基于OSPF 協(xié)議的醫(yī)院網(wǎng)絡(luò)建設(shè)和部署研究

莊一峰

摘要：近年來，互聯(lián)網(wǎng)發(fā)展迅猛，已繼廣播、電視、報紙雜志之后，成為第四大最具影響力的傳播媒介，其影響力已逐漸滲透到人類世界的每一個角落。互聯(lián)網(wǎng)的興起與發(fā)展不僅改變了人際傳播的模式，更蘊含了無限的商機。文章研究目的是深入了解某醫(yī)院的網(wǎng)絡(luò)部署情況，旨在協(xié)助該醫(yī)院實現(xiàn)無線網(wǎng)絡(luò)部署并解決網(wǎng)絡(luò)安全過程中遇到的問題，從而持續(xù)優(yōu)化無線網(wǎng)絡(luò)服務(wù)?；谀翅t(yī)院的實際情況，文章對其網(wǎng)絡(luò)系統(tǒng)的問題進行了深入剖析，以負(fù)載均衡為核心理念，精心設(shè)計了全新的網(wǎng)絡(luò)架構(gòu)，并對設(shè)備進行了合理選型。此外，文章還對OSPF、VLAN以及IP地址等關(guān)鍵要素進行了全面規(guī)劃。同時，特別對網(wǎng)絡(luò)安全進行了綜合規(guī)劃和嚴(yán)格驗證。通過本次網(wǎng)絡(luò)規(guī)劃，成功搭建了符合信息化時代要求的基礎(chǔ)網(wǎng)絡(luò)設(shè)施，顯著提升了某醫(yī)院的信息化程度。

關(guān)鍵詞：網(wǎng)絡(luò)規(guī)劃；拓?fù)浣Y(jié)構(gòu)；網(wǎng)絡(luò)安全

中圖分類號：TP393 文獻標(biāo)識碼：A

文章編號：1009-3044（2024）14-0092-03 開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID） ：

0 引言

近年來，互聯(lián)網(wǎng)發(fā)展迅速，繼廣播、電視與報刊之后，已成為第四大最具影響力的傳播媒介，其影響力已逐漸滲透到人類世界的每一個角落。互聯(lián)網(wǎng)的興起與發(fā)展不僅改變了人際傳播的模式，更蘊含了無限的商機[1]?；ヂ?lián)網(wǎng)的即時性、互動性、多媒體、低成本以及無遠(yuǎn)弗屆的特性，結(jié)合其多媒體功能與超連接特性，使得互聯(lián)網(wǎng)在商業(yè)應(yīng)用上展現(xiàn)出巨大的潛力，為信息與通信等產(chǎn)業(yè)注入了新的經(jīng)營動力[2]。而互聯(lián)網(wǎng)所具備的多媒體資料形式、無時空限制的全球連線、超鏈接文件、豐富的信息資源、迅速便捷的使用體驗、互動性、用戶導(dǎo)向和成本優(yōu)勢等特點，促使許多醫(yī)院紛紛希望涉足互聯(lián)網(wǎng)領(lǐng)域，并利用網(wǎng)絡(luò)進行內(nèi)部管理活動。

本文的研究目的是了解某醫(yī)院網(wǎng)絡(luò)設(shè)計的需求，以及該醫(yī)院面臨的網(wǎng)絡(luò)安全問題，從而進行網(wǎng)絡(luò)部署，并通過防火墻等技術(shù)手段幫助醫(yī)院解決當(dāng)前網(wǎng)絡(luò)安全中遇到的問題，進而不斷優(yōu)化網(wǎng)絡(luò)安全服務(wù)。

1 網(wǎng)絡(luò)需求

1.1 網(wǎng)絡(luò)業(yè)務(wù)分析

隨著醫(yī)院規(guī)模的擴大，原來的各種信息設(shè)備和網(wǎng)絡(luò)框架已經(jīng)很難適應(yīng)醫(yī)院的發(fā)展，所以該醫(yī)院打算逐步擴大網(wǎng)絡(luò)規(guī)模，并適應(yīng)醫(yī)院在疫情等特殊環(huán)境下的用網(wǎng)需求。醫(yī)院網(wǎng)絡(luò)的總體需求包括：

