華為WLAN無(wú)線醫(yī)療技術(shù)建議書

1、 DOCPROPERTY Product&Project Name 無(wú)線醫(yī)療WLAN技術(shù)解決方案 DOCPROPERTY DocumentName 技術(shù)建議書 DOCPROPERTY Confidential 目 錄 TOC h z t 標(biāo)題 1,1,標(biāo)題 2,2,標(biāo)題 3,3,標(biāo)題 7,1,標(biāo)題 8,2,標(biāo)題 9,3,Heading1 No Number,1 HYPERLINK l _Toc511033963 1 無(wú)線醫(yī)療WLAN網(wǎng)絡(luò)背景和需求 PAGEREF _Toc511033963 h 1 HYPERLINK l _Toc511033964 1.1 無(wú)線醫(yī)療簡(jiǎn)介 PAGEREF _To

2、c511033964 h 1 HYPERLINK l _Toc511033965 1.2 無(wú)線醫(yī)療的總體需求 PAGEREF _Toc511033965 h 2 HYPERLINK l _Toc511033966 1.2.1 無(wú)線網(wǎng)絡(luò)安全問題 PAGEREF _Toc511033966 h 2 HYPERLINK l _Toc511033967 1.2.2 無(wú)線網(wǎng)絡(luò)規(guī)劃實(shí)施問題 PAGEREF _Toc511033967 h 2 HYPERLINK l _Toc511033968 1.2.3 無(wú)線用戶漫游問題 PAGEREF _Toc511033968 h 3 HYPERLINK l _Toc

3、511033969 1.2.4 無(wú)線網(wǎng)絡(luò)管理問題 PAGEREF _Toc511033969 h 3 HYPERLINK l _Toc511033970 2 無(wú)線醫(yī)療WLAN基礎(chǔ)網(wǎng)絡(luò)方案 PAGEREF _Toc511033970 h 4 HYPERLINK l _Toc511033971 2.1 無(wú)線醫(yī)療架構(gòu) PAGEREF _Toc511033971 h 4 HYPERLINK l _Toc511033972 2.1.1 WLAN無(wú)線網(wǎng)在有線網(wǎng)絡(luò)上疊加 PAGEREF _Toc511033972 h 4 HYPERLINK l _Toc511033973 2.1.2 有線網(wǎng)改造+WLAN無(wú)

4、線網(wǎng)建設(shè) PAGEREF _Toc511033973 h 5 HYPERLINK l _Toc511033974 2.1.3 無(wú)線AP部署方案 PAGEREF _Toc511033974 h 6 HYPERLINK l _Toc511033975 2.2 WLAN覆蓋規(guī)劃 PAGEREF _Toc511033975 h 8 HYPERLINK l _Toc511033976 2.2.1 射頻規(guī)劃 PAGEREF _Toc511033976 h 8 HYPERLINK l _Toc511033977 2.2.2 SSID和漫游規(guī)劃 PAGEREF _Toc511033977 h 11 HYPER

5、LINK l _Toc511033978 2.2.3 醫(yī)院病房，手術(shù)室等具體場(chǎng)景規(guī)劃 PAGEREF _Toc511033978 h 13 HYPERLINK l _Toc511033979 2.3 業(yè)務(wù)帶寬規(guī)劃 PAGEREF _Toc511033979 h 13 HYPERLINK l _Toc511033980 2.3.1 基于用戶的帶寬管理 PAGEREF _Toc511033980 h 14 HYPERLINK l _Toc511033981 2.3.2 基于AP的帶寬管理 PAGEREF _Toc511033981 h 14 HYPERLINK l _Toc511033982 2.

6、3.3 基于SSID的帶寬管理 PAGEREF _Toc511033982 h 14 HYPERLINK l _Toc511033983 2.3.4 基于業(yè)務(wù)的帶寬管理 PAGEREF _Toc511033983 h 14 HYPERLINK l _Toc511033984 2.4 可靠性規(guī)劃 PAGEREF _Toc511033984 h 15 HYPERLINK l _Toc511033985 2.4.1 AC 1+1備份 PAGEREF _Toc511033985 h 15 HYPERLINK l _Toc511033986 2.4.2 CAPWAP斷鏈業(yè)務(wù)保持 PAGEREF _Toc

7、511033986 h 15 HYPERLINK l _Toc511033987 2.4.3 AP可靠性 PAGEREF _Toc511033987 h 16 HYPERLINK l _Toc511033988 2.4.4 自動(dòng)調(diào)優(yōu) PAGEREF _Toc511033988 h 17 HYPERLINK l _Toc511033989 2.4.5 負(fù)載均衡 PAGEREF _Toc511033989 h 17 HYPERLINK l _Toc511033990 2.4.6 5G優(yōu)先接入 PAGEREF _Toc511033990 h 18 HYPERLINK l _Toc511033991

8、2.4.7 干擾檢測(cè) PAGEREF _Toc511033991 h 19 HYPERLINK l _Toc511033992 2.4.8 逐包功率調(diào)整 PAGEREF _Toc511033992 h 19 HYPERLINK l _Toc511033993 2.5 安全性規(guī)劃 PAGEREF _Toc511033993 h 19 HYPERLINK l _Toc511033994 2.5.1 內(nèi)外網(wǎng)隔離 PAGEREF _Toc511033994 h 20 HYPERLINK l _Toc511033995 2.5.2 無(wú)線空口安全 PAGEREF _Toc511033995 h 21 HY

9、PERLINK l _Toc511033996 2.5.3 終端用戶精細(xì)化管控安全 PAGEREF _Toc511033996 h 24 HYPERLINK l _Toc511033997 2.6 無(wú)線定位方案 PAGEREF _Toc511033997 h 26 HYPERLINK l _Toc511033998 2.7 運(yùn)維方案規(guī)劃 PAGEREF _Toc511033998 h 27 HYPERLINK l _Toc511033999 2.7.1 便捷設(shè)備配置和向?qū)綐I(yè)務(wù)部署管理 PAGEREF _Toc511033999 h 27 HYPERLINK l _Toc511034000 2

10、.7.2 可視化的WLAN網(wǎng)絡(luò)統(tǒng)一視圖 PAGEREF _Toc511034000 h 28 HYPERLINK l _Toc511034001 2.7.3 全方位的故障監(jiān)控 PAGEREF _Toc511034001 h 29 HYPERLINK l _Toc511034002 3 華為無(wú)線醫(yī)療WLAN方案優(yōu)勢(shì) PAGEREF _Toc511034002 h 30 HYPERLINK l _Toc511034003 4 設(shè)備選型和配置建議 PAGEREF _Toc511034003 h 32 HYPERLINK l _Toc511034004 4.1 產(chǎn)品介紹 PAGEREF _Toc511

11、034004 h 32 HYPERLINK l _Toc511034005 4.1.1 大廳放裝AP：AP4050DN-E PAGEREF _Toc511034005 h 32 HYPERLINK l _Toc511034006 4.1.2 大廳高密放裝AP：AP4050DN-HD PAGEREF _Toc511034006 h 32 HYPERLINK l _Toc511034007 4.1.3 病房覆蓋：敏分AP PAGEREF _Toc511034007 h 33 HYPERLINK l _Toc511034008 4.1.4 室外普通覆蓋：AP8050DN & AP8150DN PAG

12、EREF _Toc511034008 h 35 HYPERLINK l _Toc511034009 4.1.5 室外高密覆蓋：AP8082DN&AP8182DN PAGEREF _Toc511034009 h 35 HYPERLINK l _Toc511034010 4.1.6 AC6605-26-PWR PAGEREF _Toc511034010 h 36 HYPERLINK l _Toc511034011 4.1.7 ENP系列隨板無(wú)線接入控制單板 PAGEREF _Toc511034011 h 37 HYPERLINK l _Toc511034012 4.1.8 獨(dú)立盒式AC6005 P

13、AGEREF _Toc511034012 h 37 HYPERLINK l _Toc511034013 4.1.9 插卡式ACU2.0 PAGEREF _Toc511034013 h 38 HYPERLINK l _Toc511034014 4.1.10 S12700 PAGEREF _Toc511034014 h 39 HYPERLINK l _Toc511034015 4.1.11 eSight網(wǎng)管軟件 PAGEREF _Toc511034015 h 40 HYPERLINK l _Toc511034016 4.2 推薦配置 PAGEREF _Toc511034016 h 42無(wú)線醫(yī)療WL

