标题 | 基于MNSSfire的医院网络平台突发故障事前深度分析 |
范文 | 顾正宇 徐皓 李超凡 张颖 王换换
摘要:随着医院建设规模日益扩大,由于分院与主院地理距离相对较远,因此医院整体网络的健壮性与稳定性需要更高的要求。针对医院网络突发故障,医院网络平台能确保在相对时间内恢复医院网络运营与医疗信息服务。该文提出:通过设计基于MNSSfire的医院网络平台,采用虚拟专用网技术组建医院网络架构,将主院与分院网络架构逻辑连接,实现监测整体医疗网络运行的同时检测网络突发故障生成解决方案,以解决人工排障时间过长导致医院重大经济损失的问题。为医院信息系统持续稳健运行提供了有力的保障。 关键词:MNSS;网络平台;检测网络;故障分析 中图分类号:TP391.9 ? ? ? ?文献标识码:B 文章编号:1009-3044(2020)34-0052-03 Abstract: With the increasing scale of hospital information construction, higher requirements are put forward for network robustness and stability. In view of the sudden failure of hospital network, the hospital network platform can ensure the recovery of hospital network operation and medical information service in relative time. This paper proposes: through the design of hospital network platform based on MNSSfire, using virtual private network technology to build hospital network architecture, monitoring the operation of the medical network, while analyzing the network emergency fault generation solution, in order to solve the problem of hospital major economic loss caused by too long manual troubleshooting time. It provides a strong guarantee for the continuous and stable operation of hospital information system. Key words: medical network system simulator;network platform; detection network; fault analysis 隨着时代的不断发展,信息量的逐渐增多,医疗事业的飞速成长与壮大,传统医疗行业开始与互联网相结合,形成“医疗+互联网”模式。随着医院信息化建设规模日益扩大,同时医院实行主-分结构,主院与分院地处不同地理位置,因此对医院整体网络架构的健壮性与稳定性提出更高的要求.一旦医院网络系统故障,对医疗业务和病人安危造成严重影响。因此,为确保医院在故障时,医院网络系统能在极短时间内恢复,应急预案与策略的制定就尤为重要。针对以上问题本文提出一套医院组网解决方案,通过搭建医院稳定网络系统架构,同时采用虚拟专用网技术,设计基于MNSSfire [1]的医院网络平台突发故障事前深度分析方案。医院可以通过该安全运维平台来建立和健全医院整体计算机信息系统突发事件应急机制。不仅有效避免医院整体信息系统服务过程中产生的风险,提高计算机技术和医院业务应急处理和保障能力,而且可以确保患者在特殊情况下能够得到有效的治疗。为医院信息系统安全、持续、稳健运行高提供有力的保障[2]。 1 相关技术 MNSS(Medical Network System Simulator)是面向医工结合学科的新工科特色创新实践平台,整合了EVE-NG、GNS3 GUI,Dynamips,Dynagen,QEMU,GNU Health,OpenLIS,OpenSourcePACS等众多优秀开源的底层软件,实现了设计、搭建、仿真医院网络与系统的虚拟仿真环境。 