ARUBA医疗行业无线技术方案

公司介绍第一页，共62页。HPEandAruba…

BetterTogether“ClientsgloballyshouldconsiderHPArubaforallwired/WLANaccess

layeropportunities.”GartnerMQforWiredandWirelessLANAccessInfrastructure,August2015Source:GartnerMagicQuadrantfortheWiredandWirelessLANAccessInfrastructureSeptember2015.TimZimmerman,BillMenezes,AndrewLerner,IDNumber:G00277052ThisMagicQuadrantgraphicwaspublishedbyGartnerInc.aspartofalargerresearchnoteandshouldbeevaluatedinthecontextoftheentirereport.TheGartnerreportisavailableuponrequestfromHP.TheMagicQuadrantisagraphicalrepresentationofamarketplaceatandforaspecifictimeperiod.ItdepictsGartner'sanalysisofhowcertainvendorsmeasureagainstcriteriaforthatmarketplace,asdefinedbyGartner.Gartnerdoesnotendorseanyvendor,productorservicedepictedintheMagicQuadrant,anddoesnotadvisetechnologyuserstoselectonlythosevendorsplacedinthe"Leaders"quadrant.TheMagicQuadrantisintendedsolelyasaresearchtool,andisnotmeanttobeaspecificguidetoaction.Gartnerdisclaimsallwarranties,expressorimplied,withrespecttothisresearch,includinganywarrantiesofmerchantabilityorfitnessforaparticularpurpose.LeaderinCampusNetworks第二页，共62页。2015关键能力报告

WiredandWirelessLANAccessInfrastructureEnterpriseUnifiedWiredandWLANAccessHPEAruba

4.14Cisco4.14Avaya3.64Extreme3.63EnterpriseWired-OnlyConnectivityCisco4.24HPEAruba4.15Juniper3.91Brocade3.74EnterpriseWireless-OnlyConnectivityHPEAruba4.11Cisco4.06Aerohive3.82Avaya3.55SMBand/or

SmallorRemoteBranchOfficeHPEAruba4.12Cisco4.11Avaya3.62Extreme3.61VoiceOver

WLANHPEAruba4.10Cisco4.05Aerohive3.81Avaya3.53IaaSorManagedServiceHPEAruba4.14Cisco4.11Aerohive3.63Avaya3.61Source:GartnerCriticalCapabilitiesfortheWiredandWirelessLANAccessInfrastructureSeptember2015.BillMenezes,TimZimmerman,AndrewLerner,MichelleA.Brosnahan,IDNumber:G00270164.ThedatausedincreationofthistablewaspublishedbyGartnerInc.aspartofalargerresearchnoteandshouldbeevaluatedinthecontextoftheentirereport.TheGartnerreportisavailableuponrequestfromHP.Gartnerdoesnotendorseanyvendor,productorservicedepictedinitsresearchpublications,anddoesnotadvisetechnologyuserstoselectonlythosevendorswiththehighestratingsorotherdesignation.GartnerresearchpublicationsconsistoftheopinionsofGartner'sresearchorganizationandshouldnotbeconstruedasstatementsoffact.Gartnerdisclaimsallwarranties,expressedorimplied,withrespecttothisresearch,includinganywarrantiesofmerchantabilityorfitnessforaparticularpurpose.第三页，共62页。全球超过500家高端医院正在使用Aruba的无线解决方案第四页，共62页。是多家专业医疗厂商的合作解决方案提供商NewIEC80001-2StandardRecommendsagainstmultipleSSIDSStressesairtimefairnessHighlightsspectrumanalysisDropoutsaslowas0.02%第五页，共62页。方案设计介绍第六页，共62页。医疗行业正在革新LocationMobileEngagementGuestAccessMobileEHRDigitalImagingIoT第七页，共62页。查房，以前第八页，共62页。护理，以前第九页，共62页。现在天线Skype话机行动护理计算机药品盒针头盒垃圾袋键盘Web护理信息系统电池椅子第十页，共62页。新生儿防盗第十一页，共62页。整体网络架构INTERNETAC7210-1AC7210-2核心交换机核心交换机POE接入交换机POE接入交换机APAP医疗内网防火墙/网闸防火墙核心交换机AC7000医疗外网WAN/4GRAP-3家/酒店/救护车服务器群第十二页，共62页。内外网融合方案—内网流量INTERNETAC7200-1AC7200-2核心交换机核心交换机POE接入交换机POE接入交换机AP-325AP-325医疗内网防火墙/网闸防火墙核心交换机AC7000医疗外网WAN/4GRAP-3家/酒店/救护车服务器群第十三页，共62页。内外网融合方案—外网流量INTERNETAC7200-1AC7200-2核心交换机核心交换机POE接入交换机POE接入交换机AP-325AP-325医疗内网防火墙/网闸防火墙核心交换机AC7000医疗外网WAN/4GRAP-3家/酒店/救护车服务器群GRE隧道第十四页，共62页。案例：中山大学附属肿瘤医院，无线外网应用GRE控制器认证系统GRE隧道第十五页，共62页。新一代控制器OS

