職工總醫院網絡平臺升級改造方案

2012-03-27 06:56:22董靖超

電腦與電信 2012年6期

董靖超

（銅陵有色銅冠信息公司，安徽銅陵244000）

1.方案背景

職工總院計算機網絡建設起步較早，網絡平臺建設于2000年，當時網絡是簡單局域網，網絡平臺為10/100Mbps快速以太網，與集團網絡直連，為集團網絡延伸，主要應用為醫療保險；在2004年對辦公大樓進行過一次整體結構化布線，采用多模光纖作為建筑物間通信介質，連通院內各建筑，主干速率為100Mbps。應用除醫療保險外，還建立了一個醫院管理應用系統局域網，運行醫院信息管理系統（HIS），該局域網與集團網絡不能互相訪問，HIS客戶端能通過代理服務器訪問集團醫療統籌數據庫。網絡拓撲如圖1。

限制于建設資金，醫院管理網絡的中心交換機為一臺不可管理的二層交換機，其余為低檔交換機或集線器等，且未購置硬件防火墻，無法完好地保證網絡安全。隨著時間推移，網絡規模不斷增大，聯網計算機已達200臺左右，并且組建都在一個廣播域內，網絡可使用資源少，網速很慢，嚴重影響各應用系統正常使用；而醫院主業務系統HIS系統所在網絡主交換也是一臺二層交換機，并且HIS群集服務器都接在這臺主交換機上，如果交換機宕機，將影響整個醫院的業務運行。

職工總院的網絡現狀目前已經不能滿足醫院的正常管理、醫療業務及辦公應用。通過這次方案改造升級，實現以下4個目標：

(1)覆蓋職工醫院新大樓所有信息點，包括管理網絡、HIS網絡。

(2)建立一個高性能可管理的網絡，能夠提供足夠的帶寬，主干千兆，百兆交換到桌面，有足夠的帶寬保證信息系統應用，建立全數字化流程醫院。

(3)有完整的網絡安全及數據安全策略，確保整個計算機網絡的可靠性、安全性。

(4)重新構架HIS網絡，雙主交換實現冗余工作。

2.網絡平臺建設原則

(1)功能性：網絡首先應能滿足職工總醫院各種應用的需求。

(2)安全性：必須確保選擇良好的網絡設備、增加防火墻與防病毒措施、采用必要的冗余。

(3)先進性：設計目標決定了系統必須采用先進的方法和設備。既要反映當今水平，又要具有發展的潛力。

(4)實用性：為節省投資，網絡性能不需要太高；在保證應用的前提下，充分利用原有的軟件、硬件資源，減少投資浪費，做的高性能價格比。

(5)擴展性：隨著業務的增長和應用水平的提高，網絡中的數據和信息流將按指數增長，需要網絡有很好的可擴展性，并能隨著技術的發展不斷升級。

(6)可管理性：本系統建成后，應具有良好的可管理性。計算機網絡的管理相對復雜，網絡是本系統得以正常運行的基礎，必須要有切實可行的管理措施，來保證網絡系統高效、可靠、安全地運行。

(7)可靠性：方案在設計過程中要采取有效的措施來保證系統的可靠性，包括提高系統的冗余能力，增加關鍵設備的容錯性等。

(8)高效率性：系統性能是系統集成中最重要因素。系統性能應包括以下幾個方面：系統的實時響應和控制能力；網絡服務器在線事務處理的能力；網絡的吞吐能力；通信的傳輸速率和帶寬。

3.網絡平臺建設內容

3.1 計算機網絡平臺總體結構

職工總院網絡將主要采用千兆以太網技術，對內連接各大樓，對外連接互聯網，分為三層：管理網、互聯網和業務網，管理網和互聯網之間有防火墻，管理網與業務網之間有防火墻。網絡結構如圖2所示。

圖2 職工總院計算機網絡及安全系統總體結構圖

這種網絡結構明晰，容易維護。管理網提供代理服務、郵件服務、門戶（OA）網站、數據庫服務以及防病毒、網絡管理等服務功能。業務網提供HIS系統服務功能。

管理網將主要采用快速以太網技術，網絡設備分為兩層：核心層和接入層，核心層交換機為多層交換，接入層為二層交換機，整個主干設計為千兆。網絡拓撲如圖3。

考慮到網絡主干重要性，中心交換機將采用冗余交換引擎冗余業務板配置方案，通過合理配置保證了整個網絡具有極高的安全可靠性及不間斷運行，以確保醫院內業務及管理需要。考慮到滿足辦公樓內約4臺交換機和醫院內10余節點接入要求，中心交換機應具備至少24端口100/1000M接入端口。大節點使用分布層交換機，支持網絡管理和VLAN以及端口隔離或PVLAN等技術。接入交換機根據接入數量需求確定，要求支持網絡管理和VLAN以及端口隔離或PVLAN等技術。

