医院信息化建设技术建议书.docx

《医院信息化建设技术建议书.docx》由会员分享，可在线阅读，更多相关《医院信息化建设技术建议书.docx（53页珍藏版）》请在三一办公上搜索。

1、 XX 医院信息化建设技术建议书 第第 1 页页 共共 53 页页 XX 医院医院信息化建设信息化建设 技术建议书技术建议书 2016 年 10 月 XX 医院信息化建设技术建议书 第第 2 页页 共共 53 页页 目录目录 1. 项目背景 . 4 2. 需求分析 . 4 3. 建设目标 . 4 4. 建设思想 . 5 5. XXX 医院网络总体建设规划 . 6 5.1. 网络规划拓扑图 . 6 5.2. 基础敏捷网络建设规划. 7 5.2.1. 网络设计原则 . 7 5.2.2. 总体网络架构 . 8 5.2.3. 物理组网规划 . 9 5.2.4. 网络出口规划 . 9 5.2.5. 核心

2、层设计规划 . 9 5.2.6. 汇聚层设计规划 . 10 5.2.7. 接入层设计规划 . 10 5.2.8. 可靠性设计规划 . 10 5.2.9. 安全性设计规划 . 11 5.3. 远程访问规划 . 12 5.4. 有线无线融合规划 . 14 5.5. 业务随行规划 . 14 5.6. SVF 全网虚拟化规划 . 15 5.7. 用户接入认证规划 . 15 5.7.1. 有线用户接入 . 15 5.7.2. 无线用户接入 . 16 5.8. 无线网络建设规划 . 16 5.8.1. 无线医疗简介 . 16 5.8.2. 无线医疗的总体需求 . 18 5.8.3. 无线网络安全问题 .

3、18 5.8.4. 无线网络规划实施问题 . 18 5.8.5. 无线用户漫游问题 . 19 5.8.6. 无线网络管理问题 . 19 5.8.7. 无线医疗基础网络设计 . 19 5.8.8. WLAN 覆盖规划 . 21 5.8.9. 容量规划 . 22 5.8.10. 覆盖规划 . 23 5.8.11. SSID 和漫游规划 . 24 5.8.12. 漫游规划 . 25 5.8.13. 业务带宽规划 . 26 5.8.14. 可靠性规划 . 27 5.8.15. 安全性规划 . 31 5.9. 网络安全防护规划 . 37 5.9.1. 网络安全 . 37 5.9.2. 威胁管理 . 38

4、 XX 医院信息化建设技术建议书 第第 3 页页 共共 53 页页 5.9.3. 网络安全管理 . 38 5.9.4. 网络安全设计原则 . 38 5.9.5. 网络边界防护规划 . 39 5.10. 网络审计管控规划 . 40 5.10.1. 行为管控需求 . 40 5.10.2. 网络设计原则 . 40 5.10.3. 具体系统设计 . 41 5.11. 网络运维管理规划 . 42 5.11.1. 安全管理 . 42 5.11.2. 拓扑管理 . 43 5.11.3. 告警管理 . 43 5.11.4. 性能管理 . 44 5.11.5. 服务器管理 . 45 5.11.6. 存储管理 .

5、 45 5.11.7. 网络设备管理 . 47 5.11.8. WLAN 管理 . 47 5.11.9. 应用管理 . 49 6. 方案价值 . 52 6.1. 使用体验极佳的网络 . 52 6.1.1. 极致高速的网络体验 . 52 6.1.2. 无线全覆盖，全网零漫游 . 52 6.1.3. 业务随行的高体验网络 . 52 6.1.4. 安全可靠的体验网络 . 53 6.2. 极简维护管理的敏捷网络. 53 6.2.1. 整网超级虚拟化，极致简化日常运维管理工作 . 53 6.2.2. 全网安全稳定 CSS2 架构，实现 99.999%的稳定性. 53 XX 医院信息化建设技术建议书 第第

6、 4 页页 共共 53 页页 1. 项目背景项目背景 XXX 医院是一所集医疗、教学、科研为一体的现代化中西医结合的专科医院，由于医院业务快速增长，规划在 XX 市东部建立分院区，初期规划床位 800 张； 需要依据新建分院建筑分布，楼层功能分布，信息节点分布、应用功能需求等情况建设一套符合 XXX 医院信息化办公的现代化数据交换网络， 满足XXX医院现在及未来5-10年内的业务规划发展需要。 2. 需求分析需求分析 根据 XXX 医院现有业务要求及物理建筑分布状态。要求新建信息化网络符合以下几点要求： 1、 要求网络分层、分区建设，便于以后网络扩容及新增。 2、 新建网络涉及到有线与无线覆盖

