醫(yī)院無線、運(yùn)營及運(yùn)維解決方案方案建議書

XXXXX無線、運(yùn)營及運(yùn)維解決方案XXXXX無線、運(yùn)營及運(yùn)維解決方案銳捷網(wǎng)絡(luò)股份有限公司2016/04/25版權(quán)所有侵權(quán)必究目錄1221項(xiàng)目背景 1117692建設(shè)要求 2305813方案設(shè)計(jì) 333353.1基礎(chǔ)方案設(shè)計(jì)原則 3323713.2醫(yī)院無線、運(yùn)營和運(yùn)維整體規(guī)劃 4151593.3場景化無線部署設(shè)計(jì) 470453.3.1病區(qū)無線覆蓋 565833.3.2行政辦公、門診輸液區(qū)無線覆蓋【可選】 9227823.3.3室外區(qū)域無線覆蓋【可選】 10266303.4無線安全準(zhǔn)入平臺設(shè)計(jì)【可選】 1194813.4.1無線網(wǎng)絡(luò)的安全威脅 11321603.4.2無線網(wǎng)絡(luò)安全的實(shí)現(xiàn) 1269553.4.3WEB無感知認(rèn)證 1625673.4.4微信認(rèn)證 19283303.5運(yùn)維管理平臺設(shè)計(jì)【可選】 23220323.5.1基于業(yè)界主流標(biāo)準(zhǔn)的融合管理信息模型 2595033.5.2系統(tǒng)架構(gòu) 2663033.5.3系統(tǒng)功能 2727624方案特點(diǎn)和優(yōu)勢 35169484.1面向移動醫(yī)護(hù)業(yè)務(wù)的用戶場景的產(chǎn)品特性 35221164.1.1標(biāo)準(zhǔn)化配件簡化無線網(wǎng)絡(luò)設(shè)計(jì) 35322514.2整體方案特點(diǎn) 36246934.2.1一個病區(qū)內(nèi)零漫游、無中斷 36236094.2.2走廊和房間內(nèi)部均為滿格信號 36129314.2.31套零漫游即可完成48個房間的無線覆蓋 37310574.2.4智分單元，在醫(yī)療行業(yè)又一次創(chuàng)新 3752684.2.5智分單元提供高速802.11ac網(wǎng)絡(luò) 38198904.2.6內(nèi)網(wǎng)實(shí)名制安全準(zhǔn)入 38132694.2.7外網(wǎng)微信認(rèn)證 38303135配置建議 39PAGE1醫(yī)院無線、運(yùn)營和運(yùn)維整體規(guī)劃整個醫(yī)院無線網(wǎng)絡(luò)采用成熟可靠的無線控制器+瘦AP組網(wǎng)方式，全院無線AP通過無線控制器集中管理控制，實(shí)現(xiàn)AP的零配置管理。內(nèi)外網(wǎng)無線控制器采用獨(dú)立設(shè)備部署，通過萬兆接口旁掛現(xiàn)網(wǎng)核心路由交換機(jī)上，單臺控制器最大可管理320個無線AP。無線AP的供電全部采用POE供電，通過樓宇內(nèi)的千兆POE交換機(jī)實(shí)現(xiàn)AP的供電和數(shù)據(jù)傳輸。無線的覆蓋和AP的型號選擇根據(jù)醫(yī)院不同的場景、用戶需求、接入密度等采用不同類型AP進(jìn)行覆蓋。如病區(qū)采用銳捷醫(yī)療零漫游方案，行政辦公及門診采用室內(nèi)放裝，具體規(guī)劃和設(shè)計(jì)如下。場景化無線部署設(shè)計(jì)XXXXX無線網(wǎng)絡(luò)建設(shè)項(xiàng)目中用戶場景多種多樣，如密集多房間的病區(qū)、開闊環(huán)境的門診輸液大廳、室外公共環(huán)境等。而本次主要是針對開展移動醫(yī)護(hù)業(yè)務(wù)的兒童治療中心病區(qū)，其屬于多房間隔斷、有屏蔽門、走道側(cè)無窗設(shè)計(jì)等復(fù)雜的無線部署環(huán)境，這對無線網(wǎng)絡(luò)建設(shè)提出了更高的要求。病區(qū)無線覆蓋傳統(tǒng)病區(qū)的建筑結(jié)構(gòu)如下圖所示，首先其具有房間密集、無線穿墻衰減大等不可避免的問題。其次移動業(yè)務(wù)在該區(qū)域?qū)o線有較為特殊需求，如信號覆蓋、強(qiáng)度、漫游等，具體分析如下：信號覆蓋需求：醫(yī)生和護(hù)士需要到每個病房，病床前，完成自己的工作。這一特性要求信號在病房內(nèi)、病床前也要有足夠的強(qiáng)度。之所以放裝部署方式不適用于移動醫(yī)護(hù)業(yè)務(wù)，就是因?yàn)槿绻鸄P部署在樓道，信號需要穿墻進(jìn)入房間。信號經(jīng)過房間會有衰減，特別是洗漱間在門口的房間，經(jīng)過兩堵墻的衰減和鏡子，信號會變得非常弱。對于業(yè)務(wù)來講，信號的強(qiáng)弱將會直接影響到業(yè)務(wù)的開展，信號太弱終端甚至?xí)艟€。從上面的表中，可以看到墻體對信號的阻擋是很大的，放裝AP的發(fā)射功率是20dbm國家規(guī)定，室內(nèi)放裝AP的發(fā)射功率不能100mw，室外大功率AP的發(fā)射功率不能超過500mw。（100mw），在靠近AP正下方的信號一般在-40dbm，如果經(jīng)過兩堵45cm混凝土墻（每堵墻衰減18bB），信號將在-75dbm信號值在-國家規(guī)定，室內(nèi)放裝AP的發(fā)射功率不能100mw，室外大功率AP的發(fā)射功率不能超過500mw。