《医院无线网络建设方案.doc》由会员分享,可在线阅读,更多相关《医院无线网络建设方案.doc(44页珍藏版)》请在三一办公上搜索。
1、医院无线网络技术方案目录1、前言42、医疗行业无线网络设计、部署常见问题52.1、无线网络是否会对医疗设备产生不良干扰52.2、无线产品需要拥有哪些认证52.3、不同的无线网络标准如何选择52.4、保证医疗应用和Internet服务的安全性62.5、提高终端兼容性62.6、医疗无线网络提高可靠性62.7、AP安装的特殊考虑63、XXX医院无线网络系统建设意义73.1、提高医院的形象73.2、提高了医院的运营效率和服务质量73.3、提高医院的信息化水平和进度73.4、提高医院综合竞争力74、XXX医院无线网络系统设计原则84.1、信号覆盖范围和强度84.2、RF信号抗干扰84.3、用户容量和传输
2、性能84.4、漫游性能94.5、通用计费支持94.6、用户分组管理与隔离94.7、统一维护管理104.8、用户接入认证104.9、无线安全加密104.10、无线入侵防护机制104.11、性能稳定105、XXX医院无线网络系统设计依据116、XXX医院无线网络系统方案设计116.1、XXX医院无线网络应用需求116.2、XXX医院无线网络系统设计综述166.3、无线网络设计176.4、配置清单186.5、安全规划186.6、用户认证方式与流程206.7、安全认证设置方式226.8、接入点规划306.9、无线参数设计317、Meru解决方案的技术特点377.1、WLAN面临的主要挑战377.2、M
3、eru特点之虚拟蜂窝417.3、Meru特点之无缝漫游417.4、Meru特点之单频部署架构427.5、Meru特点之Air Traffic Control(空中流量控制)427.6、Meru特点之Over-the-air QoS437.7、Meru特点之802.11n最优性能447.8、Meru特点之负载均衡447.9、Meru特点之RF安全457.10、Meru特点之Air Time Fairness时间片均分技术458、产品介绍558.1、无线接入点介绍558.2、无线控制器(Controller)介绍608.3、Meru E(z)RF网络管理平台介绍648.4、Meru SA 2000
4、网络管理应用服务器介绍681、前言人类进人21世纪后,传统的医疗模式已经越来越不能适应信息化、智能化时代的飞速发展。数字化医院作为一种全新的医院管理模式与理念,通过信息化与智能化技术的融合,改善医疗环境,提高医院服务水平和效率,促使医疗服务从形式到内容上发生结构性变化,进而达到经济与社会效益的双赢。医疗行业作为与人民生活息息相关的行业,在计算机技术高速发展的今天,它的信息化建设就显得尤为重要,加之近几年来国内医疗体制的改革与医药分离的出现,医院之间的竞争也更为激烈。因此,国内大部分医院都采用了医院信息系统来提高效率、提升竞争力无线数字化医院就是利用计算机和数字通信网络等信息技术,实现语音、图像
5、、文字、数据、图表等信息的数字化采集、存储、阅读、复制、处理、检索和传输。即数字化和医疗设备、医院信息系统(HIS)、医学影像和通信系统(PACS)和办公自动化系统(OA)。其特征是:无纸化、无胶片化、无线网络化,真正的体现了无线数字化医院,为医生、护士、患者提供一个更为快捷有效的信息纽带和相互交流的广阔空间。在计算机及通讯技术高速发展的今天,国内外大部分医院都建设有HIS(Hospital information System)医院信息管理系统,即利用计算机及通讯设备为医院所属部门提供对病人诊疗信息和行管理信息的收集、存储、处理、提取及数据交换的能力,并满足所有授权用户的功能需求。但实际上,
6、医院的信息系统化在很大程度上只是医院管理流程的计算机化,并没实现真正的医疗信息化。而无线数字化医院的标志是实现“三无”,即无纸、无片、无线网络,概括了数字化医院的基本特征,且涵盖的内容包括:医疗流程最优化、医疗差错率最小化、工作强度最轻化、病历电子化、决策科学化、办公自动化。本文将针对XXX医院的实际需求情况,采用Meru医疗无线网络解决方案。2、医疗行业无线网络设计、部署常见问题2.1、无线网络是否会对医疗设备产生不良干扰鉴于医疗设备存在着受到电磁干扰 (EMI) 的风险,中国医疗行业在无线设备对敏感性生命支持和其他医疗设备是否存在不良的干扰的问题上没有权威的测试和定论,缺乏权威性的中国医疗
