研究背景及意義1.1醫(yī)院業(yè)務、網(wǎng)絡現(xiàn)狀與改革方向該農(nóng)村社區(qū)醫(yī)院屬于中型舊醫(yī)院，該社區(qū)醫(yī)院有醫(yī)療部，住院部，急診部，后臺部這四個主要的部門，這四個分別在不同的樓層中，這些都需要一個快速方便網(wǎng)絡平臺，以促進信息的傳遞和資源的共享。醫(yī)療部包括一到三層，一層是收費點和取藥處，工作包括醫(yī)療收費，門診掛號，辦理手續(xù)。二和三層是醫(yī)療所在處，負責醫(yī)療檢查。醫(yī)療部總共需要終端40臺左右。住院部為四層，負責住院手續(xù)的辦理與住院人員信息的管理，需要終端15臺左右。急診部為五層，負責緊急用戶與急診用戶的治療，需要終端設備20臺左右，后臺部為六層，負責醫(yī)院的各種信息，包括清潔用具信息，醫(yī)療用具信息，醫(yī)院文件，醫(yī)護人員信息，病人信息等。需要終端20臺左右。該個農(nóng)村舊社區(qū)醫(yī)院網(wǎng)絡存在多方面漏洞，該農(nóng)村社區(qū)醫(yī)院信息不通過專屬網(wǎng)絡傳輸，內(nèi)部信息不安全容易泄露。該社區(qū)醫(yī)院網(wǎng)絡傳輸速度慢，易造成網(wǎng)絡擁堵。該社區(qū)醫(yī)院沒有劃分不同的部門區(qū)域網(wǎng)絡，不利于醫(yī)護人員共享患者信息及其它部門的醫(yī)療資料，不利于對患者進行全面評估就診。針對該個農(nóng)村社區(qū)醫(yī)院的多種需求從層次化結(jié)構(gòu)設計、出口設計、地址設計、安全設計進行規(guī)劃設計，做到網(wǎng)絡提速、網(wǎng)絡安全、區(qū)域劃分等。以解決該個農(nóng)村社區(qū)醫(yī)院信息的共享不迅速、不安全、不互訪等問題。本次實驗使用ensp編寫該社區(qū)醫(yī)療網(wǎng)絡，使用各種網(wǎng)絡協(xié)議規(guī)定設備通訊與否，通過虛擬局域網(wǎng)劃分該個社區(qū)醫(yī)院的專屬醫(yī)院網(wǎng)絡中各個不同部門的網(wǎng)絡區(qū)域，讓醫(yī)院的內(nèi)部人員信息及時共享做到更迅速、安全、方便，便于醫(yī)院人員、收費系統(tǒng)、醫(yī)院后臺系統(tǒng)對信息的管理查詢。在診療中，讓各科醫(yī)生可以在專屬的內(nèi)部網(wǎng)絡中互訪查詢到病人信息，了解既往病史，更利于就診，為病人提供更完善的治療，讓病人的詳細病史等醫(yī)療信息保留的更久?；ヂ?lián)網(wǎng)化醫(yī)院建設將有利于醫(yī)護人員服務覆蓋面的增大,有利于幫扶、幫帶社區(qū)醫(yī)院醫(yī)療技術服務水平的提高,為全國人民更好地提供健康服務,因此互聯(lián)網(wǎng)化成為醫(yī)療服務模式發(fā)展的必然趨勢.其研究方向及帶有積極現(xiàn)實意義。REF_Ref31958\w\h[7]1.2研究背景伴隨不斷發(fā)展的現(xiàn)代信息技術,政府部門大力支持醫(yī)院智能化建設。智慧醫(yī)院中網(wǎng)絡系統(tǒng)相對重要,我們需要結(jié)合智慧化建設的要求，醫(yī)療網(wǎng)絡按照醫(yī)院智慧化建設的多個方向不斷改進。REF_Ref31286\w\h[4]構(gòu)建網(wǎng)絡主要為醫(yī)療保健服務提供一個高效、安全且可信賴的信息交流平臺。當前，眾多醫(yī)療機構(gòu)正致力于優(yōu)化其網(wǎng)絡基礎設施，以便更好地滿足日益增長的數(shù)據(jù)需求和應對技術進步帶來的各種挑戰(zhàn)。在進行網(wǎng)絡設計時，網(wǎng)絡的容量和傳輸速度是至關重要的因素。鑒于醫(yī)院必須處理眾多的電子病歷和其他醫(yī)療相關數(shù)據(jù)，醫(yī)院的網(wǎng)絡系統(tǒng)必須有足夠的帶寬來處理這些數(shù)據(jù)的傳輸。為了進一步擴大網(wǎng)絡帶寬，許多醫(yī)院現(xiàn)在都選擇使用更高速的以太網(wǎng)技術，例如千兆、萬兆以太網(wǎng)或5G網(wǎng)絡，以確保信息的快速傳輸。網(wǎng)絡安全也是另一個核心議題。醫(yī)療機構(gòu)的網(wǎng)絡系統(tǒng)必須對患者的個人信息和醫(yī)療記錄進行保密，以避免未經(jīng)授權的訪問和數(shù)據(jù)泄漏。鑒于網(wǎng)絡安全的威脅日益增多，醫(yī)療機構(gòu)必須實施更多級別的安全措施，如防火墻、安全協(xié)議和數(shù)據(jù)加密等，以確保網(wǎng)絡的絕對安全。從另一個角度來看，醫(yī)院的網(wǎng)絡系統(tǒng)還必須具有高度的可靠性和冗余性。如果網(wǎng)絡出現(xiàn)故障，這將對醫(yī)療流程或醫(yī)療數(shù)據(jù)產(chǎn)生重大影響。因此，在設計網(wǎng)絡設備時，應考慮備份冗余，以確保即使部分網(wǎng)絡設備出現(xiàn)故障，其他設備也能正常運行，不會妨礙醫(yī)療工作的進行。在最近的幾年中，隨著物聯(lián)網(wǎng)（IoT）技術的飛速進步，多種醫(yī)療智能設備如醫(yī)療傳感器和醫(yī)療系統(tǒng)在醫(yī)院網(wǎng)絡中得到了廣泛應用。智能設備能夠?qū)崟r收集患者的身體信息，并將醫(yī)療系統(tǒng)的數(shù)據(jù)實時傳送至數(shù)據(jù)庫，從而為患者的診斷和治療提供更為精確的支持。因此，在醫(yī)院網(wǎng)絡設計過程中，智能醫(yī)療設備的網(wǎng)絡延遲需求和設備整合變得越來越重要。最終，隨著云計算平臺技術和虛擬化技術的廣泛應用，醫(yī)院可以將數(shù)據(jù)存儲和遷移到云端設備和虛擬化設備上，大大降低了費用，允許醫(yī)院快速調(diào)整網(wǎng)絡結(jié)構(gòu)設施，從而實現(xiàn)更大規(guī)模、更便捷的數(shù)據(jù)管理?？偠灾?，醫(yī)院網(wǎng)絡設計正在面臨著不斷增長的信息量需求、網(wǎng)絡安全需求、網(wǎng)絡穩(wěn)定性需求、及新興技術融合需求。未來，隨著網(wǎng)絡技術不斷發(fā)展，醫(yī)院網(wǎng)絡設計將不斷融合變化，以滿足新時代全面的醫(yī)療服務需求。1.3研究內(nèi)容與意義本次實驗于三方面內(nèi)容進行研究：醫(yī)院網(wǎng)絡拓撲結(jié)構(gòu)設計、醫(yī)院網(wǎng)絡隱私性、醫(yī)院網(wǎng)絡性能優(yōu)化。醫(yī)院網(wǎng)絡結(jié)構(gòu)：結(jié)合實際設計拓撲，區(qū)分不同區(qū)域的醫(yī)療作用，規(guī)劃網(wǎng)絡線路連接、網(wǎng)絡設備部署及設備內(nèi)容配置等，以實現(xiàn)合理的數(shù)據(jù)傳輸、共享。醫(yī)院網(wǎng)絡隱私性：禁止患者隱私、當?shù)財?shù)據(jù)的出口。配置安全策略措施，包括配置防火墻、配置acl訪問控制列表、配置安全策略等，以確保醫(yī)院網(wǎng)絡的安全性。