【作 者】曹阳,李民,郭益锋
南通市第一人民医院信息中心,江苏,南通,226001
医院集中式关键业务信息系统的实施,对医院网络系统的稳定性、安全性和可管理性等方面提出了更高的要求。结合我院新病房大楼网络的建设及未来医院信息化发展的需要,我们对医院局域网进行了全面地设计与改造,为提高信息系统的功能提供了可靠的网络平台。
我院是一所三级甲等中型综合性医院,原有实际开放床位数900张,2号病房大楼新建和1号病房大楼改建后床位数扩展至1500张。医院伴随着新业务信息系统的上线和站点数量的增加,原本充裕的带宽逐渐显得捉襟见肘;单核心设备,主干网络无链路冗余,一旦网络出现故障,难以在短时间内恢复;原有网络结构凌乱,维护复杂,有些部位交换机不可网管;PACS系统网络独立于医院局域网。随着数据流量的不断增加,传输速度越来越慢,且与医院信息系统也难以集成。内、外网同处于一个物理网络,虽然通过划分VLAN进行逻辑隔离,但对医院信息系统却存在严重的安全隐患。
① 采用技术成熟、先进可靠的千兆以太网技术,实现1000 M交换到楼宇,100 M交换到桌面[3],建成一个高速传输的高可靠网络,能保证业务系统的不间断运行。
② 在原有网络的基础上,充分保护原来的软硬系统投资,将网络进一步拓展、改建和升级,光纤主干将覆盖全院所有建筑场所。
③ 内外网物理分离,以防止互联网病毒入侵医院内网,保证医院内网安全。
④ 医院与市医保、区域医疗等实现专线连接,通过互联网安全连入医院内网,进行信息实时、高效相互传输,实现对医院信息系统的远程维护。
⑤ PACS网络并入医院局域网统一规划,实现统一管理和信息集成。
⑥ 解决医院信息数据交换的压力,具有数据的高速传输能力和网络的快速响应能力,同时具有出色的扩展性,确保网络技术和产品在未来几年内满足应用需求。
医院物理网络分为内网和外网。内网是医院核心网络系统,拥有开展日常医疗业务(HIS、LIS、PACS&RIS、EMR、OA等)的医院各个业务子系统。外网一般指INTERNET信息查询,用于电子阅览室、远程教育等[1]。由于内、外网应用系统的差异,以及对安全性、可靠性和访问控制策略的要求不同,为了管理维护方便,我们采用内、外网物理分离的医院局域网规划和建设方案。
根据我院具体的楼宇分布状况和原有内网网络布线,在内网网络架构设计上,采用标准的三层架构和扁平化的二层架构。三层架构设计分为核心层、汇聚层和接入层,适用具有多个楼宇的院区;二层架构设计则简化了其中的汇聚层,分为核心层和接入层,更适合大型单体楼宇。
新机房位于2号楼(21层),紧邻1号楼(8层)的3至5层,其它5幢楼宇包括未来在8、9号楼之间将计划新建11、12号楼,均与新机房距离较远。鉴于以上情况,我们在原有老机房放置两台Cisco Catalyst4506作为汇聚层交换机,新机房放置两台Cisco Catalyst7609作为核心层交换机,二、三层架构共有。具体网络拓扑如图1所示。
图1 内网网络拓扑图Fig.1 Topological Graph of Internal Network
3.3.1 HSRP热备方案
在一个路由器不能工作的情况下,它的全部功能便被系统中的另一个备份路由器完全接管,直至出现问题的路由器恢复正常。这就是热备份路由协议(Hot Standby Router Protocol)。为了保证网络的稳定性和可靠性,两台核心Catalyst7609和两台汇聚Catalyst4506间运行HSRP协议,实现关键节点网络设备的热备份。
采用HSRP热备方案,可通过调整特定虚网(VLAN)的优先级,对用户的不同性质数据流量的流向进行优化配置,从而提高核心网络设备的效率。我们采取提高 Catalyst7609-1上普通数据虚网的优先级,来实现普通数据优先通过Catalyst7609-1转发。提高Catalyst7609-2上影像数据虚网的优先级,来实现影像数据优先通过Catalyst7609-2转发。同样,汇聚交换机也采取了与核心交换机同样的HSRP优化配置的热备方案。
