1、1 网络技术现状分析与技术概述目前在网络组网技术中比较成熟和应用较多的技术有以下几方面网络类型:Ethernet:10M、100M、千兆以太网,ATM:25M、155M、622M、2.4G,DDN:64K、128K、1M、2M,X.25:64KFDDI:100M 面临淘汰。在端口数据分配上也分为共享式和交换式,网间数据交换核心方面分为路由和三层交换两种技术。在以上几个方面中网络类型的选择是关键,目前的主要技术之争是发生在以太网和 ATM 之间的,这两种技术各有短长ATM 技术相对以太网来说是一种较为为新型的技术,它基于面向连接,提供 QOS保障,在实时数据传送,预留带宽方面有不可比拟的优越性,
2、特别适合实时多媒体的交互式通讯和一些突发性的数据传送要求,它针对不同的数据通讯类型会给予不同的质量保证,另外小信元有利于速率的不断提高,但由于其技术成熟度不够,和目前直接基于 ATM 的应用类型还比较少,它的优越性受到了限制,另外它的元件和设备价格昂贵是另一个不利与推广的弱点。以太网技术相对成熟,而且多数应用基于以太网开发,所以决定了目前它在网络中占主导地位,受多数用户的青睐。在此我们推荐使用百兆快速以太网技术,它在技术上由以太网衍生出来、性能价格比高,现在相关技术已经稳定,并且非常适合医保网络系统使用。在此方案中我们选择百兆以太网与三层交换作为技术定位的基本模式。1.1 网络技术选择根据应用
3、实际需求,和网络功能、性能、安全性等多方面的分析,对网络技术做出如下选择:根据应用系统的需求和接入网络方式的特征,医保网络采用 10M/100M 全交换结合的方式构建自己的网络通信平台,采用虚网划分技术,虚网间数据传输实现第三层交换,为桌面设备提供 10/100M 以太网接入,并同时具有技术领先性。主干为百兆快速以太网。服务器以 100base-T 接入。普通网络用户 PC 采用 10/100Base-T 方式接入。网络基本形式为交换式网络。1.2 网络设备的系统结构选择完全分布的系统结构(处理能力分布和存储能力分布) 。选择存储转发式交换技术(Store-forward)以支持低速网络接口和
4、高速网络接口的交换及对错误帧的过滤。选择统计时分复用(TMD)数据交换总线结构的交换设备减少系统延时。选择支持多种网络接口的设备。1.3 虚拟专用网络 (VPN)灵活多样的虚网划分手段,基于端口,基于地址和给予应用虚网中的站点不应受接口类型的限制。支持网络站点的自由移动,虚网标志可被交换设备自动识别以保持原有虚网属性。虚网可延伸到整个信息中心网络,跨越各种交换设备。1.4 路由功能内部路由采用三层交换功能提高其路由识别和包转发能力内部的三层交换虚拟路由功能与外部路由功能有互操作性1.5 容错功能提供交换机内部重要模块的全双工配置(管理模块)和冗余电源主要功能部件的热插拔功能支持网络链路的冗余连
5、接1.6 网络管理支持广泛的网络管理平台(如 HP OpenView 、Intel DeviceView 等)提供交换机配置、管理,虚网配置、管理和网络性能统计监控的 网管工具:基于 SNMP 网络管理协议,支持标准的 MIBs提供友好的用户图形界面2 网络方案概述2.1 网络设计思想针对以上情况,本方案的设计采用国际流行的分层设计:自顶向下进行结构化设计,自底向上实现各种业务。根据我们以往的经验,医保计算机网络应具有如下特性:前瞻性:即所采用的技术应是国际通信界公认的主流技术,具有持续发展的潜力。兼容性:目前,国内各种网络的建设方兴未艾,保证网络良好的兼容性是业务扩展的重要前提之一。经济性:
6、网络建设的最终目的,是要服务于社会和公众,并产生可观的经济效益,进而产生收益和投资之间的良性循环。演绎性:网络建设是一个可持续滚动发展的过程,只有不断地吸收营养、不断地发展壮大,才能产生更大的经济和社会效应。竞争性:只有这样的网络才能在市场竞争中当然会脱颖而出,独占鳌头。稳健性:因为网络系统在将来医保办公的地位非常重要,所以医保计算机网络对系统的稳健性将有较高的要求。本方案正是结合实际需求对于系统的稳健性进行了深入的设计。为了实现上述特性,我们本着以下原则进行设计:充分依照国际上的规范、标准,借鉴国内外目前所流行的主流网络体系结构和网络运行系统,采用国际上成熟的模式,汲取国内外各种信息系统的建