14、AN網(wǎng)絡(luò)背景和需求無(wú)線醫(yī)療簡(jiǎn)介當(dāng)代社會(huì)，人口快速增長(zhǎng)、老齡化趨勢(shì)加快、生態(tài)環(huán)境惡化，人們對(duì)健康生活渴望愈加強(qiáng)烈，多方面因素不可避免地對(duì)醫(yī)療 HYPERLINK /keyword/%D0%C5%CF%A2%BB%AF t _blank 信息化提出了越來(lái)越高的要求。醫(yī)療單位也步入了以服務(wù)患者為中心的數(shù)字化醫(yī)療發(fā)展階段。在此過(guò)程中，隨著 HYPERLINK /keyword/%D2%C6%B6%AF t _blank 移動(dòng)技術(shù)日新月異地改變?nèi)藗兊纳罘绞?，“無(wú)線醫(yī)療”也成為近兩年醫(yī)療行業(yè)最關(guān)注的信息化技術(shù)和手段。目前大部分三甲醫(yī)院已經(jīng)建立了比較完備的醫(yī)療信息系統(tǒng)（如HIS、PACS等），醫(yī)護(hù)人員可以

15、通過(guò)有線網(wǎng)絡(luò)來(lái)訪問、修改、輸入患者信息、診斷報(bào)告和治療方案，但在使用過(guò)程中發(fā)現(xiàn)，由于有線網(wǎng)絡(luò)存在信息點(diǎn)固定的局限性，制約了系統(tǒng)發(fā)揮更大的作用。無(wú)線網(wǎng)絡(luò)的應(yīng)用徹底打破了這一局限。無(wú)線網(wǎng)絡(luò)在醫(yī)院的應(yīng)用主要集中在以下幾方面：移動(dòng)查房醫(yī)生查房的過(guò)程中，需要隨時(shí)調(diào)取患者的診療記錄或病史等信息，并根據(jù)患者當(dāng)時(shí)的具體病情隨時(shí)下醫(yī)囑。無(wú)線網(wǎng)絡(luò)的應(yīng)用，可以使醫(yī)生通過(guò)隨身攜帶的平板電腦或PDA，隨時(shí)查看病人病歷、檢驗(yàn)、化驗(yàn)報(bào)告單、影像圖等，把HIS、PACS等信息系統(tǒng)“延伸到床邊”，醫(yī)生在病人床邊即可采集病情、開出醫(yī)囑，以及實(shí)現(xiàn)醫(yī)護(hù)人員之間的便捷溝通，信息同步； 給醫(yī)生工作帶來(lái)便利的同時(shí)，也保證了醫(yī)囑和病歷的準(zhǔn)確

16、性、實(shí)時(shí)性，讓患者享受到更滿意的健康服務(wù)；無(wú)線護(hù)理患者從就診到得到治療通常需要經(jīng)過(guò)3個(gè)步驟：醫(yī)生檢查患者得出初步診斷后開具醫(yī)囑，護(hù)士將醫(yī)囑轉(zhuǎn)抄到輸液袋或治療卡上并準(zhǔn)備執(zhí)行，護(hù)士實(shí)施治療方案。這3個(gè)環(huán)節(jié)的每一步都至關(guān)重要。隨著無(wú)線網(wǎng)絡(luò)技術(shù)、用戶身份識(shí)別技術(shù)與醫(yī)用推車、小型電腦、PDA的結(jié)合，能夠?qū)崿F(xiàn)方便的移動(dòng)護(hù)理，對(duì)醫(yī)囑執(zhí)行過(guò)程中的每一步進(jìn)行實(shí)時(shí)檢查和確認(rèn)，切實(shí)提高醫(yī)療質(zhì)量和醫(yī)護(hù)效率。資產(chǎn)管理醫(yī)療設(shè)備不僅是開展醫(yī)療、教學(xué)、科研的必備條件，而且是提高醫(yī)療質(zhì)量的物資基礎(chǔ)和先決條件。一般醫(yī)療單位的醫(yī)療設(shè)備約占醫(yī)院固定資產(chǎn)的1/2，而經(jīng)濟(jì)效益約占門診和住院病人資金收入的2/3，也是醫(yī)院產(chǎn)生醫(yī)療信息的主要

17、來(lái)源?；赪LAN技術(shù)和射頻技術(shù)（RFID），不僅可以實(shí)現(xiàn)貴重資產(chǎn)的精確定位、實(shí)時(shí)查找，同時(shí)可實(shí)現(xiàn)移動(dòng)性的資產(chǎn)出入庫(kù)、資產(chǎn)盤點(diǎn)等功能特殊病人管理特殊人群管理包括母嬰管理，精神病人、突發(fā)病患者、殘疾病人等特殊人群管理；這類群體不具備自我管理能力，需要醫(yī)療單位給予更加完善、細(xì)致的照顧。結(jié)合WLAN技術(shù)和射頻識(shí)別技術(shù)，可以實(shí)現(xiàn)實(shí)時(shí)位置信息查詢、緊急情況告警、醫(yī)院特殊重地管理、安全范圍界定等，提高醫(yī)院管理水平。無(wú)線輸液門診輸液工作量大，業(yè)務(wù)繁忙瑣碎，一旦出現(xiàn)差錯(cuò)，有可能危及病人生命安全；基于WLAN技術(shù)的無(wú)線輸液管理系統(tǒng)可以解決在門診場(chǎng)地有限、人員流動(dòng)性大的場(chǎng)合病人輸液難題。輸液信息電子化，結(jié)合“病人

18、腕帶”、具備掃描功能的無(wú)線PDA，實(shí)現(xiàn)病人從入院、治療到出院全過(guò)程的身份確定，并在取藥、配藥、輸液等各個(gè)環(huán)節(jié)利用電子條碼對(duì)病人、藥物嚴(yán)格進(jìn)行驗(yàn)證匹配，醫(yī)護(hù)人員一目了然，最大程度上保證病人服藥及治療的安全，降低醫(yī)療差錯(cuò)發(fā)生率。方便患者就診門診排隊(duì)、就醫(yī)環(huán)境差是目前醫(yī)院普遍存在的問題，減少就診等待時(shí)間，提高診治效率成為當(dāng)務(wù)之急。無(wú)線網(wǎng)絡(luò)部署后，醫(yī)生可以通過(guò)平板電腦或者PDA，將接診或等待的患者數(shù)量信息實(shí)施傳送到前臺(tái)分診人員處，方便分診人員及時(shí)調(diào)配資源；同時(shí)在公共局域開放的無(wú)線網(wǎng)絡(luò)，可以提供給病人上網(wǎng)，并推送醫(yī)院電子地圖和推送就診指導(dǎo)信息，緩解病人情緒，提升患者滿意度。無(wú)線醫(yī)療的總體需求隨著醫(yī)院信息

19、化的發(fā)展、網(wǎng)絡(luò)中所承載內(nèi)容的變化、新的接入方式的成熟?，F(xiàn)代WLAN無(wú)線醫(yī)院的需求概括為如下幾點(diǎn)。無(wú)線網(wǎng)絡(luò)安全問題由于無(wú)線電波的開放性，對(duì)醫(yī)院通過(guò)傳統(tǒng)的內(nèi)網(wǎng)物理隔離來(lái)保證安全提出了新的挑戰(zhàn)；醫(yī)院中患者的電子病歷、個(gè)人資料一旦被泄漏、惡意修改，或者被其他機(jī)構(gòu)獲得，都會(huì)釀成嚴(yán)重后果。同時(shí)，醫(yī)院自身的信息保密也尤為重要，避免信息泄露造成難以彌補(bǔ)的損失。如何保證內(nèi)網(wǎng)、外網(wǎng)的安全隔離，如何保證移動(dòng)場(chǎng)景下的接入訪問控制，以及避免信息通過(guò)移動(dòng)終端泄露，成為無(wú)線安全方面關(guān)注的重要問題；無(wú)線網(wǎng)絡(luò)規(guī)劃實(shí)施問題無(wú)線網(wǎng)絡(luò)的規(guī)劃和實(shí)施直接決定了后續(xù)的業(yè)務(wù)應(yīng)用效果，主要關(guān)注以下幾個(gè)問題：信號(hào)覆蓋盲點(diǎn)問題：建筑物的不同架構(gòu)（

