柳州工人医院3#住院楼信息科机房

柳州市工人医院无线内网网络建设项目技术要求第一章 网络设计要求一总体要求无线内网网络建设，目的是建立起覆盖总院3号楼、总院5号楼和西院区域的无线网络以支持院内的移动医疗业务，实现手持终端、专用PDA、平板电脑、移动诊疗设备、移动护理推车、个人手机等设备的网络接入；采用无线局域网主流协议标准802.11ac，并与802.11n、802.11b、802.11g标准兼容,可同时支持2.4GHz、5GHz频段。同时，所有设备不能对我院医疗设备产生干扰。无线网络系统需要具备良好的可扩展性。在实施无线覆盖工程时，应综合考虑信号覆盖及单个AP的并发用户数，根据实际情况进行灵活的AP选型。同时无线网络系统的建设和AP的选型能支持2.4GHz、5GHz双频段同时工作，并考虑到无线网络对物联网应用的扩展支持。无线网络覆盖区域。此次网络建设，在柳州市工人医院总院3号楼、总院5号楼和西院大楼内实施全覆盖，应用于建筑物内医护人员主要活动的区域。充分考虑室内实现无线网络的不同情况和特点，特别是如手术室、重症监护室等特殊区域，采取合理的布网方式满足现在以及未来发展的需要。无线网络架构。无线网络系统能够支持冗余设计，并能针对总院和分院进行整体方案设计，达到某一院区的关键无线设备，如AC、准入控制服务器等，在宕机或断电情况下，AP仍能正常转发，其他院区无线仍能使用，不造成全院范围的无线业务中断。优先考虑所有无线设备，经过汇聚后再通过我院核心交换机接入院内原有网络。除现实施工确实有困难的情况下，尽可能避免无线设备直接使用现有有线网络接入内网。无线网络安全和网络管理建设。无线网络方案设计易实施、系统易管理。在目前已有的设备和系统的基础上，实现无线网络系统的管理和安全防护，在提升无线网络的使用效率的同时全力确保院内医疗数据在传输、存储过程中的安全与保密工作。拥有完善的认证和准入机制，能分别对用户和终端设备设置准许接入的区域，并能保存历史数据和用户漫游记录。二、安全要求按照柳州市公安局网安支队要求，在我市开展无线WIFI前端建设的厂商应当到柳州市公安局网安支队提交无线WIFI相关资料进行备案。所有提供的无线接入设备或安全设备必须取得有效的计算机信息系统安全专用产品销售许可证，产品安全性能符合互联网安全保护技术措施规定法律规定要求。所建网络需严格按照计算机信息网络国际联网安全保护管理办法、互联网安全保护技术措施规定等法律法规要求，依法落实无线网络安全保护技术措施。三、物联网拓展要求总体原则：应符合物联网智慧医院建设总体目标所要求的设计思路：顶层设计、统一规划、按需配置、分步实施。 开放性原则：物联网应该具备良好的开放性和兼容性，扩展物联网应用时应不受协议、品牌和厂商限制；若有限制，请详细列明。复用性原则：整体网络架构简约、延展性强，扩展物联网时原有无线网络线路和设备重复利用率高，无需反复上天花板施工，避免重复建设投资；若需重复施工，请详细列明。安全性原则：物联网应保证有源设备不易被人为破坏或由于恶劣环境原因造成损坏（如吊顶漏水等），防止端口被非法利用带来信息安全隐患；可维护性：物联网扩展的有源设备应尽量集中放置在弱电井等安全可靠的环境中，在满足多种频段物联网信号稳定效果的前提下应尽量减少有源设备的数量和线路的复杂性，以减轻维护工作量和维护难度。第二章 具体技术指导柳州市工人医院无线内网网络各产品技术参数及功能要求如下表：序号产品名称技术参数及功能要求交换机124口POE交换机一方案要求1.要求所有无线网络独立成网，通过独立的汇聚交换机上联至无线网络核心交换机，在核心处接入我院现有主干网络。无线核心交换机与内网核心交换机之间需做好相应隔离措施和访问策略。2.请根据第5.1点我院网络连接情况决定交换机及所需配件数量，如光模块、光纤跳线等。二技术参数1. 提供10/100/1000MBase-T 端口数24，提供非复用的千兆SFP光插槽4；2. 支持POE供电；供电端口数24；交换容量200Gbps，包转发率80Mpps；3. 支持802.1x和WEB认证功能，且交换机端口802.1x和WEB认证可以同时开启，不会相互冲突制约；4. 支持SNTP协议、Telnet、Console、RMON、SSHv2、SNMPv1/v2/v3管理方式，支持Radius v6、Tacsacs+ v6、SSH v6；支持SNTP、Syslog，CLI兼容业界主流标准；5. MAC地址容量16K；6. 