超详情的完整医院网络升级改造报价方案.docx

超详情的完整医院网络升级改造报价方案.docx

《超详情的完整医院网络升级改造报价方案.docx》由会员分享，可在线阅读，更多相关《超详情的完整医院网络升级改造报价方案.docx（38页珍藏版）》请在冰豆网上搜索。

超详情的完整医院网络升级改造报价方案

广东省******医院

网

络

改

造

方

案

2017.9.15

1.概述

目前，广东省******医院有用户住的*号楼、*号楼、*号楼、*号办公楼、食堂楼、以及门诊楼。

都建设了有线网络，及提供了无线wifi上网服务，并了解到医院网络规模将发展到800人左右的规模。

但疗养院现阶段的整体网络存在以下问题：

●大部分设备不支持网管功能，可管理性差；

●网络出口多，难以统一规划，搭建局域网；

●有线网络布线杂乱，维护难度高；

●核心设备及出口设备不支持目前及未来人数的上网服务；

●局域网内没有统一规划IP地址的分配；

●无线网络大多采用家用式的无线路由器进行组网；

●不能集中管理无线网络设备，管理效率低，维护工作量大。

●外来客户和内部人员共用同一无线网络，存在一定安全隐患

●无法支持大量人员同时使用无线网络的应用场景，如会议室、食堂等；

上述问题在疗养院最近一次的网络局域网搭建的过程中逐渐被发现，网络出口及核心设备等问题导致局域网搭建后网络瘫痪，目前的网络设备不能满足疗养院的对网络的需，且不便于疗养院职工的日常工作以及不能为住户提供更好的网络体验。

为此，为解决上述问题，疗养院需要重新组建一个稳定、安全、高效的网络环境。

2.整体解决方案

2.1设计原则

此次网络系统设计将严格遵守各种相关的技术原则，遵循各种相关的技术标准和规范，整个网络系统设计严格按照以下原则进行：

◆先进性和实用性

采用成熟的产品满足针对不同办公区无线覆盖的需求，兼顾其他相关的管理需求，采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要

◆安全性和可靠性

为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。

要对网络结构、网络设备等各个方面进行高可靠性的设计和建设。

在无线网络设计上应采用硬件备份、冗余等可靠性技术提高整个网络系统的可靠性。

◆灵活性和可扩展性

网络是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据疗养院深入发展的需要，方便的扩展网络规模、扩大网络容量和提高网络的各层次节点的功能。

具备支持多种应用系统的能力，提供技术升级、设备更新的灵活性。

◆可管理性

由于网络本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。

所以在网络设计中，必须建立一套全面的网络管理系统。

网络设备必须采用智能化，可管理的设备，同时采用先进的网络管理软件，实现先进的管理。

最终能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。

通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最有力的保障。

2.2网络架构设计

新改造的网络由无线控制器、无线AP组成、POE交换机、新的核心、防火墙、汇聚接入交换机、IMC管理软件及ACG组成。

逻辑架构如下：

Ø终端层

包含疗养院内的各种终端设备，例如PC、笔记本电脑、无线打印机、等终端设备。

Ø无线控制器

负责将所有无线AP进行集中管理和统一下发配置，调整各AP间的信号干扰和信道的利用。

Ø无线AP

采用内置智能天线和高密度AP对各办公区域及其他区域进行无线覆盖，针对密集区域和外部干扰的影响来针对不同环境来安装不同AP,本次采用的AP都支持POE供电，实现用一条网线便可作为AP的供电和网络传输之用，以节省电源线布线费用和降低AP安装难度和工作量