7、行业无线局域网部署规程,也没有对国外的相关标准进行认可,受中华人民共和国卫生部医院管理研究所和中国医院协会信息管理专业委员会对医疗设备潜在干扰测试研究项目组,该项目组对医院常见的对电磁干扰相对敏感的医疗设备进行了严格的无线局域网对医疗设备潜在干扰测试研究,测试研究结果表明:在正确部署符合国家无线信号核准标准的无线局域网时,未发现无线局域网设备对已测试的医疗设备产生不良干扰。根据测试过程和结果,制定医院无线局域网部署规程(草案)。2.2、无线产品需要拥有哪些认证Wi-Fi联盟的企业级产品认证,保证了无线产品的兼容性和适用于医院、企业等使用的各种特性;中国无线电管理委员会的认证,保证了无线产品在中
8、国的合法销售,所以,选择的无线产品需要支持Wi-Fi联盟企业级产品认证和中国无委会的认证。2.3、不同的无线网络标准如何选择无线的标准上,目前包括802.11a(5G频段、54Mbps)、802.11b/g(2.4G频段、11Mbps/54Mbps)、802.11n(5G和2.4G,单个模块理论速率300Mbps)。由于使用2.4G频段的物品比较多,比如蓝牙、微波炉、无绳电话等,所以2.4G频段的干扰源相对较多;5G频段的干扰比较少。另外,无线终端在和AP建立连接时,会优先选择5G频段。所以建议选择同时支持2.4G和5G两种频段的双频AP。另外,无线的标准不断发展,选择的产品和部署方式,最好能
9、够具备持续升级的能力。802.11n不仅大大提升了无线带宽,还改善了无线信号的波动性,提升了无线的使用效果,在802.11n推出来以来,已经有大量的芯片、终端全面支持802.11n。建议新的无线网络部署或原有无线网络扩展时,选择支持802.11n 标准的产品,实现向后兼容。2.4、保证医疗应用和INTERNET服务的安全性医院的有线网络,一般分为内网和外网。但是无线技术本身的限制,使同一区域没法实现部署两套独立的网络。所以在同一区域,内网和外网只能是同一个无线网络。此时,如何保证内网的医疗应用安全、以及外网Internet服务的顺利进行,就非常重要了。通过Meru访客隔离接入解决方案我们一方面
10、要为内网的用户提供高级别的安全认证(支持多种认证方式)和数据加密;另一方面,要为外网的用户提供简单易用的认证方式,而且,最好把互联网的数据流,直接送到外网的防火墙上, 从而避免对内网数据的访问。2.5、提高终端兼容性医院无线应用中,包括了各种终端,如无线PDA、平板电脑、移动手推车、无线IP电话、RFID标签、医疗遥测设备等。无线网络必须要能够支持多种终端。2.6、医疗无线网络提高可靠性无线网络必须能够支持核心设备的冗余备份,实现当核心控制器切换时,业务连接不中断。另外,终端在不同的AP之间漫游时,也要保证业务不中断。2.7、AP安装的特殊考虑在医院部署无线AP,不仅要考虑设备的覆盖模型,还要
11、考虑美观、供电、防盗等问题,有时必须保证不影响患者,对于暴露在外的无线AP,需要具备关闭AP指示灯的功能。3、XXX医院无线网络系统建设意义3.1、提高医院的形象数字化医院无线网络系统利用PDA或平板无线电脑随时随地进行生命体征数据采集、医护数据的查询与录入、医生查房、床边护理、呼叫通信、护理监控、等,以及基于WLAN的语音多媒体应用等等,充分发挥医疗信息系统的效能,突出无线数字化医院的技术优势。“无线网络系统”的建设水平被视为衡量一个医院的信息化程度的重要尺度,因此无线网络系统的建设提高了XXX医院的形象。3.2、提高了医院的运营效率和服务质量XXX医院无线网络系统的建立使“网络无处不在”的
12、美好愿望成为现实,它所具备的移动性和灵活性,有效地克服了有线网络的弊端,使得医院部署非凡的信息化应用成为可能。现代医疗信息化的核心是病人信息的共享,无线网络系统的建立使医院各个部门及各个科室之间、以及医院之间,迅速方便的实现病人信息的无纸化和无胶片化办公;医护人员可以迅速地获取患者的住院信息、病史、检验、检查结果和其他生命体征信息,尽可能有效地与患者交流,从而获得高效率、高质量的床边探视和护理,因此提高了XXX医院的运营效率和服务质量。3.3、提高医院的信息化水平和进度医院各个部门及科室对医院的管理越来越依赖于信息和通信技术,尤其是医护人员查房,需要迅速地获取患者的住院信息、病史、检验、检查结