信號值在-75dbm以下，業(yè)務(wù)上基本上不能開展。數(shù)據(jù)傳輸性能要求：某些科室，如骨科、呼吸科，醫(yī)生在查房的時候，需要打開病人的影像圖片，要求部署的帶寬足夠，縮短醫(yī)生的打開等待時間；除了足夠的帶寬，也可以要求PACS系統(tǒng)對于移動查房的業(yè)務(wù)有優(yōu)化設(shè)計(jì)，如適當(dāng)?shù)膲嚎s比，更符合人性化設(shè)計(jì)的打開方式，使醫(yī)生的使用體驗(yàn)更加流暢。無縫漫游要求：PDA、移動心電監(jiān)護(hù)、查房車，都是在移動中工作，特別是PDA和移動心電監(jiān)護(hù)設(shè)備，由于終端功率低漫游效率低，但是實(shí)時性要求高，所以要求網(wǎng)絡(luò)能做到無縫漫游，讓終端在每一個病房走動保持業(yè)務(wù)不中斷。放裝AP的不適用性也在于，一個病區(qū)需要部署多個AP接入點(diǎn)，終端在移動過程中必須發(fā)生漫游，如果終端漫游不夠靈敏，可能會產(chǎn)生業(yè)務(wù)終端；另外，頻繁的漫游也會導(dǎo)致頻繁丟包降低體驗(yàn)?zāi)壳皹I(yè)界流行的智分方案（銳捷、H3C都有智分方案）可以減弱漫游問題，但是不能根除，對于需要全病區(qū)移動的終端，如PDA和移動心電監(jiān)護(hù)，漫游還是不可避免，而這類終端的實(shí)時性要求高，如果PDA掉線再重新連接，不僅醫(yī)護(hù)業(yè)務(wù)會中斷，系統(tǒng)中登錄的護(hù)士身份信息也需要重新輸入，會大大降低護(hù)士的工作效率。小貼士：智分方案介紹智分方案的特點(diǎn)在于，AP接入點(diǎn)的信號通過饋線進(jìn)入室內(nèi)，避免信號穿墻衰減，一個智分AP接入點(diǎn)，一般可以覆蓋6～8個房間；而醫(yī)院病區(qū)一般有20～40個病房，如果采用智分方案，需要部署多個AP接入點(diǎn)，還是存在多個漫游區(qū)域,，如圖，終端穿過紅色和綠色區(qū)域需要漫游。銳捷零漫游解決方案：針對上述對醫(yī)院病區(qū)環(huán)境和移動醫(yī)護(hù)業(yè)務(wù)對無線的要求，銳捷網(wǎng)絡(luò)針對醫(yī)院病區(qū)定制化開發(fā)移動醫(yī)護(hù)零漫游解決方案，其方案原理如下：銳捷網(wǎng)絡(luò)的零漫游解決方案是專門針對移動醫(yī)療業(yè)務(wù)發(fā)布的無線解決方案，解決了生產(chǎn)關(guān)鍵業(yè)務(wù)在移動應(yīng)用中遇到的漫游、性能難題。銳捷網(wǎng)絡(luò)的零漫游解決方案中包含設(shè)備：智分基站、智分單元、饋線、美化天線。銳捷零漫游解決方案，智分基站通過柔軟的饋線連接智分單元和美化天線，實(shí)現(xiàn)連續(xù)區(qū)域的無線覆蓋，并且實(shí)現(xiàn)區(qū)域內(nèi)的零漫游。同時智分單元內(nèi)置射頻卡，為高帶寬生產(chǎn)業(yè)務(wù)提供高性能保障。智分方案中涉及相關(guān)組件內(nèi)容具體如下：實(shí)際勘測部署結(jié)果實(shí)際勘測部署效果圖：實(shí)際測試得到信息反饋（在移動過程中進(jìn)行影響資料調(diào)用時）：行政辦公、門診輸液區(qū)無線覆蓋【可選】針對大多數(shù)行政辦公樓、門診輸液區(qū)，由于教室一般面積較大，內(nèi)部寬敞無阻擋，房間多采用木門，且在走廊側(cè)會有大型玻璃窗體。又由于該區(qū)域主要用戶為醫(yī)生移動辦公、輸液，病人及家屬的互聯(lián)網(wǎng)訪問等。因此，可以在該區(qū)域采用室內(nèi)AP稀疏的放裝式部署方案：將AP放在走廊里，覆蓋走廊兩側(cè)的房間，一個AP可覆蓋直徑20-30米。針對較大的開闊空間可以采用在室內(nèi)放裝AP方式部署，確保人數(shù)較多的能同時接入無線網(wǎng)絡(luò)。這些區(qū)域采用的是RG-AP520-I銳捷網(wǎng)絡(luò)的新一代AP，支持兩條空間流技術(shù)，單路射頻單元可以提供高達(dá)866Mbps的接入速率，整機(jī)提供1166Mbps的接入速率，近千兆的極速無線讓性能不再成為瓶頸，為大空間開放空間內(nèi)高密度用戶場景下下提供的更高的傳輸性能。同時采用了業(yè)界領(lǐng)先的“X-sense”靈動天線，跨越式的提升了AP的覆蓋性能，保障了移動智能終端最優(yōu)的接入效果，確保無線信號最優(yōu)覆蓋。RG-AP520-I產(chǎn)品外觀X-sense靈動天線室外區(qū)域無線覆蓋【可選】主要應(yīng)用于室外公共區(qū)域，這類區(qū)域面積廣闊，室外區(qū)域分布有較高、密集的建筑群和植物群，這對于信號的阻擋將是較大的障礙。因此，選用專用的室外大功率無線AP產(chǎn)品RG-AP630，配置使用定向天線，可以保證無障礙下的200米半徑覆蓋以及近距離的多重障礙物的穿透能力，完全保證了室外區(qū)域的信號覆蓋品質(zhì)，同時設(shè)備本省具備抗雷擊、防雨、防潮、抗高低溫、阻燃等多項(xiàng)指標(biāo)，無線室外覆蓋，建議部署在覆蓋區(qū)域內(nèi)的制高點(diǎn)上，同時采用定向天線定向照射、全向天線進(jìn)行補(bǔ)充的方式進(jìn)行覆蓋。對于醫(yī)院大樓外公共區(qū)域的無線采用新一代室外RG-AP630無線AP，內(nèi)置定向和全向的智能天線矩陣，通過內(nèi)置天線即可完成室外空曠區(qū)域的無線覆蓋，安裝部署更加的方便和靈活，而且可以根據(jù)需求選配外置天線。