淺談醫院業務網絡升級改造方案

毛瑋

摘? 要： 簡要介紹了福建醫科大學附屬口腔醫院信息化發展情況，對醫院業務網絡現狀進行了分析。針對目前業務網絡存在的問題，提出了網絡升級改造的方案。對核心交換機和接入層交換機以及涉及到的核心交換區、服務器匯聚區、接入交換區、出口邊界等進行了升級改造，使醫院網絡實現三層結構，提高數據傳輸效率，進一步加強網絡安全。網絡改造后經測試，網速有了很大的提升，業務系統運行流暢，醫護人員反應良好，達到了預期的效果。

關鍵詞： 醫院網絡; 網絡升級; 網絡改造; 醫院信息化

中圖分類號：TP393.1? ? ? ? ? 文獻標志碼：A? ? ?文章編號：1006-8228（2019）05-105-04

Abstract： This paper briefly introduces the development of information technology in stomatological hospital of Fujian Medical University， analyses the present situation of the hospital business network， aiming at the problems existing in the current business network， puts forward the scheme of upgrading and transforming the network. By upgrading the core switch and access layer switch， and the involved core switch area， server convergence area， access layer switch area and the export boundary， the hospital network realizes a three-tier structure， which improves the data transmission efficiency and further strengthens the network security. After upgrading the network， the network speed has been greatly improved， the business system runs smoothly， and the medical staff has responded well， which has achieved the desired results.

Key words： hospital network; network upgrade; network reconstruction; hospital informatization

0 引言

福建醫科大學附屬口腔醫院于1984年成立，現已是一所口腔專科三級甲等醫院。醫院信息科于2008年成立，于2009年建立全院網絡系統。經過數年的建設，醫院已上線了HIS，LIS，PACS，RIS，OA等20多個信息系統。隨著醫院不斷的發展，系統不斷的增多，醫院網絡壓力明顯增加，近年來，我院先后在臺江區交通路、晉江市、連江縣、以及仁德路開設了分門診部，分門診部與院本部實現信息一體化管理。分門診部的增多使信息點數量不斷增加，數據在分門診與院本部之間交互使得數據量明顯增大，影響了數據傳輸效率，分門診部與本部的網絡連接在安全性方面也面臨著壓力。院本部的醫生也反映，業務系統在使用的時候，流暢度下降，特別在查閱病人的影像數據時，因數據量較大，往往要花較長時間才能打開。考慮以上因素，結合新時期對醫院三級等保建設的要求，經過集體討論，擬對我院業務網絡進行升級改造，以提高我院信息化建設的基礎設施保障，進而為更好地推動數字化醫院建設打下堅實基礎，達到信息化建設服務臨床、信息化推動醫院發展、信息化更好地服務病人的目標。

1 業務網絡現狀

如圖1所示，我院原有網絡的核心交換區由二臺思科4506構成，二臺核心之間做了冗余設計，門診樓1至7層每層的弱電間至機房的核心交換機之間各鋪設二條6類網絡線。每層弱電間的交換機各由二臺24口的思科2960組成。在這種網絡架構下，主干網絡數據為千兆，而終端電腦速率為百兆。對于和分門診部的連接，我們采用租用運營商的MSTP電路模式，在每個分門診部各放置一臺交換機，連接到院本部的一臺思科2960交換機上。通過一臺防火墻實現到政務網及醫保網的出口。而服務器直接通過6類線連接到核心交換機上。隨著醫院規模不斷擴大，業務系統不斷地增多，數據流量轉發頻繁，加之網絡安全形勢日趨嚴峻，我院原有網絡架構過于簡單，已不能適應信息化醫院發展的要求。

2 存在的問題

2.1 網絡架構過于簡單

網絡架構模式只有核心層和接入層，主干采用VRRP+MSTP組網方式，網絡收斂容易造成網絡丟包。網絡廣播域大，原有網絡采用大二層的網絡架構，整個網絡都在一個廣播域里面，某個節點出現網絡風暴容易導致全網癱瘓。在醫院信息化剛起步的時候，由于用戶數量少，感覺不到對網絡的影響，但是經過幾年的發展，加之幾個分門診部的設立，現在醫院的信息點數量已經大量增多，終端所產生的數據使得核心交換機的壓力變得非常大，由于口腔醫療的特殊性，醫生需要建立病人的完整檔案，包括現場拍攝的病人照片需要導入醫生的電腦，這就面臨著使電腦中毒的可能性，而一旦病毒在業務網絡內傳播，極有可能攻擊核心交換機，使核心交換機陷入癱瘓，從而使我院所有信息業務系統停擺。

