王肖

南京震鑠電子科技有限公司 江蘇南京 210000

1 智慧醫(yī)院網絡設計思想與設計原則

醫(yī)院網絡關鍵基礎設施系統(tǒng)的平臺搭建，它負責傳輸所有的醫(yī)院數據通信?？煽康男畔⒓夹g服務，穩(wěn)定的運營至關重要。建設網絡平臺要符合以下原則進行：

1.1 穩(wěn)定性、可靠性

醫(yī)院進行網絡運行最基本的訴求即為網絡系統(tǒng)的穩(wěn)定和可靠性，包括：PACS 數據傳輸、醫(yī)生閱片調取、門急診掛號及收費等系統(tǒng)的穩(wěn)定運行。

關鍵設備冗余，在硬件上包括預留支持熱插拔板，增加冗余控制模塊，雙路甚至四路UPS 電源接入。冗余信息網絡系統(tǒng)設計，包括核心及匯聚層網絡設備雙機熱備，接入層鏈路端口冗余、主要技術設備端口鏈路聚合、主要存儲設備負載均衡設計[1]。

1.2 安全性

安全性關系到醫(yī)院信息系統(tǒng)病患及醫(yī)療信息的保密，自身網絡系統(tǒng)運行的穩(wěn)定，包括邏輯安全控制和物理空間的網絡安全控制。除了天融信、亞信安全、深信服等專業(yè)的安全設備提供的專業(yè)安全防護，基礎的網絡技術層面也需要我們具備一定的網絡信息安全防范能力，如防IP 沖突、ARP 攻擊等。通過部署網絡安全設備，一方面是為了滿足醫(yī)院內部信息的安全性，另一方面滿足等保要求和醫(yī)院等級評審需求。

1.3 先進性、可擴展性與實用性結合

醫(yī)院網絡設計不僅需要能夠滿足當前系統(tǒng)運行需要，隨著不斷涌現的新新業(yè)務系統(tǒng)和不斷升級的現有業(yè)務系統(tǒng)，網絡系統(tǒng)需要能夠承載更多豐富業(yè)務及提供更快捷的服務。同時隨著城市經濟發(fā)展，諸多醫(yī)院開始在建設新的院區(qū)，新老院的信息互聯、共享，也是今后醫(yī)院發(fā)展的主流需求。所以，網絡的前瞻性設計需要充分考慮網絡的可擴展性。

1.4 易維護、可管理性

長期以來網絡運維大多依賴儲備相當網絡知識的專業(yè)型廠商工程師，才能在網絡癱瘓時迅速排查網絡故障節(jié)點，分析事故原因，再進行問題的解決。在新的網絡架構設計及產品選型時可管理及易維護性的需求日益增加。醫(yī)院運維管理團隊應該從繁雜的運維工作中抽出身來，更多的關注業(yè)務應用和創(chuàng)新。

2 智慧醫(yī)院網絡規(guī)劃設計

2.1 總體物理架構設計

醫(yī)院院區(qū)網絡的邏輯包括八大部分

終端層：包含醫(yī)院院區(qū)內的各種終端設備，例如醫(yī)生辦公電腦、自助報道機、自助膠片打印機、自助繳費機、查房PDA、門禁控制器、PACS 工作站等等。

接入層：負責將各種終端接入到院區(qū)網絡，通常由以光口交換機和電口接入交換機組成。對于某些終端，例如無線接入的AP 設備，仍然需要增加室內信號分布系統(tǒng)基站或者無線AC 控制器。

匯聚層：負責匯聚一棟大樓內的接入交換機流量，提供路由轉換，轉發(fā)大樓內接入交換機之間的流量。匯聚交換機應支持路由協議，跨院區(qū)網絡架構搭建時注意回指路由的配置。同時支持一些訪問控制列表的下發(fā)，對不同業(yè)務VLAN、地址段之間的數據交換及端口流量可以進行限制。匯聚層設備的選擇應根據接入層設備數量和分布來選擇相應的接口數；同時為避免擁塞現象，應考慮匯聚層的上行和下行的過載比。

核心層：核心層負責院區(qū)內部多個樓宇的數據交換，因此需要保持核心層設備配置簡單，不布置具體業(yè)務。核心網絡需要實現帶寬的高利用率、數據的高轉發(fā)性能和網絡故障的快速收斂。同時從可靠性方面考慮，核心層需要高冗余，可以將兩臺交換機在邏輯上虛擬成一臺交換機。

院區(qū)出口：院區(qū)出口是醫(yī)院院區(qū)網絡到外部公網的唯一通道，院區(qū)網的內部用戶通過網閘設備接入到公網，外部用戶（VPN 用戶等）也通過安全隔離與信息交換設備接入到內部網絡[2]。

數據中心區(qū)：部署存儲虛擬化設備、HIS 及PACS 數據庫及應用、虛擬化桌面應用、網絡安全設備（堡壘機、IT 安全運維管理軟件）等。為醫(yī)院內部醫(yī)護人員及管理人員提供數據和應用服務。

