医院信息化建设技术建议书

XX医院信息化建设

技术建议书

2016年10月

目录

1.工程背景......................................................................4

2.需求分析.....................................................................4

3.建设目标.....................................................................4

4.建设思想.....................................................................5

5.XXX医院网络总体建设规划.....................................................6

5.1.网络规划拓扑图..........................................................6

5.2.基础敏捷网络建设规划....................................................6

5.2.1.网络设计原则.....................................................6

5.2.2.总体网络架构....................................................7

5.2.3.物理组网规划.....................................................8

5.2.4.网络出口规划.....................................................8

5.2.5.核心层设计规划...................................................8

5.2.6.会聚层设计规划...................................................8

5.2.7.接入层设计规划...................................................9

5.2.8.可靠性设计规划...................................................9

5.2.9.平安性设计规划..................................................10

5.3.远程访问规划............................................................10

5.4.有线无线融合规划........................................................12

5.5.业务随行规划............................................................12

5.6.SVF全网虚拟化规划......................................................13

5.7.用户接入认证规划........................................................13

5.7.1.有线用户接入...................................................13

5.7.2.无线用户接入.....................................................14

5.8.无线网络建设规划........................................................M

5.8.1.无线医疗简介.....................................................14

5.8.2.无线医疗的总体需求..............................................15

5.8.3.无线网络平安问题.................................................15

5.8.4.无线网络规划实施问题............................................16

5.8.5.无线用户漫游问题...............................................16

5.8.6.无线网络管理问题...............................................16

5.8.7.无线医疗基础网络设计............................................16

5.8.8.WLAN覆盖规划....................................................17

5.8.9.容量规划........................................................19

5.8.10.................................................................................................................覆盖规划20

5.8.11.......................................................................................................SSID和漫游规划20

5.8.12...............................................................................................................漫游规划21

5.8.13.........................................................................................................业务带宽规划21

5.8.14.............................................................................................................可靠性规划22

5.8.15.............................................................................................................平安性规划26

5.9.网络平安防护规划........................................................32

5.9.1.网络平安.........................................................32

5.9.2.威胁管理.........................................................32

5.9.3.网络平安管理.....................................................32

5.9.4.网络平安设计原则................................................32

5.9.5.网络边界防护规划................................................33

5.10................................................................................................................网络审计管控规划34

5.10.1............................................................................................................行为管控需求34

5.10.2............................................................................................................网络设计原则34

5.10.3............................................................................................................具体系统设计35

5.11...............................................................................................................网络运维管理规划36

5.11.1.................................................................................................................平安管理36

5.11.2.................................................................................................................拓扑管理36

5.11.3.................................................................................................................告警管理37

5.11.4.................................................................................................................性能管理38

5.11.5............................................................................................................效劳器管理38

5.11.6.................................................................................................................存储管理39

5.11.7...........................................................................................................网络设备管理41

5.11.8...................................................................................................................WLAN管理41

5.11.9................................................................................................................应用管理43

6.方案价值....................................................................45

6.1.使用体验极佳的网络.....................................................45

6.1.1.极致高速的网络体验..............................................45

6.1.2.无线全覆盖，全网零漫游..........................................46

6.1.3.业务随行的高体验网络............................................46

6.1.4.平安可靠的体验网络..............................................46

6.2.极简维护管理的敏捷网络.................................................46

6.2.1.整网超级虚拟化，极致简化日常运维管理工作.......................46

6.2.2.全网平安稳定CSS2架构，实现99.999%的稳定性...................46

1.工程背景

XXX医院是一所集医疗、教学、科研为一体的现代化中西医结合的专科医院，由于医院业务快速增长，规划

在XX市东部建立分院区，初期规划床位800张；需要依据新建分院建筑分布，楼层功能分布，信息节点分布、

应用功能需求等情况建设一套符合XXX医院信息化办公的现代化数据交换网络，满足XXX医院现在及未来5-10

年内的业务规划开展需要。

2.需求分析

根据XXX医院现有业务要求及物理建筑分布状态。要求新建信息化网络符合以下几点要求：

1、要求网络分层、分区建设，便于以后网络扩容及新增。

2、新建网络涉及到有线与无线覆盖，要求内外网做逻辑隔离，可以灵活调整网络到网络、终端到资源的权

限控制。

3、要求采用万兆骨干，千兆到桌面，保证数据交互的高带宽要求。

4、针对外网移动办公接入提供平安的专用接入点，便于移动办公人员接入到内网进行相应工作的开展及信

息的获取。

3.建设目标

根据XXX医院上述几点建设需求及新建医院具体情况，结合相应医疗信息化网络的建网原则，提出以卜.建设

目标:

