2023年11月30日发(作者:)
医院无线内网设计方案
概况
随着信息技术的快速发展,医院信息系统在我国已得到了较快发展,国内多
数医院已建立起以管理为主的HIS(Hospital Information System)系统,当
前的发展重点则是建设以病人为中心的临床信息系统CIS(Clinical
Information System)。临床信息化系统包括医生工作站系统、护理信息系统、
检验信息系统(LIS)、放射信息系统(RIS)、手术麻醉信息系统、重症监护信
息系统、医学图像管理系统(PACS)等子系统,而这些系统将以病人电子病历
EMR(Electronic Medical Record,EMR)为核心整合在一起。
随着医疗改革的推进,医院正朝着以终末质量管理向环节质量管理转变,从
而提高医疗服务质量,缓和医患关系,提高医院的服务效率。与以病人为中心的
服务理念相适应,医院信息化也从传统的内部管理为主的HIS 系统,向以病人
为核心的临床信息化系统转变。伴随着临床信息化,医院正逐步地实现无纸化、
无胶片化和无线化。随着无线局域网技术的不断成熟和普及,无线局域网在全球
范围内医疗行业中的应用已经成为了一种趋势。
网络建设原则
计算机网络系统设计必须适应当前网络各项应用,又可面向未来信息化发展
的需要,因此必须是高质量的。在设计网络时,需要遵循以下原则:
实用性和先进性
采用先进成熟的技术满足业务需求,兼顾其他相关的管理需求,尽可能采用
先进的网络技术以适应更高的数据、语音、视频(多媒体)的传输需要,使整个
系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。
安全可靠性
为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。
要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。
在采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的
管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的
安全可靠性。
系统设计应充分考虑到各个层面的安全风险,构建完整的安全防护体系,充
分保证系统的安全性。同时,应确保方案中使用的信息安全产品和技术方案在设
计和实现的全过程中有具体的措施来充分保证其安全性。
灵活性和可扩展性
计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可
扩展性,能够根据网络不断深入发展的需要,方便的扩展网络覆盖范围、扩大网
络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口
的能力,提供技术升级、设备更新的灵活性。
开放性和互连性
具备与多种协议计算机通信网络互连互通的特性,确保本计算机网络系统的
基础设施的作用可以充分的发挥。在结构上真正实现开放,基于开放式标准,包
括各种局域网、广域网、计算机等,坚持统一规范的原则,从而为未来的发展奠
定基础。
经济性和投资保护
应以较高的性能价格比构建本计算机网络系统,使资金的产出投入比达到最
大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。
尽可能保留延长已有系统的投资,充分利用以往在资金与技术方面的投入。
可管理性
由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定
会日益繁重。所以在网络设计中,必须建立一套全面的网络管理解决方案。网络
设备必须采用智能化,可管理的设备。最终能够实现监控、监测整个网络的运行
情况,合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过
先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,
从而为医院运作提供最有力的保障。
网络方案设计
无线组网拓扑图
网络信息中心
内网核心交换机
40GE链路
10GE链路
GE链路
AC控制器
敏捷控制器
敏捷分布式Wi-Fi
中心AP
敏捷分布式Wi-Fi
远端接入单元
PoE交换机PoE交换机
室内放装AP
室内放装AP
1#病房楼(病房)行政科研楼、医技楼、门急诊楼
2#病房楼(病房)1#病房楼(公共区域)、2#病房楼(公共区域)
无线组网方案介绍
本项目无线网络设计方案主体由AC控制器、无线AP和敏捷控制器构成。
AC控制器与敏捷控制器均位于中心机房的网络核心层,无线AP分布在各楼