13、果和其他生命体征信息,尽可能有效地与患者交流,从而获得高效率、高质量的床边探视和护理,而无线网络系统的建设,恰恰可以很好的满足这种需求。数字化医院无线网络系统的建设可以提高社会信息化、行业信息化、个人信息化等各种信息化水平,对于提高整个医院的信息化水平和进度有着重要意义。3.4、提高医院综合竞争力无线网络系统作为兴起的无线科技发展的新潮流,代表了信息化发展的高端领域,对提高现代化医院的综合竞争力起着重要的作用,已成为国际先进医院的发展目标。总之,随着无线技术的不断成熟和普及,无线网络在全球范围内医疗行业中的应用已经成为了一种趋势,这些应用使XXX医院的综合竞争力得到了提升。4、XXX医院无线网
14、络系统设计原则4.1、信号覆盖范围和强度项目需求:无线网络信号要求做设计区域全覆盖。无线局域网协议采用802.11 a/b/g/n兼容方式,信号强度不低于-70 (dbm),以保证用户无线上网,WiFi电话,移动PDA的应用要求。需求分析:通过多种安装方式,达到覆盖XXX医院主要无线应用区域。安装方式采用明装或暗装的方式,室内AP安装采用天花板吸顶方式。覆盖区域和安装规格在实施方案图纸中标识。4.2、RF信号抗干扰项目需求:在楼宇格局布置复杂的空间内,AP或多或少的存在着RF信号的干扰,以及其他同频率无线设备的信号干扰,要求尽量把这种干扰降到最低。需求分析:Meru可以通过同频技术来处理或避免
15、干扰,提高RF信号质量和信道利用率。且Meru的同频组网技术能够保证覆盖区域内无线信号连续、稳定,进而保证无线网络的性能稳定、高效。4.3、用户容量和传输性能项目需求:覆盖区域内,确保无线网络的传输质量以及达到WiFi电话的语音质量。需求分析:根据用户的容量和应用流量需求,在设计方案中满足每台室内AP设计接入用户数量不低于50个,每个用户均可提供802.11n高速接入。4.4、漫游性能项目需求:要求无线网络系统支持无缝漫游,保证无线网络在覆盖区域应用时(包括医用PDA、无线医疗设备、WiFi电话)的数据不中断和语音的流畅,要求无线网络系统在覆盖区域支持无缝漫游,实时交互用户接入信息,保证无缝漫
16、游性能需求分析:Meru无线网络系统使用基于virtual cell的同频组网技术,在覆盖区域支持无缝漫游,实时交互用户接入信息,保证无缝漫游性能。4.5、通用计费支持项目需求:开放的WLAN覆盖方式,对内网开放,对医院病人/访客用户收取访问互联网络费用,要求支持通过Web 、802.1X及MAC地址等多种方式完成认证,经过后台计费系统完成计费。需求分析:通过Web 方式完成认证,经过后台计费系统完成计费。4.6、用户分组管理与隔离项目需求:对于不同无线用户的应用,制定不同的安全、隔离策略和优先级别。能够对无线用户进行基于用户的分组统一管理,以保障在维护过程中的灵活性。针对用户的无线网络应用,
17、能够满足单用户隔离的需求,保证网络应用的安全性。需求分析:无线网络系统应该支持Vlan划分与多SSID的应用方式,支持ACL和QoS服务质量控制,能够针对不同的Wlan和Vlan制定不同的网络控制策略。支持用户隔离工作模式,满足用户上网的安全需求,不向外发送ESSID信息,阻断用户之间的通讯。4.7、统一维护管理项目需求:提供简单、易用、统一的无线网络管理平台。为今后院方的IT维护人员提供最好的工作便利。同时,保证与医院现有有线网络无缝衔接。需求分析:无线网络系统通过一个核心管理部件进行综合的管理,不需要针对单独的AP接入点进行管理和维护。AP、AC均支持标准SNMP协议,支持第三方网管系统。
