天津市第三中心医院张立:医院高可靠性网络的建立

                 医院高可靠性网络的建立 

 

                              ①      ①     ①      ＊

                           张立  宋晓敏  周妍  胡正刚  

 

    ＊  通讯作者：天津市第三中心医院信息处, 300170 

    ①天津市第三中心医院信息处,300170 

 

                                        

 

    摘要 医疗网络上运行着医院重要的核心业务应用系统，如医院信息系统（HIS）、医学影像

 

    系统（PACS）、电子病历（EMR）、护士呼叫等。这些系统关系到人们的生命安全和身体健康，

 

    关系到医院的声誉和收入，因此对网络的可靠性具有极高的要求。我们主要通过三个途径来

 

    实现医院网络的高可靠性：一是高可靠的医疗级网络结构设计；二是保证医疗级网络业务高

 

    可靠运行的独特网络技术；三是建立医疗数据中心进行容灾备份。 

 

    关键词 医疗 网络 安全 可靠性 

 

     

 

        医疗网络上运行着医院重要的核心业务应用系统，如医院信息系统（HIS）、医学影像系

 

    统（PACS）、电子病历（EMR）、护士呼叫等。这些系统关系到人们的生命安全和身体健康，

 

    关系到医院的声誉和收入，因此对网络的可靠性具有极高的要求。我们主要通过三个途径来

 

    实现医院网络的高可靠性：一是高可靠的医疗级网络结构设计；二是保证医疗级网络业务高

 

    可靠运行的独特网络技术；三是建立医疗数据中心进行容灾备份。 

 

        为此，我们将网络设计为包括核心层、汇聚层和接入层的多层模块化架构，网络骨干为

 

    部分万兆或千兆，关键部位采用冗余结构，核心交换机和汇聚交换机双备份。核心层和汇聚

 

    层均有路由功能，接入层具有交换或路由功能，实施负载均衡和冗余备份，VLAN 尽量终结

 

    在本地以缩小故障域，整个网络万兆、千兆和百兆相结合。这种设计建议来自思科美国思科

 

    总部的顾问工程师小组的实验室研究和用户最佳实践的结果，这种模式的主要优势在于其层

 

    次结构和模块性，模块化设计允许我们通过推行确定性的流量模式来轻松扩展、了解并排除

 

    网络故障。 

 

        在层次化设计中，特定设备的容量、特性和功能均针对其网络位置和作用进行了优化，

 

    以提高可扩展性及稳定性。当流量通过层次化结构中的收敛点，沿着接入层-汇聚层-核心层

 

    传输时，流量数量及其相关的带宽要求都随之增加。层次化设计每一层的功能都很分明，无

 

    需全部网络节点互联的全网状网络。 

 

        模块化网络的组件易于复制、重新设计并扩展，无需每次添加或拆除模块时都重新设计

 

    整个网络。可以运行或中断任何组件的运行，而不会影响网络的其他部分。这种功能可促进

 

    排障、故障隔离和网络管理。 

 

    核心层 

 

        在典型的层次化模式中，组件间通过核心层互联，核心用作网络骨干。鉴于各组件都依

 

    赖核心进行连接，因此，核心必须速度很快且永续性极高。现在的硬件加速系统具备以线速

 

    提供复杂业务的潜能。然而，我们应在网络核心采用 “越简单越好”的方法。最低的核心配

 

    置可降低配置复杂性，从而减少出现运行错误的几率。 

    虽然通过全网状或高度网状拓扑也可实现冗余，但此类设计在链路或节点发生故障时不

 

提供一致的收敛。同时，全网状设计也存在对等和邻接问题，使路由难以配置和扩展。此外，

 

随着网络的增长或变化，大量的端口也增加了不必要的成本和复杂性。以下是需要谨记的其

 

他主要设计问题： 

 

    将核心层设计为只使用硬件加速业务的高速第3 层  (L3) 交换环境。第3 层核心设计优

 

于第2 层和其他设计，因为它在发生链路或节点故障时提供更快的收敛速度。 

 

    通过减少路由邻接关系和网状拓扑提高了可扩展性,提高了带宽利用率。 

 

    尽量在核心中使用冗余的点到点L3 互联（三角形，不是正方形），因为这种设计可产生

 

