医院网络解决方案(模板)

××医院网络解决方案技术建议书

××医院网络解决方案技术建议书 ............................................................................................................... 1 第1章 概述 ............................................................................................................................................................. 4

1.1 医院网络建设需求 .................................................................................................................................... 4

1.2.1 内网需求 ................................................................................................................................... 4 1.2.2 外网需求 ................................................................................................................................... 5 1.2 网络安全需求 ............................................................................................................................................ 5 1.3 医院业务应用分析 .................................................................................................................................... 6

1.3.1 医院业务划分 ................................................................................................................................. 6 1.3.2 应用系统分类 ................................................................................................................................. 6 1.3.3 医院业务系统的需求 ..................................................................................................................... 7

第2章 ××医院网络系统 ..................................................................................................................................... 8

2.1 网络设计原则 ............................................................................................................................................ 9

2.1.1 核心层需求分析 ........................................................................................................................... 10 2.1.2 接入层需求分析 ........................................................................................................................... 10 2.1.3 链路层需求分析 ............................................................................................................................11 2.2 ××医院内网规划设计 ...........................................................................................................................11 2.3 ××医院外网规划设计 .......................................................................................................................... 13 第3章 整网安全防护设计 ................................................................................................................................... 15

3.1.1 地址扫描攻击防护能力 ............................................................................................................... 15 3.1.2 DoS/DDoS攻击防护能力 ............................................................................................................. 15 3.1.3 广播/组播报文速率限制 .............................................................................................................. 16 3.1.4 MAC地址表容量攻击防护能力 .................................................................................................. 16 3.1.5 静态MAC地址表项和ARP表项绑定能力 ............................................................................... 16 3.1.6 强大的ACL能力 ......................................................................................................................... 16 3.1.7 URPF（单播反向路径查找）检查能力 ....................................................................................... 17 3.2 控制信令层面的安全能力 ...................................................................................................................... 17

3.2.1 ARP协议攻击防护能力 ................................................................................................................ 17 3.2.2 地址冲突检测能力 ....................................................................................................................... 17 3.2.3 TC/TCN攻击防护能力 ................................................................................................................. 17 3.2.4 地址盗用防护能力 ....................................................................................................................... 18 3.2.5 路由协议攻击防护能力 ............................................................................................................... 18 3.3 设备管理层面的安全能力 ...................................................................................................................... 18

3.3.1 管理用户分级分权 ....................................................................................................................... 18 3.3.2 支持安全的远程管理 ................................................................................................................... 19 3.3.3 支持安全审计 ............................................................................................................................... 19 3.3.4 安全接入控制 ............................................................................................................................... 19 3.3.5 SFTP服务 ...................................................................................................................................... 19 3.4 ARP攻击简介 ........................................................................................................................................... 20

3.4.1 仿冒网关 ....................................................................................................................................... 20 3.4.2 欺骗网关 ....................................................................................................................................... 21 3.4.3 欺骗终端用户 ............................................................................................................................... 21 3.4.4 “中间人”攻击 ................................................................................................................................. 22 3.4.5 ARP报文泛洪攻击 ........................................................................................................................ 22 3.5 ARP攻击防御 ........................................................................................................................................... 22

2016-9-22

第2页, 共51页

3.5.1 DHCP Snooping功能 ..................................................................................................................... 23 3.5.2 ARP入侵检测功能 ........................................................................................................................ 23 3.5.3 ARP报文限速功能 ........................................................................................................................ 23

第4章 无线应用设计 ........................................................................................................................................... 24

4.1 无线业务需求分析 .................................................................................................................................. 24 4.2 整体无线建网原则 .................................................................................................................................. 24 4.3 WLAN组网关键问题解决 ...................................................................................................................... 25 4.4 频率规划与负载均衡 .............................................................................................................................. 27 4.5 切换与漫游 .............................................................................................................................................. 28 4.6 AP供电 ..................................................................................................................................................... 29 第5章 智能管理中心设计 ................................................................................................................................... 29

5.1 网络管理解决方案 .................................................................................................................................. 30

5.1.1 系统安全管理 ............................................................................................................................... 30 5.1.2 资源管理 ....................................................................................................................................... 32 5.1.3 拓扑管理 ....................................................................................................................................... 33 5.1.4 故障（告警/事件）管理 .............................................................................................................. 38 5.1.5 性能管理 ....................................................................................................................................... 43 5.1.6 设备管理组件 ............................................................................................................................... 46 5.2 无线业务管理解决方案 .......................................................................................................................... 47

2016-9-22 第3页, 共51页

第1章 概述

1.1 医院网络建设需求

1、为HIS、PACS等应用系统提供一个强有力的网络支撑平台；

2、网络设计不仅要体现当前网络多业务服务的发展趋势，同时需要具有最灵活的适应、扩展能力； 3、一体化网络平台：整合数据、语音和图像等多业务的端到端、以IP 为基础的统一的一体化网络平台，支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理； 4、数据存储安全:医院信息系统的数据存储需要具有存储量大、扩充性强的特点。

5、医疗信息的安全保护，也是组要的环节，网络的设计不仅要考虑用户与服务器之间的互联互通，更要保护关键服务器的安全和内部用户的安全。

1.2.1 内网需求

内网是医院核心网络系统，用于开展日常医疗业务（HIS、LIS、PACS、财务、体检系统等）的内部局域网，系统应稳定、实用和安全，具有高宽带、大容量和高速率等特点，并具备将来扩容和带宽升级的条件。

? 网络设计要求：

1、实现万兆主干，桌面接入实现100/1000M自适应（传输图像的桌面直接实现1000M接入）； 2、配备的网管软件应提供可视的形象化的图形界面，对整个网络中网络产品的全部端口进行监视和管理； 3、交换机互连采用多条链路捆绑，防止链路瓶颈，并提供链路冗余。

由于医疗行业的特殊性，医护人员和病患者之间需要频繁地在院内移动、同时处理大量的信息，要求网络具备可移动性、传输速率高等特点。同时考虑到医院业务量的增加，网络需要留出足够余地扩容而不影响医院正常的工作。

? 网络应用设计要求：

1、院内核心网络系统HIS、PACS和LIS、体检系统等应用分别单独组网。以子网的形式组成医院的整体网络。各网络功能独立应用，信息互通，资源共享；当任何一个子网出现故障，都不会影响到其他子网的使用。

2、新建的网络系统应充分考虑跟现有网络系统的平滑接入，不影响现有系统的正常运行，并考虑和现有网络系统实现网络冗余。

3、住院病区考虑到无线查房的需要，需要部署无线网络。

4、传输动态图像的部门有：放射影像科、PET/CT、核磁共振MRI、介入放射科DSA、B超室、心超室、

2016-9-22

第4页, 共51页

脑超室、心电图室、肌电图室、胃肠镜室、内窥镜室、重症监护室（ICU、CCU等）、手术室、麻醉科、视频示教室和会议室等。

5、医保(包括省医保、市医保、区医保以及市公费医疗)是专线接入。须配置医院内网与专线网的接口。 6、为了更好地服务于医疗科研工作，需要将各类监护治疗仪器上的各项生命体征等信息以数字化手段采集并且保存下来，在需要时，可随时还原。因此，须考虑将医院所有的监护仪器和大型设备都联网。

1.2.2 外网需求

外网原则上是指除医院内网之外的所有网络系统，包括INTERNET、银联系统、医院图书馆知识管理平台、和市卫生局联网的应急系统、办公自动化系统、电视监控信号传输、BA、安防监控、视频会议系统、公共区域无线上网等。

1、应急系统也是卫生局专线接入，通过外网接口和院内视频会议系统连接。 2、银联系统是用各POS机终端通过外网接口与原银联系统连接。

3、Internet网提供远程医疗、远程教育、局办公自动化服务、医疗设备远程维护等。

4、医院内部职工文献检索及知识管理平台集中在电子图书馆，但须在所有办公场所、住院楼病房、宿舍等地方预留Internet网接口。

5、办公自动化系统服务器设在二号楼十二楼机房，需在新大楼预留外网接口。 6、院内电视监控系统采集的信号需要从医院外网系统上传输，需预留外网接口。 7、每个病区病床需预留外网接口考虑将来做电视点播（IPTV）作用。 8、医院公共区域无线上网可以考虑交由网络运营商直接建设和收费。

