基于OSPF 协议的医院网络建设和部署研究

庄一峰

摘要：近年来，互联网发展迅猛，已继广播、电视、报纸杂志之后，成为第四大最具影响力的传播媒介，其影响力已逐渐渗透到人类世界的每一个角落。互联网的兴起与发展不仅改变了人际传播的模式，更蕴含了无限的商机。文章研究目的是深入了解某医院的网络部署情况，旨在协助该医院实现无线网络部署并解决网络安全过程中遇到的问题，从而持续优化无线网络服务。基于某医院的实际情况，文章对其网络系统的问题进行了深入剖析，以负载均衡为核心理念，精心设计了全新的网络架构，并对设备进行了合理选型。此外，文章还对OSPF、VLAN以及IP地址等关键要素进行了全面规划。同时，特别对网络安全进行了综合规划和严格验证。通过本次网络规划，成功搭建了符合信息化时代要求的基础网络设施，显著提升了某医院的信息化程度。

关键词：网络规划；拓扑结构；网络安全

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2024）14-0092-03 开放科学（资源服务）标识码（OSID） ：

0 引言

近年来，互联网发展迅速，继广播、电视与报刊之后，已成为第四大最具影响力的传播媒介，其影响力已逐渐渗透到人类世界的每一个角落。互联网的兴起与发展不仅改变了人际传播的模式，更蕴含了无限的商机[1]。互联网的即时性、互动性、多媒体、低成本以及无远弗届的特性，结合其多媒体功能与超连接特性，使得互联网在商业应用上展现出巨大的潜力，为信息与通信等产业注入了新的经营动力[2]。而互联网所具备的多媒体资料形式、无时空限制的全球连线、超链接文件、丰富的信息资源、迅速便捷的使用体验、互动性、用户导向和成本优势等特点，促使许多医院纷纷希望涉足互联网领域，并利用网络进行内部管理活动。

本文的研究目的是了解某医院网络设计的需求，以及该医院面临的网络安全问题，从而进行网络部署，并通过防火墙等技术手段帮助医院解决当前网络安全中遇到的问题，进而不断优化网络安全服务。

1 网络需求

1.1 网络业务分析

随着医院规模的扩大，原来的各种信息设备和网络框架已经很难适应医院的发展，所以该医院打算逐步扩大网络规模，并适应医院在疫情等特殊环境下的用网需求。医院网络的总体需求包括：

1） 随着移动应用的普及，对无线网络的需求逐渐增加。为了满足医院在移动设备上进行办公的需求，医院需要提供更广泛的可用热点，以便医院可以在整个办公区域内使用稳定的移动网络。然而，目前医院现有的热点数量较少且覆盖范围有限，因此需要进行改进以提供更好的无线网络服务。

2） 随着发展要求，医院在管理和业务过程中使用VPN、视频会议等对带宽的要求逐步增加，所以需要新的医院网络安排合适的带宽和VPN支持。

1.2 信息点分布

经过对业务部门和候诊室的调查发现，每层楼需要安装约96个信息点。此外，1#楼一楼大厅和候诊室还需要额外的4个信息点。综合考虑，大约需要安装总共约300个信息节点，其中包括一楼大厅、候诊室和各个楼层的办公区域。

为了优化网络规划，我们进行了初步分析，以确定医院当前网络需求的带宽。医院网络传输的数据主要包括视频、音频、HTTP、SNMP、POP3、IMAP、文件传输、SMTP、ICQ以及FTP等多种类型的信息。这些不同类型的数据协议对带宽的要求各不相同，以下是各种协议的基本带宽需求情况。

基于表1数据，我们可以估算网络流量。考虑到每个信息点可能在高峰时段同时进行多种业务，为确保网络拥有足够的带宽，特别对于医院视频服务，是重点需要保证的服务带宽。

1.3 接入Internet 环境

医院的网络接入Internet方式为接入电信光纤网络，为了实现各个楼栋之间的互联，医院还申请了一条专线，该专线的带宽为1 000M。

1.4 网络安全需求

由于现在移动设备的接入，医院网络中各种设备和应用的规模都在快速扩大。为了保证医院网络的安全，需要通过使用防火墙技术、防毒墙技术、网络隔离技术、网络监控技术等实现对网络安全的提升，保证医院在使用内部网络的时候不会异常中毒或者瘫痪。

2 网络方案设计

2.1 网络拓扑结构设计

根据医院新网络需求分析的结果，整体网络设计以实现负载均衡为核心。在本设计中，我们将着重对网络系统中的核心路由器进行负载均衡方面的设计工作。为保障负载均衡的可靠性，我们将采用高度冗余的方案。此外，会运用高性能的网络设备，以确保网络速度的稳定性。在保证网络可靠性的前提下，我们也会充分考虑网络扩展的设计，为未来的网络扩展预留足够的空间，以确保扩展的便捷性。本系统的网络结构如图1所示。

