李娜娜+吳響+胡俊峰

摘 要：在信息化建設(shè)的過程中，醫(yī)院需要搭建兩套網(wǎng)絡(luò)，即內(nèi)網(wǎng)和外網(wǎng)。為了承載兩套網(wǎng)絡(luò)，醫(yī)院往往選擇的方法是采用兩套設(shè)備，造成的結(jié)果就是成本高，設(shè)備利用率低。針對(duì)這一問題，文章以徐州市某醫(yī)院的網(wǎng)絡(luò)為例，使用徐州醫(yī)科大學(xué)自主開發(fā)的MNSS（Medical Network System Simulator）平臺(tái)對(duì)提出的方案進(jìn)行仿真，利用MPLS（Multi-Protocol Label Switching）技術(shù)在同一套網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上實(shí)現(xiàn)醫(yī)院內(nèi)外網(wǎng)絡(luò)相互隔離。MPLS隔離內(nèi)外網(wǎng)具有成本低，效率高，安全性高的特點(diǎn)，對(duì)醫(yī)院內(nèi)外網(wǎng)絡(luò)隔離具有良好的指導(dǎo)作用。

關(guān)鍵詞：MPLS；多標(biāo)簽交換；內(nèi)外網(wǎng)隔離

中圖分類號(hào)：TP391.9 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：2095-2945（2017）33-0021-03

1 概述

對(duì)醫(yī)院、政府等單位的網(wǎng)絡(luò)系統(tǒng)而言，內(nèi)網(wǎng)是指單位內(nèi)部的關(guān)鍵業(yè)務(wù)網(wǎng)，通常與互聯(lián)網(wǎng)物理隔離，供內(nèi)部人員訪問單位自身的業(yè)務(wù)系統(tǒng)；外網(wǎng)是指單位內(nèi)部的非關(guān)鍵業(yè)務(wù)網(wǎng)，通常經(jīng)由路由器、防火墻等設(shè)備與互聯(lián)網(wǎng)連接，供內(nèi)部人員訪問互聯(lián)網(wǎng)使用[1]。內(nèi)網(wǎng)是關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)。而醫(yī)院工作人員及患者平時(shí)所需的上網(wǎng)功能，例如視頻，語音等是醫(yī)院為其提供的互聯(lián)網(wǎng)接入服務(wù)，不影響醫(yī)院正常運(yùn)轉(zhuǎn)，這是非關(guān)鍵性業(yè)務(wù)網(wǎng)絡(luò)，即醫(yī)院外網(wǎng)。一般而言，對(duì)于一家醫(yī)院，內(nèi)網(wǎng)與外網(wǎng)是共存的。

一些小型醫(yī)院選擇內(nèi)外網(wǎng)合一，但內(nèi)外網(wǎng)共用一套系統(tǒng)容易被病毒攻擊，給日常運(yùn)維帶來安全隱患。目前，實(shí)現(xiàn)網(wǎng)絡(luò)隔離主要采用兩種方式：虛擬局域網(wǎng)（VLAN）隔離和物理隔離[2]。物理隔離的方法是采購兩套設(shè)備，使用兩套不同的系統(tǒng)，使內(nèi)網(wǎng)和外網(wǎng)運(yùn)行在不通的系統(tǒng)中，這樣能保證較大程度的網(wǎng)絡(luò)安全，但造價(jià)較高。VLAN隔離是通過將傻瓜交換機(jī)替換成普通網(wǎng)管交換機(jī)即可實(shí)施。這種方法造價(jià)較低，但卻無法真正意義上做到內(nèi)外網(wǎng)隔離。

MPLS是多協(xié)議標(biāo)簽交換[3]，它是通過標(biāo)簽轉(zhuǎn)發(fā)來傳遞路由的。通過標(biāo)簽轉(zhuǎn)發(fā)的路由與常規(guī)路由不在同一張路由表中，因此可以和常規(guī)路由區(qū)分開。通過本文的研究，使用MPLS技術(shù)將內(nèi)網(wǎng)和外網(wǎng)運(yùn)行在同一套設(shè)備中，并且不會(huì)互相干擾。極大提高了設(shè)備利用率，讓維護(hù)人員工作起來更加方便，提高了故障解決效率。

2 相關(guān)技術(shù)

本文實(shí)驗(yàn)所需要的相關(guān)技術(shù)中，OSPF使得整個(gè)網(wǎng)絡(luò)變成一個(gè)整體，MPLS將內(nèi)網(wǎng)和外網(wǎng)成功隔離，VRRP不僅實(shí)現(xiàn)了網(wǎng)關(guān)冗余，還實(shí)現(xiàn)了核心層的負(fù)載均衡。實(shí)施方案中展示了重點(diǎn)設(shè)備的重要命令，直觀展示了實(shí)驗(yàn)實(shí)施過程，最后驗(yàn)證了實(shí)驗(yàn)結(jié)果。

