关键词:中型医院;网络规划;逻辑结构;系统建设
中图分类号:TP399
随着现代信息技术的飞速发展,网络技术已经对社会,经济和文化各方面产生重大影响。国内医院也正在加强自身信息化建设,促进信息资源在临床医疗和运营管理中的高效利用,进而提高医疗质量、减少医疗差错、降低医疗成本、提高医生和患者满意度,真正实现信息惠民,带动医院发展。本文根据当前中型医院信息化的发展程度及一些特点,结合当前最新的网络技术,针对中型医院规划出一套科学合理网络设计方案。
1中型医院网络系统特点及需求分析
1.1中型医院网络系统特点
医院信息化是一个逐步建立的过程,当前的中型医院网络普遍存在以下特点和问题:
(1)网络设备老化,设备性能较差,满足不了当前医院信息化快速发展的需要。
(2)网络单核心,没有核心冗余备份,网络可靠性存在风险。
(3)网络结构缺乏统一规划,设备功能不明确。
(4)网络边界安全设计不全面,只能防范部分网络攻击和病毒。
(5)内网用户接入安全防范薄弱,内网病毒攻击存在严重隐患。
(6)网络出现故障不能快速准确的定位故障。
(7)缺乏统一网管软件。
1.2建设目标
建设一个统一的网络系统,可稳定有效持续运行,满足医院临床应用业务,安全可靠,能够实时监控和管理维护。
2设计原则和网络规划
2.1设计原则
医院作为一个特殊服务行业,对整个网络性能要求相对较高,设计时应遵循以下原则
(1)网络可靠性原则。网络拓扑应采用稳定可靠的形式,网络结构可使用双链路,双核心交换设备等。
(2)网络实用性原则。合理利用现有资源,选取合适设备满足医院现有业务应用,提高性价比。
(3)网络可扩展原则。充分考虑未来技术可应用到现有设备和业务发展后在现有网络中添加设备。
(4)网络完整性原则。应实现端到端的,可整合多业务应用,满足全医院的一体化网络。
(5)网络高性能原则。优化线路设计,充分挖掘设备潜力,提高网络及设备的数据转发能力,保证医院整个网络良好运行。
(6)网络可管理原则。选用先进网络管理平台,对网络设备进行统一管理,监测,维护。
(7)网络安全性原则。制定统一的骨干网安全策略,使数据具有较高的安全性。
2.2网络规划
结合医院信息点分布,将核心交换机放置于机房,与各服务器等核心业务相连,每个楼栋设置一个汇聚弱电井,配置一台中档交换机,向上与核心交换机相连,向下连接至各楼层,负责整个楼的数据转发处理,每个楼层配置一台或多台低档交换机,负责直接介入楼层信息点。这样可减少布线工作量,充分利用设备资源,出现故障时,可减小影响区域,便于排查检修。
3网络系统总体规划设计
3.1网络拓扑结构
根据现有的结构和设备,在充分考虑保护原有投资的情况下,采用模块化结构设计,实现典型的树形结构。整个结构规划成三层架构,核心-汇聚-接入。核心和汇聚之间构成全院网络的骨干,并采用双核心、双链路设计,可以确保整个网络的稳定可靠及连续性,确保医院所有应用系统正常运行。每个大楼成为一个汇聚点,包括门诊楼、住院楼和医技楼等。各楼层为接入层,与汇聚层交换机级联。这种规划使全网的整体网络转发性能最高、全网的可扩展性最高。
图1
3.2核心层设计
由于核心层处于网络中心地位,数据交换量大,在此配备两台H3CS7510E,通过万兆多模光纤连接,采用IRF2技术将其虚拟成一台设备,实现医院网络核心交换机双机互备、负载均衡,汇聚层设备通过千兆单模光纤双上联至两台核心交换机,完成全网的数据转发的和控制。
3.3汇聚层设计
为了保障各汇聚点的全面可靠性,及大流量数据服务传输需求,各楼通过单汇聚设备H3CS5800使用千兆单模光纤双上联到两台核心交换机,保证链路的可靠,保障各区域的连续稳定性工作。
3.4接入层设计
接入层选用H3CS3600千兆交换机,可提供较多端口,即插即用,便于维护和管理,通过六类双绞线上连汇聚交换机。
3.5网络管理设计
采用H3C智能管理中心网管软件,能够对全网设备进行统一管理,如支持拓扑图自动生成,使管理者对网络链路及设备一目了然,支持端口实时流量统计,防止数据拥塞,可对网络设备实现远程配置和故障检测。
3.6网络安全设计
为实现全网安全,配置ISA服务器,对入网用户的网络权限进行管理,入网计算机安装网管软件,对U盘、光驱等其它外设使用统一配置,统一管理使用。安装杀毒软件,并有效运作。配置防火墙,制定合适的防护规则。对计算机所安装软件审核,提升网络的安全性和可靠性。
4整体规划效果说明
核心层的双机互备及核心与汇聚之间双链路设计,增强了网络骨干的强壮性。两台核心交换机虚拟化,链路负载均衡技术,最大化利用设备资源,提高数据传输能力,汇聚层和接入层合理放置,减少网络布线。采用智能网管软件,实时监控设备运行状态,减少管理维护工作。
本方案选取了成熟先进的网络技术,结合医院实际情况,合理选择硬件设备及设计线路,提供了智能管理安全设计,兼顾了实用性、稳定性、可扩展性、先进性,具有一定的先进性,可以满足中型医院对信息服务的要求。
参考文献:
[1]葛志军,.某院信息科建设的现状与思考[J].中国医药指南,2011(07).
