董靖超

（銅陵有色銅冠信息公司，安徽銅陵244000）

1.方案背景

職工總院計算機(jī)網(wǎng)絡(luò)建設(shè)起步較早，網(wǎng)絡(luò)平臺建設(shè)于2000年，當(dāng)時網(wǎng)絡(luò)是簡單局域網(wǎng)，網(wǎng)絡(luò)平臺為10/100Mbps快速以太網(wǎng)，與集團(tuán)網(wǎng)絡(luò)直連，為集團(tuán)網(wǎng)絡(luò)延伸，主要應(yīng)用為醫(yī)療保險；在2004年對辦公大樓進(jìn)行過一次整體結(jié)構(gòu)化布線，采用多模光纖作為建筑物間通信介質(zhì)，連通院內(nèi)各建筑，主干速率為100Mbps。應(yīng)用除醫(yī)療保險外，還建立了一個醫(yī)院管理應(yīng)用系統(tǒng)局域網(wǎng)，運行醫(yī)院信息管理系統(tǒng)（HIS），該局域網(wǎng)與集團(tuán)網(wǎng)絡(luò)不能互相訪問，HIS客戶端能通過代理服務(wù)器訪問集團(tuán)醫(yī)療統(tǒng)籌數(shù)據(jù)庫。網(wǎng)絡(luò)拓?fù)淙鐖D1。

限制于建設(shè)資金，醫(yī)院管理網(wǎng)絡(luò)的中心交換機(jī)為一臺不可管理的二層交換機(jī)，其余為低檔交換機(jī)或集線器等，且未購置硬件防火墻，無法完好地保證網(wǎng)絡(luò)安全。隨著時間推移，網(wǎng)絡(luò)規(guī)模不斷增大，聯(lián)網(wǎng)計算機(jī)已達(dá)200臺左右，并且組建都在一個廣播域內(nèi)，網(wǎng)絡(luò)可使用資源少，網(wǎng)速很慢，嚴(yán)重影響各應(yīng)用系統(tǒng)正常使用；而醫(yī)院主業(yè)務(wù)系統(tǒng)HIS系統(tǒng)所在網(wǎng)絡(luò)主交換也是一臺二層交換機(jī)，并且HIS群集服務(wù)器都接在這臺主交換機(jī)上，如果交換機(jī)宕機(jī)，將影響整個醫(yī)院的業(yè)務(wù)運行。

職工總院的網(wǎng)絡(luò)現(xiàn)狀目前已經(jīng)不能滿足醫(yī)院的正常管理、醫(yī)療業(yè)務(wù)及辦公應(yīng)用。通過這次方案改造升級，實現(xiàn)以下4個目標(biāo)：

(1)覆蓋職工醫(yī)院新大樓所有信息點，包括管理網(wǎng)絡(luò)、HIS網(wǎng)絡(luò)。

(2)建立一個高性能可管理的網(wǎng)絡(luò)，能夠提供足夠的帶寬，主干千兆，百兆交換到桌面，有足夠的帶寬保證信息系統(tǒng)應(yīng)用，建立全數(shù)字化流程醫(yī)院。

(3)有完整的網(wǎng)絡(luò)安全及數(shù)據(jù)安全策略，確保整個計算機(jī)網(wǎng)絡(luò)的可靠性、安全性。

(4)重新構(gòu)架HIS網(wǎng)絡(luò)，雙主交換實現(xiàn)冗余工作。

2.網(wǎng)絡(luò)平臺建設(shè)原則

(1)功能性：網(wǎng)絡(luò)首先應(yīng)能滿足職工總醫(yī)院各種應(yīng)用的需求。

(2)安全性：必須確保選擇良好的網(wǎng)絡(luò)設(shè)備、增加防火墻與防病毒措施、采用必要的冗余。

(3)先進(jìn)性：設(shè)計目標(biāo)決定了系統(tǒng)必須采用先進(jìn)的方法和設(shè)備。既要反映當(dāng)今水平，又要具有發(fā)展的潛力。

