PPPOE技術在醫(yī)院多VLAN網(wǎng)絡管理中的應用

巴江波，陳江，淡攀東，涂偉，胡中園

華中科技大學同濟醫(yī)學院附屬荊州醫(yī)院信息科，湖北 荊州 434020

我院于1999年在全省率先實現(xiàn)了計算機網(wǎng)絡化管理，并逐步建成了萬兆光纖主干、千兆到桌面的醫(yī)院信息化系統(tǒng)（HIS），取得了很好的社會效益和經(jīng)濟效益。一直以來醫(yī)院網(wǎng)絡主要通過劃分IP子網(wǎng)的方式來管理網(wǎng)絡[1]，但是這種管理方式存在很多缺點：導致工作站擅自更改IP地址，使網(wǎng)絡頻繁出現(xiàn)IP地址沖突等問題；HIS工作站IP地址經(jīng)常被更改用來上網(wǎng)，工作站經(jīng)常感染病毒以至影響工作，并且對醫(yī)院數(shù)據(jù)安全帶來隱患[2]；非院內(nèi)電腦隨意接入醫(yī)院網(wǎng)絡，增加醫(yī)院網(wǎng)絡安全隱患；網(wǎng)絡中ARP攻擊嚴重，影響整個網(wǎng)絡的運行。新外科樓投入使用后，病房能夠提供上網(wǎng)服務，但通過IP方式管理將無法適應病房網(wǎng)絡管理的需要。

為了提升醫(yī)院網(wǎng)落管理水平，提高醫(yī)院網(wǎng)絡運行效率，經(jīng)過我院工作人員分析、實驗和測試，決定采用PPPOE（以太網(wǎng)上的點對點協(xié)議）技術虛擬撥號方式來管理醫(yī)院網(wǎng)絡。我院從2008年1月開始使用PPPOE方式來實現(xiàn)Internet訪問，截止到2012年10月，通過4年多的運行，現(xiàn)達750個左右的網(wǎng)絡用戶，并且網(wǎng)絡比較穩(wěn)定。通過PPPOE方式管理醫(yī)院網(wǎng)絡，能夠大大增強醫(yī)院網(wǎng)絡對ARP攻擊的抵抗能力，更好地保障醫(yī)院的Internet連接的穩(wěn)定性；可以大大提高醫(yī)院Internet接入管理的水平，保證醫(yī)院業(yè)務工作站與數(shù)據(jù)的安全；同時能夠為病友提供更加便捷的網(wǎng)絡服務。但是2012年10月醫(yī)院網(wǎng)絡整體結構升級，全院網(wǎng)絡實現(xiàn)三層結構管理，原有虛擬撥號服務器設置無法滿足管理要求。

1 PPPOE協(xié)議及虛擬撥號技術介紹

簡單地說，PPPOE就是將以太網(wǎng)和PPP協(xié)議結合后的協(xié)議，目前廣泛應用在ADSL接入方式中[3]。PPPOE是在以太網(wǎng)上建立PPP連接，由于以太網(wǎng)技術十分成熟且使用廣泛，而PPP協(xié)議在傳統(tǒng)的撥號上網(wǎng)應用中顯示出良好的可擴展性和優(yōu)質(zhì)的管理控制機制，二者結合而成的PPPOE協(xié)議得到了寬帶接入運營商的認可并被廣為采用[4]。通過PPPOE技術，我們就可以實現(xiàn)高速寬帶網(wǎng)的個人身份驗證訪問，為每個用戶創(chuàng)建虛擬撥號連接，這樣就可以高速連接到Internet。

虛擬撥號技術在接入Internet時同樣需要輸入用戶名與密碼，它是利用PPPOE協(xié)議接入虛擬專網(wǎng)的。利用虛擬撥號技術做接入管理需要PPPOE撥號服務器和客戶端撥號軟件等運行環(huán)境[5]。本項目中撥號服務器采用MikroTik RouterOS 5.20 系統(tǒng)作為運行平臺。RouterOS系統(tǒng)是一款基于Linux的路由器操作系統(tǒng)，通過該軟件將標準的PC電腦變成專業(yè)路由器，是一套低成本，高性能的路由器系統(tǒng)，功能強大，擁有幾乎所有硬件路由具有的功能[6]。本項目只選用了它的PPPOE Server功能。PPPOE撥號服務器主要任務是用戶帳號管理、用戶認證、路由轉(zhuǎn)換等功能。