最快速、最确定的收敛结果。避免L2 环路和L2 冗余的复杂性，如生成树协议(STP) 和L3

 

组件对等体之间的间接故障检测。 

 

    采用模块化的操作系统，使得局部的软件故障不会影响整机的运行。软件的升级也可以

 

在局部软件模块进行，而不必为升级软件等维护工作使核心交换机停止工作，影响全网的运

 

行。 

 

    汇聚层汇聚来自接入层的节点，保护核心不受高密度对等关系的影响。此外，汇聚层还

 

创建故障边界，在接入层发生故障时提供逻辑隔离点。汇聚层通常以L3 交换机对的形式部

 

署，针对网络核心连接使用L3 交换，对接入层连接使用L2 服务。负载平衡、服务质量(QoS)

 

和易于设置等都是汇聚层的主要考虑因素。 

 

    汇聚层的高可用性通过两条等成本路径来提供，包括从汇聚层到核心以及从接入层到汇

 

聚层的链路，可在链路或节点发生故障时提供确定性的快速收敛。当冗余路径存在时，故障

 

切换主要依赖硬件链路故障检测，而不是基于定时器的软件故障检测。基于这些功能（在硬

 

件中实施）的收敛是最具确定性的。 

 

    L3 等成本负载分担允许同时利用从核心到汇聚层的两条上行链路。汇聚层使用网关负

 

载平衡协议（GIBP）、热备份路由器协议（HSRP）或虚拟路由器冗余协议（VRRP）提供缺省

 

的网关冗余。当一个汇聚层节点发生故障或被拆除时，不会影响端点与缺省网关的连接。 

 

应用层 

 

    接入层是边缘设备、终端站和IP 电话接入网络的第一层。接入层中的交换机连接两个

 

单独的汇聚层交换机以实现冗余。如果它与汇聚层交换机之间是L3 连接，则不会出现环路，

 

所有上行链路都将有效转发流量。 

 

    健壮的接入层提供以下主要特性：许多软硬件属性支持的高可用性  (HA),IP 电话和无

 

线访问点的馈线供电(POE)允许我们将话音融合到数据网络中，并为用户提供漫游 WLAN 访

 

问。基础服务。支持高可用性的接入层的软硬件属性包括：使用冗余交换管理引擎和冗余电

 

源获得的系统级冗余，为关键用户群提供高可用性。使用到冗余系统（使用GLBP、HSRP 或

 

VRRP 的汇聚层交换机）的双倍连接获得的缺省网关冗余，支持在汇聚层的主备交换机间快

 

速实现故障切换。链路汇聚（以太网通道或802.3ad）等操作系统高可用特性，提供更高的

 

带宽利用率，同时降低复杂性。使用QoS 为关键任务网络流量分发优先级，从而尽量靠近网

络入口对流量进行分类和排队。安全服务，通过配置802.1x,、端口安全性、DHCP 侦听、动

 

态ARP 检查及IP 源保护等工具来增加安全性，从而更有效地防止非法网络访问。 

 

构建安全的基础网络平台 

 

    在我院诸多的局域网安全问题中，由于历史原因，令网络管理员感到最头痛的问题就是

 

IP 地址的管理；最担心的问题就是账号、密码的盗取以及信息的失窃和篡改；而最棘手的

 

问题就是木马、蠕虫病毒爆发对网络造成的危害。据CSI/FBI 计算机犯罪与安全调查显示，

 

信息失窃已经成为当前最主要的犯罪。在造成经济损失的所有攻击中，有 75％都是来自于

 

园区内部。这样，医院网络内部就必须采用更多创新方式来防止攻击，如果我们将网络中的

 

所有端口看成潜在敌对实体获取通道的 “端口防线”，网络管理员就必须知道这些潜在威胁

 

都有那些，以及需要设置哪些安全功能来锁定这些端口并防止这些潜在的来自网络第二层的

 

安全攻击。 

 

    网络第二层的攻击是网络安全攻击者最容易实施，也是最不容易被发现的安全威胁，它

 

的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。因为任

 

何一个合法用户都能获取一个以太网端口的访问权限，这些用户都有可能成为黑客，同时由

 

于设计OSI 模型的时候，允许不同通信层在相互不了解情况下也能进行工作，所以第二层的

 

安全就变得至关重要。如果这一层受到黑客的攻击，网络安全将受到严重威胁，而且其他层

 

