北京天坛医院高山：新院建设中医疗网IP管理及网络准入方案探讨

专题速览

2019年

第一期

<<  滑动查看下一张图片  >>

这是专题

第4篇文章

全文字数：1500余字

工蜂学员：高山

北京天坛医院

信息中心

专家点评

北京协和医院信息管理处处长

朱卫国点评

选择适宜的技术去解决问题，这一点很好。

网络安全是医院信息系统安全运行的基础，保障网络安全运行的前提是要有高可靠的网络结构规划设计。在2018 年天坛医院迁院工程中，我主持了网络结构设计、IP规划、网络安全策略部署，包括全院143个弱电间800多台交换机配置、1500个无线AP的部署。在此分享规划设计阶段如何依据需求和资源对IP管理和网络准入方案进行的分析比较。

先从网络结构开始。传统大二层网络结构网关在核心，缺点是环路问题导致的广播风暴，受xSTP生成树类破环协议的收敛性能限制，交换机规模通常不会超过百余台。经典三层的网关在汇聚，核心与多汇聚节点以OSPF协议互联，通常每楼一个汇聚节点，汇聚以下的二层网络利用PVST 等破环协议可完全胜任，因此适合较大的园区网。还有一些高级二层技术，比如设备虚拟化及链路聚合（我们已经在用）、路由化二层转发技术（我们设备不支持）、基于隧道封装的VXLAN技术（工程时间紧张暂缓执行）。考虑到网络规模、设备规格和工期要求等因素，最终我们采用了经典三层结构。

在划分VLAN时，我对比分析了两个主流方案。A方案是根据功能或科室划分，比如按门诊、住院，可有针对性地推送通知，终端搬到别处不必改IP，但对应地需要修改交换机网口VLAN，无论功能调整或科室搬家都需经常调整交换机VLAN，且VLAN大小不可控、难以识别记忆、终端功能混合。B方案是根据物理位置划分，比如按楼或楼层，虽然不能针对功能推送消息，终端搬到别处须改IP，但可通过技术手段解决，且由于物理位置固定，交换机VLAN无需再调整，VLAN 大小可控，更方便识别记忆。鉴于我院寻线工作量繁重，我们采用了按楼层并结合弱电间划分VLAN的方案，IP 地址根据楼号、楼层编辑，便于识别该IP终端所在的物理位置，方便寻线排查定位。

在IP分配方式上，我分析了两种方案。手工配置IP方案在终端绑定IP 不依赖DHCP服务器,但需要专人长期维护各VLAN的IP表，容易遗漏，且私配、错配IP难以避免，一旦IP冲突就会影响其他的主机甚至整个VLAN，另外难以统计使用率，难以回收IP，会导致VLAN不断扩容，且网络结构优化调整的成本很高，一旦终端全都配置完，基本很难再去做任何优化调整。自动获取IP方案因为自动分配，不仅解放人力，还彻底杜绝了各种人为错误导致的IP冲突，还可自动回收IP，方便统计使用率，网络结构优化调整成本大幅降低，将来不管是测试VLAN或修改DNS等，都方便调整。有人认为自动获取IP不能实现固定IP管理，实际上可以通过在DHCP服务器上绑定终端IP实现固定IP的管理。该方案最大的劣势是DHCP掉线隐患，我们可以通过虚机双活、自动迁移、汇聚起DHCP等技术手段排除隐患。最终我们大部分终端采用自动获取IP，无法自动获取IP的终端采用手工配置IP。

在网络准入方案设计中，我对市场主流的两种方案做了对比。A方案是基于软件客户端+硬件准入网关，因为能集成桌面管理功能，封U口防外联非常方便，但安装工作量较大，容易遗漏，且对移动终端（如各种版本的安卓系统、定制系统）支持有限，一旦安装不上就需要人工逐个配置白名单。另外该方案只能在准入网关上进行拦截，力度有限。B方案是基于DHCP准入的DDI，一般没有集成桌面管理功能，但是无须安装客户端，部署周期短，且支持所有能自动获取IP的终端，尤其适合PDA、平板等移动设备。另外可在入网处进行拦截（需配合在交换机配置DAI/IPSG），同时具有IP管理功能，能够替代DHCP实现自动长期绑定。因为我们需要桌面管理软件，所以目前部署了A方案，未来可能考虑针对移动端采用B方案。

在新院网络建设过程中，我认为作为技术人员，面对新技术应该保持与时俱进，但实际应用中不一定非要追求最新的技术，而是要以需求和资源为前提，最大化利用好现有技术，才是最合理的方案。

专家点评

北京儿童医院资深信息化建设专家

孙宏国点评

如何把有限的钱能够用好、管好、实现好，这是很难的事。在天坛医院这个案例中我看到有创新，有对新技术的探索，也有对传统技术的尊重，新老结合。

专题往期阅读

专题预告：医疗IT青年的业务风采

宁夏医科大学总医院吴龙：基于企业微信第三方自建应用平台的医院业务系统扩展

北京友谊医院张光亮：基于HIS的在线知识文档库实践

北京大学肿瘤医院黄伊玮：基于大数据平台的DRG系统建设与应用

专题刊登在2019年第1期上，欢迎订阅（点击“阅读原文”或后台回复“订阅”获取订阅方式）。

-END-

微信改版

星标/置顶 e医疗

深度好文不迷路哦~

“医疗信息化十年——2008到2018”系列专题同时刊登在2018年第6期和2019年第1期上，欢迎订阅（点击“阅读原文”或后台回复“订阅”获取订阅方式）。

2019~2020年将成为医疗机构信息化建设的“大考之年”

两会思考：医疗信息化的“托底”工作

特辑 | 医疗信息化十年——2008~2018

特辑 | 吾家小女初长成：卫生信息标准十年发展历程

特辑 | 支撑新医改的人口健康信息化，如何防止 “焦、骄”二气（上篇）

特辑 | 支撑新医改的人口健康信息化，如何防止 “焦、骄”二气（下篇）

特辑 | 西京医院蒋昆：医疗信息化有四个“以人为本”

特辑 | 朱杰：医疗信息化十年，微观执行层面的问题阻止不了宏观大局的律动

特辑 | 谈谈人工智能与数据治理：我们的系统为谁而建？（上）

特辑 | 谈谈人工智能与数据治理：我们的系统为谁而建？（下）

特辑 | 广安门医院CIO张红谈中医药信息化十年变迁：古典外表下的现代化

特辑 | 北医三院：信息化十年，迈向新高度

特辑 | “互联网+医疗健康”迎来全面落实年，如何构建有温度的互联网医院？

特辑 | 黄昊：医疗信息化网络安全十年路（上）

特辑 | 黄昊：医疗信息化网络安全十年路（下）

特辑 | 董亮：十年

特辑 | 激荡十载：回首医疗信息技术之柳暗花明

特辑 | 刘海一：电子病历发展的一些关键节点

特辑收藏版！医疗信息化十年，这些观点值得借鉴！

近期专题推荐点击阅读

 “安全+”专题     数据质控“相对论”    新旧IT

DRGs     医学影像信息化变革的起点

医学装备智能化

CHIMA第三届委员名单

琚文胜：以色列数字医疗考察记

三级公立医院绩效考核启动

……

更多专家和主题

请在菜单栏“搜往期”输入关键字查看。

杂志订阅

微信后台回复“订阅”获取订阅方式

©以上文章来源

e医疗原创文章，转载请注明来源