马鞍山人民医院无线网络工程实施方案 本文关键词:马鞍山,实施方案,无线网络,人民医院,工程
马鞍山人民医院无线网络工程实施方案 本文简介:马鞍山市人民医院1号住院楼无线网络系统施工方案编制单位:安徽格图通信系统工程有限公司编制时间:二〇一三年十一月目录一、需求分析31.针对客户的需求分析:32.需求设备清单43.设备具体参数4二、实施方案91.拓扑结构92.设备选型和配置103.接入层AP部署104.设备位置定位105.无线控制器及交
马鞍山人民医院无线网络工程实施方案 本文内容:
马鞍山市人民医院1号住院楼
无线网络系统
施工方案
编制单位:
安徽格图通信系统工程有限公司
编
制
时
间:
二〇一三年十一月
目
录
一、需求分析3
1.
针对客户的需求分析:3
2.
需求设备清单4
3.
设备具体参数4
二、实施方案9
1.拓扑结构9
2.设备选型和配置10
3.接入层AP部署10
4.设备位置定位10
5.
无线控制器及交换机等设备的IP地址规划设计11
5.2
无线AP的IP地址整体规划12
5.3
无线终端的IP地址整体规划12
5.4
IP地址表,如下图:12
6.
SSID设计14
7.
数据加密14
8.
接入、汇聚交换机的网络实现方式14
9.
设备的安装15
10.
信道设计16
11.
每层的AP点定位图16
12.
施工进度计划表17
三、需要解决事宜19
一、需求分析
马鞍山第一人民医院1号住院楼共18层此次无线局域网建设项目是针对整座楼内除1楼和4楼之外的所有的病房、重症室、手术室等区域做无线局域网的覆盖,满足医护人员的日常数据网络应用需求。
1.
针对客户的需求分析:
1)
考虑无线局域网能够尽可能使得每个无线
AP都被使用:无线局域网能够根据周围环境检测覆盖漏洞,自动调节无线射频发射功率以适应物理环境并保持在标准范围内。
2)
考虑无线局域网能够在所有时间被利用:无线局域网应该支持包括无线网状网在内的多种组网方式,从而可以支持各种突发无线局域网接入需求。
3)
考虑无线局域网安全性:因该项目的无线局域网只针对医护人员使用,故用单个SSID实现无线的便捷管理和漫游需求。
4)
实现无线局域网络和现有网络的无缝对接:无线网络即使一个独立的网络也是一个与有线网络相辅相成的网络,确保和现有网络的无缝对接。
经过前期的现场测试和勘察各层的AP分布如下图所示,共计85个无线接入点,5个备用。
2.
需求设备清单
3.
设备具体参数
序号
技术功能名称
招标文件提出的技术功能及相关技术要求
投标货物的技术功能相关技术要求
1
无线控制器1.单台控制器最多管理AP数量≥500个;
1.华为AC6605-26-PWR-64AP
单台最多管理512个AP
2.可配置SSID数量≥512个;
2.可配置SSID数量512个;
3.支持对802.11a/b/g/n
AP进行统一控制;
3.支持对802.11a/b/g/n
AP进行统一控制;
4.支持内置1+1电源冗余,可插拔电源,根据需要选择AC/DC接入;
4.支持内置1+1电源冗余,并配置双电源,支持交流供和直流二种供电方式。支持电源模块热插拔;
5.支持无线终端跨IP子网的快速无缝漫游,良好支持语音业务,并保持全网漫游身份的唯一;
5.支持无线终端跨IP子网的快速无缝漫游,良好支持语音业务,并保持全网漫游身份的唯一;
6.支持802.1x,包括EAP-PEAP,EAP-TLS,EAP-TTLS,EAP-SIM,EAP-MD5等加密技术;
6.支持802.1x,包括EAP-PAP,EAP-PEAP,EAP-TLS,EAP-TTLS,EAP-SIM,EAP-MD5等加密技术;
7.支持基于用户名的安全策略,并支持跨交换机之间漫游的用户安全信息共享;
7.支持基于用户名的安全策略,并支持跨交换机之间漫游的用户安全信息共享;
8.支持WAPI;
8.支持WAPI;
9.支持IPV6;
9.支持IPV6;
10.支持DHCP
Server
和Relay;
10.支持DHCP
Server
和Relay;
11.支持RIP
V1/V2,支持
OSPF;
11.支持静态路由RIP-1/RIP-2、OSPF、BGP、IS-IS、路由策略、策略路由
12.支持SNMP(V1、V2、V3),支持有线和无线网络的统一网管,支持远程HTTP、HTTPS配置管理;
12.支持CLI、SNMP
V1/V2/V3,有线无线一体化管理,在同一网管视图下可以看到有线、无线设备统一网络拓扑,支持远程HTTP、HTTPS配置管理;
硬件配置要求:
此次配置:1.10/100/1000M接口≥8个,
万兆口数量≥2个,配置2个单模光模块;
1.10/100/1000M接口24个,4个Combo接口,万兆口数量2个,2个单模光模块;2.本次配置AP许可授权≥128个。
2.配置AP许可授权128个
2
POE交换机1.交换容量≥120Gbps,转发性能≥42Mpps;
1.华为S5700-28P-PWR-LI-AC交换容量208Gbps,转发性能42Mpps;
2.提供IPv4和Ipv6三层路由功能;
2.提供IPv4和Ipv6三层路由功能;
3.提供基于端口、VLAN下发ACL,支持基于时间段的ACL,支持基于硬件Ipv6的ACL;
3.
