用虛擬化技術構建醫院園區網絡

■ 潘傳迪

用虛擬化技術構建醫院園區網絡

■ 潘傳迪①

虛擬化 醫院 園區網

當醫院園區網絡承載的應用系統越來越多時，將面臨著業務的差異化安全要求和業務融合的發展趨勢之間的矛盾，如何解決這一矛盾，并在建設成本和建設效果之間取得平衡，是醫院園區網絡建設必須考慮的問題。溫州醫學院附屬第一醫院在新院園區網絡建設中，應用網絡虛擬化技術實現了園區網絡的多業務安全承載。

①溫州醫學院附屬第一醫院信息科，325000 浙江省溫州市府學巷2號

Author’s address：Department of Information, Affiliated 1st hospital of Wenzhou Medical College, No.2, Fuxue Xiang, Wenzhou, 35000,Zhejiang Province, PRC

1 引言

采用互聯網技術優化就醫流程，提高醫院服務能力，已經成為緩解門診人數不斷增加和醫院基礎設施相對不足之間矛盾的重要技術手段[1]。網上預約掛號、網上化驗單查詢、短信系統等很多基于互聯網的醫療應用系統，需要訪問醫院的核心業務系統數據，這預示著醫院的應用系統未來的兩個改變方向：（1）醫院信息系統將從原來的封閉系統向開放系統轉變；（2）醫療應用系統將從原來的獨立系統向融合交互系統轉變。醫院應用系統從封閉、獨立的系統向開放、融合的系統轉變，必然要求基礎網絡設施也要進行相應的改變，從而對業務提供有效的支撐。

2 網絡方案需求分析

很多醫院的網絡系統出于安全性考慮，將業務系統網絡和互聯網進行物理隔離[2-3]，不僅建設成本和維護成本高，而且在業務系統向開放、融合系統轉變時適應性調整難度較大，因此需要一種靈活的技術方案，即能夠滿足業務的開放、融合需求，又能夠充分滿足醫院業務系統的安全和終端的靈活接入，進而便于醫院信息系統向互聯網拓展。

最有效的解決方案就是將多種業務放在同一個網絡中承載，根據登錄用戶的身份和權限，決定其可訪問的相應系統。該方案需要解決網絡可靠性和安全性問題。所有業務系統在同一物理網絡承載，需要網絡有極高的可靠性，還要采用有效的邏輯隔離和互訪技術，確保不同系統之間數據的獨立性、安全性和授權后的可訪問性。這些需求對網絡的方案設計、設備選型和協議部署均提出了極大的挑戰。

3 網絡虛擬化技術的應用

網絡虛擬化技術已經越來越成熟和完善，基于虛擬化技術的網絡可靠性和安全性更高[4]。網絡虛擬化包括對網絡的橫向整合、縱向隔離和防火墻等網絡設備的虛擬化部署，將網絡基礎設施和網絡服務虛擬成為可動態調配的資源。橫向整合的虛擬化技術，是在園區網內部署IRF2技術，達到簡化網絡架構和靈活擴展的目的，并提供50ms快速收斂的高可靠性。縱向隔離是指支持網絡虛擬化分區，實現用戶組業務的邏輯隔離，技術選擇可以包括GRE、VRF逐跳、MPLS L3/L2 VPN等。我院網絡選擇了MPLS L3 VPN技術作為縱向隔離的虛擬化技術，網絡服務的虛擬化指的是FW、IPS等網絡服務模塊可以采用虛擬化的方式部署。

