当前位置：首页 > article >正文

人民医院网络安全规划与设计

article 2025/1/4 6:30:07

人民医院网络安全规划与设计

提交日期 2023 年 4月18日

摘要

添加图片注释，不超过 140 字（可选）

信息技术现今广泛运用在多种行业领域，如何利用现代信息技术，提高医疗服务的便捷性、可及性,推动医疗健康产业数字化建设，为医疗卫生行业搭建一个有效的、高效的、安全的网络环境已成为医院最为关心的问题。

本毕业设计以某人民医院为例，对医院网络的规划与建设进行研究。设计的网络采用传统的三层网络结构，接入层为各个大楼划分VLAN，部署MSTP协议防止二层环路。汇聚层部署VRRP协议为大楼的网关进行备份，应用OSPF协议动态传递路由信息并与BFD进行联动快速故障检测，使用PIM-SM协议构建医院的组播网络,通过IGMP协议获取大楼的加组信息，并把无线设备旁挂在汇聚层上。核心层链接防火墙，防火墙上部署双机热备，设计相应的安全策略和NAT策略，将内网区域、服务器区域和互联网隔离，保障医院的网络安全。医院的网络服务主要是DHCP服务自动分配IP地址，搭建WEB和DNS服务器,构建医院的网站和组播会议功能。

最后，对整个网络规划进行模拟仿真，并从连通性、可靠性、安全性方面进行了测试，测试结果表明医院网络能互通互联、访问服务器区域和互联网。汇聚层交换机、核心层路由器、防火墙各故障一台时，医院网络仍然能维持正常。网络能拒绝外网和来访人员通过接入WLAN访问医院内网，但可以访问医院web服务器。各服务运行正常，能访问网页和实现组播会议。

关键词：三层网络;网络安全;防火墙

Abstract

Information technology is widely used in various industries nowadays. How to use modern information technology to improve the convenience and accessibility of medical services, promote the digital construction of the medical and health industry, and build an effective, efficient, and secure network environment for the medical and health industry has become the most concerned issue for hospitals.

This graduation project takes a certain People's Hospital as an example to study the planning and construction of hospital networks. The designed network adopts a traditional three-layer network structure, with access layers dividing VLANs for each building and deploying MSTP protocol to prevent two-layer loops. The aggregation layer deploys the VRRP protocol to backup the gateway of the building, applies the OSPF protocol to dynamically transmit routing information and quickly detect faults through linkage with BFD. The PIM-SM protocol is used to build a hospital's multicast network, obtains the building's grouping information through the IGMP protocol, and hangs wireless devices on the aggregation layer. The core layer links to the firewall, with dual hot standby deployed on top of the firewall. Corresponding security and NAT strategies are designed to isolate the internal network area, server area, and internet, ensuring the network security of the hospital. In terms of hospital network services, DHCP services are mainly used for automatic IP address allocation, building WEB and DNS servers, and building hospital websites and multicast conference functions.

Finally, the entire network planning was simulated and tested in terms of connectivity, reliability, and security. The test results showed that the hospital network can interconnect and access server areas and the internet. When one convergence layer switch, core layer router, and firewall each fail, the hospital network can still maintain normal operation. The network can refuse external networks and visitors to access the hospital's internal network through WLAN, but can access the hospital's web server. All services are running normally and can access web pages and achieve multicast conferences.

Key words: Three layer network; Network security; firewall

摘要Ⅰ

AbstractⅡ第一章绪论11.1 研究背景及意义11.2 国内外研究现状21.2.1 国外研究现状21.2.2 国内研究现状21.3 本文主要研究工作3第二章人民医院网络需求分析42.1信息点需求分析42.2用户需求分析5 2.2.1 网络连通性需求5 2.2.2 网络可靠性需求52.2.3 网络连通性需求 62.3安全需求分析62.4 本章小结 7第三章人民医院网络的设计83.1 网络拓扑设计83.1.1接入层网络设计93.1.2 汇聚层网络设计93.1.3 核心层网络设计113.1.4 无线设备设计11 3.1.5 防火墙设计123.1.6 服务器设计133.2设备选型133.2.1接入和汇聚层的选型133.2.2核心交换机的选型143.2.3路由器的选型153.2.4 无线AC的选型153.2.5 无线AP的选型153.2.6 防火墙的选型16 3.2.7 服务器的选型16 3.3 本章小结 17第四章人民医院网络的部署184.1.接入层交换机的配置184.2 汇聚层交换机的配置194.3 核心层路由器的配置214.4 无线AC的配置214.5 防火墙的配置234.6服务器的配置25 4.6.1 DHCP服务器的配置254.6.2 WEB服务器的配置254.6.3 DNS服务器的配置264.7 本章小结 27第五章人民医院网络的功能测试285.1 测试网络连通性28 5.1.1 大楼终端的连通性285.1.2 大楼WLAN的连通性305.1.3 互联网与医院的WEB服务器的连通性 315.2 测试网络可靠性325.2.1 网络设备故障 325.2.2 汇聚层交换机SW7的VRRP状态变化 325.2.3 行政大楼到问诊大楼的流量路径变化335.2.4 行政大楼到WEB服务器的流量路径变化335.2.5 行政大楼到互联网的流量路径变化345.3 测试网络安全性345.3.1 禁止互联网访问大楼终端345.3.2 禁止来访WLAN访问大楼终端35 5.4 测试网络服务355.4.1 DHCP服务 355.4.2 WEB和DNS服务 365.4.3 组播会议 37 5.5 本章小结 38结论39参考文献40致谢41

绪论
研究背景及意义 2015年，互联网医院[1]的概念首次出现在互联网中，随后迅速扩散。适逢国务院推行“互联网+千行百业[2]”的战略，很多医疗机构发现了互联网在医院中的效率优势，开始积极发展互联网医院。经过三年发展，在2018年里互联网医院已经成为了医疗行业的主流发展方向，国务院也出台互联网医院的相关政策[3]，为其发展保驾护航。再到新冠疫情期间，全国各地已经有上千家互联网医院正式运行，在抗击疫情期间发挥了重大作用，如北京中医医院顺义医院, 实现了线下线上合力抗击疫情。在2022年有20个科室近百名医师可为患者提供互联网问诊服务[4]。在2023年的全国两会上，数字医疗再度为人们热议。如何利用现代网络的信息技术来提高医疗服务的便捷性和完善互联网医院体系？ [5]。对于病患来说，数字医疗能够方便医患之间信息交流、简化就医流程、降低就医费用、改善就医体验。在医生看来，数字医疗让患者的档案信息实现数据化，提高了医院的诊病、管理的效率，进一步解放了医疗生产力。 [6]。如今，在线医疗用户数量已达到3 亿，互联网医院数量也突破1700 所[7]。在此发展环境下，只有通过对技术能力的不断深入、对医学能力的加速融合，有医疗体系供给关系的持续优化，互联网医院才能真正得以留存，成为真正为民生大计服务的一股创新力量[8]。一个好的网络系统能为医院的医疗工作带来非常便利的通信和信息共享，不仅能减轻工作的负担，还极大地提高了工作效率。此外，网络系统要能保证很好的完成医院业务应用的要求，如网上挂号和视频会议等等，保障数据的高效、可靠传输和处理。在如今的互联网中，信息网络系统已经成为医疗卫生行业不可或缺的基础设施。如何为医疗卫生行业搭建一个有效的、高效的、安全的网络环境是医院最为关心的问题。
国内外研究现状 1.2.1 国外研究现状在国外，发达国家医院的信息化水平大都也较为发达，有着比较成熟的医院信息管理系统。美国作为建设医院网络的先驱，在1967年就启动了第一次信息网络安全评估，从此进入了网络安全建设的阶段，美国的医疗行业也对网络安全给予了许多关注，如美国芝加哥的ACMC医院就为医院网络安全专门建立了安全部门以及安全风险管理部门安全。近年来,美国政府为了保护医疗数据以及患者隐私,美国政府针对医疗信息中的问题制定了详细的法律规定作为政府虽制性法令[9]。在二十一世纪初,日本就把电子病历和健康档案作为一项国策,由医院和专业的计算机人员共同开发网络信息系统,日本使用计算机和网络管理系统来保障医院信息的安全从而使得日本的医院实现更高效、更安全和科学的管理模式。一般来说，医院信息化程度越高，信息的安全系数也会随着增加。英国医院网络的信息化属于世界前列，英国对网络安全的问题也极为重视，但大多数的英国医院的病患信息的安全性却不高，因为其医院管理者和群众的安全意识薄弱,这说明良好的医院网络安全离不开医院与群众的共同维护。如今，欧盟已经开始规划在国家共享卫生信息,并建立终身电子病历用于临床诊疗[10]。由此可见,世界上发达国家的医院已普遍建立了医院信息系统,并在不断发展和完善中。 1.2.2 国内研究现状在国内，因为我国的计算机技术起步较晚，这也使得我国医院信息化起步较晚，直到2022年，卫生部制定《全国卫生信息化发展规划纲要(2003-2010)》[11],国内医院信息化才进入发展期。发展到现在，我国有接近 9 成的实体医疗机构在积极开展互联网医院建设工作[12]。近年里，因为疫情的出现，互联网医疗迎来了很好的发展环境，互联网医疗之前在发展期间被医保支付及其它问题所限制，但在疫情期间里全国各地开始对线上医疗逐渐给予便利，像北京、上海、四川、广东、江苏等地都将互联网+医疗服务纳入医保结算体系[13]。如今的医疗机构大都想建立起互联网医院，但普遍缺少有效的管理和运营运营能力。
本文主要研究工作

