規(guī)劃設(shè)計(jì)衛(wèi)生服務(wù)站局域網(wǎng)

1、目 錄一、問題背景概述-4二、需求分析-42.1社區(qū)衛(wèi)生服務(wù)站局域網(wǎng)概述-42.2組織架構(gòu)-6三、設(shè)計(jì)方案概述-53.1設(shè)計(jì)目標(biāo)-63.2設(shè)計(jì)原則-63.3網(wǎng)絡(luò)功能及結(jié)構(gòu)設(shè)計(jì)-7四、規(guī)劃設(shè)計(jì)方案-10 4.1技術(shù)設(shè)計(jì)-10 4.1.1網(wǎng)絡(luò)拓?fù)鋱D-10 4.1.2網(wǎng)絡(luò)層次劃分-11 4.1.3子網(wǎng)劃分-12 4.2網(wǎng)絡(luò)協(xié)議-12 4.3網(wǎng)絡(luò)流量規(guī)劃-14 4.4安全策略-15 五、前景展望-195.1建設(shè)局域網(wǎng)的優(yōu)點(diǎn)-195.2存在的問題-20六、方案總體預(yù)算-21七、總結(jié)-23附錄：參考文獻(xiàn)-24 一、問題背景概述中國社區(qū)衛(wèi)生服務(wù)的雛形始于20世紀(jì)80年代初，1997年全國衛(wèi)生工作會議上提出了

2、實(shí)施社區(qū)衛(wèi)生服務(wù)；2000年打開了社區(qū)衛(wèi)生服務(wù)的全新局面，引進(jìn)衛(wèi)生健康新概念。近年來，衛(wèi)生部在加快建設(shè)以社區(qū)為基礎(chǔ)的新型衛(wèi)生服務(wù)體系，優(yōu)化城市醫(yī)療衛(wèi)生資源配置，重點(diǎn)發(fā)展社區(qū)衛(wèi)生服務(wù)以及社區(qū)衛(wèi)生服務(wù)站網(wǎng)絡(luò)建設(shè)等方面。社區(qū)衛(wèi)生服務(wù)站信息化的發(fā)展，接入社區(qū)服務(wù)站局域網(wǎng)絡(luò)的終端計(jì)算機(jī)越來越多，應(yīng)用的范圍越來越廣，要求社區(qū)衛(wèi)生服務(wù)站的信息系統(tǒng)具有很高的可用性，而局域網(wǎng)安全保證醫(yī)院信息系統(tǒng)的正常運(yùn)行。隨著醫(yī)療信息化的不斷發(fā)展，網(wǎng)絡(luò)作為社區(qū)衛(wèi)生服務(wù)站信息化的基石越來越被重視。社區(qū)衛(wèi)生服務(wù)站網(wǎng)絡(luò)的安全直接關(guān)系到其正常運(yùn)轉(zhuǎn)，一旦網(wǎng)絡(luò)發(fā)生故障, 社區(qū)衛(wèi)生服務(wù)站的正常就醫(yī)秩序無法維持, 社區(qū)衛(wèi)生服務(wù)站的形象會大打折

3、扣.運(yùn)用局域網(wǎng)技術(shù),將社區(qū)衛(wèi)生服務(wù)站按工作職能分為多個VLAN,將社區(qū)衛(wèi)生服務(wù)站局域網(wǎng)進(jìn)行隔離,極大的提高了社區(qū)衛(wèi)生服務(wù)站信息系統(tǒng)的穩(wěn)定性。二、需求分析2.1社區(qū)衛(wèi)生服務(wù)站局域網(wǎng)概述充分利用現(xiàn)有的市衛(wèi)生局衛(wèi)生數(shù)據(jù)中心機(jī)房和網(wǎng)絡(luò)平臺，規(guī)劃搭建社區(qū)衛(wèi)生服務(wù)信息化建設(shè)總體網(wǎng)絡(luò)架構(gòu)，并采用數(shù)據(jù)集中的模式，統(tǒng)一設(shè)計(jì)涵蓋醫(yī)療、預(yù)防、保健、康復(fù)、健康教育、計(jì)劃生育技術(shù)指導(dǎo)服務(wù)、社區(qū)衛(wèi)生綜合管理和輔助決策分析，以及政府對社區(qū)衛(wèi)生服務(wù)的綜合評估等功能為一體的社區(qū)衛(wèi)生服務(wù)信息架構(gòu)。社區(qū)衛(wèi)生服務(wù)中心計(jì)算機(jī)和相關(guān)硬件設(shè)備、網(wǎng)絡(luò)建設(shè)由鎮(zhèn)街財(cái)政負(fù)責(zé)投入。實(shí)現(xiàn)分析決策為主導(dǎo)的全面的科學(xué)化管理，提高社區(qū)衛(wèi)生服務(wù)站的管理水平和

4、經(jīng)濟(jì)效益，通過局域網(wǎng)的實(shí)施，提高信息共享能力，減輕勞動強(qiáng)度，提高工作效率。注重科學(xué)化，智能化，標(biāo)準(zhǔn)化，也更加方便實(shí)用，易于操作和掌握是此次設(shè)計(jì)局域網(wǎng)的總體目標(biāo)需求。以病人為中心進(jìn)行設(shè)計(jì)，始終貫徹社區(qū)衛(wèi)生服務(wù)以一切工作以滿足人民群眾為前提，突出設(shè)計(jì)思想的人性化。實(shí)現(xiàn)技術(shù)支持的本地化服務(wù)。2.2社區(qū)衛(wèi)生服務(wù)站組織架構(gòu)(1)按要求，一般一個生產(chǎn)中心局域網(wǎng)信息點(diǎn)共有204個。其中辦公樓60個，分別分布在3個樓層、門診中心118個分布于3個樓層，藥房的26個信息點(diǎn)。各樓之間以光纜連接，構(gòu)成社區(qū)衛(wèi)生服務(wù)站局域網(wǎng)。社區(qū)衛(wèi)生服務(wù)站局域網(wǎng)的中心機(jī)房設(shè)在辦公樓的三層西側(cè)。門診中心的配線間設(shè)在三樓東側(cè)的北面。為適應(yīng)

