思科中小型医院网络和应用解决方案

发布作者：微思网络   发布时间：2022-12-06   浏览量：0次

一、中小型医院的无线需求

对于一个现代化的医院来讲。如何能快速、及时地把病人数据传输到医生那 里用于诊断，减少与降低患者的就医时间和成本？如何使医护人员的查房提高工作效率并可避免因字迹模糊潦草而导致医疗事故的发生？这些都是医院管理者 需要重点考虑的问题。

近几年，随着国内医疗体制的改革与医药分离的出现，医院之间也形成了竞 争格局，它不仅仅体现在医院医疗水平的高低，同样也体现在医院所具备的医疗 设备以及对患者的服务质量方面。在计算机技术高速发展的今天，国内大部分医 院都采用了 HIS 医院信息管理系统来提高医院的工作效率与服务质量。但不少 医院的信息系统化在很大程度上只是医院管理流程的计算机化，并不是真正的医 疗信息化。现代医疗信息化的核心是病人信息的共享，包括医院各个科室之间比 如化验科、放射科、造影室与医生之间的即时信息共享，甚至是医院之间、医院 与社区之间的信息共享，以数据库为中心实现病人信息的无纸化和无胶片化，这 就需要强大的网络支持。此外，由于医疗行业的特殊性，医护人员和病患者之间 需要频繁地在院内移动、同时处理大量的信息，这些都要求网络具备可移动性、 传输速率高等特点。同时考虑到医院业务量的增加，网络需要留出足够余地扩容 而不影响医院正常的工作。这些显然已不是传统网络所能满足。

伴随着 IEEE802.11 系列无线局域网络(WLAN)标准的出现及无线技术的大 力发展，芯片、终端等整个产业链全面支持无线技术，使“网络无处不在”的美 好愿望成为现实，同时其具备的移动性和灵活性，使得医院部署特殊的信息化应 用成为可能。Cisco 针对目前国内大多数中小型医院的需求制定了无线医疗网络 解决方案，帮助医疗人员大大节省时间、提高工作效率和工作准确度，实现改进 工作流程、完善管理考核的目的。

二、中小型医院的无线应用

医疗行业的无线应用非常丰富，如药库中种类繁多的药品通过基于无线应用 的条码扫描枪可以大大提高库房管理的效率；如通过无线  RFID 标签的使用，可 以实现人员和贵重设备的追踪、定位功能等等。思科公司根据中小型医院的特点， 从投入成本及应用普及度考虑，推出适合于中小型医院部署的相关无线应用解决 方案。

1.护士呼叫系统

通过无线 IP 电话的应用，可以将传统的护士呼叫只能到护士站的方式，改 进为护士站和护士随身携带的无线 IP 电话同时振铃，或者改进为当护士站没有 人接听后再转接到护士的无线 IP 电话上。护士可以看到呼叫者的病床号、能够接听处理，如果在一定的时间内没有接听，系统将向预先定义的上级人员发出通 知信息。通过该系统，既可以提高病患的满意度，又可以详细记录工作情况，提高管理透明度。护士呼叫系统的详细说明参见高效协作部分。

2.无线上网

无 线 网 络 除 了 处 理 医 疗 应 用 外 ， 还 可 以 为 病 人 和 医 护 人 员 提 供 方 便 的 Internet 网络连接。尤其是在医院有限布线点不足的问题，通过采用无线网络的 方式解决，更加游刃有余。

医院的有线网络，一般分为内网和外网。但是无线技术本身的限制，使同一 区域没法实现部署两套独立的网络。所以在同一区域，内网和外网只能是同一个 无线网络。此时，如何保证内网的医疗应用安全、以及外网 Internet 服务的顺利 进行，就非常重要了。

通过思科访客隔离接入解决方案我们一方面要为内网的用户提供高级别的 安全认证（支持多种认证方式）和数据加密；另一方面，要为外网的用户提供简 单易用的认证方式，而且，最好把互联网的数据流，直接送到外网的防火墙上， 从而避免对内网数据的访问。

由于无线网络的技术限制，同一个区域无法部署内网和外网两套不同的网络。思科独有的无线访客技术可以保证病人等无线外部用户与医院等内部用户的隔 离。将外部用户逻辑隔离，在允许外部用户访问互联网的同时保证内部无线用户的安全。