9、以上系统建议分别单独组网，以子网的形式组成整体网络。各网络功能独立应用，信息互通，资源共享；当任何一个子网出现故障，都不会影响到其他子网的使用。

1.2 网络安全需求

为了应对现在层出不穷的网络安全问题，在设计整个网络系统的过程中要充分考虑到利用防火墙、入侵检测等设备以及和杀毒软件的配合使用，解决医院目前现有系统及新建系统的网络安全问题。基本要做到：故障排除、灾难恢复、查找攻击源、实时检索日志文件、即时查杀病毒、即时网络监控等。 1、故障排除：要求做到一旦网络出现异常，如无法访问网络，网络访问异常等，要能提供及时、有效的服务，在短的时间内恢复网络应用。

2、灾难恢复：要求做到设备遇到物理损害网络应用异常时通过备品备件，快速恢复网络硬件环境;通过备份文件的复原，尽快恢复网络的电子资源;在最短的时间内恢复整个网络应用。

3、查找攻击源：要求做到发现网络遭到攻击，需要通过日志文件等信息，确定攻击的来源，为进一步采

2016-9-22

第5页, 共51页

取措施提供依据。

4、实时检索日志文件：要求做到能实时查看当时存在的针对本网络的攻击并查找出攻击源。如果攻击强度超出网络能够承受的范围，可采取进一步措施进行防范。

5、即时查杀病毒：要求做到网络中出现病毒，通过及时有效的技术支持，在最短的时间内查处感染病毒的主机并即时查杀病毒，恢复网络应用。

6、即时网络监控：要求通过网络监控，尽可能发现网络中存在的前期网络故障，在故障扩大化以前及时进行防治。

1.3 医院业务应用分析

1.3.1 医院业务划分

医院的业务系统有很多，而且不同的专科医院业务系统也有很大区别，但以下一些业务系统是医院都具有的：

? 门诊系统 ? 住院系统 ? 体检系统 ? PACS系统 ? 医院管理经济系统 ? 区域医疗系统

1.3.2 应用系统分类

医院信息系统主要分成以下两类： ? 医院管理系统

? 门、急诊挂号子系统

? 门、急诊病人管理及计价收费子系统 ? 住院病人管理子系统 ? 药库、药房管理子系统 ? 病案管理子系统 ? 医疗统计子系统 ? 人事、工资管理子系统 ? 财务管理与医院经济核算子系统

2016-9-22 第6页, 共51页

? 医院后勤物资供应子系统 ? 固定资产、医疗设备管理子系统 ? 院长办公综合查询与辅助决策支持系统

? 临床医疗信息系统

? 住院病人医嘱处理子系统 ? 护理信息系统 ? 门诊医生工作站系统 ? 临床实验室检查报告子系统 ? 医学影像诊断报告处理系统 ? 放射科信息管理系统 ? 手术室管理子系统

? 功能检查科室信息管理子系统 ? 病理卡片管理及病理科信息系统 ? 血库管理子系统

? 营养与膳食计划管理子系统 ? 临床用药咨询与控制子系统

1.3.3 医院业务系统的需求

1）门诊系统

门诊业务作为医院直接面对患者的窗口具有非常重要的地位和自己的特点（包括焦急的病人无法忍受长时间的等待、门诊业务主要集中在上午等），门诊业务具有可靠性高、并发性、实时性和突发

性强等特点。因此门诊业务对网络提出了高可靠性、高带宽和QoS的要求。

2）住院系统

住院业务是医院的另一个主要组成部分，是医院经济收入的主要来源，同时还直接关系到重病患者的生命安全，具有以下几个特点：

住院业务的网络上流动着重症病人生命数据和各种新业务数据； 住院业务保存有患者病案数据和住院费用数据； 医生移动查房； 病人呼叫系统； 网上视频监控系统；

针对住院业务的以上特点，住院业务对网络提出了高可靠性、安全存储、QoS和无线局域网、VoIP

2016-9-22

第7页, 共51页

和视频会议系统的需求。

3）体检系统

现在很多医院建立专门的体检大楼，以满足民众不断扩大的体检需求。从业务角度上讲体检系统非常简单，它对网络的需求主要体现在安全性上，如何保护体检服务器上体检人员数据安全和体检大楼网络安全是医院体检系统解决方案所关注的。

4）PACS系统

医院的PACS系统主要是完成对患者的各种影像数据进行采集、存储、传输和处理，并在全院范围内进行共享，由于是各种图形图像数据，因此具有存储量大的特点，为了更好的服务于医院业务，PACS业务对支撑系统提出以下要求：存储量大、扩展性强、数据快速存储、数据容灾、高带宽

5）管理经济系统

医院管理经济系统主要是人、财、物的管理，包括人事、财务管理、药品药库管理等，因此它最大的需求是数据在服务器端和网络上的安全，保证这些数据不会泄露。

6）区域医疗系统

一方面为了发挥中心医院的辐射和覆盖作用，另一方面充分利用各家医院的特色科室的力量，区域医疗把这些资源进行共享和整合，这需要稳定的广域网连接。

根据初步的需求，我们按照内外网分离的原则，建成后的南扩大楼的新机房将成为以后医院的核心，原有机房成为备份冗余机房。

第2章 ××医院网络系统

目前，HIS系统在很多医院已经或者刚开始部署，很多传统业务都逐渐迁移到网络上，对网络的性能、安全和稳定提出了很高的要求，主要体现在以下几个方面：

1）可靠迅速的响应以提供更好的医疗服务

一般大医院每天的门诊量很大，最多可达到5000人/天，一般大型医院平均门诊达到1000－2000人/天，HIS系统每天对后台数据库的调用非常频繁，会产生很大的数据流量，如果这种访问流量出了问题而导致无法正常进行收费和医疗诊断，会产生严重的社会后果，因此医院对网络的访问性能有很高的要求。

2）安全的业务数据保证医院正常对外服务

在医院的业务系统中保存着大量患者的健康信息和过程费用信息，这些数据无论对患者还是医院都非常关键，需要严格保密，因此如何保护这些数据，对医院有着重大的意义。

2016-9-22 第8页, 共51页

3）高效的管理推动系统的稳定，提高维护的效果

HIS经过几年的建设，已经初具规模。如何管好整个医院的业务系统，包括用户、服务器、数据库、存储设备和网络等，提高医院管理效率，保证医院网络的正常运转已经成为医院急需解决的大问题。

4）医院数据的安全存储

医院需要存储包括病人信息、病案信息、费用信息和影像等数据，对数据存储的安全性和扩展性要求非常高。

5）区域医疗的建设

为了在区域范围内实现远程会诊、网上学术研讨等业务，迫切需要医院之间的资源共享。

2.1 网络设计原则

基于××医院目前网络现状和未来业务发展的要求，在××医院网络设计构建中，应始终坚持以下建网原则：

1、实用性：整个网络系统具有较高的实用性；

2、时效性：网络应保证各类业务数据流的及时传输，网络时效性要强，网络延时要小，确保业务的实时高效；

3、可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持医院各业务系统的正常运行。必须满足7×24×365 小时连续运行的要求。在故障发生时，网络设备可以快速自动地切换到备份设备上；

4、完整性：网络系统应实现端到端的、能整合数据、语音和图像的多业务应用，满足全网范围统一的实施安全策略、QoS 策略、流量管理策略和系统管理策略的完整的一体化网络；

5、技术先进性和实用性--保证满足医院应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到医院网络目前的现状以及未来技术和业务发展趋势。

6、高性能—医院网络性能是医院整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图像）的高质量传输，才能使网络不成为一眼业务开展的瓶颈。

7、标准开放性--支持国际上通用标准的网络协议（如IP）、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络(如公共数据网、金融网络、外联机构其它网络)之间的平滑连接互通，以及将来网络的扩展。

8、灵活性及可扩展性--根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。网络要具有面向未来的良好的伸缩性能，既能满足当前的需求，又

2016-9-22

第9页, 共51页

能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求。

9、可管理性--对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析功能以及可提供故障自动报警。

10、安全性--制订统一的骨干网安全策略，整体考虑网络平台的安全性。能有效防止网络的非法访问，保护关键数据不被非法窃取、篡改或泄漏，使数据具有极高的安全性；

11、保护现有投资--在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级，用作骨干网外联的接入设备，网络的投资应随着网络的伸缩能够持续发挥作用，保护现有网络的投资，充分发挥网络投资的最大效益。