5、社區(qū)衛(wèi)生服務(wù)站將來對各種網(wǎng)絡(luò)應(yīng)用的需求，另外隨著技術(shù)和工藝的進(jìn)步，考慮到目前各類布線材料在價(jià)格方面比較接近，因此擬對所有信息點(diǎn)都按超五類UTP標(biāo)準(zhǔn)布線，每個信息點(diǎn)可實(shí)現(xiàn)不低于100Mb的帶寬，這樣不僅可支持一般的企業(yè)信息管理應(yīng)用對網(wǎng)絡(luò)傳輸帶寬的要求，而且完全支持MPEG-2等格式的多媒體信息傳輸。此布線方案只考慮數(shù)據(jù)信息點(diǎn)布線，不涉及語音信息點(diǎn)及其設(shè)備。(2)支持決策,能在短時間內(nèi)獲得信息 高速的內(nèi)部網(wǎng)各個信息點(diǎn)，及時的傳遞業(yè)務(wù)信息，供應(yīng)信息，生產(chǎn)信息，管理信息。供管理層及時決策。(3)外出人員與服務(wù)站溝通WWW應(yīng)用是Intranet的標(biāo)志性應(yīng)用，最核心的應(yīng)用服務(wù)集中在WWW服務(wù)器上完成。因而

6、對于WWW服務(wù)器的設(shè)計(jì)首要考慮的就是服務(wù)器性能問題，另外考慮到將來在Intranet平臺上做應(yīng)用開發(fā)的可能，對于WWW服務(wù)器同數(shù)據(jù)庫互聯(lián)的問題也應(yīng)作為重點(diǎn)考慮。(4)接入INTERNET功能對廣域網(wǎng)的連接需求主要表現(xiàn)在：能夠與國際互聯(lián)網(wǎng)連接，與國際交流信息；能夠與CERNET國內(nèi)各個單位交流信息。C11inaNet連接、與國內(nèi)各個單位交流信息。為此應(yīng)通過DDN、無線網(wǎng)等公用或者專用數(shù)據(jù)網(wǎng)絡(luò)與CERNET連接，再連到Internet。網(wǎng)絡(luò)布線按照國際有關(guān)計(jì)算機(jī)網(wǎng)絡(luò)通信的標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)。申請正式IP和域名，配置路由器，安裝Server（資源共享，Web），完成與Internet的連接，整體網(wǎng)絡(luò)既可在

7、內(nèi)部使用，又可與外網(wǎng)互聯(lián)訪問Internet，實(shí)現(xiàn)與外界的數(shù)據(jù)交換。三、局域網(wǎng)設(shè)計(jì)方案概述3.1 設(shè)計(jì)目標(biāo)：按功能需求要求1） 根據(jù)社區(qū)衛(wèi)生服務(wù)站對信息點(diǎn)的安排和網(wǎng)絡(luò)應(yīng)用的需求制定合理的社區(qū)衛(wèi)生服務(wù)站網(wǎng)總體建設(shè)規(guī)劃和實(shí)施方案；2） 對社區(qū)衛(wèi)生服務(wù)站辦公樓、門診、藥房和輔助管理部門等幾座主要建筑物實(shí)施局域網(wǎng)結(jié)構(gòu)化布線；3） 完成從辦公樓的網(wǎng)絡(luò)中心分別到門診、藥房所在平房的2條六芯室外主干網(wǎng)光纜的敷設(shè)。4） 實(shí)現(xiàn)社區(qū)衛(wèi)生服務(wù)站核心交換機(jī)與二級交換機(jī)的連接、安裝、配置和調(diào)試；5） 實(shí)施對新購服務(wù)器和部分微機(jī)網(wǎng)絡(luò)工作站的連接和入網(wǎng)調(diào)試。3.2設(shè)計(jì)原則3.2.1先進(jìn)性我們設(shè)計(jì)的網(wǎng)絡(luò)方案采用三層分布式結(jié)構(gòu)

8、。核心層選用包括了銳捷網(wǎng)絡(luò)高性能的萬兆以太網(wǎng)交換機(jī)，可以實(shí)現(xiàn)對全網(wǎng)的數(shù)據(jù)進(jìn)行高速無阻塞的交換，負(fù)責(zé)路由管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)服務(wù)、核心數(shù)據(jù)處理等。匯聚層由華為AR2220千兆路由組成，負(fù)責(zé)接入層匯聚，提供高速無阻塞的鏈路到核心層，抑制廣播風(fēng)暴和分流核心數(shù)據(jù)處理壓力等，可實(shí)施分布式三層，大大提升網(wǎng)絡(luò)性能。接入層選用提供上聯(lián)千兆，10/100M桌面接入，并在全部采用認(rèn)證和流控等手段進(jìn)行接入控制，充分滿足用戶的高速接入等，并可靈活擴(kuò)展，增加端口密度。選用STAR-S2100。采用WINDOWS XP操作系統(tǒng)3.2.2 安全可靠性可靠性：對工作站、服務(wù)器、交換機(jī)及其他主要相關(guān)設(shè)備在廠家、品牌、服務(wù)等方面