20、如衛(wèi)生間問題）和墻壁介質(zhì)會(huì)對(duì)無(wú)線信號(hào)的傳輸造成不同程度的影響，尤其是部署大量AP時(shí)，如何實(shí)現(xiàn)信號(hào)連續(xù)覆蓋無(wú)盲點(diǎn)是必須考慮的問題。無(wú)線AP供電：許多醫(yī)院在開始建樓時(shí)并沒有考慮到無(wú)線網(wǎng)絡(luò)的部署問題，也就沒有預(yù)留出電源供無(wú)線AP使用，如果重新改造電源線路，施工成本必然提升。AP之間的干擾問題：在一定的空間內(nèi)部署多個(gè)AP，信號(hào)會(huì)有相互交錯(cuò)重疊，從而造成信號(hào)干擾。如何解決，需要關(guān)注。覆蓋環(huán)境中其他的2.4GHz/5GHz波段的射頻干擾源，如微波爐、無(wú)繩電話、藍(lán)牙耳機(jī)等；無(wú)線設(shè)備對(duì)患者（患者體內(nèi)植入心臟起搏器或心臟除顫器）潛在的干擾；醫(yī)院部署時(shí)需要考慮無(wú)線網(wǎng)絡(luò)與醫(yī)療儀器之間不存在互相干擾，以及盡量解除部署

21、無(wú)線給病人帶來(lái)的心里壓力。無(wú)線用戶漫游問題無(wú)線設(shè)備的最大特點(diǎn)就是接入點(diǎn)靈活方便，但同時(shí)對(duì)網(wǎng)絡(luò)性能提出更高的要求：醫(yī)護(hù)人員在不同無(wú)線網(wǎng)絡(luò)覆蓋區(qū)移動(dòng)時(shí)能否快速接入醫(yī)院管理系統(tǒng)，在快速的移動(dòng)過(guò)程中如何保證業(yè)務(wù)不中斷，不會(huì)造成信息丟失以及影響醫(yī)護(hù)人員的工作體驗(yàn)。無(wú)線網(wǎng)絡(luò)管理問題為了達(dá)到信號(hào)全面覆蓋，無(wú)線網(wǎng)絡(luò)中往往需要部署大量AP，如何對(duì)數(shù)百個(gè)AP進(jìn)行快速有效的配置和管理，融合到原有的管理系統(tǒng)中，有線無(wú)線網(wǎng)絡(luò)能否實(shí)現(xiàn)一體化的統(tǒng)一運(yùn)維，也是許多醫(yī)院在部署無(wú)線網(wǎng)絡(luò)時(shí)關(guān)心的問題。無(wú)線醫(yī)療WLAN基礎(chǔ)網(wǎng)絡(luò)方案無(wú)線醫(yī)療架構(gòu)不同醫(yī)院現(xiàn)有有線網(wǎng)絡(luò)架構(gòu)的差異，使得各醫(yī)院的WLAN網(wǎng)絡(luò)建設(shè)存在一定的差異。根據(jù)WLAN無(wú)線

22、網(wǎng)建設(shè)對(duì)現(xiàn)有網(wǎng)絡(luò)的疊加的影響程度，整體可以分為兩個(gè)場(chǎng)景：不改變有線網(wǎng)，WLAN無(wú)線網(wǎng)在現(xiàn)有網(wǎng)絡(luò)上疊加；新建分院或者有線網(wǎng)改造和WLAN無(wú)線網(wǎng)建設(shè)同部進(jìn)行。WLAN無(wú)線網(wǎng)在有線網(wǎng)絡(luò)上疊加WLAN無(wú)線網(wǎng)絡(luò)建設(shè)，直接在現(xiàn)有網(wǎng)絡(luò)上疊加，盡量減少對(duì)現(xiàn)有網(wǎng)絡(luò)的影響和改動(dòng)。這個(gè)情況下，建議采用下圖所示的WLAN方案。AC放置在核心機(jī)房，旁掛于核心交換機(jī)上，采用集中轉(zhuǎn)發(fā)模式，數(shù)據(jù)報(bào)文直接通過(guò)隧道到AC進(jìn)行處理，對(duì)現(xiàn)有網(wǎng)絡(luò)幾乎無(wú)影響；AP放置在目標(biāo)覆蓋位置，通過(guò)接入交換機(jī)POE供電。AC設(shè)備：AC設(shè)備推薦盒式產(chǎn)品AC6605，旁掛在核心層交換機(jī)。AC6605可以提供24口PoE+滿供能力，可直接接入AP，并提供

23、PoE+供電能力。提供豐富靈活的用戶策略管理及權(quán)限控制能力。最大可支持1024個(gè)AP的管理。AP設(shè)備室內(nèi)或者室外場(chǎng)景推薦選擇放裝型設(shè)備，減少無(wú)線布線的繁瑣。AP設(shè)備采用POE供電，就近接入接入交換機(jī)，對(duì)于報(bào)告廳等高密場(chǎng)景推薦使用AP4050DN-HD以提高單臺(tái)AP容量。接入交換機(jī)：接入層新增千兆POE接入交換機(jī)，滿足AP供電以及WLAN 11n/11ac對(duì)接入帶寬的需求。接入交換機(jī)推薦選擇華為S5720SI。有線網(wǎng)改造+WLAN無(wú)線網(wǎng)建設(shè)WLAN無(wú)線網(wǎng)建設(shè)和有線網(wǎng)改造同時(shí)進(jìn)行，有線采用802.1x認(rèn)證，無(wú)線采用Portal/IPOE認(rèn)證，打造有線無(wú)線一體化、統(tǒng)一認(rèn)證和管理的一體化無(wú)線醫(yī)院方案。

24、新建醫(yī)院或者有線改造和無(wú)線WLAN網(wǎng)絡(luò)建設(shè)同步進(jìn)行時(shí)，推薦整體解決方案如下圖所示。園區(qū)核心：核心層推薦采用華為S12700交換機(jī)。其獨(dú)創(chuàng)的CSS2集群，數(shù)據(jù)跨框1次交換，21us最低跨框時(shí)延，僅為業(yè)界平均時(shí)延的60%。且CSS2交換網(wǎng)集群支持1+N冗余備份，增加核心層設(shè)備的可靠性。 網(wǎng)絡(luò)改造的關(guān)鍵在于“統(tǒng)一認(rèn)證，集中管理”，在醫(yī)院出口部署華為融合統(tǒng)一用戶管理特性的高性能交換機(jī)S12700。有線接入采取802.1x認(rèn)證技術(shù)，無(wú)線接入采用Portal認(rèn)證技術(shù)，所有認(rèn)證工作通過(guò)寬帶業(yè)務(wù)網(wǎng)關(guān)完成。 S12700交換機(jī)的可編程單板內(nèi)置無(wú)線AC功能（Native AC），有線無(wú)線統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一控制、統(tǒng)一管

25、理，實(shí)現(xiàn)有線無(wú)線真正融合，且無(wú)需在單獨(dú)購(gòu)買AC板卡。 AP設(shè)備：室內(nèi)或者室外場(chǎng)景推薦選擇放裝型設(shè)備，減少無(wú)線布線的繁瑣。AP設(shè)備采用POE供電，就近接入接入交換機(jī)，對(duì)于報(bào)告廳等高密場(chǎng)景推薦使用AP4050DN-HD以提高單臺(tái)AP容量。室內(nèi)AP推薦AP4050DN-E，室外AP推薦AP8050DN或者AP8082DN。接入交換機(jī)：接入層新增千兆POE接入交換機(jī)，滿足AP供電以及WLAN 11n/11ac對(duì)接入帶寬的需求。接入交換機(jī)推薦選擇華為S5720SI系列交換機(jī)。無(wú)線AP部署方案無(wú)線AP的部署方案整體分為放裝方案，敏分方案兩種。兩種方案的區(qū)別和比較如下。主要特性對(duì)比室內(nèi)放裝系統(tǒng)敏分方案系統(tǒng)覆