现本毕业设计以某人民医院为蓝板，构建人民医院的网络系统建设方案，来完成整个医院各个办公场所的网络建设，实现医院网络的互通互联。本方案规划的网络能够覆盖整个医院的主要办公区域，并在这基础上增加网络的冗余性，增加网络的性能，提高网络的可靠性，改善网络的安全性，并实现用户无线上网，组播会议等功能。

本论文对医院网络建设方案进行了详细说明，主要组织如下：

第一章：绪论，讲诉当前时代背景建设医院网络的意义，国内外对医院网络

的研究现状，并以某人民医院为蓝板探讨医院网络的建设。

第二章：人民医院网络需求分析，明确人民医院网络在信息点、网络连通性、

网络可靠性、网络服务及安全的需求

第三章：人民医院网络的设计，根据需求分析，设计出满足医院需求的网络，

并为网络设备进行选型。

第四章：人民医院网络的部署，根据网络设计，对各个网络设备进行配置，

第五章：人民医院网络的功能测试，对网络进行测试，观察测试结果是否达

到人民医院的要求。

总结

参考文献

致谢

第二章人民医院网络需求分析

2.1信息点需求分析

人民医院是一所三甲综合性医院，科室齐全，医院的主要学科和技术项目为：内、外、妇、皮肤、耳眼鼻喉、口腔各科。医院有病床数量 350多张，是一个重要疾病治疗中心。医院分成六个主要部门，分别为门诊部、住院部、手术部、行政部以及后勤部。这五个部门分别在六栋楼中。信息接入点如表 2-1所示：

表 2-1医院网络的信息点数量

医院大楼	终端数量	WLAN终端数量
问诊大楼	100	500
住院大楼1	25	350
住院大楼2	25	350
手术大楼	30	300
后勤大楼	30	150
行政大楼	100	150

门诊部设问诊大楼一幢，该楼正对医院的正大门，楼高五层，第一层是缴费和取药的地方，工作包括报销，收费，门诊挂号，办理入院出院手续等，需要终端10台左右，第二层到第四层是医生的办公室，用于问诊的地方，需要终端50台左右，第五层用于医疗办公，验血处、理疗处、体检处等等需要终端30台左右，共计需要终端100台左右，此外，为来访人员和工作人员提供无线接入，预计各设计终端300台和200台，与医院网络相连和外部网络相连。

住院部设住院大楼二幢，位于问诊大楼西北边及东北边，楼高5层，给病人住院使用，负责病人的日常病情观察记录等工作，需要终端50台左右，此外，在每幢大楼为来访人员和工作人员都提供无线接入，预计各设计终端500台和200台，与医院网络相连和外部网络相连。

手术部设手术大楼一幢，位于问诊大楼北边，楼高3层，负责为病人做手术和接收救治急诊病人，需要终端30台左右，此外，为来访人员和工作人员提供无线接入，预计各设计终端200台和100台，与医院网络相连和外部网络相连。

后勤部设后勤大楼一幢，位于问诊大楼西北边，楼高3层，负责医院的管理，包括医院的各种器材，卫生清洁，医院的各种事务，医生的工资发放，各项医院文件等各项任务。需要终端30台左右，此外，为来访人员和工作人员提供无线接入，预计各设计终端100台和50台，与医院网络相连和外部网络相连。

行政部设行政大楼一幢，楼高5层，位于手术大楼东北边，负责为医院工作出谋划策，指导、辅助、协调临床科室各项功能的任务。具备对各项成本开支的决定权，是管理医院的关键地方，机房设在行政大楼处。需要终端100台左右，此外，为来访人员和工作人员提供无线接入，预计各设计终端100台和50台，与医院网络相连和外部网络相连。

2.2用户需求分析

2.2.1网络连通性分析

根据调研，医院各区域、用户的连通性需求如下：

1.医院内部的各个大楼能互通互联并且可以访问互联网

用于医院网络内部互通互联和访问互联网来进行正常的工作,其中因为行政大楼需要开会议的缘故，还需部署相同的组播功能。

2.为工作人员和来访人员提供WLAN接入

工作人员的WLAN设置密码防止不明设备接入,有着和医院网络互通互联和访问互联网的权限,方便在医院移动办公。对于来访人员,有着另外的WLAN供其使用,不需要密码,可以访问医院WEB服务器来挂号、缴费和连通互联网，但要限制其访问医院各大楼的终端，为来医院的来访人员解决上网问题。

3．远程登录医院终端

当在外出差或休息的工作人员,需要访问医院网络时，需要有远程访问医院网络的能力。

2.2.2 网络可靠性分析

医疗行业是关系到伤患生命安危的重要行业，人民医院的各种网络设备和基础设备都要有超高的稳定性来保障医院网络的可靠性。

需增加医院网络的冗余性，需增加设备备份、链路备份、以及设备上设置网络故障检测协议，让医院网络不因某条链路、某台设备故障能影响到医疗系统的正常运行。

提升医院网络的故障恢复速度，即使出现故障、网络也能快速检测到来维修并启用备份的设备或链路恢复正常运行，稳定的网络系统是建设医院各种服务、业务开展的根本保障，能有效地减少医院网络出现的问题。

2.2.3 医院服务分析

根据调用，医院网络需提供以下网络服务：

1.建设医院的WEB网站

用来介绍医院和提供网上挂号、缴费等等服务

2.与WEB相应的DNS服务

提供域名解析功能方便访问各WEB网站。

3.DHCP服务

为医院终端自动分配IP地址,减轻医院地址管理压力,也方便用户上网。

2.3安全需求分析

医院网络的安全与否是关系着医院日常工作与管理能否正常运行的关键。医院每天都会产生大量的数据存储在医院的信息管理系统中，如病患的个人信息和治疗的相关信息等等，当医院的信息管理系统遭到偶然或人为的恶意攻击时，都很可能造成大量的医疗数据信息被损坏、修改、泄露。对于人民医院网络的安全，根据《中华人民共和国计算机信息系统安全保护条例》[14]，结合人民医院实际，应该做到以下几点：