9、進(jìn)行充分調(diào)研、論證、選擇，確保硬件設(shè)備的基本品質(zhì)。 采用WINDOWS XP作為網(wǎng)絡(luò)操作系統(tǒng)，并以“數(shù)據(jù)庫”的方式建立各種生產(chǎn)、裝配中心和管理應(yīng)用系統(tǒng)，保證網(wǎng)絡(luò)系統(tǒng)和應(yīng)用系統(tǒng)的安全穩(wěn)定。容錯技術(shù)采用：雙工磁盤技術(shù)在網(wǎng)絡(luò)系統(tǒng)上建立起兩套同樣的且同步工作的文件服務(wù)器，如果其中一個出現(xiàn)故障，另一個將立即自動投入系統(tǒng)，接替發(fā)生故障的文件服務(wù)器的全部工作。3.2.3 實(shí)用性實(shí)用性：性能指標(biāo)能滿足各項(xiàng)業(yè)務(wù)處理能力社區(qū)衛(wèi)生服務(wù)站組網(wǎng)的方案在接入交換機(jī)將用戶賬號、MAC地址與端口的捆綁實(shí)現(xiàn)高效的用戶控制；采用網(wǎng)絡(luò)管理系統(tǒng)TCLView，使網(wǎng)絡(luò)易維護(hù)、易管理，可實(shí)施性好。3.2.4 可擴(kuò)展性可擴(kuò)展性：網(wǎng)絡(luò)核心層

10、、匯聚層采用模塊化交換機(jī)，按照需求靈活配置各種模塊，做到既滿足需求，由留有余地。整個網(wǎng)絡(luò)架構(gòu)采用三層結(jié)構(gòu)，使網(wǎng)絡(luò)具有較好的伸縮性、可以根據(jù)網(wǎng)絡(luò)建設(shè)的不同階段靈活配置和擴(kuò)展，具有能不斷吸收新技術(shù)、新方法的功能。3.2.5 開放性 本次設(shè)計(jì)的中央集成管理系統(tǒng)將是一個完全開放性的系統(tǒng)，通過編制系統(tǒng)的接口軟件將解決不同系統(tǒng)和產(chǎn)品間接口協(xié)議的“標(biāo)準(zhǔn)化”，以使他們之間具備“互操作性”。所有接口均基于標(biāo)準(zhǔn)的TCP/IP數(shù)據(jù)接口協(xié)議和內(nèi)容。系統(tǒng)的開放性設(shè)計(jì)完全遵循國際主流標(biāo)準(zhǔn)以及工業(yè)標(biāo)準(zhǔn)。3.3網(wǎng)絡(luò)功能及結(jié)構(gòu)設(shè)計(jì)3.3.1網(wǎng)絡(luò)功能根據(jù)社區(qū)衛(wèi)生服務(wù)站現(xiàn)有規(guī)模,業(yè)務(wù)需要及發(fā)展范圍建立的網(wǎng)絡(luò)有如下功能:（1）建立社

11、區(qū)衛(wèi)生服務(wù)站自己的網(wǎng)站,可向外界發(fā)布信息,并進(jìn)行網(wǎng)絡(luò)上的業(yè)務(wù)；（2）要求辦公樓可以連接Internet,與各醫(yī)療單位保持聯(lián)絡(luò),其他部門都不能連接Internet,但要求社區(qū)衛(wèi)生服務(wù)站內(nèi)部由網(wǎng)絡(luò)連接；社區(qū)衛(wèi)生服務(wù)站內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)資源共享,以提高工作效率；（3）建立網(wǎng)絡(luò)時應(yīng)注意網(wǎng)絡(luò)的擴(kuò)展性,以方便日后的網(wǎng)絡(luò)升級和增加計(jì)算機(jī)。3.3.2網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)（1）現(xiàn)場勘察分析根據(jù)辦公、門診及藥房樓的結(jié)構(gòu)特點(diǎn)制定詳細(xì)的網(wǎng)絡(luò)連接圖,其中包括如下信息:l 網(wǎng)絡(luò)上個信息點(diǎn)的分布圖,工作空間大小與距離；l 電源插座的位置,包括目前正在使用的插座的設(shè)備；l 所有不可移動的物品的位置(如支撐柱,分隔墻,內(nèi)置柜等)，l 所有計(jì)

12、算機(jī)和類似打印機(jī)的外部設(shè)備的位置；l 門和窗口的位置；l 通風(fēng)管道和目前電線的位置。另外,在記錄每臺設(shè)備是要為每臺設(shè)備建立一張配置表，如計(jì)算機(jī)的CPU、硬盤、顯示器、軟驅(qū)。（2）網(wǎng)絡(luò)互連方式首先要確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),建議采用星狀結(jié)構(gòu)，其中100Base-T星型結(jié)構(gòu)的快速以太網(wǎng)是理想的。選擇用雙絞線作為傳輸線纜，星狀總線網(wǎng)的物理結(jié)構(gòu)采用星狀連接，邏輯結(jié)構(gòu)采用總線狀的，采用IEEE的802.3協(xié)議標(biāo)準(zhǔn)。網(wǎng)卡,集線器和雙絞線應(yīng)選100M的。然后確定互連方式,因?yàn)橛幸徊糠钟脩艨梢赃B接Internet,另一部分不可以,所以有兩種方式:分成兩個子網(wǎng),各連接一個交換機(jī),并連接到服務(wù)器的不同的網(wǎng)卡上,在服務(wù)器

