湖北等级保护测评,湖北等保测评,湖北省公安厅推荐资质测评机构|武汉明嘉信技术有限公司,数据安全,安全运营【摘要】
本文简要介绍了VLAN技术的基本概念和技术原理,并从医院满足等保2.0要求以及优化业务应用网络环境的角度出发,具体分析了医院网络如何有效的进行VLAN划分,从而提高医院网络的安全性和运行效率。
【正文】
根据等保2.0对【安全通信网络-网络架构】的要求:
应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址,根据重要性、部门等因素划分不同的网络区域,业务网络和办公网络分配不同的VLAN和网段。
1. 医院网络分区
医院网络建设的方针是“建设一个以现代网络技术为依托,技术先进、扩展性强、能覆盖医院主要楼宇的主干网络,将各种终端设备和数据中心连接起来,并与有关广域网、专网相连,共享资源和工作协同。形成结构合理、内外沟通的计算机网络系统,在此基础上建立能满足医护、科研和管理工作需要的软硬件环境,为医院各类人员提供充分的网络信息服务。”整个网络要求设计成为Intranet应用模式,具有高速、开放、安全、易于管理的特点。因此,医院的网络设计通常遵循“三层架构,功能分区”的原则。从逻辑上分为核心层、汇聚层和接入层的三层架构。
- 核心层是一个高速的交换骨干,其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL,过滤等),否则会降低数据包的交换速度。
- 汇聚层提供基于统一策略的互连性,它是核心层和接入层的分界点,定义了子网的边界,对数据包进行复杂的运算。在医院网络环境中,汇聚层主要提供如下功能:地址的聚集、部门和工作组的接入、广播域/多目传输域的定义、Inter VLAN路由、介质的转换、安全控制。
- 接入层的主要功能是为最终用户提供对医院网络访问的途径。本层也可以提供进一步的调整,如Access-list Filtering等
医院网络的功能分区如下图:
各区域的界限以及作用范围
- 内网中心服务器区
医院信息平台上内网所有的应用服务器、数据库服务器、中间件服务器、数据存储设备等一切内网业务系统相关设备的集中连接区域,是整个医院业务的核心。例如,内网中心服务器区域是HIS 系统、LIS 系统,PACS 系统,EMR 系统等所在的区域。 - 外网中心服务器区(DMZ 区)
医院信息平台上外网所有的应用服务器、数据库服务器、中间件服务器、数据存储设备等一切外网业务系统相关设备的集中连接区域。例如,外网中心服务器区是医院外网OA 服务器,外网WEB 服务器,MAIL 服务器等所在的区域。 - 数据灾备区
该区域是HIS、电子病历、医学影像系统等数据中心子系统的灾备区域,一般该区域为院内灾备区域,通过高速链路直接与核心交换机相连,实现业务系统与灾备区域数据实时的同步。 - 骨干网络区
主要负责医院信息平台上数据中心区域内各服务器区之间的互联,以及数据中心区与终端接入区之间的互联或汇聚互联,该区域的主要功能为实现局域网内数据的高速处理和转发。远程链路汇聚主要采用高性能的路由器、VPN 网关服务器。主要通过万兆平台及其以上的高性能三层交换机进行连接。 - 专网出口区
该区域主要功能为卫健专网、医保专网、银行系统提供专网的接入服务。 - 互联网出口区
该区域是为下载医学相关资料,获取互联网海量信息而提供的安全的Internet 出口,也是医院门户网站,对外服务系统对公众社会提供服务的出口区域,该区域由于与广域网链路相连,外部网络环境较为复杂,存在较大的风险隐患,所以是安全防护的重点区域。该区域主要由高性能路由器、防毒墙、防火墙、流控设备、VPN 设备、上网行为管理设备、网站保护系统等组成。 - 安全管理中心区
医院信息平台数据中心内保障整体信息平台安全、稳定运行的安全管理运维系统的连接区域。如证书服务器、身份认证、漏洞扫描、入侵检测、堡垒机、网络管理等。 - 终端接入区
主要提供挂号,缴费以及各类行政方面的服务。
2. 什么是VLAN?
