思科醫療衛生網絡解決方案(三)

2019-11-04 21:15:09

字體：大中小

來源：轉載

供稿：網友

　　4、大型醫療衛生行業解決方案（病床位超過500的醫院〕
　　
　　假如醫院的規模較大。需要實現的應用很多，可以考慮選用此大型醫療衛生行業解決方案。
　　
　　方案特點如下：
　　
　　·軟件方面：
　　
　　1、治理簡單
　　
　　2、圖形介面，操作簡單
　　
　　3、操作簡便、簡單易學、響應快
　　
　　4、穩定性、可靠性、安全性、標準化
　　
　　5、保護投資
　　
　　軟件：軍惠醫院信息治理系統軟件（HIS）（模塊可選）
　　
　　·硬件服務器方面：
　　
　　1、可擴展性強
　　
　　2、系統安全，保密性高
　　
　　3、可用性
　　
　　4、智能化治理
　　
　　5、靈活性
　　
　　服務器：一臺HP　LH3000一臺HP　LH6000
　　
　　·網絡方面：
　　
　　1、高性能，全交換，千兆主干
　　
　　2、高效的第三層交換功能
　　
　　3、高擴充能力
　　
　　4、支持虛擬局域網，方便網絡治理
　　
　　5、靈活，高效，可靠的廣域網連接
　　
　　6、系統安全，保密性高
　　
　　7、綜合的網絡治理
　　
　　8、投資保護
　　
　　9、Cache　Engine提高廣域網訪問的響應速度
　　
　　10、無線局域網提供靈活移動，穩固的無線接入
　　
　　11、卓越的ip/TV多媒體應用系統
　　
　　拓撲圖如下：
　　

　　大型解決方案與中型解決方案相比，主要是在核心層提高了網絡網絡功能和性能。其特點有：
　　
　　·高性能，全交換
　　
　　－1000M連接高流量服務器
　　
　?。歉蛇B接采用1000M或GEC千兆帶寬聚合技術（1000－8000M〕
　　
　?。?0/100M連接桌面用戶
　　
　　－線速核心第三層交換，使路由器專注于處理廣域網流量
　　
　?。捎霉饫|支持較長距離，可做辦公樓間連接
　　
　　·靈活，高效，可靠的廣域網連接
　　
　?。С侄喾N廣域網鏈路：DDN，FR，ISDM，DPT，GE等
　　
　?。С謹祿Z音，視頻多業務集成
　　
　?。S富的帶寬優化技術：QoS，按需撥號，按需帶寬，鏈路壓縮等方法降低鏈路費用，保護要害及實時業務　
　　
　　·可擴展性強
　　
　　－更多的空余插槽提供強大、靈活的擴展性
　　
　?。沼嗟腉BIC插槽提供低成本的千兆連接
　　
　?。诵牟捎酶叨四K化交換機，具有更強的擴充能力，更高的性能
　　
　?。渚€間采用模塊化交換機或通過千兆堆疊擴充用戶數
　　
　　－更高端的路由器，更強的處理能力和擴充能力
　　
　　·系統安全，保密性高
　　
　　－軟硬件集成防火墻解決方案－－Cisco　Secure　PIX　Firewall　520
　　
　　－虛擬專網VPN及支持各種加密算法
　　
　　－按需劃分虛擬網絡，治理得心應手
　　
　?。瑼CLs，TACACS＋，基于交換機端口的安全性
　　
　　·綜合的網絡治理
　　
　?。褂脤ｉT的大型網管軟件系統Cisco　Works　2000
　　
　?。部蓪θW中低端交換機進行集群化（Cluster）治理
　　
　?。贑isco　IOS的統一的人機命令界面
　　
　　投資保護
　　
　　－隨著醫院業務的發展，所有網絡設備均可在升級和擴展原有網絡后繼續使用
　　
　　·CacheEngine提高廣域網訪問的響應速度
　　
　　－降低廣域網流量，節省廣域鏈路費用
　　
　　·無線局域網提供靈活移動，穩固的無線接入
　　
　　·IP　PBX（CallManager及IP電話）
　　
　?。唵蔚卦趫@區網上增加用戶電話交換機的功能，電源可由交換機以太網端口直接提供
　　
　　·卓越的IP/TV多媒體就應用系統

