淺談醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)升級改造方案

毛瑋

摘? 要： 簡要介紹了福建醫(yī)科大學(xué)附屬口腔醫(yī)院信息化發(fā)展情況，對醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)現(xiàn)狀進行了分析。針對目前業(yè)務(wù)網(wǎng)絡(luò)存在的問題，提出了網(wǎng)絡(luò)升級改造的方案。對核心交換機和接入層交換機以及涉及到的核心交換區(qū)、服務(wù)器匯聚區(qū)、接入交換區(qū)、出口邊界等進行了升級改造，使醫(yī)院網(wǎng)絡(luò)實現(xiàn)三層結(jié)構(gòu)，提高數(shù)據(jù)傳輸效率，進一步加強網(wǎng)絡(luò)安全。網(wǎng)絡(luò)改造后經(jīng)測試，網(wǎng)速有了很大的提升，業(yè)務(wù)系統(tǒng)運行流暢，醫(yī)護人員反應(yīng)良好，達到了預(yù)期的效果。

關(guān)鍵詞： 醫(yī)院網(wǎng)絡(luò); 網(wǎng)絡(luò)升級; 網(wǎng)絡(luò)改造; 醫(yī)院信息化

中圖分類號：TP393.1? ? ? ? ? 文獻標志碼：A? ? ?文章編號：1006-8228（2019）05-105-04

Abstract： This paper briefly introduces the development of information technology in stomatological hospital of Fujian Medical University， analyses the present situation of the hospital business network， aiming at the problems existing in the current business network， puts forward the scheme of upgrading and transforming the network. By upgrading the core switch and access layer switch， and the involved core switch area， server convergence area， access layer switch area and the export boundary， the hospital network realizes a three-tier structure， which improves the data transmission efficiency and further strengthens the network security. After upgrading the network， the network speed has been greatly improved， the business system runs smoothly， and the medical staff has responded well， which has achieved the desired results.

Key words： hospital network; network upgrade; network reconstruction; hospital informatization

0 引言

福建醫(yī)科大學(xué)附屬口腔醫(yī)院于1984年成立，現(xiàn)已是一所口腔?？迫壖椎柔t(yī)院。醫(yī)院信息科于2008年成立，于2009年建立全院網(wǎng)絡(luò)系統(tǒng)。經(jīng)過數(shù)年的建設(shè)，醫(yī)院已上線了HIS，LIS，PACS，RIS，OA等20多個信息系統(tǒng)。隨著醫(yī)院不斷的發(fā)展，系統(tǒng)不斷的增多，醫(yī)院網(wǎng)絡(luò)壓力明顯增加，近年來，我院先后在臺江區(qū)交通路、晉江市、連江縣、以及仁德路開設(shè)了分門診部，分門診部與院本部實現(xiàn)信息一體化管理。分門診部的增多使信息點數(shù)量不斷增加，數(shù)據(jù)在分門診與院本部之間交互使得數(shù)據(jù)量明顯增大，影響了數(shù)據(jù)傳輸效率，分門診部與本部的網(wǎng)絡(luò)連接在安全性方面也面臨著壓力。院本部的醫(yī)生也反映，業(yè)務(wù)系統(tǒng)在使用的時候，流暢度下降，特別在查閱病人的影像數(shù)據(jù)時，因數(shù)據(jù)量較大，往往要花較長時間才能打開?？紤]以上因素，結(jié)合新時期對醫(yī)院三級等保建設(shè)的要求，經(jīng)過集體討論，擬對我院業(yè)務(wù)網(wǎng)絡(luò)進行升級改造，以提高我院信息化建設(shè)的基礎(chǔ)設(shè)施保障，進而為更好地推動數(shù)字化醫(yī)院建設(shè)打下堅實基礎(chǔ)，達到信息化建設(shè)服務(wù)臨床、信息化推動醫(yī)院發(fā)展、信息化更好地服務(wù)病人的目標。

1 業(yè)務(wù)網(wǎng)絡(luò)現(xiàn)狀

如圖1所示，我院原有網(wǎng)絡(luò)的核心交換區(qū)由二臺思科4506構(gòu)成，二臺核心之間做了冗余設(shè)計，門診樓1至7層每層的弱電間至機房的核心交換機之間各鋪設(shè)二條6類網(wǎng)絡(luò)線。每層弱電間的交換機各由二臺24口的思科2960組成。在這種網(wǎng)絡(luò)架構(gòu)下，主干網(wǎng)絡(luò)數(shù)據(jù)為千兆，而終端電腦速率為百兆。對于和分門診部的連接，我們采用租用運營商的MSTP電路模式，在每個分門診部各放置一臺交換機，連接到院本部的一臺思科2960交換機上。通過一臺防火墻實現(xiàn)到政務(wù)網(wǎng)及醫(yī)保網(wǎng)的出口。而服務(wù)器直接通過6類線連接到核心交換機上。隨著醫(yī)院規(guī)模不斷擴大，業(yè)務(wù)系統(tǒng)不斷地增多，數(shù)據(jù)流量轉(zhuǎn)發(fā)頻繁，加之網(wǎng)絡(luò)安全形勢日趨嚴峻，我院原有網(wǎng)絡(luò)架構(gòu)過于簡單，已不能適應(yīng)信息化醫(yī)院發(fā)展的要求。

