思科医疗卫生网络解决方案(三)

1/12/2008来源:网络方案人气:4885


  4、大型医疗卫生行业解决方案(病床位超过500的医院〕
  
  假如医院的规模较大。需要实现的应用很多,可以考虑选用此大型医疗卫生行业解决方案。
  
  方案特点如下:
  
  ·软件方面:
  
  1、治理简单
  
  2、图形介面,操作简单
  
  3、操作简便、简单易学、响应快
  
  4、稳定性、可靠性、安全性、标准化
  
  5、保护投资
  
  软件:军惠医院信息治理系统软件(HIS)(模块可选)
  
  ·硬件服务器方面:
  
  1、可扩展性强
  
  2、系统安全,保密性高
  
  3、可用性
  
  4、智能化治理
  
  5、灵活性
  
  服务器:一台HP LH3000一台HP LH6000
  
  ·网络方面:
  
  1、高性能,全交换,千兆主干
  
  2、高效的第三层交换功能
  
  3、高扩充能力
  
  4、支持虚拟局域网,方便网络治理
  
  5、灵活,高效,可靠的广域网连接
  
  6、系统安全,保密性高
  
  7、综合的网络治理
  
  8、投资保护
  
  9、Cache Engine提高广域网访问的响应速度
  
  10、无线局域网提供灵活移动,稳固的无线接入
  
  11、卓越的ip/TV多媒体应用系统
  
  拓扑图如下:
  
  大型解决方案与中型解决方案相比,主要是在核心层提高了网络网络功能和性能。其特点有:
  
  ·高性能,全交换
  
  -1000M连接高流量服务器
  
  -骨干连接采用1000M或GEC千兆带宽聚合技术(1000-8000M〕
  
  -10/100M连接桌面用户
  
  -线速核心第三层交换,使路由器专注于处理广域网流量
  
  -采用光缆支持较长距离,可做办公楼间连接
  
  ·灵活,高效,可靠的广域网连接
  
  -支持多种广域网链路:DDN,FR,ISDM,DPT,GE等
  
  -支持数据,语音,视频多业务集成
  
  -丰富的带宽优化技术:QoS,按需拨号,按需带宽,链路压缩等方法降低链路费用,保护要害及实时业务  
  
  ·可扩展性强
  
  -更多的空余插槽提供强大、灵活的扩展性
  
  -空余的GBIC插槽提供低成本的千兆连接
  
  -核心采用更高端模块化交换机,具有更强的扩充能力,更高的性能
  
  -配线间采用模块化交换机或通过千兆堆叠扩充用户数
  
  -更高端的路由器,更强的处理能力和扩充能力
  
  ·系统安全,保密性高
  
  -软硬件集成防火墙解决方案--Cisco Secure PIX Firewall 520
  
  -虚拟专网VPN及支持各种加密算法
  
  -按需划分虚拟网络,治理得心应手
  
  -ACLs,TACACS+,基于交换机端口的安全性
  
  ·综合的网络治理
  
  -使用专门的大型网管软件系统Cisco Works 2000
  
  -也可对全网中低端交换机进行集群化(Cluster)治理
  
  -基于Cisco IOS的统一的人机命令界面
  
  投资保护
  
  -随着医院业务的发展,所有网络设备均可在升级和扩展原有网络后继续使用
  
  ·CacheEngine提高广域网访问的响应速度
  
  -降低广域网流量,节省广域链路费用
  
  ·无线局域网提供灵活移动,稳固的无线接入
  
  ·IP PBX(CallManager及IP电话)
  
  -简单地在园区网上增加用户电话交换机的功能,电源可由交换机以太网端口直接提供
  
  ·卓越的IP/TV多媒体就应用系统

  
  与中型解决方案相比,该方案的显著特点就是高性能网络配置。核心交换机采用一台高性能更可靠的Catalyst6506,可以通过选择交换机模块得到足够的千兆以太网端口,与数台3524的千兆上联口连成了一个强有力的网络主干;3524的24个10/100M端口为所有部门和办公用PC是供连接,千兆主干、100M到桌面的连接方式能够传输大量的多媒体信息,有效地支持大型医院传送医学影像、进行远程医疗培训的要求,即使有更多用户要加入到这些关于视频的应用,网络带宽也不致成为瓶颈。
  