层的网络接入层。无线AP通过DHCP获取到IP地址后,无线控制器即可自动发
现无线AP并完成注册,实现对无线AP的集中式管控。敏捷控制器内置Radius
服务器,负责对无线接入用户进行身份认证。
无线AP为即插即用设备,AP加电后,自动发现无线控制器,并且注册到控
制器上才能为无线客户端提供无线服务。无线AP采用本地转发模式,无线接入
用户通过核心交换机的网关自动分配IP地址,当无线客户端的流量到达AP后,
上网的业务流量通过核心交换机网关进行直接数据转发。
AC控制器通过双10GE光纤上行链路连接到内网核心交换机,采用2台AC
控制器实现1+1冗余备份。
PoE交换机位于1#病房楼、2#病房楼、医技楼、行政科研楼、门急诊楼的各
个楼层弱电机房,上行通过千兆光纤链路连接到内网核心交换机,若对链路可靠
性要求高,可通过双上行链路连接,实现链路冗余;同时通过千兆网线连接到各
个室内放装式AP,为无线AP完成PoE供电及数据传输的需求。
在1#病房楼、2#病房楼,采用华为敏捷分布式WiFi方案,即中心AP
AD9430DN-24+远端接入单元R240D,中心AP通过千兆光纤链路连接内网核心交
换机,并通过千兆网线连接到部署在各个病房内的远端接入单元R240D,且同时
为远端接入单元R240D完成PoE供电与数据传输需求。
无线覆盖方案介绍
本方案中根据实际需求将室内型双频AP覆盖在各个点,静态为AP指定管理
IP地址,并让AP和所需要建立隧道的无线控制器IP地址告诉AP,AP自动和无
线服务控制器建立管理隧道,并获得配置。此时无线控制服务模块能管理并配置
AP。AP同时工作在2.4和5G两个频段。
本项目是实现全院各病区的无线信号全面覆盖,病房床旁、过道、办公室、
护士站内不能出现信号死角。并采用目前标准的无线局域网技术,符合标准IEEE
802.11a/b/g/n/ac传输协议,能便于各种WiFi设备如笔记本电脑、PDA、WiFi
电话等的连接。支持双频802.11ac工作模式,支持在2.4 GHz 和5 GHz 频段上
向后兼容传统的802.11a/b/g/n 客户端。支持2个空间流的2x2 MIMO和3个空
间流的3x3 MIMO,带宽需达到1Gbps。支持20 MHz 、40 MHz 和80MHz信道带
宽。
考虑无线AP的覆盖能力,冗余设计,接入容量,以及无线控制器的功能设
置,整体系统架构做如下考虑:
采用AC6605接入控制器,可通过旁路模式连接到医院的核心交换机,单台
AC6605最大可管理1024个AP,并通过2台AC6605实现AC控制器的冗余备份。
采用AP5030DN和AP7030DE(室内放装型AP)作为门急诊楼、医技楼、行政
科研楼无线覆盖的无线接入点,以及1#和2#病房楼会议室、走廊、公共区域部
分的无线接入点。
采用AD9430DN-24中心AP并搭配R240D远端射频接入单元作为1#和2#病房
楼中病房部分的无线覆盖方案产品,该方案的架构如下图所示。
针对本次室内无线AP的布放选择需要考虑几个方面:
网络工作频段
采用802.11g单频AP部署会遇到仅有三个不重叠频点部署以及2.4G非许可
频点产品(2.4G步话机、微波炉、蓝牙耳机、2.4G无线耳机、无绳电话等数百
种类型产品)的干扰等问题所以网络容量往往不能满足未来应用之发展需求。而
随着双频802.11a/b/g/n/ac无线网卡及终端的普及,园区网络及大型企业WLAN
的覆盖也逐渐由802.11n转为主流的802.11ac,并向下兼容802.11a/b/g/n。因
此,建议采用同时能够提供双频的AP来进行网络部署。考虑到现阶段多媒体无
线终端设备的情况,本次以2.4G频段覆盖为基础,结合5G频段覆盖进行设计。
网络容量和性能
传统的AP设备无论在2.4G还是在5G上最多只能提供54M的带宽,并且随
着信号的强弱,所提供的带宽也会大范围的缩减,在信号的边缘有可能最终只能
提供1-2M的带宽。而这是远远不能满足医疗办公及病人上网的需求。所以本次
室内建议部署支持802.11n或802.11ac技术的AP。在802.11n下最高可提供
600Mbps带宽、在802.11ac下最高可提供超过1Gbps带宽,完全可以满足各种
多媒体业务的需求。同时利用802.11n或801.11ac技术的MIMO(多输入多输出
技术)、MRC(最大合并比)、数据包聚合等技术还提供远超传统AP的高稳定性
的网络。并且在客户端不支持802.11n或802.11ac的情况下也可以提供A/B/G
的接入,网络性能提高30%。所有本次建设部署支持802.11n或802.11ac技术
的室内AP。
无线射频规划
WLAN信道是WLAN网络设计中重要一环,无线网络必须对WLAN信道进行统