1、新建园区包括一桥门诊楼，一栋住院楼。门诊楼合计3层，每层15个诊室，每层60个信息点位。住院部4

层，共计800张床位。门诊楼及住院楼根据各楼层信息点分布情况，建设有线网络。

2、网络主体采用核心层-会聚层-接入层的三层网络组网结构，满足万兆骨干，千兆接入的建设标准。

3、针对效劳器区域单独建设数据中心区域，数据中心区域放置会聚层交换机，采用千兆接入，万兆上行。

4、考虑到无线医疗的应用需求，针对住院楼做重点无线覆盖。要求楼层内移动实现零漫游,门诊楼一楼大

厅处（300人）、挂号区（2*150人）做无线覆盖，满足排队挂号及预约看病的无线上网需求。门诊楼其

他区域（楼长80m）根据楼层情况在走廊处做无线覆盖。无线覆盖需根据场景选用适宜的设备。

5、有线无线网络采用一张物理网络，不仅要满足内部办公需求，还要满足病患及家属的无线上网需求。因

此整体网络需要针对内部办公人员，采用基于IP、VLAN等方式进行内网及外网的隔离。针对无线网络

需要基于SSID划分用于内部无线医疗的专用Work网络及用于病患上网的Guest网络。且在网路与网络间，

网络与内部办公资源及外部网络资源需要有建设一套控制系统。可对资源访问做灵活的权限控制及等级

划分。

6、由于互联网的不平安性，需要在网络出口处部署防火墙等平安设备，做网络整体的平安防护。

7、由于公安82号令要求，针对公开性场所的无线网络接入，建设一套上网行为审计设备，对网内人员的上

网行为做审计及记录。

8、针对在外出差或办公人员，建设VPN系统，提供专有的平安YPN通道满足移动办公的应用需求。

4.建设思想

1、由于本次XXX医院网络建设涵盖有线和无线覆盖，且有线和无线网络共用基础硬件，不做物埋别离，因

此建议采用华为敏捷网络有线无线一体化解决方案。通过利用华为敏捷交换机的无线融合特性，即作为

有线网络的数据转发核心节点，同时又做为无线网络的核心控制及转发节点，做到有线无线的深度一体

化融合，不用再单独建设和部署两套网络，即减轻了运维人员压力，又提高了各层次设备的利用率，保

证用户的资金投入。

2、由于无线网络的公开性及审计需求特性，建议对开放性无线网络采用基于短信的认证方式，确保网络接

入的实名制原则，在网内出现发送或上传非法内容或言论时，结合上网行为审计设备，基于日志记录进

行溯源。

3、考虑到内网平安性，在网路出口区域部署平安防火墙，对进出网数据流做平安检查及过谑，保护内部网

络不受来自互联网的平安威胁及恶意攻击。

4、针对无线网络覆盖，结合应用场景采用不同的产品及组网方案，实现全网无缝无死角的无线覆盖，实现

网内的任意无缝漫游。针对住院部，由于其房间密集特性，又要求无线漫游的切换时间及无线信号的覆

盖强度及稳定性，采用华为敏捷分布式无线覆盖组网方案。通过中心AP+敏分单元的方式，单AP下可最

多覆盖48个房间。针对门诊大厅及挂号区的场景，属于高密覆盖场景，小范围内并发要求高，因此采用

华为的高密型无线AP进行型号覆盖。针对传统走廊的覆盖场景，则采用放装AP的方式在走廊吊顶处或墙

壁处进行无线AP的安装，对走廊及相邻房间进行无线的信号覆盖，且通过统一SSID的方式实现楼层内及

楼层间移动时的无缝漫游需求，保证信号连接的持续性及稳定性。

5、对于医院内部网络，针对不同部门，不同职级，资源类型，定义不同的平安及资源组。结合华为敏捷网

络的业务随行解决方案，做到业务随行，，策略随身。在初期进行策略及权限划分时，一键式全网部署，

下发策略。办公人员不管移动到医院内任何一个位置节点，不管是通过有线网络或者无线网络，都拥有

一致的网络访问及使用权限，同时还可以基于角色进行接入带宽的分配及管控。

6、为保证网络的健壮性、可升级性及易扩容特性，网络采用模块化的三层网络结构建设，由于核心层的重

要性，针对核心层采用双机冗余部署，结合华为CSS2集群方案，实现设备的横向虚拟化。且快达21Hs

的跨板时延、高达320G的横向虚拟化带宽、N+1的主控备份方式、独立专用的集群网版，保证核心节点

的可靠性及快速的数据交换特性。

7、为减轻运维人员的运维压力，建议采用华为敏捷网络的SV7全网虚拟化解决方案，实现从核心+会聚+接

入+AP的全网融合虚拟化。金网设备虚拟化后对外呈现一个逻辑的管理节点，通过一个早点可实现整网

