一、案例背景介紹
雲南昆明聖愛堂中醫館是由雲南鴻翔集團投資,註冊資本500萬元、佔地面積1000平米、總投資額接近1000萬元的大型現代化中醫門診,目前在昆明市設有人民西路館、金碧館、東寺館三家館。聖愛中醫館匯集全國、全省的名醫、良方於一堂,傳承中醫治病治本、綠色健康的優勢,有著中藥飲片調劑的人才和規範、科學的飲片調劑程序,結合現代化的醫學檢驗、檢查手段,為顧客提供優質完善的醫療服務。
雲南昆明聖愛中醫院
二、用戶需求介紹
據項目負責人——雲南友信網絡(俠諾雲南總代理)總經理方國勝先生介紹,鴻翔集團總部為了採用聯營網絡化經營、降低管理成本,規劃旗下的聖愛中醫院也加入到集團的信息化平臺。聖愛中醫院目前擁有人民西路館、金碧館、東寺館三家館,且需要將醫館的區域網路聯入鴻翔集團總部的網絡。基於這種背景,企業VPN網絡的應用非常適合其需求,集團各部門經過討論總結幾點需求如下:
實時、穩定的VPN連機質量保證:為了協調各地區的業務營運、提高管理效率,需要將總部網絡、人民西路館、金碧館、東寺館三家館用VPN網絡連接起來,集團總部需要隨時準確地獲取所需數據,因此希望各分館信息可實時返回總部,並維持穩定不中斷的連機質量,改善匯整各分點業務數據所花費的冗長時間。而在實際操作上也需要符合簡易方便的設計,讓總部中心端在進行有效的整合管控工作時,能夠相對減輕網管維護的負擔。
具備簡易操作、彈性配置等特性:由於人力成本考慮,鴻翔集團只是在總部中心配備了一名專業技術網管,而三個聖愛中醫分館則是由員工兼任。其中,又因每個分支機構的性質規模、上網方式多不相同,相對也提高了管理與解決分支外點設備維護的複雜度。因此,當時考慮VPN網關設備,必須具備一定的簡易程度與高靈活度等特性。
高度信息安全性:對於醫療衛生信息來說,有很多內部的機密資料與患者的個人隱私資料,為了保護這些內部信息的機密性,避免數據被竊取或偵聽,造成不可估計的損失,因此集團領導對於VPN信息傳輸的安全性十分重視。
有較好的兼容性:由於鴻翔集團總部採用的VPN網絡接入設備,與聖愛中醫院的設備不是一個品牌,因此要想兩者能高效應用,聖愛中醫院的設備必須要有較強的兼容性,不僅要能融合一些應用軟體,更要能其他VPN設備相通。
需要具備一定的可擴展性:考慮到聖愛中醫院今後繼續在雲南省甚至全國開設分館的可能性,因而現在選擇的VPN設備必須具備一定的可擴展性,以滿足未來兩、三年甚至更長時間的擴展需求。
三、聖愛中醫院VPN組網方案
依據上述具體的需求,聖愛中醫院選擇了高度性價比優勢的多WAN VPN防火牆廠商俠諾科技,為其規劃了整體的VPN組網方案。其具體的組網架構拓樸與方案特色如下:
聖愛中醫院VPN網絡應用拓撲圖
聖愛中醫院人民路館:由於此館規模較大,因此採用Qno俠諾QVM660 VPN防火牆,做為伺服器中心端接入設備,可支持PPTP、IPSec VPN、SmartLink VPN、QnoKey IPSec客戶端密鑰等連機方式,可滿足外點多種VPN彈性配置需求,實現中心端與各分點建構實時、穩定、安全的互連VPN網絡系統。
其他兩個分館:由於其它兩個中醫館的規模稍小,所以均規劃採用QVM330 VPN防火牆做為接入設備,並採用Qno俠諾獨創的SmartLink VPN協議,只需輸入中心端伺服器IP位址、用戶名、密碼三個參數,即可超快速完成VPN設定。針對這兩個醫館沒有專業網管的問題,以上三參數取代20幾個步驟的繁複設定,是一個十分省心的實用功能。
四、方案特點介紹