一规划。WLAN信道规划的好坏,影响到无线网络的带宽、无线网络的性能、无
线网络的扩展以及无线网络的抗干扰能力,也必将直接影响到无线网络的用户体
验。
频点划分
为保证信道之间不相互干扰,无线网络必须对WLAN信道进行统一规划并实
施。WLAN系统主要应用两个频段:2.4GHz和5.0GHz。2.4G频段具体频率范围为
2.4~2.4835GHz的连续频谱,信道编号1~13,非重叠信道共有三个,一般选取
1、6、11这三个非重叠信道。5.0G频段分配的频谱并不连续,主要有两段:5.15~
5.35GHz、5.725GHz~5.85GHz。不重叠信道在5.15~5.35GHz频段有8个,分别
为36、40、44、48、52、56、60、64;在5.725GHz~5.85GHz频段有4个,分
别为149、153、157、161,可以根据实际部署情况,选择相应的非重叠信道。
信道覆盖
WLAN信道规划需遵循两个原则:蜂窝覆盖、信道间隔。根据覆盖密度、干
扰情况、选择2.4G/5G单频或双频覆盖。AP交替使用2.4G的1、6、11信道及
5.0G的36、40、44信道,避免信号相互干扰;一般情况单独使用2.4G或5.0G
的频段,对于报告厅、会议室和叫号等待区等高密度用户接入的场所,可以启用
双频进行覆盖,以便提供更好的接入能力。单频覆盖和双频覆的示意图如下图所
示。
链路预算
WLAN链路预算一般经过边缘场强确认,空间损耗计算,覆盖距离计算等步
骤。边缘场强确认是指:在WLAN工程部署中,要求重点覆盖区域内的WLAN信号
到达用户终端的电平不低于-75dBm。这样可以保障用户与AP的协商速率以及收
发数据质量。
空间损耗计算通常采用如下公式,其中:Pr[dB]为最小接收电平,即为AP
在不同传输速率下的接收灵敏度;Pt[dB]为最大发射功率;Gt[dB]为发射天线增
益;Gr[dB]为接收天线增益;Pl[dB]为路径损耗(包括空间传播损耗、馈线传播
损耗、墙体/玻璃阻挡损耗)。实际部署中终端天线增益不可知,为方便计算常
忽略接收天线增益,而采用如下公式:到达用户端的信号电平=AP发射功率+
AP天线增益-路径损耗。路径损耗主要指WLAN信号的空间损耗,空间损耗=
92.4+20lgf+20lgd (f:GHz,d:km)。由公式推算可知:
空间1251124812
传输距离 m m m 0m 5m 0m 0m 0m 00m 00m
2.4GH
56771
z信号的47899
3.5d3.5d5.4d8.5d03.5d
空间衰减6dB 1dB 6dB 3.6dB 6dB
B B B B B
(dBm)
5.8GH
8111
z信号的567891
4dB 空间衰减3dB 2dB 3dB 2dB 22dB
8.3d01d10.1d13d
(dBm)
为便于理解链路估算的过程,这里给出一个室内场景覆盖的预算案例:根据
WLAN覆盖边缘场强的要求,到达终端用户的信号电平不低于-75dBm,100mW AP
的输出电平20dBm,天线增益4dBi,距离AP 60m处信号的衰减量90dBm,由于
20+4-90=-66dBm,大于-75dBm,因此在正常情况下,室内AP的覆盖范围为60m。
考虑到室内环境复杂,无线信号需要穿越墙体等障碍物,一般建议覆盖半径为
20m左右。
B B B B
规划工具
无论是室内还是室外,精细地覆盖规划都是一件非常有挑战的工作。很多项
目的无线网络规划设计完全参照经验进行设计,与现网环境不能有机结合,不但
缺乏科学的依据,准确率也不高,且规划效率低下。粗放的覆盖规划不能充分发
挥WLAN的性能,并且也给后期维护优化带来更多的工作量,增加后期成本。
华为提供专业的规划服务工具,可以提供从规划、建设和优化全流程的工具
支撑,大大提升各种场景中覆盖规划的效率和准确性。
规划原则
在规划WLAN网络时,首先考虑到的是满足AP跟无线网卡信号的交互,以及
用户可有效的接入网络。系统的覆盖规划应主要考虑为保证AP无线信号的有效
覆盖,对AP天线进行选址与相关配置。在选择AP摆放位置的时候,需遵循以下
几个原则:
如果在一个大厅里只安装一个AP,则尽量把AP安放在大厅的中央位置,而
且最好是放置于大厅天花板上;如果同一空间安装两个AP,则可以放在两个对
角上。
保持信号穿过墙壁和天花板的数量最小。WLAN信号能够穿透墙壁和天花板,
然而,信号的穿透损耗较大。应放置AP与计算机于合适的位置,使墙壁和天花
板阻碍信号的路径最短,损耗最小。
考虑AP和覆盖区域之间直线连接。注意AP的放置位置,要尽量使信号能够
垂直的穿过墙壁或天花板。
室外网桥长距离数据回传,要避免站点周围有高大建筑或山体,保证网桥两
端信号的视距可达。
AP天线方向可调,安装AP的位置应确保天线主波束方向正对覆盖目标区域,
