Projekte

Kabellose KIS-te

Leistungsfähiges WLAN im St. Johannes Krankenhaus in Troisdorf-Sieglar erlaubt mobile Visite

Quelle: Krankenhaus, Technik & Management, Ausgabe 7-8/2008



Den Zugriff verwalten, nicht die Access Points - so lautet das Motto der WLAN-Lösung, wie sie im St. Johannes-Krankenhaus Troisdorf-Sieglar eingesetzt wird. Die hier abgebildeten "KIS-ten", also die SummitWM-Modelle von Extreme Networks, unterstützen je nach Variante bis zu 32, 100 bzw. 200 Access Points.


Die mobile Visite sorgt dafür, dass alle relevanten Patientendaten für den Arzt und das betreuende Personal am Krankenbett zur Verfügungstehen. Die technische Realisation einer solchen Lösung erfordert allerdings entsprechende Rahmenbedingungen bei der Netzwerktechnik. Vor allem das Layer3-Netzdesign sowie eine entsprechende Redundanzstrategie mittels Extreme Standby Router Protocol versprechen hier hinsichtlich der Hochverfügbarkeit Vorteile. Im St. Johannes Krankenhaus (SJK) in Troisdorf-Sieglar wurde eine solche Lösung mit den Komponenten und dem Featureset der managed WLAN-Lösung SummitWM von Extreme Networks realisiert. Sie fungiert dort als Kommunikationsbasis für die mobile Visite.

Bereits 1998 begann das St. Johannes Krankenhaus mit dem Aufbau eines Gigabit-Ethernet-Netzwerk-Backbone sowie mit der Einführung von Switched Fast Ethernet im Edge-Bereich. Das Krankenhaus verfügte somit bereits früh über Teile der notwendigen Infrastruktur für eine digitale Archivierung der bildgebenden Diagnostik (PACS) und baute diese weiter aus.

Parallel zum Datennetzwerk wurde das Krankenhausinformationssystem (KIS) konsequent modernisiert und erweitert - mit dem Ziel einer nahezu beleglosen Prozesskette im Krankenhausbetrieb. Möglichst alle relevanten Informationen, insbesondere die Patientendaten, sollen zukünftig digital verarbeitet und gespeichert werden, sowie für die Mediziner ad hoc verfügbar sein.

Der jüngste Schritt zum digitalen Krankenhaus ist die Einführung der mobilen Visite per Notebook am Patientenbett. Und genau dies wurde am SJK erfolgreich realisiert. Hier ist über eine WLAN-Anbindung während der Visite der Zugriff auf die elektronische Patientenakte möglich. Die technischen Details der Installation sind, nicht zuletzt um den hohen Ansprüchen an die Verfügbarkeit und an die Datensicherheit gerecht zu werden, entsprechend anspruchsvoll.

Den Kern des Ethernet-Netzwerks im SJK bildet ein Hauptverteiler im Rechenzentrum. Ausgehend vom Hauptverteiler sind 15 Unterverteiler mittels Glasfaserkabel redundant per Gigabit-Ethernet (1 Gbps) angeschlossen. Zudem steht ein zweiter Serverraum in einem separaten Brandabschnitt zur Verfügung.


Die aktiven Komponenten (Switches) im Datennetzwerk sind vom Hersteller Extreme Networks. Grundlage des Netzes ist ein Layer3-Netzdesign, basierend auf dem IPv4-Netzwerkprotokoll. Das Design ist für ein Class-C-IP-Netz pro Unterverteiler ausgelegt und bietet ausreichend Adressbereiche für eine strukturierte Adressvergabe:

  • Bereich mit festen IPs für PCs,
  • Bereich mit Endgeräte-IPs, die per DHCP vergeben werden (PCs, Notebooks, PDAs),
  • Bereich mit festen IPs für Drucker,
  • Bereich mit festen IPs für die Netzwerk-Infrastruktur (Switches).

Das Layer3-Konzept beinhaltet IPNetze pro Unterverteiler und ermöglicht so eine Abschottung der Unterverteiler gegen Layer2-Netzstörungen aus anderen Bereichen. Das Routing erfolgt zentral auf den Coreswitches. Dies ermöglicht eine einfache Konfiguration und Administration der Edge-Switches und verlagert alle komplexen Konfigurationsinhalte in den Core.

Zwischen den Coreswitches ist das IP-Routingprotokoll RIPv2 im Einsatz. Es wird nur auf den Transfer-VLANs zwischen den Coreswitches genutzt. Ausschließlich die Coreswitches haben eine direkte Verbindung in die Transfer-VLANs. Somit gibt es keine Möglichkeit der Beeinflussung der Coreswitch-Routingtabellen durch Clients oder Server.

