徐皓 顾正宇 赵舒钰 李雨伶
摘 要:随着医院信息化标准不断升级,医疗网络架构的实时优化与升级将极大影响医院管理水平与医疗服务质量。其中医院内网包含大量网络设备如交换机、路由器等,数量规模庞大且网络结构复杂。为提高医院内网突发故障的应急解决能力,文章通过使用SNMPv2c协议与TFTP协议实现医院内网设备双向配置备份,提高医院内网可靠性。
关键词:医院内网;双向备份;SNMPv2c;TFTP
Abstract: With the constantly upgrading of hospital information standards, the real-time optimization and upgrade of the medical network structure will greatly influence the level of hospital management and the quality of medical services. The hospitalintranet contains enormous network devices that have colossal scales and complicated structures, such as switches and routers. In order to enhance the reliability and emergency solution ability of the hospitalintranet, this article uses the SNMPv2c protocol and the TFTP protocol to realize the bidirectional configuration backup of the hospitalintranet equipment.
1 概述
随着信息技术的不断发展,医院信息化的建设早已脱离了单机单节点的用户结构,进而转变为科室、部门和各院的三级联动结构。由于医院内网通常存储海量病患数据,具有很高的经济价值。因此时常遭受网络攻击,攻击者通过获取医疗病患数据勒索院方,或攻击医院网络设备造成医院服务瘫痪,因此针对医院内网中大量的网络设备,需要安全、高效的进行备份管理,这是降低网络故障与风险的有效保障,医院中网络设备进行备份主要发生在以下三个场景:
(1)重要保障时期:医院在国庆、春节、劳动节等大型节日期间,信息科值班人数相对较少,在此时期内更需要做好所有设备的配置备份,以确保医院在任何时刻正常运行,实现零故障。
(2)突发性网络攻击:医院网络设备遭受突然性的持续攻击,导致医院内网服务瘫痪,针对此类故障,需要在第一时间重新启动热备,将备份配置导入备份路由器与交换机中,实现快速抢修。
(3)设备的割接:为了防止新设备发生问题时能够进行割接回退,对需要更替的网络设备进行替换式割接时,需要进行与设备系统升级时相同的操作,导出被割接设备的配置文件。
本文将详细讨论在医院内网中使用SNMPv2c(Simple Network Management Protocol)与TFTP(Trivial File Transfer Protocol)两种技术实现医院网络设备双向配置自动备份的方案。
2 SNMPv2c协议与TFTP协议
2.1 SNMPv2c协议简介
SNMP协议(Simple Network Management Protocol)是目前在TCP/IP体系中最为广泛的管理网络IP节点的应用层控制协议,SNMP协议提供了通过计算机对网络设备进行实时监控与管理的系统方法,定义了一组特定消息用于获取被监控设备的详细信息。通过规定SNMP的MIB和Agent之间报文通信格式与网络环境中监控和管理设备的标准化管理框架[2]。
本文采用SNMPv2c协议,在兼容SNMPv1的同时又扩充了SNMPv1的功能,它提供了更多的操作类型如GetBulk和Inform操作等,支持更多的数据类型,通过增加数据类型错误代码,实现错误报告的精确定位。SNMPv2c的报文格式如图1所示:
相比SNMPv1的报文内容,SNMPv2c新增GetBulk和inform操作报文,其中GetBulk操作对应基本类型的GetNext操作,通过对Non repeaters和Max repetitions参数进行设置,高效而快速的从Agent获取大量管理对象数据,Inform操作属于Trap操作升级,Inform报文在发出后能够收到响应报文。除此之外,SNMPv2c修改了Trap报文格式,其中Trap PUD采用了SNMPv1 Get/GetNext/Set PDU格式,同時将sysUpTime和snmpTrapOID作为Variable bindings中的变量来构造报文。
2.2 TFTP协议简介
