大型醫(yī)院信息網(wǎng)絡(luò)

大型醫(yī)院信息網(wǎng)絡(luò)采用三層交換技術(shù)，可以確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)更加合理、安全、有效。隨著醫(yī)院信息化水平的提高，醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大，隨之而來的網(wǎng)絡(luò)安全、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)通信速度、網(wǎng)絡(luò)維護(hù)工作量等問題明顯增加。究其原因，目前，各家醫(yī)院的信息網(wǎng)絡(luò)普遍采用二層交換技術(shù)的網(wǎng)絡(luò)架構(gòu)。其主要弱點(diǎn)是：在局域網(wǎng)內(nèi)不能劃分VLAN；同一個(gè)網(wǎng)段內(nèi)的工作站過多會(huì)引起廣播風(fēng)暴，甚至導(dǎo)致網(wǎng)絡(luò)癱瘓;不能有效地解決異種網(wǎng)絡(luò)互連、安全性控制等問題。而采用三層交換技術(shù)的網(wǎng)絡(luò)架構(gòu)，很大程度上避免了二層交換技術(shù)網(wǎng)絡(luò)架構(gòu)的缺陷，能改善網(wǎng)絡(luò)整體性能。二層交換技術(shù)的缺陷眾所周知，二層交換技術(shù)是在OSI七層網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第二層，即數(shù)據(jù)鏈路層進(jìn)行操作的，它按照所接收到數(shù)據(jù)包的目的物理地址即MAC地址來進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，對(duì)于網(wǎng)絡(luò)層或者高層協(xié)議來說是透明的。它不處理網(wǎng)絡(luò)層的IP地址，不處理高層協(xié)議，諸如TCP、UDP的端口地址。它只需要數(shù)據(jù)包的MAC地址，數(shù)據(jù)交換是靠硬件來實(shí)現(xiàn)的，其優(yōu)點(diǎn)是交換速度快，缺點(diǎn)是廣播域太大，而且不能處理不同IP子網(wǎng)之間的數(shù)據(jù)交換。這種網(wǎng)絡(luò)結(jié)構(gòu)扁平，沒有層次化概念。溫州醫(yī)學(xué)院附屬第一醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)初期采用二層交換技術(shù)的網(wǎng)絡(luò)架構(gòu)，核心交換機(jī)采用二層交換技術(shù)，在原先只有100多臺(tái)工作站的情況下，網(wǎng)絡(luò)性能較理想。由于網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大，工作站增加到500多臺(tái)時(shí)，網(wǎng)絡(luò)性能明顯下降，在業(yè)務(wù)高峰期網(wǎng)絡(luò)整體速度緩慢，用網(wǎng)管軟件分析，發(fā)現(xiàn)網(wǎng)絡(luò)中廣播包所占比例很大，最高時(shí)達(dá)到60%左右。另外，對(duì)于這種網(wǎng)絡(luò)，很容易發(fā)生諸如網(wǎng)卡故障等原因引起的網(wǎng)絡(luò)廣播風(fēng)暴，而且一旦發(fā)生廣播風(fēng)暴，很難查找故障點(diǎn)，網(wǎng)絡(luò)維護(hù)工作量很大。三層交換與VLAN結(jié)合三層交換技術(shù)，也稱多層交換技術(shù)或IP交換技術(shù)，是相對(duì)于二層交換技術(shù)提出的，因工作在OSI七層網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第三層而得名。傳統(tǒng)的路由器也工作在第三層，它可以處理大量的跨越IP子網(wǎng)的數(shù)據(jù)包，但是它的轉(zhuǎn)發(fā)效率比較低，而三層交換技術(shù)在網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第三層實(shí)現(xiàn)了分組的高速轉(zhuǎn)發(fā)，效率大大提高。簡(jiǎn)單地說，三層交換技術(shù)就是“二層交換技術(shù)+路由轉(zhuǎn)發(fā)”。它的出現(xiàn)，解決了二層交換技術(shù)不能處理不同IP子網(wǎng)之間的數(shù)據(jù)交換的缺點(diǎn)，又解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。