案例介绍
一、项目背景
随着医疗改革的推进,医院正朝着以终末质量管理向环节质量管理转变,从而提高医疗服务质量,缓和医患关系,提高医院的服务效率。与以病人为中心的服务理念相适应,医院信息化也从传统的内部管理为主的HIS系统,向以病人为核心的临床信息化系统转变。伴随着临床信息化,医院正逐步地实现无纸化、无胶片化和无线化。
随着无线局域网技术的不断成熟和普及,无线局域网在全球范围内医疗行业中的应用已经成为了一种趋势。作为医院有线局域网的补充,无线局域网(WLAN)有效地克服了有线网络的弊端,利用PDA、平板无线电脑和移动手推车随时随地进行生命体征数据采集、医护数据的查询与录入、医生查房、床边护理、呼叫通信、护理监控、药物配送、病人标识码识别,以及基于WLAN的语音多媒体应用等等,充分发挥医疗信息系统的效能,突出数字化医院的技术优势。
然而基于传统的无线网络,无法有效的解决包括信息推送、无线认证、防止非法蹭网、匿名访问带来的数据安全等隐患。在这样的背景下,某三甲医院信息部门决定在现有的无线WLAN基础上构建一套无线认证系统,以此解决访客上网所带来的安全隐患,并且能够通过医患之间的信息互动和优质的上网体验来提高医院整体的服务水平和效率。
二、 需求分析
结合医疗行业相关系统的业务模式,无线应用是医院信息化的必经之路,HIS只实现了信息化,而CIS实现了以病人为中心的信息化,需要在移动状态进行信息的收集和处理,无线是移动信息化的基础。
网旗针对目前三甲医院信息化建设的现状,充分考虑到无线认证系统及未来运营中可能出现的问题,由网旗提供的无线认证解决方案需要满足以下需求:
在医院现有的无线网络基础上架构无线认证系统解决方法,并且不得影响医院相关的业务系统;
医院的工作人员包括医生护士等用户移动终端可以随时随地方便的链接到无线网络中,不需要进行任何认证即可方便的访问医院内部的相关业务系统;
针对医院访客提供两种认证方式,一种为手机短信认证,主要针对病人家属或其他访客人员,通过手机获取短信密码的方式进行认证上网;另一种为病人,通过静态用户名密码的方式进行认证上网,用户名密码可以从病例或者收据单中获取;
可以对无线认证的认证页面、认证成功页面进行高度定制,支持多种网页设计语言,以实现对认证页面自由设计的需求;
方便管理,能够实现对接入无线网络中的用户进行上网时间、上传下载速度及认证有效期等方面控制管理;
认证成功后可以实现强制跳转至医院官网或其他指定网站,可以有效的进行广告宣传和推广;
部署方便,维护简单,充分利旧,不影响现有的网络和系统的运行,同时对整体设备需要易操作易管理,维护简单;将来增加覆盖范围和用户数量能够方便的进行扩展升级。
三、方案设计原则
网旗基于多年的产品运营经验及对无线认证网络运营需求的深刻理解,针对某三甲医院无线认证需求并结合现有产品推出“网旗医院WLAN无线认证及运营解决方案”,从打造可管理、
可运营的无线认证网络角度出发,致力于为客户建设一个高效可靠、运营成本低的商用无线认证网络,使无线网络部署轻松、可靠、高效。根据用户需求及用户网络特点,网旗提供的方案
设计遵循以下原则:
1、高可靠性,无线网络运行的稳定可靠是接入认证系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,适合7×24不间断运行;
2、技术先进性和实用性,在保证满足无线接入认证的同时,又要体现出接入认证系统的先进性,充分考虑到系统应用的现状和未来发展趋势,能够方便的对功能进行扩展;
3、标准开放性,支持国际上通用标准的网络协议、支持中国移动WLAN业务Portal协议规范,有利于保证与其它网络及设备之间的平滑连接互通,以及将来网络的扩展;
4、灵活性及可扩展性,根据未来业务的增长和变化,网络及设备可以平滑地扩容和升级,并在扩容和升级过程中最大程度的减少对网络架构和现有设备的更换调整;
5、可管理性,对网络状况实行集中监测、分析,具有对接入用户、设备、网络、流量等进行统计分析和管理的功能。
四、方案详细说明
网旗结合广泛无线认证市场需求,推出网旗Portal无线认证系统解决方案,最大限度的满足现有无线认证的市场需求。通过网旗Portal系列产品,用户可以方便的组建无线认证网络,实现WEBPortal认证、用户访问、用户管理等多种功能。
4.1方案拓扑图
技术参数:
WQA2504双频无线大功率AP可同时工作在2.4GHz/5.8GHz两个频段,发,最高无线速率可达 1200Mbps,可接入更多无线客户端;WQA2504双频无线大功率AP可提供5GHz无线服务,提 供更干净的无线环境,无线接入更稳定。可以通过首页采用MIMO技术,提供更好的无线传 输性能、稳定性和无线覆盖范围。WQA2504采用防尘防雷外壳和高增益天线,能在各种室 外环境下工作,还支持PoE供电和远程复位等功能,方便管理。WQA2504还支持无线中继无 线AP和WISP等实用功能,是您无线上网首选设备。采用优秀的外形设计,给你全新的使用 体验。 |
