马鞍山人民医院无线网络工程实施方案

1、 马鞍山市人民医院1号住院楼无线网络系统施工方案编制单位： 安徽格图通信系统工程有限公司 编 制 时 间： 二一三年十一月 目 录一、需求分析31. 针对客户的需求分析：32. 需求设备清单43. 设备具体参数4二、实施方案91.拓扑结构92.设备选型和配置103.接入层ap部署104.设备位置定位105. 无线控制器及交换机等设备的ip地址规划设计115.2 无线ap的ip地址整体规划125.3 无线终端的ip地址整体规划125.4 ip地址表，如下图：126. ssid设计147. 数据加密148. 接入、汇聚交换机的网络实现方式149. 设备的安装1510. 信道设计1611. 每层的a

2、p点定位图1612. 施工进度计划表17三、需要解决事宜19一、需求分析 马鞍山第一人民医院1号住院楼共18层此次无线局域网建设项目是针对整座楼内除1楼和4楼之外的所有的病房、重症室、手术室等区域做无线局域网的覆盖，满足医护人员的日常数据网络应用需求。1. 针对客户的需求分析：1） 考虑无线局域网能够尽可能使得每个无线 ap都被使用：无线局域网能够根据周围环境检测覆盖漏洞，自动调节无线射频发射功率以适应物理环境并保持在标准范围内。2） 考虑无线局域网能够在所有时间被利用：无线局域网应该支持包括无线网状网在内的多种组网方式，从而可以支持各种突发无线局域网接入需求。3） 考虑无线局域网安全性：因该

3、项目的无线局域网只针对医护人员使用，故用单个ssid实现无线的便捷管理和漫游需求。4） 实现无线局域网络和现有网络的无缝对接：无线网络即使一个独立的网络也是一个与有线网络相辅相成的网络，确保和现有网络的无缝对接。经过前期的现场测试和勘察各层的ap分布如下图所示，共计85个无线接入点，5个备用。2. 需求设备清单 3. 设备具体参数序号技术功能名称招标文件提出的技术功能及相关技术要求投标货物的技术功能相关技术要求1无线控制器*1.单台控制器最多管理ap数量500个；1.华为ac6605-26-pwr-64ap单台最多管理512个ap 2.可配置ssid数量512个；2.可配置ssid数量512个

4、；3.支持对802.11a/b/g/n ap进行统一控制；3.支持对802.11a/b/g/n ap进行统一控制；4.支持内置1+1电源冗余，可插拔电源，根据需要选择ac/dc接入；4.支持内置1+1电源冗余，并配置双电源，支持交流供和直流二种供电方式。支持电源模块热插拔；5.支持无线终端跨ip子网的快速无缝漫游，良好支持语音业务，并保持全网漫游身份的唯一；5.支持无线终端跨ip子网的快速无缝漫游，良好支持语音业务，并保持全网漫游身份的唯一；6.支持802.1x，包括eap-peap, eap-tls, eap-ttls, eap-sim，eap-md5等加密技术；6.支持802.1x，包括e

5、ap-pap，eap-peap, eap-tls, eap-ttls, eap-sim，eap-md5等加密技术；7.支持基于用户名的安全策略，并支持跨交换机之间漫游的用户安全信息共享；7.支持基于用户名的安全策略，并支持跨交换机之间漫游的用户安全信息共享；8.支持wapi；8.支持wapi；9.支持ipv6；9.支持ipv6；10.支持dhcp server 和relay；10.支持dhcp server 和relay；11.支持rip v1/v2，支持 ospf；11.支持静态路由rip-1/rip-2、ospf、bgp、is-is、路由策略、策略路由12.支持snmp（v1、v2、v3）

6、，支持有线和无线网络的统一网管, 支持远程http、https配置管理；12.支持cli、snmp v1/v2/v3，有线无线一体化管理，在同一网管视图下可以看到有线、无线设备统一网络拓扑，支持远程http、https配置管理；硬件配置要求：此次配置：*1.10/100/1000m接口8个， 万兆口数量2个,配置2个单模光模块；1.10/100/1000m接口24个，4个combo接口，万兆口数量2个,2个单模光模块；*2.本次配置ap许可授权128个。2.配置ap许可授权128个2poe交换机*1.交换容量120gbps，转发性能42mpps；1.华为s5700-28p-pwr-li-ac交