设备的配置管理及业务下发。会聚及接入节点只相当于核心节点的一块普通业务板卡，AP经虚拟化融合

后相当于核心节点的一个普通业务端口。

8、为便于无线及有线的可视化运维，在网络发生问题和故障时，运维人员能第一时间收到邮件或者短信提

醒，并通过运维管理系统快速的定位鼓掌源头，依据相关修复建议实现网络的快速恢复,特别是无线网

络，通过一键式诊断，判断无线登陆失败节点的故障原因，极大的减轻了运维人员的工作压力，提高运

维人员的工作效率。

5.XXX医院网络总体建设规划

5.1.网络规划拓扑图

远程办公终翦

stwAh

ls

中

心

区

鱼

5.2.基础敏捷网络建设规划

5.2.1.网络设计原则

医疗网络通常是一种用户高密度的非运营网络，在有限的空间内聚集了大量的终端和用户。同时对于医疗网

络而言，注重的是网络的简单可靠、易部署、易维护。因此在网络中，拓扑结构通常以星型结构为主，较少使用

环网结构（环网结构较多的运用在运营商的城域网络和骨干网络中，可以节约光纤资源）。

基于星型结构的园区网设计，通常遵循如下原则：

1、层次化

籽网络划分为核心层、会聚层、接入层。每层功能清晰，架构稳定，易于扩展和维护。

2、模块化

将网络中的每个部门或者每个功能区划分为一个模块，模块内部的调整涉及范围小，易于进行问题定位。

3、冗余性

关键设备采用双节点冗余设计；关键链路采用Trunk方式冗余备份或者负载分担：关键设备的电源、主控板

等关键部件冗余备份。提高了整个网络的可靠性。

4、平安隔离

网络应具备有效的平安控制。按业务、按权限进行分区逻辑隔离，对特别重要的业务采取物理隔离。

5、可管理性和可维护性

网络应当具有良好的可管理性。为了便于维护，应尽可能选取集成度高、模块可通用的产品。

5.2.2.总体网络架构

网络的逻辑架构如下列图所示，包括五大局部。

1、终端层

包含网内的各种终端设备，例如PC、笔记本电脑、打印机、传真、POTS话机、SIP话机、手机、摄像

头等。

2、接入层

负责将各种终端接入到网络，通常由以太网交换机组成。对于某些终端，可能还要增加特定的接入设备，

例如无线接入的AP设备、POTS话机接入的IAD等。

3、会聚层

会聚层将众多的接入设备和大量用户经过一次会聚后再接入到核心层，扩展核心层接入用户的数量。会

聚层通常还作为用户三层网关，承当L2/L3边缘设备的角色，提供用户管理、平安管理、QoS（Quality

ofService）调度等各项跟用户和业务相关的处理。

4、核心层

核心层负责整个网络的高速互联，一般不部署具体的业务。核心网络需要实现带宽的高利用率和网络故

障的快速收敛。

5、网络出口

网络出口是园区网络到外端公网的边界，内部用户通过边缘网络接入到公网，外部用户（包括合作伙伴、

分支机构、远程用户等)也通过边缘网络接入到内部网络。

6、数据中心区

部署效劳器和应用系统的区域。为内部和外部用户提供数据和应用效劳。

7、DMZ(DemilitarizedZone)区

通常公用效劳器部署于该区域，为外部访客(非职工)提供相应的访问业务，其平安性受到严格控制。

8、网络管理区

对网络、效劳器、应用系统进行管理的区域。包括故障管理、配置管理、性能管理、平安管理等。

5.2.3.物理组网规划

核心区域建议采用网络出口、核心层、会聚层和接入层的架构模型，具有如下的优势：

>层次化设计：核心层、会聚层、接入层，每层功能清晰，架构稳定，易于扩展和维护。

>模块化设计：每一个模块一个部门，部门内部调整涉及范围小，定位问题也容易。

>冗余性设计：双节点冗余性设计，适当的冗余性提高可靠性，过度的冗余不便于运行维护。

>对称性设计：网络的对称性便于业务部署，拓扑直观，便于设计和分析。

5.2.4.网络出口规划

网络出口指医院接入广域网和Internet的出口，出口的主要功能是外部的互访，出差职工的访问。

Internet网络的平安性低、可靠性低、费用低，WAN平安性高、可靠性高、费用高。为保证WAN/Internet

链路的高可靠性，可申请两条链路，实现冗余备份，也可以WAN作为主用链路，Internet作为冬份链路。

出口网关需要配置防火墙、IPS等，根据不同的平安性要求和投资规模选择平安部件.