2.1 內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Gateway Protocol， IGP）

內(nèi)部網(wǎng)關(guān)協(xié)議是專用于一個(gè)自治網(wǎng)絡(luò)系統(tǒng)中網(wǎng)關(guān)間交換數(shù)據(jù)流轉(zhuǎn)通道信息的協(xié)議。目前最常用的兩種內(nèi)部網(wǎng)關(guān)協(xié)議分別是：路由信息協(xié)議和最短路徑優(yōu)先路由協(xié)議。本文中的網(wǎng)絡(luò)運(yùn)用的是OSPF。路由協(xié)議OSPF全稱為Open Shortest Path First ，也就開放的最短路徑優(yōu)先協(xié)議，因?yàn)镺SPF是由IETF 開發(fā)的，它的使用不受任何廠商限制，所有人都可以使用，所以稱為開放的，而最短路徑優(yōu)先（SPF）是OSPF的核心思想，其使用的算法是Dijkstra算法，會(huì)優(yōu)先選擇最短路徑轉(zhuǎn)發(fā)路由。

2.2 多協(xié)議標(biāo)簽交換（Multi-Protocol Label Switch，MPLS）

多協(xié)議標(biāo)簽交換是通過標(biāo)簽轉(zhuǎn)發(fā)來傳遞路由的。通過標(biāo)簽轉(zhuǎn)發(fā)的路由與常規(guī)路由不在同一張路由表中，因此可以和常規(guī)路由區(qū)分開。鑒于此本文通過引入MPLS實(shí)現(xiàn)全網(wǎng)全通[2]。MPLS中還有一個(gè)重要的概念，也是本文解決問題的關(guān)鍵，就是VRF表。在路由器上為需要專網(wǎng)通信的用戶之間創(chuàng)建單獨(dú)的路由表，這樣的路由表被稱為虛擬路由表（VRF），如果一臺(tái)邊緣路由器連接著多個(gè)不同用戶，那么它將創(chuàng)建多個(gè)虛擬路由表，這個(gè)路由表和普通的路由表沒有任何區(qū)別，只不過它只用來為VPN 用戶傳遞數(shù)據(jù)的，而與虛擬路由表相對(duì)的正常路由表被稱為全局路由表。而在本文中，我們使用VRF表來存放私網(wǎng)路由，本質(zhì)上是一樣。

2.3 虛擬路由器冗余協(xié)議（Virtual Router Redundancy Protocol， VRRP）

虛擬路由器冗余協(xié)議是IEEE制定的為了保證網(wǎng)絡(luò)邊緣設(shè)備與整個(gè)網(wǎng)絡(luò)連接可靠性的一種協(xié)議。為了了解VRRP技術(shù)如何提高核心層網(wǎng)絡(luò)的可靠性[3]，我們需要了解VRRP協(xié)議的原理，然后通過一個(gè)仿真實(shí)驗(yàn)使用VRRP技術(shù)實(shí)現(xiàn)網(wǎng)關(guān)冗余和負(fù)載均衡。VRRP組中所有路由器使用同一個(gè)虛擬IP地址和虛擬MAC地址。在這個(gè)組中只有一個(gè)路由器處于活動(dòng)狀態(tài)，這個(gè)活動(dòng)狀態(tài)的路由器是通過一種特定的機(jī)制進(jìn)行選舉。同樣的，當(dāng)鏈路發(fā)生故障導(dǎo)致主路由器不能正常工作，VRRP又通過一種特定的機(jī)制對(duì)其進(jìn)行切換[4]。

3 內(nèi)外網(wǎng)融合網(wǎng)絡(luò)架構(gòu)仿真設(shè)計(jì)

本文將內(nèi)網(wǎng)和外網(wǎng)進(jìn)行整合。如圖1所示，內(nèi)外網(wǎng)可以運(yùn)行在同一套設(shè)備中。本文的做法是將不同的接口劃給內(nèi)網(wǎng)和外網(wǎng)，紅線代表內(nèi)網(wǎng)，藍(lán)線代表外網(wǎng)。因?yàn)檫@種方案需要足夠多的接口，所以網(wǎng)絡(luò)的可拓展性十分重要，在此也能印證這一說法。

結(jié)束完整體網(wǎng)絡(luò)的規(guī)劃工作，便可以在MNSS中搭建實(shí)驗(yàn)拓?fù)鋱D，最終實(shí)驗(yàn)拓?fù)淙缦聢D2所示。

