毛瑋

摘? 要： 簡(jiǎn)要介紹了福建醫(yī)科大學(xué)附屬口腔醫(yī)院信息化發(fā)展情況，對(duì)醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)現(xiàn)狀進(jìn)行了分析。針對(duì)目前業(yè)務(wù)網(wǎng)絡(luò)存在的問(wèn)題，提出了網(wǎng)絡(luò)升級(jí)改造的方案。對(duì)核心交換機(jī)和接入層交換機(jī)以及涉及到的核心交換區(qū)、服務(wù)器匯聚區(qū)、接入交換區(qū)、出口邊界等進(jìn)行了升級(jí)改造，使醫(yī)院網(wǎng)絡(luò)實(shí)現(xiàn)三層結(jié)構(gòu)，提高數(shù)據(jù)傳輸效率，進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全。網(wǎng)絡(luò)改造后經(jīng)測(cè)試，網(wǎng)速有了很大的提升，業(yè)務(wù)系統(tǒng)運(yùn)行流暢，醫(yī)護(hù)人員反應(yīng)良好，達(dá)到了預(yù)期的效果。

關(guān)鍵詞： 醫(yī)院網(wǎng)絡(luò); 網(wǎng)絡(luò)升級(jí); 網(wǎng)絡(luò)改造; 醫(yī)院信息化

中圖分類號(hào)：TP393.1? ? ? ? ? 文獻(xiàn)標(biāo)志碼：A? ? ?文章編號(hào)：1006-8228（2019）05-105-04

Abstract： This paper briefly introduces the development of information technology in stomatological hospital of Fujian Medical University， analyses the present situation of the hospital business network， aiming at the problems existing in the current business network， puts forward the scheme of upgrading and transforming the network. By upgrading the core switch and access layer switch， and the involved core switch area， server convergence area， access layer switch area and the export boundary， the hospital network realizes a three-tier structure， which improves the data transmission efficiency and further strengthens the network security. After upgrading the network， the network speed has been greatly improved， the business system runs smoothly， and the medical staff has responded well， which has achieved the desired results.

Key words： hospital network; network upgrade; network reconstruction; hospital informatization

0 引言

福建醫(yī)科大學(xué)附屬口腔醫(yī)院于1984年成立，現(xiàn)已是一所口腔?？迫?jí)甲等醫(yī)院。醫(yī)院信息科于2008年成立，于2009年建立全院網(wǎng)絡(luò)系統(tǒng)。經(jīng)過(guò)數(shù)年的建設(shè)，醫(yī)院已上線了HIS，LIS，PACS，RIS，OA等20多個(gè)信息系統(tǒng)。隨著醫(yī)院不斷的發(fā)展，系統(tǒng)不斷的增多，醫(yī)院網(wǎng)絡(luò)壓力明顯增加，近年來(lái)，我院先后在臺(tái)江區(qū)交通路、晉江市、連江縣、以及仁德路開(kāi)設(shè)了分門診部，分門診部與院本部實(shí)現(xiàn)信息一體化管理。分門診部的增多使信息點(diǎn)數(shù)量不斷增加，數(shù)據(jù)在分門診與院本部之間交互使得數(shù)據(jù)量明顯增大，影響了數(shù)據(jù)傳輸效率，分門診部與本部的網(wǎng)絡(luò)連接在安全性方面也面臨著壓力。院本部的醫(yī)生也反映，業(yè)務(wù)系統(tǒng)在使用的時(shí)候，流暢度下降，特別在查閱病人的影像數(shù)據(jù)時(shí)，因數(shù)據(jù)量較大，往往要花較長(zhǎng)時(shí)間才能打開(kāi)?？紤]以上因素，結(jié)合新時(shí)期對(duì)醫(yī)院三級(jí)等保建設(shè)的要求，經(jīng)過(guò)集體討論，擬對(duì)我院業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行升級(jí)改造，以提高我院信息化建設(shè)的基礎(chǔ)設(shè)施保障，進(jìn)而為更好地推動(dòng)數(shù)字化醫(yī)院建設(shè)打下堅(jiān)實(shí)基礎(chǔ)，達(dá)到信息化建設(shè)服務(wù)臨床、信息化推動(dòng)醫(yī)院發(fā)展、信息化更好地服務(wù)病人的目標(biāo)。