2 存在的問題

2.1 網(wǎng)絡(luò)架構(gòu)過于簡單

網(wǎng)絡(luò)架構(gòu)模式只有核心層和接入層，主干采用VRRP+MSTP組網(wǎng)方式，網(wǎng)絡(luò)收斂容易造成網(wǎng)絡(luò)丟包。網(wǎng)絡(luò)廣播域大，原有網(wǎng)絡(luò)采用大二層的網(wǎng)絡(luò)架構(gòu)，整個網(wǎng)絡(luò)都在一個廣播域里面，某個節(jié)點出現(xiàn)網(wǎng)絡(luò)風(fēng)暴容易導(dǎo)致全網(wǎng)癱瘓。在醫(yī)院信息化剛起步的時候，由于用戶數(shù)量少，感覺不到對網(wǎng)絡(luò)的影響，但是經(jīng)過幾年的發(fā)展，加之幾個分門診部的設(shè)立，現(xiàn)在醫(yī)院的信息點數(shù)量已經(jīng)大量增多，終端所產(chǎn)生的數(shù)據(jù)使得核心交換機的壓力變得非常大，由于口腔醫(yī)療的特殊性，醫(yī)生需要建立病人的完整檔案，包括現(xiàn)場拍攝的病人照片需要導(dǎo)入醫(yī)生的電腦，這就面臨著使電腦中毒的可能性，而一旦病毒在業(yè)務(wù)網(wǎng)絡(luò)內(nèi)傳播，極有可能攻擊核心交換機，使核心交換機陷入癱瘓，從而使我院所有信息業(yè)務(wù)系統(tǒng)停擺。

2.2 網(wǎng)絡(luò)沒有區(qū)域訪問限制

沒有劃分服務(wù)器連接區(qū)域，每臺服務(wù)器都直接連接到核心交換機上，由于之前業(yè)務(wù)系統(tǒng)較為單一，主要為收費系統(tǒng)和看片系統(tǒng)，現(xiàn)在隨著系統(tǒng)逐漸增多，有20多臺服務(wù)器直接連接到核心交換機上，給核心交換機帶來了更大的壓力，并且由于功能劃分不清，服務(wù)器的數(shù)據(jù)交換直接在核心交換機上進行，帶來了不安全因素。

2.3 交換機使用多年存在故障隱患

核心交換機以及各樓層交換機是于2009年所購，使用多年，存在故障風(fēng)險。已經(jīng)出現(xiàn)有部分交換機的網(wǎng)絡(luò)口因故障無法使用的現(xiàn)象。如出現(xiàn)整臺交換機故障，將給我院業(yè)務(wù)系統(tǒng)帶來很大影響。并且因過保多年，維修費用較高，修理周期較長，這些不穩(wěn)定因素給醫(yī)院網(wǎng)絡(luò)穩(wěn)定運行增加了風(fēng)險[2]。

2.4 出口邊界安全性不夠

與各分門診部之間的連接，因為租用的是運營商的MSTP數(shù)字電路，因此，在出口邊界必須加強安全措施，應(yīng)架設(shè)防火墻，設(shè)置相應(yīng)的安全策略。對于連接醫(yī)保和政務(wù)網(wǎng)的出口，應(yīng)該分為二個防火墻，以防單臺防火墻故障而導(dǎo)致醫(yī)保和政務(wù)業(yè)務(wù)同時中斷。

2.5 主干網(wǎng)絡(luò)帶寬不足

主干網(wǎng)絡(luò)僅使用千兆電口互聯(lián)，影響醫(yī)院業(yè)務(wù)系統(tǒng)運行，特別是影像調(diào)閱速度尤其明顯。綜合樓及放射科未鋪設(shè)光纖，綜合樓到門診大樓的中心機房之間，仍然統(tǒng)一采用6類網(wǎng)線布線，而之間的距離過遠，且有一段線路已暴露于地表，日曬雨淋。綜合樓醫(yī)生反映，業(yè)務(wù)系統(tǒng)打開速度很慢。放射科所拍影像需要上傳到位于中心機房的服務(wù)器上，初期，只有二臺放射設(shè)備，近年來，放射科設(shè)備逐漸增多，僅CT機器就有3臺，而一張CT片達到一個G容量，上傳速度嚴重影響運行效率，無法解決病人排隊時間過長問題。

