随着挂号、候诊人数不断上涨，移动终端大量接入易导致网络缓慢，不仅降低了医院人员的工作效率，同时也加剧了医患隐私、医院数据泄漏等网络安全问题。对此，不少医院开始逐步着手于网络升级改造。

医院内网一般采用万兆核心、千兆接入的高速以太网二层或三层架构设计，可通过增加模块的方式实现接入万兆到核心的平滑升级，满足未来3-5年未来业务扩展的需求。

1、二层网络架构

即全网接入层直接连接到核心或经过一个二层设备转连接至核心。其特点是：全网拓扑简单，所有终端的网管位于核心交换机上，核心交换机通过 MSTP（Multi-Service Transfer Platform）+VRRP（Virtual RouterRedundancy Protocol）、环网技术或者硬件虚拟化技术进行部署，增加冗余性和鲁棒性，但容易造成核心交换机压力较大，易受到到来自各个区域终端的攻击，导致网络动荡，网络稳定性下降。

2、三层网络架构

即全网严格分为核心、汇聚、接入三层，接入层主要负责接入控制、VLAN 划分以及二层网络的隔离与互通等功能；汇聚层设备作为各汇聚区域的网关，进行三层网络访问控制，减轻核心交换压力，分割网络动荡区域，使得局部的问题不影响全局，汇聚层之上通过三层接口与核心交换机进行互联，运行动态或静态路由协议，提高网络自愈能力；核心层交换机主要负责高速的三层转发，由于已在汇聚层上进行控制域划分，此时核心层启用的策略更少，性能更高，风险降低。

厚石工业交换机在医院内网的网络架构设计

⑴ 核心骨干网设计

核心骨干网采用2台万兆核心交换机通过万兆多模光纤互联，实现万兆核心网络并可平滑升级到未来的10万兆核心。两台核心交换机通过虚拟化技术，虚拟为一台，进行管理，实现接入到核心的链路负载均衡与热备份，一旦一台核心交换机出现故障，链路切换时间在50ms内，保障所有业务数据无中断的转发。

⑵ 核心交换机的选型

为了保障未来业务的扩展，核心交换机至少具备3个业务槽位，支持双引擎的热冗余；交换容量至少在4.8Tbps以上，包转发至少在1400Mpps以上；核心交换机须支持虚拟化技术，将内网两台核心交换机虚拟成为一台管理，同时实现负载均衡；核心交换机必须支持基于硬件的CPU保护技术与安全策略自动下发技术，充分保障核心交换机的安全运行；

⑶ 接入层设计

考虑到影像中心接入信息点集中，同时医院的应用多元化，PACS系统大流量高性能的需求。要求影像中心接入层的设备具有端口高密度和设备的高性能、高安全、多功能的特点。接入层采用全千兆智能接入工业交换机，满足了网络流量成倍提高和多媒体业务的迅速增长的需要。在提供高性能、高带宽的同时，全千兆智能接入工业交换机提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法的用户合理化地使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。

医院内网接入设计采用千兆工业交换机，必须支持防ARP、DHCP SNOOPING等攻击；并支持802.1x、WEB认证等功能；通过两条千兆多模光纤分别与核心交换机连接。通过核心交换机的虚拟交换技术，实现链路的热冗余。并通过千兆6类双绞线与桌面计算机连接，实现千兆到桌面的访问。

医院使用厚石工业交换机，通过网络实现统一管理，图形化界面清楚显示接入终端类型、位置、网络运行状况等，快速定位网络问题，轻松解决医院网络终端管理、运维繁琐等难题。同时，当工业交换机监测到带毒文件或插入带毒外接设备时，会阻挡病毒在内网中的传播，同时定位出风险终端并告警。方便管理员快速采取管理手段，将影响降低到最小，保证内网安全。