1、柳州市工人医院无线内网网络建设项目技术要求第一章 网络设计要求一总体要求无线内网网络建设,目的是建立起覆盖总院 3 号楼、总院 5 号楼和西院区域的无线网络以支持院内的移动医疗业务,实现手持终端、专用PDA、平板电脑、移动诊疗设备、移动护理推车、个人手机等设备的网络接入;采用无线局域网主流协议标准 802.11ac,并与802.11n、802.11b、802.11g 标准兼容,可同时支持 2.4GHz、5GHz 频段。同时,所有设备不能对我院医疗设备产生干扰。无线网络系统需要具备良好的可扩展性。在实施无线覆盖工程时,应综合考虑信号覆盖及单个 AP 的并发用户数,根据实际情况进行灵活的 AP 选
2、型。同时无线网络系统的建设和 AP 的选型能支持2.4GHz、5GHz 双频段同时工作,并考虑到无线网络对物联网应用的扩展支持。无线网络覆盖区域。此次网络建设,在柳州市工人医院总院 3 号楼、总院 5 号楼和西院大楼内实施全覆盖,应用于建筑物内医护人员主要活动的区域。充分考虑室内实现无线网络的不同情况和特点,特别是如手术室、重症监护室等特殊区域,采取合理的布网方式满足现在以及未来发展的需要。无线网络架构。无线网络系统能够支持冗余设计,并能针对总院和分院进行整体方案设计,达到某一院区的关键无线设备,如 AC、准入控制服务器等,在宕机或断电情况下,AP 仍能正常转发,其他院区无线仍能使用,不造成全
3、院范围的无线业务中断。优先考虑所有无线设备,经过汇聚后再通过我院核心交换机接入院内原有网络。除现实施工确实有困难的情况下,尽可能避免无线设备直接使用现有有线网络接入内网。无线网络安全和网络管理建设。无线网络方案设计易实施、系统易管理。在目前已有的设备和系统的基础上,实现无线网络系统的管理和安全防护,在提升无线网络的使用效率的同时全力确保院内医疗数据在传输、存储过程中的安全与保密工作。拥有完善的认证和准入机制,能分别对用户和终端设备设置准许接入的区域,并能保存历史数据和用户漫游记录。二、安全要求按照柳州市公安局网安支队要求,在我市开展无线 WIFI 前端建设的厂商应当到柳州市公安局网安支队提交无
4、线 WIFI 相关资料进行备案。所有提供的无线接入设备或安全设备必须取得有效的计算机信息系统安全专用产品销售许可证 ,产品安全性能符合互联网安全保护技术措施规定法律规定要求。所建网络需严格按照计算机信息网络国际联网安全保护管理办法 、 互联网安全保护技术措施规定等法律法规要求,依法落实无线网络安全保护技术措施。三、物联网拓展要求总体原则:应符合物联网智慧医院建设总体目标所要求的设计思路:顶层设计、统一规划、按需配置、分步实施。 开放性原则:物联网应该具备良好的开放性和兼容性,扩展物联网应用时应不受协议、品牌和厂商限制;若有限制,请详细列明。复用性原则:整体网络架构简约、延展性强,扩展物联网时原
5、有无线网络线路和设备重复利用率高,无需反复上天花板施工,避免重复建设投资;若需重复施工,请详细列明。安全性原则:物联网应保证有源设备不易被人为破坏或由于恶劣环境原因造成损坏(如吊顶漏水等) ,防止端口被非法利用带来信息安全隐患;可维护性:物联网扩展的有源设备应尽量集中放置在弱电井等安全可靠的环境中,在满足多种频段物联网信号稳定效果的前提下应尽量减少有源设备的数量和线路的复杂性,以减轻维护工作量和维护难度。第二章 具体技术指导柳州市工人医院无线内网网络各产品技术参数及功能要求如下表:序号 产品名称 技术参数及功能要求交换机124 口 POE 交换机一方案要求1.要求所有无线网络独立成网,通过独立
6、的汇聚交换机上联至无线网络核心交换机,在核心处接入我院现有主干网络。无线核心交换机与内网核心交换机之间需做好相应隔离措施和访问策略。2.请根据第 5.1 点我院网络连接情况决定交换机及所需配件数量,如光模块、光纤跳线等。二技术参数1. 提供 10/100/1000MBase-T 端口数24,提供非复用的千兆 SFP 光插槽4;2. 支持 POE 供电;供电端口数24;交换容量200Gbps,包转发率80Mpps;3. 支持 802.1x 和 WEB 认证功能,且交换机端口 802.1x和 WEB 认证可以同时开启,不会相互冲突制约;4. 支持 SNTP 协议、Telnet、Console、RM