1.信息安全意识

意识决定行动，医院工作人员具备良好的安全意识并通过实施有效措施可以有效减少信息管理系统的大部分安全隐患。医院管理者应该深入研究信息管理系统的重要性，明确保障信息管理系统安全性的必要性。员工只有有了信息安全意识，才会有好的信息安全行为，才能有效保障企业和组织的安全[15]。

2.物理设备安全

网络服务和网络功能都是承载在物理设备之上的,如果物理设备受到破坏,网络系统的整体安全也会随之被波及到。所以,物理设备安全是网络安全的基础。

3.设备口令安全

口令就是俗称的密码,设备出厂设置的口令一般为简单的数字或字母的组合排序，比如admin、root、000000等等,这些都是容易被破解的弱口令,需要采用字母和数字并混合特殊字符的强口令来确保安,并对于重要部门的系统密码要定期检查和更新[16]。

4.数据传输安全

为了保障医院的关键业务能24小时不间断的运行,对于汇聚层、核心层以及防火墙设计为冗余的设备备份和冗余的网络链路来避免单点传输故障导致医院业务受阻,以确保传输线不会成为制约救死扶伤的瓶颈[17]。

5.防火墙技术

防火墙技术能够将医院内网网络与外部网络隔离开来，对外部网络数据信息进行筛选和过滤，是一种常见的网络安全设备，可以制定相应安全策略，允许或阻止传输的数据通过[18]。医院网络配置防火墙系统可以实现对医院内部网络数据信息的自动控制，保障医院内部网络数据信息的安全。

6.防病毒技术

计算机病毒能很好地破坏医院网络中的数据信息，高危计算机病毒甚至会造成整个系统的崩溃，由于医院网络连接的计算机数量较多，网络环境复杂，很容易被计算机病毒入侵攻击，因此计算机要及时更新防病毒软件，定期进行病毒查杀[19]。

7.数据信息加密

目前,信息加密技术多种多样,可以满足医院网络的实际需求。信息加密是一种确保网络信息安全的有效措施。即使数据泄露,攻击者也无法从中获取有效信息[20]。

8.网管管理网络终端

在医院的非工作时间段停止对应的网络设备，如晚上时间段，问诊大楼的所有终端可以由网管控制关闭，防止受到网络攻击，到早上工作时间段再由网管控制开启，医院的服务器同理。

2.4本章小结

从医院办公方面出发确定了医院所需的信息点数量，从医院业务方面考虑确定了用户的需求,和根据近年医院网络常遭到的网络攻击,制定相关的安全对策。

第三章人民医院网络的设计

3.1 网络拓扑设计

人民医院总体网络拓扑结构采用传统的三层结构，用户区域为底层，往上为接入层、汇聚层和核心层。

接入层负责提供有线端口供医院用户接入。

汇聚层部署三层交换机，无线设备AC旁挂在汇聚层上，为医院网络提供无线接入。三层交换机对来自接入层和无线AC的流量进行汇聚，并把汇聚后的流量转发到核心层。

在核心层部署路由器进行数据转发，在核心层外部署防火墙，将用户区域、服务器区域、互联网区域互相隔离开，区域之间的通信数据需经过防火墙监测和过滤。

网络拓扑如下图 3-1所示：

添加图片注释，不超过 140 字（可选）

图 3-1网络拓扑图

3.1.1接入层网络设计

接入层主要为了给有线终端用户划分VLAN，隔离广播域。在各大楼设置二层交换机，为大楼的终端提供接口接入。根据医院接入点要求，需要为每幢大楼的终端划分一个VLAN、和相应的网段地址及网关。医院网络的网段地址可采用192.168.0.0/16，由该网段来划分整个医院网络的子网段。

接入层应用的网络协议与技术:

VLAN:用于各个大楼的终端接入。各个大楼的网段的VLAN划分和设计如表 3-1所示：
MSTP:防止VLAN在二层产生环路,设置VLAN 10、20、30为实例1,VLAN 40 50 60为实例2。

表 3-1 接入层VLAN划分及网段网关

医院大楼	VLAN	IP地址网段	网关
问诊大楼	VLAN 10	192.168.10.0/24	192.168.10.254/24
住院大楼1	VLAN 20	192.168.20.0/24	192.168.20.254/24
住院大楼2	VLAN 30	192.168.30.0/24	192.168.30.254/24
手术大楼	VLAN 40	192.168.40.0/24	192.168.40.254/24
后勤大楼	VLAN 50	192.168.50.0/24	192.168.50.254/24
行政大楼	VLAN 60	192.168.60.0/24	192.168.60.254/24

3.1.2 汇聚层网络设计

汇聚层部署两台三层交换机,汇聚层主要作用是汇聚各个大楼和大楼内WLAN的网络流量并转发至核心层。

汇聚层应用的网络协议与技术:

1.VLAN:隔离各个大楼的广播域、WLAN接入、与核心层链接。汇聚层的两台交换机的VLAN划分、VLANIF接口地址及用途分别如表 3-2及表3-3所示:

2.链路聚合:三层交换机之间的链路进行聚合,加强连通性。

3.MSTP: 防止VLAN在二层产生环路,设置VLAN 10、20、30、91、92、93为实例1,VLAN 40、50、60、101、102、103为实例2。两台三层交换机互为主备根桥。

4.VRRP:医院大楼网关备份，两台三层交换机之间互为主备备份,并开启认证功来提高安全性。

5.OSPF:宣告设备上的接口网段,动态发送和获得的路由信息,并开启认证功来提高安全性。

6.BFD:与OSPF进行联动,当OSPF邻居故障时可快速检测到并通知故障信息。

7.PIM-SM:构建医院的组播网络,PIM-SM适合组播成员数少的组播网络。

8.IGMP:接受行政大楼的加组信息并使组播网络感知到。

9.ACL:在与AC的接口上应用,用于禁止病患接入的WLAN访问大楼终端。

10.DHCP:为各个大楼的终端分配IP地址。

表 3-2交换机SW7的VLAN划分，VLAN接口地址及用途

VLAN	VLAN接口地址	用途
VLAN10	192.168.10.252/24	下游VLAN10主网关
VLAN20	192.168.20.252/24	下游VLAN20主网关
VLAN30	192.168.30.252/24	下游VLAN30主网关
VLAN40	192.168.40.252/24	下游VLAN40备网关
VLAN50	192.168.50.252/24	下游VLAN50备网关
VLAN60	192.168.60.252/24	下游VLAN60备网关
VLAN70	192.168.1.1/24	链接上游路由器
VLAN75	192.168.2.1/24	链接上游路由器
VLAN90	-	无线管理VLAN
VLAN91	192.168.91.254/24	无线业务VLAN
VLAN92	192.168.92.254/24	无线业务VLAN
VLAN92	192.168.93.254/24	无线业务VLAN

表 3-3交换机SW8的VLAN划分，VLAN接口地址及用途

VLAN	VLAN接口地址	用途
VLAN10	192.168.10.253/24	下游VLAN10备网关
VLAN20	192.168.20.253/24	下游VLAN20备网关
VLAN30	192.168.30.253/24	下游VLAN30备网关
VLAN40	192.168.40.253/24	下游VLAN40主网关
VLAN50	192.168.50.253/24	下游VLAN50主网关
VLAN60	192.168.60.253/24	下游VLAN60主网关
VLAN80	192.168.3.1/24	链接上游路由器
VLAN85	192.168.4.1/24	链接上游路由器
VLAN100	-	无线管理VLAN
VLAN101	192.168.91.254/24	无线业务VLAN
VLAN102	192.168.92.254/24	无线业务VLAN
VLAN103	192.168.93.254/24	无线业务VLAN

