血站網(wǎng)絡(luò)架構(gòu)改進(jìn)與應(yīng)用效果分析*

——李智成 賀國林 田耘博 歐陽熊妍 何 濤

重慶市血液中心 重慶 400052

“一法兩規(guī)”(《血站管理辦法》《血站質(zhì)量管理規(guī)范》《血站實(shí)驗(yàn)室質(zhì)量管理規(guī)范》)明確規(guī)定血站必須應(yīng)用計(jì)算機(jī)管理采供血和相關(guān)服務(wù)過程，以保障血液質(zhì)量和安全[1-3]。隨著智慧血站建設(shè)的逐步推進(jìn)，血站信息系統(tǒng)包括血液管理信息系統(tǒng)(Blood Management Information System，BMIS)、實(shí)驗(yàn)室信息系統(tǒng)(Laboratory Information System，LIS)、自動(dòng)化辦公系統(tǒng)、財(cái)務(wù)管理系統(tǒng)等已基本建立，一些大型血站或血液中心還有核酸集中化送檢、區(qū)域血液聯(lián)網(wǎng)等信息系統(tǒng)[4]?！吨腥A人民共和國網(wǎng)絡(luò)安全法》要求單位監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)，支持創(chuàng)新網(wǎng)絡(luò)安全管理方式，運(yùn)用網(wǎng)絡(luò)新技術(shù)，提升網(wǎng)絡(luò)安全保護(hù)水平[5]。信息網(wǎng)絡(luò)的質(zhì)量和安全，決定著血站采供血業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。本研究結(jié)合重慶市血液中心的實(shí)踐，就如何優(yōu)化血站網(wǎng)絡(luò)架構(gòu)展開了探討。

1 原有網(wǎng)絡(luò)架構(gòu)問題分析

該中心原網(wǎng)絡(luò)架構(gòu)方案包括采供血業(yè)務(wù)內(nèi)網(wǎng)、外網(wǎng)、無線網(wǎng)和零散線路。內(nèi)網(wǎng)終端電腦、服務(wù)器配置在同一個(gè)IP地址段內(nèi)，內(nèi)網(wǎng)交換機(jī)通過網(wǎng)絡(luò)專線(MPLS專線)或虛擬專網(wǎng)設(shè)備(VPN設(shè)備)連接采血車、區(qū)縣、互聯(lián)網(wǎng)。無線網(wǎng)、外網(wǎng)通過交換機(jī)和路由器將終端連接至互聯(lián)網(wǎng)。零散線路如財(cái)務(wù)專線等通常由運(yùn)營商布放至電腦終端。如圖1所示。

圖1 原網(wǎng)絡(luò)架構(gòu)方案拓?fù)鋱D

1.1 網(wǎng)絡(luò)架構(gòu)陳舊

基本網(wǎng)絡(luò)架構(gòu)靈活性不夠，不能適應(yīng)不斷涌現(xiàn)的新業(yè)務(wù)需求。血站內(nèi)部不同信息系統(tǒng)之間無法對(duì)接，形成 “信息孤島”。財(cái)政網(wǎng)、衛(wèi)生專網(wǎng)等僅簡單鋪設(shè)線路，未融入血站統(tǒng)一網(wǎng)絡(luò)中，不能靈活調(diào)整。未對(duì)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)配置雙機(jī)設(shè)備，冗余不夠，單點(diǎn)故障風(fēng)險(xiǎn)較高，影響采供血業(yè)務(wù)開展[6]。

1.2 網(wǎng)絡(luò)結(jié)構(gòu)混亂

原有網(wǎng)絡(luò)架構(gòu)沒有進(jìn)行功能區(qū)域細(xì)分，未啟用網(wǎng)絡(luò)配置策略，未升級(jí)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)帶寬，未劃分虛擬局域網(wǎng)(VLAN)和IP地址。服務(wù)器和終端設(shè)備使用同一地址段，容易因地址沖突導(dǎo)致服務(wù)中斷。

1.3 網(wǎng)絡(luò)管理方式落后

通過手工對(duì)IP地址進(jìn)行登記，無法掌握IP地址實(shí)時(shí)使用情況。未利用信息化工具進(jìn)行網(wǎng)絡(luò)體系化管理，故障檢查方法有限，無法實(shí)現(xiàn)實(shí)時(shí)巡檢[7]。

2 網(wǎng)絡(luò)架構(gòu)改進(jìn)

2.1 網(wǎng)絡(luò)體系架構(gòu)