7、设经验,从网络信息化的实际要求出发进行设计。确保技术的先进性和实用性,使网络具有良好的可扩展性和灵活性,以适应网络的迅猛发展趋势,既满足当前需求,又照顾未来网络建设发展的需要。充分利用当地已有的各种网络资源,确保网络内部的互联互通。由于此网络是一个实用的服务运行系统,在总体设计时充分考虑工程的可靠性、可用性、可维护性以及网络的安全性,建立完善的安全管理体系。另外,本计算机信息系统的建设是一项庞大而繁杂的工程,它需要领导的支持、大笔资金的及时到位、计算机专业人员具有良好素质和较高技术水平,以及应用科室的配合和多部门的密切协作。所以我们对于系统的建设提出“总体规划、分布实施”的建议。在制定总体规划
8、时,我们遵循“切合实际、分阶段实施、循序渐进、安全有效”的基本原则。网络结构的选择具有先进性和安全性,扩充升级方便,可保护前期投资。基于上述因素考虑,医保计算机网络建设思想如下:基本构架采用国际上目前流行的 INTRANET 网络技术,以TCP/IP 为基本传输协议;主干网采用百兆快速以太网技术,以便满足医保系统中大量数据传输的要求;分支网络采用快速以太网(Fast Ethernet)技术以满足普通应用需求;采用先进的虚拟网络技术,将网络按功能模块划分成不同子网,增强网络的安全性;融合 WEB 技术, PROXY 技术等 INTERNET 综合应用;采用 FIREWALL 防火墙技术提高网络安
9、全性,可靠性;2.2 网络逻辑结构医保网络系统包括市医保中心局域网和全市医保系统广域网两部分,市医保中心通过广域网连接各定点医疗及医药机构,它们之间通过数字专线或拨号线路互连,构成覆盖全市的医保广域网网络,以便达到信息查询、数据传输等资源共享的目的。医保中心还可通过因特网向公众发布各种信息、政策和规章制度。同时, “五险合一”是社会保险事业发展的必然方向,医疗保险信息系统的网络结构设计考虑了这方面的发展趋势,为今后的系统扩展留有一定的余地。医疗保险系统总体网络逻辑图如下所示:医保网络全局逻辑结构拓扑在逻辑拓扑中网络可划分为若干虚拟局域网,虚拟局域网不受设备物理位置的限制,灵活性较大。按各部分功
10、能划分:SERVER VLAN 为服务器群虚网,将各种主要服务器(数据业务服务器、通讯机、WEB 服务器、邮件服务器、FTP 服务器等)放在一个虚网内便于管理、维护,同时也可以尽可能减少外部入侵及破坏系统的可能性;VLAN1、VLAN2根据不同的职能部门划分。3 网络实现3.1 网络实现技术3.1.1 主干网网络的主干建议采用两台自适应百兆以太网交换机作为中心交换机。两台核心交换之间通过千兆光纤相连做冗余容错,以保证主干网信息的畅通。服务器均以100BASE 端口冗余线路和交换机相连,这样可以提供足够的带宽,减少由于用户对服务的集中请求所产生的网络瓶颈。建议使用先进的路由交换机产品。路由交换机
11、可将 IP 路由功能集成在硬件中,以较低的代价就可获得比传统路由器高得多的路由性能。内部业务子网的边缘交换机建议采用自适应百兆以太网交换机,通过两条 100M的上连冗余线路与中心交换机相连,到桌面采用 10/100M。3.1.2 外部访问子网设计医保网络系统的提供 WEB 服务的外部访问子网均以 100M 的上连带宽通过内部PIX 防火墙和中心交换机相连,到桌面采用 10/100M。外部访问子网采用交换式快速以太网技术。3.1.3 广域网的连接3.1.3.1 各种外部网络医保网络中心首先是整个医保网络系统的大脑与心脏,承担了南宁市医保网络的运行、维护的重要责任,是一个较为集中的数据中心,和多种
12、应用的中央控制的监测机构,所以医保网络中心的建设是整个网络建设的关键。网络中心的地位和功能:管理中心控制中心数据集中及备份中心检查及检测中心对外信息发布中心根据业务上的要求以及网络全局逻辑结构图分析,医保中心网络需要与分布在全市的各大型医疗机构的网络连接,同时还需要连接到一些外部网络进行必要的数据交换,如省一级的医保中心网络、各银行网络、市劳动局网络系统等。同时医保中心网络与国际互联网的连接可以获得大量的信息资源,同时能将南宁市医保事业介绍给世界。下面我们将根据目前的一些外连方式进行论述选择。3.1.3.2 外连方式为了更好地、更经济地利用南宁市医保网络的资源,满足各种类型节点的具体需求,我们