----Multizone

AP

3-nodeClusterPrimaryZoneMobilityMaster/StandbyStandalone中国电信Standalone中国移动Standalone中国联通Standalone迈外迪第十六页，共62页。远程VPN访问方案—如远程会诊INTERNETAC7200-1AC7200-2核心交换机核心交换机POE接入交换机POE接入交换机AP-325AP-325医疗内网防火墙/网闸防火墙核心交换机AC7000医疗外网WAN/4GRAP-3家/酒店/救护车服务器群GRE隧道IPSEC隧道第十七页，共62页。点位设计—多层部署第十八页，共62页。点位设计—多层部署第十九页，共62页。SSID设计内部员工SSID认证方式802.1x认证，EAP-PEAP或EAP-TLS医生护士移动终端、医疗设备和语音视频终端外网SSID认证方式MAC+portal双因素认证首次portal认证成功后，后台自动将用户名和MAC地址绑定后续连接做无感知认证（MAC认证）住院病人MAC地址绑定有效期为5天，每个帐号只能绑定一个终端病人家属通过注册手机号接收密码短信或微信认证，MAC地址绑定有效期为1天，每个帐号只能绑定一个终端医生MAC地址绑定有效期为1个月，每个帐号可绑定两个终端部分医生和病人及家属终端启用终端隔离第二十页，共62页。不间断的无线医疗网络接入智能优化终端与AP之间的无线连接非优化连接问题的消除=>大幅减少医生护士投诉基于802.11标准，不需要安装任何终端软件实时的射频校准DEVICETYPEINTERFERENCELOCATIONCONGESTION‘MU-MIMOAware’Aruba

ClientMatch™专利技术—漫游优化设计第二十一页，共62页。ArubaClientMatch极大改善“粘滞”终端问题

终端漫游后自动优化到最佳AP终端漫游后仍然“粘滞”在原来的AP上不具备CLIENTMATCH第二十二页，共62页。案例：上海儿童医院，卓越的漫游及定位效果第二十三页，共62页。第三方测试评估项目主要有：

射频稳定性（ping包延迟）连续漫游（挑选其中14个AP，Ping+RSSI记录）无线定位（评估精确度、延迟）移动查房系统评估的项目主要有：

漫游下的系统访问速度故障排查工具（AirWave）测试点位第二十四页，共62页。漫游测试用例：一共14个AP，终端为thinkpadx201（测试机构提供），以低于正常步行速度持续移动，观察切换过程，并记录丢包情况和信号强度漫游切换次数：Cisco7/8次vsAruba13次（100%）切换时的RSSI：Cisco-70dBm左右vsAruba-50至-65dBm（Aruba结果见上图）测试结果第二十五页，共62页。传统安全架构EnterprisePerimeterEmployeesEmployeesWANBranchOfficeBranchEmployeesInternetDataCenterVisitorsContractorsEnterprisePerimeterHomeOfficesPartnerSites第二十六页，共62页。Aruba基于角色和内容感知的策略执行DataCenterBillTammyPartnersBranchEmployeesSteveBobJaneScottKimContractorsVisitorsJane第二十七页，共62页。实现基于角色的用户接入控制ApplicationServices