功能及技术指标 | 具体参数要求 |
★无线接入人数 | 单频段≥50,双频≥150 |
外形 | 为满足美观要求,要求AP外形为吸顶式设计 |
内存 | ≥128M |
Flash | ≥16M |
网络接口 | 10/1000自适应电口(输入) |
天线 | 内置≥5dbi*4全向天线(2.4G*2,5G*2) |
POE | 支持标准的802.3af/at供电 |
供电 | 不支持本地供电 |
功率 | <24W |
无线标准 | IEEE802.11a/b/g/n |
无线频段 | 802.11b/g/n : 2.4GHz-2.483GHz (中国),802.11a/n:5.150GHz-5.825GHz |
功率可调 | 需支持功率调整 |
★多SSID | ≥4个,并支持对每一个SSID分配加密和VLAN策略。有利于学校和企业等环境的复杂应用管理。 |
★中文SSID | 需支持中文SSID设定,满足国内用户需求 |
无线频宽 | 需支持20MHZ模式和20MHZ/40MHZ/80MHZ切换 |
★云PORTAL | 支持以手机号码、QQ号码、微信公众平台、新浪微博、倒计时、随机密码、固定账号、随机账号等多种方式认证到无线网络;用户可以自主选择多个Portal模板以及更改模板中的图片和文字;可实现广告推送和精准营销;不同的门店或地点具有不同的portal页面,可针对不同的地点推送不同的portal;不同的用户角色具有不同的portal,可针对不同的用户角色推送不同的portal;Portal绑定微信关注,提高公众号关联度。 |
无线漫游 | 需支持无线漫游, |
接入速率 | 需支持1200Mbps无线接入 |
★VLAN | 需支持802.1QVLAN,管理VLAN,LAN口VLAN,多SSID VLAN |
系统负载显示 | 需支持系统负载显示,超出设定数值时在日志中予以提示 |
WDS | 需支持无线桥接 |
用户隔离 | 需支持用户隔离 |
广播SSID取消 | 需支持广播SSID取消 |
无线射频 | 支持手动关闭无线射频 |
★ARP代理 | 与列表中IP与MAC地址全部匹配的设备方能通过AP转发,可保护重要的服务器,如网关,DHCP SERVER等不被伪造 |
★MAC过滤 | 通过信任列表和黑名单等形式,禁止非法无线终端接入到无线网络 |
★智能流控 | 支持针对单个无线终端及无线AP整体流量的智能流量管控,支持多SSID设定不同的流量管控策略 |
★微信连WIFI认证 | 支持腾讯微信连WI-FI功能,顾客仅需通过微信“扫一扫”二维码等方式,即可快速连接商户提供的Wi-Fi免费上网。连接成功后,用户微信主界面顶部会出现“正在连接Wi-Fi”的状态提示,用户点击该提示,即可查看商户公众号、优惠活动以及使用商户提供的在线功能和服务。 |
管理 | 需支持FAT/FIT AP模式切换,支持AC统一升级,统一模板操作等 |
维护方式 | WEB页面, ssh |
统计信息 | 需支持AP状态统计,用户状态统计 |
无线网络覆盖出口层(网关路由器)
出口层的网关路由器主要用于外接电信运营商光纤、宽带线路,可采用企业级高性能路由器,路由器功能全,接入线路多,流控新,速度快,易
布控,可做精准的行为管理,支持云端管理与云端互动,可轻松实现各种认证计费和广告宣传。由于采用了最新的流控技术,具有良好的上网体验,
从而提高员工的工作效率,合理利用外网带宽,有效避免了重复采购等好处。目前已通过3C认证,并获得国家软件著作权,广泛应用与大中专院校和
企事业单位。出口层网关路由器自硬件和软件两方面保证了学生在使用网络时的稳定性。并且路由器自带防火墙功能,可实现与原有校园网之间的隔
离。
WQR7600G是网旗云科为中型企业:小型商场、饭店、商务型酒店,休闲娱乐场所等中等网络环境所推出的一款千兆上网行为管理路由。7600G在上
述环境下最大带机量可支持800-1200台,它采用64位高性能专用网络处理器,软件默认为五个千兆WAN口和三个千兆LAN口,两个USB口,支持USB局域
网文件共享。
WQR7600G拥有先进的千兆硬件架构,业界先进的最小包转发能力,内置高性能防火墙,具备超强病毒防御能力,丰富的内网安全特性和智能带宽
管理功能,人性化的WEB管理和监控界面,为企业构建安全、高速、稳定、智能、易管理的千兆网络。