1 業(yè)務(wù)網(wǎng)絡(luò)現(xiàn)狀

如圖1所示，我院原有網(wǎng)絡(luò)的核心交換區(qū)由二臺(tái)思科4506構(gòu)成，二臺(tái)核心之間做了冗余設(shè)計(jì)，門診樓1至7層每層的弱電間至機(jī)房的核心交換機(jī)之間各鋪設(shè)二條6類網(wǎng)絡(luò)線。每層弱電間的交換機(jī)各由二臺(tái)24口的思科2960組成。在這種網(wǎng)絡(luò)架構(gòu)下，主干網(wǎng)絡(luò)數(shù)據(jù)為千兆，而終端電腦速率為百兆。對(duì)于和分門診部的連接，我們采用租用運(yùn)營(yíng)商的MSTP電路模式，在每個(gè)分門診部各放置一臺(tái)交換機(jī)，連接到院本部的一臺(tái)思科2960交換機(jī)上。通過(guò)一臺(tái)防火墻實(shí)現(xiàn)到政務(wù)網(wǎng)及醫(yī)保網(wǎng)的出口。而服務(wù)器直接通過(guò)6類線連接到核心交換機(jī)上。隨著醫(yī)院規(guī)模不斷擴(kuò)大，業(yè)務(wù)系統(tǒng)不斷地增多，數(shù)據(jù)流量轉(zhuǎn)發(fā)頻繁，加之網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻，我院原有網(wǎng)絡(luò)架構(gòu)過(guò)于簡(jiǎn)單，已不能適應(yīng)信息化醫(yī)院發(fā)展的要求。

2 存在的問(wèn)題

2.1 網(wǎng)絡(luò)架構(gòu)過(guò)于簡(jiǎn)單

網(wǎng)絡(luò)架構(gòu)模式只有核心層和接入層，主干采用VRRP+MSTP組網(wǎng)方式，網(wǎng)絡(luò)收斂容易造成網(wǎng)絡(luò)丟包。網(wǎng)絡(luò)廣播域大，原有網(wǎng)絡(luò)采用大二層的網(wǎng)絡(luò)架構(gòu)，整個(gè)網(wǎng)絡(luò)都在一個(gè)廣播域里面，某個(gè)節(jié)點(diǎn)出現(xiàn)網(wǎng)絡(luò)風(fēng)暴容易導(dǎo)致全網(wǎng)癱瘓。在醫(yī)院信息化剛起步的時(shí)候，由于用戶數(shù)量少，感覺(jué)不到對(duì)網(wǎng)絡(luò)的影響，但是經(jīng)過(guò)幾年的發(fā)展，加之幾個(gè)分門診部的設(shè)立，現(xiàn)在醫(yī)院的信息點(diǎn)數(shù)量已經(jīng)大量增多，終端所產(chǎn)生的數(shù)據(jù)使得核心交換機(jī)的壓力變得非常大，由于口腔醫(yī)療的特殊性，醫(yī)生需要建立病人的完整檔案，包括現(xiàn)場(chǎng)拍攝的病人照片需要導(dǎo)入醫(yī)生的電腦，這就面臨著使電腦中毒的可能性，而一旦病毒在業(yè)務(wù)網(wǎng)絡(luò)內(nèi)傳播，極有可能攻擊核心交換機(jī)，使核心交換機(jī)陷入癱瘓，從而使我院所有信息業(yè)務(wù)系統(tǒng)停擺。

2.2 網(wǎng)絡(luò)沒(méi)有區(qū)域訪問(wèn)限制

沒(méi)有劃分服務(wù)器連接區(qū)域，每臺(tái)服務(wù)器都直接連接到核心交換機(jī)上，由于之前業(yè)務(wù)系統(tǒng)較為單一，主要為收費(fèi)系統(tǒng)和看片系統(tǒng)，現(xiàn)在隨著系統(tǒng)逐漸增多，有20多臺(tái)服務(wù)器直接連接到核心交換機(jī)上，給核心交換機(jī)帶來(lái)了更大的壓力，并且由于功能劃分不清，服務(wù)器的數(shù)據(jù)交換直接在核心交換機(jī)上進(jìn)行，帶來(lái)了不安全因素。