[2]汪鹏,李刚荣.新医改环境下数据化医院建设的思考与展望[J].临床医学工程,2010(08).
汕头市电信粤东信息大厦综合布线系统是一个完整的集成化通讯传输(分布式)系统。它使用符合标准规范的布线部件(配线架、连接器、信息插座、插头、适配器、传输电子器件、电气保护设备和线路管理支持硬件),采用非屏蔽双绞线与光纤混合布线方式,模块化组合压接、以连接粤东信息大厦内的语音设备、数据设备、电子通讯设备和网络交换设备等。
通过这些设备与外部通讯网络相连接,为粤东信息大厦的语音、数据及多媒体应用提供实用的、可靠的、灵活的、可扩展的介质通路,最终为粤东信息大厦弱电集成系统的信息基础链路的开通使用,提供可靠的保障。
系统概述
本方案由语音、数据通信引出端一体化,并采用统一的配线网络,即统一的传输媒质(双绞线或光纤)来支持所有类型的通信系统,所以使得用户可以非常方便地改变终端设备的位置或安装新的终端设备。
综合布线系统的电缆、光缆、接插件等传输参数可达到200MHZ以上(含200MHZ)的六类布线系统,同时其链路及信道也满足此要求。本方案所采用的光纤均为低烟无卤(LSHF)绿色护套,满足环保要求,非屏蔽电缆全部采用六类非屏蔽电缆。所有产品基于国际标准,是真正独立于具体应用的布线系统。
本次布线单项工程为用户提供信息点4605个,敷设主干8芯光缆6210米,主干话音3类电缆4575米,水平6类非屏蔽双绞线788箱。
系统设计原则
开放性:在结构上真正实现开放,可满足将来各种联网及通信要求。
灵活性及可扩展性:具有良好的扩展性,可根据管理要求,方便扩展信息点的覆盖范围,提供技术升级、设备更新的灵活性。
模块化:布线系统所有的接插件都是模块化的标准件,各模块之间具有相对独立性并能按标准格式连接,方便维护人员管理和使用。
先进性:采用先进成熟的产品,满足各种应用需要。
经济性:以较高的性能价格比构建系统,使资金的产出投入比达到最佳。能以较低的成本、较少的人员投入来维持系统运转,达到高效能与高效益。
可靠性:布线系统的可靠性是一个十分重要的指标,本系统在方案设计过程中采取有效的措施来保证系统的可靠性。
系统设计需求分析
本布线系统为星型拓扑结构,数据垂直主干采用8芯光缆,话音垂直主干采用三类50对大对数双绞线,水平子系统采用6类双绞线。系统可支持话音和数据等应用。
工作区子系统
(1)信息点布放原则
信息点分为话音点和数据点,布放数量根据房间的功能、面积和装修平面确定。其他不明确的地方,如主楼发展机房按10平方米1个工作区,每个工作区布放2个信息点。机楼的电信资源外租机房,先预留信息点,待承租户按具体要求布置信息点。考虑今后发展,信息点布放数量有所预留。
(2)信息插座安装
信息插座安装在墙或桌子上,墙装信息插座距地面或地板300mm。本设计中信息点共计4605个,全部采用6类信息模块。单口模块228个,双口模块2180个。
水平子系统
(1)线缆的选取
考虑到目前局域网传输速率的要求,并适应未来计算机网络技术的迅速发展,本设计中水平部分全部采用6类非屏蔽双绞线。
(2)线缆的敷设
水平线缆从配线间引出,经桥架、墙内预埋暗管(Φ20PVC)至信息插座。由于大厦已开始内装修,水平走线应尽量结合室内装修设计,特别是营业厅、展示厅、演播厅等公共场所。机楼的一些重要机房,如数据配线间、多媒体机房、电线资源外租机房,宜结合具体设备布局,独立布线。
主干布线子系统
(1)线缆的选取
话音部分主干线缆选用50对大对数三类非屏蔽双绞线,数据部分主干线缆采用8芯室内/室外多模光缆。
(2)线缆的敷设
数据主干线缆分为至机楼、主楼两部分,均从位于机楼9层的数据总配线架引出。至机楼的主干经墙洞、走桥架,进入机楼两侧分配线间;至主楼的主干先从西机楼9层配线间弱电竖井下至8层,从机楼8层配线间的桥架进入主楼10层的分配线间。主干到达各配线间后,经弱点竖井,至各楼层分配线架。
话音主干线缆直接从机楼二层总配线架室的话音配线架分三部分引出。至东、西机楼分别引1条600对市话电缆,至主楼引2条1000对市话电缆。电缆均从机楼二层总配线架室下至地下一层进线室,经地下一层桥架分别至东、西机楼一层话音总配线架,和主楼一层、十三层的话音总配线架。
管理子系统
(1)配线间设置
本设计共设44个管理子系统,设在机楼两侧的电器间和主楼内筒的电器间。地下一层信息点较少,与东机裙楼一层、西机裙楼一层、主楼一层共用分配线架;东、西机裙楼10层和11层共用配线架;主楼23~26层信息点较少,每2层设1个分配线架,对信息点进行管理。
(2)配线架及跳线选择
本管理子系统的配线架采用机柜安装。为方便日后维护、管理,水平区配线架全部采用6类Epsilon的配线盘,话音主干配线架采用Epsilon210话音配线架,数据主干采用光纤配线架。话音跳线采用单RJ45接头跳线。至于光跳线和数据跳线与网络设备选型及网络组建有关,由计算机网络单项统一设计。
设备间子系统
话音总配线间4个,分别在东、西机楼一层、主楼一层、主楼十三层的分配线间,内设话音总配线架。由机楼2层总配线架室引来的2条600对市话电缆、2条1000对市话电缆端接在这4个总配线架上。
