医院无线内网设计方案-WiFi解决方案

1、医院无线内网设计方案概况随着信息技术的快速发展，医院信息系统在我国已得到了较快发展，国内多数医院已建立起以管理为主的HIS（HospitalInformationSystem）系统,当前的发展重点则是建设以病人为中心的临床信息系统CIS（ClinicalInformationSystem）。临床信息化系统包括医生工作站系统、护理信息系统、检验信息系统（LIS）、放射信息系统（RIS）、手术麻醉信息系统、重症监护信息系统、医学图像管理系统（PACS等子系统，而这些系统将以病人电子病历EMR（ElectronicMedicalRecord,EMR为核心整合在一起。随着医疗改革的推进，医院正朝着以终

2、末质量管理向环节质量管理转变，从而提高医疗服务质量，缓和医患关系，提高医院的服务效率。与以病人为中心的服务理念相适应，医院信息化也从传统的内部管理为主的HIS系统，向以病人为核心的临床信息化系统转变。伴随着临床信息化，医院正逐步地实现无纸化、无胶片化和无线化。随着无线局域网技术的不断成熟和普及，无线局域网在全球范围内医疗行业中的应用已经成为了一种趋势。网络建设原则计算机网络系统设计必须适应当前网络各项应用，又可面向未来信息化发展的需要，因此必须是高质量的。在设计网络时，需要遵循以下原则：实用性和先进性采用先进成熟的技术满足业务需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数

3、据、语音、视频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。安全可靠性为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。系统设计应充分考虑到各个层面的安全风险，构建完整的安全防护体系，充分保证系统的安全性。同时，应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。灵活性

4、和可扩展性计算机网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据网络不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。开放性和互连性具备与多种协议计算机通信网络互连互通的特性，确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网、计算机等，坚持统一规范的原则，从而为未来的发展奠定基础0经济性和投资保护应以较高的性能价格比构建本计算机网络系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投

5、入来维持系统运转，提供高效能与高效益。尽可能保留延长已有系统的投资，充分利用以往在资金与技术方面的投入。可管理性由于系统本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在网络设计中，必须建立一套全面的网络管理解决方案。网络设备必须采用智能化，可管理的设备。最终能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为医院运作提供最有力的保障。网络方案设计无线组网拓扑图网络信息中心内网核心交换机40GEES路10GE1S路AC控制器敏捷控制器敏捷分布

6、式中心AWi-FiPoE交换机PoE交投机敏捷分布式Wi-Fi远端接入单元室内放装AP口口口DQO1#病房楼（病房）2#病房楼（病房）行政科研楼、医技楼、门急诊楼1#病房楼（公共区域）、2#病房楼（公共区域）无线组网方案介绍本项目无线网络设计方案主体由AC控制器、无线AP和敏捷控制器构成。AC控制器与敏捷控制器均位于中心机房的网络核心层，无线AP分布在各楼层的网络接入层。无线AP通过DHC求取到IP地址后，无线控制器即可自动发现无线AP并完成注册，实现对无线AP的集中式管控。敏捷控制器内置Radius服务器，负责对无线接入用户进行身份认证。无线AP为即插即用设备，AP加电后，自动发现无线控制器

7、，并且注册到控制器上才能为无线客户端提供无线服务。无线AP采用本地转发模式，无线接入用户通过核心交换机的网关自动分配IP地址，当无线客户端的流量到达APB,上网的业务流量通过核心交换机网关进行直接数据转发。AC控制器通过双10GE光纤上行链路连接到内网核心交换机，采用2台AC控制器实现1+1冗余备份。PoE交换机位于1#病房楼、2痴I房楼、医技楼、行政科研楼、门急诊楼的各个楼层弱电机房，上行通过千兆光纤链路连接到内网核心交换机，若对链路可靠性要求高，可通过双上行链路连接，实现链路冗余；同时通过千兆网线连接到各个室内放装式AP,为无线AP完成PoE供电及数据传输的需求。在1#病房楼、2#病房楼，