保证良好的覆盖效果。
AP安装位置需远离电子设备,避免覆盖区域内放置微波炉、无线摄像头、
无绳电话等电子设备。
无线AP点位图
另附AP点位图文件,请参考。
无线SSID和漫游规划
SSID规划
AP可以配置多个SSID,华为单频AP可支持16个SSID,双频AP可支持32
个SSID。通过配置多个SSID,AC针对不同的SSID下发不同的策略,SSID根据
策略进行终端与业务管理。无线网络可按照用户群体划分不同的SSID,如下图
所示,针对三种不同的应用群体,在AP上设置了3个SSID:SSID1用于办公、
SSID2用于病人上网和SSID3用于专业应用终端。
SSID和VLAN的映射
通常,以太网中管理VLAN和业务VLAN是分离的。业务VLAN主要用于区分
不同的业务类型或用户群体。在WLAN网络中SSID也同样可以承担相应的工作。
因此,在SSID的规划中必须综合考虑VLAN与SSID的映射关系。业务VLAN应根
据实际业务需要与SSID匹配映射关系,映射关系有1:1、1:N、N:1、N:N四种。
漫游规划
漫游是指用户在部署了WLAN网络的场所移动时,用户终端可以从一个AP
的覆盖范围移动到另一个AP的覆盖范围,用户无需重新登录和认证,如下图所
示。WLAN网络漫游中需要了解以下两点:1、漫游过程中SSID必须一致,且使
用相同的安全设置。2、漫游中选择连接哪个AP是无线客户端的动作,这个切换
的时机和快慢受无线客户端的芯片或设置的影响,所以在漫游切换过程中会出现
不同的终端切换性能有差异。
无线带宽管理
出于管理的需要,无线网络往往需要系统地对用户或者单AP的带宽进行管
理,比如要求病人上网的带宽不超过512Kbps,医护人员办公上网这类用户上网
获得的带宽不超过1Mbps,医疗专业应用终端保证获得2Mbps的带宽, WLAN解
决方案能够提供基于用户,基于AP(VAP)或者基于某SSID的带宽管理。
基于用户的带宽管理
基于用户的带宽管理包含基于某个特定用户的带宽管理以及基于用户组(角
色)的带宽管理。基于用户的带宽管理需要Radius服务器参与,在认证后Radius
下发用户带宽或者用户组给AC,AC通知AP进行相应的带宽控制,如下图示。
基于AP的带宽管理
出于管理的目的,有时需要对某个具体的AP进行带宽管理,如限制医院某
个指定区域的AP带宽为30Mbps,可以通过配置Traffic profile 里的VAP Limit
Rate实现带宽管理,如下图所示。
基于SSID的带宽管理
为来自医院病人提供上网服务不是建设WLAN的主要目的,一般需要对病人
的SSID的容量做限制,以保障医护人员办公上网及医疗专业应用终端的带宽和
业务体验。如下图所示,对病人的SSID限制了20M的访问带宽。
可靠性规划
WLAN网络的稳定性被普遍关注。一方面是设备的稳定性,AC能够实现倒换
后用户无感知的Session级的备份以及常年工作在室外的AP在恶劣环境下的适
应能力等都是WLAN网络可靠性关注的重点。另一方面,AP的调优特性可以在个
别AP故障或者性能恶化时自动调优,以提升WLAN网络的稳定性;在个别高密覆
盖场所,AP间的负载均衡和5G优先特性对WLAN网络的稳定性也做出重要贡献。
自动调优
当AP射频环境出现恶化,某个AP故障或新增扩容AP时,需要启动射频自
动调优,以增强系统的可靠性和稳定性。建议选择同时支持局部调优和全局调优
的AP设备。局部调优可方便的应用于扩容新AP、单点AP故障或者微波炉等局
部环境变化而引起的信道环境变化场景,如下图所示。全局调优更多的应用于新
建WLAN网络或者大面积信道环境恶化场景。
当AP3掉电或故障时,其邻近AP1和AP4自动感知,并调整发射功率,从而
达到补盲的效果。AP3重新上线后,其邻居AP1和AP4的自动的调整发射功率,
避免AP与邻居因覆盖区域重叠造成AP间相互干扰。
负载均衡
无线客户端一般会根据AP信号强度(RSSI)选择AP,这很容易导致大量的
客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于WLAN是基于
CSMA/CA机制,实现多用户接入,当单台AP接入用户数过多时,用户吞吐率性
能会出现急剧下降且稳定性无法保证。负载均衡特性可以按照用户数量和用户流
量,将用户分配到同一组但负载不同的AP上,从而实现不同AP之间的负载分担,
避免出现某个AP负载过高而使其性能不稳的情况。
如上图所示。用户模式:AP1和AP2属于同一个负载均衡组,AP1已接入4
个STA,AP2已接入2个STA。AP1与AP2接入STA个数的差值为2,当阈值设置
为1时,新接入的STA7被均衡到接入用户数量较少的AP2上。