  此解决方案中采用了虚拟局域网VLAN技术来保证局域网中的安全性。在用户众多的局域网中,可能不同的部门之间仅在很少的情况下才互相访问,大部分的数据传输仅在部门内部。而且往往会因为安全上的考虑也不答应不同部门之间互访。这种情况下采用VLAN技术能有效地提高安全性;隔离第二层的广播信息从而提高带宽用利率。也为用户应用提供了灵活性。
  
  但随着网络规模的扩大,可能不同VLAN之间的访问量也会增加很快,这时假如仅靠路由设备来完成VLAN之间的数据交换,一是影响了路由设备的性能,二则有时也达不到快速访问的效果。此方案中提出的Catalyst6506交换机本身就是一台支持第三层交换模块的交换机。则可以充分利用其第三层交换功能来传送VLAN之间的数据。从而构造了更理想、高效的网络。假如医院对网络的可靠性提出了更高的要求,则建议选择如图上可选项指示的双交换机方式。这样两台交换机可以做冗余热备,要害部门的分支交换机分别接入两台核心交换机。选择两台核心交换机不但可以在第二层做热备份。同时可以用思科的HSRP(热备份路由协议)技术使两台干交换机在第三层(即VLAN之间〕互为热备份;同时,还可以通过在分支交换机的两条千兆上联链路上为每个VLAN设定不同的优先级,从而达到使两条上联链路都负担部分流量,做到负载分担,充分利用带宽资源。
  
  二级交换机采用Catalyst2924,通过10/100M端口与2924G-L3的10/100M端口上联,而剩余的10/100M端口则可留给各个部门的PC或者服务器使用。通过这样的两级级联,局域网用户扩展到数百名,并且有更多的100M端口为数据库、多媒体或网络治理服务器提供高速连接,网络整体容量大大提高。
  
  远程访问的路由器建议选用扩充性能更强,性能更好的Cisco3660路由器,3660共有六个接口插槽,有更大的扩充空间。而且3660支持双电源工作的方式,有效地防止路由器电源的单点故障。相比较3640而言,由于它有更多的扩充能力,故可以支持更多的数据、语音、视频传输和拨号接入能力。
  
  CacheEngine又称高速缓存,是思科公司用于改善Internet和Intranet访问性能的一项产品,从名称可以看出,它实际上是一个大容量存储设备,专门用来存储用户曾经访问过的Web页面,这样当有其他用户要访问同一页面时,就不需要再到WWW服务器上去寻找,而直接从高速缓存中调用;这样既节省了链路带宽,也减轻了WWW服务器的负担,同时大大提高访问效率,对线路带宽宝贵的远程Web访问尤为适合,在本方案中,当医院内用户需要频繁访问远端网站以Web形式存放的图像时,CacheEngine将大显身手。
  
  本方案所支持的远程拨号访问用户数最多可达192个,提供了充足的使用空间。不但可以为大型医院开展远程预约功能提供强大支持。还可以为出差在外及在家需要查询资料的医生上本医疗网提供理想且安全的方式。
  
  在安全性方面,该方案采用专门的软硬件集成防火墙Cisco Secure PIX Firewall 520,能够同时处理高达256,000个连接,每分钟处理6579个连接,数据流量接近170M。
  
  该方案还具有强大的多媒体信息处理能力。这主要通过增强的数据处理能力、完善的QoS机制和优化的视频数据传输方案IP/TV等来实现的。值得一提的是,QoS不仅能够充分利用带宽资源,还可以充分保证要害应用。QoS系统能够对网上数据流的应用类别进行判定,并在IP包头设定其优先级。然后,在应用识别的基础上,对数据流量进行调度。思科的加权式公平队列(WFQ)、加权随机早期探测(WRED)等技术,可以精确处理带宽流量,从而更为有效地利用系统资源,保证各类多媒体信息在网络中流畅传送。
  
  三、大医卫应用软件、硬件及网络技术介绍
  
  1、应用软件方面:
  