26、蓋效果支持2.4G/5G終端接入，部署情況需要根據(jù)實(shí)際環(huán)境與建筑布局等來(lái)綜合網(wǎng)規(guī)評(píng)估，病房覆蓋效果會(huì)受到穿墻等因素影響。保證99%以上的信號(hào)覆蓋率，病房覆蓋效果好，移動(dòng)查房業(yè)務(wù)不中斷 每AP最大覆蓋房間數(shù)量需要根據(jù)實(shí)際客戶需求以及部署場(chǎng)景來(lái)綜合網(wǎng)規(guī)評(píng)估。通?？筛采w46個(gè)房間。一個(gè)中心AP下掛24個(gè)RU單元，可以覆蓋24個(gè)房間其他輔料不需要其他輔料，AC、AP只需要網(wǎng)線即可需AC、AP間走網(wǎng)線【方案一】室內(nèi)放裝：AP布放在所規(guī)劃的安裝點(diǎn)，接入交換機(jī)放在弱電井內(nèi)，提供AP的POE供電，同時(shí)做接入層匯聚到上層交換機(jī)。廣域網(wǎng)網(wǎng)管、服務(wù)器AC6605接入交換機(jī)-原網(wǎng)絡(luò)置于樓層弱電井AP4050DN-EA

27、P4050DN-EAP4050DN-E用戶樓層內(nèi)天花板布放圖1 WLAN無(wú)線網(wǎng)絡(luò)方裝方案【方案二】敏分方案：在每個(gè)樓層的弱電井內(nèi)或者走廊布放AD9430，通過(guò)網(wǎng)線，連接RRU R240D到病房，實(shí)現(xiàn)雙頻覆蓋圖2 WLAN無(wú)線網(wǎng)絡(luò)建設(shè)廣域網(wǎng)網(wǎng)管、服務(wù)器原網(wǎng)絡(luò)AC6605匯聚交換機(jī)置于樓層弱電井RU病房WLAN覆蓋規(guī)劃射頻規(guī)劃與IP地址規(guī)劃一樣，WLAN信道是WLAN網(wǎng)絡(luò)設(shè)計(jì)中重要一環(huán)，大型無(wú)線醫(yī)院必須對(duì)WLAN信道進(jìn)行統(tǒng)一規(guī)劃。WLAN信道規(guī)劃的好壞，影響到無(wú)線網(wǎng)絡(luò)的帶寬、無(wú)線網(wǎng)絡(luò)的性能、無(wú)線網(wǎng)絡(luò)的擴(kuò)展以及無(wú)線網(wǎng)絡(luò)的抗干擾能力，也必將直接影響到無(wú)線網(wǎng)絡(luò)的用戶體驗(yàn)。頻點(diǎn)劃分為保證信道之間不相互干擾

28、，大型無(wú)線醫(yī)院必須對(duì)WLAN信道進(jìn)行統(tǒng)一規(guī)劃并實(shí)施。WLAN系統(tǒng)主要應(yīng)用兩個(gè)頻段：2.4GHz和5.0GHz。2.4G頻段具體頻率范圍為2.42.4835GHz的連續(xù)頻譜，信道編號(hào)114，非重疊信道共有三個(gè)，一般選取1、6、11這三個(gè)非重疊信道。5.0G頻段分配的頻譜并不連續(xù)，主要有兩段：5.155.35GHz、5.725GHz5.85GHz。不重疊信道在5.155.35GHz頻段有8個(gè)，分別為36、40、44、48、52、56、60、64；在5.725GHz5.85GHz頻段有4個(gè)，分別為149、153、157、161，可以根據(jù)實(shí)際部署情況，選擇相應(yīng)的非重疊信道。信道覆蓋WLAN信道規(guī)劃需遵

29、循兩個(gè)原則：蜂窩覆蓋、信道間隔。根據(jù)覆蓋密度、干擾情況、選擇2.4G/5G單頻或雙頻覆蓋。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信號(hào)相互干擾；一般情況單獨(dú)使用2.4G或5.0G的頻段，對(duì)于會(huì)議室等高密度用戶接入的場(chǎng)所，可以啟用雙頻進(jìn)行覆蓋，以便提供更好的接入能力。單頻覆蓋和雙頻覆的示意圖如下圖所示。鏈路預(yù)算WLAN鏈路預(yù)算一般經(jīng)過(guò)邊緣場(chǎng)強(qiáng)確認(rèn)，空間損耗計(jì)算，覆蓋距離計(jì)算等步驟。邊緣場(chǎng)強(qiáng)確認(rèn)是指：在WLAN工程部署中，要求重點(diǎn)覆蓋區(qū)域內(nèi)的WLAN信號(hào)到達(dá)用戶終端的電平不低于75dBm。這樣可以保障用戶與AP的協(xié)商速率以及收發(fā)數(shù)據(jù)質(zhì)量?？臻g損耗計(jì)算通常采用如下

30、公式：。其中：PrdB為最小接收電平，即為AP在不同傳輸速率下的接收靈敏度；PtdB為最大發(fā)射功率；GtdB為發(fā)射天線增益；GrdB為接收天線增益；PldB為路徑損耗（包括空間傳播損耗、饋線傳播損耗、墻體/玻璃阻擋損耗）。實(shí)際部署中終端天線增益不可知，為方便計(jì)算常忽略接收天線增益，而采用如下公式：到達(dá)用戶端的信號(hào)電平AP發(fā)射功率AP天線增益路徑損耗。路徑損耗主要指WLAN信號(hào)的空間損耗，空間損耗92.4+20lgf+20lgd （f：GHz，d：km）。由公式推算可知：空間傳輸距離100m200m300m400m500m600m1000m100m2.4GHz信號(hào)的空間衰減(dBm)808689

31、.5929495.5100805.8GHz信號(hào)的空間衰減(dBm)87.693.697.199.6101.6103.1107.687.6為便于理解鏈路估算的過(guò)程，這里給出一個(gè)室外場(chǎng)景覆蓋和室內(nèi)場(chǎng)景覆蓋的預(yù)算案例：根據(jù)WLAN覆蓋邊緣場(chǎng)強(qiáng)的要求，到達(dá)終端用戶的信號(hào)電平不低于75dBm，500mW AP的輸出電平27dBm，天線增益11dBi，距離AP 500m處信號(hào)的衰減量94dBm，由于27+11-94-56dBm，大于-75dBm，因此在通常情況下，AP的覆蓋范圍為500m。由于數(shù)據(jù)通信是雙向的，終端的信號(hào)發(fā)射功率相對(duì)AP較弱，綜合考慮，一般建議室外AP的覆蓋范圍為200m300m。有些場(chǎng)景

32、需要利用無(wú)線AP設(shè)備做橋接，華為AP橋接可以按照3km5km規(guī)劃。根據(jù)WLAN覆蓋邊緣場(chǎng)強(qiáng)的要求，到達(dá)終端用戶的信號(hào)電平不低于75dBm，100mW AP的輸出電平20dBm，天線增益4dBi，距離AP 60m處信號(hào)的衰減量90dBm，由于20+4-90-66dBm，大于-75dBm，因此在正常情況下，室內(nèi)AP的覆蓋范圍為60m?？紤]到室內(nèi)環(huán)境復(fù)雜，無(wú)線信號(hào)需要穿越墻體等障礙物，一般建議覆蓋半徑為20m左右。 規(guī)劃工具無(wú)論是室內(nèi)還是室外，精細(xì)地覆蓋規(guī)劃都是一件非常有挑戰(zhàn)的工作。很多項(xiàng)目的無(wú)線網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)完全參照經(jīng)驗(yàn)進(jìn)行設(shè)計(jì)，與現(xiàn)網(wǎng)環(huán)境不能有機(jī)結(jié)合，不但缺乏科學(xué)的依據(jù)，準(zhǔn)確率也不高，且規(guī)劃效率低

33、下。粗放的覆蓋規(guī)劃不能充分發(fā)揮WLAN的性能，并且也給后期維護(hù)優(yōu)化帶來(lái)更多的工作量，增加后期成本。華為提供專業(yè)的規(guī)劃服務(wù)工具，可以提供從規(guī)劃、建設(shè)和優(yōu)化全流程的工具支撐，大大提升醫(yī)院這種場(chǎng)景覆蓋規(guī)劃的效率和準(zhǔn)確性。SSID和漫游規(guī)劃SSID規(guī)劃AP可以配置多個(gè)SSID，華為單頻AP可支持16個(gè)SSID，雙頻AP可支持32個(gè)SSID。通過(guò)配置多個(gè)SSID，AC針對(duì)不同的SSID下發(fā)不同的策略，SSID根據(jù)策略進(jìn)行終端與業(yè)務(wù)管理。無(wú)線網(wǎng)絡(luò)可按照用戶群體劃分不同的SSID，如下圖所示，針對(duì)三種不同的用戶群體，在AP上設(shè)置了3個(gè)SSID：SSID1用于患者、SSID2用于訪客和SSID3用于醫(yī)生。SS