流量模式:AP1和AP2属于同一个负载均衡组,AP1已接入4个STA,AP2
已接入2个STA。但AP2上的STA5/STA6承载高带宽业务,总带宽流量30M超过
AP1的总带宽8M,当设定阈值为12M,新接入的STA7被均衡到流量负荷较小的
AP1上。
无线网络安全性规划
在部署WLAN网络时需要格外关注WLAN网络的安全,保障WLAN网络的安全
运行。由于WLAN开放环境的存在,需要考虑如何解决Rogue AP等设备带来的安
全隐患?如何防止非法的用户访问行为?怎么禁止非法用户接入网络?怎么防
止空口窃听?如何保证AP接入AC的安全?这些安全隐患整体可以分为空口安全
和用户安全两类。
空口安全
空口安全主要来自非法rogue 设备,空口监听和恶意攻击三个方面,如下
图所示。
Rogue设备:
现网环境中可能出现的Rogue设备包括Rogue AP,Rogue Client,Ad-hoc
设备,这些设备对运维的WLAN网络会带来诸多的安全隐患,如干扰,用户和非
法AP建立连接等。WLAN WIDS方案支持对网络中的Rogue 设备(包括AP,Client,
Ad-hoc)的进行检测、识别以及反制功能。下面分别从非法设备的监听,识别,
判断以及反制四个方面详细阐述。
侦听周边设备:
AP有三种工作模式:接入模式混,监听模式和合模式。
接入模式只提供覆盖功能,不提供非法设备监听功能;监听模式只监听,不
能接入业务;而混合模式可以在接入业务的同时进行监听。
推荐AP工作在混合模式,在接入业务的同时监听周边设备,低成本部署。
设备类型识别:
AP通过监听Beacon,Associaton Request,Association Response协议报
文和数据报文报文来识别Rogue设备是哪种设备(AP/Ad hoc/Client)。
监控AP搜集到无线设备后,维护一个无线设备信息列表,并把这些信息上
报给AC,在AC上根据一定的规则进行Rogue设备判断。
Rogue设备判断:
当AP设备工作在混合模式或者监听模式时可以实现对整个网络的监控,监
控设备包括AP、Client、Ad hoc终端、无线网桥等。
Rogue设备反制:
检测到Rogue设备后,可以使能防范、反制功能。反制功能,根据反制的模
式,监测模式AP从无线控制器下载攻击列表,并对Rogue设备采取措施,阻止
其工作。
对Rogue AP的反制:监测AP通过使用Rogue AP设备的地址发送假的广播
解除认证帧来对Rogue AP设备进行反制,抑制无线用户和非法AP建立链接。
对Rogue Client、Ad hoc设备的反制:监测AP通过使用Rogue Client、
Ad hoc设备的BSSID、MAC地址发送假的单播解除认证帧,对指定非法Client
的进行反制。
Rogue设备管理可以与定位功能集合,如在地图上可以查询或者实时显示
Rogue设备的位置,为网管人员对网络监管和排障定位提供便捷。
恶意攻击
针对恶意攻击,WLAN要拥有多种方式。下面针对现网环境中最常用的flood
攻击,Weak IV攻击,Spoof攻击方式,方案需要具备防御规划和措施。
Flood攻击检测:
当“恶意用户”发送大量的“连接请求报文”至AP时,这些报文会被AP
转发到AC设备上进行处理,这样会对内部网络造成冲击。
启动Flood attack检测,AC会检测到来自于该恶意用户的Flood攻击,AP
会将来自于该用户的报文将全部被丢弃,从而实现了对于网络的安全防御。
Weak IV攻击检测:
对于Client的数据报文,如果该报文使用了WEP加密算法,需要启动IV
检测;
AC根据IV的安全性策略判断是否存在Weak IV攻击。
Spoof攻击检测:
这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。
恶意AP或者恶意用户发送一个欺骗的解除认证报文会导致无线客户端下线。
AC接受到这种报文时将立刻被定义为欺骗攻击,并阻止该用户。
空口窃听
空口监听往往是经常尝试破解的点,需要考虑对空口数据进行加密。常用的
空口加密方式有WEP,WPA/WPA2,WAPI等。在最新的实现中,不管是WPA1还是
WPA2都可以使用802.1X,使用802.1X时称为WPA企业版,不使用802.1X时称
为WPA个人版,或者叫WPA-PSK版。
在实际网络部署中,空口加密通常和用户认证一起考虑,在现网中推荐使用
Portal+PSK方式部署,加密方式推荐采用CCMP,在网络侧进行配置。
用户安全
用户安全可以分为合法用户非法地访问其范围以外的资源和非法用户的接
入网络两部分,如下图所示。
非法访问
在WLAN网络中根据需要,往往划分了不同的SSID供不用的用户群使用,如