13、初步比较以下几种节点接入方式:PSTN、ISDN、ADSL、DDN、X.25、帧中继。 PSTN(电话拨号 )电话拨号接入是利用现有的电话线资源,通过公 用 电 话 网 实现网络节点的接入。公 用 电 话 网 在 国 内 覆 盖 范 围 最 广 , 应 用 灵 活 , 方 便 。 公众通信网主要用于话音的交换传输,通 常 电 话 线 路 最 高 速 率 只 有 9600bps, 但 如 果采 用 具 有 4 倍 压 缩 率 功 能 的 Modem, 可 达 56Kbps。 和其它的接入方式相比,电话拨号虽然费用最低,但受到电话模拟线路本身技术的限制,其可提供的连接速率较低,且通信质量容易受到影
14、响,不能提供高品质的连接信道。可作为个人用户的接入方式,或者各参保单位的备用线路。 ISDN(综合业务数据网)ISDN 的优势可归纳为以下几点: 1) 技术成熟 ISDN 的技术在 80 年代就开始试验和使用,ISDN 的标准则在 1984 形成,在1988 年趋于稳定。ISDN 的网络产品和终端产品已经在市场上被广泛地采用。终端产品价格逐年下降。网络运营者也积累了开放 ISDN 业务及应用的丰富经验。我国网上交换机设备经过 3 年的技术和测试工作,已基本具备了 ISDN 的能力。2) 安装简单安装又可分为用户把自己的终端设备连接到 ISDN 线上和局方为用户安装 ISDN线两个方面。对于前者
15、,ISDN 为用户很好地解决了连接问题,它提供标准的用户网络接口。这一特点是 ISDN 成功的关键所在。它以标准接口将各种类型的终端设备接入到 ISDN 网络中。只要用户使用一对用户线、一个 ISDN 号码、一台有 ISDN 标准接口的终端适配器(ISDN TA),将现有的设备(包括模拟设备如:普通电话机、传真机等) 连接到 ISDN TA 上。这样,用户就可以保留原有的模拟设备,节省投资。如果用户已有了第二条电话线专为电脑上网使用,也就是说终端设备只有电脑,那么就可以不必购买 ISDN 终端适配器(ISDN TA)了,只需插一块 ISDN PC 卡就可完成电脑与 ISDN 线的连接。3) 方
16、便易用ISDN 线路可以一线多号,一线多连,两个终端可以同时使用而互不干扰。比如:在一条 ISDN 电话线上可以用一个信道保持声音通话,用另一条信道上网。而且由于它属于普通电话网的一部分,所以用户既可以与 ISDN 用户也可以与普通电话用户通信。当用户在一条 ISDN 线上与普通电话用户通信时仍按普通市话或长途标准收费。4) 多媒体通信 ISDN 为用户提供 64Kbit/s 的数字连接,使用户可以传递语音、数据和图像等多种媒体的信息,并使各种应用可以在这一平台上得以开发和使用。例如:会议电视一般需要三个 2B+D,即 384kbp/s 就能得到令人满意的会议电视效果。5) 经济实惠 这可以表
17、现在以下几个方面:首先,它可以一线多用,做综合业务的处理,减少投资;其次,它可提高通信能力 35 倍,节省费用,提高效率;第三,它可即时连接使用数字数据线路,其费用远低于 DDN 专线。 另外,ISDN 是一种需求式服务,所以用户使用它与普通电话一样,只在需要时发起呼叫,支付相应使用时间的通话费,一旦连通,用户获得的就是高速数字通信。 6) 具有数字化优越性。 在传输速度方面,目前最快的模拟调制解调器也只不过是 56Kbps,而且这是一个理论值,实际使用时至多只能达到 52Kbps,它还依赖于电话线的质量。但在ISDN 中仅 2BD 就可达到 64Kbps,若传输一个 1MB 未压缩文件不到
18、1 分钟就可传输完毕,比前者要快很多,显然占有优势。在通话建立方面,模拟 Modem 要协商电话线支持的带宽(速率)需要 1030 秒或更长时间,而 ISDN 无那种咕吱咕吱的杂音,几秒钟就连接好了。从传输质量上讲,ISDN 的数字传输比模拟传输更不会受到静电和噪音的影响,使数据通信中更少出现错误与重传现象。 由于 ISDN 的性价比非常高,可作为医保中心以及各参保单位很好的一种后备线路。 ADSL(非对称数字用户线 )ADSL(非对称数字用户线)技术是采用现有的双绞电话线向用户传输高带宽数据(如多媒体和视频数据)的调制解调器技术。它得到了设备制造商和服务供应商的重视,因为它保证在对现有的电讯
19、基础设施进行相对较小的改变的同时,向分散在各地的站点传递高带宽数据。ADSL 技术是非对称的,它允许下行带宽(从 NSP 的中心站到用户站点)超过从用户上行到中心站的带宽。这种非对称和始终存在的访问(不用进行呼叫设置)使 ADSL 很适合于 Internet/Intranet 冲浪、视频点播和远程LAN 访问。通常这些应用程序下载的信息比他们上传的信息更多。ADSL 到用户的传输速率大于 6Mbps,双向速度达 640Kbps。这样的速率在不增加新电缆的情况下将现有访问容量扩展了 50 倍甚至更多。现在国内部分城市都已经开通了 ADSL 服务。ADSL 的传输速率 虽然很高,但是 ADSL 在