7、，要求内外网做逻辑隔离，可以灵活调整网络到网络、终端到资源的权限控制。 3、 要求采用万兆骨干，千兆到桌面，保证数据交互的高带宽要求。 4、 针对外网移动办公接入提供安全的专用接入点，便于移动办公人员接入到内网进行相应工作的开展及信息的获取。 3. 建设目标建设目标 根据 XXX 医院上述几点建设需求及新建医院具体情况，结合相应医疗信息化网络的建网原则，提出以下建设目标： 1、 新建园区包括一栋门诊楼，一栋住院楼。门诊楼合计3层，每层15个诊室，每层60个信息点位。住院部4层，共计800张床位。门诊楼及住院楼根据各楼层信息点分布情况，建设有线网络。 2、 网络主体采用核心层-汇聚层-接入层的三

8、层网络组网结构，满足万兆骨干，千兆接入的建设标准。 3、 针对服务器区域单独建设数据中心区域，数据中心区域放置汇聚层交换机，采用千兆接入，万兆上行。 4、 考虑到无线医疗的应用需求，针对住院楼做重点无线覆盖。要求楼层内移动实现零漫游。门诊楼一楼大厅处（300人）、挂号区（2*150人）做无线覆盖，满足排队挂号及预约看病的无线上网需求。门诊楼其他区域（楼长80m）根据楼层情况在走廊处做无线覆盖。无线覆盖需根据场景选用合适的设备。 XX 医院信息化建设技术建议书 第第 5 页页 共共 53 页页 5、 有线无线网络采用一张物理网络，不仅要满足内部办公需求，还要满足病患及家属的无线上网需求。因此整体

9、网络需要针对内部办公人员，采用基于IP、 VLAN等方式进行内网及外网的隔离。 针对无线网络需要基于SSID划分用于内部无线医疗的专用Work网络及用于病患上网的Guest网络。且在网路与网络间，网络与内部办公资源及外部网络资源需要有建设一套控制系统。可对资源访问做灵活的权限控制及等级划分。 6、 由于互联网的不安全性，需要在网络出口处部署防火墙等安全设备，做网络整体的安全防护。 7、 由于公安82号令要求，针对公开性场所的无线网络接入，建设一套上网行为审计设备，对网内人员的上网行为做审计及记录。 8、 针对在外出差或办公人员，建设VPN系统，提供专有的安全VPN通道满足移动办公的应用需求。

10、4. 建设思想建设思想 1、 由于本次XXX医院网络建设涵盖有线和无线覆盖， 且有线和无线网络共用基础硬件，不做物理分离，因此建议采用华为敏捷网络有线无线一体化解决方案。通过利用华为敏捷交换机的无线融合特性，即作为有线网络的数据转发核心节点，同时又做为无线网络的核心控制及转发节点，做到有线无线的深度一体化融合，不用再单独建设和部署两套网络，即减轻了运维人员压力，又提高了各层次设备的利用率，保证用户的资金投入。 2、 由于无线网络的公开性及审计需求特性，建议对开放性无线网络采用基于短信的认证方式，确保网络接入的实名制原则，在网内出现发送或上传非法内容或言论时，结合上网行为审计设备，基于日志记录进

11、行溯源。 3、 考虑到内网安全性，在网路出口区域部署安全防火墙，对进出网数据流做安全检查及过滤，保护内部网络不受来自互联网的安全威胁及恶意攻击。 4、 针对无线网络覆盖，结合应用场景采用不同的产品及组网方案，实现全网无缝无死角的无线覆盖，实现网内的任意无缝漫游。针对住院部，由于其房间密集特性，又要求无线漫游的切换时间及无线信号的覆盖强度及稳定性，采用华为敏捷分布式无线覆盖组网方案。通过中心AP+敏分单元的方式，单AP下可最多覆盖48个房间。针对门诊大厅及挂号区的场景，属于高密覆盖场景，小范围内并发要求高，因此采用 XX 医院信息化建设技术建议书 第第 6 页页 共共 53 页页 华为的高密型无

12、线AP进行型号覆盖。针对传统走廊的覆盖场景，则采用放装AP的方式在走廊吊顶处或墙壁处进行无线AP的安装， 对走廊及相邻房间进行无线的信号覆盖，且通过统一SSID的方式实现楼层内及楼层间移动时的无缝漫游需求，保证信号连接的持续性及稳定性。 5、 对于医院内部网络，针对不同部门，不同职级，资源类型，定义不同的安全及资源组。结合华为敏捷网络的业务随行解决方案，做到业务随行，策略随身。在初期进行策略及权限划分时，一键式全网部署，下发策略。办公人员不论移动到医院内任何一个位置节点，不论是通过有线网络或者无线网络，都拥有一致的网络访问及使用权限，同时还可以基于角色进行接入带宽的分配及管控。 6、 为保证网

