醫(yī)院網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)

醫(yī)院網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)[摘要]隨著醫(yī)院信息化進(jìn)程的深入，醫(yī)院信息平臺的運(yùn)行將越來越依賴基礎(chǔ)網(wǎng)絡(luò)的建設(shè)。網(wǎng)絡(luò)成為醫(yī)院各種關(guān)鍵數(shù)據(jù)的信息進(jìn)行交互和傳遞的重要途徑。多種網(wǎng)絡(luò)架構(gòu)擁有各自的優(yōu)勢與不足，下面就我對其的認(rèn)識作出闡述和選擇一種合適的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。[關(guān)鍵字]內(nèi)外網(wǎng)融合，內(nèi)外網(wǎng)分離，結(jié)合醫(yī)院的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)發(fā)展至今，主要分為三種架構(gòu)，分別是內(nèi)外網(wǎng)融合的網(wǎng)絡(luò)架構(gòu)、內(nèi)外網(wǎng)分離的網(wǎng)絡(luò)架構(gòu)、以及最近幾年剛剛興起的基于業(yè)務(wù)的無線網(wǎng)絡(luò)平臺架構(gòu)，這是和醫(yī)療信息化的發(fā)展階段分不開的。(內(nèi)網(wǎng)外網(wǎng)的概念為邏輯上的劃分，兩種實(shí)際的物理架構(gòu)中，邏輯上均包含內(nèi)網(wǎng)和外網(wǎng)兩部分。劃分主要根據(jù)業(yè)務(wù)系統(tǒng)的對內(nèi)對外服務(wù)屬性，醫(yī)療核心業(yè)務(wù)相關(guān)度等特性來進(jìn)行。)首先先來簡單認(rèn)識一下內(nèi)外網(wǎng)融合的網(wǎng)絡(luò)架構(gòu)、內(nèi)外網(wǎng)分離的網(wǎng)絡(luò)架構(gòu)和無線網(wǎng)絡(luò)平臺架構(gòu)和基于業(yè)務(wù)的無線網(wǎng)絡(luò)平臺架構(gòu)以及他們的優(yōu)缺點(diǎn)比較。內(nèi)外網(wǎng)融合的物理架構(gòu):就是醫(yī)院的內(nèi)網(wǎng)業(yè)務(wù)以及辦公業(yè)務(wù)都在一張基礎(chǔ)網(wǎng)絡(luò)上運(yùn)行，在這一網(wǎng)絡(luò)架構(gòu)之上，無論是數(shù)據(jù)的類型、重要程度，還是對網(wǎng)絡(luò)的要求，以及數(shù)據(jù)流方向都不盡相同，使得網(wǎng)絡(luò)數(shù)據(jù)復(fù)雜度提高而可控性下降。從介紹可知，所有業(yè)務(wù)都在一張基礎(chǔ)網(wǎng)上，缺點(diǎn)明顯可知，兩網(wǎng)僅邏輯隔離，外網(wǎng)對設(shè)備的攻擊可能引起內(nèi)外網(wǎng)絡(luò)全面癱瘓。優(yōu)點(diǎn)則是:可以保護(hù)投資，并且可以根據(jù)需要讓某部分終端可以同時(shí)訪問兩個(gè)區(qū)域，而且內(nèi)外網(wǎng)融合所需設(shè)備相對較少，在維護(hù)和購買設(shè)備方面都很大程度上減少了成本。內(nèi)外網(wǎng)分離的網(wǎng)絡(luò)架構(gòu):就是將醫(yī)院的內(nèi)網(wǎng)和外網(wǎng)業(yè)務(wù)分別放在一張單獨(dú)建立的網(wǎng)絡(luò)上來運(yùn)行，兩網(wǎng)物理隔離，最大限度的保障內(nèi)網(wǎng)業(yè)務(wù)及數(shù)據(jù)的安全。