H3c无线覆盖技术方案.docx

《H3c无线覆盖技术方案.docx》由会员分享，可在线阅读，更多相关《H3c无线覆盖技术方案.docx（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、H3c无线覆盖技术方案 协和医院西区住院部无线网络覆盖 技 术 建 议 书 东风通信技术有限公司武汉分公司 2022-9-5 目录 一、概述 (4) 二、项目需求 (4) 三、网络建设方案 (6) 3.1无线网络基础方案 (8) 3.1.1方案逻辑组网图 (8) 3.1.2 H3C WLAN产品优势概述 (9) 3.1.3产品的选型 (10) 3.2、各楼层AP部署图 (12) 3.2.1AP部署说明 (12) 3.2.2无线网络安全 (12) 3.3无线用户接入管理 (15) 3.4无线网络QOS (16) 3.4.1漫游切换支持 (16) 3.5无线网络管理 (17) 3.5.1总体需求

2、(17) 3.5.2集中网络管理 (17) 3.6频率规划与负载均衡 (17) 3.7供电问题 (18) 3.8覆盖区域详细说明 (18) 3.9网管软件-iMC WSM无线运营管理组件 (19) 3.9.1无线有线一体化管理 (20) 3.9.2多样化的拓扑管理 (20) 3.9.3无线终端查看和漫游记录审计 (21) 3.9.4 RF覆盖管理 (21) 3.9.5无线定位与GIS管理功能 (22) 3.9.6基于物理位置的无线终端准入控制 (23) 3.9.7AP上联设备查询 (24) 3.9.8主备AC管理 (24) 3.9.9无线入侵检测和防护 (25) 3.9.10丰富的无线统计报表

3、 (25) 四、产品说明 (26) 4.1 EWP-WA2612-AGN无线接入点 (26) 4.2 H3C WX3024系列无线控制器 (33) 一、概述 无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。对比传统的有线传输解决方案，使用WLAN网桥实现数据传输具有以下显著特点： 简易性：WLAN网桥传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作； 灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域； 综合成本较低：一方面WLAN网络减少了布线的费用，另

4、一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于WLAN技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆自适应网口和企业内部Intranet 相连，从体系结构上节省了协议转换器等相关设备； 扩展能力强：WLAN网桥系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统； 二、项目需求 协和医院西区前生是东风汽车公司神龙医院，地处武汉西南部，武汉经济技术开发区中心地段，规划用地80亩，已有建筑面积1.8万平方米，实际开放病床220 张。西区建有临床、医技科室19个，设置综合重症监护、综合外科、创伤外科、综合内

5、科、妇产科、五官综合（含整形美容）7个独立病区。各科室主任均由医院本部教授担任，另有一大批国内知名专家长期在这里工作。西区拥有国际先进的多排螺旋CT、全自动生化分析仪、五分类血球仪、全自动麻醉机等多种高端手术设备，并实现了与本部医学信息共享、区域内实时远程会诊的能力。病区还配备有中心供养、中心吸引、中央空调、中心传呼和病房独立卫生间，环境优美，四季常青，被誉为花园式医院。 西区总体规划建筑面积近20万平方米，设计年门诊量80万人次、开放床位2000张。其中，一期工程即投资4.6亿元的外科住院大楼已经完成前期准备，即将破土动工。 该院负责人表示，将利用2年至3年的时间，把西区建成拥有1200张病

6、床、以急救创伤医学为特色的大型综合性三甲医院，成为武汉西南部的医疗中心。 根据实际工作需要，拟在协和医院西区进行无线局域网络搭建，要求该网络支持 IEEE 802.11n协议，一期工程覆盖住院部，每层楼配置相应数量的AP，便于电子病历业务的顺利开展，无线局域网拓扑结构采用星形以太网，无线接入所需布设的AP通过接入设备接入到网中，在接入层提供相应的接口给AP使用。 a) 本工程具体的建设目标是： 1、采取通行的网络协议IEEE 802.11g标准，选取合理的无线覆盖方案，从而实现对住院部各楼层相应区域的WLAN信号覆盖，住院部无盲点（电子病历系统开展顺利），提供稳定可靠的无线宽带网络接入服务；

7、2、全面的无线网络支撑系统（包括无线安全、无线QOS等），以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题； 3、保证网络访问的安全性，支持用户多种接入方式认证机制,包括：基于PPPoE、802.1X、Portal、MAC等认证，支持外置的Portal服务器和外置的AAA服务器系统； 4、无线宽带网络将来应该能够支持WIFI语音、IPTV等增值业务； 5、安全、认证和管理要求。为了阻止非授权用户访问无线网络，以及防止对无线局域网数据流的非法侦听，无线网络要具有相应的安全手段，主要包括：物理地址（MAC）过滤、服务区标识符(SSID)匹配、AES加密，双向认证等方式。 工程布线和安