8、采用华为敏捷分布式WiFi方案，即中心APAD9430DN-24远端接入单元R240D中心AP通过千兆光纤链路连接内网核心交换机，并通过千兆网线连接到部署在各个病房内的远端接入单元R240D且同时为远端接入单元R240D5I成PoE供电与数据传输需求。无线覆盖方案介绍本方案中根据实际需求将室内型双频AP覆盖在各个点，静态为AP指定管理IP地址，并让AP和所需要建立隧道的无线控制器IP地址告诉AP,AP自动和无线服务控制器建立管理隧道，并获得配置。此时无线控制服务模块能管理并配置ARAP同时工作在2.4和5G两个频段。本项目是实现全院各病区的无线信号全面覆盖，病房床旁、过道、办公室、护士站内不能

9、出现信号死角。并采用目前标准的无线局域网技术，符合标准IEEE802.11a/b/g/n/ac传输协议，能便于各种WiFi设备如笔记本电脑、PDAWiFi电话等的连接。支持双频802.11ac工作模式，支持在2.4GHz和5GHz频段上向后兼容传统的802.11a/b/g/n客户端。支持2个空间流的2x2MIMOf口3个空间流的3x3MIMO带宽需达到1Gbps支持20MHz、40MHz和80MHz1道带宽。考虑无线AP的覆盖能力，冗余设计，接入容量，以及无线控制器的功能设置，整体系统架构做如下考虑：采用AC6605g入控制器，可通过旁路模式连接到医院的核心交换机，单台AC6605最大可管理1

10、024个AP,并通过2台AC6605现AC控制器的冗余备份。采用AP5030D即AP7030DE室内放装型AP）作为门急诊楼、医技楼、行政科研楼无线覆盖的无线接入点，以及1#和2#病房楼会议室、走廊、公共区域部分的无线接入点。采用AD9430DN-2叶心AP并搭配R240D®端射频接入单元作为1#和2#病房楼中病房部分的无线覆盖方案产品，该方案的架构如下图所示楼道走廊中心AP针对本次室内无线AP的布放选择需要考虑几个方面：网络工作频段采用802.11g单频AP部署会遇到仅有三个不重叠频点部署以及2.4G非许可频点产品（2.4G步话机、微波炉、蓝牙耳机、2.4G无线耳机、无绳电话等数百

11、种类型产品）的干扰等问题所以网络容量往往不能满足未来应用之发展需求。而随着双频802.11a/b/g/n/ac无线网卡及终端的普及，园区网络及大型企业WLAN的覆盖也逐渐由802.11n转为主流的802.11ac,并向下兼容802.11a/b/g/n。因此，建议采用同时能够提供双频的AP来进行网络部署。考虑到现阶段多媒体无线终端设备的情况，本次以2.4G频段覆盖为基础，结合5G频段覆盖进行设计。网络容量和性能传统的AP设备无论在2.4G还是在5G上最多只能提供54M的带宽，并且随着信号的强弱，所提供的带宽也会大范围的缩减，在信号的边缘有可能最终只能提供1-2M的带宽。而这是远远不能满足医疗办公

12、及病人上网的需求。所以本次室内建议部署支持802.11n或802.11ac技术的AP。在802.11n下最高可提供600Mbps带宽、在802.11ac下最高可提供超过1Gbps带宽，完全可以满足各种多媒体业务的需求。同时利用802.11n或801.11ac技术的MIMO（多输入多输出技术）、MRC最大合并比）、数据包聚合等技术还提供远超传统AP的高稳定性的网络。并且在客户端不支持802.11n或802.11ac的情况下也可以提供A/B/G的接入，网络性能提高30%。所有本次建设部署支持802.11n或802.11ac技术的室内AR无线射频规划WLANS道是WLAN络设计中重要一环，无线网络必

13、须对WLAN言道进行统一规划。WLAN®道规划的好坏，影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力，也必将直接影响到无线网络的用户体验。频点划分为保证信道之间不相互干扰，无线网络必须对WLANF道进行统一规划并实施。WLA陈统主要应用两个频段：2.4GHz和5.0GHz。2.4G频段具体频率范围为2.42.4835GHz的连续频谱，信道编号113,非重叠信道共有三个，一般选取1、6、11这三个非重叠信道。5.0G频段分配的频谱并不连续，主要有两段：5.155.35GHz、5.725GHz5.85GHz不重叠信道在5.155.35GHz频段有8个，分另为

