醫(yī)院專用網(wǎng)絡(luò)設(shè)計(jì)與仿真研究

劉俊奇

摘 要： 此次論文針對醫(yī)院擴(kuò)建專用網(wǎng)絡(luò)應(yīng)用需求，采用華為ENSP網(wǎng)絡(luò)仿真平臺(tái)對醫(yī)院專用網(wǎng)進(jìn)行整改。采用三層網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)分層能有效分割與管理整個(gè)醫(yī)院專用網(wǎng)。核心層的DHCP協(xié)議及多種網(wǎng)絡(luò)協(xié)議來保證網(wǎng)絡(luò)中的IP、帶寬的分配；在此基礎(chǔ)上對核心層進(jìn)行VLAN間路由與其他相關(guān)協(xié)議保證網(wǎng)絡(luò)中各不同部門之間的信息交流；通過鏈路聚合與鏈路備份來實(shí)現(xiàn)專用網(wǎng)的可靠性；在核心層采用ALC訪問控制列表的配置來合理保障專用網(wǎng)內(nèi)部信息的安全性要求。

關(guān)鍵詞： VPN；DHCP；VLAN間路由；ALC訪問控制列表

1.研究背景

在當(dāng)今社會(huì)中，隨著網(wǎng)絡(luò)的發(fā)展和在社會(huì)生活中的普及，醫(yī)院企業(yè)內(nèi)部網(wǎng)的設(shè)計(jì)已經(jīng)逐步完善，設(shè)計(jì)人員在設(shè)計(jì)同時(shí)還考慮到到網(wǎng)絡(luò)安全，以保障內(nèi)網(wǎng)中的信息安全性。但是一些醫(yī)院企業(yè)內(nèi)部網(wǎng)是通過園區(qū)網(wǎng)的基礎(chǔ)上擴(kuò)建出來的，在某種程度上存在可拓展性差，技術(shù)應(yīng)用和信息安全得不到保障等問題。這些問題給專用網(wǎng)的管理帶來諸多不便。并且隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，學(xué)術(shù)交流趨于全球化，醫(yī)院的規(guī)模也在不斷的增大，這樣的網(wǎng)絡(luò)在當(dāng)今形式下已經(jīng)不能滿足醫(yī)院的發(fā)展趨勢，勢必會(huì)阻礙醫(yī)院的發(fā)展。所以一個(gè)設(shè)計(jì)合理、安全性高、拓展性高的醫(yī)院企業(yè)內(nèi)部網(wǎng)已經(jīng)是現(xiàn)在諸多大型醫(yī)院辦公服務(wù)的基本保障之一。[1]

2.國內(nèi)外研究現(xiàn)狀

國內(nèi)外對于醫(yī)院專用網(wǎng)的建設(shè)基本一致，涉及到的網(wǎng)絡(luò)技術(shù)從入門級的ARP協(xié)議、STP協(xié)議、RSTP協(xié)議、AAA的應(yīng)用、IPsec VPN的配置、靜態(tài)路由的配置等以及深入的鏈路聚合、GARP與GVRP的應(yīng)用、VLAN間路由和GRE的配置，到高級的如多層交換（MLS： Multilayer Switching）、組播偵聽（IGMP Snooping）、路由熱備份協(xié)議（VRRP）等。[2]

同過去相比，由于醫(yī)院網(wǎng)絡(luò)規(guī)模小，用戶群計(jì)算機(jī)水平不高，信息點(diǎn)數(shù)量少，醫(yī)療信息量少，網(wǎng)絡(luò)管理相對容易。但是飛速發(fā)展的以太網(wǎng)技術(shù)已經(jīng)將淘汰以前所能兼容的老的網(wǎng)絡(luò)，對于現(xiàn)今設(shè)計(jì)一個(gè)新的、對當(dāng)前網(wǎng)絡(luò)環(huán)境的適應(yīng)性較強(qiáng)的網(wǎng)絡(luò)系統(tǒng)來說很重要[3]。

對于網(wǎng)絡(luò)連通性來說，醫(yī)院網(wǎng)絡(luò)也有諸多要求，比如各部門各科室之間的聯(lián)通需求，以及與外網(wǎng)之間，醫(yī)院與醫(yī)院之間的信息交換。醫(yī)院網(wǎng)絡(luò)對連通性的要求上很高，要求無時(shí)刻不間斷的進(jìn)行信息交換互通。在設(shè)計(jì)過程中要顧及網(wǎng)絡(luò)上的連通問題，保證有儲(chǔ)備網(wǎng)絡(luò)來讓其無時(shí)無刻擁有最好的狀態(tài)服務(wù)于單位與員工。 醫(yī)院網(wǎng)絡(luò)安全性將是醫(yī)院信息化的一個(gè)長期話題，可以預(yù)見，未來的醫(yī)院網(wǎng)絡(luò)將更加復(fù)雜，擺在網(wǎng)絡(luò)管理員面前的將是更加嚴(yán)峻的考驗(yàn)。