2 二層網(wǎng)絡下ROUTEROS的配置

在二層網(wǎng)絡下ROUTEROS的配置主要包括ROUTEROS的安裝、網(wǎng)卡IP配置、配置PPPOE-Server、配置NAT、為路由器配置默認路由和流量控制等步驟?？蛻舳藱C器可以使用WINDOWS XP自帶的PPPOE撥號工具即可[7]。

2.1 ROUTEROS的安裝

ROUTEROS已經(jīng)和Linux結合在一起，系統(tǒng)對硬件要求不高，基本是自動安裝、比較簡單。我院服務器配置，見表1。

表1 服務器配置表

2.2 ROUTEROS的基本配置

將外網(wǎng)（外網(wǎng)IP地址由ISP商提供，本文設為219.138.6.*/24）連接到網(wǎng)卡1（WAN），WAN IP地址設置為219.138.6.*/24，內(nèi)網(wǎng)網(wǎng)卡（LAN）用于PPPOE Server，不設置IP地址。

ROUTEROS的PPPOE Server 配置大致可分5個步驟：PPPOE虛擬撥號用戶設置一個IP地址池，用于給客戶動態(tài)分配IP地址；添加一個PPP profile，設置一個路由器IP地址，以使客戶可以從IP POOL中獲取IP地址；添加PPPOE撥號用戶，用戶可以使用用戶名和口令進行撥號；添加PPPOE Server服務；配置NAT。

客戶端機器可以使用WINDOWS XP自帶的PPPOE撥號工具或者安裝一款PPPOE虛擬撥號軟件

3 ROUTEROS在三層網(wǎng)絡中的問題及解決方法

當醫(yī)院網(wǎng)絡實現(xiàn)多VLAN的三層結構管理后，ROUTEROS服務器只能對內(nèi)網(wǎng)網(wǎng)卡所在VLAN提供PPPOE服務，未能實現(xiàn)跨VLAN應用。

由于三層網(wǎng)絡中內(nèi)網(wǎng)的跨VLAN訪問需要通過網(wǎng)絡，如果用PPPOE撥號后，系統(tǒng)默認路由改為虛擬網(wǎng)絡的路由，以至于院內(nèi)跨VLAN的業(yè)務無法正常運行。部分機器使用靜態(tài)路由實現(xiàn)上述功能，但是系統(tǒng)配置較繁瑣，維護工作量大。

經(jīng)過分析、實驗和測試，通過在ROUTEROS添加多VLAN服務和回程路由設置等可以有效解決上述問題。

3.1 交換機配置

我院核心交換機采用H3C S12580，接入層交換機采用H3C S5120系列。在核心交換機上增加一個VLAN，用于ROUTEROS內(nèi)網(wǎng)網(wǎng)卡與院內(nèi)局域網(wǎng)通訊，并配置增加并允許VLAN30到VLAN40建立撥號連接。

3.2 三層網(wǎng)絡下ROUTEROS的配置

在三層網(wǎng)絡中，撥號服務器設置需要做部分調(diào)整：內(nèi)網(wǎng)網(wǎng)卡地址設置為10.101.80.100，使ROUTEROS服務器能夠與核心交換機通訊；增加允許PPPOE服務的VLAN（VLAN30到VLAN40）；在每個VLAN中增加相應VLAN內(nèi)的PPPOE服務，用于提供撥號連接服務，并配置內(nèi)網(wǎng)NAT和回程路由。

4 日常管理

PPPOE-Server的日常管理主要是通過WINBOX來實現(xiàn)。在醫(yī)院網(wǎng)絡管理工作站上，通過PPPOE協(xié)議與PPPOE服務器連接后，輸入內(nèi)網(wǎng)管理IP地址，可以下載GUI配置工具WINBOX，運行WINBOX并登錄可以進行服務器配置，包括添加PPPOE帳號、新的IP地址池、帶寬管理等，并可以監(jiān)視網(wǎng)絡運行狀況[8]。PPPOE-Server日常管理主要包括用戶組管理、用戶管理、帶寬管理等。

按照醫(yī)院網(wǎng)絡用戶的不同可以將醫(yī)院網(wǎng)絡帳號分為業(yè)務組、辦公組和患者組等。根據(jù)不同的工作組，管理人員可以設定不同的IP地址池，并按不同的規(guī)則限制用戶帶寬、用戶有效期、網(wǎng)絡使用限制等。

