基于配置備份的醫(yī)院內網設計與實現

徐皓 顧正宇 趙舒鈺 李雨伶

摘? 要：隨著醫(yī)院信息化標準不斷升級，醫(yī)療網絡架構的實時優(yōu)化與升級將極大影響醫(yī)院管理水平與醫(yī)療服務質量。其中醫(yī)院內網包含大量網絡設備如交換機、路由器等，數量規(guī)模龐大且網絡結構復雜。為提高醫(yī)院內網突發(fā)故障的應急解決能力，文章通過使用SNMPv2c協(xié)議與TFTP協(xié)議實現醫(yī)院內網設備雙向配置備份，提高醫(yī)院內網可靠性。

關鍵詞：醫(yī)院內網;雙向備份;SNMPv2c;TFTP

Abstract： With the constantly upgrading of hospital information standards， the real-time optimization and upgrade of the medical network structure will greatly influence the level of hospital management and the quality of medical services. The hospitalintranet contains enormous network devices that have colossal scales and complicated structures， such as switches and routers. In order to enhance the reliability and emergency solution ability of the hospitalintranet， this article uses the SNMPv2c protocol and the TFTP protocol to realize the bidirectional configuration backup of the hospitalintranet equipment.

1 概述

隨著信息技術的不斷發(fā)展，醫(yī)院信息化的建設早已脫離了單機單節(jié)點的用戶結構，進而轉變?yōu)榭剖?、部門和各院的三級聯(lián)動結構。由于醫(yī)院內網通常存儲海量病患數據，具有很高的經濟價值。因此時常遭受網絡攻擊，攻擊者通過獲取醫(yī)療病患數據勒索院方，或攻擊醫(yī)院網絡設備造成醫(yī)院服務癱瘓，因此針對醫(yī)院內網中大量的網絡設備，需要安全、高效的進行備份管理，這是降低網絡故障與風險的有效保障，醫(yī)院中網絡設備進行備份主要發(fā)生在以下三個場景：

（1）重要保障時期：醫(yī)院在國慶、春節(jié)、勞動節(jié)等大型節(jié)日期間，信息科值班人數相對較少，在此時期內更需要做好所有設備的配置備份，以確保醫(yī)院在任何時刻正常運行，實現零故障。

（2）突發(fā)性網絡攻擊：醫(yī)院網絡設備遭受突然性的持續(xù)攻擊，導致醫(yī)院內網服務癱瘓，針對此類故障，需要在第一時間重新啟動熱備，將備份配置導入備份路由器與交換機中，實現快速搶修。

（3）設備的割接：為了防止新設備發(fā)生問題時能夠進行割接回退，對需要更替的網絡設備進行替換式割接時，需要進行與設備系統(tǒng)升級時相同的操作，導出被割接設備的配置文件。

本文將詳細討論在醫(yī)院內網中使用SNMPv2c（Simple Network Management Protocol）與TFTP（Trivial File Transfer Protocol）兩種技術實現醫(yī)院網絡設備雙向配置自動備份的方案。

2 SNMPv2c協(xié)議與TFTP協(xié)議

2.1 SNMPv2c協(xié)議簡介

SNMP協(xié)議（Simple Network Management Protocol）是目前在TCP/IP體系中最為廣泛的管理網絡IP節(jié)點的應用層控制協(xié)議，SNMP協(xié)議提供了通過計算機對網絡設備進行實時監(jiān)控與管理的系統(tǒng)方法，定義了一組特定消息用于獲取被監(jiān)控設備的詳細信息。通過規(guī)定SNMP的MIB和Agent之間報文通信格式與網絡環(huán)境中監(jiān)控和管理設備的標準化管理框架[2]。

本文采用SNMPv2c協(xié)議，在兼容SNMPv1的同時又擴充了SNMPv1的功能，它提供了更多的操作類型如GetBulk和Inform操作等，支持更多的數據類型，通過增加數據類型錯誤代碼，實現錯誤報告的精確定位。SNMPv2c的報文格式如圖1所示：

相比SNMPv1的報文內容，SNMPv2c新增GetBulk和inform操作報文，其中GetBulk操作對應基本類型的GetNext操作，通過對Non repeaters和Max repetitions參數進行設置，高效而快速的從Agent獲取大量管理對象數據，Inform操作屬于Trap操作升級，Inform報文在發(fā)出后能夠收到響應報文。除此之外，SNMPv2c修改了Trap報文格式，其中Trap PUD采用了SNMPv1 Get/GetNext/Set PDU格式，同時將sysUpTime和snmpTrapOID作為Variable bindings中的變量來構造報文。

2.2 TFTP協(xié)議簡介

TFTP簡單文件傳輸協(xié)議，目前在主流的網絡設備操作系統(tǒng)中通常內嵌了支持TFTP協(xié)議傳輸文件功能，由于TFTP協(xié)議屬于非交換式傳輸，可以在網絡設備設置定時操作，在固定時刻，路由器交換機定時發(fā)送自身配置文件往TFTP備份服務器。默認情況下，TFTP傳輸文件以定長的512字節(jié)傳輸，目前主要使用兩種傳輸模式：netascii（ASCII文本模式）、octet（二進制模式）。當網絡故障時，可通過前日備份的配置文件快速導入癱瘓設備，完成設備重啟，提升應急反應能力，保障醫(yī)院三大系統(tǒng)的穩(wěn)定運行。