支持802.1Q的VLAN，支持protocol based VLAN，支持QinQ；7. 支持RSTP/MSTP；8. 提供ACL功能、满足对于ARP欺骗的防范；支持IPV4/Ipv6双协议的ACL及IPV4/Ipv6双协议静态路由功能，IPv4静态路由表容量30；9. 支持GVRP，支持链路检测技术；10. 端口上支持QOS队列7； 11. 支持纵向虚拟化，实现集中控制管理；12. 单台配置至少2个光模块 13. 五年以上现场，7*24,当天6小时到场服务；14. 为保证兼容性与统一管理，要求该项产品必须与汇聚交换机、核心交换机为同一品牌。2汇聚交换机一方案要求1.要求所有无线网络设备先通过汇聚交换机，再接入核心交换机的方式，连入我院现有主干网络。2.楼栋汇聚要求至少2台保证冗余，在网络设备突发故障的情况下，保证无线用户的正常使用。3. 请根据第5.1点所设计的网络结构决定交换机所需配件数量，如光模块、光纤跳线等。二技术参数1. 千兆光口24个，复用千兆电口4个，万兆SFP+接口4个，提供扩展槽位1个，可扩展防火墙插卡、万兆接口模块和专用堆叠模块；2. 交换容量500G bps，包转发率200Mpps；3. 支持802.1x和WEB认证功能，且交换机端口802.1x和WEB认证可以同时开启，不会相互冲突制约；4. 支持SNTP协议、Telnet、Console、RMON、SSHv2、SNMPv1/v2/v3管理方式，支持Radius v6、Tacacs+ v6、SSH v6；5. 配置2个模块化风扇和2个模块化交流电源，需支持热插拔；6. 支持IEEE 802.1Q（VLAN），VLAN4K，支持IP标准、IP扩展、MAC扩展、专家级、ACL80、IPV6ACL、基于VLAN、基于端口、基于协议、基于全局等方式的访问控制列表；7. 支持ARP、IP包过滤、策略路由；8. 支持IPV4/Ipv6双协议的ACL；9. 支持静态、OSPF、BGP、PIM-SM、MP-BGP，MPLS/BGP VPN，BGP4等路由协议；10. 支持IPv6静态路由、手工隧道、自动隧道、PBR、IPv4 Over IPv6等IPv6路由协议；11. 支持MAC地址表64K，ARP表项12K， 路由表20K；12. 五年以上现场，7*24,当天6小时到场服务；13. 为保证兼容性与统一管理，要求该项产品必须与接入交换机、核心交换机为同一品牌。3核心交换机一方案要求1.要求所有无线网络设备先通过汇聚交换机，再接入核心交换机的方式，连入我院现有主干网络。2.无线内网核心交换机要求至少2台保证冗余，在网络设备突发故障的情况下，保证无线用户的正常使用。3. 请根据第5.1点所设计的网络结构决定交换机所需配件数量，如光模块、光纤跳线等。二技术参数1. 千兆电口24个，千兆光口20个，万兆SFP+接口4个；2. 整机主控引擎插槽2个，业务插槽6个，交换网板插槽2个；3. 交换容量30T bps，包转发率5500Mpps；4. 提供双主控引擎板、两块独立槽位的交换网板，提供冗余电源；5. 支持“多虚一”与“一虚多”同时使用，彻底实现资源池化；6. 支持SNTP协议、Telnet、Console、RMON、SSHv2、SNMPv1/v2/v3管理方式，支持Radius v6、Tacacs+ v6、SSH v6；7. 支持整机ACL表项64K；8. 支持IEEE 802.1Q（VLAN），VLAN4K；9. 支持ARP、IP包过滤、策略路由；10. 支持IPV4/Ipv6双协议的ACL；11. 支持静态、OSPF、BGP、PIM-SM、MP-BGP，MPLS/BGP VPN，BGP4等路由协议；12. 支持IPv6静态路由、手工隧道、自动隧道、PBR、IPv4 Over IPv6等IPv6路由协议；13. 五年以上现场，7*24,当天6小时到场服务；14. 为保证兼容性与统一管理，要求该项产品必须与汇聚交换机、接入交换机为同一品牌。无线AP4入室AP一方案要求方案提供方必须提供AP覆盖方案的系统结构图。需包含系统结构说明，AP及配件名称，部署和覆盖方式等详细内容，保证千兆上联，支持或通过扩展可支持RFID、蓝牙、 ZigBee等各类物联网应用。二技术参数1. 千兆上行口1个；2. 同时支持802.11ac和802.11b/g/n工作；3. 保证双频入室，房间内（不超过20）任意位置任意频段的无线信号强度-65dBm；4. 