2.3 交換機(jī)使用多年存在故障隱患

核心交換機(jī)以及各樓層交換機(jī)是于2009年所購(gòu)，使用多年，存在故障風(fēng)險(xiǎn)。已經(jīng)出現(xiàn)有部分交換機(jī)的網(wǎng)絡(luò)口因故障無(wú)法使用的現(xiàn)象。如出現(xiàn)整臺(tái)交換機(jī)故障，將給我院業(yè)務(wù)系統(tǒng)帶來(lái)很大影響。并且因過(guò)保多年，維修費(fèi)用較高，修理周期較長(zhǎng)，這些不穩(wěn)定因素給醫(yī)院網(wǎng)絡(luò)穩(wěn)定運(yùn)行增加了風(fēng)險(xiǎn)[2]。

2.4 出口邊界安全性不夠

與各分門診部之間的連接，因?yàn)樽庥玫氖沁\(yùn)營(yíng)商的MSTP數(shù)字電路，因此，在出口邊界必須加強(qiáng)安全措施，應(yīng)架設(shè)防火墻，設(shè)置相應(yīng)的安全策略。對(duì)于連接醫(yī)保和政務(wù)網(wǎng)的出口，應(yīng)該分為二個(gè)防火墻，以防單臺(tái)防火墻故障而導(dǎo)致醫(yī)保和政務(wù)業(yè)務(wù)同時(shí)中斷。

2.5 主干網(wǎng)絡(luò)帶寬不足

主干網(wǎng)絡(luò)僅使用千兆電口互聯(lián)，影響醫(yī)院業(yè)務(wù)系統(tǒng)運(yùn)行，特別是影像調(diào)閱速度尤其明顯。綜合樓及放射科未鋪設(shè)光纖，綜合樓到門診大樓的中心機(jī)房之間，仍然統(tǒng)一采用6類網(wǎng)線布線，而之間的距離過(guò)遠(yuǎn)，且有一段線路已暴露于地表，日曬雨淋。綜合樓醫(yī)生反映，業(yè)務(wù)系統(tǒng)打開(kāi)速度很慢。放射科所拍影像需要上傳到位于中心機(jī)房的服務(wù)器上，初期，只有二臺(tái)放射設(shè)備，近年來(lái)，放射科設(shè)備逐漸增多，僅CT機(jī)器就有3臺(tái)，而一張CT片達(dá)到一個(gè)G容量，上傳速度嚴(yán)重影響運(yùn)行效率，無(wú)法解決病人排隊(duì)時(shí)間過(guò)長(zhǎng)問(wèn)題。

3 網(wǎng)絡(luò)升級(jí)改造方案

3.1 總體目標(biāo)

本著信息化為醫(yī)院管理決策提供輔助作用，信息化為臨床一線服務(wù)，信息化為病人服務(wù)的理念，結(jié)合醫(yī)院的當(dāng)前情況，以及未來(lái)數(shù)字化口腔醫(yī)院發(fā)展的需要，我們決定對(duì)我院的業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行升級(jí)改造，打造一個(gè)穩(wěn)定、高效、安全、可擴(kuò)展、易管理的網(wǎng)絡(luò)基礎(chǔ)環(huán)境[1]。

3.2 具體方案

根據(jù)設(shè)定的總體目標(biāo)，我們統(tǒng)籌規(guī)劃，在原有的網(wǎng)絡(luò)基礎(chǔ)上進(jìn)行拓展，新增二臺(tái)高性能核心交換機(jī)替代使用多年的二臺(tái)思科4506E交換機(jī)，且這二臺(tái)核心交換機(jī)配置防火墻模塊。新增二臺(tái)交換機(jī)作為服務(wù)器區(qū)域數(shù)據(jù)交換使用。使用具有萬(wàn)兆級(jí)聯(lián)口的接入層交換機(jī)替換掉各樓層的原有2960系列交換機(jī)。服務(wù)器接入層、骨干核心層、網(wǎng)絡(luò)接入層的主干采用OSPF三層互聯(lián)消除二層網(wǎng)絡(luò)影響。