產(chǎn)品支持802.11ac、3*3MIMO，實(shí)現(xiàn)更高的無線接入帶寬服務(wù)。圖8室外APRG-AP630無線安全準(zhǔn)入平臺設(shè)計(jì)【可選】隨著醫(yī)院業(yè)務(wù)的發(fā)展以及辦公便攜性的迫切需要，醫(yī)院內(nèi)外網(wǎng)無線的建設(shè)，移動辦公、移動醫(yī)護(hù)及相關(guān)應(yīng)用訪問安全依然成為了必須考慮的內(nèi)容。但是由于無線網(wǎng)絡(luò)的信道開放的特點(diǎn)，使得攻擊者能夠很容易的進(jìn)行竊聽，惡意修改并轉(zhuǎn)發(fā)，因此安全性成為阻礙醫(yī)院無線網(wǎng)絡(luò)發(fā)展的重要因素。雖然一方面對無線局域網(wǎng)需求不斷增長，但同時也讓許多醫(yī)院用戶對不能夠得到可靠的安全保護(hù)而對最終是否采用無線局域網(wǎng)系統(tǒng)猶豫不決。利用WLAN接入醫(yī)院網(wǎng)絡(luò)，對于現(xiàn)有的WLAN技術(shù)，它的安全隱患主要有以下幾點(diǎn)：無線網(wǎng)絡(luò)的安全威脅ARP欺騙攻擊在有線網(wǎng)絡(luò)上ARP欺騙是常見的病毒和攻擊行為，通常在有線網(wǎng)絡(luò)的接入交換機(jī)做了很多的安全策略，保障只有正常的ARP數(shù)據(jù)才可以通過。避免了ARP欺騙使得其他用戶無法訪問網(wǎng)絡(luò)。因?yàn)橛脩羰褂玫墓P記本的接入終端，在有線和無線網(wǎng)絡(luò)上同時使用，由于無線網(wǎng)絡(luò)的開放性，師生可以隨時隨地接入無線網(wǎng)絡(luò)，如何防御ARP病毒的發(fā)生需要AC設(shè)備具有ARP的攻擊和防御能力。未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)由于無線局域網(wǎng)的開放式訪問方式，非法用戶可以未經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源，不僅會占用寶貴的無線信道資源，增加帶寬費(fèi)用，降低合法用戶的服務(wù)質(zhì)量，而且未經(jīng)授權(quán)的用戶濫用無線網(wǎng)絡(luò)資源，使得合法的無線內(nèi)網(wǎng)的用戶無法正常使用。同時，非法用戶私自架設(shè)無線AP，誘使用戶接入不安全的無線AP上。接入非法AP輕則會導(dǎo)致客戶無法訪問網(wǎng)絡(luò)資源，重則會導(dǎo)致用戶的重要數(shù)據(jù)被竊取地址欺騙和會話攔截在無線環(huán)境中，非法用戶通過偵聽等手段獲得網(wǎng)絡(luò)中合法站點(diǎn)的MAC地址比有線環(huán)境中要容易得多，這些合法的MAC地址可以被用來進(jìn)行惡意攻擊。另外，如果基于IEEE802.11沒有對AP身份進(jìn)行認(rèn)證，非法用戶很容易裝扮成AP進(jìn)入網(wǎng)絡(luò)，并進(jìn)一步獲取合法用戶的鑒別身份信息，通過會話攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵。無線網(wǎng)絡(luò)安全的實(shí)現(xiàn)基于無線網(wǎng)絡(luò)的集中常見安全問題，本方案結(jié)合業(yè)界的綜合無線安全技術(shù)以及銳捷網(wǎng)絡(luò)在醫(yī)院環(huán)境下的定制化解決方案，在無線網(wǎng)絡(luò)的各個環(huán)節(jié)進(jìn)行相應(yīng)的安全保護(hù)、數(shù)據(jù)加密、身份認(rèn)證等安全手段，實(shí)現(xiàn)全方位無線安全防護(hù)體系。鏈路認(rèn)證方式開放系統(tǒng)認(rèn)證開放系統(tǒng)認(rèn)證是缺省使用的認(rèn)證機(jī)制，也是最簡單的認(rèn)證算法，即不認(rèn)證。如果認(rèn)證類型設(shè)置為開放系統(tǒng)認(rèn)證，則所有請求認(rèn)證的客戶端都會通過認(rèn)證。開放系統(tǒng)認(rèn)證包括兩個步驟：第一步是請求認(rèn)證，第二步是返回認(rèn)證結(jié)果。如果認(rèn)證結(jié)果為“成功”，那么客戶端和AP就通過雙向認(rèn)證。圖表1STYLEREF1\s3SEQ圖表\*ARABIC\s11開放系統(tǒng)認(rèn)證過程共享密鑰認(rèn)證共享密鑰認(rèn)證是除開放系統(tǒng)認(rèn)證以外的另外一種認(rèn)證機(jī)制。共享密鑰認(rèn)證需要客戶端和設(shè)備端配置相同的共享密鑰。共享密鑰認(rèn)證的認(rèn)證過程為：客戶端先向設(shè)備發(fā)送認(rèn)證請求，無線設(shè)備端會隨機(jī)產(chǎn)生一個Challenge包發(fā)送給客戶端；客戶端會將接收到字符串拷貝到新的消息中，用密鑰加密后再發(fā)送給無線設(shè)備端；無線設(shè)備端接收到該消息后，用密鑰將該消息解密，然后對解密后的字符串和最初給客戶端的字符串進(jìn)行比較。如果相同，則說明客戶端擁有無線設(shè)備端相同的共享密鑰，即通過了SharedKey認(rèn)證；否則SharedKey認(rèn)證失敗。鏈路認(rèn)證方式由于安全級別較低，不夠靈活和認(rèn)識因此不適合我院的環(huán)境！