我院衛(wèi)校無線網(wǎng)絡(luò)工程改造與實(shí)施

李立

江蘇省泰興市人民醫(yī)院 信息科,江蘇 泰興 225400

我院衛(wèi)校無線網(wǎng)絡(luò)工程改造與實(shí)施

李立

江蘇省泰興市人民醫(yī)院 信息科,江蘇 泰興 225400

無線局域網(wǎng)（WLAN）作為有線局域網(wǎng)的補(bǔ)充，有效地克服了有線網(wǎng)絡(luò)的弊端。本文介紹了我院衛(wèi)校無線網(wǎng)絡(luò)的具體組網(wǎng)架構(gòu)、網(wǎng)絡(luò)硬件的選擇及網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)施過程。WLAN的應(yīng)用，有效地解決了網(wǎng)絡(luò)同頻信號(hào)干擾嚴(yán)重、切換頻繁等諸多問題，實(shí)現(xiàn)了整個(gè)醫(yī)院安全、可管理的無線信號(hào)均勻覆蓋。

無線局域網(wǎng)；校園信息系統(tǒng)；無線AP；網(wǎng)絡(luò)安全

我院是本地區(qū)集醫(yī)、教、研于一體的三級(jí)乙等綜合性醫(yī)院，一直很注重醫(yī)學(xué)的科研教學(xué)工作。醫(yī)院新建了研究生公寓樓、學(xué)生宿舍樓，重新裝潢了教學(xué)大樓和圖書館，原來的有線網(wǎng)絡(luò)已不再適用，何如利用無線網(wǎng)絡(luò)技術(shù)進(jìn)一步擴(kuò)展醫(yī)院網(wǎng)絡(luò)的覆蓋范圍，使全院的學(xué)生和帶教老師能夠隨時(shí)隨地、方便高效地使用網(wǎng)絡(luò)，如何開發(fā)出安全、穩(wěn)定、性能卓越、具有強(qiáng)大網(wǎng)絡(luò)漫游功能的校園信息系統(tǒng)[1]，將成為我們亟待解決的問題。

1 總體規(guī)劃

1.1 建設(shè)目標(biāo)

使無線網(wǎng)絡(luò)應(yīng)用于醫(yī)院，使其有效覆蓋校園內(nèi)大部分區(qū)域，尤其是有線端不能覆蓋的區(qū)域（圖書館、宿舍樓等），為教學(xué)和學(xué)習(xí)生活提供切實(shí)可用的無線網(wǎng)絡(luò)環(huán)境，延伸醫(yī)護(hù)服務(wù)，提高醫(yī)院的運(yùn)營效率和服務(wù)質(zhì)量[2]。

1.2 現(xiàn)場(chǎng)勘查

校園內(nèi)一些室內(nèi)場(chǎng)所空間較大，會(huì)產(chǎn)生許多人同時(shí)接入網(wǎng)絡(luò)的需求，采用有線的方式只能提供少量接口，不能滿足要求。采用無線網(wǎng)絡(luò)覆蓋可解決相當(dāng)數(shù)量的移動(dòng)設(shè)備同時(shí)訪問網(wǎng)絡(luò)的問題。主要包括圖書館、宿舍樓等。我院教學(xué)區(qū)域的邏輯組網(wǎng)簡(jiǎn)圖，見圖1。

我們采用接入點(diǎn)（access point, AP）就近接入的原則，在原有網(wǎng)絡(luò)接入的情況下，使用原有網(wǎng)絡(luò)接入，如原沒有網(wǎng)絡(luò)接入就采用無線AP橋接的方式做無線覆蓋。在教學(xué)樓區(qū)域有信息接入點(diǎn)，我們使用H3C室外大功率AP WX2220X，一端做橋接，一端做無線覆蓋，使用3臺(tái)室外型接入點(diǎn)（access point，AP），對(duì)宿舍樓進(jìn)行無線覆蓋。這樣做，避免了大規(guī)模鋪設(shè)網(wǎng)線和固定設(shè)備投入，有效地削減了網(wǎng)絡(luò)建設(shè)費(fèi)用，極大地縮短了建設(shè)周期[3]；解決了網(wǎng)絡(luò)信息點(diǎn)流動(dòng)、難以布線區(qū)域網(wǎng)絡(luò)建設(shè)等問題，在信息化建設(shè)中，降低了成本并保護(hù)了投資費(fèi)用等。

2 實(shí)施方案

針對(duì)學(xué)校現(xiàn)有網(wǎng)絡(luò)狀況，采用WLAN技術(shù)構(gòu)架寬帶網(wǎng)絡(luò)服務(wù)，從技術(shù)上、工程上以及提供的服務(wù)質(zhì)量上均能較好的滿足校方的要求，具體組網(wǎng)構(gòu)架,見圖2。

2.1 AP

我們采用H3C WA2220X-AGP室外大功率無線AP，通過5.8 G頻段做MESH橋，連接兩端的信號(hào)，進(jìn)行數(shù)據(jù)傳輸。5.8 G信號(hào)干擾相對(duì)于2.4 G來說相對(duì)較小，在有信息接入點(diǎn)的大樓使用全向天線進(jìn)行橋接，沒有信息接入點(diǎn)的區(qū)域使用定向天線接入信號(hào)，由于需要覆蓋宿舍樓和圖書館，所以我們選用定向天線進(jìn)行無線覆蓋。如果在一個(gè)AP 上配置mesh-peer-mac，相當(dāng)于只允許所配置的meshpeer-mac 的peer 接入，不在mesh-peer-mac列表中的peer不允許接入，大大提高了安全性。