ØPOE交换机

通过POE交换机对各无线AP进行供电，方便了各AP点位的供电问题，解决了本地供电带来的安装困难问题，而且可通过POE对AP进行集中供电

Ø核心

高背板及高转发率的高性能参数满足疗养院目前及未来网络规模发展的需求，保证疗养院内的良好的网络体验。

Ø防火墙

提供对接电信专线功能的同时，提供多种网络攻击的防御机制。

Ø汇聚接入交换机

千兆光纤上行到核心，同时提供较高面板带宽及转发率，满足移动楼内的上网需求。

Ø网络管理区

对网络、服务器、应用系统进行管理的区域。

包括故障管理、配置管理、性能管理、安全管理等进行一体化管理。

ØACG

对各终端进行认证，如支持微信认证，短信认证，portal认证等多种认证方式，对外来访客扫描疗养院二维码关注公众号一键上网提供方便快捷的上网方式，同时也可以作为很好的一个公众号吸粉工具，而且可通过ACG实时监控到访客的行为和流量的统计，做到认证和上网行为一体化监控。

整体网络设计拓扑参见下图。

2.2.1无线控制器设计

采用集中转发的方式，无线用户的流量先通过AC，再转发到核心。

AC下发配置到每个AP，集中监控AP状态，管理AP。

2.2.2POE接入层设计

接入层则实现各终端电脑的高速接入，负责将各种终端接入到中心网络络。

对于某些终端，可能还要增加特定的接入设备，例如无线接入的AP设备、POTS话机接入的IAD等，根据此次网络应用的实际情况，以及主流接入要求，因此本次将采用千兆到桌面的设计方案。

并且作为接入层交换机还需具有丰富的安全特性，同时交换机还应具有防伪DHCPServer的接入，实现对终端ARP各种形式攻击的防护。

2.2.3IMC设计

Ø中的资源分为两类：

网络资源和用户资源。

对H3C、锐捷、华为、Cisco各厂家网络设备的分类和识别；对设备状态和基本信息的管理，不仅包含了设备的基本信息、接口信息、性能数据和告警信息，同时还可以在增加其他组件的情况下显示扩展后的业务信息。

与业务无关的用户基本信息的统一维护，这些基本信息是独立于业务的，包括用户姓名、证件号码、通讯地址、电话、电子邮件、用户分组；并提供用户附加信息管理功能，管理员可根据网络运营的习惯进行用户信息定制，如学校可以定制学号、年级等信息，企业可以定制部门、职务等信息。

通过增加设备和自动发现两种方式，将网络资源加入iMC中进行管理。

增加设备时可以选择多种选项，满足不同网络环境下的需求，增强网管部署的易用性。

Ø提供的设备导入/导出功能为系统升级和网管系统切换提供了便利，尤其是导入文件的可定制化使得用户很容易手工编辑一个导入文件，也可以对其他网管系统导出的设备进行快速编辑后导入系统。

Ø智能管理平台提供多种类型的拓扑：

提供传统的基于IP网络的IP拓扑、二层拓扑和邻居拓扑。

用户可以根据实际组网情况，自由定义自己关注的网络拓扑视图（自定义拓扑）

Ø智能管理中心能自动汇总全网中故障设备，形成故障设备列表，使管理员能快速、清晰的找到需要关注的故障设备，而且可通过邮件或者短信来告知管理员。

2.2.5无线AP设计

通过不同区域安装具体的智能天线和高密度AP，智能天线AP内置终端感知型硬件智能天线阵列，配合基于终端的射频智能感知算法，可以实现无线传输中不同距离、不同场景的针对性覆盖技术。

同时，通过H3C、锐捷、华为无线控制器实现基于特征和协议的射频优化，可以有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。

高密度AP采用三频设计，在保留原有双射频的同时，增加了一个灵活可变的第三个射频。

当实际接入的终端类型支持5GHz的数量较多时，可将该射频配置成5GHz频段，从而提高5GHz的接入用户数量和带宽能力，反之，2.4GHz终端较多时则可以配置成2.4GHz，组网形式非常灵活,非常适合在电子书包场景，高密度接入场景使用。