　　
　　與中型解決方案相比，該方案的顯著特點就是高性能網絡配置。核心交換機采用一臺高性能更可靠的Catalyst6506，可以通過選擇交換機模塊得到足夠的千兆以太網端口，與數臺3524的千兆上聯口連成了一個強有力的網絡主干；3524的24個10/100M端口為所有部門和辦公用PC是供連接，千兆主干、100M到桌面的連接方式能夠傳輸大量的多媒體信息，有效地支持大型醫院傳送醫學影像、進行遠程醫療培訓的要求，即使有更多用戶要加入到這些關于視頻的應用，網絡帶寬也不致成為瓶頸。
　　
　　此解決方案中采用了虛擬局域網VLAN技術來保證局域網中的安全性。在用戶眾多的局域網中，可能不同的部門之間僅在很少的情況下才互相訪問，大部分的數據傳輸僅在部門內部。而且往往會因為安全上的考慮也不答應不同部門之間互訪。這種情況下采用VLAN技術能有效地提高安全性；隔離第二層的廣播信息從而提高帶寬用利率。也為用戶應用提供了靈活性。
　　
　　但隨著網絡規模的擴大，可能不同VLAN之間的訪問量也會增加很快，這時假如僅靠路由設備來完成VLAN之間的數據交換，一是影響了路由設備的性能，二則有時也達不到快速訪問的效果。此方案中提出的Catalyst6506交換機本身就是一臺支持第三層交換模塊的交換機。則可以充分利用其第三層交換功能來傳送VLAN之間的數據。從而構造了更理想、高效的網絡。假如醫院對網絡的可靠性提出了更高的要求，則建議選擇如圖上可選項指示的雙交換機方式。這樣兩臺交換機可以做冗余熱備，要害部門的分支交換機分別接入兩臺核心交換機。選擇兩臺核心交換機不但可以在第二層做熱備份。同時可以用思科的HSRP（熱備份路由協議）技術使兩臺干交換機在第三層（即VLAN之間〕互為熱備份；同時，還可以通過在分支交換機的兩條千兆上聯鏈路上為每個VLAN設定不同的優先級，從而達到使兩條上聯鏈路都負擔部分流量，做到負載分擔，充分利用帶寬資源。
　　
　　二級交換機采用Catalyst2924，通過10/100M端口與2924G－L3的10/100M端口上聯，而剩余的10/100M端口則可留給各個部門的PC或者服務器使用。通過這樣的兩級級聯，局域網用戶擴展到數百名，并且有更多的100M端口為數據庫、多媒體或網絡治理服務器提供高速連接，網絡整體容量大大提高。
　　
　　遠程訪問的路由器建議選用擴充性能更強，性能更好的Cisco3660路由器，3660共有六個接口插槽，有更大的擴充空間。而且3660支持雙電源工作的方式，有效地防止路由器電源的單點故障。相比較3640而言，由于它有更多的擴充能力，故可以支持更多的數據、語音、視頻傳輸和撥號接入能力。
　　
　　CacheEngine又稱高速緩存，是思科公司用于改善Internet和Intranet訪問性能的一項產品，從名稱可以看出，它實際上是一個大容量存儲設備，專門用來存儲用戶曾經訪問過的Web頁面，這樣當有其他用戶要訪問同一頁面時，就不需要再到WWW服務器上去尋找，而直接從高速緩存中調用；這樣既節省了鏈路帶寬，也減輕了WWW服務器的負擔，同時大大提高訪問效率，對線路帶寬寶貴的遠程Web訪問尤為適合，在本方案中，當醫院內用戶需要頻繁訪問遠端網站以Web形式存放的圖像時，CacheEngine將大顯身手。
　　
