南宁医保网络方案.docx
《南宁医保网络方案.docx》由会员分享,可在线阅读,更多相关《南宁医保网络方案.docx(20页珍藏版)》请在冰豆网上搜索。
南宁医保网络方案
南宁医保网络方案
医保网络系统包括市医保中心局域网和全市医保系统广域网两部分,市医保中心通过广域网连接各定点医疗及医药机构,它们之间通过数字专线或拨号线路互连,构成覆盖全市的医保广域网网络,以便达到信息查询、数据传输等资源共享的目的。
医保中心还可通过因特网向公众发布各种信息、政策和规章制度。
同时,“五险合一”是社会保险事业发展的必然方向,医疗保险信息系统的网络结构设计考虑了这方面的发展趋势,为今后的系统扩展留有一定的余地。
医疗保险系统总体网络逻辑图如下所示:
一、医保中心网络设计
医保中心网络是本系统的关键所在,要求具有高速、稳定、可靠、安全等特性。
为满足此要求,我们采用内外网隔离技术,将医保中心网络分为内部业务子网和外部访问子网两大块。
为了增强安全,不仅仅在外部访问子网的前面设置了高强度的PIX防火墙,而且内外网之间也设置了高强度的防火墙。
同时还使用了目前较先进的IPSec、VLAN以及通讯机(即堡垒主机代理)等安全技术。
内部和外部子网都采用全交换式的快速以太网结构。
医保中心网络拓扑图如下:
(1)主干交换与路由设计
鉴于医疗保险行业本身的特点,数据并发处理量较大,突发性操作频繁,因而对网络的安全性、实时性要求都比较高。
在内部业务子网中,为了增强骨干交换机的稳定和可靠性,采用两台具备第三层路由交换能力的英特尔®Express550T路由交换机做为骨干交换机,并且互为冗余备份,通过超5类连接到业务主机及通讯机(即堡垒主机)。
边缘交换机采用一台英特尔®Express510T交换机,通过冗余线路上连到骨干交换机,实现桌面10/100交换。
外部访问子网的主交换机采用一台英特尔®Express520T交换机,连接全部的外部访问服务器(WWW/FTP/E-Mail)。
为了加强网络主干、提高网络速度,可增加一台英特尔®网擎™(Intel®NetStructure™)1500高速缓存器。
整个网络用IntelDeviceView网管软件实现智能化的管理。
★英特尔®Express500系列交换机产品介绍
英特尔®Express550T路由交换机
用于快速以太网园区主干和网段的可扩充路由交换机
Intel®Express550T路由交换机的主要特性
■利用集成的IP/IPX路由来提高网络性能
■通过容错系统支持获得最大限度的网络伸缩性
■控制网络资源、访问和通信
利用这些高度可扩充、8端口的第3层交换机,您可以创造出快速和可扩展网段或主干解决方案。
通过逐个路由数据包,它们可以轻而易举地集成至您现有的路由基础设施之中。
您可以使用英特尔®Express550路由交换机堆叠在主干中集中网络路由,或者通过在工作组中增加英特尔®Express550路由交换机来将路由功能分配到网络边缘。
可扩充的堆叠技术
该项英特尔技术实现了英特尔®Express500系列交换机中机箱式交换机的众多优势,而且无需高额的前期成本。
性能--利用可扩充至14.7Gbps的可伸缩性背板,总计可难叠多达7台交换机。
您在堆叠中每增加一台交换机,英特尔®可扩充堆叠技术即可为背板提供额外的2.1Gbps带宽。
您可以根据需要增加交换机来支持更多的用户,并且确信您的交换结构能够随时扩充来满足日益增长的带宽需求。
可管理性--整个堆叠可以作为一个设备进行管理。
可靠性--可使用一套冗余堆叠模块来消除交换机到交换机连接的单点故障
(英特尔®Express550T和550F路由交换机以及520T交换机)。
特性优势
可扩充的堆叠技术在堆叠中每增加一台交换机便可增加额外2.1Gbps背板容量。
第3层交换(IP/IPX路由)允许网络分段,以增强性能。
