浪潮网络医院无线解决方案部署案例分享|交换机|内网|服务器|网关

随着“人工智能、大数据、云计算、物联网”等新兴信息技术的发展，“智慧医疗”和医院数字化建设迈入一个关键的阶段。浪潮网络结合全球IT及医疗行业趋势，不断创新、自主研发先进的网络解决方案，助力医院信息化建设，让智慧医疗惠及更多百姓，提供更加便捷的就医环境、完善大众健康的服务体验。

5G和Wi-Fi6无线技术日益成熟和普及，无线网络在医疗行业中的应用已经成为一种趋势。通过无线网络覆盖，改善了就医体验和服务满意度，提高了医院的运营效率。医院无线网络要求稳定和安全，可兼容802.11 a/b/g/n/ac/ax协议，能够满足平板电脑、移动手推车等终端接入的需求。目前医院无线网络的部署案例大量应用在生命体征数据采集、医护数据的查询与录入、医生查房、床边护理、呼叫通信、病人标识码识别等场景中，在数字化医院的建设中的作用越来越重要。

我们以北方某大型三甲医院部署浪潮网络最新Wi-Fi6无线解决方案的项目为例，和大家分享浪潮网络医疗无线项目实施的经验。

一、项目介绍

医院无线项目的总体设计目标：以新一代园区网、物联网、通信网为基础、打造融合最新信息技术的无线网络，建成完整统一、技术先进，覆盖全面、应用深入，高效稳定、安全可靠的一体化医疗信息基础设施，使医院的医疗信息化水平达到国际一流医院水平。

二、医院无线网络需求

医院有线网络的核心、汇聚及出口保留现网设备，利旧资源可保护投资；新购20台浪潮S6220POE交换机作为无线AP的接入，新购298台Wi-Fi6无线AP及无线控制器为用户提供高速无线上网通道。本次网络建设，医院在可靠性、稳定性及安全性等方面提出了更高要求，网络设计更要充分考虑先进性、适变性、扩展性；做到可控、可管、可运营。

【医院无线网络业务需求如下】

无线业务支撑：涉及患者及其家属的无线外网：对病患提供免费上网，院内导航等；涉及医生及护士的无线内网：包括无线查房，无线护理，无线输液，无线定位等业务；

无线用户覆盖：预计外网用户共4000人左右，外网终端主要为手机、PAD、移动PC等；内网用户1500人左右，终端主要有各种手持终端（条码扫描快速对病人身份和药物的条码进行匹配核查、执行医嘱及变更、实时记录病人体征等）及内网应用的便携PC设备及移动pad终端等；

无线安全管控：AC设备将无线用户认证报文集中发送到城市热点认证系统进行统一认证；数量众多、型号不同的泛移动设备加入医院网络，为医院网络管理带来诸多挑战。集中认证后，可以基于认证账号不同，分配不同的权限。外网用户只能访问互联网资源；内网账号基于权限不同，访问的内网资源不同。

网络可靠性： WLAN网络的稳定性被医院普遍关注。无线控制器采用2台主备方式部署，1台无线控制器故障后，AC能够实现倒换后用户无感知的Session级的备份，不影响无线网络正常使用；

无线上网体验：对于医院管理信息系统（HIS），由于没有重传机制，无线网络丢包（3个包左右）会导致业务连接中断。无线针对漫游丢包控制非常严格，漫游切换丢包控制在一个包以内；对于无线终端不漫游的情况，无线更加稳定，信道不会随意切换，功率不会变化，无线更加稳定，提升了HIS系统的效率。

三、医院无线网络方案设计

1. 无线网络设计

POE接入交换机采用2根10GE光纤连接到外网汇聚交换机：增加链路带宽的同时，又保证了可靠性链路切换。并配置相应AP管理及业务vlan，二层透传无线流量；

无线网络控制器为两台IAC6080-E设备做主备备份，用来控制无线网络AP，下发配置信息：为了避免AC单点故障问题，采取AC 1+1热备份，增加网络的可靠性。

无线网络采用直接转发模式，网关部署在外网汇聚：无线业务数据交换机直接转发，效率高。无线控制器可以更高效的处理、控制、下发无线配置、策略等消息报文；

门诊楼无线网络内网SSID隐藏部署，分别为hospital1和hospital2用于承载不同内网应用，无线网络外网SSID为hospital_internet。SSID不同，功能及权限不同，可以更好的网络管理及权限分配。

