职工总医院网络平台升级改造方案

2012-03-27董靖超

电脑与电信 2012年6期

董靖超

（铜陵有色铜冠信息公司，安徽铜陵244000）

1.方案背景

职工总院计算机网络建设起步较早，网络平台建设于2000年，当时网络是简单局域网，网络平台为10/100Mbps快速以太网，与集团网络直连，为集团网络延伸，主要应用为医疗保险；在2004年对办公大楼进行过一次整体结构化布线，采用多模光纤作为建筑物间通信介质，连通院内各建筑，主干速率为100Mbps。应用除医疗保险外，还建立了一个医院管理应用系统局域网，运行医院信息管理系统（HIS），该局域网与集团网络不能互相访问，HIS客户端能通过代理服务器访问集团医疗统筹数据库。网络拓扑如图1。

限制于建设资金，医院管理网络的中心交换机为一台不可管理的二层交换机，其余为低档交换机或集线器等，且未购置硬件防火墙，无法完好地保证网络安全。随着时间推移，网络规模不断增大，联网计算机已达200台左右，并且组建都在一个广播域内，网络可使用资源少，网速很慢，严重影响各应用系统正常使用；而医院主业务系统HIS系统所在网络主交换也是一台二层交换机，并且HIS群集服务器都接在这台主交换机上，如果交换机宕机，将影响整个医院的业务运行。

职工总院的网络现状目前已经不能满足医院的正常管理、医疗业务及办公应用。通过这次方案改造升级，实现以下4个目标：

(1)覆盖职工医院新大楼所有信息点，包括管理网络、HIS网络。

(2)建立一个高性能可管理的网络，能够提供足够的带宽，主干千兆，百兆交换到桌面，有足够的带宽保证信息系统应用，建立全数字化流程医院。

(3)有完整的网络安全及数据安全策略，确保整个计算机网络的可靠性、安全性。

(4)重新构架HIS网络，双主交换实现冗余工作。

2.网络平台建设原则

(1)功能性：网络首先应能满足职工总医院各种应用的需求。

(2)安全性：必须确保选择良好的网络设备、增加防火墙与防病毒措施、采用必要的冗余。

(3)先进性：设计目标决定了系统必须采用先进的方法和设备。既要反映当今水平，又要具有发展的潜力。

(4)实用性：为节省投资，网络性能不需要太高；在保证应用的前提下，充分利用原有的软件、硬件资源，减少投资浪费，做的高性能价格比。

(5)扩展性：随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。

(6)可管理性：本系统建成后，应具有良好的可管理性。计算机网络的管理相对复杂，网络是本系统得以正常运行的基础，必须要有切实可行的管理措施，来保证网络系统高效、可靠、安全地运行。

(7)可靠性：方案在设计过程中要采取有效的措施来保证系统的可靠性，包括提高系统的冗余能力，增加关键设备的容错性等。

(8)高效率性：系统性能是系统集成中最重要因素。系统性能应包括以下几个方面：系统的实时响应和控制能力；网络服务器在线事务处理的能力；网络的吞吐能力；通信的传输速率和带宽。

3.网络平台建设内容

3.1 计算机网络平台总体结构

职工总院网络将主要采用千兆以太网技术，对内连接各大楼，对外连接互联网，分为三层：管理网、互联网和业务网，管理网和互联网之间有防火墙，管理网与业务网之间有防火墙。网络结构如图2所示。

图2 职工总院计算机网络及安全系统总体结构图

这种网络结构明晰，容易维护。管理网提供代理服务、邮件服务、门户（OA）网站、数据库服务以及防病毒、网络管理等服务功能。业务网提供HIS系统服务功能。

管理网将主要采用快速以太网技术，网络设备分为两层：核心层和接入层，核心层交换机为多层交换，接入层为二层交换机，整个主干设计为千兆。网络拓扑如图3。

考虑到网络主干重要性，中心交换机将采用冗余交换引擎冗余业务板配置方案，通过合理配置保证了整个网络具有极高的安全可靠性及不间断运行，以确保医院内业务及管理需要。考虑到满足办公楼内约4台交换机和医院内10余节点接入要求，中心交换机应具备至少24端口100/1000M接入端口。大节点使用分布层交换机，支持网络管理和VLAN以及端口隔离或PVLAN等技术。接入交换机根据接入数量需求确定，要求支持网络管理和VLAN以及端口隔离或PVLAN等技术。

