社保南宁医保南宁医保(new)

1 网络技术现状分析与技术概述 目前在网络组网技术中比较成熟和应用较多的技术有以下几方面网络类型： Ethernet:10M、100M、千兆以太网， ATM:25M、155M、622M、2.4G， DDN:64K、128K、1M、2M， X.25:64K FDDI:100M 面临淘汰。 在端口数据分配上也分为共享式和交换式， 网间数据交换核心方面分为路由和三层交换两种技术。 在以上几个方面中网络类型的选择是关键，目前的主要技术之争是发生在以太网和ATM之间的，这两种技术各有短长 ATM技术相对以太网来说是一种较为为新型的技术，它基于面向连接，提供QOS保障，在实时数据传送，预留带宽方面有不可比拟的优越性，特别适合实时多媒体的交互式通讯和一些突发性的数据传送要求，它针对不同的数据通讯类型会给予不同的质量保证，另外小信元有利于速率的不断提高，但由于其技术成熟度不够，和目前直接基于ATM的应用类型还比较少，它的优越性受到了限制，另外它的元件和设备价格昂贵是另一个不利与推广的弱点。 以太网技术相对成熟，而且多数应用基于以太网开发，所以决定了目前它在网络中占主导地位，受多数用户的青睐。在此我们推荐使用百兆快速以太网技术，它在技术上由以太网衍生出来、性能价格比高，现在相关技术已经稳定，并且非常适合医保网络系统使用。在此方案中我们选择百兆以太网与三层交换作为技术定位的基本模式。 1.1 网络技术选择 根据应用实际需求，和网络功能、性能、安全性等多方面的分析，对网络技术做出如下选择： 根据应用系统的需求和接入网络方式的特征，医保网络采用10M/100M全交换结合的方式构建自己的网络通信平台，采用虚网划分技术，虚网间数据传输实现第三层交换，为桌面设备提供10/100M以太网接入，并同时具有技术领先性。 主干为百兆快速以太网。 服务器以100base-T接入。 普通网络用户PC采用10/100Base-T方式接入。 网络基本形式为交换式网络。 1.2 网络设备的系统结构 选择完全分布的系统结构（处理能力分布和存储能力分布）。 选择存储转发式交换技术（Store-forward）以支持低速网络接口和高速网络接口的交换及对错误帧的过滤。 选择统计时分复用（TMD）数据交换总线结构的交换设备减少系统延时。 选择支持多种网络接口的设备。 1.3 虚拟专用网络(VPN) 灵活多样的虚网划分手段，基于端口，基于地址和给予应用虚网中的站点不应受接口类型的限制。 支持网络站点的自由移动，虚网标志可被交换设备自动识别以保持原有虚网属性。虚网可延伸到整个信息中心网络，跨越各种交换设备。 1.4 路由功能 内部路由采用三层交换功能提高其路由识别和包转发能力 内部的三层交换虚拟路由功能与外部路由功能有互操作性 1.5 容错功能 提供交换机内部重要模块的全双工配置（管理模块）和冗余电源 主要功能部件的热插拔功能 支持网络链路的冗余连接 1.6 网络管理 支持广泛的网络管理平台（如HP OpenView 、Intel DeviceView 等） 提供交换机配置、管理，虚网配置、管理和网络性能统计监控的 网管工具：基于SNMP网络管理协议，支持的MIBs 提供友好的用户图形界面 2 网络方案概述 2.1 网络思想 针对以上情况，本方案的设计采用国际流行的分层设计：自顶向下进行结构化设计，自底向上实现各种业务。根据我们以往的经验，医保计算机网络应具有如下特性： 前瞻性：即所采用的技术应是国际通信界公认的主流技术，具有持续发展的潜力。 兼容性：目前，国内各种网络的建设方兴未艾，保证网络良好的兼容性是业务扩展的重要前提之一。 经济性：网络建设的最终目的，是要服务于社会和公众，并产生可观的经济效益，进而产生收益和投资之间的良性循环。 演绎性：网络建设是一个可持续滚动发展的过程，只有不断地吸收营养、不断地发展壮大，才能产生更大的经济和社会效应。 竞争性：只有这样的网络才能在市场竞争中当然会脱颖而出，独占鳌头。 稳健性：因为网络系统在将来医保办公的地位非常重要，所以医保计算机网络对系统的稳健性将有较高的要求。本方案正是结合实际需求对于系统的稳健性进行了深入的设计。 为了实现上述特性，我们本着以下原则进行设计： 充分依照国际上的规范、标准，借鉴国内外目前所流行的主流网络体系结构和网络运行系统，采用国际上成熟的模式，汲取国内外各种信息系统的建设经验，从网络信息化的实际要求出发进行设计。 确保技术的先进性和实用性，使网络具有良好的可扩展性和灵活性，以适应网络的迅猛发展趋势，既满足当前需求，又照顾未来网络建设发展的需要。 充分利用当地已有的各种网络资源，确保网络内部的互联互通。由于此网络是一个实用的服务运行系统，在总体设计时充分考虑工程的可靠性、可用性、可维护性以及网络的安全性，建立完善的安全管理体系。 另外，本计算机信息系统的建设是一项庞大而繁杂的工程，它需要领导的支持、大笔资金的及时到位、计算机专业人员具有良好素质和较高技术水平，以及应用科室的配合和多部门的密切协作。所以我们对于系统的建设提出“总体规划、分布实施”的建议。在制定总体规划时，我们遵循“切合实际、分阶段实施、循序渐进、安全有效”的基本原则。网络结构的选择具有先进性和安全性，扩充升级方便，可保护前期投资。 基于上述因素考虑，医保计算机网络建设思想如下： 基本构架采用国际上目前流行的INTRANET网络技术，以TCP/IP为基本传输协议； 主干网采用百兆快速以太网技术，以便满足医保系统中大量数据传输的要求； 分支网络采用快速以太网(Fast Ethernet)技术以满足普通应用需求； 采用先进的虚拟网络技术，将网络按功能模块划分成不同子网，增强网络的安全性； 融合WEB技术，PROXY技术等INTERNET综合应用； 采用FIREWALL防火墙技术提高网络安全性，可靠性； 2.2 网络逻辑结构 医保网络系统包括市医保中心局域网和全市医保系统广域网两部分，市医保中心通过广域网连接各定点医疗及医药机构，它们之间通过数字专线或拨号线路互连，构成覆盖全市的医保广域网网络，以便达到信息查询、数据传输等资源共享的目的。医保中心还可通过因特网向公众发布各种信息、政策和规章制度。