Aktive Komponenten

Der aktive Kern des Ethernet-Netzwerkes besteht aus vier Coreswitches in redundanter Konfiguration. Dies verhindert einen "single point of failure", der einen Totalausfall durch einen einfachen Komponentendefekt bewirken kann.

Als Coreswitches sind leistungsstarke Gigabit-Ethernet-Layer3-Switches (Typ: Summit X450-24x, Summit5i SX) von Extreme Networks im Einsatz. In den Unterverteilern stehen ebenfalls Layer3-fähige Switches von Extreme Networks zur Verfügung. Dort sorgt die Summit200er-Serie für einen 10/100-Mbit/s-Fast-Ethernet-Zugriff im Edge-Bereich. Alle Summit200er-Switches sind redundant mit 1 Gbps an den Core angebunden. Durch den einheitlichen Einsatz der Serie von Extreme Networks ergeben sich einige Vorteile. Insbesondere das einheitliche Bedienerinterface vereinfacht die Administration der Geräte.

Die Switches basieren zudem auf einer Enterprise-Class-Hardware und bieten ein attraktives Featureset zur Realisierung eines stabilen Netzwerkbetriebes hinsichtlich einer Hochverfügbarkeit im Netz - unter anderem das Extreme Standby Router Protocol (ESRP) und Ethernet Automatic Protection Switching (EAPS).

Zur Steuerung der redundanten Topologie werden verschiedene Mechanismen eingesetzt. Hierbei gilt es, bestimmte Anforderungen zu erfüllen:

Erstens müssen Netzwerkschleifen zur Verhinderung von "Broadcast Storms" zwingend unterdrückt werden. Eine Schleife ermöglicht im Gigabit-Ethernet das Kreisen von mehreren 1.000 Broadcast-Frames pro Sekunde und blockiert so die Netzwerkkommunikation. In bestimmten Fällen kann ein "Broadcast Storm" auch einen manuellen Reboot von Endgeräten wie zum Beispiel Printserver erfordern.

Zweitens muss ein redundantes Default-Gateway für die angeschlossenen Client-/Server-PCs bereitgestellt werden. Die redundante Instanz wird auf einem zweiten Switch konfiguriert und ermöglicht die Ausfallsicherheit und Erreichbarkeit des Gateways im Fall einer Störung des Primär-(L3-)Switches. Zwingend zu beachten ist jedoch, dass maximal eine Instanz gleichzeitig aktiv ist. Zwei aktive Routinginterfaces mit der gleichen IP-Adresse führen unweigerlich zu Netzstörungen.

Die Steuerung der redundanten Instanz sowie die Unterdrückung von Netzwerkschleifen werden durch ein geeignetes Protokoll geregelt. Im Netzdesign des St. Johannes Krankenhauses übernimmt diese Aufgabe das Extreme Standby Router Protocol (ESRP). ESRP steuert die Redundanzen zentral auf den Coreswitches. Das Verfahren ist sowohl für Layer2- als auch Layer3-Redundanzstrategien geeignet und erfordert keine Konfiguration auf den redundant angeschlossenen Etagen-(Edge-)Switches

ESRP gegenüber STP und VRRP

Im Vergleich zu ESRP benötigt die STP/VRRP-Redundanzsteuerung zwei Protokolle: das Spanning Tree Protocol (STP) für Layer2- und das Virtual Router Redundancy Protocol (VRRP) für die Layer3-Redundanzsteuerung. STP bedingt zudem eine Konfiguration des Protokolls auch auf den Etagenswitches, was den Administrationsaufwand sowie das Störungspotential im Betrieb erhöht. Des Weiteren sind STP und VRRP im Client-VLAN aktiv und können somit durch geeignete Tools PCseitig beeinflusst werden.

RIPv2 gegenüber OSPF

Zur Bekanntgabe der aktiven Routerinterfaces in einer redundanten Konfiguration sind statische Routingeinträge nicht geeignet. Für eine dynamische Aktualisierung der Routingtabellen im Fall einer Änderung ist ein dynamisches Routingprotokoll notwendig. Im Netzwerk des St. Johannes Krankenhauses ist hierzu das Routing Information Protocol Version2 (RIPv2) im Einsatz. Die Verwendung von RIPv2 ist im Umfeld kleinerer Routingtabellen mit einer geringen Anzahl von Routern bestens geeignet. Für größere Szenarien empfiehlt sich jedoch der Einsatz des Routingprotokolls Open Shortest Path First (OSPF).