3.研究的目的和意義

由于醫(yī)院建設(shè)新急門診大樓，與醫(yī)技樓和住院樓相連，建筑面積擴(kuò)大，導(dǎo)致原先使用的專用網(wǎng)設(shè)備不夠，布局不合理，無線接入點(diǎn)不夠，因此在網(wǎng)絡(luò)連通性、硬件設(shè)備的基礎(chǔ)上做一個(gè)全新的符合當(dāng)前醫(yī)院環(huán)境的網(wǎng)絡(luò)系統(tǒng)。

為醫(yī)院進(jìn)行設(shè)計(jì)并建設(shè)出一個(gè)合理高效的醫(yī)院專用網(wǎng)，使各部分之間節(jié)點(diǎn)能夠?qū)崿F(xiàn)連通性，并且對網(wǎng)絡(luò)進(jìn)行合理的規(guī)劃并分配帶寬資源，同時(shí)對網(wǎng)絡(luò)中的可靠性進(jìn)行設(shè)計(jì)以實(shí)現(xiàn)網(wǎng)絡(luò)故障節(jié)點(diǎn)不影響信息交流的目標(biāo)。

醫(yī)院專用網(wǎng)的優(yōu)勢如下：

①醫(yī)院專用網(wǎng)在于提高醫(yī)院工作效率，優(yōu)化資源，提升核心競爭力等。在日益發(fā)展的網(wǎng)絡(luò)技術(shù)時(shí)期，建設(shè)一個(gè)能夠跟上網(wǎng)絡(luò)發(fā)展趨勢的醫(yī)院專用網(wǎng)能給予醫(yī)院在醫(yī)療領(lǐng)域和醫(yī)療學(xué)術(shù)交流方面強(qiáng)有力的保障；

②并且在實(shí)際中通過專用網(wǎng)，員工之間能免去各部門的走訪來進(jìn)行信息的傳遞與交流，且能夠在合理分配工作，直接的提高工作效率與工作質(zhì)量；

③方便大眾對醫(yī)院醫(yī)療質(zhì)量的了解與監(jiān)督；

④對于醫(yī)院中醫(yī)生與病患之間的看病效率與治療效率有顯著提高。

4.局域網(wǎng)設(shè)計(jì)

該設(shè)計(jì)中的局域網(wǎng)是以實(shí)際考察為基礎(chǔ)對醫(yī)院中的所需要設(shè)計(jì)的主要建筑進(jìn)行相關(guān)拓?fù)湓O(shè)計(jì)，以保證能夠最大最理想覆蓋主要建筑的各層終端需求。

局域網(wǎng)的層次結(jié)構(gòu)包含以下三個(gè)層面：[4]

（1）接入層 ：為終端與用戶提供接入局域網(wǎng)的接口。

（2）匯聚層 ：匯聚接入層并提高連接服務(wù)。

（3）核心層 ： 將不同的匯聚層進(jìn)行連接并做最主要的信息轉(zhuǎn)發(fā)與網(wǎng)絡(luò)管理服務(wù)。

IP編址與VLAN設(shè)計(jì)與Internet中互連的每個(gè)終端都有一個(gè)屬于自己的IP地址。IP地址的長度為32位（IPV4協(xié)議中包含2^32個(gè)公網(wǎng)IP地址），其中等分成4段，每段9位，用十進(jìn)制表示，每段的數(shù)字范圍在0～255之間，每段與每段中間使用“.”分隔開。[5]IP地址從規(guī)定上分為5類：A、B、C、D、E，它們的適用范圍分別是：大型網(wǎng)絡(luò)；中星網(wǎng)絡(luò)；小型網(wǎng)絡(luò)；多目地址；備用。在日常中最常見的IP地址類型為B類和C類。本設(shè)計(jì)中的醫(yī)院專用網(wǎng)在設(shè)計(jì)規(guī)模上是中型網(wǎng)絡(luò)，所以內(nèi)網(wǎng)采用的是B類IP地址進(jìn)行建設(shè)，通過NAT協(xié)議的配置將內(nèi)網(wǎng)B類地址轉(zhuǎn)換為可供終端連接Internet的公網(wǎng)C類IP。