13、络的健壮性、可升级性及易扩容特性，网络采用模块化的三层网络结构建设， 由于核心层的重要性， 针对核心层采用双机冗余部署， 结合华为CSS2集群方案，实现设备的横向虚拟化。且快达21s的跨板时延、高达320G的横向虚拟化带宽、N+1的主控备份方式、独立专用的集群网版，保证核心节点的可靠性及快速的数据交换特性。 7、 为减轻运维人员的运维压力，建议采用华为敏捷网络的SVF全网虚拟化解决方案，实现从核心+汇聚+接入+AP的全网融合虚拟化。全网设备虚拟化后对外呈现一个逻辑的管理节点，通过一个节点可实现整网设备的配置管理及业务下发。汇聚及接入节点只相当于核心节点的一块普通业务板卡， AP经虚拟化融合后相

14、当于核心节点的一个普通业务端口。 8、 为便于无线及有线的可视化运维，在网络发生问题和故障时，运维人员能第一时间收到邮件或者短信提醒，并通过运维管理系统快速的定位鼓掌源头，依据相关修复建议实现网络的快速恢复。特别是无线网络，通过一键式诊断，判断无线登陆失败节点的故障原因，极大的减轻了运维人员的工作压力，提高运维人员的工作效率。 5. XXX 医院医院网络网络总体总体建设规划建设规划 5.1. 网络规划拓扑图网络规划拓扑图 XX 医院信息化建设技术建议书 第第 7 页页 共共 53 页页 5.2. 基础基础敏捷敏捷网络网络建设规划建设规划 5.2.1. 网络设计原则网络设计原则 医疗网络通常是一

15、种用户高密度的非运营网络， 在有限的空间内聚集了大量的终端和用户。同时对于医疗网络而言，注重的是网络的简单可靠、易部署、易维护。因此在网络中，拓扑结构通常以星型结构为主， 较少使用环网结构 （环网结构较多的运用在运营商的城域网络和骨干网络中，可以节约光纤资源） 。 基于星型结构的园区网设计，通常遵循如下原则： 1、 层次化 将网络划分为核心层、汇聚层、接入层。每层功能清晰，架构稳定，易于扩展和维护。 2、 模块化 将网络中的每个部门或者每个功能区划分为一个模块， 模块内部的调整涉及范围小， 易于进行问题定位。 3、 冗余性 关键设备采用双节点冗余设计；关键链路采用 Trunk 方式冗余备份或者

16、负载分担；关键 XX 医院信息化建设技术建议书 第第 8 页页 共共 53 页页 设备的电源、主控板等关键部件冗余备份。提高了整个网络的可靠性。 4、 安全隔离 网络应具备有效的安全控制。按业务、按权限进行分区逻辑隔离，对特别重要的业务采取物理隔离。 5、 可管理性和可维护性 网络应当具有良好的可管理性。为了便于维护，应尽可能选取集成度高、模块可通用的产品。 5.2.2. 总体网络架构总体网络架构 网络的逻辑架构如下图所示，包括五大部分。 1、 终端层 包含网内的各种终端设备，例如 PC、笔记本电脑、打印机、传真、POTS 话机、SIP话机、手机、摄像头等。 2、 接入层 负责将各种终端接入到

17、网络，通常由以太网交换机组成。对于某些终端，可能还要增加特定的接入设备，例如无线接入的 AP 设备、POTS 话机接入的 IAD 等。 3、 汇聚层 汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。 汇聚层通常还作为用户三层网关， 承担L2/L3边缘设备的角色，提供用户管理、安全管理、QoS（Quality of Service）调度等各项跟用户和业务相关的处理。 4、 核心层 核心层负责整个网络的高速互联，一般不部署具体的业务。核心网络需要实现带宽的高利用率和网络故障的快速收敛。 5、 网络出口 网络出口是园区网络到外部公网的边界，内部用户通过边缘网络

18、接入到公网，外部用户 （包括合作伙伴、 分支机构、 远程用户等） 也通过边缘网络接入到内部网络。 6、 数据中心区 部署服务器和应用系统的区域。为内部和外部用户提供数据和应用服务。 7、 DMZ（Demilitarized Zone）区 XX 医院信息化建设技术建议书 第第 9 页页 共共 53 页页 通常公用服务器部署于该区域，为外部访客（非职工）提供相应的访问业务，其安全性受到严格控制。 8、 网络管理区 对网络、服务器、应用系统进行管理的区域。包括故障管理、配置管理、性能管理、安全管理等。 5.2.3. 物理组网规划物理组网规划 核心区域建议采用网络出口、核心层、汇聚层和接入层的架构模型

19、，具有如下的优势： 层次化设计：核心层、汇聚层、接入层，每层功能清晰，架构稳定，易于扩展和维护。 模块化设计：每一个模块一个部门，部门内部调整涉及范围小，定位问题也容易。 冗余性设计：双节点冗余性设计，适当的冗余性提高可靠性，过度的冗余不便于运行维护。 对称性设计：网络的对称性便于业务部署，拓扑直观，便于设计和分析。 5.2.4. 网络出口规划网络出口规划 网络出口指医院接入广域网和 Internet 的出口，出口的主要功能是外部的互访，出差职工的访问。 Internet 网络的安全性低、可靠性低、费用低，WAN 安全性高、可靠性高、费用高。为保证 WAN/Internet 链路的高可靠性，可

