为了正常的体验网站,请在浏览器设置里面开启Javascript功能!
首页 > 南通大学附属医院WLAN无线覆盖

南通大学附属医院WLAN无线覆盖

2017-11-15 50页 doc 1MB 197阅读

用户头像

is_348501

暂无简介

举报
南通大学附属医院WLAN无线覆盖南通大学附属医院WLAN无线覆盖 Cisco XX医院WLAN 无线覆盖 设计方案: 思科系统(中国)网络技术公司 目录 第 1 章 XX医院WLAN应用需求以及思科医疗解决方案优势 .................. 3 1.1 医院概况.................................................................................................. 3 移动协同医护需求................................
南通大学附属医院WLAN无线覆盖
南通大学附属医院WLAN无线覆盖 Cisco XX医院WLAN 无线覆盖 设计方案: 思科系统(中国)网络技术公司 目录 第 1 章 XX医院WLAN应用需求以及思科医疗解决方案优势 .................. 3 1.1 医院概况.................................................................................................. 3 移动协同医护需求.................................................................................. 3 1.2 1.3 多方位语音通信需求.............................................................................. 7 1.4 多媒体协同医护需求.............................................................................. 8 第 2 章 XX医院无线网络建设原则 ................................................................ 9 2.1 无线网络对医疗设备无干扰................................................................ 10 2.2 无线辐射对人体安全............................................................................ 10 2.3 可靠性和抗干扰能力............................................................................ 11 2.4 先进性和实用性并重............................................................................ 11 2.5 兼容性.................................................................................................... 12 2.6 快速安全的切换能力............................................................................ 12 2.7 自动射频管理........................................................................................ 12 2.8 安全性.................................................................................................... 13 2.9 终端定位................................................................................................ 13 地理化图形管理界面 ........................................................................ 13 2.10 第 3 章 思科无线网络技术优势 ..................................................................... 14 3.1 保证医疗业务在无线网络上可靠运行的Clean Air技术 .................. 14 3.2 视频就绪:支持手术示教和专家会诊的无线网络 .............................. 18 3.3 一套无线网络实现医院内外网隔离.................................................... 20 支持快速安全切换的无线网络............................................................ 21 3.4 3.5 无线网络对WIFI语音的Qos保障和准入控制 ................................ 24 3.6 增强无线覆盖一致性的思科Client Link技术 ................................... 29 3.7 增强无线网络吞吐量的思科5G优先技术(Band Select) ................... 31 3.8 无线定位支持........................................................................................ 32 3.9 对医疗设备无干扰的绿色无线网络.................................................... 41 3.10 方便部署的无线信道和功率自动调整RRM技术 ......................... 42 3.11 高安全的思科无线网络 .................................................................... 44 3.12 思科无线网络管理系统 .................................................................... 60 第 4 章 XX医院无线网络覆盖方案设计 ...................................................... 67 4.1 无线网络的总体设计............................................................................ 67 4.2 无线网络覆盖总体设计以及AP选型 ................................................ 69 4.1 病区大楼各楼层无线覆盖设计............................................................ 71 第 5 章 思科医疗解决方案的总体优势 ......................................................... 72 第 1 章 XX医院WLAN应用需求以及 思科医疗解决方案优势 1.1 医院概况 医院的情况: 随着医院网络信息化的普及,以及无线技术的大力发展,在医疗行业各种无线终端迅速普及,比如PDA移动医护终端、Wifi无线电话、无线平板电脑、无线条码扫描枪、Wifi RFID标签等,医护人员越来越要求尽可能方便、快速、移动式的使用网络,通过移动终端便捷地在病区进行移动查房、移动护理、输液管理、病区订餐、心电数据回传等服务。医疗人员可以大大节省时间、提高工作效率和工作准确度,还可以改进工作流程、完善管理考核。 医院本次无线网络工程的实际需求如下: 1.2 移动协同医护需求 医疗行业的移动协同医护应用非常丰富,包括移动医护、药库管理、工作流程管理、人员和设备的追踪和定位、患者监护和护士呼叫系统。 1.2.1 移动医护需求 移动医护,主要是通过带有无线功能的终端,实现实时的数据录入和查询,从而节省工作时间,提高工作准确度、优化管理流程、减少医疗事故。 在病房、急诊、输液等环境,移动医护可用于病人身份确认、病人生命体征的采集、病症纪录、用药的对比等。使医嘱和护理任务更加合理。目前应用最多就是移动医生工作站、移动护士工作站、RFID标签等。无线终端可以是移动手推车、平板电脑、PDA。有的终端还配有条码扫描、RFID扫描、智能卡读卡器、摄像头等功能,通过对条码的扫描确认病人和用药情况,还可以实时收集患 者的主要体征和症状。 1.2.2 药库管理 面对药库中种类繁多的药品,通过基于无线应用的条码扫描枪,可以大大提高库房管理效率。 1.2.3 工作流程管理 实时监控医疗设备使用流程,通过轨迹回放和自动告警功能监管医疗设备的规范化流程操作。如可监管医疗设备在每次使用完毕后是否进行消毒处理、医疗设备是否放回原位等。进一步提高医院业务规范化程度,保证医疗安全。还可通过无线标签,详细医护人员的工作行程。例如在产科病房,每天给婴儿洗澡、检查等工作,可以在护士抱婴儿进入检查室和病房时自动记录,简化护士工作,优化管理流程。 1.2.4 人员和设备的追踪和定位 XX医院院区地域广泛、人员众多。对于医院固定资产管理和临时进出医院人员管理将任务艰巨。通过无线定位系统可提供对多个关键业务的高分辨率定位服务,如重要资产跟踪、IT管理、外来车辆和基于位置的安全性等。能够直接从WLAN无线基础设施同时跟踪几米内的数千授权和未授权的活动Wi-Fi设备。当外来人员进入园区后通过更换RF-ID标识,医院管理人员将能够跟踪其去过哪些地方、现在在哪里,保障园区安全。同时,可以实时监控医院中贵重固定资产情况,是否被移动、目前在什么地方,便于医院资产维护。 例如对于贵重的移动医疗设备,重要的IT资产、需要重要监护的病人(婴儿、精神病患者、昏迷人员等)上可以配置RFID标签,然后通过无线局域网中的定位设备,实时监控、追踪和定位这些设备或病人的位置。还可以在设备或病人到达某些监控点时,实时告警,从而保护设备和病人。在一些体检中心或特需病房,还可以通过给就诊者发放RFID标签,从而实时显示每个检测门诊的人员情况,便于就诊者了解实时的就诊情况,安排自己的就诊顺序。 无线的追踪定位功能,还可以对无线客户端进行追踪定位。例如,可以定位某个用户的具体位置,当报警发生的时候,系统可以自动调集最近的人员。 1.2.5 患者监护 病人佩戴的RFID标签可以持续地监控他所在的位置。而病人所佩戴的医疗遥测系统与无线定位服务功能结合,一旦遥测系统发出了病情相关的警报,病患位置信息随同病人的体征信息一起通过无线网络发送到医护人员的无线终端上。