18、4.8、用户接入认证项目需求:支持主流和多种形式的无线网络接入认证方式,满足用户的安全需求。需求分析:要求无线系统支持国际主流的大部分认证协议和认证方式,包括802.1x、Captive Portal和MAC地址绑定认证方式。4.9、无线安全加密项目需求:无线网络的安全是一个重要的应用保障,没有安全一切应用都变得脆弱和危险。无线网络系统需要兼容和接纳最高等级和最广泛的加密协议,保证信息安全需求分析:支持通用的加密方式和协议,包括WEP、WPA、WPA2等。加密和认证通常是一起使用的。4.10、无线入侵防护机制项目需求:对于网络恶意入侵频繁发生的今天,保证网络的安全成为系统的第一要素。被入侵和恶
19、意攻击的网络系统是无法承载日常应用的,违背网络建设的初衷。需求分析:无线网络的入侵防护系统能够监听个个无线信道的数据流量,实时汇总和分析。针对入侵行为进行有效的联动保护。4.11、性能稳定项目需求:无线设备需要满足最大的无故障运行时间(MTBF),保证网络的正常运行需求分析:网络核心设备的MTBF=5年。5、XXX医院无线网络系统设计依据 IEEE 802.11a/b/g/n标准; 强制性国家标准GB15629。1102- 信息技术系统间远程通信和信息交换 局域网和城域网 特定要求 第11部分:无线局域网媒体访问控制和物理层规范:2.4GHz频段较高速物理层扩展规范 中华人民共和国国家标准UD
20、C 614.898。5 GB 917588环境电磁波卫生标准; 国家通信行业管理部门已颁发的相关技术要求和文件; GB 8702-88电磁辐射防护规定中华人民共和国国家国家环境保护局;关于调整2.4GHz频段发射功率限值及有关问题通知工信部353号 XXX医院提供的相关资料及其他的图纸及数据等资料 现场实际勘测资料和有关测试数据。6、XXX医院无线网络系统方案设计6.1、XXX医院无线网络应用需求伴随无线技术的大力发展,芯片、终端等整个产业链全面支持无线技术,目前市场上笔记本的销售已经超过台式机,而95的笔记本都带有Wi-Fi功能。手机、PDA等终端,基本都支持Wi-Fi功能,可以说一场移动性
21、的革命正在到来。在医疗行业,各种无线医疗终端也应运而生,比如:PDA移动医护掌上电脑、Wi-Fi无线电话、无线平板电脑、无线条码扫描枪、Wi-Fi RFID标签等。通过应用这些无线终端,医疗人员可以大大节省时间、提高工作效率和工作准确度、还可以改进工作流程、完善管理考核。根据XXX医院无线应用的实际需求,按照使用目的,可以概括为两类:第一类是医疗业务相关的应用;第二类是提供给患者或部分医护人员的互联网连接。下文将简单介绍两类不同的应用。6.1.1医疗业务相关应用 (1) 无线查房无线查房系统以无线网络为依托,使用移动数据终端,将医院各种信息管理系统通过无线网络与无线终端连接,实现医护人员在病人
22、床边实时输入、查询、修改病人的基本信息、医嘱信息、生命体征等功能,同时可以快速检索病人的检查、化验等临床报告。比如在医院中,住院病人佩戴一根条码腕带,病人腕带使用二维条码标识,医护人员通过无线终端扫描病人腕带,就可以直接、准确地完成病人身份识别,并快速完成出入院、临床治疗、检查、手术、急救等医疗环节的信息记录。如图:无线终端可以是移动手推车、平板电脑、PDA。有的终端还配置有条码扫描、RFID扫描、智能卡读卡器、 摄像头等功能。有的PDA还带有Wi-Fi语音通话或GSM功能。移动终端可以通过对条码的扫描确认病人和用药情况,还可实时收集患者的主要体征和症状。移动手推车:移动医护:平板电脑移动医护
23、:PDA(2) 药库管理面对药库中种类繁多的药品,通过基于无线应用的条码扫描枪,可以大大提高库房管理的效率。另外,条码扫描枪还可以集成无线语音功能,实现扫描、传输、语音通信一体化。(3) 无线追踪和定位通过无线 RFID标签的使用,可以实现人员和设备的追踪、定位功能。例如,对于贵重的移动医疗设备、重要的IT资产、需要重点监护的病人(如婴幼儿、精神病患者、昏迷人员等)上可以配置Wi-Fi RFID标签,然后通过无线局域网中的定位设备,实时监控、追踪、定位这些设备或病人的位置;还可以在设备或病人到达某些监控点时,实时报警,从而保护设备和病人;另外,RFID标签还可以设置为不能人为破坏,如果出现人为