VLAN(VirtualLocalAreaNetwork)即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)不同的網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的技術(shù)。它不受網(wǎng)絡(luò)用戶的物理位置限制，而是根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1q協(xié)議標(biāo)準(zhǔn)草案。不同VLAN之間的數(shù)據(jù)傳輸是通過第三層(網(wǎng)絡(luò)層)的路由來實(shí)現(xiàn)的，因此，使用VLAN技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備，可搭建安全可靠的網(wǎng)絡(luò)。劃分VLAN的目的：一是提高網(wǎng)絡(luò)安全性，不同VLAN的數(shù)據(jù)不能自由交流，需要接受第三層的檢驗(yàn)，因此，在一定程度上加強(qiáng)了虛網(wǎng)間的隔離，有效防止外部用戶入侵，提高了安全性。二是隔離廣播信息，劃分VLAN后，廣播域縮小，有利于改善網(wǎng)絡(luò)性能，能夠?qū)V播風(fēng)暴控制在一個(gè)VLAN內(nèi)部，同時(shí)使網(wǎng)絡(luò)管理趨于簡(jiǎn)單。三是增強(qiáng)網(wǎng)絡(luò)應(yīng)用的靈活性，VLAN是在一個(gè)有多臺(tái)交換機(jī)的局域網(wǎng)中統(tǒng)一設(shè)定的，這使得用戶可以不受所連交換機(jī)的限制，不論用戶節(jié)點(diǎn)移動(dòng)到局域網(wǎng)中哪一臺(tái)交換機(jī)上，只要仍屬于原來的虛網(wǎng)，則應(yīng)用環(huán)境沒有任何改變。在劃分VLAN時(shí)，要考慮VLAN對(duì)于網(wǎng)絡(luò)流量的影響，單個(gè)VLAN不宜過大。層次化架構(gòu)三層網(wǎng)絡(luò)三層網(wǎng)絡(luò)架構(gòu)采用層次化模型設(shè)計(jì)，即將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次，每個(gè)層次著重于某些特定的功能，這樣就能夠使一個(gè)復(fù)雜的大問題變成許多簡(jiǎn)單的小問題。三層網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的網(wǎng)絡(luò)有三個(gè)層次：核心層（網(wǎng)絡(luò)的高速交換主干、匯聚層（提供基于策略的連接工接入層（將工作站接入網(wǎng)絡(luò)）。核心層核心層是網(wǎng)絡(luò)的高速交換主干，對(duì)整個(gè)網(wǎng)絡(luò)的連通起到至關(guān)重要的作用。核心層應(yīng)該具有如下幾個(gè)特性：可靠性、高效性、冗余性、容錯(cuò)性、可管理性、適應(yīng)性、低延時(shí)性等。在核心層中，應(yīng)該采用高帶寬的千兆以上交換機(jī)。因?yàn)楹诵膶邮蔷W(wǎng)絡(luò)的樞紐中心，重要性突出。核心層設(shè)備采用雙機(jī)冗余熱備份是非常必要的，也可以使用負(fù)載均衡功能，來改善網(wǎng)絡(luò)性能。匯聚層匯聚層是網(wǎng)絡(luò)接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設(shè)備的負(fù)荷。匯聚層具有實(shí)施策略、安全、工作組接入、虛擬局域網(wǎng)（VLAN）之間的路由、源地址或目的地址過濾等多種功能。在匯聚層中，應(yīng)該采用支持三層交換技術(shù)和VLAN的交換機(jī)，以達(dá)到網(wǎng)絡(luò)隔離和分段的目的。接入層接入層向本地網(wǎng)段提供工作站接入。在接入層中，減少同一網(wǎng)段的工作站數(shù)量，能夠向工作組提供高速帶寬。接入層可以選擇不支持VLAN和三層交換技術(shù)的普通交換機(jī)。三層網(wǎng)絡(luò)架構(gòu)模型如圖所示。