浅谈医院业务网络升级改造方案

2019-07-08毛玮

计算机时代 2019年5期

毛玮

摘要：简要介绍了福建医科大学附属口腔医院信息化发展情况，对医院业务网络现状进行了分析。针对目前业务网络存在的问题，提出了网络升级改造的方案。对核心交换机和接入层交换机以及涉及到的核心交换区、服务器汇聚区、接入交换区、出口边界等进行了升级改造，使医院网络实现三层结构，提高数据传输效率，进一步加强网络安全。网络改造后经测试，网速有了很大的提升，业务系统运行流畅，医护人员反应良好，达到了预期的效果。

关键词：医院网络; 网络升级; 网络改造; 医院信息化

中图分类号：TP393.1 文献标志码：A 文章编号：1006-8228（2019）05-105-04

Abstract： This paper briefly introduces the development of information technology in stomatological hospital of Fujian Medical University， analyses the present situation of the hospital business network， aiming at the problems existing in the current business network， puts forward the scheme of upgrading and transforming the network. By upgrading the core switch and access layer switch， and the involved core switch area， server convergence area， access layer switch area and the export boundary， the hospital network realizes a three-tier structure， which improves the data transmission efficiency and further strengthens the network security. After upgrading the network， the network speed has been greatly improved， the business system runs smoothly， and the medical staff has responded well， which has achieved the desired results.

Key words： hospital network; network upgrade; network reconstruction; hospital informatization

0 引言

福建医科大學附属口腔医院于1984年成立，现已是一所口腔专科三级甲等医院。医院信息科于2008年成立，于2009年建立全院网络系统。经过数年的建设，医院已上线了HIS，LIS，PACS，RIS，OA等20多个信息系统。随着医院不断的发展，系统不断的增多，医院网络压力明显增加，近年来，我院先后在台江区交通路、晋江市、连江县、以及仁德路开设了分门诊部，分门诊部与院本部实现信息一体化管理。分门诊部的增多使信息点数量不断增加，数据在分门诊与院本部之间交互使得数据量明显增大，影响了数据传输效率，分门诊部与本部的网络连接在安全性方面也面临着压力。院本部的医生也反映，业务系统在使用的时候，流畅度下降，特别在查阅病人的影像数据时，因数据量较大，往往要花较长时间才能打开。考虑以上因素，结合新时期对医院三级等保建设的要求，经过集体讨论，拟对我院业务网络进行升级改造，以提高我院信息化建设的基础设施保障，进而为更好地推动数字化医院建设打下坚实基础，达到信息化建设服务临床、信息化推动医院发展、信息化更好地服务病人的目标。

1 业务网络现状

如图1所示，我院原有网络的核心交换区由二台思科4506构成，二台核心之间做了冗余设计，门诊楼1至7层每层的弱电间至机房的核心交换机之间各铺设二条6类网络线。每层弱电间的交换机各由二台24口的思科2960组成。在这种网络架构下，主干网络数据为千兆，而终端电脑速率为百兆。对于和分门诊部的连接，我们采用租用运营商的MSTP电路模式，在每个分门诊部各放置一台交换机，连接到院本部的一台思科2960交换机上。通过一台防火墙实现到政务网及医保网的出口。而服务器直接通过6类线连接到核心交换机上。随着医院规模不断扩大，业务系统不断地增多，数据流量转发频繁，加之网络安全形势日趋严峻，我院原有网络架构过于简单，已不能适应信息化医院发展的要求。

2 存在的问题

2.1 网络架构过于简单

网络架构模式只有核心层和接入层，主干采用VRRP+MSTP组网方式，网络收敛容易造成网络丢包。网络广播域大，原有网络采用大二层的网络架构，整个网络都在一个广播域里面，某个节点出现网络风暴容易导致全网瘫痪。在医院信息化刚起步的时候，由于用户数量少，感觉不到对网络的影响，但是经过几年的发展，加之几个分门诊部的设立，现在医院的信息点数量已经大量增多，终端所产生的数据使得核心交换机的压力变得非常大，由于口腔医疗的特殊性，医生需要建立病人的完整档案，包括现场拍摄的病人照片需要导入医生的电脑，这就面临着使电脑中毒的可能性，而一旦病毒在业务网络内传播，极有可能攻击核心交换机，使核心交换机陷入瘫痪，从而使我院所有信息业务系统停摆。

