医院网络建设内外网合与分之优化方案

梁富宏，柯金伟，陈玲莉，杨威，薛新军，施毅

（浙江和仁科技股份有限公司）

医院网络建设内外网合与分之优化方案

梁富宏，柯金伟，陈玲莉，杨威，薛新军，施毅

（浙江和仁科技股份有限公司）

通过综合运用综合布线系统、网络交换系统、网络安全系统等网络相关系统主流技术及相关高级特性，在医院网络建设内外网分开和内外网合一的通行做法中，以综合布线系统维护、网络设备投入与维护、信息共享与安全为着眼点，结合多年网络规划、实施经验，提出一种新的思路并对部分实施的关键细节进行论述，在成本、安全、维护等方面取得一个平衡点，据此可以削减部分设备投入，提高医院网络的可维护性，网络安全亦得到保障，同时减轻医院IT人员的工作量。

医院网络；内网；外网；布线系统；网络结构；网络规划；VLAN隔离；安全隔离

1 引言

在医院、政府等领域的网络系统设计中，经常会提到内网、外网、专网等概念，与平时所说的内网、公网、外网等概念有所区别。在教材中，内网一般是指单位内部、园区内部的计算机网络；外网、公网一般指互联网。但对医院、政府等单位的网络系统而言，内网是指单位内部的关键业务网，通常与互联网物理隔离，供内部人员访问单位自身的业务系统；外网是指单位内部的非关键业务网，通常经路由器、防火墙等设备与互联网连接，供内部人员访问互联网使用；专网是指政府内部某些部门的专有网络，比如机要网、设备专用网等。具体定义如下：

1）医院内网，是指承载医院信息化业务应用系统的网络，为HIS、PACS、LIS等医疗业务系统提供基础网络环境，是关键业务网络；

2）医院外网，是指为医院医护人员、患者提供互联网接入服务的网络，是非关键业务网络；

3）内外网合一，是指医院只建设一套网络，承载医院信息化业务应用系统，同时为医护人员、患者提供互联网接入服务；

4）内外网分开，是指医院建设两套网络，一套为内网，用于承载医院信息化业务应用系统；一套为外网，用于为医护人员、患者提供互联网接入服务。

当前的医院网络系统设计，内外网分开和内外网合一都有其存在的理由，业界并无统一意见。

2 医院网络需求

关于医院网络建设需求，经过这么多年的发展、实践，已经比较清晰，这里简单列举几条：

1）医护人员访问互联网;

2）患者及家属访问互联网;

3）承载医院信息化业务应用系统;

4）对接各级医疗保险系统;

5）医院提供网上服务，包括：网上预约；网上挂号；网上查看化验结果；远程医疗；远程办公。

3 合与分优劣分析

3.1 内外网分开

内外网分开，是指医院的内网和外网物理上分开，科室里面的信息点明确标识内网点、外网点；楼层设备间里面的线缆也分开，接入不同的配线机柜或者同一机柜的不同区域，比如靠上是内网区，靠下是外网区；交换机也分为内网交换机和外网交换机；主干光缆也分内网主干和外网主干；核心交换机、路由器、防火墙、服务器等设备也都全部分开。总之是独立的两套系统。其优点有：

1）内网为关键业务网，仅供相关人员接入，管理得好，安全上较有保障；

2）内外网物理分开，即便内网有些漏洞或者配置失误，不易被人利用；

3）外网滥用，对内网不构成威胁。

其缺点有：

1）布线系统维护较为复杂，由于项目建设完成时，布线系统均已按照当时的需求配线、理线完毕，众多线缆已经捆扎、固定。如果后期想将内网点改成外网点或者外网点改成内网点，需要重新跳线到相应的内外网交换机，重新理线，如果手法不专业，久而久之，必将引起配线混乱；布线系统维护需要投入更多的人力物力；

2）终端维护较为困难，虽然现在很多项目，会用不同的颜色标识内网点和外网点，然而对医护人员来说，仍然可能混淆内外网点，从而出现差错；

3）部分科室人员的计算机需要重复投入，内外网各一台；

4）医院部分业务对互联网用户开放是一种趋势，比如网上预约、网上挂号、网上查看检查结果等，这些需要将数据从内网引入外网，采用什么样的技术手段，既能维持内外网分开运行，又能方便地进行数据共享，这需要仔细斟酌；

5）医院一般都是内网点远多于外网点，由于布线系统设计及日后设备采购、维护的需要，内外网设备系列、型号基本一致，势必导致设备利用率低下，比如某些设备间覆盖的外网点只有几个，然而也需要配备独立的主干光纤、交换机等；