7、换容量208gbps，转发性能42mpps； 2.提供ipv4和ipv6三层路由功能；2.提供ipv4和ipv6三层路由功能；3.提供基于端口、vlan下发acl，支持基于时间段的acl，支持基于硬件ipv6的acl；3. 提供基于端口、vlan下发acl，支持基于时间段的acl，支持基于硬件ipv6的acl；4.vlan表项4k；4.支持4k vlan；5.提供stp/rstp/mstp协议；5.提供stp/rstp/mstp协议；6.提供igmp snoopingv1/v2/v3 ，mld snooping；6.提供igmp snooping v1,v2,v3，mld snooping；7

8、.提供dhcp client、dhcp snooping、dhcp snooping option82功能；7.提供dhcp client、dhcp snooping、dhcp snooping option82功能；硬件配置要求：此次配置：*1.每台提供24个10/100/1000 base-t以太网端口，24端口均支持poe+供电；1.每台提供24个10/100/1000 base-t以太网端口，24端口均支持poe+供电；*2.每台提供4个非复用的1000base-x千兆sfp端口；2.每台提供4个非复用的1000base-x千兆sfp端口；3.每台提供千兆单模模块2个3.每台提供千兆单

9、模模块2个；4.与无线控制器同一品牌。4.与无线控制器同一品牌。3无线ap可支持瘦ap工作模式，协议支持802.11a/b/g/n，同时支持802.11a/n 、802.11b/g/n，单频速率300mb, 1个千兆电口，设备采用内置矩阵天线或硬件智能天线，支持poe和本地供电，内置2.4g及5.8g天线，支持标准802.3af poe供电方式及外部供电，支持802.1x认证、mac地址认证、psk认证、portal认证等,支持吸顶式或挂壁式安装要求 华为ap5010dn-agn可支持瘦ap工作模式，协议支持802.11a/b/g/n，同时支持802.11a/n 、802.11b/g/n，每射

10、频速率可达300mb,一个console口，一个10/100/1000m，用于有线以太网连接,并且支持poe功能，用于连接poe交换机或poe电源，设备采用内置矩阵天线或硬件智能天线，支持poe和本地供电，内置2.4g及5.0g天线，支持标准802.3af poe供电方式及外部供电，支持802.1x认证、mac地址认证、psk认证、portal认证，mac+portal混合认证等,支持吸顶式或挂壁式安装要求4汇聚交换机*1.交换容量160gbps，转发性能65mpps；1.交换容量256gbps，转发性能96mpps；2.提供静态路由、rip，ospfv2，bgp，isis，ripng，osp

11、fv3，bgp4+ for ipv6，isisv6；2.提供静态路由、rip，ospfv2，bgp，isis，ripng，ospfv3，bgp4+ for ipv6，isisv6；3.提供基于端口、vlan下发acl，支持基于时间段的acl，支持基于硬件ipv6的acl；3.提供基于端口、vlan下发acl，支持基于时间段的acl，支持基于硬件ipv6的acl；提供基于mac地址的acl；4.提供stp/rstp/mstp协议；4.提供stp/rstp/mstp协议；5.提供igmp snoopingv1/v2/v3 ，mld snooping；5.提供igmp snoopingv1，v2，v

12、3 ，mld snooping，pim-sm、pim-dm、pim-ssm；6.提供dhcp client、dhcp snooping、dhcp snooping option82功能；6.提供dhcp client、dhcp snooping、dhcp snooping option82功能；硬件配置要求：此次配置：*1.每台提供24个千兆光口；1.每台提供24个千兆光口；*2.每台提供2个万兆光口；2.每台提供2个万兆光口；*3.每台配置同品牌2个万兆多模模块，12个单模模块；3.每台配置同品牌2个万兆多模模块，12个单模模块；4.每台配置冗余电源；4.每台配置冗余电源；5.与无线控制器同

13、一品牌。5.与无线控制器同一品牌。5网线六类网线，知名品牌,网络线路要求:前端连接ap使用六类模块和成品跳线,后端使用六类配线架tcl网线六类网线，知名品牌,网络线路要求:前端连接ap使用六类模块和成品跳线,后端使用六类配线架6无线网管用b/s架构，对无线交换机、无线ap、poe供电交换机等设备实现统一网管(交换机面板、统一的无线有线管理、智能告警、直观的状态监控)；华为esight标准版用b/s架构，可以对无线交换机、无线ap、poe供电交换机及其他设备实现统一网管(交换机面板、拓扑管理、统一的无线有线管理、智能告警、直观的状态监控)；支持网络管理与用户管理联动，如通过点击拓扑楼层接入交换机