內(nèi)網(wǎng)主要承載醫(yī)療核心業(yè)務(wù)，如HIS、PACS等。外網(wǎng)作為行政辦公、對外發(fā)布、互聯(lián)網(wǎng)醫(yī)學(xué)資料查詢的主要平臺，對于穩(wěn)定性和保密的性的要求低于內(nèi)網(wǎng)，并且接入終端及數(shù)據(jù)流特點(diǎn)也更為復(fù)雜。優(yōu)點(diǎn)：內(nèi)外網(wǎng)無共用設(shè)備和鏈路，兩網(wǎng)之間互不影響。此種網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，能夠最大程度保證內(nèi)網(wǎng)安全。缺點(diǎn)：由于內(nèi)外網(wǎng)完全物理隔離，兩張網(wǎng)絡(luò)單獨(dú)建設(shè)，投資規(guī)模增大；靈活性稍弱，一臺終端只屬于一張網(wǎng)，不能同時(shí)對兩網(wǎng)資源進(jìn)行訪問，也不能自由切換；需要管理兩張網(wǎng)絡(luò)，增加管理成本無線網(wǎng)絡(luò)與上述兩種相比大大不同，它是采用無線傳輸媒介的計(jì)算機(jī)網(wǎng)絡(luò)，結(jié)合了最新的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和無線通信技術(shù)。首先，無線局域網(wǎng)是有線局域網(wǎng)的延伸。使用無線技術(shù)來發(fā)送和接收數(shù)據(jù)，減少了用戶的連線需求。由于采用無線信號通訊，在網(wǎng)絡(luò)接入方面就更加靈活了，只要有信號就可以通過無線網(wǎng)卡完成網(wǎng)絡(luò)接入的目的；同時(shí)網(wǎng)絡(luò)管理者也不用再擔(dān)心交換機(jī)或路由器端口數(shù)量不足而無法完成擴(kuò)容工作了。但是無線網(wǎng)絡(luò)初次建設(shè)成本較高，很多條件不是很好的醫(yī)院都無法實(shí)現(xiàn)；部署時(shí)需要改動現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，對原網(wǎng)絡(luò)進(jìn)行調(diào)整，增加初次部署復(fù)雜度，隨著無線網(wǎng)絡(luò)帶寬以及傳輸數(shù)據(jù)的增加，無線網(wǎng)絡(luò)可能會給有線網(wǎng)絡(luò)設(shè)備造成額外的壓力。網(wǎng)絡(luò)，保證網(wǎng)絡(luò)安全。之前也提到了通過MPLS（Multi-ProtocolLabelSwitching）VPN技術(shù)以及安全控制域的劃分，可以使內(nèi)外網(wǎng)融合架構(gòu)同時(shí)擁有內(nèi)外網(wǎng)分離架構(gòu)的特點(diǎn)，得兩網(wǎng)雖在一張網(wǎng)上，但運(yùn)行于各自不同的邏輯通道中，彼此之間互不可見；同時(shí)可以通過安全控制域的劃分，讓主機(jī)在接入時(shí)動態(tài)選擇要進(jìn)入的安全域，保證域內(nèi)訪問安全；就設(shè)備而言，通過設(shè)備本身的一些抗攻擊機(jī)制，如中央處理器保護(hù)機(jī)制，網(wǎng)絡(luò)基礎(chǔ)設(shè)計(jì)保護(hù)機(jī)制來達(dá)到合理分配交換機(jī)硬件資源，滿足不同場合應(yīng)用的目的。這樣就在一定程度上彌補(bǔ)了融合架構(gòu)的不足。在內(nèi)外網(wǎng)融合的架構(gòu)中，又包含兩種子架構(gòu)，分別是內(nèi)外網(wǎng)融合二層網(wǎng)絡(luò)架構(gòu)和內(nèi)外網(wǎng)融合三層網(wǎng)絡(luò)架構(gòu)。這兩種架構(gòu)都有其各自的區(qū)別及特點(diǎn)。