在醫(yī)院專用網(wǎng)中不同部門之間的職責(zé)不同所以分別劃分為不同網(wǎng)段，通過核心層交換機(jī)上的DHCP服務(wù)器進(jìn)行不同網(wǎng)段的地址分配，利用子網(wǎng)掩碼以區(qū)分不同網(wǎng)段的網(wǎng)段編號，也由于醫(yī)院中終端數(shù)量小的特點(diǎn)，每個(gè)網(wǎng)段僅需求小于254個(gè)終端地址的設(shè)計(jì)即夠該網(wǎng)絡(luò)的正常運(yùn)行，所以在子網(wǎng)掩碼的設(shè)計(jì)上采用24位掩碼區(qū)別不同網(wǎng)段。[6]

在設(shè)計(jì)該醫(yī)院專用網(wǎng)時(shí)，規(guī)劃好一個(gè)IP編址計(jì)劃能夠正確高效的區(qū)分與管理不同部門的網(wǎng)絡(luò)。在每個(gè)不同網(wǎng)絡(luò)之間有多重編址方法。在設(shè)計(jì)中將以VLAN的劃分來對不同部門網(wǎng)絡(luò)進(jìn)行IP編址：

（1）在不同部門創(chuàng)建不同VLAN進(jìn)行網(wǎng)路劃分，并給予不同VLAN一個(gè)子網(wǎng)網(wǎng)段。如172.80.10.0/24分配給VLAN10，172.80.11.0/24分配給VLAN20；

（2）在核心交換機(jī)中對匯總端口進(jìn)行VLAN配置與DHCP服務(wù)的運(yùn)行，使得核心交換機(jī)在專用網(wǎng)中為所有接入網(wǎng)絡(luò)終端分配一個(gè)屬于自己網(wǎng)段的IP地址；

（3）從172.80.10.0/24到172.80.15.0/24網(wǎng)段屬于設(shè)計(jì)范圍內(nèi)網(wǎng)段，其余為備用網(wǎng)段：172.80.16.0/24～172.80.255.0/24，以方便日后對其余擴(kuò)建部門的劃分。[7]

（4）DHCP地址池服務(wù)對不同VLAN不同網(wǎng)段進(jìn)行地址配送服務(wù)，一個(gè)網(wǎng)路用24位掩碼進(jìn)行劃分，由于醫(yī)院終端相對比較固定，短時(shí)間內(nèi)不會(huì)達(dá)到飽和，所以不同部門擁有255個(gè)終端地址，起始分配地址從.255開始到.2結(jié)束。在DHCP服務(wù)中采用不同DNS設(shè)計(jì)以區(qū)分是主要核心交換機(jī)與備用核心交換機(jī)的DHCP服務(wù)推送信息。主核心交換機(jī)DNS服務(wù)器配置為3.3.3.2備核心交換機(jī)DNS服務(wù)器4.4.4.3。

總結(jié)與展望

本文網(wǎng)絡(luò)設(shè)計(jì)與仿真參考了相關(guān)書籍資料和實(shí)例，運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)配置命令與協(xié)議的知識(shí)完成了以下工作：[8]

（1）實(shí)行了專用網(wǎng)的構(gòu)架配置多種協(xié)議的配置，同時(shí)對網(wǎng)絡(luò)的合理規(guī)劃。

（2）對醫(yī)院專用網(wǎng)功能需求進(jìn)行分析。

（3）對專用網(wǎng)構(gòu)架進(jìn)行了規(guī)劃分析并設(shè)計(jì)網(wǎng)絡(luò)配置。

參考文獻(xiàn)

[1]王占京，張麗諾，雷波.VPN網(wǎng)絡(luò)技術(shù)與業(yè)務(wù)應(yīng)用.國防工業(yè)出版社.2012.

[2]高海英，薛元星，辛陽.VPN技術(shù).第一版.北京.機(jī)械工業(yè)出版社.2004.

[3]Steven Brown著.董小宇，魏鴻，馬潔譯.構(gòu)建虛擬專用網(wǎng).第一版.北京.人民郵電出版社.2000.4-5.

[4]科教工作室.局域網(wǎng)組建與維護(hù).第一版.北京.清華大學(xué)出版社.2008：20-80頁.

[5]戴宗坤，唐三平.VPN與網(wǎng)絡(luò)安全.第一版.北京.電子工業(yè)出版社.2002.

[6]李思齊.服務(wù)器配置全攻略.第一版.北京.清華大學(xué)出版社.2006：20-40頁.

[7]王達(dá)等.虛擬專用網(wǎng)（VPN）精解.北京.清華大學(xué)出版社.2004：10—202頁.

[8]Mark A. Sportack. IP Addressing Fundamentals.2002.10.