2.2 網絡沒有區域訪問限制

沒有劃分服務器連接區域，每臺服務器都直接連接到核心交換機上，由于之前業務系統較為單一，主要為收費系統和看片系統，現在隨著系統逐漸增多，有20多臺服務器直接連接到核心交換機上，給核心交換機帶來了更大的壓力，并且由于功能劃分不清，服務器的數據交換直接在核心交換機上進行，帶來了不安全因素。

2.3 交換機使用多年存在故障隱患

核心交換機以及各樓層交換機是于2009年所購，使用多年，存在故障風險。已經出現有部分交換機的網絡口因故障無法使用的現象。如出現整臺交換機故障，將給我院業務系統帶來很大影響。并且因過保多年，維修費用較高，修理周期較長，這些不穩定因素給醫院網絡穩定運行增加了風險[2]。

2.4 出口邊界安全性不夠

與各分門診部之間的連接，因為租用的是運營商的MSTP數字電路，因此，在出口邊界必須加強安全措施，應架設防火墻，設置相應的安全策略。對于連接醫保和政務網的出口，應該分為二個防火墻，以防單臺防火墻故障而導致醫保和政務業務同時中斷。

2.5 主干網絡帶寬不足

主干網絡僅使用千兆電口互聯，影響醫院業務系統運行，特別是影像調閱速度尤其明顯。綜合樓及放射科未鋪設光纖，綜合樓到門診大樓的中心機房之間，仍然統一采用6類網線布線，而之間的距離過遠，且有一段線路已暴露于地表，日曬雨淋。綜合樓醫生反映，業務系統打開速度很慢。放射科所拍影像需要上傳到位于中心機房的服務器上，初期，只有二臺放射設備，近年來，放射科設備逐漸增多，僅CT機器就有3臺，而一張CT片達到一個G容量，上傳速度嚴重影響運行效率，無法解決病人排隊時間過長問題。

3 網絡升級改造方案

3.1 總體目標

本著信息化為醫院管理決策提供輔助作用，信息化為臨床一線服務，信息化為病人服務的理念，結合醫院的當前情況，以及未來數字化口腔醫院發展的需要，我們決定對我院的業務網絡進行升級改造，打造一個穩定、高效、安全、可擴展、易管理的網絡基礎環境[1]。

3.2 具體方案

根據設定的總體目標，我們統籌規劃，在原有的網絡基礎上進行拓展，新增二臺高性能核心交換機替代使用多年的二臺思科4506E交換機，且這二臺核心交換機配置防火墻模塊。新增二臺交換機作為服務器區域數據交換使用。使用具有萬兆級聯口的接入層交換機替換掉各樓層的原有2960系列交換機。服務器接入層、骨干核心層、網絡接入層的主干采用OSPF三層互聯消除二層網絡影響。

3.2.1 核心交換區改造

網絡架構是醫院業務系統的基礎，而核心交換是醫院網絡的關鍵。核心交換機是數據中轉的樞紐，核心交換機的性能直接決定了一個網絡是否穩定、高效。因此，核心交換機要求具有很高的交換容量以及快速包轉發率[3]。本次我們采用了二臺H3C的S7506E作為核心交換機。S7506E交換容量達到了15Tbps，包轉發率達到了2880Mpps。配置具有IRFF彈性虛擬化功能，實現兩臺核心設備虛擬為一臺設備，所有的控制，轉發統一進行，同時避免二層的生成樹，三層的VRRP[6]。配置一塊48個千兆電口模塊卡用于機房內部網絡的連接，配置一塊16口萬兆模塊卡和12個萬兆SFP+多模模塊用于實現主干網絡連接。在二臺核心交換機上配置防火墻板卡，實現對全網網絡進行區域之間的訪問控制限制。

