巴江波，陈江，淡攀东，涂伟，胡中园

华中科技大学同济医学院附属荆州医院信息科，湖北 荆州 434020

我院于1999年在全省率先实现了计算机网络化管理，并逐步建成了万兆光纤主干、千兆到桌面的医院信息化系统（HIS），取得了很好的社会效益和经济效益。一直以来医院网络主要通过划分IP子网的方式来管理网络[1]，但是这种管理方式存在很多缺点：导致工作站擅自更改IP地址，使网络频繁出现IP地址冲突等问题；HIS工作站IP地址经常被更改用来上网，工作站经常感染病毒以至影响工作，并且对医院数据安全带来隐患[2]；非院内电脑随意接入医院网络，增加医院网络安全隐患；网络中ARP攻击严重，影响整个网络的运行。新外科楼投入使用后，病房能够提供上网服务，但通过IP方式管理将无法适应病房网络管理的需要。

为了提升医院网落管理水平，提高医院网络运行效率，经过我院工作人员分析、实验和测试，决定采用PPPOE（以太网上的点对点协议）技术虚拟拨号方式来管理医院网络。我院从2008年1月开始使用PPPOE方式来实现Internet访问，截止到2012年10月，通过4年多的运行，现达750个左右的网络用户，并且网络比较稳定。通过PPPOE方式管理医院网络，能够大大增强医院网络对ARP攻击的抵抗能力，更好地保障医院的Internet连接的稳定性；可以大大提高医院Internet接入管理的水平，保证医院业务工作站与数据的安全；同时能够为病友提供更加便捷的网络服务。但是2012年10月医院网络整体结构升级，全院网络实现三层结构管理，原有虚拟拨号服务器设置无法满足管理要求。

1 PPPOE协议及虚拟拨号技术介绍

简单地说，PPPOE就是将以太网和PPP协议结合后的协议，目前广泛应用在ADSL接入方式中[3]。PPPOE是在以太网上建立PPP连接，由于以太网技术十分成熟且使用广泛，而PPP协议在传统的拨号上网应用中显示出良好的可扩展性和优质的管理控制机制，二者结合而成的PPPOE协议得到了宽带接入运营商的认可并被广为采用[4]。通过PPPOE技术，我们就可以实现高速宽带网的个人身份验证访问，为每个用户创建虚拟拨号连接，这样就可以高速连接到Internet。

虚拟拨号技术在接入Internet时同样需要输入用户名与密码，它是利用PPPOE协议接入虚拟专网的。利用虚拟拨号技术做接入管理需要PPPOE拨号服务器和客户端拨号软件等运行环境[5]。本项目中拨号服务器采用MikroTik RouterOS 5.20 系统作为运行平台。RouterOS系统是一款基于Linux的路由器操作系统，通过该软件将标准的PC电脑变成专业路由器，是一套低成本，高性能的路由器系统，功能强大，拥有几乎所有硬件路由具有的功能[6]。本项目只选用了它的PPPOE Server功能。PPPOE拨号服务器主要任务是用户帐号管理、用户认证、路由转换等功能。

2 二层网络下ROUTEROS的配置

在二层网络下ROUTEROS的配置主要包括ROUTEROS的安装、网卡IP配置、配置PPPOE-Server、配置NAT、为路由器配置默认路由和流量控制等步骤。客户端机器可以使用WINDOWS XP自带的PPPOE拨号工具即可[7]。

2.1 ROUTEROS的安装

ROUTEROS已经和Linux结合在一起，系统对硬件要求不高，基本是自动安装、比较简单。我院服务器配置，见表1。

表1 服务器配置表

2.2 ROUTEROS的基本配置

将外网（外网IP地址由ISP商提供，本文设为219.138.6.*/24）连接到网卡1（WAN），WAN IP地址设置为219.138.6.*/24，内网网卡（LAN）用于PPPOE Server，不设置IP地址。

ROUTEROS的PPPOE Server 配置大致可分5个步骤：PPPOE虚拟拨号用户设置一个IP地址池，用于给客户动态分配IP地址；添加一个PPP profile，设置一个路由器IP地址，以使客户可以从IP POOL中获取IP地址；添加PPPOE拨号用户，用户可以使用用户名和口令进行拨号；添加PPPOE Server服务；配置NAT。