之间的通信还会继续进行，同时任何用户都不会感觉到攻击已经危及应用层的信息安全。所

 

以，仅仅基于认证（如 IEEE 802.1x）和访问控制列表（ACL，Access Control Lists）的

 

安全措施是无法防止来自网络第二层的安全攻击。一个经过认证的用户仍然可以有恶意，并

 

可以很容易地执行本文提到的所有攻击。目前这类攻击和欺骗工具已经非常成熟和易用。 

 

    以上所提到的攻击和欺骗行为主要来自网络的第二层。在网络实际环境中，其来源可概

 

括为两个途径：人为实施，病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行

 

扫描和嗅探，获取管理帐户和相关密码，在网络上中安插木马，从而进行进一步窃取机密文

 

件。攻击和欺骗过程往往比较隐蔽和安静，但对于信息安全要求高的企业危害是极大的。木

 

马、蠕虫病毒的攻击不仅仅是攻击和欺骗，同时还会带来网络流量加大、设备CPU 利用率过

 

高、二层生成树环路、网络瘫痪等现象。 

 

    归纳前面提到的局域网目前普遍存在的安全问题，根据这些安全威胁的特征分析，这些

 

攻击都来自于网络的第二层，主要包括以下几种：MAC 地址泛滥攻击,DHCP 服务器欺骗攻

 

击,ARP 欺骗,IP/MAC 地址欺骗. 

 

    利用Cisco Catalyst 交换机内部集成的安全特性，采用创新的方式在局域网上有效地

 

进行IP 的地址管理、阻止网络的攻击并减少病毒的危害。Cisco Catalyst 智能交换系列的

 

创新特性针对这类攻击提供了全面的解决方案，将发生在网络第二层的攻击阻止在通往内部

 

网的第一入口处，主要基于下面的几个关键的技术：Port Security,DHCP Snooping,Dynamic 

 

ARP Inspection （DAI）,IP Source Guard. 

 

    我们可通过在思科交换机上组合运用和部署上述技术，从而防止在交换环境中的 “中间

 

人”攻击、MAC/CAM 攻击、DHCP 攻击、地址欺骗等，更具意义的是通过上面技术的部署可以

 

简化地址管理，直接跟踪用户IP 和对应的交换机端口，防止IP 地址冲突。同时对于大多数

 

具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。 

 

    通过启用端口安全功能，可有效防止MAC 地址泛洪攻击，网络管理员也可以静态设置每

 

个端口所允许连接的合法MAC 地址，实现设备级的安全授权。动态端口安全则设置端口允许

 

合法MAC 地址的数目，并以一定时间内所学习到的地址作为合法MAC 地址。 

 

    通过配置Port Security 可以控制：端口上最大可以通过的MAC 地址数量,端口上学习

 

或通过哪些MAC 地址,对于超过规定数量的 MAC 处理进行违背处理,端口上学习或通过哪些

 

MAC 地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口MAC，

 

直到指定的MAC 地址数量，交换机关机后重新学习。目前较新的技术是Sticky Port ecurity，

 

交换机将学到的MAC 地址写到端口配置中，交换机重启后配置仍然存在。 

 

    对于超过规定数量的MAC 处理进行处理一般有三种方式：Shutdown：端口关闭,Protect：

 

丢弃非法流量，不报警,Restrict：丢弃非法流量，报警. 

 

    Catalyst 交换机可通过DHCP Snooping 技术保证DHCP 安全特性，通过建立和维护DHCP 

 

Snooping 绑定表过滤不可信任的DHCP 信息，这些信息是指来自不信任区域的DHCP 信息。

 

通过截取一个虚拟局域网内的DHCP 信息，交换机可以在用户和DHCP 服务器之间担任就像小

 

型安全防火墙这样的角色， “DHCP监听”功能基于动态地址分配建立了一个DHCP 绑定表，

 

并将该表存贮在交换机里。在没有DHCP 的环境中，如数据中心，绑定条目可能被静态定义，

 

每个DHCP 绑定条目包含客户端地址（一个静态地址或者一个从DHCP 服务器上获取的地址）、

 

客户端MAC 地址、端口、VLAN ID、租借时间、绑定类型（静态的或者动态的）。 

 