2.1.1 核心层需求分析

××医院内网核心设备担负着连接汇聚层，服务器群和医保网的工作，同时通过核心设备的互联，形成一套完整的网络。由于核心层设备担负着整个网络的流量。在网络核心层的流量是非常巨大的，所有的服务器均在网络的核心层提供相关的服务。对网络核心层的压力非常巨大。同时网络对安全性、稳定性的要求极高，由于网络也基本是一个金字塔的形状，那么最需要稳定的就是金字塔的顶端，即网络的核心层。

网络核心层同时需要对网络的接入层提供不同的网络层的路由规划和信息转发的功能，同时还需要保证不同级别的网络QoS，对于服务器的关键业务通过链路级和网络级的协议实现严格的控制和优先级的保证。对于网络级的保护通常时间是非常长的，那么对一些关键业务，我们就必须通过结合二层快速收敛的协议一起来完成对网络安全性的提升和网络的自愈能力。设备必须支持对不同部门的规划，如实现全网统一VLAN的规划等。对每个系统分配不同的VLAN并且针对不同VLAN实现不同的安全和控制的策略等。但是在自身的网络核心层需要通过完全的三层策略来进行VLAN的终结和三层数据的交换工作，不建议全网全部采用统一网络协议进行规划，建议采用二层和三层协议相结合的方式共同实现网络的规划工作。

在核心层的规划中，主要应该采用结构稳定并且能够进行详细路由查找的三层路由协议来进行规划。

2.1.2 接入层需求分析

网络的接入是对用户直接进行数据透传的层次，但是由于网络的特殊性，本次的接入层主要是对一个局域网进行接入。对接入层概念就有了更新的解释。 对本次的接入层的主要需求的分析如下：

（1）、接入层用户数量的大直接产生大量的数据报文，直接通过三层的数据承载上来，同时造成碰撞域和冲突域，使网络瓶颈产生于网络的低层，直接影响接入质量。

（2）、接入层用户数量大，而所应用的数据种类繁多，多种网络业务流量的产生，包括组播业务的产生，

2016-9-22

第10页, 共51页

对所接入的网络设备要求很高，使整个接入层产生了一个业务接入瓶颈。

（3）、网络的访问终结于共享数据的特定位置，因为接入层用户需要通过网络最终访问位于网络另一端的共享服务器，而多个用户同时访问远端的同一台服务器或者存在访问网络的其他节点的服务器，就需要这几个用户争抢网络带宽，使接入层瓶颈提升到核心层，造成核心层资源的浪费。并且根据网络流量的分析得出用户的访问方向是不规则的，网络一定会出现闲置的带宽的现象，如何规划路由将非常重要。 （4）、网络流量和网络流向是宽带网络的一个新瓶颈。

对于宽带网络接入，接入层网络的通常是以新2/8原则来划分的，其中有20%的流量是在接入层交换机的内部进行交换的，而80%的网络流量是通过上联出口访问其他的网络设备。这里，就涉及到网络产生流量后，网络流向的问题，网络流向直接造成网络对于流量和流向所产生的网络瓶颈。

（5）、网络用户是局域网用户，实际接入的用户就是一个网络，那么对于不同网络之间的互访的安全性控制更是由为重要，同时各个不同的机关对本机关内部流通的部分文件是要求要有绝对的安全性的，对其他部门的用户的访问是分为很多的不同的级别的。

2.1.3 链路层需求分析

对于××医院这样的网络来说，各项业务的需求，对于网络的稳定性的需求就不言而喻。网络核心层的采用星型的设计思路，通过以太网的方式同样需要保证毫秒级的链路保护功能。对于链路级的保护能够实现对一些基本的链路进行备份起到冗余的特性，以便保证在某个物理链路断掉的时候还能保证用户的数据的传输功能，同时能够针对用户的关键的链路放置一条专有的链路实现备份功能，保证关键业务的不间断的连接。

通过针对网络级的保护需要针对不同的网络设备采用不同的网络级的保护协议来实现，针对整体的网络架构提供保护，将网络的稳定性和安全性提供更高的安全性。对于网络级的保护主要是通过网络的协议来实现的。并且网络的冗余技术有很多不同的实现方式，对于网络核心层的影响也不尽相同。 同时网络的稳定结构同样也需要网络设备自身的稳定性和自身的冗余的特性来保证，例如实现网络设备电源的冗余、网络控制板的冗余、无源背板、业务板件热拔插等。这样可以让设备出现问题的时候不至于会造成网络设备的瘫痪，可以通过在线更换背板、更换电源以及更换主控网板等方式来实现业务的不中断运行。同时可以通过网络主控板件和业务板件的业务热切换功能实现网络设备不停机。

2.2 ××医院内网规划设计

内网是整个医院的核心网络，开展医院日常重要的医疗业务，对网络的可靠性、稳定性要求非常高，本次设计的网络按照万兆交换平台、万兆骨干网络、千兆到桌面设计，内网核心交换机双机冗余、负载分担。网内拓扑设计采用三级架构，分为核心层、汇聚层和接入层。核心层位于总机房网络的中心，负责全网的路由交换，并与各服务器、存储等核心医院应用相连；新大楼汇聚层与核心层之间实现万兆连

2016-9-22

第11页, 共51页

接。

在接入层，选用的千兆接入交换机（S5120-24/48P-EI）具备24/48个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口（Combo），根据网络的点位把接入层设备堆叠以扩展设备端口。千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一，在诸如医疗行业的会诊、医疗影像、医疗科研协作等，应用在消耗大量带宽的同时，也在追求终端用户的满意度，基于铜缆的千兆以太网可以将更多的应用从低速链路中解放出来，并且为医务工作者创新提供了一个崭新高效能工作平台。

在汇聚层，选用千兆全光纤交换机（S5500-28F-EI），具备24 个SFP千兆端口，8 个复用的10/100/1000Base-T以太网端口（Combo），两个扩展槽位，提供了高性能、大容量的交换服务，支持10GE的上行接口，为接入设备提供了更高的带宽。汇聚层交换机万兆上联至核心交换机，千兆下行连接千兆桌面交换机，起到医疗网络中非常重要的上承启下的作用。

在核心层，推荐选用S7506E万兆性能交换机，医院网络同时承载多种业务，所有交易业务都要经过核心交换机处理，采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3C S7500E系列可以在恶劣的环境下长时间稳定运行，达到

2016-9-22 第12页, 共51页

99.999％的电信级可靠性；面向数据中心技术的演进，推出了以智能弹性架构（IRF）为代表的软件虚拟化技术，提供多台主机的协同工作、统一管理和不间断维护功能；IRF不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF所提供的高可靠性和无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分。

医院初期规划有多台服务器的容量，建议采用服务器接入交换机S5120-24P-EI，一方面分区建立专门的服务器区，保护医院重要资源的安全，另一方面，有利于今后医院业务的扩展，直接增加服务器而不必对网络结构和核心设备配置产生影响，从而构建具备高可靠性、易扩展性和易管理性的新型智能网络。

医院的无线覆盖空间主要包括：病房、护士站、医生办公室、会议室等；一般医院病房每间的空间不是特别的大，同时病房之间不是承重墙，建议无线的覆盖方案的原则是：以本着节约、全覆盖的原则，每隔15～20米左右布放1个AP。将AP放置在过道可以满足覆盖每一个房间。根据××医院设计图纸初步规划，经过初期无线规划，部署大致51个AP来保证整个医院的无线覆盖信号。同时，将无线控制器（AC）旁挂于核心交换机，通过IP可达来实现对所有AP的配置和管理。

在核心机房部署网络管理系统：智能管理中心iMC，具备网络拓扑、网络性能、网络配置、网络安全、网络告警、网络业务的统一管理，同时在其上可以配置有多种业务管理组件，配置无线业务管理（WSM）组件，实现有线无线一体化的管理，在iMC系统全面的有线网络管理的基础上，为管理员提供无线网络管理能力。管理员无需重新搭建IT管理平台，即可在原有的有线网络管理系统中增加无线管理功能，与有线管理平台统一部署，节省用户投入，节约维护成本。

