1.1. 无线网络设计
1.1.1. 无线业务需求分析
大多数医院的网络目前都是有线网络,但有线网络没有解决空间覆盖的问题,同时也不能解决信息实时收集的问题,在将来的医院网络趋于实时、数字化网络,同时还可以为医院的病人提供增值服务。也可以利用无线局域网技术的移动性、灵活性和高效率在护理点获取实时的患者信息或者搜索决策支持信息。这种系统使医护人员可以更加准确、快速和高效地制定决策和采取相应的措施,具体体现如下:
? 电子病历访问/查看
? 医生处方输入和药物治疗匹配 ? 护士呼叫系统 ? 患者床边服务
? 对重要的统计数据的监控 ? 。。。。。。
对于具体的无线工程一般还要满足以下业务需求:
? 针对医院的空间要进行全面覆盖;
? 无线网络通过安全认证,保证医院信息不能通过无线网络对外泄露; ? 用户在无线区域内移动时,不需要多次重复认证,实现自动漫游,即业务不中
断;
1.1.2. 整体无线建网原则
结合医疗行业和WLAN的实际应用与发展要求,无线局域网(WLAN)网络系统设计本着建设功能完整、技术成熟先进的网络系统的前提下,主要遵循以下系统总体原则:
? 高可靠性原则:网络系统的稳定可靠是应用系统正常运行的关键保证,对于医院
网络来说,更是如此,在网络设计中特别是关键节点的设计中,选用高可靠性网络产品,并合理设计网络冗余拓扑结构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地保证医院办公系统的高效运行。
? 技术先进性和实用性原则:以现行需求为基础,保证满足医院办公应用系统业务
的同时,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到医院网络应用的需求和未来的发展趋势。 ? 安全性原则:WLAN是一个空间开放网络,同时作对信息的安全以及网络的安全
要求较高。制订统一的骨干网安全策略、VLAN策略和过滤机制,整体考虑网络平台的安全性。
? 高性能原则:承载网络性能是医院整个办公系统良好运行的基础,设计中必须保
障网络及设备的高吞吐能力,保证各种信息(数据、语音、图像)的高质量传输,力争实现透明网络,网络不能成为医院实施业务的瓶颈。
? 规范性原则:系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和
联通WLAN企业标准,为系统的扩展升级、与其他系统的互联提供良好的基础。 ? 开放性和标准化原则:在设计时,要求提供开放性好、标准化程度高的技术方案;
设备的各种接口满足开放和标准化原则。
? 可扩充和扩展化原则:所有系统设备不但满足当前需要,并在扩充模块后满足可
预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
? 可管理性原则:整个系统的设备应易于管理,易于维护,操作简单,易学,易用,
便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
1.2. 总体方案设计
医院无线网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。
? H3C无线方案理解为是有线网络的外延,整个方案设计的要点主要包括认证点的
选择问题、网络安全设计、无线网部署、网络管理几个方面。我们将在后面的方案详细设计中进行分析和方案描述。
1.2.1. 认证方式选择
在认证点选择方面,由于H3C公司提供的是(FIT WAP2110)加核心交换机上无线AC控制器插卡进行组网的方案,(WAP2110)与AC控制器通过二层隧道协议通信,无线用户的认证点都是放置于AC控制器上。这样组网的优势是:当用户在不同(WAP2110)之间进行L2、L3漫游切换的时候,可由AC控制器对用户的漫游切换进行管理控制,对于用户来说可以在无需重新认证的情况下跨区域开展业务。
业界主要采用802.1X认证终端软件与AP、无线交换机、iMC配合使用进行802.1x认
证,或者采用Portal认证,后面具有Portal/Web与802.1X认证二种方式的比较。
