■ 潘傳迪

用虛擬化技術(shù)構(gòu)建醫(yī)院園區(qū)網(wǎng)絡(luò)

■ 潘傳迪①

虛擬化 醫(yī)院 園區(qū)網(wǎng)

當(dāng)醫(yī)院園區(qū)網(wǎng)絡(luò)承載的應(yīng)用系統(tǒng)越來越多時，將面臨著業(yè)務(wù)的差異化安全要求和業(yè)務(wù)融合的發(fā)展趨勢之間的矛盾，如何解決這一矛盾，并在建設(shè)成本和建設(shè)效果之間取得平衡，是醫(yī)院園區(qū)網(wǎng)絡(luò)建設(shè)必須考慮的問題。溫州醫(yī)學(xué)院附屬第一醫(yī)院在新院園區(qū)網(wǎng)絡(luò)建設(shè)中，應(yīng)用網(wǎng)絡(luò)虛擬化技術(shù)實(shí)現(xiàn)了園區(qū)網(wǎng)絡(luò)的多業(yè)務(wù)安全承載。

①溫州醫(yī)學(xué)院附屬第一醫(yī)院信息科，325000 浙江省溫州市府學(xué)巷2號

Author’s address：Department of Information, Affiliated 1st hospital of Wenzhou Medical College, No.2, Fuxue Xiang, Wenzhou, 35000,Zhejiang Province, PRC

1 引言

采用互聯(lián)網(wǎng)技術(shù)優(yōu)化就醫(yī)流程，提高醫(yī)院服務(wù)能力，已經(jīng)成為緩解門診人數(shù)不斷增加和醫(yī)院基礎(chǔ)設(shè)施相對不足之間矛盾的重要技術(shù)手段[1]。網(wǎng)上預(yù)約掛號、網(wǎng)上化驗(yàn)單查詢、短信系統(tǒng)等很多基于互聯(lián)網(wǎng)的醫(yī)療應(yīng)用系統(tǒng)，需要訪問醫(yī)院的核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)，這預(yù)示著醫(yī)院的應(yīng)用系統(tǒng)未來的兩個改變方向：（1）醫(yī)院信息系統(tǒng)將從原來的封閉系統(tǒng)向開放系統(tǒng)轉(zhuǎn)變；（2）醫(yī)療應(yīng)用系統(tǒng)將從原來的獨(dú)立系統(tǒng)向融合交互系統(tǒng)轉(zhuǎn)變。醫(yī)院應(yīng)用系統(tǒng)從封閉、獨(dú)立的系統(tǒng)向開放、融合的系統(tǒng)轉(zhuǎn)變，必然要求基礎(chǔ)網(wǎng)絡(luò)設(shè)施也要進(jìn)行相應(yīng)的改變，從而對業(yè)務(wù)提供有效的支撐。

2 網(wǎng)絡(luò)方案需求分析

很多醫(yī)院的網(wǎng)絡(luò)系統(tǒng)出于安全性考慮，將業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)和互聯(lián)網(wǎng)進(jìn)行物理隔離[2-3]，不僅建設(shè)成本和維護(hù)成本高，而且在業(yè)務(wù)系統(tǒng)向開放、融合系統(tǒng)轉(zhuǎn)變時適應(yīng)性調(diào)整難度較大，因此需要一種靈活的技術(shù)方案，即能夠滿足業(yè)務(wù)的開放、融合需求，又能夠充分滿足醫(yī)院業(yè)務(wù)系統(tǒng)的安全和終端的靈活接入，進(jìn)而便于醫(yī)院信息系統(tǒng)向互聯(lián)網(wǎng)拓展。

最有效的解決方案就是將多種業(yè)務(wù)放在同一個網(wǎng)絡(luò)中承載，根據(jù)登錄用戶的身份和權(quán)限，決定其可訪問的相應(yīng)系統(tǒng)。該方案需要解決網(wǎng)絡(luò)可靠性和安全性問題。所有業(yè)務(wù)系統(tǒng)在同一物理網(wǎng)絡(luò)承載，需要網(wǎng)絡(luò)有極高的可靠性，還要采用有效的邏輯隔離和互訪技術(shù)，確保不同系統(tǒng)之間數(shù)據(jù)的獨(dú)立性、安全性和授權(quán)后的可訪問性。這些需求對網(wǎng)絡(luò)的方案設(shè)計(jì)、設(shè)備選型和協(xié)議部署均提出了極大的挑戰(zhàn)。