2.1.1 網(wǎng)絡(luò)融合分級(jí)防護(hù) 根據(jù)采供血業(yè)務(wù)信息重要程度劃分三個(gè)不同網(wǎng)絡(luò)安全級(jí)別，分別為血液專網(wǎng)安全級(jí)別(內(nèi)網(wǎng))、政務(wù)外網(wǎng)安全級(jí)別(物業(yè)網(wǎng))、互聯(lián)網(wǎng)安全級(jí)別(外網(wǎng))。內(nèi)網(wǎng)為采供血業(yè)務(wù)專用信息應(yīng)用網(wǎng)，服務(wù)于血站業(yè)務(wù)運(yùn)營，僅對(duì)業(yè)務(wù)科室開放；物業(yè)網(wǎng)主要用于血站一卡通、保安室視頻監(jiān)控、停車場管理系統(tǒng)等；外網(wǎng)是辦公互聯(lián)網(wǎng)，主要用于辦公上網(wǎng)、互聯(lián)網(wǎng)終端上網(wǎng)。它們之間相互獨(dú)立，由安全隔離與信息交換系統(tǒng)(網(wǎng)閘)進(jìn)行物理隔離，這樣既保證了網(wǎng)絡(luò)安全又實(shí)現(xiàn)了信息互聯(lián)互通。根據(jù)血站信息使用需求劃分不同功能區(qū)域，進(jìn)行分區(qū)管理。運(yùn)用分區(qū)分域、分級(jí)保護(hù)策略，通過VPN設(shè)備、網(wǎng)閘、邊界防火墻、IDC防火墻等設(shè)備,對(duì)數(shù)據(jù)進(jìn)行安全保護(hù)。總體功能分區(qū)如圖2所示。

圖2 總體功能分區(qū)圖

2.1.2 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì) 網(wǎng)絡(luò)核心置于核心機(jī)房，采用樹形結(jié)構(gòu)和扁平化組網(wǎng)(即接入-核心兩層網(wǎng)絡(luò)架構(gòu))，各樓層接入交換機(jī)直接通過雙路千兆光纖線路匯聚到網(wǎng)絡(luò)核心交換機(jī)。具體網(wǎng)絡(luò)拓?fù)淙鐖D3所示[8-9]。

圖3 網(wǎng)絡(luò)拓?fù)鋱D

外網(wǎng)用戶通過核心交換機(jī)到外網(wǎng)路由器訪問互聯(lián)網(wǎng)，內(nèi)網(wǎng)業(yè)務(wù)服務(wù)器區(qū)域?qū)?nèi)網(wǎng)用戶提供服務(wù)。按照樓宇、樓層分布，結(jié)合部門、業(yè)務(wù)，通過VLAN 劃分和IP段配置，實(shí)現(xiàn)分區(qū)分域[10]。通過網(wǎng)閘實(shí)現(xiàn)內(nèi)網(wǎng)、外網(wǎng)、物業(yè)網(wǎng)等相互隔離，在有相互訪問需求時(shí)，通過網(wǎng)閘進(jìn)行有限制訪問[11]。這樣既避免了各功能分區(qū)成為“信息孤島”，又能夠滿足網(wǎng)絡(luò)安全要求。

2.1.3 配置網(wǎng)絡(luò)冗余結(jié)構(gòu) 根據(jù)血站實(shí)際業(yè)務(wù)需求以及內(nèi)網(wǎng)、外網(wǎng)、物業(yè)網(wǎng)等重要程度，在內(nèi)網(wǎng)和外網(wǎng)采用雙機(jī)雙活策略，通過雙活冗余確保網(wǎng)絡(luò)核心層穩(wěn)定、可靠。

2.2 運(yùn)用信息化工具

2.2.1 IP地址管理(IPAM)工具 部署IPAM工具，取代手工方式，根據(jù)血站實(shí)際也可以使用DDI管理工具(DNS域名系統(tǒng)、DHCP動(dòng)態(tài)主機(jī)配置協(xié)議、IPAM網(wǎng)絡(luò)地址管理)。運(yùn)維人員使用IPAM對(duì)IP信息進(jìn)行實(shí)時(shí)監(jiān)控。

2.2.2 網(wǎng)絡(luò)管理軟件工具 部署網(wǎng)絡(luò)管理軟件，開啟設(shè)備簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)，添加網(wǎng)絡(luò)線路監(jiān)控，設(shè)置每5 min檢查1次設(shè)備線路運(yùn)行情況，并設(shè)置郵件、微信、短信故障告警等。在軟件中構(gòu)建資源、應(yīng)用系統(tǒng)、業(yè)務(wù)、用戶關(guān)聯(lián)視圖，實(shí)時(shí)反映信息網(wǎng)絡(luò)資源運(yùn)行狀況。對(duì)全網(wǎng)實(shí)施統(tǒng)一實(shí)時(shí)管理，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)性能瓶頸并告警。定期分析數(shù)據(jù)報(bào)表，進(jìn)行系統(tǒng)網(wǎng)絡(luò)性能跟蹤監(jiān)測和診斷。

3 效果分析

3.1 網(wǎng)絡(luò)可靠性提升

網(wǎng)絡(luò)故障報(bào)修數(shù)量由原來的30次/月～40次/月，降低到目前的1次/月～5次/月。采用VLAN和IP地址劃分技術(shù)進(jìn)行分區(qū)分域，不同VLAN不能隨意互通，將網(wǎng)絡(luò)故障影響范圍限制在更小范圍，未再發(fā)生IP地址沖突影響服務(wù)器運(yùn)行情況。分區(qū)分域后，降低了整個(gè)網(wǎng)絡(luò)中的廣播包數(shù)量，減少了網(wǎng)絡(luò)中的無效流量。在內(nèi)、外網(wǎng)之間的核心交換機(jī)采用雙機(jī)雙活策略，提升了網(wǎng)絡(luò)性能和可靠性，也為采供血業(yè)務(wù)發(fā)展預(yù)留出充裕的提升空間。