这样患者有更大的信心恢复,他们知道一旦问题发生将获得立即的救助,医护人员也有更多的行动自由来进行更多的病患护理工作。 呼吸仪 癫痫监测仪 遥测心电图仪 1.3 多方位语音通信需求 XX医院部门内、部门间的沟通协调十分频繁,如通过传统的电信通信如手机,电话等方式首先将带来高昂的通信费用,其次效果也不是十分理想。(如视频会议、手机与无线、手机与对讲机、多种通信方式合一等无法实现)因此,需要有更好沟通平台提供语音、视频信息交流。通过无线网络可以提供更加稳定、可靠的沟通方式: 1.3.1 护士呼叫系统 通过无线IP电话应用,可以将传统的护士呼叫只能到护士站的方式,改进为护士站和护士随身携带的无线IP电话同时振铃,或者改进为护士站没有人接听后再转接到护士的IP电话上。护士可以直接察看呼叫者的病床号。如果在一定时间内没有接听,系统将向预先定义的上级人员发出通知信息。通过该系统,即可以提高患者的满意度,又可以详细记录工作情况,提高管理透明度。 1.3.2 基于WLAN网络的移动语音业务需求 无线VoIP允许用户利用无线基础设施提供经济有效的语音服务,在医院网内部用户可以使用双模手机或无线电话,通过无线网络实现语音通信服务,为医院提供内部话音的无缝覆盖,以提高医院办公效率和教学质量。当使用双模手机的用户不在医院WLAN网络覆盖区域之内时,可以不中断的、快速的切换到GSM网络中,使用户无论身在何处都可以进行即时、有效的语音通信。还可以通过手 机接受办公室信息和语音留言。由于这些应用都是在医院内部使用,是基于WLAN的流量,所以不会产生任何通信费用,极大的节省了医院的通信费用。 为保证无线话音的质量,要求无线网络具有良好的QoS控制机制,包括无线话音呼叫控制等手段。 1.3.3 多方位语音方式的互通 由于XX医院院区占地面积广泛,师生众多,在通信时所用的平台也不相同,利用无线电话、双模手机、GSM手机等,通过无线语音方式可以将不同方式通信进行整合,如一人一号,拨打个人电话时,只需要一个号码就可以让手机、无线手机,软电话等终端同时响铃,省去寻找某人时需要记其多个号码问题。利用电脑中的软电话和统一通信私人终端,可以将电脑融入整个通信体系。让师生可以通过电脑与手机、电话、无线电话等进行有效沟通。在拨打电话前就可以看到对方现在的状况(接电话状态或是空闲),只要点击鼠标同过用户名就可以拨打相应人员电话,无需知道对方电话号码。 1.4 多媒体协同医护需求 1.4.1 移动多媒体医护需求 如今医院通信的进一步目标,是如何通过运用方便的通信手段,提高患者的满意度,提高医护人员的工作效率,有效地跨部门协作,实现多媒体协同医护,提高诊断的正确性,并降低通信成本。通过医院WLAN网络结合UC统一通信系统进行即时有效的在线视频及桌面数据共享多媒体业务,还可以在进行语音沟通的基础上进行视频交流、多方视频会议,这是思科统一通信解决方案在医院通信系统中的价值所在。 在医院的会诊中心部署思科公司的网真系统,专家在会诊中心与各个科室的医生进行视频沟通的同时,通过投影仪或电视屏幕可以看到病人的电子病历、各种检查结果、手术室内医学示教系统传回的实时图像等信息。 在ICU、主要病区、院领导办公室等地方部署可以移动的思科网真系统,实 现与会诊中心的高清会诊。 院外的国内外专家可以使用WEBEX,通过互联网加入到视频会诊中,可以和和网真系统集成,无论身处何地。 1.4.2 无线视频监控需求 无线网络并不是一个单纯的数据接入平台,还需要有其众多的应用功能,视频监控就是其中之一,在医院的敏感区域,如机房,财务中心、或临时需要进行监控区域,可以通过相关无线探投和网络相结合提供监控告警功能。有别与有线监控,无线监控可以灵活进行部署,不受网络接口和客观环境影响,提供安全、可靠的监控系统。同时与统一通信系统结合可以在触发安全事件时第一时间通知最近的安保人员,排除安全遗患。 1.4.1 移动医学示教需求 医院都有手术示范和教学任务,怎样将好的手术经验和教学内容分享给即将毕业的医生或者其他医院的医生,以及将珍贵的手术资料保存下来都变得至关重要。现在医院临床教学方案通常采用现场教学的,由于现场条件的限制或者手术设备的限制,如B超检查室,环境暗,空间窄,屏幕小,现场学习效果不理想。在思科医院网络示教系统的帮助下,可以将学习过程和医疗现场分开,学生可以在独立的学习室中学习,同时与现场的医生进行沟通。在条件允许的情况下,可以做到每个学生都能清楚地看到现场情况和治疗结果。 第 2 章 XX医院无线网络建设原则 XX医院的无线局域网根据具体需求和勘测情况,在此次网络建设的规划、设计和实施中因遵循以下原则: 2.1 无线网络对医疗设备无干扰 鉴于医疗设备存在着受到电磁干扰EMI的风险,中国医疗行业在无线设备对于敏感性生命支持和其它医疗设备是否存在不良干扰的问题上没有权威的测试和结论,缺乏权威性的中国医疗行业无线局域网部署规程,也没有对国外的相关进行认可。受中华人民共和国卫生部医院管理研究所和中国医院协会信息管理专业委员会的委托,由中日友好医院和思科系统(中国)网络技术有限公司联合组成了无线局域网对医疗设备潜在干扰测试研究。测试研究结果表明:在正确部署符合国家无线核准标准的无线局域网时,未发现无线局域网对已测试的医疗设备产生不良干扰。根据测试过程和结果,制定了《医院无线局域网部署规程(草案)》。 思科无线网络赢得美国医院协会的认可,该协会有,,,,多家会员医院,他们对各家无线产品进行测试后,思科无线网络凭借卓越的安全性、可靠性、业界领先的客户支持以及对医院环境适应的总体部署战略脱颖而出,成为独家认可的无线网络解决方案。 2.2 无线辐射对人体安全 根据中国国家无线电管理委员会的规定,在部署无线网络信号辐射不得超过100mw,以避免2.4GHz和5GHz对人体的影响。同样的原因,在通常情况下,终端使用5mw左右的发射功率,以避免大功率长期辐射对人体的影响。无线接入点即AP随着终端和AP之间的信号的强弱,AP和终端会自动协商根据信号的衰减程度,自动降低传输速率和增大传输功率。本次无线系统部署的型号统一都根据国家规定最大为100mw,功率智能调节。思科最低无线发射功率可以调到1mw。个别厂家使用大功率放大器结合天馈系统的方式,实际上无线发射功率高达1-2W,这种方式没有遵循国家无委会对无线局域网络设备100mw要求,存在巨大的风险。 2.3 可靠性和抗干扰能力 高可靠性是医疗网络的首要关注点。早在几年前,医疗网上就开始运行着重要的HIS等数据信息,随着医疗网络应用越来越多地推广到临床实践当中,任何网络中断事件都可能带来很严重的后果,网络的可用性将直接影响到医院的经济效益,社会效益和管理水平;未来的医疗网络还将会承载越来越多的新应用,如部署 IP电话和无线移动医疗服务等,这些都对网络的可用性、数据传输的可靠性和快速响应能力提出很高的要求。 对于无线网络来说,可靠性要求中最重要的一点就是无线网络的抗干扰能力。因为WLAN工作的频段为无需授权的频段,在这个频段还有很多其他设备,包括微波炉, 无线摄像头, 无绳电话。当这些设备工作的时候,会对WLAN网络带来严重的影响,严重时会导致无线网络的故障。无线设备需要识别这些干扰以及干扰带来的影响,在出现无线干扰时候能够自动恢复,保证医疗业务的运行。 2.4 先进性和实用性并重 系统建设要有一定的前瞻性。在无线网络建成后的5年之内,不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平,避免技术环境过于超前造成投资浪费。 考虑到大量多媒体信息在以后无线网络中传输,必须考虑无线网络的高吞吐量能力以及对多媒体信息,包括与语音和视频的实时传输的QOS保证能力。 除了使用802.11n技术提供大容量无线网络以外,思科视频流就绪技术是思科统一无线网络一组新的系统级的特性,它可提供稳定而一致的视频体验质量。思科无线网络通过视频就绪特性现在就可以处理大规模的视频组播,而且无线控制器和无线客户端双方之间的有线和无线带宽能够更有效的利用。此外,思科利用了802.11e/WMM无线多媒体服务质量标准,创造了更加精细粒度的视频流优先次序。目前,相对数据传输WMM允许给予视频流整体的优先权。现在,视频流就 绪特性可以针对不同的视频流给予不同的优先级,这可以动态的调整网络来适应需求的变化。另外也思科无线网络还提供了无线准入控制功能。 2.5 兼容性 网络采用开放式体系结构,易于扩充,使相对独立的分系统易于进行组合和调整。选用的通信符合国际标准或工业标准,网络的硬件环境、通信环境、软件环境相互独立,自成平台,使相互间依赖减至最小,同时保证网络的互联,需要无线局域网全部支持从交换机直接通过以太网供电,不必为AP另行配置电源插座。 思科无线局域网系统满足国际和国内的无线标准,是全球无线WLAN行业的领导者,目前全球市场占有率超过60%, WLAN最大程度的兼容符合Wi-Fi标准的各种无线终端设备,如Intel讯驰系统、国内和台湾、香港生产的通过Wi-Fi认证的无线局域网络终端设备对今天在市面上知名的品牌均可以兼容 2.6 快速安全的切换能力 移动客户端包括无线笔记本和手持终端都能在多个AP之间实现连续的无缝快速切换。医院的很多应用都是移动应用,如果切换时间过长,那么程度稍轻的会影响业务,严重情况下会导致无线网络中断。无线网络使用802.1x 认证还涉及密钥的更新,无线网络必须支持无线终端的快速安全切换。 2.7 自动射频管理 无线局域网802.11b标准使用3个不重复的频道,1、6、11,为了实现自动漫游,需要对频道的管理。需要无线系统采用了后台集中控制的方式,能够当AP布防后,通过实时射频监测,然后自动对频道进行分配, 并且自动调节AP的发射功率。这样方便AP的部署和以后的维护。 2.8 安全性 无线网络支持最多的安全特性,采用集中认证,对每个数据包进行加密。通过对射频的实时监测,发现并定位恶意的AP,恶意AP是未经授权的人员通过自己设置一个AP,吸引无线终端连接到恶意AP从而非法获得数据的黑客方法。对恶意AP的扫描配合采用安全无线认证协议,能够解决AP和无线之间的相互信任问题。目前无线局域网领域标准主要有思科和微软等公司,能够支持最多的安全保障和扩展的端口安全管理。 2.9 终端定位 配合射频实时监测功能,射频指纹扫描能够对终端所在的位置进行定位,当一个移动终端变换位置时,能够实现3-5米的定位,同时和门禁系统结合,对外来的临时人员进行RFID的定位,人员佩戴RFID标示的腰扣终端,可以将人员位置显示在网络管理界面的大楼地理图上。方便对无线终端的监控和管理。在网络管理系统上有针对ERP系统和安全管理系统的API,可以结合ERP和安全管理系统将定位信息集成到工作流程的管理中。 2.10 地理化图形管理界面 网络管理界面全部图形化,能够输入大楼的平面图,并且能够进行微调,能够输入障碍物等信息,在网管上面可以操作全部的无线功能。在AP上无需任何配置。 第 3 章 思科无线网络技术优势 3.1 保证医疗业务在无线网络上可靠运行的Clean Air技术 对于无线网络来说,可靠性要求中最重要的一点就是无线网络的抗干扰能力。因为WLAN工作的频段为无需授权的频段,在这个频段还有很多其他设备,包括微波炉, 无线摄像头, 无绳电话。当这些设备工作的时候,会对WLAN网络带来严重的影响,严重时会导致无线网络的故障。 无线设备需要识别这些干扰以及干扰带来的影响,在出现无线干扰时候能够自动恢复,保证关键医疗业务的运行。