智慧医院WLAN解决方案
需求分析
医疗行业作为关系人民生命安全和国家稳定和重要行业而一直受到国家和各级部门的重视,如何有效的提高我国的医疗水平,更好的为人们提供医疗服务,国家和医疗行业所关注的问题。
随着国家医疗行业信息化建设的不断发展,通过医疗信息系统,提升医疗质量,为患者提供更好的服务是医疗行业信息系统建设的根本出发点。作为医疗行业信息系统建设的基础平台,网络系统平台就像人体的经脉网络一样,只有打造一个强健医院网络系统,才能够为医院打造一个健壮的信息系统,为患者提供更优质的服务。
对于具体的无线工程一般要满足以下业务需求:
- 针对医院的公共区域空间要进行全面覆盖;
- 病人、家属能够流畅地使用无线网络,在医院就医期间,都能够得到舒心的体验;
- 终端类型多种多样,员工自带手机、平板、笔记本接入医院无线网络,对于医院而言,管控难度也加大;
- 针对VIP客户,能够识别出该类别客户的出现,并提供相应差异化服务;
- 帮助院方进行大数据分析,分析出医院每日人流量变化,并导出相应报表,报表可按天、周、月、自定义时间不同维度进行导出。能有效帮助院方调整排班表;
- 内含热点地图,能够帮助IT人员有效管理无线网络,排查故障;
- 为了防止无线接入用户通过医院无线网络进入内网,给医院带来不良影响,同时满足公安部82号令,本次覆盖需要考虑无线用户上网行为审计功能,并且要保证日志记录保存60天以上;
- 无线网络不同于有线网络基于物理端口进行安全防御,无线信号因其自身特点,覆盖区域内的任何人员都能看到无线信号,难免会存在一定盗用账号、非法暗链及非法接入的安全威胁,无线网络需通过安全认证,保证接入用户的信息安全;
- 用户在无线区域内移动时,不需要多次重复认证,实现自动漫游,即业务不中断;
- WiFi网络大多使用的2.4GHz频段,众所周知,2.4GHz频段是开放频段,工作在这个频段的设备很多,比如:医院内网AP、蓝牙、无线座机、外来AP、监控摄像头等等,会对WiFi设备进行大量的干扰。除此以外,2.4GHz相互不干扰的信道只有1、6、11,当部署区域被运营商的AP给占用以后,可用信道就不多了。在这种情况下,干扰会造成丢包和延迟,实际传输速率往往得不到保证。所以本次覆盖需要考虑无线接入的稳定性;
- 为病房电视、智能终端提供稳定的无线接入信号;
- 支持蓝牙定位,快速定位病人位置。
医院WLAN无线网络拓扑设计
鉴于采用传统的“胖AP”技术部署无线网时,安装复杂,管理困难,整网安全强度不高,在实际应用中会存在以下问题:
(a)不能实现全面的、统一的全网级的管理策略
(b)不便于无线网络业务的划分
(c)不能实现无线网用户的2、3层无缝漫游
(d)没有RF自动调节能力
(e)整体无线网容量过小,不能轻松扩容
(f)对室内、室外无线接入点无法做到集中管理、统一配置和固件升级
(g)对于基于WiFi的高级功能,如安全、语音等支持能力很差
为了解决传统“胖AP”存在的上述问题,采用“AC+Fit AP”新一代网络构架代替传统AP的方法来解决这一问题。
WLAN无线网络拓扑示意图如下:
医院WLAN主要由三部分组成:无线控制器、POE交换机、无线AP
无线控制器部署在网络核心层,对医院全网AP进行集中管理和控制,并提供安全准入、数据加密、安全隔离、三层无缝漫游、上网行为管理、审计、信息推送等丰富的应用功能。
无线AP主要负责接入网络部分,将AP部署在所需无线覆盖区域内,物理分布在医院住院部各层的室内建筑区域,各覆盖区域内AP通过有线连接至POE交换机。
POE交换机主要负责网络中的数据交换以及为AP提供电源输入,部署在楼层弱电间。
医院无线网络覆盖设计
WLAN无线门诊楼覆盖
为了保证医院移动医疗应用的稳定使用,实现无线网络的快速漫游,防止因切换时网络丢包过多而造成的业务中断,可采用智能公分方案,通过引出多根馈线,将天线通过馈线引入房间,提升信号覆盖效果,一个AP可以覆盖4-8个房间,并保证房间内满格信号。
WLAN无线住院楼病房覆盖
医院住院楼这类场景有一个典型特点就是:房间结构统一,墙体分布密集,无线信号衰减严重。若采用传统的走廊放装部署,将AP部署在走廊里,信号穿透墙体进入房间内,使得覆盖效果大打折扣。
