1.业务需求

医院是用户密度大、病患流动性强的场所，医院场景的特点如下：

• 用户密度大
• 人员流动性强
• 接入用户类型复杂
• 安全性要求高

一般医院对网络的主要业务需求包括以下方面：

• 接入需求

• 为医护人员提供有线和无线接入方式。

• 为病患和访客提供无线接入方式。

• 不同类型用户的网络访问权限，如下表所示：

用户类型	办公服务器	Web服务器	Internet
医护人员有线用户	√	√	√
医护人员无线用户	√	√	√
病患无线用户	×	×	√
访客无线用户	×	×	√

• 无线漫游需求

• 无线终端在不同区域之间移动时，支持漫游。
• 网络快速切换，业务不中断。

• 认证需求

• 为了保护医院网络的数据安全，所有设备都需要通过认证才能访问网络资源。认证方式需要便捷易用。
• 重新接入无线网络，需要简化认证。

• 安全需求

• 防止非法设备、非法攻击入侵网络，配合认证系统，满足安全合规要求。

• 可靠性需求

• 医院网络承载着医院运营、员工办公等重要业务，需要保证高度的可靠性，保证业务的持续稳定。
• AP能感知接入用户数量，灵活调整物理信道竞争参数，降低碰撞几率，避免过多的用户接入同一AP，保障服务质量和体验。

• 管理运维需求

• 用户访问记录、流量等信息报表化。
• 可视化查看网络故障，快速诊断、排查和定位。

2.方案设计

2.1组网图

大型医院网络有线无线接入组网图如下图所示：

2.2网络设计分析

• 接入需求设计

• 网络覆盖主要分为门诊大楼、住院大楼、行政大楼，行政大楼给医院医护人员提供网络接入，门诊大楼和住院大楼主要给病患、访客以及医护人员提供网络接入。
• 无线业务统一由旁挂ACU2（插在S12708上的WLAN业务单板）管理，采用直接转发模式，作为网关为AP分配地址。
• 核心交换机S12708作为DHCP服务器，作为无线终端和有线终端的网关，自动为无线终端和有线终端分配IP地址。
• 在S12708上对不同类型用户区分不同网段，执行ACL策略，用于管理不同用户群的网络权限。

• 无线漫游需求

  在ACU2上配置智能漫游，实现无缝漫游。

• 认证需求设计

  在ACU2上部署无线接入认证，S12708上部署有线接入认证。无线用户采用MAC优先的Portal认证接入，向用户提供友好的登录页面，无需安装客户端软件，且用户断开网络后在一定时间内重连，可以通过MAC地址直接认证，无需再次登录。有线用户采用MAC+Portal混合认证接入，保证安全性。

• 安全需求设计

• 在AC上分别配置多个SSID，将各种业务进行隔离，不同SSID绑定不同的业务VLAN，实现无线用户隔离。
• 无线侧配置组播报文抑制、ARP泛洪检测与抑制。
• 在S12708上配置防攻击功能：用户级限速、基于端口的防攻击、攻击溯源功能。
• 在S5720-LI连接AP的接口上配置端口隔离。
• 在S5700-LI上配置DHCP Snooping，以抵御网络中针对DHCP的各种攻击。

• 可靠性需求设计

• AC旁挂式部署，配置VRRP热备份，配置HSB热备，保证设备级可靠性。
• 通过在AC上配置动态EDCA参数调整、动态负载均衡功能，减少AP密集布放时同频干扰严重、单AP负载过重的问题，实现降低碰撞几率，避免过多的用户接入同一AP，保障服务质量和体验。
• 核心交换机S12708部署集群，保证设备级可靠性。配置多主检测，可以检测并处理集群分裂时网络中出现的多主冲突。
• 汇聚交换机S5720-EI部署堆叠，保证设备级可靠性。
• S12708与ACU2、S12708与S5720-EI、S5720-EI与S5720-LI之间分别采用Eth-Trunk互连，提高链路可靠性。

• 管理运维需求

• Agile Controller-Campus负责认证授权计费，同时将用户访问记录、流量等信息报表化，便于管理员运维。
• 采用Web网管配置，可视化查看网络状态，快速诊断、定位故障。