李翔，唐慧華中科技大學(xué)附屬同濟(jì)醫(yī)院 計(jì)算機(jī)中心，湖北 武漢 430030

我院無(wú)線網(wǎng)絡(luò)的構(gòu)筑

李翔，唐慧
華中科技大學(xué)附屬同濟(jì)醫(yī)院 計(jì)算機(jī)中心，湖北 武漢 430030

目前，醫(yī)院的信息系統(tǒng)是以傳統(tǒng)有線聯(lián)網(wǎng)方式為醫(yī)護(hù)人員和病人等提供服務(wù)，這種方式適用于固定范圍內(nèi)的業(yè)務(wù)模式應(yīng)用，但醫(yī)院又是一個(gè)有著連續(xù)業(yè)務(wù)運(yùn)行模式需求的行業(yè)環(huán)境，在醫(yī)院的很多場(chǎng)所是有線網(wǎng)絡(luò)所顧及不到的，如病人標(biāo)識(shí)碼識(shí)別、醫(yī)囑的查詢(xún)與錄入、生命體征數(shù)據(jù)采集、床邊護(hù)理、護(hù)理監(jiān)控、藥物配送等，在有線網(wǎng)絡(luò)中是不能直接實(shí)現(xiàn)的[1-2]。因此，在醫(yī)院現(xiàn)有的有線網(wǎng)絡(luò)的基礎(chǔ)上建立一個(gè)高可靠性、高安全性、高性能、管理簡(jiǎn)易的無(wú)線局域網(wǎng)，以補(bǔ)充和不斷完善整個(gè)醫(yī)院數(shù)據(jù)共享平臺(tái)，是目前各大中型醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)發(fā)展的趨勢(shì)[3]。

1 我院無(wú)線網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)

采用“無(wú)線控制器+無(wú)線接入點(diǎn)（Access Point，瘦AP） ”架構(gòu)組建無(wú)線網(wǎng)絡(luò)系統(tǒng)[4]，利用無(wú)線控制器對(duì)全網(wǎng)AP集中控制和管理。利用有線網(wǎng)絡(luò)資源，架設(shè)“層疊”網(wǎng)絡(luò)，無(wú)線控制器安裝在醫(yī)院的中心機(jī)房，瘦AP接入到本項(xiàng)目新增加的以太網(wǎng)供電（Power Over Ethernet，PoE）交換機(jī)或者PoE模塊，通過(guò)有線網(wǎng)絡(luò)將輸入數(shù)據(jù)傳輸?shù)綗o(wú)線控制器[5]。

無(wú)線網(wǎng)絡(luò)的規(guī)劃，包括設(shè)備名稱(chēng)、VLAN、IP地址等規(guī)格都依照有線網(wǎng)絡(luò)規(guī)劃進(jìn)行，細(xì)化規(guī)劃和有線網(wǎng)絡(luò)一致，做到無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的無(wú)縫融合?？紤]鋪設(shè)強(qiáng)電線路存在安全隱患，因此AP供電方式采用PoE交換機(jī)供電；AP的IP地址采用固定IP地址方式，AP的無(wú)線網(wǎng)絡(luò)設(shè)置由無(wú)線控制器集中推送；通過(guò)無(wú)線網(wǎng)絡(luò)管理軟件對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行圖形化的統(tǒng)一管理，無(wú)線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，見(jiàn)圖1。

2 無(wú)線網(wǎng)絡(luò)實(shí)現(xiàn)步驟

2.1 配置無(wú)線控制器

在醫(yī)院網(wǎng)絡(luò)中心布署4臺(tái)無(wú)線控制器（A、B、C、D），實(shí)現(xiàn)無(wú)線數(shù)據(jù)流量、AP管理的負(fù)載均衡以及冗余熱備。4臺(tái)無(wú)線控制器分別連接2臺(tái)核心交換機(jī)，每臺(tái)核心交換機(jī)連接2臺(tái)無(wú)線控制器。無(wú)線控制器和核心交換機(jī)之間用2條千兆銅纜線路互連。

2.2 AP連接

吸頂式AP安裝在各病區(qū)的天花板下，通過(guò)百兆或千兆銅纜鏈路連接到PoE交換機(jī)或PoE模塊。AP的IP地址由網(wǎng)管人員手工配置，并為AP指定控制器的IP地址。

