職工總醫(yī)院網(wǎng)絡(luò)平臺(tái)升級(jí)改造方案

董靖超

（銅陵有色銅冠信息公司，安徽銅陵244000）

1.方案背景

職工總院計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)起步較早，網(wǎng)絡(luò)平臺(tái)建設(shè)于2000年，當(dāng)時(shí)網(wǎng)絡(luò)是簡(jiǎn)單局域網(wǎng)，網(wǎng)絡(luò)平臺(tái)為10/100Mbps快速以太網(wǎng)，與集團(tuán)網(wǎng)絡(luò)直連，為集團(tuán)網(wǎng)絡(luò)延伸，主要應(yīng)用為醫(yī)療保險(xiǎn)；在2004年對(duì)辦公大樓進(jìn)行過(guò)一次整體結(jié)構(gòu)化布線，采用多模光纖作為建筑物間通信介質(zhì)，連通院內(nèi)各建筑，主干速率為100Mbps。應(yīng)用除醫(yī)療保險(xiǎn)外，還建立了一個(gè)醫(yī)院管理應(yīng)用系統(tǒng)局域網(wǎng)，運(yùn)行醫(yī)院信息管理系統(tǒng)（HIS），該局域網(wǎng)與集團(tuán)網(wǎng)絡(luò)不能互相訪問(wèn)，HIS客戶端能通過(guò)代理服務(wù)器訪問(wèn)集團(tuán)醫(yī)療統(tǒng)籌數(shù)據(jù)庫(kù)。網(wǎng)絡(luò)拓?fù)淙鐖D1。

限制于建設(shè)資金，醫(yī)院管理網(wǎng)絡(luò)的中心交換機(jī)為一臺(tái)不可管理的二層交換機(jī)，其余為低檔交換機(jī)或集線器等，且未購(gòu)置硬件防火墻，無(wú)法完好地保證網(wǎng)絡(luò)安全。隨著時(shí)間推移，網(wǎng)絡(luò)規(guī)模不斷增大，聯(lián)網(wǎng)計(jì)算機(jī)已達(dá)200臺(tái)左右，并且組建都在一個(gè)廣播域內(nèi)，網(wǎng)絡(luò)可使用資源少，網(wǎng)速很慢，嚴(yán)重影響各應(yīng)用系統(tǒng)正常使用；而醫(yī)院主業(yè)務(wù)系統(tǒng)HIS系統(tǒng)所在網(wǎng)絡(luò)主交換也是一臺(tái)二層交換機(jī)，并且HIS群集服務(wù)器都接在這臺(tái)主交換機(jī)上，如果交換機(jī)宕機(jī)，將影響整個(gè)醫(yī)院的業(yè)務(wù)運(yùn)行。

職工總院的網(wǎng)絡(luò)現(xiàn)狀目前已經(jīng)不能滿足醫(yī)院的正常管理、醫(yī)療業(yè)務(wù)及辦公應(yīng)用。通過(guò)這次方案改造升級(jí)，實(shí)現(xiàn)以下4個(gè)目標(biāo)：

(1)覆蓋職工醫(yī)院新大樓所有信息點(diǎn)，包括管理網(wǎng)絡(luò)、HIS網(wǎng)絡(luò)。

(2)建立一個(gè)高性能可管理的網(wǎng)絡(luò)，能夠提供足夠的帶寬，主干千兆，百兆交換到桌面，有足夠的帶寬保證信息系統(tǒng)應(yīng)用，建立全數(shù)字化流程醫(yī)院。

(3)有完整的網(wǎng)絡(luò)安全及數(shù)據(jù)安全策略，確保整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的可靠性、安全性。

(4)重新構(gòu)架HIS網(wǎng)絡(luò)，雙主交換實(shí)現(xiàn)冗余工作。

2.網(wǎng)絡(luò)平臺(tái)建設(shè)原則

(1)功能性：網(wǎng)絡(luò)首先應(yīng)能滿足職工總醫(yī)院各種應(yīng)用的需求。

(2)安全性：必須確保選擇良好的網(wǎng)絡(luò)設(shè)備、增加防火墻與防病毒措施、采用必要的冗余。

(3)先進(jìn)性：設(shè)計(jì)目標(biāo)決定了系統(tǒng)必須采用先進(jìn)的方法和設(shè)備。既要反映當(dāng)今水平，又要具有發(fā)展的潛力。

