云南圣爱中医院VPN组网方案

一、案例背景介绍
    云南昆明圣爱堂中医馆是由云南鸿翔集团投资，注册资本500万元、占地面积1000平米、总投资额接近1000万元的大型现代化中医门诊，目前在昆明市设有人民西路馆、金碧馆、东寺馆三家馆。圣爱中医馆汇集全国、全省的名医、良方于一堂，传承中医治病治本、绿色健康的优势，有着中药饮片调剂的人才和规范、科学的饮片调剂程序，结合现代化的医学检验、检查手段，为顾客提供优质完善的医疗服务。

图一：云南昆明圣爱中医院

二、用户需求介绍
    据项目负责人——云南友信网络（侠诺云南总代理）总经理方国胜先生介绍，鸿翔集团总部为了采用联营网络化经营、降低管理成本，规划旗下的圣爱中医院也加入到集团的信息化平台。圣爱中医院目前拥有人民西路馆、金碧馆、东寺馆三家馆，且需要将医馆的局域网络联入鸿翔集团总部的网络。基于这种背景，企业VPN网络的应用非常适合其需求，集团各部门经过讨论总结几点需求如下：
    实时、稳定的VPN连机质量保证：为了协调各地区的业务营运、提高管理效率，需要将总部网络、人民西路馆、金碧馆、东寺馆三家馆用VPN网络连接起来，集团总部需要随时准确地获取所需数据，因此希望各分馆信息可实时返回总部，并维持稳定不中断的连机质量，改善汇整各分点业务数据所花费的冗长时间。而在实际操作上也需要符合简易方便的设计，让总部中心端在进行有效的整合管控工作时，能够相对减轻网管维护的负担。
    具备简易操作、弹性配置等特性：由于人力成本考虑，鸿翔集团只是在总部中心配备了一名专业技术网管，而三个圣爱中医分馆则是由员工兼任。其中，又因每个分支机构的性质规模、上网方式多不相同，相对也提高了管理与解决分支外点设备维护的复杂度。因此，当时考虑VPN网关设备，必须具备一定的简易程度与高灵活度等特性。
    高度信息安全性：对于医疗卫生信息来说，有很多内部的机密资料与患者的个人隐私资料，为了保护这些内部信息的机密性，避免数据被窃取或侦听，造成不可估计的损失，因此集团领导对于VPN信息传输的安全性十分重视。
    有较好的兼容性：由于鸿翔集团总部采用的VPN网络接入设备，与圣爱中医院的设备不是一个品牌，因此要想两者能高效应用，圣爱中医院的设备必须要有较强的兼容性，不仅要能融合一些应用软件，更要能其他VPN设备相通。
    需要具备一定的可扩展性：考虑到圣爱中医院今后继续在云南省甚至全国开设分馆的可能性，因而现在选择的VPN设备必须具备一定的可扩展性，以满足未来两、三年甚至更长时间的扩展需求。

三、圣爱中医院VPN组网方案
    依据上述具体的需求，圣爱中医院选择了高度性价比优势的多WAN VPN防火墙厂商侠诺科技，为其规划了整体的VPN组网方案。其具体的组网架构拓朴与方案特色如下：
 

图二：圣爱中医院VPN网络应用拓扑图

    圣爱中医院人民路馆：由于此馆规模较大，因此采用Qno侠诺QVM660 VPN防火墙，做为服务器中心端接入设备，可支持PPTP、IPSec VPN、SmartLink VPN、QnoKey IPSec客户端密钥等连机方式，可满足外点多种VPN弹性配置需求，实现中心端与各分点建构实时、稳定、安全的互连VPN网络系统。
    其他两个分馆：由于其它两个中医馆的规模稍小，所以均规划采用QVM330 VPN防火墙做为接入设备，并采用Qno侠诺独创的SmartLink VPN协议，只需输入中心端服务器IP地址、用户名、密码三个参数，即可超快速完成VPN设定。针对这两个医馆没有专业网管的问题，以上三参数取代20几个步骤的繁复设定，是一个十分省心的实用功能。