外部用户SSID-A,内部用户SSID-B。出于信息安全的需求,往往需要保证病人
不能访问医院内网的资源。同时各医护人员之间也可能需要授予不同访问权限。
这些可以通过用户组的方式来实现。用户访问授权可以在本地网络设备授权,也
可以通过AAA服务器进行远端授权。
在AAA服务器授权模式下,WLAN用户认证成功后,Radius服务器下发用户
分组,将用户进行分类,每个用户分组可以关联对应的ACL规则,通过用户分组
和ACL规则的关联,实现对每类用户进行ACL授权信息控制,即同类用户获得相
同的授权信息。Radius服务可以利用现网的AAA也可以新建。
用户隔离
用户隔离功能是指关联到同一个VAP上的所有无线用户之间的二层报文不
能相互转发,从而使无线用户之间不能直接进行通讯,保证了用户间数据的安全
性,同时也便于对用户进行计费等管理。
根据数据转发模式的不同,用户隔离的配置也有所不同:
数据直接转发方式:需要在服务集配置用户隔离。
数据隧道转发方式:需要同时在服务集和WLAN-ESS接口配置用户隔离。
非法用户
WLAN解决方案可以支持多种接入认证技术,对接入用户身份进行认证,防
止非法用户接入。其中比较典型的有MAC认证、Portal认证、802.1x认证和PPPoE
认证 。从对比表中可以看到,这几种无线认证在技术实现上各有特色,覆盖了
不同用户的接入认证需求。WLAN覆盖场景中推荐使用Portal认证方式。
无线用户身份认证技术
相对于简单的STA身份验证过滤机制,链路层用户身份验证的安全性大大提
高。通过提供有限的访问权限来验证用户身份,只有确定用户身份后才给予完整
的网络访问权限,可有效判别用户的合法性。链路层身份验证是透明的,能配合
任何网络层协议使用。
常用的WLAN的链路层身份验证主要有MAC认证、802.1x、Portal(DHCP+Web)、
PPPoE等几种认证方式。
对于企业园区,无线哑终端一般通过MAC认证接入,办公区域通过802.1x
或Portal认证接入,访客区域一般通过Portal认证接入。
多种认证技术保证WiFi终端安全接入,合法用户访问合规资源,从源头上
消除安全威胁。
MAC认证
MAC认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证
方法,它不需要用户安装任何的客户端。由于无线终端的网卡都具备唯一的MAC
地址,因此可以通过检查无线终端数据包的源MAC地址来识别无线终端的合法性。
地址过滤控制方式要求预先在AP服务器中写入合法的MAC地址列表,只有当客
户机的MAC地址和合法MAC地址表中的地址匹配,AP才允许客户机与之通信。
在企业园区中MAC认证主要用于IP电话、打印机等哑终端设备的接入。
802.1x认证
802.1x是针对以太网而提出的基于端口进行网络访问控制的安全性标准草
案。基于端口的网络访问控制利用物理层特性对连接到LAN端口的设备进行身份
认证。如果认证失败,则禁止该设备访问LAN资源。
尽管802.1x标准最初是为有线以太网设计制定的,但它也适用于符合
802.11标准的无线局域网,且被视为是WLAN的一种增强性网络安全解决方案。
802.1x体系结构包括三个主要的组件:
请求方(Supplicant):提出认证申请的用户接入设备,在无线网络中,通
常指待接入网络的无线客户机STA。
认证方(Authenticator):允许客户机进行网络访问的实体,在无线网络
中,通常指访问接入点AP或控制器AC设备。
认证服务器(Authentication Sever):为认证方提供认证服务的实体。认
证服务器对请求方进行验证,然后告知认证方该请求者是否为授权用户。认证服
务器可以是某个单独的服务器实体,也可以不是,后一种情况通常是将认证功能
集成在认证方Authenticator中。
802.1x技术是一种增强型的网络安全解决方案。在采用802.1x的无线LAN
中,无线用户端安装802.1x客户端软件作为请求方,无线设备AP/AC内嵌802.1x
认证代理作为认证方,同时它还作为Radius认证服务器的客户端,负责用户与
Radius服务器之间认证信息的转发。
802.1x体系本身不是一个完整的认证机制,而是一个通用架构。用来传输
实际的认证协议。802.1x体系的好处就是当一个新的认证协议发展出来的时候,
基础的802.1x体系机制不需要随着改变。802.1x体系使用EAP(Extensible
Authentication Protocol)认证协议,目前有超过20种不同的EAP协议。802.1x
认证常用的包括以下几种EAP认证模式:
EAP-MD5
EAP-TLS(Transport Layer Security)