同时，“五险合一”是社会保险事业发展的必然方向，医疗保险信息系统的网络结构设计考虑了这方面的发展趋势，为今后的系统扩展留有一定的余地。医疗保险系统总体网络逻辑图如下所示： 医保网络全局逻辑结构拓扑 在逻辑拓扑中网络可划分为若干虚拟局域网，虚拟局域网不受设备物理位置的限制，灵活性较大。按各部分功能划分：SERVER VLAN为服务器群虚网，将各种主要服务器（数据业务服务器、通讯机、WEB服务器、邮件服务器、FTP服务器等）放在一个虚网内便于管理、维护，同时也可以尽可能减少外部入侵及破坏系统的可能性;VLAN1、VLAN2……根据不同的职能部门划分。 3 网络实现 3.1 网络实现技术 3.1.1 主干网 网络的主干建议采用两台自适应百兆以太网交换机作为中心交换机。两台核心交换之间通过千兆光纤相连做冗余容错，以保证主干网信息的畅通。服务器均以100BASE端口冗余线路和交换机相连，这样可以提供足够的带宽，减少由于用户对服务的集中请求所产生的网络瓶颈。 建议使用先进的路由交换机产品。路由交换机可将IP路由功能集成在硬件中，以较低的代价就可获得比传统路由器高得多的路由性能。 内部业务子网的边缘交换机建议采用自适应百兆以太网交换机，通过两条100M的上连冗余线路与中心交换机相连，到桌面采用10/100M。 3.1.2 外部访问子网设计 医保网络系统的提供WEB服务的外部访问子网均以100M的上连带宽通过内部PIX防火墙和中心交换机相连，到桌面采用10/100M。外部访问子网采用交换式快速以太网技术。 3.1.3 广域网的连接 3.1.3.1 各种外部网络 医保网络中心首先是整个医保网络系统的大脑与心脏，承担了南宁市医保网络的运行、维护的重要责任，是一个较为集中的数据中心，和多种应用的中央控制的监测机构，所以医保网络中心的建设是整个网络建设的关键。 网络中心的地位和功能： 管理中心 控制中心 数据集中及备份中心 检查及检测中心 对外信息发布中心 根据业务上的要求以及网络全局逻辑结构图分析，医保中心网络需要与分布在全市的各大型医疗机构的网络连接，同时还需要连接到一些外部网络进行必要的数据交换，如省一级的医保中心网络、各银行网络、市劳动局网络系统等。 同时医保中心网络与国际互联网的连接可以获得大量的信息资源，同时能将南宁市医保事业介绍给世界。下面我们将根据目前的一些外连方式进行论述选择。 3.1.3.2 外连方式 为了更好地、更经济地利用南宁市医保网络的资源，满足各种类型节点的具体需求，我们初步比较以下几种节点接入方式：PSTN、ISDN、ADSL、DDN、X.25、帧中继。 · PSTN(电话拨号) 电话拨号接入是利用现有的电话线资源，通过公用电话网实现网络节点的接入。公用电话网在国内覆盖范围最广，应用灵活，方便。公众通信网主要用于话音的交换传输，通常电话线路最高速率只有9600bps，但如果采用具有4倍压缩率功能的Modem，可达56Kbps。和其它的接入方式相比，电话拨号虽然费用最低，但受到电话模拟线路本身技术的限制，其可提供的连接速率较低，且通信质量容易受到影响，不能提供高品质的连接信道。可作为个人用户的接入方式，或者各参保单位的备用线路。 · ISDN(综合业务数据网) ISDN的优势可归纳为以下几点： 1) 技术成熟 ISDN的技术在80年代就开始试验和使用，ISDN的标准则在1984形成，在1988年趋于稳定。ISDN的网络产品和终端产品已经在市场上被广泛地采用。终端产品价格逐年下降。网络运营者也积累了开放ISDN业务及应用的丰富经验。我国网上交换机设备经过3年的技术和测试工作，已基本具备了ISDN的能力。 2) 安装简单 安装又可分为用户把自己的终端设备连接到ISDN线上和局方为用户安装ISDN线两个方面。对于前者，ISDN为用户很好地解决了连接问题，它提供标准的用户网络接口。这一特点是ISDN成功的关键所在。它以标准接口将各种类型的终端设备接入到ISDN网络中。只要用户使用一对用户线、一个ISDN号码、一台有ISDN标准接口的终端适配器(ISDN TA)，将现有的设备(包括模拟设备如：普通电话机、传真机等) 连接到ISDN TA上。这样，用户就可以保留原有的模拟设备，节省投资。如果用户已有了第二条电话线专为电脑上网使用，也就是说终端设备只有电脑，那么就可以不必购买ISDN终端适配器(ISDN TA)了，只需插一块ISDN PC卡就可完成电脑与ISDN线的连接。 3) 方便易用 ISDN线路可以一线多号，一线多连，两个终端可以同时使用而互不干扰。比如：在一条ISDN电话线上可以用一个信道保持声音通话，用另一条信道上网。而且由于它属于普通电话网的一部分，所以用户既可以与ISDN用户也可以与普通电话用户通信。当用户在一条ISDN线上与普通电话用户通信时仍按普通市话或长途标准收费。 4) 多媒体通信 ISDN为用户提供64Kbit/s的数字连接，使用户可以传递语音、数据和图像等多种媒体的信息，并使各种应用可以在这一平台上得以开发和使用。例如：会议电视一般需要三个2B+D，即384kbp/s 就能得到令人满意的会议电视效果。 5) 经济实惠 这可以表现在以下几个方面：首先，它可以一线多用，做综合业务的处理，减少投资；其次，它可提高通信能力3～5倍，节省费用，提高效率；第三，它可即时连接使用数字数据线路，其费用远低于DDN专线。 另外，ISDN是一种需求式服务，所以用户使用它与普通电话一样，只在需要时发起呼叫，支付相应使用时间的通话费，一旦连通，用户获得的就是高速数字通信。 6) 具有数字化优越性。 在传输速度方面，目前最快的模拟调制解调器也只不过是56Kbps，而且这是一个理论值，实际使用时至多只能达到52Kbps，它还依赖于电话线的质量。但在ISDN中仅2B＋D就可达到64Kbps，若传输一个1MB未压缩文件不到1分钟就可传输完毕，比前者要快很多，显然占有优势。在通话建立方面，模拟Modem要协商电话线支持的带宽(速率)需要10～30秒或更长时间，而ISDN无那种咕吱咕吱的杂音，几秒钟就连接好了。从传输质量上讲，ISDN的数字传输比模拟传输更不会受到静电和噪音的影响，使数据通信中更少出现错误与重传现象。 