    通过部署动态ARP 检查（DAI，Dynamic ARP Inspection）来帮助保证接入交换机只传

 

递 “合法的”的ARP 请求和应答信息。DHCP Snooping 监听绑定表包括IP 地址与MAC 地址

 

的绑定信息并将其与特定的交换机端口相关联，动态 ARP 检测（DAI －Dynamic ARP 

 

Inspection）可以用来检查所有非信任端口的ARP 请求和应答(主动式ARP 和非主动式ARP)，

 

确保应答来自真正的ARP 所有者。Catalyst 交换机通过检查端口记录的DHCP 绑定信息和ARP

 

应答的IP 地址决定是否真正的ARP 所有者，不合法的ARP 包将被删除。 

 

    DAI 配置针对VLAN，对于同一VLAN 内的接口可以开启DAI 也可以关闭，如果ARP 包从

 

一个可信任的接口接收到，就不需要做任何检查，如果ARP 包在一个不可信任的接口上接收

 

到，该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样，DHCP Snooping 对

 

于DAI 来说也成为必不可少的，DAI 是动态使用的，相连的客户端主机不需要进行任何设置

 

上的改变。对于没有使用 DHCP 的服务器个别机器可以采用静态添加 DHCP 绑定表或 ARP 

 

accesslist 实现。 

 

    另外，通过DAI 可以控制某个端口的ARP 请求报文频率。一旦ARP 请求频率的频率超过

 

预先设定的阈值，立即关闭该端口。该功能可以阻止网络扫描工具的使用，同时对有大量

 

ARP 报文特征的病毒或攻击也可以起到阻断作用。 

    除了ARP 欺骗外，黑客经常使用的另一手法是IP 地址欺骗。常见的欺骗种类有MAC 欺

 

骗、IP 欺骗、IP/MAC 欺骗，其目的一般为伪造身份或者获取针对IP/MAC 的特权。Catalyst 

 

IP 源地址保护（IP Source Guard）功能打开后，可以根据DHCP 侦听记录的IP 绑定表动态

 

产生PVACL，强制来自此端口流量的源地址符合DHCP 绑定表的记录，这样攻击者就无法通

 

过假定一个合法用户的IP 地址来实施攻击了，这个功能将只允许对拥有合法源地址的数据

 

包进行转发，合法源地址是与IP 地址绑定表保持一致的，它也是来源于DHCP Snooping 绑

 

定表。因此，DHCP Snooping 功能对于这个功能的动态实现也是必不可少的，对于那些没有

 

用到DHCP 的网络环境来说，该绑定表也可以静态配置。 

 

    IP Source Guard 不但可以配置成对 IP 地址的过滤也可以配置成对MAC 地址的过滤，

 

这样，就只有IP 地址和MAC 地址都与DHCP Snooping 绑定表匹配的通信包才能够被允许传

 

输。此时，必须将 IP 源地址保护IP Source Guard 与端口安全Port Security 功能共同使

 

用，并且需要DHCP 服务器支持Option 82 时，才可以抵御IP 地址＋MAC 地址的欺骗。 

 

    与DAI 不同的是，DAI 仅仅检查ARP 报文， IP Source Guard 对所有经过定义IP Source 

 

Guard 检查的端口的报文都要检测源地址。 

 

    通过在交换机上配置 IP Source Guard，可以过滤掉非法的IP/MAC 地址，包含用户故

 

意修改的和病毒、攻击等造成的。同时解决了IP 地址冲突的问题。 

 

 

 

参考文献 

 

[1]  王达  Cisco/H3C 交换机配置与管理完全手册  中国水利水电出版社  2009 

 

[2]  多伊尔 卡罗尔  TCP/IP 路由技术(第1 卷)(第2 版)  人民邮电出版社  2007 

 

[3]  Jeff Doyle （美） Jennifer Dehaven Carroll （美） TCP/IP 路由技术(第 2 卷)  人

 

    民邮电出版社  2009 

 

[4]  库罗斯(James F.Kurose),Keith W.Ross  Computer networking a top-down approach

 

    （计算机网络:自顶向下方法(原书第4 版)）  机械工业出版社  2009   

 

[5]  汪小帆  李翔  陈关荣    复杂网络理论及其应用  清华大学出版社  2006 

 

[6]  张海鹰  网络传播概论新编  复旦大学出版社  2008