5.2.5.核心层设计规划

核心层部署医院的核心设备，连接所有的会聚交换机，转发各个楼层的流量。

核心层需要采用全连接结构，保持核心层设备的配置尽量简单。核心层设备需要具有高带宽、高转发性能，

否则将无法支撑医院内外部的业务流量。

核心层采用华为S12708敏捷交换机，使用CSS2(ClusterSwitchSystem)技术，将两台交换机从逻辑上

整合成一台交换机。这种技术支持主控1+N备份，集群系统中只要保证任意一框的一个主控板运行正常，多框

业务即可稳定运行。相对于传统业务口集群系统，每个框至少要有一块主控单元运行正常的限制。通过集群+堆

叠的无环网络方案保障网络可靠，再通过设备本身99.999%的电信级可靠综合保隙校园网应用的稳定运行。

S12708敏捷交换机的业务板卡直接融合AC功能,可以对网络中的AP进行管控,实现有线无线深度融合接入、

转发、管理。

5.2.6.会聚层设计规划

会聚层是部门的核心，转发部门用户间的“横向”流量。同时提供到核心层的“纵向”流量。对接入层隐藏

核心层，作为网络的配线架，将大量用户接入到互联的网络中，扩展核心层设备接入用户的数量。

会聚层需要双归到核心层并支持接入层的双归接入。通常会聚层承当着L2/L3边缘的角色，辐要具有高带宽、

高端口密度、高转发性能等特点，用于支撑该会聚层下各部门之间的流量。

5.2.7.接入层设计规划

接入层是最靠近用户的网络，为用户提供各种接入方式，是终端接入网络的第一层，一般部署二层设备，归

属到会聚层交换机。接入层除了需要部署丰富的二层特性外，还需要部署平安、可靠性等相关功能。

接入层需要具有高端口密度，以支持更多的终端接入网络。

接入层交换机使用逐tack(IntelligentStack)技术，将多台交换机从逻辑上整合成一台交换机。这样既

简化了配置和管理，又提高了网络的可靠性和扩展能力。

5.2.8.可靠性设计规划

对于双设备、链路冗余的网络，如果接入层进三层，在接入层和核心层之间采用三层路由的方式，通过等价

路径再辅助部署BFD(BidirectionalForwardingDetection)快速检测故障,就能够保证链路故障、设备故障

的快速切换,同时也能够充分利用冗余链路。

更多的组网方式是在会聚层进三层，这样就需要解决接入层和会聚层之间二层流量的环路问题。传统的方案

是STP+VRRP的方案。该方案通过阻塞某些链路的转发实现二层破环，虽然该方案采用了标准的协议，支持多个

厂家设备的混合组网，但是其缺点也是显而易见的：

•收敛时间

传统的STP(SpanningTreeProtocol)技术收敛速度慢,在故障发生时,故障收敛时间＞10秒；虽然采用

RSTP进行优化，但收敛时间任是秒级，秒级的业务中断，会导致较差的用户体验。

•链路利用率低

如果同一机架内的效劳器属于同一VLAN,则有一个上行链路的带宽无法利用。带宽利用率只有50%；虽然

MSTP基于VLAN进行优化，但不能从根本上解决问题。

•配置维护好杂，网络故障率高

每个接入交换机和会聚交换机都需要运行STP协议，随着接入交换机的增加，交换机需要处理的STP也越来

越复杂，会导致可靠性问题。

我们推昔采用集群+堆叠的无环网络方案来解决上面的这些缺陷.核心采用两台框式交换机集群.接入层采

用盒式交换机，盒式交换机每两台值叠。接入层交换机和核心/会聚层交换机间的链路进行链路捆绑。

这个方案有四大优势：

•简化管理和配置

首先，集群和堆叠技术将需要管理的设备节点减少一半以上。

其次，组网变得简洁不需要配置复杂的协议，如：STP/SmarlLink/V'RRP等。

快速的故障收敛

链路故障收敛时间可以控制在GOms,大大降低了网络链路/节点的故障对业务的影响。

•带宽利用率高

采用链路Trunk的方式，带宽利用率可以到达100乳

•扩容方便、保护投资

随着业务的增加，当用户遂行网络升级时，只需要增加新设备，而不需要更改网络配置，平滑扩容，很

好的保护了投资。

该方案极大提高了可靠性，以单链路故障率为1小时/I千小时为例，增加到两条链路，就可以将故障率降

