基于DMVPN的醫院分支網絡互聯方案研究及仿真

張瑜 黃怡鶴 吳響 陳獻鵬

摘 要：由于診療業務的增多，醫院多業務分布式信息系統架構對醫院網絡的安全性、可靠性及高效性等方面提出了更高的要求。對此，文章采用DMVPN（Dynamic Multipoint VPN）技術，提出基于DMVPN技術的醫院分支網絡互連方案，突破醫院分支網絡中診療服務的地域限制。為驗證其可行性，使用MNSS（Medical Network System simulator）虛擬仿真軟件，以醫院多分支網絡互聯的DMVPN配置為實例，仿真其實驗過程。

關鍵詞：MNSS；DMVPN；醫院；多分支網絡；虛擬仿真

中圖分類號：TN711 文獻標志碼：A 文章編號：2095-2945（2018）24-0045-02

Abstract： Because of the increase of diagnosis and treatment services， hospital multi-service distributed information system architecture has posed higher requirements for the security， reliability and efficiency of hospital network. In this paper， DMVPN （Dynamic Multipoint VPN） technology is adopted， and the interconnection scheme of hospital branch network based on DMVPN technology is put forward， which breaks through the regional limitation of diagnosis and treatment service in hospital branch network. In order to verify its feasibility， using MNSS （Medical Network System Simulator） virtual simulation software， taking the hospital multi-branch network interconnection DMVPN configuration as an example， this paper simulates the experimental process of MNSS.

Keywords： MNSS； DMVPN； hospital； multi-branch network； virtual simulation

1 概述

隨著醫院規模的擴大與患者的增加，隨之帶來的就診壓力也不斷擴大，致使醫院網絡管理的難度越來越大[1]。同時，醫院分支機構服務網點與醫院總部頻繁的信息交換，增大了醫院內部信息泄露的可能性。為解決分支網絡中數據互聯、信息共享的安全性問題，醫院一般采用安全性較高的VPN技術，如：IPsec VP

N、SSL VPN等。然而VPN技術在其他某些方面也顯現出一定的弊端：醫院診療大數據的集中式分布，導致分支網絡間的通信必須經由核心節點，容易造成較大的網絡擁塞與時延[2]。與此同時，分支網絡數據流量大量占用核心路由的帶寬資源，給整個網絡帶來極大的負擔，不便于網絡的管理與運維。針對這一現象，我們提出了醫院分支網絡互連方案，在保證分支網絡間的通信安全的同時減輕網絡管理人員的負擔，彌補傳統VPN技術的不足。為了解DMVPN在實際環境中的應用過程，本文將詳細講述DMVPN的相關技術及其在醫院多分支網絡互連環境下的仿真實驗實例[3]。

2 相關技術

VPN（虛擬專用網絡）是一種在不同網絡資源之間建立專用網絡的技術[4]，指在公共網絡間建立一條點對點的邏輯鏈路來進行數據通信，通過對傳送的數據包進行加密及數據包目標地址的轉換來實現遠程訪問[5]。而DMVPN在非廣播多路訪問網絡中，利用IPsec協議對數據進行加密和認證，通過mGRE形式建立點對點隧道進行數據傳輸。同時利用NHRP實現隧道接口地址和公網IP地址之間的映射[6]。

3 仿真實驗

3.1 實驗拓撲結構設計

利用仿真軟件MNSS在其工作區搭建一個仿真的醫院多分支網絡互連的拓撲結構[7]。如圖1所示，Spoke1和

Spoke2分別為社區醫院和分院的出口路由器，與醫院總院的出口路由器HUB通過Internet進行互連。由于實驗研究的是不同局域網之間的互連問題，因此并不過多地考慮醫院內部網絡的VLAN劃分。其中，Internet云已使用橋接模塊接入真實網絡。

3.2 關鍵設備IP地址分配

拓撲關鍵設備及接口地址配置如表1：

3.3 命令配置

3.4 驗證與分析

在HUB上使用“show ip nhrp”命令可以查看NHRP的緩存，即各分支路由器的地址映射信息。此外，使用“ping”命令驗證設備連通性，結果如下：Spoke1、Spoke2以及醫院內網互聯互通，而私人主機由于不在DMVPN組網內，無法訪問醫院內網。

4 結束語

實驗結果表明，利用DMVPN技術可以減少對中心路由的配置工作量，提高網絡設備與邏輯鏈路的復用性。同時，該方案為醫院網絡與其分支網絡的正常運行提供可靠的保障，對構建高速、高效、安全的新型醫院組網具有重要意義。

參考文獻：

[1]盧長偉，趙浩宇，李景波.醫院網絡安全管理方案與措施[J].中國醫院管理，2017（2）：56-57.

[2]陳友生，姜峻.VPN技術在醫院網絡拓展中的應用[J].醫療衛生裝備，2007（4）：35-36.

[3]李宗陽.論醫院網絡規劃與設計[J].信息與電腦，2016（10）：135-136+144.

[4]李智宏.VPN技術在局域網中的應用[J].電子測試，2016（11）：68-69+46.

[5]孫耀文，楊屹，高建亭.淺談DMVPN技術及其應用[J].信息通信，2012（2）：144-146.

[6]梁玉柱.基于DMVPN技術的廣域網設計和實現[J].信息系統工程，2012（2）：118-120.

[7]金鵬，孫慶文，李永紅，等.基于DMVPN接入地震行業網絡設計[J].地震地磁觀測與研究，2015（1）：131-134.