(4)實用性：為節(jié)省投資，網(wǎng)絡(luò)性能不需要太高；在保證應(yīng)用的前提下，充分利用原有的軟件、硬件資源，減少投資浪費，做的高性能價格比。

(5)擴(kuò)展性：隨著業(yè)務(wù)的增長和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷升級。

(6)可管理性：本系統(tǒng)建成后，應(yīng)具有良好的可管理性。計算機(jī)網(wǎng)絡(luò)的管理相對復(fù)雜，網(wǎng)絡(luò)是本系統(tǒng)得以正常運行的基礎(chǔ)，必須要有切實可行的管理措施，來保證網(wǎng)絡(luò)系統(tǒng)高效、可靠、安全地運行。

(7)可靠性：方案在設(shè)計過程中要采取有效的措施來保證系統(tǒng)的可靠性，包括提高系統(tǒng)的冗余能力，增加關(guān)鍵設(shè)備的容錯性等。

(8)高效率性：系統(tǒng)性能是系統(tǒng)集成中最重要因素。系統(tǒng)性能應(yīng)包括以下幾個方面：系統(tǒng)的實時響應(yīng)和控制能力；網(wǎng)絡(luò)服務(wù)器在線事務(wù)處理的能力；網(wǎng)絡(luò)的吞吐能力；通信的傳輸速率和帶寬。

3.網(wǎng)絡(luò)平臺建設(shè)內(nèi)容

3.1 計算機(jī)網(wǎng)絡(luò)平臺總體結(jié)構(gòu)

職工總院網(wǎng)絡(luò)將主要采用千兆以太網(wǎng)技術(shù)，對內(nèi)連接各大樓，對外連接互聯(lián)網(wǎng)，分為三層：管理網(wǎng)、互聯(lián)網(wǎng)和業(yè)務(wù)網(wǎng)，管理網(wǎng)和互聯(lián)網(wǎng)之間有防火墻，管理網(wǎng)與業(yè)務(wù)網(wǎng)之間有防火墻。網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

圖2 職工總院計算機(jī)網(wǎng)絡(luò)及安全系統(tǒng)總體結(jié)構(gòu)圖

這種網(wǎng)絡(luò)結(jié)構(gòu)明晰，容易維護(hù)。管理網(wǎng)提供代理服務(wù)、郵件服務(wù)、門戶（OA）網(wǎng)站、數(shù)據(jù)庫服務(wù)以及防病毒、網(wǎng)絡(luò)管理等服務(wù)功能。業(yè)務(wù)網(wǎng)提供HIS系統(tǒng)服務(wù)功能。

管理網(wǎng)將主要采用快速以太網(wǎng)技術(shù)，網(wǎng)絡(luò)設(shè)備分為兩層：核心層和接入層，核心層交換機(jī)為多層交換，接入層為二層交換機(jī)，整個主干設(shè)計為千兆。網(wǎng)絡(luò)拓?fù)淙鐖D3。

考慮到網(wǎng)絡(luò)主干重要性，中心交換機(jī)將采用冗余交換引擎冗余業(yè)務(wù)板配置方案，通過合理配置保證了整個網(wǎng)絡(luò)具有極高的安全可靠性及不間斷運行，以確保醫(yī)院內(nèi)業(yè)務(wù)及管理需要?？紤]到滿足辦公樓內(nèi)約4臺交換機(jī)和醫(yī)院內(nèi)10余節(jié)點接入要求，中心交換機(jī)應(yīng)具備至少24端口100/1000M接入端口。大節(jié)點使用分布層交換機(jī)，支持網(wǎng)絡(luò)管理和VLAN以及端口隔離或PVLAN等技術(shù)。接入交換機(jī)根據(jù)接入數(shù)量需求確定，要求支持網(wǎng)絡(luò)管理和VLAN以及端口隔離或PVLAN等技術(shù)。