2.3 服務(wù)器管理配置

無(wú)線AP管理VLAN和無(wú)線終端VLAN都是采用DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議）分配IP地址，為了實(shí)現(xiàn)DHCP服務(wù)器的冗余，具體設(shè)計(jì)如下：配置控制器A和控制器B為DHCP服務(wù)器；每個(gè)VLAN都在控制器A和控制器B配置地址池，地址池分別是A：X.X.X.21～X.X.X.135；B：X.X.X.136～X.X.X.250。

在正常情況，其中每個(gè)VLAN中，一個(gè)DHCP服務(wù)器狀況為UP（激活狀態(tài)），另一個(gè)DHCP服務(wù)器的狀態(tài)為SUSPEND（掛起備份狀態(tài)），當(dāng)狀態(tài)為UP的服務(wù)器宕機(jī)時(shí)，SUSPEND狀態(tài)的服務(wù)器就會(huì)切換為UP狀態(tài)，承擔(dān)DHCP的角色；2個(gè)DHCP服務(wù)器的IP地址池是錯(cuò)開(kāi)的，因此不會(huì)產(chǎn)生IP地址沖突的現(xiàn)象。

2.4 無(wú)線服務(wù)配置

配置業(yè)務(wù)組標(biāo)志符（Service Set Identifier，SSID），名字為“WHTJ”，用于醫(yī)院醫(yī)療人員和移動(dòng)醫(yī)療電腦終端接入無(wú)線網(wǎng)絡(luò)，采用WPA-TKIP和WPA2-AES混合加密的方式。SSID是無(wú)線局域網(wǎng)的名稱(chēng)，只有設(shè)置相同SSID的信息終端才能相互通訊。該SSID采用隱藏信號(hào)廣播，這樣無(wú)線終端就沒(méi)辦法搜索到該SSID，醫(yī)院的專(zhuān)用無(wú)線醫(yī)療設(shè)備需要接入無(wú)線網(wǎng)絡(luò)時(shí)，也要進(jìn)行無(wú)線網(wǎng)卡的相關(guān)配置。詳細(xì)的無(wú)線服務(wù)配置，見(jiàn)表1～2。

表1 服務(wù)功能屬性列表

表2 無(wú)線通訊屬性列表

2.5 無(wú)線控制器的配置（以無(wú)線控制器A為例）

set system name WLC_A ## 配置系統(tǒng)名 ##

set system ip-address 172.16.1.91 ## 配置系統(tǒng)IP地址 ##

set ip route default 172.16.1.67 1 ## 配置缺省網(wǎng)關(guān) ##

## 配置管理員賬號(hào) ##

set user admin password ******

set ip telnet server enable ## 啟用Telnet服務(wù) ##

## 配置控制器管理VLAN ##

set vlan 2 name vlan_wlc

set vlan 2 port 1-2 tag 2

set interface 2 ip 172.16.1.91/24

## 配置無(wú)線AP管理VLAN ##

set vlan 211 name WKL-AP-GL

set vlan 211 port 1-2 tag 211

set interface 211 ip 172.16.11.11/24

……

## 配置無(wú)線終端接入VLAN ##

set vlan 23 name NKL-WX

set vlan 23 port 1-2 tag 23

set interface 23 ip 192.168.23.11/24

set vlan 24 name WKL-WX

set vlan 24 port 1-2 tag 24

set interface 24 ip 192.168.24.11/24

……

## Mobility Domain和Cluster Domain(群聚)配置 ## set mobility-domain mode seed domain-name TJH

set mobility-domain member 172.16.1.92 ## WLC-B（無(wú)線控制器B）

set mobility-domain member 172.16.1.93 ## WLC-C（無(wú)線控制器C）

set mobility-domain member 172.16.1.94 ## WLC-D（無(wú)線控制器D）

set cluster mode enable

##DHCP設(shè)置##

set interface 23 ip dhcp-server enable start 192.168.23.20 stop 192.168.23.240 default-router 192.168.23.1

……

set interface 45 ip dhcp-server enable start 192.168.45.20 stop 192.168.45.240 default-router 192.168.45.1