提供基于端口、VLAN下发ACL,支持基于时间段的ACL,支持基于硬件Ipv6的ACL;
4.VLAN表项≥4K;
4.支持4K
VLAN;
5.提供STP/RSTP/MSTP协议;
5.提供STP/RSTP/MSTP协议;
6.提供IGMP
Snoopingv1/v2/v3
,MLD
Snooping;
6.提供IGMP
Snooping
V1,V2,V3,MLD
Snooping;
7.提供DHCP
Client、DHCP
Snooping、DHCP
Snooping
Option82功能;
7.提供DHCP
Client、DHCP
Snooping、DHCP
Snooping
Option82功能;
硬件配置要求:
此次配置:1.每台提供24个10/100/1000
Base-T以太网端口,24端口均支持POE+供电;
1.每台提供24个10/100/1000
Base-T以太网端口,24端口均支持POE+供电;2.每台提供4个非复用的1000Base-X千兆SFP端口;
2.每台提供4个非复用的1000Base-X千兆SFP端口;
3.每台提供千兆单模模块2个
3.每台提供千兆单模模块2个;
4.与无线控制器同一品牌。
4.与无线控制器同一品牌。
3
无线AP
可支持瘦AP工作模式,协议支持802.11a/b/g/n,同时支持802.11a/n
、802.11b/g/n,单频速率300Mb,1个千兆电口,设备采用内置矩阵天线或硬件智能天线,支持POE和本地供电,内置2.4G及5.8G天线,支持标准802.3af
PoE供电方式及外部供电,支持802.1x认证、MAC地址认证、PSK认证、Portal认证等,支持吸顶式或挂壁式安装要求
华为AP5010DN-AGN
可支持瘦AP工作模式,协议支持802.11a/b/g/n,同时支持802.11a/n
、802.11b/g/n,每射频速率可达300Mb,一个Console口,一个10/100/1000M,用于有线以太网连接,并且支持PoE功能,用于连接PoE交换机或PoE电源,设备采用内置矩阵天线或硬件智能天线,支持POE和本地供电,内置2.4G及5.0G天线,支持标准802.3af
PoE供电方式及外部供电,支持802.1x认证、MAC地址认证、PSK认证、Portal认证,MAC+Portal混合认证等,支持吸顶式或挂壁式安装要求
4
汇聚交换机1.交换容量≥160Gbps,转发性能≥65Mpps;
1.交换容量256Gbps,转发性能96Mpps;
2.提供静态路由、RIP,OSPFv2,BGP,ISIS,RIPng,OSPFv3,BGP4+
for
IPV6,ISISv6;
2.提供静态路由、RIP,OSPFv2,BGP,ISIS,RIPng,OSPFv3,BGP4+
for
IPV6,ISISv6;
3.提供基于端口、VLAN下发ACL,支持基于时间段的ACL,支持基于硬件Ipv6的ACL;
3.提供基于端口、VLAN下发ACL,支持基于时间段的ACL,支持基于硬件Ipv6的ACL;提供基于MAC地址的ACL;
4.提供STP/RSTP/MSTP协议;
4.提供STP/RSTP/MSTP协议;
5.提供IGMP
Snoopingv1/v2/v3
,MLD
Snooping;
5.提供IGMP
Snoopingv1,v2,v3
,MLD
Snooping,PIM-SM、PIM-DM、PIM-SSM;
6.提供DHCP
Client、DHCP
Snooping、DHCP
Snooping
Option82功能;
6.提供DHCP
Client、DHCP
Snooping、DHCP
Snooping
Option82功能;
硬件配置要求:
此次配置:1.每台提供24个千兆光口;
1.每台提供24个千兆光口;2.每台提供2个万兆光口;