3.1.3 核心层网络设计

核心层是整个医院网络的关键,作用是在网络层上对数据进行转发,为确保核心层的可靠性,核心层部署了两台路由器,路由器上的接口IP地址如表 3-5及表 3-6所示：

核心层应用的网络协议与技术:

1.OSPF:用于动态获取网络路由信息,并开启认证功来提高安全性。

2.BFD:与OSPF联动，可快速检测OSPF的故障

3.PIM-SM:构建医院的组播网络

表 3-5路由器r1的接口地址

接口	IP地址
GE0/0/0	192.168.1.2/24
GE0/0/1	192.168.3.2/24
GE2/0/0	192.168.5.1/24
GE2/0/1	192.168.7.1/24
GE2/0/2	192.168.8.1/24
LOOKBACK0	5.5.5.5/32

表 3-6 路由器r2的接口地址

接口	IP地址
GE0/0/0	192.168.4.2/24
GE0/0/1	192.168.3.2/24
GE2/0/0	192.168.6.1/24
GE2/0/1	192.168.7.2/24
GE2/0/2	192.168.9.1/24

3.1.4 无线设备设计

无线AC有两台,分别旁挂在汇聚层的两台三层交换机上。一台用于来访人员接入、无密码、可以访问医院服务器和外部互联网。另一台用于医务人员接入、有密码、有全部访问权限。医院各个大楼内来访VLAN及医务VLAN的分布情况如表3-7所示：

表 3-7医院网络无线VLAN分布情况

医院大楼	VLAN	IP地址
问诊大楼	来访:VLAN 91医务:VLAN 101	来访:192.168.91.0/24医务192.168.101.0/24
住院大楼1	来访:VLAN 91医务:VLAN 101	来访:192.168.91.0/24医务:192.168.10.10/24

表 3-7医院网络无线VLAN分布情况(续)

医院大楼	VLAN	IP地址
住院大楼2	来访:VLAN 92医务:VLAN102	来访:192.168.92.0/24医务:192.168.102.0/24
手术大楼	来访:VLAN 92医务:VLAN 102	来访:192.168.92.0/24医务:192.168.102.0/24
后勤大楼	来访:VLAN 93医务:VLAN 103	来访:192.168.93.0/24医务:192.168.103.0/24
行政大楼	来访:VLAN 93医务:VLAN 103	来访:192.168.93.0/24医务:192.168.103.0/24

3.1.5 防火墙设计

防火墙是网络安全的重点,网络安全性首先要考虑使用防火墙,防火墙也是部署两台来实现冗余备份。两台防火墙的接口地址及其安全区域如表 3-8及表 3-9所示：

防火墙应用的网络协议与技术:

防火墙双机热备:增加防火墙冗余，提供网络的可靠性和安全性。
默认路由:指向外网,并下发至OSPF，通告医院内网。
OSPF:用于动态获取医院网络路由信息,并开启认证功来提高安全性。
BFD:与OSPF联动，可快速检测OSPF的故障。
PIM-SM:构建医院的组播网络。

6. VRRP:对服务器区域进行网关备份。

7. 防火墙安全策略:隔离医院网络和外网,筛选流量来保护医院网络安全。

8. 防火墙NAT策略:当医院网络访问外网时转换报文源地址,确保可达。

表 3-8 防火墙FW1上的接口地址

接口	IP地址	安全区域
GE1/0/0	192.168.5.2/24	TRUST
GE1/0/1	1.1.1.1/32	DMZ
GE1/0/2	10.10.1.1/24	UNTRUST
GE1/0/3	192.168.200.252/24	SEC
GE1/0/5	192.168.9.2/24	TRUST

表 3-9防火墙FW2上的接口地址

接口	IP地址	安全区域
GE1/0/0	192.168.6.2/24	TRUST
GE1/0/1	1.1.1.2/32	DMZ

表 3-9防火墙FW2上的接口地址(续)

接口	IP地址	安全区域
GE1/0/2	10.10.2.1/24	UNTRUST
GE1/0/3	192.168.200.253/24	SEC
GE1/0/5	192.168.8.2/24	TRUST

3.1.6 服务器设计

服务器区域主要为web服务器、和dns服务器，组播源也放置在服务器区域，网段为192.168.200.0/24,网关为192.168.200.254/24。与防火墙链接来为医院提供服务,区域为sec,优先级是60。其中采用linux服务器作为web和dns服务器，地址为192.168.200.2。组播源的地址为192.168.200.1,组播地址为225.1.1.1。如表 3-10所示：

表 3-10 服务器接口地址

服务器	IP地址	网关
组播源	192.168.200.1	192.168.200.254/24
WEB	192.168.200.2	192.168.200.254/24
DNS	192.168.200.2	192.168.200.254/24

3.2设备选型

3.2.1 接入层交换机的选型

接入层交换机可选Quidway S3700系列企业网交换机，它是华为公司推出的新一代绿色节能的三层以太网交换机。S3700系列交换机有着强大的业务支持能力，满足医院网络二层交换机的要求：提供多种安全保护功能。支持DoS（Denial of Service）类防攻击、网络的防攻击、用户的防攻击等功能。

支持通过建立和维护DHCP Snooping 绑定表，侦听接入用户的MAC/IP 地址、租用期、VLAN-ID、接口等信息，解决 DHCP 用户的IP 和端口跟踪定位问题。

支持传统的STP/RSTP/MSTP生成树协议，可实现链路负载分担，进一步提高了链路带宽利用率。S3700可靠性设计拥有很强的扩展性和兼容能力，能和现网已有设备混合组网，既保护了用户投资，又为新业务的引入提供了有力的保障。

S3700系列交换机如图 3-6所示：

添加图片注释，不超过 140 字（可选）

图 3-6 S3700系列交换机

3.2.2 汇聚层交换机的选型

汇聚层设备可选Quidway S5700是一款全千兆高性能的以太网交换机。它是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代绿色节能的全千兆高性能以太网交换机。满足医院网络三层交换机的要求：

S5700支持IGMP v1/v2/v3 Snooping/Filter/Fast Leave/Proxy等协议。S5700支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，可以充分满足其他组播业务的需求。

S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持SmartLink和RRPP等增强型以太网技术，可以实现毫秒级链路保护倒换，保证高可靠性的网络质量。S5700 EI系列支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。

S5700支持BFD链路快速检测功能，能为OSPF、ISIS、VRRP、PIM等协议提供毫秒级检测机制，提高了网络可靠性。S5700遵循IEEE 802.3ah和802.1ag提供点到点以太网故障管理功能，可以用于检测用户侧最后一公里以太网直连链路上的故障。

S5700系列交换机如图 3-7所示：

添加图片注释，不超过 140 字（可选）

图 3-7 S5700系列交换机

3.2.3 路由器的选型

路由器可选华为AR220，可满足医院网络需求，AR220是企业级路由器，有着模块化的端口和3个GE端口和4个SIC插槽+2个WSIC插槽+1个DSP插槽来扩展GE接口来满足医院网络中5个GE接口的要求。网络安全方面支持ACL、防火墙、802.1x认证、MAC地址认证、Web认证、AAA认证、RADIUS认证、HWTACACS认证、广播风暴抑制、ARP安全、ICMP反攻击、URPF、IP Source Guard、DHCP Snooping、CPCAR、黑名单、攻击源追踪等等。网络管理支持升级管理、设备管理、Web网管、GTL、SNMP等等。

AR220路由器如图 3-8所示：

添加图片注释，不超过 140 字（可选）

图 3-8 AR220路由器

3.2.4 无线AC的选型

无线AC可选华为AC6605，可满足医院网络需求，其最大可管理AP的数量为1024，最大可配置AP的数量为8192，端口参数为20×GE+4×GE COMBO+2×10GE POE：24端口，转发能力为10GBIT/S。AP与AC间组网方式支持L2/L3层网络拓扑，转发模式：支持直接转发/隧道转发，AC的冗余备份支持1+1热备/N+1备份方式，无线协议为802.11 A/B/G/N/AC/AC WAVE2。

