規(guī)劃設計衛(wèi)生服務站局域網(wǎng)

1、目 錄一、問題背景概述-4二、需求分析-42.1社區(qū)衛(wèi)生服務站局域網(wǎng)概述-42.2組織架構-6三、設計方案概述-53.1設計目標-63.2設計原則-63.3網(wǎng)絡功能及結構設計-7四、規(guī)劃設計方案-10 4.1技術設計-10 4.1.1網(wǎng)絡拓撲圖-10 4.1.2網(wǎng)絡層次劃分-11 4.1.3子網(wǎng)劃分-12 4.2網(wǎng)絡協(xié)議-12 4.3網(wǎng)絡流量規(guī)劃-14 4.4安全策略-15 五、前景展望-195.1建設局域網(wǎng)的優(yōu)點-195.2存在的問題-20六、方案總體預算-21七、總結-23附錄：參考文獻-24 一、問題背景概述中國社區(qū)衛(wèi)生服務的雛形始于20世紀80年代初，1997年全國衛(wèi)生工作會議上提出了

2、實施社區(qū)衛(wèi)生服務；2000年打開了社區(qū)衛(wèi)生服務的全新局面，引進衛(wèi)生健康新概念。近年來，衛(wèi)生部在加快建設以社區(qū)為基礎的新型衛(wèi)生服務體系，優(yōu)化城市醫(yī)療衛(wèi)生資源配置，重點發(fā)展社區(qū)衛(wèi)生服務以及社區(qū)衛(wèi)生服務站網(wǎng)絡建設等方面。社區(qū)衛(wèi)生服務站信息化的發(fā)展，接入社區(qū)服務站局域網(wǎng)絡的終端計算機越來越多，應用的范圍越來越廣，要求社區(qū)衛(wèi)生服務站的信息系統(tǒng)具有很高的可用性，而局域網(wǎng)安全保證醫(yī)院信息系統(tǒng)的正常運行。隨著醫(yī)療信息化的不斷發(fā)展，網(wǎng)絡作為社區(qū)衛(wèi)生服務站信息化的基石越來越被重視。社區(qū)衛(wèi)生服務站網(wǎng)絡的安全直接關系到其正常運轉，一旦網(wǎng)絡發(fā)生故障, 社區(qū)衛(wèi)生服務站的正常就醫(yī)秩序無法維持, 社區(qū)衛(wèi)生服務站的形象會大打折

3、扣.運用局域網(wǎng)技術,將社區(qū)衛(wèi)生服務站按工作職能分為多個VLAN,將社區(qū)衛(wèi)生服務站局域網(wǎng)進行隔離,極大的提高了社區(qū)衛(wèi)生服務站信息系統(tǒng)的穩(wěn)定性。二、需求分析2.1社區(qū)衛(wèi)生服務站局域網(wǎng)概述充分利用現(xiàn)有的市衛(wèi)生局衛(wèi)生數(shù)據(jù)中心機房和網(wǎng)絡平臺，規(guī)劃搭建社區(qū)衛(wèi)生服務信息化建設總體網(wǎng)絡架構，并采用數(shù)據(jù)集中的模式，統(tǒng)一設計涵蓋醫(yī)療、預防、保健、康復、健康教育、計劃生育技術指導服務、社區(qū)衛(wèi)生綜合管理和輔助決策分析，以及政府對社區(qū)衛(wèi)生服務的綜合評估等功能為一體的社區(qū)衛(wèi)生服務信息架構。社區(qū)衛(wèi)生服務中心計算機和相關硬件設備、網(wǎng)絡建設由鎮(zhèn)街財政負責投入。實現(xiàn)分析決策為主導的全面的科學化管理，提高社區(qū)衛(wèi)生服務站的管理水平和

4、經(jīng)濟效益，通過局域網(wǎng)的實施，提高信息共享能力，減輕勞動強度，提高工作效率。注重科學化，智能化，標準化，也更加方便實用，易于操作和掌握是此次設計局域網(wǎng)的總體目標需求。以病人為中心進行設計，始終貫徹社區(qū)衛(wèi)生服務以一切工作以滿足人民群眾為前提，突出設計思想的人性化。實現(xiàn)技術支持的本地化服務。2.2社區(qū)衛(wèi)生服務站組織架構(1)按要求，一般一個生產(chǎn)中心局域網(wǎng)信息點共有204個。其中辦公樓60個，分別分布在3個樓層、門診中心118個分布于3個樓層，藥房的26個信息點。各樓之間以光纜連接，構成社區(qū)衛(wèi)生服務站局域網(wǎng)。社區(qū)衛(wèi)生服務站局域網(wǎng)的中心機房設在辦公樓的三層西側。門診中心的配線間設在三樓東側的北面。為適應