醫(yī)院網(wǎng)絡性能優(yōu)化：醫(yī)院網(wǎng)絡存在大量的數(shù)據(jù)傳輸和極其穩(wěn)定的通信需求。研究需關注網(wǎng)絡設備的配置及其性能優(yōu)化，以提高網(wǎng)絡帶寬、網(wǎng)絡速率和減少響應時間，確保醫(yī)院的網(wǎng)絡性能需求。最后，研究探討基于ensp設施上實施仿真實驗的成果是否可行，通過ensp線上測試模擬多套網(wǎng)絡規(guī)劃設計方案，評估對比其性能和滿足不同的業(yè)務需求，對該醫(yī)院網(wǎng)絡設計進行更正優(yōu)化，提高網(wǎng)絡性能、滿足業(yè)務需求?？傊?，論文的研究內(nèi)容將圍繞著使用華為ensp進行醫(yī)院網(wǎng)絡設計展開，包括醫(yī)院網(wǎng)絡的拓撲結(jié)構(gòu)設計、醫(yī)院網(wǎng)絡安全性需求、醫(yī)院網(wǎng)絡性能優(yōu)化等三方面。通過探索這些研究內(nèi)容，為以后醫(yī)院網(wǎng)絡設計運維提供重要參考。研究意義：隨著醫(yī)療技術發(fā)展，高效的醫(yī)療服務更依賴醫(yī)院網(wǎng)絡設施。華為ensp是網(wǎng)絡配置的仿真工具，可應用于網(wǎng)絡架構(gòu)的先行設計，仿真和檢驗。所以基于ensp醫(yī)院網(wǎng)絡設計就成了很有意義的研究方向。1、醫(yī)院網(wǎng)絡設計研究對提高醫(yī)療服務效率與質(zhì)量至關重要。通過自定義專屬網(wǎng)絡規(guī)劃對網(wǎng)絡架構(gòu)進行優(yōu)化，可使醫(yī)院內(nèi)各科室間信息共享，實現(xiàn)更加高效地協(xié)作共事，進而提升就醫(yī)，就醫(yī)效率。2、基于ensp研究醫(yī)院網(wǎng)絡設計有利于醫(yī)療信息技術人才培養(yǎng)。醫(yī)療領域?qū)W(wǎng)絡工程師及IT專業(yè)人才要求越來越高。通過將ensp應用于醫(yī)院網(wǎng)絡設計實踐于教育培訓過程，能夠為學生及專業(yè)人士提供接觸實際情境、操作經(jīng)驗、發(fā)展醫(yī)療信息技術專業(yè)能力的機會。最后對基于ensp醫(yī)院網(wǎng)絡設計進行研究也有利于促進醫(yī)療信息化進程。在醫(yī)療信息化不斷推進的今天，電子掛號，遠程醫(yī)療和高新醫(yī)療設備的使用越來越受到人們的青睞。本文對醫(yī)院網(wǎng)絡設計進行了研究與實踐，能夠?qū)︶t(yī)院醫(yī)療信息系統(tǒng)建設起到引導與支撐作用，推動現(xiàn)代醫(yī)療機構(gòu)信息化水平不斷提高，更好、更準確、更方便地開展醫(yī)療服務?？傊疚囊詄nsp為核心設計醫(yī)院網(wǎng)絡，其背景與意義是為了提高醫(yī)院醫(yī)療服務效率與質(zhì)量、培養(yǎng)醫(yī)療信息技術人才、促進醫(yī)療信息化現(xiàn)代化發(fā)展進程。對該研究領域進行深入探討，對于醫(yī)療領域發(fā)展與進步都會起到積極作用。1.4實驗環(huán)境華為所推出的EnterpriseNetworkSimulationPlatform（eNSP）是一款無償且可增強的網(wǎng)絡模擬設備，主要用來預設大型或復雜網(wǎng)絡的網(wǎng)絡設備配置能否可行。ensp的優(yōu)點：eNSP支持多種網(wǎng)絡技術配置，該平臺與實體配置環(huán)境無異，涵蓋了眾多型號與其功能支持等。eNSP簡易圖面的操作，大大減低了操作配置難度，節(jié)約配置時間。eNSP可設立真實網(wǎng)絡，做到線上線下的互訪通訊。eNSP允許多服務端的部署，使得它能夠支撐構(gòu)建更為復雜、大規(guī)模的網(wǎng)絡環(huán)境。實驗環(huán)境為EnterpriseNetworkSimulationPlatform來進行設備配置多種協(xié)議的全面實驗。通過分析本地網(wǎng)絡需求及其功能,設計Three-layernetworkstructure及設備配置,最終驗證了本次醫(yī)療網(wǎng)絡設備配置方案的功能性和可行性。本實驗將利于增強學生分析網(wǎng)絡、規(guī)劃架構(gòu)、部署網(wǎng)絡協(xié)議等多方面能力。REF_Ref31149\w\h[2]

2網(wǎng)絡需求分析與關鍵網(wǎng)絡技術2.1網(wǎng)絡功能需求分析對網(wǎng)絡功能的需求進行分析在進行醫(yī)院網(wǎng)絡設計之前，必須先對網(wǎng)絡的功能需求進行詳細分析。此步驟的目的是明確各個醫(yī)院部門所需要的服務和醫(yī)療功能，以滿足它們各自的業(yè)務需求，這包括醫(yī)院人員信息管理系統(tǒng)、醫(yī)療信息存儲系統(tǒng)、線上預約建檔系統(tǒng)等多個方面的應用。通過對醫(yī)療業(yè)務各個環(huán)節(jié)需求的獨立分析，我們確保了網(wǎng)絡設計與實際的診療需求是一致的，從而為醫(yī)院提供了全面、高效、安全和可靠的網(wǎng)絡服務功能。2.2可行性分析在進行醫(yī)院網(wǎng)絡的設計之前，必須先對其可行性進行深入的分析。為了評估網(wǎng)絡設計的可行性，我們需要借助模擬設備來搭建相應的網(wǎng)絡工具。該分析涵蓋了多個方面，包括設備的數(shù)量、預算分配、資源的整合和利用，以及網(wǎng)絡技術的實施等。經(jīng)過對多種網(wǎng)絡設計方案的深入分析和評估，我們選擇了最符合當?shù)蒯t(yī)院環(huán)境需求的網(wǎng)絡設計方案，以確保網(wǎng)絡設計的各項功能能夠順利地執(zhí)行。2.3建網(wǎng)原則在進行醫(yī)院網(wǎng)絡的設計過程中，必須遵守基礎的網(wǎng)絡建設準則。網(wǎng)絡建設的基本原則涵蓋了網(wǎng)絡的可靠性、安全性、擴展性以及整體性能等多個方面。防止單點故障的發(fā)生，并支持網(wǎng)絡的冗余性，以確保業(yè)務的連續(xù)性。為了確保網(wǎng)絡的安全性，我們需要確保網(wǎng)絡能夠維護患者的數(shù)據(jù)隱私，并確保醫(yī)院的醫(yī)療系統(tǒng)安全無虞。隨著網(wǎng)絡需求的不斷增長，網(wǎng)絡的可擴展性要求它在未來能夠提供更多的擴展功能。為了滿足醫(yī)療需求的低延遲和快速響應，醫(yī)院網(wǎng)絡必須具備充足的網(wǎng)絡帶寬。總體來說，遵循基礎的網(wǎng)絡建設原則可以確保網(wǎng)絡設計具有高度的可靠性、安全性和可擴展性，以滿足多樣化的醫(yī)療需求。2.4建網(wǎng)目標醫(yī)院網(wǎng)絡設計過程中，需明確建網(wǎng)的目標。建網(wǎng)目標可根據(jù)本地醫(yī)院的需求來設定網(wǎng)絡的優(yōu)先級和網(wǎng)絡功能。建網(wǎng)目標包括考慮設備是否互聯(lián)、數(shù)據(jù)傳輸共享是否低延遲、醫(yī)療數(shù)據(jù)流量是否共享互通等。通過設計確定明確的建網(wǎng)目標，明確該網(wǎng)絡設計的方向重點，確保建設的網(wǎng)絡能實現(xiàn)預期的功能目標。