3.2.1 核心交換區(qū)改造

網(wǎng)絡(luò)架構(gòu)是醫(yī)院業(yè)務(wù)系統(tǒng)的基礎(chǔ)，而核心交換是醫(yī)院網(wǎng)絡(luò)的關(guān)鍵。核心交換機(jī)是數(shù)據(jù)中轉(zhuǎn)的樞紐，核心交換機(jī)的性能直接決定了一個(gè)網(wǎng)絡(luò)是否穩(wěn)定、高效。因此，核心交換機(jī)要求具有很高的交換容量以及快速包轉(zhuǎn)發(fā)率[3]。本次我們采用了二臺(tái)H3C的S7506E作為核心交換機(jī)。S7506E交換容量達(dá)到了15Tbps，包轉(zhuǎn)發(fā)率達(dá)到了2880Mpps。配置具有IRFF彈性虛擬化功能，實(shí)現(xiàn)兩臺(tái)核心設(shè)備虛擬為一臺(tái)設(shè)備，所有的控制，轉(zhuǎn)發(fā)統(tǒng)一進(jìn)行，同時(shí)避免二層的生成樹(shù)，三層的VRRP[6]。配置一塊48個(gè)千兆電口模塊卡用于機(jī)房?jī)?nèi)部網(wǎng)絡(luò)的連接，配置一塊16口萬(wàn)兆模塊卡和12個(gè)萬(wàn)兆SFP+多模模塊用于實(shí)現(xiàn)主干網(wǎng)絡(luò)連接。在二臺(tái)核心交換機(jī)上配置防火墻板卡，實(shí)現(xiàn)對(duì)全網(wǎng)網(wǎng)絡(luò)進(jìn)行區(qū)域之間的訪問(wèn)控制限制。

3.2.2 服務(wù)器匯聚區(qū)改造

原有網(wǎng)絡(luò)中，服務(wù)器直接連接到核心交換機(jī)上，不利于數(shù)據(jù)安全管理。新方案中，新增二臺(tái)交換機(jī)實(shí)現(xiàn)IRF彈性網(wǎng)絡(luò)虛擬化用于服務(wù)器的接入，新增的交換機(jī)通過(guò)萬(wàn)兆光模塊連接到二臺(tái)核心交換機(jī)上。通過(guò)核心交換機(jī)上的防火墻模塊對(duì)服務(wù)器區(qū)域進(jìn)行權(quán)限訪問(wèn)控制，達(dá)到安全隔離的目的。

3.2.3 接入層改造

原有樓層交換機(jī)為思科的2960，使用多年，已經(jīng)出現(xiàn)許多端口故障。本次新增九臺(tái)接入層交換機(jī)，替換原有1至8層以及綜合樓的交換機(jī)。選用的H3C S5130交換容量達(dá)到256Gbps，包轉(zhuǎn)發(fā)性能大于96Mpps，每臺(tái)交換機(jī)具有48個(gè)千兆電口，以及四個(gè)萬(wàn)兆SFP+口，其配置的SFP+網(wǎng)絡(luò)虛擬化模塊可支持虛擬化堆疊技術(shù)，使多臺(tái)接入層交換機(jī)虛擬成為一臺(tái)邏輯設(shè)備，達(dá)到簡(jiǎn)化管理的目的。[5] 接入層交換機(jī)利用新鋪設(shè)的光纖替代原有的6類網(wǎng)絡(luò)線，通過(guò)萬(wàn)兆級(jí)聯(lián)口連接到核心交換機(jī)的萬(wàn)兆端口，從而實(shí)現(xiàn)主干萬(wàn)兆，千兆到桌面。綜合樓因與中心機(jī)房樓距較遠(yuǎn)、放射科因數(shù)據(jù)交換量大，均單獨(dú)鋪設(shè)光纖直接到中心機(jī)房。

3.2.4 出口邊界改造

新增二臺(tái)防火墻，其中一臺(tái)用于將原來(lái)連接政務(wù)網(wǎng)和醫(yī)保網(wǎng)所共用的防火墻拆分開(kāi)來(lái)。以防止單臺(tái)設(shè)備故障導(dǎo)致政務(wù)網(wǎng)和醫(yī)保網(wǎng)同時(shí)掉線。再設(shè)置不同的安全策略以達(dá)到訪問(wèn)政務(wù)網(wǎng)和醫(yī)保網(wǎng)的目的。對(duì)于分門診部的出口處，架設(shè)一臺(tái)防火墻，用來(lái)增強(qiáng)分門診部和院本部數(shù)據(jù)交互的安全性。