冗余电源、冗余背板连接容错、可靠。
IP数据包过滤通过阻止不必要的http、Telnet或FTP访问来增加安全性。
IP多点广播支持利用互联网成组管理协议(IGMP)或远距离矢量多点广播
路由协议(OVMRP)提高带宽利用率。
RSVP通过保留带宽来改善对等待时间敏感的应用传输质量,如音频和视频。
差别服务划分通信的优先级,使关键业务应用具有优先权。
链路集合集合多个端口来支持更高带宽的连接,并提供额外的网络伸缩能力。
英特尔®Express520T交换机
用于园区环境和网段的可扩充快速以太网交换机
该款通用型12端口快速以太网交换机支持分段交换机所需的可扩展性,而且具有足够的端口密度,以实现经济高效的小型工作组解决方案。
将其与英特尔®Express550路由交换机相堆叠并增加冗余背板连接,即可获得客户化和高度可靠的网络核心。
或者,与英特尔®Express510T交换机相堆叠,您将可以更准确地满足您的桌面交换需求。
特性优势
可扩充的堆叠技术在堆叠中每增加一台交换机便可增加额外2.1Gbps的背板容量。
冗余电源、冗余背板连接容错、可靠。
先进的流量控制(802.3x)减少拥塞并防止数据包丢失。
链路集合集合多个端口来支持更高带宽的连接,并提供额外的网络伸缩能力。
IP多点广播修整当向多个台式机广播通信时可减少拥塞。
英特尔®Express510T交换机
可扩充交换机。
将价格适中的工作组交换带至桌面
英特尔®Express510T交换机的主要特性
■可扩充,轻松满足您日益增长的网络需求
■可扩展,支持光纤、ATM和千兆位以太网
■基于互联网和Windows*操作系统的直观的安装与控制
将专用快速以太网性能扩展至您的桌面。
利用互选模块,该款24端口交换机可扩展至多达32端口,在7台交换机的堆叠中端口最多可达196个。
特性优势
可扩充的堆叠技术在堆叠中每增加一台交换机便可增加额外2.1Gbps的背板容量。
先进的流量控制(802.3x)减少拥塞并防止数据包丢失。
链路集合集合多个端口来支持更高带宽的连接,并提供额外的网络伸缩能力。
IP多点广播修整当向多个台式机广播通信时可减少拥塞。
冗余电源容错、可靠。
★英特尔®网擎™(Intel®NetStructure™)1500高速缓存器
加强网络主干、提高网络速度
英特尔®网擎™(Intel®NetStructure™)高速缓存器可以增强您的网络主干。
高速缓存技术主要用于存储用户访问最频繁的网上信息,它可以有效地改进您客户的互联网体验,并充分利用您现有的网络资源。
英特尔网擎高速缓存器集成在超薄型机架安装平台之上,结合了英特尔高速缓存器技术与业界领先的Inktomi*TrafficServerEngine*高速缓存软件,可为您的客户提供最大的网络带宽和高质量的互联网服务。
易于配置、使用和管理
无论带宽需求和运营规模如何,高速缓存技术均可提供更佳的信息管理--节约上游网络带宽,同时增强用户的互联网体验。
现在,英特尔更提供了经济高质的机架安装式设计,从而真正实现了设备的快速部署。
英特尔网擎高速缓存器专门设计,具有自动安装向导和直观的软件配置,安装和维护十分方便。
因此,这一全面集成的硬件/软件解决方案能够以最快的速度并入您的网络,而且无需专业的系统管理员进行部署。
您可以轻松将其部署到数据中心或网络接入服务提供商中。
基于浏览器的控制台和基于网络的命令行界面(CLI)等管理特性使用户可以远程管理系统硬件及应用软件。
英特尔网擎高速缓存器使您能够经济有效地提高客户服务水平,从而保持快速发展。
英特尔网擎高速缓存器是可扩充的解决方案,在降低网络带宽需求的同时,还可改进对互联网信息的访问,并提高性能--所有这些优势都有助于您在互联网市场竞争中遥遥领先。