二層網(wǎng)絡(luò)架構(gòu)，即全網(wǎng)接入層直接連接到核心或經(jīng)過一個(gè)二層設(shè)備轉(zhuǎn)連接至核心。其特點(diǎn)是：全網(wǎng)拓?fù)浜唵?，所有終端的網(wǎng)管位于核心交換機(jī)上，核心交換機(jī)通過MSTP（Multi-ServiceTransferPlatform）+VRRP（VirtualRouterRedundancyProtocol）、環(huán)網(wǎng)技術(shù)或者硬件虛擬化技術(shù)進(jìn)行部署，增加冗余性和魯棒性，但容易造成核心交換機(jī)壓力較大，易受到到來自各個(gè)區(qū)域終端的攻擊，導(dǎo)致網(wǎng)絡(luò)動蕩，網(wǎng)絡(luò)穩(wěn)定性下降。三層網(wǎng)絡(luò)架構(gòu)，即全網(wǎng)嚴(yán)格分為核心、匯聚、接入三層，接入層主要負(fù)責(zé)接入控制、VLAN劃分以及二層網(wǎng)絡(luò)的隔離與互通等功能；匯聚層設(shè)備作為各匯聚區(qū)域的網(wǎng)關(guān)，進(jìn)行三層網(wǎng)絡(luò)訪問控制，減輕核心交換壓力，分割網(wǎng)絡(luò)動蕩區(qū)域，使得局部的問題不影響全局，匯聚層之上通過三層接口與核心交換機(jī)進(jìn)行互聯(lián)，運(yùn)行動態(tài)或靜態(tài)路由協(xié)議，提高網(wǎng)絡(luò)自愈能力；核心層交換機(jī)主要負(fù)責(zé)高速的三層轉(zhuǎn)發(fā)，由于已在匯聚層上進(jìn)行控制域劃分，此時(shí)核心層啟用的策略更少，性能更高，風(fēng)險(xiǎn)降低?；谄涓髯缘膬?yōu)勢，針對不同區(qū)域往往兩種架構(gòu)共同使用，形成二三層混合架構(gòu)。例如將醫(yī)技終端接入?yún)^(qū)與核心共同組成二層架構(gòu)，而行政接入?yún)^(qū)則通過核心-匯聚-接入形成三成架構(gòu)，將其網(wǎng)關(guān)下移至匯聚交換機(jī)，降低該區(qū)域?qū)歉删W(wǎng)絡(luò)的影響。根據(jù)內(nèi)外網(wǎng)融合的網(wǎng)絡(luò)架構(gòu)畫出了拓?fù)鋱D：參照圖片對網(wǎng)絡(luò)架構(gòu)的實(shí)現(xiàn)分析如下：1.接入層設(shè)計(jì)接入層是醫(yī)院信息平臺上所有設(shè)備的邊緣接入網(wǎng)絡(luò)，是將終端接入網(wǎng)絡(luò)的邊緣，也是對終端用戶進(jìn)行訪問控制和隔離的邊緣，是網(wǎng)絡(luò)安全邊緣前移和全局網(wǎng)絡(luò)安全的基礎(chǔ)。接入層網(wǎng)絡(luò)設(shè)備主要由二層以太網(wǎng)交換機(jī)和無線接入點(diǎn)等設(shè)備組成，其中二層以太網(wǎng)交換機(jī)主要是為有線設(shè)備提供網(wǎng)絡(luò)控制和接入。作為醫(yī)院信息平臺的安全接入設(shè)備，接入層交換機(jī)應(yīng)選用智能網(wǎng)管型交換機(jī)，具備VLAN劃分，端口隔離，安全地址綁定，抗攻擊，QoS，防雷擊等功能，支持標(biāo)準(zhǔn)的802.1x訪問控制，支持標(biāo)準(zhǔn)的SNMP簡單網(wǎng)絡(luò)管理協(xié)議，支持DHCP-Snooping等功能，支持標(biāo)準(zhǔn)的RSTP（RapidSpaningTreeProtocol），MSTP（Multi-ServiceTransferPlatform）生成樹協(xié)議。接入層的設(shè)計(jì)需要充分考慮設(shè)備的穩(wěn)定性、安全性、冗余性和高性能，上聯(lián)至數(shù)據(jù)中心的鏈路盡量使用雙鏈路上聯(lián)，通過生成樹協(xié)議生成無環(huán)拓?fù)?