無線數(shù)據(jù)保密相對于有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)服務(wù)存在著數(shù)據(jù)安全隱患。在一個區(qū)域內(nèi)的所有的WLAN設(shè)備共享一個傳輸媒介，任何一個設(shè)備可以接收到其他所有設(shè)備的數(shù)據(jù)，這個特性直接威脅到WLAN接入數(shù)據(jù)的安全。明文數(shù)據(jù)該種服務(wù)本質(zhì)上為無安全保護(hù)的WLAN服務(wù)，所有的數(shù)據(jù)報(bào)文都沒有通過加密處理。WEP加密WEP(WiredEquivalentPrivacy，有線等效加密)用來保護(hù)無線局域網(wǎng)中的授權(quán)用戶所交換的數(shù)據(jù)的機(jī)密性，防止這些數(shù)據(jù)被隨機(jī)竊聽。在實(shí)際實(shí)現(xiàn)中，已經(jīng)廣泛使用104位密鑰的WEP來代替40位密鑰的WEP，104位密鑰的WEP稱為WEP-104。雖然WEP104在一定程度上提高了WEP加密的安全性，但是受到RC4加密算法以及靜態(tài)配置密鑰的限制，WEP加密還是存在比較大的安全隱患。TKIP加密TKIP是一種加密方法，用于增強(qiáng)pre-RSN硬件上的WEP協(xié)議的加密的安全性，其加密的安全性高于WEP。WEP主要的缺點(diǎn)在于，盡管IV（InitialVector，初始向量）改變，但在所有的幀中使用相同的密鑰，而且缺少密鑰管理系統(tǒng)，不可靠。TKIP和WEP加密機(jī)制都是使用RC4算法，但是相比WEP加密機(jī)制，TKIP加密機(jī)制可以為WLAN服務(wù)提供更加安全的保護(hù)。首先，TKIP通過增長了算法的IV長度，提高了WEP加密的安全性；其次，TKIP支持密鑰的動態(tài)協(xié)商，解決了WEP加密需要靜態(tài)配置密鑰的限制；另外，TKIP還支持了MIC認(rèn)證（MessageIntegrityCheck，信息完整性校驗(yàn)）和Countermeasure功能。CCMP加密CCMP(CountermodewithCBC-MACProtocol，[計(jì)數(shù)器模式]搭配[區(qū)塊密碼鎖鏈－信息真實(shí)性檢查碼]協(xié)議)加密機(jī)制是基于AES（AdvancedEncryptionStandard，高級加密標(biāo)準(zhǔn)）加密機(jī)制的CCM（Counter-Mode/CBC-MAC，區(qū)塊密碼鎖鏈－信息真實(shí)性檢查碼）方法，僅用于RSNA客戶端。CCM結(jié)合CTR（Countermode，計(jì)數(shù)器模式）進(jìn)行機(jī)密性校驗(yàn)，同時結(jié)合CBC-MAC（區(qū)塊密碼鎖鏈－信息真實(shí)性檢查碼）進(jìn)行認(rèn)證和完整性校驗(yàn)。CCM可以保護(hù)MPDU數(shù)據(jù)段和IEEE802.11首部中被選字段的完整性。CCMP中所有的AES處理進(jìn)程都使用128位的密鑰和128位的塊大小。CCM中每個會話都需要一個新的臨時密鑰。CCMP使用48位的PN（packetnumber）來實(shí)現(xiàn)這個目的。對于同一個臨時密鑰，重復(fù)使用PN會使所有的安全保證無效。為充分保障數(shù)據(jù)在傳輸過程中的安全，防止竊取和破解，方案中選擇CCMP協(xié)議對無線傳輸?shù)臄?shù)據(jù)進(jìn)行加密。無線認(rèn)證方式PSK認(rèn)證PSK認(rèn)證需要實(shí)現(xiàn)在無線客戶端和設(shè)備端配置相同的預(yù)共享密鑰。如果密碼相同，PSK接入認(rèn)證成功；如果密鑰不同，PSK接入認(rèn)證失敗。802.1X認(rèn)證802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議（portbasednetworkaccesscontrolprotocol）。這種認(rèn)證方式在WLAN接入設(shè)備的端口這一級對所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問WLAN中的資源；如果不能通過認(rèn)證，則無法訪問WLAN中的資源。Web認(rèn)證WebPortal認(rèn)證又稱為強(qiáng)制WEB認(rèn)證或WEB+DHCP，其對具有對新業(yè)務(wù)支撐能力強(qiáng)大、無需安裝客戶軟件、與組網(wǎng)設(shè)備無關(guān)等特點(diǎn)。受到越來越多用戶的歡迎。Portal認(rèn)證業(yè)務(wù)可以為管理者提供方便的管理功能，如要求所有的用戶都到門戶網(wǎng)站去認(rèn)證，門戶網(wǎng)站可以開展廣告、信息服務(wù)、個性化的業(yè)務(wù)等，為信息傳播提供一個良好的載體。密鑰協(xié)商協(xié)議WPA方式WPA(Wi-FiProtectedAccess)是Wi-Fi聯(lián)盟為了適應(yīng)市場需求定制的無線安全方案，保證了與未來出現(xiàn)的IEEE802.11i協(xié)議向前兼容。WPA密鑰協(xié)商協(xié)議也被稱為WPA1，一般與TKIP數(shù)據(jù)保密算法一起使用。