如下图所示方法，互联网用户采用独立 VLAN，在防火墙的非军事化区配臵独立无线控制器，所有互联网的流量通过 Tunnel 终结在非军事化区。还可以通 过备份链路实现冗余。另外，网管软件或控制器自带的 Lobby 管理员功能，可 以为 Lobby 用户提供简单的界面，建立用户，并生成用户的密码，用户的有效期。

Lobby 管理员界面简单、功能明确，非常适合病房等使用。例如：护士台可 以通过简单明确的界面给病人或家属设臵一定有效期的用户名、口令。

（图）思科访客隔离接入解决方案

三、 思科无线解决方案优势

面对医疗行业丰富的无线应用需求，思科无线网络不仅可以满足各类应用需 求，还可以全面解决医院无线网络部署时的各种顾虑。

思科的无线解决方案包括自治型 AP 方案和集中式轻型 AP 方案，俗称 “胖”AP 方案和“瘦”AP 方案。所谓“胖”AP 方案，是指每个 AP 都是独立 设备，需独立配臵、独立工作，实现无缝漫游时技术复杂；所谓“瘦”AP 方案，是指每个 AP 完全不需配臵，全部的配臵和管理都通过中心控制器统一实现。由 于 AP 全部注册在控制器上，控制器可以对所有管理下的 AP 的无线射频实现实 时动态的调整，从而实现更好的无线覆盖和更智能的流量负载均衡；而且无缝漫 游、无线定位的实现非常简单。为实现部署的灵活性和投资保护，思科的两种无 线 AP 可以自由转换，即通过 AP 的软件更换，AP 可以工作在胖 AP 模式，或者瘦 AP 模式。当然在瘦 AP 模式时，基本方案除了 AP 外，还需要添加无线控制 器。

思科无线“胖”AP 方案，包括无线 AP 及其天线，可选配无线网管软件；无线“瘦”AP 方案，包括无线 AP 及其天线、无线控制器 WLC。可选配无线网 管软件 WCS 以支持更多丰富的管理功能。如果需要使用定位功能，还可以选配 思科无线定位服务器 MSE。

思科的无线解决方案全面支持 802.11a/b/g/n 技术标准，还支持先进的无线 射频动态调整、网络负载自动均衡、快速安全的移动漫游等功能，另外，在无线 网络安全、访客隔离、远程无线部署、无线语音支持、方便的无线管理等方面技 术领先。

“胖”AP 架构成本低一些，但是大规模部署时，管理、运行、维护的成本 高；“瘦”AP 架构成本高一些，但是管理、运行、维护的成本低，而且易于漫 游、易于定位。思科抽取国内二十家使用思科无线网络的医院统计结果表明，平 均每家医院的 AP 数量在 100 个左右，因此医院适合于采用“瘦 AP”的架构， 建议 AP 能够实现“胖”“瘦”的自由转换，以提高灵活性、保护用户投资。

1.无线射频智能频谱管理功能

由于 Wi-Fi 在共享无需授权的波段工作，因此，要在 Wi-Fi 网络中支持高 级别性能、安全性和可靠性，必须拥有集成式频谱智能和频谱管理。频谱管理对 于在关键无线应用中为最终用户提供丰富、可靠的移动性体验至关重要。

商用 Wi-Fi 芯片集的有限射频可见性功能不能满足需要，因此思科集成了 获得专利的频谱处理硬件和软件，专用于分析干扰，而且还创建了真正的企业级 Wi-Fi 芯片集。由于具有这种底层硅片功能，Cisco CleanAir 技术可对各个干扰 源进行分类，并找出干扰源，告诉您它们如何影响网络性能或安全性。

Cisco CleanAir 是一种革命性的技术，在业界尚属首例。使用该技术，IT 经 理可以访问自动收集的关于每个非 802.11 干扰源的丰富频谱信息。CleanAir 技术提供的频谱智能支持全新级别的频谱管理。与以前的频谱管理工具相比，新 的集成式频谱管理是无线网络结构的一部分，而以前的频谱管理工具则仅适应于其他  Wi-Fi 设备，并且通常与无线网络分离。第二代频谱管理可充分感知所有 无线频谱用户，而且能够采取行动来缓解或避免干扰，从而优化网络性能。

