1. 项目背景及需求分析

广东省某医院互联网业务分为有线网络和无线网络两个部分。无线网络独立组网，有专用的核心、汇聚、接入交换机及无线控制器、AP等设备，使用另一条互联网专线作为互联网出口，为院内无线终端提供上网服务。

虽然有线网络从稳定性及速度均优于无线网络，但无线网络作为有线网络的延伸，大大提高了用户接入互联网的灵活性与便捷性，随着移动办公、远程视频会议等工作模式的兴起，越来越多的移动终端对网络接入提出了更高的要求，建设一套高质量的无线网络势在必行。

随着业务的不断发展，目前在院内无线互联网使用方面存在问题主要有：

1. 无线网络设备面临升级压力。现有无线网络为2017年开始建设，使用wifi5设备，目前wifi5设备逐步停产，wifi6已逐渐成为主流设备，而院内部分区域常因布置调整导致原有wifi信号覆盖不足，需进行网络补点覆盖，要新增AP设备。为提供更好的网络体验，需要对现有无线AC设备进行升级，使无线网络可支持wifi6 AP设备接入。

2. 医院本部未来计划对就诊患者和家属开放外网wifi接入服务，智能终端连接外网wifi后，通过手机短信认证后访问互联网及医院公众号和小程序应用。对就诊人员开放外网后，上网人数及信息安全压力俱增。为了更好地管理人员的上网行为，避免恶意发布非法信息、泄露内部信息，并降低网络运维团队的运维压力，提升运维效率，医院需替换现有的旧版上网行为管理设备，建设新型上网行为管理设备、防火墙，同时还应满足国家公安部82号令《互联网安全保护技术措施规定》，以实现对无线非经的上网行为审核的要求。

3. 原有单条互联网专线作为出口无法保障链路高可用性，存在出口线路中断隐患。单运营商线路接入无法保障出口路径最优，需接入多家运营商线路实现负载均衡与线路冗余备份，实现根据目的地址接入的运营商，选择最优的出口线路进行访问。

 2. 解决方案详细介绍

2.1. 解决方案描述

针对客户目前现状，分别为无线网络AC及外网无线网络出口区域提供相应解决方案，以实现以下目标：

1. 对现有无线AC设备进行升级，升级后无线网络支持wifi6 AP设备接入，支持wifi6的无线终端通过wifi6 AP设备上网可有更好的使用体验，现有无线网络的各个覆盖区域因格局改变需补点的位置可以使用wifi6AP设备进行补点覆盖。

2. 对现有外网无线网络出口进行优化，更换某区总院现有的上网行为管理设备，新建新型的上网行为管理设备、防火墙，并完成与医院已有短信平台的对接。

3. 新增无线网络互联网出口专线，并提供相应的网络设备，使新增互联网出口专线与原有互联网专线共同提供有线上网业务，既扩大了出口带宽，又能实现多个运营商线路上网，提高整体网络可用率。

2.2. 无线网络AC优化方案

2.2.1. 无线网络AC改造范围

改造范围如上图红色框选所示，对AC设备进行升级，内网和外网各需1个晚上进行升级，升级时间为6个小时；升级期间网络服务暂不可用，建议先进行外网升级，再进行内网升级。

升级后AC管辖下无线网络支持wifi6设备接入，并向下兼容wifi5设备。院内因布置调整导致原有wifi信号覆盖不足需进行网络补点，新增AP设备可以使用wifi6 AP设备进行补点覆盖。

2.3. 外网无线网络出口优化方案

2.3.1. 原有外网无线网络拓扑

2.3.2. 改造后外网无线网络拓扑及说明

改造后，外网无线出口拓扑如上图所示。

目前无线互联网出口采用华为USG6620E作为出口网关设备，为保证出口网络高可靠性及稳定性，建议新增一台同型号防火墙，与原有设备形成双机热备，共同承载无线外网访问流量。并且根据实际情况新增多运营商互联网线路，按照满足同时5000个终端在线的情况计算，每终端需保障4兆带宽，在同一时刻下按百分之二十的并发终端计算，总出口带宽建议达到4Gbps。

本次选用的防火墙型号支持出口多链路负载均衡，基于多出口链路的动/静态智能选路功能，根据管理员设置的链路带宽、权重、优先级或者自动探测到的链路质量动态地选择出接口，按照不同的选路方式转发流量到各条链路上，并根据各条链路的实时状态动态调整分配结果，以此提高链路资源的利用率和用户体验及互联网出口的可靠性。

在外网无线网络的互联网出口部署上网行为管理系统，实现对所有内部用户访问互联网行为的深入分析与全面的安全审计，保障网络关键应用和服务的带宽，为客户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。

广东省某医院目前使用的上网行为管理设备是按照医院医务人员使用终端设备上网的需求建设的，其设备性能和无线非经的兼容性，无法满足未来对全院公众开放使用无线网络的性能需求和合规性。因此在本次方案中，在外网无线网络的互联网出口处部署新型的上网行为管理设备，有助于应对开放公众无线网络后上网行为分析量骤增的情况。

同时为了保证网络的可靠性，上网行为管理设备采用旁挂模式单机部署，当设备发生故障时，网络流量可正常转发不受影响，保证用户可正常访问互联网，减少突发情况下产生设备故障带来网络中断的风险。设备故障时无法进行正常的认证与流量审计，我方提供7*24小时备件服务，对故障设备进行及时更换。