外来访客

医生护士医疗设备患者、家属

医院领导VirtualAP1SSID:HospitalVirtualAP2SSID:GUESTDMZRADIUSLDAPADCaptivePortal基于角色的接入控制接入权限SecureTunnelToDMZ基于SSID的接入控制医院领导医生护士医疗设备患者、家属外来访客第二十八页，共62页。更加直观的用户体验Aruba方法：基于角色的动态策略传统方法：

基于SSID实现权限分离第二十九页，共62页。SSID：SYSUCC-In作用：医院内网无线终端接入无线网络认证方式：采用MAC认证和802.1X认证结合的认证方式MAC认证（通过）=>802.1X认证=>账号身份匹对=>匹配相应策略MAC认证（失败）=>拒绝接入隔离功能：启用二层隔离功能，即同个VLAN下的终端无法相互访问SSID广播：隐藏SSID案例：中山大学附属肿瘤医院，内网接入认证方式第三十页，共62页。ClearPassPolicyManagerNAC解决方案CLEARPASSPOLICYMGROnboardGuest内置:策略引擎RADIUS/CoA/TACACS终端识别计费/报表身份存储ExpandableApplicationsREMOTELOCATIONBYODonboarding简单访客接入健康检查OnGuard第三十一页，共62页。ClearPass核心功能NETWORKEDGEMulti-VendorWired/Wireless/VPNNETWORK

COREProfilerAAA/RADIUSNACCert.AuthorityOnboardingGuestDeviceRegistrationVisitorEmployeeEmployee

BYODHeadlessDevicesContractorAdministratorUSERSPolicy–Visibility-WorkflowAD/LDAPSQLTokenPKIIDENTITY

SOURCESClearPassUser/RoleTime/DayLocationDeviceType/HealthCONTEXT第三十二页，共62页。AdaptiveTrustforend-to-endpolicyBestofbreedsecurityandproductivitysystemsClearPassUsers,DeviceandApptrafficClearPassExchange第三十三页，共62页。ClearPass交换生态系统InfrastructureMDM/EMM使用实时终端数据进行网络控制基于位置和时间的颗粒化控制Next-Gen

PerimeterDefenseSIEM,Automation,MFA基于用户和终端的颗粒化流量控制可视化和交互式的控制功能第三十四页，共62页。例子:准入风险保护

Firewall/IPSLAN/WLANUserconnectsanddownloadsthreatNGFW/IPSsendseventtoClearPassClearPassisolatesclientOffersenhanceduserexperienceasClearPasscaninitiateusernotifications,help-desktickets,andupdatethird-partysecuritysolutionsDeviceinstep2canbeMDM/EMM,SIEM,etc.

123第三十五页，共62页。为了保护移动查房iPad的安全，医院采用了MDM厂商MobileIron的解决方案；每个iPad有独立的证书；

通过ArubaCPPM与MobileIron服务器的联动，CPPM实时同步终端信息，保证仅允许有效的终端接入网络中；ClearPassCPPM根据终端属性下发策略给AC，由AC决定是否允许终端接入网络及访问权限1.2.服务器ACAP案例：北京宣武医院，iPad移动查房MDM应用第三十六页，共62页。BYOD证书分发DomainKey&Certificate企业PKIandCA内置ClearPassCACertificateAuthorityValidationAuthorityRegistrationAuthorityActiveDirectoryIT-ManagedDevicesDomainUserDeviceKey&UniqueCertificatePersonalDevicesCACertificateAuthorityADRAVACA第三十七页，共62页。针对患者、家属的自注册访客接入页面可定制化，嵌入医院推广信息可引导患者下载医院APP支持社交网络登录支持无感知认证登录

ClearPassGuest第三十八页，共62页。智能应用流量控制

AppRF™EHRandcommunicationprioritizedBandwidthallocatedtoHealthcareapplicationsAppRFMediumpriorityhealthcareappsHighpriorityreal-timeLowprioritypersonal第三十九页，共62页。AppRF策略执行防火墙Block/Unblock,Throttle,QoSEnable/DisableFirewallVisibility第四十页，共62页。AppRF