核心网络采用HSRP热备份方案,使全院节点交换机采用双链路上联,不但实现了核心、汇聚设备的热备份,而且也实现了所有物理链路的热备份[1]。
3.3.2 OSPF动态路由技术
在两台核心交换机Catalyst7609与两台汇聚交换机Catalyst4506之间,运行OSPF(开放式最短路径优先)动态路由协议,实现主干网络的路径选择以及网络设备和链路的负载分担。
将新机房两台核心Catalyst7609与老机房两台汇聚Catalyst4506作环形连接,并统一划分到OSPF的AREA 0中,其间运行OSPF路由协议,为每台运行OSPF路由协议的路由器配置loop back地址,作为四台运行路由协议的router-id。OSPF可以根据不同的传输线路,做流量的负载均衡,同时也可以互为备份。这样,无论任一设备或链路发生故障,用户的网络均可正常使用,保证了网络的高稳定性和高可靠性。
内网所有交换机均支持三层交换。将三层交换、端口控制和访问控制等可放到接入层交换机上实现,核心和汇聚交换机只是进行数据的快速转发,从根本上解决了网络病毒直接攻击核心层和汇聚层交换机的问题。即使发生病毒攻击,只影响接入层交换机,使影响范围控制到最小,防止病毒在网络中传播[4]。
在核心、汇聚、接入设备上设置路由域,使全网的网段信息通过动态路由协议进行管理,能够实现优化的网络路径选择,同时具有路径均衡功能。这样在网络结构发生变化时数据,能够通过其他路径迂回,保证网络的畅通。
为了更有效地对接入用户提供管理和安全控制,根据不同的业务类型,在接入层划分VLAN,实现数据流的分类和汇总,防止广播风暴,优化网络性能。
采用CISCO2821作为医保系统(专线)接入的路由器,在医院局域网访问医保系统时,需要指定特定的路由。同时内部网络要访问医保,还需要经过NAT地址映射。在设置NAT映射时,我们可通过访问控制列表,严格限制内部网络能够访问医保系统的IP地址范围。而且,NAT本身就具有地址伪装的功能,在保护医保系统的同时,也有效地保护了内部网络的安全。
网络出口配置防火墙,有效地屏蔽了Internet对医院内部网络的入侵。利用VPN模块实现可控制的外部远程维护医院内网[3]。
6号楼至10号楼离2号楼新机房距离较远,所以我们保留原有光纤,将其接入7号楼老机房2 台汇聚层交换机Catalyst 4506。6号楼(门诊楼3层)前期购置了Catalyst 3750,由于医生工作站的使用。需要在该楼层增加接入点,我们仍然配置Catalyst 3750,使用背板堆叠方式提供32G的统一背板互联。
外网为二层网络架构,原有的内网单核心港湾BigHammer6805交换机作为外网的核心交换机,原用在内网上的3com交换机全部作为外网的接入层交换机。
医院计算机局域网不仅成为信息应用系统必不可少的基础平台,同时也是提升医院的服务质量和经济效益的有力保障[2]。根据我院的实际情况,在2008年年初成功对医院局域网进行了全面、合理地改造,使整体网络具优秀的可扩展性、实用性、安全性、可靠性和稳定性,解决了原有局域网系统存在的问题,满足了医院信息系统业务种类和业务量的快速增长的需要。
[1] 沈懿明, 索仲良, 朱铁兵. 大型医院信息化网络平台的建设[J]. 上海生物医学工程, 2007, 28(2): 121-123 .
[2] 张鑫, 邵华民, 唐龙凯. 医院网络建设智能化管理的实践[J]. 医疗卫生装备, 2010, 31(03): 98-99 .
[3] 倪晓华. 数字化医院网络系统的规划与探讨[J]. 中国医疗器械信息, 2010, 16(9): 54-57.
[4] 张东湖, 何雨生, 罗京全, 等. 医院三层网络架构分析与设计[J].中国医疗设备, 2008, 23(7): 30-32.