20、申请两条链路，实现冗余备份，也可以 WAN 作为主用链路，Internet 作为备份链路。 出口网关需要配置防火墙、IPS 等，根据不同的安全性要求和投资规模选择安全部件。 5.2.5. 核心层设计规划核心层设计规划 核心层部署医院的核心设备，连接所有的汇聚交换机，转发各个楼层的流量。 核心层需要采用全连接结构， 保持核心层设备的配置尽量简单。 核心层设备需要具有高带宽、高转发性能，否则将无法支撑医院内外部的业务流量。 核心层采用华为 S12708 敏捷交换机，使用 CSS2（Cluster Switch System）技术，将两台交换机从逻辑上整合成一台交换机。这种技术支持主控 1N 备份，

21、集群系统中只要保证任意一框的一个主控板运行正常，多框业务即可稳定运行。相对于传统业务口集群系统，每个框至少要有一块主控单元运行正常的限制。通过集群+堆叠的无环网络方案保障网络可靠，再通过设备本身 99.999%的电信级可靠综合保障校园网应用的稳定运行。 XX 医院信息化建设技术建议书 第第 10 页页 共共 53 页页 S12708 敏捷交换机的业务板卡直接融合 AC 功能,可以对网络中的 AP 进行管控，实现有线无线深度融合接入、转发、管理。 5.2.6. 汇聚层设计规划汇聚层设计规划 汇聚层是部门的核心，转发部门用户间的“横向”流量。同时提供到核心层的“纵向”流量。对接入层隐藏核心层，作为

22、网络的配线架，将大量用户接入到互联的网络中，扩展核心层设备接入用户的数量。 汇聚层需要双归到核心层并支持接入层的双归接入。通常汇聚层承担着 L2/L3 边缘的角色，需要具有高带宽、高端口密度、高转发性能等特点，用于支撑该汇聚层下各部门之间的流量。 5.2.7. 接入层设计规划接入层设计规划 接入层是最靠近用户的网络，为用户提供各种接入方式，是终端接入网络的第一层，一般部署二层设备，归属到汇聚层交换机。接入层除了需要部署丰富的二层特性外，还需要部署安全、可靠性等相关功能。 接入层需要具有高端口密度，以支持更多的终端接入网络。 接入层交换机使用 iStack（Intelligent Stack）技

23、术，将多台交换机从逻辑上整合成一台交换机。这样既简化了配置和管理，又提高了网络的可靠性和扩展能力。 5.2.8. 可靠性设计规划可靠性设计规划 对于双设备、链路冗余的网络，如果接入层进三层，在接入层和核心层之间采用三层路由的方式， 通过等价路径再辅助部署 BFD （Bidirectional Forwarding Detection） 快速检测故障，就能够保证链路故障、设备故障的快速切换，同时也能够充分利用冗余链路。 更多的组网方式是在汇聚层进三层， 这样就需要解决接入层和汇聚层之间二层流量的环路问题。 传统的方案是 STPVRRP 的方案。 该方案通过阻塞某些链路的转发实现二层破环，虽然该方

24、案采用了标准的协议， 支持多个厂家设备的混合组网， 但是其缺点也是显而易见的： 收敛时间 传统的 STP （Spanning Tree Protocol） 技术收敛速度慢， 在故障发生时， 故障收敛时间10秒；虽然采用 RSTP 进行优化，但收敛时间任是秒级，秒级的业务中断，会导致较差的用户体验。 链路利用率低 如果同一机架内的服务器属于同一 VLAN， 则有一个上行链路的带宽无法利用。 带宽利用率只有 50%；虽然 MSTP 基于 VLAN 进行优化，但不能从根本上解决问题。 XX 医院信息化建设技术建议书 第第 11 页页 共共 53 页页 配置维护复杂，网络故障率高 每个接入交换机和汇聚

25、交换机都需要运行 STP 协议，随着接入交换机的增加，交换机需要处理的 STP 也越来越复杂，会导致可靠性问题。 我们推荐采用集群+堆叠的无环网络方案来解决上面的这些缺陷。核心采用两台框式交换机集群。接入层采用盒式交换机，盒式交换机每两台堆叠。接入层交换机和核心/汇聚层交换机间的链路进行链路捆绑。 这个方案有四大优势： 简化管理和配置 首先，集群和堆叠技术将需要管理的设备节点减少一半以上。 其次，组网变得简洁不需要配置复杂的协议，如：STP/SmartLink/VRRP 等。 快速的故障收敛 链路故障收敛时间可以控制在10ms，大大降低了网络链路/节点的故障对业务的影响。 带宽利用率高 采用链