5、社區(qū)衛(wèi)生服務站將來對各種網(wǎng)絡應用的需求，另外隨著技術和工藝的進步，考慮到目前各類布線材料在價格方面比較接近，因此擬對所有信息點都按超五類UTP標準布線，每個信息點可實現(xiàn)不低于100Mb的帶寬，這樣不僅可支持一般的企業(yè)信息管理應用對網(wǎng)絡傳輸帶寬的要求，而且完全支持MPEG-2等格式的多媒體信息傳輸。此布線方案只考慮數(shù)據(jù)信息點布線，不涉及語音信息點及其設備。(2)支持決策,能在短時間內(nèi)獲得信息 高速的內(nèi)部網(wǎng)各個信息點，及時的傳遞業(yè)務信息，供應信息，生產(chǎn)信息，管理信息。供管理層及時決策。(3)外出人員與服務站溝通WWW應用是Intranet的標志性應用，最核心的應用服務集中在WWW服務器上完成。因而

6、對于WWW服務器的設計首要考慮的就是服務器性能問題，另外考慮到將來在Intranet平臺上做應用開發(fā)的可能，對于WWW服務器同數(shù)據(jù)庫互聯(lián)的問題也應作為重點考慮。(4)接入INTERNET功能對廣域網(wǎng)的連接需求主要表現(xiàn)在：能夠與國際互聯(lián)網(wǎng)連接，與國際交流信息；能夠與CERNET國內(nèi)各個單位交流信息。C11inaNet連接、與國內(nèi)各個單位交流信息。為此應通過DDN、無線網(wǎng)等公用或者專用數(shù)據(jù)網(wǎng)絡與CERNET連接，再連到Internet。網(wǎng)絡布線按照國際有關計算機網(wǎng)絡通信的標準進行設計。申請正式IP和域名，配置路由器，安裝Server（資源共享，Web），完成與Internet的連接，整體網(wǎng)絡既可在

7、內(nèi)部使用，又可與外網(wǎng)互聯(lián)訪問Internet，實現(xiàn)與外界的數(shù)據(jù)交換。三、局域網(wǎng)設計方案概述3.1 設計目標：按功能需求要求1） 根據(jù)社區(qū)衛(wèi)生服務站對信息點的安排和網(wǎng)絡應用的需求制定合理的社區(qū)衛(wèi)生服務站網(wǎng)總體建設規(guī)劃和實施方案；2） 對社區(qū)衛(wèi)生服務站辦公樓、門診、藥房和輔助管理部門等幾座主要建筑物實施局域網(wǎng)結構化布線；3） 完成從辦公樓的網(wǎng)絡中心分別到門診、藥房所在平房的2條六芯室外主干網(wǎng)光纜的敷設。4） 實現(xiàn)社區(qū)衛(wèi)生服務站核心交換機與二級交換機的連接、安裝、配置和調(diào)試；5） 實施對新購服務器和部分微機網(wǎng)絡工作站的連接和入網(wǎng)調(diào)試。3.2設計原則3.2.1先進性我們設計的網(wǎng)絡方案采用三層分布式結構

8、。核心層選用包括了銳捷網(wǎng)絡高性能的萬兆以太網(wǎng)交換機，可以實現(xiàn)對全網(wǎng)的數(shù)據(jù)進行高速無阻塞的交換，負責路由管理、網(wǎng)絡管理、網(wǎng)絡服務、核心數(shù)據(jù)處理等。匯聚層由華為AR2220千兆路由組成，負責接入層匯聚，提供高速無阻塞的鏈路到核心層，抑制廣播風暴和分流核心數(shù)據(jù)處理壓力等，可實施分布式三層，大大提升網(wǎng)絡性能。接入層選用提供上聯(lián)千兆，10/100M桌面接入，并在全部采用認證和流控等手段進行接入控制，充分滿足用戶的高速接入等，并可靈活擴展，增加端口密度。選用STAR-S2100。采用WINDOWS XP操作系統(tǒng)3.2.2 安全可靠性可靠性：對工作站、服務器、交換機及其他主要相關設備在廠家、品牌、服務等方面