Redundanzumschaltung in ca. drei Sekunden

Im Rechenzentrum bilden vier Coreswitches zwei Redundanzpaare: die Switches Summit X450-1 und X450-2 sowie Summit 5iSX-1 und 5iSX-2. Die Redundanzumschaltung erfolgt hierbei, für jedes Paar unabhängig, innerhalb von ca. drei Sekunden. Auslöser für eine Redundanzumschaltung ist entweder ein Link-Down an einem Uplink-Port zu einem Etagen- oder Coreswitch oder der Ausfall eines primären Coreswitches. Kürzere Umschaltzeiten (Carrier/ Voice Class) sind mit EAPS/VRRP erreichbar. Mit diesen Redundanzmechanismen sind Umschaltzeiten unter einer Sekunde realisierbar.

VLAN-Struktur

Im Netzwerk werden portbasierende VLANs eingesetzt. Pro Unterverteiler gibt es ein VLAN sowie ein IP-Netz, das auf diesem VLAN läuft. Dies ermöglicht eine simple Administration und vereinfacht das Auffinden von Endgeräten im Netzwerk.

Die Server sind in einem separaten VLAN mit eigenem IP-Netz angeschlossen und befinden sich somit nicht gemeinsam in einer Broadcastdomain mit Endgeräten. Die Unterverteiler sind auf zwei Coreswitch-Paare aufgeteilt. Kommunikationstechnische Grundlage der mobilen Visite ist der mobile Zugriff (im SJK mittels Notebooks) auf die Patientendaten und auf das KIS.

Im örtlichen Bereich der Visite, also insbesondere am Patientenbett sowie in den Fluren des Bettenhauses, muss der mobile Zugriff auf das Datennetzwerk und die dort angebundenen Ressourcen gewährleistet sein. Im SJK unterstützt ein managed WLAN den mobilen Zugriff auf das Datennetzwerk. Produktiv im Netz sind zunächst zwei redundante SummitWM100 sowie 25 Access Points im Bettenhaus.

SummitWM-Switches

Die SummitWM-Switches (WM = Wireless Mobility) stehen in mehreren Varianten zur Verfügung. Einmal als WM100er-Version, die mit vier Fast-Ethernet-Schnittstellen bis zu 50 Access Points unterstützt sowie als modulare WM20/200/2000er Variante, die Gigabit-Interfaces besitzt und bis zu 200 Access Points versorgen kann. Die SummitWMs arbeiten mit den Access Points vom Typ Altitude 350-2. Diese unterstützen sowohl den IEEE-802.11b- und 802.11g-Standard (2,4 GHz) als auch den 802.11a-Standard (5 GHz). Third Party Access Points werden mit reduziertem Feature-Set unterstützt.

Access Domains

Kern der SummitWM-Switches sind Access Domains (Profile), mithilfe derer der Administrator verschiedene Zugangskategorien für Nutzer, Gruppen, Geräte der Applikationen definieren kann. Die Access Domains werden auf dem SummitWM-Switch konfiguriert und arbeiten mit einem eigenen IP-Subnetz. Nur der SummitWM routet die Daten zur Access Domain. Die Access-Profile enthalten insbesondere Parameter im Hinblick auf IP-Adressierung, Authentifizierungsverfahren und Filter-Regeln für den Netzzugang. Zudem werden im Profil Verschlüsselungsverfahren, QoS-Parameter und weitere Zugangskoordinaten festgelegt sowie die verfügbaren Altitudes definiert. Die Authentifizierung kann mittels Radiusserver über Web-Login, per MAC-Adresse oder über IEEE802.1x erfolgen.

Jeder Altitude Access Point unterstützt bis zu 16 Wireless Access Domains. Jeder SummitWM unterstützt parallel bis zu 50 Wireless Access Domains. Die Access Domains können hierbei mit Blick auf Redundanz- und Lastverteilungsstrategien über mehrere SummitWM-Switches konfiguriert werden.

Das SJK nutzt diese Technologie unter anderem zur Erweiterung des Wahlleistungsbereiches: Internetzugang am Patientenbett. Die Patienten verfügen dabei über eine eigene Access Domain und damit über einen separaten Kommunikationskanal.

Dynamic Radio Management (DRM)

Mittels DRM-Funktion sind die Altitudes 350-2 in der Lage, ihre Funkparameter automatisch anzupassen. Dies ist insbesondere für den Fall einer Funkzellenstörung, zum Beispiel durch den Ausfall eines benachbarten Access Points geeignet. Durch die DRM-Funktion wird der Funkkanal sowie der Leistungspegel der nächstgelegenen Access Points in geeigneter Form angepasst. Funklöcher und Störquellen können so entschärft werden.

