前阵子朋友在一家三甲医院做系统升级,拉我过去看了看他们的网络架构。说实话,刚进机房那会儿还真有点紧张——走廊里全是护士推着移动查房车来回跑,门诊大厅几百号人同时刷医保卡挂号,药房、检验科、影像中心的数据来回穿梭,任何一个环节卡顿都可能影响整个医院的节奏。
业务场景决定网络设计
医院和普通办公楼不一样。你在办公室断个网顶多是改不了PPT,但在医院,监护仪传不上数据、电子病历打不开、手术室调不出影像,那就是大事。所以他们的网络规划得按“医疗级”来搞。
这家医院分了五个逻辑区域:门诊区、住院区、行政办公、数据中心和访客网络。每个区域走独立VLAN,通过核心交换机做策略隔离。比如护士站的终端只能访问HIS(医院信息系统)和PACS(影像归档系统),不能随便连外网,防病毒扩散。
VLAN划分参考配置
interface Vlan10
name 门诊区
ip address 192.168.10.1 255.255.255.0
!
interface Vlan20
name 住院区
ip address 192.168.20.1 255.255.255.0
!
interface Vlan30
name 医疗设备专网
ip address 192.168.30.1 255.255.255.0
!特别划了个医疗设备VLAN,专门给CT机、心电监护这些高优先级设备用。这类设备对延迟敏感,单独隔离能避免被其他流量干扰。比如做核磁的时候,图像实时传输不能有丢包,否则医生看片就卡顿。
无线覆盖的关键细节
现在护士都用PAD查房,医生在病房直接调病历,Wi-Fi必须稳。他们在每层楼道装了吸顶AP,信道做了错频部署,避免同频干扰。门诊大厅人多,用了高密度AP,支持负载均衡,就算上百人同时连接也不瘫。
SSID也分了好几个:staff-net用于内部人员登录系统,med-dev连接输液泵、移动查房车等设备,guest-wifi给患者家属用,限速且隔离内网。认证方式上,员工用802.1X证书接入,设备用MAC白名单绑定,安全性拉满。
冗余与备份不是选配
他们主交换机是双机热备,光纤环网拓扑。有一次地下室管道漏水,一楼的汇聚交换机泡了水,系统自动切换到备用链路,业务几乎没受影响。UPS电源撑了两个多小时,足够等到发电机启动。
日志统一送到SIEM平台分析,比如某个终端频繁扫描内网,系统会立刻告警并阻断。之前真抓到过一台感染蠕虫的老旧打印机,及时隔离没让病毒扩散。
这套网络跑了一年多,没出过重大故障。最忙的时候一天接诊六千多人,系统照样稳。说到底,医院网络不追求多炫技,关键是可靠、清晰、能扛住真实场景的压力。