TFTP简单文件传输协议,目前在主流的网络设备操作系统中通常内嵌了支持TFTP协议传输文件功能,由于TFTP协议属于非交换式传输,可以在网络设备设置定时操作,在固定时刻,路由器交换机定时发送自身配置文件往TFTP备份服务器。默认情况下,TFTP传输文件以定长的512字节传输,目前主要使用两种传输模式:netascii(ASCII文本模式)、octet(二进制模式)。当网络故障时,可通过前日备份的配置文件快速导入瘫痪设备,完成设备重启,提升应急反应能力,保障医院三大系统的稳定运行。
3 医院配置备份架构设计
3.1 网络拓扑结构设计
实现网络设备配置自动备份的方案有很多种,但是通常分为两类:一类是医院信息科网管系统通过模拟人机交互远程登陆路由器、交换机等设备获取配置信息,属于被动获取配置信息,第二类是网络设备通过定时协议主动向备份服务器发送配置文件,备份服务器通过自动覆盖前期备份文件实现配置备份。本文将使用SNMPv2c技术作为网管系统主动获取医院网络设备配置文件,同时使用TFTP技术实现网络设备定时被动发送配置文件。其简单流程如图2所示。
3.2 SNMPv2c配置备份实现
利用SNMPv2c技术实现网络设备的主动备份,优势在于将具体设备抽象成单个节点,通过一个统一的协议和接口进行管理。SNMPv2c技术首先需要在交换机或路由器上启动SNMPv2c协议,配置团体字与SNMP监控主机,运行端口发送Trap信息。设置团体字“backup”为“RW”,实现监控主机对路由器或交换机的信息查询操作与改写配置操作,将F0/0的IP地址作为SNMP Trap的发送源地址,最后指定SNMP的監控主机的IP地址,将Trap发往指定主机。一般路由器与交换机默认开启SNMPv2c协议,在网络中,由于SNMPv2c协议无安全加密机制,所以需要搭配ACL控制协议来实现流控。具体命令如图3所示。
当交换机与路由器配置完毕后,需要在信息科的SNMPv2c监控平台上开启SNMP协议,目前主流的厂商如华为、思科等都有自己的监控平台,包含SNMP监控操作,如esight等,这里如果网络设备规模较大,可以使用图像化监控平台。
如果网络设备较少,或者有核心设备需要每天巡检,可以使用Linux系统通过使用Net-SNMP,通过OID实现配置实时备份,本次实验使用的是Ubuntu系列下的deepin系统,通过开启deepin系统的SNMP服务与TFTP服务后,安装SNMP工具Net-SNMP[3]。测试连通性完毕后,使用如下所示的命令,实现对路由器的配置备份。具体命令如下所示:其中“string”代表的是路由器的团体名“community string”;“device-IP”是配置了SNMPv2c协议的路由器设备的IP地址;“tftp”是TFTP服务器的IP地址;“file-name”是将保存正在运行的配置的文件名称。这就是利用SNMP实现路由器或交换机自动配置备份[4]的整个过程,通过使用Shell+Net-Snmp调用脚本循环结构实现一键自动批量备份(如图4)。
3.3 TFTP协议配置备份实现
本次实验使用路由器或交换机自动向交换机发送配置文件,定时自动备份,目前市场上各大厂商如华为、思科等的网络设备IOS中通常内嵌定时策略Kron Policy-list以定时执行某项操作,不过只能运行特权模式下的命令,无法运行配置模式下的命令,同时无法输入交互式命令。
但可以利用TFTP[5]服务器,将配置文件定时发送至TFTP服务器中。在进行配置定时策略时需要进行校时操作,使TFTP服务器与全网的交换机、路由器时钟同步,其中路由器端需配置NTP服务,当网络中设备间时间同步完成后,在各设备上进行配置备份操作的定时策略,配置备份与定时策略的设备如图5所示。
路由器配置完成后,在每天的18:22,各网络设备会定时向TFTP服务器发送配置文件,实现自动备份。无需通过脚本或程序循环调用获取配置,减少信息科工作人员的管理负担。
4 结束语
从网络安全性方面考虑,网络设备配置备份是部署医院网络必须考虑的重要环节。本文使用SNMPv2c与TFTP协议实现高效的网络设备的双向备份模拟,从而减轻了医院信息科工作人员的日常运维工作量,同时信息科工作人员可根据医院网络结构,选择最适备份方法,进一步提高医院网络的安全性与可靠性,具有较大的实际意义和应用价值。
参考文献:
[1]李娜娜,吴响,胡俊峰.基于MPLS技术的医院内外网融合网络架构研究与仿真设计[J].科技创新与应用,2017(33):21-22,24.
[2]靳亚楠.批量备份校园网路由器/交换机配置数据的探索[J].科技信息,2010(16):236-237.
[3]白凯.路由器/交换机配置批量备份的探索[C]//中国通信学会.中国通信学会信息通信网络技术委员会2009年年会论文集.2009:432-438.
[4]梅艳,罗圣.网络设备配置文件自动备份方法[J].中国教育网络,2015(2):88-89.
[5]汪志伟,叶江伟.探讨局域网交换机配置文件的定期自动备份设定研究[J].数字通信世界,2018(10):93,163.