AC6605如图 3-9所示：

添加图片注释，不超过 140 字（可选）

图 3-9 无线AC6605

3.2.5 无线AP的选型

无线AP可选华为AC6050，可满足医院网络需求，产品尺寸为220×220×53MM，其产品类型为室内接入点，网络标准为802.11A/B/G/N/AC/AC WAVE2，最高传输速率为2.53GBPS，频率范围为双频（2.4GHZ，5GHZ），可提供USB接口，另可同时在线的用户数量是小于等于512，适用于医院的AP，AC。符号人民医院对AP的需求。

AC6605如图 3-10所示

添加图片注释，不超过 140 字（可选）

图 3-10 无线AP6060

3.2.6 防火墙的选型

防火墙USG6000系列，如6305，华为USG6300系列桌面型下一代防火墙是专为小型企业、行业分支、连锁商业机构设计开发的安全网关产品，其集成多种安全能力于一身，全面支持IPV4/IPV6下的多种路由协议，适用于各种小型网络接入场景。下行提供GE及WIFI接口，可直接提供WIFI接入服务；上行提供GE接口，及3G/4G LTE备份链路，方便提供应急上网服务。全面安全防护：兼具防火墙、VPN、上网行为管理等9大专业防护能力，全面满足安全合规要求；1.2亿URL分类库，防止恶意、非法网站的伤害，满足合规要求；支持URL黑白名单，阻止/放行对特定网站的访问优化用户体验：识别常见应用，基于应用管理带宽，优先转发关键应用流量；差异化的用户带宽管理和配额管理，公平使用带宽，更佳关键用户体验，符号人民医院对防火墙的需求。

防火墙USG6000系列如图 3-11所示：

添加图片注释，不超过 140 字（可选）

图 3-11 防火墙USG6000系列

3.2.7 服务器的选型

华为FusionServer RH2288H V3 (16G*2+1T2.5)服务器是企业级的服务器，其产品结构为2U,CPU的型号为Xeon E5-2640 v3,主板有着9×PCI-e的扩展槽,

内存上有着24个DDR4 DIMM插槽。存储方面: 硬盘接口类型为SAS/SATA, 内部硬盘架有12个3.5英寸SAS/SATA硬盘,热插拔盘位支持热插拔,RAID模式：可选配支持RAID 0，1，10，5，50，6，60等。散热系统是热插拔风扇模组，支持N+1冗余,系统管理采用华为Hi1710管理芯片，独立接口，支持SNMP、IPMI，提供GUI、虚拟KVM、虚拟媒体、SOL，深度预故障检测（PFA）、智能电源、远程控制、硬件监控等特性，集成触控式LCD诊断面板。且支持华为eSight管理软件、支持被VMWare vCenter、微软SystemCenter、Nagios等第三方管理系统集成

电源类型为2个热插拔电源,支持1+1冗余,电源功率是460W。产品尺寸:7×748×86.1mm,产品重量:30kg,工作温度： 5℃-45℃,储存温度： -40℃-65℃。可以很好地满足人民医院网络对服务器的需求。

华为FusionServer RH2288H V3 (16G*2+1T2.5)服务器概述图如图3-12所示：

添加图片注释，不超过 140 字（可选）

图 3-12 华为FusionServer RH2288H V3 (16G*2+1T2.5)服务器

3.3 本章小结

介绍了医院网络的总体拓扑情况及医院网络的接入层、汇聚层、核心层、防火墙的主要设计情况和根据医院网络的需求来选取符合要求的网络设备。

第四章人民医院网络的部署

4.1接入层交换机的配置

接入层交换机创建各自大楼对应的VLAN，汇聚各自大楼对应的VLAN并配置MSTP防止环路。二层交换机的下游接口类型为ACCESS，接口属于二层交换的对应VLAN，上游接口类型为TRUNK，放行所有VLAN通过。针对接入层的VLAN 10、20、30、40、50、60及无线WLAN的VLAN 101、102、103，其中VLAN 10、20、30为实例1，VLAN 40、50、60、101、102、103为实例2。接入层交换的配置略同，以接入层交换机SW1为例，主要配置如下所示：

1.创建SW1的相应VLAN,如图 4-1所示:

添加图片注释，不超过 140 字（可选）

图 4-1 创建VLAN

2.创建并配置SW1的下游接口组,划分VLAN 10到问诊大楼,如图 4-2所示:

添加图片注释，不超过 140 字（可选）

图 4-2 下游端口组配置

3.创建并配置SW1的上游接口组,放行所有VLAN来与其它VLAN联通。如图 4-3所示:

添加图片注释，不超过 140 字（可选）

图 4-3 上游端口组配置

4. 配置SW1的MSTP协议来防止二层环路,域名为huawei，实例1为vlan 10 20 30,实例2 vlan 40 50 60 101 102 103,最后激活功能。如图 4-4所示:

添加图片注释，不超过 140 字（可选）

图 4-4 MSTP配置

4.2 汇聚层交换机的配置

汇聚层交换机接受来自各个二层交换机的VLAN，需在其上设置各个VLAN对应的VLANIF接口地址，及其IP地址。两台三层交换机之间通过聚合链路增加容错，通过VRRP及MSTP完成主备备份、负载分担、二层防环。 VLAN 10、20、30以三层交换机SW7为VRRP主设备、MSTP主根桥，SW8为VRRP备份设备、备份根桥，VLAN 40 50 60以三层交换机SW7为VRRP备份设备、备份根桥，SW8为VRRP主设备、主根桥。

无线AC旁挂在三层交换机上，三层交换机SW7与无线AC1相连，用于部署来访人员的WLAN，该WLAN不设密码并禁止访问医院大楼内网络。三层交换机SW2与无线AC2相连，用于部署工作人员的WLAN。

配置OSPF协议，并与BFD进行联动并启动认证功能，在区域0中宣告对应接口网段，与内网路由器建立OSPF邻居，提供OSPF路由。

开启组播和IGMP功能，在与三层设备的接口上使能PIM-SM协议，对需要使用组播功能的VLANIF60接口启动IGMP功能，并指定静态RP。

汇聚层交换机的配置略同，以汇聚层交换机SW7为例，重要配置命令如下所示：

配置SW7的VRRP协议,以接口vlanif10（实际IP地址为192.168.10.252/24）为例,配置其优先级为120成为Master。虚拟IP为 192.168.10.254/24,监测的上层接口GE 0/0/9和GE 0/0/10及启用MD5认证功能。如图 4-5所示:

添加图片注释，不超过 140 字（可选）

图 4-5 VLANIF接口配置

SW7的链路聚合命令,将与SW8链接的GE 0/0/7和GE 0/0/8聚合为一条链路,加强链路可靠性。如图 4-6所示:

添加图片注释，不超过 140 字（可选）

图 4-6 链路聚合

配置SW7的MSTP协议,MSTP的域配置与上面二层交换机SW1的配置一样，不再赘述，主要为实例1和实例2在SW7上设置主备根桥，SW7是实例1的主根桥、实例2的备根桥。如图 4-7所示:

添加图片注释，不超过 140 字（可选）

图 4-7 主备根桥配置

配置SW7的PIM-SM和IGMP协议,先开启组播路由功能和IGMP功能,并在与核心层链接的vlanif 70 75接口使能PIM-SM,与接入层行政大楼链接的vlanif 60接口使能IGMP。最后在PIM下指定RP。如图 4-8所示:

添加图片注释，不超过 140 字（可选）

图 4-8 组播功能

配置SW7的ACL用于阻止病患接入的WLAN访问医院大楼的终端,通过阻止目的地址是大楼网段的报文实现，并在接受病患WLAN的接口GE 0/0/11上调用该ACL。如图 4-9所示:

添加图片注释，不超过 140 字（可选）

图 4-9 SW7的ACL配置

配置SW7的BFD、OSPF协议,OSPF进程号为1,区域为0，宣告链接的接口网段并开启认证功能，最后与BFD进行联动。如图 4-10所示:

添加图片注释，不超过 140 字（可选）

图 4-10 OSPF、BFD协议配置

4.3核心层路由器的配置

路由器作为核心层，主要作用为运行组播协议和OSPF协议传播路由，路由器配置略同，其中R1的环回口作为组播RP的地址。以路由器R1为例，配置如下所示:

配置R1的PIM-SM, 开启组播路由功能,并在相应的接口上使能。配置过程与SW7的PIM-SM配置类似，如上图 4-8所示，R1额外的配置命令是创建环回口作为RP地址。如图 4-11所示:

添加图片注释，不超过 140 字（可选）

图 4-11 创建R1的环回口为RP

配置R1的BFD、OSPF, OSPF进程号为1,区域为0，宣告链接的接口网段并开启认证功能，最后与BFD进行联动。配置过程与SW7的BFD、OSPF配置类似，如上图4-10所示,额外的是宣告环回口,让组播网络获取RP的路由信息。如图 4-12所示:

添加图片注释，不超过 140 字（可选）

图 4-12 宣告环回口网段

4.4 无线AC的配置

两台无线AC分别旁挂在不同的三层交换机上，在AC上配相应的管理VLAN和业务VLAN，设置相应地址池，在业务VLAN上配置DHCP功能下发IP地址。为每个业务VLAN创建不同的地址池、AP组、SSID模板、安全模板、VAP模板。每个AP组有着不同的模板，AP通过加入不同的AP组完成WLAN的部署。

无线AC之间配置略同，以AC1的管理VLAN90、业务VLAN91为例，配置如下所示：

配置AC1的DHCP地址池并在下游接口使能,配置过程与SW7的DHCP服务(4.5服务器的配置)配置类似，如下图 4-24所示。
创建并配置AC1的WLAN的域管理模板huawei91的国家代码为中国和绑定管理VLAN90。如图 4-13所示:

添加图片注释，不超过 140 字（可选）

图 4-13 绑定管理VLAN和创建域模板 3.创建并配置AC1的AP组huawei91，并调用域管理模板huawei91。如图 4-14所示:

添加图片注释，不超过 140 字（可选）

图 4-14 创建AP组并调用域模板 4.配置AC1的AP认证模式为MAC,并对AP的MAC地址认证,并为AP命名为area0,最后加入AP组huawei91中。如图 4-15所示:

添加图片注释，不超过 140 字（可选）

图 4-15 认证AP并加入AP组 5.创建并配置安全模板,模板名称为sec,安全模式为open。如图 4-16所示:

添加图片注释，不超过 140 字（可选）

图 4-16 创建并配置安全模板 6.创建并配置ssid模板,模板名称为ssid1,ssid命名为hua。如图 4-17所示:

添加图片注释，不超过 140 字（可选）

图 4-17 创建并配置SSID模板 7.创建并配置vap模板,调用上述的安全模板sec和ssid模板ssid1,并配置其转发模式为隧道转发和调用的业务vlan为vlan 91。如图 4-18所示:

添加图片注释，不超过 140 字（可选）

图 4-18 创建并配置VAP模板 8.在AC1的ap组上调用各自的VAP模板。如图 4-19所示:

添加图片注释，不超过 140 字（可选）

图 4-19 AP组调用VAP模板 4.5防火墙的配置以防火墙FW2为代表，防火墙FW1与之略同，配置思路及主要过程如下：在防火墙FW2上共有接口GE1/0/0、GE1/0/1、GE1/0/2、GE1/0/3、GE1/0/5。其中GE1/0/0、GE1/0/5为医院用户接口，属于TRUST区域。GE1/0/1为两台防火墙之间的心跳口，属于DMZ区域。GE1/0/3链接的是医院服务器区域，属于建立的SEC区域，优先级为60。GE1/0/2接口链接外网，属于UNTRUST区域,各个接口允许所有服务类型的数据通过。防火墙配置双机热备份，其中防火墙FW2为主机，防火墙FW1为备份机。开启HRP功能，对GE1/0/3配置VRRP备份组，设防火墙FW2为ACTIVE，防火墙FW1为STANDBY，监听GE1/0/0、GE1/0/1、GE1/0/5接口，配置GE1/0/1为心跳口，启用双机热备，另在防火墙FW1配置其为备份设备。防火墙双机热备完成后，在防火墙FW2上安全策略，主要策略为允许医院内网访问外网，外网只能访问医院的WEB服务器，另外配置NAT策略，使用EASY-IP NAT，在医院内网访问外网时使用GE1/0/2作为源地址。配置OSPF协议，并与BFD进行联动，在区域0中宣告GE1/0/0、GE1/0/1、GE1/0/3、GE1/0/5网段，与内网路由器建立OSPF邻居，提供OSPF路由，另外设置默认路由指向外网，并下发至OSPF协议中，使内网可以通过默认路由访问到外网。开启组播功能，在GE1/0/0、GE1/0/1、GE1/0/3、GE1/0/5配置PIM-SM协议，并配置静态RP5.5.5.5。 1.配置FW2与FW1的防火墙双机热备份,FW2为主,FW1为备。在FW2的面对二层接口的GE 1/0/3上配置active,监听接口GE 1/0/0、GE 1/0/2、GE 1/0/5。并配置GE 1/0/1为心跳口。最后启动hrp功能。如图 4-20所示:

添加图片注释，不超过 140 字（可选）

图 4-20 配置防火墙双机热备份 2.配置FW2的安全策略,主要为trust、sec允许访问untrust、untrust只能访问sec的web服务器等等。以untrust只能访问sec的web服务器为例,创建安全策略untrust-web,源区域为untrust,目的区域为sec,目的地址为web的地址：192.168.200.2,行为是允许通过。并同步安全策略到FW1上。如图 4-21所示:

添加图片注释，不超过 140 字（可选）

图 4-21 配置安全策略 2.配置FW2的NAT策略,对源区域是trust、sec,目的区域是untrust的外网启用easy-ip源地址转换策略，并同步NAT策略到FW1上。如图 4-22所示:

添加图片注释，不超过 140 字（可选）

图 4-22 配置NAT策略

配置FW2的BFD、OSPF, OSPF进程号为1,区域为0，宣告链接的接口网段并开启认证功能，最后与BFD进行联动。配置过程与SW7的BFD、OSPF配置类似,如图 4-10所示,额外的是因为FW2链接外网,需要创建默认路由指向外网并下发至ospf, 如图 4-23所示:

添加图片注释，不超过 140 字（可选）

图 4-23 设置默认路由指向外网，并下发至OSPF

配置FW2的PIM-SM，开启组播路由功能,并在相应的接口上使能。配置过程与SW7的PIM-SM配置类似，如上图 4-8所示。

4.6服务器的配置

4.6.1 DHCP服务器配置

DHCP服务器部署在三层交换机上，以VLANIF10为例，配置操作如图 4-24所示:

添加图片注释，不超过 140 字（可选）

图 4-24

4.6.2 WEB服务器的配置

WEB和DNS部署在同一台LINUX上,其WEB配置命令如下所示

# yum –y install htppd //安装APACHE

# yum install php //yum本地源安装PHP

# mkdir /var/www/ip1 //建立站点目录。

# echo “192.168.200.2”>/var/www/ip1/index.html //向WEB网站写入信息

# vim /etc/httpd/conf/httpd.conf //修改HTTPD主配置文件如图 4-25 所示

# systemctl start httpd //开启HTTPD

# systemctl enable httpd //开机自动开启HTTPD服务

添加图片注释，不超过 140 字（可选）

图 4-25 修改httpd主配置文件

4.6.3 DNS服务器的配置

WEB和DNS部署在同一台LINUX上,其DNS配置命令如下所示

DNS配置命令如下所示：

# yum install bind //yum本地源安装bind

# vim /etc/named.conf //options选项中的侦听IP地址(127.0.0.1)改为any，把允许查询网段allow-query中的locahost改为any，配置如图4-26所示。

# vim /etc/named.rfc1912.zones //添加内容如图 4-27所示

# vim /var/named/named.zheng//创建并编辑正向解析区域声明文件如图4-28所示

# vim /var/named/named.fan//创建编辑反向解析区域声明文件如图4-29所示

# firewall-cmd --permanent --add-serice=dns //放行dns服务

# firewall-cmd –reload //重新加载防火墙

# systemctl start named //开启dns服务

# systemctl enable named //开机自动启动

添加图片注释，不超过 140 字（可选）

图 4-26 编辑主配置文件

添加图片注释，不超过 140 字（可选）

图 4-27配置区域配置文件

添加图片注释，不超过 140 字（可选）

图 4-28编辑正向解析区域声明文件

添加图片注释，不超过 140 字（可选）

图 4-29 编辑反向解析区域声明文件

4.7本章小结

本章讲解了部署医院网络设备的配置命令，对网络中关键的协议、技术配置的思路、过程进行了详细的描述。

第五章人民医院网络的功能测试

5.1 测试网络连通性

5.1.1大楼终端的连通性

1.大楼之间的连通性

以问诊大楼与行政大楼之间的通信为例,问诊大楼与行政大楼之间的网络连通性测试如表 5-1所示：

表 5-1 测试问诊大楼与行政大楼之间的的连通性

测试目的	测试问诊大楼能否访问行政大楼
预期结果	问诊大楼可以访问行政大楼
测试实际效果	问诊大楼可以访问行政大楼，详情如下图5-1所示

添加图片注释，不超过 140 字（可选）

图 5-1 问诊大楼访问行政大楼

从上图可见，PC1机(问诊大楼)已经访问到行政大楼，效果实现。

大楼与web服务器的连通性以问诊大楼与WEB之间的通信为例,问诊大楼与WEB服务器的连通性测试如表 5-2所示：表 5-2测试问诊大楼和WEB服务器间的连通性

测试目的	测试问诊大楼能否访问WEB服务器
预期结果	问诊大楼可以访问WEB服务器
测试实际效果	问诊大楼可以访问WEB服务器，详情如下图5-2所示

添加图片注释，不超过 140 字（可选）

图 5-2问诊大楼访WEB服务器从上图可见，PC1机(问诊大楼)已经访问到WEB服务器，效果实现。

大楼与互联网的连通性

以问诊大楼与互联网之间的通信为例,问诊大楼与互联网的连通性测试如表 5-3所示：

表 5-3测试问诊大楼和互联网间的连通性

测试目的	测试问诊大楼能否访问互联网
预期结果	问诊大楼可以访问互联网
测试实际效果	问诊大楼可以访问互联网，详情如下图5-3所示

添加图片注释，不超过 140 字（可选）

图 5-3问诊大楼访互联网

从上图可见，PC1机(问诊大楼)已经访问到互联网，效果实现

5.1.2大楼WLAN的连通性

1.大楼WLAN与互联网的连通性

以问诊大楼的WLAN与互联网之间的通信为例，问诊大楼的WLAN与互联网的连通性测试如表 5-4所示：

表 5-4 测试大楼的无线WLAN和互联网间的连通性

测试目的	测试问诊大楼的WLAN能否访问互联网
预期结果	问诊大楼的WLAN可以访问互联网
测试实际效果	问诊大楼的WLAN可以访问互联网，详情如下图5-4所示

添加图片注释，不超过 140 字（可选）

图 5-4问诊大楼的WLAN访问互联网

从上图可见，STA1机(问诊大楼WLAN)已经访问到互联网，效果实现。

2.大楼WLAN与WEB服务器的连通性

以问诊大楼的WLAN与WEB服务器之间的通信为例，问诊大楼的WLAN与WEB服务器的连通性测试如表 5-5所示：

表 5-5测试大楼的WLAN和WEB服务器间的连通性

测试目的	测试问诊大楼的WLAN能否访问WEB服务器
预期结果	问诊大楼的WLAN可以访问WEB服务器
测试实际效果	问诊大楼的WLAN可以访问WEB服务器，详情如下图5-5所示

添加图片注释，不超过 140 字（可选）

图 5-5问诊大楼的WLAN访问WEB服务器

从上图可见，STA1机(问诊大楼WLAN)已经访问到WEB服务器，效果实现。

大楼医务WLAN与WEB服务器的连通性以问诊大楼的WLAN与问诊大楼的通信为例，问诊大楼的医务WLAN与问诊大楼的连通性测试如表 5-6所示：表 5-6测试大楼的工作WLAN和WEB服务器间的连通性

测试目的	测试问诊大楼的医务WLAN能否访问问诊大楼
预期结果	问诊大楼的医务WLAN可以访问问诊大楼
测试实际效果	问诊大楼的医务WLAN可以访问问诊大楼，详情如下图5-6所示

添加图片注释，不超过 140 字（可选）

图 5-6 问诊大楼的医务WLAN访问问诊大楼从上图可见，STA1机(问诊大楼工作WLAN)已经访问到问诊大楼，效果实现。 5.1.3互联网与医院的WEB服务器的连通性互联网与医院的WEB服务器的连通性测试如表 5-7所示：表 5-7测试大楼的工作互联网和WEB服务器间的连通性

测试目的	测试互联网能否访问WEB服务器
预期结果	互联网可以访问WEB服务器
测试实际效果	互联网可以访WEB服务器，详情如下图5-7所示

添加图片注释，不超过 140 字（可选）

图 5-7互联网的工作WLAN访问问诊大楼从上图可见，PC7机(互联网)已经访问到问诊大楼，效果实现。

测试网络可靠性

5.2.1 网络设备故障

在设备SW8、AR2、FW2、都处于down状态时，医院网络仍可正常运行，测试如表 5-8所示：

表 5-8测试在设备SW8、AR2、FW2在down后的网络情况

设备SW8、AR2、FW2在正常状态下，问诊大楼的流量路径及VRRP状态	如图 5-8、图 5-10、图 5-12、图 5-14所示
设备SW8、AR2、FW2在down状态下，问诊大楼的流量路径及VRRP状态	如图 5-9、图 5-11、图 5-13、图 5-15所示
测试目的	在设备SW8、AR2、FW2、都处于down状态时，医院网络能否正常运行
预期结果	在设备SW8、AR2、FW2、都处于down状态时，医院网络仍可正常运行
测试实际效果	在设备SW8、AR2、FW2、都处于down状态时，医院网络仍可正常运行，如下所示：

5.2.2 三层交换机SW7的VRRP状态变化

三层交换机SW7的VRRP的状态变化，由图 5-8和图 5-9可知在SW8down掉后(SW8原为VLAN 40、50、60的Master)，对于VLAN 40、50、60,SW8由VRRP的Backup变为Master。