13、上設(shè)置一個網(wǎng)卡可以連接Internet,另一個不可以.分成三個子網(wǎng),都連接到路由器上,在路由器上設(shè)置IP,其中兩個子網(wǎng)的IP設(shè)置為內(nèi)部IP,不允許訪問Internet.建議用第二種方式，便于以后擴(kuò)展網(wǎng)絡(luò)。（3）布線系統(tǒng)設(shè)計(jì)綜合布線要符合樓宇管理自動化，辦公自動化，通信自動化和計(jì)算機(jī)網(wǎng)絡(luò)化等多功能需要的布線系統(tǒng)。系統(tǒng)應(yīng)能支持話音，圖像，圖形，數(shù)據(jù)多媒體，安全監(jiān)控，傳感等各種信息傳輸，支持光纖，非屏蔽雙絞線(UTP)，屏蔽雙絞線(STP)，同軸電纜等各種傳輸載體，支持多用戶多類型產(chǎn)品的應(yīng)用，支持高速網(wǎng)絡(luò)的應(yīng)用。綜合布線系統(tǒng)通常包括六個子系統(tǒng):工作區(qū)子系統(tǒng)，水平布線子系統(tǒng)，干線子系統(tǒng)，設(shè)備間子系統(tǒng)，

14、管理子系統(tǒng)和建筑群子系統(tǒng)。綜合布線系統(tǒng)設(shè)計(jì)要根據(jù)建筑結(jié)構(gòu)和用戶需求來確定，這一過程主要包括以下幾個要點(diǎn):l 盡量滿足用戶的通信要求；l 要了解建筑物內(nèi)部的通信環(huán)境；l 確定合適的通信網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；l 選取將要使用的傳輸介質(zhì)；l 以開放式為基礎(chǔ)，盡量與大多數(shù)廠家的產(chǎn)品和設(shè)備兼容，按照通用的標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)；l 系統(tǒng)初步設(shè)計(jì)成本估算；l 將系統(tǒng)初步設(shè)計(jì)和建設(shè)費(fèi)用預(yù)算告知用戶。最后在征得用戶意見并簽訂合同后，在制定詳細(xì)的設(shè)計(jì)方案綜合布線可采用UTP、STP或者光纜，在歐洲綜合布線所采用的線纜占主流的是屏蔽系統(tǒng)，而在北美廣泛使用的是非屏蔽系統(tǒng)，在高容量主干及嚴(yán)重干擾的情況下就使用光纜作為屏蔽系統(tǒng)。但STP

15、屏蔽式系統(tǒng)若使用不當(dāng)，非但達(dá)不到整體的屏蔽的完整性，其性能會比UTP系統(tǒng)更差。UTP是目前較為成熟，可靠的商用建筑綜合布線系統(tǒng)所采用的線纜，通常情況下也可以滿足在干擾環(huán)境下的使用需求。所以建議使用UTP或光纜。四、局域網(wǎng)規(guī)劃設(shè)計(jì)方案4.1技術(shù)規(guī)劃4.1.1網(wǎng)絡(luò)體系結(jié)構(gòu)社區(qū)衛(wèi)生服務(wù)站網(wǎng)絡(luò)拓?fù)鋱D4.1.2網(wǎng)絡(luò)層次劃分核心層：核心層配置設(shè)備承擔(dān)的任務(wù)主要是通過核心層設(shè)備與匯聚層間信息的交流、分發(fā)與管理，因此核心層設(shè)備是整個網(wǎng)絡(luò)的中心樞紐，應(yīng)具有強(qiáng)大的交換能力，保證不會發(fā)生信息擁塞；強(qiáng)大的安全防護(hù)能力，保證不會因單點(diǎn)故障而影響整個系統(tǒng)的正常運(yùn)行；有效的故障恢復(fù)能力，保證任何一種單點(diǎn)故障都能在短時間內(nèi)迅

16、速予以恢復(fù)。匯聚層：匯聚層設(shè)備承擔(dān)的任務(wù)，一是構(gòu)造本地網(wǎng)絡(luò)核心，二是通過核心設(shè)備實(shí)現(xiàn)與其他部分大量信息交換。匯聚層設(shè)備具備較高的吞吐能力和上連帶寬，同時還具備強(qiáng)有力的用戶訪問控制能力（即三、四層交換能力、虛網(wǎng)功能）。接入層：接入層的功能在于將各種媒體、各種速度、任何地方的最終用戶接入IP網(wǎng)絡(luò)。這一層主要實(shí)現(xiàn)各單位終端節(jié)點(diǎn)設(shè)備的接入，并上連到網(wǎng)絡(luò)匯聚層。這一層網(wǎng)絡(luò)建設(shè)可以根據(jù)各節(jié)點(diǎn)的具體情況分期分批建設(shè)。4.1.3網(wǎng)絡(luò)IP子網(wǎng)劃分 把一個大網(wǎng)縮小為若干小網(wǎng)，叫子網(wǎng)，而要把一個或幾個小網(wǎng)擴(kuò)大為一個大網(wǎng)，叫超網(wǎng)，后者一般應(yīng)用于電信等其它領(lǐng)域，我們不作討論。劃分IP子網(wǎng)，有利于我們搞好系統(tǒng)維