溫州醫(yī)學(xué)院附屬第一醫(yī)院三層網(wǎng)絡(luò)示意圖溫州醫(yī)學(xué)院附屬第一醫(yī)院現(xiàn)有的信息系統(tǒng)網(wǎng)絡(luò)采用三層交換技術(shù)的網(wǎng)絡(luò)架構(gòu)，局域網(wǎng)內(nèi)劃分了VLAN后，網(wǎng)絡(luò)性能大為改善，具有如下優(yōu)點(diǎn)：一是合理配置了核心交換機(jī)，充分發(fā)揮了核心交換機(jī)的硬件性能，調(diào)整后的核心交換機(jī)在帶寬、網(wǎng)絡(luò)流量處理能力上表現(xiàn)出色，具備良好的擴(kuò)展性。二是在醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)內(nèi)，根據(jù)業(yè)務(wù)需求劃分VLAN，控制廣播范圍，抑制廣播風(fēng)暴，提高了局域網(wǎng)的整體性能和安全性。三是整個(gè)網(wǎng)絡(luò)可靠性得到加強(qiáng)，核心交換機(jī)采用雙機(jī)熱備份、負(fù)載平衡方式，即兩臺(tái)核心交換機(jī)正常情況下都參與工作，當(dāng)其中的任何一臺(tái)發(fā)生故障時(shí)，另外一臺(tái)可以自動(dòng)、無縫地接管它的工作，這對(duì)網(wǎng)絡(luò)管理員、用戶來說都是透明的，無需人工干預(yù)故障切換。四是提高網(wǎng)絡(luò)對(duì)突發(fā)事故的自動(dòng)容錯(cuò)能力，最小化網(wǎng)絡(luò)的失效時(shí)間。點(diǎn)評(píng)從二層交換技術(shù)的網(wǎng)絡(luò)架構(gòu)調(diào)整到三層交換技術(shù)的網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)的優(yōu)化效果明顯，配之以網(wǎng)管軟件，網(wǎng)絡(luò)的安全性和可防護(hù)性大為提高。而網(wǎng)絡(luò)的擴(kuò)展能力滿足了醫(yī)院今后一段時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)發(fā)展的需求，支持了大型醫(yī)院的信息化建設(shè)。VPN是實(shí)現(xiàn)保密通信的基本手段，在Windows系統(tǒng)上，可以直接進(jìn)行VPN服務(wù)的搭建，本實(shí)訓(xùn)就是在Windows系統(tǒng)上實(shí)現(xiàn)VPN的連接。實(shí)訓(xùn)任務(wù)基于Windows實(shí)現(xiàn)VPN的連接。實(shí)訓(xùn)目的.掌握基于Windows實(shí)現(xiàn)VPN連接的方法；.VPN技術(shù)原理及特點(diǎn)，熟悉常用的VPN隧道協(xié)議；.熟悉常用的VPN技術(shù)。實(shí)訓(xùn)步驟.規(guī)劃實(shí)訓(xùn)環(huán)境和網(wǎng)絡(luò)拓?fù)錇楸ＷC實(shí)訓(xùn)環(huán)境的適應(yīng)性，本次實(shí)訓(xùn)使用虛擬機(jī)進(jìn)行。如圖3-17所示，運(yùn)行兩臺(tái)虛擬機(jī)，一臺(tái)使用Windows2003server,一臺(tái)使用WindowsXP,分別VPN服務(wù)器和客戶端，IP規(guī)劃如圖中所示。這里將192.168.1.0/24作為外網(wǎng)網(wǎng)段，172.16.1.0/24作為內(nèi)網(wǎng)網(wǎng)段。作為VPN服務(wù)器的Windows2003server,需要添加一塊網(wǎng)卡，作為連接內(nèi)部權(quán)限子網(wǎng)的端口。添加方式：點(diǎn)開“虛擬機(jī)設(shè)置”，添加硬件設(shè)備，在“添加硬件向?qū)А敝羞x擇硬件類型-網(wǎng)絡(luò)適配器，適配器模式選擇“NAT”，點(diǎn)“確定”即可添加一塊網(wǎng)卡。如果系統(tǒng)中看不到新添加的網(wǎng)卡，只需將虛擬機(jī)重新啟動(dòng)即可。WindowsXPIP：192.168.1.100Windows2003server

IP：192.168.1.254內(nèi)部網(wǎng)絡(luò)WindowsXPIP：192.168.1.100Windows2003server