20、应用上存在距离的限制,象桂林市目前开通的 ADSL 就要求用户站点到中心的直 线距离不能超过 2 公里,而且 ADSL 技术在国内属于一种 较新的应用,仍存在一些 诸如线路不稳定等问题,并未成熟可靠。这些问题都制约了 ADSL 无法在大型城域网或广域网中广泛应用。并且目前 ADSL 在广西区内尚属于测试阶段,所以我们不推荐使用 ADSL 接入方式。 DDN(数字数据网)DDN 即数字数据网,它是利用光纤数字传输通道和数字交叉复用节点组成的数字数据传输网,可为用户提供各种高速率、高质量的数字专用电路,以满足用户组建中高速计算机通信网的需要。DDN 业务区别于传统模拟电话专线的显著特点是数字电路,
21、传输质量高、时延小,通信速率可根据需要选择。DDN 技术是利用数字信道提供永久或半永久电路,以传输数字信号为主的数字通信网络。其最具吸引力的优点是传输时延短,支持语音、图像等多媒体业务,且已经在一些金融系统中得以广泛使用,是一种较为成熟的技术。出于对未来视频会议、办公自动化等多媒体宽带新业务的考虑,DDN 技术有着很强的生命力和发展前景。传统的网络互连方式是通过租用点对点的 DDN 专线方式,一般速率为64Kbps/128Kbps。这就是所谓的 IP 的点对点互连。这种互连方式比较成熟,也是当今 IP 网络互连中广泛采用的方式。通过模拟专线(用户环路)和 Modem 入网,通信速率受用户入网距
22、离的限制,最高可到 2.048Mbps,对光纤到户的用户,通信速率可灵活选择。DDN 作为一种成熟可靠的技术,并且具有较高的传输速率,我们选择了 DDN 作为主要的接入方式。以及用于医保中心网络与因特网的连接方式。 X.25(公共分组数据交换网)公共分组数据交换网 X.25 线路分组交换是为适应计算机通信而发展起来的一种先进通信手段,它以 CCITT X.25 建议为基础,可以满足不同速率,不同型号终端及计算机以及局域网间的通信,实现数据库资源共享。分组交换网的突出优点是可以在一条电路上同时开发多条虚电路,为多个用户同时使用,网络具有动态路由功能和先进的误码纠错功能,网络性能最佳。CHINAP
23、AC 提供交换型虚电路(SVC)和永久型虚电路(PVC)。SVC 使用灵活,每次可与不同的用户建立通信电路,通信费用与通信量有关,而与距离无关。PVC 类似于固定专线,不需每次通信时临时建立和释放电路,适用于点对点固定连接的使用。此外,CHINAPAC 还提供许多可选业务,如闭合用户群、反向计费等。由于 X.25 的最高传输速率只能达到 64Kbps,不建议作为医保中心的主要接入方式。但是由于其成本费用较低,可作为部分数据传输量不大的参保单位使用。 帧中继帧中继是一种高性能的 WAN 协议,最初是作为综合业务数据网(ISDN)接口设计的,现在它已被广泛地用于多种网络接口。帧中继是 X.25 地
24、简化版本,它省略了 X.25 的一些强健功能,如提供窗口化技术和数据重发功能,这是因为帧中继工作在性能更好的 WAN 设备上。它即具有分组交换网的突出优点:在一条物理电路上同时开发多条虚电路,为各个用户同时使用,又能提供较高的网络带宽,(56K2M) ,支持 LAN 网之间使用的多种协议。这种互连方式的优势在于: 1) 在网络互联中,路由器的数目大大减少。对网络组网的设计要求也大大简化。2) 以帧中继交换机代替路由器的交换功能,使网络信息处理传输速率非常快,适应于当前局域网高速互连的需求。 3) 由于帧中继网络中大都采用光纤作为传输媒体,传输误码率非常低,一般为10-8。帧中继的无差错控制机制
25、完全可以提供可靠的端到端的传输。如今,世界上 50以上的帧中继业务是在信元中继ATM 网络上传输的,这主要是由于信元交换设备具有良好的协调性和高效性。尽管除了传输其它类型的通信如话音和视频外再也没有其它的优点,作为一种接口,帧中继还是最适合于数据协议的传输。而且帧中继结构非常简单,这使得它很有吸引力。帧中继很适宜于数据通信,因为同时分多路和租用线路传输相比,帧中继更有效地利用了带宽。帧中继能通过单一物理信道维持多个虚拟网络,从而使各种同等重要的通信独立通过互联网络。这种平行信息流的结构与 ATM 虚拟网络的结构非常一致,而且容易连接。因此,帧中继既能满足当前的连接要求,又可成为向未来高速网络过