  军惠信息系统的稳定性、可靠性、安全性、标准化是医院信息化建设首先考虑的因素。具体体现如下:
  
  ·稳定性:
  
  军惠信息系统是一个真正的365×24小时的实时系统,病人的信息必须准确无误地传送到医生手中,因此系统一旦投入使用,就不答应停机,更不能退回手工操作。在被调查的医院中。CIO们最强调也是最重视的是系统的稳定性,一般系统宕机时间不得超出5分钟。
  
  ·可靠性
  
  军惠信息系统的最大特点就是计算机终端设置在各个不同的科室,点多,面广,多人操作,而且工作点间联系密切,信息要相互调用,资料要随时更新保存,此外,病人的医疗信息涉及到个人隐私,医院有责任为所有病人保守秘密,因此与其它行业相比较,医院信息系统建设对系统的可靠性、安全性要求更高。
  
  ·标准化
  
  在被调查的50家医院中,CIO们关心和正着手解决的是系统标准化问题。假如系统标准化问题解决得不好,医院间的信息沟通不仅是纸上谈兵,医院内部不同部门间的信息交换也只是梦想。
  
  2、硬件服务器方面:  
  
  ·服务器体系结构的重要性
  
  世界上的大企业正在进行这样的工作:把重要的应用程序从小型主机和大型机移到局域网上,并在不断扩大他们PC局域网的广度与深度。随着其对于服务器系统依靠性的增长,这些大企业也正在衡量着服务器的体系结构,尽管服务器中往往结合了多种PC机技术,但服务器经销商在设计系统时依然具有很大的灵活性,因此经销商有必要针对顾客的要求讲述一下服务器的性能,可用性及可治理性。
  
  ·内存
  
  在深入研究内存的解决方案时必须考虑到许多方面的因素,诸如应用程序的使用情况。要求达到的性能,及以后系统的增长及扩充能力等。所有这些都必将成为解决方案的一部分。
  
  ·高速缓存
  
  在服务器领域,多种高精技术得到了合理运用,与服务器性能密切相关的一项极为重要的技术就是高速缓存的有效使用。高速缓存是这样一个技术:它通过使用少量的极高速的内存来提高服务器系统的整体性能。网络服务器体系结构中,精心设计的两级高速缓存效果最佳。

  
  ·多I/O总线
  
  I/O总线越来越趋向于工业标准如PCI,不同经销商的实现方式差别不大;然而I/O总线的个数,它们之间互联方式及它们与系统总线的连接方式,产品不同,会存在着很大的差异。双总线或多总线能提供更好的系统容量与性能,这可以通过桥接或级联的方式实现;也可以通过对等方式实现:即每条I/O总线都可以直接全面地使用系统总线。
  
  ·惠普与服务器体系结构
  
  二十多年来,HP一直致力于为需耗费大量资源的应用设计解决方案,在各种系统体系结构领域建立了坚实的客户经验和技术专业知识的基础。该公司在主机系统、PC机和网络方面一路领先,三方面的力量加合在一起,为发展出色的服务器系统提供了坚强的后盾。在处理器技术方面HP也有独到之外,这一点从它与英特尔公司的合作关系上可以明显看出。HP利用这一技术优势为广大服务器用户和应用程序部门能够充分运用最新处理器提供了至佳的契机。
  
  ·XXPRESS体系结构
  
  对于使用高端英特尔Pentium处理器的服务器,HP提供XXPress(“Extended Express”)体系结构;64位时钟无关高性能系统总线,双路PCI对等总线及并发总线操作。这项由HP和英特尔共同开发的技术,是能使基于英特尔Pentium处理器的系统达到最佳性能的非凡之举。然而由于Pentium Pro处理器的卓越设计,HP和英特尔都认为在基于Pentium Pro处理器的系统中,没有必要使用XXPRESS体系结构。
  
  ·HP服务器系统
  
  HP拥有一套完整的网络服务器系统家族,无论你的要求是工作组打印,文件服务器还是企业级数据库、应用服务器,HP都有适合你要求的体系结构。随着技术方面的日趋完善,使得体系上的能力越来越强大,如在高端和中等网络服务器上提供双SCSI控制器、双PCI总线,HP在业界一路领先。
  