2.5關鍵網(wǎng)絡技術介紹2.5.1VLAN技術虛擬局域網(wǎng)-VirtualLocalAreaNetwork，它規(guī)劃整個大型網(wǎng)絡變?yōu)楦鱾€部門網(wǎng)段，可標識各個醫(yī)療部門，可限制每個部門網(wǎng)段可詢問到的流量信息。文章結(jié)合VirtualLocalAreaNetwork在社區(qū)醫(yī)院的部署，突出了識別部門、信息互訪等作用。現(xiàn)在醫(yī)院網(wǎng)絡業(yè)務逐漸增多，導致醫(yī)院信息系統(tǒng)的計算機網(wǎng)絡需求逐漸增高。因此，我們需要確保網(wǎng)絡的帶寬高、低時延，確保網(wǎng)絡的穩(wěn)定性、安全性，做到醫(yī)院不同部門通信且又限制訪問，通過虛擬局域網(wǎng)解決這一問題。REF_Ref30544\w\h[6]2.5.2OSPF動態(tài)路由協(xié)議OpenShortestPathFirst開放式最短路徑優(yōu)先協(xié)議，可保證業(yè)務的穩(wěn)定運行。我們一般在網(wǎng)絡中使用OpenShortestPathFirst后，大部分路由能將OSPF協(xié)議自行計算和生成，無須人工配置，當網(wǎng)絡發(fā)生變化時，協(xié)議自動計算、更正路由，方便網(wǎng)絡管理。我們可以在OpenShortestPathFirst路由表中詢查到眾多網(wǎng)絡資料，如路由配置、ospf鄰居狀態(tài)、關系，路由交換信息等。2.5.3VRRP技術為了保證業(yè)務網(wǎng)段不會出故障，我們可以使用虛擬路由冗余協(xié)議-VirtualRouterRedundancyProtocol，它是一種用于防止設備掉線網(wǎng)絡故障的容錯協(xié)議。單臺設備部署將導致因單點故障引發(fā)業(yè)務中斷的風險：單上聯(lián)的環(huán)境,用戶網(wǎng)關地址配置固定IP一般為路由器一個接口，存在單點故障，如果路由器宕機或路由器的上聯(lián)鏈路故障，內(nèi)網(wǎng)用戶無法上網(wǎng)。VirtualRouterRedundancyProtocol可以實現(xiàn)避免單臺設備的故障而導致我們網(wǎng)絡區(qū)段的斷聯(lián)。通過備份鏈路的使用，我們可以零時地切換另一臺機器來承擔我們業(yè)務信息的傳輸。2.5.4MSTP多生成樹協(xié)議多生成樹協(xié)議-Multi-StreamProtocol:將執(zhí)行的幾個spanningtree分成單個例子,利用其功能更改Loopnetwork為Ringlesstreenetwork,可防止Cyberstorms，實現(xiàn)數(shù)據(jù)冗余、均衡數(shù)據(jù)負載。它將一個VirtualLocalAreaNetwork變?yōu)橐粋€SpanningTreeProtocol，可以提高網(wǎng)絡環(huán)境下的可用性與可靠性，促進企業(yè)網(wǎng)絡的穩(wěn)定化運行。根據(jù)對MSTP,VRRP的理解,本次實驗使用Multi-StreamProtocol+虛擬路由冗余協(xié)議。利用Multi-StreamProtocol刪去了Loopnetwork,均衡數(shù)據(jù)負載。利用虛擬路由冗余協(xié)議避免了單機器掉線的風險。通過ENSP上的仿真測試，成功實現(xiàn)了網(wǎng)絡在可靠性方面的預設目標。[12]2.5.5DHCP技術使用DynamicHostConfigurationProtocol技術自動零時分設網(wǎng)絡地址，具有易管理、效率高、快部署等優(yōu)點。在DHCP地址池中依次尋找可以分配到的空閑IP地址和第一個被發(fā)現(xiàn)IP地址。若DHCP地址池內(nèi)沒有查找到空閑IP地址可以分配，按順序查詢超出租期且有沖突的IP地址，若查找到可用IP地址則分配，否則上報出錯。網(wǎng)絡技術飛速發(fā)展、網(wǎng)絡的規(guī)模也在不斷擴大,用固定的IP地址分配方式給網(wǎng)管工作造成的困擾正在日益加劇。利用ENSP仿真實驗平臺進行試驗,對相同網(wǎng)段內(nèi)的DHCP組態(tài)方法和不同網(wǎng)段的DHCP中繼代理組態(tài)方法進行分析,對網(wǎng)絡設備使用DHCP協(xié)議進行動態(tài)IP地址管理和分配進行了仿真實驗驗證能夠有效提高網(wǎng)絡管理員工作效率并具有良好的靈活性.REF_Ref6339\w\h[10]2.5.6ethchannel鏈路聚合以太網(wǎng)鏈路聚合Eth-Trunk簡稱鏈路聚合，它通過將多條以太網(wǎng)物理鏈路捆綁在一起成為一條邏輯鏈路。鏈路聚合的優(yōu)點：1增加鏈路帶寬：將多個鏈路匯聚為一個大帶寬的鏈路，一般采用基于流的負載均衡模式。2增加鏈路的可靠性：聚合組的有多條鏈路，一條物理鏈路出問題，不影響整個邏輯聚合組鏈路。鏈路聚合形式：靜態(tài)LACP聚合，動態(tài)LACP聚合。2.5.7(ACL)訪問控制列表ACL訪問控制列表（AccessControlLists），它的原理是對比各個地址或端口信息來命令設備收到或回絕數(shù)據(jù)包。REF_Ref30858\w\h[1]功能：提供安全訪問：ACL限制用戶訪問特定的機器。防止網(wǎng)絡攻擊：通過堵塞不安全端口并阻塞其流量來保證網(wǎng)絡安全。提高網(wǎng)絡帶寬利用率：ACL對網(wǎng)絡信息控制，限制一些網(wǎng)絡流量來提高帶寬的利用率。2.5.8雙機熱備技術在外出的網(wǎng)絡連接處設立雙firewall，防止一臺設備損壞導致斷聯(lián)，來保證業(yè)務流量不間斷。雙機熱備部署方案分為：1主備備份方式:主機器處理業(yè)務流量,若主機器損壞,change備用機器解決。2負載分擔方式:一起運載流量,損壞換為另一臺機器解決。圖2-1雙機熱備部署方案本次ENSP實驗環(huán)境上firewall的雙機熱備實驗進程中,我們證實了VRRPGroupManagementProtocol、HuaweiRedundancyProtocol的功能性。我們配置雙機熱備后認證了流量可否通行來證實了firewall雙機熱備的原理、功能,確保其達到我們的網(wǎng)絡要求。[9]2.5.9無線網(wǎng)絡技術AC+APAC+AP代表了一種專為大規(guī)模無線網(wǎng)絡設計的網(wǎng)絡構(gòu)建方案。它可以實現(xiàn)一個無線局域網(wǎng)與另一個無線局域網(wǎng)之間的互聯(lián)。這是一個WLAN的系統(tǒng)。它將傳統(tǒng)的有線網(wǎng)絡與移動通信相結(jié)合。AC是一個用于控制AP的接入控制器。AC控制器的主要職責是將各種AP的數(shù)據(jù)匯集起來,它是一個具有多個端口和接口的路由器，能夠?qū)崿F(xiàn)對整個網(wǎng)絡中的所有節(jié)點進行統(tǒng)一監(jiān)控與協(xié)調(diào)。AP作為一個無線接入點，利用無線WiFi信號與無線設備等建立連接。