客户端机器可以使用WINDOWS XP自带的PPPOE拨号工具或者安装一款PPPOE虚拟拨号软件

3 ROUTEROS在三层网络中的问题及解决方法

当医院网络实现多VLAN的三层结构管理后，ROUTEROS服务器只能对内网网卡所在VLAN提供PPPOE服务，未能实现跨VLAN应用。

由于三层网络中内网的跨VLAN访问需要通过网络，如果用PPPOE拨号后，系统默认路由改为虚拟网络的路由，以至于院内跨VLAN的业务无法正常运行。部分机器使用静态路由实现上述功能，但是系统配置较繁琐，维护工作量大。

经过分析、实验和测试，通过在ROUTEROS添加多VLAN服务和回程路由设置等可以有效解决上述问题。

3.1 交换机配置

我院核心交换机采用H3C S12580，接入层交换机采用H3C S5120系列。在核心交换机上增加一个VLAN，用于ROUTEROS内网网卡与院内局域网通讯，并配置增加并允许VLAN30到VLAN40建立拨号连接。

3.2 三层网络下ROUTEROS的配置

在三层网络中，拨号服务器设置需要做部分调整：内网网卡地址设置为10.101.80.100，使ROUTEROS服务器能够与核心交换机通讯；增加允许PPPOE服务的VLAN（VLAN30到VLAN40）；在每个VLAN中增加相应VLAN内的PPPOE服务，用于提供拨号连接服务，并配置内网NAT和回程路由。

4 日常管理

PPPOE-Server的日常管理主要是通过WINBOX来实现。在医院网络管理工作站上，通过PPPOE协议与PPPOE服务器连接后，输入内网管理IP地址，可以下载GUI配置工具WINBOX，运行WINBOX并登录可以进行服务器配置，包括添加PPPOE帐号、新的IP地址池、带宽管理等，并可以监视网络运行状况[8]。PPPOE-Server日常管理主要包括用户组管理、用户管理、带宽管理等。

按照医院网络用户的不同可以将医院网络帐号分为业务组、办公组和患者组等。根据不同的工作组，管理人员可以设定不同的IP地址池，并按不同的规则限制用户带宽、用户有效期、网络使用限制等。

4.1 用户管理

用户账号的管理是该系统维护的主要功能。通过图形化的WINBOX工具，管理员能够方便快捷的管理用户的账号、密码、用户功能分组和地址绑定等（图1）。在用户管理中Service中能够维护用户能够调用的服务的类别，一般默认选择“PPPOE”，使用户只能够使用该服务；管理员通过对“Caller ID”的维护能够绑定该用户账号使用机器的MAC地址，防止发生一个账号在多点登录的问题，提高管理的效率；设定用户“Profile”属性，能够为不同的用户分配到不同的地址池，管理员通过对不同地址池的带宽限制实现带宽的管理。

图1 用户管理

4.2 用户带宽管理

医院利用该平台接入网络的总用户数在750个左右，高峰时段同时在线数约450个左右，但是医院出口总带宽只有100 M，为保障网络资源的合理分配，用户带宽的管理至关重要。

管理员在系统中根据医院业务的类别设置多个地址池，用户调用不同的Profile可以获得不同地址池中不同网段的IP地址。Profile相同的用户在接入时取得的IP不同，但是都在同一的网段内，通过对该段网络地址的限速能够实现对不同用户和用户组限制速度的目的。利用Winbox中“Queue”能够对不同的IP地址限定不同的上行、下行以及用户允许接入时段等限制（图2）。管理员也能够通过编写限速脚本的方式，快速批量的增加限速规则。

图2 网络带宽管理

4.3 网络应用管理

医院网络应用的特点是并发应用数多，关键性业务对系统稳定性要求高。虽然实现了带宽的限制，但是在运行过程中，管理员发现大量类似迅雷、电驴和BT等P2P下载工具，以及网络视频播放软件长时间大量占用网络资源，严重影响业务运行。在RouterOS中通过防火墙的应用，能够对下载软件限制下载线程数，甚至限制使用部分下载工具，达到限制下载速度的目的；利用防火墙，管理员也能够方便地对视频网站、聊天工具等软件进行限制[9]。