26、路 Trunk 的方式，带宽利用率可以达到 100%。 扩容方便、保护投资 随着业务的增加，当用户进行网络升级时，只需要增加新设备，而不需要更改网络配置。平滑扩容，很好的保护了投资。 该方案极大提高了可靠性， 以单链路故障率为 1 小时/1 千小时为例， 增加到两条链路，就可以将故障率降低到 3.6 秒/1 千小时，可靠性从 3 个 9 提高到 6 个 9。 可靠性的另一个重要方面是设备可靠性， 核心区设备一般为框式设备， 在可靠性方面的要求包括： 支持主控单元的备份 支持电源模块的备份 支持模块化的风扇设计，支持单风扇失效 支持所有模块的热插拔 5.2.9. 安全性设计规划安全性设计规划 核

27、心层与网络出口部署防火墙设备，主要解决如下几个安全问题： 网内、外网之间的访问控制，实现内、外网的安全隔离。 XX 医院信息化建设技术建议书 第第 12 页页 共共 53 页页 分支与内网的访问控制，实现分支和内网业务的安全隔离。 出差职工与服务器区的访问控制，实现出差职工与内网的安全隔离。 合作伙伴/访客与服务器的访问控制，实现合作伙伴/访客与内网的安全隔离。 5.3. 远程访问规划远程访问规划 远程访问在网络最重要的两个场景， 一个是与分支或总部的整体网络互联互通， 一个是个体用户因为出差或者其他原因， 需要在外网访问内网的资源或者办公系统。 VPN 设备是一个非常具有性价比的安全解决方案

28、。 其易用性， 安全性在全球的各个行业环境中都得到了使用。 在本方案中，通过利用 USG 下一代防火墙的 VPN 特性，建设院区之间与提供外部用户安全远程访问的平台。 利用互联网的资源实现灵活 VPN 组网一般有 IPSec VPN 和 SSL VPN 两种方式。 IPSec VPN IPSec（IP Security）是一组开放协议的总称，特定的通信方之间在 IP 层通过加密与数据源验证，以保证数据包在 Internet 网上传输时的私有性、完整性和真实性。 IPSec 协议有两种工作模式：隧道模式和传输模式。在隧道模式下，IPSec 将整个原始 IP数据包放入一个新的 IP 数据包中，这样

29、每一个 IP 数据包都有两个 IP 包头：外部 IP 包头和内部 IP 包头。外部 IP 包头指定将对 IP 数据包进行 IPSec 处理的目的地址，内部 IP 包头指定原始 IP 数据包最终的目的地址。IP 包的源地址和目的地址都被隐藏起来，使 IP 包能安全地在网上传送。其最大优点在于终端系统不必为了适应 IP 安全而作任何改动。隧道模式既可以用于两个主机之间的 IP 通信，又可以用于两个安全网关之间或一个主机与一个安全网关之间的 IP 通信。 在传输模式下，要保护的内容是 IP 包的载荷，在 IP 包头之后和传输层数据字段之前插入 IPSec 包头（AH 或 ESP 或二者同时） ，原始

30、的 IP 包头未作任何修改，只对包中的净荷(数据)部分进行加密。由于传输模式的 IP 包头暴露在外，因而容易遭到攻击。传输模式常用于两个终端节点间的连接，如客户机和服务器之间。 IPSec 定义了一套用于认证、保护私有性和完整性的标准协议。它支持一系列加密算法如 DES、3DES；检查传输数据包的完整性，以确保数据没有被修改。IPSec 可用来在多个防火墙和服务器之间提供安全性，确保运行在 TCP/IP 协议上的 VPN 之间的互操作性。 SSL VPN XX 医院信息化建设技术建议书 第第 13 页页 共共 53 页页 SSL VPN 是以 SSL/TLS 协议为基础，利用标准浏览器都内置支

31、持 SSL/TLS 的优势，对其应用功能进行扩展的新型 VPN。 SSL 协议最初是由 Netscape 公司开发，用于保护 web 通信安全。到目前为止， SSLv3和 TLS1.0 （也被成为 SSLv3.1） 得到了广泛的应用， 2006 年 IETF 推出了 TLS1.1 协议 （RFC4346） ，2006 年 IETF 推出了 TLS1.2(RFC5246)并在 2011 年对其进行了修正 （RFC6176） 。 随着 SSL 协议的不断完善，包括微软 IE 在内的愈来愈多的浏览器支持 SSL，SSL 协议成为应用最广泛的安全协议之一。 SSL 协议分为两层，上层是握手协议，底层是

