基于MPLS技術的醫院內外網融合網絡架構研究與仿真設計

李娜娜+吳響+胡俊峰

摘 要：在信息化建設的過程中，醫院需要搭建兩套網絡，即內網和外網。為了承載兩套網絡，醫院往往選擇的方法是采用兩套設備，造成的結果就是成本高，設備利用率低。針對這一問題，文章以徐州市某醫院的網絡為例，使用徐州醫科大學自主開發的MNSS（Medical Network System Simulator）平臺對提出的方案進行仿真，利用MPLS（Multi-Protocol Label Switching）技術在同一套網絡設備的基礎上實現醫院內外網絡相互隔離。MPLS隔離內外網具有成本低，效率高，安全性高的特點，對醫院內外網絡隔離具有良好的指導作用。

關鍵詞：MPLS；多標簽交換；內外網隔離

中圖分類號：TP391.9 文獻標志碼：A 文章編號：2095-2945（2017）33-0021-03

1 概述

對醫院、政府等單位的網絡系統而言，內網是指單位內部的關鍵業務網，通常與互聯網物理隔離，供內部人員訪問單位自身的業務系統；外網是指單位內部的非關鍵業務網，通常經由路由器、防火墻等設備與互聯網連接，供內部人員訪問互聯網使用[1]。內網是關鍵業務網絡。而醫院工作人員及患者平時所需的上網功能，例如視頻，語音等是醫院為其提供的互聯網接入服務，不影響醫院正常運轉，這是非關鍵性業務網絡，即醫院外網。一般而言，對于一家醫院，內網與外網是共存的。

一些小型醫院選擇內外網合一，但內外網共用一套系統容易被病毒攻擊，給日常運維帶來安全隱患。目前，實現網絡隔離主要采用兩種方式：虛擬局域網（VLAN）隔離和物理隔離[2]。物理隔離的方法是采購兩套設備，使用兩套不同的系統，使內網和外網運行在不通的系統中，這樣能保證較大程度的網絡安全，但造價較高。VLAN隔離是通過將傻瓜交換機替換成普通網管交換機即可實施。這種方法造價較低，但卻無法真正意義上做到內外網隔離。

MPLS是多協議標簽交換[3]，它是通過標簽轉發來傳遞路由的。通過標簽轉發的路由與常規路由不在同一張路由表中，因此可以和常規路由區分開。通過本文的研究，使用MPLS技術將內網和外網運行在同一套設備中，并且不會互相干擾。極大提高了設備利用率，讓維護人員工作起來更加方便，提高了故障解決效率。

2 相關技術

本文實驗所需要的相關技術中，OSPF使得整個網絡變成一個整體，MPLS將內網和外網成功隔離，VRRP不僅實現了網關冗余，還實現了核心層的負載均衡。實施方案中展示了重點設備的重要命令，直觀展示了實驗實施過程，最后驗證了實驗結果。

2.1 內部網關協議（Interior Gateway Protocol， IGP）

內部網關協議是專用于一個自治網絡系統中網關間交換數據流轉通道信息的協議。目前最常用的兩種內部網關協議分別是：路由信息協議和最短路徑優先路由協議。本文中的網絡運用的是OSPF。路由協議OSPF全稱為Open Shortest Path First ，也就開放的最短路徑優先協議，因為OSPF是由IETF 開發的，它的使用不受任何廠商限制，所有人都可以使用，所以稱為開放的，而最短路徑優先（SPF）是OSPF的核心思想，其使用的算法是Dijkstra算法，會優先選擇最短路徑轉發路由。

2.2 多協議標簽交換（Multi-Protocol Label Switch，MPLS）

多協議標簽交換是通過標簽轉發來傳遞路由的。通過標簽轉發的路由與常規路由不在同一張路由表中，因此可以和常規路由區分開。鑒于此本文通過引入MPLS實現全網全通[2]。MPLS中還有一個重要的概念，也是本文解決問題的關鍵，就是VRF表。在路由器上為需要專網通信的用戶之間創建單獨的路由表，這樣的路由表被稱為虛擬路由表（VRF），如果一臺邊緣路由器連接著多個不同用戶，那么它將創建多個虛擬路由表，這個路由表和普通的路由表沒有任何區別，只不過它只用來為VPN 用戶傳遞數據的，而與虛擬路由表相對的正常路由表被稱為全局路由表。而在本文中，我們使用VRF表來存放私網路由，本質上是一樣。

