门诊二期及会宾楼与信息科之间被门诊大楼阻档，所以需要在门诊大楼与住院一部大楼上增加中继点。其它大楼均可直接与信息科大楼桥接。无线骨干网示意图如下：5.2 无线网接入设计基于网络的先进性考虑,本次XX医院无线网络项目采用目前主流的无线控制器+瘦AP的架构,在实现对医院进行无缝覆盖的同时,又能够实现对无线网络的灵活管理配置,提高网络维护效率.室内型AP采用WA2620-AGN双频11n AP，WA2620-AGN支持两个射频模块，可以同时工作在2.4GHz和5GHz，在设备数量不变的情况下，把网络接入容量提高一倍，以满足WLAN用户快速增长的需求；室外型AP采用WA2220X-AGP专业型室外瘦AP，WA2220X-AGP充分考虑了室外应用环境的复杂性，解决了防水、防尘、防雷击，防高低温等多种因素的影响，同时能够接受无线控制器的统一管理；采用万兆高端无线控制器WX6103,性能上完全能满足对将近600个AP的管理。PoE交换机采用5100-26TP-PWR-EI PoE交换机，可以满足24口同时接AP的供电需求；管理方面，H3C iMC智能管理中心，通过在iMC智能管理中心上增加WSM无线业务管理组件的方式实现对无线控制器、室内AP、室外AP设备的统一管理。具体的逻辑组网图如下图所示：5.3 网络准入设计本次无线网络需服务于无线HIS系统、无线语音、无线监控、无线OA、无线定位等业务系统，主要有两大类终端，即手持终端（PDA、WIFI电话）、“傻”终端（无线视频编解码器）和PC终端（笔记本、台式机）,因此，网络准入也必须考虑分别针对上述终端的准入。手持终端及“傻”终端：此类终端采用MAC地址认证，通过确认终端备的MAC地址来识别终端的合法性，解决此类终端无法安装客户端的问题。PC终端：此类终端采用PORTAL认证方式，用户在认证通过前，无论访问什么地址，都会被重定向至PORTAL服务器，用户需要在PORTAL服务器上输入用户名及密码，认证通过后，会由无线控制器分配相应和权限。网络认证控制点在无线控制器上，所有AP数据流均集中转发，即所有数据流均通过无线控制器转发，确保无线控制器对用户准入的控制。n 无线EAD解决方案无线EAD（端点准入防御）方案中的iNode客户端支持统一认证，可以进行无线认证和安全认证的一次完成，从而方便部署和使用。在无线EAD方案中，拥有合法身份的用户除了被验证用户名、密码等信息外，还被检查是否满足安全策略的要求，包括病毒软件是否安装、病毒库是否升级、是否安装了必要的系统补丁等等。对于同时满足了身份检查和安全检查的用户，EAD会根据预定义的策略为其分配对应的网络访问权限，避免了非授权的网络访问现象，达到硬隔离的效果。 概括起来，H3C无线EAD解决方案有如下特点： 完备的安全状态评估。EAD客户端能够对终端进行包括病毒库版本、补丁、安装的应用软件、代理、拨号配置等安全认证检查，并支持和微软SMS、LANDesk、BigFix等业界桌面安全产品的配合使用，支持和国内外主流病毒厂商联动。 基于角色的网络授权。EAD可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。 扩展开放的解决方案。EAD解决方案为客户提供了一个扩展、开放的结构框架，最大限度的保护了用户已有的投资。 灵活方便的部署方式。EAD按照网络管理员配置的安全策略区别对待不同身份的用户，定制不同的安全检查和处理模式，包括监控模式、提醒模式、隔离模式和下线模式；此外，EAD还支持灵活的旧网改造方案和客户端静默安装等特性。5.4 网络管理设计H3C无线运营管理组件（WSM）在下一代业务软件平台iMC的基础上进行开发，不仅为用户提供了灵活的组件选择，同时符合业界主流的SOA架构，具备良好的扩展性，能够满足客户网络管理不断发展的需求。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。与iMC智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理、用户认证管理等功能，并可对网络中的其它设备进行统一管理，真正实现有线无线一体化管理。医院网络中既存在有线网络设备，又部署了无线网络设备，有线和无线分别单独配置和管理，对于网络管理人员来说比较麻烦。如果有线无线有机的结合起来，融合成一个整体，就会大大的减小了配置和管理难度，提高网络管理人员的工作效率。 医院无线网络建设的后期管理和维护也是不容忽视的重点工作，H3C IMC智能管理平台对有线、无线设备统一管理，轻松实现网络部署、拓扑监视、流量优化、安全认证、终端调配等管理功能。组件的主要功能和特点如下：1. 无线有线一体化管理H3C无线运营管理组件（WSM）作为iMC智能管理中心的无线业务管理核心，对于网络中的AC、FAT AP、AC、FIT AP、移动终端等无线设备与有线设备进行一体化集中管理，全网设备信息和状态一目了然。网络资源通过多种视图进行查看，视图内分组管理，将规模巨大的无线接入设备有效组织，便于用户维护。2. 多样化的拓扑管理H3C无线运营管理组件（WSM）中的无线业务逻辑拓扑帮助用户直观了解网络部署情况及设备/链路当前状态。系统可根据不同的方式组织资源，有效进行拓扑分组、真实组织全网资源。物理位置视图中用户可根据需要创建多纬度、多层次的物理位置结构，并在指定建筑物底图上根据真实情况摆放设备，逼近真实网络环境。无线有线一体化拓扑3. 无线终端定位和漫游记录审计H3C无线运营管理组件（WSM）可以直接在拓扑图中对移动终端的信息进行查看，包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等，并能查看各移动终端的全部漫游记录，使用户随时了解最终接入用户的情况，并对其接入轨迹进行审计。无线终端漫游记录审计4. RF覆盖管理和无线网络规划在实际无线环境的部署和维护中，需要关注无线设备的RF范围、覆盖管理以及无线网络规划扩容问题。H3C无线运营管理组件（WSM）可以用很直观的拓扑图表示出无线网络中的RF状况。无线RF覆盖状况5. 无线入侵检测和防护无线网络灵活多变，并且基础设施不可见，因此比有线网络更容易遭到越权使用。对于这类问题，H3C无线运营管理组件（WSM）提供了Rogue设备检测功能，可对无线入侵进行检测，可明确显示非法接入设备，并对其进行信息查询、加入黑名单及发起攻击等动作。无线入侵检测和防护6. 丰富的无线统计报表对网络进行运营管理需要对网络进行全方位的监控，从网络各种性能指标、告警指标中进行智能的统计和分析，才能有效从整体对网络状况进行衡量。H3C无线运营管理组件（WSM）提供了丰富的无线统计报表查询和定制功能，以帮助管理员对网络进行综合而全面的管理。5.5 安全方案设计5.5.1 防ARP病毒ARP欺骗攻击不