9、進行充分調(diào)研、論證、選擇，確保硬件設備的基本品質(zhì)。 采用WINDOWS XP作為網(wǎng)絡操作系統(tǒng)，并以“數(shù)據(jù)庫”的方式建立各種生產(chǎn)、裝配中心和管理應用系統(tǒng)，保證網(wǎng)絡系統(tǒng)和應用系統(tǒng)的安全穩(wěn)定。容錯技術采用：雙工磁盤技術在網(wǎng)絡系統(tǒng)上建立起兩套同樣的且同步工作的文件服務器，如果其中一個出現(xiàn)故障，另一個將立即自動投入系統(tǒng)，接替發(fā)生故障的文件服務器的全部工作。3.2.3 實用性實用性：性能指標能滿足各項業(yè)務處理能力社區(qū)衛(wèi)生服務站組網(wǎng)的方案在接入交換機將用戶賬號、MAC地址與端口的捆綁實現(xiàn)高效的用戶控制；采用網(wǎng)絡管理系統(tǒng)TCLView，使網(wǎng)絡易維護、易管理，可實施性好。3.2.4 可擴展性可擴展性：網(wǎng)絡核心層

10、、匯聚層采用模塊化交換機，按照需求靈活配置各種模塊，做到既滿足需求，由留有余地。整個網(wǎng)絡架構采用三層結構，使網(wǎng)絡具有較好的伸縮性、可以根據(jù)網(wǎng)絡建設的不同階段靈活配置和擴展，具有能不斷吸收新技術、新方法的功能。3.2.5 開放性 本次設計的中央集成管理系統(tǒng)將是一個完全開放性的系統(tǒng)，通過編制系統(tǒng)的接口軟件將解決不同系統(tǒng)和產(chǎn)品間接口協(xié)議的“標準化”，以使他們之間具備“互操作性”。所有接口均基于標準的TCP/IP數(shù)據(jù)接口協(xié)議和內(nèi)容。系統(tǒng)的開放性設計完全遵循國際主流標準以及工業(yè)標準。3.3網(wǎng)絡功能及結構設計3.3.1網(wǎng)絡功能根據(jù)社區(qū)衛(wèi)生服務站現(xiàn)有規(guī)模,業(yè)務需要及發(fā)展范圍建立的網(wǎng)絡有如下功能:（1）建立社

11、區(qū)衛(wèi)生服務站自己的網(wǎng)站,可向外界發(fā)布信息,并進行網(wǎng)絡上的業(yè)務；（2）要求辦公樓可以連接Internet,與各醫(yī)療單位保持聯(lián)絡,其他部門都不能連接Internet,但要求社區(qū)衛(wèi)生服務站內(nèi)部由網(wǎng)絡連接；社區(qū)衛(wèi)生服務站內(nèi)部網(wǎng)絡實現(xiàn)資源共享,以提高工作效率；（3）建立網(wǎng)絡時應注意網(wǎng)絡的擴展性,以方便日后的網(wǎng)絡升級和增加計算機。3.3.2網(wǎng)絡結構設計（1）現(xiàn)場勘察分析根據(jù)辦公、門診及藥房樓的結構特點制定詳細的網(wǎng)絡連接圖,其中包括如下信息:l 網(wǎng)絡上個信息點的分布圖,工作空間大小與距離；l 電源插座的位置,包括目前正在使用的插座的設備；l 所有不可移動的物品的位置(如支撐柱,分隔墻,內(nèi)置柜等)，l 所有計

12、算機和類似打印機的外部設備的位置；l 門和窗口的位置；l 通風管道和目前電線的位置。另外,在記錄每臺設備是要為每臺設備建立一張配置表，如計算機的CPU、硬盤、顯示器、軟驅。（2）網(wǎng)絡互連方式首先要確定網(wǎng)絡的拓撲結構,建議采用星狀結構，其中100Base-T星型結構的快速以太網(wǎng)是理想的。選擇用雙絞線作為傳輸線纜，星狀總線網(wǎng)的物理結構采用星狀連接，邏輯結構采用總線狀的，采用IEEE的802.3協(xié)議標準。網(wǎng)卡,集線器和雙絞線應選100M的。然后確定互連方式,因為有一部分用戶可以連接Internet,另一部分不可以,所以有兩種方式:分成兩個子網(wǎng),各連接一個交換機,并連接到服務器的不同的網(wǎng)卡上,在服務器

13、上設置一個網(wǎng)卡可以連接Internet,另一個不可以.分成三個子網(wǎng),都連接到路由器上,在路由器上設置IP,其中兩個子網(wǎng)的IP設置為內(nèi)部IP,不允許訪問Internet.建議用第二種方式，便于以后擴展網(wǎng)絡。（3）布線系統(tǒng)設計綜合布線要符合樓宇管理自動化，辦公自動化，通信自動化和計算機網(wǎng)絡化等多功能需要的布線系統(tǒng)。系統(tǒng)應能支持話音，圖像，圖形，數(shù)據(jù)多媒體，安全監(jiān)控，傳感等各種信息傳輸，支持光纖，非屏蔽雙絞線(UTP)，屏蔽雙絞線(STP)，同軸電纜等各種傳輸載體，支持多用戶多類型產(chǎn)品的應用，支持高速網(wǎng)絡的應用。綜合布線系統(tǒng)通常包括六個子系統(tǒng):工作區(qū)子系統(tǒng)，水平布線子系統(tǒng)，干線子系統(tǒng)，設備間子系統(tǒng)，

