医院数据中心建设中网络规划研究与应用
2021-05-11吴冠朋
摘要:随着医院数据中心建设愈发成为医院信息化建设的重要组成部分,网络建设作为数据中心建设的基础。本文以山东省立第三医院数据中心建设为例,介绍数据中心的网络规划和实施。文中网络建设划分为医院内网、医院外网两个区域。院内网区域实现医院HIS、LIS、PACS等主要业务安全稳定地运行,同时部署安全防护区域用于保护网络安全和数据安全。医院外网区域主要实现提供以面向患者服务的信息系统,同时部署安全产品进行互联网访问保护。通过网闸实现医院内网和外网区域的数据交换,本院数据中心网络规划与实施确保了网络通信与安全稳定运行,为数据中心提供了良好的网络基础。
关键词:数据中心;信息系统;网络规划;网络通信
【Abstract】Withthedevelopmentofhospitaldatacenter,itsdesignhasbecomeanimportantpartofhospitalinformationconstruction.TakingthedatacenterconstructionofShandongProvincialThirdHospitalasanexample,thepaperresearchesthenetworkplanningandimplementationofthedatacenter.Thenetworkconstructionisdividedintohospitalintranetandhospitalextranet.Themainbusiness,suchasHIS,LISandPACScanrunsafelyandstablyinthehospitalintranetarea.Atthesametime,thesecurityzoneisdeployedtoprotectnetworksecurityanddatasecurity.Theexternalnetworkareaofthehospitalmainlyprovidespatientorientedinformationsystem.Afterthat,securityproductsaredeployedforInternetaccessprotection.Dataexchangebetweenintranetandextranetinhospitalisrealizedthroughgateway.Thedatacenternetworkplanningandimplementationinthehospitalensurethenetworkcommunicationandsafeandstableoperation.Itprovidesagoodnetworkfoundationforthedatacenter.
【Keywords】datacenter;informationsystem;networkplanning;networkcommunication
作者簡介:吴冠朋(1989-),男,硕士,山东省立第三医院信息网络部工程师,主要研究方向:人工智能与图像处理技术。
0引言
随着信息化发展,国家加大基础建设投入,数据中心[1-3]建设成为政企、医院、学校等建设的重要组成部分。而数据中心建设包含硬件设备和软件设备。其中,硬件设备包含网络设备、服务器设备、安全设备等。而网络架构[4-5]作为数据中心的通信基础,也是建设数据中心必不可少的关键建设。本文以山东省立第三医院数据中心建设为例,介绍数据中心的网络规划和实施。本次研究的网络规划与实施很好地确保了网络通信与安全稳定运行。对此拟展开研究详述如下。
1数据中心网络建设方案
医院数据中心的建设是医院信息化[6]建设的重要评判标准,数据中心建设需要合理规划数据中心网络架构、安全防范[7]体系建设、
服务器集群搭建等。本文通过合理选用设备厂商提供的通信设备、安全交互设备、服务器等。数据中心网络建设方案如图1所示。图1中,数据中心区域主要是以服务器区域为主,包含院区的医院信息系统(HospitalInformationSystem,HIS)、实验室信息管理系统(LaboratoryInformationManagementSystem,LIS)、医学影像存档与通讯系统(Picturearchivingandcommunicationsystems,PACS)、电子病历系统(ElectronicMedicalRecord,EMR)等,是医院业务展开的核心。其次,是运维管理区域,包含运维管理系统、认证系统等。安全防护区域包含:准入系统、杀毒系统、日志审计系统、数据库审计系统、堡垒机系统、VPN接入系统等。院区网主要分为医院内网和医院外网,都是通过标准三层网络架构,包含核心设备、汇聚设备、接入设备等。院区内外网络通过具有网络隔离的网闸设备进行内外网间的数据交互。对外网区域包括互联网出口防火墙、上网行为管理系统等进行网络保护与行为管理。
2数据中心网络架构规划与实施
网络架构的规划与实施是数据中心建设的基础,为达到网络架构规划与实施,对此可做阐释分述如下。
2.1数据中心建设需求
以网络应用需求、网络性能需求、信息点统计作为网络规划需求分析。网络应用应满足目前院区现有HIS系统、LIS系统、PACS系统等业务,系统总体需要使用HTTP、FTP、HTTPS等端口应用需求,核心层网络需要具备:整机交换容量≥150Tbps,包转发率≥36000Mpps,业务插槽数量≥6,全宽主控引擎槽位≥2,独立交换网板槽位≥1个等。汇聚层设备需要满足:交换容量≥23Tbps,包转发率≥1080Mpps,万兆光接口≥48,40G光接口≥2等。接入层设备需要满足的性能:千兆电口≥48个,万兆光接口≥2个,万兆电口≥2个;整机交换容量≥330Gbps,转发性能≥160Mpps等。并且所有网络设备可以做到物理设备虚拟化、支持冗余链路。信息点统计主要是以电脑、打印机等接入终端数量,信息点达到2000多,根据楼宇及楼层划分不同的虚拟局域网(VirtualLocalAreaNetwork,VLAN)。实现网络的访问隔离。
2.2综合布线[8-9]总体设计