34、ID和VLAN的映射通常，以太網(wǎng)中管理VLAN和業(yè)務(wù)VLAN是分離的。業(yè)務(wù)VLAN主要用于區(qū)分不同的業(yè)務(wù)類型或用戶群體。在WLAN網(wǎng)絡(luò)中SSID也同樣可以承擔(dān)相應(yīng)的工作。因此，在SSID的規(guī)劃中必須綜合考慮VLAN與SSID的映射關(guān)系。業(yè)務(wù)VLAN應(yīng)根據(jù)實(shí)際業(yè)務(wù)需要與SSID匹配映射關(guān)系，映射關(guān)系有1:1、1:N、N:1、N:N四種。漫游規(guī)劃漫游是指用戶在部署了WLAN網(wǎng)絡(luò)的場(chǎng)所移動(dòng)時(shí)，用戶終端可以從一個(gè)AP的覆蓋范圍移動(dòng)到另一個(gè)AP的覆蓋范圍，用戶無(wú)需重新登錄和認(rèn)證，如下圖所示。醫(yī)護(hù)人員從一個(gè)AP覆蓋范圍移動(dòng)到另一個(gè)AP覆蓋范圍，無(wú)需重新登錄和認(rèn)證, 醫(yī)護(hù)人員在同樓層移動(dòng)，跨樓層移動(dòng)，園區(qū)內(nèi)

35、移動(dòng)時(shí)業(yè)務(wù)不中斷。說(shuō)明：1、漫游過(guò)程中SSID必須一致，且使用相同的安全設(shè)置。2、漫游中選擇連接哪個(gè)AP是無(wú)線客戶端的動(dòng)作，這個(gè)切換的時(shí)機(jī)和快慢受無(wú)線客戶端的芯片或設(shè)置的影響，所以在漫游切換過(guò)程中會(huì)出現(xiàn)不同的終端切換性能有差異。醫(yī)院病房，手術(shù)室等具體場(chǎng)景規(guī)劃醫(yī)院病房通常為空心磚、加氣混泥土等低密墻體的筒子結(jié)構(gòu)，無(wú)線信號(hào)可穿兩道墻，因此建議放裝性方案，AP部署在走廊，病房?jī)?nèi)的信號(hào)通過(guò)信號(hào)穿墻的方式覆蓋，該方案施工難度低，運(yùn)維方案。如果醫(yī)院的病房墻體為35厘米左右的鋼筋混泥土，建議采用智分方案，把天線引入病房房間內(nèi)，確保信號(hào)的覆蓋效果。手術(shù)室內(nèi)部一般不允許施工，AP需要部署在手術(shù)室外部走廊的天花板

36、上面，AP正對(duì)大門以增強(qiáng)無(wú)線信號(hào)覆蓋。通常一個(gè)AP覆蓋兩個(gè)手術(shù)室，相鄰AP采用不同信道，避免信號(hào)干擾。醫(yī)院室外園區(qū)的覆蓋，選擇周圍樓頂部署室外型AP，通過(guò)定向天線覆蓋目標(biāo)區(qū)域。在某些不適合部署AP特殊空間，也可以通過(guò)室外AP進(jìn)行室內(nèi)無(wú)線信號(hào)的覆蓋，室外AP采用定向天線，通常部署在樓頂，信號(hào)只需要穿過(guò)外層窗戶或者墻壁，就可以對(duì)室內(nèi)提供較好的信號(hào)覆蓋。下面以北大醫(yī)院的病房為例講述規(guī)劃圖。病房墻體為空心磚構(gòu)造，對(duì)無(wú)線信號(hào)阻礙小，因此采用放裝型AP，在走廊天花板上部署，可以降低部署難度，減少施工量，加快部署速度。 相鄰病房的房門是相鄰的，所以在房門外部署AP可以同時(shí)覆蓋兩個(gè)病房。相鄰AP使用不同信道，

37、有效避免AP干擾。 實(shí)測(cè)無(wú)線信號(hào)強(qiáng)度為-58dBm，遠(yuǎn)高于-70dBm，信號(hào)良好。 業(yè)務(wù)帶寬規(guī)劃出于管理的需要，醫(yī)院運(yùn)維的工程師往往需要系統(tǒng)地對(duì)用戶或者單AP的帶寬進(jìn)行管理，比如要求醫(yī)院外的訪客用戶的帶寬不超過(guò)512kbps，醫(yī)生這類用戶上網(wǎng)獲得的帶寬不超過(guò)1Mbps，華為WLAN解決方案能夠提供基于用戶，基于AP（VAP）或者基于某SSID的帶寬管理?；谟脩舻膸捁芾砘谟脩舻膸捁芾戆谀硞€(gè)特定用戶的帶寬管理以及基于用戶組（角色）的帶寬管理?；谟脩舻膸捁芾硇枰猂adius服務(wù)器參與，在認(rèn)證后Radius下發(fā)用戶帶寬或者用戶組給AC，AC通知AP進(jìn)行相應(yīng)的帶寬控制。 基于AP的帶寬

38、管理出于管理的目的，有時(shí)需要對(duì)某個(gè)具體的AP進(jìn)行帶寬管理，如限制某個(gè)辦公室里的AP帶寬為30Mbps，可以通過(guò)配置Traffic profile 里的VAP Limit Rate實(shí)現(xiàn)帶寬管理。 基于SSID的帶寬管理為來(lái)自醫(yī)院外的訪客提供上網(wǎng)服務(wù)不是醫(yī)院建設(shè)WLAN的主要目的，一般需要對(duì)訪客SSID的容量做限制，以保障內(nèi)部用戶的帶寬和業(yè)務(wù)體驗(yàn)?；跇I(yè)務(wù)的帶寬管理華為Native AC 可以做到5級(jí)Qos調(diào)度，滿足業(yè)務(wù)服務(wù)質(zhì)量要求，保證高優(yōu)先級(jí)業(yè)務(wù)的帶寬。以視頻流為例，端到到的方案流程如下圖所示：視頻服務(wù)器通過(guò)IP網(wǎng)絡(luò)將廣播報(bào)文發(fā)送給AC，并打上優(yōu)先級(jí)：Erthnet 802.1p優(yōu)先級(jí)為5。A

39、C通過(guò)CAPWAP隧道將報(bào)文發(fā)送給AP。AC需要將Earthnet優(yōu)先級(jí)映射到隧道的優(yōu)先級(jí)。在保證效率的同時(shí)，為了提升穩(wěn)定性，AP上先將組播報(bào)文轉(zhuǎn)為單播報(bào)文，然后將報(bào)文從有線的優(yōu)先級(jí)映射到無(wú)線的優(yōu)先級(jí)。不同的業(yè)務(wù)進(jìn)入不同的空口隊(duì)列，并且獲取到不同的空口EDCA參數(shù)，從而對(duì)不同優(yōu)先級(jí)的業(yè)務(wù)實(shí)現(xiàn)差異性調(diào)度，保障QOS性能?？煽啃砸?guī)劃WLAN網(wǎng)絡(luò)的穩(wěn)定性被醫(yī)院普遍關(guān)注。一方面是設(shè)備的穩(wěn)定性,AC能夠?qū)崿F(xiàn)倒換后用戶無(wú)感知的Session級(jí)的備份以及常年工作在室外的AP在惡劣環(huán)境下的適應(yīng)能力等都是醫(yī)院WLAN網(wǎng)絡(luò)可靠性關(guān)注的重點(diǎn)。另一方面射頻能夠?qū)崿F(xiàn)自動(dòng)檢查周邊無(wú)線信號(hào)環(huán)境、動(dòng)態(tài)調(diào)整信道和發(fā)射功率等射頻

40、資源、智能均衡用戶接入，從而降低射頻信號(hào)干擾，增加無(wú)線網(wǎng)絡(luò)的可靠性。AC 1+1備份WLAN無(wú)線醫(yī)院通常規(guī)模較大，為了避免AC單點(diǎn)故障的問題，建設(shè)采取AC 1+1熱備份，增加網(wǎng)絡(luò)的可靠性。如下圖所示。AC 1+1 熱備CAPWAP斷鏈業(yè)務(wù)保持在CAPWAP鏈路中斷后，AP能夠繼續(xù)允許新用戶上線，繼續(xù)訪問CAPWAP未中斷前的所有網(wǎng)絡(luò)資源。當(dāng)CAPWAP鏈路恢復(fù)后，AP將所有在鏈路中斷期間上線的STA強(qiáng)制下線讓STA重新與該AP進(jìn)行關(guān)聯(lián)，并通過(guò)日志上報(bào)所有的STA信息。CAPWAP斷鏈業(yè)務(wù)保持該功能僅在WLAN使用的安全策略為開放系統(tǒng)認(rèn)證、共享密鑰認(rèn)證和WPA/WPA2PSK時(shí)生效。該功能允許所