4 達(dá)到的效果

部署完后的示意圖如圖2，按照新設(shè)計(jì)的方案部署實(shí)施完畢后，我們對(duì)實(shí)際效果進(jìn)行了測(cè)試：在每個(gè)樓層隨機(jī)挑選幾臺(tái)電腦，所挑選的幾臺(tái)電腦是不同的操作系統(tǒng)，處于不同的診室。將事先挑選好的大容量文件拷貝到服務(wù)器，以及從服務(wù)器上拷貝該文件，經(jīng)測(cè)試，平均速率基本在120MB/s，達(dá)到了千兆到桌面的要求。當(dāng)進(jìn)行多臺(tái)設(shè)備同時(shí)拷貝的時(shí)候，其速率基本不受影響。放射科以及綜合樓的醫(yī)生反應(yīng)，打開(kāi)系統(tǒng)以及閱片的體驗(yàn)明顯有了提高。在通往分門診部的網(wǎng)絡(luò)出口架設(shè)的防火墻，經(jīng)過(guò)策略設(shè)置，成功實(shí)現(xiàn)了非允許訪問(wèn)的限制，提高了安全等級(jí)。

5 結(jié)束語(yǔ)

醫(yī)院對(duì)于信息化的依賴越來(lái)越明顯，醫(yī)院信息化的程度影響著醫(yī)院的業(yè)務(wù)流轉(zhuǎn)以及病人的看病體驗(yàn)。而一個(gè)穩(wěn)定、高效、安全的網(wǎng)絡(luò)架構(gòu)為醫(yī)院信息化的發(fā)展奠定了堅(jiān)實(shí)的根基[4]。萬(wàn)兆主干，千兆到桌面的模式已成為新時(shí)期適應(yīng)醫(yī)院信息化建設(shè)所需的關(guān)鍵平臺(tái)。今后，醫(yī)院還需根據(jù)互聯(lián)網(wǎng)醫(yī)院、數(shù)字化醫(yī)院建設(shè)的新要求，在對(duì)原有網(wǎng)絡(luò)進(jìn)行升級(jí)改造的時(shí)候，考慮得更為全面。網(wǎng)絡(luò)的層次劃分，要考慮到核心、匯聚、交換三層結(jié)構(gòu)，從網(wǎng)絡(luò)安全角度考慮，要設(shè)業(yè)務(wù)網(wǎng)絡(luò)區(qū)、行政辦公網(wǎng)區(qū)、服務(wù)器區(qū)、內(nèi)外網(wǎng)交互區(qū)、無(wú)線網(wǎng)絡(luò)區(qū)、測(cè)試區(qū)等。還要根據(jù)不同的需求，增設(shè)防火墻等安全設(shè)備，進(jìn)行數(shù)據(jù)流量的嚴(yán)格控制。通過(guò)本次升級(jí)改造，口腔醫(yī)院成功實(shí)現(xiàn)了業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)三層體系架構(gòu)，消除了二層廣播風(fēng)暴，極大的提高了應(yīng)用系統(tǒng)的訪問(wèn)速度，通過(guò)區(qū)域訪問(wèn)限制，提高了數(shù)據(jù)安全性，達(dá)到了預(yù)期的效果，保障了醫(yī)院業(yè)務(wù)系統(tǒng)安全、穩(wěn)定的運(yùn)行，也為今后進(jìn)一步的網(wǎng)絡(luò)功能細(xì)分搭好了一個(gè)框架，提供了一個(gè)基礎(chǔ)，為更好地實(shí)現(xiàn)數(shù)字化醫(yī)院創(chuàng)造了一個(gè)良好的開(kāi)端。

參考文獻(xiàn)（References）：

[1] 劉海林.基于三層架構(gòu)的醫(yī)院網(wǎng)絡(luò)改造與實(shí)施方案[J].中國(guó)醫(yī)學(xué)教育技術(shù)，2012.26（4）：451-453

[2] 鄒玉蓉.我院網(wǎng)絡(luò)系統(tǒng)的改造與實(shí)現(xiàn)[J].醫(yī)院數(shù)字化，2010.25（9）：30-36

[3] 宋磊.醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)架構(gòu)規(guī)劃與設(shè)計(jì)[J].醫(yī)學(xué)信息學(xué)雜志，2014，35（11）：17-21

[4] 徐瑤.淺談醫(yī)院網(wǎng)絡(luò)基礎(chǔ)架構(gòu)與維護(hù)[J].通信設(shè)計(jì)與應(yīng)用，2017.7：6-7

[5] 黃晟，何毅.醫(yī)院智能化網(wǎng)絡(luò)建設(shè)探討[J].自動(dòng)化應(yīng)用，2018.8：72-75

[6] 楊霜英，徐旭東等.大型醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)改造研究[J].中國(guó)醫(yī)療裝備，2010.25（1）：29-35