Web内容分类SimpleControlSelectby:WebcategoryURLRoleApplypolicy(block,

throttle,prioritize)Webreputationscores第四十一页，共62页。无线安全控制通过AirWaveRAPIDS™阻止非法AP

-自动探测&抑制扫描无线+有线网络鉴定所有连接设备集合&关联结果降低误报威胁分类定义&自定义规则警告&报表警告安全团队抑制自动或手动第四十二页，共62页。2.1.1: Don’tUseDefaults2.2: StandardConfig4.1.1: BetterThanWEP6.1: Getlatestpatches7.2: Role-basedAccess10: MonitorAccess1.1.2:InventoryWLAN1.2.3:FirewallWLAN9.1.3:Physica lSecurity11.1:WirelessScanning/NAC11.1:WirelessScanning/NAC11.1:WirelessScanning/NAC1.1.2:InventoryWLAN1.2.3:FirewallWLAN9.1.3:PhysicalSecurityPCIv2.0标准WirelessLANIsConsideredAPublicNetworkCategory1NoWLANCategory2NocardholderdataoverWLANCategory3CardholderdataoverWLANPCISecurityControlsWithArubaAPsforscanningonlyAirWavetolog/reportAPsinhybridmodeBuilt-inFirewallsegmentsWLANAirWavetolog/reportAPsinhybridmodeSupplementwithAMsWPA2EnterpriseBuilt-inFirewallsegmentsWLANAirWavetomitigaterogues,log&report第四十三页，共62页。电磁兼容性设计—对电子医疗设备无电磁干扰认证机构：TUVRheinlandofNorthAmericaTUVRheinlandofNorthAmerica是一家知名的对全球产品提供美国和加拿大市场准入认证的服务公司，拥有美国职业安全与健康管理局（OSHA）授权的全国公认测试实验室（NationallyRecognizedTestingLaboratory），NRTL对特定的产品或材料进行测定，并担保这些产品或材料满足OSHA所要求的相关安全标准，以确保这些产品在美国市场的使用是足够安全的。TUV有权依据美国国家标准为全球产品提供合法的认证，成功通过测试并获得美国市场准入证书的产品将获得TUVus标识。加拿大标准委员会（StandardsCouncilofCanada）也授权TUVRheinlandofNorthAmerica依据加拿大国家标准对产品进行测试和认证，成功通过测试并获得加拿大市场准入证书的产品将获得cTUV标识。成功通过测试并获得美国市场和加拿大市场认证的产品将获得cTUVus标识，表示该产品可以同时满足两国的规范。认证标准：EN

60601-1-2:2001EN60601-1-2:2001（医用电气设备第1-2部分：安全通用要求并列标准：电磁兼容性要求和试验）为欧洲标准，较国际标准IEC60601-1-2:2001更为严格。第四十四页，共62页。ARUBA获得TUV认证通过第四十五页，共62页。为医院量身订做的组网架构终端接入管理ClearPassHIS(Oracle)电子病历(DB2)控制器