由于ISDN的性价比非常高，可作为医保中心以及各参保单位很好的一种后备线路。 · ADSL(非对称数字用户线) ADSL(非对称数字用户线)技术是采用现有的双绞电话线向用户传输高带宽数据（如多媒体和视频数据）的调制解调器技术。它得到了设备制造商和服务供应商的重视，因为它保证在对现有的电讯基础设施进行相对较小的改变的同时，向分散在各地的站点传递高带宽数据。ADSL技术是非对称的，它允许下行带宽（从NSP的中心站到用户站点）超过从用户上行到中心站的带宽。这种非对称和始终存在的访问（不用进行呼叫设置）使ADSL很适合于Internet/Intranet冲浪、视频点播和远程LAN访问。通常这些应用程序下载的信息比他们上传的信息更多。 ADSL到用户的传输速率大于6Mbps，双向速度达640Kbps。这样的速率在不增加新电缆的情况下将现有访问容量扩展了50倍甚至更多。现在国内部分城市都已经开通了ADSL服务。 ADSL的传输速率虽然很高，但是ADSL在应用上存在距离的限制，象桂林市目前开通的ADSL就要求用户站点到中心的直线距离不能超过2公里，而且ADSL技术在国内属于一种较新的应用，仍存在一些诸如线路不稳定等问题，并未成熟可靠。这些问题都制约了ADSL无法在大型城域网或广域网中广泛应用。并且目前ADSL在广西区内尚属于测试阶段，所以我们不推荐使用ADSL接入方式。 · DDN(数字数据网) DDN即数字数据网，它是利用光纤数字传输通道和数字交叉复用节点组成的数字数据传输网，可为用户提供各种高速率、高质量的数字专用电路，以满足用户组建中高速计算机通信网的需要。 DDN业务区别于传统模拟电话专线的显著特点是数字电路，传输质量高、时延小，通信速率可根据需要选择。DDN技术是利用数字信道提供永久或半永久电路,以传输数字信号为主的数字通信网络。其最具吸引力的优点是传输时延短,支持语音、图像等多媒体业务,且已经在一些金融系统中得以广泛使用,是一种较为成熟的技术。出于对未来视频会议、办公自动化等多媒体宽带新业务的考虑,DDN技术有着很强的生命力和发展前景。 传统的网络互连方式是通过租用点对点的DDN专线方式，一般速率为64Kbps/128Kbps。这就是所谓的IP的点对点互连。这种互连方式比较成熟，也是当今IP网络互连中广泛采用的方式。通过模拟专线(用户环路)和Modem入网，通信速率受用户入网距离的限制，最高可到2.048Mbps，对光纤到户的用户，通信速率可灵活选择。 DDN作为一种成熟可靠的技术，并且具有较高的传输速率，我们选择了DDN作为主要的接入方式。以及用于医保中心网络与因特网的连接方式。 · X.25(公共分组数据交换网) 公共分组数据交换网X.25线路分组交换是为适应计算机通信而发展起来的一种先进通信手段，它以CCITT X.25建议为基础，可以满足不同速率，不同型号终端及计算机以及局域网间的通信，实现数据库资源共享。 分组交换网的突出优点是可以在一条电路上同时开发多条虚电路，为多个用户同时使用，网络具有动态路由功能和先进的误码纠错功能，网络性能最佳。 CHINAPAC提供交换型虚电路(SVC)和永久型虚电路(PVC)。SVC使用灵活，每次可与不同的用户建立通信电路，通信费用与通信量有关，而与距离无关。PVC类似于固定专线，不需每次通信时临时建立和释放电路，适用于点对点固定连接的使用。此外，CHINAPAC还提供许多可选业务，如闭合用户群、反向计费等。 由于X.25的最高传输速率只能达到64Kbps，不建议作为医保中心的主要接入方式。但是由于其成本费用较低，可作为部分数据传输量不大的参保单位使用。 · 帧中继 帧中继是一种高性能的WAN协议，最初是作为综合业务数据网（ISDN）接口设计的，现在它已被广泛地用于多种网络接口。帧中继是X.25地简化版本，它省略了X.25的一些强健功能，如提供窗口化技术和数据重发功能，这是因为帧中继工作在性能更好的WAN设备上。它即具有分组交换网的突出优点：在一条物理电路上同时开发多条虚电路，为各个用户同时使用，又能提供较高的网络带宽，（56K－2M），支持LAN网之间使用的多种协议。 这种互连方式的优势在于: 1) 在网络互联中,路由器的数目大大减少。对网络组网的设计要求也大大简化。 2) 以帧中继交换机代替路由器的交换功能,使网络信息处理传输速率非常快,适应于当前局域网高速互连的需求。 3) 由于帧中继网络中大都采用光纤作为传输媒体,传输误码率非常低,一般为10-8。帧中继的无差错控制机制完全可以提供可靠的端到端的传输。 如今，世界上50％以上的帧中继业务是在信元－中继／ATM网络上传输的，这主要是由于信元交换设备具有良好的协调性和高效性。尽管除了传输其它类型的通信如话音和视频外再也没有其它的优点，作为一种接口，帧中继还是最适合于数据协议的传输。而且帧中继结构非常简单，这使得它很有吸引力。帧中继很适宜于数据通信，因为同时分多路和租用线路传输相比，帧中继更有效地利用了带宽。帧中继能通过单一物理信道维持多个虚拟网络，从而使各种同等重要的通信独立通过互联网络。这种平行信息流的结构与ATM虚拟网络的结构非常一致，而且容易连接。因此，帧中继既能满足当前的连接要求，又可成为向未来高速网络过渡的桥梁。 由于目前南宁市内尚未开通帧中继业务，我们暂不考虑这种接入方式。 3.1.4 远程服务 为了满足小型参保单位以及医药商店拨号访问医保中心网络，采用远程拨号把小型参保单位以及医药商店和医保中心网络通过公共电话网连起来，充分利用现代通信手段和网络资源。群众也可以通过电话拨号访问医保网站上公开的信息资源。 3.1.5 网络物理拓扑结构 根据以上分析，南宁市医保网络物理拓扑图可以是： 3.2 网络设备选择 3.2.1 交换机 目前生产交换机的厂商比较多，著名的有Intel、3COM、Cisco等。Cisco的交换机产品比较昂贵，而且其上的很多功能都不是客户必须的，增加了客户不必要的投资，导致其性价比很低。并且Cisco的交换机产品部由于刚成立不久，在售后服务和技术支持方面做得并不是很完善。