它還具有一個用于存儲和傳輸文件以及其他業(yè)務信息的數(shù)據(jù)庫服務器，為各種業(yè)務提供統(tǒng)一的接口和服務。明顯的優(yōu)勢:1無縫漫游功能:它的漫游門檻相對于網(wǎng)狀網(wǎng)絡來說是固定的,所以它提供的漫游體驗是比較好的。2AC的統(tǒng)一管理策略：單AC可control全AP，使得內(nèi)部網(wǎng)絡的各個AP能夠?qū)崟r地調(diào)整自己的設置，確保自己始終處于最佳狀態(tài)，以更好地適應實際環(huán)境。3自動調(diào)節(jié)能效、流量通道,大大提高了無線網(wǎng)絡的能效。實驗通過配置無線，實現(xiàn)無線的覆蓋，驗證了無線設備接入，觀測了無線信號強度，實現(xiàn)無線設備訪問其余設施等。REF_Ref92\w\h[5]WLAN建組情況,證明了AC+AP無線組網(wǎng)方案優(yōu)勢,基于華為eNSP模擬仿真平臺設計實現(xiàn)AC+AP組網(wǎng)。REF_Ref8550\w\h[8]2.5.10ipsec技術IPSEC(InternetProtocolSecurity)是為IP網(wǎng)絡提供安全的服務的集合,是一種常見于VPN(VirtualPrivateNetwork)中的技術。雙方通過IPSEC建立IPSEC隧道IPSEC隧道對IP數(shù)據(jù)包安全傳輸。IPSecVPN是一種高度的防御機制,對IP進行了有效的保護,為IP上層協(xié)議提供了安全保證。本文通過對IPC技術原理和VPN隧道的研究。使用IPSecVPN網(wǎng)絡在eNSP上證明其功能.REF_Ref4602\w\h[11]3網(wǎng)絡方案設計規(guī)劃3.1方案設計隨著網(wǎng)絡技術的不斷發(fā)展與無線網(wǎng)絡的普遍使用，為符合醫(yī)療信息化、數(shù)據(jù)化的建設發(fā)展理念，根據(jù)當?shù)蒯t(yī)療網(wǎng)絡的情況來構(gòu)建一個符合實際情況、醫(yī)療功能齊全的醫(yī)療網(wǎng)絡拓撲十分重要。做到緊密聯(lián)系本地社區(qū)醫(yī)院網(wǎng)絡,結(jié)合實際進行闡述;探討醫(yī)院不同應用場景下的無線網(wǎng)絡,如組網(wǎng)方案、設備選型等。醫(yī)院網(wǎng)絡安全技術的設計情況也有了相應的介紹。[3]首先，隨著醫(yī)療系統(tǒng)對網(wǎng)絡需求的不斷增加，需要考慮安全方面網(wǎng)絡設計、網(wǎng)絡布線方針、網(wǎng)絡技術實施、醫(yī)療數(shù)據(jù)冗余備份等多個方面。建設一個與時俱進、功能齊全、具備冗余性能的網(wǎng)絡。對此要做到合理利用網(wǎng)絡協(xié)議，設計規(guī)劃分層，做到網(wǎng)絡結(jié)構(gòu)清晰，做到網(wǎng)絡穩(wěn)定，做到資源共享的同時防止醫(yī)療數(shù)據(jù)泄密。該社區(qū)網(wǎng)絡拓撲，結(jié)合網(wǎng)絡設計架構(gòu)模板設為：設備接入層、連接匯聚層、交換核心層。此次拓撲涵蓋了多種、多功能的網(wǎng)絡設備以達成該醫(yī)院的網(wǎng)絡要求。對于功能業(yè)務需求，在設計過程中為了搭建網(wǎng)絡的穩(wěn)定性、安全性、功能性等。配置了MultipleSpanningTreeProtocol，ethtrunk，DynamicHostConfigurationProtocol，VirtualRouterRedundancyProtocol，開放式最短路徑優(yōu)先協(xié)議，安全區(qū)域劃分，安全策略配置，(ACL)訪問控制列表，雙機熱備等，全方面體現(xiàn)網(wǎng)絡功能。圖3-1網(wǎng)絡拓撲圖3.2網(wǎng)絡層次設計在網(wǎng)絡建設中，我們需要保證網(wǎng)絡系統(tǒng)的穩(wěn)定運行，要考慮網(wǎng)絡設計的安全性、可靠性、帶寬選擇、網(wǎng)絡性能等多個方面，同時還要根據(jù)利于管理、可拓展等原則來設計網(wǎng)絡整體架構(gòu)。經(jīng)過探討設計并結(jié)合該社區(qū)醫(yī)院的功能需要，設立Layer3network架構(gòu)。同時，伴隨著無線網(wǎng)絡的發(fā)展和社區(qū)醫(yī)院業(yè)務的增加，要求我們的三層網(wǎng)絡架構(gòu)更加的完整、全面，為了進一步提升醫(yī)院網(wǎng)絡及分支醫(yī)院機構(gòu)的互聯(lián)網(wǎng)業(yè)務能力，該社區(qū)醫(yī)院在內(nèi)網(wǎng)網(wǎng)絡上設立了單獨的http服務器、dns服務器、ftp服務器、多部門單獨的無線網(wǎng)絡等。以及在核心層之上，設立了隔離防火墻，在防火墻上做了雙機熱備；設立了出口設備，在出口路由器上做了主備；設立了外網(wǎng)internet；設立了分支醫(yī)療機構(gòu)，分支醫(yī)療機構(gòu)與出口路由器做了ipsec連接。1、終端接入層：接入層負責劃分不同部門的網(wǎng)絡的接入，保證數(shù)據(jù)的介入、匯聚、傳輸?shù)?。在此層面，我們可購買低成本、大量接入口的基本交換機作為主要設備。在接入層，我們使用、配置了VirtualLocalAreaNetwork,MultipleSpanningTreeProtocol。使用VirtualLocalAreaNetwork標識不同門診的區(qū)間網(wǎng)絡，實現(xiàn)網(wǎng)絡分區(qū)、網(wǎng)絡隔離，同時配置放行端口協(xié)議，決定端口是否放行及設備是否互通。通過MultipleSpanningTreeProtocol將VirtualLocalAreaNetwork變成單獨例，防止VirtualLocalAreaNetwork彼此的回路，防止不同VirtualLocalAreaNetwork彼此作用?？梢蕴岣呔W(wǎng)絡環(huán)境下的可用性與可靠性，促進企業(yè)網(wǎng)絡的穩(wěn)定化運行。2、網(wǎng)絡匯聚層：匯聚層的作用是：不同醫(yī)療部的信息收集、分組信息、發(fā)送信息。信息根據(jù)本地醫(yī)療網(wǎng)絡的要求，轉(zhuǎn)發(fā)信息到其余設備整形。在此層次上，設立了VirtualLocalAreaNetwork分區(qū)、甄別包信息接受、DynamicHostConfigurationProtocol分配、增大寬帶、避免鏈路故障等功能。在匯聚層，我們使用、配置了MultipleSpanningTreeProtocol，VirtualLocalAreaNetwork,ethtrunk，DynamicHostConfigurationProtocol，VirtualRouterRedundancyProtocol，OpenShortestPathFirs等。使用VirtualLocalAreaNetwork識別不同診療門診，實現(xiàn)了網(wǎng)絡分區(qū)、隔離，通過MultipleSpanningTreeProtocol將VirtualLocalAreaNetwork變成單獨例，防止VirtualLocalAreaNetwork彼此的回路，防止不同VirtualLocalAreaNetwork彼此作用。