1.1 MPLS VPN MPLS(Multi-Protocol Label Switching,多协议标签交换)是一种用于快速数据包交换和路由的体系,面向无连接的控制层面与面向连接的数据转发平面,通过标签分发协议给IP地址分配固定长度的标记,并将标记与分组封装在一起,形成路径固定的标签交换通道进行数据包转发[3]。 MPLS VPN采用MPLS技术在运营商骨干网络上构建IP专网[5],结合多协议边界网关协议(Multiprotocol Extensions for BGP-4,MP-BGP)传递VPN-IPv4私有地址段路由信息,实现多分支跨地域、安全可靠的多业务通信,降低跨地域企业网络架构建设成本,提高网络资源利用率,具备灵活性高、可扩展性强等特性。 1.2 DMVPN 动态多点VPN[6]融合了mGRE(Multipoint Generic Routing Encapsulation,多点通用路由封装)、NHRP(Next Hop Resolution Protocol,下一跳地址解析协议)、动态路由协议与IPSec安全框架[7],提供访问控制、身份验证、无连接数据包完整性校验、数据加密与抗重放的安全通信服务,消除了传统大规模部署IPSec VPN网络拓展性差、不支持对等体IP地址更换、中心设备过载等严重弊端。 2 医院网络平台设计方案 2.1 DMVPN融合MPLS VPN作用机制 医院网络平台在建设过程中形成以主院与分院信息平台的中心-多分支站点模式。通常由运营商边界网络提供MPLS VPN的接入,通過虚拟路由转发对私网路由信息隔离进行安全性保障,运用MP-BGP进行私网路由传递,在可扩展性强与高服务质量的特性下将多个地域相隔的物理网络融合为一个逻辑网络。由于医疗卫生信息的隐私性,MPLS VPN并没有对业务数据流量进行加密,所以仿真实验应用DMVPN技术对业务流量进行加密、认证与完整性校验。DMVPN融合MPLS VPN的工程架构方案通过路由策略进行业务分流,将隐私型数据流量通过加密信息通道传递,普通数据流量通过运营商MPLS域传递,与单一的架构方式对比,不仅弥补了DMVPN技术的流量工程与服务质量的缺陷,而且解决了MPLS VPN无法对隐私数据进行加密的问题[4]。 2.2 网络架构设计 仿真实验以徐州医科大学附属医院为例,包含主院、东院信息中心的网络出口为工程框架,在MNSS平台上搭建整体网络逻辑拓扑如图1所示。 在运营商自治系统内部,设备之间建立的协议邻居关系为IBGP(Internal Border Gateway Protocol,内部边界网关协议),运营商自治系统与客户端建立的协议邻居关系为EBGP(External Border Gateway Protocol,外部边界网关协议)。EBGP邻居关系会将对端通告的路由信息传达给所有的BGP邻居,而IBGP基于邻居关系进行水平分割,不会将路由通告传递给IBGP邻居,通常可以采用逻辑全互联的方式解决水平分割问题,但是这种方式对骨干网络的CPU资源和网络资源消耗很大,故仿真实验采用路由反射器解决IBGP水平分割[5]。 在自治系统内,路由反射器类似于C/S模型,选取骨干路由器开启IPV4地址族与VPNV4地址族的双重路由反射功能与所有充当客户机角色的边界路由器建立IBGP邻居关系,由路由反射器与客户机组成的集群进行路由传递,解决了IBGP水平分割与逻辑全互联带来的问题。 逻辑网络拓扑中自治系统号、路由区分符与Branch分支地址规划如表1所示。 3 方案实施与测试 医院网络平台在网络故障时,针对恢复医院信网络服务主要有四个方面:MPLS VPN的建立情况、DMVPN应用效能、业务数据流量分流与网络架构性能分析。 3.1 MPLS VPN应用分析 边界设备与路由反射器建立IBGP邻居关系并在VPNv4地址族中启用扩展社团属性。为医院信息中心创建虚拟路由转发,指定私网路由信息标识符与导入导出策略,并在多协议地址族下与客户端建立EBGP邻居关系。虚拟路由转发承载一侧客户端私网路由信息经VPNv4路由通道传递至对等体设备,由对等体设备依据虚拟路由转发表的导入策略匹配,通过EBGP邻居关系通告给另一侧客户端,完成MPLS VPN路由信息控制层面的所有步骤。