技术参数:
功能及技术指标 | 具体参数要求 |
★CPU | 多核处理器,频率≥1.8GHz |
内存 | ≥2048M |
FLASH | ≥16M |
★网络接口 | 支持WAN/LAN互转 |
风扇 | 无风扇静音散热 |
转发模式 | 支持智能、手动负载均衡模式,支持路由转发模式 |
协议支持 | PPPoE DHCP服务器,DHCP固定地址分配 NTP,sntp DDNS(www.3322.org,花生壳等) |
★防火墙 | 支持filter和NAT两种形式的防火墙,支持DNAT,SNAT,支持针对源IP,目的IP,以及分时间段的防火墙管理 |
网络安全 | ARP防攻击/免费ARP状态数据包检查,防止WAN口的Ping,防止TCP syn扫描 防止Stealth FIN扫描,防止TCP Xmas Tree扫描,防止TCP Null扫描 防止UDP扫描功能,防止Land 攻击功能,防止Smurf攻击功能 防止WinNuke攻击功能,防止Ping of Death攻击,防止SYN Flood攻击功能 防止UDP Flood攻击功能,防止ICMP Flood攻击功能,防止IP Spoofing功能 防止碎片包攻击,防止TearDrop攻击,防止Fraggle攻击功能 |
访问控制 | 支持IP,MAC地址绑定;支持主机过滤,设定后屏蔽规则链主机;支持连接数限制 |
★流量控制(QOS) | 支持智能流控,可根据内网应用所需自动计算分配带宽数值;支持传统IP流控,可自行设定单IP上下行数值。 |
★流量监控 | 支持网络监控,支持整体流量图监控,主机监控,连接信息查看,应用饼图及ping检测tracert检测等。 |
策略路由 | 支持静态路由,源地址路由,目的地址路由 |
协议调度 | 支持针对端口的线路调度 |
PPPOE SERVER | 支持PPPOE服务端:用户管理,拨入列表查询,计费状态查询,支持自定义续费公告,拨号公告,支持按时间,按流量等多种计费方式,支持服务日志。 |
WEB 认证 | 支持WEB认证服务端:支持自定义跳转地址,自定义认证界面LOGO,支持创建固定用户,流动用户,支持添加例外ip,例外MAC,支持认证状态查看,支持服务日志。 |
★VPN | 支持PPTP VPN服务端,客户端,支持点对网,网对网拨入;支持VPN数据加密,支持数据网关起禁用;支持VPN拨入列表查看;支持VPN日志; 支持SVPN 服务端,客户端,支持L2TP VPN。IPSEC VPN |
★PPPOE扩展 | 支持配合VLAN交换机额外接入128条PPPOE线路 |
★弹性端口 | 支持自定义WAN口和LAN口数量 |
其他功能 | 支持一对一NAT,支持DMZ主机,支持DNS强制,PING强制,即插即用,配置导入导出等。 |
管理 | WEB、SSH |
软件升级 | 支持WEB页面本地上传固件升级,服务器远程升级。 |
网旗系列交换机,采用业界领先的万兆网络交换芯片,设备本身集成24 个高密度千兆光口、4个万兆接口,可以提供最丰富的网络接口形态, 满足用户复杂的组网需求。同时设备支持网旗全网管控协议,可以对局 域网交换设备集中管理,可以将端口状态,端口流量、拓扑结构等信息 方便直观的展现给网络管理员。 |
功能及技术指标 | 具体参数要求 |
★固定端口 | 千兆光口≥24;万兆光口≥4; |
交换容量 | ≥244Gbps |
转发能力 | ≥131Mpps |
★VLAN | 基于端口的VLAN 802.1Q协议标记VLAN,最大支持4096个VLAN组 |
★DHCP保护 | 针对DHCP Server提供安全保护特性,通过建立和维护DHCP绑定表过滤不可信任的DHCP信息。开启DHCP保护后,对DHCP报文进行侦听,从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。 |
端口镜像 | 支持端口镜像设定 |
★广播风暴抑制 | 支持广播风暴抑制功能,可设定每个端口可允许通过的单播、组播及广播包的大小,杜绝网络风暴的产生 |
MAC表 | 支持32K地址表 |
★安全性能 | 支持IP/MAC/Port三元绑定,实现IP/MAC/Port三位一体绑定;解决内网ARP病毒欺骗、DDOS洪水攻击等威胁。绑定之后,指定的端口只允许指定的IP、MAC通过,指定的IP、MAC只能在绑定的端口通过。 |
★带宽管理 | 支持基于端口的带宽管理,可对交换机的每个端口进行限速,可分别设定限制上行和下行带宽 |
★端口流量图 | 可实时查看交换机每个端口的实时in/out流量,便于管理员实时监控整个网络的健康状态和安全性 |