14、36、40、44、48、52、56、60、64;在5.725GHz5.85GHz频段有4个，分别为149、153、157、161,可以根据实际部署情况，选择相应的非重叠信道。信道覆盖WLAN®道规划需遵循两个原则：蜂窝覆盖、信道间隔。根据覆盖密度、干扰情况、选择2.4G/5G单频或双频覆盖。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信号相互干扰；一般情况单独使用2.4G或5.0G的频段，对于报告厅、会议室和叫号等待区等高密度用户接入的场所，可以启用双频进行覆盖，以便提供更好的接入能力。单频覆盖和双频覆的示意图如下图所链路预算WLAN1路预算一般经过边

15、缘场强确认，空间损耗计算，覆盖距离计算等步骤。边缘场强确认是指：在WLA班程部署中，要求重点覆盖区域内的WLANI号到达用户终端的电平不低于一75dBm这样可以保障用户与AP的协商速率以及收发数据质量。空间损耗计算通常采用如下公式，其中：PrdB为最小接收电平，即为AP在不同传输速率下的接收灵敏度；PtdB为最大发射功率；GtdB为发射天线增益；GrdB为接收天线增益；PldB为路径损耗(包括空间传播损耗、馈线传播损耗、墙体/玻璃阻挡损耗)。实际部署中终端天线增益不可知，为方便计算常忽略接收天线增益，而采用如下公式：到达用户端的信号电平=AP发射功率+AP天线增益路径损耗。路径损耗主要指WLA

16、NB号的空间损耗，空间损耗=92.4+20lgf+201gd(f:GHzd:kM。由公式推算可知:空间传输距离m12m5m0m115m20m40m80m100m200m2.4GHz信号的空间衰减(dBm)16dB543.5dB63.5dB1dB775.4dB78.5dB86dB93.6dB96dB103.5dB5.8GHz信号的空间衰减(dBm)3dB562dB74dB13dB888.3dB92dB101dB110.1dB113dB122dB为便于理解链路估算的过程，这里给出一个室内场景覆盖的预算案例：根据WLAIS盖边缘场强的要求，到达终端用户的信号电平不低于75dBm100mWAP的输出电

17、平20dBm天线增益4dBi,距离AP60m处信号的衰减量90dBm由于20+4-90=-66dBm,大于-75dBm,因此在正常情况下，室内AP的覆盖范围为60m考虑到室内环境复杂，无线信号需要穿越墙体等障碍物，一般建议覆盖半径为20m左右。规划工具无论是室内还是室外，精细地覆盖规划都是一件非常有挑战的工作。很多项目的无线网络规划设计完全参照经验进行设计，与现网环境不能有机结合，不但缺乏科学的依据，准确率也不高，且规划效率低下。粗放的覆盖规划不能充分发挥WLAN勺性能，并且也给后期维护优化带来更多的工作量，增加后期成本。华为提供专业的规划服务工具，可以提供从规划、建设和优化全流程的工具支撑，

18、大大提升各种场景中覆盖规划的效率和准确性。，一.AI'JHXAF计算器PHU小EL0301告清单方便跟“华为W3N规划工具丁用户可以音看信号侑真藕舌图，哨队是杳满足希盖的妄求.仿耳图包括：场，法盖图.信号广覆盖图、料理吞吐率仿亮图、买再吞吐率俏真国一通河隋嗝物、干优混的破百8夷际环境，军/用户可以通过杏看费盖点信号详细侑感，畸认是否潜足盖需求；洋班宣息包括各竺场强恒州比二料理课率）实际迎军,/当注F位就、障咛物等参敕变化时.侪直效果图通过刷新进行实时于新©不同尹工植表不同场界恒规划原则在规划WLA啊络时，首先考虑到的是满足AP跟无线网卡信号的交互，以及用户可有效的接入网络。系

19、统的覆盖规划应主要考虑为保证AP无线信号的有效覆盖，对AP天线进行选址与相关配置。在选择AP摆放位置的时候，需遵循以下几个原则：如果在一个大厅里只安装一个AP,则尽量把AP安放在大厅的中央位置，而且最好是放置于大厅天花板上；如果同一空间安装两个AP,则可以放在两个对角上。保持信号穿过墙壁和天花板的数量最小。WLANS号能够穿透墙壁和天花板，然而，信号的穿透损耗较大。应放置AP与计算机于合适的位置，使墙壁和天花板阻碍信号的路径最短，损耗最小。考虑AP和覆盖区域之间直线连接。注意AP的放置位置，要尽量使信号能够垂直的穿过墙壁或天花板。室外网桥长距离数据回传，要避免站点周围有高大建筑或山体，保证网桥

