随着挂号、候诊人数不断上涨,移动终端大量接入易导致网络缓慢,不仅降低了医院人员的工作效率,同时也加剧了医患隐私、医院数据泄漏等网络安全问题。对此,不少医院开始逐步着手于网络升级改造。
医院内网一般采用万兆核心、千兆接入的高速以太网二层或三层架构设计,可通过增加模块的方式实现接入万兆到核心的平滑升级,满足未来3-5年未来业务扩展的需求。
1、二层网络架构
即全网接入层直接连接到核心或经过一个二层设备转连接至核心。其特点是:全网拓扑简单,所有终端的网管位于核心交换机上,核心交换机通过 MSTP(Multi-Service Transfer Platform)+VRRP(Virtual RouterRedundancy Protocol)、环网技术或者硬件虚拟化技术进行部署,增加冗余性和鲁棒性,但容易造成核心交换机压力较大,易受到到来自各个区域终端的攻击,导致网络动荡,网络稳定性下降。
2、三层网络架构
即全网严格分为核心、汇聚、接入三层,接入层主要负责接入控制、VLAN 划分以及二层网络的隔离与互通等功能;汇聚层设备作为各汇聚区域的网关,进行三层网络访问控制,减轻核心交换压力,分割网络动荡区域,使得局部的问题不影响全局,汇聚层之上通过三层接口与核心交换机进行互联,运行动态或静态路由协议,提高网络自愈能力;核心层交换机主要负责高速的三层转发,由于已在汇聚层上进行控制域划分,此时核心层启用的策略更少,性能更高,风险降低。
厚石工业交换机在医院内网的网络架构设计
⑴ 核心骨干网设计
核心骨干网采用2台万兆核心交换机通过万兆多模光纤互联,实现万兆核心网络并可平滑升级到未来的10万兆核心。两台核心交换机通过虚拟化技术,虚拟为一台,进行管理,实现接入到核心的链路负载均衡与热备份,一旦一台核心交换机出现故障,链路切换时间在50ms内,保障所有业务数据无中断的转发。
⑵ 核心交换机的选型
为了保障未来业务的扩展,核心交换机至少具备3个业务槽位,支持双引擎的热冗余;交换容量至少在4.8Tbps以上,包转发至少在1400Mpps以上;核心交换机须支持虚拟化技术,将内网两台核心交换机虚拟成为一台管理,同时实现负载均衡;核心交换机必须支持基于硬件的CPU保护技术与安全策略自动下发技术,充分保障核心交换机的安全运行;
⑶ 接入层设计
考虑到影像中心接入信息点集中,同时医院的应用多元化,PACS系统大流量高性能的需求。要求影像中心接入层的设备具有端口高密度和设备的高性能、高安全、多功能的特点。接入层采用全千兆智能接入工业交换机,满足了网络流量成倍提高和多媒体业务的迅速增长的需要。在提供高性能、高带宽的同时,全千兆智能接入工业交换机提供智能的流分类、完善的服务质量(QoS)和组播应用管理特性,并可以根据网络的实际使用环境,实施灵活多样的安全控制策略,有效防止和控制病毒传播和网络攻击,控制非法用户接入和使用网络,保证合法的用户合理化地使用网络资源,充分保障了网络高效安全、网络合理化使用和运营。
医院内网接入设计采用千兆工业交换机,必须支持防ARP、DHCP SNOOPING等攻击;并支持802.1x、WEB认证等功能;通过两条千兆多模光纤分别与核心交换机连接。通过核心交换机的虚拟交换技术,实现链路的热冗余。并通过千兆6类双绞线与桌面计算机连接,实现千兆到桌面的访问。
医院使用厚石工业交换机,通过网络实现统一管理,图形化界面清楚显示接入终端类型、位置、网络运行状况等,快速定位网络问题,轻松解决医院网络终端管理、运维繁琐等难题。同时,当工业交换机监测到带毒文件或插入带毒外接设备时,会阻挡病毒在内网中的传播,同时定位出风险终端并告警。方便管理员快速采取管理手段,将影响降低到最小,保证内网安全。