四、方案特点介绍
    SmartLink VPN快速设定：对于一般传统的IPSecVPN设定，除了鸿翔集团总部的专业网管可以应付之外，没有太多专业知识的工作人员，常会因为多达20几个繁杂步骤感到却步。侠诺QVM系列特有的SmartLink VPN功能，将大部份的设定参数的工作交由VPN网关自动完成，用户只需要输中心端服务器IP地址、用户名、密码三个参数，即可完成超快速VPN连机设定，现在就算是分部工作人员也可以轻松上手进行VPN连机设定了。
    强大防火墙安全功能：多半网络面对来自外网的诸多病毒，或是财务账号意外泄露、计算机被非法使用、恶意的内网攻击等带来的损失，都不容小觊。目前来说，最多的攻击形式仍以ARP攻击居多，Qno侠诺QVM系列 VPN防火墙设备都具有内建的防制ARP功能，凭借自动检视封包的机制，侦测过滤可疑的封包，做为防制ARP攻击的第一道防线。可搭配IP /MAC双向绑定，在路由器端以内网PC端进行IP/MAC绑定，即可达到防堵ARP无漏洞的效果。Qno侠诺考虑要绑定全部工作人员PC端的IP/MAC有一定的难度，因此Qno侠诺近期也提供免费的ARP自动绑定软件，可让工作人员有针对性的选择套用绑定程序，达到双向绑定的目的。
    稳定、快速的VPN连机质量：由于医馆患者众多、信息交换及与总部供应中心、药物基地的联系频繁，因此稳定、快速更新数据的VPN连机质量就显得格外重要。侠诺QVM VPN防火墙系列，具有指定路由功能，可保障VPN使用带宽与优先权，进一步稳定VPN连机质量。另外，侠诺QVM VPN防火墙系列，均具备多个WAN接口，可同时接入多条ISP线路，可增加带宽满足更多外点VPN连机，以及内网的计算器使用， 还可同时运用VPN备援设定功能，避免当ISP不稳定或掉线时，VPN连机也随之中断联机，造成无形的损失与伤害，有效提高VPN更上一层楼的稳定性。
    VPN Hub功能消除信息孤岛：透过VPN网络可实现总部与外点互通互连之外，还可运用VPN Hub的功能，进一步让各分部之间的网络透过转发，分点间彼此也可互通互连。VPN Hub这项功能，帮助医馆在第一时间掌握各点最新的患者及药物业务等讯息，以方便客户数量、财务信息等相互支持，避免发生信息孤岛的状况，提升综合管理效率。
    简单而方便的配置及管理：QVM系列产品都是Web中文页面配置，没有太多网络知识的网管人员也可轻易进行配置。即使是不懂网络的人员，经由简单的培训，也可进行操作。这一点大大消除了没有专业技术网管的后顾之忧。
    产品规格兼容性强大：侠诺产品均通过VPNC ( 国际VPN认证机构 ) 认证，证明侠诺产品与大厂VPN设备可以互通。因此不会有与其他厂商的设备无法进行VPN联机的问题。

五、方案未来拓展规划
    多WAN可弹性增加带宽：侠诺QVM系列VPN产品均支持带宽汇聚，多WAN口接入，可供企业弹性配置运用。方便在未来的网络扩展中，申请多条线路的应用。进而实现多WAN备援、VPN与公众线路分流等效果。由此可见，多WAN端口给日后网络升级预留了空间，让升级不是问题。
    策略路由解决VPN跨网瓶颈：未来圣爱中医院可在全国范围内开设分馆，但由于国内长期存在电信、网通互连不互通的问题，许多企业建立VPN时会发生跨ISP网络时带宽不足，导致VPN不稳定或易于掉线。Qno侠诺VPN的多WAN口设计，可搭配策略路由的设定，让不同ISP外点可直接连到对应VPN服务器入口，在未来即可很好的解决此问题。

六、应用效果评价
    鸿翔集团的项目主管阳鹏先生表示，Qno侠诺VPN组网方案虽然运行不到一个月，但是目前各类的业务数据传输、网络运行等，都十分正常，大大提升了圣爱中医院的整体工作效能，可以说真正成功的帮助圣爱中医院建构了一个简便、快速、稳定、安全的信息化VPN网络。