(4)實(shí)用性：為節(jié)省投資，網(wǎng)絡(luò)性能不需要太高；在保證應(yīng)用的前提下，充分利用原有的軟件、硬件資源，減少投資浪費(fèi)，做的高性能價(jià)格比。

(5)擴(kuò)展性：隨著業(yè)務(wù)的增長(zhǎng)和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長(zhǎng)，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷升級(jí)。

(6)可管理性：本系統(tǒng)建成后，應(yīng)具有良好的可管理性。計(jì)算機(jī)網(wǎng)絡(luò)的管理相對(duì)復(fù)雜，網(wǎng)絡(luò)是本系統(tǒng)得以正常運(yùn)行的基礎(chǔ)，必須要有切實(shí)可行的管理措施，來(lái)保證網(wǎng)絡(luò)系統(tǒng)高效、可靠、安全地運(yùn)行。

(7)可靠性：方案在設(shè)計(jì)過(guò)程中要采取有效的措施來(lái)保證系統(tǒng)的可靠性，包括提高系統(tǒng)的冗余能力，增加關(guān)鍵設(shè)備的容錯(cuò)性等。

(8)高效率性：系統(tǒng)性能是系統(tǒng)集成中最重要因素。系統(tǒng)性能應(yīng)包括以下幾個(gè)方面：系統(tǒng)的實(shí)時(shí)響應(yīng)和控制能力；網(wǎng)絡(luò)服務(wù)器在線事務(wù)處理的能力；網(wǎng)絡(luò)的吞吐能力；通信的傳輸速率和帶寬。

3.網(wǎng)絡(luò)平臺(tái)建設(shè)內(nèi)容

3.1 計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)總體結(jié)構(gòu)

職工總院網(wǎng)絡(luò)將主要采用千兆以太網(wǎng)技術(shù)，對(duì)內(nèi)連接各大樓，對(duì)外連接互聯(lián)網(wǎng)，分為三層：管理網(wǎng)、互聯(lián)網(wǎng)和業(yè)務(wù)網(wǎng)，管理網(wǎng)和互聯(lián)網(wǎng)之間有防火墻，管理網(wǎng)與業(yè)務(wù)網(wǎng)之間有防火墻。網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

圖2 職工總院計(jì)算機(jī)網(wǎng)絡(luò)及安全系統(tǒng)總體結(jié)構(gòu)圖

這種網(wǎng)絡(luò)結(jié)構(gòu)明晰，容易維護(hù)。管理網(wǎng)提供代理服務(wù)、郵件服務(wù)、門(mén)戶（OA）網(wǎng)站、數(shù)據(jù)庫(kù)服務(wù)以及防病毒、網(wǎng)絡(luò)管理等服務(wù)功能。業(yè)務(wù)網(wǎng)提供HIS系統(tǒng)服務(wù)功能。

管理網(wǎng)將主要采用快速以太網(wǎng)技術(shù)，網(wǎng)絡(luò)設(shè)備分為兩層：核心層和接入層，核心層交換機(jī)為多層交換，接入層為二層交換機(jī)，整個(gè)主干設(shè)計(jì)為千兆。網(wǎng)絡(luò)拓?fù)淙鐖D3。

考慮到網(wǎng)絡(luò)主干重要性，中心交換機(jī)將采用冗余交換引擎冗余業(yè)務(wù)板配置方案，通過(guò)合理配置保證了整個(gè)網(wǎng)絡(luò)具有極高的安全可靠性及不間斷運(yùn)行，以確保醫(yī)院內(nèi)業(yè)務(wù)及管理需要?？紤]到滿足辦公樓內(nèi)約4臺(tái)交換機(jī)和醫(yī)院內(nèi)10余節(jié)點(diǎn)接入要求，中心交換機(jī)應(yīng)具備至少24端口100/1000M接入端口。大節(jié)點(diǎn)使用分布層交換機(jī)，支持網(wǎng)絡(luò)管理和VLAN以及端口隔離或PVLAN等技術(shù)。接入交換機(jī)根據(jù)接入數(shù)量需求確定，要求支持網(wǎng)絡(luò)管理和VLAN以及端口隔離或PVLAN等技術(shù)。