  3、网络方面:
  
  在前述解决方案中曾提到多种网络产品的增强功能,它们对丰富网络应用、提高网络性能都起到了不可或缺的作用,这里将针对医疗卫生行业的网络,介绍几种思科公司的网络优化和增值技术:
  
  1、思科网络可靠性技术
  
  医院网络所面临的一个重要问题是可靠性问题,应用中任一环节出现故障都会导致医院的巨大损失,因此问题的解决也应从多方面入手,如数据备份,服务器的硬件冗余、软件容错,以及网络设备的部件冗和结构(链路)冗余等,以保障整套系统的万无一失。下面将主要介绍思科公司交换机产品所无持的几种容错技术。
  
  (1〕Fast/Gigabit Ether Channel(快速/千兆以太网通道)
  
  以太网通道技术不仅起到容错作用,更是链路带宽扩容的一条重要途径。它可在100M(快速以太网通道,简称FEC)或1000M(千兆以太网通道,简称GEC)以太网端口间实现,将多条并行链路的带宽叠加起来。这样多条链路被用作单条高速数据通道,通道中部分线路的故障不影响其它线路的带宽聚合,从而也保障了网络的可靠性。
  
  思科公司的全线交换机产品和具有快速以太网端口的路由器都可以实施以太网通道技术,并且还可以与多厂家商(Intel、Xircom、Adaptec等)的网卡构造以太网通道,在交换机和服务器之间建立高速连接。
  
  (2)Uplink-Fast(快速上联恢复)/Port-Fast(快速端口恢复〕
  
  这是用在交换机间级链路和连接服务器、工作站端口上的技术。为了防止回路发生而采取的Spanning-Tree在链路切换时经历阻塞-聆听-学习-数据转发等诸多过程,耗时较长。一般需60秒左右,对正在传递量数据的服务器和工作站而言,这段时间是能明显觉察的,并极可能导致连接超时而中断应用。而思科公司提出的Uplink-Fast技术是对Spanning-Tree的改进,它省略了链路切换过程中的聆听和学习阶段,使备份端口直接由阻塞进入到转发状态,从而使延迟缩短到5秒以内,用户几乎觉察不到这一过程。
  
  Port-Fast与Uplink-Fast的工作原理类似,在交换机上接入新的工作站,或改变某工作站的所接端口时,该站点能很快进入工作状态。
  
  (3)HSRP(热备份路由器协议)
  
  HSRP用于设备/链路故障的恢复。它原是用于两个路由器间互作备份的协议。现在,思科公司的第三层交换机也支持该协议。HSRP根据对两个互备份路由器或交换机的优先级设定,将其中一台设备发生故障时备用设备能立即启用,这就是所谓“热备份”含义。正常工作的用户而言,这一切换是透明不可见的。
  
  2、思科网络安全技术
  
  医院所传递的各项数据关系到用户的切身利益,因此数据安全是不可或缺的重要考虑因素。应用的安全性可体现在应用的多个方面,包括机房安全、服务器安全、网络安全等,而网络安全性也是整体性的,包括身份的一致性、信息的完整性、主动审计和策略治理四大要素。身份的一致性是指准确识别用户身份,确定用户的权限,在这方面思科使用了RADIUS、TACACS+等技术;信息的完整性是指确保网络的可用性,提供边界的安全性,保证信息的保密性,在这方面思科使用PassWords、MD-5Hash、DoSProtection、access、 Control、 Lists、 Firewall 、Technologies、 IPSec、IKE、DES、3DES、Digital、Certficates等技术;主动审计是指识别网络安全的薄弱环节,侦测并阻止入侵者,在这方面思科使用Scanning(Active,Passive) Vulnerability Database 、Passive Promiscuous、Monitoring、 Database of Threats or Suspect Behavior、 Access Control Changes 等技术;主动审计是指识别网络安全的薄弱环节,侦测并阻止入侵者,在这方面思科使用Scanning(Active, Passive)、Vulnerability Database、Passive Promiscuous Monitoring、Database of Threats or Suspect Behavior、Access Control Changes等技术;策略治理是指安全业务的集中控制,在这方面思科使用Secure and Remote Management of Cisco Firewalls、IPSecEncryption and VPN Management、Policy Validation等技术。以上这些技术都体现在思科公司的各类网络产品中。这里具体介绍的是思科公同的局域网和广域网安全技术。