2.2 Internet 接入方式设计

该医院的网络接入Internet方式为接入电信光纤网络，为了实现各个楼栋之间的互联，该医院还申请了一条专线。华为公司解决方案对客户需求进行适配，以分组化为基础，采用PTN系列产品PTN3900-8/1900/910按照核心层/汇聚层/接入层组建环网，传输网主干形成环网，主干传输网带宽提升到10GE，实现供电所1 000M接入。

2.3 安全方案设计

2.3.1 IPS 部署与功能实现

网络入侵是指未经授权访问网络或系统的行为，通常旨在获取敏感信息、破坏数据或危害系统的完整性。这种入侵可能来自各种来源，包括黑客、病毒、恶意软件、间谍软件和勒索软件。网络入侵可以对企业、政府机构和个人造成严重损害，因此采取适当的防御措施至关重要。网络入侵防御系统（IDS） 和入侵防御系统（IPS） 是用于检测和防止网络入侵的关键工具[3]。IDS是专门设计用于监视网络流量的系统。它们会分析传入和传出的数据，以寻找异常或恶意行为的迹象。一旦发现潜在威胁，IDS会发出警报，通知管理员采取适当的措施[4]。IPS进一步扩展了IDS的功能。除了检测入侵，IPS还能主动采取措施来阻止潜在威胁。这些措施可以包括封锁恶意IP地址、终止恶意连接或拦截恶意数据包[5]。本系统实施网神入侵防御SecGate IPS G620B两台，部署入侵防御设备之间与汇聚交换机H3C S7503E之间，实现以下功能：

①通过在入侵防御系统配置防护的内容，从而防止外网用户对网络及核心服务器区域的攻击。

②在入侵防御设置IP管理地址，并把IP管理端口分别连接到H3C S7503-01和H3C S7503-02，可以实现对设备进行远程管理。

③在服务器上安装管理平台，可以对服务器的数据流量进行安全检测，可以实现针对病毒、垃圾邮件、DDoS/DoS攻击。

④实时的入侵系统防护，基于协议异常、会话状态识别和七层应用行为的攻击识别功能，并有强大的自定义入侵攻击和应用软件的特征。

⑤可针对通信协议异常、IP/Port的扫描异常、网络流量异常等流量异常进行管理，并带有精准的带宽异常管理，支持传输带宽实时限制方式以及传输带宽总量限制方式。

⑥强大而细致的自定义特征码功能，用户可以根据网络环境通过自定义报表功能，构建出所需特征码。

2.3.2 防火墙部署

本次实施使用的是华为防火墙USG5500两台，部署在路由器与外部网络之间。防火墙的访问策略如下：

①医院网的入口处应该设置主防火墙。主防火墙需要能够检测、过滤并阻止传入的恶意流量和攻击请求，如DDoS攻击、端口扫描等。此外，主防火墙还需要支持VPN服务、NAT、URL过滤、反病毒等功能，以保证网络的连通性和安全性。

②在医院网络内部，各个重要区域也需要设置分布式防火墙。例如，办公区、行政区、实验室、机房等区域都需要设置分布式防火墙，以确保各个区域的网络互相隔离，不会相互干扰或出现数据泄漏等问题。

③应该对重要的服务器和应用程序进行额外的安全控制，可以在服务器处设置物理隔离、加密技术和访问控制，以提高防护能力。

医院网络的防火墙部署需要综合考虑网络拓扑结构、业务需求和安全性等因素，以实现规范、高效和可信赖的安全服务。

3 设备选型及配置

3.1 设备选型

HJ-201具有高性能、可扩展性和灵活性等特点，可满足数据中心、医院网络、运营商等场景的需求。该设备支持10G/40G/100G以太网接口以及多种协议和功能。HJ-201支持iStack（智能堆叠）技术，可以将多台交换机堆叠成一个逻辑设备，从而提升设备管理效率和可靠性。总之，HJ-201是一款功能丰富、性能卓越、应用广泛的交换机设备。

HJ-2220具有高性价比、可靠性强和易于管理等特点，适用于各种场景，如办公网络和数据中心等。HJ-2220支持10/100/1000M以太网接口，可满足不同的网络需求。HJ-2220支持iStack（智能堆叠）技术，可以将多台交换机堆叠成一个逻辑设备，从而提升设备管理效率和可靠性。

