王肖

南京震铄电子科技有限公司 江苏南京 210000

1 智慧医院网络设计思想与设计原则

医院网络关键基础设施系统的平台搭建，它负责传输所有的医院数据通信。可靠的信息技术服务，稳定的运营至关重要。建设网络平台要符合以下原则进行：

1.1 稳定性、可靠性

医院进行网络运行最基本的诉求即为网络系统的稳定和可靠性，包括：PACS 数据传输、医生阅片调取、门急诊挂号及收费等系统的稳定运行。

关键设备冗余，在硬件上包括预留支持热插拔板，增加冗余控制模块，双路甚至四路UPS 电源接入。冗余信息网络系统设计，包括核心及汇聚层网络设备双机热备，接入层链路端口冗余、主要技术设备端口链路聚合、主要存储设备负载均衡设计[1]。

1.2 安全性

安全性关系到医院信息系统病患及医疗信息的保密，自身网络系统运行的稳定，包括逻辑安全控制和物理空间的网络安全控制。除了天融信、亚信安全、深信服等专业的安全设备提供的专业安全防护，基础的网络技术层面也需要我们具备一定的网络信息安全防范能力，如防IP 冲突、ARP 攻击等。通过部署网络安全设备，一方面是为了满足医院内部信息的安全性，另一方面满足等保要求和医院等级评审需求。

1.3 先进性、可扩展性与实用性结合

医院网络设计不仅需要能够满足当前系统运行需要，随着不断涌现的新新业务系统和不断升级的现有业务系统，网络系统需要能够承载更多丰富业务及提供更快捷的服务。同时随着城市经济发展，诸多医院开始在建设新的院区，新老院的信息互联、共享，也是今后医院发展的主流需求。所以，网络的前瞻性设计需要充分考虑网络的可扩展性。

1.4 易维护、可管理性

长期以来网络运维大多依赖储备相当网络知识的专业型厂商工程师，才能在网络瘫痪时迅速排查网络故障节点，分析事故原因，再进行问题的解决。在新的网络架构设计及产品选型时可管理及易维护性的需求日益增加。医院运维管理团队应该从繁杂的运维工作中抽出身来，更多的关注业务应用和创新。

2 智慧医院网络规划设计

2.1 总体物理架构设计

医院院区网络的逻辑包括八大部分

终端层：包含医院院区内的各种终端设备，例如医生办公电脑、自助报道机、自助胶片打印机、自助缴费机、查房PDA、门禁控制器、PACS 工作站等等。

接入层：负责将各种终端接入到院区网络，通常由以光口交换机和电口接入交换机组成。对于某些终端，例如无线接入的AP 设备，仍然需要增加室内信号分布系统基站或者无线AC 控制器。

汇聚层：负责汇聚一栋大楼内的接入交换机流量，提供路由转换，转发大楼内接入交换机之间的流量。汇聚交换机应支持路由协议，跨院区网络架构搭建时注意回指路由的配置。同时支持一些访问控制列表的下发，对不同业务VLAN、地址段之间的数据交换及端口流量可以进行限制。汇聚层设备的选择应根据接入层设备数量和分布来选择相应的接口数；同时为避免拥塞现象，应考虑汇聚层的上行和下行的过载比。

核心层：核心层负责院区内部多个楼宇的数据交换，因此需要保持核心层设备配置简单，不布置具体业务。核心网络需要实现带宽的高利用率、数据的高转发性能和网络故障的快速收敛。同时从可靠性方面考虑，核心层需要高冗余，可以将两台交换机在逻辑上虚拟成一台交换机。

院区出口：院区出口是医院院区网络到外部公网的唯一通道，院区网的内部用户通过网闸设备接入到公网，外部用户（VPN 用户等）也通过安全隔离与信息交换设备接入到内部网络[2]。

数据中心区：部署存储虚拟化设备、HIS 及PACS 数据库及应用、虚拟化桌面应用、网络安全设备（堡垒机、IT 安全运维管理软件）等。为医院内部医护人员及管理人员提供数据和应用服务。