41、有通過(guò)輸入正確密鑰的用戶上線，即AC上配置的STA黑白名單在CAPWAP斷鏈后不再生效。AP可靠性常年工作在室外的AP面臨嚴(yán)寒酷暑，風(fēng)吹雨淋以及雷電災(zāi)害的惡劣環(huán)境。華為室外型AP6510/AP6610提供業(yè)界領(lǐng)先的防塵，防水，防風(fēng)能力，以及防雷能力。領(lǐng)先的防風(fēng)設(shè)計(jì)，能夠在大于120mph風(fēng)力下工作（mph=miles per hour，120mph約為16級(jí)臺(tái)風(fēng)），AP全金屬外殼設(shè)計(jì)，符合IP67防護(hù)標(biāo)準(zhǔn)，可以完全組織灰塵和細(xì)沙的進(jìn)入，且長(zhǎng)時(shí)間不懼怕雨淋。AP在-40度60的環(huán)境中正常工作。防雷設(shè)計(jì)是華為室外型AP 6510和6610的另外一大亮點(diǎn)。其內(nèi)置的防雷設(shè)計(jì)可以減少另外購(gòu)置防雷設(shè)備。I

42、P 表示Ingress Protection（進(jìn)入防護(hù)）. IP等防護(hù)級(jí)系統(tǒng)提供了一個(gè)以電器設(shè)備和包裝的防塵、防水和防碰撞程度來(lái)對(duì)產(chǎn)品進(jìn)行分類的方法，這套系統(tǒng)得到了多數(shù) HYPERLINK /view/3622.htm t _blank 歐洲國(guó)家的認(rèn)可，國(guó)際電工協(xié)會(huì)IEC（International Electro Technical Commission）起草，并在IED529（BS EN 60529：1992）外包裝防護(hù)等級(jí)（IP code）中宣布。防護(hù)等級(jí)多以IP后跟隨兩個(gè)數(shù)字來(lái)表述，數(shù)字用來(lái)明確防護(hù)的等級(jí)。第一個(gè)數(shù)字表明設(shè)備抗微塵的范圍，或者是人們?cè)诿芊猸h(huán)境中免受危害的程度。I代表防止

43、固體異物進(jìn)入的等級(jí)，最高級(jí)別是6；第二個(gè)數(shù)字表明設(shè)備防水的程度。P代表防止進(jìn)水的等級(jí)，最高級(jí)別是8。另一方面，AP的調(diào)優(yōu)特性可以在個(gè)別AP故障或者性能惡化時(shí)自動(dòng)調(diào)優(yōu)，以提升WLAN網(wǎng)絡(luò)的穩(wěn)定性；在報(bào)告廳等高密覆蓋場(chǎng)所，AP間的負(fù)載均衡和5G優(yōu)先特性對(duì)WLAN網(wǎng)絡(luò)的穩(wěn)定性也做出重要貢獻(xiàn)。自動(dòng)調(diào)優(yōu)當(dāng)AP射頻環(huán)境出現(xiàn)惡化，某個(gè)AP故障或新增擴(kuò)容AP時(shí)，需要啟動(dòng)射頻自動(dòng)調(diào)優(yōu)，以增強(qiáng)系統(tǒng)的可靠性和穩(wěn)定性。建議選擇同時(shí)支持局部調(diào)優(yōu)和全局調(diào)優(yōu)的AP設(shè)備。局部調(diào)優(yōu)可方便的應(yīng)用于擴(kuò)容新AP、單點(diǎn)AP故障或者微波爐等局部環(huán)境變化而引起的信道環(huán)境變化場(chǎng)景，如下圖所示。全局調(diào)優(yōu)更多的應(yīng)用于新建WLAN網(wǎng)絡(luò)或者大面積信

44、道環(huán)境惡化場(chǎng)景。局部調(diào)優(yōu)當(dāng)AP3掉電或故障時(shí)，其鄰近AP1和AP4自動(dòng)感知，并調(diào)整發(fā)射功率，從而達(dá)到補(bǔ)盲的效果。AP3重新上線后，其鄰居AP1和AP4的自動(dòng)的調(diào)整發(fā)射功率，避免AP與鄰居因覆蓋區(qū)域重疊造成AP間相互干擾。負(fù)載均衡無(wú)線客戶端一般會(huì)根據(jù)AP信號(hào)強(qiáng)度（RSSI）選擇AP，這很容易導(dǎo)致大量的客戶端僅僅因?yàn)槟硞€(gè)AP信號(hào)較強(qiáng)而連接到同一個(gè)AP上。由于WLAN是基于CSMA/CA機(jī)制，實(shí)現(xiàn)多用戶接入，當(dāng)單臺(tái)AP接入用戶數(shù)過(guò)多時(shí)，用戶吞吐率性能會(huì)出現(xiàn)急劇下降且穩(wěn)定性無(wú)法保證。負(fù)載均衡特性可以按照用戶數(shù)量和用戶流量，將用戶分配到同一組但負(fù)載不同的AP上，從而實(shí)現(xiàn)不同AP之間的負(fù)載分擔(dān)，避免出現(xiàn)某

45、個(gè)AP負(fù)載過(guò)高而使其性能不穩(wěn)的情況。WLAN負(fù)載均衡如上圖所示。用戶模式：AP1和AP2屬于同一個(gè)負(fù)載均衡組，AP1已接入4個(gè)STA，AP2已接入2個(gè)STA。AP1與AP2接入STA個(gè)數(shù)的差值為2，當(dāng)閾值設(shè)置為1時(shí)，新接入的STA7被均衡到接入用戶數(shù)量較少的AP2上。 流量模式：AP1和AP2屬于同一個(gè)負(fù)載均衡組，AP1已接入4個(gè)STA，AP2已接入2個(gè)STA。但AP2上的STA5/STA6承載高帶寬業(yè)務(wù)，總帶寬流量30M超過(guò)AP1的總帶寬8M，當(dāng)設(shè)定閾值為12M，新接入的STA7被均衡到流量負(fù)荷較小的AP1上。 5G優(yōu)先接入5G優(yōu)先接入是指對(duì)于雙頻AP（AP同時(shí)支持2.4G和5G射頻），如果

46、STA也同時(shí)支持5G和2.4G的功能，則AP控制STA優(yōu)先接入5G。現(xiàn)網(wǎng)應(yīng)用中，大多數(shù)STA同時(shí)支持5G和2.4G的功能，STA通過(guò)AP接入Internet時(shí)，通常默認(rèn)選擇2.4G接入。如果用戶想要接入5G，需要手工選擇。在高密度用戶或者2.4G頻段干擾較為嚴(yán)重的環(huán)境中，5G頻段可以提供更好的接入能力，減少干擾對(duì)用戶上網(wǎng)的影響。通過(guò)5G優(yōu)先接入功能，AP可以控制STA優(yōu)先接入5G。 干擾檢測(cè)WLAN網(wǎng)絡(luò)的無(wú)線信道經(jīng)常會(huì)受到周圍環(huán)境影響而導(dǎo)致服務(wù)質(zhì)量變差。通過(guò)配置干擾檢測(cè)，監(jiān)測(cè)AP可以實(shí)時(shí)了解周圍無(wú)線信號(hào)環(huán)境，并及時(shí)向AC上報(bào)告警。干擾檢測(cè)可以檢測(cè)的干擾類型包括：AP同頻干擾、AP鄰頻干擾和ST

47、A干擾。 AP同頻干擾：兩個(gè)工作在相同頻段上的AP之間的相互干擾。例如，對(duì)于規(guī)模較大的WLAN網(wǎng)絡(luò)（例如高校），同一信道常常需要被不同AP使用。當(dāng)這些AP之間存在著重復(fù)區(qū)域時(shí)，就存在同頻干擾問題，大大降低網(wǎng)絡(luò)性能。AP鄰頻干擾：兩個(gè)中心頻率不同的AP的發(fā)射頻寬有重疊的部分，形成了鄰頻干擾。因此，鄰頻設(shè)備距離太近或信號(hào)太強(qiáng)時(shí)，會(huì)導(dǎo)致整體的噪聲變高，影響網(wǎng)絡(luò)性能。STA干擾：如果AP周圍存在過(guò)多的非本AP管理的STA，可能會(huì)對(duì)本AP下的STA的業(yè)務(wù)造成干擾。逐包功率調(diào)整傳統(tǒng)的射頻功率控制只是靜態(tài)的將AP的功率設(shè)為固定值，對(duì)AP覆蓋范圍內(nèi)的所有用戶的功率都保持一致。而逐包功率調(diào)整功能可以使AP實(shí)時(shí)檢