20、两端信号的视距可达。A”线方向可调，安装AP的位置应确保天线主波束方向正对覆盖目标区域，保证良好的覆盖效果。AP安装位置需远离电子设备，避免覆盖区域内放置微波炉、无线摄像头、无绳电话等电子设备。无线AP点位图另附AP点位图文件，请参考。无线SSID和漫游规划SSID规划AP可以配置多个SSID,华为单频AP可支持16个SSID,双频AP可支持32个SSID。通过配置多个SSID,AC针对不同的SSID下发不同的策略，SSID根据策略进行终端与业务管理。无线网络可按照用户群体划分不同的SSID,如下图所示，针对三种不同的应用群体，在AP上设置了3个SSID:SSID1用于办公、SSID2用于病人

21、上网和SSID3用于专业应用终端。部署VAP示例SSID1SSID2SSID3乡患者日由喜医生SSID和VLAN勺映射VLA明口业务VLAN分离的。业务VLANi要用于区分通常，以太网中管理不同的业务类型或用户群体。在WLAN络中SSID也同样可以承担相应的工作。因此，在SSID的规划中必须综合考虑VLANfSSID的映射关系。业务VLAN®根据实际业务需要与SSID匹配映射关系，映射关系有1:1、1:N、N:1、N:N四种。漫游规划漫游是指用户在部署了WLAN络的场所移动时，用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围，用户无需重新登录和认证，如下图所示。WLANI络

22、漫游中需要了解以下两点：1、漫游过程中SSID必须一致，且使用相同的安全设置。2、漫游中选择连接哪个AP是无线客户端的动作，这个切换的时机和快慢受无线客户端的芯片或设置的影响，所以在漫游切换过程中会出现不同的终端切换性能有差异。核心腕婚©AP2SSIDL崎除用户和QPI间的美联建总用户和AP2间的美联API使用仪纣倭道1MIDt液前切换HUAWEI无线带宽管理出于管理的需要，无线网络往往需要系统地对用户或者单AP的带宽进行管理，比如要求病人上网的带宽不超过512Kbps,医护人员办公上网这类用户上网获得的带宽不超过1Mbps医疗专业应用终端保证获得2Mbps的带宽，WLANW决方案能

23、够提供基于用户，基于AP（VAP或者基于某SSID的带宽管理。基于用户的带宽管理基于用户的带宽管理包含基于某个特定用户的带宽管理以及基于用户组（角色）的带宽管理。基于用户的带宽管理需要Radius服务器参与，在认证后Radius下发用户带宽或者用户组给AC,AC通知AP进行相应的带宽控制，如下图示。认证后RMi心拾定用户电凹时崔韬用户鼠舞量的CAR值速行控制AC通知AF遵行楫应的带童控制属于专业应用类的绛端最大可获得2Mbp5带室专业应用终端2Mbs基于AP的带宽管理出于管理的目的，有时需要对某个具体的AP进行带宽管理，如限制医院某个指定区域的AP带宽为30Mbps可以通过配置Trafficp

24、rofile里的VAPLim计Rate实现带宽管理，如下图所示。Trafficmotile指定某VAP基于SSID的带宽管理为来自医院病人提供上网服务不是建设WLAN勺主要目的，一般需要对病人的SSID的容量做限制，以保障医护人员办公上网及医疗专业应用终端的带宽和业务体验。如下图所示，对病人的SSID限制了20M的访问带宽。可靠性规划WLAN络的稳定性被普遍关注。一方面是设备的稳定性，AC能够实现倒换后用户无感知的Session级的备份以及常年工作在室外的AP在恶劣环境下的适应能力等都是WLA啊络可靠性关注的重点。另一方面，AP的调优特性可以在个别AP故障或者性能恶化时自动调优，以提升WLAI

