傅效群

利用基于端口的DHCP技術(shù)實現(xiàn)方便安全的住院患者上網(wǎng)服務(wù)

傅效群

目的：在醫(yī)院病房構(gòu)建患者因特網(wǎng)接入系統(tǒng)，實現(xiàn)住院患者即插即用的上網(wǎng)方式，并且可以對其上網(wǎng)行為進行審計。方法：采用Cisco 3560作為匯聚交換機，Cisco 2960作為接入交換機構(gòu)建系統(tǒng)網(wǎng)絡(luò)。在接入交換機上使用Cisco交換機的基于端口的DHCP、保護端口和VLAN技術(shù)，實現(xiàn)同一端口接入的計算機始終獲得DHCP服務(wù)、分配固定IP地址的功能。在網(wǎng)絡(luò)出口處部署Microsoft ISA 2006代理服務(wù)器，完成NAT和記錄上網(wǎng)日志。結(jié)果：通過使用該系統(tǒng)，患者只需插上網(wǎng)線就可以上網(wǎng)，代理服務(wù)器日志根據(jù)源IP地址記錄患者的上網(wǎng)操作。結(jié)論：該上網(wǎng)系統(tǒng)可以解決有線網(wǎng)環(huán)境下患者方便快捷上網(wǎng)的問題，同時可實現(xiàn)對患者的上網(wǎng)行為進行審計。

DHCP；住院患者；上網(wǎng)服務(wù)；安全

0 引言

目前，因特網(wǎng)已經(jīng)深入人類生活的各個方面。在醫(yī)院里，不僅是工作人員需要上網(wǎng)，住院患者如果身體條件允許也希望醫(yī)院有上網(wǎng)服務(wù)[1]。筆者以前所在的醫(yī)院建立了國際醫(yī)療中心，向高端人群提供特需醫(yī)療服務(wù)，所有的住院患者享有單獨的病房。國際醫(yī)療中心的病區(qū)部署了無線網(wǎng)和有線網(wǎng)。無線網(wǎng)實現(xiàn)了床旁覆蓋，醫(yī)護人員可以在床旁進行病歷瀏覽和醫(yī)囑執(zhí)行記錄等醫(yī)療工作[2]。每間病房都預(yù)留了多個有線網(wǎng)絡(luò)接口，接入層的網(wǎng)絡(luò)設(shè)備采用Cisco 2960二層交換機，匯聚層是Cisco 3560三層交換機。為了保證醫(yī)療安全，醫(yī)院的醫(yī)療網(wǎng)和因特網(wǎng)是完全物理斷開的2套網(wǎng)絡(luò)。病區(qū)的無線網(wǎng)已經(jīng)用于醫(yī)療網(wǎng)，所以，病房的因特網(wǎng)接入只能采用有線方式。在醫(yī)院提供因特網(wǎng)服務(wù)，主要需考慮接入的方便性和安全性。方便性就是讓只會簡單使用計算機的普通患者插上網(wǎng)線就可以上網(wǎng)，不需要繁瑣的網(wǎng)絡(luò)配置?；颊呤橇鲃拥?，如果上網(wǎng)配置復(fù)雜，新來的患者便都需要護士教會其配置上網(wǎng)參數(shù)，患者和護士都會感到不方便。安全性是指系統(tǒng)防御內(nèi)部和外部的破壞操作，更重要的是，系統(tǒng)要有用戶上網(wǎng)的審計功能，出現(xiàn)問題時便能夠追查到是何人、何時操作的。

1 DHCP技術(shù)

動態(tài)主機配置協(xié)議（dynamic host configuration protocol，DHCP）工作在OSI的應(yīng)用層，是一種幫助計算機從指定的DHCP服務(wù)器獲取配置信息的自舉協(xié)議。DHCP采用客戶端服務(wù)器模式，請求配置信息的為客戶端，提供配置信息的是服務(wù)器。服務(wù)器可以為客戶機自動分配IP地址、子網(wǎng)掩碼以及缺省網(wǎng)關(guān)、DNS服務(wù)器的IP地址等TCP/IP參數(shù)[3]。協(xié)議的工作方式如圖1所示。

