李娜娜+吴响+胡俊峰

摘 要：在信息化建设的过程中，医院需要搭建两套网络，即内网和外网。为了承载两套网络，医院往往选择的方法是采用两套设备，造成的结果就是成本高，设备利用率低。针对这一问题，文章以徐州市某医院的网络为例，使用徐州医科大学自主开发的MNSS（Medical Network System Simulator）平台对提出的方案进行仿真，利用MPLS（Multi-Protocol Label Switching）技术在同一套网络设备的基础上实现医院内外网络相互隔离。MPLS隔离内外网具有成本低，效率高，安全性高的特点，对医院内外网络隔离具有良好的指导作用。

关键词：MPLS；多标签交换；内外网隔离

中图分类号：TP391.9 文献标志码：A 文章编号：2095-2945（2017）33-0021-03

1 概述

对医院、政府等单位的网络系统而言，内网是指单位内部的关键业务网，通常与互联网物理隔离，供内部人员访问单位自身的业务系统；外网是指单位内部的非关键业务网，通常经由路由器、防火墙等设备与互联网连接，供内部人员访问互联网使用[1]。内网是关键业务网络。而医院工作人员及患者平时所需的上网功能，例如视频，语音等是医院为其提供的互联网接入服务，不影响医院正常运转，这是非关键性业务网络，即医院外网。一般而言，对于一家医院，内网与外网是共存的。

一些小型醫院选择内外网合一，但内外网共用一套系统容易被病毒攻击，给日常运维带来安全隐患。目前，实现网络隔离主要采用两种方式：虚拟局域网（VLAN）隔离和物理隔离[2]。物理隔离的方法是采购两套设备，使用两套不同的系统，使内网和外网运行在不通的系统中，这样能保证较大程度的网络安全，但造价较高。VLAN隔离是通过将傻瓜交换机替换成普通网管交换机即可实施。这种方法造价较低，但却无法真正意义上做到内外网隔离。

MPLS是多协议标签交换[3]，它是通过标签转发来传递路由的。通过标签转发的路由与常规路由不在同一张路由表中，因此可以和常规路由区分开。通过本文的研究，使用MPLS技术将内网和外网运行在同一套设备中，并且不会互相干扰。极大提高了设备利用率，让维护人员工作起来更加方便，提高了故障解决效率。

2 相关技术

本文实验所需要的相关技术中，OSPF使得整个网络变成一个整体，MPLS将内网和外网成功隔离，VRRP不仅实现了网关冗余，还实现了核心层的负载均衡。实施方案中展示了重点设备的重要命令，直观展示了实验实施过程，最后验证了实验结果。

2.1 内部网关协议（Interior Gateway Protocol， IGP）

内部网关协议是专用于一个自治网络系统中网关间交换数据流转通道信息的协议。目前最常用的两种内部网关协议分别是：路由信息协议和最短路径优先路由协议。本文中的网络运用的是OSPF。路由协议OSPF全称为Open Shortest Path First ，也就开放的最短路径优先协议，因为OSPF是由IETF 开发的，它的使用不受任何厂商限制，所有人都可以使用，所以称为开放的，而最短路径优先（SPF）是OSPF的核心思想，其使用的算法是Dijkstra算法，会优先选择最短路径转发路由。

2.2 多协议标签交换（Multi-Protocol Label Switch，MPLS）

多协议标签交换是通过标签转发来传递路由的。通过标签转发的路由与常规路由不在同一张路由表中，因此可以和常规路由区分开。鉴于此本文通过引入MPLS实现全网全通[2]。MPLS中还有一个重要的概念，也是本文解决问题的关键，就是VRF表。在路由器上为需要专网通信的用户之间创建单独的路由表，这样的路由表被称为虚拟路由表（VRF），如果一台边缘路由器连接着多个不同用户，那么它将创建多个虚拟路由表，这个路由表和普通的路由表没有任何区别，只不过它只用来为VPN 用户传递数据的，而与虚拟路由表相对的正常路由表被称为全局路由表。而在本文中，我们使用VRF表来存放私网路由，本质上是一样。