这些干扰是不可见的,当无线网络故障发生的时候,用户第一很难知道当前无线环境有没有干扰, 干扰有多严重, 怎么样使无线网络自动从干扰中恢复, 实现网络自愈? 3.1.1 CleanAir 技术的价值 Cisco CleanAir 技术提供 802.11n 的性能和支持关键任务应用程序所需的可靠性,同时还能以智能方式避免干扰的影响。CleanAir 技术是思科统一无线网络的一个系统范围功能,可通过提供无线频谱的完整情况,简化操作和改进无线性能。CleanAir 具有独特的能力,可检测其他系统检测不到的 RF 干扰,识别干扰源,在地图上找到它,然后进行自动调整来优化无线覆盖范围。 Cisco CleanAir 可以提供: • 直观地查看AP当前工作信道的无线质量 • 自动优化无线 LAN 以提高可靠性和性能 • 执行远程故障排除,以便快速解决问题并减少停机 • 检测非 Wi-Fi 安全威胁并实时解决问题 • 查看历史干扰信息,以便进行回溯分析并快速解决问题 • 通过无线设备的智能识别来设置和实施策略 直观的空口无线信道质量和性能警报 Cisco CleanAir 技术提供大量有关干扰的详细信息。但为了便于直观地了解干扰问题在哪里影响网络,它会将详细的干扰信息转换成易于理解的直观指标,称为空口无线信道质量 (AQ)。AQ 在信道、地面和系统级别进行报告,而且支持 AQ 警报,因此,当 AQ 低于预期阈值时,用户会自动收到通知。用户可以通过空口无线信道质量直观地了解干扰对当前无线网络的影响。 自行恢复、自行优化的无线网络 如果干扰源足够强,能够完全干扰 Wi-Fi 频道,那么应用 CleanAir 技术,系统就会在 30 秒内更改频道,以避免干扰,并继续在受影响区域以外的其他频道上进行客户端活动。系统能记住从微波炉、网桥或无线视频摄像头发出的间歇性干扰,避免使用运营这些设备的频道,以防将来造成干扰。 Cisco CleanAir 技术使用硅片级智能,可精确地检测 20 多种干扰类型并加以分类,只有在它认为干扰非常严重,以致影响网络性能时,才会更改频道。如果 CleanAir 更改频道,它会考虑整个网络频道策略,然后确定首选的频道更改。所有这些智能功能可创建一个自行恢复、自行优化的无线网络,从而为 802.11n 网络提供性能保护。 故障排除调查分析可快速解决干扰并主动采取措施 通过 CleanAir 技术,您可以利用易读的“空气介质质量指数”,充分了解无线频谱的性能和安全性。该指数可识别出现问题的区域,并在接入点、楼层、建筑物和园区环境中找出问题区域。 CleanAir 可减少停机。网络管理员可以设置警报,以便在空气介质质量低于预期阈值时得到通知。另外,还可以将系统配置为自动实施安全或管理策略。Cisco CleanAir 生成报告来帮助网络管理员对亟需关注的干扰问题排定优先级,便于网络管理员轻松地了解细节,以进行进一步的网络分析。报告包括最差 RF 条件汇总、最近的安全风险干扰源、阈值警报和历史图表。通过主动监控“空气介质 质量指数”图表和 30 天的干扰报告,管理员可以规范正常行为并监控网络趋势,从中看出未来可能发生的问题,以免影响网络性能。 快速、准确的干扰检测可减少误报 由于大多数设备都不断地在移动或者开启和关闭的速度很快,因此很难跟踪干扰。即使成百上千个设备在极为繁忙的 RF 环境中同时运行,CleanAir 也能在 5 至 30 秒内对 20 多种干扰进行分类。CleanAir 分类的准确性和快速性是其主要优势,因为它可减少无干扰时(“仿真干扰”)的干扰报告,并消除多个 AP 检测到的同一设备的重复报告。另外,它还可减少发生错误标记干扰源的情况,从而减少管理员通常浪费在搜索错误类型设备上的时间。 高效的策略实施 通过实施策略来阻止干扰 Wi-Fi 网络的设备一直以来都是网络管理员难以解决的问题。应用 CleanAir 技术,网络管理员便能够跟踪网络性能,找到并查看非 Wi-Fi 设备产生的影响,实施策略,防止已知干扰源影响网络速度或危害网络安全。 强大的安全性 从安全性角度看,在地图上跟踪设备可使您立刻了解要将安保人员派往哪里。有许多网络威胁是传统的 IDS/IPS 系统检测不到的——原因在于只能在 RF 级别检测到它们。这些威胁包括专有无线网桥,以及较早的标准,如 802.11FH。这些威胁还包括在非标准运行频率上运行或使用非标准调制的恶意 Wi-Fi 设备。当然,干扰设备也会经常发生拒绝服务类型攻击。 思科Clean Air技术以 Cisco 频谱分析引擎 (SAgE) 硬件核心开始,该核心已直接集成到新 Cisco Aironet? 3500 系列无线接入点的 Wi-Fi 芯片集中。SAgE 核心处理是一项极为计算密集型的操作,如执行高分辨率快速傅立叶变换 (FFT) 和脉冲检测操作。(脉冲是频率和时间中的射频能量的突发)基本来说,SAgE 核心处理基本级别的频谱分析操作,这些操作是极为处理密集型的,因此在实时软件中可能会禁止处理它们。 以下以图形方式显示识别能量脉冲的 SAgE。第一个图像显示来自硬件脉冲检测器块的数据,第二个图像显示软件组合了多个脉冲之后的数据,这些脉冲极为匹配,以致可认为是单个脉冲 完成 SAgE 处理后,有意义脉冲的无线电样本会传送到软件级别,以进行详 细的指纹分析。在主无线电 CPU 上执行此处理会对 Wi-Fi 性能产生不利的 影响。为消除这种影响,思科硬件解决方案包括一个自定义处理核心,称为 DSP 向量加速器 (DAvE),它直接集成到无线接入点的 Wi-Fi 芯片集中。DAvE 核心能够执行密集型信号处理操作,这叫做“Davelet”(如过滤、多项消除、 旋转、同步字检测和调制检测),而不会增加主 CPU 的负担。DAvE 处理 CPU 密集型信号处理操作,分担主 CPU 的负担。 最后的处理级别发生在软件模块中,该模块在主 CPU 上运行,称为“Sensord”。请注意,由于 SAgE 和 DAvE 硬件块完成了繁重的工作,因此 CPU 开销现在已非常低。Sensord 软件查看干扰突发的时间和频率,以及已发现的突发属性,如调制类型和已识别同步字等。然后,这种高级别信息被用来执行设备之间的最终识别和分隔。这个最终分类步骤提供强大的 SI 功能:告诉您干扰的具体来源、位置以及如何进行缓解。 CleanAir 技术的优势是它能够全天候运行,不间断地监控有无干扰和空气介质质量问题。这能让 IT 采用更为主动方法来管理频谱。IT 不用再等待最终用户报告干扰(以故障通知单的形式),然后调用工具来分析问题,而是在干扰发生时即刻找到它并立即采取措施。另外,全天候的历史记录可以进行回溯分析。使用历史数据,可以很方便地分析随时间的变化趋势。 3.2 视频就绪:支持手术示教和专家会诊的无线网络 视频语音这些媒体应用,尤其是高清视频应用,在延迟、抖动、丢包和吞吐 量比数据应用更为敏感,对无线网络要求更高,一旦延迟、抖动、丢包以及吞吐 量低于一定的门限值时,视频和语音的质量就会迅速下降。这些应用对企业的无 线网络的性能、稳定性以及Qos能力提出了更高的要求。企业机构需要部署下一代商业无线网络来满足各种移动应用对无线网络的要求,来保证高品质的可扩展的用户体验。 资源预留机制和可靠组播机制,有思科视频流就绪特性通过视频流优先级、 效地解决了传统无线网络的问题,在单一AP下支持数十路1080P的高清视频的传输,充分保障了无线用户的高清视频体验。 思科利用了802.11e/WMM无线多媒体服务质量标准,创造了更加精细粒度的视频流优先次序。目前,相对数据传输WMM允许给予视频流整体的优先权。现在,视频流就绪特性可以针对不同的视频流给予不同的优先级,这可以动态的调整网络来适应需求的变化。例如一个手术示教的视频组播可以相对于其他“尽力而为”的视频流在网络上给予高优先权。医院可以根据业务的重要程度将媒体流配置为不同的优先级,并确定相应的Qos,确保视频应用的时延、抖动、丢包和吞吐量要求,保证关键业务的视频媒体流得到优先传送。 思科下一代无线网络支持资源预留控制,提供了MAC层的准入控制策略。准入控制策略包括流量统计,射频测量,当前的信道空口利用率,还有为无线漫游用户做带宽预留。从而保障所有在线无线用户的视频体验,不会有网络过载的情况发生。 组播对于无线是一个巨大挑战,这是因为客户端分布在离接入点不同的距离之内并因此调整相关的数据速率。为确保距离无线接入点最远的客户端可以接收到适当顺序和正确的数据包,无线网络将调整数据率来适应所有的客户。视频流就绪特性将这一转换下放到无线接入点来完成而不是通过无线控制器。思科无线局域网控制器管理传入的视频流,并传递组播流到局域网交换机,最后到达思科无线接入点。无线接入点将组播传输转换成多个独立的单播传送。无线接入点还处理状态控制,客户端监控及数据复制,以及只发送视频流到发出请求的Wi-Fi客户端而不是所有客户端。 思科无线网络支持可靠组播:通过MAC层提供错误更正机制,大大增强了Wi-Fi承载视频的可靠性,远远超出了传统的无线网络尽力而为的特性。这种新 办法意味着Wi-Fi网络现在可以处理大规模的视频组播,而且无线控制器和无线客户端双方之间的有线和无线带宽能够更有效的利用。 3.3 一套无线网络实现医院内外网隔离 医院的有线网络分为内网和外网。但是无线也在同一区域部署两套独立的无线网络, 第一会增加成本, 第二也造成两套无线AP系统之间的互相干扰,所以在同一区域,内网和外网只能是同一个无线网络。此时,如何保证内网的医疗应用安全、以及外网Internet服务的顺利进行,就非常重要了。思科具有独有的内外网隔离技术,一方面把访问外网的用户当成访客业务, 把这些访问互联网的数据流,直接送到外网的防火墙上,避免对内网数据的访问;另一方面为内网的用户提供高级别的安全认证(支持多种认证方式)和数据加密;通过这种技术可以很好地实现内外网隔离。 在同一个区域的AP上开启不同SSID,相当于两个虚拟AP,一个虚拟AP对应的WLAN为内网,采用严格的认证;另一个虚拟AP对应的WLAN为外网,采用WEB认证。思科独有的无线访客技术可以保证病人等无线外部用户 与医院等内部用户的隔离。将外部用户逻辑隔离,在允许外部用户访问互联网的同时保证内部无线用户的安全。 如下图所示方法,互联网用户采用独立VLAN,在防火墙的非军事化区配置独立无线控制器,所有互联网的流量通过Tunnel终结在非军事化区。还可以通过备份链路实现冗余。另外,网管软件或控制器自带的WEB认证管理员功能,可以为WEB认证用户提供简单的界面,建立用户,并生成用户的密码,用户的有效期。 WEB认证用户管理员界面简单、功能明确,非常适合病房等使用。例如:护士台可以通过简单明确的界面给病人或家属设置一定有效期的用户名、口令。 3.4 支持快速安全切换的无线网络 医院的很多应用包括移动护理和Wifi电话都是移动应用,如果切换时间过长,那么程度稍轻的会影响业务,严重情况下会导致无线网络中断。例如在无线语音系统里,语音的漫游机制会大大影响语音的通话效果,尤其在切换的时候,如果漫游时间过长,那么程度稍轻的会产生通话质量影响,严重情况下,会导致语音通话中断。所以,如果保证VoWLAN的快速漫游机制是语音网络的至关重要的问题。 思科提供的Unified Wireless Network可以提供在任何环境下的跨2层和3层的漫游机制,并且保证漫游不中断,减少漫游时间。 还有很重要的一点是,在目前的标准里,客户端漫游的决定是由客户端本身决定的,那么客户端对于漫游发生的判断就是漫游质量好坏的关键因素。 