14、管理子系統(tǒng)和建筑群子系統(tǒng)。綜合布線系統(tǒng)設計要根據(jù)建筑結構和用戶需求來確定，這一過程主要包括以下幾個要點:l 盡量滿足用戶的通信要求；l 要了解建筑物內(nèi)部的通信環(huán)境；l 確定合適的通信網(wǎng)絡拓撲結構；l 選取將要使用的傳輸介質(zhì)；l 以開放式為基礎，盡量與大多數(shù)廠家的產(chǎn)品和設備兼容，按照通用的標準進行設計；l 系統(tǒng)初步設計成本估算；l 將系統(tǒng)初步設計和建設費用預算告知用戶。最后在征得用戶意見并簽訂合同后，在制定詳細的設計方案綜合布線可采用UTP、STP或者光纜，在歐洲綜合布線所采用的線纜占主流的是屏蔽系統(tǒng)，而在北美廣泛使用的是非屏蔽系統(tǒng)，在高容量主干及嚴重干擾的情況下就使用光纜作為屏蔽系統(tǒng)。但STP

15、屏蔽式系統(tǒng)若使用不當，非但達不到整體的屏蔽的完整性，其性能會比UTP系統(tǒng)更差。UTP是目前較為成熟，可靠的商用建筑綜合布線系統(tǒng)所采用的線纜，通常情況下也可以滿足在干擾環(huán)境下的使用需求。所以建議使用UTP或光纜。四、局域網(wǎng)規(guī)劃設計方案4.1技術規(guī)劃4.1.1網(wǎng)絡體系結構社區(qū)衛(wèi)生服務站網(wǎng)絡拓撲圖4.1.2網(wǎng)絡層次劃分核心層：核心層配置設備承擔的任務主要是通過核心層設備與匯聚層間信息的交流、分發(fā)與管理，因此核心層設備是整個網(wǎng)絡的中心樞紐，應具有強大的交換能力，保證不會發(fā)生信息擁塞；強大的安全防護能力，保證不會因單點故障而影響整個系統(tǒng)的正常運行；有效的故障恢復能力，保證任何一種單點故障都能在短時間內(nèi)迅

16、速予以恢復。匯聚層：匯聚層設備承擔的任務，一是構造本地網(wǎng)絡核心，二是通過核心設備實現(xiàn)與其他部分大量信息交換。匯聚層設備具備較高的吞吐能力和上連帶寬，同時還具備強有力的用戶訪問控制能力（即三、四層交換能力、虛網(wǎng)功能）。接入層：接入層的功能在于將各種媒體、各種速度、任何地方的最終用戶接入IP網(wǎng)絡。這一層主要實現(xiàn)各單位終端節(jié)點設備的接入，并上連到網(wǎng)絡匯聚層。這一層網(wǎng)絡建設可以根據(jù)各節(jié)點的具體情況分期分批建設。4.1.3網(wǎng)絡IP子網(wǎng)劃分 把一個大網(wǎng)縮小為若干小網(wǎng)，叫子網(wǎng)，而要把一個或幾個小網(wǎng)擴大為一個大網(wǎng)，叫超網(wǎng)，后者一般應用于電信等其它領域，我們不作討論。劃分IP子網(wǎng)，有利于我們搞好系統(tǒng)維

17、護，合理配置系統(tǒng)資源，減少資源浪費，社區(qū)衛(wèi)生服務站信息點以樓層劃分。根據(jù)的保留地址劃分社區(qū)衛(wèi)生服務站內(nèi)部局域網(wǎng)，屬于C類地址，子網(wǎng)掩碼。根據(jù)結構分析，門診中心一層，數(shù)量最大，30臺，為每個樓層劃分單獨的網(wǎng)段公式：2N-2=Hosts2N-2=30 N=5N代表掩碼中0的個數(shù)，5個零則意味著二進制掩碼為11100000，即十進制的224加上前面24個1，1 的總數(shù)為27個。子網(wǎng)掩碼24確定掩碼規(guī)則以后，就要確認每一個子網(wǎng)的具體地址段。當前的IP地址的最后一位是0，二進制表示為00000000；而我們已