IP：192.168.1.254內(nèi)部網(wǎng)絡(luò)模擬連接內(nèi)部子網(wǎng)?IP：172.16.1.2..圖3-17實(shí)訓(xùn)環(huán)境網(wǎng)絡(luò)拓?fù)?配置VPN服務(wù)器Windows2003server系統(tǒng)中，在開始-程序-管理工具-選擇路由和遠(yuǎn)程訪問。步驟如下:步驟一：在本地服務(wù)器上右鍵，選擇配置并啟用路由和遠(yuǎn)程訪問。步驟二：在公共配置中選擇虛擬專用網(wǎng)絡(luò)VPN服務(wù)器，然后點(diǎn)擊下一步。路由和運(yùn)程訪問之伴e操作⑷朝出幫助如路由和運(yùn)程訪問之伴e操作⑷朝出幫助如4i|因國/回團(tuán)營匠1圖3-18啟用路由和遠(yuǎn)程訪問圖3-19選擇配置VPN服務(wù)器步驟四：選擇遠(yuǎn)程拔入客戶的IP地址來源。圖步驟四：選擇遠(yuǎn)程拔入客戶的IP地址來源。圖3-21選擇遠(yuǎn)程客戶IP地址來源步驟三：指定服務(wù)器與互聯(lián)網(wǎng)相連接的網(wǎng)卡。圖3-20選擇外網(wǎng)網(wǎng)卡步驟五：?jiǎn)⒂妹Q和地址轉(zhuǎn)換服務(wù)。步驟六：系統(tǒng)提示將從外網(wǎng)網(wǎng)卡所在的網(wǎng)段指定IP給客戶端。

圖3-22啟用名稱和地址服務(wù)圖圖3-22啟用名稱和地址服務(wù)圖3-23指派地址池步驟七：為了對(duì)客戶端拔入進(jìn)行身份驗(yàn)證，可以設(shè)置一個(gè)RADIUS服務(wù)器，也可以用VPN服務(wù)器來進(jìn)行驗(yàn)證，如圖3-24所示。步驟八：?jiǎn)螕簟跋乱徊健卑粹o后就可以看到正在完成初始化的過程，完成后就可以接受HIECbTOSQSUTAlT怵地）此服狗餡上配置廣餡山科運(yùn)程此眼馬幫皿用邨由和就訪問眼蜀幫力耀置進(jìn)行更青，濤在控制臺(tái)HIECbTOSQSUTAlT怵地）此服狗餡上配置廣餡山科運(yùn)程此眼馬幫皿用邨由和就訪問眼蜀幫力耀置進(jìn)行更青，濤在控制臺(tái)網(wǎng)中送F"An：.m=r"KT'..肖關(guān)去興路由和近程訪問.郵界方案,濡由同tm三三程：川匚洋班-■芟過餐接I三荒二M正件向=*住II-三二1左三通棄i三機(jī)豆甘；的三￡二n空???、WkLHnI刖豆皿出火?！鍪?遠(yuǎn)程訪問策電由曲近程詁向記錄圖3-24選擇身份認(rèn)證 圖3-25配置完成3.VPN網(wǎng)絡(luò)客戶端的配置在虛擬機(jī)XP系統(tǒng)下（或者在物理機(jī)上也可以）進(jìn)行配置。步驟一：右鍵單擊“網(wǎng)上鄰居”一“屬性”一“新建連接”，選擇連接到工作區(qū)。步驟二：選擇通過Internet連接到專用網(wǎng)絡(luò)后，然后進(jìn)入下一步。步驟三：接著輸入VPN服務(wù)器的IP地址，即192.168.1.254,進(jìn)入下一步。步驟四：在出現(xiàn)的VPN連接窗口中，填入VPN服務(wù)器上的允許遠(yuǎn)程拔入的用戶名和密碼。連接成功后會(huì)在右下角的任務(wù)欄處有一個(gè)網(wǎng)絡(luò)連接圖標(biāo)。用戶名和密碼是什么呢？回到Windows2003server系統(tǒng)中，右鍵單擊“VPN服務(wù)器”一“屬性”，在“安全”選項(xiàng)卡中看到身份驗(yàn)證提供程序是“Windows身份驗(yàn)證”，如圖3-26所示。在“計(jì)算機(jī)管理”一“本地用戶和組”中（如圖3-27所示），新建用戶、設(shè)置密碼，如圖3-28所示，并設(shè)定屬性為允許遠(yuǎn)程訪問，如圖3-29所示。這樣就設(shè)定好賬號(hào)和密碼了，在WindowsXP系統(tǒng)中VPN客戶端輸入賬號(hào)密碼即可登錄。

、?印戶■屈性￡4冽白?的存偌總計(jì)尊KL管理國女伴四操作因查看?窗=1⑹幫助?國計(jì)篇機(jī)首理諾:地）、?印戶■屈性￡4冽白?的存偌總計(jì)尊KL管理國女伴四操作因查看?窗=1⑹幫助?國計(jì)篇機(jī)首理諾:地）E遹系統(tǒng)工具；國超李件查看踹?二.口共享文件夾?閂［本由用戶和阻新用尸切..直看5從這里創(chuàng)建窗口世〕日宣可*利珊但）畛瞰1導(dǎo)出列表Q〕...+卜原版著和制力?）^,dniriiatr...量應(yīng)SET翡&，"+ifiroWIKD...ASP.KITXIiLternetIfJJlJSIKO...啟動(dòng)工工5Ice k±surronra...ck^ieras7THYin圖3-26VPN服務(wù)器屬性圖3-28添加新用戶圖3-29圖3-26VPN服務(wù)器屬性圖3-28添加新用戶圖3-29設(shè)置用戶的遠(yuǎn)程訪問權(quán)限在VPN客戶端通過VPN服務(wù)器連接以后，可以在VPN客戶機(jī)的系統(tǒng)運(yùn)行cmd命令執(zhí)行ipconfig可以查看到客戶機(jī)已經(jīng)獲取的新地址與內(nèi)部