作为领先的提供商,Inktomi*为众多最活跃的互联网站点和要求最苛刻的网络提供了高速缓存解决方案,并将其专业技术与经验应用到了InktomiTrafficServerEngine*之中。
它与英特尔高速缓存器技术紧密结合,提供了出色的高速缓存能力和强大的可靠性,不但可增强最终用户的体验,而且还能够提高您的收益。
提高网络容量和可靠性
英特尔®网擎™(Intel®NetStructure™)高速缓存器配备热插拔硬盘,采用简化的安装和管理界面,并具有自动恢复备份和远程管理能力。
所有这些特性均集成在一个2U机箱之中,不仅可提高您主干系统的容量和可靠性,而且丝毫未改变系统体系结构,或扩大网络系统的占地面积。
随着带宽要求的提高,以及新客户的增加,英特尔网擎高速缓存器还支持集群能力。
使用一台支持Layer4重定向功能的交换机进行部署,如英特尔®Express550T交换机,即可实现可扩充的高速缓存解决方案,不但强大,而且经济高效。
世界一流的带宽管理
使用英特尔即插即用的高速缓存解决方案,您可提高客户服务能力和收益。
英特尔网擎高速缓存器提供了全面的带宽管理,并为增强您的互联网能力而精心设计,可为您的成功助一臂之力。
您可以降低任何网络高峰需求的影响,并通过可扩充的解决方案--英特尔网擎高速缓存器来充分利用宝贵的资源。
基于互联网和Windows*操作系统的管理平台
所有英特尔®Express500系列交换机均配备英特尔®DeviceView,它是一款通用型设备管理应用程序,可用于安装、配置和监视所有可管理的英特尔设备,包括交换机、集线器、路由器和打印服务器。
英特尔DeviceView以单一界面提供了基于互联网和Windows*操作系统的管理,它可自动发现和映射所有可管理的英特尔设备,并且能够利用用户定义的图表对网络通信情况和趋势进行分析。
该软件亦可插入到HPOpenvtew*或Tivoli的Netview*企业管理应用程序之中。
(2)安全保护设计
为了保证医保中心局域网络的安全,系统中分别在内部业务子网与外部访问子网之间、外部访问子网与外界广域网之间都设置了硬件防火墙。
同时,为了保护业务主机,不允许直接访问业务主机,所有的业务访问均通过通讯机(即堡垒主机)代理来完成。
就算系统的两道防火墙被黑客破坏后,入侵者也无法直接访问业务主机,在最严重的情况下,入侵者也只能摧毁通讯机(即堡垒代理主机)而已,其无法窜改或删除业务数据。
由于通讯机是所有业务访问的代理,为了增加通讯机的安全可靠性,采用双机热备份方式工作。
对于硬件防火墙,系统选用了Cisco公司的CiscoSecurePIX防火墙。
CiscoSecurePIX防火墙集成有硬件和软件,易于安装,具有卓越的性能,能够提供强大的安全保护能力,使您能够对内部网进行严格的保护,把内部网络结构与外界完全隔离开来,使其免受外部世界的入侵破坏,为您提供全面的防火墙安全保护。
CiscoSecurePIX防火墙的功能特点如下:
●访问控制表(AccessLists)控制那一台内部主机能够建立与外部网络的连接。
通过访问控制表可对安全策略进行配置,以限制对外部网络的访问(限制可以是基于源地址、外部目的地址,或通信协议)。
●适应性安全算法(ASA),始终监视返回的数据包,以判别其合法性。
并使用随机的TCP序列号来减少受到TCP序列号攻击的危险。
●与CiscoIOS一致的配置界面,简单并且易于操作。
●采用管道技术,允许特定用户从外部网络访问内部网络。
●直通式代理服务,建立在用户级别上的对外部接入和内部接出的验证。
对于普通的代理服务器,它要分析应用层每一个数据包,而PIX防火墙首先询问身份验证服务器,当连接被确认后,它就建立起一个数据管道,之后所有的信息流就直接在连接双方迅速地传递。
允许安全策略建立在每用户地ID之上,一个连接必须首先验证用户ID和口令才能建立起来。
