基于mpls技术的医院内外网融合网络架构研究与仿真设计

基于 MPLS 技术的医院内外网融合网络架构研究与仿真设计 李娜娜 吴响 胡俊峰 徐州医科大学 摘 要： 在信息化建设的过程中, 医院需要搭建两套网络, 即内网和外网。为了承载两套网络, 医院往往选择的方法是采用两套设备, 造成的结果就是成本高, 设备利用率低。针对这一问题, 文章以徐州市某医院的网络为例, 使用徐州医科大学自主开发的 MNSS (Medical Network System Simulator) 平台对提出的方案进行仿真, 利用 MPLS (Multi-Protocol Label Switching) 技术在同一套网络设备的基础上实现医院内外网络相互隔离。MPLS 隔离内外网具有成本低, 效率高, 安全性高的特点, 对医院内外网络隔离具有良好的指导作用。关键词： MPLS; 多标签交换; 内外网隔离; 作者简介：李娜娜 (1984, 07-) , 女, 民族:达斡尔族, 籍贯:江苏徐州, 学历:硕士研究生, 职称:助理实验师, 研究方向:信号处理、医学信息学。1 概述对医院、政府等单位的网络系统而言, 内网是指单位内部的关键业务网, 通常与互联网物理隔离, 供内部人员访问单位自身的业务系统;外网是指单位内部的非关键业务网, 通常经由路由器、防火墙等设备与互联网连接, 供内部人员访问互联网使用1。内网是关键业务网络。而医院工作人员及患者平时所需的上网功能, 例如视频, 语音等是医院为其提供的互联网接入服务, 不影响医院正常运转, 这是非关键性业务网络, 即医院外网。一般而言, 对于一家医院, 内网与外网是共存的。一些小型医院选择内外网合一, 但内外网共用一套系统容易被病毒攻击, 给日常运维带来安全隐患。目前, 实现网络隔离主要采用两种方式:虚拟局域网 (VLAN) 隔离和物理隔离2。物理隔离的方法是采购两套设备, 使用两套不同的系统, 使内网和外网运行在不通的系统中, 这样能保证较大程度的网络安全, 但造价较高。VLAN 隔离是通过将傻瓜交换机替换成普通网管交换机即可实施。这种方法造价较低, 但却无法真正意义上做到内外网隔离。MPLS 是多协议标签交换3, 它是通过标签转发来传递路由的。通过标签转发的路由与常规路由不在同一张路由表中, 因此可以和常规路由区分开。通过本文的研究, 使用 MPLS 技术将内网和外网运行在同一套设备中, 并且不会互相干扰。极大提高了设备利用率, 让维护人员工作起来更加方便, 提高了故障解决效率。2 相关技术本文实验所需要的相关技术中, OSPF 使得整个网络变成一个整体, MPLS 将内网和外网成功隔离, VRRP 不仅实现了网关冗余, 还实现了核心层的负载均衡。实施方案中展示了重点设备的重要命令, 直观展示了实验实施过程, 最后验证了实验结果。2.1 内部网关协议 (Interior Gateway Protocol, IGP) 内部网关协议是专用于一个自治网络系统中网关间交换数据流转通道信息的协议。目前最常用的两种内部网关协议分别是:路由信息协议和最短路径优先路由协议。本文中的网络运用的是 OSPF。路由协议 OSPF 全称为 Open Shortest Path First, 也就开放的最短路径优先协议, 因为 OSPF 是由 IETF 开发的, 它的使用不受任何厂商限制, 所有人都可以使用, 所以称为开放的, 而最短路径优先 (SPF) 是 OSPF 的核心思想, 其使用的算法是 Dijkstra 算法, 会优先选择最短路径转发路由。2.2 多协议标签交换 (Multi-Protocol Label Switch, MPLS) 多协议标签交换是通过标签转发来传递路由的。通过标签转发的路由与常规路由不在同一张路由表中, 因此可以和常规路由区分开。鉴于此本文通过引入MPLS 实现全网全通2。MPLS 中还有一个重要的概念, 也是本文解决问题的关键, 就是 VRF 表。在路由器上为需要专网通信的用户之间创建单独的路由表, 这样的路由表被称为虚拟路由表 (VRF) , 如果一台边缘路由器连接着多个不同用户, 那么它将创建多个虚拟路由表, 这个路由表和普通的路由表没有任何区别, 只不过它只用来为 VPN 用户传递数据的, 而与虚拟路由表相对的正常路由表被称为全局路由表。而在本文中, 我们使用 VRF 表来存放私网路由, 本质上是一样。