3 網(wǎng)絡(luò)虛擬化技術(shù)的應(yīng)用

網(wǎng)絡(luò)虛擬化技術(shù)已經(jīng)越來越成熟和完善，基于虛擬化技術(shù)的網(wǎng)絡(luò)可靠性和安全性更高[4]。網(wǎng)絡(luò)虛擬化包括對網(wǎng)絡(luò)的橫向整合、縱向隔離和防火墻等網(wǎng)絡(luò)設(shè)備的虛擬化部署，將網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)服務(wù)虛擬成為可動態(tài)調(diào)配的資源。橫向整合的虛擬化技術(shù)，是在園區(qū)網(wǎng)內(nèi)部署IRF2技術(shù)，達(dá)到簡化網(wǎng)絡(luò)架構(gòu)和靈活擴(kuò)展的目的，并提供50ms快速收斂的高可靠性。縱向隔離是指支持網(wǎng)絡(luò)虛擬化分區(qū)，實(shí)現(xiàn)用戶組業(yè)務(wù)的邏輯隔離，技術(shù)選擇可以包括GRE、VRF逐跳、MPLS L3/L2 VPN等。我院網(wǎng)絡(luò)選擇了MPLS L3 VPN技術(shù)作為縱向隔離的虛擬化技術(shù)，網(wǎng)絡(luò)服務(wù)的虛擬化指的是FW、IPS等網(wǎng)絡(luò)服務(wù)模塊可以采用虛擬化的方式部署。

通過網(wǎng)絡(luò)虛擬化技術(shù)部署，將一張冗余架構(gòu)的網(wǎng)絡(luò)橫向整合成一個樹狀無環(huán)的網(wǎng)絡(luò)，簡化了MSTP和VRRP等協(xié)議的部署，降低了部署和維護(hù)難度。同時，跨設(shè)備的鏈路聚合保證單設(shè)備、單鏈路的故障都能夠進(jìn)行50ms的網(wǎng)絡(luò)故障收斂，上層應(yīng)用通過TCP協(xié)議等重傳機(jī)制，基本上能對這么微小的網(wǎng)絡(luò)故障收斂時間進(jìn)行完全容錯?？v向隔離的虛擬化技術(shù)將同一張物理網(wǎng)絡(luò)劃分為多個邏輯子網(wǎng)，如內(nèi)網(wǎng)、互聯(lián)網(wǎng)、監(jiān)控網(wǎng)、語音網(wǎng)、無線網(wǎng)絡(luò)等，既保證了各個邏輯子網(wǎng)之間不可互訪，提供了高度的安全性，又保證了在嚴(yán)格身份認(rèn)證和授權(quán)下的業(yè)務(wù)互訪，例如互聯(lián)網(wǎng)業(yè)務(wù)進(jìn)行網(wǎng)上化驗(yàn)單查詢時可以訪問內(nèi)網(wǎng)數(shù)據(jù)庫。虛擬防火墻等網(wǎng)絡(luò)服務(wù)模塊的虛擬化部署提供了靈活的業(yè)務(wù)處理能力，例如互聯(lián)網(wǎng)對于DMZ區(qū)域的訪問需要一個虛擬防火墻和IPS來進(jìn)行控制，而DMZ區(qū)服務(wù)器對于內(nèi)網(wǎng)數(shù)據(jù)庫的訪問需要另一個虛擬防火墻和IPS來進(jìn)行控制等。

4 方案的特點(diǎn)

4.1 設(shè)備選擇

除了選擇成熟穩(wěn)定的產(chǎn)品等基本要求外，網(wǎng)絡(luò)核心交換機(jī)是應(yīng)用系統(tǒng)可靠和高效率運(yùn)行的基礎(chǔ)，因此選擇控制引擎和交換網(wǎng)板硬件相互獨(dú)立的體系架構(gòu)產(chǎn)品，實(shí)現(xiàn)控制平面和轉(zhuǎn)發(fā)平面的物理分離，保證主備倒換等情況下的流量不中斷，并采用全冗余的配件，保證這個影響范圍最廣的網(wǎng)絡(luò)設(shè)備能夠提供最高的可靠性。