7、ON、SSHv2、SNMPv1/v2/v3 管理方式,支持 Radius v6、 Tacsacs+ v6、SSH v6;支持SNTP、Syslog,CLI 兼容业界主流标准;5. MAC 地址容量16K;6. 支持 802.1Q 的 VLAN,支持 protocol based VLAN,支持 QinQ;7. 支持 RSTP/MSTP;8. 提供 ACL 功能、满足对于 ARP 欺骗的防范;支持IPV4/Ipv6 双协议的 ACL 及 IPV4/Ipv6 双协议静态路由功能,IPv4 静态路由表容量30;9. 支持 GVRP,支持链路检测技术;10. 端口上支持 QOS 队列7; 11. 支持
8、纵向虚拟化,实现集中控制管理;12. 单台配置至少 2 个光模块 13. 五年以上现场,7*24,当天 6 小时到场服务;14. 为保证兼容性与统一管理,要求该项产品必须与汇聚交换机、核心交换机为同一品牌。2 汇聚交换机一方案要求1.要求所有无线网络设备先通过汇聚交换机,再接入核心交换机的方式,连入我院现有主干网络。2.楼栋汇聚要求至少 2 台保证冗余,在网络设备突发故障的情况下,保证无线用户的正常使用。3. 请根据第 5.1 点所设计的网络结构决定交换机所需配件数量,如光模块、光纤跳线等。二技术参数1. 千兆光口24 个,复用千兆电口4 个,万兆 SFP+接口4 个,提供扩展槽位1 个,可扩
9、展防火墙插卡、万兆接口模块和专用堆叠模块;2. 交换容量500G bps,包转发率200Mpps;3. 支持 802.1x 和 WEB 认证功能,且交换机端口 802.1x和 WEB 认证可以同时开启,不会相互冲突制约;4. 支持 SNTP 协议、Telnet、Console、RMON、SSHv2、SNMPv1/v2/v3 管理方式,支持 Radius v6、Tacacs+ v6、SSH v6;5. 配置 2 个模块化风扇和 2 个模块化交流电源,需支持热插拔;6. 支持 IEEE 802.1Q(VLAN) ,VLAN4K,支持 IP 标准、IP 扩展、MAC 扩展、专家级、ACL80、IPV
10、6ACL、基于VLAN、基于端口、基于协议、基于全局等方式的访问控制列表;7. 支持 ARP、IP 包过滤、策略路由;8. 支持 IPV4/Ipv6 双协议的 ACL;9. 支持静态、OSPF、BGP、PIM-SM、MP-BGP,MPLS/BGP VPN,BGP4 等路由协议;10. 支持 IPv6 静态路由、手工隧道、自动隧道、PBR、IPv4 Over IPv6 等 IPv6 路由协议;11. 支持 MAC 地址表64K,ARP 表项12K, 路由表20K;12. 五年以上现场,7*24,当天 6 小时到场服务;13. 为保证兼容性与统一管理,要求该项产品必须与接入交换机、核心交换机为同一
11、品牌。3 核心交换机一方案要求1.要求所有无线网络设备先通过汇聚交换机,再接入核心交换机的方式,连入我院现有主干网络。2.无线内网核心交换机要求至少 2 台保证冗余,在网络设备突发故障的情况下,保证无线用户的正常使用。3. 请根据第 5.1 点所设计的网络结构决定交换机所需配件数量,如光模块、光纤跳线等。二技术参数1. 千兆电口24 个,千兆光口20 个,万兆 SFP+接口4 个;2. 整机主控引擎插槽2 个,业务插槽6 个,交换网板插槽2 个;3. 交换容量30T bps,包转发率5500Mpps;4. 提供双主控引擎板、两块独立槽位的交换网板,提供冗余电源;5. 支持“多虚一”与“一虚多”
12、同时使用,彻底实现资源池化;6. 支持 SNTP 协议、Telnet、Console、RMON、SSHv2、SNMPv1/v2/v3 管理方式,支持 Radius v6、Tacacs+ v6、SSH v6;7. 支持整机 ACL 表项64K;8. 支持 IEEE 802.1Q(VLAN) ,VLAN4K;9. 支持 ARP、IP 包过滤、策略路由;10. 支持 IPV4/Ipv6 双协议的 ACL;11. 支持静态、OSPF、BGP、PIM-SM、MP-BGP,MPLS/BGP VPN,BGP4 等路由协议;12. 支持 IPv6 静态路由、手工隧道、自动隧道、PBR、IPv4 Over IP
13、v6 等 IPv6 路由协议;13. 五年以上现场,7*24,当天 6 小时到场服务;14. 为保证兼容性与统一管理,要求该项产品必须与汇聚交换机、接入交换机为同一品牌。无线 AP4 入室 AP一方案要求方案提供方必须提供 AP 覆盖方案的系统结构图。需包含系统结构说明,AP 及配件名称,部署和覆盖方式等详细内容,保证千兆上联,支持或通过扩展可支持RFID、蓝牙、 ZigBee 等各类物联网应用。二技术参数1. 千兆上行口1 个;2. 同时支持 802.11ac 和 802.11b/g/n 工作;3. 保证双频入室,房间内(不超过 20)任意位置任意频段的无线信号强度-65dBm;4. 移动医