17、護(hù)，合理配置系統(tǒng)資源，減少資源浪費(fèi)，社區(qū)衛(wèi)生服務(wù)站信息點(diǎn)以樓層劃分。根據(jù)的保留地址劃分社區(qū)衛(wèi)生服務(wù)站內(nèi)部局域網(wǎng)，屬于C類地址，子網(wǎng)掩碼。根據(jù)結(jié)構(gòu)分析，門診中心一層，數(shù)量最大，30臺，為每個樓層劃分單獨(dú)的網(wǎng)段公式：2N-2=Hosts2N-2=30 N=5N代表掩碼中0的個數(shù)，5個零則意味著二進(jìn)制掩碼為11100000，即十進(jìn)制的224加上前面24個1，1 的總數(shù)為27個。子網(wǎng)掩碼24確定掩碼規(guī)則以后，就要確認(rèn)每一個子網(wǎng)的具體地址段。當(dāng)前的IP地址的最后一位是0，二進(jìn)制表示為00000000；而我們已

18、經(jīng)算出的掩碼24的最后一位是224，二進(jìn)制表示11100000000000001110000000000000與結(jié)果：0 001000001110000000100000與 結(jié)果：32去除網(wǎng)絡(luò)回環(huán)地址，廣播地址依次類推辦公樓一層2辦公樓二層4辦公樓三層6門診中心一層28門診中心二層60門診中心三層92藥房244.2網(wǎng)絡(luò)協(xié)議網(wǎng)絡(luò)協(xié)議是通信雙方共同遵守的約定和規(guī)范，網(wǎng)絡(luò)設(shè)備必須安裝或設(shè)置各種網(wǎng)絡(luò)協(xié)議之后才能完成數(shù)據(jù)的傳輸

19、和發(fā)送，在社區(qū)衛(wèi)生服務(wù)站網(wǎng)上用到的協(xié)議主要有ICP/IP協(xié)議、IPX/SPX協(xié)議等。在這里主要講一下 TCP/IP協(xié)議：TCP/IP協(xié)議是目前在網(wǎng)絡(luò)中應(yīng)用得最廣泛的協(xié)議，ICP/IP實(shí)際上是一個關(guān)于Internet的標(biāo)準(zhǔn)，并隨著的Internet廣泛應(yīng)用而風(fēng)靡全球，它也成為局域網(wǎng)的首選協(xié)議。TCP/IP是一種分層協(xié)議，它共被分為個4層次，大約包含近期100個非專有協(xié)議，通過這些協(xié)議，可以高效和可靠地實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)之間的互連。TCP/IP協(xié)議中的核心協(xié)議有TCP（傳輸控制協(xié)議）、UDP（用戶數(shù)據(jù)報(bào)協(xié)議）和IP（因特網(wǎng)協(xié)議）TCP協(xié)議可以在網(wǎng)絡(luò)用戶啟動的軟件應(yīng)用進(jìn)程之間建立通信會話，并實(shí)現(xiàn)數(shù)據(jù)流量

20、控制和錯誤檢測，這樣就可以在不可靠的網(wǎng)絡(luò)上提供可靠的端到端數(shù)據(jù)傳輸。UDP協(xié)議是一種無連接的協(xié)議，它在傳輸數(shù)據(jù)之前不建立連接，也不提供良好的可靠性和差錯檢查，只僅僅依賴于校驗(yàn)來保證可靠性。UDP不進(jìn)行流量控制，沒有序列或者確認(rèn)，因此它處理和傳輸數(shù)據(jù)的速度快，還被用來傳輸關(guān)鍵的網(wǎng)絡(luò)狀態(tài)消息。IP協(xié)議的基本功能是提供數(shù)據(jù)傳輸、數(shù)據(jù)包編址、數(shù)據(jù)包路由，分段等。通過IP編址約定，可以成功地將數(shù)據(jù)通過路由傳輸?shù)秸_的網(wǎng)絡(luò)或者子網(wǎng)。每個網(wǎng)絡(luò)站點(diǎn)具有一個32位的IP地址，它和48位MAC地址一起協(xié)作，完成網(wǎng)絡(luò)通信，IP協(xié)議也是一種無連接的協(xié)議。4.3網(wǎng)絡(luò)流量規(guī)劃一個設(shè)計(jì)成功的社區(qū)衛(wèi)生服務(wù)站網(wǎng)，其網(wǎng)絡(luò)流量合理

21、，系統(tǒng)各部分負(fù)載均衡。那么什么是網(wǎng)絡(luò)流量呢？網(wǎng)絡(luò)流量簡而言之就是網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)量。就像要根據(jù)來往車輛的多少和流向來設(shè)計(jì)道路的寬度和連接方式一樣，根據(jù)網(wǎng)絡(luò)流量設(shè)計(jì)企業(yè)網(wǎng)絡(luò)是十分必要的。（1）“80 /20”規(guī)則在傳統(tǒng)網(wǎng)絡(luò)中，一般將使用相同應(yīng)用程序的用戶放到同一工作組中，他們經(jīng)常使用的服務(wù)器也放在一起。工作組位于同一物理網(wǎng)段或VLAN（虛擬局域網(wǎng)）中。這樣做的目的是將網(wǎng)絡(luò)上客戶機(jī)與服務(wù)器之間產(chǎn)生的數(shù)據(jù)流量限制在同一網(wǎng)段中。在同一網(wǎng)段，可以使用帶寬相對高的交換機(jī)連接客戶機(jī)和服務(wù)器，而不必使用帶寬相對較低的路由器。將大部分網(wǎng)絡(luò)流量控制在本地的這種網(wǎng)絡(luò)設(shè)計(jì)模式，被稱為“80/20規(guī)則”，即80%的網(wǎng)絡(luò)