2.2 网络没有区域访问限制

没有划分服务器连接区域，每台服务器都直接连接到核心交换机上，由于之前业务系统较为单一，主要为收费系统和看片系统，现在随着系统逐渐增多，有20多台服务器直接连接到核心交换机上，给核心交换机带来了更大的压力，并且由于功能划分不清，服务器的数据交换直接在核心交换机上进行，带来了不安全因素。

2.3 交换机使用多年存在故障隐患

核心交换机以及各楼层交换机是于2009年所购，使用多年，存在故障风险。已经出现有部分交换机的网络口因故障无法使用的现象。如出现整台交换机故障，将给我院业务系统带来很大影响。并且因过保多年，维修费用较高，修理周期较长，这些不稳定因素给医院网络稳定运行增加了风险[2]。

2.4 出口边界安全性不够

与各分门诊部之间的连接，因为租用的是运营商的MSTP数字电路，因此，在出口边界必须加强安全措施，应架设防火墙，设置相应的安全策略。对于连接医保和政务网的出口，应该分为二个防火墙，以防单台防火墙故障而导致医保和政务业务同时中断。

2.5 主干网络带宽不足

主干网络仅使用千兆电口互联，影响医院业务系统运行，特别是影像调阅速度尤其明显。综合楼及放射科未铺设光纤，综合楼到门诊大楼的中心机房之间，仍然统一采用6类网线布线，而之间的距离过远，且有一段线路已暴露于地表，日晒雨淋。综合楼医生反映，业务系统打开速度很慢。放射科所拍影像需要上传到位于中心机房的服务器上，初期，只有二台放射设备，近年来，放射科设备逐渐增多，仅CT机器就有3台，而一张CT片达到一个G容量，上传速度严重影响运行效率，无法解决病人排队时间过长问题。

3 网络升级改造方案

3.1 总体目标

本着信息化为医院管理决策提供辅助作用，信息化为临床一线服务，信息化为病人服务的理念，结合医院的当前情况，以及未来数字化口腔医院发展的需要，我们决定对我院的业务网络进行升级改造，打造一个稳定、高效、安全、可扩展、易管理的网络基础环境[1]。

3.2 具体方案

根据设定的总体目标，我们统筹规划，在原有的网络基础上进行拓展，新增二台高性能核心交换机替代使用多年的二台思科4506E交换机，且这二台核心交换机配置防火墙模块。新增二台交换机作为服务器区域数据交换使用。使用具有万兆级联口的接入层交换机替换掉各楼层的原有2960系列交换机。服务器接入层、骨干核心层、网络接入层的主干采用OSPF三层互联消除二层网络影响。

3.2.1 核心交换区改造

网络架构是医院业务系统的基础，而核心交换是医院网络的关键。核心交换机是数据中转的枢纽，核心交换机的性能直接决定了一个网络是否稳定、高效。因此，核心交换机要求具有很高的交换容量以及快速包转发率[3]。本次我们采用了二台H3C的S7506E作为核心交换机。S7506E交换容量达到了15Tbps，包转发率达到了2880Mpps。配置具有IRFF弹性虚拟化功能，实现两台核心设备虚拟为一台设备，所有的控制，转发统一进行，同时避免二层的生成树，三层的VRRP[6]。配置一块48个千兆电口模块卡用于机房内部网络的连接，配置一块16口万兆模块卡和12个万兆SFP+多模模块用于实现主干网络连接。在二台核心交换机上配置防火墙板卡，实现对全网网络进行区域之间的访问控制限制。