14、护终端在病区内任意移动需保证移动过程中无线数据传输零丢包,保留测试权利;5. 支持 802.11ac Wave2 协议,支持 MU-MIMO;6. 支持 2.4GHz/5GHz 双频段同时工作;7. 支持胖/瘦 AP 两种工作模式的切换;8. 支持 mac 认证、Web 认证、802.1X 认证、WAPI 认证; 9. 为保证兼容性与统一管理,要求所有 AP 设备为同一品牌。5 高密型 AP一方案要求方案提供方必须提供 AP 覆盖方案的系统结构图。需包含系统结构说明,AP 及配件名称,部署和覆盖方式等详细内容,保证千兆上联,支持或通过扩展可支持RFID、蓝牙、 ZIGBEE 等各类物联网应用。
15、二技术参数1. 千兆上行口1 个;2. 支持 802.11ac Wave2 协议,支持 MU-MIMO;3. 支持 2.4GHz/5GHz 双频段同时工作;4. 支持 3 个射频,满足高密部署需求;5. 可同时工作在 802.11ac 和 802.11a/b/g/n 模式;6. 支持最大接入用户数200 个;7. 支持胖/瘦 AP 两种工作模式的切换;8. 多用户实际业务体验指标:设备支持不少于 100 个1M 码流的视频点播无卡顿。9. 支持 mac 认证、Web 认证、802.1X 认证、WAPI 认证; 10. 为保证兼容性与统一管理,要求所有 AP 设备为同一品牌。6 面板 AP一方案
16、要求方案提供方必须提供 AP 覆盖方案的系统结构图。需包含系统结构说明,AP 及配件名称,部署和覆盖方式等详细内容,保证千兆上联,支持或通过扩展可支持物联网应用。二技术参数1. 千兆上行口1 个;2. 支持 802.11ac Wave2 协议,支持 MU-MIMO,采用双路双频设计,可同时工作在 802.11ac 和 802.11a/b/g/n 模式;3. 支持 PoE 以太网供电,也可支持本地电源供电;4. 支持胖/瘦 AP 两种工作模式的切换;5. 支持 mac 认证、Web 认证、802.1X 认证、WAPI 认证;6. 为保证兼容性与统一管理,要求所有 AP 设备为同一品牌。无线控制器
17、7无线网络控制器一方案要求1. 要求提供方案,控制我院所管辖的终端设备禁止接入任何非我院信息科许可接入的无线网络。2. 要求拥有可扩展提供 AP 数量1000。二技术参数1. 支持隐藏 SSID,支持802.11ac、802.11a、802.11b、802.11g、802.11n、802.11e 协议,支持基于 SSID、Radio 的用户数限制;2. 千兆电口4 个,千兆光口4 个;配置足够的 AP 管理授权数;最大可管理用户数5000;3. 支持 PSK 认证、MAC 认证、WEB 认证、802.1X 认证,认证后能实现 IP、MAC、WLAN 等元素的绑定信息,保证只有合法的用户才能进入
18、网络;4. 配置冗余交流电源,电源为模块化可插拔;5. 支持分层 AC 功能, 由一个总的核心层管理 AC 下挂多个接入层 AC,管理 AC 也可直接挂接 AP 做接入和数据转发, 核心层 AC 实时监控接入层 AC 负载,并进行 AC 间负载分担; 6. 支持 2 层、3 层无缝漫游;7. 支持防 ARP、DHCP 欺骗,支持 IP+MAC 的绑定;8. 支持静态黑名单、动态黑名单,白名单,非法 AP 检测,非法 AP 反制,防无线泛洪攻击(Flooding Attack),防仿冒攻击(Spoof Attack), 防 Weak IV攻击;9. 安全规范:支持 802.11i 标准,支持 W
19、API 标准;10. 支持本地 Web 认证,支持 802.1X/WPA/WPA2 认证,支持 MAC 地址认证, 认证后能实现 IP、MAC、WLAN等元素的绑定信息,保证只有合法的用户才能进入网络;11. 支持内置 potal 服务器和用户帐号;12. 支持内置 radius、外置 raidus server 和 LADP 协议;13. 支持在特定区域 AP 上启用特定 WLAN,关闭其他 WLAN的功能;14. 支持根据用户数量在 AP 之间进行负载均衡和根据实际流量在 AP 之间进行负载均衡的能力。15. 接入控制器软件版本支持分层 AC 功能,暨总 AC 能够对分支 AC 进行统一管理,自由选择认证点,分支 AC支持本地漫游功能16. 为保证兼容性与统一管理,要求该项产品与所有 AP设备为同一品牌。网络管理8网络管理平台功能要求1. 具有自动发现全网网络拓扑的功能;