一般来说,客户端将采用下列机制决定漫游 , 超过最大数据重传次数 , 信号强度过低,超过罚值 , 信噪比过低 , 依照某些负载均衡的机制 思科通过CCX客户端可以帮助无线客户端完成更稳定、更快速的漫游,通过思科CCXv4或者以上版本的支持,无线客户端可以通过思科AP在beacon里提供的附加信息,比如信道负载、AP的邻居列表等加快漫游速度;Intel无线网卡和包括 . Motorola在内的手持PDA都支持CCX认证 具体方式可以通过 , AP辅助漫游 , 增强的邻居列表信息, 思科统一无线网络发送一系列相邻AP的信 息包括发射和接收功率和切换门限信息给移动终端来加速切换过 程. 无线网络向移动终端建议切换的信息 , 增强的邻居列表请求E2E,来自于Cisco和Intel联合开发的计 划,通过定义新的协议和接口增强语音和漫游体验(只适用于 Intel的客户端) , 推荐的AP请求,该功能可以通过思科无线系统发给无线客户端一 个更适合关联的AP列表,及时该客户端已经关联在某一个AP上, 客户端可以或者采取或者忽略该请求 另外,在要求安全的无线网络里(采用802.1x),在漫游过程中,涉及到重新申请密钥的过程,思科推荐采用CCKM的方式加速安全的漫游机制,在CCXv2以上的版本就可以提供CCKM的支持,常规情况下,需要4步进行密钥交换,而 采用CCKM只需要两步就可以完成整个过程,CCKM具体实现机制如下, \ 其中无线控制器的配置如下 3.5 无线网络对WIFI语音的Qos保障和准入控制 在无线网络系统中,如果通过同一个AP提供语音、数据等服务,我们必须有Qos机制保障语音服务的质量, 无线网络的Qos转发分为无线侧上行Qos机制、无线侧下行Qos机制,网络侧上行Qos机制和网络侧下行Qos机制,如下图所示: 其中,其中网路侧上下行Qos机制和无线侧上行Qos机制可以依靠思科有线网络 和无线控制器配合实现,但无线上行的Qos机制需要通过WMM的机制实现。 WMM机制主要通过上层的应用对于无线MAC的映射完成 思科的无线控制器中专门设有针对语音流的Qos控制选项,启用WMM/EDCA改善语音流的时延和提供带宽保证,见下图 通过映射不同的Qos标签,802.11 MAC在处理时加以区分,EDCF帮助拥有优先的应用提前转发,转发原理如下图所示 通过WMM机制(目前已被定为标准,只要支持CCXv3的客户端都已支持,并且思科已经在7921G上完全支持),我们可以在保障语音的质量。 如果需要完成高质量的语音传输,除了拥有Qos机制还是不够的,我们需要关心很多细节,有些是帮助语音终端间更好的互通的,有些是帮助网管人员更好地了解无线网络里的语音情况,比如语音漫游情况、语音call的次数等等,这些都是通过思科提供的CCX终端进行实现的,其中CCX帮助客户的语音系统实现的功能可以参见见下表 思科的CCX计划从2000年开始一直在发展,并将持续开发,支持的特性可 以参考下面计划,而且从CCXv2开始,思科已经开始着手支持VoWLAN业务,从CCXv2的CCKM、Transmit Power Control到CCXv3的WMM、EAP-Fast/WPA2到CCXv4的Call admission control、UPSD、Voice Metric等,这些都是思科和终端合作伙伴一同开发并将持续开发的针对语音业务的技术特点 Management FrameVersion 5Protection, Client & Roaming ManagementReporting & Diagnostics,and Wireless IPSBusiness Class Wireless Phase II Version 3 Performance & Security AP assisted roam, CCKM,Version 2Radio measurements, ScalingTransmit power control Version 1LEAP,802.1x & VLANsper APSecureTKIP, WIFIConnectivity 20002001200220032004 2005 2006 2007 在无线语音实现中,我们经常会面对一个问题,就是通话时发生单通的问题,即通话的一方听不到另一方的声音,那么我们仔细研究一下这个问题产生的根本原因,实际上,在VoWLAN技术中这很大程度上是由于双方的功率不匹配造成的,如下图所示。通话双方在互通的过程中,一方功率远远大于另一方,这就造成一方的数据传输不到另一方,这就造成了单通问题。 那么思科是如何解决这个问题的, 思科通过DTPC(Dynamic Transmit Power Control)功能完全解决了这个问题,无线AP可以自动通知无线客户端互相协商其发射功率(终端通过CCXv4支 持,并且7921G已经完全支持),完全解决单通问题,同时也可以帮助客户端进行节电。 对于WLAN网络里的无线AP来说,能接入客户端的容量并不是无限的,当大量无线客户端同时接入同一个AP的场景,可能会对一个AP的语音处理能力产生一个瓶颈;那么,在超过一个AP的语音接入容量的情况下,是怎么处理超出容量的语音接入请求, 如果没有控制策略,那么会造成当无线语音终端超出AP接入能力的时候,将影响已经接入的每路语音的通话质量。 对于这种情况,思科专门提供了基于无线系统的呼叫控制,从技术实现上,目前思科可以支持基于语音流量的呼叫控制以及基于无线信道负载的语音呼叫控制,这也就是说,当无线终端的语音数量超出设备容量的时候,思科的无线系统可以根据目前无线系统的处理能力进行呼叫的准入和拒绝,并且这样的控制是基于无线层面的控制上的(包括无线信道的利用率,无线AP的处理能力等),而不是通过后端的语音呼叫系统来完成,思科这样实现的主要原因是由于如果通过语音呼叫系统来完成,这样的配置是固定的,不实时的,语音呼叫系统不能得到实时的无线层面的信息,也不能提供真正的可以基于无线资源的控制。 目前来说,思科的无线系统提供的语音准入控制可以基于两个方面 , 基于语音流量的呼叫控制 , 基于无线信道资源的呼叫控制 3.6 增强无线覆盖一致性的思科Client Link技术 思科特有的Client link技术可以使传统的802.11a/bg的客户端也能从部署的802.11n无线网络中获益, 尤其是在复杂的射频环境下, 可以使无线客户端接收到的无线信号更加稳定一致。 大多数的802.11n 解决方案为802.11a/g 客户端在上行方向(客户端到无线接入点)提供了某种程度上的性能提高,但是无法在下行方向(从无线接入点 到客户端)提高性能。认识到这一点非常重要,因为大多数的客户端流量,比如说网页浏览和文件下载,都是在下行方向。思科ClientLink 技术提高了802.11a/g 客户端下行链路的性能,从而提供了更好的网络覆盖以及更可靠的漫游体验。 ClientLink 通过在无线接入点上预先植入的高级信号处理进程进行工作。在学习到用最大限度的方式将从无线接入点多个天线上接收到的客户端信号结合起来之后,ClientLink 使用这些信息,并通过最佳方式将数据包发送回客户端,这种技术称之为多输入多输出(MIMO)波束成形。此外,MIMO 波束成形技术并不需要昂贵的外部天线就可实现。 另外通过为802.11a/g 设备提高下行链路的吞吐量,其他的客户端拥有更多的时间片去传输数据, 因此ClientLink 为整个网络包括802.11n 客户端,有效的提高了系统容量。 通过第三方实验室的测试报告我们可以看到,ClientLink技术明显的提高了整体用户体验和网络的吞吐量。 3.7 增强无线网络吞吐量的思科5G优先技术(Band Select) 今天,很多终端设备都是双频设备,部署的无线接入点也都是双频接入点,即同时支持2.4G和5.8G,今天的无线干扰主要集中在2.4G频段上,2.4G只有3个非重叠的信道,抗干扰能力比较差,而5.8G信道却相对好的多,可今天的现实情况是:虽然无线接入点是双频的,用户的终端也是双频的,但是,由于网卡的类型及驱动的不同,导致还有非常多的用户是链接到2.4G频段上,那么,有什么技术手段可以减少双频客户端关联到2.4G上,而直接使用5.8G频段呢,这就是思科的BandSelect技术所解决的问题。 Band Select技术,解决了用户关心的802.11a/g双频客户的频道选择问题。通过延迟对双频客户端的2.4G probe请求的回应,迫使双频客户端在5.8G上发probe请求,然后回应5.8G的probe请求,实现将双频客户端引导到干扰更小的5G频道上,同时也为只支持2.4G的用户提供了更多的使用带宽。 Bandselect算法包括两个部分: , Probe 抑制 识别双频客户端 (2.4GHz 和 5GHz 能力) 抑制 2.4 GHz 信道的 Probe 回应 等待双频客户端扫描 5 GHz 信道 不在 2.4 GHz 回应双频客户端的Probe请求 , 容纳只支持 2.4GHz 的客户端以及双频段客户端退回 2.4GHz 双频客户端 2.4GHz probe 请求抑制超时 标记只支持 2.4 GHz 的客户端并相应 probe 请求 3.8 无线定位支持 思科无线定位设备是业界第一款能够直接从WLAN基础设施内部跟踪数千个设备的定位解决方案。它为重要资产跟踪、IT管理和基于位置的安全技术提供了一个经济有效、高分辨率的定位解决方案。这种创新的设备可以通过一个功能强大的、开放的应用编程接口(API),与多种技术和应用合作伙伴紧密集成,从而为多种新型的、重要的业务应用提供支持。这些功能使得思科无线定位设备成为了目前所有企业级WLAN必不可少的重要组成部分。 思科无线定位设备是一个创新的、便于部署的解决方案。它可以利用先进的RF指纹技术,直接从WLAN基础设施内部跟踪数千个802.11无线设备,从而提高资产的可见度和加强对无线空间的控制。另外,该设备能够记录丰富的历史位置信息,这些信息可用于位置趋势分析、迅速解决故障和RF容量管理。通过为功能强大的、基于位置的应用服务的部署提供支持,以及借助与思科无线定位API的集成实现资产管理和工作流自动化,该设备将为各种客户提供一个至关重要的解决方案,服务于大型企业乃至各个垂直行业,例如医疗、金融、零售、制造和政府。 思科无线定位设备的独特设计使其可以直接集成到WLAN基础设施之中,从而通过具备“位置感知能力”而降低客户的总拥有成本和增强现有WLAN基础设施的价值和安全性。思科无线定位设备可以利用思科无线局域网控制器和思科轻型接入点,跟踪无线设备的物理位置,结果可以准确到几米之内。而且,思科无线控制系统(WCS)的集中WLAN管理功能和简单明了的GUI可用于管理和设置思科无线定位设备,从而让安装过程变得非常迅速和直观。 产品架构 思科无线定位设备可以利用那些提供流量的思科轻型接入点,充当802.11无线客户端和Wi-Fi标签的位置“读取器”。这些接入点可以从所有Wi-Fi设备采集接收信号强度指示(RSSI)信息,其中包括支持Wi-Fi的笔记本电脑、手机、Wi-Fi标签、恶意(未经授权的)设备和恶意接入点。搜集到的RSSI信息随后会通过轻型接入点协议(LWAPP)发送到思科无线局域网控制器,或者特定的无线集成化交换机。然后,思科无线局域网控制将汇总RSSI信息,通过简单网络管理协议(SNMP)发送到思科无线定位设备。 思科无线定位设备会根据它从思科无线局域网控制器搜集到的RSSI信息,进行位置计算。