用虚拟化技术构建医院园区网络
2012-01-26潘传迪
■ 潘传迪
用虚拟化技术构建医院园区网络
■ 潘传迪①
虚拟化 医院 园区网
当医院园区网络承载的应用系统越来越多时,将面临着业务的差异化安全要求和业务融合的发展趋势之间的矛盾,如何解决这一矛盾,并在建设成本和建设效果之间取得平衡,是医院园区网络建设必须考虑的问题。温州医学院附属第一医院在新院园区网络建设中,应用网络虚拟化技术实现了园区网络的多业务安全承载。
①温州医学院附属第一医院信息科,325000 浙江省温州市府学巷2号
Author’s address:Department of Information, Affiliated 1st hospital of Wenzhou Medical College, No.2, Fuxue Xiang, Wenzhou, 35000,Zhejiang Province, PRC
1 引言
采用互联网技术优化就医流程,提高医院服务能力,已经成为缓解门诊人数不断增加和医院基础设施相对不足之间矛盾的重要技术手段[1]。网上预约挂号、网上化验单查询、短信系统等很多基于互联网的医疗应用系统,需要访问医院的核心业务系统数据,这预示着医院的应用系统未来的两个改变方向:(1)医院信息系统将从原来的封闭系统向开放系统转变;(2)医疗应用系统将从原来的独立系统向融合交互系统转变。医院应用系统从封闭、独立的系统向开放、融合的系统转变,必然要求基础网络设施也要进行相应的改变,从而对业务提供有效的支撑。
2 网络方案需求分析
很多医院的网络系统出于安全性考虑,将业务系统网络和互联网进行物理隔离[2-3],不仅建设成本和维护成本高,而且在业务系统向开放、融合系统转变时适应性调整难度较大,因此需要一种灵活的技术方案,即能够满足业务的开放、融合需求,又能够充分满足医院业务系统的安全和终端的灵活接入,进而便于医院信息系统向互联网拓展。
最有效的解决方案就是将多种业务放在同一个网络中承载,根据登录用户的身份和权限,决定其可访问的相应系统。该方案需要解决网络可靠性和安全性问题。所有业务系统在同一物理网络承载,需要网络有极高的可靠性,还要采用有效的逻辑隔离和互访技术,确保不同系统之间数据的独立性、安全性和授权后的可访问性。这些需求对网络的方案设计、设备选型和协议部署均提出了极大的挑战。
3 网络虚拟化技术的应用
网络虚拟化技术已经越来越成熟和完善,基于虚拟化技术的网络可靠性和安全性更高[4]。网络虚拟化包括对网络的横向整合、纵向隔离和防火墙等网络设备的虚拟化部署,将网络基础设施和网络服务虚拟成为可动态调配的资源。横向整合的虚拟化技术,是在园区网内部署IRF2技术,达到简化网络架构和灵活扩展的目的,并提供50ms快速收敛的高可靠性。纵向隔离是指支持网络虚拟化分区,实现用户组业务的逻辑隔离,技术选择可以包括GRE、VRF逐跳、MPLS L3/L2 VPN等。我院网络选择了MPLS L3 VPN技术作为纵向隔离的虚拟化技术,网络服务的虚拟化指的是FW、IPS等网络服务模块可以采用虚拟化的方式部署。
通过网络虚拟化技术部署,将一张冗余架构的网络横向整合成一个树状无环的网络,简化了MSTP和VRRP等协议的部署,降低了部署和维护难度。同时,跨设备的链路聚合保证单设备、单链路的故障都能够进行50ms的网络故障收敛,上层应用通过TCP协议等重传机制,基本上能对这么微小的网络故障收敛时间进行完全容错。纵向隔离的虚拟化技术将同一张物理网络划分为多个逻辑子网,如内网、互联网、监控网、语音网、无线网络等,既保证了各个逻辑子网之间不可互访,提供了高度的安全性,又保证了在严格身份认证和授权下的业务互访,例如互联网业务进行网上化验单查询时可以访问内网数据库。虚拟防火墙等网络服务模块的虚拟化部署提供了灵活的业务处理能力,例如互联网对于DMZ区域的访问需要一个虚拟防火墙和IPS来进行控制,而DMZ区服务器对于内网数据库的访问需要另一个虚拟防火墙和IPS来进行控制等。
4 方案的特点
4.1 设备选择
除了选择成熟稳定的产品等基本要求外,网络核心交换机是应用系统可靠和高效率运行的基础,因此选择控制引擎和交换网板硬件相互独立的体系架构产品,实现控制平面和转发平面的物理分离,保证主备倒换等情况下的流量不中断,并采用全冗余的配件,保证这个影响范围最广的网络设备能够提供最高的可靠性。
4.2 终端认证
由于医务人员办公地点经常变动,并且存在公用终端的情况,所以基于用户的身份进行网络访问权限的下发就非常必要。通过终端准入解决方案,不仅能够实时的防护终端的安全,还能够基于医生的身份进行网络权限的动态下发,保证了网络的安全和健壮。终端存在IP电话、打印机等多种办公设备,通过MAC地址认证解决了办公设备的网络接入问题,有效地保证了网络的安全可控。
4.3 无线网络
无线网络是无线查房等业务的重要载体,传统无线网络大多采用单独建设的方案,其主要缺点包括:(1)无线AP需单独布线供电;(2)网络管理凭空增加了很多节点;(3)无线和有线采用不同的用户名和密码;(4)相同的安全策略在无线、有线网络上要配置两次。我们通过综合考虑,发现无线网络只是有线网络的延伸,通过POE供电和瘦AP方案解决了布线和网络管理方面的问题,同时,终端准入解决方案在有线和无线的网络环境下采用同一套认证方法,使得用户认证信息和安全策略全网一致,在拓扑上直观显示所有的节点信息,极大地简化了网络结构。
园区网络的设计看似简单,全冗余、双归属的网络架构每个人都比较了解,但是具体到医院的实际情况,综合考虑可靠、安全、易用、成本、信息点等诸多方面,需要深入的设计和讨论。通过虚拟化的网络架构,使得整个园区网络承载了无线、语音、监控、内外网等多种业务,并对于后期医院的业务发展提供了良好的扩展性,极大地节约了总体投入成本。
[1] 陈敏,李道苹.医疗服务流程的瓶颈问题及优化方法[J].中华医院管理杂志,2008,24(7):469-472.
[2] 杨宏桥,吴飞,刘玉树,等.网络隔离与安全交换技术在HIS中的应用研究[J].医疗卫生装备,2008,29(2):45-47.
[3] 黄影,吴飞.基于安全数据交换的HIS综合查询系统设计[J].医疗卫生装备,2008,29(6):39-40,44.
[4] 刘 ,梁悦,孙立淼.虚拟技术在医院信息化中的研究与应用[J].中国病案,2010(1):54-55.
Building hospital local area network by virtual technology
PAN Chuandi
Chinese Hospitals.-2012,16(2):69-70
virtual, hospital, local area network
With the rapid increase of application software system in hospital local area network, the contradiction between the safe demands of discrepancy business and integrated business will be appeared. how to deal with this contradiction and get the balance of building cost and effectiveness is a prerequisite problem when constructs hospital local area network. Virtual technology has been successfully solved safety demands of hospital business in Affiliated 1st hospital of Wenzhou Medical College.
潘传迪:温州医学院附属第一医院信息科主任。
E-mail:pcd@hosp1.ac.cn
2011-12-02](责任编辑 张晓辉)