中小型医院网络的组建方案

在路由器上实现。

划分的八个VLAN分别属于八个不同的网段，但是随着医院的不断发展，将会有更多的信息点，假设医院内部网使用C类网络私有地址，网络号为192.168，对应子网掩码是255.255.255.0。那就可以划分256个VLAN子网，就算医院以后不断的扩展，也就满足了。每个网段可容纳254台主机。以一个信息点只有500个的中小型医院网络来说，有很大的扩充空间。内部网的机器可以通过WEB服务器，FTP服务器浏览到医院网站和利用医院资源，还可以根据权限使用HIS系统。

现在，我只需取其中的服务器VLAN1、交换机VLAN2、住院VLAN3、门急诊VLAN4、影像科VLAN5、检验科VLAN6，财务VLAN7，可以上网的机器划分为一个VLAN8，共八个VLAN子网就可以了，子网掩码是255.255.255.0，各网段分别是如下图，其中可以上网的机器划分范围为192.168.7.1～192.168.7.254。

现在的路由器具有VLAN功能，所以划分VLAN可在路由器上进行，而且还可以在路由器上禁止不上INTERNET的VLAN的路由，十分方面。

2. 外网

（格式不对）网络接入方式

1. （格式不对）普通拨号方式

普通的电话网络，传输的是模拟信号，而电脑处理的是数字信号。如果把数字信号转变成模拟信号的过程叫做调制，相反的过程就是解调。调制解调器就担当这个作用。它分为内置式与外置式两种。内置MODEM是插在电脑主板上的一个卡；很多品牌电脑都预装了内置MODEM，如果是后来添加，很多人会选择外置式MODEM。预装的内置MODEM通常已经安装好了驱动程序，只须将电话线接头（俗称水晶头，因为它白色透明）接入主机箱后面的MODEM提供的接口就是。外置MODEM是将电话线接头插入MODEM，随设备自带了一条MODEM与电脑的连接线， 该连接线一端接MODEM，一端接电脑主机上的串行接口。

2. （格式不对）ISDN

ISDN综合业务数字网是数字传输和数字交换综合而成的数字电话网，英文缩写为ISDN。它能实现用户端的数字信号进网，并且能提供端到端的数字连接，从而可以用同一个网络承载各种话音和非话音业务。ISDN基本速率接口包括两个能独立工作的64Kb的B信道和一个16Kb的D信道，选择ISDN 2B+D端口一个B信道上网，速度可达64Kb/s，比一般电话拨号方式快2.2倍(若Modem的传输速率为28.8Kb/s)。若两个B信道通过软件结合在一起

17

使用时，通信速率则可达到128Kb/s。它的普及从某种意义上讲是对传统通信观念的重大革新。装机与通信费用与普通电话相近，近一两年才在国内主要城市开通业务，同样可到电信局的营业网点申请，当然也就成为目前拨号上网的首先方式。

3. ADSL

ADSL技术是运行在原有普通电话线上的一种新的高速宽带技术，它利用现有的一对电话铜线，为用户提供上、下行非对称的传输速率(带宽)。 非对称主要体现在上行速率(最高640Kbps)和下行速率(最高8Mdps)的非对称性上。上行(从用户到网络)为低速的传输，可达640Kbps；下行(从网络到用户)为高速传输，可达8Mbps。它最初主要是针对视频点播业务开发的，随着技术的发展，逐步成为了一种较方便的宽带接入技术，为电信部门所重视。通过网络电视的机顶盒，可以实现许多以前在低速率下无法实现的网络应用。

4. VDSL

VDSL(Very-high-bit-rate Digital Subscriber loop)是高速数字用户环路，简单地说，VDSL就是ADSL的快速版本。使用VDSL，短距离内的最大下传速率可达55Mbps，上传速率可达19.2Mbps，甚至更高。

5. OAN：

OAN (光纤接入网)是采用光纤传输技术的接入网,即本地交换局和用户之间全部或部分采用光纤传输的通信系统。光纤具有宽带、远距离传输能力强、保密性好、抗干扰能力强等优点,是未来接入网的主要实现技术。FTTH方式指光纤直通用户家中，一般仅需要一至二条用户线，短期内经济性欠佳，但却是长远的发展方向和最终的接入网解决方案。