2.3 ××医院外网规划设计

2016-9-22 第13页, 共51页

由于外网主要用于医院OA办公、图书馆信息查询、楼内视频监控、视频会议，外网相对于内网来

说可靠性要求相对级别次低一级，初期按照采单核心交换机、单引擎、百兆接入到桌面设计，采用接入直接到核心的二层结构。

在接入层，选用（S3600SI)系列百兆三层智能弹性交换机，分别具备24个10/100Base-TX以太网端口，2个1000Base-X SFP千兆以太网端口，2个10/100/1000Base-T以太网端口；48个10/100Base-TX以太网端口，4个1000Base-X SFP千兆以太网端口。系统采用创新的IRF技术，在安全可靠、多业务融合、易管理和维护等方面为用户提供全新的技术特性和解决方案，是理想接入交换机。

在核心层，选用S7506E作为外网的核心交换机，S7500E作为高端多业务路由交换机，融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。

SecPath 1000-S集成防火墙、VPN、内容过滤和NAT地址转换等功能，提升了网络设备的安全业务能力，为用户提供全面的安全防护。能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。采用H3C ASPF（Application Specific Packet Filter）应用状态检测技

2016-9-22

第14页, 共51页

术。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。在出口网络出口，高性能处理的SecPath 1000S防火墙同时作为路由设备，与Internet、银联系统、图书馆系统、视频会议系统相连接。

出口路由器选用SR6602，SR6600是业界首款基于多核多线程的高端路由器，具备高性能、易编程、灵活的L4-L7层业务应用等特点。多核多线程处理器的应用，使网络设备具备高性能和灵活性等特点，其良好的可编程性和易用性，使SR6600对未来的新业务具备快速响应能力和良好的适应能力，满足用户不断发展的、在路由器上实现应用层业务管理的需求。

第3章 整网安全防护设计

3.1.1 地址扫描攻击防护能力

地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时，网络设备会给该网段下的每个地址发送ARP报文，地址不存在的话，还需要发送目的主机不可达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可能引起网络中断。

H3C网络设备实现了地址扫描攻击的防护能力。当交换机收到目的IP是直连网段的报文时，如果该目的IP的ARP表项不存在，会发送一个ARP请求报文，并针对目的地址下一条丢弃表项，以防止后续报文持续冲击CPU。如果有ARP应答，则立即删除相应的丢弃表项，并添加正常的ARP表项。否则，经过一段时间后丢弃表项自动老化。这样，既防止直连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。Comware网络系统平台提供相应的配置命令，用于控制设备的地址扫描攻击防护功能是否启用。

3.1.2 DoS/DDoS攻击防护能力

DoS攻击，即拒绝服务攻击（DoS，Denial of Service），是指向设备发送大量的连接请求，占用设备本身的资源，严重的情况会造成设备瘫机，一般情况下也会使设备的功能无法正常运行。因为主要是针对服务器的，目的是使服务器拒绝合法用户的请求，所以叫拒绝服务攻击。

随着攻击技术的发展，Dos攻击也出现了升级，攻击者控制多台主机同时发起DoS攻击，也就是所谓的分布式拒绝服务攻击（DDoS，Distributed Denial of Service）攻击，它的规模更大，破坏性更强。

核心交换机能够抵御IP Spoofing、Land、Smurf等常见DoS攻击，确保某种协议遭受攻击时不会影响到其他协议的正常运行和业务的正常转发。同时，当攻击源对下挂在网络设备的服务器进行DoS攻击

2016-9-22 第15页, 共51页

时，可以利用核心交换机的ACL功能，下发特定的ACL规则对攻击报文进行过滤，保障下挂的主机和服务器正常运行。

3.1.3 广播/组播报文速率限制

网络中存在大量的广播或者组播报文，会占用宝贵的网络带宽，从而严重影响网络设备的转发性能。而且当网络中某台设备存在环路时，广播和组播报文会在网络中泛滥，导致整网的瘫痪。

H3C交换机具有强大的广播和组播报文过滤功能。可以按照绝对数值限制端口允许通过的广播和组播报文速率，也可以按照端口速率的百分比来限制端口允许通过的广播和组播报文速率。同时，还可以通过ACL规则设置特定端口广播、组播和未知单播报文允许通过的速率。

3.1.4 MAC地址表容量攻击防护能力

所谓MAC地址表容量攻击，是指攻击源发送源MAC地址不断变化的报文，网络设备在收到这种报文后，会进行源MAC地址学习。由于MAC地址表容量是有限的，当MAC地址表项达到最大容量后，正常报文的MAC地址学习将无法完成。在进行二层转发时，这些报文将会在VLAN内广播，严重影响网络带宽，同时也会对网络设备下挂主机造成冲击。

H3C交换机提供设置单个端口或者单个VLAN允许学习的最大MAC地址数目的功能。用户可以根据端口或者VLAN下挂的主机数目来设置该端口或者VLAN最大允许学习的MAC地址数目，防止一个端口或者VLAN就把系统的MAC地址表项耗尽。在设置端口MAC地址最大学习数目时，还可以选择超过部分是否转发，防止未知单播报文VLAN内广播，对其他设备造成冲击。

3.1.5 静态MAC地址表项和ARP表项绑定能力

H3C交换机提供配置静态MAC地址表项和静态ARP表项的功能。用户可以通过配置静态MAC地址表项，保证二层数据报文正确的转发；用户还可以通过配置静态ARP表项，绑定MAC地址和IP地址，确保IP地址不会被伪用户盗用。

3.1.6 强大的ACL能力

在复杂的网络环境中，存在各种各样的攻击报文，可能攻击网络设备，也可能攻击网络设备下挂的主机。H3C核心交换机提供强大而丰富的ACL功能，能够对报文的数据链路层、网络层、传输层各字段进行识别、限流和过滤。

通过ACL功能，管理者可以对非法流量进行有效的过滤。管理者可以在端口、VLAN或者全局模式下设置相应的ACL规则， 以满足不同的需要。H3C核心交换机的ACL规则，不但可以根据ICMP、IGMP、TCP端口号、UDP端口号、IP地址、MAC地址等常用字段对报文进行过滤或者限流，还可以根据TTL、BT-FLAG、VLAN_ID、EXP等字段对报文进行过滤和限流。

2016-9-22 第16页, 共51页

3.1.7 URPF（单播反向路径查找）检查能力

所谓URPF，即单播反向路径查找，主要用于防止基于源地址欺骗的网络攻击行为。

一般情况下，路由交换机针对目的地址查找路由，如果找到了就转发报文，否则丢弃该报文。在URPF功能启动后，通过获取报文的源地址和入接口，交换机以源地址为目的地址在转发表中查找路由，如果查到的路由出接口和接收该报文的入接口不匹配，交换机认为该报文的源地址是伪装的，丢弃该报文。通过URPF特性，交换机就能有效地防范网络中通过修改源地址而进行的恶意攻击行为。

3.2 控制信令层面的安全能力

3.2.1 ARP协议攻击防护能力

ARP协议没有任何验证方式，而ARP在数据转发中又是至关重要的，攻击者常伪造ARP报文进行攻击。H3C交换机能够检测并且防范ARP报文的攻击。当攻击者采用某个或者某几个固定的攻击源，向设备发送大量的ARP报文进行攻击时，H3C交换机能够检测并且防范这种ARP协议报文的攻击。

H3C交换机收到ARP报文时，会根据报文源MAC地址进行HASH，并且记录单位时间收到的ARP报文数目。当检测到单位时间内CPU收包出现丢包且某些固定源MAC地址的主机超出一定限度，认为该主机在进行ARP攻击。如果用户启用ARP防攻击功能，则会打印提示信息并记录到日志信息中，且下发一条源MAC地址丢弃的表项，对该攻击源进行屏蔽。

3.2.2 地址冲突检测能力

所谓地址冲突，是指网络设备下挂的主机或者对接的其他网络设备设置的IP地址和该网络设备的接口IP地址冲突，网络设备如果无法检测到地址冲突，该网络设备下挂的其他主机的网关ARP地址有可能会被更新，导致下挂主机无法正常上网。