圖3 管理網(wǎng)拓?fù)鋱D

3.2 雙核心主交換機(jī)實現(xiàn)HIS業(yè)務(wù)網(wǎng)的冗余性能

醫(yī)院業(yè)務(wù)系統(tǒng)要求的超高穩(wěn)定性及24小時不間斷提供服務(wù)的特殊性，排除故障時間要求短，對網(wǎng)絡(luò)配置提出了更高的任務(wù)需求，我們采用VRRP+MSTP技術(shù)來實現(xiàn)。

VRRP是一種容錯協(xié)議，它保證當(dāng)主機(jī)的下一跳路由器失效時，可以及時地由另一臺路由器來代替，從而保證通訊的連續(xù)性和可靠性，提供了動態(tài)的故障轉(zhuǎn)移機(jī)制。為了使VRRP工作，要在路由器上配置虛擬路由器號和虛擬IP地址。一個虛擬路由器由一個主路由器和若干個備份路由器組成，主路由器實現(xiàn)真正的轉(zhuǎn)發(fā)功能，當(dāng)主路由器出現(xiàn)故障時，一個備份路由器將成為新的主路由器，接替它的工作。局域網(wǎng)內(nèi)的主機(jī)僅僅知道這個虛擬路由器的IP地址，而并不知道具體的路由器地址，就通過虛擬路由器來與其他網(wǎng)絡(luò)進(jìn)行通訊。

配套VRRP，避免產(chǎn)生環(huán)路且提高鏈路使用率，結(jié)合使用MSTP技術(shù)。多生成樹（MST）使用修正的快速生成樹（RSTP）協(xié)議，叫做多生成樹協(xié)議（MSTP）。MSTP將環(huán)路網(wǎng)絡(luò)修剪成為一個無環(huán)的樹型網(wǎng)絡(luò)，避免報文在環(huán)路網(wǎng)絡(luò)中的增生和無限循環(huán)，同時還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實現(xiàn)VLAN數(shù)據(jù)的負(fù)載均衡。MSTP兼容STP和RSTP，并且可以彌補(bǔ)STP和RSTP的缺陷。它既可以快速收斂，也能使不同VLAN的流量沿各自的路徑分發(fā)，從而為冗余鏈路提供了更好的負(fù)載分擔(dān)機(jī)制。

3.3 設(shè)備選型

3.3.1 中心交換機(jī)選型

為保證總院網(wǎng)絡(luò)可靠運行，中心交換機(jī)選擇H3C S7506E交換機(jī)。該交換機(jī)所有關(guān)鍵單元均支持熱備份或者多對負(fù)載分擔(dān)備份，可以構(gòu)筑理想的核心交換平臺。支持全光口模塊，可以方便地實施遠(yuǎn)程千兆匯聚。支持全線速轉(zhuǎn)發(fā)，最大交換容量768G，最大包轉(zhuǎn)發(fā)速率432Mpps，系統(tǒng)提供8個槽位，其中2個交換路由處理板槽位（冗余），6個業(yè)務(wù)板槽位。支持單板熱插拔，并可以支持STP/RSTP/MSTP/VRRP等協(xié)議實現(xiàn)鏈路冗余。

3.3.2 節(jié)點交換機(jī)選型

為與H3C S7506E無隙聯(lián)接，節(jié)點交換機(jī)選擇H3C S3600-28TP-SI，包轉(zhuǎn)發(fā)速率9.6Mpps，支持L2（Layer 2）～L4（Layer 4）包過濾功能，提供基于源MAC地址、目的MAC（Medium Access Control）地址、源IP地址、目的IP地址、端口、協(xié)議、VLAN（Virtual Local Area Network）、VLAN范圍、MAC地址范圍和非法幀過濾。

3.3.3 接入交換機(jī)選型

接入交換機(jī)選擇H3CS3100-SI系列。S3100-26C-SI交換機(jī)內(nèi)部提供19.2Gbps的總線帶寬，為交換機(jī)所有的端口提供二層線速交換能力，包轉(zhuǎn)發(fā)率達(dá)到6.55Mpps。S3100-26C-SI交換機(jī)支持802.1x認(rèn)證，還可以做認(rèn)證Server，在用戶接入網(wǎng)絡(luò)時完成必要的身份認(rèn)證，同時動態(tài)的配置VLAN，有效的控制用戶訪問網(wǎng)絡(luò)資源。