26、渡的桥梁。由于目前南宁市内尚未开通帧中继业务,我们暂不考虑这种接入方式。3.1.4 远程服务为了满足小型参保单位以及医药商店拨号访问医保中心网络,采用远程拨号把小型参保单位以及医药商店和医保中心网络通过公共电话网连起来,充分利用现代通信手段和网络资源。群众也可以通过电话拨号访问医保网站上公开的信息资源。3.1.5 网络物理拓扑结构根据以上分析,南宁市医保网络物理拓扑图可以是:3.2 网络设备选择3.2.1 交换机目前生产交换机的厂商比较多,著名的有 Intel、3COM、Cisco 等。Cisco 的交换机产品比较昂贵,而且其上的很多功能都不是客户必须的,增加了客户不必要的投资,导致其性价比很
27、低。并且 Cisco 的交换机产品部由于刚成立不久,在售后服务和技术支持方面做得并不是很完善。3COM 公司的交换机设备虽然在以前占据了很大的市场份额,但是目前 3COM 公司的交换机技术已经跟不上潮流了,而 3COM 已将自己的交换机产品部卖给了其他公司并不再进行产品线的后续开发。Intel 公司由于具备很强大的芯片设计开发及生产能力,不但技术先进而且其交换机产品线很齐全,它的产品有很高的性价比。并且 Intel 公司对医保社保行业的支持力度很大,而且 Intel 在售后服务方面在业界是有很好的口碑。经过分析比较,我们选择 Intel 公司的 500 系列交换机。英特尔 Express 50
28、0 系列交换机产品介绍英特尔 Express 550T 路由交换机用于快速以太网园区主干和网段的可扩充路由交换机Intel Express 550T 路由交换机的主要特性 利用集成的 IP/IPX 路由来提高网络性能 通过容错系统支持获得最大限度的网络伸缩性 控制网络资源、访问和通信利用这些高度可扩充、8 端口的第 3 层交换机,您可以创造出快速和可扩展网段或主干解决方案。通过逐个路由数据包,它们可以轻而易举地集成至您现有的路由基础设施之中。您可以使用英特尔 Express 550 路由交换机堆叠在主干中集中网络路由,或者通过在工作组中增加英特尔 Express 550 路由交换机来将路由功能
29、分配到网络边缘。可扩充的堆叠技术该项英特尔技术实现了英特尔 Express 500 系列交换机中机箱式交换机的众多优势,而且无需高额的前期成本。性能利用可扩充至 14.7Gbps 的可伸缩性背板,总计可难叠多达 7 台交换机。您在堆叠中每增加一台交换机,英特尔 可扩充堆叠技术即可为背板提供额外的 2.1Gbps 带宽。您可以根据需要增加交换机来支持更多的用户,并且确信您的交换结构能够随时扩充来满足日益增长的带宽需求。可管理性整个堆叠可以作为一个设备进行管理。可靠性可使用一套冗余堆叠模块来消除交换机到交换机连接的单点故障(英特尔 Express 550T 和 550F 路由交换机以及 520T
30、交换机) 。特性 优势可扩充的堆叠技术 在堆叠中每增加一台交换机便可增加额外 2.1Gbps 背板容量。第 3 层交换(IP/IPX 路由) 允许网络分段,以增强性能。冗余电源、冗余背板连接 容错、可靠。IP 数据包过滤 通过阻止不必要的 http、Telnet 或 FTP 访问来增加安全性。IP 多点广播支持 利用互联网成组管理协议(IGMP)或远距离矢量多点广播路由协议(OVMRP)提高带宽利用率。RSVP 通过保留带宽来改善对等待时间敏感的应用传输质量,如音频和视频。差别服务 划分通信的优先级,使关键业务应用具有优先权。链路集合 集合多个端口来支持更高带宽的连接,并提供额外的网络伸缩能力
31、。英特尔 Express 520T 交换机用于园区环境和网段的可扩充快速以太网交换机该款通用型 12 端口快速以太网交换机支持分段交换机所需的可扩展性,而且具有足够的端口密度,以实现经济高效的小型工作组解决方案。将其与英特尔 Express 550 路由交换机相堆叠并增加冗余背板连接,即可获得客户化和高度可靠的网络核心。或者,与 英特尔 Express 510T 交换机相堆叠,您将可以更准确地满足您的桌面交换需求。特性 优势可扩充的堆叠技术 在堆叠中每增加一台交换机便可增加额外 2.1Gbps 的背板容量。冗余电源、冗余背板连接 容错、可靠。先进的流量控制(802.3x) 减少拥塞并防止数据包