低到3.6秒/I千小时，可靠性从3个9提高到6个9。

可靠性的另一个重要方面是设备可靠性，核心区设备一般为枢式设备，在可靠性方面的要求包括：

•支持主控单元的备份

•支持电源模块的备份

•支持模块化的风扇设计，支持单风扇失效

•支持所有模块的热插拔

5.2.9,平安性设计规划

核心层与网络出口部署防火墙设备，主要解决如下几个平安问题：

•网内、外网之间的访问控制，实现内、外网的平安隔离。

•分支与内网的访问控制，实现分支和内网业务的平安隔离。

•出差职工与效劳器区的访问控制，实现出差职工与内网的平安隔离。

合作伙伴/访客与效劳器的访问控制，实现合作伙伴/访客与内网的平安隔离。

5.3.远程访问规划

远程访问在网络最重要的两个场景，一个是与分支或总部的整体网络互联互通，一个是个体用户因为出差或

者其他原因，需要在外网访问内网的资源或者办公系统。VPN设备是一个非常具有性价比的平安解决方案。其易

用性，平安性在全球的各个行业环境中都得到了使用。

在本方案中，通过利用USG下一代防火墙的VPN特性，建设院区之间与提供外部用户平安远程访问的平台。

利用互联网的资源实现灵活VPN组网一般有IPSecVPN和SSLVPN两种方式。

IPSecVPN

IPSec(IPSecurity)是一组开放协议的总称，特定的通信方之间在IP层通过加密与数据源验证，以保证

数据包在Internet网上传输时的私有性、完整性和真实性。

IPSoc协议有两种工作模式：隧道模式和传输模式。在隧道模式下，IPS"将整个原始IP数据包放入一个新

的IP数据包中，这样每一个1P数据包都有两个IP包头：外部IP包头和内部IP包头v外部IP包头指定将对

IP数据包进行IPSec处理的目的地址，内部IP包头指定原始IP数据包最终的目的地址。IP包的源地址和目的

地址都被隐藏起来，使IP包能平安地在网上传送。其最大优点在于终端系统不必为了适应IP平安而作任何改动。

隧道模式既可以用于两个主机之间的IP通信，又可以用于两个平安网关之间或一个主机与一个平安网关之间的

IP通信。

在传输模式下，要保护的内容是1P包的载荷，在IP包头之后和传输层数据字段之前插入IPSec包头（AH

或ESP或二者同时），原始的IP包头未作任何修改，只对包中的净荷（数据）局部进行加密。由于传输模式的IP

包头暴露在外，因而容易遭到攻击。传输模式常用于两个终端节点间的连接，如客户机和效劳器之间。

IPSec定义了一套用于认证、保护私有性和完整性的标准协议。它支持一系列加密算法如DES、3DES；检查

传输数据包的完整性，以确保数据没有被修改。IPS*可用来在多个防火墙和效劳器之间提供平安性，确保运行

在TCP/IP协议上的VPN之间的互操作性。

SSLVPN

SSLVPN是以SSL/TLS协议为基础，利用标准浏览器都内置支持SSL/TLS的优势，对其应用功能进行扩展的

新型VPNo

SSL协议最初是由Netscape公司开发，用于保护web通信平安。到目前为止，SSLv3和TLS1.0（也被成为

SSLv3.1）得到了广泛的应用，2006年IETF推出了TLS1.1协议（RFC4346）,2006年IETF推出了TLSF2（RFC5246）

并在2011年对其进行了修正（RFC6176）。随着SSL协议的不断完善，包括微软IE在内的愈来愈多的浏览器支持

SSL,SSL协议成为应用最广泛的平安协议之一。

SSL协议分为两层，上层是握手协议，底层是记录协议。SSL握手协议主要完成客户端与效劳器之间的相互

认证，协商加密算法与密钥。在握手协议中，认证可以是双向的，协商密钥的过程是可靠的，协商得到的密钥是

平安的。SSL记录协议建立在可靠的传输协议之上，主要完成数据的加密和鉴别。通过对称密码算法确保了数据

传输的机密性，通过HMAC算法确保数据传输过程的完整性。

由此可见，SSL协议从以下方面确保了数据通信的平安：

认证一在建立SSL连接之前，客户端和效劳器之间需要进行认证，认证采用数字证书，可以是客户端对效