数据总配线间设在机楼9层的数据总配线间,数据总配线间全部采用光纤配线架。
地线系统
为确保通信质量、设备与人身安全,需设置地线系统。各配线柜中安装接地排,作为设备接地点。
方案系统设计
整个粤东信息大厦综合布线系统可分为:工作区子系统、水平布线子系统、主干布线子系统、管理子系统和设备间子系统。
1.工作区子系统
工作区子系统由终端转换适配器,工作站和电话终端连接线及相关的布线部件组成。一个独立的需要设置终端设备的区域可划分为一个工作区。工作区子系统由信息插座延伸到工作站终端的用户连接电缆及适配器组成。
设备选型:本次设计选用的为TCL系列六类信息插座,它由1个45系列信息插座罩,1个带防尘盖板的空面板和6类连接模块组成。其有以下特点:
插座模块由一个高质量的六类RJ45插座和一个8针IDC连接件组成;
紧凑的结构减少空间的要求;
六类插座,200MHZ时任意线对组合的近端串扰衰减大于40dB;
RJ45符合ISO8877;
允许线径在0.3-0.8mm之间;
手持安装工具提供快速、简单的电缆端接;
具有插座标识装置,易于管理和识别;
所有塑料材料均符合UL94V0。
2.水平布线子系统
从楼层配线架到各通信引出端属于水平布线子系统,包括:通讯引出端、水平电缆、水平光缆及其在楼层配线架上的机械终端、接插软线和跳线。在本设计中,水平电缆由楼层配线架引出,在每个配线区只设一个配线架,由话音点和数据点共用,只是在垂直主干上采取对应的连接方式。
设备选型:选用的是TCL六类非屏蔽电缆Symtek6。
3.主干布线子系统
从建筑物配线架到各楼层配线架属于建筑物主干布线子系统。包括:建筑物主干电缆、主干光缆及其在建筑物配线架和楼层配线架上的机械终端和建筑物配线架上的接插软线和跳线。
粤东信息大厦综合布线系统采用星型拓扑结构,在机楼9层设立数据总配线间,在机楼二层设立话音总配线间。
数据主干线缆分为至机楼、主楼两部分,均从位于机楼9层的数据总配线架引出。至机楼的主干经墙洞、走桥架,进入机楼两侧各楼层配线间;至主楼的主干先从西机楼9层配线间弱电竖井下至8层,从机楼8层配线间的桥架进入主楼10层的分配线间,经弱点竖井,至各楼层分配线架。
话音主干线缆直接从机楼二层总配线架室的话音配线架分三部分引出。至东、西机楼分别引1条600对市话电缆,至主楼引2条1000对市话电缆。电缆均从机楼二层总配线架室下至地下一层进线室,经地下一层桥架分别至东、西机楼一层话音总配线架,和主楼一层、十三层的话音总配线架。
语音主干采用特性阻抗为100Ω环保型三类大对数铜缆,大对数铜缆对数为50对,根据实际的话音点数加上冗余量决定大对数电缆的数目。
设备选型:光纤主干选用的是TCL多模室内8芯主干多模光缆,其有以下特点:
适用于多媒体应用,作主干光缆;
加强结构,缓冲型光纤,分支光缆结构;
每个分支光缆的套管采用颜色或数字编码;
体积小,重量轻,便于敷设与安装;
采用低烟、无卤素、阻燃型绿色护套;
标准的62.5/125mm光纤,符合IEC793/2及FDDI规范。
电话电缆主干选用的是TCL三类50对话音主干电缆,其有以下特点:
用于语音主干布线;
三类,16MHz;
适用于以太网、令牌网、ISDN、话音及其它数据应用;
先进的电缆结构提供良好的NEXT指标;
屏蔽层提供有效的电磁干扰保护。
4.管理子系统
管理子系统设置在每层配线间及大楼主设备间内,由相应的配线盘、跳线及辅助配件等组成。借助于管理子系统,可以实现不同的网络拓扑结构。当工作人员位置迁移或调整时,可以灵活地改变用户的路由。
配线间设置:本设计共设44个管理子系统,设在机楼两侧的电器间和主楼内筒的电器间。地下一层信息点较少,与东机裙楼一层、西机裙楼一层、主楼一层共用分配线架;东、西机裙楼10层和11层共用配线架;主楼23~26层信息点较少,每2层设1个分配线架,对信息点进行管理。
配线架及跳线选择:本管理子系统的配线架采用机柜安装。为方便日后维护、管理,水平区配线架全部采用6类的配线盘,话音主干配线架采用话音配线架,数据主干采用光纤配线架。话音跳线采用单RJ45接头跳线。至于光跳线和数据跳线与网络设备选型及网络组建有关,由计算机网络单项统一设计。
设备选型:双绞线机械终端选用的是TCL模块化跳线盘和6类连接模块;话音主干电缆连接终端选用TCL100和200对110模块;机柜选用的为TCL42HU机柜。配备水平电缆绑扎板及跳线管理环,已选配散热风扇和电源插座及设备托盘等(尺寸为800′800,42HU)。
电缆及跳线管理单元:整理水平进线的电缆导线架(CableGuide)集成在每个配线盘的后面。为了管理跳线,在机柜正面配备了封闭式的跳线导线架(PatchGuide)用于水平方向管理跳线,在机柜的两侧配备了跳线导线环(PatchRing)用于垂直方向管理跳线。所有这些管理措施使得机柜整齐有序,极大地方便了系统管理工作。
5.设备间子系统
设备间子系统由主配线架与主控室内各系统的连接部分组成,包括通讯系统,计算机系统和大厦内的自动化系统等。
话音总配线间4个,分别在东、西机楼一层、主楼一层、主楼十三层的分配线间,内设话音总配线架。由机楼2层总配线架室引来的2条600对市话电缆、2条1000对市话电缆端接在这4个总配线架上。