18、經(jīng)算出的掩碼24的最后一位是224，二進制表示11100000000000001110000000000000與結果：0 001000001110000000100000與 結果：32去除網(wǎng)絡回環(huán)地址，廣播地址依次類推辦公樓一層2辦公樓二層4辦公樓三層6門診中心一層28門診中心二層60門診中心三層92藥房244.2網(wǎng)絡協(xié)議網(wǎng)絡協(xié)議是通信雙方共同遵守的約定和規(guī)范，網(wǎng)絡設備必須安裝或設置各種網(wǎng)絡協(xié)議之后才能完成數(shù)據(jù)的傳輸

19、和發(fā)送，在社區(qū)衛(wèi)生服務站網(wǎng)上用到的協(xié)議主要有ICP/IP協(xié)議、IPX/SPX協(xié)議等。在這里主要講一下 TCP/IP協(xié)議：TCP/IP協(xié)議是目前在網(wǎng)絡中應用得最廣泛的協(xié)議，ICP/IP實際上是一個關于Internet的標準，并隨著的Internet廣泛應用而風靡全球，它也成為局域網(wǎng)的首選協(xié)議。TCP/IP是一種分層協(xié)議，它共被分為個4層次，大約包含近期100個非專有協(xié)議，通過這些協(xié)議，可以高效和可靠地實現(xiàn)計算機系統(tǒng)之間的互連。TCP/IP協(xié)議中的核心協(xié)議有TCP（傳輸控制協(xié)議）、UDP（用戶數(shù)據(jù)報協(xié)議）和IP（因特網(wǎng)協(xié)議）TCP協(xié)議可以在網(wǎng)絡用戶啟動的軟件應用進程之間建立通信會話，并實現(xiàn)數(shù)據(jù)流量

20、控制和錯誤檢測，這樣就可以在不可靠的網(wǎng)絡上提供可靠的端到端數(shù)據(jù)傳輸。UDP協(xié)議是一種無連接的協(xié)議，它在傳輸數(shù)據(jù)之前不建立連接，也不提供良好的可靠性和差錯檢查，只僅僅依賴于校驗來保證可靠性。UDP不進行流量控制，沒有序列或者確認，因此它處理和傳輸數(shù)據(jù)的速度快，還被用來傳輸關鍵的網(wǎng)絡狀態(tài)消息。IP協(xié)議的基本功能是提供數(shù)據(jù)傳輸、數(shù)據(jù)包編址、數(shù)據(jù)包路由，分段等。通過IP編址約定，可以成功地將數(shù)據(jù)通過路由傳輸?shù)秸_的網(wǎng)絡或者子網(wǎng)。每個網(wǎng)絡站點具有一個32位的IP地址，它和48位MAC地址一起協(xié)作，完成網(wǎng)絡通信，IP協(xié)議也是一種無連接的協(xié)議。4.3網(wǎng)絡流量規(guī)劃一個設計成功的社區(qū)衛(wèi)生服務站網(wǎng)，其網(wǎng)絡流量合理

21、，系統(tǒng)各部分負載均衡。那么什么是網(wǎng)絡流量呢？網(wǎng)絡流量簡而言之就是網(wǎng)絡上傳輸?shù)臄?shù)據(jù)量。就像要根據(jù)來往車輛的多少和流向來設計道路的寬度和連接方式一樣，根據(jù)網(wǎng)絡流量設計企業(yè)網(wǎng)絡是十分必要的。（1）“80 /20”規(guī)則在傳統(tǒng)網(wǎng)絡中，一般將使用相同應用程序的用戶放到同一工作組中，他們經(jīng)常使用的服務器也放在一起。工作組位于同一物理網(wǎng)段或VLAN（虛擬局域網(wǎng)）中。這樣做的目的是將網(wǎng)絡上客戶機與服務器之間產(chǎn)生的數(shù)據(jù)流量限制在同一網(wǎng)段中。在同一網(wǎng)段，可以使用帶寬相對高的交換機連接客戶機和服務器，而不必使用帶寬相對較低的路由器。將大部分網(wǎng)絡流量控制在本地的這種網(wǎng)絡設計模式，被稱為“80/20規(guī)則”，即80%的網(wǎng)絡