　　本方案所支持的遠程撥號訪問用戶數最多可達192個，提供了充足的使用空間。不但可以為大型醫院開展遠程預約功能提供強大支持。還可以為出差在外及在家需要查詢資料的醫生上本醫療網提供理想且安全的方式。
　　
　　在安全性方面，該方案采用專門的軟硬件集成防火墻Cisco　Secure　PIX　Firewall　520，能夠同時處理高達256，000個連接，每分鐘處理6579個連接，數據流量接近170M。
　　
　　該方案還具有強大的多媒體信息處理能力。這主要通過增強的數據處理能力、完善的QoS機制和優化的視頻數據傳輸方案IP/TV等來實現的。值得一提的是，QoS不僅能夠充分利用帶寬資源，還可以充分保證要害應用。QoS系統能夠對網上數據流的應用類別進行判定，并在IP包頭設定其優先級。然后，在應用識別的基礎上，對數據流量進行調度。思科的加權式公平隊列（WFQ）、加權隨機早期探測（WRED）等技術，可以精確處理帶寬流量，從而更為有效地利用系統資源，保證各類多媒體信息在網絡中流暢傳送。
　　
　　三、大醫衛應用軟件、硬件及網絡技術介紹
　　
　　1、應用軟件方面：
　　
　　軍惠信息系統的穩定性、可靠性、安全性、標準化是醫院信息化建設首先考慮的因素。具體體現如下：
　　
　　·穩定性：
　　
　　軍惠信息系統是一個真正的365×24小時的實時系統，病人的信息必須準確無誤地傳送到醫生手中，因此系統一旦投入使用，就不答應停機，更不能退回手工操作。在被調查的醫院中。CIO們最強調也是最重視的是系統的穩定性，一般系統宕機時間不得超出5分鐘。
　　
　　·可靠性
　　
　　軍惠信息系統的最大特點就是計算機終端設置在各個不同的科室，點多，面廣，多人操作，而且工作點間聯系密切，信息要相互調用，資料要隨時更新保存，此外，病人的醫療信息涉及到個人隱私，醫院有責任為所有病人保守秘密，因此與其它行業相比較，醫院信息系統建設對系統的可靠性、安全性要求更高。
　　
　　·標準化
　　
　　在被調查的50家醫院中，CIO們關心和正著手解決的是系統標準化問題。假如系統標準化問題解決得不好，醫院間的信息溝通不僅是紙上談兵，醫院內部不同部門間的信息交換也只是夢想。
　　
　　2、硬件服務器方面：　
　　
　　·服務器體系結構的重要性
　　
　　世界上的大企業正在進行這樣的工作：把重要的應用程序從小型主機和大型機移到局域網上，并在不斷擴大他們PC局域網的廣度與深度。隨著其對于服務器系統依靠性的增長，這些大企業也正在衡量著服務器的體系結構，盡管服務器中往往結合了多種PC機技術，但服務器經銷商在設計系統時依然具有很大的靈活性，因此經銷商有必要針對顧客的要求講述一下服務器的性能，可用性及可治理性。
　　
　　·內存
　　
　　在深入研究內存的解決方案時必須考慮到許多方面的因素，諸如應用程序的使用情況。要求達到的性能，及以后系統的增長及擴充能力等。所有這些都必將成為解決方案的一部分。
　　
　　·高速緩存
　　
　　在服務器領域，多種高精技術得到了合理運用，與服務器性能密切相關的一項極為重要的技術就是高速緩存的有效使用。高速緩存是這樣一個技術：它通過使用少量的極高速的內存來提高服務器系統的整體性能。網絡服務器體系結構中，精心設計的兩級高速緩存效果最佳。