DMZ（Demilitarized Zone）区：通常外网应用服务器部署于该区域，为外部访客（非医院内部员工）及VPN 用户提供相应的访问业务。该区域安全性受到严格控制，建议部署IPS、防火墙、上网行为管理、防毒墙等设备。

Extranet 区：主要是面向外联单位例如银行、医保网等其他类型为医院提供服务的机柜。功能与DMZ 区相似。

2.2 总体逻辑架构设计

本次项目涉及医院内网、外网和设备网建设：

内网：医院管理及医疗系统运行的神经，要承载所有医疗业务，如HIS（医院信息管理系统）、LIS（检验业务）、PACS（影像归档和通信系统）等业务数据传输。内网设备要求高冗余、高带宽、高速率、大容量，并需考虑未来扩容、带宽升级。

外网：即为管理办公网，作为行政办公、对外发布、互联网医学资料查询的主要平台，稳定性和保密性要求低于内网，且接入终端及数据流特点也更为复杂。

设备网：即为弱电智能网，主要为院区内时间服务器、彩色网络摄像机、门禁控制器、楼控网关设备、背景音乐网络播放器、存储及应用服务器等院区应用设备的数据交互。随着院区智能网子系统日趋完善，综合安防摄像机设备数量增加及视频质量的提高，智能网的数据交换同样需要大容量、高速率和高宽带。

院区设计建设三张网，医院内网、外网、设备网单独部署，物理隔离。其中医院内网和外网之间通过网闸进行必须的数据传递，在满足等保要求的前提下实现应用接口的访问。

2.3 可靠性设计

院区接入层设计比数据中心部署模式与特性需求更多：安全、认证、视频、无线、应用可视化等，为便于在楼层进行灵活扩展、可融合各种无线解决方案，院区网络建议使用Instant Access 即时接入技术，同时保持所有接入层设备功能一致性。通过预配置接入交换机信息，再连接物理设备可以提前做端口配置等详细内容，不用等到物理设备上线再做配置。提高医院运行的高适应性及高前瞻准备性[3]。

接入层多机堆叠双上联实现上行链接的双归属。通过双机虚拟化可以提高单节点设备及链路的可靠性。接入层设备端口流量也可以均匀分布在堆叠链路上，链路带宽利用率大大增加。一条或多条链路故障后，流量自动切换到其他正常的链路。通过链路故障感知快速切换，设备上的所有业务将正常运行。网络故障迅速收敛。

物理三层，逻辑两层，管理IP 只需要几个。繁琐的配置工作将呈现几何级数级减少，单IP 管理及排错。结合Smart Install 可覆盖FEX 与非FEX 所有设备，新增节点几乎免配置。核心层设备功能延伸到接入层。网络配置、管理、故障排查难度降低，运维简化、呈单点形式展现。

2.4 网络运维

目前医院信息中心的运维工作人员除了负责HIS、PACS 等医疗软件系统的维护还肩负着网络硬件设备的运维管理，一般一个科室10 个人需要管理上千人运行的医院，网络系统的易维护性显得尤为重要。通过PI 网管软件，医院有线和无线网络得到统一的管理，同时网管软件提供网络拓扑的可视化、网络节点状态监控、设备故障预警、实时事件警报和网络流量统计。高效的网络运维不仅是减轻技术人员运维和排查故障的工作量，更重要的是保障社会网络及各应用管理系统的稳定发展可靠、安全的运行。

3 结语

随着生活条件的提升，整个社会对医院发展更加关注和重视。为了满足人们对优质医疗资源不断增加的需求，必须积极促进医院转型，全面建立具有信息化与智能化的智慧医院，对医院网络架构进行全面的优化。本文结合医院发展实际，从物理层、逻辑层、安全可靠性方面，设计了完善的网络方案。具体实施过程还需要注意VLAN 规划、IP 规划、路由规划、WLAN、内部互访、准入控制、行为管理等方面的具体设计。通过建立有线无线网络的统一管理，保证了网络策略的一致性，真正实现了有线无线网络的融合。为医护人员工作提供便捷高效的网络工作环境，同时节约患者就医取片、缴费时间，使患者获得较舒适的就医服务体验，最终实现医院整体服务的提升和医疗资源的高效利用。