25、W络的稳定性；在个别高密覆盖场所，AP间的负载均衡和5G优先特性对WLAN络的稳定性也做出重要贡献。自动调优当AP射频环境出现恶化，某个AP故障或新增扩容AP时，需要启动射频自动调优，以增强系统的可靠性和稳定性。建议选择同时支持局部调优和全局调优的AP设备。局部调优可方便的应用于扩容新AP、单点AP故障或者微波炉等局部环境变化而引起的信道环境变化场景，如下图所示。全局调优更多的应用于新建WLAN络或者大面积信道环境恶化场景。当AP3掉电或故障时，其邻近AP1和AP4自动感知，并调整发射功率，从而达到补盲的效果。AP3重新上线后，其邻居AP1和AP4的自动的调整发射功率，避免AP与邻居因覆盖区域

26、重叠造成AP间相互干扰。负载均衡无线客户端一般会根据AP信号强度（RSSI）选择AP,这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于WLAN是基于CSMA/CAL制，实现多用户接入，当单台AP接入用户数过多时，用户吞吐率性能会出现急剧下降且稳定性无法保证。负载均衡特性可以按照用户数量和用户流量，将用户分配到同一组但负载不同的AP上，从而实现不同AP间的负载分担，避免出现某个AP负载过高而使其性能不稳的情况。SSID:HUAWEISSID;HUAWEI如上图所示。用户模式：AP1和AP2属于同一个负载均衡组，AP1已接入4个STAAP2已接入2个STAAP1与AP2接

27、入STA个数的差值为2,当阈值设置为1时，新接入的STA7被均衡到接入用户数量较少的AP2上。流量模式：AP1和AP2属于同一个负载均衡组，AP1已接入4个STAAP2已接入2个STA1AP2上的STA5/STAe®载高带宽业务，总带宽流量30M超过AP1的总带宽8M,当设定阈值为12M新接入的STA7被均衡到流量负荷较小的AP1上。无线网络安全性规划在部署WLAN络时需要格外关注WLAN络的安全，保障WLAN络的安全运行。由于WLANF放环境的存在，需要考虑如何解决RogueAP等设备带来的安全隐患？如何防止非法的用户访问行为？怎么禁止非法用户接入网络？怎么防止空口窃听？如何保证A

28、P®入AC勺安全？这些安全隐患整体可以分为空口安全和用户安全两类。空口安全空口安全主要来自非法rogue设备，空口监听和恶意攻击三个方面，如下图所示Rogy名遢备R。骐叱APRogwClitrvtRogueAcklioc空口窃后Rogue设备:现网环境中可能出现的Rogue设备包括RogueAP,RogueClient,Ad-hoc设备，这些设备对运维的WLA啊络会带来诸多的安全隐患，如干扰，用户和非法AP建立连接等。WLAIWIDSJ案支持对网络中的Rogue设备(包括AP,Client,Ad-hoc)的进行检测、识别以及反制功能。下面分别从非法设备的监听，识别，判断以及反制四个方

29、面详细阐述。侦听周边设备：AP有三种工作模式：接入模式混，监听模式和合模式。接入模式只提供覆盖功能，不提供非法设备监听功能；监听模式只监听，不能接入业务；而混合模式可以在接入业务的同时进行监听。推荐AP工作在混合模式，在接入业务的同时监听周边设备，低成本部署。设备类型识别：AP通过监听Beacon,AssociatonRequest,AssociationResponse协议报文和数据报文报文来识别Rogue设备是哪种设备(AP/Adhoc/Client)。监才SAP搜集到无线设备后，维护一个无线设备信息列表，并把这些信息上报给AC,在AC上根据一定白规则进行Rogue设备判断。Rogue设备

30、判断：当AP设备工作在混合模式或者监听模式时可以实现对整个网络的监控，监控设备包括ARClient、Adhoc终端、无线网桥等。Rogue设备反制:检测到Rogue设备后，可以使能防范、反制功能。反制功能，根据反制的模式，监测模式AP从无线控制器下载攻击列表，并对Rogue设备采取措施，阻止其工作。对RogueAP的反制：监测AP通过使用RogueAP设备的地址发送假的广播解除认证帧来对RogueAP设备进行反制，抑制无线用户和非法AP建立链接。对RogueClient、Adhoc设备的反制：监测AP通过使用RogueClient、Adhoc设备的BSSIDMAC*址发送假的单播解除认证帧，对