  
  (1)广域网安全性--IOS防火墙/PIX防火墙
  
  IOS(Internetworking Operation System)代表思科公司路由器操作系统,IOS防火墙则表示集成在路由器操作系统中的防火墙功能。思科的系列中低端路由器均可通过操作系统升级获得防火墙性能,它是在路由器原有的访问列表对数据的源、目标地址、协议类型、TCP端口号检测的基础上加入了基于应用的流量控制、java小程序过滤、对恶意攻击的检测与防治、数据轨迹跟踪和实时报警等功能。使路由器在完成路由和远程连接功能的同时充当安全屏障--防火墙的角色,对规模较小的医院来说,IOS防火墙不失为一种经济的选择。
  
  PIX防火墙体现出用户对网络安全的极度关注:PIX的工作原理仍为数据包过滤,所有流经PIX的数据都必须接受严格而全面的检验,检验内容包括数据的源和目标地址、TCP随机序列号、TCP端口号和附加标志等,只有满足特定条件的数据才能穿过防火墙;相对集成在路由器的防火墙和软件防火墙而言,PIX使用自己专有的软件系统,不需借助于外部操作平台,内核技术不公开,因此能更有效地阻止网络黑客的攻击;而配套的硬件组成使其数据处理效率更高;此外,PIX还支持网络地址翻译功能,能够实现内部IP到合法IP的转换,利用有限的IP地址资源访问Internet。
  
  (2〕局域网安全性--交换机端口安全机制
  
  局域网交换所支持的另一项安全技术是端口安全的设置--交换端口所连接的各个工作站/服务器都有自己唯一的MAC地址,为此对应交换机的每端口都有一个MAC地址表,包含了该端口下联的所有设备的MAC地址(由于交换机支持级联,故端口表中可以有多个MAC地址)。一般情况下,MAC地址表是交换机根据所连设备,通过源地址学习自动建立的,而为了提高端口安全性,网络治理员可手动地在表中加入特定MAC地址和端口的对应关系,将设备与端口绑定,防止假冒身份的非法用户通过网络中其它交换机接入;此外,端口安全机制还体现在对每个端口所支持MAC地址数的限定上,启用端口安全机制意味着每端口最多可下接132个设备,否则将发生地址非法错误,导致该端口失效。
  
  (3)局域网安全性--VLAN
  
  VLAN即Virtual LAN,表示虚拟局域网,简称虚网。它依靠用户的逻辑设定将原来物理上互边的局域网络划分为多个虚拟网段,划分的依据可为设备所连的端口、用户节点的MAC地址等。划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过路由来完成。
  
  划分VLAN具有以下好处:
  
  ·提高安全性--不同VLAN的数据不能自由交流,需要接受路由器的检验,因此在一定程度上加强了虚网间的隔离,有效防止外部用户入侵,提高了安全性;
  
  ·隔离广播信息--实施虚网划分后,某VLAN内节点发送的广播信息不会被转发到其它VLAN上去,不会影响这些VLAN的正常工作,有利于提高网络运行效率;
  
  ·增强网络应用的灵活性--VLAN是在一个有多台交换机的局域网中统一设定的,这使得用户可以不受所连交换机的限制,不论用户节点移动到局域网中哪一台交换机上,只要仍属于原来虚网,则应用环境没有任何改变;
  
  ·在多种划分VLAN的方式中,以交换机物理端口为依据作VLAN设定是最普遍的,用户根据自己的实际需求将某台交换机的不同端口分配不同VLAN ID,这样同一交换机的不同VLAN端口不能自由传递数据,而相互连接的不同交换机的属同一VLAN的端口则可无阻碍地通讯。
  
  思科公司的Catalyst交换机系列都支持VLAN的设定和ISL、802.1Q两种以太网VLAN标识技术。