24、破坏或故意取下等,也可以实时报警。在一些体检中心或特需病房,还可以通过给就诊者发放RFID标签,从而实时显示每个检测门诊的人员情况,便于就诊者了解实时的就诊情况,安排自己的就诊顺序。无线的追踪定位功能,还可以对无线客户端进行追踪定位。例如,可以定位某个用户的具体位置,当报警发生的时候,系统可以自动调集最近的人员。(4) 患者监护病人佩戴的RFID标签可以持续的监控他所在的位置。 而病人所佩带的医疗遥测系统与无线的定位服务功能结合,一旦遥测系统发出了病情相关的警报,病患的位置信息随同警报和病人的体征信息一起通过无线网络发送到医护人员的无线IP手机上。这样患者有更大的信心恢复,他们知道一旦问题发生
25、将获得立即的救助,医护人员也有更多的行动自由来进行更多的病患护理工作。(5) 护士呼叫系统通过无线IP电话的应用,可以将传统的护士呼叫只能到护士站的方式,改进为护士站和护士随身携带的无线IP电话同时振铃,或者改进为当护士站没有人接听后再转接到护士的无线IP电话上。护士可以看到呼叫者的病床号、能够接听处理,如果在一定的时间内没有接听,系统将向预先定义的上级人员发出通知信息。通过该系统,既可以提高病患的满意度,又可以详细记录工作情况,提高管理透明度。护士呼叫系统的详细说明参见统一通信部分。(6) 医疗示教系统在医疗示教系统中,学生通过远端会议视频系统或PC,实时观看医疗教学。而演示者通过佩带无线I
26、P电话,可以随时、自由、清晰地与学生通话,并随时解答学生的提问。通过这种方式,既保护了患者的隐私,又达到了老师和学生在病人身边一样地学习效果。6.1.2病患和部分医护人员的互联网连接内外部人员无线上网。无线网络除了处理医疗应用外,还可以为病人和医护人员提供方便的Internet网络连接。尤其是在医院有限布线点不足的问题,通过采用无线网络的方式解决,更加游刃有余。6.2、XXX医院无线网络系统设计综述根据XXX医院的相关技术要求,在充分分析了院方需求和技术发展趋势之后,结合数据通信发展的实际情况现提出以下无线网络接入系统方案。下面我们就XXX医院无线网络系统建设项目提出如下建议:1 结合XXX医
27、院实际需求,使用MERU特有同频组网架构来部署AP,使得本期项目的无线产品可以确保RF干扰降到最低,且能够为无线医疗设备、医用PDA等提供无缝漫游,最小化RF信道规划的工作,节约时间和人工。2 全网支持802.11a/b/g/n,在某些特殊区域,尤其是病房区域,确保医用PDA的无缝漫游应用;对于手术室区域,确保无线AP不会干扰医疗设备的正常运行,为保证无线网络系统的安全、稳定、可靠运行,无线控制器采用分布式部署方式,且进行N+1冗余配置。3 对数据,语音和视频启用不同的QoS策略,在WiFi语音使用频繁区域做语音呼叫控制和信道之间的负载均衡。保证WIFI语音呼叫系统的用户能够高效、稳定的使用院
28、方提供的无线网络。4 在全网内同时支持MAC,802.1x和Portal认证方式,客户端无论通过哪一种认证都可以接入无线网络,为不同的WiFi终端提供更加方便灵活的认证方式。5 Portal认证下采用WEP加密,802.1x下采用TKIP或AES加密。6 启用防ARP攻击,DHCP伪装,源地址假冒,非法AP和客户端侦测等安全功能,防止来自WiFi的攻击;MAC地址和AP绑定,避免用户使用相同MAC地址在其他区域(AP下)获得无线接入。7 无线网络独立组网,通过汇接交换机接入到骨干网络,与有线网络统一做认证接入。8 建议以楼为单位来划分VLAN和分配IP地址,每个VLAN地址池一个C类地址,以控
29、制广播和病毒传播,同时提供User ID-VLAN-AP的3元或多元映射表,方便管理员在大规模管理网络时更加方便。9 AP主要尽量采用本地方式工作,本地转发流量。10 认证和计费方面,MERU控制器提供标准的radius认证和计费接口,集成到目前XXX医院有线网络的认证计费系统中。11 提供MAC地址批量导入功能和MAC地址与VLAN映射功能,方便管理员大规模添加MAC地址。12 全网内定时或实时运行故障检测或频谱分析程序,及时发现RF干扰,无线网络或终端出现的问题。13 通过标准的SNMP对设备进行配置和监控,通过SNMP trap和网页警告,邮件通知等方式通知管理员。在MERU的EzRF网
