基于OSPF 協議的醫院網絡建設和部署研究

莊一峰

摘要：近年來，互聯網發展迅猛，已繼廣播、電視、報紙雜志之后，成為第四大最具影響力的傳播媒介，其影響力已逐漸滲透到人類世界的每一個角落。互聯網的興起與發展不僅改變了人際傳播的模式，更蘊含了無限的商機。文章研究目的是深入了解某醫院的網絡部署情況，旨在協助該醫院實現無線網絡部署并解決網絡安全過程中遇到的問題，從而持續優化無線網絡服務。基于某醫院的實際情況，文章對其網絡系統的問題進行了深入剖析，以負載均衡為核心理念，精心設計了全新的網絡架構，并對設備進行了合理選型。此外，文章還對OSPF、VLAN以及IP地址等關鍵要素進行了全面規劃。同時，特別對網絡安全進行了綜合規劃和嚴格驗證。通過本次網絡規劃，成功搭建了符合信息化時代要求的基礎網絡設施，顯著提升了某醫院的信息化程度。

關鍵詞：網絡規劃；拓撲結構；網絡安全

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2024）14-0092-03 開放科學（資源服務）標識碼（OSID） ：

0 引言

近年來，互聯網發展迅速，繼廣播、電視與報刊之后，已成為第四大最具影響力的傳播媒介，其影響力已逐漸滲透到人類世界的每一個角落。互聯網的興起與發展不僅改變了人際傳播的模式，更蘊含了無限的商機[1]。互聯網的即時性、互動性、多媒體、低成本以及無遠弗屆的特性，結合其多媒體功能與超連接特性，使得互聯網在商業應用上展現出巨大的潛力，為信息與通信等產業注入了新的經營動力[2]。而互聯網所具備的多媒體資料形式、無時空限制的全球連線、超鏈接文件、豐富的信息資源、迅速便捷的使用體驗、互動性、用戶導向和成本優勢等特點，促使許多醫院紛紛希望涉足互聯網領域，并利用網絡進行內部管理活動。

本文的研究目的是了解某醫院網絡設計的需求，以及該醫院面臨的網絡安全問題，從而進行網絡部署，并通過防火墻等技術手段幫助醫院解決當前網絡安全中遇到的問題，進而不斷優化網絡安全服務。

1 網絡需求

1.1 網絡業務分析

隨著醫院規模的擴大，原來的各種信息設備和網絡框架已經很難適應醫院的發展，所以該醫院打算逐步擴大網絡規模，并適應醫院在疫情等特殊環境下的用網需求。醫院網絡的總體需求包括：

1） 隨著移動應用的普及，對無線網絡的需求逐漸增加。為了滿足醫院在移動設備上進行辦公的需求，醫院需要提供更廣泛的可用熱點，以便醫院可以在整個辦公區域內使用穩定的移動網絡。然而，目前醫院現有的熱點數量較少且覆蓋范圍有限，因此需要進行改進以提供更好的無線網絡服務。

2） 隨著發展要求，醫院在管理和業務過程中使用VPN、視頻會議等對帶寬的要求逐步增加，所以需要新的醫院網絡安排合適的帶寬和VPN支持。

1.2 信息點分布

經過對業務部門和候診室的調查發現，每層樓需要安裝約96個信息點。此外，1#樓一樓大廳和候診室還需要額外的4個信息點。綜合考慮，大約需要安裝總共約300個信息節點，其中包括一樓大廳、候診室和各個樓層的辦公區域。

為了優化網絡規劃，我們進行了初步分析，以確定醫院當前網絡需求的帶寬。醫院網絡傳輸的數據主要包括視頻、音頻、HTTP、SNMP、POP3、IMAP、文件傳輸、SMTP、ICQ以及FTP等多種類型的信息。這些不同類型的數據協議對帶寬的要求各不相同，以下是各種協議的基本帶寬需求情況。

基于表1數據，我們可以估算網絡流量。考慮到每個信息點可能在高峰時段同時進行多種業務，為確保網絡擁有足夠的帶寬，特別對于醫院視頻服務，是重點需要保證的服務帶寬。

1.3 接入Internet 環境

醫院的網絡接入Internet方式為接入電信光纖網絡，為了實現各個樓棟之間的互聯，醫院還申請了一條專線，該專線的帶寬為1 000M。

1.4 網絡安全需求

由于現在移動設備的接入，醫院網絡中各種設備和應用的規模都在快速擴大。為了保證醫院網絡的安全，需要通過使用防火墻技術、防毒墻技術、網絡隔離技術、網絡監控技術等實現對網絡安全的提升，保證醫院在使用內部網絡的時候不會異常中毒或者癱瘓。