(Standby)控制器

(Active)网络管理AirWave有线内网住院留院输液内部专线Internet网管数据认证数据无线控制

(Master)总院有线内网分院有线内网分院分门诊IAP(虚拟AC)IPSecVPN远程诊疗院领导、专家客户端RAP3G/4G，ADSL3G/4GADSL控制器控制器第四十六页，共62页。ArubaAirWave时刻看护移动医疗网络的健康终端－网络的端到端可视化无线射频环境质量的可视化网络历史统计数据的可视化无线网络应用质量的可视化RADIUS,DHCP,DNSIP网络关键服务的可视化第四十七页，共62页。全面的网络可视化性能和故障的可视化管理终端－网络端到端可视化无线射频环境质量可视化有线网络关键服务可视化无线网络应用质量可视化第四十八页，共62页。全面的网络可视化性能和故障的可视化管理终端－网络端到端可视化无线射频环境质量可视化有线网络关键服务可视化无线网络应用质量可视化第四十九页，共62页。全面的网络可视化性能和故障的可视化管理终端－网络端到端可视化无线射频环境质量可视化有线网络关键服务可视化无线网络应用质量可视化第五十页，共62页。全面的网络可视化性能和故障的可视化管理终端－网络端到端可视化无线射频环境质量可视化有线网络关键服务可视化无线网络应用质量可视化第五十一页，共62页。基于位置的服务，带来不一样的体验wave2全系列AP内置Beacons第五十二页，共62页。产品介绍第五十三页，共62页。BroadPortfolioofWLANConnectivityHospitalityAccessPoints103H2ports11ndual205H3ports11acdualPSEIndoorAccessPoints330Series11acWAVE2HighestDensity4x4MU-MIMO2.5Gbps,DualuplinkSmartRate(2.5GBASE-T)OutdoorAccessPoints270SeriesOutdoor3x311acHardenedAccessPoints228SeriesIndustrialgrade3x311acBroadPortfolioofWLANConnectivity310Series11acWAVE2Carpetedspace3x3MU-MIMO2.1Gbps320Series11acWAVE2HighestDensity4x4MU-MIMO2.5Gbps,Dualuplink200SeriesLowerdensity2x211acMIMO1.2Gbps103SeriesLowercost2x211n600MbpsRemoteAccessPointsRAP-32ports,2.4GHz,PSERAP-108/1091port,11ndualradioRAP-1554ports,11ndualradio,PSE210Series11acWAVE1Carpetedspace3x3MIMO1.9Gbps220Series11acWAVE1HighDensity3x3MIMO

1.9Gbps,Dualuplink第五十四页，共62页。

Controllersscalefrombranchtocampus7030LargebranchUpto64APsandupto8GbpsthroughputMidsizebranchwithintegratedswitch12or24portsofPoE+forunifiedbranches

Upto32APsSmallbranchVirtualizedorPoE-poweredcontrollersMidsizeCampusHighperformance,fixedformfactorUpto256APs,12GbpsthroughputLargeCampusHighperformance,redundantpower/fan512–2048APs,upto40Gbpsthroughput72407220721072057024(24PoE+)7010(12PoE+)VMC-TACT(8/16AP)7005/7008(16AP)BranchCampus702432AP/2KDevices,

24PoE,4Gbps第五十五页，共62页。案例介绍第五十六页，共62页。CustomerRequirement国立成大医院成立于1981年，是南台湾重要的医学中心，目前员工约2,400位并提供1100个病床及每日约4,000人的门诊服务。本项目拟建置壹套无线的立即寻址系统(RTLS)来作为并病患及仪器设备的追纵，并且能扩充使用无线语音(VoIP)的服务来作为内部的语音沟通，因此整套的无线网络需具备稳定的信息存取和高质量的语音整合服务。Solution成大医院选择了Aruba无线网络，因为测试后Aruba能与AeroScoutWiFi-tag整合并达成精准的位置追纵能力，成大医院并使用3.5G网卡搭配ArubaAP来作为小区服务的远距联机需求，且透过无线入侵防护(WIPS)功能与暨有资安网关搭配，以增加成大医院整体的资安防护能力。Deployment本案使用了ArubaA6000无线总控器及300多颗的AP61及AP70的无线AP，为了达成整体资安考虑，成大医院使用了无线防火墙(PEF)与无线入侵防护(WIPS)和远程访问AP服务之功能，作为医护人员与行动护理推车和访客都能具有独立的无线存取管制能力，以及保护所有使用者避免恶意的无线攻击问题，而远程访问功能(RAP)则提供医疗人员远距存取HIS的机动能力。第五十七页，共62页。昆明医学院第一附属医院昆明医学院第一附属医院是一所集医疗、教学、科研、干部保健于一体的大型综合医院。始建于1941年，原为“国立云南大学医学院附属医院”（即云大医院），是昆明医学院最早设置的附属医院。2000年挂牌为第一临床医学院。1993年1月被国家卫生部首批评定为“三级甲等医院”。主要应用移动查房移动护理有线链