2.每台提供2个万兆光口;3.每台配置同品牌2个万兆多模模块,12个单模模块;
3.每台配置同品牌2个万兆多模模块,12个单模模块;
4.每台配置冗余电源;
4.每台配置冗余电源;
5.与无线控制器同一品牌。
5.与无线控制器同一品牌。
5
网线
六类网线,知名品牌,网络线路要求:前端连接AP使用六类模块和成品跳线,后端使用六类配线架
TCL网线
六类网线,知名品牌,网络线路要求:前端连接AP使用六类模块和成品跳线,后端使用六类配线架
6
无线网管
用B/S架构,对无线交换机、无线AP、POE供电交换机等设备实现统一网管(交换机面板、统一的无线有线管理、智能告警、直观的状态监控);
华为esight标准版
用B/S架构,可以对无线交换机、无线AP、POE供电交换机及其他设备实现统一网管(交换机面板、拓扑管理、统一的无线有线管理、智能告警、直观的状态监控);
支持网络管理与用户管理联动,如通过点击拓扑楼层接入交换机图标,可查看该设备所有接入用户帐户信息,查询在线用户列表、强制用户下线、下发消息、总在线用户数统计、不安全用户数统计等;
支持网络管理与用户管理联动,如通过点击拓扑楼层接入交换机图标,可查看该设备所有接入用户帐户信息,查询在线用户列表、强制用户下线、下发消息、总在线用户数统计、不安全用户数统计等;
支持802.1x、Portal、L2TP
IPSec
VPN、无线等多种网络环境的身份认证,支持基于端口的802.1x和基于MAC地址的802.1x,可管理HUB或非智能交换机下的多个用户;支持用户名、密码与用户IP、MAC、VLAN、设备IP、设备端口、主机名、域用户、SSID等多种元素的绑定认证;
支持802.1x、Portal、L2TP
IPSec
VPN、无线等多种网络环境的身份认证,支持基于端口的802.1x和基于MAC地址的802.1x,可管理HUB或非智能交换机下的多个用户;支持用户名、密码与用户IP、MAC、VLAN、设备IP、设备端口、主机名、域用户、SSID等多种元素的绑定认证;
支持对软件进行监控、对进程进行监控、支持对服务进行监控。支持纯白软件管理,终端用户只能安装该纯白软件列表中的软件,不能安装该纯白软件列表之外的软件。支持MD5方式进程检查,即使修改进程名也无法逃避检查;
支持对软件进行监控、对进程进行监控、支持对服务进行监控。支持纯白软件管理,终端用户只能安装该纯白软件列表中的软件,不能安装该纯白软件列表之外的软件。支持MD5方式进程检查,即使修改进程名也无法逃避检查;
使用同一个客户端实现网络准入、用户认证、终端安全状态检查、桌面资产管理等所有功能,避免多个客户端带来的管理不便;
使用同一个客户端实现网络准入、用户认证、终端安全状态检查、桌面资产管理等所有功能,避免多个客户端带来的管理不便;
配置网络智能管理软件一套,配置100个无线AP管理授权;配置终端安全准入控制组件,提供管理客户端350个端准入的授权。
配置网络智能管理软件一套,配置100个无线AP管理授权;配置终端安全准入控制组件,配置管理网络设备60个,提供管理客户端500个端准入的授权。
二、实施方案
1.拓扑结构
如下图所示,在整个无线网络系统当中,汇聚交换机S5728C放置在11楼,与各楼层POE交换机之间采用光缆进行互联;而楼层中的AP通过隧道汇接回到各POE交换机均通过六类网线互联,无线控制器AC通过旁挂式与汇聚交换机相连来控制各AP。
各楼层的AP互联到POE交换机的方式如下图所示,
因为其他楼层的AP都是相似的摆放五台,其大致的相差距离在6米左右。具体的视调试情况而定。
在这样的网络实现当中,AP上用户的流量都将通过AP与无线交换机建立起的隧道,流向无线交换机,在经过相应的策略匹配之后,用户会被要求认证,或者流量会被转发/丢弃。
2.设备选型和配置
