方工文，于 淼

1.青島市婦女兒童醫(yī)院，山東 青島 266034；

2.青島市傳染病醫(yī)院，山東 青島 266033

0 前言

隨著醫(yī)院規(guī)模的不斷擴(kuò)大以及醫(yī)院信息化建設(shè)的快速發(fā)展，醫(yī)院局域網(wǎng)客戶(hù)端計(jì)算機(jī)的數(shù)量急劇增加，IP地址分配增多，導(dǎo)致醫(yī)院局域網(wǎng)IP地址沖突或被盜用的現(xiàn)象時(shí)有發(fā)生，已經(jīng)嚴(yán)重影響醫(yī)院內(nèi)部網(wǎng)絡(luò)正常運(yùn)作。如何快速發(fā)現(xiàn)沖突主機(jī)的物理位置，提高解決IP地址沖突問(wèn)題的效率，恢復(fù)網(wǎng)絡(luò)正常運(yùn)行，已成為亟待解決的問(wèn)題。

1 醫(yī)院局域網(wǎng)發(fā)生IP地址沖突的原因及解決方案

1.1 發(fā)生IP地址沖突的原因

醫(yī)院局域網(wǎng)一般使用靜態(tài)分配IP地址，常見(jiàn)的IP地址沖突原因，主要有以下幾種：① 醫(yī)院局域網(wǎng)內(nèi)客戶(hù)端計(jì)算機(jī)維修調(diào)試時(shí)，使用臨時(shí)IP地址；② 醫(yī)院網(wǎng)絡(luò)管理員或終端操作員根據(jù)網(wǎng)絡(luò)管理員提供的參數(shù)進(jìn)行IP地址設(shè)置時(shí)，由于疏忽造成參數(shù)輸錯(cuò)；③ 醫(yī)院終端操作員對(duì)于IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等參數(shù)如何設(shè)置并不清楚，但無(wú)意修改了相關(guān)信息；④ 也不排除醫(yī)院終端操作員盜用他人的IP地址，造成IP地址沖突。

1.2 解決方案

通過(guò)對(duì)造成IP地址沖突的可能原因和途徑進(jìn)行分析后，制定出相應(yīng)的解決方案，現(xiàn)在比較常用的解決方案主要是根據(jù)TCP/IP的層次結(jié)構(gòu)來(lái)避免IP地址沖突。

1.2.1 禁止用戶(hù)修改IP地址

為防止用戶(hù)隨意更改IP地址，可以通過(guò)修改netman.dll、netshell.dll、netcfgx.dll等3個(gè)文件實(shí)現(xiàn)隱藏計(jì)算機(jī)桌面的本地連接圖標(biāo)，使用戶(hù)找不到修改IP地址入口，進(jìn)而達(dá)到保護(hù)目的。

1.2.2 采用靜態(tài)路由技術(shù)

采用靜態(tài)路由技術(shù)，即IP-MAC地址綁定技術(shù)。在交換機(jī)上將所有終端計(jì)算機(jī)IP-MAC設(shè)置靜態(tài)ARP表項(xiàng)中，對(duì)于不存在于靜態(tài)ARP表項(xiàng)中的IP-MAC，使路由器不會(huì)轉(zhuǎn)發(fā)數(shù)據(jù)包，從而解決IP地址沖突問(wèn)題。

2 基于SNMP協(xié)議解決IP沖突的技術(shù)與實(shí)施

SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，主要用來(lái)管理通信線路。SNMP的網(wǎng)絡(luò)管理由3部分組成，即管理信息庫(kù)MIB、管理信息結(jié)構(gòu)SMI和SNMP本身。

2.1 MIB-II管理信息庫(kù)

MIB-II庫(kù)主要記錄了端口信息、網(wǎng)絡(luò)設(shè)備基本信息、各層通信狀態(tài)等內(nèi)容。網(wǎng)絡(luò)管理員可以通過(guò)SNMP協(xié)議查看相應(yīng)的信息。本文主要用到MIB-II庫(kù)IP組中的ipNetToMediaTable，可以實(shí)時(shí)讀取網(wǎng)絡(luò)設(shè)備的ARP表項(xiàng)中的IP-MAC信息。

2.2 BRIGDGE-MIB庫(kù)

BRIGDGE-MIB主要記錄了連接到網(wǎng)絡(luò)設(shè)備的主機(jī)MAC地址和設(shè)備端口的對(duì)應(yīng)關(guān)系。通過(guò)該關(guān)系可以清楚知道指定MAC地址使用該設(shè)備的端口號(hào)。本文主要用到MIB-II庫(kù)IP組中的dot1dTPFdbTable，可以實(shí)時(shí)讀取交換機(jī)MAC-PORT信息。

2.3 實(shí)施過(guò)程

由于我院網(wǎng)絡(luò)是按照核心層、匯聚層、接入層來(lái)構(gòu)建的。在匯聚層上的網(wǎng)絡(luò)設(shè)備（路由器或者三層交換機(jī)）上讀出ARP（IP-MAC）信息，然后在接入層的網(wǎng)絡(luò)設(shè)備上讀出MAC-PORT信息，可以通過(guò)比較兩者M(jìn)AC信息確定IP-MAC-PORT信息。將實(shí)時(shí)的IPMAC-PORT信息與合法的用戶(hù)數(shù)據(jù)庫(kù)中的IP-MACPORT做比較，若兩者不一致，則表明有IP地址發(fā)生沖突的現(xiàn)象，并且可以根據(jù)沖突者的MAC信息，定位出沖突者接入層網(wǎng)絡(luò)設(shè)備的端口，再通過(guò)SNMP協(xié)議的SET命令把沖突者的端口封掉，從而有效阻止IP地址的沖突。

實(shí)施方案以IP-MAC-PORT的映射關(guān)系為依據(jù)，判斷IP地址是否發(fā)生沖突。具體流程，見(jiàn)圖1。

圖1 解決IP地址沖突實(shí)施方案流程

3 結(jié)束語(yǔ)

基于SNMP協(xié)議解決IP沖突解決方案，有效地監(jiān)控和隔離IP沖突用戶(hù)，解決了IP地址沖突對(duì)醫(yī)院局域網(wǎng)的合法用戶(hù)正常使用網(wǎng)絡(luò)的影響，維護(hù)了醫(yī)院局域網(wǎng)正常的運(yùn)行秩序。

[1] 秦剛,李俊.基于SNMP的網(wǎng)絡(luò)設(shè)備監(jiān)視系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用,2003,39(13):197-199.

[2] 張震江,季磊.大型醫(yī)院IP地址沖突問(wèn)題的快速解決方法探析[J].醫(yī)療衛(wèi)生裝備,2008,29(2):42-44.

[3] 徐其興.計(jì)算機(jī)組網(wǎng)技術(shù)與配置[M].北京:高等教育出版社,2007.

[4] 劉敏涵,王存祥.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].西安:西安電子科技大學(xué)出版社,2007.

[5] Lincoln D.Stein.Network Programming with Perl[M].New Jersey:Addison Wesley,2002.

[6] (美)Mark A.Miller.用SNMP管理互聯(lián)網(wǎng)絡(luò)[M].晏明峰,等.譯.北京:中國(guó)電力出版社,2001.

[7] 黃影,吳飛.基于HIS的安全數(shù)據(jù)交換系統(tǒng)的研究與實(shí)現(xiàn)[J].中國(guó)醫(yī)療設(shè)備,2011,26(9):45-47.