30、管或独立的syslog上记录发生问题的网络环境上下文,必要时可进行现场重现和日后的审计。6.3、无线网络设计6.4、配置清单产品型号描述数量单位单价小记备注MERU室内APAP1010e1、 外置天线,单radio模块,支持2.4GHz和5GHz两个频段2、 主要提供无线信号X台MERU- ACMC42001、 在Meru强大的SystemDirector5操作系统平台下,MC3200为您带来集中化的配置,管理和多次安全防御。2、 此外他能全网协调所有AP的统一工作,在处理同频干扰的同时最大程度优化WiFi资源的分配在MC3200的智能管理X台GSD-802PSPOE交换机1、 SNMP Ma
31、naged 8-port 802.3af 10/100 POEehternet switch+2-port 1000base-T/MiniGBIC2、提供AP接入及供电X台LicenseMCx000-SD-XAPMC4200 10 AP Software Upgrade LicenseX个注册X台AP合计:6.5、安全规划同一个AP下,根据不同的用户ID,分配不同VLAN的IP地址,实现基于用户角色的访问控制。Meru基于角色的访问控制,流量隔离示意图管理员维护表格用户ID/MACVLAN/IPESSID认证方式AP名称/Radio安装地点工作信道所属控制器6.6、用户认证方式与流程(1) W
32、eb认证计费流程用户Web认证具体流程:1. 用户获得IP地址后,输入需要访问的因特网站2. 控制器记录下客户请求,并把向外部Web服务器发出推送认证页面的请求3. 无线用户输入用户名和密码,并推送给外部Web服务器4. 外部Web服务器把收到的用户名和密码提交给控制器5. 控制器把收到的用户名和密码提交给radius服务器6. 认证成功,radius服务器发送认证成功消息给控制器7. 控制器收到认证成功消息,通知计费系统开始计费,并同时放开用户对因特网的访问请求基于用户名和密码认证,这样充分保障了用户的接入安全,因为无线网的特殊要求, 所以无法像有线网一样可以对用户进行VLAN+端口+IP地
33、址进行绑定。由于绑定不符合在医院所有接入点无缝漫游的要求,可以采取最有效,最方便的WEB 认证方式。(2)802.1x(WPA/WPA2)认证计费流程1. 用户发出接入请求,控制器要求用户提供接入身份验证凭证,用户提交凭证2. 控制器将收到的用户凭证信息(用户名,密码)提交给radius服务器验证3. Radius服务器将认证成功消息和协商出来的原始加密密钥推送给控制器4. 控制器和用户通过4次握手动态协商出实际加解密密钥5. 控制器通知计费系统开始计费,同时授予用户访问网络的权限(3)MAC地址认证流程1. PDA发出关联请求2. 控制器收到请求后,截取PDA的MAC地址,发给radius服
34、务器3. Radius服务器收到控制器送来的MAC地址,并和数据库内定义的MAC地址列表中地址进行比较,发送认证成功消息给控制器4. 控制器收到radius认证成功消息,根据需要是否通知计费网关计费,同时授予PDA访问网络的权限6.7、安全认证设置方式6.7.1标准的无线终端连接过程如上图所示,无线终端标准的连接过程有几个步骤:1) MAC地址过滤。2) 终端被分配到AP去实现关联。3) 标准的802.11认证关联。4) 802.1X、WPA、WPA2认证。5) 密钥交换。6) DHCP地址分配IP地址。7) IP地址获取。8) CP弹出页面、网页认证。因此,我们可以在上述几个过程中考虑加入安
35、全认证策略。其中,Meru可以支持下列几种安全策略:v SSID广播/非广播(隐藏)。v MAC地址过滤(MAC地址列表可以建立在控制器或者外置Radius中)。v WEP、WPA、WPA2、WPA+WPA2混合、802.1X认证。v Capital Portal弹出页面认证(账户可以建立在控制器或者外置Radius中)。6.7.2 Meru安全认证策略的介绍(1) SSID广播/非广播(隐藏)SSID广播/隐藏,实际上是最简单,也是最没有安全性的保护方式。Meru可以为每个ESS组配置SSID广播的开关。(2) MAC地址过滤MAC地址过滤可以分为两种获取MAC地址信息的方式。第一,是从控制