CleanAir 技术广泛应用于思科统一无线网络系统内部，通过以下方式提高 无线质量：

          侦测其他系统无法看到的  射频  干扰

          识别来源，并在平面图中找到相应的位臵

          自动调整以优化干扰周围的无线覆盖范围 

这一创新技术的优势在于：

          自我修复和自我优化无线网络

          更快地排除故障，减少中断时间

          有效地实施策略

          提供物理层安全性

2.无线网络安全功能 思科提供了基于有线无线集成的统一的端到端的安全架构。思科无线网络的

解决方案支持高效、多级别、多种类、多级的认证方式和加密技术，具体如下：

          无线终端用户的用户认证（用户名/密码，数字证书）、无线终端用户的 数据加密（WEP，TKIP，AES）—思科无线网络系统在使用 802.1X-EAP、 TKIP 或 AES 时，可以防止网络遭受多种网络攻击的影响

          无线接入点的接入认证  —通过 X.509 证书、AP 的 802.1x 认证，保证 合法的 AP 才能连接到无线网络中；

          无线控制帧的安全管理（MFP）—管理帧保护功能能够很好地保护无线 客户端与无线 AP 之间的 802.11 管理帧，防范针对管理帧的无线攻击， 避免无线客户端和合法 AP 之间总是断开；

          无线 IDS 以及无线和有线 IDS/IPS 联动功能  —思科无线网络自带 L2WIDS 功能，通过和有线网络的 IDS/IPS 联动，可以实现对 L2-L7 入侵 攻击的防范，实现有线网络和无线网络的一体化，实现一体化的最大安全性

          基于 2-7 层内容的入侵检测系统（无线 IPS、IDS 系统）

          支持精确的非法  AP 定位和隔离  —保证无线网络免受无线类的安全攻 击

          终端的安全接入保证（NAC）—无线用户接入到网络中时，对用户终端 的操作系统版本、补丁情况、病毒库版本进行检查，以确保系统的安全 性。这样即使拥有了合法的用户名和密码或者安装了合法的数字证书，也只有满足系统要求的终端才能连接到网络中，从而大大提高整个网络 系统的安全性。

          终端快速、安全漫游机制的实现（CCKM）—对于高安全级别的医疗应 用，建议数据进行加密。在漫游过程中，数据的加密密钥需要交换，思 科通过 CCKM 机制  (Cisco Centralized Key Management) 来保证高速、 高效的安全切换，通过这种方式，可以加速密钥交换过程，从而缩短切 换时间，从而保证业务的顺利进行。

          独特的外部用户隔离机制—详见后文。医院在使用无线网络时，解决好以下的安全的问题是非常重要的：

          必须能够防止非授权人员使用医院无线网络

 解决方法：通过思科无线网络和思科 AAA 软件：Cisco Secure ACS， 实现用户名和密码认证，支持多种认证和高级加密方式

          避免医护人员每次开机输入用户名和密码的麻烦

 解决方法：将用户名和密码缓存

          防止非授权终端使用医院无线网络

 解决方法：用 ACS 进行终端 MAC 地址的集中认证和管理；或通过 高级的用户名/口令认证

          保证数据的私密性和完整性

解决方法：采用 WPA2 或 WPA 代替 WEP，采用 AES 加密；

          攻击源查找

 解决方法：能够检测非法 AP，并压制和定位；能够接合有线网络的IPS 系统，实现主动防御的安全理

3.思科独特的访客隔离接入解决方案

4.思科 ClientLink 波束成形技术

在未来几年 Wi-Fi 网络将过渡到 802.11n 技术。在此期间，无线网络将要 支持 802.11a/g 老客户端和 802.11n 客户端混合的环境，特别是医疗行业所需 要的各类手持终端只支持 802.11a/g 的技术。因为 802.11a/g 老客户端工作在较 低的数据传输速率，老的客户端将拖累整个网络，降低网络的性能。ClientLink波束成形技术（以下称为“ClientLink 技术”）可以帮助解决在混合客户端的802.11n 网络下带来的有关的问题，使用户确信即便是当 802.11a/g 客户端靠 近信号覆盖的边界时也可以以最佳的速率运行。