EAP-TTLS(Tunneled Transport Layer Security)
EAP-PEAP(Protected EAP)
EAP-LEAP(Lightweight EAP)
EAP-SIM
PPPoE认证
PPPoE是PPP协议应用到以太网进行的再一次封装,进行广播链路上点对点
通讯的协商,包括服务器的发现和会话标识Session ID的确认。主要包括三个
部分:
用户和接入设备在LCP阶段协商链路层参数。
将用户名和密码发送给接入设备进行CHAP/PAP认证,接入设备可以进行本
地认证,也可以将用户名和密码发送给AAA服务器进行认证。
根据认证结果,是否进入到NCP(IPCP)协商阶段,接入设备给用户计算机
分配网络层参数(例如IP地址等)。PPP的三个协商阶段通过后,用户就可以
发送和接收数据报文。
PPPoE也是一种认证模式,PPPoE在WLAN使用时,和WLAN本身采用的认证
加密没有关系。即不管采用WEP、WPA或者WAPI,都可以选择PPPoE作为用户业
务的认证协议。
Portal认证
Portal认证也称Web认证或DHCP+Web认证。客户端使用标准Web浏览器(例
如IE),填入用户名、密码信息,页面提交后,由Web服务器和设备配合完成
用户的认证。
接入设备将来自客户的HTTP请求重定向到Portal服务器,在Portal页面
上输入用户名、密码进行认证。用户在Web认证之前,必须先通过DHCP、静态
配置等获得IP地址。用户如果被配置成强制Web认证,则用户只需要输入自己
喜欢的网页即可,系统自动下载认证网页。主要认证过程为:
动态用户通过DHCP协议获取地址;
用户访问Web认证服务器的认证页面,并在其中输入用户名、密码,Web认
证服务器将用户的信息通过内部协议,通知接入设备;
接入服务器到相应的AAA服务器对该用户进行认证,将认证结果通知Web
认证服务器;
Web认证服务器通过HTTP页面将认证结果通知用户,如果认证成功用户即
可正常访问网络资源。
Portal认证通常需要多个服务器支持,DHCP服务器、AAA服务器等。
组网设备统计
序设备类型号数单
号 型 推荐 量 位
设备描述
20个GE电口+4个GE Combo+2
个10GE光口,提供10Gbit/s的转发
无线控AC660
1 能力,最大可管理1024个AP,接入2 台
制器 5
10K无线终端,支持802.11
a/b/g/n/ac,支持1+1热备
支持802.11a/b/g/n/ac,支持3
AP5035
2 放装AP ×3MIMO,整机最高速率可达台
0DN 17
1.75Gbps,支持POE供电
AP703支持802.11a/b/g/n/ac,支持3
3 放装AP 8 台
0DE ×3MIMO,整机最高速率可达
1.9Gbps,支持POE供电
敏捷分中心AP和远端接入单元之间使
布式WiFi用网线连接,中心AP统一管理远端
AD9433
4 方案 接入单元,集中处理业务转发;适用台
0DN-24 3
中心于学校、酒店、医院以及办公会议室
AP 等房间密度大、墙体结构复杂的场景
敏捷分内置IEEE 802.11a/b/g/n/ac无
布式WiFi线模块,支持2.4G和5G双频接入;
5 方案 R240D 支持吸顶、挂墙、面板多种安装方式,台
远程接部署灵活;内置天线和隐藏的指示
入单元 灯,安装时不会破坏室内的装修设计
Agile
敏捷控License视用户量待定);含服务器、
6 Controll1 套
制器 操作系统软件、数据库软件、操作系
er
统杀毒软件
无线网络设备介绍
华为AC6605接入控制器
华为AC6605是针对大中型企业的盒式无线接入控制器,支持有线无线一体
化接入,应用于大中型企业及分支园区覆盖或企业办公网络等场境。
产品外观:
8
23
接入控制终端数(接入终端
产品亮点:
高容量、高性能设计,24个GE口和2个10GE口,提供10Gbit/s的转发能
力,可管理1K个AP,接入10K无线终端;
灵活的数据转发方式,支持直接转发、隧道转发;
灵活的用户权限控制,提供基于用户和角色的访问控制策略控制能力;
丰富的网络运维方式,可通过网管eSight、WEB网管、命令行(CLI)进行
维护。
华为AP5030DN系列室内放装型AP
AP5030DN是性能增强级802.11ac产品,巧夺天工,特性丰富,适合部署在
企业办公、机场车站、数字列车、体育场馆等环境,高密用户接入无忧,无线业
务自在随行。
产品外观:
产品亮点:
高速可靠的无线接入服务,支持3×3MIMO,整机最高速率可达1.75Gbps,
支持双以太接口的链路聚合;
完善的用户接入控制能力,可根据用户组策略,基于用户实施访问控制;
高等级的网络安全性,支持WIDS和WIPS;