32、丢失。链路集合 集合多个端口来支持更高带宽的连接,并提供额外的网络伸缩能力。IP 多点广播修整 当向多个台式机广播通信时可减少拥塞。英特尔 Express 510T 交换机可扩充交换机。将价格适中的工作组交换带至桌面英特尔 Express 510T 交换机的主要特性 可扩充,轻松满足您日益增长的网络需求 可扩展,支持光纤、ATM 和千兆位以太网 基于互联网和 Windows*操作系统的直观的安装与控制将专用快速以太网性能扩展至您的桌面。利用互选模块,该款 24 端口交换机可扩展至多达 32 端口,在 7 台交换机的堆叠中端口最多可达 196 个。特性 优势可扩充的堆叠技术 在堆叠中每增加一台交
33、换机便可增加额外 2.1Gbps 的背板容量。先进的流量控制(802.3x) 减少拥塞并防止数据包丢失。链路集合 集合多个端口来支持更高带宽的连接,并提供额外的网络伸缩能力。IP 多点广播修整 当向多个台式机广播通信时可减少拥塞。冗余电源 容错、可靠。3.2.2 路由器Cisco 公司是路由器的鼻祖,其路由器技术已经成为了业界默认的标准,并且Cisco 路由器的高性能在业界中也是首屈一指的。目前安全已成为今天大多数网络管理者关心的主要问题,Cisco 路由器配合广为流行、功能强大、业界领先的 Cisco IOS 软件,可以为客户核心网络提供全面的安全保障。根据医保网络系统的需求,我们选择了 C
34、isco 3600 系列路由器。而且 Cisco 3600 系列路由器与竞争产品相比具有以下优势: 多方面 WAN 协议选择Cisco 3600 系列路由器支持今天最被广为使用的网络协议,包括 IP、Novell IPX 和 AppleTalk,和一系列路由协议。 卓越的带宽优势Cisco 3600 系列路由器比任何其他厂商产品都有更多的特性,从而减少 WAN 服务费用。数据压缩和多个流量优先技术确保重要数据的整体性。与此同时,协议哄骗、Snapshot Routing、BOD 和 DOD 等技术也确保象 ISDN 那样按使用时间计价的服务耗费最低。 加强的多媒体和 VLAN 支持IGMP、R
35、SVP、PIM、WFQ、SMRP 和中转连接(ISL) ,使 Cisco 3600 系列路由器能够支持音频和视频服务应用,以及虚拟局域网。没有任何一个竞争方案能提供这些特点。 卓越的安全性用户辨别和扩展 Access List 只允许获准的流量进入网络,它应用事件登记和审查追踪、编码、和虚拟专有网络透纳等技术提高网络的安全。没有任何其他厂商可达到这样多种的安全特性。Cisco 3600 系列路由器关键特性 在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、ATM 连接以及语音、视频和数据的多种业务集成。 模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护。 高密度 ISDN PR
36、I 功能。 预配置的 BRI 和 PRI 调制解调器捆绑。 支持 Modem-over-BRI 功能性。 集成了 Cisco IOS 软件(产品定价中包括 IP IOS 软件)。 完全支持 VPN。 Cisco IOS 防火墙特性集提供防止网络入侵的安全保护。Cisco 3600 系列是一个适合大中型企业和 Internet 服务供应商的模块化、多功能访问平台家族。Cisco 3600 系列拥有 70 多个模块化接口选项,提供语音 /数据集成、虚拟专网(VPN)、拨号访问和多协议数据路由解决方案。Cisco 3600 系列通过利用 Cisco 的语音/传真网络模块,允许客户在单个网络上合并语音
37、、传真和数据流量。高性能的模块化体系结构保护了客户的网络技术投资,并将多个设备的功能集成到一个可管理的解决方案之中。Cisco 3600 是世界第一个真正的多功能应用支持平台,在单独一个服务器上广泛支持分支机构/企业拨号访问应用,LAN 到 LAN 或者路由选择应用以及多服务应用。它提供前所未有的模块化选项,可使用多种不同的网络模块,它还具有强大的灵活性,可针对客户的不同应用环境,提供各种配置选项,而且最重要的是,它具有支持所有这些应用的优质运行性能。作为一个多功能解决方案,可以依靠 Cisco 3600 平台的出众性能、安全性以及灵活性来满足未来多年的需要。与具有综合管理、配置以及单供应商支