RSN方式RSN(RobustSecureNetwork，魯棒性安全網(wǎng)絡(luò))，在IEEE802.11i草案協(xié)議里具體定義，在2007年發(fā)布的IEEE802.11協(xié)議里正式啟用。RSN密鑰協(xié)商協(xié)議也被稱為WPA2，一般與CCMP數(shù)據(jù)保密算法一起使用。WEB無感知認(rèn)證場景分析在傳統(tǒng)的web認(rèn)證方案中，用戶普遍反應(yīng)web易用性差，每次都需要連接SSID，打開瀏覽器，輸入用戶名和密碼，操作步驟多，而且掉線了還不能夠自動登錄，依然需要手動輸入用戶名和密碼進(jìn)行在此認(rèn)證。為了使所有的web認(rèn)證用戶永遠(yuǎn)在線，無感知的接入網(wǎng)絡(luò)，在用戶首次web認(rèn)證之后，就可以無感知接入網(wǎng)絡(luò)的體驗(yàn)，不需要再次進(jìn)行web認(rèn)證的配置。實(shí)際操作實(shí)例所有客戶端操作步驟都如下，此處以win7為例。關(guān)聯(lián)上hexinbiao-test的SSID。打開IE瀏覽器，隨意訪問，AC將強(qiáng)推彈出web認(rèn)證界面，輸入用戶名密碼，點(diǎn)擊登錄。Web認(rèn)證成功。首次web認(rèn)證后自動注冊MAC地址查看在線用戶，如下圖。查看注冊的移動終端，如下圖。（用戶組開啟注冊移動終端之后，所屬該用戶組的用戶web認(rèn)證之后，自動注冊移動終端，如果用戶注冊的移動終端超過管理員允許的上線，則系統(tǒng)自動刪除最早注冊的移動終端）。注冊移動終端是為了后續(xù)的macbypass認(rèn)證能夠通過，不在彈出web認(rèn)證界面?？蛻舳薓acByPass無感知認(rèn)證當(dāng)用戶第一次web認(rèn)證后，用戶下線。第二次系統(tǒng)檢測到移動終端進(jìn)入到hexinbiao-test的wifi信號區(qū)時，將自動連接到該SSID，AC通過MAC地址認(rèn)證直接發(fā)送報(bào)文到SMP統(tǒng)一認(rèn)證平臺，SMP由于記錄了該用戶首次web認(rèn)證的mac地址，發(fā)送ACCETP報(bào)文給AC，AC記錄用戶認(rèn)證成功，不在推送web界面給用戶。用戶無需任何操作，即可上網(wǎng)。微信認(rèn)證患者及其家屬到醫(yī)院打點(diǎn)滴、住院等，通常時間都比較長，醫(yī)院可以為客戶提供只有關(guān)注醫(yī)院的微信即可免費(fèi)享受WLAN上網(wǎng)服務(wù)，可以使等待的時間更容易打發(fā)，避免感到不耐煩或因排隊(duì)太久而焦急。從而也可讓患者及其家屬通過微信了解醫(yī)院相關(guān)信息、醫(yī)療常識等，提供病患及其家屬對醫(yī)院的認(rèn)知、親密度以及滿意度。微信認(rèn)證具體流程如下：重定向到微信引導(dǎo)界面用戶使用終端瀏覽器進(jìn)行網(wǎng)絡(luò)訪問時，會發(fā)起網(wǎng)頁訪問請求；如果該網(wǎng)頁資源不是NAS(認(rèn)證節(jié)點(diǎn)，該方案是的是AC控制器)放行的資源，那么NAS對用戶請求進(jìn)行攔截，并進(jìn)行重定向到SMP(認(rèn)證平臺)提供的WEB微信認(rèn)證引導(dǎo)界面；用戶瀏覽器根據(jù)重定向地址，訪問SMP的微信認(rèn)證引導(dǎo)界面。微信APP認(rèn)證流程打開公眾號關(guān)注微信：可通過掃描引導(dǎo)界面的二維碼圖片，圖片可通過保存到手機(jī)相冊再進(jìn)行掃描，或者直接輸入公眾號查找關(guān)注。點(diǎn)擊一鍵上網(wǎng)的菜單鏈接發(fā)送HTTP請求，AC和SMP配合校驗(yàn)上網(wǎng)鏈接URL的合法性，并在SMP生成微信賬號。SMP將認(rèn)證結(jié)果填入頁面，和門戶網(wǎng)站一起推送給客戶。如果配置了上線公告地址，則會彈出右邊的門戶主頁頁面。退出認(rèn)證流程用戶主動下線用戶發(fā)起下線請求到SMP（內(nèi)置Portal），只有存在在線界面有下線按鈕的情況下才可主動發(fā)起下線；管理員強(qiáng)制下線和用戶主動下線流程基本一致，管理員強(qiáng)制下線是由管理員發(fā)起的下線請求。流量?；钕戮€AC上開啟流量保活功能，進(jìn)行檢測用戶是否下線；允許接入時間是否已到；流量檢測不符合設(shè)置時，AC向SMP發(fā)送下線請求報(bào)文；SMP發(fā)送下線應(yīng)答報(bào)文；AC發(fā)送記賬結(jié)束報(bào)文；SMP響應(yīng)記賬結(jié)束。查看微信用戶上網(wǎng)記錄再次進(jìn)行微信認(rèn)證通過web+MAC地址無感知認(rèn)證的方式SMP開啟允許注冊MAC地址，AC支持MAC地址無感知，并開啟該功能。當(dāng)微信用戶認(rèn)證通過Portal認(rèn)證之后，SMP學(xué)習(xí)到用戶終端的MAC地址。AC的微信portal的WLANSEC下配置MABMAC地址認(rèn)證。當(dāng)終端再次關(guān)聯(lián)SSID之后，AC先發(fā)起MAC地址認(rèn)證，SMP直接放行，免去再次打開微信進(jìn)行認(rèn)證。通過公眾號的菜單點(diǎn)擊觸發(fā)連接到認(rèn)證的URL。