利用基于端口的DHCP技术实现方便安全的住院患者上网服务

傅效群

利用基于端口的DHCP技术实现方便安全的住院患者上网服务

傅效群

目的：在医院病房构建患者因特网接入系统，实现住院患者即插即用的上网方式，并且可以对其上网行为进行审计。方法：采用Cisco 3560作为汇聚交换机，Cisco 2960作为接入交换机构建系统网络。在接入交换机上使用Cisco交换机的基于端口的DHCP、保护端口和VLAN技术，实现同一端口接入的计算机始终获得DHCP服务、分配固定IP地址的功能。在网络出口处部署Microsoft ISA 2006代理服务器，完成NAT和记录上网日志。结果：通过使用该系统，患者只需插上网线就可以上网，代理服务器日志根据源IP地址记录患者的上网操作。结论：该上网系统可以解决有线网环境下患者方便快捷上网的问题，同时可实现对患者的上网行为进行审计。

DHCP；住院患者；上网服务；安全

0 引言

目前，因特网已经深入人类生活的各个方面。在医院里，不仅是工作人员需要上网，住院患者如果身体条件允许也希望医院有上网服务[1]。笔者以前所在的医院建立了国际医疗中心，向高端人群提供特需医疗服务，所有的住院患者享有单独的病房。国际医疗中心的病区部署了无线网和有线网。无线网实现了床旁覆盖，医护人员可以在床旁进行病历浏览和医嘱执行记录等医疗工作[2]。每间病房都预留了多个有线网络接口，接入层的网络设备采用Cisco 2960二层交换机，汇聚层是Cisco 3560三层交换机。为了保证医疗安全，医院的医疗网和因特网是完全物理断开的2套网络。病区的无线网已经用于医疗网，所以，病房的因特网接入只能采用有线方式。在医院提供因特网服务，主要需考虑接入的方便性和安全性。方便性就是让只会简单使用计算机的普通患者插上网线就可以上网，不需要繁琐的网络配置。患者是流动的，如果上网配置复杂，新来的患者便都需要护士教会其配置上网参数，患者和护士都会感到不方便。安全性是指系统防御内部和外部的破坏操作，更重要的是，系统要有用户上网的审计功能，出现问题时便能够追查到是何人、何时操作的。

1 DHCP技术

动态主机配置协议（dynamic host configuration protocol，DHCP）工作在OSI的应用层，是一种帮助计算机从指定的DHCP服务器获取配置信息的自举协议。DHCP采用客户端服务器模式，请求配置信息的为客户端，提供配置信息的是服务器。服务器可以为客户机自动分配IP地址、子网掩码以及缺省网关、DNS服务器的IP地址等TCP/IP参数[3]。协议的工作方式如图1所示。

图1 DHCP协议的工作方式示意图

2 基于端口的DHCP技术

基于端口的DHCP技术是Cisco IOS 12.2（46）SE版本开始提供的一项新技术。该技术可以让DHCP服务器根据DHCP客户端连接的交换机端口分配其固定的IP地址，也就是说任何客户端，只要采用DHCP地址分配方式，连接到同一交换机的同一端口都将获得固定的IP地址。其实现的原理是：当DHCP客户端请求和续订IP地址时，它们会发送自己的客户端标志和MAC地址到DHCP服务器作为唯一标志符。这使得DHCP服务器可以跟踪分配的地址，也就是说在IP地址租约到期、用户再次申请时，地址不发生改变。在使用基于端口的DHCP服务时，DHCP服务收到客户端DHCPDISCOVER报文，会忽略客户端的客户端标志和MAC地址，而采用订阅标志（subscriber id）来分配IP地址[4]。订阅标志可以用交换机简写的端口名称表示，如“Fa0/1”、“Fa0/2”等。在具体配置交换机的时候，需设置好订阅标志和IP地址的一一对应关系，这样交换机就可以为每个端口连接的DHCP客户端分配固定的IP地址。基于端口的DHCP技术只能在每台接入交换机单独起作用，网络中有多台接入交换机时，就需要在每台接入交换机分别配置[5]。

使用基于端口的DHCP技术的优点是：客户端不需要配置IP地址，系统就可以根据IP地址定位网络中的客户端[6]。

3 系统的组成和功能

住院患者因特网接入系统由接入交换机、汇聚交换机和代理服务器组成，如图2所示。

图2 系统结构示意图

患者用计算机可以是医院配置的固定的台式计算机，也可以是患者自备的便携式计算机[7]。

接入交换机采用的是Cisco 2960二层接入交换机。每个单独的接入交换机都是一个DHCP服务器，启用基于端口的DHCP功能，可为其连接的计算机分配IP地址。因为每个交换机端口分配的地址固定，而交换机的端口对应病房，这样即可以做到IP地址与病房对应。IP地址的分配原则是：一个交换机24个或48个端口使用1个C类地址，以方便IP地址管理和交换机配置；并且在每个接入端口应用安全策略，以保证网络安全稳定地运行。同时不同的接入交换机划分到不同的VLAN中，实现不同交换机之间的通信隔离。