通過配置ethtrunk，設置為`lacp-靜態(tài)`的模式，設置主干tr接口，準許通訊的VirtualLocalAreaNetwork等，增加帶寬、提高可靠性、實現(xiàn)負載均衡、簡化網(wǎng)絡拓撲。通過dhcp自動分配ip地址給不同的診療門診，避免手工設置所產(chǎn)生的錯誤，避免多個用戶使用相同IP地址產(chǎn)生沖突，且無需網(wǎng)絡管理員干涉，減少網(wǎng)絡管理工作量。通過VRRP將多個匯聚1及匯聚2的路由器組成一個虛擬路由器，避免單點故障和網(wǎng)絡中斷的發(fā)生，實現(xiàn)了路由器的高可用性和無故障切換。通過（ospf）“開放式最短路徑優(yōu)先”協(xié)議，劃分設備進入骨干區(qū)域（Arera0），建立了鄰居關系。OSPF通過維護LSDB、使用SPF算法計算路由、區(qū)域劃分以及高效的路由更新和安全性機制，保證網(wǎng)絡的高可靠性能。交換核心層：最重要的網(wǎng)絡核心能效地區(qū)，決定各個網(wǎng)絡路段的流量信息傳輸與否，其需要結(jié)合當?shù)蒯t(yī)療網(wǎng)絡的高能效要求，保證它的網(wǎng)段穩(wěn)定不掉線、防止故障發(fā)生。對此需要購入性能強力的change設備、firewall等，并且在firewall上設立Dual-machinehotstandby。在hexin1和hexin2上，我們使用、配置了VirtualLocalAreaNetwork,ethtrunk，OpenShortestPathFirst等。使用VirtualLocalAreaNetwork決定不同部門的網(wǎng)絡區(qū)間，實現(xiàn)網(wǎng)絡分區(qū)、網(wǎng)絡隔離。通過ethtrunk，提到最大寬帶、簡化網(wǎng)絡拓撲。通過OpenShortestPathFirst，劃分設備進入骨干區(qū)域（Arera0），建立了鄰居關系。OSPF通過維護LSDB、使用SPF算法計算路由、區(qū)域劃分以及高效的路由更新和安全性機制，確保了網(wǎng)絡的穩(wěn)定性和高效性。4、出口設備層：internet通過運營商的光纖接入實現(xiàn)通信。出口設備主要功能是實現(xiàn)外部光釬線路的接入和本地設備能夠訪問網(wǎng)絡，同時配置安全策略對一些內(nèi)網(wǎng)地址和外網(wǎng)IP進行阻斷，確保網(wǎng)絡連接及安全。同時在出口設備的防火墻上做了雙機熱備，在路由器上做了主備配置，增加了冗余性。于FW1及FW2上，我們配置了Dual-machinehotstandby，用來保證信息的穩(wěn)定運行。配置了安全區(qū)域，安全策略（ospf）“開放式最短路徑優(yōu)先”協(xié)議等。雙機熱備份通過備份鏈路批量和實時備份數(shù)據(jù)，其主設備故障能切換到備份設備，降低單點故障風險。配置安全區(qū)域及安全策略，實現(xiàn)網(wǎng)絡訪問是否放通，實現(xiàn)了網(wǎng)絡安全。使用AR1、AR2為主備，提高設備可靠性。在AR1、AR2與分支醫(yī)療機構(gòu)上，配置了缺省路由注入ospf，（acl）訪問控制列表。在ipsec安全協(xié)議。通過缺省路由，將指示路由器或網(wǎng)絡主機將報文發(fā)往指定的位置，保證報文能被接收到。訪問控制列表對數(shù)據(jù)包源ip地址進行過濾，控制文件或目錄的訪問權限，提高系統(tǒng)的安全性和可維護性。通過ipsec安全協(xié)議，使得通過AR1、AR2能與分支醫(yī)療機構(gòu)傳輸數(shù)據(jù)。綜上所述，通過該網(wǎng)絡方案的設計，使得其整個架構(gòu)結(jié)構(gòu)完整，層次分明，功能齊全，并且具備單獨的服務器，如當網(wǎng)絡出現(xiàn)故障，可以輕易發(fā)現(xiàn)并更正，保證了社區(qū)網(wǎng)絡的穩(wěn)定性。圖3-2網(wǎng)絡層次設計圖3.3網(wǎng)絡IP地址規(guī)劃與設計（1）網(wǎng)絡IP地址規(guī)劃IP地址的合理劃分直接對應了網(wǎng)絡拓撲的組網(wǎng)結(jié)構(gòu)，網(wǎng)絡區(qū)段與VirtualLocalAreaNetwork的功能性、目的性的設計，可提升網(wǎng)絡效能、網(wǎng)絡速率，做到信息不擁堵，保證業(yè)務信息不丟失。（2）網(wǎng)絡IP地址規(guī)劃的目標和原則IP地址規(guī)劃的目標：充分利用好IP地址資源，建立高利用率的的網(wǎng)絡路由。IP地址規(guī)劃從四大方向性考慮：可更改性、單獨性、接連性、實際性?？筛男裕壕W(wǎng)絡可根據(jù)本地醫(yī)療功能的變化來進行可更迭變化的網(wǎng)絡配置。單獨性：網(wǎng)絡地址只能用于單個機器設備。接連性：接連的路由規(guī)劃來簡化本地的地址分配，方便網(wǎng)絡地址管理。實際性：有一定的實際意義的IP地址，明確標識出此IP地址分配給了哪個部門。（3）網(wǎng)絡IP地址設計針對醫(yī)院網(wǎng)絡的有線網(wǎng)絡，網(wǎng)絡管理員通過VLAN來劃分不同部門。1設備接口ip分配表如表3-1所示。2部門與VLAN的IP規(guī)劃表如表3-2所示。表3-1設備接口ip分配表名稱接口地址網(wǎng)段網(wǎng)關internetGE0/0/0/30GE0/0/1/30GE0/0/2/30LoopBack0/32/分支GE0/0/0/30GE0/0//30pc6/0/324/ar1GE0/0/0/30/GE0/0/1/30/GE0/0/2/30/GEt4/0/0/30/ar2GE0/0/0/30/GE0/0/1/30/GE0/0/2/30/GE4/0/0/30/FW1GE0/0/00/24/GE1/0/0/30GE1/0//30GE1/0//30GE1/0/3/30GE1/0//30FW2GE0/0/00/24/GE1/0/0/30GE1/0//30GE1/0//30GE1/0/3/30GE1/0//30FW3GE0/0/054/24GE1/0/0/30GE1/0/1/30http服務器//24dns服務器//24ftp服務器//24表3-2部門與VLAN的IP規(guī)劃表部門VLANIP網(wǎng)段lsw10Vlanif1054/30Vlanif100/30hexin1vlanif1unassignedvlanif1/30vlanif1/30vlanif13/30vlanif2/30vlanif24/30vlanif3/30hexin2vlanif1unassignedvlanif1/30vlanif14/30vlanif2/30vlanif2/30vlanif23/30vlanif3/30huiju1vlanif1unassignedvlanif1052/24vlanif13/30vlanif2052/24vlanif23/30vlanif3052/24vlanif4052/24huiju2vlanif1unassignedvlanif1053/24vlanif14/30vlanif2053/24vlanif24/30vlanif3053/24vlanif4053/24huiju3MEth0/0/1unassignedNULL0unassignedVlanif1unassignedac1MEth0/0/1unassignedNULL0unassignedVlanif10154/24lsw6NULL0unassignedVlanif1unassignedlsw7NULL0unassignedVlanif1unassignedlsw8NULL0unassignedVlanif1unassignedlsw9NULL0unassignedVlanif1unassigned醫(yī)療部vlan10住院部vlan20急診部vlan30后臺部vlan403.4