3 網(wǎng)絡(luò)升級改造方案

3.1 總體目標

本著信息化為醫(yī)院管理決策提供輔助作用，信息化為臨床一線服務(wù)，信息化為病人服務(wù)的理念，結(jié)合醫(yī)院的當前情況，以及未來數(shù)字化口腔醫(yī)院發(fā)展的需要，我們決定對我院的業(yè)務(wù)網(wǎng)絡(luò)進行升級改造，打造一個穩(wěn)定、高效、安全、可擴展、易管理的網(wǎng)絡(luò)基礎(chǔ)環(huán)境[1]。

3.2 具體方案

根據(jù)設(shè)定的總體目標，我們統(tǒng)籌規(guī)劃，在原有的網(wǎng)絡(luò)基礎(chǔ)上進行拓展，新增二臺高性能核心交換機替代使用多年的二臺思科4506E交換機，且這二臺核心交換機配置防火墻模塊。新增二臺交換機作為服務(wù)器區(qū)域數(shù)據(jù)交換使用。使用具有萬兆級聯(lián)口的接入層交換機替換掉各樓層的原有2960系列交換機。服務(wù)器接入層、骨干核心層、網(wǎng)絡(luò)接入層的主干采用OSPF三層互聯(lián)消除二層網(wǎng)絡(luò)影響。

3.2.1 核心交換區(qū)改造

網(wǎng)絡(luò)架構(gòu)是醫(yī)院業(yè)務(wù)系統(tǒng)的基礎(chǔ)，而核心交換是醫(yī)院網(wǎng)絡(luò)的關(guān)鍵。核心交換機是數(shù)據(jù)中轉(zhuǎn)的樞紐，核心交換機的性能直接決定了一個網(wǎng)絡(luò)是否穩(wěn)定、高效。因此，核心交換機要求具有很高的交換容量以及快速包轉(zhuǎn)發(fā)率[3]。本次我們采用了二臺H3C的S7506E作為核心交換機。S7506E交換容量達到了15Tbps，包轉(zhuǎn)發(fā)率達到了2880Mpps。配置具有IRFF彈性虛擬化功能，實現(xiàn)兩臺核心設(shè)備虛擬為一臺設(shè)備，所有的控制，轉(zhuǎn)發(fā)統(tǒng)一進行，同時避免二層的生成樹，三層的VRRP[6]。配置一塊48個千兆電口模塊卡用于機房內(nèi)部網(wǎng)絡(luò)的連接，配置一塊16口萬兆模塊卡和12個萬兆SFP+多模模塊用于實現(xiàn)主干網(wǎng)絡(luò)連接。在二臺核心交換機上配置防火墻板卡，實現(xiàn)對全網(wǎng)網(wǎng)絡(luò)進行區(qū)域之間的訪問控制限制。

3.2.2 服務(wù)器匯聚區(qū)改造

原有網(wǎng)絡(luò)中，服務(wù)器直接連接到核心交換機上，不利于數(shù)據(jù)安全管理。新方案中，新增二臺交換機實現(xiàn)IRF彈性網(wǎng)絡(luò)虛擬化用于服務(wù)器的接入，新增的交換機通過萬兆光模塊連接到二臺核心交換機上。通過核心交換機上的防火墻模塊對服務(wù)器區(qū)域進行權(quán)限訪問控制，達到安全隔離的目的。

3.2.3 接入層改造

原有樓層交換機為思科的2960，使用多年，已經(jīng)出現(xiàn)許多端口故障。本次新增九臺接入層交換機，替換原有1至8層以及綜合樓的交換機。選用的H3C S5130交換容量達到256Gbps，包轉(zhuǎn)發(fā)性能大于96Mpps，每臺交換機具有48個千兆電口，以及四個萬兆SFP+口，其配置的SFP+網(wǎng)絡(luò)虛擬化模塊可支持虛擬化堆疊技術(shù)，使多臺接入層交換機虛擬成為一臺邏輯設(shè)備，達到簡化管理的目的。[5] 接入層交換機利用新鋪設(shè)的光纖替代原有的6類網(wǎng)絡(luò)線，通過萬兆級聯(lián)口連接到核心交換機的萬兆端口，從而實現(xiàn)主干萬兆，千兆到桌面。綜合樓因與中心機房樓距較遠、放射科因數(shù)據(jù)交換量大，均單獨鋪設(shè)光纖直接到中心機房。