H3C交换机支持地址冲突检测功能。当H3C交换机收到ARP报文时，会判断该报文的源IP地址和本网段接口IP地址是否相同。如果发现地址相同，则H3C交换机会立即发送一个地址冲突报文和免费ARP广播报文。地址冲突报文是通知对端主机或者设备，该地址已经被占用；免费ARP广播报文，是通知本网段内其他主机和网络设备，纠正本网段内其他主机或者网络设备的ARP表项，防止ARP表项指向错误的MAC地址。同时，H3C交换机会上报地址冲突的告警信息并同时记录日志，以便维护人员能够及时了解设备遭受的攻击。

3.2.3 TC/TCN攻击防护能力

在启用STP情况下，当网络中某台设备端口的STP状态发生变化，会产生TC（网络拓扑改变）或者TCN（网络拓扑改变通知）报文。网络中其他设备收到TC或者TCN时，发现网络拓扑发生改变，需要删除MAC地址和ARP等转发表项，以防止这些表项学习在错误的端口，影响报文正常转发。但是当网络中TC或者TCN报文很多，频繁删除MAC地址表和ARP表项，会导致二层转发报文在VLAN

2016-9-22

第17页, 共51页

内广播，三层转发报文出现丢包，也会影响业务正常运行。

H3C交换机能够防范TC/TCN攻击报文对业务产生的影响。在收到TC/TCN报文时，设备会删除MAC地址表项，但不会删除ARP表项。当设备重新学习MAC地址时，会根据MAC地址查询ARP表项，如果该MAC地址对应有相应的ARP，直接修改ARP表项中的出端口信息。通过MAC地址修改ARP表项，能够防止三层转发时出现的丢包现象。

网络拓扑频繁改变，会严重影响网络内所有设备的稳定运行。H3C交换机考虑到网络频繁变化的特殊情况，在收到第一个网络拓扑改变消息时，会进行相应处理。后续收到TC/TCN报文，并不立即处理，而是等待一段时间后再判断这段时间内是否收到TC/TCN报文，不管这段时间收到多少个TC/TCN报文，在超时后只处理一次MAC地址删除操作，起到保护设备稳定运行的作用。

3.2.4 地址盗用防护能力

所谓地址盗用，是指一个非法用户仿冒合法用户的IP地址，盗用合法用户的IP地址进行上网。网络设备会学习到错误的ARP表项，影响合法用户的正常上网。

H3C交换机具有防范非法用户盗用地址上网的能力。只需要在交换机上面配置MAC地址和IP地址绑定的安全地址表项，交换机在学习ARP表项时会根据该安全地址表项进行检查，满足条件则学习ARP表项，不满足条件不学习。

3.2.5 路由协议攻击防护能力

路由协议攻击是指向不进行路由认证的路由器发送错误的路由更新报文，使路由表中出现错误的路由，严重的情况可以造成网络瘫痪，高明的攻击者可以用来进行更深层次的攻击实施。

H3C交换机基于Comware路由通用平台，能够对收到的各种路由协议进行认证。 1）OSPF协议，支持邻居路由器之间的明文/MD5认证和OSPF区域内的明文/MD5认证； 2）IS-IS协议，支持接口间Level-1明文/MD5认证、接口Level-2明文/MD5认证、IS-IS区域内明文/MD5认证和IS-IS路由域上的明文/MD5认证；

3）BGP协议，支持邻居路由器之间和BGP区域内的MD5认证； 4）RIPv2协议，支持邻居路由器之间的明文/MD5认证

3.3 设备管理层面的安全能力

3.3.1 管理用户分级分权

H3C交换机对登录用户采取分级机制，权限从低到高分为四级，依次为：访问级、监视级、系统级、管理级。对用户密码采用加密算法进行保存，并限制一次连接登录不成功的次数来防止口令被穷举得到，并在设备上设置警示性的登录提示。

2016-9-22 第18页, 共51页

3.3.2 支持安全的远程管理 H3C交换机支持SSH协议。通过使用SSH协议进行设备管理，可以保证远程管理的安全性。 3.3.3 支持安全审计 H3C交换机提供基本的安全审计功能。包括提供安全告警日志以及用户操作日志的能力。 3.3.4 安全接入控制 H3C交换机支持802.1x认证功能，能够基于端口或者MAC方式进行接入控制，实现局域网络的安全接入。 3.3.5 SFTP服务 所谓SFTP，是Secure FTP的简称，它使得用户可以从远端安全的登入交换机设备进行文件管理，这样使远程系统升级等需要进行文件传送的地方，增加了数据传输的安全性。同时，由于提供了Client功能，可以在本设备上安全登录到远程设备，进行文件的安全传输。 H3C交换机支持SFTP服务，可以保证文件传输的安全性。 攻击攻击行为 类型 端口MAC数限制 禁止某个VLAN的MAC地址学习 ＋ 静态MAC表 MAC表攻击 端口安全 MAC + IP + 端口绑定, DHCP Relay Option 82 DHCP DOS攻击 资源耗尽型攻击 CPU恶意冲击 DHCP报文限速 ARP限速 广播风暴抑制 环路检测 防范攻击的其它特性 EAD特性 802.1x 端口安全特性 假冒伪装ARP欺骗攻击 型攻击 端口隔离 ARP入侵检测 DHCP Snooping Option 82 交换机安全特性 2016-9-22 第19页, 共51页

Isolate-User-VLAN DHCP relay Security MAC/IP欺骗攻击 IP源地址保护 DHCP服务器欺骗攻击 根桥伪装攻击 BPDU保护 TCN攻击 路由源伪装攻击 TC-BPDU报文非立即处理机制 OSPF/RIP路由MD5验证 SSH2.0 用户信息嗅探 设备控制权攻击 管理人员泄密 用户分级 暴力尝试攻击 远程管理终端限制(Telnet VTY 配置ACL) SNMPv3 SFTP 远程管理终端限制(Telnet VTY 配置ACL) DHCP Snooping Trust STP根保护 3.4 ARP攻击简介 许多网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网，许多单位深受其害。根据ARP攻击的特点，我们在办公网络中给出DHCP监控模式下的防ARP攻击解决方案，可以有效的防御 “仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等园区网中常见的ARP攻击方式；且不需要终端用户安装额外的客户端软件，简化网络配置。 按照ARP协议设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗”创造了条件。在园区网中，常见的ARP攻击有如下几种形式： 3.4.1 仿冒网关 攻击者伪造ARP报文，发送源IP地址为网关IP地址，源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机，使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来，主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。 2016-9-22 第20页, 共51页

Gateway Switch网关的MAC更新了攻击者Host A “仿冒网关”攻击示意图 3.4.2 欺骗网关 攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给网关；使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。 GatewayHost A的MAC更新了 Switch攻击者Host A “欺骗网关”攻击示意图

3.4.3 欺骗终端用户

攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机；使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访。

2016-9-22 第21页, 共51页

Gateway SwitchHost A的MAC更新了Host A攻击者Host C “欺骗终端用户”攻击示意图 3.4.4 “中间人”攻击 ARP “中间人”攻击，又称为ARP双向欺骗。如图所示，Host A和Host C通过Switch进行通信。此时，如果有恶意攻击者（Host B）想探听Host A和Host C之间的通信，它可以分别给这两台主机发送伪造的ARP应答报文，使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后，Host A 和Host C之间看似“直接”的通信，实际上都是通过黑客所在的主机间接进行的，即Host B担当了“中间人”的角色，可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人（Man-In-The-Middle）攻击”。 Gateway Switch伪造的ARP应答报文伪造的ARP应答报文Host AHost B(攻击者)Host C ARP“中间人”攻击示意图

3.4.5 ARP报文泛洪攻击

恶意用户利用工具构造大量ARP报文发往交换机的某一端口，导致CPU负担过重，造成其他功能无法正常运行甚至设备瘫痪。

3.5 ARP攻击防御

H3C公司根据园区网ARP攻击的特点，给出了DHCP监控模式下的防ARP攻击解决方案。通过接

2016-9-22

第22页, 共51页

入交换机上开启DHCP Snooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能，可以防御常见的ARP攻击，如表 1。