設備選型3.4.1核心交換機選型核心網(wǎng)絡層在需要有較強的冗余性能和高速傳輸?shù)哪芰?，設備上需要具備多個g/e接口，因此在設備選型時需要具有較高的性能且有足量的端口，經(jīng)過性價比和性能的比對后本次實驗我們購入HUAWEI的S12708交換機，本類型設備具有bigthroughput，highSwitchingrate的功能，，十分使用本層次結(jié)構(gòu)的要求。圖3-3華為S12708S12708交換機參數(shù)如圖3-4所示:圖3-4核心交換機S12708參數(shù)3.4.2匯聚層交換機網(wǎng)絡匯聚層需要進行較多的配置和vlan的劃分，為了方便設備的更改隨時適應組網(wǎng)結(jié)構(gòu)的變化，因此我們需要設備有很強的可配置可擴展性能，因此經(jīng)過性價比考慮我們決定購買HUAWEI的交換機S7706，其主要為高可更改性及高適應性，十分使用本層次結(jié)構(gòu)的要求。S7706核心交換機參數(shù)如圖3-5所示:圖3-5核心交換機S7706參數(shù)圖3-6交換機S77063.4.3接入層交換機網(wǎng)絡接入層我們需要簡單的處理各種vlan的接入，因此我們需要考慮成本，使用具有適當性價比的交換機，經(jīng)過考慮我們決定購入的是HUAWEI的交換機S5736-S，它的類型是Layer3switches，其具備大量寬帶，如10megabitUplinkinterface和Gigabitdownlinkinterface，十分適合本層次結(jié)構(gòu)要求。圖3-7華為S5720系列交換機S5736-S交換機參數(shù)如圖3-8所示：圖3-8核心交換機S5736-S參數(shù)3.4.4

防火墻在firewall層面，firewall決定了網(wǎng)絡路段的外出與否，建立了統(tǒng)一的外界路段。防火墻需要具備網(wǎng)絡的隔離劃分功能以及確保網(wǎng)絡安全的功能，經(jīng)過考慮我們決定機器購入HUAWEI的防火墻USG6600E，其類型為高帶寬的與外界連接設施，安全效能上有信息檢測、信息過濾等。防火墻型號USG6600E參數(shù)如圖3-9所示：圖3-9防火墻參數(shù)圖3-10華為USG6600E系列防火墻

4配置與功能實現(xiàn)4.1VLAN配置接入層lsw6vlanbatch10101//配置VLANintg0/0/1portlink-typeaccess//配置端口類型為accessportdefaultvlan10inte0/0/4portlink-typetrunk//配置端口類型為trunkporttrunkallow-passvlan10101porttrunkpvidvlan101inte0/0/2portlink-typetrunkporttrunkallow-passvlan10101inte0/0/3portlink-typetrunkporttrunkallow-passvlan10101同理LSW7\8\9劃分不同部門的VLAN匯聚層huiju1vlanbatch101320233040101intg0/0/1portlink-typetrunkporttrunkallow-passvlan10101intg0/0/2（省略）intevlan13ipadd30intevlan23ipadd30同理huiju2、huiju3配置不同VLAN和ip地址無線設備ac配置VLANvlanbatch10203040101interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan102030401014.2mstp配置接入層lsw6stpregion-configurationregion-namejoeinstance1vlan1020instance2vlan3040activeregion-configuration同理LSW7\8\9根據(jù)LSW6的配置原則配置MSTP匯聚層huiju1stpregion-configurationregion-namejoeinstance1vlan1020instance2vlan3040activeregion-configurationstpinstance1rootprimarystpinstance2rootsecondaryhuiju2stpregion-configurationregion-namejoeinstance1vlan1020instance2vlan3040activeregion-configurationstpinstance2rootprimarystpinstance1rootsecondary匯聚1、2的mstp分別做主備4.3vrrp配置huiju1intevlan10ipadd5224vrrpvrid10virtual-ip54vrrpvrid10priority120vrrpvrid10trackinterfaceGigabitEthernet0/0/20reduced30vrrpvrid10trackinterfaceGigabitEthernet0/0/21reduced30vrrpvrid10preempt-modetimerdelay45dhcpselectglobalintevlan20ipadd5224vrrpvrid20virtual-ip54vrrpvrid20priority120vrrpvrid20trackinterfaceGigabitEthernet0/0/20reduced30vrrpvrid20trackinterfaceGigabitEthernet0/0/21reduced30vrrpvrid20preempt-modetimerdelay45dhcpselectglobalintevlan30ipadd5224vrrpvrid30virtual-ip54dhcpselectglobalintevlan40ipadd5224vrrpvrid40virtual-ip54dhcpselectglobalhuiju2intevlan10ipadd5324vrrpvrid10virtual-ip54dhcpselectglobalintevlan20ipadd5324vrrpvrid20virtual-ip54dhcpselectglobalintevlan30ipadd5324vrrpvrid30virtual-ip54vrrpvrid30priority120vrrpvrid30trackinterfaceGigabitEthernet0/0/20reduced30vrrpvrid30trackinterfaceGigabitEthernet0/0/21reduced30vrrpvrid30preempt-modetimerdelay45dhcpselectglobalintevlan40ipadd5324vrrpvrid40virtual-ip54vrrpvrid40priority120vrrpvrid40trackinterfaceGigabitEthernet0/0/20reduced30vrrpvrid40trackinterfaceGigabitEthernet0/0/21reduced30vrrpvrid40preempt-modetimerdelay45dhcpselectglobalhuiju1和huiju2的vrrp中vlan分別配置不同的優(yōu)先級來實現(xiàn)冗余4.4鏈路集合配置huiju1、huiju2配置eht-trunbk接口inteeth1modelacp-staticportlink-typetrunkporttrunkallow-passvlan10203040101inteeth1trunkportg0/0/5trunkportg0/0/6圖4-1查看huiju1鏈路集合hexin1、hexin2inteeth1trunkportg0/0/1trunkportg0/0/10portlink-typeaccessportdefaultvlan12sd4.5dhcp配置huiju1、huiju2dhcpenableippoolvlan10networkmaskgateway-list54dns-listippoolvlan20networkmaskgateway-list54dns-listippoolvlan30networkmaskgateway-list54dns-listippoolvlan40networkmaskgateway-list54dns-listacdhcpenableintvlanif101ipadd5424dhcpselectinterfaceq匯聚層劃分相同的dhcp地址池，無線設備劃分另外的地址池。4.6OSPF配置將交換路由和防火墻劃分到ospf核心區(qū)域圖4-2ospf劃分到核心區(qū)域0的主要設備huiju1、huiju2、hexin1、hexin2、FW1、FW2、AR1、AR2的ospf1router-id分別為1.1.1.（1-8），F(xiàn)W3的ospf1router-id為0。huiju1ospf1router-idarea0networknetworkarea1network55network55network55network55同理其余設備劃分不同的router-id和不同的network注意AR1和AR2上配置了缺省路由注入ospfAR1配置缺省iproute-static0缺省路由注入ospfospfdefault-route-advertiseAR2配置缺省iproute-static0pr160缺省路由注入ospfospfdefault-route-advertisepe查看AR2圖4-3AR2的ospf路由4.7無線局域網(wǎng)配置acinterfaceGigabitEthernet0/0/20undonegotiationautoduplexhalfinterfaceGigabitEthernet0/0/21undonegotiationautoduplexhalf指定與AP建立CAPWAP隧道的源接口capwapsourceinterfacevlanif101配置AP認證模式wlanapauth-modeno-auth//不認證的AP認證模式配置wlan業(yè)務wlansecurity-profilenamesec/安全膜板名稱為secsecuritywpa-wpa2pskpass-phrase12345678aes/密碼12345678qssid-profilenamessid/設置名稱為ssid的ssid模板ssidWIFI/指定ssid為wifiq創(chuàng)建無線客戶端訪問模板，關聯(lián)以上三個參數(shù)vap-profilenamevap1/創(chuàng)建名為“vap1”的VAP模板service-vlanvlan-id10/設立對接的VirtualLocalAreaNetwork10ssid-profilessid/對應的ssid模板security-profilesec/對應的安全模板qvap-profilenamevap2service-vlanvlan-id20ssid-profilessidsecurity-profilesecqvap-profilenamevap3service-vlanvlan-id30ssid-profilessidsecurity-profilesecqvap-profilenamevap4service-vlanvlan-id40ssid-profilessidsecurity-profilesecqregulatory-domain-profilenamedomain創(chuàng)建ap-group（AP組），將配置好的“域配置文件”關聯(lián)到每一個ap-group,開啟AP無線信號wlanap-groupnameap-group1regulatory-domain-profiledomainradio0vap-profilevap1wlan1radio1vap-profilevap1wlan1ap-groupnameap-group2regulatory-domain-profiledomainradio0vap-profilevap2wlan1radio1vap-profilevap2wlan1ap-groupnameap-group3regulatory-domain-profiledomainradio0vap-profilevap3wlan1radio1vap-profilevap3wlan1ap-groupnameap-group4regulatory-domain-profiledomainradio0vap-profilevap4wlan1radio1vap-profilevap4wlan1在AC上手動添加ap（基于MAC地址進行注冊）ap-id1type-id69ap-mac00E0-FC34-3280ap-nameap1//為AP設置名字，便于區(qū)分AP點位ap-groupap-group1//將AP加入指定的AP組中ap-id2type-id69ap-mac00E0-FCFB-7DC0ap-nameap2ap-groupap-group2ap-id3type-id69ap-mac00E0-FC8C-7F30ap-nameap3ap-groupap-group3ap-id4type-id69ap-mac00E0-FC1F-35A0ap-nameap4ap-groupap-group44.8防火墻安全區(qū)域、安全策略配置FW3配置安全區(qū