圖1 DHCP協(xié)議的工作方式示意圖

2 基于端口的DHCP技術(shù)

基于端口的DHCP技術(shù)是Cisco IOS 12.2（46）SE版本開始提供的一項新技術(shù)。該技術(shù)可以讓DHCP服務(wù)器根據(jù)DHCP客戶端連接的交換機端口分配其固定的IP地址，也就是說任何客戶端，只要采用DHCP地址分配方式，連接到同一交換機的同一端口都將獲得固定的IP地址。其實現(xiàn)的原理是：當(dāng)DHCP客戶端請求和續(xù)訂IP地址時，它們會發(fā)送自己的客戶端標(biāo)志和MAC地址到DHCP服務(wù)器作為唯一標(biāo)志符。這使得DHCP服務(wù)器可以跟蹤分配的地址，也就是說在IP地址租約到期、用戶再次申請時，地址不發(fā)生改變。在使用基于端口的DHCP服務(wù)時，DHCP服務(wù)收到客戶端DHCPDISCOVER報文，會忽略客戶端的客戶端標(biāo)志和MAC地址，而采用訂閱標(biāo)志（subscriber id）來分配IP地址[4]。訂閱標(biāo)志可以用交換機簡寫的端口名稱表示，如“Fa0/1”、“Fa0/2”等。在具體配置交換機的時候，需設(shè)置好訂閱標(biāo)志和IP地址的一一對應(yīng)關(guān)系，這樣交換機就可以為每個端口連接的DHCP客戶端分配固定的IP地址?；诙丝诘腄HCP技術(shù)只能在每臺接入交換機單獨起作用，網(wǎng)絡(luò)中有多臺接入交換機時，就需要在每臺接入交換機分別配置[5]。

使用基于端口的DHCP技術(shù)的優(yōu)點是：客戶端不需要配置IP地址，系統(tǒng)就可以根據(jù)IP地址定位網(wǎng)絡(luò)中的客戶端[6]。

3 系統(tǒng)的組成和功能

住院患者因特網(wǎng)接入系統(tǒng)由接入交換機、匯聚交換機和代理服務(wù)器組成，如圖2所示。

圖2 系統(tǒng)結(jié)構(gòu)示意圖

患者用計算機可以是醫(yī)院配置的固定的臺式計算機，也可以是患者自備的便攜式計算機[7]。

接入交換機采用的是Cisco 2960二層接入交換機。每個單獨的接入交換機都是一個DHCP服務(wù)器，啟用基于端口的DHCP功能，可為其連接的計算機分配IP地址。因為每個交換機端口分配的地址固定，而交換機的端口對應(yīng)病房，這樣即可以做到IP地址與病房對應(yīng)。IP地址的分配原則是：一個交換機24個或48個端口使用1個C類地址，以方便IP地址管理和交換機配置；并且在每個接入端口應(yīng)用安全策略，以保證網(wǎng)絡(luò)安全穩(wěn)定地運行。同時不同的接入交換機劃分到不同的VLAN中，實現(xiàn)不同交換機之間的通信隔離。

匯聚交換機采用的是Cisco 3560三層交換機。完成不同VLAN間的路由訪問控制功能。

代理服務(wù)器使用的是Microsoft ISA 2006，完成NAT和防火墻功能。同時啟用ISA防火墻日志和Web代理日志，實現(xiàn)用戶上網(wǎng)的審計功能。ISA 2006的日志可以記錄客戶端的上網(wǎng)時間、源IP地址和訪問網(wǎng)上資源的URL等。因為系統(tǒng)使用基于端口的DHCP技術(shù)，IP地址與交換機端口對應(yīng)，管理員可以根據(jù)日志中的源IP地址確定患者什么時間訪問了哪些網(wǎng)絡(luò)。因為內(nèi)網(wǎng)是3層網(wǎng)絡(luò)，如果代理服務(wù)器和客戶端的計算機不在同一個2層網(wǎng)絡(luò)，代理服務(wù)器便只能記錄到內(nèi)網(wǎng)網(wǎng)關(guān)的MAC地址。所以，ISA 2006的日志沒有記錄客戶端MAC地址的功能。