2.业务流量走向设计

无线外网用户数据通过无线AP二层转发到无线接入交换机，无线接入交换机二层透传无线业务流量，流量到达外网汇聚网关上，外网汇聚网关接口绑定对应外网vpn-instance，通过ospf的外网vpn-instance将流量转发外网核心，由外网核心转发到外网出口；实现了新建无线外网与利旧外网有线设备的灵活对接，及与内网业务的隔离。

无线内网用户数据通过无线AP二层转发到无线接入交换机，无线接入交换机二层透传无线业务流量，流量到达外网汇聚网关上，外网汇聚网关接口绑定对应内网vpn-instance，通过ospf的内网vpn-instance将流量转发外网核心，外网核心通过内网vpn-instace将流量转发到内网核心，内网核心将流量转发到内网服务器；内网业务借用部分外网有线设备转发数据并进行了数据隔离隔离，实现内外网隔离的监管要求。

四、医院无线网络部署经验分享

本次无线项目采用，2台无线AC IAC6080-E主备方式部署，1台无线控制器故障后不影响无线网络正常使用。室内AP采用浪潮网络最新的Wi-Fi6 产品IAP5920I。POE交换机为S6220，对下连接AP设备，对上连接医院现有汇聚交换机设备。实现了新建无线网络与现有有线设备的之间的融合对接。

通过本项目，我们总结了一些无线网络部署的经验，以下几点和大家分享。

1.组网和转发模式

本次项目利旧原有有线网络框架，新增AC旁挂在网关汇聚交换机，避免AC直路部署网络流量带来的冲击。新增POE交换机上联汇聚交换机、下联无线AP，承载二层流量。

此次项目采用直接转发模式，无线流量经过无线AP转换成有线流量，到达接入交换机，接入交换机二层透传流量到达网关汇聚交换机，由汇聚交换机进行三层转发。避免了集中转发模式下，无线流量在AP上封装capwap报头，流量全部转发到无线控制器，再由无线控制器解封装capwap，转发到网关汇聚交换机，避免业务数据对无线控制器的流量冲击，无线控制器可以更高效的处理、控制、下发无线配置、策略等，专业设备做专业工作。

两种转发模式区别主要在于上网数据流量是不是经过控制器。本地转发上网数据经由无线AP上传到交换机直接转发，不需要经过控制器，因而对无线控制器资源的占用比较小，数据延时相对较小，通常在中、大规模无线组网中，建议无线本地转发。

2、无线设备管理

无线设备管理采用单独vlan及地址段。其中无线控制器管理地址采用静态配置，无线AP管理地址采用DHCP方式（外置DHCP服务器，通过网关做DHCP RELAY），AC、AP同一广播域，AP可通过二层广播发现AC，进行上线，无需在DHCP服务器地址池中配置option 43字段。

无线采用单独地址段，方便管理运维。设定单独的DHCP服务器，节约网络设备资源，并方便管理。AC、AP同一地址段，AP广播发现AC，不需在DHCP服务上部署OPTION43属性，简化了配置。

3、无线身份认证

当前主流认证方式为portal认证、mac认证、802.1X认证、短信认证、微信认证等。

此次项目针对内网外SSID，采取mac优先的portal认证、短信认证两种认证方式。

内网用户采用mac优先的portal认证，并开启无感知认证。首次连接无线网络输入账号密码后，后续无需再次输入账号密码，十分便捷，并且账号与mac地址对应，一旦内网收到无线攻击，可以迅速确认定位到攻击者，安全性极大提升。

外网用户采用短信认证，无需网络管理员维护庞大的账号密码信息，每个患者及其家属通过自身手机号就能实现上网，提升上网体验。

内网应用通过身份认证，访问医院对应内部业务，病患接入医院无线网络，需要通过短信自注册，然后用户名密码通过短信分发到手机，开放外网权限，同时用户信息上网行为管理，满足监管要求。通过不同身份认证策略，做到不同权限控制与访问，提高安全性。

4、 SSID和VLAN及地址段的关联

考虑到业务安全性与隔离性，将SSID分为内网SSID与外网SSID，内网业务绑定内网VRF，外网业务绑定外网VRF，确保内外网路由表相互独立，互不影响。