32、记录协议。SSL 握手协议主要完成客户端与服务器之间的相互认证，协商加密算法与密钥。在握手协议中，认证可以是双向的，协商密钥的过程是可靠的， 协商得到的密钥是安全的。 SSL记录协议建立在可靠的传输协议之上，主要完成数据的加密和鉴别。通过对称密码算法确保了数据传输的机密性，通过 HMAC 算法确保数据传输过程的完整性。 由此可见，SSL 协议从以下方面确保了数据通信的安全： 认证 在建立 SSL 连接之前， 客户端和服务器之间需要进行认证， 认证采用数字证书，可以是客户端对服务器的认证，也可以是双方进行双向认证。 机密性 采用加密算法对需要传输的数据进行加密。 完整性 采用数据鉴别算法验证所接

33、收的数据在传输过程中是否被修改。 除了 web 访问、TCP/UDP 应用之外，SSL VPN 还能够对 IP 通信进行保护。在保证通信安全性的基础上，SSL VPN 实现了更加细致的访问控制能力，大大增强了对内网的安全保护。同时，SSL VPN 通信基于标准 TCP/IP，因而不受 NAT 限制，能够穿越防火墙，使用户在任何地方都能够通过 SSL VPN 网关代理访问内网资源，使得远程安全接入更加灵活简单。另外，使用 SSL VPN 访问 B/S 应用时不需要安装任何客户端软件，只要用标准的浏览器就可以实现对内网 Web 资源的访问，省去了客户端的繁琐的维护和支持工作，不仅极大地解放了 IT

34、 管理员的时间和精力，更提高了远程接入人员（如出差员工）的工作效率，节省了企业的培训和 IT 服务费用；同时，也意味着远程用户在进行远程访问时不会再受到地域的限制，不论是在公共网吧或是在商业合作伙伴那里，甚至是随手借一台笔记本，只要有网络，远程访问就没问题。 XX 医院信息化建设技术建议书 第第 14 页页 共共 53 页页 5.4. 有线无线融合规划有线无线融合规划 传统网络中常见的无线部署方式有独立 AC 或插卡式 AC， 不管采用哪种， 所有无线流量都要通过 AC 集中转发，有线和无线网络在转发和控制层面上是分离的。随着 802.11ac 时代的到来和智能终端设备的普及， 网络中存在手持

35、智能手机、 Pad、 便携等多种设备高速上网，AC 设备由于转发能力、端口各方面的限制将逐渐成为流量瓶颈。因而有线和无线网络如果想要获得一致的使用和管理体验，不能仅仅依靠目前常见的 AC 插卡式整合部署的方式，还需要在此基础之上向深度融合演进。 在本部署方案中采用敏捷交换机 12700 的有线无线融合理念实现有线无线流量深度融合，具体包括： 融合转发：融合转发：敏捷交换机支持随板 AC 功能，有线无线流量都直接在交换机处理，报文转发行为一致，不存在 AC 集中后再通过有线转发的情况，消除无线流量瓶颈限制，整机转发能力能达到 Tbit，学校不需要单独购买 AC 设备或者插卡，既解决了节省了投资又

36、减少了故障点。 融合管理：融合管理：借鉴业界 AC 管理 AP 的成功经验，让敏捷交换机把接入层交换机也管理起来，有线无线采用一种协议，通过 CAPWAP 隧道实现一致的管理机制，实现接入交换机即插即用，降低信息中心老师日常工作中的管理复杂度。 5.5. 业务随行规划业务随行规划 业务随行是敏捷网络中一种能够满足不管用户身处何地、使用哪个 IP 地址，都可以保证该用户获得相同的网络访问策略的解决方案。 在网络中， 为实现用户不同的网络访问需求， 可在接入设备上为用户部署不同的网络访问策略。但随着企业网络移动化、BYOD 等技术的应用，用户的物理位置以及 IP 地址变化愈加频繁， 这就使得原有基

37、于物理端口、 IP 地址的网络控制方案很难满足用户网络访问体验一致性的需求（譬如网络访问权限不随用户物理位置变化而变化） 。 在传统网络中，当用户的物理位置发生变化时，为保证用户的网络访问体验一致，管理员需要在用户的每个接入设备上为其部署相同的网络访问策略， 这在用户物理位置变更频繁时会给管理员带来巨大的工作量。而在敏捷网络中，通过业务随行方案，管理员仅需在控制器上统一为用户部署网络访问策略， 然后将其下发到所有关联的接入设备即可满足不管用户的物理位置以及 IP 地址如何变化，都可以使其获得相同的访问策略。 业务随行通过在网关设备上统一管理用户的访问策略， 并且在网关设备和接入设备执行 XX

38、医院信息化建设技术建议书 第第 15 页页 共共 53 页页 用户的访问策略，来解决网络中策略强度与复杂度之间矛盾的一种解决方案。 控制设备和接入设备之间使用 CAP And Provisioning of Wireless Access Points）通道建立连接。并且，通过 CAPWAP 通道完成控制设备和接入设备之间的用户关联、消息通信、用户授权策略下发、用户同步等处理。 5.6. SVF 全网虚拟化规划全网虚拟化规划 传统网络多采用树状分层结构，分为核心、汇聚、接入三层，其中核心/汇聚层多采用横向集群，接入交换机数量庞大。 本部署方案旨在通过 SVF 超级虚拟交换网， 将整个网络虚拟化

