醫院專用網絡設計與仿真研究

劉俊奇

摘 要： 此次論文針對醫院擴建專用網絡應用需求，采用華為ENSP網絡仿真平臺對醫院專用網進行整改。采用三層網絡結構，網絡分層能有效分割與管理整個醫院專用網。核心層的DHCP協議及多種網絡協議來保證網絡中的IP、帶寬的分配；在此基礎上對核心層進行VLAN間路由與其他相關協議保證網絡中各不同部門之間的信息交流；通過鏈路聚合與鏈路備份來實現專用網的可靠性；在核心層采用ALC訪問控制列表的配置來合理保障專用網內部信息的安全性要求。

關鍵詞： VPN；DHCP；VLAN間路由；ALC訪問控制列表

1.研究背景

在當今社會中，隨著網絡的發展和在社會生活中的普及，醫院企業內部網的設計已經逐步完善，設計人員在設計同時還考慮到到網絡安全，以保障內網中的信息安全性。但是一些醫院企業內部網是通過園區網的基礎上擴建出來的，在某種程度上存在可拓展性差，技術應用和信息安全得不到保障等問題。這些問題給專用網的管理帶來諸多不便。并且隨著互聯網技術的快速發展，學術交流趨于全球化，醫院的規模也在不斷的增大，這樣的網絡在當今形式下已經不能滿足醫院的發展趨勢，勢必會阻礙醫院的發展。所以一個設計合理、安全性高、拓展性高的醫院企業內部網已經是現在諸多大型醫院辦公服務的基本保障之一。[1]

2.國內外研究現狀

國內外對于醫院專用網的建設基本一致，涉及到的網絡技術從入門級的ARP協議、STP協議、RSTP協議、AAA的應用、IPsec VPN的配置、靜態路由的配置等以及深入的鏈路聚合、GARP與GVRP的應用、VLAN間路由和GRE的配置，到高級的如多層交換（MLS： Multilayer Switching）、組播偵聽（IGMP Snooping）、路由熱備份協議（VRRP）等。[2]

同過去相比，由于醫院網絡規模小，用戶群計算機水平不高，信息點數量少，醫療信息量少，網絡管理相對容易。但是飛速發展的以太網技術已經將淘汰以前所能兼容的老的網絡，對于現今設計一個新的、對當前網絡環境的適應性較強的網絡系統來說很重要[3]。

對于網絡連通性來說，醫院網絡也有諸多要求，比如各部門各科室之間的聯通需求，以及與外網之間，醫院與醫院之間的信息交換。醫院網絡對連通性的要求上很高，要求無時刻不間斷的進行信息交換互通。在設計過程中要顧及網絡上的連通問題，保證有儲備網絡來讓其無時無刻擁有最好的狀態服務于單位與員工。 醫院網絡安全性將是醫院信息化的一個長期話題，可以預見，未來的醫院網絡將更加復雜，擺在網絡管理員面前的將是更加嚴峻的考驗。

3.研究的目的和意義

由于醫院建設新急門診大樓，與醫技樓和住院樓相連，建筑面積擴大，導致原先使用的專用網設備不夠，布局不合理，無線接入點不夠，因此在網絡連通性、硬件設備的基礎上做一個全新的符合當前醫院環境的網絡系統。

為醫院進行設計并建設出一個合理高效的醫院專用網，使各部分之間節點能夠實現連通性，并且對網絡進行合理的規劃并分配帶寬資源，同時對網絡中的可靠性進行設計以實現網絡故障節點不影響信息交流的目標。

醫院專用網的優勢如下：

①醫院專用網在于提高醫院工作效率，優化資源，提升核心競爭力等。在日益發展的網絡技術時期，建設一個能夠跟上網絡發展趨勢的醫院專用網能給予醫院在醫療領域和醫療學術交流方面強有力的保障；

②并且在實際中通過專用網，員工之間能免去各部門的走訪來進行信息的傳遞與交流，且能夠在合理分配工作，直接的提高工作效率與工作質量；

③方便大眾對醫院醫療質量的了解與監督；

④對于醫院中醫生與病患之間的看病效率與治療效率有顯著提高。

4.局域網設計

該設計中的局域網是以實際考察為基礎對醫院中的所需要設計的主要建筑進行相關拓撲設計，以保證能夠最大最理想覆蓋主要建筑的各層終端需求。

局域網的層次結構包含以下三個層面：[4]

