傅效群

利用基于端口的DHCP技術(shù)實(shí)現(xiàn)方便安全的住院患者上網(wǎng)服務(wù)

傅效群

目的：在醫(yī)院病房構(gòu)建患者因特網(wǎng)接入系統(tǒng)，實(shí)現(xiàn)住院患者即插即用的上網(wǎng)方式，并且可以對(duì)其上網(wǎng)行為進(jìn)行審計(jì)。方法：采用Cisco 3560作為匯聚交換機(jī)，Cisco 2960作為接入交換機(jī)構(gòu)建系統(tǒng)網(wǎng)絡(luò)。在接入交換機(jī)上使用Cisco交換機(jī)的基于端口的DHCP、保護(hù)端口和VLAN技術(shù)，實(shí)現(xiàn)同一端口接入的計(jì)算機(jī)始終獲得DHCP服務(wù)、分配固定IP地址的功能。在網(wǎng)絡(luò)出口處部署Microsoft ISA 2006代理服務(wù)器，完成NAT和記錄上網(wǎng)日志。結(jié)果：通過(guò)使用該系統(tǒng)，患者只需插上網(wǎng)線就可以上網(wǎng)，代理服務(wù)器日志根據(jù)源IP地址記錄患者的上網(wǎng)操作。結(jié)論：該上網(wǎng)系統(tǒng)可以解決有線網(wǎng)環(huán)境下患者方便快捷上網(wǎng)的問(wèn)題，同時(shí)可實(shí)現(xiàn)對(duì)患者的上網(wǎng)行為進(jìn)行審計(jì)。

DHCP；住院患者；上網(wǎng)服務(wù)；安全

0 引言

目前，因特網(wǎng)已經(jīng)深入人類生活的各個(gè)方面。在醫(yī)院里，不僅是工作人員需要上網(wǎng)，住院患者如果身體條件允許也希望醫(yī)院有上網(wǎng)服務(wù)[1]。筆者以前所在的醫(yī)院建立了國(guó)際醫(yī)療中心，向高端人群提供特需醫(yī)療服務(wù)，所有的住院患者享有單獨(dú)的病房。國(guó)際醫(yī)療中心的病區(qū)部署了無(wú)線網(wǎng)和有線網(wǎng)。無(wú)線網(wǎng)實(shí)現(xiàn)了床旁覆蓋，醫(yī)護(hù)人員可以在床旁進(jìn)行病歷瀏覽和醫(yī)囑執(zhí)行記錄等醫(yī)療工作[2]。每間病房都預(yù)留了多個(gè)有線網(wǎng)絡(luò)接口，接入層的網(wǎng)絡(luò)設(shè)備采用Cisco 2960二層交換機(jī)，匯聚層是Cisco 3560三層交換機(jī)。為了保證醫(yī)療安全，醫(yī)院的醫(yī)療網(wǎng)和因特網(wǎng)是完全物理斷開(kāi)的2套網(wǎng)絡(luò)。病區(qū)的無(wú)線網(wǎng)已經(jīng)用于醫(yī)療網(wǎng)，所以，病房的因特網(wǎng)接入只能采用有線方式。在醫(yī)院提供因特網(wǎng)服務(wù)，主要需考慮接入的方便性和安全性。方便性就是讓只會(huì)簡(jiǎn)單使用計(jì)算機(jī)的普通患者插上網(wǎng)線就可以上網(wǎng)，不需要繁瑣的網(wǎng)絡(luò)配置?；颊呤橇鲃?dòng)的，如果上網(wǎng)配置復(fù)雜，新來(lái)的患者便都需要護(hù)士教會(huì)其配置上網(wǎng)參數(shù)，患者和護(hù)士都會(huì)感到不方便。安全性是指系統(tǒng)防御內(nèi)部和外部的破壞操作，更重要的是，系統(tǒng)要有用戶上網(wǎng)的審計(jì)功能，出現(xiàn)問(wèn)題時(shí)便能夠追查到是何人、何時(shí)操作的。

1 DHCP技術(shù)

動(dòng)態(tài)主機(jī)配置協(xié)議（dynamic host configuration protocol，DHCP）工作在OSI的應(yīng)用層，是一種幫助計(jì)算機(jī)從指定的DHCP服務(wù)器獲取配置信息的自舉協(xié)議。DHCP采用客戶端服務(wù)器模式，請(qǐng)求配置信息的為客戶端，提供配置信息的是服務(wù)器。服務(wù)器可以為客戶機(jī)自動(dòng)分配IP地址、子網(wǎng)掩碼以及缺省網(wǎng)關(guān)、DNS服務(wù)器的IP地址等TCP/IP參數(shù)[3]。協(xié)議的工作方式如圖1所示。