22、流量是本地流量（采用交換機交換數(shù)據(jù)），在同一網(wǎng)段中傳輸；只有20%的網(wǎng)絡流量才需要通過網(wǎng)絡主干（路由器或三層交換機）?！?0/20”規(guī)則中的“80”和“20”不能簡單地理解為數(shù)字，應該理解為網(wǎng)絡流量分布的方式，即大部分網(wǎng)絡流量局限在本地工作組，小部分流量通過網(wǎng)絡主干。因此在實際網(wǎng)絡設計中，只要大部分網(wǎng)絡流量在本地、小部分網(wǎng)絡流量通過主干，就認為它符合了“80/20”規(guī)則，而不管實際的數(shù)字比例是多少。后面談及的“20/80”規(guī)則也是如此。按照“80/20”規(guī)則，分支交換機可以使用不支持VLAN的交換機，如全向的QS-6924交換機，這樣能夠大大降低不必要的開支。當然使用支持VLAN的交換機產(chǎn)品就

23、更好了，如果以后想劃分子網(wǎng)也比較方便，全向系列交換機中，帶有“V”的型號具有VLAN功能，如QS-532V交換機、QS-516V交換機等。（2）“20/80”規(guī)則隨著網(wǎng)絡應用的逐漸豐富，“80/20”規(guī)則已經(jīng)不能完全滿足網(wǎng)絡設計的需要。而一種被稱為“集中存儲、分布計算”的模式逐漸得到推廣。集中存儲，就是數(shù)據(jù)集中在網(wǎng)絡中心存儲，如已經(jīng)得到普遍使用的Web服務、電子郵件系統(tǒng)和逐漸流行的VOD（視頻點播）、多媒體資源庫等；分布計算，就是數(shù)據(jù)被下載到各個工作站上處理，如使用網(wǎng)絡上的多媒體資源庫制作多媒體課件等。在“集中存儲、分布計算”的網(wǎng)絡應用模式下，對網(wǎng)絡流量的要求已經(jīng)大大偏離了“80/20”規(guī)則，

24、一種新的規(guī)則應運而生，這就是“20/80”規(guī)則。在符合“20/80”規(guī)則的網(wǎng)絡中，只有大約20%的網(wǎng)絡流量局限在本地工作組，而大約80%網(wǎng)絡流量經(jīng)過網(wǎng)絡主干傳輸。這種網(wǎng)絡流量模式的轉變，給社區(qū)衛(wèi)生服務站網(wǎng)主干交換機帶來了很大的負荷。因此理想狀態(tài)下主干交換機應該能夠提供與下面連接的支干交換機相匹配的性能，即提供線速三層交換，也就是說，下面的支干交換機能夠跑多快，上面的主干交換機也應該能夠跑多快。同樣，如果網(wǎng)絡中有許多按功能劃分的VLAN，這些VLAN也很難管理。在以往的“80/20”規(guī)則中，服務器往往分布在VLAN中，因此對于各工作組來說，訪問起來比較快。但是在“20/80”規(guī)則中，服務器往往集

25、中在網(wǎng)絡中心，因此對于各工作組，必須實現(xiàn)跨VLAN的訪問。沒有三層交換機，VLAN之間無法通信，VLAN類似于硬盤的邏輯分區(qū)，可以簡單地理解為把同一硬盤劃分成不同的硬盤盤符。但是與邏輯盤不同的是，VLAN之間通信可不像把文件從一個邏輯盤復制到另一個邏輯盤那樣簡單，而是必須依靠路由器才能使VLAN之間相互通信。社區(qū)衛(wèi)生服務站網(wǎng)適用哪一條規(guī)則在社區(qū)衛(wèi)生服務站絡環(huán)境中，有的地方“80/20”規(guī)則適用，數(shù)據(jù)流量一般局限在本地子網(wǎng)中，如果將專用的服務器架設在網(wǎng)絡中心，必將大大增加網(wǎng)絡主干的負擔。有的地方“20/80”規(guī)則適用，比如電子郵件服務器、Web服務器等，是任何網(wǎng)絡用戶都會使用的，就應當放置在網(wǎng)絡

26、主干上，如果放在某一個子網(wǎng)中，不僅增加該子網(wǎng)的負擔，其他子網(wǎng)的用戶訪問起來也會很慢。4.4安全策略4.4.1病毒防治（1） 禁用沒用的服務Windows提供了許許多多的服務。 Telnet就是一個非常典型的例子。在Windows2003的服務中是怎么解釋的：“允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序” 。建議禁止該服務還有一個值得一提的就是NetBIOS。Windows還有許多服務，在此不做過多地介紹?？梢愿鶕?jù)自己實際情況禁止某些服務。禁用不必要的服務，除了可以減少安全隱患 （2）打補丁Microsofe公司時不時就會在網(wǎng)上免費提供一些補丁，可以去打補丁。除了可以增強兼容性外，更重要