36、器本地的记录中获取;第二,是从第三方Radius中获取。以下我们来介绍一下两种方式的操作方式:A. 从控制器本地记录中获取MAC地址信息首先,在控制器当中添加MAC地址条目。其次,在MAC地址过滤全局设置中打开过滤功能。最后,在ESS组相对应的安全策略组里面选择打开MAC地址过滤功能。B. 从外部Radius中获取MAC地址信息首先,设置外部Radius,并且录入MAC地址信息。控制器将会以用户名为相应的MAC地址,密码为同样的MAC地址或者Radius的Key来和Radius通讯。其次,在控制器中配置Radius关联。第三,开启MAC地址过滤功能,且数据获取指向上一步创建的Radius服务器
37、。最后,在ESS组相对应的安全策略组里面选择打开MAC地址过滤功能。(3) WEP、WPA、WPA2、WPA+WPA2混合、802.1X认证。A WEP在ESS组相对应的安全策略组中选择WEP静态密钥加密,支持64位和128位。然而,这是明文加密,一般不建议使用。B WPA在ESS组相对应的安全策略组中选择WPA PSK。C WPA2在ESS组相对应的安全策略组中选择WPA2 PSK。 D WPA+WPA2混合在ESS组相对应的安全策略组中选择MIXED_PSK。E WPA、WPA2、WPA+WPA2 Mixed基于Radius的认证除了上述预共享密钥以外,WAP、WPA2、WPA+WPA2
38、Mixed等还支持结合Radius做用户认证。以下是以WPA2+Radius认证来举例:首先,全局下配置Radius服务器,可以配置多台。其次,在全局安全策略组中绑定Radius组。最后,在ESS组中绑定相应的安全策略组。F 802.1X802.1X是标准的有线网络和802.11无线网络认证方式,IEEE 802.1X主要的作用是集中化管理用户的标识、认证、动态密钥管理和计费。802.1X支持EAP、EAP-TLS、EAP-MS-CHAP v2、PEAP等多种认证方式。Meru使用EAP方式,因为这不需要额外配置。然而,无线终端却需要为802.1X做一些配置,以下是演示Intel客户端和运行了
39、Network Policy Server的Windows 来支持PEAP。无线终端配置PEAP的方式:Windows NSP的配置:(4)Capive Portal弹出页面认证(账户可以建立在控制器或者外置Radius中)。Capive Portal弹出页面是目前非常主流的安全认证方式,Meru支持这种弹出页面认证,并且支持用户数据库保存在控制器本地和集成Radius服务器。(注意:用户数据库保存在本地实际上还可以作为Radius服务器失效后的备份保护)以下是Meru Capive Portal的主要特点:v 本地用户数据库支持最多32个用户,每个用户可以支持绑定“开始使用”和“终止使用”的
40、时间。v 集成Radius服务器没有用户数量的限制。v 支持Capive Portal bypass,即可以设置不是所有应用都需要Capive Portal认证,旁路某些应用(需要防火墙License支持)v Capive Portal弹出的页面可以支持用户定制化开发。v Capive Portal弹出页面功能可以支持第三方CP服务器。6.8、接入点规划楼宇内部建议采用MERU特有的同频虚拟蜂窝架构进行部署,节约信道规划时间,减少实施和维护成本。同频部署示意图如下所有大楼要求走廊,病房和办公室所有区域信号100%的覆盖,并尽量保证楼宇内部用户能实现无缝漫游,在信号最差区域也能获得接收信号强度指
41、示RSSI大于-70dBm的信号强度,不允许存在覆盖盲区。6.9、无线参数设计(1)频道选择WLAN的射频信号是这样传播的:信号频率越低,无线网络传输速度越慢,有效范围就越远。由于大量射频信号以较低频率传播,同时信噪比的灵敏度因为高速调制方式而增加,所以速度为1Mbps的2.4GHz 802.11b信号的传播距离远远超过速度为54Mbps的5GHz 802.11a信号。802.11b/g/n的频率范围2400-2483。5MHz,划分了14个子频道,频带宽为22MHz,最多可以提供3个不重叠的频道同时工作(1,6,11)。在大规模部署时Meru AP可以在同一个频道部署,而其他友商则需要遵循交