運(yùn)維管理平臺設(shè)計(jì)【可選】隨著信息化建設(shè)的推進(jìn)，為了讓凝聚了巨大人力物力投入的信息基礎(chǔ)設(shè)施發(fā)揮出其效益，保障整個信息系統(tǒng)的平穩(wěn)可靠運(yùn)行，需要有一個可從整體上對包括IP網(wǎng)絡(luò)，存儲，安全等組件在內(nèi)的IT基礎(chǔ)設(shè)施環(huán)境進(jìn)行綜合管理的平臺，并能夠提供業(yè)務(wù)系統(tǒng)運(yùn)行異常的實(shí)時告警和進(jìn)行圖形化問題定位，性能趨勢分析和預(yù)警，能夠基于關(guān)鍵業(yè)務(wù)系統(tǒng)的角度，以業(yè)務(wù)重要性為導(dǎo)向進(jìn)行事件處理和通知。由于信息系統(tǒng)是一個包括了眾多軟件，硬件技術(shù)，涉及多廠家產(chǎn)品，從網(wǎng)絡(luò)，安全，存儲，計(jì)算到中間件和應(yīng)用的復(fù)雜異構(gòu)環(huán)境，而且隨著信息建設(shè)的深入和持續(xù)優(yōu)化和發(fā)展，這個復(fù)雜龐大的基礎(chǔ)設(shè)施，還會隨之不斷進(jìn)行演進(jìn)，在產(chǎn)品，技術(shù)和網(wǎng)絡(luò)結(jié)構(gòu)，業(yè)務(wù)關(guān)系上不斷發(fā)生變化，因此，要求針對該環(huán)境進(jìn)行管理的系統(tǒng)具有良好的可擴(kuò)展性，能夠?qū)⑾聦泳W(wǎng)絡(luò)和的復(fù)雜度有效的通過抽象屏蔽起來，向上層應(yīng)用和運(yùn)維流程開放穩(wěn)定的接口?；阡J捷網(wǎng)絡(luò)RIIL平臺的“關(guān)鍵業(yè)務(wù)系統(tǒng)運(yùn)行監(jiān)控中心”實(shí)施對網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用系統(tǒng)的集中智能管理，可以讓有限的IT運(yùn)維人員精力和IT預(yù)算投入到最關(guān)鍵的資源的維護(hù)和保障中，降低復(fù)雜IT環(huán)境的管理難度，更輕松地把握支撐關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)和系統(tǒng)的運(yùn)行狀態(tài)，并不斷提升關(guān)鍵業(yè)務(wù)系統(tǒng)的運(yùn)行服務(wù)質(zhì)量水平，提升用戶滿意度。利用基于統(tǒng)一信息模型的融合抽象建模技術(shù)和自動發(fā)現(xiàn)技術(shù)，實(shí)現(xiàn)對全I(xiàn)P網(wǎng)絡(luò)中各種基于IP技術(shù)的基礎(chǔ)設(shè)施的自動發(fā)現(xiàn)和資源化，基于統(tǒng)一信息模型，生成一個可管理，可重用的實(shí)時對象庫，并通過實(shí)時事件和同步技術(shù)，保持與實(shí)際管理對象的一致性。由于可以在統(tǒng)一的信息模型定義下，針對多廠商，多技術(shù)的基礎(chǔ)設(shè)施進(jìn)行抽象，從而為解決異構(gòu)基礎(chǔ)設(shè)施的融合難題奠定了關(guān)鍵的基礎(chǔ)，解決了對IP基礎(chǔ)環(huán)境的總體把握和全局理解的問題。在此基礎(chǔ)之上，進(jìn)一步的通過關(guān)鍵業(yè)務(wù)性能評估模型，以業(yè)務(wù)系統(tǒng)的重要性為導(dǎo)向，對業(yè)務(wù)系統(tǒng)所依賴的各種下層資源進(jìn)行具有服務(wù)優(yōu)先級差別的監(jiān)控和管理，讓管理人員可以實(shí)時的，針對影響關(guān)鍵業(yè)務(wù)和關(guān)鍵用戶的異常事件進(jìn)行優(yōu)先處理，并在問題發(fā)生的時候快速判斷其影響范圍和程度，通過圖形化手段快速制定最佳控制和問題解除方案。通過面向關(guān)鍵業(yè)務(wù)的基礎(chǔ)設(shè)施管理，讓IT投入的效益的到最大化的體現(xiàn)，并能夠在網(wǎng)絡(luò)和信息團(tuán)隊(duì)運(yùn)維資源有限的條件下，讓用戶按照其重要性體驗(yàn)到服務(wù)品質(zhì)的提升。該平臺是通過多年網(wǎng)絡(luò)IP基礎(chǔ)設(shè)施研發(fā)經(jīng)驗(yàn)，面向網(wǎng)絡(luò)融合與虛擬化趨勢打造的可分布式部署，兼容大規(guī)模復(fù)雜異構(gòu)IP網(wǎng)絡(luò)和IT計(jì)算環(huán)境的可擴(kuò)展管理平臺。它基于標(biāo)準(zhǔn)開放的信息建模技術(shù)，實(shí)時分布式計(jì)算平臺和SOA架構(gòu)實(shí)現(xiàn)，能夠通過靈活豐富的管理協(xié)議對接各種主流IP基礎(chǔ)設(shè)施，包括多廠家IP網(wǎng)絡(luò)設(shè)備，IP存儲設(shè)備，中間件，服務(wù)器，數(shù)據(jù)庫和關(guān)鍵應(yīng)用系統(tǒng)，并提供強(qiáng)大的事件管理，拓?fù)潢P(guān)聯(lián)分析和性能監(jiān)控組件。在目前廣大用戶基于IP的網(wǎng)絡(luò)計(jì)算環(huán)境日益復(fù)雜和龐大，業(yè)務(wù)系統(tǒng)依賴的資源越來越難以掌控的背景下，能夠?yàn)镮T組織提供一個隨著IT環(huán)境變化不斷擴(kuò)展，但同時又能向上提供穩(wěn)定的管理接口和管理服務(wù)的抽象層中間件，屏蔽硬件的異構(gòu)性，降低管理復(fù)雜度，從而幫助用戶構(gòu)建可持續(xù)發(fā)展，高回報(bào)的IP計(jì)算環(huán)境，大大降低IT服務(wù)管理的復(fù)雜度，以可視化，對象化的方式實(shí)現(xiàn)IT環(huán)境透明化?