22、流量是本地流量（采用交換機(jī)交換數(shù)據(jù)），在同一網(wǎng)段中傳輸；只有20%的網(wǎng)絡(luò)流量才需要通過網(wǎng)絡(luò)主干（路由器或三層交換機(jī)）?！?0/20”規(guī)則中的“80”和“20”不能簡單地理解為數(shù)字，應(yīng)該理解為網(wǎng)絡(luò)流量分布的方式，即大部分網(wǎng)絡(luò)流量局限在本地工作組，小部分流量通過網(wǎng)絡(luò)主干。因此在實(shí)際網(wǎng)絡(luò)設(shè)計(jì)中，只要大部分網(wǎng)絡(luò)流量在本地、小部分網(wǎng)絡(luò)流量通過主干，就認(rèn)為它符合了“80/20”規(guī)則，而不管實(shí)際的數(shù)字比例是多少。后面談及的“20/80”規(guī)則也是如此。按照“80/20”規(guī)則，分支交換機(jī)可以使用不支持VLAN的交換機(jī)，如全向的QS-6924交換機(jī)，這樣能夠大大降低不必要的開支。當(dāng)然使用支持VLAN的交換機(jī)產(chǎn)品就

23、更好了，如果以后想劃分子網(wǎng)也比較方便，全向系列交換機(jī)中，帶有“V”的型號具有VLAN功能，如QS-532V交換機(jī)、QS-516V交換機(jī)等。（2）“20/80”規(guī)則隨著網(wǎng)絡(luò)應(yīng)用的逐漸豐富，“80/20”規(guī)則已經(jīng)不能完全滿足網(wǎng)絡(luò)設(shè)計(jì)的需要。而一種被稱為“集中存儲、分布計(jì)算”的模式逐漸得到推廣。集中存儲，就是數(shù)據(jù)集中在網(wǎng)絡(luò)中心存儲，如已經(jīng)得到普遍使用的Web服務(wù)、電子郵件系統(tǒng)和逐漸流行的VOD（視頻點(diǎn)播）、多媒體資源庫等；分布計(jì)算，就是數(shù)據(jù)被下載到各個工作站上處理，如使用網(wǎng)絡(luò)上的多媒體資源庫制作多媒體課件等。在“集中存儲、分布計(jì)算”的網(wǎng)絡(luò)應(yīng)用模式下，對網(wǎng)絡(luò)流量的要求已經(jīng)大大偏離了“80/20”規(guī)則，

24、一種新的規(guī)則應(yīng)運(yùn)而生，這就是“20/80”規(guī)則。在符合“20/80”規(guī)則的網(wǎng)絡(luò)中，只有大約20%的網(wǎng)絡(luò)流量局限在本地工作組，而大約80%網(wǎng)絡(luò)流量經(jīng)過網(wǎng)絡(luò)主干傳輸。這種網(wǎng)絡(luò)流量模式的轉(zhuǎn)變，給社區(qū)衛(wèi)生服務(wù)站網(wǎng)主干交換機(jī)帶來了很大的負(fù)荷。因此理想狀態(tài)下主干交換機(jī)應(yīng)該能夠提供與下面連接的支干交換機(jī)相匹配的性能，即提供線速三層交換，也就是說，下面的支干交換機(jī)能夠跑多快，上面的主干交換機(jī)也應(yīng)該能夠跑多快。同樣，如果網(wǎng)絡(luò)中有許多按功能劃分的VLAN，這些VLAN也很難管理。在以往的“80/20”規(guī)則中，服務(wù)器往往分布在VLAN中，因此對于各工作組來說，訪問起來比較快。但是在“20/80”規(guī)則中，服務(wù)器往往集

25、中在網(wǎng)絡(luò)中心，因此對于各工作組，必須實(shí)現(xiàn)跨VLAN的訪問。沒有三層交換機(jī)，VLAN之間無法通信，VLAN類似于硬盤的邏輯分區(qū)，可以簡單地理解為把同一硬盤劃分成不同的硬盤盤符。但是與邏輯盤不同的是，VLAN之間通信可不像把文件從一個邏輯盤復(fù)制到另一個邏輯盤那樣簡單，而是必須依靠路由器才能使VLAN之間相互通信。社區(qū)衛(wèi)生服務(wù)站網(wǎng)適用哪一條規(guī)則在社區(qū)衛(wèi)生服務(wù)站絡(luò)環(huán)境中，有的地方“80/20”規(guī)則適用，數(shù)據(jù)流量一般局限在本地子網(wǎng)中，如果將專用的服務(wù)器架設(shè)在網(wǎng)絡(luò)中心，必將大大增加網(wǎng)絡(luò)主干的負(fù)擔(dān)。有的地方“20/80”規(guī)則適用，比如電子郵件服務(wù)器、Web服務(wù)器等，是任何網(wǎng)絡(luò)用戶都會使用的，就應(yīng)當(dāng)放置在網(wǎng)絡(luò)

26、主干上，如果放在某一個子網(wǎng)中，不僅增加該子網(wǎng)的負(fù)擔(dān)，其他子網(wǎng)的用戶訪問起來也會很慢。4.4安全策略4.4.1病毒防治（1） 禁用沒用的服務(wù)Windows提供了許許多多的服務(wù)。 Telnet就是一個非常典型的例子。在Windows2003的服務(wù)中是怎么解釋的：“允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺程序” 。建議禁止該服務(wù)還有一個值得一提的就是NetBIOS。Windows還有許多服務(wù)，在此不做過多地介紹?？梢愿鶕?jù)自己實(shí)際情況禁止某些服務(wù)。禁用不必要的服務(wù)，除了可以減少安全隱患 （2）打補(bǔ)丁Microsofe公司時不時就會在網(wǎng)上免費(fèi)提供一些補(bǔ)丁，可以去打補(bǔ)丁。除了可以增強(qiáng)兼容性外，更重要