4.1 用戶管理

用戶賬號的管理是該系統(tǒng)維護的主要功能。通過圖形化的WINBOX工具，管理員能夠方便快捷的管理用戶的賬號、密碼、用戶功能分組和地址綁定等（圖1）。在用戶管理中Service中能夠維護用戶能夠調(diào)用的服務的類別，一般默認選擇“PPPOE”，使用戶只能夠使用該服務；管理員通過對“Caller ID”的維護能夠綁定該用戶賬號使用機器的MAC地址，防止發(fā)生一個賬號在多點登錄的問題，提高管理的效率；設定用戶“Profile”屬性，能夠為不同的用戶分配到不同的地址池，管理員通過對不同地址池的帶寬限制實現(xiàn)帶寬的管理。

圖1 用戶管理

4.2 用戶帶寬管理

醫(yī)院利用該平臺接入網(wǎng)絡的總用戶數(shù)在750個左右，高峰時段同時在線數(shù)約450個左右，但是醫(yī)院出口總帶寬只有100 M，為保障網(wǎng)絡資源的合理分配，用戶帶寬的管理至關重要。

管理員在系統(tǒng)中根據(jù)醫(yī)院業(yè)務的類別設置多個地址池，用戶調(diào)用不同的Profile可以獲得不同地址池中不同網(wǎng)段的IP地址。Profile相同的用戶在接入時取得的IP不同，但是都在同一的網(wǎng)段內(nèi)，通過對該段網(wǎng)絡地址的限速能夠?qū)崿F(xiàn)對不同用戶和用戶組限制速度的目的。利用Winbox中“Queue”能夠?qū)Σ煌腎P地址限定不同的上行、下行以及用戶允許接入時段等限制（圖2）。管理員也能夠通過編寫限速腳本的方式，快速批量的增加限速規(guī)則。

圖2 網(wǎng)絡帶寬管理

4.3 網(wǎng)絡應用管理

醫(yī)院網(wǎng)絡應用的特點是并發(fā)應用數(shù)多，關鍵性業(yè)務對系統(tǒng)穩(wěn)定性要求高。雖然實現(xiàn)了帶寬的限制，但是在運行過程中，管理員發(fā)現(xiàn)大量類似迅雷、電驢和BT等P2P下載工具，以及網(wǎng)絡視頻播放軟件長時間大量占用網(wǎng)絡資源，嚴重影響業(yè)務運行。在RouterOS中通過防火墻的應用，能夠?qū)ο螺d軟件限制下載線程數(shù)，甚至限制使用部分下載工具，達到限制下載速度的目的；利用防火墻，管理員也能夠方便地對視頻網(wǎng)站、聊天工具等軟件進行限制[9]。

4.4 網(wǎng)絡運行監(jiān)測

系統(tǒng)運行過程中，管理員通過Winbox能夠方便快捷的監(jiān)控網(wǎng)路運行狀況，及時發(fā)現(xiàn)資源異常占用情況，及時與使用者溝通以保證網(wǎng)絡的正常運行。在VLAN管理模塊中，管理員能夠?qū)崟r監(jiān)測各VLAN占用帶寬的情況（圖3），必要時調(diào)整VLAN的設置情況；在Interface模塊中，管理員能夠?qū)崟r監(jiān)測個用戶帶寬占用情況（圖4），對長時間高帶寬占用的用戶可以及時管理，實現(xiàn)資源的合理化利用。通過分析帶寬使用的情況，管理員也能夠適時的調(diào)整限速的策略等，提高資源利用率。

圖3 各WLAN運行情況監(jiān)控

圖4 用戶帶寬使用狀態(tài)監(jiān)控

系統(tǒng)數(shù)據(jù)的備份也是日常管理中的一項重要環(huán)節(jié)。在運行過程中，管理員每個月對系統(tǒng)做一次完整的備份。

5 系統(tǒng)運行情況及分析

我院網(wǎng)絡實行三層網(wǎng)絡管理，并于2012年10月開始運用上述PPPOE多VLAN解決方案后，醫(yī)院網(wǎng)絡運行基本穩(wěn)定，滿足了業(yè)務、管理部門和病房等多部門的需求，取得較好效果。