劳器的认证，也可以是双方进行双向认证。

机密性一采用加密算法对需要传输的数据进行加密。

完整性一采用数据鉴别算法验证所接收的数据在传输过程中是否被修改。

除了web访问、TCP/UDP应用之外，SSLVPN还能够对IP通信进行保护。在保证通信平安性的基础上，SSLVPN

实现了更加细致的访问控制能力，大大增强了对内网的平安保护。同时，SSLVPN通信基于标准TCP/IP,因而不

受NAT限制，能够穿越防火墙，使用户在任何地方都能够通过SSLVPN网关代理访问内网资源，使得远程平安接

入更加灵活简单。另外，使用SSLVPN访问B/S应用时不需要安装任何客户端软件，只要用标准的浏览器就可以

实现对内网资源的访问，省去了客户端的繁琐的维护和支持工作，不仅极大地解放了TT管理员的时间和精

力，更提高了远程接入人员（如出差员工）的工作效率，节省了企业的培训和IT效劳费用；同时，也意味着远

程用户在进行远程访问时不会再受到地域的限制，不管是在公共网吧或是在商业合作伙伴那里，甚至是随手借一

台笔记本，只要有网络，远程访问就没问题。

54.有线无线融合规划

传统网络中常见的无线部署方式有独立AC或插卡式AC,不管采用哪种，所有无线流量都要通过AC集中转

发，有线和无线网络在转发和控制层面上是别离的。随着802.llac时代的到来和智能终端设备的普及，网络中

存在手持智能手机、Pad、便携等多种设备高速上网，AC设备由于转发能力、端口各方面的限制将逐渐成为流量

瓶颈。因而有线和无线网络如果想要获得一致的使用和管理体验，不能仅仅依靠目前常见的AC插卡式整合部署

的方式，还需要在此基础之上向深度融合演进。

在本部署方案中采用敏捷交换机12700的有线无线融合理念实现有线无线流量深度融合，具体包括：

融合转发：敏捷交换机支持随板AC功能，有线无线流量都直蚤在交换机处理，报文转发行为一致，不存在

AC集中后再通过有线转发的情况，消除无线流量瓶颈限制，整机转发能力能到达Tbit,学校不需要单独购置AC

设备或者插卡，既解决了节省了投资又减少了故障点。

融合管理：借鉴业界AC管理AP的成功经验，让敏捷交换机把接入层交换机也管理起来，有线无线采用一种

协议，通过CAP见AP隧道实现一致的管理机制，实现接入交换机即诵即用，降低信息中心老师日常工作中的管理

复杂度。

5.5.业务随行规划

业务随行是敏捷网络中一种能够满足不管用户身处何地、使比哪个1P地址，都可以保证该用户获得相同的

网络访问策略的解决方案。

在网络中，为实现用户不同的网络访问需求，可在接入设备上为用户部署不同的网络访问策咯。但随着企业

网络移动化、BY0D等技术的应用，月户的物理位置以及IP地址变化愈加频繁，这就使得原有基于物理端口、IP

地址的网络控制方案很难满足用户网络访问体验一致性的需求（譬如网络访问权限不随用户物理位置变化而变

化）。

在传统网络中，当用户的物理位置发生变化时，为保证用户的网络访问体验一致，管理员需要在用户的每个

接入设备上为其部署相同的网络访问策略，这在用户物理位置变更频繁时会给管理员带来巨大的工作量。而在敏

捷网络中，通过业务随行方案，管理员仅需在控制器上统一为用户部署网络访问策略，然后将其下发到所有关联

的接入设备即可满足不管用户的物理位置以及IP地址如何变化，都可以使其获得相同的访问策略。

业务随行通过在网关设备上统一管理用户的访问策略，并且在网关设备和接入设备执行用户的访问策略，来

解决网络中策略强度与复杂度之间矛盾的一种解决方案。

控制设备和接入设备之间使用CAPAndProvisioningofWirelessAccessPoints）通道建立连接。并且，

通过CAPWAP通道完成控制设备和接入设备之间的用户关联、消息通信、用户授权策略下发、用户同步等处理。

BOZlxporta队1Z8021x088021xtZ毛等本脚证

PC/LaptopIPPhoneTC打印机/克瑞

5.6.SVF全网虚拟化规划

传统网络多采用树状分层结构，分为核心、会聚、接入三层，其中核心/会聚层多采用横向集群，接入交换

机数量庞大.