39、为一台设备， 实现将盒式交换机虚拟为核心敏捷交换机的板卡，将 AP 虚拟为核心敏捷交换机的无线端口，使得原来“核心/汇聚+接入交换机+AP”的校园网络架构，虚拟化为一台设备，整个网络成为“One Box”，从而最大程度简化运维人员的日常运维工作，同时降低多协议应用下的网络配置、运行复杂度，提升网络可靠性。 5.7. 用户接入认证规划用户接入认证规划 5.7.1. 有线用户接入有线用户接入 （1） 接入交换机配置端口隔离， 每个接入交换机配置一个 VLAN， VLAN 编号可以重复。 XX 医院信息化建设技术建议书 第第 16 页页 共共 53 页页 （2）S12700 做为用户网关，Porta

40、l 用户上线到后 DHCP 服务器给用户分配 IP 地址，在通过认证之前用户只能访问认证前域的服务器，用户的第一个 HTTP 报文进行重定向到Portal 服务器，实现 WEB 认证，认证通过后允许用户访问认证后域。 （3）S127 作为用户网关，1X 用户直接到第三方 AAA 服务器进行用户名和密码认证。 （4）有线用户的互访都需要通过 S12700 进行流量转发。 5.7.2. 无线用户接入无线用户接入 S12700 内置硬件随板 T-bit AC，并支持统一用户管理功能，更敏捷地实现了丰富的业务特性。 S12700 内置硬件随板 T-bit AC，可节省用户额外购买 AC 硬件的费用。此

41、外，S12700内置硬件随板 T-bit AC 突破外置 AC 处理性能的瓶颈，从容面向高速无线时代。 S12700 支持统一用户管理功能，屏蔽了接入层设备能力和接入方式的差异。S12700 不仅支持 802.1X/MAC/Portal 等多种认证方式， 还支持对终端进行分组/分域/分时的管理， 使终端、业务可视可控，实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。 交换机配套 X1E 接口板，可以部署 WLAN AC 功能，集中管理大量的 AP，对海量用户提供 Wi-Fi 接入服务。 AC 通过 CAPWAP 协议报文管理和控制 AP， 而 X1E 接口板可以处理 CAPWAP报文

42、，所以组网时，需要保证 AP 的报文流量通过 X1E 接口板进入交换机。 5.8. 无线网络建设规划无线网络建设规划 5.8.1. 无线医疗简介无线医疗简介 当代社会，人口快速增长、老龄化趋势加快、生态环境恶化，人们对健康生活渴望愈加强烈， 多方面因素不可避免地对医疗信息化提出了越来越高的要求。 医疗单位也步入了以服务患者为中心的数字化医疗发展阶段。 在此过程中， 随着移动技术日新月异地改变人们的生活方式，“无线医疗”也成为近两年医疗行业最关注的信息化技术和手段。 目前大部分三甲医院已经建立了比较完备的的医疗信息系统（如 HIS、PACS 等） ，医护人员可以通过有线网络来访问、修改、输入患者

43、信息、诊断报告和治疗方案，但在使用过程中发现，由于有线网络存在信息点固定的局限性，制约了系统发挥更大的作用。无线网络的应用将彻底打破了这一局限。无线网络在医院的应用主要集中在以下几方面： 移动移动查房查房 医生查房的过程中， 需要随时调取患者的诊疗记录或病史等信息， 并根据患者当时的具体病情随时下医嘱。无线网络的应用，可以使医生通过随身携带的平板电脑或 PDA，随时查 XX 医院信息化建设技术建议书 第第 17 页页 共共 53 页页 看病人病历、检验、化验报告单、影像图等，把 HIS、PACS 等信息系统“延伸到床边”，医生在病人床边即可采集病情、 开出医嘱， 以及实现医护人员之间的便捷沟通

44、， 信息同步； 给医生工作带来便利的同时，也保证了医嘱和病历的准确性、实时性，让患者享受到更满意的健康服务； 无线护理无线护理 患者从就诊到得到治疗通常需要经过 3 个步骤： 医生检查患者得出初步诊断后开具医嘱，护士将医嘱转抄到输液袋或治疗卡上并准备执行， 护士实施治疗方案。 这 3 个环节的每一步都至关重要。 随着无线网络技术、用户身份识别技术与医用推车、小型电脑、PDA 的结合，能够实现方便的移动护理， 对医嘱执行过程中的每一步进行实时检查和确认， 切实提高医疗质量和医护效率。 资产资产管理管理 医疗设备不仅是开展医疗、教学、科研的必备条件，而且是提高医疗质量的物资基础和先决条件。一般医疗