最后ISP开启多协议标签交换机制实现MPLS VPN数据层面的流量转发,从而形成完整的逻辑网络,完成MPLS VPN的全部实现过程。 主院信息中心以OSPF动态路由协议重分发至BGP进程的形式,通过与运营商边界路由器的EBGP邻居关系传递路由信息[6],边界路由器以虚拟路由转发表承载客户端私有网段路由信息,并将8字节的路由标识符作为私有IPv4地址前缀的扩展,使得存在地址空间重叠的IPv4地址转换为全局唯一的VPN-IPv4地址,MP-BGP中VPN-IPv4路由信息通道如图2所示。 一侧边界路由器通过MP-BGP将携带扩展社团属性的VPNv4地址传递给路由反射器,经路由反射器传递给另一侧边界路由器,另一侧边界路由器匹配本地虚拟路由转发的路由导入和导出策略,将符合的私有网段路由信息导入虚拟路由转发表,以EBGP邻居关系传递给客户端信息中心,完成跨越公网传递内部私网OSPF路由信息,实现跨越地域隔离将各站点物理网络融合为一个逻辑网络。实现网络平台对整体网络的逻辑控制。 3.2 DMVPN融合MPLS VPN性能分析 医院信息中心各自以OSPF(Open Shortest Path First,开放式最短路径优先)动态路由协议组建内网。各站点设置相同的加密策略、预共享密钥与IPSec加密转换集形成IPSec加密配置文件。中心站点虚拟隧道利用NHRP进行动态组播映射,分支站点虚拟隧道对中心站点隧道地址与物理地址静态绑定组播映射,并指定中心站点隧道地址为服务器端,用于处理NHRP查询。 通过访问控制列表与路由映射表对各分院信息中心通过EBGP邻居关系向运营商传递私网路由信息实施路由策略,各分院信息中心通过MPLS VPN获得表1中规划的全网普通业务私有网段的路由信息,通过虚拟隧道建立的OSPF邻居关系获得192.168.0.0/16的子网路由信息。各分院信息中心维护BGP路由表与OSPF路由表,当站点间通信时,普通业务IP数据包依据BGP路由表通过MPLS VPN信息通道进行数据包传递,隐私型业务IP数据包依据OSPF路由表通过DMVPN网络进行加密传输,实现业务数据分流传递[7]。图3以徐州医科大学附属医院为中心站点与东院分支站点为例,验证站点间区分业务网段进行IP数据包传递。 3.3 医院网络平台故障监控 基于MNSSfire的医院网络平台,采用虚拟专用网技术MPLS VPN与DMVPN,将主院与各分院逻辑连接,同时通过VPN实现网络系统三层监控,监测医疗网络运行同时分析网络设备运营状况,提供突发故障生成解决方案,以解决人工排障时间过长导致医院重大经济损失的问题。为医院信息系统持续稳健运行提供了有力的保障。 4 结语 基于MNSSfire的医院网络平台突发故障事前深度分析,平台以三甲医院信息中心为背景,基于主院-分院的中心-多分支站点模式的网络架构方案,采用DMVPN技术融合MPLS VPN的工程架构,实现了医院网络平台基于业务网段的IP数据包分流传递,解决了主院分院网络架构物理分隔的问题,也解决了网络平台监控运营设备流量传问题。实现了监测医疗网络运行的同时分析网络突发故障生成解决方案,以解决人工排障时间过长导致医院重大经济损失的问题。为医院信息系统持续稳健运行提供了有力的保障。 参考文献: [1] 高庆喜.医院医疗信息化中的网络安全建设分析[J].数字通信世界,2020(2):93. [2] 吴响,石旻谕,胡俊峰,等.基于MNSS平台的翻转课堂实践研究[J].电子技术与软件工程,2018(22):66-67. [3] 唐灯平,凌兴宏.基于EVE-NG模拟器搭建网络互联技术实验仿真平台[J].实验室研究与探索,2018,37(5):145-148. [4] 黄生海.跨城域MPLS网传送方案[J].网络安全和信息化,2020(3):83-86. [5] 王丽娜,刘炎.BGP/MPLS VPN中CE接入Internet仿真[J].实验室研究与探索,2014,33(3):76-80,97. [6] 史辉.DMVPN中基于ODL的动态QoS配置的研究与实现[D].南京:东南大学,2017. [7] 文淑华,闫超阳,罗绪成,等.基于云桌面的IPSec VPN实验设计[J].实验技术与管理,2019,36(7):58-61. 【通联编辑:代影】 |
随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。