2.2.6微信认证、短信认证及行为监控设计

内网主要是读业务，常用的写业务也是认证通过的接入用户授权操作，所以内部网络属于较安全的区域，是绿色区域，风险比较低。

主要的安全风险来自内部网络自身的用户（如用户XX的存取），ACG根据实际需求控制和监控用户的流量和应用。

针对用户做到精准应用识别、明确身份、事后行为审计、丰富日志报表、深度数据挖掘、全局流量管控、精细应用授权等。

●明确用户身份

●精准应用识别

●精细应用授权

●全局流量管控

●丰富日志报表

●事后行为审计

●微信认证上网方便、快捷、安全

移动客户端连接ssid或扫描二维码上网时，浏览器弹出portal页面

用户点击一键打开微信连Wi-Fi按钮，从浏览器跳转到微信界面，点击立即连接后，用户成功上网

外来人员使用笔记本（有线/无线）连接认证网络，访问网页，页面跳转至认证界面。

使用手机扫描浏览器二维码，弹出认证确认页面，手机确认后，pc即认证成功，可以正常上网。

用户上网流程：

1.手机3G或4G模式下扫码连wifi手机在3G或者4G模式下，扫描二维码，使手机连接对应的ssid。

2.连接ssid之后推出portal，开始认证流程。

●短信认证

2.2.7无线网络架构设计

无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。

第一代无线局域网主要是采用FatAP（即“胖”AP），每一台AP都要单独进行配置，费时、费力、费成本；

第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈，由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radiusclient的安全密码（secret）等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。

另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量（IPsessions）增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。

在这样的环境下，基于无线交换机技术的第三代WLAN产品应运而生。

第三代无线局域网采用无线交换机和FITAP（即“瘦”AP）的架构，对传统WLAN设备的功能做了重新划分，将密集型的无线网络和安全处理功能转移到集中的WLAN交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。

，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。

室内无线覆盖将使用大量无线接入点（AP）提供无线网络接入服务，必须有效实现多个AP的统一策略部署和可靠的安全认证机制，因此，采用FITAP的解决方案，即采用无线控制器结合瘦AP与无线网络管理系统的架构。

综合上述分析，对于大规模部署的无线局域网，我们建议采用FITAP的方案。

采用FITAP解决方案构建的无线局域网具有以下功能和特点：

Ø方便部署

FITAP解决方案采用集中式架构，在不改变其网络的原有规划和部署的情况下，甚至不需要中断原有网络就可以轻松叠加一个无线网络，该无线网络和原有的有线网络可以形成有线无线一体化的接入方案，可以大大减少网络升级和部署的成本。

Ø易于管理、AP“零配置”

采用无线控制器和FITAP配合组网时，只需要在无线控制器上对一类相同属性的AP建立配置模板，AP在启动时可以自动从无线控制器上下载最新的配置文件，真正做到了零配置，免维护，即插即用，极大地减轻了网络管理员在部署网络阶段的维护工作量。

Ø方便升级

FITAP还支持软件自动更新功能，在其每次重新启动时会自动比较当前运行的版本和无线控制器上保存的版本，如果无线控制器上保存的版本更新，AP会自动更新本地的软件映像，软件升级不再需要网管人员的干预。