　　
　　·多I/O總線
　　
　　I/O總線越來越趨向于工業標準如PCI，不同經銷商的實現方式差別不大；然而I/O總線的個數，它們之間互聯方式及它們與系統總線的連接方式，產品不同，會存在著很大的差異。雙總線或多總線能提供更好的系統容量與性能，這可以通過橋接或級聯的方式實現；也可以通過對等方式實現：即每條I/O總線都可以直接全面地使用系統總線。
　　
　　·惠普與服務器體系結構
　　
　　二十多年來，HP一直致力于為需耗費大量資源的應用設計解決方案，在各種系統體系結構領域建立了堅實的客戶經驗和技術專業知識的基礎。該公司在主機系統、PC機和網絡方面一路領先，三方面的力量加合在一起，為發展出色的服務器系統提供了堅強的后盾。在處理器技術方面HP也有獨到之外，這一點從它與英特爾公司的合作關系上可以明顯看出。HP利用這一技術優勢為廣大服務器用戶和應用程序部門能夠充分運用最新處理器提供了至佳的契機。
　　
　　·XXPRESS體系結構
　　
　　對于使用高端英特爾Pentium處理器的服務器，HP提供XXPress(“Extended　Express”)體系結構；64位時鐘無關高性能系統總線，雙路PCI對等總線及并發總線操作。這項由HP和英特爾共同開發的技術，是能使基于英特爾Pentium處理器的系統達到最佳性能的非凡之舉。然而由于Pentium　Pro處理器的卓越設計，HP和英特爾都認為在基于Pentium　Pro處理器的系統中，沒有必要使用XXPRESS體系結構。
　　
　　·HP服務器系統
　　
　　HP擁有一套完整的網絡服務器系統家族，無論你的要求是工作組打印，文件服務器還是企業級數據庫、應用服務器，HP都有適合你要求的體系結構。隨著技術方面的日趨完善，使得體系上的能力越來越強大，如在高端和中等網絡服務器上提供雙SCSI控制器、雙PCI總線，HP在業界一路領先。
　　
　　3、網絡方面：
　　
　　在前述解決方案中曾提到多種網絡產品的增強功能，它們對豐富網絡應用、提高網絡性能都起到了不可或缺的作用，這里將針對醫療衛生行業的網絡，介紹幾種思科公司的網絡優化和增值技術：
　　
　　1、思科網絡可靠性技術
　　
　　醫院網絡所面臨的一個重要問題是可靠性問題，應用中任一環節出現故障都會導致醫院的巨大損失，因此問題的解決也應從多方面入手，如數據備份，服務器的硬件冗余、軟件容錯，以及網絡設備的部件冗和結構（鏈路）冗余等，以保障整套系統的萬無一失。下面將主要介紹思科公司交換機產品所無持的幾種容錯技術。
　　
　?。?〕Fast/Gigabit　Ether　Channel(快速/千兆以太網通道）
　　
　　以太網通道技術不僅起到容錯作用，更是鏈路帶寬擴容的一條重要途徑。它可在100M（快速以太網通道，簡稱FEC）或1000M（千兆以太網通道，簡稱GEC）以太網端口間實現，將多條并行鏈路的帶寬疊加起來。這樣多條鏈路被用作單條高速數據通道，通道中部分線路的故障不影響其它線路的帶寬聚合，從而也保障了網絡的可靠性。
　　
　　思科公司的全線交換機產品和具有快速以太網端口的路由器都可以實施以太網通道技術，并且還可以與多廠家商（Intel、Xircom、Adaptec等）的網卡構造以太網通道，在交換機和服務器之間建立高速連接。
　　
　?。?）Uplink-Fast（快速上聯恢復）/Port-Fast（快速端口恢復〕
　　
　　這是用在交換機間級鏈路和連接服務器、工作站端口上的技術。為了防止回路發生而采取的Spanning-Tree在鏈路切換時經歷阻塞－聆聽－學習－數據轉發等諸多過程，耗時較長。一般需60秒左右，對正在傳遞量數據的服務器和工作站而言，這段時間是能明顯覺察的，并極可能導致連接超時而中斷應用。而思科公司提出的Uplink-Fast技術是對Spanning-Tree的改進，它省略了鏈路切換過程中的聆聽和學習階段，使備份端口直接由阻塞進入到轉發狀態，從而使延遲縮短到5秒以內，用戶幾乎覺察不到這一過程。
　　
　　Port-Fast與Uplink-Fast的工作原理類似，在交換機上接入新的工作站，或改變某工作站的所接端口時，該站點能很快進入工作狀態。
　　
　　（3）HSRP（熱備份路由器協議）
　　
　　HSRP用于設備/鏈路故障的恢復。它原是用于兩個路由器間互作備份的協議?，F在，思科公司的第三層交換機也支持該協議。HSRP根據對兩個互備份路由器或交換機的優先級設定，將其中一臺設備發生故障時備用設備能立即啟用，這就是所謂“熱備份”含義。正常工作的用戶而言，這一切換是透明不可見的。
　　
　　2、思科網絡安全技術
　　
　　醫院所傳遞的各項數據關系到用戶的切身利益，因此數據安全是不可或缺的重要考慮因素。應用的安全性可體現在應用的多個方面，包括機房安全、服務器安全、網絡安全等，而網絡安全性也是整體性的，包括身份的一致性、信息的完整性、主動審計和策略治理四大要素。身份的一致性是指準確識別用戶身份，確定用戶的權限，在這方面思科使用了RADIUS、TACACS＋等技術；信息的完整性是指確保網絡的可用性，提供邊界的安全性，保證信息的保密性，在這方面思科使用PassWords、MD-5Hash、DoSProtection、access、　Control、　Lists、　Firewall　、Technologies、　IPSec、IKE、DES、3DES、Digital、Certficates等技術；主動審計是指識別網絡安全的薄弱環節，偵測并阻止入侵者，在這方面思科使用Scanning(Active，Passive)　Vulnerability　Database　、Passive　Promiscuous、Monitoring、　Database　of　Threats　or　Suspect　Behavior、　Access　Control　Changes　等技術；主動審計是指識別網絡安全的薄弱環節，偵測并阻止入侵者，在這方面思科使用Scanning(Active,　Passive)、Vulnerability　Database、Passive　Promiscuous　Monitoring、Database　of　Threats　or　Suspect　Behavior、Access　Control　Changes等技術；策略治理是指安全業務的集中控制，在這方面思科使用Secure　and　Remote　Management　of　Cisco　Firewalls、IPSecEncryption　and　VPN　Management、Policy　Validation等技術。以上這些技術都體現在思科公司的各類網絡產品中。這里具體介紹的是思科公同的局域網和廣域網安全技術。