3.2.2 服務器匯聚區改造

原有網絡中，服務器直接連接到核心交換機上，不利于數據安全管理。新方案中，新增二臺交換機實現IRF彈性網絡虛擬化用于服務器的接入，新增的交換機通過萬兆光模塊連接到二臺核心交換機上。通過核心交換機上的防火墻模塊對服務器區域進行權限訪問控制，達到安全隔離的目的。

3.2.3 接入層改造

原有樓層交換機為思科的2960，使用多年，已經出現許多端口故障。本次新增九臺接入層交換機，替換原有1至8層以及綜合樓的交換機。選用的H3C S5130交換容量達到256Gbps，包轉發性能大于96Mpps，每臺交換機具有48個千兆電口，以及四個萬兆SFP+口，其配置的SFP+網絡虛擬化模塊可支持虛擬化堆疊技術，使多臺接入層交換機虛擬成為一臺邏輯設備，達到簡化管理的目的。[5] 接入層交換機利用新鋪設的光纖替代原有的6類網絡線，通過萬兆級聯口連接到核心交換機的萬兆端口，從而實現主干萬兆，千兆到桌面。綜合樓因與中心機房樓距較遠、放射科因數據交換量大，均單獨鋪設光纖直接到中心機房。

3.2.4 出口邊界改造

新增二臺防火墻，其中一臺用于將原來連接政務網和醫保網所共用的防火墻拆分開來。以防止單臺設備故障導致政務網和醫保網同時掉線。再設置不同的安全策略以達到訪問政務網和醫保網的目的。對于分門診部的出口處，架設一臺防火墻，用來增強分門診部和院本部數據交互的安全性。

4 達到的效果

部署完后的示意圖如圖2，按照新設計的方案部署實施完畢后，我們對實際效果進行了測試：在每個樓層隨機挑選幾臺電腦，所挑選的幾臺電腦是不同的操作系統，處于不同的診室。將事先挑選好的大容量文件拷貝到服務器，以及從服務器上拷貝該文件，經測試，平均速率基本在120MB/s，達到了千兆到桌面的要求。當進行多臺設備同時拷貝的時候，其速率基本不受影響。放射科以及綜合樓的醫生反應，打開系統以及閱片的體驗明顯有了提高。在通往分門診部的網絡出口架設的防火墻，經過策略設置，成功實現了非允許訪問的限制，提高了安全等級。

5 結束語

醫院對于信息化的依賴越來越明顯，醫院信息化的程度影響著醫院的業務流轉以及病人的看病體驗。而一個穩定、高效、安全的網絡架構為醫院信息化的發展奠定了堅實的根基[4]。萬兆主干，千兆到桌面的模式已成為新時期適應醫院信息化建設所需的關鍵平臺。今后，醫院還需根據互聯網醫院、數字化醫院建設的新要求，在對原有網絡進行升級改造的時候，考慮得更為全面。網絡的層次劃分，要考慮到核心、匯聚、交換三層結構，從網絡安全角度考慮，要設業務網絡區、行政辦公網區、服務器區、內外網交互區、無線網絡區、測試區等。還要根據不同的需求，增設防火墻等安全設備，進行數據流量的嚴格控制。通過本次升級改造，口腔醫院成功實現了業務網絡系統三層體系架構，消除了二層廣播風暴，極大的提高了應用系統的訪問速度，通過區域訪問限制，提高了數據安全性，達到了預期的效果，保障了醫院業務系統安全、穩定的運行，也為今后進一步的網絡功能細分搭好了一個框架，提供了一個基礎，為更好地實現數字化醫院創造了一個良好的開端。

參考文獻（References）：

[1] 劉海林.基于三層架構的醫院網絡改造與實施方案[J].中國醫學教育技術，2012.26（4）：451-453

[2] 鄒玉蓉.我院網絡系統的改造與實現[J].醫院數字化，2010.25（9）：30-36

[3] 宋磊.醫院信息化建設中的網絡架構規劃與設計[J].醫學信息學雜志，2014，35（11）：17-21

[4] 徐瑤.淺談醫院網絡基礎架構與維護[J].通信設計與應用，2017.7：6-7

[5] 黃晟，何毅.醫院智能化網絡建設探討[J].自動化應用，2018.8：72-75

[6] 楊霜英，徐旭東等.大型醫院信息系統網絡改造研究[J].中國醫療裝備，2010.25（1）：29-35