表 1常见网络攻击和防范对照表

攻击方式 动态获取IP地址的用户进行“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击” 手工配置IP地址的用户进行“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击” ARP泛洪攻击 防御方法 配置DHCP Snooping、ARP入侵检测功能 配置IP静态绑定表项、ARP入侵检测功能 配置ARP报文限速功能 3.5.1 DHCP Snooping功能 DHCP Snooping是运行在二层接入设备上的一种DHCP安全特性。 通过监听DHCP报文，记录DHCP客户端IP地址与MAC地址的对应关系； 通过设置DHCP Snooping信任端口，保证客户端从合法的服务器获取IP地址。 ? 信任端口正常转发接收到的DHCP报文，从而保证了DHCP客户端能够从DHCP服务器获取IP地址。 ? 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后，丢弃该报文，从而防止了DHCP客户端获得错误的IP地址。 3.5.2 ARP入侵检测功能

H3C接入交换机支持将收到的ARP（请求与回应）报文重定向到CPU，结合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理。当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配，且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一致，则为合法ARP报文，进行转发处理。否则视为非法ARP报文，直接丢弃。

3.5.3 ARP报文限速功能

H3C接入交换机支持端口ARP报文限速功能，使受到攻击的端口暂时关闭，来避免此类攻击对CPU

2016-9-22 第23页, 共51页

的冲击。

开启某个端口的ARP报文限速功能后，交换机对每秒内该端口接收的ARP报文数量进行统计，如果每秒收到的ARP报文数量超过设定值，则认为该端口处于超速状态。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免大量ARP报文攻击设备。同时，设备支持配置端口状态自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。

第4章 无线应用设计

4.1 无线业务需求分析

大多数医院的网络目前都是有线网络，但有线网络没有解决空间覆盖的问题，同时也不能解决信息实时收集的问题，在将来的医院网络趋于实时、数字化网络，同时还可以为医院的病人提供增值服务。也可以利用无线局域网技术的移动性、灵活性和高效率在护理点获取实时的患者信息或者搜索决策支持信息。这种系统使医护人员可以更加准确、快速和高效地制定决策和采取相应的措施，具体体现如下：

? 电子病历访问/查看

? 医生处方输入和药物治疗匹配 ? 护士呼叫系统 ? 患者床边服务

? 对重要的统计数据的监控 ? 。。。。。。

对于具体的无线工程一般还要满足以下业务需求：

? 针对医院的空间要进行全面覆盖；

? 无线网络通过安全认证，保证医院信息不能通过无线网络对外泄露；

? 用户在无线区域内移动时，不需要多次重复认证，实现自动漫游，即业务不中断；

4.2 整体无线建网原则

结合医疗行业和WLAN的实际应用与发展要求，无线局域网(WLAN)网络系统设计本着建设功能完整、技术成熟先进的网络系统的前提下，主要遵循以下系统总体原则：

? 高可靠性原则：网络系统的稳定可靠是应用系统正常运行的关键保证，对于医院网络来说，更

是如此，在网络设计中特别是关键节点的设计中，选用高可靠性网络产品，并合理设计网络冗

2016-9-22 第24页, 共51页

余拓扑结构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地保证医院办公系统的高效运行。

? 技术先进性和实用性原则：以现行需求为基础，保证满足医院办公应用系统业务的同时，又要

体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到医院网络应用的需求和未来的发展趋势。

? 安全性原则：WLAN是一个空间开放网络，同时作对信息的安全以及网络的安全要求较高。制

订统一的骨干网安全策略、VLAN策略和过滤机制，整体考虑网络平台的安全性。

? 高性能原则：承载网络性能是医院整个办公系统良好运行的基础，设计中必须保障网络及设备

的高吞吐能力，保证各种信息（数据、语音、图像）的高质量传输，力争实现透明网络，网络不能成为医院实施业务的瓶颈。

? 规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN

企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。

? 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种

接口满足开放和标准化原则。

? 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，

如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。

? 可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系

统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。

4.3 WLAN组网关键问题解决

构架可运营WLAN网络，除了要求AP（Access Point）支持宽带无线接入网络的覆盖特性、可运营、可管理特性外，还要求整个网络的开放、兼容、安全、可运营、可管理、可盈利。在构架WLAN公众网络一般基于网络分层的理念，即不同层面的设备承担不同的功能，以达到组合后整网的功能与业务支撑。

在实际WLAN可运营组网应用中，网络分为用户接入层、边缘汇聚层、业务控制层、业务管理层。 用户接入层对应设备为AP（Access Point），主要承担与终端用户基于802.11协议的PHY/MAC层的协议对接，具体包括工作模式、无线鉴权、ESSID诊别、MAC帧插入、IAPP、节电模式、Allow Guest、MAC层访问控制、用户接入认证报文承载、动态密钥协商等等。此外还要保证承载层的高性能、高可靠

2016-9-22

第25页, 共51页

性。 AP在设备的设计上支持了此类功能，可以与后台系统进行配合完成认证与计费的功能，对于复杂的NAT、路由策略等其它的高层应用不进行支持。

边缘汇聚层对应设备为AC（Access Controller），主要承担WLAN网络接入网关的角色，具体可以支持对用户的合法性认证、计费的发起（Client）、用户管理（访问控制、接入带宽控制、用户的信息绑定），子网内无缝切换的布署、整网安全的布署、整网QoS的布署、子网网络设备管理等以及与业务控制层结合提供增值业务如强制Portal、即插即用、与酒店营帐系统接口等等。在电信运营商可以由BRAS或支持用户管理、认证、计费的汇聚层设备承担，AC的设备形态可以由L2/L3与iMC进行配合使用进行完成；

业务管理层主要为WLAN网络提供基于网络服务的业务，由于WLAN具有宽带网络的特性同时也具备无线网络的特性，因此，主要为将运运营增值业务而进行准备，在运营商领域中目前已成熟的宽带价值连业务、移动数据业务均可以部署其中。

整网安全

H3C的WLAN网络主要服务于公众型用户，运营者与最终用户都很担心安全问题，即用户安全，具体细分包括用户帐号密码的安全，用户上往后计算机内部数据，用户数据在网上传输的安全等。此外，WLAN作为运营网络自身的安全也是运营者必须考虑的问题。

H3C公司WLAN解决方案可提供端到端的安全部署，能满足公众运营网络的安全要求。 ? 针对终端用户上网认证的用户名密码的安全：

采用802.1X EAP-MD5方式上网的用户，由于EAP-MD5信息本身就是密文传递，用户名、密码的安全能得到保证。

采用WEB方式上网的用户，H3C WLAN网络支持标准的SSL/HTTP应用层加密保证用户名、密码的安全。

? 针对用户上网后计算机内部数据的安全：

H3C公司WLAN网络实现了二层隔离，三层受控互访的机制保证用户计算机数据的安全，具体用户在通过认证前能接入的网络都是二层网络，认证通过后，通过网络设备的三层功能可访问所有向它开放的网络。H3C WLAN网络可实现用户在二层网络内是隔离的（无线口AP支持USF以及动态加密功能隔离用户，AP上行支持UIMF功能实现到认证点网段均是二层隔离）。在用户通过认证后，还可以通过强大的ACL控制用户否是允许互访，保证用户的安全。

? 针对用户上网后数据在网络上传输的安全：

无线接口以上的网络基本上为IP网络，用户数据在IP网络上的安全的保证，H3C IP的安全部署是可以保证的，针对空中接口的安全，H3C AP支持以下几种安全机制：

2016-9-22

第26页, 共51页

? MAC地址过滤：目前支持基于MAC地址的过滤，限制具有某种类型的MAC地址特征的终端

才能进入网络中；

? SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求

进行上带SSID，如果没有SSID标识则不能进入网络；

? WEP加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的

空口信息报文必须使用共同的密钥进行加密；

? 支持AES加密，AES安全机制是一种动态密钥管理机制，同时密钥生成也基于不对称密钥机

制来实现的，同时密钥的管理也定期更新，具有体的时间由系统可以设定，一般情况都设定为5分钟左右，这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来，从无线空口的流量来看，基本上是不可能的；

? H3C的无线方案中的密钥设置可能根据SSID信息与用户信息进行组合，即不同的SSID下不

同的用户的密钥生成可以不一样，这样在一定程度上保证用户之间串号问题的产生，从而保护投资，以达到运营平衡。

? H3C的无线方案提供无线入侵检测功能，AP 可以不断地扫描空域，以便对要求更高安全性

的环境提供全天候保护。一旦无线网络中有非法接入点接入，WAP2110将上报相应的告警给AC控制器，并通过网管软件显示。

4.4 频率规划与负载均衡

? 频率规划

802.11b/802.11g使用开放的2.4GHz ISM频段，可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11b/802.11g在2.4GHz地工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外，由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。