搜集RSSI信息的思科无线局域网控制器必须与思科无线定位设备建立关联(如图23所示)。 集成化定位服务架构概况 一旦网络拓扑和接入点被添加到该设备中,它就会生成RF预测和热点地图,在当地的建筑平面图上显示数千个设备的位置。思科WCS可以直观显示它的位置信息,从而及时地为那些希望加强RF容量管理、采用基于位置的安全措施和加强WLAN设备的可见度的客户提供位置应用。这些位置信息还可以通过设备上的一个简单对象访问协议/可扩展标记语言(SOAP/XML)API供给第三方应用使用,从而为多种基于位置的应用创建一个可扩展的平台。 思科无线定位设备:同时对数千个用户、设备和接入点进行实时跟踪。 思科WCS可以通过一个直观的、内容丰富的GUI管理思科无线定位设备。该GUI可以提供集中的管理和配置。为了进一步提高可扩展性,思科WCS还可以管理一个或者多个思科无线定位设备。思科WCS视图过滤器和灵活的搜索标准使得用户可以方便地根据自己的需要查看特定的位置数据。显示了一个针对恶意接入点和设备的视图。用户可以针对多种选择创建这种有针对性的视图,包括设备种类、逻辑名称、检测时间和物理位置(例如某个楼层)。 思科无线定位设备:专门针对恶意接入点和设备的视图 无线安全和快速排障 思科无线定位设备让IT经理可以迅速、准确地发现安全威胁,例如恶意接入点和设备。恶意接入点可能会创建潜在的安全漏洞和不安全的WLAN连接,导致整个网络受到严重的威胁。恶意设备由员工或者入侵者安装。通过更加准确地定位这些设备,IT经理可以迅速地隔离安全威胁和未经授权的网络访问尝试。对这些恶意设备的准确检测有助于确保合法客户端只与可靠的接入点建立关联,从而提供更高的WLAN安全性。另外,IT经理还可以利用思科无线定位设备,为基于位置的安全措施建立框架――从而进一步加强WLAN的安全。 通过深入查看设备的详细位置和统计信息,IT人员可以方便地审查安全警报或者移除警报,隔离、限制无线入侵者,迅速排障和简化设备管理。例如,可以在客户端上找到有效的安全数据,包括关于用户最近、过去在什么时间到过哪里的物理位置信息,客户端流量分析,以及IP地址、用户名、MAC地址、服务集标识符(SSID)和接入点关联细节等。这项功能还提供了一个丰富的信息审查索引。IT人员可以利用便于输出的日志文件,将其存档和使用30天或者更长的时间。 思科无线定位设备客户端细节――页面视图顶部 思科无线定位设备客户端细节――页面视图底部 用于RF容量管理和可见度的位置趋势分析 思科无线定位设备可以生成多种有助于加强RF容量管理的信息。这些信息可能建立在下列因素的基础上:位置趋势――即用户在什么时间到过哪里,例如客户端/标签在某一层中的分布;统计位置信息――即用户曾经到过哪里和相关流量分析;覆盖区域――热点所在的位置。根据人员和流量的分布情况,可以了解RF资源的集中程度,以及WLAN处理客户端的方式。 思科无线定位设备位置趋势分析 特定地点搜索 通过多个针对特定的用户兴趣而定制的灵活参数,可以方便地进行有针对性的搜索。这些搜索标准包括但不仅限于:资产种类,例如标签、客户端、恶意设备和定制的逻辑资产名称;物理位置参数,例如楼层、园区、楼宇、关联接入点;检测时间;协议,SSID,IP和MAC地址,以及用户名。例如,图7显示的是一个旨在列出某个特定资产群组内的所有标签的搜索操作。用户也可以同样方便地搜索某个楼层中的所有恶意设备。 思科无线定位设备标签搜索参数 与基于位置的应用的集成 为了促进基于位置的应用在企业中的部署,思科无线定位设备配备了一个功能丰富的、开放的、基于SOAP/XML的API。应用可以通过从定位设备导入所有可能影响无线空间的组件(例如整个网络的拓扑,包括楼宇、楼层、接入点、覆盖范围和设备列表),迅速地利用位置信息。其他一些有效的数据也可以被导入,例如最近和过去的位置和统计设备信息。基于位置的警报和通知可以通过区域边界定义、许可区域和距离而在应用中触发。所有这些功能使得思科无线定位设备API可与使用位置信息的外部软件应用(例如资产管理、企业资源计划[ERP]工具和工作流程自动化系统)建立紧密、透明的集成。这使思科无线定位设备成为了任意端到端企业解决方案的理想选择。 思科无线定位设备的特性和优点综述 特性 优点 可扩展的位置跟踪和资产利用先进的RF指纹技术和直观的网络拓扑管理 图,同时跟踪数千个用户和设备(结果准确到几 米之内)。通过定位设备,有效地访问更新的和 历史的位置信息。 集成化的、经济有效的位提供Wi-Fi流量的思科轻型接入点也可以置跟踪 定位无线设备。这可以最大限度地降低TCO,确 保更高的可见度,让WLAN可以根据位置信息加 特性 优点 强安全性和容量管理。 增强的WLAN安全性 迅速、准确地定位恶意设备和恶意接入点, 让IT经理可以迅速地制止安全威胁和未经授权 的网络访问尝试。这让IT经理可以建立一个稳 固的框架,以通过基于位置的安全功能增强WLAN 安全。 直观的集中管理 只需经过少量培训,IT人员就可以利用直观 的思科WCS GUI,集中、方便地添加、配置、管 理和升级一个或者多个定位设备。通过WLAN模 板和现成的RF测量模型,集中、可扩展的部署 变得非常方便。思科WCS还支持访问控制设置; 内容和轮询频率的定义;存档参数的配置。它还 可以记录和查看思科无线定位设备的服务器事 件和严重程度。 层次化拓扑图 从思科WCS将网络设计、拓扑图和接入点分 布导入到思科无线定位设备,迅速、方便地以浏 览器的方式查看不同地点、园区、楼宇、楼层和 区域的设备。 对网络变动的透明永续性 思科WCS会定期轮询定位设备的状态和改 动,以便在思科WCS和思科无线定位设备之间保 持同步的控制数据,例如网络拓扑图。思科WCS 和思科无线定位设备之间存在一种双向智能同 步机制,有助于确保双方都具有最新的信息。 特定视图列表 利用了过滤器和灵活的搜索参数、可定制的 特定视图让用户可以方便地查看数千个设备。通 过支持为资产种类使用逻辑性强、便于理解的定 义,有助于改进直观查看功能。 增强的RF容量管理 用户可以方便地深入查看详细的客户端位 置信息和统计信息,以及生成趋势,从而加快排 障速度,加强对RF容量和设备的管理。 灵活、方便的部署 利用“现成的”RF模型和预测技术,可以实 现迅速的部署。这些技术能够将楼宇的已知RF 特性与实时的用户信息结合到一起,以便进行准 确的跟踪。加强的部署灵活性是通过基于模板的 RF模型提供的。这些模板可以通过编辑,适应 特定的RF环境,以及支持可重复使用的、定制 的RF测量模型。 审查索引和数据库维护 可以存档和使用长达30天的位置和统计无 线设备信息。为了存档30天以上的信息,可以 方便地将其导出到日志文件。为了保持最优的位 置数据库性能,内置了可设置的自动删除和碎片 整理间隔。 强大的API 通过与功能丰富的、开放的API紧密集成, 特性 优点 可以部署多种能够利用基于位置的信息的应用, 例如E911、资产管理、ERP工具和工作流程自动 化系统。 位置跟踪已经成为今天的WLAN的一个重要组成部分。通过发现和跟踪无线用户的位置,医院可以提高WLAN规划和部署的准确性,优化长期的网络性能,加强无线安全,以及提高重要的业务应用的效用和价值。位置跟踪还提高了无线空间的可见度和控制,帮助IT人员以与部署传统有线网络一样的便于管理、高效的方式部署无线网络。 3.9 对医疗设备无干扰的绿色无线网络 鉴于医疗设备存在着受到电磁干扰EMI的风险,中国医疗行业在无线设备对于敏感性生命支持和其它医疗设备是否存在不良干扰的问题上没有权威的测试和结论,缺乏权威性的中国医疗行业无线局域网部署规程,也没有对国外的相关标准进行认可。受中华人民共和国卫生部医院管理研究所和中国医院协会信息管理专业委员会的委托,由中日友好医院和思科系统(中国)网络技术有限公司联合组成了无线局域网对医疗设备潜在干扰测试研究。测试研究结果表明:在正确部署符合国家无线核准标准的无线局域网时,未发现无线局域网对已测试的医疗设备产生不良干扰。根据测试过程和结果,制定了《医院无线局域网部署规程(草案)》。 思科无线网络赢得美国医院协会的认可,该协会有,,,,多家会员医院,他们对各家无线产品进行测试后,思科无线网络凭借卓越的安全性、可靠性、业界领先的客户支持以及对医院环境适应的总体部署战略脱颖而出,成为独家认可的无线网络解决方案。 根据中国国家无线电管理委员会的规定,在部署无线网络信号辐射不得超过100mw,以避免2.4GHz和5GHz对人体的影响。同样的原因,在通常情况下,终端使用5mw左右的发射功率,以避免大功率长期辐射对人体的影响。无线接入点即AP随着终端和AP之间的信号的强弱,AP和终端会自动协商根据信号的衰减程度,自动降低传输速率和增大传输功率。本次无线系统部署的型号统一 都根据国家规定最大为100mw,功率智能调节。思科最低无线发射功率可以调到1mw。个别厂家使用大功率放大器结合天馈系统的方式,实际上无线发射功率高达1-2W,这种方式没有遵循国家无委会对无线局域网络设备100mw要求,存在巨大的风险。 3.10 方便部署的无线信道和功率自动调整RRM技术 对于2.4G系统,我们知道可用的不重叠的信道只有3个,分别是1、6、11,见下图 如果只有2.4G频点进行部署,那么建议信道规划形式如下图所示,蜂窝间的重叠不得小于20% 对于5G频段范围,有多达20多个可用频点,其规划方法可以类似于2.4G 进行蜂窝系统的规划方法,当然同时我们也需要考虑3维的设计覆盖,如下图所示 在中国只有5个不重叠信道可用,分别是Channel 149、153、157、161、165,但对于大多无线设备厂商来说,在5.8G的信道上只支持前4个信道。 所以要求,信道间必须进行合理分配,最大化避免同信道冲突。 思科的无线网络通过RRM( Radio Resource Management)自动调整AP的工作信道和功率, 这样省掉了手工配置AP信道和功率的繁琐步骤, 大大简化了无线网络的实施。同时在无线网络发生故障时, 相邻AP能自动增加发生功率, 弥补无线覆盖盲区。 3.11 高安全的思科无线网络 由于无线信号的空间泄漏特性,以及802.11技术的普及,随之而来的无线网络安全问题也被广大用户普遍关注。如何在保证802.11WLAN的高带宽,便利访问的同时,增加强有力的安全特性,业界的厂商纷纷研究发展了802.11技术,增强了无线局域网安全的各个方面,并促成了诸如802.1x/EAP,802.11i,WPA/WPA2等标准的诞生,以及后续标准(如802.11w)的制定。 Cisco在无线局域网安全技术和标准制定方面,扮演了极为重要的角色,是802.1x/EAP无线环境应用的最早支持厂商,并在无线安全标准工作组中占据领导地位。 与其他网络一样,WLAN的安全性主要集中于访问控制和隐私保护。健全的WLAN访问控制――也被称为身份验证――可以防止未经授权的用户通过接入点收发信息。严格的WLAN访问控制措施有助于确保合法的客户端基站只与可靠的接入点――而不是恶意的或者未经授权的接入点――建立联系。 WLAN隐私保护有助于确保只有预定的接收者才能了解所传输的数据。在数据通过一个只供数据的预定接收者使用的密钥进行加密时,所传输的WLAN数据的隐私才视为得到了妥善保护。数据加密有助于确保数据在收发传输过程中不会 遭到破坏。 但是,无线局域网的安全并不仅仅局限于接入认证和数据加密。无线接入设备AP的物理安全性,AP连接到有线网络交换机的安全认证,基于无线访问位置的物理防护手段,如何避免攻击,如何快速发现非法/假冒AP,对一个网络系统来讲也是十分重要的。 