●DNS防护,识别向外部网络发出地DNS转换请求,仅接受一个DNS响应。
●可通过设置最大地初始连接数来保护内部主机不受突发的大量TCPSYN数据包的攻击。
●控制“用户验证服务”允许的未应答的登录请求次数。
●图形化的管理界面,提供基于WindowsNT、Windows95/98、或Solaris等操作系统的WWW浏览器管理界面。
●IP碎片防护,以抵御IP碎片的攻击。
●Java过滤,网络管理员可禁止从内部主机下载Javaapplets。
●安全的电子邮件访问。
●支持建立在NetBIOSoverIP技术之上的内部网络与外部网络的连接。
●网络地址转换(NAT)。
对内部主机,当其向外部发送数据包时,对其源IP地址进行转换,同时支持动态和静态转换。
允许给内部主机赋予私有IP地址或保留现有的合法IP地址。
●端口地址转换(PAT)。
通过使用端口重映像,一个单独的IP地址可支持64,000个实体的源IP地址转换。
●支持虚拟私有网络(VPN)互操作和基于IPSec的扩展。
●SNMPMIB-II支持。
通过SNMP,PIX防火墙可集成到传统的网管系统中。
●通过阀值的设定,当PIX防火墙被黑客攻击时,管理员能够自动地通过E-Mail或寻呼接受实时报警。
二、广域网连接方案设计
(1)中心网络广域网接入
根据全局网络结构的逻辑图,对于广域网访问,中心网络系统可以采取DDN、Internet、PSTN三种接入方式。
虽然DDN和Internet的连接,可在同一台路由器上实现,但是当这一台路由器被通过Internet入侵的黑客攻破端口后,后面的连接大型参保单位的端口就会暴露在入侵者的面前,为了安全起见,系统采用两台路由器来分别连接DDN专线和Internet线路。
路由器选用Cisco3660路由器。
为了满足远程通信的需要,系统中配置了远程访问服务器。
对于远程拨号访问服务器,推荐采用独立式的远程拨号访问服务器,系统采用Intel的LanRover™D56拨号服务器。
1.Cisco3600系列路由器
关键特性
Ø在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、ATM连接以及语音、视频和数据的多种业务集成。
Ø模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护。
Ø高密度ISDNPRI功能。
Ø预配置的BRI和PRI调制解调器捆绑。
Ø支持Modem-over-BRI功能性。
Ø集成了CiscoIOS软件(产品定价中包括IPIOS软件)。
Ø完全支持VPN。
ØCiscoIOS防火墙特性集提供防止网络入侵的安全保护。
Cisco3600系列是一个适合大中型企业和Internet服务供应商的模块化、多功能访问平台家族。
Cisco3600系列拥有70多个模块化接口选项,提供语音/数据集成、虚拟专网(VPN)、拨号访问和多协议数据路由解决方案。
Cisco3600系列通过利用Cisco的语音/传真网络模块,允许客户在单个网络上合并语音、传真和数据流量。
高性能的模块化体系结构保护了客户的网络技术投资,并将多个设备的功能集成到一个可管理的解决方案之中。
Cisco3600是世界第一个真正的多功能应用支持平台,在单独一个服务器上广泛支持分支机构/企业拨号访问应用,LAN到LAN或者路由选择应用以及多服务应用。
它提供前所未有的模块化选项,可使用多种不同的网络模块,它还具有强大的灵活性,可针对客户的不同应用环境,提供各种配置选项,而且最重要的是,它具有支持所有这些应用的优质运行性能。
作为一个多功能解决方案,你可以依靠Cisco3600平台的出众性能、安全性以及灵活性来满足你未来多年的需要。