1） 隨著移動應(yīng)用的普及，對無線網(wǎng)絡(luò)的需求逐漸增加。為了滿足醫(yī)院在移動設(shè)備上進行辦公的需求，醫(yī)院需要提供更廣泛的可用熱點，以便醫(yī)院可以在整個辦公區(qū)域內(nèi)使用穩(wěn)定的移動網(wǎng)絡(luò)。然而，目前醫(yī)院現(xiàn)有的熱點數(shù)量較少且覆蓋范圍有限，因此需要進行改進以提供更好的無線網(wǎng)絡(luò)服務(wù)。

2） 隨著發(fā)展要求，醫(yī)院在管理和業(yè)務(wù)過程中使用VPN、視頻會議等對帶寬的要求逐步增加，所以需要新的醫(yī)院網(wǎng)絡(luò)安排合適的帶寬和VPN支持。

1.2 信息點分布

經(jīng)過對業(yè)務(wù)部門和候診室的調(diào)查發(fā)現(xiàn)，每層樓需要安裝約96個信息點。此外，1#樓一樓大廳和候診室還需要額外的4個信息點。綜合考慮，大約需要安裝總共約300個信息節(jié)點，其中包括一樓大廳、候診室和各個樓層的辦公區(qū)域。

為了優(yōu)化網(wǎng)絡(luò)規(guī)劃，我們進行了初步分析，以確定醫(yī)院當(dāng)前網(wǎng)絡(luò)需求的帶寬。醫(yī)院網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)主要包括視頻、音頻、HTTP、SNMP、POP3、IMAP、文件傳輸、SMTP、ICQ以及FTP等多種類型的信息。這些不同類型的數(shù)據(jù)協(xié)議對帶寬的要求各不相同，以下是各種協(xié)議的基本帶寬需求情況。

基于表1數(shù)據(jù)，我們可以估算網(wǎng)絡(luò)流量。考慮到每個信息點可能在高峰時段同時進行多種業(yè)務(wù)，為確保網(wǎng)絡(luò)擁有足夠的帶寬，特別對于醫(yī)院視頻服務(wù)，是重點需要保證的服務(wù)帶寬。

1.3 接入Internet 環(huán)境

醫(yī)院的網(wǎng)絡(luò)接入Internet方式為接入電信光纖網(wǎng)絡(luò)，為了實現(xiàn)各個樓棟之間的互聯(lián)，醫(yī)院還申請了一條專線，該專線的帶寬為1 000M。

1.4 網(wǎng)絡(luò)安全需求

由于現(xiàn)在移動設(shè)備的接入，醫(yī)院網(wǎng)絡(luò)中各種設(shè)備和應(yīng)用的規(guī)模都在快速擴大。為了保證醫(yī)院網(wǎng)絡(luò)的安全，需要通過使用防火墻技術(shù)、防毒墻技術(shù)、網(wǎng)絡(luò)隔離技術(shù)、網(wǎng)絡(luò)監(jiān)控技術(shù)等實現(xiàn)對網(wǎng)絡(luò)安全的提升，保證醫(yī)院在使用內(nèi)部網(wǎng)絡(luò)的時候不會異常中毒或者癱瘓。

2 網(wǎng)絡(luò)方案設(shè)計

2.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計

根據(jù)醫(yī)院新網(wǎng)絡(luò)需求分析的結(jié)果，整體網(wǎng)絡(luò)設(shè)計以實現(xiàn)負(fù)載均衡為核心。在本設(shè)計中，我們將著重對網(wǎng)絡(luò)系統(tǒng)中的核心路由器進行負(fù)載均衡方面的設(shè)計工作。為保障負(fù)載均衡的可靠性，我們將采用高度冗余的方案。此外，會運用高性能的網(wǎng)絡(luò)設(shè)備，以確保網(wǎng)絡(luò)速度的穩(wěn)定性。在保證網(wǎng)絡(luò)可靠性的前提下，我們也會充分考慮網(wǎng)絡(luò)擴展的設(shè)計，為未來的網(wǎng)絡(luò)擴展預(yù)留足夠的空間，以確保擴展的便捷性。本系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