同时,随着最新的无线安全技术的发展,新的802.11w标准也被提上了议事日程,802.11w是对无线信号的管理帧进行安全管理的一种标准,思科已经在 。 无线网络接入点和控制器以及CCX的计划上支持了MFP 在部署Mesh网络的时候,由于所有信令和数据的传输都是通过802.11a的Backhaul进行回传,那么对于11a上的数据加密也是我们需要关心的安全问题。 思科无线网络的解决方案支持高效、多级别、多种类、多级的认证方式和加密技术,具体如下: , 无线终端用户的用户认证(用户名/密码,数字证书) , 无线终端用户的数据加密(WEP,TKIP,AES) , 无线接入点的接入认证 , 无线控制帧的安全管理(MFP) , 基于2-7层内容的入侵检测系统(无线IPS、IDS系统) , 支持精确的非法AP定位和隔离 , 射频干扰的检测和辨别 , 终端的安全接入保证(NAC) , Mesh回传链路数据的安全加密 , 终端快速、安全漫游机制的实现(CCKM) , 独特的访客隔离机制,保证跨地区漫游用户与无线网内部用户的隔 离。将访客和无线网络完全逻辑隔离,在允许访客跨地区无线网络 漫游访问互联网的同时保证内部无线用户的安全 , 网络的安全管理 所以,思科提供了基于有线无线集成的统一的端到端的安全架构,系统构 架如下 Secure Wireless Solution Architecture Cisco Security Agent Internet Guest Anchor ASA 5500 w/ ControllerIPS ModuleNAC WCSManager Enterprise CSA NAC CS-MARSServerAppliance 802.1XWPA2MFP GuestGuestSSC 下面我们详细讨论思科无线安全系统在各方面的实现情况, 3.11.1 用户的认证和加密 WLAN可能会遭受多种类型的攻击。思科无线网络系统在使用802.1X-EAP、 TKIP或AES时,可以防止网络遭受多种网络攻击的影响。如下表所示: 新的安全技术有助于制止网络攻击 攻击类型 安全改进 身份身份验证: 身份验证: 验证: 思科LEAP,思科LEAP,EAP-FAST, 开放 EAP-FAST,EAP-TLS或EAP-TLS或者PEAP 加者PEAP 加密: 密: TKIP/MIC,AES 静态加密: WEP 动态WEP 中间人 不安不安全 安全 全 身份伪装 不安安全 安全 全 薄弱 IV攻击不安不安全 安全 (AirSnort) 全 分组伪装(重不安不安全 安全 复攻击) 全 暴力攻击 不安安全 安全 全 字典攻击 不安安全 安全 全 在现有的无线网络数据加密技术中,除了要考虑加密算法外,还应当考虑传输密钥的管理。思科已经在产品方案上实施了TKIP/AES加密技术,可以有效改善无线链路的通讯安全。 TKIP主要包括两个关键的对WEP的增强部分:1,在所有WEP加密的数据包上采用报文完整性检测 (MIC) 功能,以更有效的保证数据帧的完整性;2,针对所有的WEP加密的包实行 基于每个数据包密匙的方式。 MIC主要是用来改善802.11低效率的 Integrity check function (ICV),主要解决两个主要的不足:MIC对每个无线数据帧增加序列号,而AP将丢弃顺序错误的帧;另外在无线帧上增加MIC段,MIC段则提供了更高量级的帧的完整性检查。 有很多报告显示WEP密匙方式的弱点,报告了WEP在数据私密和加密上的很低功效性。在802.1X的重认证中采用WEP密匙旋转的办法可以减轻可能经受的网络攻击,但没有根本解决这些问题。802.11i的标准中WEP增强机制已经采纳了针对每个分组的WEP密匙。并且这些技术已经在Cisco的WLAN设备中得以实施。 AES是一种旨在替代TKIP和WEP中使用的RC4加密的加密机制。AES不存在任何已知攻击,而且加密强度远远高于TKIP和WEP。AES是一种极为安全的密码算法,目前的分析表明,需要2的120次方次计算才能破解一个AES密钥――还没有人真正做到这一点。 AES是一种区块加密法。这是一种对称性加密方法,加密和解密都使用同一个密钥,而且使用一组固定长度的比特――即所谓的“区块”。与使用一个密钥流对一个文本数据输入流进行加密的WEP不同,AES会独立地加密文本数据中的各个区块。AES标准规定了三种可选的密码长度(128、192和256比特),每个AES区块的大小为128比特。WPA2/802.11i使用128比特密钥长度。一轮 ,每轮会重复10次。 WAP2/802.11i AES加密包括四个阶段。对于WPA2/802.11i 为了保护数据的保密性和真实性,AES采用了一种名为 Counter-Mode/CBC-Mac (CCM)的新型结构模式。CCM会在Counter模式(CTR)下使用AES,以保护数据保密性,而AES采用CBC-MAC来提供数据完整性。这种对两种模式(CTR和CBC-MAC)使用同一个密钥的新型结构模式已经被NIST(特殊声明800-38C)和标准化组织(IETF RFC-3610)所采用。 CCM采用了一种48比特的IV。与TKIP一样,AES使用IV的方式与WEP加密模式有所不同。在CCM中,IV被用作用于制止重复攻击的加密和解密流程的输入信息。而且,因为IV空间被扩展到48比特,发生一次IV冲突所需的时间会以指数形式增长。这可以提供进一步的数据保护。 由于WEP与TKIP均采用统一加密算法RC4算法实现,可不幸的是,RC4算法已经被破解,虽然TKIP依然采用了动态密钥交换技术,但是由于算法的破解,TKIP还是可以破解,只是相对WEP破解难度稍大。 目前足够强壮和安全的算法只有AES,所以对于网络要求极高的用户,强烈建议采用AES的方式进行加密。由于AES算法的严密性和强壮性,他对设备的消耗极大,所以我们也必须考虑到AES对于设备和系统的消耗,在设备选用时,需要完全考虑AES加密后的转发性能。 3.11.2 无线接入点的接入认证 在集中化无线网络架构下,无线控制器完全控制和管理无线接入点,那么无线接入点是否为一个合法接入网络的设备值得我们探讨。 如上面的图例所示,思科无线控制器和无线接入点系统中,都内嵌了X.509证书,通过证书,无线控制器和无线接入点之间可以互相认证对方的合法性,保证网络中的设备的合法性。 Campus Network AAA/DHCP Authorized Users/Devices 除此之外,思科还能提供关于AP接入点更高级的特征-AP的802.1x认证。如上图所示,无论是最终用户或者是思科的轻量级AP都可以通过802.1x的方式进行认证接入,思科的轻量级AP设备可做为802.1x的被认证点,通过在后台 AAA服务器内用户名和密码的比对,有线交换机决定允不允许开放连接AP的交换机端口。这样,可以更进一步的提高网络中AP的接入安全。 3.11.3 无线控制帧的安全管理(MFP) 在目前的无线网络技术的实现过程中,无线管理帧是没有经过认证、加密和签名的,所以相对来说还是会导致很多不安全因素。网络供给者可以通过模拟无线网络中的管理帧信息来破坏网络状态和窃取网络信息,从而造成用户掉线,AP无法正常接入用户的现象。 在思科的无线网络中,思科通过在网络管理帧内部插入MIC,可以及时的保护网络管理帧信息,防止黑客的恶意攻击。如下图所示,并且思科支持管理帧加密混合模式,即如果客户端不能支持MFP特征,无线AP也允许这类客户端接入,但对于管理帧消息仅保护拥有支持MFP特征的客户端。这样,对于高级用户或者对于安全性要求极高的客户群我们可以保证其这方面的安全特性,也同时可以兼容对于安全性要求不是特别高的用户。 MFP ProtectedMFP Protected MFP ProtectedMFP Protected FUTURE-CCXv5 3.11.4 基于2-7层内容的入侵检测系统(无线IPS、IDS系统) 目前无线网络的安全还包括了对于无线攻击的检测并且屏蔽,这些攻击可能是基于2层的,而更多的可能是基于一些应用层的攻击,在这种情况下,准确的判断来自应用层的供给是为整个网络提供安全的保障。 思科无线系统内嵌了WIDS系统,可以帮助客户解决来自于无线的入侵攻击 问题 一旦发现无线侧攻击或如下情况比如IP地址盗用、多次关联失败、多次认证失败、多次Web认证失败等,思科无线网络会自动把具有类似行为的无线客户端剔除。 除了基于无线的2层的IPS保护以外,思科还可以通过结合有线部分的基于7层的IPS设备提供2,7层的防护,通过2-7层IDS设备的检测,及时的把 非法客户端进行屏蔽,如下图所示。 特别值得提到的是,一般的IDS的实现方式是,当无线网络的2-7层攻击进入有线网的时候才被IDS发现,这时,IDS只能隔断进入有线网的攻击流,但是此时,无线设备已经被攻击流攻击瘫痪,虽然攻击进入不了有线网,但是缺影响整个无线用户。 而思科的无线控制器和有线的IDS设备或者内嵌于6500交换机的IDS模块可以做到完全的无缝联动,所有无线进入有线网的数据,都会被IDS模块进行监测,如果发现任何2-7层的网络攻击,IDS模块会立即发消息给无线控制器模块,无线控制器模块会立刻采取动作,屏蔽该攻击的客户端,从而保护无线AP/Mesh设备和无线控制器不受任何攻击影响。 具体实现流程如下图所示。 L2 IDSL3-7 IDSClient shunClient shun ControllerWired IDS 3.11.5 支持精确的非法AP定位和隔离,保证无线网络免受无线类的安全攻击 思科的无线系统对于非法AP、Ad-Hoc设备的具有非常严谨并有效的处理过程,在思科的非法AP的框架下,用户采用无线系统不在担心非法AP、Ad-Hoc带来的无线危险问题 总的来讲,我们可以通过以下四步对非法AP进行处理。如下图 思科的无线网络系统也可以通过运行在接入模式下的无线接入点对非法AP进行抑制,移除非法AP上的所有客户端,有效的防止非法AP对于普通客户端的欺骗行为。 但是,必须指出的一点是,如果某个AP需要对非法AP进行发现和抑制,它需要这个AP不间断的扫描网络中所有信道,并在非法AP工作的信道不间断的发出一些模拟的管理消息帧,所以这样的行为(对于非法AP的检测和抑制)极 Monitor)进行为消耗AP的资源,大多数厂商均是通过部署AP在特定的模式(该处理,所以如果完成这样的功能,客户需要的AP数量是正常接入模式数量的一倍(接入模式的AP+Monitor模式的AP)。 但思科所有的无线接入点均有特殊芯片设计,所以可以保证在接入模式下就可完成对于非法AP的检测、抑制工作,而不影响AP的接入性能。 另外,仅仅是通过无线设备对非法AP进行抑制还是不够的,彻底解决非法AP问题的方法是关闭非法AP连接的交换机端口,当然更彻底的是从物理上移除该非法AP。 思科的有线无线集成的网络系统完全可以提供非法AP的检测和联动功能,在思科的系统里,一旦无线网络检测到非法AP存在,即可发出指令控制接入交换机关闭连接非法AP的交换机端口,具体流程如下 WCS Rogue AP L2 Switched Network 最后,确定的发现非法AP的精确位置可以帮助管理员及时的从物理上排除非法AP,彻底解决非法AP带来的安全隐患,思科的无线系统同时集成了精确的定位功能,可以帮助管理员在网管界面上准确的定位出非法AP的真实物理位置, 从而帮助管理员轻松的移除非法AP。