SmartLink VPN快速設定:對於一般傳統的IPSecVPN設定,除了鴻翔集團總部的專業網管可以應付之外,沒有太多專業知識的工作人員,常會因為多達20幾個繁雜步驟感到卻步。俠諾QVM系列特有的SmartLink VPN功能,將大部份的設定參數的工作交由VPN網關自動完成,用戶只需要輸中心端伺服器IP位址、用戶名、密碼三個參數,即可完成超快速VPN連機設定,現在就算是分部工作人員也可以輕鬆上手進行VPN連機設定了。
強大防火牆安全功能:多半網絡面對來自外網的諸多病毒,或是財務帳號意外洩露、計算機被非法使用、惡意的內網攻擊等帶來的損失,都不容小覬。目前來說,最多的攻擊形式仍以ARP攻擊居多,Qno俠諾QVM系列 VPN防火牆設備都具有內建的防制ARP功能,憑藉自動檢視封包的機制,偵測過濾可疑的封包,做為防制ARP攻擊的第一道防線。可搭配IP /MAC雙向綁定,在路由器端以內網PC端進行IP/MAC綁定,即可達到防堵ARP無漏洞的效果。Qno俠諾考慮要綁定全部工作人員PC端的IP/MAC有一定的難度,因此Qno俠諾近期也提供免費的ARP自動綁定軟體,可讓工作人員有針對性的選擇套用綁定程序,達到雙向綁定的目的。
穩定、快速的VPN連機質量:由於醫館患者眾多、信息交換及與總部供應中心、藥物基地的聯繫頻繁,因此穩定、快速更新數據的VPN連機質量就顯得格外重要。俠諾QVM VPN防火牆系列,具有指定路由功能,可保障VPN使用帶寬與優先權,進一步穩定VPN連機質量。另外,俠諾QVM VPN防火牆系列,均具備多個WAN接口,可同時接入多條ISP線路,可增加帶寬滿足更多外點VPN連機,以及內網的計算器使用, 還可同時運用VPN備援設定功能,避免當ISP不穩定或掉線時,VPN連機也隨之中斷聯機,造成無形的損失與傷害,有效提高VPN更上一層樓的穩定性。
VPN Hub功能消除信息孤島:透過VPN網絡可實現總部與外點互通互連之外,還可運用VPN Hub的功能,進一步讓各分部之間的網絡透過轉發,分點間彼此也可互通互連。VPN Hub這項功能,幫助醫館在第一時間掌握各點最新的患者及藥物業務等訊息,以方便客戶數量、財務信息等相互支持,避免發生信息孤島的狀況,提升綜合管理效率。
簡單而方便的配置及管理:QVM系列產品都是Web中文頁面配置,沒有太多網絡知識的網管人員也可輕易進行配置。即使是不懂網絡的人員,經由簡單的培訓,也可進行操作。這一點大大消除了沒有專業技術網管的後顧之憂。
產品規格兼容性強大:俠諾產品均通過VPNC ( 國際VPN認證機構 ) 認證,證明俠諾產品與大廠VPN設備可以互通。因此不會有與其他廠商的設備無法進行VPN聯機的問題。
五、方案未來拓展規劃
多WAN可彈性增加帶寬:俠諾QVM系列VPN產品均支持帶寬匯聚,多WAN口接入,可供企業彈性配置運用。方便在未來的網絡擴展中,申請多條線路的應用。進而實現多WAN備援、VPN與公眾線路分流等效果。由此可見,多WAN埠給日後網絡升級預留了空間,讓升級不是問題。
策略路由解決VPN跨網瓶頸:未來聖愛中醫院可在全國範圍內開設分館,但由於國內長期存在電信、網通互連不互通的問題,許多企業建立VPN時會發生跨ISP網絡時帶寬不足,導致VPN不穩定或易於掉線。Qno俠諾VPN的多WAN口設計,可搭配策略路由的設定,讓不同ISP外點可直接連到對應VPN伺服器入口,在未來即可很好的解決此問題。
六、應用效果評價
鴻翔集團的項目主管陽鵬先生表示,Qno俠諾VPN組網方案雖然運行不到一個月,但是目前各類的業務數據傳輸、網絡運行等,都十分正常,大大提升了聖愛中醫院的整體工作效能,可以說真正成功的幫助聖愛中醫院建構了一個簡便、快速、穩定、安全的信息化VPN網絡。