圖1 DHCP協(xié)議的工作方式示意圖

2 基于端口的DHCP技術(shù)

基于端口的DHCP技術(shù)是Cisco IOS 12.2（46）SE版本開(kāi)始提供的一項(xiàng)新技術(shù)。該技術(shù)可以讓DHCP服務(wù)器根據(jù)DHCP客戶端連接的交換機(jī)端口分配其固定的IP地址，也就是說(shuō)任何客戶端，只要采用DHCP地址分配方式，連接到同一交換機(jī)的同一端口都將獲得固定的IP地址。其實(shí)現(xiàn)的原理是：當(dāng)DHCP客戶端請(qǐng)求和續(xù)訂IP地址時(shí)，它們會(huì)發(fā)送自己的客戶端標(biāo)志和MAC地址到DHCP服務(wù)器作為唯一標(biāo)志符。這使得DHCP服務(wù)器可以跟蹤分配的地址，也就是說(shuō)在IP地址租約到期、用戶再次申請(qǐng)時(shí)，地址不發(fā)生改變。在使用基于端口的DHCP服務(wù)時(shí)，DHCP服務(wù)收到客戶端DHCPDISCOVER報(bào)文，會(huì)忽略客戶端的客戶端標(biāo)志和MAC地址，而采用訂閱標(biāo)志（subscriber id）來(lái)分配IP地址[4]。訂閱標(biāo)志可以用交換機(jī)簡(jiǎn)寫(xiě)的端口名稱表示，如“Fa0/1”、“Fa0/2”等。在具體配置交換機(jī)的時(shí)候，需設(shè)置好訂閱標(biāo)志和IP地址的一一對(duì)應(yīng)關(guān)系，這樣交換機(jī)就可以為每個(gè)端口連接的DHCP客戶端分配固定的IP地址?；诙丝诘腄HCP技術(shù)只能在每臺(tái)接入交換機(jī)單獨(dú)起作用，網(wǎng)絡(luò)中有多臺(tái)接入交換機(jī)時(shí)，就需要在每臺(tái)接入交換機(jī)分別配置[5]。

使用基于端口的DHCP技術(shù)的優(yōu)點(diǎn)是：客戶端不需要配置IP地址，系統(tǒng)就可以根據(jù)IP地址定位網(wǎng)絡(luò)中的客戶端[6]。

3 系統(tǒng)的組成和功能

住院患者因特網(wǎng)接入系統(tǒng)由接入交換機(jī)、匯聚交換機(jī)和代理服務(wù)器組成，如圖2所示。

圖2 系統(tǒng)結(jié)構(gòu)示意圖

患者用計(jì)算機(jī)可以是醫(yī)院配置的固定的臺(tái)式計(jì)算機(jī)，也可以是患者自備的便攜式計(jì)算機(jī)[7]。

接入交換機(jī)采用的是Cisco 2960二層接入交換機(jī)。每個(gè)單獨(dú)的接入交換機(jī)都是一個(gè)DHCP服務(wù)器，啟用基于端口的DHCP功能，可為其連接的計(jì)算機(jī)分配IP地址。因?yàn)槊總€(gè)交換機(jī)端口分配的地址固定，而交換機(jī)的端口對(duì)應(yīng)病房，這樣即可以做到IP地址與病房對(duì)應(yīng)。IP地址的分配原則是：一個(gè)交換機(jī)24個(gè)或48個(gè)端口使用1個(gè)C類地址，以方便IP地址管理和交換機(jī)配置；并且在每個(gè)接入端口應(yīng)用安全策略，以保證網(wǎng)絡(luò)安全穩(wěn)定地運(yùn)行。同時(shí)不同的接入交換機(jī)劃分到不同的VLAN中，實(shí)現(xiàn)不同交換機(jī)之間的通信隔離。

匯聚交換機(jī)采用的是Cisco 3560三層交換機(jī)。完成不同VLAN間的路由訪問(wèn)控制功能。

代理服務(wù)器使用的是Microsoft ISA 2006，完成NAT和防火墻功能。同時(shí)啟用ISA防火墻日志和Web代理日志，實(shí)現(xiàn)用戶上網(wǎng)的審計(jì)功能。ISA 2006的日志可以記錄客戶端的上網(wǎng)時(shí)間、源IP地址和訪問(wèn)網(wǎng)上資源的URL等。因?yàn)橄到y(tǒng)使用基于端口的DHCP技術(shù)，IP地址與交換機(jī)端口對(duì)應(yīng)，管理員可以根據(jù)日志中的源IP地址確定患者什么時(shí)間訪問(wèn)了哪些網(wǎng)絡(luò)。因?yàn)閮?nèi)網(wǎng)是3層網(wǎng)絡(luò)，如果代理服務(wù)器和客戶端的計(jì)算機(jī)不在同一個(gè)2層網(wǎng)絡(luò)，代理服務(wù)器便只能記錄到內(nèi)網(wǎng)網(wǎng)關(guān)的MAC地址。所以，ISA 2006的日志沒(méi)有記錄客戶端MAC地址的功能。