与具有综合管理、配置以及单供应商支持的一台多功能设备相比,管理、配置以及支持多台设备的费用就显得相当昂贵。
此外,CiscoIOS软件包含许多可提供安全性、可靠性以及WAN优化的功能,在任何应用环境中,都可以使用CiscoIOS功能来控制不断上升的WAN费用。
例如,Cisco3600服务器支持按需拨号路由选择(DDR)和拨号备份,同时支持ProtocolSpoofing和SnapshotRouting,从而减少不必要的WAN传输。
为了更进一步减少WAN费用和增加有效带宽,CiscoIOS软件支持在帧中继、专线以及拨号网络上的数据压缩。
CiscoIOS软件拥有广泛的多媒体功能,可以支持诸如在WAN上的电话会议那样的新型应用。
资源预保留协议(RSVP)、非协议依赖性的多点广播(PIM)以及加权公平排队(WF)等功能可以保证一贯的服务质量以及较高的应用可用性。
功能特点
Ø全功能的CiscoIOS
Cisco3600是Cisco整套端到端拨号连接解决方案中的一部分。
没有任何其它的供应商能够向远程用户提供这么多的Intermir访问以及企业扩展选择。
而且CiscoIOS软件有能力在用户负担得起的前提下布置拨号虚拟专用网络(DialVPNS),使Cisco产品的功能又得到了相应的提升。
用户还能够通过数据压缩等带宽优化技术来节省开支,并且可以布置高质量的网络安全防火墙以及数据加密功能。
Ø安全性
安全已成为今天大多数网络管理者关心的主要问题,Cisco3600,配合广为流行、功能强大的CiscoIOS软件,可以为客户核心网络提供全面的安全保障。
对于远程用户环境,Cisco3600将该项已被证明是有效的核心安全技术扩展到混合介质拨入站点。
CiscoISO软件支持的安全功能包括访问列表、侵入事件记录、远程访问拨入用户服务(RADIUS)、KerberosV以及具有验证、授权和记帐(AAA)的TACACS+。
Ø管理
Cisco3600提供一套称为CiscoWorks的完善的图形用户界面(GUI)管理工具,可对Cisco3600机箱及其相关网络模块进行图形化的配置、监控和调试。
Cisco配置管理功能向网络管理者提供对网络统计数据的完全控制以及在一个中央控制中心配置和调节网络操作的能力。
CiscoIOS软件包含全面的故障分析工具,可以大大减少问题隔离和恢复所需的时间和费用。
针对Cisco3600提供的内部调制解调器,一套先进的可选调制解调器管理功能可供使用,它提供广泛的带宽优化功能,可以帮助分支机构和企业客户降低运行地理位置分散的广域网络的重复费用。
调制解调器管理功能集包括呼入过程监视hardandbusyout、分组、一个用户定义的警告域值以及统计功能。
管理人员可查看调制解调器的调制配置、调制解调器协议、调制解调器EIA/TI-B2信号状态。
调制解调器发送和接收速率以及模拟信噪比等实时(当时或以前的呼叫)。
调制解调器可以用管理网络其它部分的相同工具来管理,从而为网络管理者提供了一个在中央管理点进行管理的解决方案。
Ø可扩展性
Cisco采用了多机箱多链路点对点协议(MMP),使客户开始时可以建立一个小规模的网络,在需要的时候再扩展额外的访问服务器,而同时还能够使用拨号访问。
拥有中型拨入池的企业和分支机构网络管理员间能够很容易地扩展和集成其访问网络架构,以聚合多个服务器上的多个呼叫,从而为其最终用户提供一个更高带宽的解决方案。
当服务供应商和企业客户利用分布式网络的可靠性建立具有弹性的网络系统时,这些可扩展功能对他们是非常重要的。
多链路点到点协议(MP)使用户可利用ISDN连接的优势,并且可以使用两个B通道达到128kbps数据吞吐量。
异步用户如果在其工作站上获得支持,使用两个通过两条电话线连接的调制解调器,他们也能够受益于该功能。