3.2 靈活性和安全性提升

通過對(duì)網(wǎng)絡(luò)資源的統(tǒng)籌規(guī)劃，使相同安全等級(jí)的網(wǎng)絡(luò)融合部署，提高了終端接入靈活性。采用安全隔離與信息交換系統(tǒng)連接各個(gè)“信息孤島”，讓數(shù)據(jù)在安全前提下互聯(lián)互通。每臺(tái)接入層交換機(jī)均采用千兆光纖作為傳輸介質(zhì)，交換機(jī)與核心交換機(jī)之間預(yù)留萬兆接口，滿足了網(wǎng)絡(luò)增長需求。細(xì)化功能分區(qū)，讓網(wǎng)絡(luò)數(shù)據(jù)流量更加井然有序，故障影響范圍更小，提高了網(wǎng)絡(luò)安全性。

3.3 可維護(hù)性提升

結(jié)合網(wǎng)絡(luò)管理工具運(yùn)用，提高了網(wǎng)絡(luò)管控能力，優(yōu)化了網(wǎng)絡(luò)性能。使用網(wǎng)絡(luò)管理軟件實(shí)時(shí)顯示網(wǎng)絡(luò)結(jié)構(gòu)、通斷情況和網(wǎng)絡(luò)流量，能快速對(duì)在網(wǎng)信息設(shè)備進(jìn)行巡檢，提升了對(duì)網(wǎng)絡(luò)體系的管控能力。網(wǎng)絡(luò)故障處理由被動(dòng)等待轉(zhuǎn)變?yōu)橹鲃?dòng)發(fā)現(xiàn)，原因判斷更加準(zhǔn)確，處理更加快速，為血站采供血及相關(guān)業(yè)務(wù)開展提供了信息保障。

4 討論

隨著血站采供血業(yè)務(wù)發(fā)展對(duì)信息要求的提高，網(wǎng)絡(luò)架構(gòu)及管理能力的重要性更加凸顯。如何規(guī)劃、建設(shè)并運(yùn)維血站網(wǎng)絡(luò)是值得探討的問題。采用新的網(wǎng)絡(luò)技術(shù)和運(yùn)用信息化管理工具改進(jìn)網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)血站網(wǎng)絡(luò)的智能化運(yùn)維，提升網(wǎng)絡(luò)質(zhì)量，使日趨復(fù)雜龐大的網(wǎng)絡(luò)更高效、更安全，為血站全面發(fā)展奠定了穩(wěn)固基石。

血站網(wǎng)絡(luò)架構(gòu)是采供血行業(yè)信息化建設(shè)的基礎(chǔ)，隨著信息網(wǎng)絡(luò)技術(shù)的快速進(jìn)步，未來血站所用網(wǎng)絡(luò)技術(shù)必將向多方面發(fā)展。(1)網(wǎng)絡(luò)虛擬化。隨著云計(jì)算的逐步應(yīng)用，服務(wù)器虛擬化、存儲(chǔ)虛擬化成為主流，軟件定義網(wǎng)絡(luò)(SDN)、網(wǎng)絡(luò)功能虛擬化技術(shù)(NVF)逐漸興起。網(wǎng)絡(luò)虛擬化技術(shù)將傳統(tǒng)網(wǎng)絡(luò)設(shè)備功能與硬件設(shè)備剝離，無需安裝新硬件就可以靈活調(diào)配網(wǎng)絡(luò)資源，從而降低血站網(wǎng)絡(luò)運(yùn)維成本。(2)全光纖網(wǎng)絡(luò)。目前血站網(wǎng)絡(luò)主干線路主要采用光纖，末端為雙絞線。隨著光纖設(shè)備的普及和末端網(wǎng)絡(luò)帶寬需求的不斷增加，未來血站擬采用光纖到桌面技術(shù)(FTTD)，這將極大延伸采供血業(yè)務(wù)操作區(qū)域的終端帶寬和布線距離，從而進(jìn)一步精簡網(wǎng)絡(luò)架構(gòu)。(3)5G采血車和血液冷鏈溫度監(jiān)測。國內(nèi)血站的獻(xiàn)血服務(wù)大部分依靠流動(dòng)獻(xiàn)血車，在獻(xiàn)血者征詢、血液采集等過程中需實(shí)時(shí)連接BMIS。隨著5G技術(shù)的成熟和推廣，其高網(wǎng)速、低延遲、多鏈接的優(yōu)勢(shì)將極大改善采血車信號(hào)不穩(wěn)定、帶寬較小、延遲較高等問題。5G技術(shù)支持大規(guī)模物聯(lián)網(wǎng)設(shè)備接入，還可用于血液產(chǎn)品存儲(chǔ)管理、冷鏈運(yùn)輸環(huán)境自動(dòng)化監(jiān)測等。