此次无线覆盖范围主要考虑是在医院环境中的无线用户接入。在室内部署华为的AP5010DN-AGN(11n,室内普通型2x2双频,内置天线,不含电源适配器),因为采用了POE供电交换机S5700-28P-PWR-LI-AC(24个10/100/1000Base-T以太网端口,4个千兆SFP,PoE+,交流供电),故此处省去了相应的供电模块及电源的考虑。
3.接入层AP部署
该方案能够方便的实现跨三层部署,接入层的AP部署只是需要拿到属于自己的IP网络设置和网络中已经部署的汇聚交换机IP地址即可。这样的架构大大简化了传统无线网络部署当中的复杂程度,减轻了AP设置与用户设备以及AP所连接的有线网络配置相杂揉的状况。
4.设备位置定位
(1)POE交换机:
三楼、五楼、七楼、十一楼、
十三楼、十六楼
(2)AC控制器和汇聚交换机:信息中心机房
(3)网管服务器:放置在信息科(有链路可达)
(4)无线AP:2楼8个、3楼7个、5-18楼每层5个
共85个
(5)汇聚交换机到各POE交换机使用光缆互联
5.
无线控制器及交换机等设备的IP地址规划设计
无线AP的VLAN
和无线终端的VLAN
为了方便管理和维护,建议无线AP采用某个VLAN
,而无线终端的VLAN
不要跟无线AP在相同VLAN
中。
无线AP和接入层有线交换机下的PC终端不同属于一个VLAN
,这种部署方式的优点在于接入层需要为无线局域网的设备进行单独考虑,无线
AP和有线接入层的无线终端在进行规划的时候需要分别设计,无线AP的IP
地址和VLAN
与无线终端无关。
具体建议如下:
(1)
无线AP及POE交换机和汇聚交换机和AC控制的管理地址使用同一个管理Vlan
100
,IP地址段使用192.168.1.0/24
(2)
无线AP的终端接入设备即业务地址使用vlan
2,IP
地址段使用
172.16.0.1/24(该地址段根据客户终端数量而定掩码)
5.1
VLAN
和无线SSID的关系
无线控制器组网,当无线终端加入到无线网上的一个SSID
时,很容易与VLAN
绑定,无线终端漫游到不同无线
AP上,因
SSID的缺省VLAN
实际上是穿越接入层到无线控制器上,用户的VLAN
是无需在每个接入层上开通。
但亦有可能SSID在不同的无线AP接入点时,它设置的缺省VLAN
是不一样的。当有这样的情况出现时,无线终端从一个无线
AP接入点漫游到另一个无线AP接入点时,
DHCP
协议应会重分发给无线终端新的IP
地址,但如果无线终端的IP
地址更新的话,它先前建立的所有应用连接就会被切断。这样的无线
局域网实际上就不能支持跨三层无线漫游。
针对医院的特殊业务要求,只使用一个SSID和Vlan
使得无缝隙的进行三层无线漫游。这里通常网络管理员一般用一个C
类地址设置一个子网,网络的掩码一般是(255.255.255.0)
,每个子网内是253
个用户,这主要是为了减小广播域。
5.2
无线AP的IP地址整体规划
大规模实现无线局域网接入,不需要在现有的局域网上做很多路由的修改,无线AP所在的VLAN
和无线终端的VLAN
是独立分开的,无线AP
所属於的VLAN
是其所在楼层有线网络设备交换机所提供的VLAN
,无线AP的IP
地址也是同样属于其上联的接入层有线交换机。当然,用户只须在无线控制器上统一分配地址即可,这个IP
地址可以是通过DHCP
来分发,可以是以静态IP
地址方式配置在无线AP上。
5.3
无线终端的IP地址整体规划
由于无线终端的传输是通过无线AP
内已建立的GRE
隧道和无线控制器互连的,所以实际上无线终端的VLAN
是无须在接入层和汇聚层存在。当大规模开展无线局域网时,就无须把在不同接入层上新增的无线终端VLAN/IP
子网逐一在局域网上打通。无线终端的VLAN
是可透过无线控制器和骨干交换机互连互通。
5.4
IP地址表,如下图:
(1)交换机管理地址段:
(2)
各楼层的AP的地址及信道:
6.