数据总配线间设在机楼9层的数据总配线间,数据总配线间全部采用光纤配线架。
6.通讯间及机房环境、电源及接地
在配线间内应至少留有二个为本系统专用的,符合和一般办公室照明要求的220V电压,电流10A单相三极电源插座。如果需要在配线间内放置网络设备,则还应根据配线间内放置设备的供电需求,配有另外的带4个AC双排插座的20A专用线路。此线路不应与其他大型设备并联,并且最好先连接到UPS,以确保对设备的供电及电源的质量。
通讯间、机房接地应满足以下要求:
(1)保护地线的接地电阻值,单独设置接地体时,不应大于4Ω;采用联合接地体时,不应大于1Ω。
(2)干线电缆的位置应接近垂直的地导体(例如建筑物的钢结构)并尽可能位于建筑物的网络中心部分。
(3)当电缆从建筑物外面进入建筑物内部容易受到雷击电源碰地、电源感应电势或地电势上浮等外界影响时,必须采用保护器。
(4)在下述的任何一种情况下,线路均属于处在危险环境之中,均应对其进行过压过流保护:雷击引起的危险影响;工作电压超过250V的电源线路碰地;地电势上升到250V以上而引起的电源故障;交流50Hz感应电压超过250V。
(5)综合布线系统的过压保护宜选用气体放电管保护器。
(6)过流保护宜选用能够自复的保护器。
(7)在易燃的区域或大楼竖井内放的光缆或铜缆必须有阻燃护套;当这些缆线被布放在不可燃管道里,或者每层楼都采用了隔火措施时,则可以没有阻燃护套。
(8)综合布线系统有源设备的正极或外壳,电缆屏蔽层及连通接地线均应接地,宜采用联合接地方式,如同层有避雷带及均压网(高于30米时每层都设置)时应与此相接,整个大楼的接地系统组成一个笼式均压体。
电话保护装置:在进线间对来自电话公司远端机房的通讯电缆提供过压过流,寄生电流和防雷接地电路保护。防止粤东信息大厦中的线缆受到高压引起的电磁冲击及寄生电流引起的设备过热,避免电气事故对粤东信息大厦内布线网上用户的危害以及对该布线网本身、连接设备和网络体系等的电气损害。
小结
本次方案设计选用的是中国著名的生产厂商TCL国际电工,六类非屏蔽及光纤综合布线系统。该产品和方案具有符合最新国际标准ISO/IEC11801ClassEDraft、抗电磁干扰能力强、先进实用、可采用CMS软件管理,易于安装、管理和维护等特点。本方案对粤东信息大厦将来应用的发展和变化作了充分的考虑,具有较大的扩充余地和较强的灵活性。
关键词:信息化系统;优化;方案;可扩展
中图分类号:TP306文献标识码:ADoI:10.3969/j.issn.1003-6970.2012.05.022
OptimizationsofMedicalInformationSystem
SHeNLi
(Informationcenterthe3rdPeople’sHospitalchongqing,chongqing400065,china)
【Abstract】thispaperdescribedthecurrentstatusofmedicalinformationsystem.accordingtotheproblemsoccurredinmedicalinformationsystem,someoptimizationofcurrentmedicalinformationsystemschemaswhichfocusedonnetworkdevicesanddatabasestorageequipmentsoptimizationwassuggestedinthispaper.Theseschemascouldimprovesystemperformanceandenhancedsecurityandscalability.
【Keywords】InformationSystem;Optimization;Suggestions;Scalability
0引言
医院信息化是将网络、存储、数据中心、电子商务等技术应用到医疗企业的市场调研、技术改造、业务流程控制、资金运作管理、医疗器械供应等过程,从而实现医院管理现代化。医疗企业进行信息化建设的主要目的是为了降低成本、提高医院工作效率和提升医院的综合竞争力。其信息化建设主要包括三个方面:即网络、数据和应用系统的信息化建设[1]。而应用系统(如ERP、CRM等)全都构建在网络平台之上,因此基础网络平台建设是医院信息化建设的首要任务。网络平台应该能同时满足企业应用系统对实现话音、视频、电子商务等多种业务的需求。
1医疗信息化现状分析
目前,多数医院的信息化建设时间较早,采用的网络设备大多为低端无管理交换机,随着应用系统的增多,网络规模不断的扩大,原有的网络设备无法满足与日剧增的网络吞吐量,主要暴露出以下几点问题:
1)功能性差,主要体现在无法有效的隔离网络风暴,当网络出现故障时不能快速的找到发生故障的节点;
2)网络主干线路部分多为百兆,在数据传输高峰期易成为传输瓶颈;冗余技术陈旧以致关键节点可能存在单点故障;
3)数据之间联系不大,缺乏有效的整合;
4)采用的信息技术落后导致办公效率低下;