2.3 虚拟路由器冗余协议 (Virtual Router RedundancyProtocol, VRRP) 虚拟路由器冗余协议是 IEEE 制定的为了保证网络边缘设备与整个网络连接可靠性的一种协议。为了了解 VRRP 技术如何提高核心层网络的可靠性3, 我们需要了解 VRRP 协议的原理, 然后通过一个仿真实验使用 VRRP 技术实现网关冗余和负载均衡。VRRP 组中所有路由器使用同一个虚拟 IP 地址和虚拟 MAC 地址。在这个组中只有一个路由器处于活动状态, 这个活动状态的路由器是通过一种特定的机制进行选举。同样的, 当链路发生故障导致主路由器不能正常工作, VRRP 又通过一种特定的机制对其进行切换4。图 1 整体网络拓扑图 下载原图3 内外网融合网络架构仿真设计本文将内网和外网进行整合。如图 1 所示, 内外网可以运行在同一套设备中。本文的做法是将不同的接口划给内网和外网, 红线代表内网, 蓝线代表外网。因为这种方案需要足够多的接口, 所以网络的可拓展性十分重要, 在此也能印证这一说法。结束完整体网络的规划工作, 便可以在 MNSS 中搭建实验拓扑图, 最终实验拓扑如下图 2 所示。图 2 整体实验拓扑图 下载原图3.1 实施方案为了使内网和外网隔开, 建立一张虚拟路由表, 即 VRF 表, 把内网路由放进虚拟路由表中, 便可以与外网路由分离开来。以下是具体步骤:第一步:建立 VRF 表, 将内网接口地址放进虚拟路由表, 配置命令如下。通过 sh ip vrf interfaces 可以查看 VRF 表中的接口和地址信息。如图 3 所示。图 3 VRF 表中的接口地址信息 下载原图第二步:开启另外一个 OSPF 进程, 在 VRF 表中运行 OSPF, 配置命令如下此时使用 show ip route 命令无法看到此路由, 只有 show ip route vrf A 才能看到。如图 4 所示。3.2 验证与分析由于所有区域都和骨干区域相连, 所以将所有外网接口地址宣告进 OSPF 进程 1即可全网全通。如图 5 所示, OSPF 的邻居都已经全部建立完成了, 每台交换机都互相交换了 LSA。图 4 VRF 表中运行 OSPF 信息 下载原图图 5 外网 OSPF 邻居图 下载原图图 6 外网 OSPF 路由表 下载原图图 7 内网 OSPF 路由表 下载原图图 8 内外网地址互 ping 图 下载原图邻居建立起来后, 路由表中会出现全网 OSPF 的路由信息如图 6 所示。通过show ip route ospf 可以查看 ospf 的路由, 可以我们却发现路由表中没有出现 192 和 10 网段, 原因是私网路由并不在这张路由表中。而通过 show ip route vrf A ospf 这条命令, 我们看到在 VRF 表 A 中的路由就是我们的私网路由。如图 7 所示。由此我们可以验证, MPLS 中的 VRF 表确实将内网和外网隔离开来, 分别放在一般路由表和 VRF 表中。既然内外网的路由都不在同一张表里, 一般来说就无法ping 通, 在此以 R1 和 R16 为例进行实验验证。外网地址 ping 外网地址是通的, 外网地址 ping 内网地址却无法 ping 通。如图 8 所示。而使用 ping vrf A 10.1.5.16 即可以 ping 通内网。通过 VRF 表 ping R16 的内网地址即可 ping 通, 说明内网可以通信。如图 9 所示。图 9 内网地址互 ping 图 下载原图4 结束语通过在 MNSS 中模拟医院网络的仿真实验, 我们验证了 MPLS 技术对内网和外网成功的隔离, 核心路由器上虚拟路由协议也帮助核心交换机做到了冗余并且负载均衡, 从而证明了方案的可行性, 对医院内外网络隔离具有良好的指导作用。参考文献1陈志, 陈冈.基于政府专网的部门间纵向网互联方案设计J.计算机工程, 2003, 29 (19) :168-170. 2张新龙, 牛彩云.关于医院内外网融合网络架构探讨J.中国数字医学, 2015, 10 (11) :108-110. 3马中立, 张凌.医院信息化对医院现代化建设的作用J.中华医院管理杂志, 2006, 22 (5) :350-351. 4关瑞东, 孙文胜.支持动态负载均衡的虚拟路由器冗余技术研究与实现J.计算机工程与科学, 2010, 31 (1) :13-17.