2.6 無(wú)線服務(wù)配置

##service-profile配置##

set service-profile Service_NKL ssid-name WHTJ

set service-profile Service_NKL user-idle-timeout 86400

set service-profile Service_NKL keep-initial-vlan enable

set service-profile Service_NKL ssid-type crypto

set service-profile Service_NKL auth-fallthru last-resort

set service-profile Service_NKL psk-phrase ********

set service-profile Service_NKL wpa-ie cipher-tkip enable

set service-profile Service_NKL wpa-ie auth-psk enable

set service-profile Service_NKL wpa-ie auth-dot1x disable

set service-profile Service_NKL rsn-ie cipher-ccmp enable

set service-profile Service_NKL rsn-ie auth-psk enable

set service-profile Service_NKL rsn-ie auth-dot1x disable

set service-profile Service_NKL wpa-ie enable

set service-profile Service_NKL rsn-ie enable

set service-profile Service_NKL attr vlan-name NKL-WX

set service-profile Service_NKL long-retry-count 10

set service-profile Service_NKL short-retry-count 10

……

## radio-profile配置##

set radio-profile Radio_NKL

set radio-profile Radio_NKL service-profile Service_NKL

## AP配置##

set ap 1011 serial-id a28112400958 model MP-522

set ap 1011 name WKL_1F_AP_1

set ap 1011 radio 1 radio-profile Radio_WKL_1-8 mode

enable

set ap 1011 radio 2 channel 149 radio-profile Radio_ WKL_1 mode enable

set ap 1012 serial-id a28112400963 model MP-522

......

3 總結(jié)

作為醫(yī)院有線網(wǎng)絡(luò)的最重要補(bǔ)充的移動(dòng)無(wú)線網(wǎng)絡(luò)，可以滿足醫(yī)院各種不同無(wú)線終端運(yùn)用需求[6-7]。但根據(jù)無(wú)線網(wǎng)絡(luò)的特點(diǎn)，實(shí)施過(guò)程中必須考慮以下幾個(gè)問(wèn)題：

（1）醫(yī)院無(wú)線網(wǎng)絡(luò)的部署首先需要考慮全院無(wú)線網(wǎng)絡(luò)節(jié)點(diǎn)的無(wú)縫覆蓋問(wèn)題，同時(shí)應(yīng)使無(wú)線網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)醫(yī)療設(shè)備的干擾最小。因此，所部署的節(jié)點(diǎn)盡量少，同時(shí)又要進(jìn)行最大的網(wǎng)絡(luò)死角覆蓋，且節(jié)點(diǎn)間信號(hào)要達(dá)到無(wú)縫銜接，網(wǎng)絡(luò)信號(hào)不能中斷。

（2）隨著醫(yī)院業(yè)務(wù)的不斷增加和無(wú)線網(wǎng)絡(luò)在醫(yī)院應(yīng)用的不斷深入，醫(yī)院數(shù)據(jù)量不斷增加，無(wú)疑對(duì)無(wú)線網(wǎng)絡(luò)性能的要求越來(lái)越高。必須充分考慮如何提高網(wǎng)絡(luò)的傳輸效率和性能，保證大數(shù)據(jù)的有效傳輸，保證網(wǎng)絡(luò)的負(fù)載均衡。

（3）無(wú)線網(wǎng)絡(luò)具有自動(dòng)性、建立快速的特點(diǎn)，適用于醫(yī)院應(yīng)用環(huán)境，但是由于無(wú)線網(wǎng)絡(luò)中任何一個(gè)訪問(wèn)節(jié)點(diǎn)對(duì)于內(nèi)部的用戶是公開(kāi)的，入侵者可以很容易地進(jìn)入無(wú)線網(wǎng)絡(luò)訪問(wèn)各種資源。因此要使用傳統(tǒng)的信息加密和用戶認(rèn)證方法配合設(shè)備主動(dòng)入侵檢測(cè)技術(shù)，以保證無(wú)線網(wǎng)絡(luò)的安全[8]。

我院無(wú)線網(wǎng)絡(luò)通過(guò)1年多的應(yīng)用，使用效果良好，比較好地滿足了醫(yī)院各種移動(dòng)應(yīng)用終端的需求，使得醫(yī)院整個(gè)網(wǎng)絡(luò)發(fā)展更趨完善。這為其他有類(lèi)似需求的大型綜合性醫(yī)院建立無(wú)線網(wǎng)絡(luò)提供一個(gè)借鑒。