实例如下图所示 3.11.6 终端的安全接入保证(NAC) 在用户进行有效的鉴权以后,用户拥有了接入无线网络的先前条件,但是对于这个用户使用的终端设备,我们认为并不一定是完全安全可靠的,比如用户终端的操作系统是否是最新的版本,是否存在系统漏洞和安全隐患,终端的病毒库是否及时更新,操作系统是否被安装了木马程序等等。即使拥有了合法的用户名和密码或者安装的合法的数字证书,以上这些问题我们还是无法保证。 针对这些问题,思科采用NAC系统进行无线的终端安全接入保证,过程如下图所示, 终端在鉴权以后,Radius认证服务器会通过和第三方服务器进行交互以校验用户终端的操作系统、病毒库等方面的合法性。用户满足条件后,才可以通过整个认证过程,从而接入进无线网络系统。如果某些方面不满足安全要求,用户会被放入一个制定的隔离的网段进行相关软件和补丁的升级,升级完毕以后再进行校验,通过后则允许进入无线网络系统。 3.11.7 Mesh回传链路数据的安全加密 在Mesh网络中,所有Mesh设备的数据都是通过无线链路进行回传的,所以对于无线回传链路上的数据的安全是非常重要的问题。 思科在所有Mesh无线回传链路上都提供了基于硬件的高效、强壮的安全加 ES的加密,可以保证回传链路上的数据不被破译及攻击。密机制(AES),通过A 如下图Mesh节点之间的链路加密情况, 3.11.8 终端快速、安全漫游机制的实现(CCKM) 在一些核心业务的运作当中,数据是需要进行加密的,那么在漫游过程中就要涉及到加密密钥的交换。在一般情况下,密钥的交换会涉及到无线客户端、无线接入点、无线控制器还有后台的认证服务器。这样,就会导致切换过程中切换时间的延长。对于一些关键业务及对于时间敏感的业务来说,切换时间的要求非常高,所以,这里就需要一种体制来保证在加密情况下的高速、高效的切换过 程。 思科通过CCKM机制 (Cisco Centralized Key Management) 来保证高速、高效的安全切换,通过这种方式,可以加速密钥交换过程,从而缩短切换时间。 3.11.9 独特的访客隔离机制 思科独有的无线访客技术可以保证跨地区漫游用户与无线网内部用户的隔离。将访客和无线网络完全逻辑隔离,在允许访客跨地区无线网络漫游访问互联网的同时保证内部无线用户的安全 无线网络在提供内部用户的安全接入的同时,还需要提供一些访客的接入。同时对于这两种类型用户的接入,要求无线系统对整个网络不带来任何影响和改动,同时保证网络内部的安全, 如下图所示方法,为传统模式下,实现访客接入的方式,这样访客的数据流也会终结在内网中,会给网络带来潜在的威胁,同时需要对网络进行配置改动, InternetInternet Corporate Corporate DMZDMZNetworkNetwork IsolatedIsolatedIsolatedGuest Guest Guest 802.1Q 802.1Q TrafficTrafficTrafficTrunkTrunk Guest Guest Guest Guest Corporate Corporate Corporate Corporate SSIDSSIDSSIDSSIDSSIDSSIDSSIDSSID 思科提供了一种先进的访客接入技术,如下图所示, DMZDMZInternetInternet Guest Traffic Guest Traffic Guest Traffic Corporate Corporate tunneled to DMZ tunneled to DMZ tunneled to DMZ NetworkNetworkvia Ethernet over via Ethernet over via Ethernet over IP TunnelIP TunnelIP Tunnel Guest Guest Guest Guest Corporate Corporate Corporate Corporate SSIDSSIDSSIDSSIDSSIDSSIDSSIDSSID 通过这种方式,我们可以把访客的数据流终结到防火墙的安全DMZ的区域,然后通过防火墙的安全机制对数据流进行限制和管理,同时不用影响任何内网中的配置,做到对以前系统的最小改动。 3.11.10 安全的无线网络管理 对于解决不断出现的无线网络安全问题,对于网络管理员的技术水平要求很高,网络管理员为了全面的了解评估整网的网络安全的真实情况,需要收集各个设备上的告警及Log信息,这样会带来极大的工作量,并且很难保证其材料的全面性,往往会遗漏掉很多潜在的安全问题。 针对这一问题,思科的无线网管系统可以帮助客户全面、轻松的解决该问题,思科网管系统里可以提供直观的、全面的安全评估面板,指出客户的网络安全健康状况,并详细列出无线网络中出现的各种问题,加以一一分析。如下图所示,网管系统提醒用户该网络存在比较严重的安全问题,并列出了一些最严重的安全事件。 同时,我们还可以通过详细的安全事件来对网络具体安全问题进行分析归 类,如下图所示 通过详细的安全列表,我们可以非常直观的、全面的洞察网络安全威胁, 可以更好地评估网络情况,采取相应行动解决安全隐患。 3.12 思科无线网络管理系统 思科无线控制系统(WCS)是业界进行无线局域网规划、配置和管理的领先平台。它提供了一个强大的基础,使IT管理员能从中央地点设计、控制和监控医院无线网络,简化运营并降低总拥有成本。 思科无线控制系统(WCS) 凭借思科WCS,网络管理员可拥有单一解决方案,来进行RF预测、策略配置、网络优化、排障、用户跟踪、安全监控和无线局域网系统管理。强大的图形化界面使无线局域网的部署和运营简单且经济有效。详细的趋势和分析报告使思科WCS可为持续网络运营提供重要作用。 思科WCS运行在服务器平台上,有一个内嵌数据库。它提供了可管理数百个思科无线局域网控制器的可扩展性,而这些控制器可管理数千思科轻型接入点。无线局域网控制器可位于思科WCS所在的LAN中、分布于多个独立路由子网或位于广域连接之上。籍此,思科WCS甚至可为最大的医院环境提供理想的无线局域网管理平台。 无线局域网规划和设计 思科WCS提供了集成化RF预测工具,它们可用于创建详细的无线局域网设计,包括轻型接入点的放置、配置和预计性能/覆盖范围。IT人员可将实际的地 面布局输入思科WCS,并确定楼宇中各组件的RF特性,以提高设计准确性。热点图可帮助IT人员查看无线局域网的预计行为,以便更方便地进行规划和更快地实施部署。 规划工具 网络监控和排障 思科WCS提供的工具可帮助IT管理员查看其无线网络的布局,并持续监控WLAN性能。这其中包括详细的热点图,显示了所输入的地面之上的RF覆盖范围。WCS还提供了一个门户,用户可通过它获得思科WLAN控制器所提供的实时RF管理功能,包括信道分配和AP输出功率设置。此外,WCS可快速查看覆盖盲区、报警和关键的使用统计数据,实现了方便的WLAN监控和排障。 查看RF覆盖范围 位置跟踪 思科提供了各种选项,来有效地跟踪无线设备,包括支持Wi-Fi的笔记本电脑、PDA、手机和配备了802.11收发器的移动设备。WCS的基本版本可确定一台无线设备与哪个接入点相关联,使IT管理员大致了解无线设备的位置。需更精确的定位服务的环境可部署WCS的一个可选版本,称为定位型WCS,它采用了即将荣获专利的“RF指纹”技术。该技术将实时客户端RSSI信息与已知RF楼宇特性相比较,使思科成为唯一能准确定位无线设备,结果可以准确到几米之内的WLAN基础设施。此外,定位型WCS能与思科无线定位设备一起部署,同时实时地跟踪数千个无线客户端。 凭借这些先进的位置跟踪功能,思科解决方案成为了一个理想的平台,可支持具有无线移动性的关键业务应用,如资产跟踪、库存管理等服务。通过将位置跟踪集成入无线局域网基础设施,思科降低了无线局域网部署的复杂性和总拥有成本。 WCS可准确指出无线客户端的位置 无线保护 思科WCS在一个思科无线基础设施中提供了管理和实施安全策略的全套工具。这其中包括: RF攻击签名和无线入侵防御—思科WCS使IT人员可创建能定制的攻击签名文件,可用于迅速检测与RF相关的常见攻击,如拒绝服务(DoS)、Netstumbler和FakeAP。用户可对思科WCS编程,使其在发现攻击时自动生成报警。详细的趋势报告可帮助IT人员在威胁造成重大损失前发现反复出现的安全问题。 无线安全问题总结 恶意设备检测、定位和控制—思科WCS平台使用即将荣获专利的技术,来持续监控无线空间,寻找非法接入点和临时网络。如果出现未授权设备,可使用思科WCS确定其位置并评估威胁级别。如认为是恶意设备,IT管理员可利用WCS来正确防御它们。详细的趋势报告有助于识别反复发生的潜在问题。 策略创建和实施—思科WCS包含一个服务策略引擎,使网络管理员能方便地创建虚拟LAN(VLAN)、RF、服务质量(QoS)和安全策略。凭借思科WCS,IT人员可创建多个独特的服务集识别符(SSID),各自带独立的安全参数。例如,一个“访客”SSID可通过Web验证来保护;“语音”SSID可能需利用手机内置的有线等效保密(WEP)功能;而普通的数据流量则可用802.11i或IP安全(IPSec)来保护。思科WCS可在完整的思科无线网络、独立的思科无线局域网控制器,甚或独立的轻型接入点上实施安全策略。 策略引擎 用户拒绝列表—IT人员可使用思科WCS来主动拒绝某些特定用户与无线网络建立连接。此外,如果发现异常活动,受到影响的设备会被标记,如果认为它们是恶意设备,会拒绝它们接入网络。这些设备就无法获得无线局域网服务,直至拒绝列表中规定的时间到期,或IT人员决定允许其访问无线局域网为止。 无线局域网系统管理 思科WCS使无线局域网的配置、监控和管理就像有线系统管理一样简单高效。其中包括以下核心功能: 排障—思科WCS整合了重要的网络信息,如噪音级别、信噪比、干扰、信号强度和网络拓扑等,使网络管理员能隔离和解决所有无线网络层次中的问题。 软件升级—凭借思科WCS,只需点击一次鼠标,即可从单一位置执行对于思科无线局域网设备的升级。 网络映射—思科WCS可自动发现无线网络中的各个设备。因此无需进行手动数据库配置和维护,且可提供准确信息,以用于容量规划和排障。 定制报告—思科WCS可生成大量报告,以记录网络活动和系统信息。其中包括客户端统计数据、无线频谱利用数据、802.11计数器、RF管理配置历史和报警(图21)。 所发现的恶意AP和客户端活动报告 灵活、安全的访问 思科WCS使用SNMP版本3来提供最高水平的网络管理功能和安全性。该协 议可用于在思科WCS服务器和各无线局域网控制器间通信。此软件也支持SNMP 版本1和版本2,这使其他网络管理平台也能对其进行查询。 网络管理员可通过任意运行HTTP或安全HTTP (HTTPS)的标准浏览器来访问 思科WCS,确保能随时、随地使用思科的管理功能。 思科无线控制系统的特性和优点 特性 优点 直观的GUI IT人员只需极少的培训,即可方便地对其无线网络进行配置、 监控和排障。 层次化视图 IT人员能快速访问不同的地区、园区、楼宇、楼层和区域,更 好地查看和控制情况。 无线局域网规划准确的RF预测工具提高了无线局域网规划和设计的有效性。 工具 高度准确的集成跟踪用户和设备,保护资产并增强无线局域网的安全程度。 化位置跟踪(由定位 型WCS提供) 策略管理模板 可在整个医院中方便地创建和实施统一的QoS、安全和RF管理 策略。 全面的无线局域定制签名文件可防御未授权入侵和RF攻击;自动报警能使用户网入侵保护 迅速响应,从而降低风险。 