图3 管理网拓扑图

3.2 双核心主交换机实现HIS业务网的冗余性能

医院业务系统要求的超高稳定性及24小时不间断提供服务的特殊性，排除故障时间要求短，对网络配置提出了更高的任务需求，我们采用VRRP+MSTP技术来实现。

VRRP是一种容错协议，它保证当主机的下一跳路由器失效时，可以及时地由另一台路由器来代替，从而保证通讯的连续性和可靠性，提供了动态的故障转移机制。为了使VRRP工作，要在路由器上配置虚拟路由器号和虚拟IP地址。一个虚拟路由器由一个主路由器和若干个备份路由器组成，主路由器实现真正的转发功能，当主路由器出现故障时，一个备份路由器将成为新的主路由器，接替它的工作。局域网内的主机仅仅知道这个虚拟路由器的IP地址，而并不知道具体的路由器地址，就通过虚拟路由器来与其他网络进行通讯。

配套VRRP，避免产生环路且提高链路使用率，结合使用MSTP技术。多生成树（MST）使用修正的快速生成树（RSTP）协议，叫做多生成树协议（MSTP）。MSTP将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，同时还提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN数据的负载均衡。MSTP兼容STP和RSTP，并且可以弥补STP和RSTP的缺陷。它既可以快速收敛，也能使不同VLAN的流量沿各自的路径分发，从而为冗余链路提供了更好的负载分担机制。

3.3 设备选型

3.3.1 中心交换机选型

为保证总院网络可靠运行，中心交换机选择H3C S7506E交换机。该交换机所有关键单元均支持热备份或者多对负载分担备份，可以构筑理想的核心交换平台。支持全光口模块，可以方便地实施远程千兆汇聚。支持全线速转发，最大交换容量768G，最大包转发速率432Mpps，系统提供8个槽位，其中2个交换路由处理板槽位（冗余），6个业务板槽位。支持单板热插拔，并可以支持STP/RSTP/MSTP/VRRP等协议实现链路冗余。

3.3.2 节点交换机选型

为与H3C S7506E无隙联接，节点交换机选择H3C S3600-28TP-SI，包转发速率9.6Mpps，支持L2（Layer 2）～L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC（Medium Access Control）地址、源IP地址、目的IP地址、端口、协议、VLAN（Virtual Local Area Network）、VLAN范围、MAC地址范围和非法帧过滤。

3.3.3 接入交换机选型

接入交换机选择H3CS3100-SI系列。S3100-26C-SI交换机内部提供19.2Gbps的总线带宽，为交换机所有的端口提供二层线速交换能力，包转发率达到6.55Mpps。S3100-26C-SI交换机支持802.1x认证，还可以做认证Server，在用户接入网络时完成必要的身份认证，同时动态的配置VLAN，有效的控制用户访问网络资源。

3.3.4 防火墙

防火墙采用东软NETEYEF100A。该产品采用具有强大处理能力的先进硬件平台，集成了一流的状态检测防火墙、VPN和DOS防护解决方案，具备卓越的性能和稳定性。职工总院防火墙一个部署在业务网与管理网接口链路上，一个部署在互联网出口上。

3.4 IP规划

整个网络使用IP协议通讯，业务网IP地址使用192.X.193.Y/24和192.X.194.Y/24两个网段，划分多个VLAN。管理网使用172.X.0.Y/24段，划分四个VLAN，超过分配范围可考虑添加172.30.1.Y/24网段补充使用。HIS服务器使用原有网段，为192.X.192.Y/24段。如图4（为了保证安全，对一些关键地址用X、Y等字母表示）。