强大的网络特性,支持IPv4/IPv6双协议栈。
华为AP7030DE系列室内放装型AP
AP7030DE是华为公司推出的技术引领级双频接入点,由于对802.11ac标准
的支持,使无线网络带宽轻松突破千兆,美观化设计,应用于礼堂、会展中心、
体育场馆、大型节目现场等高密度场景。
产品外观:
产品亮点:
高速可靠的无线接入服务,支持3×3MIMO,整机最高速率可达1.9Gbps,支
持双以太接口链路聚合双POE供电,且应用了灵动的智能天线阵列技术;
完善的用户接入控制能力,可根据用户组策略,基于用户实施访问控制;
高等级的网络安全性,支持WIDS和WIPS;
强大的网络特性,支持IPv4/IPv6双协议栈。
华为AD9430DN-24中心AP
AD9430DN-24是华为敏捷分布式Wi-Fi方案中的中心AP,支持PoE供电,可
以直连多个远端接入单元部署到室内。中心AP和远端接入单元之间使用网线连
接,中心AP统一管理远端接入单元,集中处理业务转发。适用于学校、酒店、
医院以及办公会议室等房间密度大、墙体结构复杂的场景。
产品外观:
产品亮点:
超远距离的网络覆盖,中心AP和远端接入单元之间的连线可达100米,数
倍放大网络的部署范围;
下行接口支持PoE供电,可直连24个远端接入单元,通过交换机可扩展到
48个;
集中管理远端接入单元,并行转发业务流量,远端接入单元仅处理无线信号,
无线转发能力更优;
业务连续不中断,真正的无漫游网络。
华为R240D远端接入单元
华为敏捷分布式Wi-Fi方案中的远端接入单元,支持PoE供电,可以直连中
心AP部署到室内。内置IEEE 802.11a/b/g/n/ac无线模块,支持2.4G和5G双
频接入。支持吸顶、挂墙、面板多种安装方式,部署灵活。内置天线和隐藏的指
示灯,安装时不会破坏室内的装修设计。
产品外观:
产品亮点:
兼容IEEE 802.11a/b/g/n/ac标准,支持2*2 MIMO,2.4G和5G频段可同时
工作,信号覆盖能力强,最高速率可达千兆;
支持吸顶、挂墙、面板式安装,部署灵活;
由中心AP统一管理,不占用licence资源;
R240D下行支持以太网口,支持有线用户接入;
中心AP可独立调整每个远端接入单元的发射功率,降低信号干扰,绿色节
能。
华为Agile Controller敏捷控制器
敏捷控制器(Agile Controller)是华为面向企业市场发布的下一代网络解
决方案敏捷网络的核心部件,全面覆盖敏捷园区、敏捷分支、敏捷广域、敏捷数
据中心各种应用场景,实现从接入到数据中心端到端联接的应用策略控制。
Agile Controller应用SDN集中化控制原则,以业务体验为中心,基于用
户和应用动态调配全网资源,实现网络与安全资源跟随用户自由移动,让网络更
敏捷地为业务服务。
产品外观:
产品亮点:
组件 简介
提供企业统一的网络接入策略,支持802.1x、Portal认证、
MAC认证、SACG等多种认证方式,实现企业网络有线、无线和
接入控
VPN接入的统一接入管理,基于角色身份、接入时间、接入地点、
制组件
终端类型、终端归属、接入方式(5W1H)的精细化授权,满足
企业多种网络接入、多种终端接入的统一运维管理需求。
提供全生命流程的访客管理,实现访客账号申请、审批、分
访客管发、认证、审计、注销等统一管理,账号申请支持访客自注册、
理组件 员工代申请、微信申请、二维码申请等多种方式,访客账号申
请与认证页面支持“所见即所得”的自定义功能,可灵活推送
广告。
配合华为敏捷交换机和NGFW,基于安全组的策略规划,在
传统网络接入控制NAC的基础上,实现全网策略的统一部署与
业务随自动同步,确保全网策略一致,让用户自动移动时享受一致的
行组件 业务体验。同时,提供基于用户组的QoS策略部署,在网络资
源有限的情况下,优先转发VIP用户的流量,保障用户的业务
体验。
将原来物理安全设备的能力,抽象成虚拟服务概念,对用户
业务编屏蔽具体的物理形态和位置,形成”安全资源中心”。用户根
排组件 据具体业务的需要,将流量引至安全资源中心进行处理,提升
物理资源利用率,节省用户成本。
严格控制用户终端安全接入网络的基准,对接入网络的用户
终端强制实施企业安全策略,提供终端健康检查、员工行为管
终端安
控、软件分发、补丁管理、资产管理等功能,确保所有接入网
全管理组件
络的用户终端的自防御能力,符合企业的安全策略,保障企业
网络安全。
对整网的网络、安全、IT设备的日志信息与安全事件进行
全网安集中管理,运用大数据关联分析技术,从全网视角综合评估安
全协防组件 全态势,识别高危资产和区域,帮助用户实施全网防护和主动
防御,解放网络风险的人工分析溯源工作。 窗体底端
发布评论