目前无线交换机能够同时支持802.1X/WEB PORTAL认证,当用户数较少的时候,可以在AC控制器本地建立用户数据库,将用户鉴权点放在AC控制器本地进行;当用户数达到一定规模的时候,也可将用户数据库放在H3C的iMC系统上,iMC与AC控制器配合作为用户鉴权点。
由于医院的网络主要用于护士和医生工作,并不提供作为公众运营网络接入,我司本次的WLAN建设中,建议采用:
? 无线AC控制器完成用户的认证终结和用户鉴权;
? 此方式具有的优点:用户认证完成实体主要体现于无线交换机系统,呈现一个集中
模式,便于维护与统一控制,无线系统用户与有线用户区分开来管理,保证无线系统的安全性;
1.2.1.1. 802.1X认证方案介绍
802.1X协议是IEEE在2001.6通过的正式标准,标准的起草者包括Microsoft,Cisco,Extreme,Nortel等;802.1X定义了基于端口的网络接入控制协议(port based network access control),该协议适用于接入设备与接入端口间点到点的连接方式,其中端口既可以是物理端口,也可以是逻辑端口。H3C的FIT AP无线组网方案中,由后端的无线交换机对所有认证报文进行终结,并提取出用户名和密码信息交由后台的iMC进行用户鉴权。
用户使用802.1X认证的过程如图所示:
802.1X及WEB PORTAL认证流程示意图
接入AP的无线终端采用802.1X模式,首先接入AP的客户端通过802.1X认证输入用户名、密码后客户端发起EAP报文至无线交换机,在无线交换机上终结EAP报文,然后从无线交换机经以太网交换机发起Raduis报文至iMC服务器,由iMC服务器来验证用户名、密码是否匹配,在认证通过以后由iMC服务器下发Raduis报文至无线交换机通知该用户认证通过,无线交换机中再将相对应的逻辑端口打开,允许学习MAC地址,允许用户上网。
H3C公司对802.1x认证方式进行了优化,使其可以支持基于MAC的用户控制,即一般情况下如果多个用户连接到一个HUB,其中一个用户认证通过后,其他用户也能够使用网络,但H3C公司对802.1X认证方案优化后,只有认证通过的用户(MAC)才能使用网络,其他用户还是不能使用网络。
1.2.1.2. WEB认证方案介绍
WEB用户上网时,设备强制用户到门户网站,并提供门户网站主页,用户可以免费访问其中的服务。当要使用互联网中的其他信息时,则必须在门户网站进行认证,只有认证通过后才可以使用这些服务。WEB认证用户不需要安装额外的客户端软件。
在H3C的FIT AP方案中,使用WEB认证时,强制Portal仍然是在无线交换机上进行。使用WEB认证时不需要安装客户端软件,使得管理和维护更简单,并同时能利用iMC的
功能较好地对用户进行控制,如用户端口绑定、用户IP绑定、用户MAC绑定等,但无法做到用户通知消息下发和防止用户使用代理。
1.2.1.3. WEB认证与802.1X认证对比
功能 客户端软件 客户端版本限制 自动探测并屏蔽代理服务器 限制多网卡、拨号上网 显示当前网络状态及认证状态 异常下线探测功能 消息下发 对AAA服务器的特别要求 分布式认证 网络性能影响 Radius服务器的性能影响 标准化程度 IP地址浪费 WEB认证 不需要 不支持 不支持 不支持 支持 支持 不支持 无 支持 低 无 低 无 802.1x认证 需要 支持 支持 支持 支持 支持 支持 无 支持 低 无 高 无 1.2.2. 有线无线混合组网下的认证方案
对有线用户和无线用户进行分别认证,有线用户在以太网交换机上实现认证,无线用户在无线交换机设备上实现认证。通过在iMC上设定对应的绑定区域,对于只能使用有线上网的用户绑定所有以太网交换机IP地址,无线上网用户由于其漫游特性,无需绑定到无线交换机的IP地址。
设备要求:实现认证的以太网交换机和无线交换机必须支持标准Radius协议,能够和iMC CAMS配合实现认证计费功能。如果要实现H3C扩展的Radius功能,如防代理、消息下发等功能。则必须使用对应的H3C设备。 1.2.3. 用户管理
iMC系统功能强大,操作简单,在用户认证管理上,具有以下特点: ?
用户绑定功能
iMC 支持绑定用户名和设备IP地址、入端口号、VLAN ID、用户MAC地址、用户IP