汇聚交换机采用的是Cisco 3560三层交换机。完成不同VLAN间的路由访问控制功能。

代理服务器使用的是Microsoft ISA 2006，完成NAT和防火墙功能。同时启用ISA防火墙日志和Web代理日志，实现用户上网的审计功能。ISA 2006的日志可以记录客户端的上网时间、源IP地址和访问网上资源的URL等。因为系统使用基于端口的DHCP技术，IP地址与交换机端口对应，管理员可以根据日志中的源IP地址确定患者什么时间访问了哪些网络。因为内网是3层网络，如果代理服务器和客户端的计算机不在同一个2层网络，代理服务器便只能记录到内网网关的MAC地址。所以，ISA 2006的日志没有记录客户端MAC地址的功能。

系统各部分的运行过程如图3所示。

图3 系统运行过程图

（1）患者连接网线将计算机接入系统网路，计算机发出DHCP请求。

（2）患者接入交换机，根据交换机端口分配固定的IP地址，作出DHCP响应。

（3）患者用计算机获得IP地址，便可以浏览因特网。发出的DNS和HTTP请求经过接入交换机和汇聚交换机传到ISA 2006服务器。

（4）ISA 2006服务器采用NAT技术，在网络层变换源地址转发患者用计算机发来的请求。

（5）被访问的因特网服务器传回响应信息到ISA 2006服务器。

（6）ISA 2006服务器记录日志，日志信息包括日志时间、目标地址、目标端口、协议、客户端地址等。

（7）ISA 2006服务器向患者用计算机返回因特网服务器传回的信息。

4 系统的安全措施

在医院向患者提供因特网访问功能时，安全问题也需要重点考虑。安全问题分2个层面：（1）系统

内部和外部因特网之间的安全问题；（2）系统内部之间的安全问题。

系统内部和外部的安全问题主要是防止因特网上的黑客和病毒攻击。我们采用防火墙的NAT技术保护内网用户上网。用户上网使用私有IP，外部地址不能直接连接内部上网机器，这样就可以有效防止外部黑客的攻击。

系统内部的安全问题主要是防止用户间的相互影响，包括IP地址冲突和内部计算机间的相互通信造成用户的隐私泄露。

虽然系统使用DHCP技术动态分配IP地址，但不能保证所有用户都使用DCHP方式获得IP地址，有时用户会错误地指定IP地址，造成IP地址冲突，ARP病毒也会造成系统IP地址冲突[8]。为解决IP地址冲突的问题，系统采用的技术是在交换机的每个端口应用访问控制策略，限制只有IP地址是DHCP服务固定分给此端口的地址和IP地址是0.0.0.0的终端可以访问网络。这样就实现了端口和IP地址的绑定，用户只能使用DHCP服务分配的地址，即使用户强制手工设置IP地址，也只能设置规定的IP地址。允许IP地址是0.0.0.0的访问是因为DHCP客户端在没有得到DCHP服务器分配地址前，是用0.0.0.0的IP地址发送DHCPDISCOVER报文的。

内部计算机间相互通信会产生很多安全问题，如通过Windows的文件共享查看其他计算机存储的信息，黑客工具和计算机病毒攻击他人的计算机，影响其上网。限制系统内的计算机间相互通信，就是要求交换机的所有接入端口间不能相互通信。因为接入交换机都是二层交换机，简单的办法就是将每个接入端口都划到不同的VLAN中去，但这样会占用大量VLAN，系统的扩展性将受到限制。系统在2个层面上来解决这个问题：（1）限制同一交换机的接入端口相互间不能通信；（2）不同交换机间的端口不能通信。限制同一交换机的接入端口间相互通信，采用将接入端口设置成 “protected port”模式的方法，“protected port”端口不会转发任何单播、组播或广播包到同一交换机的其他“protected port”端口。限制不同交换机间的接入端口相互通信，采用将不同交换机的接入端口划分到不同的VLAN中的方法，如接入交换机1的接入端口都划分在VLAN 10中，接入交换机2的接入端口都划分到VLAN 20中。同时在汇聚交换机上启用访问控制策略，限制不同VLAN间的访问[9]。这样就能保证所有的接入交换机的接入端口都不能相互通信。

5 接入交换机的具体配置

系统采用的基于端口的DHCP技术是通过接入交换机来实现的，所以，本文要重点说明接入交换机的配置。以一台Cisco 2960接入交换机的配置为例，其他接入交换机的配置类似。所要配置的交换机地址规划是Fa0/1～Fa0/24，接入端口分别使用的地址是172.16.22.1～172.16.22.24，并且这些端口都划分在VLAN22中。接入交换机的配置主要分3个步骤：