27、的是堵上已發(fā)現(xiàn)的安全漏洞。（3）反病毒監(jiān)控選擇一流的反病毒軟件。用反病毒軟件的根本目的是防病毒。另外，安裝反病毒軟件后必須對其進行必要的設置和時刻開啟反病毒監(jiān)控。這樣才能發(fā)揮其最大的威力。4.4.2建立防火墻網(wǎng)絡地址轉化NAT 網(wǎng)絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡中每一臺機器取得注冊的IP地址。 在內(nèi)部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)

28、絡地址。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡時，它并不知道內(nèi)部網(wǎng)絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。4.4.3網(wǎng)絡的保密措施（1）堵住服務器操作系統(tǒng)安全漏洞任何網(wǎng)絡操作系統(tǒng)的安全性都是相對的，無論是UNIX還是NT都存在安全漏洞，他們的站點會不定期

29、發(fā)布系統(tǒng)補丁，系統(tǒng)管理員應定期下載，及時堵住系統(tǒng)漏洞。（2）注意保護系統(tǒng)管理員的密碼用戶名和密碼應當設置合理，口令應大小寫混合，最好加上特殊字符和數(shù)字，至少不能少于16位，同時應定期修改；口令不得以明文方式存放在系統(tǒng)中；建立帳號鎖定機制，當同一帳號的密碼校驗錯誤若干次時，自動斷開連接并鎖定該帳號。（3）關閉不必要的服務端口。謹慎開放缺乏安全保障的端口：很多黑客攻擊程序是針對特定服務和特定服務端口的。a、常用服務端口有：WEB：80，SMTP：25，POP3：110，可根據(jù)情況選擇關閉。b、比較危險(很可能存在系統(tǒng)漏洞)的服務端口：TELNET：23，F(xiàn)INGER：79，建議關閉掉。c、對必須打

30、開的服務(如SQL數(shù)據(jù)庫等)進行安全檢查。（4）制定完善的安全管理制度定期使用網(wǎng)絡管理軟件對整個局域網(wǎng)進行監(jiān)控，發(fā)現(xiàn)問題及時防范。定期使用黑客軟件攻擊自己的系統(tǒng)，以便發(fā)現(xiàn)漏洞，及時補救。謹慎利用共享軟件，不應隨意下載使用共享軟件。做好數(shù)據(jù)的備份工作，有了完整的數(shù)據(jù)備份。（5）注意WEB服務的安全問題WEB編程人員編寫的CGI、ASP、PHP等程序存在的問題，會暴露系統(tǒng)結構或使服務目錄可讀寫，這樣黑客入侵的發(fā)揮空間就更大。在給WEB服務器上傳前，要進行腳本安全檢查。（6）警惕DOS攻擊和DDOS攻擊DOS攻擊和DDOS攻擊可以使網(wǎng)站系統(tǒng)失去與互聯(lián)網(wǎng)通信的能力，甚至于系統(tǒng)崩潰。建議：如果有條件允許

31、的話，可以使用具有DoS和DdoS防護的防火墻。4.4.4數(shù)據(jù)安全性和完整性措施數(shù)據(jù)安全性和完整性就是數(shù)據(jù)的安全技術。為了解決上述問題，就必須利用另外一種安全技術-數(shù)字簽名。PKI（Publie Key Infrastucture）技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。由于通過網(wǎng)絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸，因此使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術，他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控

32、制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經(jīng)濟的。它必須充分考慮互操作性和可擴展性。它是認證機構（CA）、注冊機構（RA）、策略管理、密鑰（Key）與證書（Certificate）管理、密鑰備份與恢復、撤消系統(tǒng)等功能模塊的有機結合。 （1）認證機構 CA（Certification Authorty）就是這樣一個確保信任度的權威實體，它的主要職責是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡用戶電子身份證明證書，任何相信該CA的人，按照第三方信任原則，也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關

33、重要的，這不僅與密碼學有關系，而且與整個PKI系統(tǒng)的構架和模型有關。此外，靈活也是CA能否得到市場認同的一個關鍵，它不需支持各種通用的國際標準，能夠很好地和其他廠家的CA產(chǎn)品兼容。 （2）注冊機構 RA（Registration Authorty）是用戶和CA的接口，它所獲得的用戶標識的準確性是CA頒發(fā)證書的基礎。RA不僅要支持面對面的登記，也必須支持遠程登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設計和實現(xiàn)網(wǎng)絡化、安全的且易于操作的RA系統(tǒng)。 （3）策略管理 在PKI系統(tǒng)中，制定并實現(xiàn)科學的安全策略管理是非常重要的這些安全策略必須適應不同的需求，并且能通過CA和RA技術融入到CA 和RA的