为了满足用户不断增长的需求,需要扩展Cisco3600解决方案,而MMP支持是实现这种扩展的一个关键因素。
MMP使呼叫能够被“链接”起来,而不管每个呼叫被置于哪个物理机箱,从而能将Cisco3600机箱堆放起来并视为一个拨入池。
ØCisco3600平台
高度模块化的Cisco3600系列访问服务器具有惊人的多功能性,可以单一机箱内支持分支机构/企业拨号访问应用,局域网到局域网(LAN-to-LAN)或路由选择应用以及多服务应用。
这些独有的特性使Cisco3600系列成为大型分支机构理想的平台。
Cisco将继续为Cisco3600系列开发新的解决方案,以助你保持领先的地位。
Cisco提供前所未有的模块化选项,可以使用多种网络模块,还有巨大的灵活性,配有各种适合客户专用应用环境的可配置选择,而且最重要的是,Cisco具有支持所有这些应用的优质运行性能。
2.LanRover™D56拨号服务器
主要特性
■支持多达60个V.9056Kbps并发对话高密度数字调制解调器
■多处理、多总线超标量芯片体系结构
■多种经济高效的配置
■模块化,可从BRI升级至PRI、从12个调制解调器升级至60个
自适应10/100Mbps网络连接
轻松的管理
■多台机器的多链路PPP
概述
LanRover™D56拨号服务器为那些需要对信息进行快速、可靠访问的中小型企业而专门设计,是一款数字远程访问服务器,它具有独一无二的非阻塞、多处理体系结构,为端接PPP数据包而精心优化。
与其它随着呼叫容量的提高而不得不牺牲性能的远程访问服务器不同,LanRoverD56拨号服务器提供了统一、高速的信息访问能力,即使在满负荷运行时也不例外。
1、56K调制解调器技术的突破性速度
英特尔的多协议远程访问服务器已因其出色的易用性、性能、安全性和管理已赢得了50多项业界大奖。
现在,具有SmartDetect™功能的高速、高密度LanRover™D56拨号服务器通过一个方便的数字广域网接口提供对模拟和数字PPP呼叫的端接。
LanRovrD56拨号服务器全面兼容当今最先进的客户机调制解调器和ISDN终端网卡,目前具有多种经济高效的配置:
具有12个调制解调器的8BRI、仅支持ISDN的单PRI、具有12、24或30个调制解调器的单PRI、具有48或60个调制解调器的双PRI。
2、在满负荷运行下实现全面性能
承袭屡获殊荣的LanRover™AccessSwitch接入交换机的设计理念,LanRoverD56拨号服务器以业界领先的设计提供了一致的性能,即使满负荷运行,服务器也可从容应付。
其独一无二的非阻塞体系结构可确保缓冲、带宽和系统资源能够随时服务于所有用户。
通过将处理能力分散到关键性能广域网和数字调制解调器接口组件中,LanRoverD56拨号服务器保持了一致的性能。
调制解调器卡、广域网卡和主CPU上的专用微处理器可以产生260MIPS以上的动力。
因此,LanRoverD56拨号服务器能够在处理数据的同时轻松运行诸如呼叫管理、计费、安全与远程适配路由等主CPU任务。
远程适配路由可最大限度地减少拨号连接中的通信流量,从而降低线路成本并提高了性能。
3、卓越的安全性
利用各种安全选件,您可以将LanRoverD56拨号服务器作为一个集中的验证与授权服务器使用,它支持TACACS+和RADIUS,以及第三方安全产品。
利用随LanRoverD56拨号服务器提供的ShivaRemote™和WindowsNT*安全程序包,您可以增强微软环境中的拨入/拨出安全特性。
此外,LanRoverD56拨号服务器还通过Shiva®AccessManager,为WindowsNT域和Novell*目录服务提供了代理支持。
4、成熟而易于管理的解决方案
LanRoverD56拨号服务器采用最新一代ShivOS™,这是一款性能稳定、业经验证的操作系统