Ø三层漫游

无线控制器支持三层漫游，并支持快速漫游，漫游切换时间小于50ms，满足对切换时间要求最苛刻的语音业务。

Ø支持虚拟AP

FITAP支持多SSID实现虚拟AP特性，每个SSID可对应不同的VLAN、从而对于每一个SSID可以实现不同的网络服务及认证方式。

该特性使管理员可以方便的为不同用户群、不同的业务制定区分的服务策略。

Ø丰富的RF管理和安全

RF管理功能，可以使得无线网络的布网灵活性大大增强，网络的可维护性得到很大的提高。

AP的功率调整和信道切换是网络部署和调试时不可缺少的重要手段，信道和功率还需要按照国家代码自动设置，无线控制器的RF管理功能使得网络部署非常简单。

RSSI/SNR的不断更新，更是让系统可以适时了解每一个无线用户所处电磁环境的好坏、离AP的距离，从而可以采取相应的策略来提升网络可用性。

Ø支持智能的负载均衡

支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。

ØIPv6

无线控制器实现了IPv4/IPv6双协议栈。

AP和无线控制器之间可以穿过IPv6网络互联，从而使组网方式更加灵活，可以满足今后网络发展的需要，保护用户投资。

Ø完善的QoS

无线控制器支持Diff-Serv标准包括流分类、流量监管（Policing）、队列管理、队列调度（Scheduling）等，完整实现了标准中定义的EF、AF1～AF4、BE等六组PHB及业务，可为用户提供具有不同服务质量等级的服务保证，真正成为同时承载数据、语音和视频业务的综合网络。

室内放装

对于大楼内，属于一般的办公楼类型，放用最简单的室内吸顶安装覆盖。

楼道放装模式

应用场景：

办公楼层、会客区等；

角色：

员工、访客、合作伙伴；

终端：

笔记本电脑，手机终端，平板电脑；

AP部署方式：

根据室内墙体阻挡情况部署多个AP覆盖，采用吸顶或者壁挂安装；

AP采用H3C、锐捷、华为WA4320i双频无线AP，支持1167Mbps的无线传输速率以及整机千兆接入能力，全面支持IPv6特性，支持IPv6Portal、IPv6SAVI，支持频谱分析、频谱导航漫游导航，无线定位，无线终端准入、无感知认证。

功率调整

传统的射频功率控制一般缺省将发射功率设置为最大值，单纯地追求信号覆盖范围。

对于高密场所，每个AP设备既是服务的提供者，同时也是整个射频环境的影响者，功率过大可能导致对其他无线设备造成不必要的干扰。

因此，可通过手工或自动调整方式选择一个能平衡覆盖范围和系统容量的最佳功率。

功率调整可以手工进行，也可以自动调整。

虽然调整方式不同，但两者的调整目标是一样的，即通过调整功率，使得每个AP在自身的目标覆盖内保证有比较强的信号，最好不弱于-75dB，但在目标覆盖范围之外信号很弱。

如果受环境条件限制，即使输出功率已经是最大值，但目标覆盖范围内仍有比较大的区域的信号较差，此时说明部署方式不是很合理，比如目标覆盖范围太大、天线放置位置不合适等等。

这种情况下，需要优先考虑优化部署方式。

信道划分

由于2.4G频段只有３个非重叠信道（即相互之间几乎没有干扰的信道），5.8G频段我国也只有5个非重叠信道（有些国家放开了更多频段，多达24个），因此无线局域网信道资源非常稀缺。

通过相邻AP使用不同的信道能达到一定规避干扰的目的，但需要根据建筑特点，特别是在高密度部署的情况下，灵活调整部署方式，确保在较大范围内设备之间不可见，将设备间的彼此干扰降到最低。

负载均衡

某些时候，相邻AP之间会出现用户负载极不均衡的现象，比如，相邻的2个AP，1个吸附20个用户，另1个仅吸附3个用户。

可以考虑根据用户配置，进行AP间的负载均衡，将部分用户合理的引导到负担轻的AP上。

H3C的智能负载均衡技术，实现了对无线用户的实时跟踪，能够动态地准确地发现负载均衡组，结合高负载AP自动隐藏技术，既有效了实现了无线用户的负载均衡，又保证了用户的快速接入，同时还可以进行信道、频段之间的用户分担。