；跇I(yè)界主流標(biāo)準(zhǔn)的融合管理信息模型基于統(tǒng)一信息模型泛化技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)資源抽象和資源化參考RFC3198，DTMFCIM和TMFSID的統(tǒng)一信息模型建模標(biāo)準(zhǔn)，面向最新的系統(tǒng)和NGN融合管理需求系統(tǒng)架構(gòu)融合開放的RIIL管理平臺：應(yīng)用了動態(tài)自適應(yīng)技術(shù)的性能評估模型，通過可定義性能門限與自適應(yīng)算法相結(jié)合，進(jìn)行性能趨勢分析和狀態(tài)評估基于統(tǒng)一信息模型和性能評估模型生成集中IP基礎(chǔ)設(shè)施資源庫能夠?qū)Χ鄰S商的設(shè)備、中間件、服務(wù)器、數(shù)據(jù)庫系統(tǒng)進(jìn)行統(tǒng)一發(fā)現(xiàn)和管理面向ITIL流程自動化集成環(huán)境需求基于RIIL平臺的關(guān)鍵業(yè)務(wù)運(yùn)行管理系統(tǒng)（BMC）體系架構(gòu)：系統(tǒng)功能從關(guān)鍵業(yè)務(wù)系統(tǒng)重要性角度來管理下層IT資源以用戶群重要性自動關(guān)聯(lián)評估業(yè)務(wù)重要性根據(jù)業(yè)務(wù)相關(guān)性為IT資源自動生成業(yè)務(wù)標(biāo)簽自動評估實(shí)時事件的業(yè)務(wù)影響度以關(guān)鍵業(yè)務(wù)為單位管理基礎(chǔ)IP資源，圖形化關(guān)聯(lián)業(yè)務(wù)系統(tǒng)及其相關(guān)的資源池以多層邏輯視圖對業(yè)務(wù)系統(tǒng)進(jìn)行透視管理多維度立體透視關(guān)鍵業(yè)務(wù)系統(tǒng)及其資源關(guān)系將資源對象按照網(wǎng)絡(luò)層，計(jì)算層，應(yīng)用層進(jìn)行分層管理根據(jù)業(yè)務(wù)資源對象之間的邏輯依賴關(guān)系，生成資源層間依賴視圖根據(jù)拓?fù)潢P(guān)聯(lián)和業(yè)務(wù)邏輯關(guān)聯(lián)關(guān)系，進(jìn)行圖形化的事件傳播顯示交互性和可視性極強(qiáng)的管理界面非常適合匹配高清大屏幕來構(gòu)建醫(yī)院IT基礎(chǔ)平臺運(yùn)行監(jiān)控中心Touch-Flow風(fēng)格的管理界面支持自定義Dashboard和關(guān)鍵業(yè)務(wù)監(jiān)控視圖可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的四維立體透視，一目了然其運(yùn)行狀態(tài)、底層資源的關(guān)聯(lián)關(guān)系和組成關(guān)系以業(yè)務(wù)卡片方式集中監(jiān)控多個業(yè)務(wù)系統(tǒng)及其資源的運(yùn)行智能靈活的告警管理能力可支持識別，處理，關(guān)聯(lián)多廠商的上千種告警事件，并通過多種手段通知給用戶內(nèi)置上千種事件，并可擴(kuò)展支持更多的網(wǎng)絡(luò)和系統(tǒng)事件與告警具備事件匹配和抖動處理，過濾等關(guān)聯(lián)機(jī)制，提高事件識別效率可圖形化的定義事件處理和分發(fā)策略支持短信，郵件，聲光等告警通知手段多廠商復(fù)雜IP網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用組件自動發(fā)現(xiàn)能力可自動發(fā)現(xiàn)和監(jiān)控多廠商網(wǎng)絡(luò)設(shè)備，服務(wù)器，存儲，安全設(shè)備，UPS，計(jì)算機(jī)，中間件等IP基礎(chǔ)設(shè)施，具備強(qiáng)大的多協(xié)議物理和邏輯拓?fù)浒l(fā)現(xiàn)和呈現(xiàn)能力基于標(biāo)準(zhǔn)的FDB，LLDP，以及廠商私有的如CDP等協(xié)議的強(qiáng)大二層發(fā)現(xiàn)技術(shù)基于三層路由協(xié)議的廣域網(wǎng)發(fā)現(xiàn)和拓?fù)涑尸F(xiàn)能力基于數(shù)據(jù)庫，WebService接口的應(yīng)用層中間件自動發(fā)現(xiàn)能力多線程并發(fā)發(fā)現(xiàn)機(jī)制，成倍優(yōu)化傳統(tǒng)拓?fù)浒l(fā)現(xiàn)效率，適合大型網(wǎng)絡(luò)的拓?fù)浒l(fā)現(xiàn)支持通過標(biāo)準(zhǔn)管理協(xié)議對可管理型機(jī)房基礎(chǔ)設(shè)施的監(jiān)控融合事件、流量、性能和安全信息的多維拓?fù)涑尸F(xiàn)能力支持分層顯示物理和拓?fù)湟晥D，并可支持多種自動布局算法支持業(yè)務(wù)系統(tǒng)視圖的呈現(xiàn)可提供平面或者網(wǎng)段分層拓?fù)滹@示模式通過與事件管理器的無縫連接，實(shí)現(xiàn)設(shè)備狀態