5)缺乏较可靠的安全管理手段,时常发生信息化事故,如计算机病毒攻击、软件漏洞、重要数据的泄密等。
为解决上述问题以应对日益激烈的市场化竞争,提高企业自身竞争力,需要在现有的医院信息化基础平台架构的基础上进行优化及改造。
2总体设计规划
为快速改造现有基础架构且保证投入的改造成本较低,设计采用总体统一规划,局部分期实施的模式[2],结合医院目前的运作管理模式,充分考虑各应用系统的需求,应用成熟的网络技术,同时兼顾信息系统的先进性、可扩展性、高可靠性和高安全性的原则来建设。
2.1基础平台建设内容
医院基础平台建设包含以下几大系统:
2.1.1网络系统
优化改造现有网络系统架构,优化核心数据中心网络,实现数据中心网络与现网无缝融合;改建医院园区网络交换系统,部署全覆盖的无线网络系统。
2.1.2数据中心机房系统
数据中心机房系统包括两方面,一方面为应用系统以及相应的数据存储设备,包括应用架构平台、数据存储、备份系统。另一方面为机房配套设施[3],如机房综合布线系统、消防系统、空调、防尘系统、KVM、UPS等。
2.1.3网络安全系统
优化改造现有网络安全系统,数据中心网络、数据安全系统,流量管理系统,入侵检测、审计系统、准入控制系统。
2.1.4存储/备份/容灾系统
部署完善的存储基础平台,实现数据平滑迁移到新数据中心,医院两地实现同城应用级容灾。
2.2基础平台设计原则
为使系统既能满足当前性能需求又具有较好的可扩展性,基础平台设计必须既能适应当前应用系统的需求又可满足未来信息化发展的需要,须按照以下原则进行设计:
2.2.1先进性
采用成熟的技术,在兼顾成本的情况下尽可能的采用最先进的技术,使整个系统在相当一段时期内在同行业之间保持技术的先进性,使语音、视频等对网络带宽要求比较高的多媒体数据能够传输顺畅,
2.2.2安全可靠性
高可靠性,即保证各项业务应用系统不因硬件故障无法开展业务,具体实施方法有:在关键业务点采用冗余、热备等方法尽量避免系统的单点故障,制定较强的软件操作规范,以及建立事故监控网络技术措施等。
2.2.3灵活性和可扩展性
医疗信息化基础平台是一个不断发展的系统,因此必须具有良好的灵活性和可扩展性以适应应用系统的发展,当医院业务量增大时,能比较容易的扩大平台承载容量和提高各节点的性能。具备支持多种物理接口、通信媒体类型的扩展能力。
2.2.4开放性
基础平台应具备与多种通信协议相互通信的特点,确保充分发挥基础设施的作用。遵循开放式标准,坚持采用统一规范的原则(如国家标准,ISO标准等)。
2.2.5经济性
基础平台应使资金的投入产出比达到最小值以获得较高的性价比。通过以较少的人员投入支撑系统运行,使用较低的成本,在不影响系统整体安全性的前提下尽可能保留已有系统,充分利用原有的资金投入。
2.2.6可管理性
当业务系统的不断扩大时,基础平台管理任务会越来越重。因此在设计时须建立比较全面的解决方案,例如采用先进的管理软件,实时监控平台的运行情况并快速确定网络故障、动态平衡网络负载等。通过采用先进的管理策略和工具提高网络可靠性[4],为业务运行提供强有力的保障。
3基础平台优化方案
3.1方案思路
针对目前医院的现状,医院现有基础平台从技术层面上可分为两大基础平台:网络基础平台和数据中心基础平台。第一步:重点优化现有网络基础平台,第二步:重点优化数据中心存储。
3.2网络基础平台优化方案
网络基础平台规划设计图如图1,结合第三人民医院现有的信息化应用系统的需求,全面优化、改造现有的基础平台。使该平台成为先进、高可靠、高效的基础支撑平台。同时具备良好的扩展性、兼容性、能适应医院未来5年的信息化发展,最大程度的保护投资。
如图2所示,优化后的网络系统架构采用区域模块化架构,各区域模块根据其承担的功能分别设计,模块间相互独立并通过核心交换设备进行数据的传输与交换。当增加或优化业务系统时[5],只需增加或改动相关区域,避免了修改整体架构,最大限度的保护医院的投资。结合医院当前实际运行情况,我们设计了一个核心交换区域和五个功能区域(数据中心区域、楼层汇聚区域、网管区域、外联出口区域、安全隔离区域),如图3所示。
核心交换区担任各功能区域间的数据交换,其重要性非常明显,因此改区域应具备高可靠、高性能、高冗余等特点,建议该区域采用两台万兆交换机交换机采用热备方式与各功能区域互联[6]。各功能区域互联的骨干链路全部采用千兆ETH线路(6类双绞线),利用区域模块架构设计,使各个区域的核心设备来分担现有核心交换机的负载,延长核心交换机的利用年限,在应用系统发展到需要万兆数据交换时,直接更换为万兆核心交换机。并且在核心区域部署IC4500担任全院安全准入控制系统,与各交换机和防火墙联动。
数据中心区域是数据存储核心区域,为各应用系统提供用户信息、医疗信息等基础数据。该区域应采用两台千兆交换机热备方式,为各服务器提供高速稳定的交换平台。区域出口采用两台冗余防火墙控制访问权限,为数据中心区域提供安全防护。每台防火墙两条上行千兆光链路分别与核心交换区域的两台核心交换机互联,形成骨干千兆冗余链路。