速率保优

无线AP与station之间的速率是动态调整的。

使用高速率发送报文对环境要求比较高，在信噪比较好的情况下才能保证正确接收。

低速率发送的报文对环境要求相对低些，即使存在一些干扰使得到达的信号产生一定变形，在容忍度内仍然能正确接收。

因此，WLAN设备会提供专门的速率调整算法，以根据情况，动态的调整发送速率。

在高密场所WLAN自身干扰信号比较多的情况下，一般的速率调整算法适应性会比较差，常常会使得工作速率偏低，从而使得设备性能也整体降下来。

因此，针对WLAN干扰较多的高密环境，H3C专门提供了适应该环境的速率调整算法，使得发送速率保持在一个最优的水平。

2.3网络可靠性设计

业务系统的安全运行，对网络系统的可靠性提出了很高的要求。

因此在网络的设计实施中必须对网络的可靠性进行详尽的考虑和设计。

网络系统的可靠性包括设备和链路冗余、数据链路层稳定性以及网络层稳定性三大方面。

2.3.1物理设备和链路稳定性

网络结构的可靠性

网络设计首先从网络结构上保证了高可靠性和高冗余性：

1）总部无线网络采用双机冗余架构设计，通过路由协议、不间断路由等技术配合实现可靠性；

2）原网络核心层和接入层设备间互联全部采用双链路互联，配合路由协议、虚拟化等技术实现局域网络的可靠性达到全网实现高效的可靠性。

设备级冗余性设计

网络核心节点设备的可靠是确保整个网络的有效运转的关键所在。

要保证网络平台的可靠性，必须要选用具备电信级可靠性的网络设备进行组网，才能使网络具有自动恢复能力、降低人工维护工作，达到电信级的可靠运行。

网络关键设备必须具有电信级可靠性

网络中的关键设备，如核心交换机和无线控制器等，应该具备电信级可靠性：

●可靠性指标必须达到99.999%。

●网络核心设备采用全分布式体系结构，路由与转发分离。

●所有关键器件，如主控板、电源等都采用冗余设计，业务模块支持热插拔。

●网络核心设备支持不间断转发，主控板热备份。

主备倒换过程不影响业务转发，不丢包。

●网络核心设备支持软件在线升级，升级过程中业务不中断。

2.3.2网络层稳定性设计

在无线网络中心，各接入交换机采用双链路聚合技术为整个网络提供高可靠的接入服务。

实现2台核心交换机同时工作（IRF虚拟化技术），其中任何一台设备宕机，网络不中断，当宕机的设备恢复正常时，实现50ms的网络收敛。

N:

1虚拟化（IRF）

3.1IRF虚拟化概念

IRF虚拟化就是将多台设备通过虚拟化端口连接起来形成一台虚拟的逻辑设备，用户对这台虚拟设备进行管理，来实现对IRF中的所有设备的管理。

网络虚拟化IRF中所有的单台设备称为成员设备，成员设备按照功能不同，分为两种角色：

ØMaster设备：

成员设备的一种，它负责管理整个IRF。

一个IRF中同一时刻只能有一台成员设备成为Master设备。

ØSlave设备：

成员设备的一种，它隶属于Master设备，作为Master设备的备份设备运行。

IRF中除了Master设备，其它设备都是Slave设备。

IRF中可能存在多台Slave设备。

3.2IRF虚拟化架构

IRF设备的系统架构如图所示，其中，

ØIRFVirtualization：

IRF虚拟化模块，它能自动进行IRF的拓扑收集、角色选举，并将IRF后的设备虚拟成一个单一的设备；

ØHardware：

设备上的硬件；

ØDeviceManagement：

设备管理层，完成对板、卡等各种设备资源的管理。

这里的设备即包括对硬件的抽象，也包括通过IRF虚拟化发现的逻辑设备；

ØSystemManagementandApplicationModules：

系统管理及应用模块，指运行在设备上的所有管理、控制程序，例如各种路由协议模块、链路层协议模块等。

IRF虚拟化功能模拟出虚拟的设备，设备管理同时管理IRF的虚拟设备与真实的物理设备，屏蔽其差异。

而对于运行在此系统上的各种应用软件来说，通过设备管理层的屏蔽，它并不关心物理上的差异，即不管是真实的单一设备还是IRF虚拟出来的设备，它都不需要做任何的修改。

IRF2.0采用分布式弹性转发技术实现报文的二/三层转发，最大限度的发挥了每个成员的处理能力。

IRF系统中的每个成员设备都有完整的二/三层转发能力，当它收到待转发的二/三层报文时，可以通过查询本机的二/三层转发表得到报文的出接口（以及下一跳），然后将报文从正确的出接口送出去，这个出接口可以在本机上也可以在其它成员设备上，并且将报文从本机送到另外一个成员设备是一个纯粹内部的实现，对外界是完全屏蔽的，即对于三层报文来说，不管它在IRF系统内部穿过了多少成员设备，在跳数上只增加1，即表现为只经过了一个网络设备。

如下图所示，转发报文的入接口和出接口在同一台成员设备上。

当Slave1收到报文后，查找本地转发表，发现出接口就在本机上，则Slave1直接将报文从这个出接口发送出去。

如下图所示，转发报文的入接口和出接口在不同的成员设备上。

当Slave1收到报文后，查找本地转发表，发现出接口在Master上，则Slave1按照最优路径先将报文转发给Master，Master通过出接口将报文转发给最终用户。

下图描述的是IRF2.0对组播报文的处理示意图。

Slave1收到一个组播报文，通过查找本地的组播转发表，Slave1知道Master和Slave3上均有组播成员的接入，而且Slave1到达Slave3的最优路径是通过Master，于是Slave1将组播报文转发给Master，Master将报文复制三份，其中两份直接发给本地连接的组播组成员，另外一份转发给Slave3，通过Slave3发送给其它的组播组成员。

这样对于组播报文，每个成员只会根据需要复制报文，保证设备间只有一份报文传送，节省了IRF系统内部资源，提高了组播报文的处理速度。

3.3IRF虚拟化冗余

●1:

N冗余

普通框式分布式设备采用的是1:

1冗余，即框式分布式设备配备了两块主控板，主用主控板负责处理业务，备用主控板仅作为主用主控板的备份，随时与主用主控板保持同步，当主用主控板异常时立即取代其成为新的主用主控板继续工作。

而IRF中采用的是1:

N冗余，即Master负责处理业务，Slave作为Master的备份，随时与Master保持同步。

当Master工作异常时，IRF将选择其中一台Slave成为新的Master，由于在IRF系统运行过程中进行了严格的配置同步和数据同步，因此新Master能接替原Master继续管理和运营IRF系统，不会对原有网络功能和业务造成影响，同时，由于有多个Slave设备存在，因此可以进一步提高系统的可靠性。

对于框式分布式设备的IRF，IRF2.0并没有因为IRF技术具有备份功能而放弃每个框式分布式成员设备本身的主用主控板和备用主控板的冗余保护，而是将各个成员设备的主用主控板和备用主控板作为主控板资源统一管理，进一步提高了系统可靠性

●协议热备份

在1:

N冗余环境下，协议热备份负责将协议的配置信息以及支撑协议运行的数据（比如状态机或者会话表项等）备份到其它所有成员设备，从而使得IRF系统能够作为一台独立的设备在网络中运行。

以路由协议为例，如下图所示，IRF设备左侧网络使用的是RIP路由协议，右侧网络使用的是OSPF路由协议。

当Master收到邻居路由器发送过来的Update报文时，一方面它会更新本地的路由表，同时它会立即将更新的路由表项以及协议状态信息发给其它所有成员设备，其它成员设备收到后会立即更新本地的路由表及协议状态，以保证IRF系统中各个物理设备上路由相关信息的严格同步。

当Slave收到邻居路由器发送过来的Update报文时，Slave设备会将该报文交给Master处理。

当Master故障时，新选举的Master可以无缝的接手旧Master的工作，新的Master接收到邻居路由器过来的OSPF报文后，会将更新的路由表项以及协议状态信息发给其它所有成员设备，并不会影响IRF中OSPF协议的运行，如下图所示。

这样就保证了当成员设备出现故障的时候，其它成员设备可以照常运行并迅