3.2.2 服务器汇聚区改造

原有网络中，服务器直接连接到核心交换机上，不利于数据安全管理。新方案中，新增二台交换机实现IRF弹性网络虚拟化用于服务器的接入，新增的交换机通过万兆光模块连接到二台核心交换机上。通过核心交换机上的防火墙模块对服务器区域进行权限访问控制，达到安全隔离的目的。

3.2.3 接入层改造

原有楼层交换机为思科的2960，使用多年，已经出现许多端口故障。本次新增九台接入层交换机，替换原有1至8层以及综合楼的交换机。选用的H3C S5130交换容量达到256Gbps，包转发性能大于96Mpps，每台交换机具有48个千兆电口，以及四个万兆SFP+口，其配置的SFP+网络虚拟化模块可支持虚拟化堆叠技术，使多台接入层交换机虚拟成为一台逻辑设备，达到简化管理的目的。[5] 接入层交换机利用新铺设的光纤替代原有的6类网络线，通过万兆级联口连接到核心交换机的万兆端口，从而实现主干万兆，千兆到桌面。综合楼因与中心机房楼距较远、放射科因数据交换量大，均单独铺设光纤直接到中心机房。

3.2.4 出口边界改造

新增二台防火墙，其中一台用于将原来连接政务网和医保网所共用的防火墙拆分开来。以防止单台设备故障导致政务网和医保网同时掉线。再设置不同的安全策略以达到访问政务网和医保网的目的。对于分门诊部的出口处，架设一台防火墙，用来增强分门诊部和院本部数据交互的安全性。

4 达到的效果

部署完后的示意图如图2，按照新设计的方案部署实施完毕后，我们对实际效果进行了测试：在每个楼层随机挑选几台电脑，所挑选的几台电脑是不同的操作系统，处于不同的诊室。将事先挑选好的大容量文件拷贝到服务器，以及从服务器上拷贝该文件，经测试，平均速率基本在120MB/s，达到了千兆到桌面的要求。当进行多台设备同时拷贝的时候，其速率基本不受影响。放射科以及综合楼的医生反应，打开系统以及阅片的体验明显有了提高。在通往分门诊部的网络出口架设的防火墙，经过策略设置，成功实现了非允许访问的限制，提高了安全等级。

5 结束语

医院对于信息化的依赖越来越明显，医院信息化的程度影响着医院的业务流转以及病人的看病体验。而一个稳定、高效、安全的网络架构为医院信息化的发展奠定了坚实的根基[4]。万兆主干，千兆到桌面的模式已成为新时期适应医院信息化建设所需的关键平台。今后，医院还需根据互联网医院、数字化医院建设的新要求，在对原有网络进行升级改造的时候，考虑得更为全面。网络的层次划分，要考虑到核心、汇聚、交换三层结构，从网络安全角度考虑，要设业务网络区、行政办公网区、服务器区、内外网交互区、无线网络区、测试区等。还要根据不同的需求，增设防火墙等安全设备，进行数据流量的严格控制。通过本次升级改造，口腔医院成功实现了业务网络系统三层体系架构，消除了二层广播风暴，极大的提高了应用系统的访问速度，通过区域访问限制，提高了数据安全性，达到了预期的效果，保障了医院业务系统安全、稳定的运行，也为今后进一步的网络功能细分搭好了一个框架，提供了一个基础，为更好地实现数字化医院创造了一个良好的开端。

参考文献（References）：

[1] 劉海林.基于三层架构的医院网络改造与实施方案[J].中国医学教育技术，2012.26（4）：451-453

[2] 邹玉蓉.我院网络系统的改造与实现[J].医院数字化，2010.25（9）：30-36

[3] 宋磊.医院信息化建设中的网络架构规划与设计[J].医学信息学杂志，2014，35（11）：17-21

[4] 徐瑶.浅谈医院网络基础架构与维护[J].通信设计与应用，2017.7：6-7

[5] 黄晟，何毅.医院智能化网络建设探讨[J].自动化应用，2018.8：72-75

[6] 杨霜英，徐旭东等.大型医院信息系统网络改造研究[J].中国医疗装备，2010.25（1）：29-35