HJ-1220具有高性能、可靠性和灵活性等特点，广泛应用于企业级网络、运营商以及政府等领域。HJ-1220具备高可靠性和安全性方面的优点，支持双机热备、BFD快速探测、硬件加速IPSec等功能，确保网络的连续性和安全。HJ-1220是一款功能强大、性能卓越的多业务路由器设备，适用于各种规模的组织。

3.2 网络配置

3.2.1 VLAN 配置

要实现不同VLAN之间的通信，可以启用三层交换机的路由功能（IP routing） 。接着，建立一个trunk链路将二层交换机和三层交换机连接，然后将每个VLAN封装到这个链路中。

3.2.2 DHCP 配置

本文使用DHCP服务可以实现IP地址的动态获取功能，可以在三层交换机上设置一个本地DHCP服务器，不需要中继设备，从而实现IP地址的动态分配。在HJ-1上配置一个本地DHCP服务器，这将使PC机可以方便地获取动态分配的IP地址。

3.2.3 VRRP 配置

VRRP的作用是为局域网上的设备提供备份机制。VRRP协议是一种容错协议，它保证当主机出现问题故障时，在线进程可以及时由另一台设备来替代，从而保证通信的连续性和可靠性。

3.2.4 链路聚合配置

互连交换机间的链路配置为中继（trunk） 链路，实现VLAN间通信（以办公楼交换机为例）：进入端口，将端口划分为trunk模式，并允许VLAN通过。

3.2.5 OSPF 配置

OSPF（Open Shortest Path First） 是一种内部网关协议（IGP） ，用于在IP网络中选择最佳路径，以便数据包能够以最快、最有效的方式传输。它是一个开放标准的路由协议，通常用于大型网络和互联网服务提供商（ISPs） 的路由器之间的通信。OSPF使用链路状态路由（Link-State Routing） 算法来决定最佳路径，它将网络拓扑信息转发给所有与之相连的路由器，然后通过计算最短路径树来确定到达目标网络的最佳路径。本文通过对每个路由器启用OSPF进程，并将回环地址作为自己OSPF的router-id，根据拓扑图划分各自区域，把自己的网段通告进 OSPF进程，以HJ-1为例：

[HJ-1]OSPF1 router 1.1.1.1

[HJ-1-OSPF-1]area 0

[HJ-1-OSPF-1-area-0.0.0.0]net 12.1.1.1 0.0.0.0

[HJ-1-OSPF-1-area-0.0.0.0]net 14.1.1.1 0.0.0.0

[HJ-1-OSPF-1-area-0.0.0.0]net 1.1.1.1 0.0.0.0

[HJ-1-OSPF-1-area-0.0.0.0]quit

[HJ-1-OSPF-1]area 1

[HJ-1-OSPF-1-area-0.0.0.1]net 14.1.1.1 0.0.0.0

其他路由器也按照此指令配置自己的区域及地址并通告网段，这样整个网络都启用了OSPF，已经实现了全网可通。另外，如果想让区域0的安全性更加可靠，OSPF还支持认证，可以对其配置密码认证，下面介绍配置加密认证的方法：

[HJ-1]OSPF1

[HJ-1-OSPF-1]area 0

[HJ-1-OSPF-1-area-0.0.0.0]authentication-mode md5 1 huawei

在HJ-2、HJ-3上面也使用相同的指令配置，这样在区域0就建立了一个密码为huawei的认证指令，使链路更加安全。

4 结束语

本文通过调研某医院网络的使用现状与存在的问题，同时结合实际工作情况以及项目，分析了医院网络系统上各种普遍问题，运用网络部署理念，结合防火墙等网络安全技术，为医院开发了一个功能完整的医院网络系统。通过在医院应用本网络可以解决客户信息遇到的各种问题，提高医院办公的效率和效果。本文从三个角度进行了较为有意义的研究：首先，全面地对当前的网络使用进行了剖析，总结了它们各自的优势，指出了目前存在的问题。针对客户要求，对网络设计的工作过程进行了详细的阐述。其次，通过对现有技术的比较和分析，最终确定了以华为设备为基础，并使用防火墙技术来完成医院网络的设计与部署。最后，通过DHCP、VLAN、VRRP、防火墙的配置来具体实施。

参考文献：

[1] 施雨.无线网络技术在医院信息化建设中的应用分析[J].数字技术与应用，2019（2）：50-51.

[2] 陈维温.登峰.BXP 无盘系统在多媒体教学机房的应用研究[J].科技创新导报，2008（4）：235.

[3] 夏哲新.智慧医院架构下的无线网络建设方案[J].智慧健康，2017（1）：1-4.

[4] 丁雪梅，武云涛.浅谈计算机局域网络[J].电子世界，2014（10）：122-123.

[5] 姚青梅.企业内部网络的构建[J].炼油与化工，2012（4）：38-40.

【通联编辑：代影】