3.2.4 出口邊界改造

新增二臺防火墻，其中一臺用于將原來連接政務(wù)網(wǎng)和醫(yī)保網(wǎng)所共用的防火墻拆分開來。以防止單臺設(shè)備故障導(dǎo)致政務(wù)網(wǎng)和醫(yī)保網(wǎng)同時掉線。再設(shè)置不同的安全策略以達到訪問政務(wù)網(wǎng)和醫(yī)保網(wǎng)的目的。對于分門診部的出口處，架設(shè)一臺防火墻，用來增強分門診部和院本部數(shù)據(jù)交互的安全性。

4 達到的效果

部署完后的示意圖如圖2，按照新設(shè)計的方案部署實施完畢后，我們對實際效果進行了測試：在每個樓層隨機挑選幾臺電腦，所挑選的幾臺電腦是不同的操作系統(tǒng)，處于不同的診室。將事先挑選好的大容量文件拷貝到服務(wù)器，以及從服務(wù)器上拷貝該文件，經(jīng)測試，平均速率基本在120MB/s，達到了千兆到桌面的要求。當進行多臺設(shè)備同時拷貝的時候，其速率基本不受影響。放射科以及綜合樓的醫(yī)生反應(yīng)，打開系統(tǒng)以及閱片的體驗明顯有了提高。在通往分門診部的網(wǎng)絡(luò)出口架設(shè)的防火墻，經(jīng)過策略設(shè)置，成功實現(xiàn)了非允許訪問的限制，提高了安全等級。

5 結(jié)束語

醫(yī)院對于信息化的依賴越來越明顯，醫(yī)院信息化的程度影響著醫(yī)院的業(yè)務(wù)流轉(zhuǎn)以及病人的看病體驗。而一個穩(wěn)定、高效、安全的網(wǎng)絡(luò)架構(gòu)為醫(yī)院信息化的發(fā)展奠定了堅實的根基[4]。萬兆主干，千兆到桌面的模式已成為新時期適應(yīng)醫(yī)院信息化建設(shè)所需的關(guān)鍵平臺。今后，醫(yī)院還需根據(jù)互聯(lián)網(wǎng)醫(yī)院、數(shù)字化醫(yī)院建設(shè)的新要求，在對原有網(wǎng)絡(luò)進行升級改造的時候，考慮得更為全面。網(wǎng)絡(luò)的層次劃分，要考慮到核心、匯聚、交換三層結(jié)構(gòu)，從網(wǎng)絡(luò)安全角度考慮，要設(shè)業(yè)務(wù)網(wǎng)絡(luò)區(qū)、行政辦公網(wǎng)區(qū)、服務(wù)器區(qū)、內(nèi)外網(wǎng)交互區(qū)、無線網(wǎng)絡(luò)區(qū)、測試區(qū)等。還要根據(jù)不同的需求，增設(shè)防火墻等安全設(shè)備，進行數(shù)據(jù)流量的嚴格控制。通過本次升級改造，口腔醫(yī)院成功實現(xiàn)了業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)三層體系架構(gòu)，消除了二層廣播風(fēng)暴，極大的提高了應(yīng)用系統(tǒng)的訪問速度，通過區(qū)域訪問限制，提高了數(shù)據(jù)安全性，達到了預(yù)期的效果，保障了醫(yī)院業(yè)務(wù)系統(tǒng)安全、穩(wěn)定的運行，也為今后進一步的網(wǎng)絡(luò)功能細分搭好了一個框架，提供了一個基礎(chǔ)，為更好地實現(xiàn)數(shù)字化醫(yī)院創(chuàng)造了一個良好的開端。

參考文獻（References）：

[1] 劉海林.基于三層架構(gòu)的醫(yī)院網(wǎng)絡(luò)改造與實施方案[J].中國醫(yī)學(xué)教育技術(shù)，2012.26（4）：451-453

[2] 鄒玉蓉.我院網(wǎng)絡(luò)系統(tǒng)的改造與實現(xiàn)[J].醫(yī)院數(shù)字化，2010.25（9）：30-36

[3] 宋磊.醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)架構(gòu)規(guī)劃與設(shè)計[J].醫(yī)學(xué)信息學(xué)雜志，2014，35（11）：17-21

[4] 徐瑤.淺談醫(yī)院網(wǎng)絡(luò)基礎(chǔ)架構(gòu)與維護[J].通信設(shè)計與應(yīng)用，2017.7：6-7

[5] 黃晟，何毅.醫(yī)院智能化網(wǎng)絡(luò)建設(shè)探討[J].自動化應(yīng)用，2018.8：72-75

[6] 楊霜英，徐旭東等.大型醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)改造研究[J].中國醫(yī)療裝備，2010.25（1）：29-35