（1）接入層 ：為終端與用戶提供接入局域網的接口。

（2）匯聚層 ：匯聚接入層并提高連接服務。

（3）核心層 ： 將不同的匯聚層進行連接并做最主要的信息轉發與網絡管理服務。

IP編址與VLAN設計與Internet中互連的每個終端都有一個屬于自己的IP地址。IP地址的長度為32位（IPV4協議中包含2^32個公網IP地址），其中等分成4段，每段9位，用十進制表示，每段的數字范圍在0～255之間，每段與每段中間使用“.”分隔開。[5]IP地址從規定上分為5類：A、B、C、D、E，它們的適用范圍分別是：大型網絡；中星網絡；小型網絡；多目地址；備用。在日常中最常見的IP地址類型為B類和C類。本設計中的醫院專用網在設計規模上是中型網絡，所以內網采用的是B類IP地址進行建設，通過NAT協議的配置將內網B類地址轉換為可供終端連接Internet的公網C類IP。

在醫院專用網中不同部門之間的職責不同所以分別劃分為不同網段，通過核心層交換機上的DHCP服務器進行不同網段的地址分配，利用子網掩碼以區分不同網段的網段編號，也由于醫院中終端數量小的特點，每個網段僅需求小于254個終端地址的設計即夠該網絡的正常運行，所以在子網掩碼的設計上采用24位掩碼區別不同網段。[6]

在設計該醫院專用網時，規劃好一個IP編址計劃能夠正確高效的區分與管理不同部門的網絡。在每個不同網絡之間有多重編址方法。在設計中將以VLAN的劃分來對不同部門網絡進行IP編址：

（1）在不同部門創建不同VLAN進行網路劃分，并給予不同VLAN一個子網網段。如172.80.10.0/24分配給VLAN10，172.80.11.0/24分配給VLAN20；

（2）在核心交換機中對匯總端口進行VLAN配置與DHCP服務的運行，使得核心交換機在專用網中為所有接入網絡終端分配一個屬于自己網段的IP地址；

（3）從172.80.10.0/24到172.80.15.0/24網段屬于設計范圍內網段，其余為備用網段：172.80.16.0/24～172.80.255.0/24，以方便日后對其余擴建部門的劃分。[7]

（4）DHCP地址池服務對不同VLAN不同網段進行地址配送服務，一個網路用24位掩碼進行劃分，由于醫院終端相對比較固定，短時間內不會達到飽和，所以不同部門擁有255個終端地址，起始分配地址從.255開始到.2結束。在DHCP服務中采用不同DNS設計以區分是主要核心交換機與備用核心交換機的DHCP服務推送信息。主核心交換機DNS服務器配置為3.3.3.2備核心交換機DNS服務器4.4.4.3。

總結與展望

本文網絡設計與仿真參考了相關書籍資料和實例，運用計算機網絡配置命令與協議的知識完成了以下工作：[8]

（1）實行了專用網的構架配置多種協議的配置，同時對網絡的合理規劃。

（2）對醫院專用網功能需求進行分析。

（3）對專用網構架進行了規劃分析并設計網絡配置。

參考文獻

[1]王占京，張麗諾，雷波.VPN網絡技術與業務應用.國防工業出版社.2012.

[2]高海英，薛元星，辛陽.VPN技術.第一版.北京.機械工業出版社.2004.

[3]Steven Brown著.董小宇，魏鴻，馬潔譯.構建虛擬專用網.第一版.北京.人民郵電出版社.2000.4-5.

[4]科教工作室.局域網組建與維護.第一版.北京.清華大學出版社.2008：20-80頁.

[5]戴宗坤，唐三平.VPN與網絡安全.第一版.北京.電子工業出版社.2002.

[6]李思齊.服務器配置全攻略.第一版.北京.清華大學出版社.2006：20-40頁.

[7]王達等.虛擬專用網（VPN）精解.北京.清華大學出版社.2004：10—202頁.

[8]Mark A. Sportack. IP Addressing Fundamentals.2002.10.