27、的是堵上已發(fā)現(xiàn)的安全漏洞。（3）反病毒監(jiān)控選擇一流的反病毒軟件。用反病毒軟件的根本目的是防病毒。另外，安裝反病毒軟件后必須對其進(jìn)行必要的設(shè)置和時刻開啟反病毒監(jiān)控。這樣才能發(fā)揮其最大的威力。4.4.2建立防火墻網(wǎng)絡(luò)地址轉(zhuǎn)化NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的IP地址。 在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實(shí)的內(nèi)部網(wǎng)

28、絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時，防火墻認(rèn)為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。4.4.3網(wǎng)絡(luò)的保密措施（1）堵住服務(wù)器操作系統(tǒng)安全漏洞任何網(wǎng)絡(luò)操作系統(tǒng)的安全性都是相對的，無論是UNIX還是NT都存在安全漏洞，他們的站點(diǎn)會不定期

29、發(fā)布系統(tǒng)補(bǔ)丁，系統(tǒng)管理員應(yīng)定期下載，及時堵住系統(tǒng)漏洞。（2）注意保護(hù)系統(tǒng)管理員的密碼用戶名和密碼應(yīng)當(dāng)設(shè)置合理，口令應(yīng)大小寫混合，最好加上特殊字符和數(shù)字，至少不能少于16位，同時應(yīng)定期修改；口令不得以明文方式存放在系統(tǒng)中；建立帳號鎖定機(jī)制，當(dāng)同一帳號的密碼校驗(yàn)錯誤若干次時，自動斷開連接并鎖定該帳號。（3）關(guān)閉不必要的服務(wù)端口。謹(jǐn)慎開放缺乏安全保障的端口：很多黑客攻擊程序是針對特定服務(wù)和特定服務(wù)端口的。a、常用服務(wù)端口有：WEB：80，SMTP：25，POP3：110，可根據(jù)情況選擇關(guān)閉。b、比較危險(xiǎn)(很可能存在系統(tǒng)漏洞)的服務(wù)端口：TELNET：23，F(xiàn)INGER：79，建議關(guān)閉掉。c、對必須打

30、開的服務(wù)(如SQL數(shù)據(jù)庫等)進(jìn)行安全檢查。（4）制定完善的安全管理制度定期使用網(wǎng)絡(luò)管理軟件對整個局域網(wǎng)進(jìn)行監(jiān)控，發(fā)現(xiàn)問題及時防范。定期使用黑客軟件攻擊自己的系統(tǒng)，以便發(fā)現(xiàn)漏洞，及時補(bǔ)救。謹(jǐn)慎利用共享軟件，不應(yīng)隨意下載使用共享軟件。做好數(shù)據(jù)的備份工作，有了完整的數(shù)據(jù)備份。（5）注意WEB服務(wù)的安全問題WEB編程人員編寫的CGI、ASP、PHP等程序存在的問題，會暴露系統(tǒng)結(jié)構(gòu)或使服務(wù)目錄可讀寫，這樣黑客入侵的發(fā)揮空間就更大。在給WEB服務(wù)器上傳前，要進(jìn)行腳本安全檢查。（6）警惕DOS攻擊和DDOS攻擊DOS攻擊和DDOS攻擊可以使網(wǎng)站系統(tǒng)失去與互聯(lián)網(wǎng)通信的能力，甚至于系統(tǒng)崩潰。建議：如果有條件允許

31、的話，可以使用具有DoS和DdoS防護(hù)的防火墻。4.4.4數(shù)據(jù)安全性和完整性措施數(shù)據(jù)安全性和完整性就是數(shù)據(jù)的安全技術(shù)。為了解決上述問題，就必須利用另外一種安全技術(shù)-數(shù)字簽名。PKI（Publie Key Infrastucture）技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動缺少物理接觸，因此使得用電子方式驗(yàn)證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù)，他能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控

32、制等安全問題。一個實(shí)用的PKI體系應(yīng)該是安全的易用的、靈活的和經(jīng)濟(jì)的。它必須充分考慮互操作性和可擴(kuò)展性。它是認(rèn)證機(jī)構(gòu)（CA）、注冊機(jī)構(gòu)（RA）、策略管理、密鑰（Key）與證書（Certificate）管理、密鑰備份與恢復(fù)、撤消系統(tǒng)等功能模塊的有機(jī)結(jié)合。 （1）認(rèn)證機(jī)構(gòu) CA（Certification Authorty）就是這樣一個確保信任度的權(quán)威實(shí)體，它的主要職責(zé)是頒發(fā)證書、驗(yàn)證用戶身份的真實(shí)性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明證書，任何相信該CA的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。構(gòu)建一個具有較強(qiáng)安全性的CA是至關(guān)

33、重要的，這不僅與密碼學(xué)有關(guān)系，而且與整個PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外，靈活也是CA能否得到市場認(rèn)同的一個關(guān)鍵，它不需支持各種通用的國際標(biāo)準(zhǔn)，能夠很好地和其他廠家的CA產(chǎn)品兼容。 （2）注冊機(jī)構(gòu) RA（Registration Authorty）是用戶和CA的接口，它所獲得的用戶標(biāo)識的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對面的登記，也必須支持遠(yuǎn)程登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。 （3）策略管理 在PKI系統(tǒng)中，制定并實(shí)現(xiàn)科學(xué)的安全策略管理是非常重要的這些安全策略必須適應(yīng)不同的需求，并且能通過CA和RA技術(shù)融入到CA 和RA的