添加图片注释，不超过 140 字（可选）

图 5-8 SW7原来的VRRP的状态

添加图片注释，不超过 140 字（可选）

图 5-9 SW7变化后的VRRP的状态

5.2.3 行政大楼到问诊大楼的流量路径变化

行政大楼到问诊大楼的流量路径对比，如图 5-10和图 5 -11。可知路径由PC6-SW8-PC1变为了PC6-SW7-PC1。

添加图片注释，不超过 140 字（可选）

图 5-10 行政大楼到问诊大楼原来的流量路径

添加图片注释，不超过 140 字（可选）

图 5-11 行政大楼到问诊大楼变化后的流量路径

5.2.4行政大楼到WEB服务器的流量路径变化

行政大楼到WEB服务器的流量路径对比，如图 5-12和图 5 -13。可知路径由PC6-SW8-AR1-FW-WEB变为了PC6-SW7-AR1-FW-WEB。

添加图片注释，不超过 140 字（可选）

图 5-12行政大楼到WEB服务器原来的流量路径

添加图片注释，不超过 140 字（可选）

图 5-13行政大楼到WEB服务器变化后的流量路径

5.2.5行政大楼到互联网的流量路径变化

行政大楼到互联网的流量路径对比，如图 5-14和图 5-15。可知路径由PC6-SW8-AR1-FW2-互联网变为了PC6-SW7-AR1-FW1-互联网。

添加图片注释，不超过 140 字（可选）

图 5-14 行政大楼到互联网的流量路径原来的流量路径

添加图片注释，不超过 140 字（可选）

图 5-15 行政大楼到互联网的流量路径变化后的流量路径

从上述可见，在设备SW8、AR2、FW2、都处于down状态时，医院网络仍可正常运行，效果实现。

5.3 测试网络安全性

5.3.1 禁止互联网访问大楼终端

以互联网访问问诊大楼为例，测试如表5-9所示：

表 5-9测试互联网访问问诊大楼终端

测试目的	测试防火墙能否禁止互联网访问问诊大楼终端
预期结果	防火墙禁止互联网访问问诊大楼终端
测试实际效果	防火墙禁止互联网访问问诊大楼终端，详情如下图5-16所示

添加图片注释，不超过 140 字（可选）

图 5-16防火墙禁止互联网访问问诊大楼终端

从上图可见，互联网无法访问问诊大楼终端，效果实现。

5.3.2 禁止来访WLAN访问大楼终端

以来访WLAN访问问诊大楼为例,测试如表 5-10所示：

表 5-10测试来访WLAN访问问诊大楼终端

测试目的	测试ACL能否禁止来访WLAN访问问诊大楼终端
预期结果	ACL禁止来访WLAN访问问诊大楼终端
测试实际效果	ACL禁止来访WLAN访问问诊大楼终端，详情如下图5-17所示

添加图片注释，不超过 140 字（可选）

图 5-17 ACL禁止来访WLAN访问问诊大楼终端

从上图可见，来访WLAN无法访问问诊大楼终端，效果实现。

5.4 测试网络服务

5.4.1 DHCP服务

以问诊大楼为例,问诊大楼的DHCP服务测试如表 5-11所示：

表 5-11 测试问诊大楼的DHCP服务

测试目的	测试问诊大楼能或自动获得IP地址
预期结果	问诊大楼可以自动获得IP地址
测试实际效果	问诊大楼可以自动获得IP地址，详情如下图5-18所示

添加图片注释，不超过 140 字（可选）

图 5-18问诊大楼的DHCP(PC1为DHCP获得地址)

以问诊大楼为例,问诊大楼WLAN的DHCP服务测试如表 5-12所示：

表 5-12测试问诊大楼WLAN的DHCP服务

测试目的	测试问诊大楼WLAN能或自动获得IP地址
预期结果	问诊大楼WLAN可以自动获得IP地址
测试实际效果	问诊大楼WLAN可以自动获得IP地址，详情如下图5-19所示

添加图片注释，不超过 140 字（可选）

图 5-19问诊大楼WLAN的DHCP服务 (PC1为DHCP获得地址)

5.4.2 WEB和DNS服务

以问诊大楼为例,WEB服务器和DNS服务器测试如表 5-13所示：

表 5-13 WEB服务器和DNS服务器测试

测试目的	测试问诊大楼能或通过域名访问WEB服务器
预期结果	问诊大楼可以通过域名访问WEB服务器
测试实际效果	问诊大楼可以通过域名访问WEB服务器，详情如下图5-20所示

添加图片注释，不超过 140 字（可选）

图 5-20 问诊大楼可以通过域名访问WEB服务器

从上图可见，问诊大楼(client1)可以通过域名访问WEB服务器，效果实现。

5.4.3 组播会议

行政大楼的组播功能测试如表 5-14所示

表 5-14 行政大楼的组播功能测试

测试目的	测试行政大楼能或通过组播功能开会
预期结果	行政大楼可以通过组播功能开会
测试实际效果	行政大楼可以通过组播功能开会，详情如下图5-21所示

添加图片注释，不超过 140 字（可选）

图 5-21行政大楼可以通过组播功能开会

从上图可见，行政大楼可以通过组播功能开会，效果实现。

5.5 本章小结

网络连通性:通过ping命令测试医院终端和WLAN与内网、web、互联网的连通性,并成功ping通。网络可靠性:在三层交换机、路由器、防火墙各故障一台的情况下仍可正常运行。网络安全性:禁止互联网和病患接入的WLAN访问大楼终端。网络服务:测试了DHCP、web、dns、组播功能,均可实现

结论

在疫情期间，互联网医院的已经优势充分地体现出来。面对互联网带来的变化，医疗卫生行业如何搭建一个有效的、高效的、安全的网络环境已成为医院最为关心的问题。

本医院网络方案以传统的网络三层结构基础，接入层负责提供有线端口供医院用户接入。汇聚层部署三层交换机，无线设备AC旁挂在汇聚层上，为医院网络提供无线接入。三层交换机对来自接入层和无线AC的流量进行汇聚，并把汇聚后的流量转发到核心层。在核心层部署路由器进行数据转发，在核心层外部署防火墙，将用户区域、服务器区域、互联网区域互相隔离开，区域之间的通信数据需经过防火墙监测和过滤。

总的来说，本设计方案达到了之前设定的工作目标：1.医院网络通信方面及服务功能都能正常运行，且实际部署也是可行的。2.本文的网络结构中，对关键的设备及链路都有着备份，当核心设备或链路故障时，网络仍然能正常运行，有着高稳定的网络结构。3.医院网络有着独立的WEB、DNS服务器及组播源的区域并链接着防火墙。因为服务器区域的重要性，把服务器区域单独隔离对确保核心和服务器稳定和安全有着极大好处。.为各个网络设备提供了相应的选型。

工作的不足之处：1.没有用到IPV6地址，IPV4地址划分得所剩不多，IPV6地址的应用是大势所趋。2.组播使用静态，R1路由器故障会导致组播功能受影响。3.设备、链路冗余，有些没有做到负载分担，比较浪费资源。4.DHCP服务器没有部署在路由器上。5.安全方面的部署有些无法落实。

参考文献

[1]规划司.“十四五”规划《纲要》名词解释之93|互联网医院. 中华人民共和国国家发展和改革委员会 2021.12.24

[2]人民日报海外版.“互联网”+促千行百业转型升级. 中华人民共和国国家互联网信息办公室 2018.4.20

[3]国务院办公厅.国务院办公厅关于促进“互联网+医疗健康”发展的意见 .中华人民共和国中央人民政府 2018.4.28

[4]北京中医医院顺义医院订阅号.互联网医院助力疫情防控.北京中医医院顺义医院 2022.11.16

[5]每日商报官方账号.“数字医疗”再成两会热点，微医数字化推动价值医疗体系落地.

每日商报 2023.3.14

[6]人民网官方账号.充分激发数字医疗的优势. 人民网 2022.3.29

[7]中国经营报官方账号.2022互联网医院报告：互联网医院发展核心源自“平台力”和“驱动力” .中国经营报 2022.11.18

[8]陈泽芳.2023年中国互联网医院行业发展现状分析[J] .中研网 2023.3.24

[9]悟空CRM.对医院信息管理系统国内外发展趋势研究[J] .悟空软件 2023.1.28