本部署方案旨在通过SVF超级虚拟交换网，将整个网络虚拟化为一台设备，霎现将盒式交换机虚拟为核心敏

捷交换机的板卡，将AP虚拟为核心敏捷交换机的无线端口，使得原来“核心/会聚+接入交换机+AP”的校园网络

架构，虚拟化为一台设备，整个网络成为“OneBox",从而最大程度简化运维人员的日常运维工作，同时降低

多协议应用下的网络配置、运行复杂度，提升网络可靠性。

5.7,用户接入认证规划

5.7.1.有线用户接入

（1）接入交换机配置端口隔离，每个接入交换机配置一个VLAN,VLAN编号可以重复。

（2）S12700做为用户网关，Portal用户上线到后DHCP效劳器给用户分配IP地址，在通过认证之前用户只

能访问认证前域的效劳器，用户的第一个HTTP报文进行重定向到Porlal效劳器，实现WEB认证：认证通过后允

许用户访问认证后域。

（3）S127作为用户网关，IX用户直接到第三方AAA效劳器进行用户名和密码认证。

（4）有线用户的互访都需要通过S12700进行流量转发。

5.7.2.无线用户接入

S12700内置硬件随板『bitAC,并支持统一用户管理功能，更敏捷地实现了丰富的业务特性。

S12700内置硬件随板T-bitAC,可节省用户额外购置AC硬件的费用。此外，S12700内置硬件随板T-bitAC

突破外置AC处理性能的瓶颈，沉着面向高速无线时代。

S12700支持统一用户管理功能，屏蔽了接入层设备能力和接入方式的差异。S12700不仅支持

802.IX/MAC/Portal等多种认证方式，还支持对终端进行分组/分域/分时的管理，使终端、业务可视可控，实现

了从“以设备管理为中心〃到“以用户管理为中心”的飞跃。

交换机配套X1E接口板，可以部署WLANAC功能，集中管理大量的AP,对海量用户提供Wi-Fi接入效劳。

AC通过CAPWAP协议报文管理和控制AP,而X1E接LI板可以处理CAPWAP报文，所以组网时，需要保证AP的报文

流量通过X1E接口板进入交换机。

5.8.无线网络建设规划

5.8.1.无线医疗简介

当代社会，人口快速增K、老龄化趋势加快、生态环境恶化，人们对健康生活渴望愈加强烈，多方面因素不

可防止地对医疗信息化提出了越来越高的要求。医疗单位也步入了以效劳患者为中心的数字化医疗开展阶段。在

此过程中，随着移动技术日新月异地改变人们的生活方式，''无线医疗〃也成为近两年医疗行业最关注的信息化

技术和手段。

目前大局部三甲医院已经建立了比较完备的的医疗信息系统（如HIS、PACS等），医护人员可以通过有线网

络来访问、修改、输入患者信息、诊断报告和治疗方案，但在使用过程中发现，由于有线网络存在信息点固定的

局限性，制约了系统发挥更大的作庄。无线网络的应用将彻底打破了这一局限。无线网络在医院的应用主要集中

在以下几方面：

•移动查房

医生查房的过程中，需要随时调取患者的诊疗记录或病史等信息，并根据患者当时的具体病情随时下医嘱。

无线网络的应用，可以使医生通过随身携带的平板电脑或PDA,随时查看病人病历、检验、化验报告单、影像图

等,把HIS、PACS等信息系统“延伸到床边〃，医生在病人床边即可采集病情、开出医嘱，以及实现医护人员之

间的便捷沟通，信息同步；给医生工作带来便利的同时，也保证了医嘱和病历的准确性、实时性，让患者享受

到更满意的健康效劳；

•无线护理

患者从就诊到得到治疗通常需要经过3个步骤：医生检查患者得出初步诊断后开具医嘱，护士将医嘱转抄到

输液袋或治疗卡上并准备执行，护士实施治疗方案。这3个环节的每一步都至关重要。

随着无线网络技术、用户身份识别技术与医用推车、小型电脑、PDA的结合，能够实现方便的移动护理，对

医嘱执行过程中的每一步进行实时检查和确认，切实提高医疗质量和医护效率。

•资产管理

医疗设备不仅是开展医疗.、教学、科研的必备条件，而且是提高医疗质量的物资基础和先决条件。一般医疗

单位的医疗设备约占医院固定资产的1/2,而经济效益约占门诊和住院病人资金收入的2/3,也是医院产生医疗

信息的主要来源。基于WLAN技术和射频技术（RFID）,不仅可以实现贵重资产的精确定位、实时跟踪，同时可实

现移动性的资产出入库、资产盘点笔功能

•特殊病人管理

特殊人群管理包括母婴管理，精神病人、突发病患者、残疾病人等特殊人群管理：这类群体不具备自我管理

能力，需要医疗单位给予更加完善、细致的照顾。结合WLAN技术和射频识别技术，可以实现实时位置信息查询、

紧急情况告警、医院特殊重地管理、平安范围界定等，提高医院管理水平。

・无线输液

门诊输液工作量大，业务繁忙琐碎，一旦出现过错，有可能危及病人生命平安；基于WLAN技术的无线输液

管理系统可以解决在门诊场地有限、人员流动性大的场合病人输液难题。输液信息电子化，结合“病人腕带”、

具备扫描功能的无线PDA,实现病人从入院、治疗到出院全过程的身份确定，并在取药、配药、输液等各个环节

利用电子条码对病人、药物严格进行验证匹配，医护人员一目了然，最大程度上保证病人服药及治疗的平安，降

低医疗过错发生率。

•方便患者就诊

门诊排队、就医环境差是目前医院普遍存在的问题，减少就诊等待时间，提高诊治效率成为当务之急。无线

网络部署后，医生可以通过平板电脑或者PDA,将接诊或等待的患者数量信息实施传送到前台分诊人员处，方便

分诊人员及时调配资源；同时在公共局域开放的无线网络，可以提供应病人上网，并推送医院电子地图和推送就

诊指导信息，缓解病人情绪，提升患者满意度。

5.8.2.无线医疗的总体需求

随着医院信息化的开展、网络中所承载内容的变化、新的接入方式的成熟。现代WLAN无线医院的需求概括

为如下几点。

5.8.3.无线网络平安问题

由于无线电波的开放性，对医院通过传统的内网物理隔离来保证平安提出了新的挑战；医院中患者的电子病

历、个人资料一旦被泄漏、恶意修改，或者被其他机构获得，都会酿成严重后果。同时，医院自身的信息保密也

尤为重要，防止信息泄露造成难以弥补的损失。

如何保证内网、外网的平安隔离，如何保证移动场景下的接入访问控制，以及防止信息通过移动终端泄露，

成为无线平安方面关注的重要问题;