SSID设计
SSID
的最主要用途是可让无线终端以不同的安全认证和加密方式接入无线
局域网。
根据马鞍山人民医院1号住院楼的实际情况,在设计实施方案中给出
如下无线SSID的规划:
设计统一的SSID供工作人员接入无线网络,设置SSID为马鞍山人民医院的简称MASRMYY并设置为隐藏,防止外来人员使用,并在此基础上设置密码增强信息的安全性。
7.
数据加密
架构中的集中式加密解密模式尤其适用于对于数据传输具有严格私密性要求的场所。在控制中心和终端之间的来往控制信息以及数据都不希望受到非授权用户的任意监听进而窃取其中的敏感信息,端到端的通信受到先进加密算法的保护。架构中可以对二层的无线网络数据采用多种加密认证,其中有:
1)支持Open-System认证方式
2)支持WEP认证/加密方式
3)支持WPA/WPA2–PSK认证/加密方式
4)支持WPA/WPA2–802.1X认证/加密方式
5)支持WAPI认证/加密方式
在应用层对所传输的数据进行加密,灵活的满足不同应用场景的需求。此次施工中选用的加密方式是WPA/WPA2–PSK认证/加密方式。
8.
接入、汇聚交换机的网络实现方式
通过1中的网络拓扑图可以看出,每台接入交换机都是通过光纤链路汇聚到汇聚交换机。其中二层链路使用Trunk模式透传管理vlan和业务vlan,
三层链路均通过缺省路由ip
route-static
0.0.0.0
0.0.0.0
192.168.1.254
指向汇聚交换机。需要访问医院网络的所有数据全部通过汇聚交换机递交给信息中心的核心交换机。
网络布线在有走线槽处均从走线槽布线,无走线槽裸露处考虑使用PVC管。
布线走向:从机柜到走线槽,经走向槽到竖井,走廊上天花板内使用PVC线管。
光纤走向:是通过信息中心机房到各楼层POE交换机。
9.
设备的安装
POE交换机和汇聚交换机、控制器均安装到网络机柜,并通过机柜接地。关于AP的安装,在保证信号的之后觉得安放的位置,且因为在走廊顶棚上,不能太靠近墙壁避免信号的衰减。最好是放置在走到的中间位置,。
10.
信道设计
基于IEEE802.11系列标准的WiFi拥有2.4GHz和5GHz两个频段,其中2.4GHz频段可选信道有14个,每个信道带宽为22MHz,只有3个信道相互之间无干扰,我国选用1、6、11等三个信道;5GHz频段可选信道为27个,我国选用149、153、157、161及165等五个信道。
在WLAN的工程部署中,往往需要多个AP,如果不同的AP工作在相同的频道,就可能形成同频干扰。为保证频道之间不相互干扰,在多个频道同时工作的情况下,就要求两个频道的中心频率间隔不能低于25
MHz。为了扩大覆盖范围和提高频谱利用率,WLAN也需要引入蜂窝结构,对于1、6和11三个信道交错使用,这个具体的AP使用信道已经在AP地址规划中列出。在项目的实施中会相应的微调,以保证信号无盲点。
11.
每层的AP点定位图
至于2楼和3楼的AP具体摆放位置因结构比较复杂到布线的时候再确认下,大致的位置如下:
12.
施工进度计划表
三、需要解决事宜
1.需要六个楼层的POE交换机、汇聚交换机、AC控制器的所有取电位置预留好。
每个POE交换机电源功率:500W
汇聚交换机电源功率:150W*2电源=300W
AC控制器电源功率:150W*2电源=300W
2.需要提供一台服务器且操作系统是
Windows-64位Server
2008
R2-中文版-标准版,以备网管使用。
注:服务器的最低参考配置:CPU:2*双核2G以上
内存:4GB
磁盘空间:60GB
另:键盘、鼠标、显示器