　　
　?。?）廣域網安全性－－IOS防火墻/PIX防火墻
　　
　　IOS（Internetworking　Operation　System）代表思科公司路由器操作系統,IOS防火墻則表示集成在路由器操作系統中的防火墻功能。思科的系列中低端路由器均可通過操作系統升級獲得防火墻性能，它是在路由器原有的訪問列表對數據的源、目標地址、協議類型、TCP端口號檢測的基礎上加入了基于應用的流量控制、java小程序過濾、對惡意攻擊的檢測與防治、數據軌跡跟蹤和實時報警等功能。使路由器在完成路由和遠程連接功能的同時充當安全屏障－－防火墻的角色，對規模較小的醫院來說，IOS防火墻不失為一種經濟的選擇。
　　
　　PIX防火墻體現出用戶對網絡安全的極度關注：PIX的工作原理仍為數據包過濾，所有流經PIX的數據都必須接受嚴格而全面的檢驗，檢驗內容包括數據的源和目標地址、TCP隨機序列號、TCP端口號和附加標志等，只有滿足特定條件的數據才能穿過防火墻；相對集成在路由器的防火墻和軟件防火墻而言，PIX使用自己專有的軟件系統，不需借助于外部操作平臺，內核技術不公開，因此能更有效地阻止網絡黑客的攻擊；而配套的硬件組成使其數據處理效率更高；此外，PIX還支持網絡地址翻譯功能，能夠實現內部IP到合法IP的轉換，利用有限的IP地址資源訪問Internet。
　　
　?。?〕局域網安全性－－交換機端口安全機制
　　
　　局域網交換所支持的另一項安全技術是端口安全的設置－－交換端口所連接的各個工作站/服務器都有自己唯一的MAC地址，為此對應交換機的每端口都有一個MAC地址表，包含了該端口下聯的所有設備的MAC地址（由于交換機支持級聯，故端口表中可以有多個MAC地址）。一般情況下，MAC地址表是交換機根據所連設備，通過源地址學習自動建立的，而為了提高端口安全性，網絡治理員可手動地在表中加入特定MAC地址和端口的對應關系，將設備與端口綁定，防止假冒身份的非法用戶通過網絡中其它交換機接入；此外，端口安全機制還體現在對每個端口所支持MAC地址數的限定上，啟用端口安全機制意味著每端口最多可下接132個設備，否則將發生地址非法錯誤，導致該端口失效。
　　
　?。?）局域網安全性－－VLAN
　　
　　VLAN即Virtual　LAN，表示虛擬局域網，簡稱虛網。它依靠用戶的邏輯設定將原來物理上互邊的局域網絡劃分為多個虛擬網段，劃分的依據可為設備所連的端口、用戶節點的MAC地址等。劃分的結果使得同一虛網內數據可自由通訊，而不同虛網間的數據交流則需要通過路由來完成。
　　
　　劃分VLAN具有以下好處：
　　
　　·提高安全性－－不同VLAN的數據不能自由交流，需要接受路由器的檢驗，因此在一定程度上加強了虛網間的隔離，有效防止外部用戶入侵，提高了安全性；
　　
　　·隔離廣播信息－－實施虛網劃分后，某VLAN內節點發送的廣播信息不會被轉發到其它VLAN上去，不會影響這些VLAN的正常工作，有利于提高網絡運行效率；
　　
　　·增強網絡應用的靈活性－－VLAN是在一個有多臺交換機的局域網中統一設定的，這使得用戶可以不受所連交換機的限制，不論用戶節點移動到局域網中哪一臺交換機上，只要仍屬于原來虛網，則應用環境沒有任何改變；
　　
　　·在多種劃分VLAN的方式中，以交換機物理端口為依據作VLAN設定是最普遍的，用戶根據自己的實際需求將某臺交換機的不同端口分配不同VLAN　ID，這樣同一交換機的不同VLAN端口不能自由傳遞數據，而相互連接的不同交換機的屬同一VLAN的端口則可無阻礙地通訊。
　　
　　思科公司的Catalyst交換機系列都支持VLAN的設定和ISL、802.1Q兩種以太網VLAN標識技術。

上一篇：中國頂級門戶網站架構分析

下一篇：四川省郵政網絡工程方案