朱超，缑文海，王福义，邵耀来

解放军第五十九中心医院 信息科，云南 开远 661600

0 前言

我院是成都军区的一所中心级医院，也是滇南地区唯一的一所三级甲等医院。我院网络建成后，于2006年实施上线图片存档及通信系统（PACS）前进行过一次升级，主干为千兆光缆，接入端为百兆双绞线；硬件设备包括核心交换机1台，汇聚层交换机4台，接入层交换机12台。近几年医院发展较快，业务量增加，加之检查科室不断引入新的检查设备，对局部和全院网络造成不小的压力；同时医院信息化进程加快，目前上线信息系统18个，配有服务器15台，客户端增加至500余台，医疗数据急剧膨胀[1]，对医院网络的要求也不断提高。全院形成4个独立的网络：卫星网、文献网、办公网和内部局域网，互不相连、使用困难，导致办公自动化系统无法在全院铺开。现有设备使用将近5年，硬件老化严重，系统运行4年后设备损坏频率开始大幅增长，严重影响医院网络的正常运行。因此，2011年医院信息科对医院网络进行了第二次升级改造。

1 升级改造原则及目标

此次网络结构升级改造，是根据医院现有规模、所属性质、经营状况、建筑布局、信息化程度等综合情况[2]进行的。为满足医院目前及未来网络应用需要，借鉴国内外医院网络改造升级先进经验，拓展医院网络连通范围，加强医院网络管理功能，提高医院网络承载能力、可扩容性和安全性。

2 VLAN细化

医院升级前的虚拟局域网（VLAN）大体是以建筑功能划分为4个：内科、外科、医技科、感染科。当时全院客户端近300台，应用也不多，VLAN尚可以保证医院网络的高效安全运行。但是随着客户端不断增加以及全院4个VLAN的连通，粗范的VLAN划分造成了巨大的广播区域，同时无法提供更细化的VLAN或网络节点访问控制，不可避免地带来了性能安全上的问题。VLAN细化到科室级是一种有效的解决办法。VLAN细化切换过程必须保证绝大多数客户端能正常访问服务器[3]，我院通过手工设置交换机网关路由实现[4]。此种方式只需要在交换机上做适当设置，而不需要更改终端的网络设置，简单快捷。

3 交换机集群构建及主要链路升级

以医院核心层为单点，配置1台思科4506a交换机；汇聚层通过千兆光纤连接至核心交换机。截止2012年，核心交换机已经无故障不间断运行4年时间，思科4506交换机的寿命应该在10年左右，安全运行时间在6～8年，未来的4年内设备的老化将会不断降低核心交换机的稳定度。考虑到医院的核心层为单点，一旦出现问题，全院信息系统将会瘫痪，有必要再添置1台思科4506b交换机，与原有4506a交换机组成集群，以提高全院网络的安全度和性能。确定集群方案前，首先必须确定医院要用来构建集群的交换机及其IOS Software是否支持群集，若支持集群，是支持命令交换机还是支持成员交换机。确认方法是在交换机CLI中输入show version，将所得的交换机及其IOS Software情况和官网指南对照，如我院的4506a的IOS Software版本为12.2(18)EW3，而官网指南中4506交换机支持集群的最低IOS Software版本为12.2(20)EWA。因此，我院构建集群前必须对核心交换机的IOS Software进行升级。启用4506b交换机的CDP功能，在4506b交换机上启用集群功能并创建集群，以4506b机为集群命令交换机（命令交换机通过CDP功能自动发现网络中的集群候选交换机）用于集群的维护管理。为了防止4506b交换机出现宕机时群集崩溃，需要建立一个备用组并设置好虚拟IP，这个备用组类似于服务器集群的双机热备。成员交换机共用一个虚拟IP，同一时间只有一台成员交换机成为命令交换机，另一台交换机处于待命状态，命令交换机出现宕机时，待机成员交换机将会自动接替成为命令交换机，保证交换机集群正常。

将4506a和4506b作为组成员加入组中并设置4506b的优先级高于4506a，这样4506b成为主命令交换机，4506a成为备用成员交换机。集群构建完成后的医院内网拓扑图，见图1。