圖3 管理網拓撲圖

3.2 雙核心主交換機實現HIS業務網的冗余性能

醫院業務系統要求的超高穩定性及24小時不間斷提供服務的特殊性，排除故障時間要求短，對網絡配置提出了更高的任務需求，我們采用VRRP+MSTP技術來實現。

VRRP是一種容錯協議，它保證當主機的下一跳路由器失效時，可以及時地由另一臺路由器來代替，從而保證通訊的連續性和可靠性，提供了動態的故障轉移機制。為了使VRRP工作，要在路由器上配置虛擬路由器號和虛擬IP地址。一個虛擬路由器由一個主路由器和若干個備份路由器組成，主路由器實現真正的轉發功能，當主路由器出現故障時，一個備份路由器將成為新的主路由器，接替它的工作。局域網內的主機僅僅知道這個虛擬路由器的IP地址，而并不知道具體的路由器地址，就通過虛擬路由器來與其他網絡進行通訊。

配套VRRP，避免產生環路且提高鏈路使用率，結合使用MSTP技術。多生成樹（MST）使用修正的快速生成樹（RSTP）協議，叫做多生成樹協議（MSTP）。MSTP將環路網絡修剪成為一個無環的樹型網絡，避免報文在環路網絡中的增生和無限循環，同時還提供了數據轉發的多個冗余路徑，在數據轉發過程中實現VLAN數據的負載均衡。MSTP兼容STP和RSTP，并且可以彌補STP和RSTP的缺陷。它既可以快速收斂，也能使不同VLAN的流量沿各自的路徑分發，從而為冗余鏈路提供了更好的負載分擔機制。

3.3 設備選型

3.3.1 中心交換機選型

為保證總院網絡可靠運行，中心交換機選擇H3C S7506E交換機。該交換機所有關鍵單元均支持熱備份或者多對負載分擔備份，可以構筑理想的核心交換平臺。支持全光口模塊，可以方便地實施遠程千兆匯聚。支持全線速轉發，最大交換容量768G，最大包轉發速率432Mpps，系統提供8個槽位，其中2個交換路由處理板槽位（冗余），6個業務板槽位。支持單板熱插拔，并可以支持STP/RSTP/MSTP/VRRP等協議實現鏈路冗余。

3.3.2 節點交換機選型

為與H3C S7506E無隙聯接，節點交換機選擇H3C S3600-28TP-SI，包轉發速率9.6Mpps，支持L2（Layer 2）～L4（Layer 4）包過濾功能，提供基于源MAC地址、目的MAC（Medium Access Control）地址、源IP地址、目的IP地址、端口、協議、VLAN（Virtual Local Area Network）、VLAN范圍、MAC地址范圍和非法幀過濾。

3.3.3 接入交換機選型

接入交換機選擇H3CS3100-SI系列。S3100-26C-SI交換機內部提供19.2Gbps的總線帶寬，為交換機所有的端口提供二層線速交換能力，包轉發率達到6.55Mpps。S3100-26C-SI交換機支持802.1x認證，還可以做認證Server，在用戶接入網絡時完成必要的身份認證，同時動態的配置VLAN，有效的控制用戶訪問網絡資源。

3.3.4 防火墻

防火墻采用東軟NETEYEF100A。該產品采用具有強大處理能力的先進硬件平臺，集成了一流的狀態檢測防火墻、VPN和DOS防護解決方案，具備卓越的性能和穩定性。職工總院防火墻一個部署在業務網與管理網接口鏈路上，一個部署在互聯網出口上。

3.4 IP規劃

整個網絡使用IP協議通訊，業務網IP地址使用192.X.193.Y/24和192.X.194.Y/24兩個網段，劃分多個VLAN。管理網使用172.X.0.Y/24段，劃分四個VLAN，超過分配范圍可考慮添加172.30.1.Y/24網段補充使用。HIS服務器使用原有網段，為192.X.192.Y/24段。如圖4（為了保證安全，對一些關鍵地址用X、Y等字母表示）。