楼层汇聚区域担医院各大楼各楼层的接入交换机汇聚功能。结合目前医院的布线情况和楼层信息点分布情况,建议行政楼、老年科大楼、内科楼、综合楼4栋楼的汇聚功能由核心交换机担任,各楼各楼层的接入层交换机直接汇聚到核心交换机上。门诊楼采用1台EX3200-48T交换机担任汇聚交换机各楼层的接入层交换机先汇聚到EX3200-48T上,再通过汇聚交换机EX3200-48T与核心交换机连接。核心的JuniperEX4200千兆全线速集换机,部署为集群模式,实现各楼层交换机到EX4200汇聚交换机冗余链路且2G上线干线。利用集群堆叠技术屏蔽了2层STP的问题,彻底解决2层冗余链路成环的问题,所有干线运用channel技术,不仅实现了链路冗余[7],还实现了冗余链路扩充干线链路带宽。港天门诊楼的汇聚交换机EX3200采用2层trunkchannel链路与核心交换机互联,链路带宽为20GETH链路。根据原有各大楼间的光纤链路资源,建议采用单芯千兆光收发器为各大楼到中心机房的核心交换机提供链路。
网管区域担任医院信息化运维系统的重要区域,采用1台防火墙及单台千兆交换机组成,与核心交换机互联。网管区域是部署信息化运维系统服务器及设备的独立区域。
外联出口区域担任与医院相关联的所有其他企业、机构网络的互联互通,同时确保医院内网网络的安全。(如:与医保的互联互通)外联出口区域采用1台JuniperSSG350防火墙担任与外联单位的专线互联,同时采用冗余链路分别连接到核心交换区域的两台核心交换机上,实现外联单位与医院内网各功能区域的互联互通;该防火墙还担任各外联单位的相互隔离及访问安全控制功能。
安全隔离区域是一个公共区域。是为未通过安全认证和安全检查的用户提供的可访问的信息区域。安全隔离区域是部署、防病毒服务器、补丁分布服务器、低安全度的公共信息资源等。
3.3数据存储中心优化
数据中心是整个医疗信息系统信息存储仓库,保存着所有医务人员以及病人的相关资料,其重要性尤为突出。随着数据中心技术的日益发展,传统的数据中心架构将逐渐退出舞台。从数据中心的高扩展性、高效性、节能性、资源合理利用率等多方面因素考虑,同时结合负载均衡系统、存储共享系统、服务器虚拟化系统、备份系统等,应实现数据、应用分离。如图4所示:
图4数据中心架构
数据中心将数据库服务器和数据库文件分离存放,数据库文件存放到比较稳定的存储设备上,并作相应备份,数据库服务器则采用双机或者等技术以保障数据库7*24小时运行,为应用级容灾打下坚实的基础。另外,通过Vmware虚拟化系统将所有硬件设备进行整合,再根据具体需求分配相应的资源给相关应用,合理的利用了计算资源,节约了成本,同时也增强了系统的可扩展性。
4结语
本文分析了现有医疗信息系统存在的不足。针对当前医疗信息系统网络设备陈旧、可扩展性差、数据存储不集中等不足,提出了优化当前医疗信息系统应重点优化两个部分,即优化当前信息系统的网络设备和数据存储中心。并根据该指导思想制定了改良医疗信息系统的方案。
参考文献
[1]杨迎镭.论重庆卷烟厂的网络改造优化[J].信息与电脑(理论版),2012.01.15.
[2]周建大,黄志平,姚宁宁,等.如何建设中国特色的区域医疗信息化平台[J].管理观察,2012(4):221-224.
[3]孙中海,孙卫,王继伟.基于云计算的区域医疗信息化建设模式思考[J].中国数字医学,2011,6(12):47-50.
[4]王琳华.关于远程医疗如何促进区域医疗信息化建设的思考[J].重庆医学,2011,40(35):3574-3575.
[5]杜晨霞.医疗信息化服务模式的发展趋势探讨[J].科技情报开发与经济,2011,21(30):117-119.
关键词:校园网驻地网专线PONWLAN
中图分类号:TP3文献标识码:A文章编号:1007-9416(2012)01-0152-02
随着科技的飞速发展,高校的信息化建设也在如火如荼的开展。当前高校校园网内网多为校方自建,主要用来实现各职能部门(如办公室、教学楼、图书馆等)之间的网络互通、安全隔离、办公自动化、信息化应用等功能,建设方式多样灵活,需综合考虑学校的组织架构、各楼层网络接入需求等因素,情况相对复杂;因此,本文是基于高校校园内网已建的前提下,针对高校校园网学生宿舍网的不同建设场景,提出相应的解决方案。
1、背景
在高校信息化以及互联网访问需求不断增多的驱动力下,对高校校园网网络接入方式、带宽需求、数据交换能力、网络管理、网络控制、认证计费等都提出了更高的要求。
现有高校校园网主流运营模式主要分为两种:运营商独立运营以及运营商与校方联合运营两种方式;两者主要区别在于前者不仅需要负责提供专线接入,而且还要提供宿舍网的统一认证计费等服务;而联合运营中,运营商仅负责提供专线接入,其他的统一认证计费等由校方自有的认证服务器实现。下文将结合这两种运营模式场景提出相应的技术解决方案。
2、校园网技术解决方案
2.1新建驻地网与专线
新建覆盖学生宿舍区域的驻地网络,接入运营商的互联网专线,分流宽带用户,并对分流用户进行认证、计费。新建接入网可通过“PON+交换机+WLAN”、“路由器+交换机+WLAN”以及“PON/路由器+交换机+xDSL+WLAN”等方式实现。
2.1.1驻地网采用“PON+交换机+WLAN”方式