圖3 管理網(wǎng)拓?fù)鋱D

3.2 雙核心主交換機(jī)實(shí)現(xiàn)HIS業(yè)務(wù)網(wǎng)的冗余性能

醫(yī)院業(yè)務(wù)系統(tǒng)要求的超高穩(wěn)定性及24小時(shí)不間斷提供服務(wù)的特殊性，排除故障時(shí)間要求短，對(duì)網(wǎng)絡(luò)配置提出了更高的任務(wù)需求，我們采用VRRP+MSTP技術(shù)來(lái)實(shí)現(xiàn)。

VRRP是一種容錯(cuò)協(xié)議，它保證當(dāng)主機(jī)的下一跳路由器失效時(shí)，可以及時(shí)地由另一臺(tái)路由器來(lái)代替，從而保證通訊的連續(xù)性和可靠性，提供了動(dòng)態(tài)的故障轉(zhuǎn)移機(jī)制。為了使VRRP工作，要在路由器上配置虛擬路由器號(hào)和虛擬IP地址。一個(gè)虛擬路由器由一個(gè)主路由器和若干個(gè)備份路由器組成，主路由器實(shí)現(xiàn)真正的轉(zhuǎn)發(fā)功能，當(dāng)主路由器出現(xiàn)故障時(shí)，一個(gè)備份路由器將成為新的主路由器，接替它的工作。局域網(wǎng)內(nèi)的主機(jī)僅僅知道這個(gè)虛擬路由器的IP地址，而并不知道具體的路由器地址，就通過(guò)虛擬路由器來(lái)與其他網(wǎng)絡(luò)進(jìn)行通訊。

配套VRRP，避免產(chǎn)生環(huán)路且提高鏈路使用率，結(jié)合使用MSTP技術(shù)。多生成樹(shù)（MST）使用修正的快速生成樹(shù)（RSTP）協(xié)議，叫做多生成樹(shù)協(xié)議（MSTP）。MSTP將環(huán)路網(wǎng)絡(luò)修剪成為一個(gè)無(wú)環(huán)的樹(shù)型網(wǎng)絡(luò)，避免報(bào)文在環(huán)路網(wǎng)絡(luò)中的增生和無(wú)限循環(huán)，同時(shí)還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個(gè)冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程中實(shí)現(xiàn)VLAN數(shù)據(jù)的負(fù)載均衡。MSTP兼容STP和RSTP，并且可以彌補(bǔ)STP和RSTP的缺陷。它既可以快速收斂，也能使不同VLAN的流量沿各自的路徑分發(fā)，從而為冗余鏈路提供了更好的負(fù)載分擔(dān)機(jī)制。

3.3 設(shè)備選型

3.3.1 中心交換機(jī)選型

為保證總院網(wǎng)絡(luò)可靠運(yùn)行，中心交換機(jī)選擇H3C S7506E交換機(jī)。該交換機(jī)所有關(guān)鍵單元均支持熱備份或者多對(duì)負(fù)載分擔(dān)備份，可以構(gòu)筑理想的核心交換平臺(tái)。支持全光口模塊，可以方便地實(shí)施遠(yuǎn)程千兆匯聚。支持全線速轉(zhuǎn)發(fā)，最大交換容量768G，最大包轉(zhuǎn)發(fā)速率432Mpps，系統(tǒng)提供8個(gè)槽位，其中2個(gè)交換路由處理板槽位（冗余），6個(gè)業(yè)務(wù)板槽位。支持單板熱插拔，并可以支持STP/RSTP/MSTP/VRRP等協(xié)議實(shí)現(xiàn)鏈路冗余。

3.3.2 節(jié)點(diǎn)交換機(jī)選型

為與H3C S7506E無(wú)隙聯(lián)接，節(jié)點(diǎn)交換機(jī)選擇H3C S3600-28TP-SI，包轉(zhuǎn)發(fā)速率9.6Mpps，支持L2（Layer 2）～L4（Layer 4）包過(guò)濾功能，提供基于源MAC地址、目的MAC（Medium Access Control）地址、源IP地址、目的IP地址、端口、協(xié)議、VLAN（Virtual Local Area Network）、VLAN范圍、MAC地址范圍和非法幀過(guò)濾。