4.2 終端認(rèn)證

由于醫(yī)務(wù)人員辦公地點(diǎn)經(jīng)常變動，并且存在公用終端的情況，所以基于用戶的身份進(jìn)行網(wǎng)絡(luò)訪問權(quán)限的下發(fā)就非常必要。通過終端準(zhǔn)入解決方案，不僅能夠?qū)崟r的防護(hù)終端的安全，還能夠基于醫(yī)生的身份進(jìn)行網(wǎng)絡(luò)權(quán)限的動態(tài)下發(fā)，保證了網(wǎng)絡(luò)的安全和健壯。終端存在IP電話、打印機(jī)等多種辦公設(shè)備，通過MAC地址認(rèn)證解決了辦公設(shè)備的網(wǎng)絡(luò)接入問題，有效地保證了網(wǎng)絡(luò)的安全可控。

4.3 無線網(wǎng)絡(luò)

無線網(wǎng)絡(luò)是無線查房等業(yè)務(wù)的重要載體，傳統(tǒng)無線網(wǎng)絡(luò)大多采用單獨(dú)建設(shè)的方案，其主要缺點(diǎn)包括：（1）無線AP需單獨(dú)布線供電；（2）網(wǎng)絡(luò)管理憑空增加了很多節(jié)點(diǎn)；（3）無線和有線采用不同的用戶名和密碼；（4）相同的安全策略在無線、有線網(wǎng)絡(luò)上要配置兩次。我們通過綜合考慮，發(fā)現(xiàn)無線網(wǎng)絡(luò)只是有線網(wǎng)絡(luò)的延伸，通過POE供電和瘦AP方案解決了布線和網(wǎng)絡(luò)管理方面的問題，同時，終端準(zhǔn)入解決方案在有線和無線的網(wǎng)絡(luò)環(huán)境下采用同一套認(rèn)證方法，使得用戶認(rèn)證信息和安全策略全網(wǎng)一致，在拓?fù)渖现庇^顯示所有的節(jié)點(diǎn)信息，極大地簡化了網(wǎng)絡(luò)結(jié)構(gòu)。

園區(qū)網(wǎng)絡(luò)的設(shè)計(jì)看似簡單，全冗余、雙歸屬的網(wǎng)絡(luò)架構(gòu)每個人都比較了解，但是具體到醫(yī)院的實(shí)際情況，綜合考慮可靠、安全、易用、成本、信息點(diǎn)等諸多方面，需要深入的設(shè)計(jì)和討論。通過虛擬化的網(wǎng)絡(luò)架構(gòu)，使得整個園區(qū)網(wǎng)絡(luò)承載了無線、語音、監(jiān)控、內(nèi)外網(wǎng)等多種業(yè)務(wù)，并對于后期醫(yī)院的業(yè)務(wù)發(fā)展提供了良好的擴(kuò)展性，極大地節(jié)約了總體投入成本。

[1] 陳敏,李道蘋.醫(yī)療服務(wù)流程的瓶頸問題及優(yōu)化方法[J].中華醫(yī)院管理雜志,2008,24(7):469-472.

[2] 楊宏橋,吳飛,劉玉樹,等.網(wǎng)絡(luò)隔離與安全交換技術(shù)在HIS中的應(yīng)用研究[J].醫(yī)療衛(wèi)生裝備,2008,29(2):45-47.

[3] 黃影,吳飛.基于安全數(shù)據(jù)交換的HIS綜合查詢系統(tǒng)設(shè)計(jì)[J].醫(yī)療衛(wèi)生裝備,2008,29(6):39-40,44.

[4] 劉 ,梁悅,孫立淼.虛擬技術(shù)在醫(yī)院信息化中的研究與應(yīng)用[J].中國病案,2010(1):54-55.

Building hospital local area network by virtual technology

PAN Chuandi

Chinese Hospitals.-2012,16(2)：69-70

virtual, hospital, local area network

With the rapid increase of application software system in hospital local area network, the contradiction between the safe demands of discrepancy business and integrated business will be appeared. how to deal with this contradiction and get the balance of building cost and effectiveness is a prerequisite problem when constructs hospital local area network. Virtual technology has been successfully solved safety demands of hospital business in Affiliated 1st hospital of Wenzhou Medical College.

潘傳迪：溫州醫(yī)學(xué)院附屬第一醫(yī)院信息科主任。

E-mail：pcd@hosp1.ac.cn

2011-12-02](責(zé)任編輯 張曉輝)