45、单位的医疗设备约占医院固定资产的 1/2，而经济效益约占门诊和住院病人资金收入的2/3， 也是医院产生医疗信息的主要来源。 基于WLAN技术和射频技术 （RFID） ，不仅可以实现贵重资产的精确定位、实时跟踪，同时可实现移动性的资产出入库、资产盘点等功能 特殊病人管理特殊病人管理 特殊人群管理包括母婴管理，精神病人、突发病患者、残疾病人等特殊人群管理；这类群体不具备自我管理能力，需要医疗单位给予更加完善、细致的照顾。结合 WLAN 技术和射频识别技术，可以实现实时位置信息查询、紧急情况告警、医院特殊重地管理、安全范围界定等，提高医院管理水平。 无线输液无线输液 门诊输液工作量大，业务繁忙琐碎，

46、一旦出现差错，有可能危及病人生命安全；基于WLAN 技术的无线输液管理系统可以解决在门诊场地有限、人员流动性大的场合病人输液难题。输液信息电子化，结合“病人腕带”、具备扫描功能的无线 PDA，实现病人从入院、治疗到出院全过程的身份确定，并在取药、配药、输液等各个环节利用电子条码对病人、药物严格进行验证匹配，医护人员一目了然，最大程度上保证病人服药及治疗的安全，降低医疗差错发生率。 XX 医院信息化建设技术建议书 第第 18 页页 共共 53 页页 方便患者就诊方便患者就诊 门诊排队、就医环境差是目前医院普遍存在的问题，减少就诊等待时间，提高诊治效率成为当务之急。无线网络部署后，医生可以通过平板

47、电脑或者 PDA，将接诊或等待的患者数量信息实施传送到前台分诊人员处， 方便分诊人员及时调配资源； 同时在公共局域开放的无线网络，可以提供给病人上网，并推送医院电子地图和推送就诊指导信息，缓解病人情绪，提升患者满意度。 5.8.2. 无线医疗的总体需求无线医疗的总体需求 随着医院信息化的发展、网络中所承载内容的变化、新的接入方式的成熟。现代 WLAN无线医院的需求概括为如下几点。 5.8.3. 无线网络安全问题无线网络安全问题 由于无线电波的开放性，对医院通过传统的内网物理隔离来保证安全提出了新的挑战；医院中患者的电子病历、个人资料一旦被泄漏、恶意修改，或者被其他机构获得，都会酿成严重后果。同

48、时，医院自身的信息保密也尤为重要，避免信息泄露造成难以弥补的损失。 如何保证内网、外网的安全隔离，如何保证移动场景下的接入访问控制，以及避免信息通过移动终端泄露，成为无线安全方面关注的重要问题； 5.8.4. 无线网络规划实施问题无线网络规划实施问题 无线网络的规划和实施直接决定了后续的业务应用效果，主要关注以下几个问题： 信号覆盖盲点问题：建筑物的不同架构（如卫生间问题）和墙壁介质会对无线信号的传输造成不同程度的影响，尤其是部署大量AP时，如何实现信号连续覆盖无盲点是必须考虑的问题。 无线AP供电：许多医院在开始建楼时并没有考虑到无线网络的部署问题，也就没有预留出电源供无线AP使用，如果重新

49、改造电源线路，施工成本必然提升。 AP之间的干扰问题：在一定的空间内部署多个AP，信号会有相互交错重叠，从而造成信号干扰。如何解决，需要关注。 覆盖环境中其他的2.4GHz/5GHz波段的射频干扰源，如微波炉、无绳电话、蓝牙耳机等； 无线设备对患者（患者体内植入心脏起搏器或心脏除颤器）潜在的干扰； 医院部署时需要考虑无线网络与医疗仪器之间不存在互相干扰， 以及尽量解除部署无线给病人带来的心里压力。 XX 医院信息化建设技术建议书 第第 19 页页 共共 53 页页 5.8.5. 无线用户漫游问题无线用户漫游问题 无线设备的最大特点就是接入点灵活方便， 但同时对网络性能提出更高的要求： 医护人员

50、在不同无线网络覆盖区移动时能否快速接入医院管理系统， 在快速的移动过程中如何保证业务不中断，不会造成信息丢失以及影响医护人员的工作体验。 5.8.6. 无线网络管理问题无线网络管理问题 为了达到信号全面覆盖，无线网络中往往需要部署大量 AP，如何对数个 AP 进行快速有效的配置和管理，融合到原有的管理系统中，有线无线网络能否实现一体化的统一运维，也是许多医院在部署无线网络时关心的问题。 5.8.7. 无线医疗基础网络设计无线医疗基础网络设计 不同医院现有有线网络架构的差异，使得各医院的 WLAN 网络建设存在一定的差异。根据获嘉县红十字医院减租结构及网络状况，建议不改变有线网，WLAN 无线网