在混合的环境中，老的 802.11a/g 客户端将增加 802.11n 客户的通讯时延， 从而降低网络的性能。思科认识到要为企业保护他们在这些的  802.11a/g 设备 上的投资的需求，为此，思科已经开发出一种新技术，使企业  802.11a/g 的客 户端设备也能够从部署 802.11n 带来的性能优势中受益，从而延长其使用寿命。

大多数的 802.11n 解决方案是改进提升客户端到无线接入点间的上行通信 速率。思科 ClientLink 技术之所以是业界唯一的，因为它不仅提升了客户端到 无线接入点间的上行通信速率而且也提升了下行通信速率。这一点很重要，因为 局域网中日常大多数的通讯，如 Web 浏览，电子邮件和文件下载是发生在下行 方向。提升最慢的客户端的下行链路吞吐量，提升的不仅仅是慢的客户端的无线 网络使用体验，而是提升无线网络中全网用户端的无线网络使用体验。ClientLink 技术使用的结果将是为用户提供更加稳定可靠的漫游经验并提升全网的性能。思 科公司在 Wi-Fi 芯片组内增加了先进的信号处理模块。多发射天线被用来针对802.11a/g 客户端集中传输的方向进行优化，以提高相同覆盖信号范围内的下行 信噪比和数据传输速率，从而减少信号覆盖盲区并提升整体网络系统性能。这种技术的基本原理是采用学习的方式，结合最优化的方法，分析接收到的客户端的 信号，然后以最优的方式将数据返回给客户端。这种技术也被称为 MIMO（多输 入多输出）波束成形，传输波束形成，或同相位技术，它是在市场上唯一的、不需要额外通过昂贵的天线阵列来实现的企业级解决方案。

思科 ClientLink 技术可以让无线接入点有效地优化客户端所在位臵的无线 信号的信噪比。优化信噪比带来许多好处，如降低重传次数和建立更高的数据速 率。例如，以前一个在信号覆盖边缘的客户端以 12 Mbps 数据速率接受数据包， 而现在可以达到  36 Mbps。在典型的下行性能测试中采用  ClientLink 技术，802.11a/g 客户端下行通信方向的吞吐量性能可以提高 25%。ClientLink 技术可 以让 Wi-Fi 系统以更少的重传和高数据速率的方式工作，提高了整体网络系统的 性能，这意味着最有效地使用频谱资源。

无线网络中，在许多信号覆盖边缘的区域通常存在一些覆盖盲区，在这些盲 区内由于信号太弱而影响 Wi-Fi 网络的性能。当客户端在无线接入点覆盖区域之 间漫游时，经常会面临覆盖盲区的问题。思科 ClientLink 波束成形技术可以减 少信号覆盖的盲区和提高信号覆盖的范围，确保无线信号更可靠，可预测，且均 匀覆盖整个楼面。如下图证明了采用 ClientLink 技术，客户端如何获得的最高 数据传输率。在这一特定的示例中，信号强度提高了  5 分贝，数据传输速率从24 Mbps 提高到 36 Mbps。

没有采用 ClientLink 技术时的信号覆盖热图

采用 ClientLink 技术时的信号覆盖热图

5.无线语音支持：

在医疗的无线应用中，可以看到未来无线 IP 话机的应用将越来越多。作为 无线平台的部署，必须要具备支持无线语音应用的能力。

无线语音应用不仅要保证足够的带宽、低网络延迟、等 QoS 特性，还需要 实现其它功能，如：

          基于无线系统的节电功能  —通过 U-APSD 的功能，使无线终端，特别 是语音终端的电池使用时间对比没有使用该功能以前增加 2-4 倍

          基 于 无 线 系 统 的 动 态 功 率 控 制  DTPC  — 通过动态功率控制  DTPC (Dynamic Transmit Power Control)，无线 AP 可以自动通知无线客户端 互相协商其发射功率，避免单通问题，同时还可帮助客户端进行节电