3.1 實(shí)施方案

為了使內(nèi)網(wǎng)和外網(wǎng)隔開，建立一張?zhí)摂M路由表，即VRF表，把內(nèi)網(wǎng)路由放進(jìn)虛擬路由表中，便可以與外網(wǎng)路由分離開來。以下是具體步驟：

第一步：建立VRF表，將內(nèi)網(wǎng)接口地址放進(jìn)虛擬路由表，配置命令如下。

R1#conf t ——進(jìn)入全局模式

R1（config）#ip vrf A ——建立VRF表A（名稱）

R1（config）#intface e1/0 ——進(jìn)入接口endprint

R1（config-if）#ip vrf forwarding A ——將接口放進(jìn)VRF表A

R1（config-if）#ip address 10.1.1.1 255.255.255.0 ----給接口配地址，地址也被放在vrf表中

通過sh ip vrf interfaces 可以查看VRF表中的接口和地址信息。如圖3所示。

第二步：開啟另外一個(gè)OSPF進(jìn)程，在VRF表中運(yùn)行OSPF，配置命令如下

R1#conf t

R1（config）#router ospf 2 vrf A ----開啟OSPF進(jìn)程2并放入VRF表中

R1（config-router）#router-id 1.1.1.1 ----指定router-id

R1（config-router）#network 10.1.1.0 0.0.0.255 area 0 ----將每一個(gè)接口地址宣告進(jìn)相應(yīng)的OSPF區(qū)域

此時(shí)使用show ip route命令無法看到此路由，只有show ip route vrf A才能看到。

如圖4所示。

3.2 驗(yàn)證與分析

由于所有區(qū)域都和骨干區(qū)域相連，所以將所有外網(wǎng)接口地址宣告進(jìn)OSPF進(jìn)程1即可全網(wǎng)全通。如圖5所示，OSPF的鄰居都已經(jīng)全部建立完成了，每臺(tái)交換機(jī)都互相交換了LSA。

鄰居建立起來后，路由表中會(huì)出現(xiàn)全網(wǎng)OSPF的路由信息如圖6所示。通過show ip route ospf可以查看ospf的路由，可以我們卻發(fā)現(xiàn)路由表中沒有出現(xiàn)192和10網(wǎng)段，原因是私網(wǎng)路由并不在這張路由表中。

而通過show ip route vrf A ospf 這條命令，我們看到在VRF表A中的路由就是我們的私網(wǎng)路由。如圖7所示。

由此我們可以驗(yàn)證，MPLS中的VRF表確實(shí)將內(nèi)網(wǎng)和外網(wǎng)隔離開來，分別放在一般路由表和VRF表中。既然內(nèi)外網(wǎng)的路由都不在同一張表里，一般來說就無法ping通，在此以R1和R16為例進(jìn)行實(shí)驗(yàn)驗(yàn)證。外網(wǎng)地址ping外網(wǎng)地址是通的，外網(wǎng)地址ping內(nèi)網(wǎng)地址卻無法ping通。如圖8所示。

而使用ping vrf A 10.1.5.16即可以ping通內(nèi)網(wǎng)。通過VRF表ping R16的內(nèi)網(wǎng)地址即可ping通，說明內(nèi)網(wǎng)可以通信。如圖9所示。

4 結(jié)束語

通過在MNSS中模擬醫(yī)院網(wǎng)絡(luò)的仿真實(shí)驗(yàn)，我們驗(yàn)證了MPLS技術(shù)對(duì)內(nèi)網(wǎng)和外網(wǎng)成功的隔離，核心路由器上虛擬路由協(xié)議也幫助核心交換機(jī)做到了冗余并且負(fù)載均衡，從而證明了方案的可行性，對(duì)醫(yī)院內(nèi)外網(wǎng)絡(luò)隔離具有良好的指導(dǎo)作用。

參考文獻(xiàn)：

[1]陳志，陳岡.基于政府專網(wǎng)的部門間縱向網(wǎng)互聯(lián)方案設(shè)計(jì)[J].計(jì)算機(jī)工程，2003，29（19）：168-170.

[2]張新龍，牛彩云.關(guān)于醫(yī)院內(nèi)外網(wǎng)融合網(wǎng)絡(luò)架構(gòu)探討[J].中國數(shù)字醫(yī)學(xué)，2015，10（11）：108-110.

[3]馬中立，張凌.醫(yī)院信息化對(duì)醫(yī)院現(xiàn)代化建設(shè)的作用[J].中華醫(yī)院管理雜志，2006，22（5）：350-351.

[4]關(guān)瑞東，孫文勝.支持動(dòng)態(tài)負(fù)載均衡的虛擬路由器冗余技術(shù)研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與科學(xué)，2010，31（1）：13-17.endprint