3 醫(yī)院配置備份架構設計

3.1 網絡拓撲結構設計

實現網絡設備配置自動備份的方案有很多種，但是通常分為兩類：一類是醫(yī)院信息科網管系統(tǒng)通過模擬人機交互遠程登陸路由器、交換機等設備獲取配置信息，屬于被動獲取配置信息，第二類是網絡設備通過定時協(xié)議主動向備份服務器發(fā)送配置文件，備份服務器通過自動覆蓋前期備份文件實現配置備份。本文將使用SNMPv2c技術作為網管系統(tǒng)主動獲取醫(yī)院網絡設備配置文件，同時使用TFTP技術實現網絡設備定時被動發(fā)送配置文件。其簡單流程如圖2所示。

3.2 SNMPv2c配置備份實現

利用SNMPv2c技術實現網絡設備的主動備份，優(yōu)勢在于將具體設備抽象成單個節(jié)點，通過一個統(tǒng)一的協(xié)議和接口進行管理。SNMPv2c技術首先需要在交換機或路由器上啟動SNMPv2c協(xié)議，配置團體字與SNMP監(jiān)控主機，運行端口發(fā)送Trap信息。設置團體字“backup”為“RW”，實現監(jiān)控主機對路由器或交換機的信息查詢操作與改寫配置操作，將F0/0的IP地址作為SNMP Trap的發(fā)送源地址，最后指定SNMP的監(jiān)控主機的IP地址，將Trap發(fā)往指定主機。一般路由器與交換機默認開啟SNMPv2c協(xié)議，在網絡中，由于SNMPv2c協(xié)議無安全加密機制，所以需要搭配ACL控制協(xié)議來實現流控。具體命令如圖3所示。

當交換機與路由器配置完畢后，需要在信息科的SNMPv2c監(jiān)控平臺上開啟SNMP協(xié)議，目前主流的廠商如華為、思科等都有自己的監(jiān)控平臺，包含SNMP監(jiān)控操作，如esight等，這里如果網絡設備規(guī)模較大，可以使用圖像化監(jiān)控平臺。

如果網絡設備較少，或者有核心設備需要每天巡檢，可以使用Linux系統(tǒng)通過使用Net-SNMP，通過OID實現配置實時備份，本次實驗使用的是Ubuntu系列下的deepin系統(tǒng)，通過開啟deepin系統(tǒng)的SNMP服務與TFTP服務后，安裝SNMP工具Net-SNMP[3]。測試連通性完畢后，使用如下所示的命令，實現對路由器的配置備份。具體命令如下所示：其中“string”代表的是路由器的團體名“community string”;“device-IP”是配置了SNMPv2c協(xié)議的路由器設備的IP地址;“tftp”是TFTP服務器的IP地址;“file-name”是將保存正在運行的配置的文件名稱。這就是利用SNMP實現路由器或交換機自動配置備份[4]的整個過程，通過使用Shell+Net-Snmp調用腳本循環(huán)結構實現一鍵自動批量備份（如圖4）。

3.3 TFTP協(xié)議配置備份實現

本次實驗使用路由器或交換機自動向交換機發(fā)送配置文件，定時自動備份，目前市場上各大廠商如華為、思科等的網絡設備IOS中通常內嵌定時策略Kron Policy-list以定時執(zhí)行某項操作，不過只能運行特權模式下的命令，無法運行配置模式下的命令，同時無法輸入交互式命令。

但可以利用TFTP[5]服務器，將配置文件定時發(fā)送至TFTP服務器中。在進行配置定時策略時需要進行校時操作，使TFTP服務器與全網的交換機、路由器時鐘同步，其中路由器端需配置NTP服務，當網絡中設備間時間同步完成后，在各設備上進行配置備份操作的定時策略，配置備份與定時策略的設備如圖5所示。

路由器配置完成后，在每天的18：22，各網絡設備會定時向TFTP服務器發(fā)送配置文件，實現自動備份。無需通過腳本或程序循環(huán)調用獲取配置，減少信息科工作人員的管理負擔。

4 結束語

從網絡安全性方面考慮，網絡設備配置備份是部署醫(yī)院網絡必須考慮的重要環(huán)節(jié)。本文使用SNMPv2c與TFTP協(xié)議實現高效的網絡設備的雙向備份模擬，從而減輕了醫(yī)院信息科工作人員的日常運維工作量，同時信息科工作人員可根據醫(yī)院網絡結構，選擇最適備份方法，進一步提高醫(yī)院網絡的安全性與可靠性，具有較大的實際意義和應用價值。

參考文獻：

[1]李娜娜，吳響，胡俊峰.基于MPLS技術的醫(yī)院內外網融合網絡架構研究與仿真設計[J].科技創(chuàng)新與應用，2017（33）：21-22，24.

[2]靳亞楠.批量備份校園網路由器/交換機配置數據的探索[J].科技信息，2010（16）：236-237.

[3]白凱.路由器/交換機配置批量備份的探索[C]//中國通信學會.中國通信學會信息通信網絡技術委員會2009年年會論文集.2009：432-438.

[4]梅艷，羅圣.網絡設備配置文件自動備份方法[J].中國教育網絡，2015（2）：88-89.

[5]汪志偉，葉江偉.探討局域網交換機配置文件的定期自動備份設定研究[J].數字通信世界，2018（10）：93，163.