我院的網絡升級改造

朱超，緱文海，王福義，邵耀來

解放軍第五十九中心醫院 信息科，云南 開遠 661600

0 前言

我院是成都軍區的一所中心級醫院，也是滇南地區唯一的一所三級甲等醫院。我院網絡建成后，于2006年實施上線圖片存檔及通信系統（PACS）前進行過一次升級，主干為千兆光纜，接入端為百兆雙絞線；硬件設備包括核心交換機1臺，匯聚層交換機4臺，接入層交換機12臺。近幾年醫院發展較快，業務量增加，加之檢查科室不斷引入新的檢查設備，對局部和全院網絡造成不小的壓力；同時醫院信息化進程加快，目前上線信息系統18個，配有服務器15臺，客戶端增加至500余臺，醫療數據急劇膨脹[1]，對醫院網絡的要求也不斷提高。全院形成4個獨立的網絡：衛星網、文獻網、辦公網和內部局域網，互不相連、使用困難，導致辦公自動化系統無法在全院鋪開。現有設備使用將近5年，硬件老化嚴重，系統運行4年后設備損壞頻率開始大幅增長，嚴重影響醫院網絡的正常運行。因此，2011年醫院信息科對醫院網絡進行了第二次升級改造。

1 升級改造原則及目標

此次網絡結構升級改造，是根據醫院現有規模、所屬性質、經營狀況、建筑布局、信息化程度等綜合情況[2]進行的。為滿足醫院目前及未來網絡應用需要，借鑒國內外醫院網絡改造升級先進經驗，拓展醫院網絡連通范圍，加強醫院網絡管理功能，提高醫院網絡承載能力、可擴容性和安全性。

2 VLAN細化

醫院升級前的虛擬局域網（VLAN）大體是以建筑功能劃分為4個：內科、外科、醫技科、感染科。當時全院客戶端近300臺，應用也不多，VLAN尚可以保證醫院網絡的高效安全運行。但是隨著客戶端不斷增加以及全院4個VLAN的連通，粗范的VLAN劃分造成了巨大的廣播區域，同時無法提供更細化的VLAN或網絡節點訪問控制，不可避免地帶來了性能安全上的問題。VLAN細化到科室級是一種有效的解決辦法。VLAN細化切換過程必須保證絕大多數客戶端能正常訪問服務器[3]，我院通過手工設置交換機網關路由實現[4]。此種方式只需要在交換機上做適當設置，而不需要更改終端的網絡設置，簡單快捷。

3 交換機集群構建及主要鏈路升級

以醫院核心層為單點，配置1臺思科4506a交換機；匯聚層通過千兆光纖連接至核心交換機。截止2012年，核心交換機已經無故障不間斷運行4年時間，思科4506交換機的壽命應該在10年左右，安全運行時間在6～8年，未來的4年內設備的老化將會不斷降低核心交換機的穩定度。考慮到醫院的核心層為單點，一旦出現問題，全院信息系統將會癱瘓，有必要再添置1臺思科4506b交換機，與原有4506a交換機組成集群，以提高全院網絡的安全度和性能。確定集群方案前，首先必須確定醫院要用來構建集群的交換機及其IOS Software是否支持群集，若支持集群，是支持命令交換機還是支持成員交換機。確認方法是在交換機CLI中輸入show version，將所得的交換機及其IOS Software情況和官網指南對照，如我院的4506a的IOS Software版本為12.2(18)EW3，而官網指南中4506交換機支持集群的最低IOS Software版本為12.2(20)EWA。因此，我院構建集群前必須對核心交換機的IOS Software進行升級。啟用4506b交換機的CDP功能，在4506b交換機上啟用集群功能并創建集群，以4506b機為集群命令交換機（命令交換機通過CDP功能自動發現網絡中的集群候選交換機）用于集群的維護管理。為了防止4506b交換機出現宕機時群集崩潰，需要建立一個備用組并設置好虛擬IP，這個備用組類似于服務器集群的雙機熱備。成員交換機共用一個虛擬IP，同一時間只有一臺成員交換機成為命令交換機，另一臺交換機處于待命狀態，命令交換機出現宕機時，待機成員交換機將會自動接替成為命令交換機，保證交換機集群正常。

將4506a和4506b作為組成員加入組中并設置4506b的優先級高于4506a，這樣4506b成為主命令交換機，4506a成為備用成員交換機。集群構建完成后的醫院內網拓撲圖，見圖1。