[1] 宮彥婷．無(wú)線局域網(wǎng)技術(shù)在醫(yī)院網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用研究[J]．中國(guó)醫(yī)學(xué)裝備,2012,9(7):13-16．

[2] 吳斌,黃慧萌,李?lèi)偅\(yùn)用無(wú)線網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)醫(yī)院移動(dòng)查房[J]．醫(yī)院管理論壇,2013,30(2):62-64．

[3] 王俠．無(wú)線局域網(wǎng)的安全問(wèn)題及對(duì)策研究[J]．電腦知識(shí)與技術(shù), 2012,(9):2029-2033．

[4] 仲曉偉．醫(yī)院構(gòu)建無(wú)線網(wǎng)絡(luò)方案的探討[J]．中國(guó)醫(yī)療設(shè)備,2013, 28(2):55-57．

[5] 應(yīng)俊,何史林,周丹．醫(yī)療物聯(lián)網(wǎng)中無(wú)線網(wǎng)絡(luò)的接入應(yīng)用實(shí)踐[J]．中國(guó)醫(yī)療設(shè)備,2014,(5):44-46．

[6] 張旭,卜凡晶．無(wú)線網(wǎng)絡(luò)在醫(yī)院應(yīng)用中的新思考[J]．科學(xué)之友, 2012,(10):159-160．

[7] 高志宏,高志立,王華曉．移動(dòng)終端設(shè)備在臨床檢驗(yàn)系統(tǒng)中的開(kāi)發(fā)和應(yīng)用[J]．醫(yī)學(xué)與社會(huì),2013,(2):70-71．

[8] 周輝,潘祖烈,陳仲明．淺談無(wú)線網(wǎng)絡(luò)攻擊技術(shù)與防范措施[J]．電腦知識(shí)與技術(shù),2014,10(8):1695-1699．

Establishment of a Wireless Network in the Hospital

LI Xiang, TANG Hui
Information Technology Center, Tongji Hospital, Huazhong University of Science and Technology, Wuhan Hubei 430030, China

目的 建立一個(gè)完整、安全、合理的無(wú)線網(wǎng)絡(luò)，以滿足越來(lái)越多的醫(yī)院無(wú)線終端應(yīng)用的需求。方法 采用“無(wú)線控制器+瘦AP”架構(gòu)組建無(wú)線網(wǎng)絡(luò)系統(tǒng)，利用無(wú)線控制器對(duì)全網(wǎng)AP集中控制和管理。結(jié)果 在醫(yī)院原有的有線網(wǎng)絡(luò)上，架設(shè)“層疊”無(wú)線網(wǎng)絡(luò)滿足了醫(yī)院各種無(wú)線應(yīng)用的需求。結(jié)論 利用原來(lái)的有線網(wǎng)絡(luò)資源，采用“無(wú)線控制器+瘦AP”構(gòu)架方式可以建立起一個(gè)能滿足各種無(wú)線終端需求的醫(yī)院無(wú)線網(wǎng)絡(luò)，使醫(yī)院的網(wǎng)絡(luò)發(fā)展更趨完善。

醫(yī)院信息系統(tǒng)；無(wú)線網(wǎng)絡(luò)；無(wú)線控制器；瘦AP

Objective To establish a complete, safe and reasonable wireless network so as to meet the requirements of increasing wireless terminal applications in the hospital. Methods With deployment of the wireless controller+ thin AP (Access Point) architecture, a wireless network system was established. The wireless controller was used for centralized control and management of the entire network of AP. Results In a wired network, the original hospital, erecting A tiered wireless network was established on the basis of the existing wired network in the hospital, which can meet the requirements of various wireless applications in the hospital. Conclusion With deployment of the existing wired network source and the wireless controller+ thin AP architecture, a wireless network that can meet the requirements of various wireless terminals was established in the hospital, which contributed to the improved development of the network in the hospital.

hospital information system; wireless network; wireless controller; thin access point

TP393.17

A

10.3969/j.issn.1674-1633.2015.04.025

1674-1633(2015)04-0085-03

2014-11-25

2015-01-05

湖北省自然科學(xué)基金資助項(xiàng)目（2013CFB151）。

本文作者：李翔，高級(jí)工程師。

作者郵箱：lixiang@tjh．tjmu．edu．cn