31、指定非法Client的进行反制。Rogue设备管理可以与定位功能集合，如在地图上可以查询或者实时显示Rogue设备的位置，为网管人员对网络监管和排障定位提供便捷。恶意攻击针对恶意攻击，WLA隈拥有多种方式。下面针对现网环境中最常用的flood攻击，WeakIV攻击，Spoof攻击方式，方案需要具备防御规划和措施。Flood攻击检测：当“恶意用户”发送大量的“连接请求报文”至AP时，这些报文会被AP转发到AC设备上进行处理，这样会对内部网络造成冲击。启动Floodattack检测，AC会检测到来自于该恶意用户的Flood攻击，AP会将来自于该用户的报文将全部被丢弃，从而实现了对于网络的安全防御。

32、WeakIV攻击检测：对于Client的数据报文，如果该报文使用了WEF*密算法，需要启动IV检测；AC根据IV的安全性策略判断是否存在WeakIV攻击Spoof攻击检测：这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。恶意AP或者恶意用户发送一个欺骗的解除认证报文会导致无线客户端下线。AC接受到这种报文时将立刻被定义为欺骗攻击，并阻止该用户。空口窃听空口监听往往是经常尝试破解的点，需要考虑对空口数据进行加密。常用的空口加密方式有WEPWPA/WPA2WAPI等。在最新的实现中，不管是WPA坯是WPA都可以使用802.1X,使用802.1X时称为WPAMk版，不使用802.1X时称为WP的

33、人版，或者叫WPA-PS版。在实际网络部署中，空口加密通常和用户认证一起考虑，在现网中推荐使用Portal+PSK方式部署，加密方式推荐采用CCMP在网络侧进行配置。用户安全用户安全可以分为合法用户非法地访问其范围以外的资源和非法用户的接入网络两部分，如下图所示。非法访问在WLA啊络中根据需要，往往划分了不同的SSID供不用的用户群使用，如外部用户SSID-A,内部用户SSID-B。出于信息安全的需求，往往需要保证病人不能访问医院内网的资源。同时各医护人员之间也可能需要授予不同访问权限。这些可以通过用户组的方式来实现。用户访问授权可以在本地网络设备授权，也可以通过AAAK务器进行远端授权。在A

34、AAK务器授权模式下，WLANB户认证成功后，Radius服务器下发用户分组，将用户进行分类，每个用户分组可以关联对应的ACL规则，通过用户分组和ACL规则的关联，实现对每类用户进行ACL授权信息控制，即同类用户获得相同的授权信息。Radius服务可以利用现网的AAAfe可以新建。用户隔离用户隔离功能是指关联到同一个VAP上的所有无线用户之间的二层报文不能相互转发，从而使无线用户之间不能直接进行通讯，保证了用户问数据的安全性，同时也便于对用户进行计费等管理。根据数据转发模式的不同，用户隔离的配置也有所不同：数据直接转发方式：需要在服务集配置用户隔离。数据隧道转发方式：需要同时在服务集和WLAN

35、-ESS口配置用户隔离。非法用户WLANB决方案可以支持多种接入认证技术，对接入用户身份进行认证，防止非法用户接入。其中比较典型的有MA（U证、Portal认证、802.1x认证和PPPoE认证。从对比表中可以看到，这几种无线认证在技术实现上各有特色，覆盖了不同用户的接入认证需求。WLAN盖场景中推荐使用Portal认证方式。技术比较MACPortaUWebPPPoE标注化建屋标於WEB软件厂商初有标准标准控制方式数期认证免开数据认证分开结据认证分开额据认定统一产地址认证后分配一认证前弁配一认证后分配认证后打配客广湍Q仔不需要不需要操件某统白自带春户送）小蕾要（探忙奈统占t忙寥户吊）对爱备要求

36、无私有陆工大多救交撞£1低中育中使用场呆有恃洗叔取为客户端，外新访客内需员工高机皖均括售人检li办公区）国区同不逑出无线用户身份认证技术相对于简单的STA身份验证过滤机制，链路层用户身份验证的安全性大大提高。通过提供有限的访问权限来验证用户身份，只有确定用户身份后才给予完整的网络访问权限，可有效判别用户的合法性。链路层身份验证是透明的，能配合任何网络层协议使用。常用的WLANJ链路层身份验证主要有MA（U证、802.1x、Portal（DHCP+WebPPPo唐几种认证方式。对于企业园区，无线哑终端一般通过MAC认证接入，办公区域通过802.1x或Portal认证接入，访客区域一般通