2.2 路由器

我們選擇了H3C MSR3020系列路由器，MSR具備高數(shù)據(jù)轉(zhuǎn)發(fā)能力與高加密能力，很好地解決了轉(zhuǎn)變過程中凸顯的網(wǎng)絡(luò)帶寬壓力與安全隱患，保障關(guān)鍵業(yè)務(wù)流可以高速、機(jī)密地通過廣域網(wǎng)傳輸。

2.3 交換機(jī)

我們采用H3C S3100系列交換機(jī)，H3C S3100-EI系列交換機(jī)支持特有的ARP入侵檢測(cè)功能，可有效防止黑客或攻擊者通過ARP報(bào)文實(shí)施日趨盛行的“ARP欺騙攻擊”，對(duì)不符合DHCP Snooping動(dòng)態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報(bào)文直接丟棄。同時(shí)支持IP Source Check特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的DOS攻擊。另外，利用DHCP Snooping的信任端口特性還可以有效杜絕私設(shè)DHCP服務(wù)器，保證DHCP環(huán)境的真實(shí)性和一致性。

3 安全性分析

網(wǎng)絡(luò)安全作為一個(gè)整體體系，不僅要關(guān)注安全標(biāo)準(zhǔn)，更要注重分層實(shí)施安全策略，將其從單一的物理層安全延伸到設(shè)備安全、用戶接入安全、網(wǎng)絡(luò)層安全、管理安全等多個(gè)層面上，使用戶在使用WLAN網(wǎng)絡(luò)時(shí)能夠像使用有線網(wǎng)絡(luò)一樣安全可靠[4-5]。

我院WLAN主要服務(wù)于學(xué)校的學(xué)生與教師，也是規(guī)模的公眾型網(wǎng)絡(luò)，因此，網(wǎng)絡(luò)安全問題在建網(wǎng)時(shí)必須考慮。我們采取了多種安全機(jī)制，如MAC地址過濾、SSID管理、WEP加密、AES加密和Portal 認(rèn)證等。用戶通過IE訪問需要授權(quán)的網(wǎng)絡(luò)資源，設(shè)備發(fā)現(xiàn)用戶還沒有通過認(rèn)證則強(qiáng)制到Portal，Portal Server將Web頁面強(qiáng)推給用戶，提示用戶需要進(jìn)行認(rèn)證提示用戶進(jìn)行認(rèn)證頁面，見圖3。

4 結(jié)束語

醫(yī)院無線網(wǎng)絡(luò)的建設(shè)和應(yīng)用是大勢(shì)所趨[6-7]。無線網(wǎng)絡(luò)的架構(gòu)在整體的無線應(yīng)用里面成本比重較小，但影響巨大。很多醫(yī)院WLAN的架設(shè)多應(yīng)用于臨床，如無線查房系統(tǒng)、無線護(hù)理和無線資產(chǎn)管理等，但醫(yī)院的網(wǎng)絡(luò)教學(xué)也急需要無線網(wǎng)絡(luò)的支持。因此，我們建議醫(yī)院盡量采用國內(nèi)外遵循的802.11標(biāo)準(zhǔn)、知名的品牌，嚴(yán)格根據(jù)測(cè)試結(jié)果或數(shù)據(jù)來驗(yàn)收和調(diào)整無線網(wǎng)絡(luò)建設(shè)。我院的衛(wèi)校室外無線網(wǎng)絡(luò)工程收效頗豐，在此與大家分享。

[1] 芮丹云.校園信息系統(tǒng)開發(fā)中無線局域網(wǎng)絡(luò)的應(yīng)用[J].衛(wèi)生職業(yè)教育,2008,26(4):53-54.

[2] 劉喻.大規(guī)模無線網(wǎng)絡(luò)在醫(yī)療行業(yè)的應(yīng)用[J].中國數(shù)字醫(yī)學(xué), 2010,5(1):81-83.

[3] 黃大勇.無線校園網(wǎng)存在的安全問題與對(duì)策[J].化工之友, 2006,(6):62-63.

[4] 孔燦紅.醫(yī)療行業(yè)無線網(wǎng)絡(luò)的建設(shè)[J].中國數(shù)字醫(yī)學(xué),2010, 5(11):106-107.

[5] 李樹豐.無線醫(yī)療服務(wù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].中國醫(yī)療設(shè)備, 2009,24(6):42-44.

[6] 姚郭浩.關(guān)于醫(yī)院無線網(wǎng)絡(luò)建設(shè)和驗(yàn)收的探討[J].中國數(shù)字醫(yī)學(xué),2010,5(3):90-91.

[7] 王利平.無線局域網(wǎng)入侵檢測(cè)技術(shù)研究[D].武漢:華中科技大學(xué),2008.

Transformation and Implementation of Wireless Network Project in Health School of People's Hospital of Taixing

LI li
Information Department, People's Hospital of Taixing, Taixing Jiangsu 225400, China

As a complement of LAN, the wireless local area network (WLAN) effectively overcomes the disadvantages of wireline network. This paper introduces the specif c network architecture, choice of networking hardware and process of design and implementation of network security about wireless network in health school of our hospital. The application of WLAN could effectively solve many problems, such as serious interference of network frequency signal, frequent change and so on, also could realize symmetrical cover of safe, controllable wireless signals in the whole hospital.

wireless local area network (WLAN); campus information systems; wireless AP; network security

TP393.17

A

10.3969/j.issn.1674-1633.2012.09.013

1674-1633(2012)09-0059-02

2012-02-27

作者郵箱：benjamin.leon@yahoo.com.cn