6）防火墙、路由器、网络管理软件等部件重复投入；

7）内网为关键业务网，但远程维护等相关管理功能比较难以开展，不利于提高系统维护效率。

3.2 内外网合一

内外网合一，是指医院的内网和外网物理上合为一体，只有独立的一套系统，关键业务系统和非关键业务系统混杂在一起。其优点有：

1）布线系统维护简单，信息点功能改变时只需在交换机上调整，不需改动物理线路；

2）不存在内外网数据共享困难的问题；

3）终端用户面对一张网络，无需区分内外网，避免混淆问题；

4）防火墙、路由器、网络管理系统等关键设备，无需分开投入，成本较低，设备利用率较高；

5）网络设备维护较为方便，特别是远程维护更加容易开展，可以灵活开展多种系统维护工作，提高故障处理效率；

其缺点有：

1）计算机病毒防范要求更高；

2）计算机木马泛滥，需提防对医院业务系统有意/无意的侵害；

3）网络安全需要投入更多精力；

4）业务系统混杂在一起，由于接入互联网的终端可能引入病毒、木马等安全隐患，需要网络管理部门在网络安全方面投入更多，并对业务系统的安全隔离做更加细致的工作；

5）需要大量访问控制列表，而访问控制列表的编写、测试、改动是非常麻烦的事情；

6）外网滥用，可能在安全、性能上对业务系统造成压力。

4 新的架构

我们在多年的医院网络项目建设过程中，接触了很多内外网分开和内外网合一的业主，体会到其中的困惑与忧虑。也尝试提出一些建议，得到部分业主的认同，并加以实施。

我们分析了内外网分开和内外网合一的优劣，考虑到业务系统的应用趋势，对内外网合一的架构做了优化，形成一种新的医院网络架构，为了表述方便，姑且称为Y型架构。

4.1 Y型架构出发点

Y型架构主要基于以下几点进行考虑：

1）解决网络建成后，后续维护造成布线系统混乱的问题；

2）减少网络需求变更对布线系统的改动；

3）减少维护人员的简单重复工作量，将更多精力投入网络应用保障工作；

4）在不考虑电磁辐射等物理层面的安全问题前提下，提高医院业务系统的安全性并减少医院投入；

5）规避物理隔离的概念，解决内外网之间信息共享与安全隔离的矛盾；

6）医护人员的日常业务工作，对互联网依赖性比较小，因此对分布接入层的性能需求较低，不会对内网性能需求产生太多影响；

7）行政办公及后勤人员的日常工作对互联网依赖性相对较大，但该区域的医护人员较少，对内网性能需求较低，综合起来对分布接入层的性能影响不会太大；

8）外网出口一般以10M/100M为主，分摊到全院，各网络主干上的外网数据流不会太大，对千兆/万兆主干网来说，比例很小，不会成为网络拥塞的关键因素；

9）外网依附在内网上，内网是主导。

4.2 Y型架构水平布线

Y型架构的综合布线系统只需一套，从这点来说，类似内外网合一的架构。综合布线系统设计时，按需求进行内外网信息点布点，并分开统计，工作区的点位可以使用可变标签标识内外网，在后续使用过程中，变更量不会太大，内外网信息点进行标识更容易维护。IDF水平布线打线时，内外网分开，但又连成一体，先内网后外网，这样内外网点位集中，方便识别、维护，交换机端口配置比较清晰。

4.3 Y型架构主干布线

Y型架构中，内网是主导，主干布线系统以内网需求为准进行设计，内外网数据合用主干线路。

4.4 Y型架构接入层

Y型架构的接入层交换机内外网合用，以该IDF的内外网信息点合计数量来设计接入交换机数量，并以内网的需求来设计IDF上联端口。

接入层交换机的管理VLAN归入内网，根据内外网信息点跳线的情况，将相应的交换机端口归入各自的内外网VLAN，即通过VLAN号区分内外网。

内外网信息点功能变更时，比如外网点改成内网点或者内网点改成外网点，物理上不需要改动，仅需将该信息点所在交换机端口所属的VLAN号进行相应的变更即可，从而避免内外网分开引发的弊端。

4.5 Y型架构汇聚层

Y型架构的汇聚层交换机内外网合用，通过VLAN号区分内外网，交换机管理VLAN归入内网，以内网的需求来设计汇聚交换机的配置、性能、上联端口和下联端口等。

当内网规模较大，需要做三层汇聚时，仅允许内网VLAN在汇聚交换机终结，外网VLAN号只能从汇聚交换机透传，不允许在此终结。

4.6 Y型架构核心层

Y型架构需要将内外网核心分开，以内网的需求来设计内网核心层的架构、设备性能及配置等，以外网的需求来设计外网核心层的架构、设备性能及配置等。

为了解决内外网信息共享问题，需要在核心层考虑信息共享的方式及技术，据此调整内外网核心层设备的清单、配置，比如外网VLAN号需要从内网核心交换机透传到外网核心交换机，必然导致内外网核心交换机之间需要互连，而需要增加相应的模块、端口、线缆等。

核心层的关键点在于分离并终结内外网的VLAN。内网核心交换机允许内网VLAN终结，而仅允许外网VLAN透传，不允许外网VLAN终结。内网核心交换机与外网核心交换机互连的端口，仅允许外网VLAN通过。外网核心交换机仅允许外网VLAN进入并终结。

4.7 Y型架构IP规划

Y型架构的IP规划，需要做两套，一套内网，一套外网，从这个层面讲，类似于内外网分开的架构。内外网的IP规划，参照内外网分开的架构，各自按自己的需求进行。需要注意的是：内网IP规划，覆盖接入层、汇聚层、核心层设备；而外网IP规划仅限于核心层，汇聚层、接入层仅为外网数据提供二层通道。