主推方案:采用高性能11ac型AP进行一分8公分方案来进行无线部署,直接让每个房间都能得到完善的信号覆盖,该方案即可快速完成无线网络的部署,保证每个宿舍都是满格信号,大大减少施工和节约了交换机等设备的部署,同时还不破坏房间环境设计。
备选方案:各个房间部署面板型AP。
WLAN无线室外场景覆盖
医院室外环境多变,部署的设备经常被风吹雨晒,要求室外设备必须防护能力高、防水防雷、安装维护简单等。利用室外专用AP对医院室外区域进行无线覆盖,IP68专业级防护能力,支持全封闭防水、防潮、防尘以及防火、防晒等,在极端恶劣的室外环境中仍可正常使用,可有效避免室外恶劣天气和环境影响,不管是在潮湿的南方还是寒冷的北方都适用。另外,利用WDS组网,可扩大无线覆盖、回传距离。
认证方案设计
无线医疗接入认证
医疗终端一般支持WPA/WPA2 -PSK, WAPI认证。出于医疗数据安全性考虑,医院内网可采用WAPI国密安全协议,有效保证医院无线局域网安全。
除此之外,还支持Portal、短信、微信、App、802.1x、PSK、二维码审核、CA证书、临时访客、免用户认证、MAC地址等多种认证方式,支持MAC白名单和MAC黑名单。
终端类型智能识别与安全准入,智能识别苹果、安卓、Windows Phone、笔记本/台式机等无线终端,配合终端MAC准入技术,医院内网无线网络只允许医疗终端接入,不允许其他无关终端接入,减少网络风险,保护内网资源安全。
账号密码认证
无线控制器内置了账号供企业使用,IT人员可在后台预先为每个门店店长设置相应的账号密码,无线设备仅需在认证页面输入相应账号密码即可上网。为保证接入安全,可为每个账号设置MAC地址绑定,首次接入需要IT人员审批。
认证流程如下:
1.IT人员预先设置好相应账户名、密码,并勾选首次接入必须修改初始密码;
2.各门店选择相应门店SSID,跳转至Portal认证页面,输入相应账户名、密码,点击连接;
3.首次接入无线网络的用户需要绑定MAC地址,需要无线网络管理员审批通过后方可成功连接上网,非首次接入用户可直接连入无线网络上网。
PSK验证
提供PSK验证方式,让设备接入无线网络更加方便,用户可直接输入无线网络密码即可接入网络。相应的,为保证无线接入安全,也可在后台预先设置MAC地址白名单,白名单内用户才可接入无线网络。
****认证流程如下:
1.IT人员在后台预先设置MAC地址白名单,将门店内设备MAC地址加入后台中;
2.门店选择相应门店SSID,直接输入密码,点击连接;
3.若密码正确且该设备属于MAC地址白名单内设备,即可通过验证连入无线网络;否则连接不成功。
微信认证
病人和家属采用微信一键连WiFi的方式连入无线网络,信锐无线控制器内置了微信认证服务器,可直接关联卓越教育的微信公众号,家长需要关注该公众号后才能连接上网。
连接无线网络的过程如下:
- 点选该网络SSID,苹果手机将自动弹出Portal认证页面,安卓手机点击任意网页即可跳转到认证页面;
- 病人或家属需要观看一定市场的广告页面,然后点击下方的“我要认证上网”;
- 跳转至认证页面,选择微信连WiFi上网;
- 自动唤醒微信,微信页面显示提供该无线的主体公众号信息和欢迎词,点击立即连接;
- 成功连接WiFi并关注主体公众号,点击右上角完成按钮后即跳转至设置的认证后跳转连接页面;
漫游技术保障----同频组网技术
传统AP部署方式: 不同的AP采用不同的信道,防止AP之间出现互相干扰,导致AP信道混杂,信号无法调整至最大,AP间存在信号空白区域,且终端在AP间切换时会频繁因频繁切换信道而导致漫游效果差。
同频组网: 所有AP采用同一个信道部署,可以覆盖所有区域,同频组网采用RF虚拟化技术,将所有AP虚拟为一个大AP,来消除AP间的干扰。这样终端在AP间就不存在漫游问题,可大大提高漫游的效果。并且因为所有AP已实现虚拟化,在信号空白区域加装AP时不需要调节其它AP的信号功率大小,只需要直接加装一个AP即可,就像装灯泡一样简单,有效减轻运维工作量。