H3C公司针对如何进行802.11b/802.11g的频率规划作了大量的实验，实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖，并提供更高的服务带宽提高服务质量，和高带宽业务的开展。

2016-9-22 第27页, 共51页

频率规划原理图

频率规划需要配合使用的功能包括： ? AP支持11个信道设置 ? AP支持外置天线以及定向天线

? 针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能

结合以上功能的支持，以及勘探工具，可以较好的部署AP达到频率规划的效果。H3C公司针对医院、无线小区、机场、酒店、高密度会议场所（APEC会议）等热点区域进行过频率规划，使用效果较好。

? 负载均衡

H3C WLAN解决方案，AP上支持标准的IAPP协议框架，通过负载均衡的部署，可实现在一个热点内用户平均分配到所部署的所有AP上，达到在一个服务区AP接入用户数何流量的平衡，为用户提供更高的服务质量。具体可部署的负载均衡策略有：

1. 对所有AP设置基于用户数的负载均衡功能，AP通过对接入用户数的统计，与设定AP接入

用户数量的阀值进行比较，达到阀值后，不允许新的用户接入。

2. 对所有AP设置基于流量的负载均衡功能，AP通过对接入用户流量的统计，与设定AP上的

流量漏桶阀值上沿比较，达到阀值后，不允许新的用户接入，少于阀值下沿，再允许新用户接入。

3. 配合网络规划，设置AP群功能，在一个群内的AP通过组播报文实时通报接入用户数量，当

发现AP间用户数差值大于设定阀值，接入用户多的AP将部分用户赶下网。

4.5 切换与漫游

? 切换定义：用户在不同AP间移动，不需要重认证，业务不中断；

1. AP位于同一L3/L2之下的不同物理端口下同一VLAN之中

2016-9-22

第28页, 共51页

2. AP位于同一L3/L2之下的不同物理端口下不同VLAN之中

3. AP位于同一Wireless Switch之下不同L3/L2之下的同一VLAN之中 4. AP位于不同Wireless Switch之下不同L3/L2之下的同一VLAN之中 5. AP位于不同子网下 6. 支持动态加密 ? 漫游功能

漫游主要是指异地用户通过本地WLAN网络上网或者本地用户移动到异地可通过异地的WLAN网络上网。通过AAA Server支持Proxy功能进行用户判别、认证、计费与结算。此功能已经在运营商网络中已经实现并验证，效果良好，目前在行业网络中基本上没有这应用，但在H3C网络中必须使用此功能，此功能要求后端系统的用户信息进行互动，采用协议达成或者数据共享进行达成，对于H3C公司，建议采用后端系统进行协议交互达成用户在漫游地认证通过并获得服务。

4.6 AP供电

由于实际组网应用中AP设备数量较大，给每个AP都配置一个供电模块，只需要通过AP供电模块和现有的楼层配线间的交换机，为AP实现远程供电，供电距离达100米，能够满足实际组网的要求。

第5章 智能管理中心设计

随着网络的发展，其作用已经不仅是简单的互连互通，通信、计算、应用、存储、监控等各类业务应用和网络的融合，促使网络成为承载企业核心业务的平台。随着网络应用越来越复杂，网络安全控制、性能优化、运营管理等问题成为困扰客户的难题，并直接决定了企业核心业务能否顺利开展。在这种情况下，依靠单纯的硬件数据交换已经不能满足用户的需求，因此灵活的软件控制和高速的硬件数据交换进行有机融合的整体解决方案成为整个行业的发展趋势。

为了系统地解决目前网络安全控制、性能优化、运营管理中存在的问题，凭借对IT应用的深刻理解，H3C推出了新一代的管理系统：H3C开放智能管理中枢（H3C Intelligent Management Center，以下简称H3C iMC），作为H3C IToIP整体解决方案的重要组成部分，H3C iMC采用面向服务架构（SOA）的设计思想，融合并统一管理业务、资源和用户这三大IT组成要素，通过按需装配功能组件与相应的硬件设备配合，形成直接面向客户应用需求的一系列整体解决方案，从而成为H3C IToIP整体解决方案的开放智能管理中枢。

2016-9-22 第29页, 共51页

5.1 网络管理解决方案

网络的安全控制、性能优化和运营管理是网络应用管理面临的核心问题，除基本的网络支撑管理外，H3C iMC通过软件灵活的控制，与相应的硬件设备配合，更为客户提供了一系列的整体解决方案，成为客户IT环境中的安全控制中心、性能优化中心和运营管理中心。

iMC面向安全控制、性能优化和运营管理的系列解决方案 安全控制中心系列解决方案

?

端点准入解决方案(EAD)概述

H3C iMC端点准入功能组件与业界主流交换机、路由器、VPN设备、无线控制设备、专业网关等硬件进行配合，实现了局域网、广域网、VPN和无线等多种接入终端安全准入控制。

端点准入解决方案(EAD)在身份接入基础上，支持安全状态评估、网络安全威胁定位、安全事件感知及保护措施执行等，预防因未打补丁、病毒泛滥、ARP攻击、异常流量、非法软件安装和运行等因素可能带来的安全威胁，并可根据终端的安全状态实现终端VIP、Guest、隔离、下线等多种控制策略。从端点接入上保证每一个接入网络的终端的安全，从而保证网络安全。

5.1.1 系统安全管理

系统安全管理功能主要有包括：操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。

2016-9-22 第30页, 共51页

系统管理员实时监控在线操作员登录安全策略定修期分组分级权限管理记录所有操作码密改 ? 操作员登录管理

管理员通过制定登录安全策略约束操作员的登录鉴权，实现操作员登录的安全性，通过访问控制模板约束操作员可以登录的终端机器的IP地址范围，避免恶意尝试另人密码进行登录的行为存在，通过密码控制策略，约束操作员密码组成要求，包括密码长度、密码复杂性要求、密码有效期等，以约束操作员定期修改密码，并对密码复杂性按要求设置。

? 操作员密码管理

管理员为操作员制定密码控制策略，操作员仅能按照指定的策略定期修改密码，以保证访问iMC系统的安全性。

? 分组分级权限管理

管理员通过设备分组、用户分组的设置，可以为操作员指定可以管理的指定设备分组和用户分组，并指定其管理权限和角色，包括管理员、维护员和查看员，实现按角色、分权限、分资源（设备和用户）的多层权限控制；同时通过设置下级网络管理权限，可以通过限制登录下级网络管理系统的操作员和密码，保证访问下级网络管理系统的安全性。

? 操作日志管理

对于操作员的所有操作，包括登录、注销的时间、登录IP地址以及登录期间进行的任何可能修改系统数据的操作，都会记录详细的日志。提供丰富的查询条件，管理员可以审计任何操作员的历史操作记录，界定网络操作错误的责任范围。

? 操作员在线监控和管理

系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息，包括登录的主机IP地址、登录时间等，同时，系统管理员可以将在线操作员强制注销、禁用/取消禁用当前

2016-9-22 第31页, 共51页

IP地址等控制操作。

5.1.2 资源管理

iMC资源管理与拓扑管理作为整体共同为用户提供网络资源的管理。通过资源管理可以： ? 网络自动发现

可以通过设置种子的简易方式、路由方式、ARP方式、IPSec VPN、网段方式等五种自动发现方式自学习网络资源及网络拓扑，自动识别包括：路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC在内的多种类型网络设备；

多种自动发现方式

自动识别多种设备类型

? 网络手工管理

可以手工添加、删除网络设备，可以批量导入、导出网络设备，批量配置Telnet、SNMP参数，以及批量校验Telnet参数等辅助功能；

? 网络视图管理

支持IP视图、设备视图、自定义视图、下级网络管理视图等多种管理视图，用户可以从不同角度实现整个网络的管理；

? 网络设备的管理

从任何一种网络视图入口，都可以实现对网络设备的管理，包括：支持对设备的管理/去管

2016-9-22

第32页, 共51页

理、接口的管理/去管理、设备的详细信息显示和接口详细信息显示、设备和接口实时告警状态、设备和接口的实时性能状态、实时检测存在故障的设备等，用户可以方便的实现所有设备的管理；

