巴江波，陳江，淡攀東，涂偉，胡中園

華中科技大學(xué)同濟醫(yī)學(xué)院附屬荊州醫(yī)院信息科，湖北 荊州 434020

我院于1999年在全省率先實現(xiàn)了計算機網(wǎng)絡(luò)化管理，并逐步建成了萬兆光纖主干、千兆到桌面的醫(yī)院信息化系統(tǒng)（HIS），取得了很好的社會效益和經(jīng)濟效益。一直以來醫(yī)院網(wǎng)絡(luò)主要通過劃分IP子網(wǎng)的方式來管理網(wǎng)絡(luò)[1]，但是這種管理方式存在很多缺點：導(dǎo)致工作站擅自更改IP地址，使網(wǎng)絡(luò)頻繁出現(xiàn)IP地址沖突等問題；HIS工作站IP地址經(jīng)常被更改用來上網(wǎng)，工作站經(jīng)常感染病毒以至影響工作，并且對醫(yī)院數(shù)據(jù)安全帶來隱患[2]；非院內(nèi)電腦隨意接入醫(yī)院網(wǎng)絡(luò)，增加醫(yī)院網(wǎng)絡(luò)安全隱患；網(wǎng)絡(luò)中ARP攻擊嚴(yán)重，影響整個網(wǎng)絡(luò)的運行。新外科樓投入使用后，病房能夠提供上網(wǎng)服務(wù)，但通過IP方式管理將無法適應(yīng)病房網(wǎng)絡(luò)管理的需要。

為了提升醫(yī)院網(wǎng)落管理水平，提高醫(yī)院網(wǎng)絡(luò)運行效率，經(jīng)過我院工作人員分析、實驗和測試，決定采用PPPOE（以太網(wǎng)上的點對點協(xié)議）技術(shù)虛擬撥號方式來管理醫(yī)院網(wǎng)絡(luò)。我院從2008年1月開始使用PPPOE方式來實現(xiàn)Internet訪問，截止到2012年10月，通過4年多的運行，現(xiàn)達(dá)750個左右的網(wǎng)絡(luò)用戶，并且網(wǎng)絡(luò)比較穩(wěn)定。通過PPPOE方式管理醫(yī)院網(wǎng)絡(luò)，能夠大大增強醫(yī)院網(wǎng)絡(luò)對ARP攻擊的抵抗能力，更好地保障醫(yī)院的Internet連接的穩(wěn)定性；可以大大提高醫(yī)院Internet接入管理的水平，保證醫(yī)院業(yè)務(wù)工作站與數(shù)據(jù)的安全；同時能夠為病友提供更加便捷的網(wǎng)絡(luò)服務(wù)。但是2012年10月醫(yī)院網(wǎng)絡(luò)整體結(jié)構(gòu)升級，全院網(wǎng)絡(luò)實現(xiàn)三層結(jié)構(gòu)管理，原有虛擬撥號服務(wù)器設(shè)置無法滿足管理要求。

1 PPPOE協(xié)議及虛擬撥號技術(shù)介紹

簡單地說，PPPOE就是將以太網(wǎng)和PPP協(xié)議結(jié)合后的協(xié)議，目前廣泛應(yīng)用在ADSL接入方式中[3]。PPPOE是在以太網(wǎng)上建立PPP連接，由于以太網(wǎng)技術(shù)十分成熟且使用廣泛，而PPP協(xié)議在傳統(tǒng)的撥號上網(wǎng)應(yīng)用中顯示出良好的可擴展性和優(yōu)質(zhì)的管理控制機制，二者結(jié)合而成的PPPOE協(xié)議得到了寬帶接入運營商的認(rèn)可并被廣為采用[4]。通過PPPOE技術(shù)，我們就可以實現(xiàn)高速寬帶網(wǎng)的個人身份驗證訪問，為每個用戶創(chuàng)建虛擬撥號連接，這樣就可以高速連接到Internet。

虛擬撥號技術(shù)在接入Internet時同樣需要輸入用戶名與密碼，它是利用PPPOE協(xié)議接入虛擬專網(wǎng)的。利用虛擬撥號技術(shù)做接入管理需要PPPOE撥號服務(wù)器和客戶端撥號軟件等運行環(huán)境[5]。本項目中撥號服務(wù)器采用MikroTik RouterOS 5.20 系統(tǒng)作為運行平臺。RouterOS系統(tǒng)是一款基于Linux的路由器操作系統(tǒng)，通過該軟件將標(biāo)準(zhǔn)的PC電腦變成專業(yè)路由器，是一套低成本，高性能的路由器系統(tǒng)，功能強大，擁有幾乎所有硬件路由具有的功能[6]。本項目只選用了它的PPPOE Server功能。PPPOE撥號服務(wù)器主要任務(wù)是用戶帳號管理、用戶認(rèn)證、路由轉(zhuǎn)換等功能。