，避免廣播風(fēng)暴，保證終端設(shè)備穩(wěn)定，安全，高速的接入醫(yī)院信息網(wǎng)絡(luò)平臺。2.匯聚層設(shè)計(jì)匯聚層是連接接入層與核心層之間的網(wǎng)絡(luò)層，為接入層提供數(shù)據(jù)的匯聚，傳輸，管理，分發(fā)處理，集中接入層流量，再轉(zhuǎn)發(fā)至核心層的功能，是局域網(wǎng)中隔離動蕩的控制點(diǎn)，也是區(qū)域網(wǎng)絡(luò)流量上收的關(guān)鍵點(diǎn)。匯聚層為接入層提供基于策略的連接,如地址合并，協(xié)議過濾,路由服務(wù),認(rèn)證管理等。通過網(wǎng)段劃分(如VLAN)與網(wǎng)絡(luò)隔離可以防止某些網(wǎng)段的問題蔓延和影響到核心層。匯聚層同時(shí)也可以提供接入層虛擬網(wǎng)之間的互連，控制和限制接入層對核心層的訪問，保證核心層的安全和穩(wěn)定。匯聚層設(shè)計(jì)為連接本地的邏輯中心，仍需要較高的性能和比較豐富的功能。匯聚層設(shè)備一般采用可管理的三層交換機(jī)或堆疊式交換機(jī)以達(dá)到帶寬和傳輸性能的要求。其設(shè)備性能較好，但價(jià)格高于接入層設(shè)備，而且對環(huán)境的要求也較高，對電磁輻射、溫度、濕度和空氣潔凈度等都有一定的要求。匯聚層設(shè)備之間以及匯聚層設(shè)備與核心層設(shè)備之間多采用光纖互聯(lián)，以提高系統(tǒng)的傳輸性能和吞吐量。用戶訪問控制一般會安排在在接入層，但也可以安排在匯聚層進(jìn)行。在匯聚層實(shí)現(xiàn)安全控制和身份認(rèn)證時(shí)，采用的是集中式的管理模式。當(dāng)網(wǎng)絡(luò)規(guī)模較大時(shí)，可以設(shè)計(jì)綜合安全管理策略，例如在接入層實(shí)現(xiàn)身份認(rèn)證和MAC地址綁定，在匯聚層實(shí)現(xiàn)流量控制和訪問權(quán)限約束。3.網(wǎng)絡(luò)核心層網(wǎng)絡(luò)核心層是醫(yī)院信息平臺網(wǎng)絡(luò)數(shù)據(jù)的骨干交換區(qū)域，各接入層數(shù)據(jù)經(jīng)匯聚層匯聚后集中轉(zhuǎn)發(fā)至核心層進(jìn)行高速交換。核心層的主要職為負(fù)責(zé)整個(gè)醫(yī)院信息平臺數(shù)據(jù)的高速轉(zhuǎn)發(fā)，相關(guān)的策略應(yīng)該盡量較少。核心層由于是整個(gè)網(wǎng)絡(luò)的核心，從設(shè)備上來講，需要在考慮高性能，高穩(wěn)定性的同時(shí)，充分考慮設(shè)備引擎、業(yè)務(wù)線卡、電源、風(fēng)扇等的冗余，同時(shí)需要具備的一定的抗攻擊能力，如中央處理器保護(hù)能力，基礎(chǔ)網(wǎng)絡(luò)保護(hù)能力；從架構(gòu)上來講，需要充分考慮核心層設(shè)備間的冗余備份和負(fù)載均衡，利用MSTP/RSTP+VRRP技術(shù)，自愈環(huán)網(wǎng)技術(shù)，或者是通過更好的核心層設(shè)備的硬件虛擬化技術(shù)，實(shí)現(xiàn)設(shè)備級的冗余備份，同時(shí)，在設(shè)計(jì)時(shí)還應(yīng)充分考慮網(wǎng)絡(luò)鏈路的冗余性和可靠性，提高網(wǎng)絡(luò)防災(zāi)能力。具體的設(shè)備選型如下：核心層設(shè)備建議選用高性能的萬兆三層交換機(jī)，通過千兆鏈路與匯聚層設(shè)備相連，通過萬兆鏈路進(jìn)行核心層互聯(lián)。