图1 集群构建完成后的医院内网拓扑图

医院主干链路和数据量大的链路升级为EtherChannel（端口汇聚），实现多路径负载均衡。医院主干网主要是汇聚层和核心层的trunk连接链路，数据量大的链路主要是指医技大楼交换机的trunk连接链路。物理上通过双光纤或双绞线连接汇聚层交换机和和核心交换机，连接医技大楼接入层交换机和汇聚层交换机。软件上利用交换机的EtherChannel功能建立链路组，形成双倍带宽，并提高连接安全性。

4 网络互连及安全防范

卫星网、文献网、办公网和内部局域网功能各不相同。内网不允许使用移动存储，文献网允许使用移动存储设备，卫星网和办公网则存有机密信息，这4个网络的相连不可避免地存在着病毒木马感染和泄密等安全隐患。同时，医院即将实现的医保农合接口需要医保农合外网连接医院内网，这也在一定程度上提高了对网络安全的要求。物理连接完成后的医院内网，见图2。

图2 物理连接完成后医院内网拓扑图

为了确保网络安全，我院在中心机房主干路上安装天融信NGFW4000-UF物理隔离防火墙，并在全院终端安装企业版卡巴斯基杀毒软件。天融信NGFW4000-UF物理隔离防火墙集成了多种安全引擎，具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS等安全功能，同时提供了强大的网络应用控制功能，医院可以轻松地针对一些典型网络应用实行灵活的访问控制策略，既保证了系统的安全，又保证了数据快捷方便地通行[5]。另外，天融信防火墙采用TOS（Topsec Operating System）安全操作系统，采用双系统、全模块化设计，使用中间层理念，减少了系统对硬件的依赖性，保证防火墙的性能和安全。企业版卡巴斯基杀毒软件相对于普通版的不同，在于企业版通过搭建卡巴斯基管理、更新服务器，实现所有卡巴斯基客户端的病毒库自动更新和日志的集中动态收集。所有卡巴斯基客户端都配置好病毒定时查杀方案，每天上午执行1次快速扫描，周五下午执行1次全盘扫描，使日常的防护记录和定期病毒查杀记录都会收集到卡巴斯基更新管理服务器，从而使得网络管理员能对全院的卡巴斯基终端安全情况有一个详细的了解。

5 应用效果

VLAN的细化缩小了广播区域，降低了病毒传播的危险，同时提供了更完善的网络节点访问控制；网络核心层集群的构建和主干及大数据量链路的升级在提高医院网络整体和局部性能的同时，保障了医院网络的安全；医院4个网络的成功连接，扩展了医院网络系统的应用范围，使得办公自动化系统、视频会议系统、手术示教系统、远程会诊系统在全院范围内得到成功应用；安全隔离网闸及企业版卡巴斯基杀毒软件的应用，保证了医院4个网络连通后的安全。此次医院网络结构的升级改造实现了医院的既定目标，提高了HIS的运行性能和安全，为医院未来信息化的发展提供了基础保障。

[1]邹玉蓉.我院网络系统的改造与实现[J].中国医疗设备,2010,25(9):30-32.

[2]王翔,李金柱.浅谈边远二级医院信息化网络的升级与改造[J].医疗卫生装备,2011,32(2):102-103.

[3]吴丹,刘长兴,吴建军.划分我院Vlan时保持内网中多数线路通信正常[J].中国医疗设备,2010,25(6):53-54.

[4]姚力,蒋昆,蔡宏伟.大型医院在业务不中断情况下的VLAN划分[J].医疗卫生装备,2010,31(2):63-64.

[5]蔡东江,吴平凤.医院信息化网络设计与实现[J].医学信息学杂志,2011,(3):23-28.

[6]张剑,张岩.虚拟局域网技术在医院网络建设中的应用[J].华北国防医药,2010,(6):563-565.

[7]毛晔沁.医院网络安全的技术实现与改进[J].信息安全与技术,2011,(6):47-48.

[8]朱超,缑文海,王福义,等.我院PACS存储及扩容方案探讨[J].中国医疗设备,2012,27(4):46-47.