2.2 Internet 接入方式設(shè)計

該醫(yī)院的網(wǎng)絡(luò)接入Internet方式為接入電信光纖網(wǎng)絡(luò)，為了實現(xiàn)各個樓棟之間的互聯(lián)，該醫(yī)院還申請了一條專線。華為公司解決方案對客戶需求進行適配，以分組化為基礎(chǔ)，采用PTN系列產(chǎn)品PTN3900-8/1900/910按照核心層/匯聚層/接入層組建環(huán)網(wǎng)，傳輸網(wǎng)主干形成環(huán)網(wǎng)，主干傳輸網(wǎng)帶寬提升到10GE，實現(xiàn)供電所1 000M接入。

2.3 安全方案設(shè)計

2.3.1 IPS 部署與功能實現(xiàn)

網(wǎng)絡(luò)入侵是指未經(jīng)授權(quán)訪問網(wǎng)絡(luò)或系統(tǒng)的行為，通常旨在獲取敏感信息、破壞數(shù)據(jù)或危害系統(tǒng)的完整性。這種入侵可能來自各種來源，包括黑客、病毒、惡意軟件、間諜軟件和勒索軟件。網(wǎng)絡(luò)入侵可以對企業(yè)、政府機構(gòu)和個人造成嚴(yán)重?fù)p害，因此采取適當(dāng)?shù)姆烙胧┲陵P(guān)重要。網(wǎng)絡(luò)入侵防御系統(tǒng)（IDS） 和入侵防御系統(tǒng)（IPS） 是用于檢測和防止網(wǎng)絡(luò)入侵的關(guān)鍵工具[3]。IDS是專門設(shè)計用于監(jiān)視網(wǎng)絡(luò)流量的系統(tǒng)。它們會分析傳入和傳出的數(shù)據(jù)，以尋找異常或惡意行為的跡象。一旦發(fā)現(xiàn)潛在威脅，IDS會發(fā)出警報，通知管理員采取適當(dāng)?shù)拇胧4]。IPS進一步擴展了IDS的功能。除了檢測入侵，IPS還能主動采取措施來阻止?jié)撛谕{。這些措施可以包括封鎖惡意IP地址、終止惡意連接或攔截惡意數(shù)據(jù)包[5]。本系統(tǒng)實施網(wǎng)神入侵防御SecGate IPS G620B兩臺，部署入侵防御設(shè)備之間與匯聚交換機H3C S7503E之間，實現(xiàn)以下功能：

①通過在入侵防御系統(tǒng)配置防護的內(nèi)容，從而防止外網(wǎng)用戶對網(wǎng)絡(luò)及核心服務(wù)器區(qū)域的攻擊。

②在入侵防御設(shè)置IP管理地址，并把IP管理端口分別連接到H3C S7503-01和H3C S7503-02，可以實現(xiàn)對設(shè)備進行遠(yuǎn)程管理。

③在服務(wù)器上安裝管理平臺，可以對服務(wù)器的數(shù)據(jù)流量進行安全檢測，可以實現(xiàn)針對病毒、垃圾郵件、DDoS/DoS攻擊。

④實時的入侵系統(tǒng)防護，基于協(xié)議異常、會話狀態(tài)識別和七層應(yīng)用行為的攻擊識別功能，并有強大的自定義入侵攻擊和應(yīng)用軟件的特征。

⑤可針對通信協(xié)議異常、IP/Port的掃描異常、網(wǎng)絡(luò)流量異常等流量異常進行管理，并帶有精準(zhǔn)的帶寬異常管理，支持傳輸帶寬實時限制方式以及傳輸帶寬總量限制方式。

⑥強大而細(xì)致的自定義特征碼功能，用戶可以根據(jù)網(wǎng)絡(luò)環(huán)境通過自定義報表功能，構(gòu)建出所需特征碼。

2.3.2 防火墻部署

本次實施使用的是華為防火墻USG5500兩臺，部署在路由器與外部網(wǎng)絡(luò)之間。防火墻的訪問策略如下：

①醫(yī)院網(wǎng)的入口處應(yīng)該設(shè)置主防火墻。主防火墻需要能夠檢測、過濾并阻止傳入的惡意流量和攻擊請求，如DDoS攻擊、端口掃描等。此外，主防火墻還需要支持VPN服務(wù)、NAT、URL過濾、反病毒等功能，以保證網(wǎng)絡(luò)的連通性和安全性。

②在醫(yī)院網(wǎng)絡(luò)內(nèi)部，各個重要區(qū)域也需要設(shè)置分布式防火墻。例如，辦公區(qū)、行政區(qū)、實驗室、機房等區(qū)域都需要設(shè)置分布式防火墻，以確保各個區(qū)域的網(wǎng)絡(luò)互相隔離，不會相互干擾或出現(xiàn)數(shù)據(jù)泄漏等問題。