★端口状态图 | 采用不同颜色和图例区别端口的适配状态,分10M、100M、1000M、10000M模式,让网络维护人员随时掌握是否有PC存在适配异常 |
★转发表 | 用于查看每个端口的转发条目,可设定MAC地址转发表静态绑定功能及动态老化时间 |
管理 | 支持WEB页面管理 支持SSH管理界面 |
软件升级 | 支持WEB页面固件升级 |
系统日志 | 支持操作日志、告警日志、安全日志等 |
网络技术协议
需求技术简介
现如今网络发展迅速,无线网络如何更有效的实现各个部门的信息交流尤其重要。本文将根据无线网的需求介绍校园网中常运用的各种路由协议
的工作原理、保障校园网络之间数据信息传输不糊干扰,
无线网络是为员工提供上网、娱乐和综合信息服务的宽带多媒体网络。首先,无线网络应为企业宣传、科研提供先进的信息化传播环境。这就需
求根据目前校园网络结构实现分层管理,设备冗余,多业务传输,智能流控以及动态主机分配IP,网络安全的一些协议来稳定运行网络业务,下面对
常用协议进行简单阐述。
是一个局域网的网络协议,使用UDP协议工作, 主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作
为对所有计算机作中央管理的手段,在RFC 2131中有详细的描述。DHCP有3个端口,其中UDP67和UDP68为正常的DHCP服务端口,分别作为DHCP Server
和DHCP Client的服务端口;546号端口用于DHCPv6 Client,而不用于DHCPv4,是为DHCP failover服务,这是需要特别开启的服务,DHCP failover
是用来做“双机热备”的。
功能概述
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地
址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。
DHCP协议采用客户端/服务器模型,主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时,才会向网络
主机发送相关的地址配置等信息,以实现网络主机地址信息的动态配置。DHCP具有以下功能:
1)保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。
2)DHCP应当可以给用户分配永久固定的IP地址。
3)DHCP应当可以同用其他方法获得IP地址的主机共存(如手工配置IP地址的主机)。
4)DHCP服务器应当向现有的BOOTP客户端提供服务。
DHCP有三种机制分配IP地址:
1)自动分配方式(Automatic Allocation),DHCP服务器为主机指定一个永久性的IP地址,一旦DHCP客户端第一次成功从DHCP服务器端租用到IP地址后,就可以永久性的使用该地址。
2 动态分配方式(Dynamic Allocation),DHCP服务器给主机指定一个具有时间限制的IP地址,时间到期或主机明确表示放弃该地址时,该地址可以被其他主机使用。
3)手工分配方式(Manual Allocation),客户端的IP地址是由网络管理员指定的,DHCP服务器只是将指定的IP地址告诉客户端主机。
三种地址分配方式中,只有动态分配可以重复使用客户端不再需要的地址。
DHCP消息的格式是基于BOOTP(Bootstrap Protocol)消息格式的,这就要求设备具有BOOTP中继代理的功能,并能够与BOOTP客户端和DHCP服务器
实现交互。BOOTP中继代理的功能,使得没有必要在每个物理网络都部署一个DHCP服务器。RFC 951和RFC 1542对BOOTP协议进行了详细描述。
dot1q就是802.1q,是vlan的一种封装方式。
VLAN(Virtual Local Area Network),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE
于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算
机,由于VLAN是逻辑地而不是物理地划分,所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里,即这些计算机不一定属于同一个物理
LAN网段。
VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中,从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全
性.