34、系統(tǒng)實現(xiàn)中。同時，這些策略應該符合密碼學和系統(tǒng)安全的要求，科學地應用密碼學與網(wǎng)絡安全的理論，并且具有良好的擴展性和互用性。 （4）密鑰備份和恢復 為了保證數(shù)據(jù)的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。 （5）證書管理與撤消系統(tǒng) 證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進行證書撤消，證書撤消的理由是各種各樣的，可能包

35、括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實現(xiàn)是利用周期性的發(fā)布機制撤消證書或采用在線查詢機制，隨時查詢被撤消的證書。 國外的PKI應用已經(jīng)開始，開發(fā)PKI的廠商也有多家。許多廠家，如Baltimore，Entrust等推出了可以應用的PKI產(chǎn)品，有些公司如VerySign等已經(jīng)開始提供PKI服務。網(wǎng)絡許多應用正在使用PKI技術來保證網(wǎng)絡的認證、不可否認、加解密和密鑰管理等。盡管如此，總的說來PKI技術仍在發(fā)展中。按照國外一些調(diào)查公司的說法，PKI系統(tǒng)僅僅還是在做示范工程。IDC公司的Internet安全知深分析家認為：PKI技術將成為所有應用的計算基礎結構的核心部件，包括那些越出傳統(tǒng)

36、網(wǎng)絡界限的應用。B2B電子商務活動需要的認證、不可否認等只有PKI產(chǎn)品才有能力提供這些功能。五、前景展望5.1建設局域網(wǎng)的優(yōu)點5.1.1合理的系統(tǒng)結構社區(qū)衛(wèi)生服務站主干采用具有第三層交換功能的千兆位以太網(wǎng)(Gigabit Ethernet)以 滿足廣大用戶的各種要求。主干設備應能滿足10，000用戶接入訪問的要求。支持IP多目廣播(Multicast)與服務質(zhì)量(Qos)或服務類型(CoS)，滿足遠程教育的需求。支持虛擬網(wǎng)絡(VLAN)，網(wǎng)管軟件應具備對接入層交換設備進行遠程可操作的能力。5.1.2 可靠的安全防護軟件采用反病毒軟件，關鍵數(shù)據(jù)傳遞使用數(shù)字簽名技術。網(wǎng)絡骨干線路的冗余備份，網(wǎng)絡核

37、心設備的冗余備份和電源冗余備份等方面保證社區(qū)衛(wèi)生服務站網(wǎng)的可靠性。內(nèi)部網(wǎng)絡之間，內(nèi)部網(wǎng)絡與外部公共網(wǎng)之間的互聯(lián)，利用VLAN/ ELAN ，防火墻等對訪問進行控制，確保網(wǎng)絡的安全。5.1.3充分的擴充余地主干網(wǎng)絡設備的選型及其模塊，插槽個數(shù)，管理軟件 和網(wǎng)絡整體結構，以及技術的開放性和對相關協(xié)議的支持等方面，來保證網(wǎng)絡系統(tǒng)的開放性和擴充性。5.1.4穩(wěn)定的系統(tǒng)性能對使用負擔較重的服務器，可以建立多快速以太網(wǎng)通道和服務器負載平衡來提高訪問服務器性能。采用VLAN技術，根據(jù)不同的部門和用戶需要劃分不同子網(wǎng)，并賦予一定的訪問權限，配合NAT技術，大大提高了整個網(wǎng)絡的安全性和可管理性。同時對網(wǎng)絡骨干進

38、行了備份，充分考慮了冗余性，降低了網(wǎng)絡癱瘓的可能。關鍵的服務器都采用多快速以太網(wǎng)通道技術，使訪問速度成倍提高。5.2存在問題（1） 目前社區(qū)衛(wèi)生服務站與合作醫(yī)院連接速率相對較低(100M)，但已經(jīng)符合日常辦公的需求。（2） 由于本方案是模擬方案，主要針對題目要求進行衛(wèi)生服務站網(wǎng)絡的設計，有一定的局限性。在網(wǎng)絡主干部分部署了具有足夠性能和優(yōu)良擴展性的網(wǎng)絡設備(如Quidway S6503路由交換機)以支持辦公樓和門診、藥房網(wǎng)絡的接入。（3）由于工程比較大型，所以所需要的費用比較龐大。但所采用的設備都是比較好的設備，符合社區(qū)衛(wèi)生服務站的需求?？傮w來說還是價格還是比較合理的。(3) 本方案雖然只是模擬方案，但設計時已經(jīng)考慮到實際需求情況，可操作性也比較強。本方案在設備選型上也考慮了辦公樓及門診、藥房網(wǎng)的接入需要