2 二層網(wǎng)絡(luò)下ROUTEROS的配置

在二層網(wǎng)絡(luò)下ROUTEROS的配置主要包括ROUTEROS的安裝、網(wǎng)卡IP配置、配置PPPOE-Server、配置NAT、為路由器配置默認(rèn)路由和流量控制等步驟。客戶端機器可以使用WINDOWS XP自帶的PPPOE撥號工具即可[7]。

2.1 ROUTEROS的安裝

ROUTEROS已經(jīng)和Linux結(jié)合在一起，系統(tǒng)對硬件要求不高，基本是自動安裝、比較簡單。我院服務(wù)器配置，見表1。

表1 服務(wù)器配置表

2.2 ROUTEROS的基本配置

將外網(wǎng)（外網(wǎng)IP地址由ISP商提供，本文設(shè)為219.138.6.*/24）連接到網(wǎng)卡1（WAN），WAN IP地址設(shè)置為219.138.6.*/24，內(nèi)網(wǎng)網(wǎng)卡（LAN）用于PPPOE Server，不設(shè)置IP地址。

ROUTEROS的PPPOE Server 配置大致可分5個步驟：PPPOE虛擬撥號用戶設(shè)置一個IP地址池，用于給客戶動態(tài)分配IP地址；添加一個PPP profile，設(shè)置一個路由器IP地址，以使客戶可以從IP POOL中獲取IP地址；添加PPPOE撥號用戶，用戶可以使用用戶名和口令進(jìn)行撥號；添加PPPOE Server服務(wù)；配置NAT。

客戶端機器可以使用WINDOWS XP自帶的PPPOE撥號工具或者安裝一款PPPOE虛擬撥號軟件

3 ROUTEROS在三層網(wǎng)絡(luò)中的問題及解決方法

當(dāng)醫(yī)院網(wǎng)絡(luò)實現(xiàn)多VLAN的三層結(jié)構(gòu)管理后，ROUTEROS服務(wù)器只能對內(nèi)網(wǎng)網(wǎng)卡所在VLAN提供PPPOE服務(wù)，未能實現(xiàn)跨VLAN應(yīng)用。

由于三層網(wǎng)絡(luò)中內(nèi)網(wǎng)的跨VLAN訪問需要通過網(wǎng)絡(luò)，如果用PPPOE撥號后，系統(tǒng)默認(rèn)路由改為虛擬網(wǎng)絡(luò)的路由，以至于院內(nèi)跨VLAN的業(yè)務(wù)無法正常運行。部分機器使用靜態(tài)路由實現(xiàn)上述功能，但是系統(tǒng)配置較繁瑣，維護工作量大。

經(jīng)過分析、實驗和測試，通過在ROUTEROS添加多VLAN服務(wù)和回程路由設(shè)置等可以有效解決上述問題。

3.1 交換機配置

我院核心交換機采用H3C S12580，接入層交換機采用H3C S5120系列。在核心交換機上增加一個VLAN，用于ROUTEROS內(nèi)網(wǎng)網(wǎng)卡與院內(nèi)局域網(wǎng)通訊，并配置增加并允許VLAN30到VLAN40建立撥號連接。

3.2 三層網(wǎng)絡(luò)下ROUTEROS的配置

在三層網(wǎng)絡(luò)中，撥號服務(wù)器設(shè)置需要做部分調(diào)整：內(nèi)網(wǎng)網(wǎng)卡地址設(shè)置為10.101.80.100，使ROUTEROS服務(wù)器能夠與核心交換機通訊；增加允許PPPOE服務(wù)的VLAN（VLAN30到VLAN40）；在每個VLAN中增加相應(yīng)VLAN內(nèi)的PPPOE服務(wù)，用于提供撥號連接服務(wù)，并配置內(nèi)網(wǎng)NAT和回程路由。

4 日常管理

PPPOE-Server的日常管理主要是通過WINBOX來實現(xiàn)。在醫(yī)院網(wǎng)絡(luò)管理工作站上，通過PPPOE協(xié)議與PPPOE服務(wù)器連接后，輸入內(nèi)網(wǎng)管理IP地址，可以下載GUI配置工具WINBOX，運行WINBOX并登錄可以進(jìn)行服務(wù)器配置，包括添加PPPOE帳號、新的IP地址池、帶寬管理等，并可以監(jiān)視網(wǎng)絡(luò)運行狀況[8]。PPPOE-Server日常管理主要包括用戶組管理、用戶管理、帶寬管理等。