Access Adapt

Im Gegensatz zu den herkömmlichen Access Points verfügen die Altitudes zunächst über keinerlei Intelligenz und keine sensible Informationen über das Netzwerk. Wird ein Altitude vom Netz getrennt, so verliert er umgehend alle Konfigurationsparameter. Nach dem Einschalten sucht der Altitude automatisch per Access Adapt den nächstgelegenen SummitWMSwitch und erhält von diesem die aktuelle Software sowie alle notwendigen Konfigurationsdaten.

Der WM-Switch kann hierbei im LAN, auf dem Campus, in der nächsten Stadt oder irgendwo auf der Welt platziert sein, völlig unabhängig von den Komponenten dazwischen. Voraussetzung ist lediglich eine funktionierende IP-Verbindung zum SummitWM, ein Eintrag im DNS- oder DHCP-Server sowie eineStromversorgung - zum Beispiel per Power over Ethernet (PoE).

IP-Tunnel zum SummitWM

Zusätzliche VLANs für die Access Points - zum Beispiel für das Roaming oder die Zugangskontrolle - sind nicht notwendig. Die Access Points werden in die vorhandene IP-Netzstruktur integriert. Der Altitude Access Point baut über seinen Ethernetport eine IP-Tunnel-Verbindung zum SummitWM auf. Alle Wirelessdaten werden vom Altitude Access Point über diesen Tunnel zum SummitWM gesendet. Dort durchlaufen die Daten die Filterregeln der jeweiligen Access Domain. Anschließend werden die zugelassenen Daten weitergeroutet.

Voice-Grade Roaming

Das Konzept des SummitWM erlaubt ein sehr schnelles Roaming, das durch das Subnetkonzept der Access Domains sowie durch die auf IEEE-Standard 802.11i basierende Roamingfunktionen ermöglicht wird. Mittels Pre-Authentication und Key Caching können sich Benutzer selbst dann schnell zwischen Access Points hin und her bewegen, wenn die Authentifizierung über einen Radiusserver des zentralen Netzwerks erfolgt. Der Wireless Client behält seine IPAdresse auch nach dem Roamingprozess. De facto erscheint der Wireless Client dem kabelgebundenen Netzwerk wie fest verdrahtet.

Das System unterstützt ein durchgängiges QoS-Design (Quality of Service). Mithilfe des SpectraLink Voice Protokolls (SVP) oder des IEEE-802.11e-WME-Priority-Managements (Wireless Multimedia Extension) wird den Sprachdaten eine höhere Priorität bei der Funkübertragung eingeräumt.

Zur adäquaten Behandlung von verzögerungsempfindlichem Verkehr beim Übergang ins drahtgebundene Netz setzen die Access Points das passende TOS-Feld (Type of Service).

Wireless Security und Management

Im Rahmen der drahtlosen Sicherheit unterstützt das System IEEE802.11i und WiFi-Protected-Access (WPA1 und WPA 2). Das Konzept der Access Domains ermöglicht die Realisation eines fein granulierten Netzwerkzugriffs. Zudem können die Altitudes auch als Sensor arbeiten. So ist die Lösung unter anderem in der Lage, nach fremden (rogue) Access Points sowie nach Peer-to-Peer-Netzen zu scannen.

Ferner stellt die Lösung ein Webinterface per HTTPS-Zugriff bereit. Umfangreiche Reporting- und Logging- Funktionen helfen darüber hinaus bei der Systemadministration. Zudem unterstützt das System das Management per SNMPv2, FTP, Radius-Accounting, Syslog und SSH (Secure-Shell).


SJK auf dem Weg zum digitalen Krankenhaus

Ausgehend vom störungsaversen Layer3-Design im Netzwerk hat das SJK seit 1998 konsequent in Richtung digitales Krankenhaus investiert und nahezu alle relevanten Prozesse angepasst. Heute gehört das SJK zu den wenigen Häusern in der Branche, die bereits eine mobile Visite im Echtbetrieb pflegen.

Hier hat sich die Lösung von Extreme Networks bewährt. Mithilfe der Hochverfügbarkeit im Netz bietet man den Anwendern einen soliden Zugriff auf die digitalen Ressourcen. Darüber hinaus sichert ein adäquates, auf die Bedürfnisse des SJK abgestimmtes Wartungs- und Servicepaket die Verfügbarkeit der IT.

Oliver Lindlar,
Thomas Hülsiggensen


Quelle: Krankenhaus, Technik & Management

Ausgabe 7-8/2008

http://www.ktm-journal.de