3.3.4 防火墻

防火墻采用東軟NETEYEF100A。該產(chǎn)品采用具有強(qiáng)大處理能力的先進(jìn)硬件平臺，集成了一流的狀態(tài)檢測防火墻、VPN和DOS防護(hù)解決方案，具備卓越的性能和穩(wěn)定性。職工總院防火墻一個部署在業(yè)務(wù)網(wǎng)與管理網(wǎng)接口鏈路上，一個部署在互聯(lián)網(wǎng)出口上。

3.4 IP規(guī)劃

整個網(wǎng)絡(luò)使用IP協(xié)議通訊，業(yè)務(wù)網(wǎng)IP地址使用192.X.193.Y/24和192.X.194.Y/24兩個網(wǎng)段，劃分多個VLAN。管理網(wǎng)使用172.X.0.Y/24段，劃分四個VLAN，超過分配范圍可考慮添加172.30.1.Y/24網(wǎng)段補(bǔ)充使用。HIS服務(wù)器使用原有網(wǎng)段，為192.X.192.Y/24段。如圖4（為了保證安全，對一些關(guān)鍵地址用X、Y等字母表示）。

4.相關(guān)設(shè)備配置

4.1 業(yè)務(wù)網(wǎng)中心交換機(jī)安裝說明

根據(jù)統(tǒng)計用戶數(shù)量需求，總院HIS業(yè)務(wù)網(wǎng)網(wǎng)段劃分四段：

192.X.193.0/25；192.X.193.128/25；192.X.194.0/25；192.X.194.128/25

（1）配置中心交換機(jī)實現(xiàn)功能需求

首先配置主交換，MSTP配置一個實例，將規(guī)劃的VLAN加入其中，避免環(huán)路的產(chǎn)生，配置如下：

4.2 管理網(wǎng)中心交換機(jī)安裝說明

根據(jù)統(tǒng)計用戶數(shù)量需求，對172.X.0.X/24段進(jìn)行劃分，分為4個網(wǎng)段：

172.X.0.0/26；172.X.0.64/26；172.X.0.128/26；172.X.0.192/26

通過DHCP服務(wù)器對客戶端進(jìn)行發(fā)放，在IP地址不夠使用時，添加172.30.1.X/24網(wǎng)段發(fā)放使用。

在中心交換機(jī)上配置7個VLAN來實現(xiàn)所需功能，vlan2-vlan6分配的網(wǎng)段為客戶端發(fā)放地址，vlan100地址作為交換機(jī)管理地址，vlan110是視頻監(jiān)控所需端口的所屬vlan。主要配置如下：

4.3 業(yè)務(wù)網(wǎng)防火墻配置說明

業(yè)務(wù)網(wǎng)防火墻部署在業(yè)務(wù)網(wǎng)和管理網(wǎng)之間，設(shè)置規(guī)則，不允許業(yè)務(wù)網(wǎng)用戶訪問除公司醫(yī)保服務(wù)器之外的任何外網(wǎng)資源。防火墻內(nèi)網(wǎng)主要配置如下：

4.4 管理網(wǎng)防火墻配置說明

管理網(wǎng)防火墻部署在互聯(lián)網(wǎng)鏈路出口上，電信和集團(tuán)公司方向的光纜通過光電轉(zhuǎn)換后，連接到防火墻兩個外網(wǎng)口上。在保證網(wǎng)絡(luò)安全的同時，設(shè)置規(guī)則和路由，做到用戶訪問互聯(lián)網(wǎng)資源從電信鏈路通信，訪問集團(tuán)內(nèi)網(wǎng)從集團(tuán)公司方向鏈路通信。主要配置如下：