48、測(cè)STA的信號(hào)強(qiáng)度，如果STA信號(hào)強(qiáng)度強(qiáng)（距離AP較近），則發(fā)送數(shù)據(jù)包時(shí)自動(dòng)降低實(shí)際發(fā)送的功率；如果STA信號(hào)強(qiáng)度弱（距離AP較遠(yuǎn)），則恢復(fù)正常功率發(fā)送無(wú)線信號(hào)。從而實(shí)現(xiàn)綠色節(jié)能和減少無(wú)線干擾的目的。安全性規(guī)劃在醫(yī)院中部署WLAN網(wǎng)絡(luò)需要格外關(guān)注WLAN網(wǎng)絡(luò)的安全，保障WLAN網(wǎng)絡(luò)的安全運(yùn)行，需要考慮如何保證內(nèi)網(wǎng)、外網(wǎng)的安全隔離，如何保證移動(dòng)場(chǎng)景下的接入訪問控制，以及避免信息通過(guò)移動(dòng)終端泄露，成為無(wú)線安全方面關(guān)注的重要問題。華為WLAN安全解決方案從無(wú)線空口安全，數(shù)據(jù)業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)安全，終端用戶精細(xì)化控制安全三個(gè)維度確保無(wú)線醫(yī)院的網(wǎng)絡(luò)安全問題。內(nèi)外網(wǎng)隔離根據(jù)醫(yī)院無(wú)線應(yīng)用，整體劃分三個(gè)SSID，

49、SSID1用于醫(yī)護(hù)內(nèi)網(wǎng)應(yīng)用，SSID2用于醫(yī)護(hù)外網(wǎng)應(yīng)用，SSID3用于患者無(wú)線上網(wǎng)。SSID1關(guān)閉廣播報(bào)文，且配置白名單只允許醫(yī)院終端接入，訪問醫(yī)院核心業(yè)務(wù)，其他所有終端無(wú)法搜做到該SSID和接入網(wǎng)絡(luò)。SSID2只允許醫(yī)護(hù)人員接入辦公或者訪問internet，且采用黑名單的方式，禁止醫(yī)院終端接入該網(wǎng)絡(luò)。另外通過(guò)DHCP snooping綁定MAC地址，防止MAC欺騙。 病患接入醫(yī)院WIFI網(wǎng)絡(luò)，需要在網(wǎng)頁(yè)上自注冊(cè)，然后用戶名密碼通過(guò)短信自動(dòng)分發(fā)到手機(jī)，開放免費(fèi)上網(wǎng)權(quán)限，同時(shí)用戶信息自動(dòng)關(guān)聯(lián)到ASG上網(wǎng)行為管理。 病患流量和醫(yī)院外網(wǎng)流量采用不同的SSID實(shí)現(xiàn)邏輯隔離，病患只能訪問Internet

50、。另外還可以通過(guò)網(wǎng)頁(yè)可以主動(dòng)推送醫(yī)院電子地圖或樓層說(shuō)明等信息，病患下載之后方便就醫(yī)。 無(wú)線空口安全WIDS/WIPSWLAN網(wǎng)絡(luò)很容易受到各種網(wǎng)絡(luò)威脅的影響，如未經(jīng)授權(quán)的AP、用戶、Ad-hoc網(wǎng)絡(luò)等，設(shè)備支持以下兩種技術(shù)，分別用于檢測(cè)和反制非法設(shè)備。 WIDS可以檢測(cè)出非法的AP、網(wǎng)橋、用戶終端、Adhoc，以及信道重合的干擾AP。WIPS可以斷開合法用戶與仿冒AP的WLAN連接，也可以斷開非法用戶終端和Adhoc的接入，實(shí)現(xiàn)對(duì)非法設(shè)備的反制。為了實(shí)現(xiàn)檢測(cè)和反制非法設(shè)備，AP存在三種工作模式： 接入模式：AP僅傳輸WLAN用戶的數(shù)據(jù)，不進(jìn)行任何監(jiān)測(cè)。 監(jiān)測(cè)模式：AP需要掃描無(wú)線網(wǎng)絡(luò)中的設(shè)備，

51、探測(cè)無(wú)線信道中的所有802.11幀。此時(shí)AP僅能實(shí)現(xiàn)監(jiān)測(cè)功能，不能傳輸WLAN的數(shù)據(jù)，即該AP提供的所有WLAN服務(wù)都將關(guān)閉。 混合模式：AP可以監(jiān)測(cè)無(wú)線網(wǎng)絡(luò)中設(shè)備，也可以同時(shí)傳輸WLAN數(shù)據(jù)。只有AP工作在監(jiān)測(cè)模式或混合模式下，才可以實(shí)現(xiàn)對(duì)非法設(shè)備的檢測(cè)和反制功能。監(jiān)測(cè)AP掃描信道監(jiān)測(cè)周邊的無(wú)線設(shè)備信息，通過(guò)探測(cè)周圍設(shè)備發(fā)送的802.11管理幀和數(shù)據(jù)幀來(lái)搜集周邊的無(wú)線設(shè)備信息，將收集到的設(shè)備信息定期上報(bào)AC。 AC判斷設(shè)備為非法AP時(shí)（既不是本AC管理的AP，也不在SSID的白名單列表中），將非法AP告知監(jiān)測(cè)AP。監(jiān)測(cè)AP以非法AP的身份發(fā)送廣播或單播解除認(rèn)證幀，這樣，接入非法AP的STA收

52、到解除認(rèn)證幀后，就會(huì)斷開與非法AP的連接。通過(guò)這種反制機(jī)制，可以阻止STA與非法AP的連接。 AC判斷設(shè)備為非法用戶終端（非本ACAP管理）和Adhoc時(shí)，監(jiān)測(cè)AP使用非法設(shè)備的BSSID或MAC地址，發(fā)送單播解除認(rèn)證幀，斷開非法設(shè)備的連接。WIDS還支持攻擊檢測(cè)功能，可以檢測(cè)泛洪攻擊，弱IV向量攻擊、欺騙攻擊、暴力破解WPA/WPA2/WAPI的預(yù)共享密鑰和WEP的共享密鑰，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)的不安全因素，通過(guò)日志，統(tǒng)計(jì)信息以及告警方式及時(shí)通知網(wǎng)絡(luò)管理員。對(duì)于檢測(cè)到的進(jìn)行泛洪攻擊和暴力破解密鑰攻擊的設(shè)備，ACAP可以將其加入黑名單，在動(dòng)態(tài)黑名單老化時(shí)間內(nèi)，拒絕接收其發(fā)送的報(bào)文。Rogue設(shè)備的檢測(cè)

53、和反制醫(yī)院中可能出現(xiàn)的Rogue設(shè)備包括Rogue AP，Rogue Client，Ad-hoc設(shè)備，這些設(shè)備對(duì)運(yùn)維的WLAN網(wǎng)絡(luò)會(huì)帶來(lái)諸多的安全隱患，如干擾，用戶和非法AP建立連接等。華為WLAN支持對(duì)網(wǎng)絡(luò)中的Rogue 設(shè)備（包括AP，Client，Ad-hoc）的進(jìn)行檢測(cè)、識(shí)別以及反制功能。偵聽周邊設(shè)備AP有三種工作模式：接入模式混，偵聽模式和合模式。接入模式只提供覆蓋功能，不提供非法設(shè)備偵聽功能；偵聽模式只偵聽，不能接入業(yè)務(wù)；而混合模式可以在接入業(yè)務(wù)的同時(shí)進(jìn)行偵聽。推薦AP工作在混合模式，在接入業(yè)務(wù)的同時(shí)偵聽周邊設(shè)備，低成本部署。設(shè)備類型識(shí)別AP通過(guò)偵聽Beacon，Associato