34、系統(tǒng)實(shí)現(xiàn)中。同時，這些策略應(yīng)該符合密碼學(xué)和系統(tǒng)安全的要求，科學(xué)地應(yīng)用密碼學(xué)與網(wǎng)絡(luò)安全的理論，并且具有良好的擴(kuò)展性和互用性。 （4）密鑰備份和恢復(fù) 為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計(jì)和實(shí)現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù)，也是關(guān)系到整個PKI系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。 （5）證書管理與撤消系統(tǒng) 證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤消，證書撤消的理由是各種各樣的，可能包

35、括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實(shí)現(xiàn)是利用周期性的發(fā)布機(jī)制撤消證書或采用在線查詢機(jī)制，隨時查詢被撤消的證書。 國外的PKI應(yīng)用已經(jīng)開始，開發(fā)PKI的廠商也有多家。許多廠家，如Baltimore，Entrust等推出了可以應(yīng)用的PKI產(chǎn)品，有些公司如VerySign等已經(jīng)開始提供PKI服務(wù)。網(wǎng)絡(luò)許多應(yīng)用正在使用PKI技術(shù)來保證網(wǎng)絡(luò)的認(rèn)證、不可否認(rèn)、加解密和密鑰管理等。盡管如此，總的說來PKI技術(shù)仍在發(fā)展中。按照國外一些調(diào)查公司的說法，PKI系統(tǒng)僅僅還是在做示范工程。IDC公司的Internet安全知深分析家認(rèn)為：PKI技術(shù)將成為所有應(yīng)用的計(jì)算基礎(chǔ)結(jié)構(gòu)的核心部件，包括那些越出傳統(tǒng)

36、網(wǎng)絡(luò)界限的應(yīng)用。B2B電子商務(wù)活動需要的認(rèn)證、不可否認(rèn)等只有PKI產(chǎn)品才有能力提供這些功能。五、前景展望5.1建設(shè)局域網(wǎng)的優(yōu)點(diǎn)5.1.1合理的系統(tǒng)結(jié)構(gòu)社區(qū)衛(wèi)生服務(wù)站主干采用具有第三層交換功能的千兆位以太網(wǎng)(Gigabit Ethernet)以 滿足廣大用戶的各種要求。主干設(shè)備應(yīng)能滿足10，000用戶接入訪問的要求。支持IP多目廣播(Multicast)與服務(wù)質(zhì)量(Qos)或服務(wù)類型(CoS)，滿足遠(yuǎn)程教育的需求。支持虛擬網(wǎng)絡(luò)(VLAN)，網(wǎng)管軟件應(yīng)具備對接入層交換設(shè)備進(jìn)行遠(yuǎn)程可操作的能力。5.1.2 可靠的安全防護(hù)軟件采用反病毒軟件，關(guān)鍵數(shù)據(jù)傳遞使用數(shù)字簽名技術(shù)。網(wǎng)絡(luò)骨干線路的冗余備份，網(wǎng)絡(luò)核

37、心設(shè)備的冗余備份和電源冗余備份等方面保證社區(qū)衛(wèi)生服務(wù)站網(wǎng)的可靠性。內(nèi)部網(wǎng)絡(luò)之間，內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)之間的互聯(lián)，利用VLAN/ ELAN ，防火墻等對訪問進(jìn)行控制，確保網(wǎng)絡(luò)的安全。5.1.3充分的擴(kuò)充余地主干網(wǎng)絡(luò)設(shè)備的選型及其模塊，插槽個數(shù)，管理軟件 和網(wǎng)絡(luò)整體結(jié)構(gòu)，以及技術(shù)的開放性和對相關(guān)協(xié)議的支持等方面，來保證網(wǎng)絡(luò)系統(tǒng)的開放性和擴(kuò)充性。5.1.4穩(wěn)定的系統(tǒng)性能對使用負(fù)擔(dān)較重的服務(wù)器，可以建立多快速以太網(wǎng)通道和服務(wù)器負(fù)載平衡來提高訪問服務(wù)器性能。采用VLAN技術(shù)，根據(jù)不同的部門和用戶需要劃分不同子網(wǎng)，并賦予一定的訪問權(quán)限，配合NAT技術(shù)，大大提高了整個網(wǎng)絡(luò)的安全性和可管理性。同時對網(wǎng)絡(luò)骨干進(jìn)

38、行了備份，充分考慮了冗余性，降低了網(wǎng)絡(luò)癱瘓的可能。關(guān)鍵的服務(wù)器都采用多快速以太網(wǎng)通道技術(shù)，使訪問速度成倍提高。5.2存在問題（1） 目前社區(qū)衛(wèi)生服務(wù)站與合作醫(yī)院連接速率相對較低(100M)，但已經(jīng)符合日常辦公的需求。（2） 由于本方案是模擬方案，主要針對題目要求進(jìn)行衛(wèi)生服務(wù)站網(wǎng)絡(luò)的設(shè)計(jì)，有一定的局限性。在網(wǎng)絡(luò)主干部分部署了具有足夠性能和優(yōu)良擴(kuò)展性的網(wǎng)絡(luò)設(shè)備(如Quidway S6503路由交換機(jī))以支持辦公樓和門診、藥房網(wǎng)絡(luò)的接入。（3）由于工程比較大型，所以所需要的費(fèi)用比較龐大。但所采用的設(shè)備都是比較好的設(shè)備，符合社區(qū)衛(wèi)生服務(wù)站的需求?？傮w來說還是價(jià)格還是比較合理的。(3) 本方案雖然只是模擬方案，但設(shè)計(jì)時已經(jīng)考慮到實(shí)際需求情況，可操作性也比較強(qiáng)。本方案在設(shè)備選型上也考慮了辦公樓及門診、藥房網(wǎng)的接入需要