1. 研究目的与意义、国内外研究现状(文献综述)
本课题的意义
医院网络系统则是医院信息化系统的主干网,对内提供专网连接,包括省医保、市医保、银行和市卫生局等;为外提供外网连接,供病人和医护人员连接因特网。所以要支持这么多的终端和医疗设备联网,一个健壮的网络系统则尤为重要。
就医保健数量的提升,意味着很多中小型医院的扩展,八一医院作为军区医院,扩建势在必行,所以网络的预先规划同样重要
2. 研究的基本内容和问题
研究目标
建设一个高速、安全、可靠、可扩展的医院网络系统,对内实现大量的医疗数据稳定、快速传输的重任;对外实现医疗数据的安全、高效交互的任务。
(1)建设目标
医院传统的HIS系统、PACS、OA系统等逐渐由独立建设走向融合,医院网络作为其主干网,同时也需支撑承载数据和音频等多种业务的网络基础平台。若将医院建设需求和网络现状相比,传统的网络系统缺乏稳定性,网络的管理控制功能略弱。所以目前的目标,应该是建设一个可以使核心交换机能稳定可靠运行的网络,为HIS和PACS等应用系统提供一个可靠的网络支撑平台;支持流量管理、安全策略和多协议的一体化网络平台。[4]
规划八一医院扩展后的网络拓扑,在本部的路由器上接入光纤,连接到医院分部的核心交换机上,中间经过外网。通过采用DMVPN技术忽略外网干扰与攻击。
(2)技术目标
a.划分vlan,分割广播域,以免造成广播风暴
b.采用pppoe拨号上网,尽量减少ip地址的使用
c. 绑定接入设备的mac地址,防止不明设备连接到医院网络
d. 总部和分部网络连接时,采用dmvpn技术,忽略外网的攻击
e. 使用QOS技术,对流量进行控制,使音频语音等重要流量优先传输
f. 网络具有良好的可扩展性,在目前的基础上可以连接更多的终端
g. 实现网络可提供的节点数量在1000个左右
h. 核心和交换之间采用光纤连接,核心交换机之间采用万兆链路。[5]
(3)性能目标:
a.可扩展性:核心交换机采用45系列,最多有48个接口,具备向上扩展的能力
b.可管理性:整个医院网络将采用集中式管理,所有核心设备集中放置在机房,工作人员能够监控网络的运行,并找出网络节点的故障所在,迅速恢复用户应用。
c.安全性:由于整个医院的信息系统都需连接到网络系统上,不同部门的重要数据要求绝对安全,可访问与不可访问将严格限制。医院网络和外网之间的数据流也将严格限制。
d.区分性:在协议配置好之后,医护人员使用网络访问专网和外网,病人只能访问外网, 收到了严格的控制和区分。
e.可靠性:将要建设的网络将是高可靠性,达到24小时的不断。即使主交换机发生故障,备份交换机也会即使顶替,不会有一秒种的延误。
(4)模拟目标:
以医院网络拓扑为基础进行网络的配置,对其各种网络功能需求进行实现。
研究内容
1. 研究八一医院目前网络结构,增加安全措施,减少地址浪费
1.1 需求分析
(1) 病人及医护人员需求
根据医护人员对病人病情研究的需求,实现医院内部资源共享。通过HIS系统、CIS系统等建立交流讨论平台。
a. 医护人员:有效而迅速的访问专网,调出病人体检报告或医保信息;使用医疗设备,获取音频图像等资料;查阅信息系统,翻阅病人病例;通过外网,访问医院分部
b.病房:布置监控系统,及时查看病人情况
c. 办公处:需要计算机接入网络,根据办公处的需求,连接上不同的网段。
(2)医院信息系统需求
表1 网络系统支撑的需求
应用目标 | 具体内容 | 重要(是/否) |
办公应用系统 | OA、图书馆、VAS | 是 |
医疗系统 | HIS、CIS | 是 |
收费系统 | 门诊收费、住院收费 | 是 |
药房系统 | 门诊药房、中心药房、药库管理 | 是 |
(3)通信量需求分析 [6]
a.带宽
医院通信量较多,且需要少延时。所以核心之间采用6类双绞线,核心连到接入采用光纤通信,带宽可达到千兆每秒;各楼层到用户pc采用超五类双绞线,带宽在百兆左右
b.丢包率 在网络无拥塞的时候,路径丢包率为0%,轻度拥塞时丢包率为1%~4%,严重拥塞时丢包率为5%~15%
(4)安全需求
在接入层的网络中,最容易发生的攻击性行为即ARP攻击,ARP攻击属于 协议性攻击行为,通常因工作人员较少安装ARP防火墙之类的专防ARP攻击的软件,并且未曾定期更新系统漏洞等原因造成。ARP攻击不仅仅影响网速,而且还影响网络的可用性。