系統(tǒng)各部分的運行過程如圖3所示。

圖3 系統(tǒng)運行過程圖

（1）患者連接網(wǎng)線將計算機接入系統(tǒng)網(wǎng)路，計算機發(fā)出DHCP請求。

（2）患者接入交換機，根據(jù)交換機端口分配固定的IP地址，作出DHCP響應(yīng)。

（3）患者用計算機獲得IP地址，便可以瀏覽因特網(wǎng)。發(fā)出的DNS和HTTP請求經(jīng)過接入交換機和匯聚交換機傳到ISA 2006服務(wù)器。

（4）ISA 2006服務(wù)器采用NAT技術(shù)，在網(wǎng)絡(luò)層變換源地址轉(zhuǎn)發(fā)患者用計算機發(fā)來的請求。

（5）被訪問的因特網(wǎng)服務(wù)器傳回響應(yīng)信息到ISA 2006服務(wù)器。

（6）ISA 2006服務(wù)器記錄日志，日志信息包括日志時間、目標(biāo)地址、目標(biāo)端口、協(xié)議、客戶端地址等。

（7）ISA 2006服務(wù)器向患者用計算機返回因特網(wǎng)服務(wù)器傳回的信息。

4 系統(tǒng)的安全措施

在醫(yī)院向患者提供因特網(wǎng)訪問功能時，安全問題也需要重點考慮。安全問題分2個層面：（1）系統(tǒng)

內(nèi)部和外部因特網(wǎng)之間的安全問題；（2）系統(tǒng)內(nèi)部之間的安全問題。

系統(tǒng)內(nèi)部和外部的安全問題主要是防止因特網(wǎng)上的黑客和病毒攻擊。我們采用防火墻的NAT技術(shù)保護內(nèi)網(wǎng)用戶上網(wǎng)。用戶上網(wǎng)使用私有IP，外部地址不能直接連接內(nèi)部上網(wǎng)機器，這樣就可以有效防止外部黑客的攻擊。

系統(tǒng)內(nèi)部的安全問題主要是防止用戶間的相互影響，包括IP地址沖突和內(nèi)部計算機間的相互通信造成用戶的隱私泄露。

雖然系統(tǒng)使用DHCP技術(shù)動態(tài)分配IP地址，但不能保證所有用戶都使用DCHP方式獲得IP地址，有時用戶會錯誤地指定IP地址，造成IP地址沖突，ARP病毒也會造成系統(tǒng)IP地址沖突[8]。為解決IP地址沖突的問題，系統(tǒng)采用的技術(shù)是在交換機的每個端口應(yīng)用訪問控制策略，限制只有IP地址是DHCP服務(wù)固定分給此端口的地址和IP地址是0.0.0.0的終端可以訪問網(wǎng)絡(luò)。這樣就實現(xiàn)了端口和IP地址的綁定，用戶只能使用DHCP服務(wù)分配的地址，即使用戶強制手工設(shè)置IP地址，也只能設(shè)置規(guī)定的IP地址。允許IP地址是0.0.0.0的訪問是因為DHCP客戶端在沒有得到DCHP服務(wù)器分配地址前，是用0.0.0.0的IP地址發(fā)送DHCPDISCOVER報文的。