2 網絡方案設計

2.1 網絡拓撲結構設計

根據醫院新網絡需求分析的結果，整體網絡設計以實現負載均衡為核心。在本設計中，我們將著重對網絡系統中的核心路由器進行負載均衡方面的設計工作。為保障負載均衡的可靠性，我們將采用高度冗余的方案。此外，會運用高性能的網絡設備，以確保網絡速度的穩定性。在保證網絡可靠性的前提下，我們也會充分考慮網絡擴展的設計，為未來的網絡擴展預留足夠的空間，以確保擴展的便捷性。本系統的網絡結構如圖1所示。

2.2 Internet 接入方式設計

該醫院的網絡接入Internet方式為接入電信光纖網絡，為了實現各個樓棟之間的互聯，該醫院還申請了一條專線。華為公司解決方案對客戶需求進行適配，以分組化為基礎，采用PTN系列產品PTN3900-8/1900/910按照核心層/匯聚層/接入層組建環網，傳輸網主干形成環網，主干傳輸網帶寬提升到10GE，實現供電所1 000M接入。

2.3 安全方案設計

2.3.1 IPS 部署與功能實現

網絡入侵是指未經授權訪問網絡或系統的行為，通常旨在獲取敏感信息、破壞數據或危害系統的完整性。這種入侵可能來自各種來源，包括黑客、病毒、惡意軟件、間諜軟件和勒索軟件。網絡入侵可以對企業、政府機構和個人造成嚴重損害，因此采取適當的防御措施至關重要。網絡入侵防御系統（IDS） 和入侵防御系統（IPS） 是用于檢測和防止網絡入侵的關鍵工具[3]。IDS是專門設計用于監視網絡流量的系統。它們會分析傳入和傳出的數據，以尋找異常或惡意行為的跡象。一旦發現潛在威脅，IDS會發出警報，通知管理員采取適當的措施[4]。IPS進一步擴展了IDS的功能。除了檢測入侵，IPS還能主動采取措施來阻止潛在威脅。這些措施可以包括封鎖惡意IP地址、終止惡意連接或攔截惡意數據包[5]。本系統實施網神入侵防御SecGate IPS G620B兩臺，部署入侵防御設備之間與匯聚交換機H3C S7503E之間，實現以下功能：

①通過在入侵防御系統配置防護的內容，從而防止外網用戶對網絡及核心服務器區域的攻擊。

②在入侵防御設置IP管理地址，并把IP管理端口分別連接到H3C S7503-01和H3C S7503-02，可以實現對設備進行遠程管理。

③在服務器上安裝管理平臺，可以對服務器的數據流量進行安全檢測，可以實現針對病毒、垃圾郵件、DDoS/DoS攻擊。

④實時的入侵系統防護，基于協議異常、會話狀態識別和七層應用行為的攻擊識別功能，并有強大的自定義入侵攻擊和應用軟件的特征。

⑤可針對通信協議異常、IP/Port的掃描異常、網絡流量異常等流量異常進行管理，并帶有精準的帶寬異常管理，支持傳輸帶寬實時限制方式以及傳輸帶寬總量限制方式。

⑥強大而細致的自定義特征碼功能，用戶可以根據網絡環境通過自定義報表功能，構建出所需特征碼。

2.3.2 防火墻部署

本次實施使用的是華為防火墻USG5500兩臺，部署在路由器與外部網絡之間。防火墻的訪問策略如下：

①醫院網的入口處應該設置主防火墻。主防火墻需要能夠檢測、過濾并阻止傳入的惡意流量和攻擊請求，如DDoS攻擊、端口掃描等。此外，主防火墻還需要支持VPN服務、NAT、URL過濾、反病毒等功能，以保證網絡的連通性和安全性。

②在醫院網絡內部，各個重要區域也需要設置分布式防火墻。例如，辦公區、行政區、實驗室、機房等區域都需要設置分布式防火墻，以確保各個區域的網絡互相隔離，不會相互干擾或出現數據泄漏等問題。

③應該對重要的服務器和應用程序進行額外的安全控制，可以在服務器處設置物理隔離、加密技術和訪問控制，以提高防護能力。

醫院網絡的防火墻部署需要綜合考慮網絡拓撲結構、業務需求和安全性等因素，以實現規范、高效和可信賴的安全服務。

3 設備選型及配置

3.1 設備選型

HJ-201具有高性能、可擴展性和靈活性等特點，可滿足數據中心、醫院網絡、運營商等場景的需求。該設備支持10G/40G/100G以太網接口以及多種協議和功能。HJ-201支持iStack（智能堆疊）技術，可以將多臺交換機堆疊成一個邏輯設備，從而提升設備管理效率和可靠性。總之，HJ-201是一款功能豐富、性能卓越、應用廣泛的交換機設備。

HJ-2220具有高性價比、可靠性強和易于管理等特點，適用于各種場景，如辦公網絡和數據中心等。HJ-2220支持10/100/1000M以太網接口，可滿足不同的網絡需求。HJ-2220支持iStack（智能堆疊）技術，可以將多臺交換機堆疊成一個邏輯設備，從而提升設備管理效率和可靠性。