38、持的一台多功能设备相比,管理、配置以及支持多台设备的费用就显得相当昂贵。此外,Cisco IOS 软件包含许多可提供安全性、可靠性以及 WAN 优化的功能,在任何应用环境中,都可以使用 Cisco IOS 功能来控制不断上升的 WAN 费用。例如,Cisco 3600 服务器支持按需拨号路由选择(DDR) 和拨号备份,同时支持 Protocol Spoofing 和 Snapshot Routing,从而减少不必要的 WAN 传输。为了更进一步减少 WAN 费用和增加有效带宽, Cisco IOS 软件支持在帧中继、专线以及拨号网络上的数据压缩。Cisco IOS 软件拥有广泛的多媒体功能,可
39、以支持诸如在 WAN 上的电话会议那样的新型应用。资源预保留协议(RSVP)、非协议依赖性的多点广播(PIM) 以及加权公平排队 (WF) 等功能可以保证一贯的服务质量以及较高的应用可用性。3.2.3 远程访问服务器在传统的做法中,实现远程访问的方法都是以路由器加载远程访问模块来实现的。这种方式在安装调试以及管理上都是很复杂的,而且得到的性能并不是很好,特别是在满负荷运行的情况下,整个访问服务器的瓶颈就在路由器上了。而且由于采用了路由器,整个远程访问服务器价格很昂贵,所获得的性能价格比就很低了。而采用专用远程访问服务器,由于在一个平台中集成了非常广泛的功能,以较低的设备开支,提供了拨入/拨出访
40、问、采用拨号或帧中继和专线 PPP 连接的局域网间路由选择功能,并且易于安装管理和操作。即使在满负荷运行情况下也能提供全面的非阻塞性能,而且在价位上比传统路由器方式有更高的性价比。所以我们选择专用远程访问服务器来完成远程服务。Intel 公司旗下的 Shiva 子公司是专用远程访问服务器的鼻祖,而且 Shiva 的技术一直处于业界领先地位,而且也是业界的标准。包括 Cisco 等其他竞争对手都是依据它的技术和标准来生产远程访问设备的。并且由于 Shiva 的技术优势,它的产品具备很高的性能价格比。并且它具有独一无二的非阻塞、多处理体系结构,为端接 PPP 数据包而精心优化。与其它随着呼叫容量的
41、提高而不得不牺牲性能的远程访问服务器不同,Shiva 的产品提供了统一、高速的信息访问能力,即使在满负荷运行时也毫无例外。再加上 Intel 公司一贯以来的优秀的售后服务与技术支持,产品的质量及售后服务得到很好的保障。所以在本系统中,我们选择了 Intel Shiva LanRover D56 远程访问服务器。LanRover D56 拨号服务器的特性及优势主要特性 支持多达 60 个 V.90 56Kbps 并发对话 高密度数字调制解调器 多处理、多总线超标量芯片体系结构 多种经济高效的配置 模块化,可从 BRI 升级至 PRI、从 12 个调制解调器升级至 60 个 自适应 10/100M
42、bps 网络连接 轻松的管理 多台机器的多链路 PPP优势:1、56K 调制解调器技术的突破性速度英特尔的多协议远程访问服务器已因其出色的易用性、性能、安全性和管理已赢得了 50 多项业界大奖。现在,具有 Smart Detect 功能的高速、高密度LanRover D56 通过一个方便的数字广域网接口提供对模拟和数字 PPP 呼叫的端接能力。LanRovr D56 全面兼容当今最先进的客户机调制解调器和 ISDN 终端适配器,目前具有多种经济高效的配置:具有 12 个调制解调器的 8 BRI、仅支持 ISDN 的单PRI、具有 12、24 或 30 个调制解调器的单 PRI、具有 48 或
43、60 个调制解调器的双PRI。2、在满负荷运行下实现全面性能承袭屡获殊荣的 LanRover Access Switch 接入交换机的设计理念,LanRover D56 以业界领先的设计提供了一致的性能,即使满负荷运行,服务器也可从容应付。其独一无二的非阻塞体系结构可确保缓冲、带宽和系统资源能够随时服务于所有用户。通过将处理能力分散到关键性能广域网和数字调制解调器接口组件中,LanRover D56 保持了一致的性能。该并行处理体系结构在主 CPU 和广域网接口上均采用了双出口、超标量Motorola68060 处理器,同时还使用了多个 Motorola68040 处理器用于调制解调器。因此,