42、叉部署原则,防止同频段间干扰。 802.11a则可以提供4个非重叠信道。802.11a在部署时,Meru AP可以在同一个频道部署,而其它友商则需要注意同频道间干扰问题,采取频道交叉覆盖,避免这种情况的出现。(2)覆盖密度设计无线设备的覆盖密度需要从多个角度进行考虑:1、是否无缝覆盖;2、部署环境的衰减程度;3、是否有强干扰;4、覆盖区域的客户密度;通过Meru虚拟蜂窝式部署方式,可为医院实现无线的无缝覆盖。室内传播环境与室外相比,覆盖距离更小,环境变化更大,不受雨、雪、云等天气的影响,但受建筑物的大小、形状、结构、房间布局及室内陈设的影响,最重要的是建筑材料的影响。室内障碍物不仅有砖墙,而且
43、包括木材、玻璃、金属和其他材料。这些因素导致室内传播环境远较室外复杂。(3)功率控制根据中国国家无线电管理委员会的规定,在室内部署无线网络信号辐射不得超过100mw,以避免2.4GHz和5GHz对人体的影响。Meru无线系统在办公室内部署的型号统一都根据国家规定最大为100mw,避免大功率长期辐射对人体的影响。无线接入点即AP执行IEEE802.11g标准工作在54Mbps到1Mbps之间,随着终端和AP之间的信号的强弱,AP和终端会自动协商根据信号的衰减程度,自动降低传输速率和增大传输功率。(4)干扰避免根据中国国家无线电管理委员会的规定,在室内部署无线网络信号辐射不得超过100mw,以避免
44、2.4GHz和5GHz对人体的影响。Meru无线系统在办公室内部署的型号统一都根据国家规定最大为100mw,避免大功率长期辐射对人体的影响。无线接入点即AP执行IEEE802.11g标准工作在54Mbps到1Mbps之间,随着终端和AP之间的信号的强弱,AP和终端会自动协商根据信号的衰减程度,自动降低传输速率和增大传输功率。(5)无线安全设计无线网络一直面临安全问题,安全问题也越来越成为企业决策者决定是否部署WLAN网络的关键因素。Meru统一无线网络支持多种方式,保证无线网络安全。认证:Meru统一无线网络通过瘦AP加控制器的架构,可以提供多种方式的认证,保证网络接入的安全。例如基于SSID
45、的认证方式、基于MAC地址的认证方式、基于控制器本地共享密钥的认证方式、基于域的安全认证方式以及基于证书的认证方式等多种认证方式。加密:Meru同样支持WEP、TKIP、AES等多种安全加密方法,保证数据传输的私密性和完整性。VPN:Meru无线网络产品可以为用户提供独特的多层次的安全机制,能很好的为WLAN网络提供无缝的安全防护,具体架构如下图:同其他安全设备联动:Meru统一无线系统支持与其他安全设备的良好联动,构建安全纯净的无线网络。Meru无线系统提供内置的IDS无线入侵检测系统,可以对非法Rogue AP和Rogue Client进行检测、定位和抑制;Meru的无线系统还可以提供出色
46、的和有线安全设备的联动功能,例如IDS/IPS、ACS等等,实现对L2-L7层入侵攻击的防范,弥补WIDS方法L2入侵攻击的不足,实现对客户访问的认证和授权,体现一体化的安全策略。(6)无线漫游设计Meru无线漫游机制分为2层漫游和3层漫游两种,作为2层漫游时由于Meru虚拟BSSID技术-即所有的AP的BSSID可虚拟成一个相同BSSID,同时由于Meru的同信道部署技术使得对于客户端的不中断漫游。作为3层漫游即每台无线控制器控制一定数量的接入点,这些接入点再创建一个移动用户可自由漫游的802.11服务域,通过多台无线控制器协同作业,可创建跨越多个楼层、整个大楼或园区的大型移动域。在移动域中,当每个用户从一个接入点漫游到另一个接入点时,其安全性、服务质量(QoS)和接入策略一直追踪他们。无论用户在哪儿漫游,他们的数据流量将始终通过隧道被输至起始的无线控制器。无线控制器可将他们放置在适当的网络VLAN和子网。(7)信道规划AP1020i 2.4GHz的信道设计:5.8GHz的信道设计:信道堆叠增加吞吐量的设计:7、Meru解决方案的技术特点7.1、WLAN面临的主要挑战(1)覆盖密度