6. FTTX+LAN接入方式

这是一种利用光纤加五类网络线方式实现宽带接入方案，实现千兆光纤到小区(大楼)中心交换机，中心交换机和楼道交换机以百兆光纤或五类网络线相连，楼道内采用综合布线，用户上网速率可达10Mbps，网络可扩展性强，投资规模小。另有光纤到办公室、光纤到户、光纤到桌面等多种接入方式满足不同用户的需求。FTTX+LAN方式采用星型网络拓扑，用户共享带宽。

7. DDN

DDN不仅适用于气象、公安、铁路、医院等行业，也涉及到证券业、银行、金卡工程等实时性较强的数据交换。目前是许多单位用于实现WAN连接的手段，尤其对于要求持续稳定可靠安全的信息流传输的应用环境更是如此。

本方案考虑到中小型医院网络建设的经济性，而DDN虽然是许多单位用于实现WAN连接的手段，但是采用DDN专线成本大，组网要求高。所以本方案选用ADSL上网接入技术，向ISP申请6个IP地址，可假设地址范围为：202.206.240.1～202.206.240.6。在6个IP地址中，还需要除去一个地址作为网络地址，一个作为广播地址，一个作为内部私有地址转换的IP地址，一个作为路由器地址，一个作为WEB服务器地址，用作医院网站。剩下一个备用，以防日后医院扩展所需。但是，考虑到当ADSL线路会出现问题时，应采用采取备用接入网络，所以采取PSTN电话拨号形式作为备份，这样可以保证在任何情况下通讯不会中断。

现在绝大部分医院已建立自己的HIS系统，但是由于地域上的距离和网络发展的不平衡，医院与医保中心，卫生局，疾病控制中心，各医疗卫生分支部门等网络之间缺少互联互通。网络间的资源不能共享，造成网络的割裂。目前有些医院租用DDN专线来连接医保中心，

18

卫生局，疾病控制中心，各医疗卫生分支部门，但是这样的通信必然导致高昂的通信费用和维护费用。而采用拨号线路又存在速度慢，安全性差的弱点。所以本方案采用近年来，最常用的传输技术——VPN。VPN以其可以利用公网资源，建立安全可靠，经济高效的传输链路而被广泛使用。在VPN技术的支持下，位于不同地点的医疗部分只需联入当地的INTERNET，就可以组成一个可靠高效的虚拟专用网络。VPN为医疗卫生行业提供一个高性能，高质量，高可靠性的信息访问的解决方案。

VPN是指在公网上所建立的企业网络，并且此企业网络拥有与专用网络相同的安全、管理及功能等特点，它替代了传统的拨号访问，利用INTERNET公网资源作为企业专网的替代和补充，节省昂贵的长途费用。VPN乃是原有专线式企业专用广域网络的替代方案，VPN并非改变原有广域网络的一些特性，如多重协议的支持、高可靠性及高扩充性，而是在更为符合成本效益的基础上来达到这些特性。VPN通过安全的数据通道将远程用户、分支机构、业务伙伴等跟公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个网络之中。公共网络仿佛是只由本网络在独占使用，而事实上并非如此，VPN根据使用者的身份和权限，直接将使用者接入他应该接触的信息中，所以VPN对每个用户也是“专用”的。总之，VPN就是要实现低成本的安全稳定互联互通。

VPN 使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。客户机向VPN 服务器发出请求，VPN 服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN 服务器，VPN 服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问权限，如果该用户拥有远程访问的权限，VPN 服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。

目前，用于内部自建VPN 的主要有两种技术——IPSec VPN 和SSL VPN，IPSec VPN 和 SSL VPN主要解决的是基于互联网的远程接入和互联，虽然在技术上来说，它们也可以部署 在其它的网络上(如专线)，但那样就失去了其应用的灵活性，它们更适用于对价格特别敏感 的用户。但针对安全性的考虑，本方案选择的是应用最广泛的是IPSec VPN，IPSec VPN 比较适合中小企业，其拥有较多的分支机构，并通过VPN 隧道进行站点之间的连接，交换大容量的数据，并且在IT 建设、管理和维护方面拥有一定经验的技术力量。企业的数据比较敏感，要求安全级别较高，企业员工不能随便通过任意一台电脑就访问企业内部信息，移动办公员工的笔记本或电脑要配置防火墙和杀毒软件。

根据医院业务需求，需要实施整体性的网络及安全系统规划，一是解决远程互连，如与医保中心，卫生局，疾病控制中心，各医疗卫生分支部门的实时数据处理与共享；二是解决远程访问，主要为在外出差、移动办公和在家中办公的人员访问医院内部网络；三是建立网络安全系统，提供整体防病毒、防黑客、数据加密、身份验证等一系列功能，确保数据的保密和传输安全。设计如下：