（1）交换机全局配置。主要配置DHCP服务器的订阅标志，实现按端口名称产生订阅标志。还要完成应用在交换机端口的访问控制列表配置。访问控制列表的作用是防止用户私设IP，造成IP地址冲突。配置命令见表1，表中的第3步和第4步仅配置了access-list 1，用在交换机端口Fa0/1上，其他端口用的访问列表的配置类似。

表1 交换机全局配置

（2）DHCP服务配置。主要配置DHCP服务器为各端口分配的IP地址、子网掩码、网关地址和DNS地址，具体配置见表2。

表2 DHCP配置

（3）接口配置。主要完成端口的VLAN划分，启用端口的保护模式，应用访问控制列表等。应用这些配置，可以阻断交换机端口间的相互通信，防止患者用计算机间通信造成的隐私泄露。Fa0/1接口的具体配置见表3，Fa0/2～Fa0/24接口类似。

6 结语

基于端口DHCP的用户上网技术在医院的国际医疗中心已经正式运行了一段时间，在运行过程中没有出现因为网络故障造成住院人员不能上网的情况，

也没有出现因为计算机配置问题影响上网的情况。

表3 接口配置

该系统的优点是：（1）接入计算机“0”配置，连接网线就可上网，不需要用户管理系统，节约成本，方便了用户和管理人员。（2）可以对用户的上网行为进行审计，防止因特网安全事件发生。

该系统的不足为：（1）只能在有线网络实施，无线网不能实现对用户的上网审计。（2）对接入交换机有要求，必须是Cisco2960系列或更高档次的交换机。（3）对网络布线有要求，每个终端必须直接连接交换机，不能多个终端使用Hub连接网络。（4）系统没有NAC（网络访问控制）功能。因为上网终端是患者自备的计算机，无法要求安装统一的防病毒和防火墙软件[10]。同时，安装NAC的客户端对于流动的患者来说也十分不便。

今后的发展方向为：（1）可以对代理服务器的日志分析处理实现按流量计费的功能。（2）在资金允许的条件下，可以在网络出口处安装防病毒网关，实现统一的防病毒处理。

[1]胡珊，李超峰，张鑫媛，等.病房上网管理系统开发研究[J].医学信息学杂志，2011，32（9）：26-27.

[2]翁羽，覃双.酒店上网服务器设计[J].现代计算机：专业版，2007（8）：127-129.

[3]Ralph Droms.Dynamic Host Configuration Protocol[EB/OL].（1997-03-01）[2010-06-04].http：//www.ietf.org/rfc/rfc2131.txt.

[4]樊滨温，崔志强.DHCP协议客户端的实现[J].计算机应用与软件，2007，24（11）：144-146.

[5]王文龙，黄地龙.DHCP协议深入分析[J].电脑与电信，2010（4）：46-48.

[6]林泽东，王翀，张纯金，等.基于改进DHCP服务器的校园网IP地址管理方法[J].福建电脑，2009，25（10）：25，32.

[7]Cisco Systems Inc.Cisco IOS IP Addressing Services Command Reference[EB/OL].（2010-02-01）[2012-06-15].http：//www.cisco.com/ en/US/docs/ios-xml/ios/ipaddr/command/ipaddr-cr-book.html.

[8]陈松.基于端口隔离静态IP地址冲突防范策略[J].计算机工程与设计，2009，30（1）：69-71，79.

[9]宋继志，王媛媛.基于MSISA 2006网络流量计费系统[J].长春工业大学学报：自然科学版，2008，29（6）：709-712.

[10]于微伟，卢泽新，康东明，等.关于网络准入控制系统的分析与优化[J].计算机工程与科学，2011，33（8）：39-44.

（收稿：2013-01-11 修回：2013-06-05）

Convenient and Safe Internet Access in Hospital by Port-based DHCP Technology

FU Xiao-qun
(Information Technology Department,Beijing Cancer Hospital,Beijing 100142,China)

To achieve plug-and-play patients access to Internet and to audit their online behaviors.Cisco 3560 was used as an aggregation switch,and Cisco 2960 was as access switches to build a system network.The technologies of DHCP,port protection and VLAN were applied to achieve the functions of constant DHCP service for the computer accessing from the same port as well as assigning fixed IP address.Microsoft ISA 2006 proxy server was deployed in the network exit to obtain NAT and record Internet log.The system realized plug-and-play patients access to Internet and online behaviors monitoring based on IP address.The system facilitates the patient access to Internet with wired network,and their online behaviors can also be audited.[Chinese Medical EquipmentJournal，2014，35（2）：60-63]

DHCP;hospital patient;Internet service;security

R318；TP311

A

1003-8868（2014）02-0060-04

10.7687/J.ISSN1003-8868.2014.02.060

傅效群（1975—），男，硕士，工程师，主要从事医院信息化和网络安全方面的研究工作，E-mail：fuxiaoqun@sina.com。

100142北京，北京肿瘤医院信息部（傅效群）