按照醫(yī)院網(wǎng)絡(luò)用戶的不同可以將醫(yī)院網(wǎng)絡(luò)帳號分為業(yè)務(wù)組、辦公組和患者組等。根據(jù)不同的工作組，管理人員可以設(shè)定不同的IP地址池，并按不同的規(guī)則限制用戶帶寬、用戶有效期、網(wǎng)絡(luò)使用限制等。

4.1 用戶管理

用戶賬號的管理是該系統(tǒng)維護的主要功能。通過圖形化的WINBOX工具，管理員能夠方便快捷的管理用戶的賬號、密碼、用戶功能分組和地址綁定等（圖1）。在用戶管理中Service中能夠維護用戶能夠調(diào)用的服務(wù)的類別，一般默認(rèn)選擇“PPPOE”，使用戶只能夠使用該服務(wù)；管理員通過對“Caller ID”的維護能夠綁定該用戶賬號使用機器的MAC地址，防止發(fā)生一個賬號在多點登錄的問題，提高管理的效率；設(shè)定用戶“Profile”屬性，能夠為不同的用戶分配到不同的地址池，管理員通過對不同地址池的帶寬限制實現(xiàn)帶寬的管理。

圖1 用戶管理

4.2 用戶帶寬管理

醫(yī)院利用該平臺接入網(wǎng)絡(luò)的總用戶數(shù)在750個左右，高峰時段同時在線數(shù)約450個左右，但是醫(yī)院出口總帶寬只有100 M，為保障網(wǎng)絡(luò)資源的合理分配，用戶帶寬的管理至關(guān)重要。

管理員在系統(tǒng)中根據(jù)醫(yī)院業(yè)務(wù)的類別設(shè)置多個地址池，用戶調(diào)用不同的Profile可以獲得不同地址池中不同網(wǎng)段的IP地址。Profile相同的用戶在接入時取得的IP不同，但是都在同一的網(wǎng)段內(nèi)，通過對該段網(wǎng)絡(luò)地址的限速能夠?qū)崿F(xiàn)對不同用戶和用戶組限制速度的目的。利用Winbox中“Queue”能夠?qū)Σ煌腎P地址限定不同的上行、下行以及用戶允許接入時段等限制（圖2）。管理員也能夠通過編寫限速腳本的方式，快速批量的增加限速規(guī)則。

圖2 網(wǎng)絡(luò)帶寬管理

4.3 網(wǎng)絡(luò)應(yīng)用管理

醫(yī)院網(wǎng)絡(luò)應(yīng)用的特點是并發(fā)應(yīng)用數(shù)多，關(guān)鍵性業(yè)務(wù)對系統(tǒng)穩(wěn)定性要求高。雖然實現(xiàn)了帶寬的限制，但是在運行過程中，管理員發(fā)現(xiàn)大量類似迅雷、電驢和BT等P2P下載工具，以及網(wǎng)絡(luò)視頻播放軟件長時間大量占用網(wǎng)絡(luò)資源，嚴(yán)重影響業(yè)務(wù)運行。在RouterOS中通過防火墻的應(yīng)用，能夠?qū)ο螺d軟件限制下載線程數(shù)，甚至限制使用部分下載工具，達(dá)到限制下載速度的目的；利用防火墻，管理員也能夠方便地對視頻網(wǎng)站、聊天工具等軟件進(jìn)行限制[9]。

4.4 網(wǎng)絡(luò)運行監(jiān)測

系統(tǒng)運行過程中，管理員通過Winbox能夠方便快捷的監(jiān)控網(wǎng)路運行狀況，及時發(fā)現(xiàn)資源異常占用情況，及時與使用者溝通以保證網(wǎng)絡(luò)的正常運行。在VLAN管理模塊中，管理員能夠?qū)崟r監(jiān)測各VLAN占用帶寬的情況（圖3），必要時調(diào)整VLAN的設(shè)置情況；在Interface模塊中，管理員能夠?qū)崟r監(jiān)測個用戶帶寬占用情況（圖4），對長時間高帶寬占用的用戶可以及時管理，實現(xiàn)資源的合理化利用。通過分析帶寬使用的情況，管理員也能夠適時的調(diào)整限速的策略等，提高資源利用率。

圖3 各WLAN運行情況監(jiān)控

圖4 用戶帶寬使用狀態(tài)監(jiān)控

系統(tǒng)數(shù)據(jù)的備份也是日常管理中的一項重要環(huán)節(jié)。在運行過程中，管理員每個月對系統(tǒng)做一次完整的備份。

5 系統(tǒng)運行情況及分析

我院網(wǎng)絡(luò)實行三層網(wǎng)絡(luò)管理，并于2012年10月開始運用上述PPPOE多VLAN解決方案后，醫(yī)院網(wǎng)絡(luò)運行基本穩(wěn)定，滿足了業(yè)務(wù)、管理部門和病房等多部門的需求，取得較好效果。