③應(yīng)該對重要的服務(wù)器和應(yīng)用程序進行額外的安全控制，可以在服務(wù)器處設(shè)置物理隔離、加密技術(shù)和訪問控制，以提高防護能力。

醫(yī)院網(wǎng)絡(luò)的防火墻部署需要綜合考慮網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、業(yè)務(wù)需求和安全性等因素，以實現(xiàn)規(guī)范、高效和可信賴的安全服務(wù)。

3 設(shè)備選型及配置

3.1 設(shè)備選型

HJ-201具有高性能、可擴展性和靈活性等特點，可滿足數(shù)據(jù)中心、醫(yī)院網(wǎng)絡(luò)、運營商等場景的需求。該設(shè)備支持10G/40G/100G以太網(wǎng)接口以及多種協(xié)議和功能。HJ-201支持iStack（智能堆疊）技術(shù)，可以將多臺交換機堆疊成一個邏輯設(shè)備，從而提升設(shè)備管理效率和可靠性?？傊?，HJ-201是一款功能豐富、性能卓越、應(yīng)用廣泛的交換機設(shè)備。

HJ-2220具有高性價比、可靠性強和易于管理等特點，適用于各種場景，如辦公網(wǎng)絡(luò)和數(shù)據(jù)中心等。HJ-2220支持10/100/1000M以太網(wǎng)接口，可滿足不同的網(wǎng)絡(luò)需求。HJ-2220支持iStack（智能堆疊）技術(shù)，可以將多臺交換機堆疊成一個邏輯設(shè)備，從而提升設(shè)備管理效率和可靠性。

HJ-1220具有高性能、可靠性和靈活性等特點，廣泛應(yīng)用于企業(yè)級網(wǎng)絡(luò)、運營商以及政府等領(lǐng)域。HJ-1220具備高可靠性和安全性方面的優(yōu)點，支持雙機熱備、BFD快速探測、硬件加速IPSec等功能，確保網(wǎng)絡(luò)的連續(xù)性和安全。HJ-1220是一款功能強大、性能卓越的多業(yè)務(wù)路由器設(shè)備，適用于各種規(guī)模的組織。

3.2 網(wǎng)絡(luò)配置

3.2.1 VLAN 配置

要實現(xiàn)不同VLAN之間的通信，可以啟用三層交換機的路由功能（IP routing） 。接著，建立一個trunk鏈路將二層交換機和三層交換機連接，然后將每個VLAN封裝到這個鏈路中。

3.2.2 DHCP 配置

本文使用DHCP服務(wù)可以實現(xiàn)IP地址的動態(tài)獲取功能，可以在三層交換機上設(shè)置一個本地DHCP服務(wù)器，不需要中繼設(shè)備，從而實現(xiàn)IP地址的動態(tài)分配。在HJ-1上配置一個本地DHCP服務(wù)器，這將使PC機可以方便地獲取動態(tài)分配的IP地址。

3.2.3 VRRP 配置

VRRP的作用是為局域網(wǎng)上的設(shè)備提供備份機制。VRRP協(xié)議是一種容錯協(xié)議，它保證當(dāng)主機出現(xiàn)問題故障時，在線進程可以及時由另一臺設(shè)備來替代，從而保證通信的連續(xù)性和可靠性。

3.2.4 鏈路聚合配置

互連交換機間的鏈路配置為中繼（trunk） 鏈路，實現(xiàn)VLAN間通信（以辦公樓交換機為例）：進入端口，將端口劃分為trunk模式，并允許VLAN通過。

3.2.5 OSPF 配置

OSPF（Open Shortest Path First） 是一種內(nèi)部網(wǎng)關(guān)協(xié)議（IGP） ，用于在IP網(wǎng)絡(luò)中選擇最佳路徑，以便數(shù)據(jù)包能夠以最快、最有效的方式傳輸。它是一個開放標(biāo)準(zhǔn)的路由協(xié)議，通常用于大型網(wǎng)絡(luò)和互聯(lián)網(wǎng)服務(wù)提供商（ISPs） 的路由器之間的通信。OSPF使用鏈路狀態(tài)路由（Link-State Routing） 算法來決定最佳路徑，它將網(wǎng)絡(luò)拓?fù)湫畔⑥D(zhuǎn)發(fā)給所有與之相連的路由器，然后通過計算最短路徑樹來確定到達目標(biāo)網(wǎng)絡(luò)的最佳路徑。本文通過對每個路由器啟用OSPF進程，并將回環(huán)地址作為自己OSPF的router-id，根據(jù)拓?fù)鋱D劃分各自區(qū)域，把自己的網(wǎng)段通告進 OSPF進程，以HJ-1為例：