系統(tǒng)各部分的運(yùn)行過(guò)程如圖3所示。

圖3 系統(tǒng)運(yùn)行過(guò)程圖

（1）患者連接網(wǎng)線將計(jì)算機(jī)接入系統(tǒng)網(wǎng)路，計(jì)算機(jī)發(fā)出DHCP請(qǐng)求。

（2）患者接入交換機(jī)，根據(jù)交換機(jī)端口分配固定的IP地址，作出DHCP響應(yīng)。

（3）患者用計(jì)算機(jī)獲得IP地址，便可以瀏覽因特網(wǎng)。發(fā)出的DNS和HTTP請(qǐng)求經(jīng)過(guò)接入交換機(jī)和匯聚交換機(jī)傳到ISA 2006服務(wù)器。

（4）ISA 2006服務(wù)器采用NAT技術(shù)，在網(wǎng)絡(luò)層變換源地址轉(zhuǎn)發(fā)患者用計(jì)算機(jī)發(fā)來(lái)的請(qǐng)求。

（5）被訪問(wèn)的因特網(wǎng)服務(wù)器傳回響應(yīng)信息到ISA 2006服務(wù)器。

（6）ISA 2006服務(wù)器記錄日志，日志信息包括日志時(shí)間、目標(biāo)地址、目標(biāo)端口、協(xié)議、客戶端地址等。

（7）ISA 2006服務(wù)器向患者用計(jì)算機(jī)返回因特網(wǎng)服務(wù)器傳回的信息。

4 系統(tǒng)的安全措施

在醫(yī)院向患者提供因特網(wǎng)訪問(wèn)功能時(shí)，安全問(wèn)題也需要重點(diǎn)考慮。安全問(wèn)題分2個(gè)層面：（1）系統(tǒng)

內(nèi)部和外部因特網(wǎng)之間的安全問(wèn)題；（2）系統(tǒng)內(nèi)部之間的安全問(wèn)題。

系統(tǒng)內(nèi)部和外部的安全問(wèn)題主要是防止因特網(wǎng)上的黑客和病毒攻擊。我們采用防火墻的NAT技術(shù)保護(hù)內(nèi)網(wǎng)用戶上網(wǎng)。用戶上網(wǎng)使用私有IP，外部地址不能直接連接內(nèi)部上網(wǎng)機(jī)器，這樣就可以有效防止外部黑客的攻擊。

系統(tǒng)內(nèi)部的安全問(wèn)題主要是防止用戶間的相互影響，包括IP地址沖突和內(nèi)部計(jì)算機(jī)間的相互通信造成用戶的隱私泄露。

雖然系統(tǒng)使用DHCP技術(shù)動(dòng)態(tài)分配IP地址，但不能保證所有用戶都使用DCHP方式獲得IP地址，有時(shí)用戶會(huì)錯(cuò)誤地指定IP地址，造成IP地址沖突，ARP病毒也會(huì)造成系統(tǒng)IP地址沖突[8]。為解決IP地址沖突的問(wèn)題，系統(tǒng)采用的技術(shù)是在交換機(jī)的每個(gè)端口應(yīng)用訪問(wèn)控制策略，限制只有IP地址是DHCP服務(wù)固定分給此端口的地址和IP地址是0.0.0.0的終端可以訪問(wèn)網(wǎng)絡(luò)。這樣就實(shí)現(xiàn)了端口和IP地址的綁定，用戶只能使用DHCP服務(wù)分配的地址，即使用戶強(qiáng)制手工設(shè)置IP地址，也只能設(shè)置規(guī)定的IP地址。允許IP地址是0.0.0.0的訪問(wèn)是因?yàn)镈HCP客戶端在沒(méi)有得到DCHP服務(wù)器分配地址前，是用0.0.0.0的IP地址發(fā)送DHCPDISCOVER報(bào)文的。