37、过Portal认证接入。多种认证技术保证WiFi终端安全接入，合法用户访问合规资源，从源头上消除安全威胁。MAC1证MA(U证是一种基于端口和MACft址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何的客户端。由于无线终端的网卡都具备唯一的MAC地址，因此可以通过检查无线终端数据包的源MAO址来识别无线终端的合法性。地址过滤控制方式要求预先在AP服务器中写入合法的MACS址列表，只有当客户机的MAO址和合法MAO址表中的地址匹配，AP才允许客户机与之通信。在企业园区中MAC1证主要用于IP电话、打印机等哑终端设备的接入。802.1x认证802.1x是针对以太网而提出的基于端口进行

38、网络访问控制的安全性标准草案。基于端口的网络访问控制利用物理层特性对连接到LAN端口的设备进行身份认证。如果认证失败，则禁止该设备访问LAN资源。尽管802.1x标准最初是为有线以太网设计制定的，但它也适用于符合802.11标准的无线局域网，且被视为是WLAN勺一种增强性网络安全解决方案。802.1x体系结构包括三个主要的组件：请求方(Supplicant):提出认证申请的用户接入设备，在无线网络中，通常指待接入网络的无线客户机STA认证方(Authenticator)：允许客户机进行网络访问的实体，在无线网络中，通常指访问接入点AP或控制器AC设备。认证服务器(AuthenticationS

39、ever)：为认证方提供认证服务的实体。认证服务器对请求方进行验证，然后告知认证方该请求者是否为授权用户。认证服务器可以是某个单独的服务器实体，也可以不是，后一种情况通常是将认证功能集成在认证方Authenticator中。802.1x技术是一种增强型的网络安全解决方案。在采用802.1x的无线LAN中，无线用户端安装802.1x客户端软件作为请求方，无线设备AP/AC内嵌802.1x认证代理作为认证方，同时它还作为Radius认证服务器的客户端，负责用户与Radius服务器之间认证信息的转发。802.1x体系本身不是一个完整的认证机制，而是一个通用架构。用来传输实际的认证协议。802.1x体

40、系的好处就是当一个新的认证协议发展出来的时候，基础的802.1x体系机制不需要随着改变。802.1x体系使用EAP(ExtensibleAuthenticationProtocol)认证协议，目前有超过20种不同的EAPW、议。802.1x认证常用的包括以下几种EAPU证模式：EAP-MD5EAP-TLS(TransportLayerSecurity)EAP-TTLS(TunneledTransportLayerSecurity)EAP-PEAP(ProtectedEAP)EAP-LEAP(LightweightEAP)EAP-SIMPPPo以证PPPoElPPPB议应用到以太网进行的再一次封

41、装，进行广播链路上点对点通讯的协商，包括服务器的发现和会话标识SessionID的确认。主要包括三个部分：用户和接入设备在LCP阶段协商链路层参数。将用户名和密码发送给接入设备进行CHAP/PAPI证,接入设备可以进行本地认证,也可以将用户名和密码发送给AAAK务器进行认证。根据认证结果，是否进入到NCP(IPCP)协商阶段，接入设备给用户计算机分配网络层参数(例如IP地址等)。PPP的三个协商阶段通过后，用户就可以发送和接收数据报文。PPPo地是一种认证模式，PPPoE&WLAN®用时,和WLANfr身采用的认证加密没有关系。即不管采用WEPWPAE者WAPJ都可以选择PP

42、Po日乍为用户业务的认证协议。Portal认证Portal认证也称Webyi证或DHCP+W的证。客户端使用标准WebM览器(例如IE),填入用户名、密码信息，页面提交后，由Web服务器和设备配合完成用户的认证接入设备将来自客户的HTTP青求重定向到Portal服务器，在Portal页面上输入用户名、密码进行认证。用户在Web认证之前，必须先通过DHCP静态配置等获得IP地址。用户如果被配置成强制Web认证，则用户只需要输入自己喜欢的网页即可，系统自动下载认证网页。主要认证过程为：动态用户通过DHCPJ、议获取地址；用户访问Web认证服务器的认证页面，并在其中输入用户名、密码，Web!证服务器