圖1 集群構建完成后的醫院內網拓撲圖

醫院主干鏈路和數據量大的鏈路升級為EtherChannel（端口匯聚），實現多路徑負載均衡。醫院主干網主要是匯聚層和核心層的trunk連接鏈路，數據量大的鏈路主要是指醫技大樓交換機的trunk連接鏈路。物理上通過雙光纖或雙絞線連接匯聚層交換機和和核心交換機，連接醫技大樓接入層交換機和匯聚層交換機。軟件上利用交換機的EtherChannel功能建立鏈路組，形成雙倍帶寬，并提高連接安全性。

4 網絡互連及安全防范

衛星網、文獻網、辦公網和內部局域網功能各不相同。內網不允許使用移動存儲，文獻網允許使用移動存儲設備，衛星網和辦公網則存有機密信息，這4個網絡的相連不可避免地存在著病毒木馬感染和泄密等安全隱患。同時，醫院即將實現的醫保農合接口需要醫保農合外網連接醫院內網，這也在一定程度上提高了對網絡安全的要求。物理連接完成后的醫院內網，見圖2。

圖2 物理連接完成后醫院內網拓撲圖

為了確保網絡安全，我院在中心機房主干路上安裝天融信NGFW4000-UF物理隔離防火墻，并在全院終端安裝企業版卡巴斯基殺毒軟件。天融信NGFW4000-UF物理隔離防火墻集成了多種安全引擎，具備了防火墻、IPSEC VPN、SSL VPN、防病毒、IPS等安全功能，同時提供了強大的網絡應用控制功能，醫院可以輕松地針對一些典型網絡應用實行靈活的訪問控制策略，既保證了系統的安全，又保證了數據快捷方便地通行[5]。另外，天融信防火墻采用TOS（Topsec Operating System）安全操作系統，采用雙系統、全模塊化設計，使用中間層理念，減少了系統對硬件的依賴性，保證防火墻的性能和安全。企業版卡巴斯基殺毒軟件相對于普通版的不同，在于企業版通過搭建卡巴斯基管理、更新服務器，實現所有卡巴斯基客戶端的病毒庫自動更新和日志的集中動態收集。所有卡巴斯基客戶端都配置好病毒定時查殺方案，每天上午執行1次快速掃描，周五下午執行1次全盤掃描，使日常的防護記錄和定期病毒查殺記錄都會收集到卡巴斯基更新管理服務器，從而使得網絡管理員能對全院的卡巴斯基終端安全情況有一個詳細的了解。

5 應用效果

VLAN的細化縮小了廣播區域，降低了病毒傳播的危險，同時提供了更完善的網絡節點訪問控制；網絡核心層集群的構建和主干及大數據量鏈路的升級在提高醫院網絡整體和局部性能的同時，保障了醫院網絡的安全；醫院4個網絡的成功連接，擴展了醫院網絡系統的應用范圍，使得辦公自動化系統、視頻會議系統、手術示教系統、遠程會診系統在全院范圍內得到成功應用；安全隔離網閘及企業版卡巴斯基殺毒軟件的應用，保證了醫院4個網絡連通后的安全。此次醫院網絡結構的升級改造實現了醫院的既定目標，提高了HIS的運行性能和安全，為醫院未來信息化的發展提供了基礎保障。

[1]鄒玉蓉.我院網絡系統的改造與實現[J].中國醫療設備,2010,25(9):30-32.

[2]王翔,李金柱.淺談邊遠二級醫院信息化網絡的升級與改造[J].醫療衛生裝備,2011,32(2):102-103.

[3]吳丹,劉長興,吳建軍.劃分我院Vlan時保持內網中多數線路通信正常[J].中國醫療設備,2010,25(6):53-54.

[4]姚力,蔣昆,蔡宏偉.大型醫院在業務不中斷情況下的VLAN劃分[J].醫療衛生裝備,2010,31(2):63-64.

[5]蔡東江,吳平鳳.醫院信息化網絡設計與實現[J].醫學信息學雜志,2011,(3):23-28.

[6]張劍,張巖.虛擬局域網技術在醫院網絡建設中的應用[J].華北國防醫藥,2010,(6):563-565.

[7]毛曄沁.醫院網絡安全的技術實現與改進[J].信息安全與技術,2011,(6):47-48.

[8]朱超,緱文海,王福義,等.我院PACS存儲及擴容方案探討[J].中國醫療設備,2012,27(4):46-47.