VLAN(Virtual Local Area Network)即虚拟局域网,是指将一个物理的LAN在逻辑上划分成多个广播域的通信技术。早期的局域网LAN技术基于总线型结构,它存在以下几个问题:
- 若某时刻有多个节点同时试图发送消息,则它们将产生冲突。
- 从任意节点发出的消息都会被发送到其他所有节点,形成广播。
- 所有主机共享一条传输通道,无法控制网络中的信息安全。
这种网络构成了一个冲突域,网络中计算机数量越多冲突越严重,网络效率越低。同时,该网络也是一个广播域,当网络中发送信息的计算机数量越多时,广播流量将会耗费大量带宽。因此,传统网络不仅面临冲突域和广播域两大难题,而且无法保障传输信息的安全。为了扩展传统LAN,以接入更多计算机,同时避免冲突的恶化,出现了网桥和二层交换机,它们能有效隔离冲突域。网桥和交换机采用交换方式将来自入端口的信息转发到出端口上,克服了共享介质上的访问冲突问题,从而将冲突域缩小到端口级。采用交换机进行组网,通过二层快速交换解决了冲突域问题,但是广播域和信息安全问题依旧存在。为减少广播,需要在没有互访需求的主机之间进行隔离。路由器是基于IP地址信息来选择路由的,其连接两个网段时可以有效抑制广播报文的转发,但成本较高。因此人们设想在物理局域网上构建多个逻辑局域网,即VLAN。VLAN技术将广播报文限制在一个VLAN内,使得同一VLAN内的主机之间可以直接相互通信,而不同VLAN间的主机则不能直接通信,提高了网络的安全性。下图是一个典型的VLAN应用组网图。
3.VLAN的实现原理
- VLAN的帧格式
IEEE 802.1Q标准对传统Ethernet帧格式进行了修改,在源MAC地址字段和协议类型字段之间加入4字节的802.1Q Tag,形成了VLAN的帧格式。具体如下图所示。
802.1Q Tag包含4个字段,其含义如下:
- Type(类型)
长度为16比特,表示帧类型。取值为0x8100时表示1Q Tag帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃。 - PRI(优先级)
Priority,长度为3比特,表示帧的优先级,取值范围为0~7,值越大优先级越高。用于当设备阻塞时,优先发送优先级高的数据帧。 - CFI(规范格式指示器)
Canonical Format Indicator,长度为1比特,表示MAC地址是否是经典格式。 - VID
VLAN ID,长度为12比特,表示该帧所属的VLAN。- VLAN的链路类型
VLAN内的链路类型包括两类:
- 接入链路(Access Link):连接用户主机和设备的链路为接入链路。如图2所示,图中PC机和设备之间的链路都是接入链路。接入链路上通过的帧为不带Tag的以太网帧。
- 干道链路(Trunk Link):连接设备和设备的链路称为干道链路。如图2所示,图中设备之间的链路都是干道链路。干道链路上通过的帧一般为带Tag的VLAN帧。
4.VRRP协议
虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议。VRRP广泛应用在边缘网络中,它的设计目标是支持特定情况下IP数据流量失败转移不会引起混乱,允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能够维护路由器间的连通性。
VRRP具有如下优点:
- 简化管理:在具有多播或广播能力的局域网中,借助VRRP 能在某台设备出现故障时仍然提供高可靠的缺省链路,有效避免单一链路发生故障后网络中断的问题,无需修改主机的默认网关配置。
- 适应性强:VRRP 报文封装在 IP 报文中,支持各种上层协议。
- 网络开销小:VRRP 只定义了一种报文–VRRP 通告报文,并且只有处于Master 状态的路由器可以发送 VRRP 报文。
- 高可用性:两个不同的路由器成为不同组的主路由器,相互备份,跟踪上行链路接口状态,当上行链路接口失效或主路由器失效时,自动将备份路由份提升为主路由器,保证数据的不丢失。
5. VLAN技术在医院网络规划中的应用
采用VLAN技术规划医院网络的优势在于,各部门不再需要物理网络上相邻,节约了建设成本;同时通过从底层和其他网络隔离保障了医院网络的安全性,以及采用冗余技术,保证医院即使端口或者链路出现故障后依然能正常工作。
VLAN技术在医院网络的主要作用:
(1)最大限度地把网络病毒传播扩散的时间窗口和产生影响范围缩减到最小;
(2)第一时间发现并抑制广播风暴,避免网络故障或瘫痪;
(3)对关键的数据访问进行控制,以防关键业务数据发生泄漏;
(4)禁止外来人员随意接入医院网络,避免木马病毒的安全隐患。
在医院的VLAN规划设计时,需要按照如下步骤开展:
- 收集建立网络流量模型
先收集建立医院的网络流量模型,采用下表:
| 科室 | 流量占比 |
- 地址规划
医院网络根据业务功能、重要程度的不同,可从总体上分为医疗内网和办公外网两大部分:医疗内网主要承载医护终端接入、医院信息系统等等医疗相关业务;办公外网主要承载办公接入、对外服务系统、楼宇智能化控制等业务。医疗内网、办公外网可再根据具体业务类别细划分不同的业务域,通过防火墙设置域间访问策略达到访问控制的目的。医疗内网的业务域可根据医院实际情况,划分为如外联接入域、终端接入域、内网运维域、核心业务域、其他业务域、隔离交换域等;办公外网部分,可划分为隔离交换域、互联网接入域、终端接入用 IP 地址的局域网。
- 设备命名规划
| 设备类型 | 安装场所 | 设备命名 | 设备loopback0地址 |
- 汇聚层交换机IP地址规划
| 访问需求 | VLAN ID | IP地址段 | 掩码 | 网关 |
- 服务器IP地址规划
| 服务器 | IP地址段 | 掩码 | 网关 | VRRP主地址 | VRRP备地址 |
- 设备互联VLAN地址规划
| 本端设备名称 | 本端VID | 本端地址 | 对端设备名称 | 对端VID | 对端地址 |
- 设备loopback地址规划
| 设备名称 | 设备loopback0地址 |
| 验收目的 | OSPF在广播网上的运行 |
| 预置条件 | 按照测试组网连接设备 |
| 测试过程 | 1、在各个网段运行ospf协议,所有的接口配置为一个区域。
2、SWA和SWB相连的链路运行OSPF Network broadcast网络类型。 3、查看交换机的路由表。 |
| 预期结果 | 两台交换机均有网段路由。 |
| 测试说明 | 无 |
| 测试结论 | OK POK NG NT |
- 网络互通性测试
| 验收目的 | 测试网络上两点网元之间的联通性 |
| 预置条件 | 按照测试组网连接设备 |
| 测试过程 | 1、在各个网元之间使用网络PING工具进行联通性监测;
2、查看PING工具测试结果。 |
| 预期结果 | 获得测试返回数据包。 |
| 测试说明 | 无 |
| 测试结论 | OK POK NG NT |
【结语】
VLAN 技术的优化降低了计算资源的过度浪費,有利于提高医院的信息处理速度。在实践应用VLAN技术中,充分运用定义本征VLAN的方法和本征VLAN的特性来满足医院对数据传输的要求, 医院的网络结构呈现核心层——汇聚层——接入层,通过该结构划分详尽的网络部门,互相传递信息,最大限度减少计算资源浪费增加经济效益,这就是VLAN优化带来的好处。