內(nèi)部計算機間相互通信會產(chǎn)生很多安全問題，如通過Windows的文件共享查看其他計算機存儲的信息，黑客工具和計算機病毒攻擊他人的計算機，影響其上網(wǎng)。限制系統(tǒng)內(nèi)的計算機間相互通信，就是要求交換機的所有接入端口間不能相互通信。因為接入交換機都是二層交換機，簡單的辦法就是將每個接入端口都劃到不同的VLAN中去，但這樣會占用大量VLAN，系統(tǒng)的擴展性將受到限制。系統(tǒng)在2個層面上來解決這個問題：（1）限制同一交換機的接入端口相互間不能通信；（2）不同交換機間的端口不能通信。限制同一交換機的接入端口間相互通信，采用將接入端口設(shè)置成 “protected port”模式的方法，“protected port”端口不會轉(zhuǎn)發(fā)任何單播、組播或廣播包到同一交換機的其他“protected port”端口。限制不同交換機間的接入端口相互通信，采用將不同交換機的接入端口劃分到不同的VLAN中的方法，如接入交換機1的接入端口都劃分在VLAN 10中，接入交換機2的接入端口都劃分到VLAN 20中。同時在匯聚交換機上啟用訪問控制策略，限制不同VLAN間的訪問[9]。這樣就能保證所有的接入交換機的接入端口都不能相互通信。

5 接入交換機的具體配置

系統(tǒng)采用的基于端口的DHCP技術(shù)是通過接入交換機來實現(xiàn)的，所以，本文要重點說明接入交換機的配置。以一臺Cisco 2960接入交換機的配置為例，其他接入交換機的配置類似。所要配置的交換機地址規(guī)劃是Fa0/1～Fa0/24，接入端口分別使用的地址是172.16.22.1～172.16.22.24，并且這些端口都劃分在VLAN22中。接入交換機的配置主要分3個步驟：

（1）交換機全局配置。主要配置DHCP服務(wù)器的訂閱標(biāo)志，實現(xiàn)按端口名稱產(chǎn)生訂閱標(biāo)志。還要完成應(yīng)用在交換機端口的訪問控制列表配置。訪問控制列表的作用是防止用戶私設(shè)IP，造成IP地址沖突。配置命令見表1，表中的第3步和第4步僅配置了access-list 1，用在交換機端口Fa0/1上，其他端口用的訪問列表的配置類似。

表1 交換機全局配置

（2）DHCP服務(wù)配置。主要配置DHCP服務(wù)器為各端口分配的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)地址和DNS地址，具體配置見表2。

表2 DHCP配置

（3）接口配置。主要完成端口的VLAN劃分，啟用端口的保護模式，應(yīng)用訪問控制列表等。應(yīng)用這些配置，可以阻斷交換機端口間的相互通信，防止患者用計算機間通信造成的隱私泄露。Fa0/1接口的具體配置見表3，F(xiàn)a0/2～Fa0/24接口類似。

6 結(jié)語

基于端口DHCP的用戶上網(wǎng)技術(shù)在醫(yī)院的國際醫(yī)療中心已經(jīng)正式運行了一段時間，在運行過程中沒有出現(xiàn)因為網(wǎng)絡(luò)故障造成住院人員不能上網(wǎng)的情況，

也沒有出現(xiàn)因為計算機配置問題影響上網(wǎng)的情況。

表3 接口配置

該系統(tǒng)的優(yōu)點是：（1）接入計算機“0”配置，連接網(wǎng)線就可上網(wǎng)，不需要用戶管理系統(tǒng)，節(jié)約成本，方便了用戶和管理人員。（2）可以對用戶的上網(wǎng)行為進行審計，防止因特網(wǎng)安全事件發(fā)生。

該系統(tǒng)的不足為：（1）只能在有線網(wǎng)絡(luò)實施，無線網(wǎng)不能實現(xiàn)對用戶的上網(wǎng)審計。（2）對接入交換機有要求，必須是Cisco2960系列或更高檔次的交換機。（3）對網(wǎng)絡(luò)布線有要求，每個終端必須直接連接交換機，不能多個終端使用Hub連接網(wǎng)絡(luò)。（4）系統(tǒng)沒有NAC（網(wǎng)絡(luò)訪問控制）功能。因為上網(wǎng)終端是患者自備的計算機，無法要求安裝統(tǒng)一的防病毒和防火墻軟件[10]。同時，安裝NAC的客戶端對于流動的患者來說也十分不便。