1. （格式不对）在客户端VPN 上配置总部虚拟IP 池（该地址段为总部局域网内未被使用的IP 地址，可与总部局域网同网段或不同网段），使得通过VPN 接入到总部的移动用户能够从这个IP 池中获得与总部局域网相同网段的局域网IP 地址。

2. 针对总部允许开放资源情况设定总部VPN 内网服务设置，以便为各接入用户分配相应权限；配置总部VPN，为接入的门诊部和移动办公人员分配合法的用户名、密码等账号信息，可根据需要为每个账号分配不同的VPN 权限，并为移动终端启用虚拟IP，在启动ID 鉴权的情况下，需要把所有需接入医院内网的远程用户生成证书后传给总部管理员并分别绑定到对应的用户账号上；对于移动用户，管理员可选择是否为该移动用户启用DKEY。若启用，需将对应DKEY 插入总部模块所在计算机的USB口上，总部模块将会把此移动用户接入VPN 所需的配置信息导入DKEY，并将DKEY作为用户接入时的身份认证依据。

3. 在医院内部网出口上放置VPN 设备，配置好总部分配的账号，将VPN 设备生成的

19

硬件证书文件传送给总部管理员，以便实现对此账号的硬件鉴权，接入总部局域网后即可实现对医院各种应用服务器的访问。在所有需要联入总部的移动计算机上安装VPN 的移动模式，配置好已分配的账号（若此移动用户使用的是DKEY，则只需将总部管理员分配的DKEY 插入计算机USB口，输入DKEY 使用密码后， VPN 移动模式即可自动运行并接入总部），接入后即可实现对总部各种应用服务器的实时访问。

VPN解决了医院与医保中心，卫生局，疾病控制中心，各医疗卫生分支部门等之间实时互联问题，提供了远程访问的安全、经济途径，使移动用户能够随时通过Internet 方便地接入医院内部网络开展业务，共享网络资源。这种方式以最小的互联投资成本，最大限度的发挥医院应用系统的效率，使医院更加统一规范，共享并同步应用数据信息，保证信息的实时更新，提高工作效率。VPN 提供了安全、可靠的Internet 访问通道，为医院进一步发展提供了可靠的技术保障。

五 中小型医院网络系统管理

1. 数据备份

随着医院信息化水平的不断提高，HIS已从初期的以财务为主发展到现在以病人为中心，从单纯的文本数据扩展到有声音和图像等多媒体数据，存储的数据量逐年迅速增加。特别是x光片、ct和mr等大容量的数字图像，造成了医学信息量的急剧膨胀。产生的业务数据量也是非常大的。通常一个医院每天可产生10GB以上的数据，如果再加上数据备份，存储量往往会超过30GB。此外，医疗影像设备每天还会产生大量的图形和影像等信息。在所有需要存储的数据中，既有对安全性、实时性和并发用户数要求很高的HIMS数据，也有对安全性和实时性要求相对较低的数字图书等信息。因此，相较于其他行业，医疗行业的存储量不仅大，而且对存储的要求也更加苛刻。

传统的灾难备份解决方案多采用“2+1”（即两台服务器间配一台磁盘阵列）的“双机热备份”模式，这个为了在两台服务器之间共享数据而存在的独立磁盘阵列，往往就成为了核心系统一个突出的故障点：一旦磁盘阵列发生故障，整个系统就会停机。作为7×24营业的医院来说，这种意外的停机对业务的影响可想而知。

所以，必须设计出一套更为有效的存储区域网络结构（SAN）才能有效地解决医院的灾难备份问题。现在，决定实施一种新方案，这个方案通俗地称为“N+2”群集模式。从功能上来讲，这套方案突破了系统全冗余、无任何单点故障点，以及数据和应用的园区范围的容灾，使系统的运行真正没有了后顾之忧。

所谓“N+2” 群集模式，意思就是“N个运算节点+两个存储节点”。王主任介绍，“N+2”群集模式是在原来的“2+1”群集模式的基础上，增加了一台磁盘阵列，院方将每一台服务器定义为一个“运算节点”，而将每一台磁盘阵列定义为一个“存储节点”。 这样，两台磁盘阵列中的数据完全保持实时同步，不用担心任何的数据一致性问题。

具体实现是：将多台服务器通过双光纤连接到两台交换机上，再通过双光纤连接到两台磁盘阵列和一台磁带库上。以下为存储区域网络结构（SAN）实现图：

服务器 磁盘阵列

交换机

磁带库

20