3COM公司的交换机设备虽然在以前占据了很大的市场份额，但是目前3COM公司的交换机技术已经跟不上潮流了，而3COM已将自己的交换机产品部卖给了其他公司并不再进行产品线的后续开发。 Intel公司由于具备很强大的芯片设计开发及生产能力，不但技术先进而且其交换机产品线很齐全，它的产品有很高的性价比。并且Intel公司对医保社保行业的支持力度很大，而且Intel在售后服务方面在业界是有很好的口碑。经过分析比较，我们选择Intel公司的500系列交换机。 ★英特尔( Express 500系列交换机产品介绍 英特尔( Express 550T路由交换机 用于快速以太网园区主干和网段的可扩充路由交换机 Intel( Express 550T路由交换机的主要特性 ■ 利用集成的IP/IPX路由来提高网络性能 ■ 通过容错系统支持获得最大限度的网络伸缩性 · 控制网络资源、访问和通信 利用这些高度可扩充、8端口的第3层交换机，您可以创造出快速和可扩展网段或主干解决方案。通过逐个路由数据包，它们可以轻而易举地集成至您现有的路由基础设施之中。您可以使用英特尔( Express 550路由交换机堆叠在主干中集中网络路由，或者通过在工作组中增加英特尔( Express 550路由交换机来将路由功能分配到网络边缘。 可扩充的堆叠技术 该项英特尔技术实现了英特尔( Express 500系列交换机中机箱式交换机的众多优势，而且无需高额的前期成本。 性能－－利用可扩充至14.7Gbps的可伸缩性背板，总计可难叠多达7台交换机。您在堆叠中每增加一台交换机，英特尔( 可扩充堆叠技术即可为背板提供额外的2.1Gbps带宽。您可以根据需要增加交换机来支持更多的用户，并且确信您的交换结构能够随时扩充来满足日益增长的带宽需求。 可管理性－－整个堆叠可以作为一个设备进行管理。 可靠性－－可使用一套冗余堆叠模块来消除交换机到交换机连接的单点故障 （英特尔( Express 550T和550F路由交换机以及520T交换机）。 特性 优势 可扩充的堆叠技术 在堆叠中每增加一台交换机便可增加额外2.1Gbps背板容量。 第3层交换(IP/IPX路由） 允许网络分段，以增强性能。 冗余电源、冗余背板连接 容错、可靠。 IP数据包过滤 通过阻止不必要的http、Telnet或FTP访问来增加安全性。 IP多点广播支持 利用互联网成组管理协议(IGMP)或远距离矢量多点广播 路由协议(OVMRP)提高带宽利用率。 RSVP 通过保留带宽来改善对等待时间敏感的应用传输质量，如音频和视频。 差别服务 划分通信的优先级，使关键业务应用具有优先权。 链路集合 集合多个端口来支持更高带宽的连接，并提供额外的网络伸缩能力。 英特尔( Express 520T交换机 用于园区环境和网段的可扩充快速以太网交换机 该款通用型12端口快速以太网交换机支持分段交换机所需的可扩展性，而且具有足够的端口密度，以实现经济高效的小型工作组解决方案。将其与英特尔( Express 550路由交换机相堆叠并增加冗余背板连接，即可获得客户化和高度可靠的网络核心。或者，与 英特尔( Express 510T交换机相堆叠，您将可以更准确地满足您的桌面交换需求。 特性 优势 可扩充的堆叠技术 在堆叠中每增加一台交换机便可增加额外2.1Gbps的背板容量。 冗余电源、冗余背板连接 容错、可靠。 先进的流量控制(802.3x) 减少拥塞并防止数据包丢失。 链路集合 集合多个端口来支持更高带宽的连接，并提供额外的网络伸缩能力。 IP多点广播修整 当向多个台式机广播通信时可减少拥塞。 英特尔( Express 510T交换机 可扩充交换机。将价格适中的工作组交换带至桌面 英特尔( Express 510T交换机的主要特性 ■ 可扩充，轻松满足您日益增长的网络需求 ■ 可扩展，支持光纤、ATM和千兆位以太网 · 基于互联网和Windows*操作系统的直观的安装与控制 将专用快速以太网性能扩展至您的桌面。利用互选模块，该款24端口交换机可扩展至多达32端口，在7台交换机的堆叠中端口最多可达196个。 特性 优势 可扩充的堆叠技术 在堆叠中每增加一台交换机便可增加额外2.1Gbps的背板容量。 先进的流量控制（802.3x） 减少拥塞并防止数据包丢失。 链路集合 集合多个端口来支持更高带宽的连接，并提供额外的网络伸缩能力。 IP多点广播修整 当向多个台式机广播通信时可减少拥塞。 冗余电源 容错、可靠。 3.2.2 路由器 Cisco公司是路由器的鼻祖，其路由器技术已经成为了业界默认的标准，并且Cisco路由器的高性能在业界中也是首屈一指的。目前安全已成为今天大多数网络管理者关心的主要问题，Cisco 路由器配合广为流行、功能强大、业界领先的 Cisco IOS 软件，可以为客户核心网络提供全面的安全保障。根据医保网络系统的需求，我们选择了Cisco 3600系列路由器。而且Cisco 3600系列路由器与竞争产品相比具有以下优势： · 多方面WAN协议选择 Cisco 3600系列路由器支持今天最被广为使用的网络协议，包括IP、Novell IPX和AppleTalk，和一系列路由协议。 · 卓越的带宽优势 Cisco 3600系列路由器比任何其他厂商产品都有更多的特性，从而减少WAN服务费用。数据压缩和多个流量优先技术确保重要数据的整体性。与此同时，协议哄骗、Snapshot Routing、BOD和DOD等技术也确保象ISDN那样按使用时间计价的服务耗费最低。 · 加强的多媒体和VLAN支持 IGMP、RSVP、PIM、WFQ、SMRP和中转连接（ISL），使Cisco 3600系列路由器能够支持音频和视频服务应用，以及虚拟局域网。没有任何一个竞争方案能提供这些特点。 · 卓越的安全性 用户辨别和扩展Access List只允许获准的流量进入网络，它应用事件登记和审查追踪、编码、和虚拟专有网络透纳等技术提高网络的安全。没有任何其他厂商可达到这样多种的安全特性。 Cisco 3600 系列路由器 关键特性 · 在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、ATM 连接以及语音、视频和数据的多种业务集成。 · 模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护。 · 高密度 ISDN PRI 功能。 · 预配置的 BRI 和 PRI 调制解调器捆绑。 · 支持 Modem-over-BRI 功能性。 · 集成了 Cisco IOS 软件(产品定价中包括IP IOS软件)。 · 完全支持VPN。 · Cisco IOS 防火墙特性集提供防止网络入侵的安全保护。 Cisco 3600 系列是一个适合大中型企业和 Internet 服务供应商的模块化、多功能访问平台家族。Cisco 3600 系列拥有70多个模块化接口选项，提供语音/数据集成、虚拟专网(VPN)、拨号访问和多协议数据路由解决方案。Cisco 3600 系列通过利用 Cisco 的语音/传真网络模块，允许客户在单个网络上合并语音、传真和数据流量。高性能的模块化体系结构保护了客户的网络技术投资，并将多个设备的功能集成到一个可管理的解决方案之中。 Cisco 3600 是世界第一个真正的多功能应用支持平台，在单独一个服务器上广泛支持分支机构/企业拨号访问应用，LAN 到 LAN 或者路由选择应用以及多服务应用。它提供前所未有的模块化选项，可使用多种不同的网络模块，它还具有强大的灵活性，可针对客户的不同应用环境，提供各种配置选项，而且最重要的是，它具有支持所有这些应用的优质运行性能。 作为一个多功能解决方案，可以依靠 Cisco 3600 平台的出众性能、安全性以及灵活性来满足未来多年的需要。与具有综合管理、配置以及单供应商支持的一台多功能设备相比，管理、配置以及支持多台设备的费用就显得相当昂贵。 此外，Cisco IOS 软件包含许多可提供安全性、可靠性以及WAN优化的功能，在任何应用环境中，都可以使用 Cisco IOS 功能来控制不断上升的WAN费用。例如，Cisco 3600服务器支持按需拨号路由选择(DDR) 和拨号备份，同时支持 Protocol Spoofing 和 Snapshot Routing，从而减少不必要的 WAN 传输。为了更进一步减少WAN费用和增加有效带宽，Cisco IOS 软件支持在帧中继、专线以及拨号网络上的数据压缩。Cisco IOS 软件拥有广泛的多媒体功能，可以支持诸如在 WAN 上的电话会议那样的新型应用。资源预保留协议(RSVP)、非协议依赖性的多点广播(PIM) 以及加权公平排队 (WF) 等功能可以保证一贯的服务质量以及较高的应用可用性。 3.2.3远程访问服务器 在传统的做法中，实现远程访问的都是以路由器加载远程访问模块来实现的。这种方式在安装调试以及管理上都是很复杂的，而且得到的性能并不是很好，特别是在满负荷运行的情况下，整个访问服务器的瓶颈就在路由器上了。而且由于采用了路由器，整个远程访问服务器价格很昂贵，所获得的性能价格比就很低了。而采用专用远程访问服务器，由于在一个平台中集成了非常广泛的功能，以较低的设备开支，提供了拨入/拨出访问、采用拨号或帧中继和专线PPP连接的局域网间路由选择功能，并且易于安装管理和操作。即使在满负荷运行情况下也能提供全面的非阻塞性能，而且在价位上比传统路由器方式有更高的性价比。所以我们选择专用远程访问服务器来完成远程服务。 Intel公司旗下的Shiva子公司是专用远程访问服务器的鼻祖，而且Shiva的技术一直处于业界领先地位，而且也是业界的标准。包括Cisco等其他竞争对手都是依据它的技术和标准来生产远程访问设备的。并且由于Shiva的技术优势，它的产品具备很高的性能价格比。并且它具有独一无二的非阻塞、多处理体系结构，为端接PPP数据包而精心优化。与其它随着呼叫容量的提高而不得不牺牲性能的远程访问服务器不同，Shiva的产品提供了统一、高速的信息访问能力，即使在满负荷运行时也毫无例外。再加上Intel公司一贯以来的优秀的售后服务与技术支持，产品的质量及售后服务得到很好的保障。所以在本系统中，我们选择了Intel Shiva LanRover D56远程访问服务器。 LanRover™ D56 拨号服务器的特性及优势 主要特性 · 支持多达60个V.90 56Kbps并发对话 高密度数字调制解调器 · 多处理、多总线超标量芯片体系结构 · 多种经济高效的配置 · 模块化，可从BRI升级至PRI、从12个调制解调器升级至60个 · 自适应10/100Mbps网络连接 · 轻松的管理 ■ 多台机器的多链路PPP 优势： 1、56K调制解调器技术的突破性速度 英特尔的多协议远程访问服务器已因其出色的易用性、性能、安全性和管理已赢得了50多项业界大奖。现在，具有Smart Detect™ 功能的高速、高密度LanRover™ D56 通过一个方便的数字广域网接口提供对模拟和数字PPP呼叫的端接能力。 LanRovr D56 全面兼容当今最先进的客户机调制解调器和ISDN终端适配器，目前具有多种经济高效的配置：具有12个调制解调器的8 BRI、仅支持ISDN的单PRI、具有12、24或30个调制解调器的单PRI、具有48或60个调制解调器的双PRI。 2、在满负荷运行下实现全面性能 承袭屡获殊荣的LanRover™ Access Switch 接入交换机的设计理念，LanRover D56 以业界领先的设计提供了一致的性能，即使满负荷运行，服务器也可从容应付。其独一无二的非阻塞体系结构可确保缓冲、带宽和系统资源能够随时服务于所有用户。通过将处理能力分散到关键性能广域网和数字调制解调器接口组件中，LanRover D56 保持了一致的性能。 该并行处理体系结构在主CPU和广域网接口上均采用了双出口、超标量Motorola68060处理器，同时还使用了多个Motorola68040处理器用于调制解调器。因此，逾260 MIPS的动力使得LanRover D56能够在处理数据的同时轻松运行诸如呼叫管理、计费、安全与远程适配路由等主CPU任务。远程适配路由可最大限度地减少拨号连接中的通信流量，从而降低线路成本并提高了性能。 