44、逾 260 MIPS 的动力使得 LanRover D56 能够在处理数据的同时轻松运行诸如呼叫管理、计费、安全与远程适配路由等主 CPU 任务。远程适配路由可最大限度地减少拨号连接中的通信流量,从而降低线路成本并提高了性能。3、卓越的安全性利用各种安全选件,您可以将 LanRover D56 作为一个集中的验证与授权服务器使用,它支持 TACACS+和 RADIUS,以及第三方安全产品。利用随 LanRover D56 提供的 ShivaRemote 和 Windows NT*安全程序包,您可以增强微软环境中的拨入/拨出安全特性。此外,LanRover D56 拨号服务器还通过 Shiva
45、Access Manager,为 Windows NT 域和 Novell* 目录服务提供了代理支持。4、成熟而易于管理的解决方案LanRover D56 采用最新一代 ShivOS,这是一款性能稳定、业经验证的操作系统,用于实现可靠的远程访问,全球逾 100,000 部 LanRover 服务器均安装了该操作系统。采用基于 JAVA 的 Shiva Configurator,您能够轻松而直观地对所有英特尔设备进行集中或远程管理。LanRover D56 完全符合开放式工业标准,它提供了卓越的互操作性和全面的投资保护。您能够在同一模块化、可升级的机箱内将您的远程访问能力从 12 个调制解调器的
46、 BRI 升级至 48 个调制解调器的 PRI。4 系统的安全性安全是在网络建设中需要认真分析、综合考虑的关键问题。下面我们将从 5 个方面来讨论保障网络安全的若干措施。4.1 网 络 设 计在内部网络设计中主要考虑的是网络的可靠性和性能,而如何确保网络安全也是一个不容忽视的问题。采用网段分离技术,把网络上相互间没有直接关系的系统分布在不同的网段,由于各网段间不能直接互访,从而减少各系统被正面攻击的机会。网段分离可以采用物理方式以及逻辑方式来实现。在物理上,我们将医保中心网络分为内部业务子网和外部访问子网两网段,并且这两个网段之间还使用内部防火墙隔离开来;在逻辑上运用虚拟专用网技术(VLAN)
47、,将应用服务器和工作站根据具体情况分别放在不同的虚拟子网上。另外,在安全方面有一个最基本的原则:系统的安全性与它被暴露的程度成反比。因此,建议将对外信息发布的服务器与内部业务应用服务器隔离,由于将数据库和内部业务应用系统封闭在系统内部,增加了系统的安全性。同时使用代理技术,不允许直接访问业务主机,所有的应用连接都通过代理通讯机来完成,这不仅仅增强了业务主机的隐蔽性,也提高了业务处理效率。4.2 应 用 软 件在网上运行的网络软件需要通过网络收发数据,要确保安全就必须采用一些安全保障方式。4.2.1 用户口令加密存储和传输:目前,绝大多数应用仍采用口令来确保安全,口令需要通过网络传输,并且作为数
48、据存储在计算机硬盘中。如果用户口令仍以原码的形式存储和传输,一旦被读取或窃听,入侵者将能以合法的身份进行非法操作,绝大多数的安全防范措施将会失效。4.2.2 分设操作员分设操作员的方式在许多单机系统中早已使用。在网络系统中,应增加管理员、一般使用员等多种操作员类型,以便对用户的网络行为进行限制。4.2.3 日志记录和分析完整的日志不仅要包括用户的各项操作,而且还要包括网络中数据接收的正确性、有效性及合法性的检查结果,为日后网络安全分析提供依据。对日志的分析还可用于预防入侵,提高网络安全。例如,如果分析结果表明某用户某日失败注册次数高达 20 次,就可能是入侵者正在尝试该用户的口令。4.3 网
49、络 配 置网段分离等安全措施要想起作用,还需要由网络配置来具体实施和保证,如用于实现网段分离的虚网配置。为进一步保证系统安全,还要在网络配置中对防火墙和路由等方面做特殊考虑。4.3.1 路由为了避免入侵者侵入内部资源,应仔细进行路由配置。路由技术虽然能阻止对内部网段的访问,但不能约束外界公开网段的访问。为了确保信息发布服务器的安全运转,避免让入侵者借助公开网段对内部网构成威胁,我们有必要使用防火墙技术对此进行限定。4.3.2 防火墙CISCO 公司的路由器通常都具有过滤型防火墙功能。这一功能通俗地说就是由路由器过滤掉非正常 IP 包,把大量的非法访问隔离在路由器之外。过滤的主要依据在源、目的 IP 地址和网络访问所使用的 TCP 或 UDP 端口号。几乎所有的应用都有其固定的 TCP 或 UDP 端口号,通过对端口号的限制,可以限定网络中运行的应用。如上所述的那样,路由技术并不能约束外界公开网段的访问。所以为了增加安全性,我们有必要增加硬件级的防火墙。而且在硬件防火墙上没有 OS 物件,不易让非法入侵者发现,而且具有高效高性能。由于我们的路由器选择的是 Cisco 公司的 3600 系列路由器产品,考虑