5.8.4.无线网络规划实施问题

无线网络的规划和实施直接决定了后续的业务应用效果，主要关注以下几个问题：

♦信号覆盖盲点问题：建筑物的不同架构（如卫生间问题）和墙壁介质会对无线信号的传输造成不同程度

的影响，尤其是部署大量AP时，如何实现信号连续覆盖无盲点是必须考虑的问题。

♦无线AP供电：许多医院在开始建楼时并没有考虑到无线网络的部署问题，也就没有预留出电源供无线AP

使用，如果重新改造电源线路，施工本钱必然提升。

♦AP之间的干扰问题：在一定的空间内部署多个AP,信号会有相互交错重叠，从而造成信号干扰。如何解

决，需要关注。

♦覆盖环境中其他的2.4GHz/5GHz波段的射频干扰源，如微波炉、无绳电话、蓝牙耳机等；

♦无线设备对■患者（患者体内植入心脏起搏器或心脏除颤器）潜在的干扰；

医院部署时需要考虑无线网络与医疗仪器之间不存在互相干扰，以及尽量解除部署无线给病人带来的心里压

力。

5.8.5.无线用户漫游问题

无线设备的最大特点就是接入点灵活方便，但同时对网络性能提出更高的要求：医护人员在不同无线网络覆

盖区移动时能否快速接入医院管理系统，在快速的移动过程中如何保证业务不中断，不会造成信息丧失以及影响

医护人员的工作体验。

5.8.6.无线网络管理问题

为了到达信号全面覆盖，无线网络中往往需要部署大量AP,如何对数个AP进行快速有效的配置和管理，融

合到原有的管理系统中，白线无线网络能否实现一体化的统一运维，也是许多医院在部署无线网络时关心的问题。

5.8.7.无线医疗基础网络设计

不同医院现有有线网络架构的差异，使得各医院的WLAN网络建设存在一定的差异。根据获嘉县红十字医院

减租结构及网络状况，建议不改变有线网，WLAN无线网在现有网络上叠加。

组网架构设计

WI.AN无线网络建设，直接在现有网络上叠加，尽量减少对现有网络的影响和改动。这个情况下，建议采用

下列图所示的WLAN方案。AC放置在核心机房，旁挂于核心交换机_L,采用集中转发模式，数据报文直接通过隧

道到AC进行处理，对现有网络几乎无影响；AP放置在目标覆盖位置，通过接入交换机POE供电。

•AC设备：

/核心层推荐采用华为

/S12700交换机的可编程单板内置无线AC功能（NatvieAC）,有线无线统一转发、统一控制、统一管

理，实现有线无线真正融合，且无需在单独购置AC板卡

•AP设备:

/室内或者室外场景推存选择放装型设备，减少无线布线的繁琐。AP设备采用POE供电，就近接入接

入交换机，针对门诊楼，推荐AP4030DN-E1lac放装型AP设备与高密型AP4030TN无线AP进行相应需

求的信号覆盖。针对住院部，由于房间分布较多，信号受干扰衰减严重，因此建议采用华为智分型

AD9430DN-24无线AP,设备自带24个POE供电口，可直接为远端射频单元进行POE供电，通过一个中

心AP带至多48个射频单元R240D,每射频单元可以采用86面板或者壁挂等方式便捷的部署在各个病

房内部,兼容IEEE802.lla/b/g/n/ac标准,支持2*2MIMO,2.4G和5G频段可同时工作,信号覆盖

能力强，最高速率可达千兆，保证信号的覆盖密度和覆盖强度。

•接入交换机：

/接入层新增千兆POE接入交换机，满足AP供电以及WLANHn/llac对接入带宽的需求。

/接入交换机推荐选择华为55720-28*^W爪-51。

•核心交换机：

,核心层采用S12700交换机。其独创的CSS2集群，数据跨框1次交换，21us最低跨框时延，仅为业界

平均时延的60%且CSS2交换网集群支持1+N冗余备份，增加核心层设备的可靠性。

无线AP部署方案

无线AP的部署方案整体分为放装方案，智分方案两种。两种方案的区别和比较如下。

主要特性比照室内放装系统敏捷分布式部署

支持2.4G/5G终端接入，部署情况需要根

保证99%以上的信号覆盖率，病房覆盖效果好，可同

覆盖效果据实际环境与建筑布局等来综合网规评

时支持2.4G/5G终端接入。

估，病房覆盖效果会受到穿墙等因素影响。

需要根据实际客户需求以及部署场景来综针对房间密集的场景，采用86盒而板方式直接部署

每AP最大覆盖房间数量

合网规评估。通常可覆盖4〜6个房间。在房间内部，覆盖效果好，信号强度及稳定性较好。

中心AP、间走网线或者直接替换现有房间内部信息

其他辅料不需要其他辅料，AC、AP只需要网线即可

面板。

5.8.8.WLAN覆盖规划

射频规划

与IP地址规划一样，WLAN信道是WLAN网络设计中重要一环，大型无线医院必须对"WLAN信道进行统一规划。

WLAN信道规划的好坏，影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力,

也必籽直接影响到无线网络的用户体验。

频点划分

为保证信道之间不相互干扰，大型无线医院必须对WLAN信道进行统一规划并实施。WLAN系统主要应用两个

频段：2.4GHz和5.0GHz。2.4G频段具体频率范围为2.4〜2.4835GHz的连续频谱,信道编号1〜14,非重叠信道

共有三个，一般选取1、6、11这三个非重叠信道。5.0G频段分配的频谱并不连续，主要有两段：5.15〜5.35GHz、

5.725GHz〜5.85GHz。不重叠信道在5.15~5.35GHz频段有8个,分别为36、40、44、48、52、56、60、64；在

5.725GHz〜5.85GHz频段有4个，分别为149、153、157、161,可以根据实际部署情况，选择相应的非重叠信道。

信道覆盖

WLAN信道规划需遵循两个原则：蜂窝覆盖、信道间隔。根据覆盖密度、干扰情况、选择2.4G/5G单频或双

频覆盖。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，防止信号相互干扰；一般情况单独使

用2.4G或5.0（；的频段，对于会议室等高密度用户接入的场所，可以启用双频进行覆盖，以便提供更好的接入能

力。单频覆盖和双频覆的不意图如F列图所不。

链路预算

WLAN链路预算一般经过边缘场强确认,空间损耗计算，覆盖直离计算等步骤。边缘场强确认是指：在WLAN

工程部署中，要求重点覆盖区域.内的WLAN信号到达用户终端的电平不低于一75dBm。这样可以保障用户与AP的

协商速率以及收发数据质量。

空间损耗计算通常采用如下公式：Pr［期=R［d8］+G2［期-用的+Q•阳］。其中：P“dB］为最小接

收电平，即为AP在不同传输速率下的接收灵敏度；Pt［dB］为最大发射功率：Gt［dB］为发射天线增益：G