3.3.3 接入交換機(jī)選型

接入交換機(jī)選擇H3CS3100-SI系列。S3100-26C-SI交換機(jī)內(nèi)部提供19.2Gbps的總線帶寬，為交換機(jī)所有的端口提供二層線速交換能力，包轉(zhuǎn)發(fā)率達(dá)到6.55Mpps。S3100-26C-SI交換機(jī)支持802.1x認(rèn)證，還可以做認(rèn)證Server，在用戶接入網(wǎng)絡(luò)時(shí)完成必要的身份認(rèn)證，同時(shí)動(dòng)態(tài)的配置VLAN，有效的控制用戶訪問(wèn)網(wǎng)絡(luò)資源。

3.3.4 防火墻

防火墻采用東軟NETEYEF100A。該產(chǎn)品采用具有強(qiáng)大處理能力的先進(jìn)硬件平臺(tái)，集成了一流的狀態(tài)檢測(cè)防火墻、VPN和DOS防護(hù)解決方案，具備卓越的性能和穩(wěn)定性。職工總院防火墻一個(gè)部署在業(yè)務(wù)網(wǎng)與管理網(wǎng)接口鏈路上，一個(gè)部署在互聯(lián)網(wǎng)出口上。

3.4 IP規(guī)劃

整個(gè)網(wǎng)絡(luò)使用IP協(xié)議通訊，業(yè)務(wù)網(wǎng)IP地址使用192.X.193.Y/24和192.X.194.Y/24兩個(gè)網(wǎng)段，劃分多個(gè)VLAN。管理網(wǎng)使用172.X.0.Y/24段，劃分四個(gè)VLAN，超過(guò)分配范圍可考慮添加172.30.1.Y/24網(wǎng)段補(bǔ)充使用。HIS服務(wù)器使用原有網(wǎng)段，為192.X.192.Y/24段。如圖4（為了保證安全，對(duì)一些關(guān)鍵地址用X、Y等字母表示）。

4.相關(guān)設(shè)備配置

4.1 業(yè)務(wù)網(wǎng)中心交換機(jī)安裝說(shuō)明

根據(jù)統(tǒng)計(jì)用戶數(shù)量需求，總院HIS業(yè)務(wù)網(wǎng)網(wǎng)段劃分四段：

192.X.193.0/25；192.X.193.128/25；192.X.194.0/25；192.X.194.128/25

（1）配置中心交換機(jī)實(shí)現(xiàn)功能需求

首先配置主交換，MSTP配置一個(gè)實(shí)例，將規(guī)劃的VLAN加入其中，避免環(huán)路的產(chǎn)生，配置如下：

4.2 管理網(wǎng)中心交換機(jī)安裝說(shuō)明

根據(jù)統(tǒng)計(jì)用戶數(shù)量需求，對(duì)172.X.0.X/24段進(jìn)行劃分，分為4個(gè)網(wǎng)段：

172.X.0.0/26；172.X.0.64/26；172.X.0.128/26；172.X.0.192/26

通過(guò)DHCP服務(wù)器對(duì)客戶端進(jìn)行發(fā)放，在IP地址不夠使用時(shí)，添加172.30.1.X/24網(wǎng)段發(fā)放使用。

在中心交換機(jī)上配置7個(gè)VLAN來(lái)實(shí)現(xiàn)所需功能，vlan2-vlan6分配的網(wǎng)段為客戶端發(fā)放地址，vlan100地址作為交換機(jī)管理地址，vlan110是視頻監(jiān)控所需端口的所屬vlan。主要配置如下：

4.3 業(yè)務(wù)網(wǎng)防火墻配置說(shuō)明

業(yè)務(wù)網(wǎng)防火墻部署在業(yè)務(wù)網(wǎng)和管理網(wǎng)之間，設(shè)置規(guī)則，不允許業(yè)務(wù)網(wǎng)用戶訪問(wèn)除公司醫(yī)保服務(wù)器之外的任何外網(wǎng)資源。防火墻內(nèi)網(wǎng)主要配置如下：

4.4 管理網(wǎng)防火墻配置說(shuō)明

管理網(wǎng)防火墻部署在互聯(lián)網(wǎng)鏈路出口上，電信和集團(tuán)公司方向的光纜通過(guò)光電轉(zhuǎn)換后，連接到防火墻兩個(gè)外網(wǎng)口上。在保證網(wǎng)絡(luò)安全的同時(shí)，設(shè)置規(guī)則和路由，做到用戶訪問(wèn)互聯(lián)網(wǎng)資源從電信鏈路通信，訪問(wèn)集團(tuán)內(nèi)網(wǎng)從集團(tuán)公司方向鏈路通信。主要配置如下：