14、图标，可查看该设备所有接入用户帐户信息，查询在线用户列表、强制用户下线、下发消息、总在线用户数统计、不安全用户数统计等； 支持网络管理与用户管理联动，如通过点击拓扑楼层接入交换机图标，可查看该设备所有接入用户帐户信息，查询在线用户列表、强制用户下线、下发消息、总在线用户数统计、不安全用户数统计等；支持802.1x、portal、l2tp ipsec vpn、无线等多种网络环境的身份认证，支持基于端口的802.1x和基于mac地址的802.1x，可管理hub或非智能交换机下的多个用户；支持用户名、密码与用户ip、mac、vlan、设备ip、设备端口、主机名、域用户、ssid等多种元素的绑定认证；

15、支持802.1x、portal、l2tp ipsec vpn、无线等多种网络环境的身份认证，支持基于端口的802.1x和基于mac地址的802.1x，可管理hub或非智能交换机下的多个用户；支持用户名、密码与用户ip、mac、vlan、设备ip、设备端口、主机名、域用户、ssid等多种元素的绑定认证；支持对软件进行监控、对进程进行监控、支持对服务进行监控。支持纯白软件管理，终端用户只能安装该纯白软件列表中的软件，不能安装该纯白软件列表之外的软件。支持md5方式进程检查，即使修改进程名也无法逃避检查；支持对软件进行监控、对进程进行监控、支持对服务进行监控。支持纯白软件管理，终端用户只能安装该纯白

16、软件列表中的软件，不能安装该纯白软件列表之外的软件。支持md5方式进程检查，即使修改进程名也无法逃避检查；使用同一个客户端实现网络准入、用户认证、终端安全状态检查、桌面资产管理等所有功能，避免多个客户端带来的管理不便；使用同一个客户端实现网络准入、用户认证、终端安全状态检查、桌面资产管理等所有功能，避免多个客户端带来的管理不便；配置网络智能管理软件一套,配置100个无线ap管理授权；配置终端安全准入控制组件，提供管理客户端350个端准入的授权。配置网络智能管理软件一套,配置100个无线ap管理授权；配置终端安全准入控制组件，配置管理网络设备60个，提供管理客户端500个端准入的授权。 二、实施

17、方案1.拓扑结构如下图所示，在整个无线网络系统当中，汇聚交换机s5728c放置在11楼，与各楼层poe交换机之间采用光缆进行互联；而楼层中的ap通过隧道汇接回到各poe交换机均通过六类网线互联，无线控制器ac通过旁挂式与汇聚交换机相连来控制各ap。各楼层的ap互联到poe交换机的方式如下图所示，因为其他楼层的ap都是相似的摆放五台，其大致的相差距离在6米左右。具体的视调试情况而定。在这样的网络实现当中，ap上用户的流量都将通过ap与无线交换机建立起的隧道，流向无线交换机，在经过相应的策略匹配之后，用户会被要求认证，或者流量会被转发/丢弃。2.设备选型和配置 此次无线覆盖范围主要考虑是在医院环境

18、中的无线用户接入。在室内部署华为的ap5010dn-agn(11n,室内普通型2x2双频,内置天线,不含电源适配器)，因为采用了poe供电交换机s5700-28p-pwr-li-ac(24个10/100/1000base-t以太网端口,4个千兆sfp,poe+,交流供电)，故此处省去了相应的供电模块及电源的考虑。3.接入层ap部署 该方案能够方便的实现跨三层部署，接入层的ap部署只是需要拿到属于自己的ip网络设置和网络中已经部署的汇聚交换机ip地址即可。这样的架构大大简化了传统无线网络部署当中的复杂程度，减轻了ap设置与用户设备以及ap所连接的有线网络配置相杂揉的状况。4.设备位置定位（1）p

19、oe交换机： 三楼、五楼、七楼、十一楼、 十三楼、十六楼（2）ac控制器和汇聚交换机：信息中心机房（3）网管服务器：放置在信息科（有链路可达）（4）无线ap：2楼8个、3楼7个、5-18楼每层5个 共85个 （5）汇聚交换机到各poe交换机使用光缆互联5. 无线控制器及交换机等设备的ip地址规划设计 无线ap的vlan 和无线终端的vlan 为了方便管理和维护，建议无线ap采用某个vlan ，而无线终端的vlan 不要跟无线ap在相同vlan 中。 无线ap和接入层有线交换机下的pc终端不同属于一个vlan ，这种部署方式的优点在于接入层需要为无线局域网的设备进行单独考虑，无线 ap和有线接入