简单、便利的软无需手动干预,即可使无线局域网控制器和轻型接入点保持最新件升级 版本。 强大的API 此界面提供了与外部软件系统的集成,包括工作流程软件、故障 管理系统和其他使用无线服务的应用。 第 4 章 XX医院无线网络覆盖方案设计 4.1 无线网络的总体设计 XX目前的有线网络拓扑如下图所示: 医院的网络情况为: 思科统一无线网络由三部分组成:瘦AP、无线控制器、网管和移动定位系统。瘦AP位于接入层,无线控制器、网管和移动定位系统位于核心层。无线控制器和瘦AP之间需要IP可达。瘦AP通过DHCP Option43自动发现位于不同网段的无线控制器。 瘦AP为即插即用设备,瘦AP加电后,自动发现无线控制器,并且注册到控制器上才能为无线客户端提供无线服务。瘦AP和无线控制器之间建立CAPWAP隧道,无线客户端的流量到达AP后,通过CAPWAP隧道到达无线控制器,在通过无线控制器根据内外网流量通过不同物理端口到医院内网或者外网。 无线控制器采用N+1备份,通过2台主用控制器和1台备用控制器组成一个冗余的集群。6号楼综合病区大楼的AP关联到无线控制器1上,急诊中心和5号楼的AP关联到无线控制器2上,在任何一台控制器出现故障时,这个控制器上的AP可以快速切换到备用控制器上。 AP和Controller ,确定的冗余设计 ,管理员指定primary, secondary, and/or tertiary 控制器 指定通过控制器界面(per AP) 或WCS 界面(template-based)完成 ,优点 可预测—易于运行管理 网络更稳定 更多灵活的冗余设计选项 快速切换时间 前瞻性的规划和配置 ,这是思科建议的最优方法, 4.2 无线网络覆盖总体设计以及AP选型 此次无线网络接入覆盖范围为: 根据实际需求将室内型双频AP覆盖在各个点,交换机的POE网线将数据和电源提供给各AP。AP动态获得IP地址,并让AP和所需要建立LWAPP隧道的无线控制器IP地址告诉AP,AP自动和无线服务控制器建立LWAPP隧道,并获得配置。此时无线控制服务模块能管理并配置AP。思科室内双频AP同时工作在2.4和5G两个频段。 下面就各个大楼进行详细的AP安装点位设计,以及就AP无线信号的覆盖范围以无线信号覆盖热图的形式表示。无线信号覆盖热图是通过Cisco网管工具WCS的无线网络设计功能生成,WCS可以根据设计要求,通过导入建筑物的CAD图纸方便地自动计算需要多少个AP来进行覆盖,并且把设计的无线信号覆盖的效果以热图的形式直观地表示出来。 室内AP的选择需要考虑三个方面 , 网络工作频段 采用802.11g单频AP部署会遇到仅有三个不重叠频点部署以及2.4G非许可频点产品(2.4G步话机、微波炉、蓝牙耳机、2.4G无线耳机、无绳电话等数百种类型产品)的干扰等问题所以网络容量往往不能满足未来应用之发展需求。而随着双频三模(802.11a/b/g)无线网卡及终端的普及,园区网络及大型企业WLAN的覆盖也逐渐由802.11b/g转为802.11a/b/g。802.11b/g具备较大的覆盖范围但只有三个不重叠的频点,而802.11a由于频段较高所以无线链路损耗也较802.11b/g严重所以覆盖范围较小,但是802.11a却具备了4个不重叠的频点资源(中国),所以可以提供较高质量和容量的小区覆盖,因此也扩大了无线网络容量。建议采用同时能够提供双频三模的AP来进行网络部署。考虑到现阶段多媒体无线终端设备的情况,本次以2.4G频段覆盖为基础,结合5G频段覆盖进行设计。 , 网络容量和性能 无线网络主要应用于病区目前移动查房、移动护理、输液管理、病区订餐、心电数据回传等功能,并为以后增强视频应用的体验打下基础,包括医学示教, 下一代会诊和监控。这些应用由于使用多媒体技术,对带宽有很高要求。其中IP化手术示教系统,解决远程示教需求,采用高清IP化系统提供医院内部及远程医护人员的完美示教用途。带宽需求则是一切业务的首要基础。传统的AP设备无论在2.4G还是在5G上最多只能提供54M的带宽,并且随着信号的强弱,所提供的带宽也会大范围的缩减,在信号的边缘有可能最终只能提供1,2M的带宽。而这是远远不能满足医院多媒体应用的需求的。所以本次室内将部署cisco支持802.11n技术的AP,CAP3502i支持在2.4G和5G频段下实现802.11n技术。在802.11G下最高可提供144M带宽、在802.11A下最高可提供300M带宽,完全可以满足各种多媒体业务的需求。同时利用802.11n技术的MIMO(多输入多输出技术)、MRC(最大合并比)、数据包聚合等技术还提供远超传统AP的高稳定性的网络。并且在客户端不支持802.11n的情况下也可以提供A/B/G的接入,网络性能提高30,。所有本次建设部署支持802.11n技术的室内AP. , AP安装 为了不破坏建筑内部的装修环境思科提供了3502I和1042I进行部署,3502I/1042I AP外观简洁(白色方形)且最厚处厚度仅有3.3厘米的厚度很适合在允许的区域内安装在天花板顶部或墙壁上。这样既不影响建筑外观对安装位置也没有环境要求。 综上所述,在本次室内无线部署时我们选择Cisco Aironet 3502i系列 AP和1040系列AP.其中3502i同时负责无线网络接入以及环境频谱分析,1040系列AP负责无线网络接入。 4.1 病区大楼各楼层无线覆盖设计 由于每个楼层布局均不同,下面就各楼层进行AP部署的点位分析以及无线信号热图的覆盖。 4.1.1 X层 下图为AP的安装点位。 下图为无线信号覆盖设计效果: 第 5 章 思科医疗解决方案的总体优势 医院如何更好地服务社会是各级各类医院关心和关注的首要问题,“一流的医院,一流的服务,需要一流的软硬件环境”,网络作为医院核心业务应用的基础承载系统,其可靠性和安全性变得尤为重要。作为领先的网络厂商我们一直非常重视和配合医院业务和体制变革所带来的挑战和变化,国内很多医院在过去的几年的时间里纷纷选择高品质的思科网络设备和解决方案,这已经成为医疗行业用户网络设备选型主流的发展趋势。技术先进、成功案例、全面的解决方案、厂商的生命力、投资保护和售后服务支持能力是医院网络设备选型需要考虑的主要因素,除了医院重要的核心医疗业务应用需要运行在高品质的健壮的网络平台上这个原因之外,思科还具有以下优势,为医疗行业的用户提供更好的服务: 思科医疗级高质量、高稳定、技术先进的网络设备和解决方案,保障, 医疗业务高可靠地运行,得到了业界的广泛认可。思科产品以其先进 的软、硬件设计,针对用户需求的研发方向,大量的研发投入和先进 的生产质量控制等成为最高质量和最稳定的网络设备和解决方案,这 也通过大量的医疗行业、金融行业和证券行业等用户的使用实践所证 明,在这些对网络可靠性要求极高的行业中思科都具有大量的成功案 例和极高的市场占有率。 , 思科具有大量的医疗行业用户成功案例和丰富的医疗网络建设经验。鉴于思科产品的在行业内的领先地位和技术先进性,思科在医疗行业拥有大量的成功案例。思科拥有在国内外大量的医疗行业客户网络建 ,了解医院的应用和信息化发展趋势,了解医院信息系设的实践经验 统需要解决的问题,并拥有完整、独特、领先、有针对性的技术解决方案,具有丰富的医疗网络建设经验,思科通过解决方案的形式将这些经验分享给医疗行业的用户,为医疗网络建设提供咨询服务。 , 思科拥有全面的解决方案,满足医院现在和未来信息化建设发展的需求。思科是业界领先的提供承载生命的信息系统——医院信息系统整体网络解决方案的厂商,我们不但能够提供适合医院业务系统的高可靠、安全智能的基础网络系统,还能提供满足医院全面信息化建设需要的协作与统一通信、统一无线、自适应网络安全和新型医院数据中心等全面的解决方案,思科在以上解决方案方面拥有丰富成熟的国内外建设和应用的成功案例经验可以供国内医疗行业用户参考。 , 思科正致力于向医疗客户提供集成的医疗解决方案。在开篇概述中已经提到,思科不仅仅是传统的网络产品的领先和开拓者,也是技术创新的领跑者。早在互联网开始壮大的早期,思科就预言“互联网会改变我们工作、生活、娱乐和学习的方式。”,目前已经完全得到印证。除了传统的路由交换技术,思科早在21世纪刚开始,就着力开始发展自己新的技术领域,并已经取得长足的进步和丰硕的成果。包括统一通讯与协作技术、安全技术、无线网络技术、数据中心技术、绿色节能技术、视频技术、网真等等。目前,这些技术已经日臻完善,利用这些高级技术,同时以思科先进、可靠的网络基础设施(路由交换技术)为根基,思科与其合作伙伴一道正致力于提供端到端的集成医疗解决方案给医疗行业的客户。 , 思科是业界专注于网络且具有很强生命力的厂商,可以为医疗行业用户提供持续不断的技术支持、技术升级和售后服务。思科是全球网络 和通信领域公认领先的互联网解决方案供应商,思科在全球的网络市场占有率及国内医疗行业的市场占有率都是遥遥领先的,财富五百强中89,是思科的用户,全球电信用户95%是思科的用户。思科通过不断的技术创新,一直以来都是网络行业具有很强生命力的引领网络发展方向的主流厂商。思科公司运营稳定持续增长,过去的一年思科的收入为395亿美金,研发投入52亿美金,思科公司的稳定发展和大量的研发投入,可以保障为医疗行业用户提供持续不断的技术支持、技术升级和售后服务。 , 思科非常重视医疗行业用户的投资保护,使医疗行业用户具有较低的网络总体拥有成本。如何更好的实现客户的投资保护一向是指导和修正思科产品研发和创新的指导思想之一,因此采用思科的整体方案具有较低的长期拥有成本(包括初次购买、运营维护管理、网络扩展、技术升级费用的总和),并能够通过减少宕机时间,使网络正常工作时间最大化,有力地支撑医院业务在网络上不间断地运行,避免给医院带来声誉和财务上的损失,并且提高医疗服务质量。思科产品具有顽强的生命周期,比如:思科1999年开发推出的Catalyst 6500平台,其中的模块和接口板现今仍然能够在最新一代的Catalyst 6500平台上使用。目前国内有很多三甲级医院采用了思科的双Catalyst 6500交换机作为网络的核心交换机,为保证这些医院的全院网络可靠工作发挥了重要作用。 思科公司高效的服务体系,是医疗行业用户网络安全可靠运行的重要, 保障。思科公司秉承“服务至上”的原则,开发了独具特色的全球支持模式,通过互联网为用户打开了取之不尽、用之不竭的支持资源库,帮助用户妥善解决在整个网络生命周期内遇到的各种网络问题。为了响应中国市场不断提升的网络服务需求,对中国本地客户提供更加全面和直接的支持,2006年5月,思科系统公司在北京注册成立了思科系统(中国)信息技术服务有限公司,专注于为中国客户提供全面的网络生命周期服务,帮助用户对网络进行规划、设计、实施、运营和 优化,以成功部署和使用网络技术,为思科向包括医疗行业在内的中 国客户提供高效优质的服务提供了强有力的支持。思科还将继续在资 金投入、技术引进、原料采购和生产等各个方面加大对中国市场的投 入。 客户满意是验证思科服务的最佳标准,思科愿意在大量的国内外医疗行业网络建设实践的基础上,向医疗行业的用户学习,并愿意分享在此过程中不断积累的丰富的医疗信息化建设经验,思科将一如既往地与中国医疗行业用户共同迎接新一轮中国医疗改革的美好机遇,进一步推动中国医疗信息化建设进程。
/
本文档为【南通大学附属医院WLAN无线覆盖】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索