(1)方案描述。1)采用PON结合交换机的组网方式,在学校中心机房部署OLT,大楼部署ONU作为楼层汇聚;2)部署AP接入楼层接入交换机,为布线困难或代价高的区域进行无线信号覆盖,实现宿舍楼全面覆盖;3)重新进行楼内综合布线;4)OLT通过互联网专线出口接入运营商城域网,在运营商侧完成用户认证与计费;5)在已有PON+WLAN覆盖的校园内可利旧原楼内ONU设备,如ONU端口不足,则替换或升级ONU;6)为覆盖宿舍内每一名学生用户,可采取“以宿舍为单位布线(家庭交换机扩展端口)”和“以学生为单位布线(布线至床头)”两种模式;其中“以宿舍为单位布线(家庭交换机扩展端口)”模式可采用“PON+楼层交换机+家庭交换机扩展端口”和“PON+家庭交换机扩展端口”两种组网方式;“以学生为单位布线(布线至床头)”模式可采用“PON+楼层交换机+直接布线”组网方式。
(2)数据访问流向。1)访问互联网:校园宽带用户通过运营商的接入网接入城域网,进行用户认证后访问互联网资源。2)访问校园内网(教育网):根据校园自身规划,存在以下三种情况:①校园宽带用户通过连接运营商宽带访问互联网,经过校园内网的互联网出口访问校园内网;②校园宽带用户通过运营商接入网与校园内网的直连线路,无需认证,能够直接访问校园内网资源(大部分学校从内网安全、网络复杂度等因素考虑,此模式实际中基本不采用);③校园在规划建设时已统一为宿舍预留校园内网接入端口,与宿舍宽带相互隔离,独立接入校园内网中,通过校内身份认证访问内网(教育网)资源,即无需运营商考虑校园内网与教育访问。3)用户互访:校园内用户互访、文件互传等将占用大量楼层交换机性能开销,影响正常业务开展、且无法计费,因此原则上限制大量用户互访(端口VLAN方式),仅允许同楼层甚至更小范围内用户通过楼层交换机二层功能互访。校园用户实际互访均通过互联网进行,例如利用IM软件进行文件互传、利用对战平台等实现局域网游戏。目前运营商对校园宽带用户互访均采取上述策略,图1。
2.1.2驻地网采用“路由器+交换机+WLAN”方式
这种方式与“PON+交换机+WLAN”方式主要区别在于采用传统路由器+交换机组网替换PON+交换机组网,即在在校园内设置核心/出口路由器作为接入网出口,而不是采用OLT设备实现,其余的AP部署、楼内综合布线、数据访问流向等方式两者均相同。
2.1.3驻地网采用“PON+xDSL+WLAN”方式
此方式组网与LAN组网相比带宽受限,速率较慢;根据已实施经验,PON+xDSL方式单用户覆盖成本超过PON+LAN方式;另外xDSL组网对电话线路质量要求较高,如电话线路质量不好易造成xDSL工作不稳定或断线,增加维护难度。因此,基本上不建议采用该方式。
2.2利旧驻地网
(1)方案描述。1)利旧宿舍区域现有接入网络,新增三层汇聚设备,接入新增的运营商互联网专线出口;2)部署AP接入楼层接入交换机,为布线困难或代价高的区域进行无线信号覆盖,实现宿舍楼全面覆盖;3)利旧宿舍区原有综合布线,同时新建其余组网设备;4)出口路由器互联网专线出口接入运营商城域网,在运营商侧完成用户认证与计费;5)根据网络现状情况,需要对现有接入网络中不符合要求设备进行一定的设置改动。
(2)数据访问流向。与上述“PON+交换机+WLAN”方式相同。
2.3仅新增专线
(1)方案描述。在学校全盘控制校园内网、宿舍生活区网络的政策下,仅需新增运营商互联网专线即可,接入校园网统一出口(学校不允许宿舍区域存在互联网直连接口的情况)。
(2)数据访问流向1)访问互联网:校园宽带用户通过校园网络在校方自建的认证服务器上进行身份认证,获得访问权限后访问互联网(通常分为教育内网权限、互联网权限两种);2)访问校园内网:校园宽带用户通过校园网络在校方自建的认证服务器上进行身份认证,获得访问权限后访问校园内网资源;3)用户互访:用户间通过校园内网进行互访。
3、方案比较
不同的运营场景可以采用不同技术解决方案,以下将从组网和宿舍覆盖布线模式两个维度进行比较分析。
3.1组网方案比较,表1
3.2宿舍覆盖布线模式比较,表2
4、结语
本文以研究高校校园网建设为主题,根据新建驻地网、利旧驻地网、仅新增专线等多种建设场景,提出了多种校园网技术解决方案,并进行技术可行性的论证。同时,根据不同的宿舍覆盖布线方式,进行了综合比较。本文涉及到的多种解决方案,可以满足当前主流网络运营商为高校进行校园网建设的需要,不仅可以满足高校的信息化需求,提升高校的教学与科研水平,更可以满足运营商发展高校用户、提高信息化收入的需求,最终实现高校和运营商双赢。
参考文献
[1]陈军民,刘建辉.基于SOA构建数字校园网[J/OL].科技广场,2008,第8期:10-35.
[2]中国通信企业协会.FTTxPON技术与应用[M].北京:人民邮电出版社,2010.
[3]王庆,胡卫,程博雅.光纤接入网规划设计手册[M].北京:人民邮电出版社,2009.
[4]孟玲玲.校园网组建与维护[M].北京:中国人民大学出版社,2011.
[5]历晓华,段炼,段水福.无线局域网(WLAN)设计与实现[M].浙江:浙江大学出版社,2007.