在使用PPPOE撥號前，我院采用IP地址及NAT轉(zhuǎn)換的方式實現(xiàn)網(wǎng)絡的接入，部分醫(yī)護工作站的工作人員為了能夠上網(wǎng)，經(jīng)常參照其他機器修改機器IP地址，極易引起地址沖突。2008年前技術人員每天平均需要處理類似問題5起以上，同時管理人員也無法清楚掌握醫(yī)院網(wǎng)路使用情況，用戶大量使用P2P等工具下載，無法控制分類控制用戶帶寬。在采用該管理模式后，特別是采用多VLAN下PPPOE管理模式后，網(wǎng)絡認證方式改為用戶名和密碼方式，與IP地址無關，每個賬號與機器MAC地址綁定，工作人員基本不再修改機器IP地址，基本杜絕了IP地址沖突。通過引入用戶組的概念，通過用戶組的性質(zhì)及實際需求設定不同的帶寬管理，限制單機器所占用的最大帶寬數(shù)。在該項目應用中設定3個用戶組:服務器區(qū)組，帶寬不做設置；管你員組，帶寬限制為4 M；一般用戶組，帶寬限制2M。帶寬管理后，全院在總帶寬100 M不變的情況下，全院上網(wǎng)速度一直保持平穩(wěn)。通過WINBOX管理工具，可以很直觀地監(jiān)測各VLAN下連入網(wǎng)絡的用戶及負載，能夠為VLAN的規(guī)劃及帶寬的控制提供直觀的依據(jù)。

6 總結

通過采用PPPOE方式管理醫(yī)院網(wǎng)絡，大大增強了醫(yī)院網(wǎng)絡對ARP攻擊的抵抗能力，更好地保障了醫(yī)院的Internet連接的穩(wěn)定性，提高了Internet接入管理的水平，保證了醫(yī)院業(yè)務工作站與數(shù)據(jù)的安全；同時能夠為病友提供更加便捷的網(wǎng)絡服務；能夠方便的實現(xiàn)網(wǎng)絡用戶的帶寬管理。通過回程路由的設定，能夠有效地解決醫(yī)院業(yè)務網(wǎng)與Internet連接的同時，滿足了部分特殊部門的要求；通過ROUTEROS為各個VLAN提供相應的的PPPOE服務，能夠有效區(qū)分不同VLAN的網(wǎng)絡功能，并能有效監(jiān)控各VLAN內(nèi)連網(wǎng)情況，有利于網(wǎng)絡管理。

但是通過回程路由訪問醫(yī)院院內(nèi)業(yè)務VLAN，增加了路由的負擔，同時也降低了業(yè)務訪問的效率，對ROUTEROS服務器的硬件要求提出了更高的要求。

[1]康伯峰,張侃懷.中小醫(yī)院網(wǎng)絡安全管理的體會[J].西南國防醫(yī)藥,2014,24(1):96-97.

[2]姚晶.醫(yī)院網(wǎng)絡管理與維護[J].醫(yī)療裝備,2014,27(2):78-79.

[3]唐俊,趙曉娟.PPPOE協(xié)議在校園網(wǎng)安全管理中的應用[J].網(wǎng)絡安全技術與應用,2008,(12):34-35.

[4]李若嶺.PPPOE接入控制技術在學生宿舍區(qū)中的應用[J].電腦知識與技術,2008,4(30):581-582.

[5]景建篤,俞寧.Linux內(nèi)核模式下PPPOE撥號上網(wǎng)的實現(xiàn)[J].計算機應用研究,2005,22(3):258-260.

[6]黃美芝,尹文慶.利用RouterOS的NTH方法實現(xiàn)多ADSL網(wǎng)絡負載均衡[J].科學技術與工程,2009,9(17):102-107.

[7]巴江波.PPPOE技術在醫(yī)院網(wǎng)絡網(wǎng)絡管理中的應用[J].中國數(shù)字醫(yī)學,2011,6(7):80-81.

[8]楊霖,肖志新.RouterOS在多VLAN中的PPPOE解決方案[J].吉林大學學報(自然科學版),2010,31(6):43-45.

[9]蘇東出.利用RouterOS構建高校圖書館無縫網(wǎng)絡辦公系統(tǒng)[J].現(xiàn)代圖書情報技術,2009,29(11):84-86.