(tài)在事件管理器中的實(shí)時通知與處理在拓?fù)鋱D中集成圖形化流量和性能指標(biāo)查看視圖提供安全域管理視圖，直接與安全邊界和等級保護(hù)體系相結(jié)合智能性能指標(biāo)監(jiān)測和趨勢告警可自動進(jìn)行后臺性能指標(biāo)不間斷監(jiān)測，并根據(jù)性能模型實(shí)時提示性能變化趨勢內(nèi)置性能采集引擎，能夠靈活的通過復(fù)雜公式定義采集指標(biāo)可自動后臺運(yùn)行多個并發(fā)采集進(jìn)程，并生成歷史性能數(shù)據(jù)庫可通過自適應(yīng)算法自動計(jì)算業(yè)務(wù)系統(tǒng)性能基線可進(jìn)行圖形化的性能數(shù)據(jù)查詢和趨勢分析可根據(jù)自定義性能門限生成告警并通知相關(guān)管理人員靈活強(qiáng)大的可定制報(bào)表功能內(nèi)置強(qiáng)大的報(bào)表引擎，可根據(jù)后臺任務(wù)自動生成運(yùn)維統(tǒng)計(jì)報(bào)表并進(jìn)行自動分發(fā)可圖形化選擇數(shù)據(jù)，訂購豐富的業(yè)務(wù)和資源運(yùn)行統(tǒng)計(jì)報(bào)表后臺按照報(bào)表定義，按照模板自動生成報(bào)表并進(jìn)行報(bào)表分發(fā)，自動發(fā)送給感興趣的管理人員應(yīng)用先進(jìn)的Web2.0動態(tài)前端技術(shù)構(gòu)建Web2.0動態(tài)頁面技術(shù)，比傳統(tǒng)的C/S或者B/S架構(gòu)具備更好的可視化呈現(xiàn)和交互能力可穿越防火墻進(jìn)行訪問，具備更好的遠(yuǎn)程管理能力可與SOA架構(gòu)無縫融合對瀏覽器具有更好的適應(yīng)性可方便的支持管理客戶端安全連接高度可擴(kuò)展的軟件體系結(jié)構(gòu)能夠面向上層應(yīng)用，提供符合SOA架構(gòu)的開放管理接口基于WebService架構(gòu)的模塊化設(shè)計(jì)，可擴(kuò)展性強(qiáng)，能夠與第三方應(yīng)用快速集成支持多管理員并發(fā)管理，并能夠?qū)Σ煌芾韱T靈活定義不同的管理權(quán)限和視圖范圍能夠分布式部署，具備良好的性能伸縮性，適合大規(guī)模網(wǎng)絡(luò)和信息系統(tǒng)管理需求能夠通過基于中間件的分布式部署，具備良好的性能伸縮性，適合大規(guī)模網(wǎng)絡(luò)和信息系統(tǒng)管理需求基于各種標(biāo)準(zhǔn)的通信協(xié)議和管理協(xié)議，應(yīng)用規(guī)范和管理接口實(shí)現(xiàn)具備良好的跨平臺兼容性，可以選擇不同版本支持在Linux,Solaris或Windows操作系統(tǒng)上進(jìn)行部署可視化的業(yè)務(wù)和資源建模能力提供可視化業(yè)務(wù)建模工具，適應(yīng)業(yè)務(wù)環(huán)境的變化所見即所得的業(yè)務(wù)系統(tǒng)和關(guān)系建模可配置性能模型和信息模型提供自動業(yè)務(wù)拓?fù)渖晒δ?，可根?jù)選擇的資源自動生成業(yè)務(wù)拓?fù)潢P(guān)系可基于身份管理系統(tǒng)接口導(dǎo)入用戶信息，并針對用戶群進(jìn)行業(yè)務(wù)建模，將用戶關(guān)聯(lián)到業(yè)務(wù)系統(tǒng)方案特點(diǎn)和優(yōu)勢面向移動醫(yī)護(hù)業(yè)務(wù)的用戶場景的產(chǎn)品特性標(biāo)準(zhǔn)化配件簡化無線網(wǎng)絡(luò)設(shè)計(jì)在移動醫(yī)護(hù)場景下實(shí)現(xiàn)無線覆蓋采用的最多就是室內(nèi)分布式部署的方式。室分型大功率AP通過功率放大器、功分器、耦合器將無線信號經(jīng)過多級處理后發(fā)射出去，獲得較好的無線覆蓋效果，但室內(nèi)分布型系統(tǒng)一般需專業(yè)人員做設(shè)計(jì)與部署。整個系統(tǒng)涉及室分專用元器件眾多，為非標(biāo)準(zhǔn)化配件，且天饋為剛性饋線，不宜彎折，增加了施工和方案設(shè)計(jì)的難度，而且這些元器件基本不能保證是由同一家廠商生產(chǎn)，管理維護(hù)工作量大。銳捷網(wǎng)絡(luò)獨(dú)創(chuàng)的智分單元內(nèi)置了干線放大單元和功率分配單元，將上下行信號放大和功率平均分成4路的同時帶來更簡化的部署。創(chuàng)新的擴(kuò)分單元徹底解決了傳統(tǒng)室分解決方案因元器件復(fù)雜、施工難度大的問題。室分解決方案需要維護(hù)功分器、干線放大器等至少30多個元器件，而擴(kuò)分單元完全替代這些配件，使得銳捷移動醫(yī)護(hù)解決方案只需15個元器件即可完成整個病區(qū)的無線覆蓋，讓施工完成后的網(wǎng)絡(luò)維護(hù)變得更簡單。整體方案特點(diǎn)一個病區(qū)內(nèi)零漫游、無中斷移動醫(yī)護(hù)業(yè)務(wù)中，手持終端良莠不齊，有些手持終端甚至不支持漫游，導(dǎo)致移動醫(yī)護(hù)業(yè)務(wù)經(jīng)常出現(xiàn)中斷或者根本無法開展等現(xiàn)象。移動醫(yī)護(hù)零漫游解決方案中全網(wǎng)無線信號均來自RG-AP620-H的同一射頻芯片，讓一個病區(qū)的無線覆蓋處于同一信道，同一頻率的統(tǒng)