在使用PPPOE撥號前，我院采用IP地址及NAT轉(zhuǎn)換的方式實現(xiàn)網(wǎng)絡(luò)的接入，部分醫(yī)護工作站的工作人員為了能夠上網(wǎng)，經(jīng)常參照其他機器修改機器IP地址，極易引起地址沖突。2008年前技術(shù)人員每天平均需要處理類似問題5起以上，同時管理人員也無法清楚掌握醫(yī)院網(wǎng)路使用情況，用戶大量使用P2P等工具下載，無法控制分類控制用戶帶寬。在采用該管理模式后，特別是采用多VLAN下PPPOE管理模式后，網(wǎng)絡(luò)認(rèn)證方式改為用戶名和密碼方式，與IP地址無關(guān)，每個賬號與機器MAC地址綁定，工作人員基本不再修改機器IP地址，基本杜絕了IP地址沖突。通過引入用戶組的概念，通過用戶組的性質(zhì)及實際需求設(shè)定不同的帶寬管理，限制單機器所占用的最大帶寬數(shù)。在該項目應(yīng)用中設(shè)定3個用戶組:服務(wù)器區(qū)組，帶寬不做設(shè)置；管你員組，帶寬限制為4 M；一般用戶組，帶寬限制2M。帶寬管理后，全院在總帶寬100 M不變的情況下，全院上網(wǎng)速度一直保持平穩(wěn)。通過WINBOX管理工具，可以很直觀地監(jiān)測各VLAN下連入網(wǎng)絡(luò)的用戶及負(fù)載，能夠為VLAN的規(guī)劃及帶寬的控制提供直觀的依據(jù)。

6 總結(jié)

通過采用PPPOE方式管理醫(yī)院網(wǎng)絡(luò)，大大增強了醫(yī)院網(wǎng)絡(luò)對ARP攻擊的抵抗能力，更好地保障了醫(yī)院的Internet連接的穩(wěn)定性，提高了Internet接入管理的水平，保證了醫(yī)院業(yè)務(wù)工作站與數(shù)據(jù)的安全；同時能夠為病友提供更加便捷的網(wǎng)絡(luò)服務(wù)；能夠方便的實現(xiàn)網(wǎng)絡(luò)用戶的帶寬管理。通過回程路由的設(shè)定，能夠有效地解決醫(yī)院業(yè)務(wù)網(wǎng)與Internet連接的同時，滿足了部分特殊部門的要求；通過ROUTEROS為各個VLAN提供相應(yīng)的的PPPOE服務(wù)，能夠有效區(qū)分不同VLAN的網(wǎng)絡(luò)功能，并能有效監(jiān)控各VLAN內(nèi)連網(wǎng)情況，有利于網(wǎng)絡(luò)管理。

但是通過回程路由訪問醫(yī)院院內(nèi)業(yè)務(wù)VLAN，增加了路由的負(fù)擔(dān)，同時也降低了業(yè)務(wù)訪問的效率，對ROUTEROS服務(wù)器的硬件要求提出了更高的要求。

[1]康伯峰,張侃懷.中小醫(yī)院網(wǎng)絡(luò)安全管理的體會[J].西南國防醫(yī)藥,2014,24(1):96-97.

[2]姚晶.醫(yī)院網(wǎng)絡(luò)管理與維護[J].醫(yī)療裝備,2014,27(2):78-79.

[3]唐俊,趙曉娟.PPPOE協(xié)議在校園網(wǎng)安全管理中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008,(12):34-35.

[4]李若嶺.PPPOE接入控制技術(shù)在學(xué)生宿舍區(qū)中的應(yīng)用[J].電腦知識與技術(shù),2008,4(30):581-582.

[5]景建篤,俞寧.Linux內(nèi)核模式下PPPOE撥號上網(wǎng)的實現(xiàn)[J].計算機應(yīng)用研究,2005,22(3):258-260.

[6]黃美芝,尹文慶.利用RouterOS的NTH方法實現(xiàn)多ADSL網(wǎng)絡(luò)負(fù)載均衡[J].科學(xué)技術(shù)與工程,2009,9(17):102-107.

[7]巴江波.PPPOE技術(shù)在醫(yī)院網(wǎng)絡(luò)網(wǎng)絡(luò)管理中的應(yīng)用[J].中國數(shù)字醫(yī)學(xué),2011,6(7):80-81.

[8]楊霖,肖志新.RouterOS在多VLAN中的PPPOE解決方案[J].吉林大學(xué)學(xué)報(自然科學(xué)版),2010,31(6):43-45.

[9]蘇東出.利用RouterOS構(gòu)建高校圖書館無縫網(wǎng)絡(luò)辦公系統(tǒng)[J].現(xiàn)代圖書情報技術(shù),2009,29(11):84-86.