移动医护终端在病区内任意移动需保证移动过程中无线数据传输零丢包，保留测试权利；5. 支持802.11ac Wave2协议，支持MU-MIMO；6. 支持2.4GHz/5GHz双频段同时工作；7. 支持胖/瘦AP两种工作模式的切换；8. 支持mac认证、Web认证、802.1X认证、WAPI认证； 9. 为保证兼容性与统一管理，要求所有AP设备为同一品牌。5高密型AP一方案要求方案提供方必须提供AP覆盖方案的系统结构图。需包含系统结构说明，AP及配件名称，部署和覆盖方式等详细内容，保证千兆上联，支持或通过扩展可支持RFID、蓝牙、 ZIGBEE等各类物联网应用。二技术参数1. 千兆上行口1个；2. 支持802.11ac Wave2协议，支持MU-MIMO；3. 支持2.4GHz/5GHz双频段同时工作；4. 支持3个射频，满足高密部署需求；5. 可同时工作在802.11ac和802.11a/b/g/n模式；6. 支持最大接入用户数200个；7. 支持胖/瘦AP两种工作模式的切换；8. 多用户实际业务体验指标：设备支持不少于100个1M码流的视频点播无卡顿。9. 支持mac认证、Web认证、802.1X认证、WAPI认证； 10. 为保证兼容性与统一管理，要求所有AP设备为同一品牌。6面板AP一方案要求方案提供方必须提供AP覆盖方案的系统结构图。需包含系统结构说明，AP及配件名称，部署和覆盖方式等详细内容，保证千兆上联，支持或通过扩展可支持物联网应用。二技术参数1. 千兆上行口1个；2. 支持802.11ac Wave2协议，支持MU-MIMO,采用双路双频设计，可同时工作在802.11ac和802.11a/b/g/n模式；3. 支持PoE以太网供电，也可支持本地电源供电;4. 支持胖/瘦AP两种工作模式的切换；5. 支持mac认证、Web认证、802.1X认证、WAPI认证；6. 为保证兼容性与统一管理，要求所有AP设备为同一品牌。无线控制器7无线网络控制器一方案要求1. 要求提供方案，控制我院所管辖的终端设备禁止接入任何非我院信息科许可接入的无线网络。2. 要求拥有可扩展提供AP数量1000。二技术参数1. 支持隐藏SSID，支持802.11ac、802.11a、802.11b、802.11g、802.11n、802.11e协议，支持基于SSID、Radio的用户数限制；2. 千兆电口4个，千兆光口4个；配置足够的AP管理授权数；最大可管理用户数5000;3. 支持PSK认证、MAC认证、WEB认证、802.1X认证，认证后能实现IP、MAC、WLAN等元素的绑定信息，保证只有合法的用户才能进入网络；4. 配置冗余交流电源，电源为模块化可插拔；5. 支持分层AC功能, 由一个总的核心层管理AC下挂多个接入层AC，管理AC也可直接挂接AP做接入和数据转发, 核心层AC实时监控接入层AC负载，并进行AC间负载分担； 6. 支持2层、3层无缝漫游；7. 支持防ARP、DHCP 欺骗，支持IP+MAC的绑定；8. 支持静态黑名单、动态黑名单，白名单，非法AP检测，非法AP反制，防无线泛洪攻击(Flooding Attack)，防仿冒攻击(Spoof Attack)， 防Weak IV攻击；9. 安全规范：支持802.11i标准，支持WAPI标准；10. 支持本地 Web认证，支持802.1X/WPA/WPA2认证，支持MAC地址认证, 认证后能实现IP、MAC、WLAN等元素的绑定信息，保证只有合法的用户才能进入网络；11. 支持内置potal服务器和用户帐号；12. 支持内置radius、外置raidus server和LADP协议；13. 支持在特定区域AP上启用特定WLAN，关闭其他WLAN的功能；14. 支持根据用户数量在AP之间进行负载均衡和根据实际流量在AP之间进行负载均衡的能力。15. 接入控制器软件版本支持分层AC功能，暨总AC能够对分支AC进行统一管理，自由选择认证点，分支AC支持本地漫游功能16. 为保证兼容性与统一管理，要求该项产品与所有AP设备为同一品牌。网络管理8网络管理平台功能要求1. 具有自动发现全网网络拓扑的功能；2. 单套可管理设备不得少于1000台。本次配置足够的设备和AP管理license,且设备管理license50个，配置AP管理license300个；3. 支持对拓扑图灵活的自定义功能，能够统一管理国内外主流厂家的交换机、无线AP、无线控制器等设备，并可对终端进行管理；4. 