內(nèi)部計(jì)算機(jī)間相互通信會(huì)產(chǎn)生很多安全問(wèn)題，如通過(guò)Windows的文件共享查看其他計(jì)算機(jī)存儲(chǔ)的信息，黑客工具和計(jì)算機(jī)病毒攻擊他人的計(jì)算機(jī)，影響其上網(wǎng)。限制系統(tǒng)內(nèi)的計(jì)算機(jī)間相互通信，就是要求交換機(jī)的所有接入端口間不能相互通信。因?yàn)榻尤虢粨Q機(jī)都是二層交換機(jī)，簡(jiǎn)單的辦法就是將每個(gè)接入端口都劃到不同的VLAN中去，但這樣會(huì)占用大量VLAN，系統(tǒng)的擴(kuò)展性將受到限制。系統(tǒng)在2個(gè)層面上來(lái)解決這個(gè)問(wèn)題：（1）限制同一交換機(jī)的接入端口相互間不能通信；（2）不同交換機(jī)間的端口不能通信。限制同一交換機(jī)的接入端口間相互通信，采用將接入端口設(shè)置成 “protected port”模式的方法，“protected port”端口不會(huì)轉(zhuǎn)發(fā)任何單播、組播或廣播包到同一交換機(jī)的其他“protected port”端口。限制不同交換機(jī)間的接入端口相互通信，采用將不同交換機(jī)的接入端口劃分到不同的VLAN中的方法，如接入交換機(jī)1的接入端口都劃分在VLAN 10中，接入交換機(jī)2的接入端口都劃分到VLAN 20中。同時(shí)在匯聚交換機(jī)上啟用訪問(wèn)控制策略，限制不同VLAN間的訪問(wèn)[9]。這樣就能保證所有的接入交換機(jī)的接入端口都不能相互通信。

5 接入交換機(jī)的具體配置

系統(tǒng)采用的基于端口的DHCP技術(shù)是通過(guò)接入交換機(jī)來(lái)實(shí)現(xiàn)的，所以，本文要重點(diǎn)說(shuō)明接入交換機(jī)的配置。以一臺(tái)Cisco 2960接入交換機(jī)的配置為例，其他接入交換機(jī)的配置類似。所要配置的交換機(jī)地址規(guī)劃是Fa0/1～Fa0/24，接入端口分別使用的地址是172.16.22.1～172.16.22.24，并且這些端口都劃分在VLAN22中。接入交換機(jī)的配置主要分3個(gè)步驟：

（1）交換機(jī)全局配置。主要配置DHCP服務(wù)器的訂閱標(biāo)志，實(shí)現(xiàn)按端口名稱產(chǎn)生訂閱標(biāo)志。還要完成應(yīng)用在交換機(jī)端口的訪問(wèn)控制列表配置。訪問(wèn)控制列表的作用是防止用戶私設(shè)IP，造成IP地址沖突。配置命令見(jiàn)表1，表中的第3步和第4步僅配置了access-list 1，用在交換機(jī)端口Fa0/1上，其他端口用的訪問(wèn)列表的配置類似。

表1 交換機(jī)全局配置

（2）DHCP服務(wù)配置。主要配置DHCP服務(wù)器為各端口分配的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)地址和DNS地址，具體配置見(jiàn)表2。

表2 DHCP配置

（3）接口配置。主要完成端口的VLAN劃分，啟用端口的保護(hù)模式，應(yīng)用訪問(wèn)控制列表等。應(yīng)用這些配置，可以阻斷交換機(jī)端口間的相互通信，防止患者用計(jì)算機(jī)間通信造成的隱私泄露。Fa0/1接口的具體配置見(jiàn)表3，F(xiàn)a0/2～Fa0/24接口類似。

6 結(jié)語(yǔ)

基于端口DHCP的用戶上網(wǎng)技術(shù)在醫(yī)院的國(guó)際醫(yī)療中心已經(jīng)正式運(yùn)行了一段時(shí)間，在運(yùn)行過(guò)程中沒(méi)有出現(xiàn)因?yàn)榫W(wǎng)絡(luò)故障造成住院人員不能上網(wǎng)的情況，

也沒(méi)有出現(xiàn)因?yàn)橛?jì)算機(jī)配置問(wèn)題影響上網(wǎng)的情況。

表3 接口配置

該系統(tǒng)的優(yōu)點(diǎn)是：（1）接入計(jì)算機(jī)“0”配置，連接網(wǎng)線就可上網(wǎng)，不需要用戶管理系統(tǒng)，節(jié)約成本，方便了用戶和管理人員。（2）可以對(duì)用戶的上網(wǎng)行為進(jìn)行審計(jì)，防止因特網(wǎng)安全事件發(fā)生。