4.4 网络运行监测

系统运行过程中，管理员通过Winbox能够方便快捷的监控网路运行状况，及时发现资源异常占用情况，及时与使用者沟通以保证网络的正常运行。在VLAN管理模块中，管理员能够实时监测各VLAN占用带宽的情况（图3），必要时调整VLAN的设置情况；在Interface模块中，管理员能够实时监测个用户带宽占用情况（图4），对长时间高带宽占用的用户可以及时管理，实现资源的合理化利用。通过分析带宽使用的情况，管理员也能够适时的调整限速的策略等，提高资源利用率。

图3 各WLAN运行情况监控

图4 用户带宽使用状态监控

系统数据的备份也是日常管理中的一项重要环节。在运行过程中，管理员每个月对系统做一次完整的备份。

5 系统运行情况及分析

我院网络实行三层网络管理，并于2012年10月开始运用上述PPPOE多VLAN解决方案后，医院网络运行基本稳定，满足了业务、管理部门和病房等多部门的需求，取得较好效果。

在使用PPPOE拨号前，我院采用IP地址及NAT转换的方式实现网络的接入，部分医护工作站的工作人员为了能够上网，经常参照其他机器修改机器IP地址，极易引起地址冲突。2008年前技术人员每天平均需要处理类似问题5起以上，同时管理人员也无法清楚掌握医院网路使用情况，用户大量使用P2P等工具下载，无法控制分类控制用户带宽。在采用该管理模式后，特别是采用多VLAN下PPPOE管理模式后，网络认证方式改为用户名和密码方式，与IP地址无关，每个账号与机器MAC地址绑定，工作人员基本不再修改机器IP地址，基本杜绝了IP地址冲突。通过引入用户组的概念，通过用户组的性质及实际需求设定不同的带宽管理，限制单机器所占用的最大带宽数。在该项目应用中设定3个用户组:服务器区组，带宽不做设置；管你员组，带宽限制为4 M；一般用户组，带宽限制2M。带宽管理后，全院在总带宽100 M不变的情况下，全院上网速度一直保持平稳。通过WINBOX管理工具，可以很直观地监测各VLAN下连入网络的用户及负载，能够为VLAN的规划及带宽的控制提供直观的依据。

6 总结

通过采用PPPOE方式管理医院网络，大大增强了医院网络对ARP攻击的抵抗能力，更好地保障了医院的Internet连接的稳定性，提高了Internet接入管理的水平，保证了医院业务工作站与数据的安全；同时能够为病友提供更加便捷的网络服务；能够方便的实现网络用户的带宽管理。通过回程路由的设定，能够有效地解决医院业务网与Internet连接的同时，满足了部分特殊部门的要求；通过ROUTEROS为各个VLAN提供相应的的PPPOE服务，能够有效区分不同VLAN的网络功能，并能有效监控各VLAN内连网情况，有利于网络管理。

但是通过回程路由访问医院院内业务VLAN，增加了路由的负担，同时也降低了业务访问的效率，对ROUTEROS服务器的硬件要求提出了更高的要求。

[1]康伯峰,张侃怀.中小医院网络安全管理的体会[J].西南国防医药,2014,24(1):96-97.

[2]姚晶.医院网络管理与维护[J].医疗装备,2014,27(2):78-79.

[3]唐俊,赵晓娟.PPPOE协议在校园网安全管理中的应用[J].网络安全技术与应用,2008,(12):34-35.

[4]李若岭.PPPOE接入控制技术在学生宿舍区中的应用[J].电脑知识与技术,2008,4(30):581-582.

[5]景建笃,俞宁.Linux内核模式下PPPOE拨号上网的实现[J].计算机应用研究,2005,22(3):258-260.

[6]黄美芝,尹文庆.利用RouterOS的NTH方法实现多ADSL网络负载均衡[J].科学技术与工程,2009,9(17):102-107.

[7]巴江波.PPPOE技术在医院网络网络管理中的应用[J].中国数字医学,2011,6(7):80-81.

[8]杨霖,肖志新.RouterOS在多VLAN中的PPPOE解决方案[J].吉林大学学报(自然科学版),2010,31(6):43-45.

[9]苏东出.利用RouterOS构建高校图书馆无缝网络办公系统[J].现代图书情报技术,2009,29(11):84-86.