HJ-1220具有高性能、可靠性和靈活性等特點，廣泛應用于企業級網絡、運營商以及政府等領域。HJ-1220具備高可靠性和安全性方面的優點，支持雙機熱備、BFD快速探測、硬件加速IPSec等功能，確保網絡的連續性和安全。HJ-1220是一款功能強大、性能卓越的多業務路由器設備，適用于各種規模的組織。

3.2 網絡配置

3.2.1 VLAN 配置

要實現不同VLAN之間的通信，可以啟用三層交換機的路由功能（IP routing） 。接著，建立一個trunk鏈路將二層交換機和三層交換機連接，然后將每個VLAN封裝到這個鏈路中。

3.2.2 DHCP 配置

本文使用DHCP服務可以實現IP地址的動態獲取功能，可以在三層交換機上設置一個本地DHCP服務器，不需要中繼設備，從而實現IP地址的動態分配。在HJ-1上配置一個本地DHCP服務器，這將使PC機可以方便地獲取動態分配的IP地址。

3.2.3 VRRP 配置

VRRP的作用是為局域網上的設備提供備份機制。VRRP協議是一種容錯協議，它保證當主機出現問題故障時，在線進程可以及時由另一臺設備來替代，從而保證通信的連續性和可靠性。

3.2.4 鏈路聚合配置

互連交換機間的鏈路配置為中繼（trunk） 鏈路，實現VLAN間通信（以辦公樓交換機為例）：進入端口，將端口劃分為trunk模式，并允許VLAN通過。

3.2.5 OSPF 配置

OSPF（Open Shortest Path First） 是一種內部網關協議（IGP） ，用于在IP網絡中選擇最佳路徑，以便數據包能夠以最快、最有效的方式傳輸。它是一個開放標準的路由協議，通常用于大型網絡和互聯網服務提供商（ISPs） 的路由器之間的通信。OSPF使用鏈路狀態路由（Link-State Routing） 算法來決定最佳路徑，它將網絡拓撲信息轉發給所有與之相連的路由器，然后通過計算最短路徑樹來確定到達目標網絡的最佳路徑。本文通過對每個路由器啟用OSPF進程，并將回環地址作為自己OSPF的router-id，根據拓撲圖劃分各自區域，把自己的網段通告進 OSPF進程，以HJ-1為例：

[HJ-1]OSPF1 router 1.1.1.1

[HJ-1-OSPF-1]area 0

[HJ-1-OSPF-1-area-0.0.0.0]net 12.1.1.1 0.0.0.0

[HJ-1-OSPF-1-area-0.0.0.0]net 14.1.1.1 0.0.0.0

[HJ-1-OSPF-1-area-0.0.0.0]net 1.1.1.1 0.0.0.0

[HJ-1-OSPF-1-area-0.0.0.0]quit

[HJ-1-OSPF-1]area 1

[HJ-1-OSPF-1-area-0.0.0.1]net 14.1.1.1 0.0.0.0

其他路由器也按照此指令配置自己的區域及地址并通告網段，這樣整個網絡都啟用了OSPF，已經實現了全網可通。另外，如果想讓區域0的安全性更加可靠，OSPF還支持認證，可以對其配置密碼認證，下面介紹配置加密認證的方法：

[HJ-1]OSPF1

[HJ-1-OSPF-1]area 0

[HJ-1-OSPF-1-area-0.0.0.0]authentication-mode md5 1 huawei

在HJ-2、HJ-3上面也使用相同的指令配置，這樣在區域0就建立了一個密碼為huawei的認證指令，使鏈路更加安全。

4 結束語

本文通過調研某醫院網絡的使用現狀與存在的問題，同時結合實際工作情況以及項目，分析了醫院網絡系統上各種普遍問題，運用網絡部署理念，結合防火墻等網絡安全技術，為醫院開發了一個功能完整的醫院網絡系統。通過在醫院應用本網絡可以解決客戶信息遇到的各種問題，提高醫院辦公的效率和效果。本文從三個角度進行了較為有意義的研究：首先，全面地對當前的網絡使用進行了剖析，總結了它們各自的優勢，指出了目前存在的問題。針對客戶要求，對網絡設計的工作過程進行了詳細的闡述。其次，通過對現有技術的比較和分析，最終確定了以華為設備為基礎，并使用防火墻技術來完成醫院網絡的設計與部署。最后，通過DHCP、VLAN、VRRP、防火墻的配置來具體實施。

參考文獻：

[1] 施雨.無線網絡技術在醫院信息化建設中的應用分析[J].數字技術與應用，2019（2）：50-51.

[2] 陳維溫.登峰.BXP 無盤系統在多媒體教學機房的應用研究[J].科技創新導報，2008（4）：235.

[3] 夏哲新.智慧醫院架構下的無線網絡建設方案[J].智慧健康，2017（1）：1-4.

[4] 丁雪梅，武云濤.淺談計算機局域網絡[J].電子世界，2014（10）：122-123.

[5] 姚青梅.企業內部網絡的構建[J].煉油與化工，2012（4）：38-40.

【通聯編輯：代影】