? 设备及业务管理系统的集成管理

支持对H3C、CISCO、3COM等主要厂家设备的管理，支持手工添加设备厂商、设备系列及设备型号；支持设备面板管理的动态注册机制，实现与各厂家设备管理系统的有效集成；支持拓扑定位、ACL、VLAN、QoS等业务管理系统的集成，实现设备资源的统一管理；

? 设备分组权限管理

支持设备分组功能，通过对设备资源进行分组管理，系统管理员方便的分配其他管理员的管理权限，便于职责分离；

5.1.3 拓扑管理

iMC拓扑管理从网络拓扑的解决直观的提供给用户对整个网络及网络设备资源的管理。拓扑管理包括：

? 拓扑自动发现

H3C iMC可以自动发现网络拓扑结构，支持全网设备的统一拓扑视图，通过视图导航树提供视图间的快速导航。通过自动发现可以发现网络中的所有设备及网络结构（具体参见资源管理），并且可以将非SNMP设备发现出来，只要设备可以ping通即可。这样就可以将所有网络设备都列入其管理范围（只要设备IP可达）。同时支持自动的拓扑图呈现和自定义拓扑。自动拓扑可以自动将网络中的逻辑连接关系显示出来，同时可以保存为自定义拓扑图并可根据具体情况进行修改以便于网管员对整个网络设备的监控。

支持对全网设备和连接定时轮询和状态刷新，实时了解整个网络的运行情况，并且刷新周期是可定制（刷新周期：60～7200秒），同时也支持对多个设备的刷新周期进行批量配置的功能。

2016-9-22 第33页, 共51页

? 支持自定义拓扑

传统的网络管理软件大多支持自动发现网络拓扑的功能，但是自动发现后的网络拓扑往往是很多设备图标的简单排放，不能突出重点设备和网络层次，使网络管理人员感觉无从下手。

针对这种情况，H3C iMC的拓扑功能支持灵活的自定义功能，管理人员可以根据网络的实际组网情况和设备重要性的不同灵活定制网络拓扑，可对拓扑图进行增、删、改等编辑操作，使网络拓扑能够清晰地呈现整个企业的网络结构以及IT资源分布。

H3C iMC支持灵活定制拓扑图，使网络拓扑更有重点和层次感。管理员可以按照关注设备不同，管理角度不同定义多种拓扑，并可以针对拓扑不同选择不同的背景图；管理员可以根据网络设备的重要性不同，链路速率不同采用合适的图标显示。

2016-9-22 第34页, 共51页

? 自动识别各种网络设备和主机的类型

H3C iMC可以自动识别H3C、华为、Cisco、3com等厂商的设备、Windows、Solaris的PC和工作站、其他SNMP设备和ping设备，并且以树形方式组织，以不同的图标显示区分。在拓扑图上更可进一步对设备的类型进行区分，如区分路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC等等。

2016-9-22 第35页, 共51页

? 设备状态、连接状态、告警状态等信息在拓扑图上的直观显示

H3C iMC的拓扑功能与故障管理和性能管理紧密融合，使拓扑图能够清晰地看到企业IT资源的状态，包括运行是否正常、网络带宽、接口连通、配置变化都能一目了然。多种颜色区分不同级别故障，根据节点图标颜色反映设备状态。

2016-9-22 第36页, 共51页

实时链路状态实时告警和性能监控状态状态实时设备状态 ? 拓扑能提供设备管理便捷入口 H3C iMC拓扑能够提供对设备管理的便捷入口，管理员只需通过右键点击拓扑图中的设备图标即可启动设备管理各项功能，实现对设备的面板管理等各项功能配置。 2016-9-22 第37页, 共51页

5.1.4 故障（告警/事件）管理

故障管理，即告警/事件管理，是H3C iMC的核心模块，是iMC智能管理平台及其他业务组件统一的告警中心。如下图所示，以故障管理流程为引导，介绍H3C iMC强大的故障管理能力：

2016-9-22 第38页, 共51页

实时远程告警：手机短信及EMail告警解决故障固化经验分类、声光告警板，按故障类别及等级实时告警实时告警关联分析与统计实现网络管理透明化网管与告警中心实时告警浏览和确认实时告警系统快照，实时报告网络、下级网络及设备的状态告警上报定时轮询通过拓扑实现报告网络及设备状态S网络资源、存储资源、计算资源、业务系统 ? 告警发现和上报 iMC告警中心可以按收各种告警源的告警事件，包括设备告警、本级网管站及下级网管站告警、网络性能监视告警、网络配置监视告警、网络流量异常监视告警、终端安全异常告警等；同时通过支持对设备定时轮询，实现通断告警、响应时间告警等，以告警事件的方式上报给H3C iMC告警中心； ? 设备告警包括电源电压、设备温度、风扇等告警事件，设备冷启动、热启动、接口linkdown等重要告警事件，路由信息事件（OSPF，BGP）变化，热备份路由（HSRP）状态变化等告警事件，支持对H3C、CISCO、华为、3COM等多厂商设备告警的识别和解析； ? 网管站告警指包括本级iMC系统集群服务器的异常告警，包括CPU利用率、内存使用率、iMC服务程序运行状态等以及下级iMC系统上报的告警事件； ? 网络性能监视包括CPU利用率，内存使用率，以及RMON告警的故障管理。 ? 网络配置监视告警包括设备软件版本、配置信息变更等告警事件，并通过iMC智能配置中心组件（iMC iCC）实现配置文件定期检查，实现配置变更告警事件。 ? 网络流量异常监视告警通过iMC 网络流量分析组件（iMC NTA）实现网络中异常流量告警，包括对设备及接口异常流量、主机IP地址异常流量和应用异常流量的告警，支持二级阈值告警定义； ? 终端安全异常告警通过iMC端点准入防御组件（iMC EAD）实现对终端用户安全异常的告警，2016-9-22

第39页, 共51页

包括ARP攻击告警、终端异常流量告警及其他终端不安全告警；

? iMC定期轮询告警指通过iMC的资源管理模块对设备接口信息定时进行轮循，并及时上报通

断告警、响应时间告警等告警事件。 ? 告警深度关联分析与统计

iMC告警中心根据告警脚本中的告警事件定义，接收并解析上报的告警事件；

H3C iMC对接收到的告警事件进行深度关联分析，系统缺省支持重复事件阈值告警、闪断事件阈值告警、未知事件阈值告警、未管理设备告警阈值告警，并能在故障恢复时自动确认相关告警；同时用户可以根据自己的需要确定事件的告警规则，以适应网络管理需要。

? 重复事件阈值告警：屏蔽重复接收到的相同事件，并可在达到阈值条件时产生新告警通知用户。 ? 闪断事件阈值告警：分析接收到的闪断事件，并可在达到阈值条件时产生新告警通知用户。 ? 未知事件阈值告警：屏蔽接收到的未知事件，并可在达到阈值条件时产生新告警通知用户。 ? 未管理设备告警阈值告警：屏蔽接收到的未管理设备事件，并可在达到阈值条件时产生新告警

通知用户。

? 自定义事件过滤规则：用户自定义的事件过滤规则，用户可指定在什么时间范围内、对什么样

的告警进行过滤。

iMC系统预定义缺省支持各类深度分析后告警事件关联升级为告警的生成规则，同时，管理员可以自定义由告警事件升级为告警的规则，可从事件、事件关键字、事件源、时间范围四个方面进行规则定义，一旦定义事件升级为告警规则后，iMC告警中心会根据定义的规则关联分析后生成不同级别的告警（告警共分成紧急、重要、次要、警告、事件5个级别；在浏览数据窗口，分别以红色、橙色、黄色、蓝色、灰色五种颜色进行显示），将管理员从繁多的告警事件中解脱出来，避免产生告警风暴，让管理员能专心关注告警的根源。

? 实时告警

H3C iMC提供多种方式将告警通知给管理员，包括：

? 实时远程告警：通过手机短信或Email邮件的方式，将告警及时通知管理员，实现远程网络的

监控和管理；

? 分类、声光告警板，按故障类别及等级实时告警，让管理员通过告警板不但及时知道告警产生，

同时可以了解产生的告警的类别和等级：

2016-9-22 第40页, 共51页

本文来源：https://www.bwwdw.com/article/vytg.html