关键词:交换机端口安全;VLAN;单臂路由;ACL;Nat
1园区网的实际意义
网络的发展为人类带来了无可比拟的便捷生活,网络已经成为社会上每个企业或组织在办公中必不可少的一部分。一般企业或组织使用的网络都是局域网,大致分为小型局域网和大型局域网,其中,大型局域网就是通常所说的园区网。园区网通常是指大学的校园网及企业的内部网(Intranet)。其主要特征是:网络特别是路由结构完全由一个机构来管理,但是接入设备的数量巨大,业务需求种类较多。在实际中园区网应用非常广泛,在分析配置和实施的过程中必须考虑到网络整体的使用性、安全性、可扩展性等因素。
2典型园区网的实际需求及初步拓扑
2.1实际需求
现在我们以一个学院为例,模拟一个典型园区网。
学院目前有三栋大楼,其中两栋教学楼,一栋院部楼。每栋教学楼中既有教师办公室,也有学生教室。院部楼既有教师办公室,还有信息中心。平均每栋大楼5层高,每层有10个房间,每个房间10个接入点。
对于整个园区网,学院作以下规定:学生之间只能在本教室内通信,教室与教室之间不能通信,但是学生可以浏览学院的内部网站;教师之间可以相互通信、信息共享,并且除了可以浏览学院的内部网站外,也可以无限制浏览外部网站。
2.2初步拓扑(如图)
3设备选型及采用技术
3.1分层网络设计
首先我们将拓扑划分出层的概念。一个园区网拓扑中的层通常分为三类,即接入层、汇聚层和核心层。
接入层通常指网络中直接面向用户连接或访问的部分。接入层的目的是允许终端用户连接到网络,因此,接入层交换机具有低成本和高端口密度特性,是最常见的接入层设备,大都提供多个具有10M/100M/1000M自适应能力的端口。
汇聚层是楼群或小区的信息汇聚点,是连接接入层和核心层的网络设备,为接入层提供数据的汇聚、传输、管理、分发处理以及基于策略的连接,如地址合并、协议过滤、路由服务、认证管理等。通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层,保证核心层的安全和稳定。汇聚层设计为连接本地的逻辑中心需要较高的性能和比较丰富的功能。
核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是可靠性和高速传输。网络的控制功能最好尽量少在核心层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。
3.2拓扑分析
根据初步确定的拓扑图,从底层向上,由接入层向核心层来一层一层分析。
接入层即D类设备,是每个房间的交换机,每台设备连接10个接入点;同时,在网络安全方面,考虑到整个园区网一共有1500个接入点,必须防止教师、学生或外来人士有可能随意接入个人电脑,对网络进行破坏,所以必须在接入层的交换机上进行端口安全设置。
汇聚层中的C类设备,是每个楼层的交换机,每台设备连接10个D类设备;在网络性能方面,考虑到整个园区网中的接入层一共有150台交换机、1500个接入点,整个园区网处于一个广播域中,一旦整个网络泛洪,网络性能将急剧下降,同时也是为了方便管理,所以,应该在C类设备中配置VLAN。
汇聚层中的B类设备,是每栋楼的设备,每台设备连接5个C类设备,考虑到VLAN间的通信以及实际的性能需要,所以,应该选用三层路由交换机。同时,在B类设备中配置单臂路由,B类设备间配置trunk。而由于需要对学生浏览外网有限制,所以,应该在B类设备连接A类设备一端配置ACL,使得学生所在处的VLAN只能最高访问B类设备,而无法访问A类设备。之所以在B类设备一端配置ACL而不是在A类设备一端配置,主要是考虑到节省B类设备与A类设备之间的带宽,提高整个网络的性能。这里应当提出,整个园区网的serverfarm也应该连接在汇聚层而不是核心层,这主要是考虑到每层的功能不同,应该尽量让核心层以内外数据交换为主。
核心层即A类设备,是整个园区网的边缘设备,每台设备连接3个接入点,考虑到核心层以内外数据交换的功能为主以及实际的操作和性能需要,所以,应该选用三层路由交换机,同时在A类设备中配置NAT。
3.3设备选型
D类设备和C类设备,都选用思科WS-C2960-24TT-L。B类设备,选用思科WS-C3560G-24TS-S。A类设备,选用思科WS-C3750G-24TS-S1U。
3.4采用技术
(1)交换机端口安全
交换机端口安全是以限制接入MAC地址的目的的一种技术,violation有三个参数分别是shutdown、protect、restrict。
其典型配置如下:
Switch(config-if-range)switchportport-security
Switch(config-if-range)switchportport-securitymaximum1
Switch(config-if-range)switchportport-securityviolationshu
tdown
(2)VLAN
VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术,对实际使用而言具有广播风暴防范、增强网络安全、简化项目管理或应用管理等优点。案例中,可以将所有教师所在办公室按照所处科室的不同划分不同的VLAN,而学生教室按照地域的不同划分不同的VLAN,每个VLAN内部是同一广播域,可以相互通信。
其典型配置如下:
switch(config)#vlan110
switch(config-vlan)#namewulijiaoyanshi
(3)单臂路由
单臂路由是一种连接不同VLAN之间相互通信的技术,在案例中,为了保证教师之间可以相互通信,必须配置单臂路由。
其典型配置如下:
Router(config)#interfacefa0/0
Router(config-if)#noshutdown
Router(config-if)#interfacefa0/0.1
Router(config-subif)#ipaddress192.168.2.1
Router(config-subif)#encapsulationdot1q2
(4)ACL
访问控制列表(AccessControlList,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包,其目的是为了对某种访问进行控制。由于案例中要求学生不能访问外网,所以必须设置ACL。
其典型配置如下:
R1(config)#access-list1deny192.168.1.00.0.0.255
R1(config)#access-list1permitany
R1(config)#interfaces0/0
R1(config-if)#ipaccess-group1out
(5)NAT
NAT是一种将私有(保留)地址转化为公用IP的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT不仅完美地解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。其配置需要与ACL配合使用。
4总结
通过对案例的分析,对拓扑中设备的配置现已基本达到了园区网的要求。当然,作为拓展,可以在A类设备和B类设备上做冗余配置,防止某一设备突然出现故障造成的不必要的损失,这会涉及到生成树的一些技术,在这里不做一一陈述。
参考文献