          基于无线系统的呼叫控制  —对于 WLAN 网络里的无线 AP 来说，能接 入客户端的容量并不是无限的，当大量无线客户端同时接入同一个 AP 的场景，会对一个 AP 的处理能力产生一个瓶颈。那么，在超过一个 AP 的语音接入容量的情况下，如果没有控制策略，会造成每路语音的通话 质量全部下降。如果能提供呼叫控制，则可避免该情况。而呼叫控制可 以基于语音流量进行，也可基于无线信道负载进行。

          VoWLAN 的快速漫游机制  —通过 CCKM 机制  (Cisco Centralized Key Management) 来保证语音应用的快速安全漫游。

6.易于管理

思科无线网络管理系统（WCS）提供了快速有效的方法来对采用思科无线 网络产品构建的网络进行管理和故障排除。这一功能强大的应用提供了全套网络 可视化、发现、故障和诊断能力，以在其影响网络服务之前识别问题。

WCS 包含射频建模软件，可根据输入楼层的情况自动确定接入点位臵来帮 助自动决定接入点的初始布局。WCS 可以输入站点勘察工具的勘查结果，并进 行优化，使得布署 WLAN 的工作能够非常顺利地进行。（当然，不管使用什么工 具，仍然需要手工进行站点勘察，这是勘察工具所不能代替的。）

像思科的 WCS 规划工具可以在基于 CAD 的楼层规划中对诸如混凝土外墙 和金属门之类的建筑物指定预设衰减级别，确定接入点位臵、信道分配、功率输 出设臵以及其它配臵属性。它们使用用户密度和吞吐量这类参数作为标准。在接 入点勘察工作完成后，还可以验证和描述这些接入点的覆盖区域。

管理员可以用 WLAN 管理软件系统来完成所有长期管理和优化工作。该工 具与 RF 扫描并用，能够检测和查找欺诈设备和人员，使用 WLAN 管理软件系 统来将最新发现的设备显示在平面图上。管理员还可以将 WLAN 管理软件系统 用于用户管理。该工具能够在平面图上找到用户，显示用户的网络使用统计数据、 漫游历史和地址细节。

另外，无线网管软件 WCS 还支持客户端故障排查：

          帮助网络维护人员远程诊断、排除客户端问题

          通过提示步骤逐步调试 1 到 3 层的客户端问题

          标注不同网络层问题

          系统主动分析深层的细节与日志

          提出修正方法

四、思科无线解决方案设备参考

          无线接入点 AP（LAP 与 AP 可以胖瘦灵活转换）

-     LAP / AP：1141/1142（802.11a/b/g/n，内臵天线）

-     LAP / AP：1042（802.11a/b/g/n，内臵天线）

-     LAP / AP：1252（802.11a/b/g/n，外接天线)

-     LAP / AP：1262（802.11a/b/g/n，外接天线)

-     CAP：3500i(802.11a/b/g/n，内接天线，支持 CleanAir 技术)

-     CAP：3500e(802.11a/b/g/n，外接天线，支持 CleanAir 技术)

          无线控制器 WLC（可以冗余配臵、可以集群管理）

-     NME-AIR-WLC6-K9（ISR 无线控制器模块：支持 6 个 AP）

-     NME-AIR-WLC8-K9 （ISR 无线控制器模块：支持 8 个 AP）

-     NME-AIR-WLC12-K9 （ISR 无线控制器模块：支持 12 个 AP）

-     NME-AIR-WLC25-K9 （ISR 无线控制器模块：支持 25 个 AP）

-     AIR-WLC5508-X-K9（独立的无线控制器 5508：分别支持

12,25,50,100,250,500 个 AP，并可通过购买 License 升级支持的

AP 数量）

          安全认证与管理服务器（可以冗余配臵）

-     CSACS-5.0-EXP-K9（Cisco Secure ACS Express：软件）

-     CSACS-1120-K9（Cisco Secure ACS：软硬件一体）

          无线网络管理（根据 AP 数量选择）

-     WCS-APBASE-50（50 个 AP 的无线网管）

-     WCS-APBASE-100（100 个 AP 的无线网管）

          无线定位服务器

-     AIR-MSE-33xx-K9 及相应 License

详细信息欢迎垂询思科区域中小企业客户经理和中小企业客户技术支持工 程师，或参考思科网站：

          English：www.cisco.com

          中文：www.cisco.com.cn