网络管理平台需包含硬件，硬件配置要求CPU 数量不少于2个，每个CPU 6核以上、内存32G,内存32G，SAS硬盘容量1T；配套数据库、操作系统、杀毒软件能以图形化界面标示各设备位置，支持网络业务可视化管理；5. 支持实时告警显示,支持对实时告警信息以及历史告警数据进行过滤查询和统计,支持告警分等级；6. 告警时显示故障位置，尤其是对室分、智分等天线入室设备，拥有发现天线故障的功能；7. 支持告警声提示、发Email、发短信等功能；8. 在无线网络攻击发生时，如出现暴力破解密码、DOS攻击等，除及时检测并阻断其行为外，还支持短信告警功能，并可标识攻击发生区域，达到基于端口或接入位置的定位；9. 支持自动获得网络的各种当前性能数据，能进行准确的故障检测和故障定位；10. 支持设置性能的阈值，当链路或端口的流量超过阈值时，发送性能告警。支持对CPU利用率、内存利用率、流量等关键指标进行排位；11. 支持折线图、方图、饼图等多种显示方式并能生成相应的报表；12. 可记录无线终端的上下线记录并根据终端漫游轨迹进行可视化回放；13. 支持对各种报表打印及导出功能。历史数据和用户漫游记录保存30天以上；14. 为保证兼容性与统一管理，要求该项产品与核心交换机为同一品牌。无线内网网络设计方案中如有未列出的产品或更高性能产品，请提供详细技术参数。如果有其他非AP接入的建设方式，请提供详细组网方案、设备数量和技术参数。第三章 医院网络连接及各楼层布局图说明5.1 网络连接情况说明柳州市工人医院主干网络拓扑图如下图：总院各个楼栋之间均为光缆连接，可分别连至容灾机房、中心机房。西院租用千兆光纤专线连接至总院中心机房交换机。总院3号楼、西院楼层间有多模光纤，总院5号楼楼层之间已无光纤可使用。西院与总院中心机房互联，目前租用运营商千兆光纤。总院5号楼和3号楼至中心机房的互联使用单模光纤。第四章 对工程实施的要求(1) 方案提供方必须负责设备运输、搬运及系统安装等实地工作和服务，方案提供方必须独立完成其方案的每个项目。(2) 整个无线建设施工费用包含所有的施工材料费用，如所需的光纤跳线、PVC管、交换机机柜等除楼栋光纤外的所有建设材料。(3) 由原厂负责本项目所有设备的拆封、上架、设备安装、调试以及测试验收，并提交相应的用户维护手册等中文资料。(4) 优先考虑由原厂工程队进行布线施工。非原厂施工队施工的请注明。(5) AP的安装。尽量安装在装修吊顶材料板的中央，以保持美观。AP相关的六类线、电源线，必须根据设计要求穿铁管或PVC管后布放，可靠地固定在楼顶屋面或墙面，不允许出现交叉和空中飞线的现象。(6) 线缆要求1)六类线需为国际知名品牌，且必须按照设计文件或设计方案的要求合理布放。布放应自然平直，不得产生扭绞、打圈接头等现象，不应受到外力的挤压和损伤。2)六类线缆终接后，应有余量。交接间、设备间对绞电缆预留长度为0.51.5米；有特殊要求的应按设计要求预留长度。3)对于不能在弱电井、走线井、吊顶内布放的六类线，应考虑安装在线槽内或套用PVC管。线槽或PVC管应尽可能靠墙布放并牢固固定。不允许有交叉和空中飞线的现象。4)六类线终接应符合设计和施工操作规程，终接前必须核对缆线标示内容是否正确，缆线中间不允许有接头，终接处必须牢固、接触良好，对绞电缆与插接件应认准线号、线位色标，不得颠倒和错接。5)光纤产品所附标志、标签内容应齐全、清晰。 光纤外护套需完整无损，光纤应附有出厂质量检验合格证。建议光纤品牌一舟、FIBRANET、安普。6)要求所有连到设备的连线都要粘贴防水标签，并注明该连线的起始点和终止点。(7) 施工方需要以周报的形式向院方信息部门汇报工程进度，并进行记录，工程施工剩余材料要收回，杂物、废物料应清除，因施工造成的设施改动（如掀开的盖板）应在施工完成后回归原样。(8) 方案提供方须免费提供3人及以上所购设备原厂技术培训。第五章 对售后服务的要求(1) 方案提供方需要购买五年原厂保修及维护服务，如设备厂家提供更长的保修期限，则按照设备厂家的保修期限执行。方案提供商在供货时，须提供原厂商的售后服务承诺书原件。(2) 全院无线覆盖的区域内，网络需要达到以下要求：1) 在目标区域的覆盖范围内，WLAN须同时支持2.4GHz 和5GHz信号发射，2.4GHz 和5GHz信号强度应始终保持在-65dBm以上；2) 网络延时不能超过10ms，无掉包；3) 实际传输速率保证达到下行100Mbps、上行50Mbps；4) 保证病区内不会出现设备