一般若要防止此类攻击,最好使用mac-ipv4地址绑定。同时划分VLAN并且应用ACL。对安全性以及低广播风暴的要求,各个部门最好可单独划分VLAN,各单位之间在未经授权的情况下,不能相互访问。对财务部,领导部门等访问做特殊控制。同时尽量减少不正常的网络流量(如病毒)的传播。
同时为防止病人或不法人员误入专网系统,应在核心交换机连接专网和外网的线路上添加一个防火墙,组织不正确的流量,确保访问者的安全。反之,因特网的访问者也很难直接访问医院内部网络。
1.2方案设计
采用cisco语言,模拟医院内网络拓扑,并实现设备接入认证功能;实现ipv4地址使用率降低功能;实现广播域的分割,保证网络的稳定性
1.3 仿真实践
采用cisco语言编写,对八一医院网络进行仿真和扩展
1.3.1划分vlan,分割广播域,以免造成广播风暴
1.3.2采用pppoe拨号上网,尽量减少ip地址的使用
1.3.3 绑定接入设备的mac地址,防止不明设备连接到医院网络
1.4 测试
1.4.1 不划分vlan,接入设备发送arp,若造成网络拥堵,ping包丢失,则是由于广播风暴引起的
1.4.2 绑定mac地址,加入新的设备,若连接不了,则显示安全配置有效配置有效
2 研究公网的部署并仿真
2.1 需求分析
公网数据量庞大,不同的网段使用不同的igp,而网段之间的互联,则需要通过传输性能最好的bgp路由协议。
2.2 方案设计
利用bgp模拟公网,满足大量数据传输的性能要求
2.3 仿真实践
底层用三层协议igp:ospf搭建,将4台路由器仿真为边界路由器,采用bgp互相连接,传输数据
3 研究总部和分部之间网络的互通
3.1 需求分析
八一医院作为军区医院,扩张必不可少。若总部和分部直接连接到外网,容易遭受到外网攻击,所以需要单独建立一条通道,独立于公网
3.2 方案设计
用两台路由器分别模拟两个分部,与总部防火墙直接相连。由于总部和分部都连
接在公网上,需要实现总部和分部在逻辑上直连,忽略公网的影响
3.3 仿真实践
用dmvpn在总部和分部之间建立一条通道,独立于外网而存在,同时可以进行加密设置,防止受到未知攻击
3.4 测试
对总部和分部互通的测试
在dmvpn配置正确的基础上,令公网发出攻击,总部和分部之间照常通信;删除dmvpn的配置,使得总部和分部直接连接到公网,若公网随意发出攻击,导致总部或者分部之间无法连通,则测试出dmvpn的重要性
3. 研究的方法与方案
研究方法
1、根据查阅资料,实地考察,对医院网络现状进行分析设计
2、确定医院网络的拓扑结构
3、确定网络系统接入层的设置,其中包括:
a. VLAN 的划分及子网的配置
b. 对各部门进行ip地址的分配
c. 与核心层的连接设置
4. 对核心层进行独立设置
技术路线
模拟八一医院现有拓扑→接入层设备选型→划分vlan,分割广播域
模拟八一医院现有拓扑→接入层设备选型→绑定mac地址
模拟八一医院现有拓扑→核心层设备选型→核心交换机做热备
模拟八一医院现有拓扑→核心层设备选型→拨号上网,减少ip地址浪费
做完以上4步
对功能进行测试→模拟外网,底层使用ospf,用bgp传输数据→总部和分部之间做dmvpn→最终实现医院网络互通
实验方案
(1) 依据现实医院的系统,画出相应的网络拓扑图
(2) 对不同的地点划分vlan,提供ip地址
(3) 对核心交换机之间实现热备份协议
(4) 实现全网通信后将各种优化措施配置好
(5) 通过抓包分析各种优化措施的可行性
可行性分析
1掌握了三层协议eigrp和ospf的具体配置
2学习了dmvpn的原理,并完成了以ospf为底层,实现dmvpn的具体应用
4. 研究创新点
创新之处
与以往的医院网络系统的仿真模拟不同的是,本课题不单单是写出策划,做出方案,而是进一步使用仿真模拟器让各位老师能清楚的看到整个规划的效果。
在设计中,采用最新的热备份技术(hsrp),使得医院网络系统的安全指数更升一级。[9]
5. 研究计划与进展
2014.9-2014.11
系统学习cisco路由交换技术
2014.11-2014.12