3、卓越的安全性 利用各种安全选件，您可以将LanRover D56 作为一个集中的验证与授权服务器使用，它支持TACACS+和RADIUS，以及第三方安全产品。利用随LanRover D56 提供的ShivaRemote™ 和Windows NT*安全程序包，您可以增强微软环境中的拨入/拨出安全特性。此外，LanRover D56 拨号服务器还通过Shiva® Access Manager，为Windows NT域和Novell* 目录服务提供了代理支持。 4、成熟而易于管理的解决方案 LanRover D56 采用最新一代ShivOS™，这是一款性能稳定、业经验证的操作系统，用于实现可靠的远程访问，全球逾100,000部LanRover服务器均安装了该操作系统。采用基于JAVA的Shiva( Configurator，您能够轻松而直观地对所有英特尔设备进行集中或远程管理。 LanRover D56 完全符合开放式工业标准，它提供了卓越的互操作性和全面的投资保护。您能够在同一模块化、可升级的机箱内将您的远程访问能力从12个调制解调器的BRI升级至48个调制解调器的PRI。 4 系统的安全性 安全是在网络建设中需要认真分析、综合考虑的关键问题。下面我们将从5个方面来讨论保障网络安全的若干措施。 4.1 网络设计 在内部网络设计中主要考虑的是网络的可靠性和性能，而如何确保网络安全也是一个不容忽视的问题。 采用网段分离技术，把网络上相互间没有直接关系的系统分布在不同的网段，由于各网段间不能直接互访，从而减少各系统被正面攻击的机会。网段分离可以采用物理方式以及逻辑方式来实现。在物理上，我们将医保中心网络分为内部业务子网和外部访问子网两网段，并且这两个网段之间还使用内部防火墙隔离开来；在逻辑上运用虚拟专用网技术（VLAN），将应用服务器和工作站根据具体情况分别放在不同的虚拟子网上。 另外，在安全方面有一个最基本的原则：系统的安全性与它被暴露的程度成反比。因此，建议将对外信息发布的服务器与内部业务应用服务器隔离，由于将数据库和内部业务应用系统封闭在系统内部，增加了系统的安全性。同时使用代理技术，不允许直接访问业务主机，所有的应用连接都通过代理通讯机来完成，这不仅仅增强了业务主机的隐蔽性，也提高了业务处理效率。 4.2 应用软件 在网上运行的网络软件需要通过网络收发数据，要确保安全就必须采用一些安全保障方式。 4.2.1 用户口令加密存储和传输： 目前，绝大多数应用仍采用口令来确保安全，口令需要通过网络传输，并且作为数据存储在计算机硬盘中。如果用户口令仍以原码的形式存储和传输，一旦被读取或窃听，入侵者将能以合法的身份进行非法操作，绝大多数的安全防范措施将会失效。 4.2.2 分设操作员 分设操作员的方式在许多单机系统中早已使用。在网络系统中，应增加管理员、一般使用员等多种操作员类型，以便对用户的网络行为进行限制。 4.2.3 日志记录和分析 完整的日志不仅要包括用户的各项操作，而且还要包括网络中数据接收的正确性、有效性及合法性的检查结果，为日后网络安全分析提供依据。对日志的分析还可用于预防入侵，提高网络安全。例如，如果分析结果表明某用户某日失败注册次数高达20次，就可能是入侵者正在尝试该用户的口令。 4.3 网络配置 网段分离等安全措施要想起作用，还需要由网络配置来具体实施和保证，如用于实现网段分离的虚网配置。为进一步保证系统安全，还要在网络配置中对防火墙和路由等方面做特殊考虑。 4.3.1 路由 为了避免入侵者侵入内部资源，应仔细进行路由配置。路由技术虽然能阻止对内部网段的访问，但不能约束外界公开网段的访问。为了确保信息发布服务器的安全运转，避免让入侵者借助公开网段对内部网构成威胁，我们有必要使用防火墙技术对此进行限定。 4.3.2 防火墙 CISCO公司的路由器通常都具有过滤型防火墙功能。这一功能通俗地说就是由路由器过滤掉非正常IP包，把大量的非法访问隔离在路由器之外。过滤的主要依据在源、目的IP地址和网络访问所使用的TCP或UDP端口号。几乎所有的应用都有其固定的TCP或UDP端口号，通过对端口号的限制，可以限定网络中运行的应用。 如上所述的那样，路由技术并不能约束外界公开网段的访问。所以为了增加安全性，我们有必要增加硬件级的防火墙。而且在硬件防火墙上没有OS物件，不易让非法入侵者发现，而且具有高效高性能。由于我们的路由器选择的是Cisco公司的3600系列路由器产品，考虑到系统的兼容性、稳定性、以及带宽性能融合，我们选择了Cisco公司的PIX 515系列硬件防火墙。 Cisco Secure PIX防火墙集成有硬件和软件，易于安装，具有卓越的性能，能够提供强大的安全保护能力，使您能够对内部网进行严格的保护，把内部网络结构与外界完全隔离开来，使其免受外部世界的入侵破坏，为您提供全面的防火墙安全保护。 Cisco Secure PIX防火墙的功能特点如下： · 访问控制表（Access Lists）控制那一台内部主机能够建立与外部网络的连接。通过访问控制表可对安全策略进行配置，以限制对外部网络的访问（限制可以是基于源地址、外部目的地址，或通信协议）。 · 适应性安全算法（ASA），始终监视返回的数据包，以判别其合法性。并使用随机的TCP序列号来减少受到TCP序列号攻击的危险。 · 与Cisco IOS一致的配置界面，简单并且易于操作。 · 采用管道技术，允许特定用户从外部网络访问内部网络。 · 直通式代理服务，建立在用户级别上的对外部接入和内部接出的验证。对于普通的代理服务器，它要分析应用层每一个数据包，而PIX防火墙首先询问身份验证服务器，当连接被确认后，它就建立起一个数据管道，之后所有的信息流就直接在连接双方迅速地传递。允许安全策略建立在每用户地ID之上，一个连接必须首先验证用户ID和口令才能建立起来。 · DNS防护，识别向外部网络发出地DNS转换请求，仅接受一个DNS响应。 · 可通过设置最大地初始连接数来保护内部主机不受突发的大量TCP SYN数据包的攻击。 · 控制“用户验证服务”允许的未应答的登录请求次数。 · 图形化的管理界面，提供基于WindowsNT、Windows95/98、或Solaris等操作系统的WWW浏览器管理界面。 · IP碎片防护，以抵御IP碎片的攻击。 · Java过滤，网络管理员可禁止从内部主机下载Java applets。 · 安全的电子邮件访问。 · 支持建立在NetBIOS over IP 技术之上的内部网络与外部网络的连接。 · 网络地址转换（NAT）。对内部主机，当其向外部发送数据包时，对其源IP地址进行转换，同时支持动态和静态转换。允许给内部主机赋予私有IP地址或保留现有的合法IP地址。 · 端口地址转换（PAT）。通过使用端口重映像，一个单独的IP地址可支持64,000个实体的源IP地址转换。 · 支持虚拟私有网络（VPN）互操作和基于IPSec的扩展。 · SNMP MIB-II支持。通过SNMP，PIX防火墙可集成到传统的网管系统中。 · 通过阀值的设定，当PIX防火墙被黑客攻击时，管理员能够自动地通过E-Mail或寻呼接受实时报警。 4.4 系统配置 这里的系统配置是主机的安全配置和数据库的安全配置。据调查表明，85％的计算机犯罪是内部作案，因此这两方面的安全配置也相当重要。在主机的安全配置方面，应主要考虑普通用户的安全管理、系统管理员的安全管理及通信与网络的安全管理。 4.4.1 网络服务程序 任何非法的入侵最终都需要通过被入侵主机上的服务程序来实现，如果关闭被入侵主机上的这些程序，入侵必然无效。因此，这也是保证主机安全的一个相当彻底的措施。当然，我们不能关闭所有的服务程序，可以只关闭其中没有必要运行的部分。 4.4.2 数据库安全配置 在数据库安全配置方面，应主要注意以下几点： 1、选择口令加密传输的数据库。 2、避免直接使用超级用户，超级用户的行为不受数据库管理系统的任何约束，一旦它的口令泄露，数据库就毫无安全可言。 3、一般情况下，不要直接对外界暴露数据库，数据收发最好以存储过程的方式提供，并以最低的权限运行。 4.5 通信服务 应用程序要发送数据时，先发往本地通信服务器，再由它发往目的通信服务器，最后由目的应用主动向目的通信服务器查询、接收。 通信服务器上的通信软件除了能在业务中不重、不错、不漏地转发业务数据外，还应在安全方面具有以下特点： · 在本地应用与本地通信服务器间提供口令保护。应用向本地通信服务器发送数据或查询、接收数据时要提供口令，由通信服务器判别IP地址及其对应口令的有效性。 · 在通信服务器之间传输密文时，可以采用SSL加密方式。如果在此基础上更再增加签名技术，则更能提高通信的安全性。 · 在通信服务器之间也提供了口令保护。接收方在接收数据时，要验证发送方的IP地址和口令，当出现IP地址无效或口令错时，拒绝进行数据接收。 · 提供完整的日志记录和分析。日志对通信服务器的所有行为进行记录，日志分析将对其中各种行为和错误的频度进行统计。 综上所述，网络安全问题是一个系统性、综合性的问题。我们在进行网络建设时不能将它孤立考虑，只有层层设防，这个问题才能得到有效的解决。我们还应看到，像其他技术一样，入侵者的手段也在不断提高。在安全防范方面没有一个一劳永逸的措施，只有通过不断地改进和完善安全手段，才能保证不出现漏洞，保证网络的正常运转。 5 网络管理 在大型的网络系统中，网络管理很重要。好的网络管理软件可以减少费时的设置环节，节省管理时间。由于Intel 550系列路由交换机免费配送了著名的Intel® Device View v2.0网管软件，所以我们选用Intel® Device View v2.0。 英特尔® Device View V2.0是一款基于因特网和Windows的全面的设备管理工具，可用于安装、配置和监控支持SNMP的英特尔网络设备，其中包括英特尔 Express交换机。英特尔 Device View易于使用，减少了费时的设置环节，并使众多曾经需要人工安装的详细配置工作自动进行，从而节省了管理时间。而直观的界面更可以图形化方式显示英特尔网络设备，使管理更加简单。 6 具体方案实施 在此方案中，我们将两台英特尔公司企业级路由交换机550T做为网络主干，对每台550T都配置一块1000SX千兆模块作为冗余连接，保证主干交换机与主干交换机之间、主干交换机与服务器之间、主干交换机与边缘交换机之间都能够相互冗余容错。服务器和边缘交换机都通过双线路连接到主干交换机550T上，对主干100M端口也同样到了容错。这样不但增加了网络带宽，还做到了边缘交换机和主干交换机的完全冗余。同时为主干交换机增加冗余电源模块，增强主干交换机的可靠性。 桌面交换机采用Intel Express 510T Switch,其7.2GBPS的高速处理背板，为数据处理提供了无堵塞、无碰撞的交换通路，而且具有足够的端口密度。利用可选模块，该款24端口交换机可扩展至多达32端口，将专用快速以太网性能扩展到桌面。另外我们通过冗余百兆线路，将边缘交换机连接到两台550T上，使整个网络系统达到了高级别的冗余的同时，还获得了高度可靠的网络核心。 在外部访问子网中，主要是提供WWW、FTP、E-MAIL等服务，我们采用Intel Express 520T Switch作为主干交换机。在安全方面，Intel Express 520T Switch分别通过两台Cisco Secure PIX防火墙来连接内部业务子网以及外界广域网。 内部业务子网的安全通过一台Cisco Secure PIX 515-UR防火墙来提供安全保护，Cisco Secure PIX 515-UR通过2个10/100兆以太网接口使用两条百兆线路来分别连接两台550T主干交换机，再通过一个10/100BaseT以太网口使用另一条百兆线路连接到外部访问子网的520T交换机。所有访问内部业务子网的连接和数据传输都要经过Cisco Secure PIX 515-UR的许可与控制。外部访问子网的安全也由一台Cisco Secure PIX 515-UR防火墙来进行安全保护。这台Cisco Secure PIX 515-UR通过增加模块达到4个10/100兆以太网接口，其中一个口连接到外部访问子网的520T交换机上，另外3个接口分别连接2台路由器和1台远程访问服务器。