今后的發(fā)展方向為：（1）可以對代理服務(wù)器的日志分析處理實現(xiàn)按流量計費的功能。（2）在資金允許的條件下，可以在網(wǎng)絡(luò)出口處安裝防病毒網(wǎng)關(guān)，實現(xiàn)統(tǒng)一的防病毒處理。

[1]胡珊，李超峰，張鑫媛，等.病房上網(wǎng)管理系統(tǒng)開發(fā)研究[J].醫(yī)學(xué)信息學(xué)雜志，2011，32（9）：26-27.

[2]翁羽，覃雙.酒店上網(wǎng)服務(wù)器設(shè)計[J].現(xiàn)代計算機：專業(yè)版，2007（8）：127-129.

[3]Ralph Droms.Dynamic Host Configuration Protocol[EB/OL].（1997-03-01）[2010-06-04].http：//www.ietf.org/rfc/rfc2131.txt.

[4]樊濱溫，崔志強.DHCP協(xié)議客戶端的實現(xiàn)[J].計算機應(yīng)用與軟件，2007，24（11）：144-146.

[5]王文龍，黃地龍.DHCP協(xié)議深入分析[J].電腦與電信，2010（4）：46-48.

[6]林澤東，王翀，張純金，等.基于改進DHCP服務(wù)器的校園網(wǎng)IP地址管理方法[J].福建電腦，2009，25（10）：25，32.

[7]Cisco Systems Inc.Cisco IOS IP Addressing Services Command Reference[EB/OL].（2010-02-01）[2012-06-15].http：//www.cisco.com/ en/US/docs/ios-xml/ios/ipaddr/command/ipaddr-cr-book.html.

[8]陳松.基于端口隔離靜態(tài)IP地址沖突防范策略[J].計算機工程與設(shè)計，2009，30（1）：69-71，79.

[9]宋繼志，王媛媛.基于MSISA 2006網(wǎng)絡(luò)流量計費系統(tǒng)[J].長春工業(yè)大學(xué)學(xué)報：自然科學(xué)版，2008，29（6）：709-712.

[10]于微偉，盧澤新，康東明，等.關(guān)于網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的分析與優(yōu)化[J].計算機工程與科學(xué)，2011，33（8）：39-44.

（收稿：2013-01-11 修回：2013-06-05）

Convenient and Safe Internet Access in Hospital by Port-based DHCP Technology

FU Xiao-qun
(Information Technology Department,Beijing Cancer Hospital,Beijing 100142,China)

To achieve plug-and-play patients access to Internet and to audit their online behaviors.Cisco 3560 was used as an aggregation switch,and Cisco 2960 was as access switches to build a system network.The technologies of DHCP,port protection and VLAN were applied to achieve the functions of constant DHCP service for the computer accessing from the same port as well as assigning fixed IP address.Microsoft ISA 2006 proxy server was deployed in the network exit to obtain NAT and record Internet log.The system realized plug-and-play patients access to Internet and online behaviors monitoring based on IP address.The system facilitates the patient access to Internet with wired network,and their online behaviors can also be audited.[Chinese Medical EquipmentJournal，2014，35（2）：60-63]

DHCP;hospital patient;Internet service;security

R318；TP311

A

1003-8868（2014）02-0060-04

10.7687/J.ISSN1003-8868.2014.02.060

傅效群（1975—），男，碩士，工程師，主要從事醫(yī)院信息化和網(wǎng)絡(luò)安全方面的研究工作，E-mail：fuxiaoqun@sina.com。

100142北京，北京腫瘤醫(yī)院信息部（傅效群）