多生成树协议该协议可应用于在网络中建立树形拓扑,消除网络中的环路,并且可以通过一定的方法实现路径冗余,但不是一定可以实现路径冗
余。生成树协议适合所有厂商的网络设备,在配置上和体现功能强度上有所差别,但是在原理和应用效果是一致的。
生成树算法的网桥协议STP(Spanning Tree Protocol) 它通过生成生成树保证一个已知的网桥在网络拓扑中沿一个环动态工作。网桥与其他网桥
交换BPDU消息来监测环路,然后关闭选择的网桥接口取消环路,统指IEEE802·1生成树协议标准和早期的数字设备合作生成树协议,该协议是
者产生的。IEEE版本的生成树协议支持网桥区域,它允许网桥在一个扩展本地网中建设自由环形拓扑结构。IEEE版本的生成树协议通常为在数字版本
之上的首选版本。STP的基本原理是,通过在交换机之间传递一种特殊的协议报文,网桥协议数据单元(Bridge Protocol Data Unit,简称BPDU),
来确定网络的拓扑结构。BPDU有两种,配置BPDU(Configuration BPDU)和TCN BPDU。前者是用于计算无环的生成树的,后者则是用于在二层网络
拓扑发生变化时产生用来缩短MAC表项的刷新时间的(由默认的300s缩短为15s)。
spanning Tree Protocol(STP)在IEEE802.1D文档中定义。该协议的原理是按照树的结构来构造网络拓扑,消除网络中的环路,避免由于环路的存
在而造成广播风暴问题。
MSTP设置VLAN映射表(即VLAN和生成树的对应关系表),把VLAN和生成树联系起来;通过增加“实例”(将多个VLAN整合到一个集合中)这个概
念,将多个VLAN捆绑到一个实例中,以节省通信开销和资源占用率。
MSTP把一个交换网络划分成多个域,每个域内形成多棵生成树,生成树之间彼此独立。
MSTP将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发
过程中实现VLAN数据的负载分担。
MSTP兼容STP和RSTP
开启QoS智能流控后,将自动根据网络中活动主机的各种应用(包括游戏、P2P、网页及其他应用)的带宽使用变化情况,对网络带宽的分配进行优化调整。
智能流控路由器功能
支持QoS功能:QoS支持基于IP和服务类型的带宽限制
可依需要据对指定IP或者端口的上传下载带宽进行管理.
最小带宽保证功能,网络使用率再高我也不卡不掉线!
可根据时间进行管控,另外可排除不受限制的IP范围! 多WAN (广域网)接入
支持自动检测WAN口状态并自动启动WAN连接
支持实时显示WAN联机状态的功能
支持PPPOE、动态IP、静态IP等宽带接入方式
支持TCP/IP、PPPOE、DHCP、ICMP、NAT等协议
内建DHCP服务器,同时进行静态地址分配
支持虚拟服务器、DMZ主机
内建防火墙,支持IP地址、MAC地址、域名地址过滤,可灵活控制上网权限与时间
支持远程Web管理,全中文配置界面
支持软件升级
支持MAC地址修改与克隆
提供简单的配置与监控程序
AP隔离指的是开启之后,各个连接的电脑不能互相访问,起到隔离的作用,来保障不同用户的安全!多见于无线通信方面,常见于路由器设置
中。AP隔离非常类似有线网络的VLAN(虚拟局域网),将所有的无线客户端设备之间完全隔离,使客户端只能访问AP接入的固定网络。该措施非常适
合大型的会议室、酒店、机场等公共场所的无线网络建设,让各个接入的无线客户端之间相互保持隔离,提供彼此间更加安全的接入。该措施对于家庭用户来说没有太多
的实际意义,但企业用户在一些特殊的场合可以采用这种方式来加强无线网络的安全性。例如有客户或外单位人员参加的会议等公共活动。该方法用于对酒店和机场等公
共热点Hot Spot的架设,让接入的无线客户端保持隔离,提供安全的Internet接入。
Port Security特性记住的是连接到交换机端口的以太网MAC地址即网卡号,并只答应某个MAC地址通过本端口通信。假如任何其它MAC地址试图通
过此端口通信,端口安全特性会阻止它。使用端口安全特性可以防止某些设备访问网络,并增强安全性。
从基本原理上讲,Port Security特性记住的是连接到交换机端口的以太网MAC地址即网卡号,并只答应某个MAC地址通过本端口通信。假如任何其
它MAC地址试图通过此端口通信,端口安全特性会阻止它。使用端口安全特性可以防止某些设备访问网络,并增强安全性.