43、将用户的信息通过内部协议，通知接入设备；接入服务器到相应的AAA服务器对该用户进行认证，将认证结果通知Web认证服务器；Web认证服务器通过HTTP页面将认证结果通知用户，如果认证成功用户即可正常访问网络资源。Portal认证通常需要多个服务器支持，DHCPK务器、AAAK务器等。组网设备统计月号1设备类型型号推荐设备描述县里数位1无线控制器AC660520个GE电口+4个GECombo+：个10GE)t口，提供10Gbit/s的转发能力，最大可管理1024个AP,接入10K无线终端，支持802.11a/b/g/n/ac,支持1+1热备22放装APAP5030DN支持802.11a/b/g/n

44、/ac,支持3X3MIMO,整机最高速率可达1.75Gbps,支持POEK电1753放装APAP7030DE支持802.11a/b/g/n/ac,支持3X3MIMO,整机最高速率可达81.9Gbps,支持POSft电4敏捷分布式WiFi力杀中心APAD9430DN-24中心AP和远端接入单元之间使用网线连接，中心AP管理远端接入单元，集中处理业务转发；适用于学校、酒店、医院以及办公会议室等房间密度大、墙体结构复杂的场景335敏捷分布式WiFi力杀远程接入单元R240D内置IEEE802.11a/b/g/n/ac无线模块，支持2.4G和5G双频接入；支持吸顶、挂墙、面板多种安装方式，部署灵活；内

45、置天线和隐藏的指示灯，安装时不会破坏室内的装修设计2386敏捷控制器AgileController接入控制终端数（接入终端License视用户量待定）；含服务器、操作系统软件、数据库软件、操作系统杀毒软件1台台无线网络设备介绍华为AC6605a入控制器华为AC660呢针对大中型企业的盒式无线接入控制器，支持有线无线一体化接入，应用于大中型企业及分支园区覆盖或企业办公网络等场境。产品外观：产品亮点：高容量、高性能设计，24个GE口和2个10GE口，提供10Gbit/s的转发能力，可管理1K个AP,接入10K无线终端；灵活的数据转发方式，支持直接转发、隧道转发;灵活的用户权限控制，提供基于用户和角

46、色的访问控制策略控制能力；丰富的网络运维方式，可通过网管eSight、WEEW管、命令行（CLI）进行维护。华为AP5030DN（歹室内放装型APAP5030DNb性能增强级802.11ac产品，巧夺天工，特性丰富，适合部署在企业办公、机场车站、数字列车、体育场馆等环境，高密用户接入无忧，无线业务自在随行。产品外观：高速可靠的无线接入服务，支持3X3MIM。整机最高速率可达1.75Gbps,支持双以太接口的链路聚合;完善的用户接入控制能力,可根据用户组策略，基于用户实施访问控制;高等级的网络安全性，支持WID用口WIPS强大的网络特性，支持IPv4/IPv6双协议栈华为AP7030D舔歹室内放

47、装型APAP7030DE1华为公司推出的技术引领级双频接入点，由于对802.11ac标准的支持，使无线网络带宽轻松突破千兆，美观化设计，应用于礼堂、会展中心、体育场馆、大型节目现场等高密度场景。产品外观:产品亮点：高速可靠的无线接入服务，支持3X3MIM。整机最高速率可达1.9Gbps,支持双以太接口链路聚合双POEft电，且应用了灵动的智能天线阵列技术；完善的用户接入控制能力，可根据用户组策略，基于用户实施访问控制；高等级的网络安全性，支持WID用0WIPS强大的网络特性，支持IPv4/IPv6双协议栈。华为AD9430DN-2”心APAD9430DN-241华为敏捷分布式Wi-Fi方案中的中心AP,支持PoE供电，可以直连多个远端接入单元部署到室内。中心AP和远端接入单元之间使用网线连接，中心AP统一管理远端接入单元，集中处理业务转发。适用于学校、酒店、医院以及办公会议室等房间密度大、墙体结构复杂的场景。产品外观:产品亮点:超远距离的网络覆盖，中心AP和远端接入单元之间的连线可达100米，数倍放大网络的部署范围；下行接口支持PoE供电，可直连24个远端接入单元，通过交换机可扩展到48个；集中管理远端接入单元，并行转发业务流量，远端接入单元仅处理无线信号，无线转发能力更优；业务连续不中断，真正的无漫游网络。华为R240D®端接入单元华为敏捷分布式Wi-