在設(shè)備選擇上，應(yīng)充分考慮設(shè)備自身的冗余性，如電源冗余、引擎冗余、業(yè)務(wù)線卡冗余、所有線卡及電源支持熱拔插，同時(shí)應(yīng)具備一定的自我保護(hù)機(jī)制，如中央處理器保護(hù)機(jī)制，基礎(chǔ)網(wǎng)絡(luò)保護(hù)機(jī)制等。在網(wǎng)絡(luò)規(guī)劃時(shí)，應(yīng)充分考慮網(wǎng)絡(luò)架構(gòu)的冗余性設(shè)計(jì)，建議采用兩臺或兩臺以上組成雙核心或多核心環(huán)網(wǎng)，核心之間可進(jìn)行冗余互備以及負(fù)載分擔(dān)，減小由于單核心造成的設(shè)備壓力及單點(diǎn)故障。匯聚層設(shè)備建議選用性能較高，且具備豐富安全功能的全千兆三層交換機(jī)，通過千兆與接入交換機(jī)以及核心交換機(jī)相連，同時(shí)匯聚交換機(jī)建議具備萬兆擴(kuò)展能力，方便后續(xù)網(wǎng)絡(luò)升級。匯聚層設(shè)備需具備一定的穩(wěn)定性，門診區(qū)域建議采用雙匯聚設(shè)備，保證網(wǎng)絡(luò)高可靠。建議內(nèi)網(wǎng)中心服務(wù)器區(qū)、外網(wǎng)中心服務(wù)器區(qū)、安全網(wǎng)絡(luò)控制區(qū)、數(shù)據(jù)災(zāi)備區(qū)、醫(yī)技終端接入?yún)^(qū)、無線終端接入?yún)^(qū)采用全千兆二層交換機(jī)作為接入設(shè)備，其他接入?yún)^(qū)域采用百兆二層交換機(jī)，千兆上聯(lián)。接入層交換機(jī)應(yīng)選用智能網(wǎng)管型交換機(jī)，具備VLAN劃分，二層訪問控制列表，MSTP，RSTP，BPDUGUARD，BPDUFILTER，DHCPSnooping，安全地址綁定，802.1x等功能。接入層交換機(jī)還應(yīng)具備良好的防雷擊特性，由于醫(yī)院信息平臺對網(wǎng)絡(luò)穩(wěn)定性要求的特殊性，建議以太網(wǎng)接口具備高于國家標(biāo)準(zhǔn)的防雷擊能力。同時(shí)能在一定程度上抵抗網(wǎng)絡(luò)攻擊，如中央處理器保護(hù)，基礎(chǔ)網(wǎng)絡(luò)保護(hù)等。出口設(shè)備應(yīng)選擇高性能路由器或?qū)Ｓ贸隹谠O(shè)備作為網(wǎng)絡(luò)出口，并添加防火墻進(jìn)行域間網(wǎng)絡(luò)訪問控制。路由器應(yīng)具備大容量、高性能的NAT轉(zhuǎn)換能力，能夠進(jìn)行智能選路，并提供豐富的廣域網(wǎng)接口。除此之外，路由器還應(yīng)具備較高的冗余性和抗網(wǎng)絡(luò)攻擊能力。防火墻作為域間網(wǎng)絡(luò)隔離點(diǎn)，需支持多種訪問控制策略的制定，以及高性能的數(shù)據(jù)轉(zhuǎn)發(fā)能力，避免成為網(wǎng)絡(luò)性能瓶頸。出口設(shè)備應(yīng)包含整合出口路由，防火墻，VPN，流控設(shè)備，上網(wǎng)行為管理的單一設(shè)備，或部分整合設(shè)備。出口設(shè)備也可以使路由器，防火墻，VPN，流控設(shè)備，上網(wǎng)行為管理設(shè)備的組合。出口路由應(yīng)高性能路由器，保證院內(nèi)終端對互聯(lián)網(wǎng)的高速訪問，同時(shí)為外網(wǎng)訪問內(nèi)網(wǎng)WEB服務(wù)器提供高速鏈路通道。防火墻設(shè)備作為局域網(wǎng)和廣域網(wǎng)的分割點(diǎn)，其訪問控制功能至關(guān)重要，故防火墻需支持類型豐富的網(wǎng)絡(luò)訪問控制策略設(shè)置。VPN設(shè)備應(yīng)選用可支持IPSECVPN和SSLVPN的設(shè)備，保證