DMZ（Demilitarized Zone）區(qū)：通常外網應用服務器部署于該區(qū)域，為外部訪客（非醫(yī)院內部員工）及VPN 用戶提供相應的訪問業(yè)務。該區(qū)域安全性受到嚴格控制，建議部署IPS、防火墻、上網行為管理、防毒墻等設備。

Extranet 區(qū)：主要是面向外聯單位例如銀行、醫(yī)保網等其他類型為醫(yī)院提供服務的機柜。功能與DMZ 區(qū)相似。

2.2 總體邏輯架構設計

本次項目涉及醫(yī)院內網、外網和設備網建設：

內網：醫(yī)院管理及醫(yī)療系統(tǒng)運行的神經，要承載所有醫(yī)療業(yè)務，如HIS（醫(yī)院信息管理系統(tǒng)）、LIS（檢驗業(yè)務）、PACS（影像歸檔和通信系統(tǒng)）等業(yè)務數據傳輸。內網設備要求高冗余、高帶寬、高速率、大容量，并需考慮未來擴容、帶寬升級。

外網：即為管理辦公網，作為行政辦公、對外發(fā)布、互聯網醫(yī)學資料查詢的主要平臺，穩(wěn)定性和保密性要求低于內網，且接入終端及數據流特點也更為復雜。

設備網：即為弱電智能網，主要為院區(qū)內時間服務器、彩色網絡攝像機、門禁控制器、樓控網關設備、背景音樂網絡播放器、存儲及應用服務器等院區(qū)應用設備的數據交互。隨著院區(qū)智能網子系統(tǒng)日趨完善，綜合安防攝像機設備數量增加及視頻質量的提高，智能網的數據交換同樣需要大容量、高速率和高寬帶。

院區(qū)設計建設三張網，醫(yī)院內網、外網、設備網單獨部署，物理隔離。其中醫(yī)院內網和外網之間通過網閘進行必須的數據傳遞，在滿足等保要求的前提下實現應用接口的訪問。

2.3 可靠性設計

院區(qū)接入層設計比數據中心部署模式與特性需求更多：安全、認證、視頻、無線、應用可視化等，為便于在樓層進行靈活擴展、可融合各種無線解決方案，院區(qū)網絡建議使用Instant Access 即時接入技術，同時保持所有接入層設備功能一致性。通過預配置接入交換機信息，再連接物理設備可以提前做端口配置等詳細內容，不用等到物理設備上線再做配置。提高醫(yī)院運行的高適應性及高前瞻準備性[3]。

接入層多機堆疊雙上聯實現上行鏈接的雙歸屬。通過雙機虛擬化可以提高單節(jié)點設備及鏈路的可靠性。接入層設備端口流量也可以均勻分布在堆疊鏈路上，鏈路帶寬利用率大大增加。一條或多條鏈路故障后，流量自動切換到其他正常的鏈路。通過鏈路故障感知快速切換，設備上的所有業(yè)務將正常運行。網絡故障迅速收斂。

物理三層，邏輯兩層，管理IP 只需要幾個。繁瑣的配置工作將呈現幾何級數級減少，單IP 管理及排錯。結合Smart Install 可覆蓋FEX 與非FEX 所有設備，新增節(jié)點幾乎免配置。核心層設備功能延伸到接入層。網絡配置、管理、故障排查難度降低，運維簡化、呈單點形式展現。

2.4 網絡運維

目前醫(yī)院信息中心的運維工作人員除了負責HIS、PACS 等醫(yī)療軟件系統(tǒng)的維護還肩負著網絡硬件設備的運維管理，一般一個科室10 個人需要管理上千人運行的醫(yī)院，網絡系統(tǒng)的易維護性顯得尤為重要。通過PI 網管軟件，醫(yī)院有線和無線網絡得到統(tǒng)一的管理，同時網管軟件提供網絡拓撲的可視化、網絡節(jié)點狀態(tài)監(jiān)控、設備故障預警、實時事件警報和網絡流量統(tǒng)計。高效的網絡運維不僅是減輕技術人員運維和排查故障的工作量，更重要的是保障社會網絡及各應用管理系統(tǒng)的穩(wěn)定發(fā)展可靠、安全的運行。

3 結語

隨著生活條件的提升，整個社會對醫(yī)院發(fā)展更加關注和重視。為了滿足人們對優(yōu)質醫(yī)療資源不斷增加的需求，必須積極促進醫(yī)院轉型，全面建立具有信息化與智能化的智慧醫(yī)院，對醫(yī)院網絡架構進行全面的優(yōu)化。本文結合醫(yī)院發(fā)展實際，從物理層、邏輯層、安全可靠性方面，設計了完善的網絡方案。具體實施過程還需要注意VLAN 規(guī)劃、IP 規(guī)劃、路由規(guī)劃、WLAN、內部互訪、準入控制、行為管理等方面的具體設計。通過建立有線無線網絡的統(tǒng)一管理，保證了網絡策略的一致性，真正實現了有線無線網絡的融合。為醫(yī)護人員工作提供便捷高效的網絡工作環(huán)境，同時節(jié)約患者就醫(yī)取片、繳費時間，使患者獲得較舒適的就醫(yī)服務體驗，最終實現醫(yī)院整體服務的提升和醫(yī)療資源的高效利用。