20、层的无线终端在进行规划的时候需要分别设计，无线ap的ip 地址和vlan 与无线终端无关。 具体建议如下： (1) 无线ap及poe交换机和汇聚交换机和ac控制的管理地址使用同一个管理vlan 100 ，ip地址段使用/24(2) 无线ap的终端接入设备即业务地址使用vlan 2 ,ip 地址段使用 /24(该地址段根据客户终端数量而定掩码）5.1 vlan 和无线ssid的关系 无线控制器组网，当无线终端加入到无线网上的一个ssid 时，很容易与vlan 绑定，无线终端漫游到不同无线 ap上，因 ssid的缺省vlan 实际上是穿越接入层到无线控制器

21、上，用户的vlan 是无需在每个接入层上开通。 但亦有可能ssid在不同的无线ap接入点时，它设置的缺省vlan 是不一样的。当有这样的情况出现时，无线终端从一个无线 ap接入点漫游到另一个无线ap接入点时， dhcp 协议应会重分发给无线终端新的ip 地址，但如果无线终端的ip 地址更新的话，它先前建立的所有应用连接就会被切断。这样的无线局域网实际上就不能支持跨三层无线漫游。针对医院的特殊业务要求，只使用一个ssid和vlan 使得无缝隙的进行三层无线漫游。这里通常网络管理员一般用一个c 类地址设置一个子网，网络的掩码一般是() ，每个子网内是253 个用户，这主要

22、是为了减小广播域。5.2 无线ap的ip地址整体规划 大规模实现无线局域网接入，不需要在现有的局域网上做很多路由的修改，无线ap所在的vlan 和无线终端的vlan 是独立分开的，无线ap 所属於的vlan 是其所在楼层有线网络设备交换机所提供的vlan ，无线ap的ip 地址也是同样属于其上联的接入层有线交换机。当然，用户只须在无线控制器上统一分配地址即可，这个ip 地址可以是通过dhcp 来分发，可以是以静态ip 地址方式配置在无线ap上。 5.3 无线终端的ip地址整体规划 由于无线终端的传输是通过无线ap 内已建立的gre 隧道和无线控制器互连的，所以实际上无线终端的vlan 是无须在

23、接入层和汇聚层存在。当大规模开展无线局域网时，就无须把在不同接入层上新增的无线终端vlan/ip 子网逐一在局域网上打通。无线终端的vlan 是可透过无线控制器和骨干交换机互连互通。 5.4 ip地址表，如下图：（1）交换机管理地址段：（2） 各楼层的ap的地址及信道： 6. ssid设计 ssid 的最主要用途是可让无线终端以不同的安全认证和加密方式接入无线局域网。 根据马鞍山人民医院1号住院楼的实际情况，在设计实施方案中给出如下无线ssid的规划： 设计统一的ssid供工作人员接入无线网络，设置ssid为马鞍山人民医院的简称masrmyy并设置为隐藏，防止外来人员使用，并在此基础上设置密码

24、增强信息的安全性。 7. 数据加密架构中的集中式加密解密模式尤其适用于对于数据传输具有严格私密性要求的场所。在控制中心和终端之间的来往控制信息以及数据都不希望受到非授权用户的任意监听进而窃取其中的敏感信息，端到端的通信受到先进加密算法的保护。架构中可以对二层的无线网络数据采用多种加密认证，其中有：1）支持open-system认证方式2）支持wep认证/加密方式3）支持wpa/wpa2psk认证/加密方式4）支持wpa/wpa2802.1x认证/加密方式5）支持wapi认证/加密方式在应用层对所传输的数据进行加密，灵活的满足不同应用场景的需求。此次施工中选用的加密方式是wpa/wpa2psk认证/加密方式。 8. 接入、汇聚交换机的网络实现方式通过1中的网络拓扑图可以看出，每台接入交换机都是通过光纤链路汇聚到汇聚交换机。其中二层链路使用trunk模式透传管理vlan和业务vlan，三层链路均通过缺省路由ip route-static 54 指向汇聚交换机。需要访问医院网络的所有数据全部通过汇聚交换机递交给信息中心的核心交换机。网络布线在有走线槽处均从走线槽布线，