該系統(tǒng)的不足為：（1）只能在有線網(wǎng)絡(luò)實(shí)施，無(wú)線網(wǎng)不能實(shí)現(xiàn)對(duì)用戶的上網(wǎng)審計(jì)。（2）對(duì)接入交換機(jī)有要求，必須是Cisco2960系列或更高檔次的交換機(jī)。（3）對(duì)網(wǎng)絡(luò)布線有要求，每個(gè)終端必須直接連接交換機(jī)，不能多個(gè)終端使用Hub連接網(wǎng)絡(luò)。（4）系統(tǒng)沒(méi)有NAC（網(wǎng)絡(luò)訪問(wèn)控制）功能。因?yàn)樯暇W(wǎng)終端是患者自備的計(jì)算機(jī)，無(wú)法要求安裝統(tǒng)一的防病毒和防火墻軟件[10]。同時(shí)，安裝NAC的客戶端對(duì)于流動(dòng)的患者來(lái)說(shuō)也十分不便。

今后的發(fā)展方向?yàn)椋海?）可以對(duì)代理服務(wù)器的日志分析處理實(shí)現(xiàn)按流量計(jì)費(fèi)的功能。（2）在資金允許的條件下，可以在網(wǎng)絡(luò)出口處安裝防病毒網(wǎng)關(guān)，實(shí)現(xiàn)統(tǒng)一的防病毒處理。

[1]胡珊，李超峰，張?chǎng)捂?，?病房上網(wǎng)管理系統(tǒng)開(kāi)發(fā)研究[J].醫(yī)學(xué)信息學(xué)雜志，2011，32（9）：26-27.

[2]翁羽，覃雙.酒店上網(wǎng)服務(wù)器設(shè)計(jì)[J].現(xiàn)代計(jì)算機(jī)：專業(yè)版，2007（8）：127-129.

[3]Ralph Droms.Dynamic Host Configuration Protocol[EB/OL].（1997-03-01）[2010-06-04].http：//www.ietf.org/rfc/rfc2131.txt.

[4]樊濱溫，崔志強(qiáng).DHCP協(xié)議客戶端的實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2007，24（11）：144-146.

[5]王文龍，黃地龍.DHCP協(xié)議深入分析[J].電腦與電信，2010（4）：46-48.

[6]林澤東，王翀，張純金，等.基于改進(jìn)DHCP服務(wù)器的校園網(wǎng)IP地址管理方法[J].福建電腦，2009，25（10）：25，32.

[7]Cisco Systems Inc.Cisco IOS IP Addressing Services Command Reference[EB/OL].（2010-02-01）[2012-06-15].http：//www.cisco.com/ en/US/docs/ios-xml/ios/ipaddr/command/ipaddr-cr-book.html.

[8]陳松.基于端口隔離靜態(tài)IP地址沖突防范策略[J].計(jì)算機(jī)工程與設(shè)計(jì)，2009，30（1）：69-71，79.

[9]宋繼志，王媛媛.基于MSISA 2006網(wǎng)絡(luò)流量計(jì)費(fèi)系統(tǒng)[J].長(zhǎng)春工業(yè)大學(xué)學(xué)報(bào)：自然科學(xué)版，2008，29（6）：709-712.

[10]于微偉，盧澤新，康東明，等.關(guān)于網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的分析與優(yōu)化[J].計(jì)算機(jī)工程與科學(xué)，2011，33（8）：39-44.

（收稿：2013-01-11 修回：2013-06-05）

Convenient and Safe Internet Access in Hospital by Port-based DHCP Technology

FU Xiao-qun
(Information Technology Department,Beijing Cancer Hospital,Beijing 100142,China)

To achieve plug-and-play patients access to Internet and to audit their online behaviors.Cisco 3560 was used as an aggregation switch,and Cisco 2960 was as access switches to build a system network.The technologies of DHCP,port protection and VLAN were applied to achieve the functions of constant DHCP service for the computer accessing from the same port as well as assigning fixed IP address.Microsoft ISA 2006 proxy server was deployed in the network exit to obtain NAT and record Internet log.The system realized plug-and-play patients access to Internet and online behaviors monitoring based on IP address.The system facilitates the patient access to Internet with wired network,and their online behaviors can also be audited.[Chinese Medical EquipmentJournal，2014，35（2）：60-63]

DHCP;hospital patient;Internet service;security

R318；TP311

A

1003-8868（2014）02-0060-04

10.7687/J.ISSN1003-8868.2014.02.060

傅效群（1975—），男，碩士，工程師，主要從事醫(yī)院信息化和網(wǎng)絡(luò)安全方面的研究工作，E-mail：fuxiaoqun@sina.com。

100142北京，北京腫瘤醫(yī)院信息部（傅效群）