2.3 虛擬路由器冗余協議（Virtual Router Redundancy Protocol， VRRP）

虛擬路由器冗余協議是IEEE制定的為了保證網絡邊緣設備與整個網絡連接可靠性的一種協議。為了了解VRRP技術如何提高核心層網絡的可靠性[3]，我們需要了解VRRP協議的原理，然后通過一個仿真實驗使用VRRP技術實現網關冗余和負載均衡。VRRP組中所有路由器使用同一個虛擬IP地址和虛擬MAC地址。在這個組中只有一個路由器處于活動狀態，這個活動狀態的路由器是通過一種特定的機制進行選舉。同樣的，當鏈路發生故障導致主路由器不能正常工作，VRRP又通過一種特定的機制對其進行切換[4]。

3 內外網融合網絡架構仿真設計

本文將內網和外網進行整合。如圖1所示，內外網可以運行在同一套設備中。本文的做法是將不同的接口劃給內網和外網，紅線代表內網，藍線代表外網。因為這種方案需要足夠多的接口，所以網絡的可拓展性十分重要，在此也能印證這一說法。

結束完整體網絡的規劃工作，便可以在MNSS中搭建實驗拓撲圖，最終實驗拓撲如下圖2所示。

3.1 實施方案

為了使內網和外網隔開，建立一張虛擬路由表，即VRF表，把內網路由放進虛擬路由表中，便可以與外網路由分離開來。以下是具體步驟：

第一步：建立VRF表，將內網接口地址放進虛擬路由表，配置命令如下。

R1#conf t ——進入全局模式

R1（config）#ip vrf A ——建立VRF表A（名稱）

R1（config）#intface e1/0 ——進入接口endprint

R1（config-if）#ip vrf forwarding A ——將接口放進VRF表A

R1（config-if）#ip address 10.1.1.1 255.255.255.0 ----給接口配地址，地址也被放在vrf表中

通過sh ip vrf interfaces 可以查看VRF表中的接口和地址信息。如圖3所示。

第二步：開啟另外一個OSPF進程，在VRF表中運行OSPF，配置命令如下

R1#conf t

R1（config）#router ospf 2 vrf A ----開啟OSPF進程2并放入VRF表中

R1（config-router）#router-id 1.1.1.1 ----指定router-id

R1（config-router）#network 10.1.1.0 0.0.0.255 area 0 ----將每一個接口地址宣告進相應的OSPF區域

此時使用show ip route命令無法看到此路由，只有show ip route vrf A才能看到。

如圖4所示。

3.2 驗證與分析

由于所有區域都和骨干區域相連，所以將所有外網接口地址宣告進OSPF進程1即可全網全通。如圖5所示，OSPF的鄰居都已經全部建立完成了，每臺交換機都互相交換了LSA。

鄰居建立起來后，路由表中會出現全網OSPF的路由信息如圖6所示。通過show ip route ospf可以查看ospf的路由，可以我們卻發現路由表中沒有出現192和10網段，原因是私網路由并不在這張路由表中。

而通過show ip route vrf A ospf 這條命令，我們看到在VRF表A中的路由就是我們的私網路由。如圖7所示。

由此我們可以驗證，MPLS中的VRF表確實將內網和外網隔離開來，分別放在一般路由表和VRF表中。既然內外網的路由都不在同一張表里，一般來說就無法ping通，在此以R1和R16為例進行實驗驗證。外網地址ping外網地址是通的，外網地址ping內網地址卻無法ping通。如圖8所示。

而使用ping vrf A 10.1.5.16即可以ping通內網。通過VRF表ping R16的內網地址即可ping通，說明內網可以通信。如圖9所示。

4 結束語

通過在MNSS中模擬醫院網絡的仿真實驗，我們驗證了MPLS技術對內網和外網成功的隔離，核心路由器上虛擬路由協議也幫助核心交換機做到了冗余并且負載均衡，從而證明了方案的可行性，對醫院內外網絡隔離具有良好的指導作用。

參考文獻：

[1]陳志，陳岡.基于政府專網的部門間縱向網互聯方案設計[J].計算機工程，2003，29（19）：168-170.

[2]張新龍，牛彩云.關于醫院內外網融合網絡架構探討[J].中國數字醫學，2015，10（11）：108-110.

[3]馬中立，張凌.醫院信息化對醫院現代化建設的作用[J].中華醫院管理雜志，2006，22（5）：350-351.

[4]關瑞東，孫文勝.支持動態負載均衡的虛擬路由器冗余技術研究與實現[J].計算機工程與科學，2010，31（1）：13-17.endprint