通過網絡虛擬化技術部署，將一張冗余架構的網絡橫向整合成一個樹狀無環的網絡，簡化了MSTP和VRRP等協議的部署，降低了部署和維護難度。同時，跨設備的鏈路聚合保證單設備、單鏈路的故障都能夠進行50ms的網絡故障收斂，上層應用通過TCP協議等重傳機制，基本上能對這么微小的網絡故障收斂時間進行完全容錯。縱向隔離的虛擬化技術將同一張物理網絡劃分為多個邏輯子網，如內網、互聯網、監控網、語音網、無線網絡等，既保證了各個邏輯子網之間不可互訪，提供了高度的安全性，又保證了在嚴格身份認證和授權下的業務互訪，例如互聯網業務進行網上化驗單查詢時可以訪問內網數據庫。虛擬防火墻等網絡服務模塊的虛擬化部署提供了靈活的業務處理能力，例如互聯網對于DMZ區域的訪問需要一個虛擬防火墻和IPS來進行控制，而DMZ區服務器對于內網數據庫的訪問需要另一個虛擬防火墻和IPS來進行控制等。

4 方案的特點

4.1 設備選擇

除了選擇成熟穩定的產品等基本要求外，網絡核心交換機是應用系統可靠和高效率運行的基礎，因此選擇控制引擎和交換網板硬件相互獨立的體系架構產品，實現控制平面和轉發平面的物理分離，保證主備倒換等情況下的流量不中斷，并采用全冗余的配件，保證這個影響范圍最廣的網絡設備能夠提供最高的可靠性。

4.2 終端認證

由于醫務人員辦公地點經常變動，并且存在公用終端的情況，所以基于用戶的身份進行網絡訪問權限的下發就非常必要。通過終端準入解決方案，不僅能夠實時的防護終端的安全，還能夠基于醫生的身份進行網絡權限的動態下發，保證了網絡的安全和健壯。終端存在IP電話、打印機等多種辦公設備，通過MAC地址認證解決了辦公設備的網絡接入問題，有效地保證了網絡的安全可控。

4.3 無線網絡

無線網絡是無線查房等業務的重要載體，傳統無線網絡大多采用單獨建設的方案，其主要缺點包括：（1）無線AP需單獨布線供電；（2）網絡管理憑空增加了很多節點；（3）無線和有線采用不同的用戶名和密碼；（4）相同的安全策略在無線、有線網絡上要配置兩次。我們通過綜合考慮，發現無線網絡只是有線網絡的延伸，通過POE供電和瘦AP方案解決了布線和網絡管理方面的問題，同時，終端準入解決方案在有線和無線的網絡環境下采用同一套認證方法，使得用戶認證信息和安全策略全網一致，在拓撲上直觀顯示所有的節點信息，極大地簡化了網絡結構。

園區網絡的設計看似簡單，全冗余、雙歸屬的網絡架構每個人都比較了解，但是具體到醫院的實際情況，綜合考慮可靠、安全、易用、成本、信息點等諸多方面，需要深入的設計和討論。通過虛擬化的網絡架構，使得整個園區網絡承載了無線、語音、監控、內外網等多種業務，并對于后期醫院的業務發展提供了良好的擴展性，極大地節約了總體投入成本。

[1] 陳敏,李道蘋.醫療服務流程的瓶頸問題及優化方法[J].中華醫院管理雜志,2008,24(7):469-472.

[2] 楊宏橋,吳飛,劉玉樹,等.網絡隔離與安全交換技術在HIS中的應用研究[J].醫療衛生裝備,2008,29(2):45-47.

[3] 黃影,吳飛.基于安全數據交換的HIS綜合查詢系統設計[J].醫療衛生裝備,2008,29(6):39-40,44.

[4] 劉 ,梁悅,孫立淼.虛擬技術在醫院信息化中的研究與應用[J].中國病案,2010(1):54-55.

Building hospital local area network by virtual technology

PAN Chuandi

Chinese Hospitals.-2012,16(2)：69-70

virtual, hospital, local area network

With the rapid increase of application software system in hospital local area network, the contradiction between the safe demands of discrepancy business and integrated business will be appeared. how to deal with this contradiction and get the balance of building cost and effectiveness is a prerequisite problem when constructs hospital local area network. Virtual technology has been successfully solved safety demands of hospital business in Affiliated 1st hospital of Wenzhou Medical College.

潘傳迪：溫州醫學院附屬第一醫院信息科主任。

E-mail：pcd@hosp1.ac.cn

2011-12-02](責任編輯 張曉輝)