)域firewallzonetrustaddinterfaceGigabitEthernet0/0/0firewallzonedmzaddinterfaceGigabitEthernet1/0/1addinterfaceGigabitEthernet1/0/0配置安全策略security-policyrulenametrust-dmzsource-zonedmzsource-zonetrustdestination-zonedmzdestination-zonetrustsource-addressmasksource-addressmasksource-addressmasksource-addressmaskdestination-addressmaskactionpermitFW1配置安全區(qū)域firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/0addinterfaceGigabitEthernet1/0/0addinterfaceGigabitEthernet1/0/2firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet1/0/1addinterfaceGigabitEthernet1/0/3firewallzonedmzsetpriority50addinterfaceGigabitEthernet1/0/4配置安全策略security-policyrulenamet-usource-zonetrustdestination-zoneuntrustsource-addressmasksource-addressmasksource-addressmasksource-addressmaskdestination-addressmaskactionpermitrulenameu-tsource-zoneuntrustdestination-zonetrustsource-addressmaskdestination-addressmaskdestination-addressmaskdestination-addressmaskdestination-addressmaskactionpermit配置安全策略nat可以訪問到互聯(lián)網(wǎng)設備rulenamenatsource-zonetrustdestination-zoneuntrustsource-addressmasksource-addressmasksource-addressmasksource-addressmaskactionpermit同理FW2根據(jù)要求配置不同的安全區(qū)域、安全策略4.9雙機熱備配置FW1（直接于防火墻配置文件上編寫）配置進程：啟動HRP。指定心跳接口、對端ip地址。所有備份的信息都可以直接在備用設備上配置,并且備用設備上的配置可以同步到主設備上。監(jiān)聽接口，配置雙機熱備與IP-Link聯(lián)動，啟動ip-link檢查，創(chuàng)建IP-Link名稱test，通過g1/0/1使用icmp協(xié)議偵測目的IP為，開啟接口http，配置接口g1/0/0加入到Link-group1，其余地址也劃分入Link-group1，劃分不同的ip地址。如圖4-4為FW1的雙機熱備配置命令。圖4-4FW1的雙機熱備配置同理FW2的雙機熱備根據(jù)目的地址的不同進行配置4.10ACL配置ar1創(chuàng)建ACL3000，在nat先把總部到分部的私網(wǎng)流量禁掉，再匹配去往總部或去往分部私網(wǎng)的流量創(chuàng)建ACL3001,aclnumber3001是ipsec的興趣流，匹配原地址與分支結(jié)構(gòu)的目的地址。如圖4-5為ar1的ACL配置。圖4-5ar1的acl配置同理ar2進行相同acl配置分支醫(yī)療機構(gòu)創(chuàng)建ACL3000，在nat先把總部到分部的私網(wǎng)流量禁掉，再匹配去往總部或去往分部私網(wǎng)的流量。再創(chuàng)建ACL3001，aclnumber3001是ipsec的興趣流，匹配原地址與分支結(jié)構(gòu)的目的地址。如圖4-6為分支醫(yī)療機構(gòu)的ACL配置。圖4-6分支醫(yī)療機構(gòu)的acl配置4.11ipsec配置ar1***創(chuàng)建IKE安全提議***ipsecproposaltran1//創(chuàng)建IPSec安全提議，名稱為tranlespauthentication-algorithmsha2-256//設置認證算法為SHA2espencryption-algorithmaes-128//設置加密算法為AESikeproposal5//創(chuàng)建IKE提議，編號為5encryption-algorithmaes-cbc-128//設置加密算法為AESdhgroup14//設置DH組14密鑰長度***配置IKE對等體***ikepeerfenrv1//創(chuàng)建IKE對等體，對等體名稱為'fenr'，用于標記遠端設備,僅支持SA版1pre-shared-keycipherhuawei//密文格式‘huawei’為共享密鑰，密鑰兩端相同。ike-proposal5//應用前面創(chuàng)建的IKE安全提議5remote-address//設立建VPN遠端設備地址。***配置IPSec安全策略***ipsecpolicyisp10isakmp//創(chuàng)IPSec策略，為‘isp’名稱，10為序列號，用IKE建立IPSecSA（isakmp）為安全連接和密鑰管理協(xié)議securityacl3001//應用ACL3001,抓取ACL3001去往分部的流量ike-peerfenr//應用名為fenr的IKE對等體proposaltran1//應用前面創(chuàng)建的IKE安全提議tranlqintg4/0/0ipsecpolicyispIPsec安全策略‘isp’在出接口應用natoutbound3000//ACL3000配置在g4/0/0上同理ar2配置ipsec分支醫(yī)療機構(gòu)ipsecproposaltran1espauthentication-algorithmsha2-256espencryption-algorithmaes-128ikeproposal5encryption-algorithmaes-cbc-128dhgroup14ikepeerzong-bv1pre-shared-keycipherhuaweiike-proposal5remote-addressikepeerzong-zv1pre-shared-keycipherhuaweiike-proposal5remote-addressipsecpolicyisp10isakmp/對應ipsec組isp中的兩條隧道securityacl3001ike-peerzong-zproposaltran1ipsecpolicyisp11isakmp/對應ipsec組isp中的兩條隧道securityacl3001ike-peerzong-bproposaltran1