[HJ-1]OSPF1 router 1.1.1.1

[HJ-1-OSPF-1]area 0

[HJ-1-OSPF-1-area-0.0.0.0]net 12.1.1.1 0.0.0.0

[HJ-1-OSPF-1-area-0.0.0.0]net 14.1.1.1 0.0.0.0

[HJ-1-OSPF-1-area-0.0.0.0]net 1.1.1.1 0.0.0.0

[HJ-1-OSPF-1-area-0.0.0.0]quit

[HJ-1-OSPF-1]area 1

[HJ-1-OSPF-1-area-0.0.0.1]net 14.1.1.1 0.0.0.0

其他路由器也按照此指令配置自己的區(qū)域及地址并通告網(wǎng)段，這樣整個網(wǎng)絡(luò)都啟用了OSPF，已經(jīng)實現(xiàn)了全網(wǎng)可通。另外，如果想讓區(qū)域0的安全性更加可靠，OSPF還支持認(rèn)證，可以對其配置密碼認(rèn)證，下面介紹配置加密認(rèn)證的方法：

[HJ-1]OSPF1

[HJ-1-OSPF-1]area 0

[HJ-1-OSPF-1-area-0.0.0.0]authentication-mode md5 1 huawei

在HJ-2、HJ-3上面也使用相同的指令配置，這樣在區(qū)域0就建立了一個密碼為huawei的認(rèn)證指令，使鏈路更加安全。

4 結(jié)束語

本文通過調(diào)研某醫(yī)院網(wǎng)絡(luò)的使用現(xiàn)狀與存在的問題，同時結(jié)合實際工作情況以及項目，分析了醫(yī)院網(wǎng)絡(luò)系統(tǒng)上各種普遍問題，運用網(wǎng)絡(luò)部署理念，結(jié)合防火墻等網(wǎng)絡(luò)安全技術(shù)，為醫(yī)院開發(fā)了一個功能完整的醫(yī)院網(wǎng)絡(luò)系統(tǒng)。通過在醫(yī)院應(yīng)用本網(wǎng)絡(luò)可以解決客戶信息遇到的各種問題，提高醫(yī)院辦公的效率和效果。本文從三個角度進行了較為有意義的研究：首先，全面地對當(dāng)前的網(wǎng)絡(luò)使用進行了剖析，總結(jié)了它們各自的優(yōu)勢，指出了目前存在的問題。針對客戶要求，對網(wǎng)絡(luò)設(shè)計的工作過程進行了詳細(xì)的闡述。其次，通過對現(xiàn)有技術(shù)的比較和分析，最終確定了以華為設(shè)備為基礎(chǔ)，并使用防火墻技術(shù)來完成醫(yī)院網(wǎng)絡(luò)的設(shè)計與部署。最后，通過DHCP、VLAN、VRRP、防火墻的配置來具體實施。

參考文獻：

[1] 施雨.無線網(wǎng)絡(luò)技術(shù)在醫(yī)院信息化建設(shè)中的應(yīng)用分析[J].數(shù)字技術(shù)與應(yīng)用，2019（2）：50-51.

[2] 陳維溫.登峰.BXP 無盤系統(tǒng)在多媒體教學(xué)機房的應(yīng)用研究[J].科技創(chuàng)新導(dǎo)報，2008（4）：235.

[3] 夏哲新.智慧醫(yī)院架構(gòu)下的無線網(wǎng)絡(luò)建設(shè)方案[J].智慧健康，2017（1）：1-4.

[4] 丁雪梅，武云濤.淺談計算機局域網(wǎng)絡(luò)[J].電子世界，2014（10）：122-123.

[5] 姚青梅.企業(yè)內(nèi)部網(wǎng)絡(luò)的構(gòu)建[J].煉油與化工，2012（4）：38-40.

【通聯(lián)編輯：代影】