2.3 虚拟路由器冗余协议（Virtual Router Redundancy Protocol， VRRP）

虚拟路由器冗余协议是IEEE制定的为了保证网络边缘设备与整个网络连接可靠性的一种协议。为了了解VRRP技术如何提高核心层网络的可靠性[3]，我们需要了解VRRP协议的原理，然后通过一个仿真实验使用VRRP技术实现网关冗余和负载均衡。VRRP组中所有路由器使用同一个虚拟IP地址和虚拟MAC地址。在这个组中只有一个路由器处于活动状态，这个活动状态的路由器是通过一种特定的机制进行选举。同样的，当链路发生故障导致主路由器不能正常工作，VRRP又通过一种特定的机制对其进行切换[4]。

3 内外网融合网络架构仿真设计

本文将内网和外网进行整合。如图1所示，内外网可以运行在同一套设备中。本文的做法是将不同的接口划给内网和外网，红线代表内网，蓝线代表外网。因为这种方案需要足够多的接口，所以网络的可拓展性十分重要，在此也能印证这一说法。

结束完整体网络的规划工作，便可以在MNSS中搭建实验拓扑图，最终实验拓扑如下图2所示。

3.1 实施方案

为了使内网和外网隔开，建立一张虚拟路由表，即VRF表，把内网路由放进虚拟路由表中，便可以与外网路由分离开来。以下是具体步骤：

第一步：建立VRF表，将内网接口地址放进虚拟路由表，配置命令如下。

R1#conf t ——进入全局模式

R1（config）#ip vrf A ——建立VRF表A（名称）

R1（config）#intface e1/0 ——进入接口endprint

R1（config-if）#ip vrf forwarding A ——将接口放进VRF表A

R1（config-if）#ip address 10.1.1.1 255.255.255.0 ----给接口配地址，地址也被放在vrf表中

通过sh ip vrf interfaces 可以查看VRF表中的接口和地址信息。如图3所示。

第二步：开启另外一个OSPF进程，在VRF表中运行OSPF，配置命令如下

R1#conf t

R1（config）#router ospf 2 vrf A ----开启OSPF进程2并放入VRF表中

R1（config-router）#router-id 1.1.1.1 ----指定router-id

R1（config-router）#network 10.1.1.0 0.0.0.255 area 0 ----将每一个接口地址宣告进相应的OSPF区域

此时使用show ip route命令无法看到此路由，只有show ip route vrf A才能看到。

如图4所示。

3.2 验证与分析

由于所有区域都和骨干区域相连，所以将所有外网接口地址宣告进OSPF进程1即可全网全通。如图5所示，OSPF的邻居都已经全部建立完成了，每台交换机都互相交换了LSA。

邻居建立起来后，路由表中会出现全网OSPF的路由信息如图6所示。通过show ip route ospf可以查看ospf的路由，可以我们却发现路由表中没有出现192和10网段，原因是私网路由并不在这张路由表中。

而通过show ip route vrf A ospf 这条命令，我们看到在VRF表A中的路由就是我们的私网路由。如图7所示。

由此我们可以验证，MPLS中的VRF表确实将内网和外网隔离开来，分别放在一般路由表和VRF表中。既然内外网的路由都不在同一张表里，一般来说就无法ping通，在此以R1和R16为例进行实验验证。外网地址ping外网地址是通的，外网地址ping内网地址却无法ping通。如图8所示。

而使用ping vrf A 10.1.5.16即可以ping通内网。通过VRF表ping R16的内网地址即可ping通，说明内网可以通信。如图9所示。

4 结束语

通过在MNSS中模拟医院网络的仿真实验，我们验证了MPLS技术对内网和外网成功的隔离，核心路由器上虚拟路由协议也帮助核心交换机做到了冗余并且负载均衡，从而证明了方案的可行性，对医院内外网络隔离具有良好的指導作用。

参考文献：

[1]陈志，陈冈.基于政府专网的部门间纵向网互联方案设计[J].计算机工程，2003，29（19）：168-170.

[2]张新龙，牛彩云.关于医院内外网融合网络架构探讨[J].中国数字医学，2015，10（11）：108-110.

[3]马中立，张凌.医院信息化对医院现代化建设的作用[J].中华医院管理杂志，2006，22（5）：350-351.

[4]关瑞东，孙文胜.支持动态负载均衡的虚拟路由器冗余技术研究与实现[J].计算机工程与科学，2010，31（1）：13-17.endprint