8、装要求： 室内部分：将网线走暗线敷设到位挂在天花板上，则根据天花板的情况而定，天花板是非金属结构，可以固定在天花板内。安装过程中应充分考虑防盗问题。 供电部分：AP的供电可采用其相应的POE供电模块配合市电进行供电。 产品能力要求要求： 具有无委会核准证； 支持负载均衡； 漫游切换； 支撑QOS能力 支持Guest VLAN的要求，以满足合作伙伴用户通过省税务分局网络访问归属于公司的网络，以获取相关资料，以很好的支撑省税务分局工作； 良好的售前售后服务，及时响应用户的需求。 三、网络建设方案 针对协和医院西区住院大楼的需求采用WLAN技术构架宽带网络服务，从技术上、工程上以及提供的服务质量上均

9、能较好的满足局方的要求。 对方案的选择,我们严格按照客户的需求进行, 采用瘦AP+无线控制器+POE接入交换机的组网方式，AP通过POE供电模块配合市电进行供电。本次供电方案有两种：通过无线控制器H3C WX3024上的24个POE供电端口供电；通过H3C WA2612-AGN自身配备的POE模块供电。两种方式很好的解决了集中供电和分散供电的问题。 另外，之所以要选用控制器+瘦AP解决方案，是因为就目前的AP分散状态开，分别部署在两栋大楼的不同楼层，对于管理员来说，对AP的软件升级、配置管理以及无线客户端的定位是件很懊恼的事情。有了控制器，可以将分散的AP集中管理和控制，统一下发配置和更新系统

10、等，还可以和有线用户实现一体化的验证、智能的负载分担和二层三层漫游等。 从安全角度考虑，为实现业务的有效隔离，采用针对不同业务分配不同SSID方式进行业务区分，其中一个无线网段只能访问互联网，另外可以再设置一个无线服务（SSID）用于管理人员无线对内网的管理。并对同一个AP下的不同SSID设置不同的权限，后期还可以配合认证、EAD等手段做到终端的准入和安全接入。需要说明的是，1个AP上配置两个服务模版，通过索引号和SSID区别，对于不方便更改索引号的，例如IPAD、手机等终端设备，建议使用默认索引号1，特殊功能应用的，用别的索引号2、3、4。举例如下： wlan service-templat

11、e 1 crypto ssid lan bind WLAN-ESS 1 authentication-method shared-key cipher-suite wep104 wep default-key 1 wep104 pass-phrase cipher ACA-H$4F+_8a,JMO_8(Q! service-template enable # wlan service-template 2 crypto ssid wan bind WLAN-ESS 2 cipher-suite wep104 wep default-key 2wep104 pass-phrase cipher

12、ACA-H$4F+Y-)REI=T$(Q! wep key-id 2 service-template enable # wlan ap ap02 model WA2612-AGN serial-id 210235A0ALB101000043 radio 1 max-power 20 service-template 1 service-template 2 radio enable # 对于用户关心的无线定位问题，后期可以配置相应网管软件轻松实现，但就目前状况来说，也可以实现无线客户端的定位，实际操作举例如下： 首先在核心交换机（H3C S7506E）上，查看当前网内的arp表 该例子中19

13、2.168.12.x是无线网段，同样采用H3C WX3024控制器和WA2612-AGN组网。拿192.168.12.124来看，可以从核心交换机上得知是从GE1/0/19学习到的arp报文。 而19号电口接的是WX3024有线无线一体化交换机，对应控制器管理IP是 10.10.10.100。 其中100是控制器管理IP，101是交换卡管理IP。然后telnet 10.10.10.100， 这样就可以看出该客户端接在AP8上面。 3.1无线网络基础方案 3.1.1方案逻辑组网图 鉴于武汉协和医院西区是首次部署WLAN网络，本次工程采用无线网就近接入的原则，采用瘦AP+无线控制器的组网方式。我们

14、推荐H3C WX3024无线控制器，主机24个千兆电口支持POE供电,可直接对AP进行馈电，如有线距离太长则可采用AP的POE供电模块配合市电进行供电，具体的逻辑组网图如下图所示： 图1协和医院西区办公区域无线覆盖逻辑组网示意图 根据用户需求可知,需要认证上网,但要支持.产品选型非常重要,根据我们多年的经验和对技术的认识,在各大无线厂商中我们能看到H3C无线产品和技术的优势. 3.1.2 H3C WLAN产品优势概述 ?电信级产品质量保证 H3C自2022年公司成立以来就继承了业界领导厂商华为和3Com的WLAN产品。整个无线产品的规划都是按照电信级设计，从阻容到主处理器芯片，每一个元器件都经

15、过严格质量认证和技术认证，基本上是选用一流供应商的元器件，保证元器件的性能和品质。在产品生产上，H3C公司采用业界先进的IPD CMM3.0集成产品开发流程，有严格的质量管理体系，从全流程的每一个环节控制产品质量。 ?强大的研发团队，自主知识产权，快速响应客户需求 H3C的研发团队分布在北京、杭州、深圳和印度，海外研发中心紧跟前沿技术脚步，国内研发中心快速响应客户需求。H3C全系列WLAN产品采用完全自主研发的软件，并采用了业界最为严格的测试标准，由位于北京的独立的鉴定测试中心来最终鉴定产品能否达到质量 标准。此外由于自主开发软件，完全掌握知识产权，很容易根据客户的要求定制特殊功能， 以满足特