从OSI七层模型上看，内外网仅在物理层合并，数据链路层及以上均隔离，内外网不能直接通信。

5 实践细节

为了方便大家更加深入地理解Y型架构，并对它的可操作性有所了解，下面将从布线、设备、规划几方面介绍一下。

5.1 布线系统

1）布线系统设计时，按照内外网需求分别布点、统计，并以IDF为单位合计；

2）以IDF为单位，计算配线架、理线架、模块等布线产品的数量；

3）以内网的拓扑结构，设计主干布线系统；

4）建设时内外网分区连续打线；

5）建设时内外网分区连续跳线。

5.2 网络设备

1）以IDF合计的点位表，计算接入层交换机的数量及附件；

2）以内网的拓扑结构，设计接入层、汇聚层；

3）按照内网的需求，设计内网核心交换机、防火墙、路由器等内网核心设备，注意：接入层、汇聚层接入内网核心交换机；

4）按照外网的需求，设计外网核心交换机、防火墙、路由器等外网核心设备，注意：接入层、汇聚层与外网核心交换机不能直接连接；

5）内网核心交换机与外网核心交换机需要互连，据此调整内外网核心交换机的端口、模块配置等；

6）根据内外网信息共享的需求，设计调整内外网防火墙、路由器的互连功能及相应的端口、模块配置。

核心层设备连接示意图如图1所示。

5.3 网络规划

1）网络规划以内网为主导，包括管理VLAN等，外网依附于内网；

2）按照内网的拓扑结构、需求进行规划，包括接入层、汇聚层、核心层、防火墙、路由器等；

图1 Y型架构核心层设备互联示意图

3）按照外网的需求进行规划，包括核心层、防火墙、路由器等。

5.3.1 VLAN隔离

1）关键是不能通过外网对接入交换机、汇聚交换机、内网设备进行配置；

2）外网能控制的设备，仅为外网核心交换机、防火墙、路由器等；

3）外网即使知道内网规划，仍不能通过操作交换机进入内网；

4）外网核心交换机即使创建内网VLAN及内网VLAN路由接口，仍不能进入内网；

5）接入层、汇聚层交换机管理VLAN号采用1以外的VLAN ID，避免使用默认管理VLAN ID，导致外网窜入；

6）内外网VLAN ID不能重叠，并在内外网核心交换机互连端口上，严格限定透传到外网核心交换机的VLAN ID；

7）内外网VLAN隔离的控制权在内网，因此需要做好内网设备管理权的约束：内网VLAN不能透传到外网核心；外网VLAN不能在接入、汇聚、内网核心上终结。

内外网VLAN隔离示意图如图2所示。

5.3.2 信息共享

内外网信息共享可选方式和技术比较多，不同的安全需求有不同的做法，这里仅列举常规的做法，以投入不多、维护简便、技术常见为目标：

1）外网只能通过防火墙、路由器接入内网的防火墙、路由器；

2）内网防火墙、路由器把外网归入非信任区，内网访问外网须经NAT；

3）外网访问内网，需要内网将相应服务端口映射出来，不能直接路由访问；

4）严格控制内网可以访问的外网资源，做NAT时严格限定源地址和目的地址、目的端口；

5）位于内网的网管系统，通过NAT访问外网设备；

图2 Y型架构内外网VLAN隔离示意图

6）外网设备通过端口映射使用内网网管服务，如认证服务、记账服务、traps服务等；

7）外网配备VPN服务器，远程管理员拨入VPN服务器，以VPN服务器为跳板，作为外网的一员访问内网；

8）VPN服务器仅将本地桌面共享给远程管理员，远程管理员的任何操作，本地用户均可通过显示器监视。

内外网信息共享示意图如图3所示。

6 结束语

网络安全是个系统工程，网络建设的需求多种多样，可选的构建手段也非常丰富，本文不能面面俱到，仅围绕常规的内外网分开和内外网合一两种架构所面临的一些困惑与隐患，而提出自己的优化思路，为医院网络建设多提供一种可选方案。

The Optimization Project of Separate and Combined Internal and External Network in Hospital Network Construction

LIANG Fu-hong, KE Jin-wei, CHEN Ling-li, YANG Wei, XUE Xin-jun, SHI Yi
（Zhejiang Heren Technology Inc.）

Through integrated use of integrated wiring system, network switching system and network security system’s mainstream technology and related advanced features, separate and combined internal and external networks in the construction of the hospital network as the common practice, focus on the integrated wiring system maintenance and network equipment investment and maintenance, information sharing and security, combined with years of network planning and implementation experience, propose a new idea and discuss partially implemented key details, get the balance between cost, security and maintenance, in order to reduce some of the equipment investment,improve the maintainability of the hospital network and guarantee the network security, meanwhile reduce the workload of hospital IT staff.

hospital network; internal network; external network; wiring system; network construction; network planning; VLAN isolation;security isolation

10.13655/j.cnki.ibci.2015.07.018

图3 Y型架构内外网信息共享示意图