根据院区现有HIS系统、LIS系统、PACS系统等业务,结合网络总体设计考虑到楼宇间、中心机房的综合布线[8]、楼宇间互联设备及传输介质的选择、主干链路带宽、接入带宽、无线网络方案等多种需求。楼宇间、中心机房的综合布线以支持万兆传输的6类双绞线及支持万兆光纤作为主要布线方式。楼宇间互联设备通过长距离的万兆光纤进行互联,为了保证链路传输的稳定性及安全性,楼宇互联设备采用双冗余链路。主干鏈路带宽通过4台核心设备两两形成虚拟化,主干链路之间通过4条10G链路聚合成一条40G逻辑链路,增加链路带宽、提高网络安全性等。接入带宽主要是以满足临床对PACS系统的需求,接入电脑支持千兆链路接入。为满足移动护理、手持终端PDA的需求,无线网络同样采用标准化三层网络架构,且通过安全加密认证方式达到内网访问的安全性。例如诊室的设计图纸,见图2。图2中,TN表示内网接入点。
2.3网络三层结构设计。
数据中心网络建设采用标准三层架构,详见图3。由图3可知,该架构包含核心层、汇聚层、接入层架构。根据接入信息点的数量计算出接入层设备、汇聚层设备、核心层设备的数据交换率、转发率、路由条数目、ARP数量、路由方式、负载分担、虚拟化等功能。
核心层设备采用2台H3C的7506E作为核心交换机,并且通过其独有的智能弹性框架技术(IntelligentResilientFramework,IRF)将设备上多台物理接口连接在一起后通过IRF技术将多台物理设备虚拟成一台逻辑设备。在设备上完成虚拟化后的配置如图4所示。
在核心交换机上完成业务接入虚拟局域网[10](VirtualLocalAreaNetwork,VLAN)设计、物理接口链路聚合、访问控制策略、流量镜像、访问路由、登录方式等。
汇聚层设备主要完成接入层设备的汇聚、流量转发、网络隔离、协议过滤等功能。汇聚层设备采用2台H3C的S6520作为汇聚交换机,同样通过IRF技术实现物理设备虚拟化,并且在上行链路连接至汇聚交换机时采用冗余口字型链路,提高网络稳定性,降低因单链路、单点故障而导致的网络中断,汇聚交换机上物理接口上的配置如图5所示。
接入层交换机主要完成终端设备的接入,通过在不同楼层划分不同的VLAN,实现网络访问隔离。并且接入层交换机通过链路聚合分别上联不通的2台汇聚交换机,实现物理链路的冗余。接入交换机上的聚合链路及接入VLAN如图6所示。
以部分楼层IP及网络划分为例,具体规划见表1。
3安全防范体系建设
安全防范体系[11-12]建设分为内外网数据交互、互联网访问交互、院内安全管理区域。对此可给出探讨论述如下。
内外网数据的交互主要以网闸设备进行数据交换,网闸主要分为安全区域和非安全区,通常内网设备所在的区域为安全区,互联网设备所在的区域是非安全区。信息交互的原理是分时使用2个区域中的数据通道进行数据交换,类似船只摆渡原理。网闸能够在数据交换过程中进行恶意病毒攻击防范、恶意信息过滤,提高信息的安全性。
互联网访问交互主要是以防火墙设备为主,出口防火墙上配置双机冗余实现热备,这样一台设备故障其他设备接替工作,同时增强网络稳定性,保证业务的连续性。出口防火墙外网区域连接不同运营商线路,实现负载均衡的同时提高出口稳定性。互联网访问交互区域还部署IPS设备、WAF设备、上网行为设备、终端准入与管理设备等安全产品。
院内安全管理区域主要是将安全设备通过旁路方式接入院内网络,安全设备包含VPN、堡垒机、日志审计、数据库审计、终端准入、入侵检测等。通过VPN、堡垒机、终端准入、入侵检测等安全设备的访问控制手段保护终端设备访问服务器;日志审计、数据库审计设备提供访问记录与操作记录,实现安全事件发生后的追踪。
4结束语
本文中网络建设划分为医院内网、医院外网两个区域。内网区域建设可实现医院HIS、LIS、PACS等主要业务的安全稳定运行,同时部署安全防护区域用于保护网络安全和数据安全。医院外网区域主要提供面向患者服务的信息系统,通过网闸进行医院内网和外网区域的数据交换,实现面向患者服务的信息系统,同时部署安全产品进行互联网访问保护。目前,本院的网络规划与实施很好地确保了网络通信与安全稳定运行。今后将继续针对数据中心加强访问控制策略,进一步完善网络体系架构,提高数据安全性。
参考文献
[1]CAIJun,ZHANGZhuo,JIZhengnan.Constructionofdatacentreincampusnetwork[C]//2012SecondInternationalConferenceonBusinessComputing&GlobalInformatization.Shanghai,China:IEEEComputerSociety,2012:622-624.
[2]魏祥麟,陈鸣,范建华,等.数据中心网络的体系结构[J].软件学报,2013(2):295-316.
[3]许鑫,苏新宁,吴乃冈.高校共享数据中心平台的设计与实现[J].现代图书情报技术,2005(6):48-53.
[4]张东湖,何雨生,罗京全,等.医院三层网络架构分析与设计[J].中国医疗设备,2008,23(7):30-32,40.
[5]朱建江,朱正江,彭龙.企业园区三层网络架构的设计与实现[J].计算机与现代化,2009(9):70-73,76.
[6]王佳,王伟,程实.医院信息化建设实践中问题的探讨[J].医学信息学杂志,2013(3):20-23.
[7]林庆华.企业网络系统安全架构分析设计与实施[D].济南:山东大学,2007.
[8]任增龙.对医院综合布线系统建设的几点意见[J].中国医疗设备,2010,25(4):62-64.
[9]罗敏,王小林,罗松,等.医学影像存储与传输系统的综合布线和网络系统的设计[J].中华放射学杂志,2002,36(6):493-497.
[10]刘佳兰.VLAN在医院网络信息安全管理上的运用[J].信息系统工程,2018(4):50.
[11]尚文刚,吴华.医院信息系统安全防范体系的设计与实现[J].计算机工程与设计,2006,27(9):1675-1677.
[12]周立志,朱尚明.高校网络信息安全体系建设实践和思考[J].深圳大学学报(理工版),2020,37(S1):79-83.