54、n Request，Association Response協(xié)議報(bào)文和數(shù)據(jù)報(bào)文報(bào)文來(lái)識(shí)別Rogue設(shè)備是哪種設(shè)備（AP/Ad hoc/Client）。監(jiān)控AP搜集到無(wú)線設(shè)備后，維護(hù)一個(gè)無(wú)線設(shè)備信息列表，并把這些信息上報(bào)給AC，在AC上根據(jù)一定的規(guī)則進(jìn)行Rogue設(shè)備判斷。Rogue設(shè)備判斷當(dāng)AP設(shè)備工作在混合模式或者偵聽模式時(shí)可以實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的監(jiān)控，監(jiān)控設(shè)備包括AP、Client、Ad hoc終端、無(wú)線網(wǎng)橋等。Rogue設(shè)備反制檢測(cè)到Rogue設(shè)備后，可以使能防范、反制功能。反制功能，根據(jù)反制的模式，監(jiān)測(cè)模式AP從無(wú)線控制器下載攻擊列表，并對(duì)Rogue設(shè)備采取措施，阻止其工作。對(duì)Rogue

55、AP的反制：監(jiān)測(cè)AP通過(guò)使用Rogue AP設(shè)備的地址發(fā)送假的廣播解除認(rèn)證幀來(lái)對(duì)Rogue AP設(shè)備進(jìn)行反制，抑制無(wú)線用戶和非法AP建立鏈接。對(duì)Rogue Client、Ad hoc設(shè)備的反制：監(jiān)測(cè)AP通過(guò)使用Rogue Client、Ad hoc設(shè)備的BSSID、MAC地址發(fā)送假的單播解除認(rèn)證幀，對(duì)指定非法Client的進(jìn)行反制。 Rogue設(shè)備管理可以與定位功能集合，如在地圖上可以查詢或者實(shí)時(shí)顯示Rogue設(shè)備的位置，為網(wǎng)管人員對(duì)網(wǎng)絡(luò)監(jiān)管和排障定位提供便捷。頻譜分析由于WLAN的工作頻段為ISM頻段，隨著藍(lán)牙、紅外、微波爐等無(wú)線應(yīng)用的增加，非WLAN設(shè)備對(duì)WLAN網(wǎng)絡(luò)的干擾問題日益突出。頻

56、譜分析是指通過(guò)頻譜分析服務(wù)器對(duì)采集到的無(wú)線信號(hào)進(jìn)行特征分析，識(shí)別出No-Wi-Fi干擾設(shè)備，進(jìn)而對(duì)干擾設(shè)備進(jìn)行定位，實(shí)現(xiàn)對(duì)WLAN網(wǎng)絡(luò)的調(diào)優(yōu)。通過(guò)配置頻譜分析功能，及時(shí)、全面的檢測(cè)出WLAN網(wǎng)絡(luò)中的非WLAN干擾，提升用戶的體驗(yàn)。STA黑白名單STA黑白名單實(shí)現(xiàn)對(duì)無(wú)線客戶端的接入控制，以保證合法客戶端能夠正常接入WLAN網(wǎng)絡(luò)，避免非法客戶端強(qiáng)行接入WLAN網(wǎng)絡(luò)： 白名單列表：允許接入WLAN網(wǎng)絡(luò)的STA的MAC地址列表。使能白名單功能后，只有匹配白名單列表的用戶可以接入無(wú)線網(wǎng)絡(luò)，其他用戶都無(wú)法接入無(wú)線網(wǎng)絡(luò)。 黑名單列表：拒絕接入WLAN網(wǎng)絡(luò)的STA的MAC地址列表。使能黑名單功能后，匹配黑名單

57、列表的用戶無(wú)法接入無(wú)線網(wǎng)絡(luò)，其他用戶都可以接入無(wú)線網(wǎng)絡(luò)。對(duì)于同一個(gè)AP或者VAP，STA黑名單功能和STA白名單功能不能同時(shí)配置，只能選擇其中一種配置。如果STA白名單或者STA黑名單為空，則所有用戶都可以接入WLAN網(wǎng)絡(luò)。設(shè)備既支持基于AP配置STA黑白名單，也支持基于VAP配置黑白名單。如果AP和VAP都配置了黑白名單功能，則用戶上線時(shí)，根據(jù)AP和VAP配置的黑白名單，如果用戶不滿足任意一個(gè)接入條件，則該用戶不能上線。專業(yè)認(rèn)證，醫(yī)院放心無(wú)線網(wǎng)絡(luò)對(duì)患者（患者體內(nèi)植入心臟起搏器或心臟除顫器）潛在的干擾，無(wú)線網(wǎng)絡(luò)對(duì)醫(yī)療器械的干擾都要避免。華為WLAN產(chǎn)品滿足Wi-Fi聯(lián)盟的企業(yè)級(jí)認(rèn)證，滿足醫(yī)用場(chǎng)

58、景IEC60601-1-2要求，滿足SRRC認(rèn)證（國(guó)家無(wú)線電管理委員會(huì)認(rèn)證)，并通過(guò)工信部授權(quán)泰爾實(shí)驗(yàn)室認(rèn)證的醫(yī)院無(wú)線網(wǎng)絡(luò)質(zhì)量及醫(yī)療設(shè)備的潛在干擾檢測(cè)方案,并通過(guò)電信研究院頒發(fā)的醫(yī)療認(rèn)證。因此可以放心的在醫(yī)院使用。終端用戶精細(xì)化管控安全在醫(yī)院中根據(jù)需要，往往劃分了不同的SSID供不用的用戶群使用，如外部用戶SSID-Guest，內(nèi)部用戶SSID-xx hospital。出于信息安全的需求，往往需要保證來(lái)訪的訪客不能訪問醫(yī)院內(nèi)的資源。同時(shí)醫(yī)院內(nèi)的醫(yī)生和護(hù)士或者不同科室之間的醫(yī)生也可能需要授予不同訪問權(quán)限。這些需要根據(jù)用戶的角色以及終端類型做精細(xì)化的管控，確保業(yè)務(wù)的安全。終端類型識(shí)別終端類型識(shí)別是

59、指AC通過(guò)對(duì)用戶發(fā)送的報(bào)文中的字段的特征進(jìn)行分析，包括MAC、用戶代理UA（User Agent）和DHCP Option信息，識(shí)別出終端類型。AC可以識(shí)別出用戶接入內(nèi)部網(wǎng)絡(luò)的設(shè)備類型，以控制某些指定移動(dòng)設(shè)備的接入，實(shí)現(xiàn)基于用戶、設(shè)備類型、接入時(shí)間、接入地點(diǎn)、設(shè)備環(huán)境的認(rèn)證和授權(quán)。實(shí)現(xiàn)精細(xì)化的管控。終端識(shí)別用戶接入認(rèn)證通過(guò)用戶接入認(rèn)證，可以對(duì)接入網(wǎng)絡(luò)的用戶身份進(jìn)行合法性進(jìn)行認(rèn)證，只有合法用戶才允許接入，并且不同的角色，不同的用戶所能夠訪問的資源是不同。管理員可以為用戶分組，或者定義不同的角色，配置不同的資源，使得特定的用戶只能訪問授權(quán)的特定資源，禁止訪問未授權(quán)的網(wǎng)絡(luò)資源。華為WLAN無(wú)線園區(qū)支

60、持802.1X、MAC認(rèn)證、Portal認(rèn)證多種網(wǎng)絡(luò)訪問控制方式，并可靈活部署在用戶網(wǎng)絡(luò)的接入交換機(jī)、匯聚交換機(jī)、無(wú)線控制器、AR等多種網(wǎng)絡(luò)設(shè)備上，配合代理客戶端和認(rèn)證服務(wù)器共同完成用戶接入控制，為無(wú)線園區(qū)提供安全可靠的訪問控制。802.1X認(rèn)證、Portal認(rèn)證和MAC認(rèn)證的優(yōu)劣勢(shì)比較如下表所示。對(duì)比項(xiàng)802.1X認(rèn)證Portal認(rèn)證MAC認(rèn)證客戶端需求必須Portal需要，web強(qiáng)推不需要不需要優(yōu)點(diǎn)部署在接入層時(shí)，直接控制網(wǎng)絡(luò)接入信息口的通斷，安全性高部署靈活無(wú)需安裝客戶端缺點(diǎn)部署不靈活安全性不高管理復(fù)雜，需登記MAC地址適合場(chǎng)景新建網(wǎng)絡(luò)，用戶集中，信息安全要求嚴(yán)格的場(chǎng)景認(rèn)證方式靈活，適用