16、定情况下的应用。 ?完善的服务体系 H3C公司在全国建立了30个区域服务中心和区域备件系统，承诺为客户提供专业、快捷、规范的服务，通过先进的通信技术与总部的技术服务平台连接，完成客户档案、维护经验案例、备件库存、产品发布等信息的共享，形成覆盖全国地市级城市，专职人员规模超过400人的技术服务体系。H3C致力于通过高质量的服务提高用户网络的可用性，提升用户满意度。 H3C成立了备件中心（SPC，Spare Parts Center）专门支撑H3C公司的售后服务和向客户的承诺，依托遍布全国主要城市的30个区域备件库和位于杭州、北京及深圳的3个分拨中心，建成了国际化、标准化、现代化的物流管理系统。H

17、3C备件中心科学地进行备件仓储分析和管理，能够向客户提供高效的备件服务，最大限度地保障客户网络的平稳运行。 ?丰富的无线网络工程经验 无线网络的工程实施对整个项目的成败至关重要。H3C专门成立了无线工程督导团队来确保无线网络工程的顺利实施，目前H3C公司已经成功实施了第六届亚洲冬季运动会、北京解放军总医院、国家知识产权局、新华社、北京航空航天大学、北京交通大学、华东理工大学、上海汤臣洲际大酒店等无线网络工程的部署，具备丰富的无线项目实施工程经验，保证项目进度，后顾无忧。 3.1.3产品的选型 无线AP 根据我们对客户需求的了解，大楼各楼层AP覆盖我们选用H3C的WA2612-AGN，WA261

18、2-AGN是华三通信技术有限公司（H3C）自主研发的双频多模系列无线接入点，可广泛应用于各种向用户提供WLAN接入的无线网络；WA2612-AGN作为瘦AP（FIT AP）与H3C公司自主研发的无线控制器系列产品配套使用。 WA2612-AGN基于业界最新的硬件平台，具备业界同类产品最优的无线射频功能，同时产品集硬件加密、零配置、自动信道分配、多BSSID、IPv6等多个功能于一体，实现网络的易操作性、易维护性、健壮性，并能有效的防止网络配置的对外泄漏。 WA2612-AGN与H3C公司自主研发的系列无线控制器之间的通信基于标准的CAPWAP架构，通过无线控制器实现集中管理和简单的即插即用安装

19、。同时，AP的配置信息保存在无 线控制器中，即使更换AP，配置信息也可以自动下发，无需重新配置。与传统基于无线控制器的集中式加密相比，WA2612-AGN对用户数据实现了本地流量加密，可大大减轻了无线控制器的负担。无线控制器与后端授权/认证/计费 (AAA) 服务器配合，可以控制用户和用户组的网络访问策略，当用户漫游网络时提供安全的业务连续性和完整性。 WA2612-AGN产品具有双频能力，即可以工作于WLAN的2.4GHz频段或5GHz频段之上。支持多模，即指IEEE802.11a、IEEE802.11b和IEEE802.11g三种模式。WA2612-AGN可通过软件配置支持IEEE802.

20、11a或IEEE802.11b/g。 WA2612-AGN支持多SSID实现虚拟AP特性，每个SSID可对应不同的VLAN、从而对于每一个SSID可以实现不同的网络服务及认证方式。该特性使管理员可以方便的为不同用户群、不同的业务制定区分的服务策略。 无线控制器 根据我们对AP的个数可以确定无线控制器（AC）的型号，根据我们的计算，一期大约需要部署30个AP，我们可以推荐H3C的WX3024，标配可以支持24个Fit AP，WX3024：最多可管理48个AP；24个GE电口，支持POE供电；交换容量为： 88Gbps；包转发率： 65.47Mpps。传统无线网络的部署需要网络管理员对网络中的每一

21、个AP进行逐一配置，当无线网络规模较大时网络管理员往往要配置上百个AP，工作量巨大，且容易出错。而采用无线控制器和FIT AP配合组网时，只需要在无线控制器上对一类相同属性的AP建立配置模板，AP在启动时可以自动从无线控制器上下载最新的配置文件。另外，由于AP本身不保存任何配置，万一设备丢失，也可以保证网络配置不被窃取。AP支持启动后自动获取IP地址、自动获取AC 的工作列表并自动和AC建立关联，真正做到了零配置，免维护，即插即用，极大地减轻了网络管理员在部署网络阶段的维护工作量。当网络正常运行以后，无线控制器对所管理的AP以及AP所接入的用户进行实时监控，并能将这些信息实时上报给网管。维护人员可以指定AP或用户进行在线服务策略设定和安全策略设定，使网络配置策略更加灵活。同时，无线控制器支持AP软件自动更新功能，AP在每次重新启动时会自动比较当前运行的软件版本和无线控制器上的最新版本是否一致，如不一致AP会自动更新本地的软件映像，软件升级不再需要网管人员的干预。