外界所有访问医保中心网络的连接，都要经过这台防火墙的安全策略的控制。 在广域网连接方面，我们采用1台Cisco 3660路由器搭载网络模块NM-1CE1U连接到2M DDN线路上，专供大型参保机构接入。Cisco 3660路由器内置了冗余电源，并支持网络模块热插拔，方便在线维护。同时Cisco 3660路由器支持6个模块插槽，有很强的扩充能力。Cisco 3660路由器具备AIMCopr硬件压缩功能。我们通过Cisco 3660路由器上固定100M 快速以太网接口连接到PIX 515-UR防火墙10/100M快速以太网接口上，提供安全保护。 与Internet的连接，通过采用1台Cisco 3640路由器搭载网络模块NM-1CE1U 连接到ISP提供的128K DDN线路上，提供给参保用户通过因特网来访问。通过Cisco 3640路由器上增加的LAN模块NM-1FE-TX快速以太网接口连接到PIX 515-UR的10/100M 快速以太网接口上，提供安全保护。Cisco 3640路由器支持4个模块插槽，有较好的扩充能力。 对远程访问服务，采用1台Intel LanRover D56远程访问服务器配置1块24个56Kbps数据调制解调器模块，同时提供24个吞吐量高达56Kbps的访问连接，并且通过10/100M 快速以太网接口连接到PIX 515-UR防火墙上，提供安全保护。Intel LanRover D56远程访问服务器最大可支持36个数据调制解调器，并可配备T1/E1/PRI接口，具备一定的扩展能力。 6.1 方案特点分析 ● 本套方案最大特点在于，在享受550T高容量背板的同时，充分的做到了网络主干的冗余。不管是服务器网卡、千兆模块、还是百兆交换机的上连端口，或是任意一条光纤通道。一旦出现了问题，系统都会自动切换，无须人为干预，且不会造成系统的中断。 ● 采用英特尔公司的550T作为网络主干交换机，利用Intel 550T 40Gbps交叉交换通路，为数据处理提供了高带宽的处理通道。 ● 550T Switch这种交换机能够在所有百兆端口同时提供无堵塞的100Mbps性能，交叉交换结构还增强了出错冗余能力。避免了单台交换机或单条线路出错的现象。由于数据包以并行方式同时传输给所有端口，因此不会发生单个端口失效的情况。在550T上，除了支持千兆模块外，还可对Fast Ethernet模块进行支持，以解决对高端口密度的需求。 ● 英特尔的550T路由式交换机，支持Layer--3交换，最多可以划分2048个VLANS，可以大大增加网络的安全性、可管理性并减小网络压力。在Layer2与Layer3之间的交换提供全线速，最大可达到47.5Mpps，IP数据包每秒的包转发率高达4750万个。 ● 我们采用两条线路将510T Switch与主干550交换机通过百兆模块进行100M连接。这样我们可通过 Spanning tree 技术实现英特尔的ES550 100M端口的冗余容错。 ● 另外，550T的自适应技术根据每个端口当前的流量选择最佳的交换模式，通过这种动态的调节，不断在最大的交换速度和最小的误码传播之间寻求平衡，从而达到改善整个网络的效率和性能的目的。每个端口均可设置为全双工、实现流量控制和包转发从终端到干线。支持port-BasedVLANS，允许用户分割网络资源以提高性能、增强安全性和更有效的分配资源。支持8164个MAC 地址，具有Layer 3 Switching的功能。 ● 桌面交换机采用Intel Express 510T Switch,每个端口均为10/100M自适应，支持全双工和流控制。 因此，无论是以10Mbps,还是100Mbps运行，均可为其提供专用的带宽。 ● 路由器采用Cisco 3660和3640,均通过10/100M自适应端口经硬件防火墙与中心网络连接，支持全双工和流控制。模块结构能支持广泛的网络模块以便灵活的更改规模。整套Cisco IOS软件具有增强的安全特性，用户辨别和扩展Access List只允许获准的流量进入网络，它应用事件登记和审查踪迹、编码、和虚拟专有网络透纳等技术提高网络的安全，降低了WAN服务成本，增加多媒体支持，以及确保在Cisco路由器之间通力合作。数据压缩和多个流量优先技术确保重要数据的整体性。 ●承袭屡获殊荣的LanRover™ Access Switch 接入交换机的设计理念，LanRover D56 拨号服务器以业界领先的设计提供了一致的性能，即使满负荷运行，服务器也可从容应付。其独一无二的非阻塞体系结构可确保缓冲、带宽和系统资源能够随时服务于所有用户。通过将处理能力分散到关键性能广域网和数字调制解调器接口组件中，LanRover D56 拨号服务器保持了一致的性能。 ● 整个网络通过Intel Device View网络管理软件提供了台式机上简单易行的管理交换机的方法。管理和网络故障分析也是直观方便的。通过单击图形表示，一组交换机可以作为一个交换机进行管理。使用交换机内建的RMON 和SNMP,能够监视每个端口的性能。使用简洁的、用户自定义的统计图，还可以监视网络流量以及分析流量的发展趋势。 6.2 网络实现效果 ● 网络主干采用Intel 550T 百兆冗余路由交换机和Intel 510T交换机构建主干，实现了网络主干100全交换冗余结构，每台工作站独享10/100M数据带宽。 ● 整个网络吞吐能力强、指标、容错性能好、兼容性高，而且具有投资上的可行性及技术上的先进性，并为未来网络技术升级作好充分准备。 · 服务器、网络平台等均实现了冗余容错。 · 提供了DDN、Internet、PSTN等多种途径访问网络。 · 内外网通过两道防火墙安全隔离，提供强大的安全防护。 ● 全线网络产品可通过网管软件实现统一管理和监控。 事件窗口 查看所有错误信息 系统标签 查看设备发生的所有主要事件的工作日志 陷阱窗口 在发生网络事件时接收通告 诊断窗口 查看由设备发出的诊断信息 � EMBED Word.Picture.8 ��� 设备视图 利用图形化视图配置和管理您的设备 浏览器视图 在可伸缩的树状结构中查看设备信息 设备树 轻松查看您的所有网络设备