南宁医保网络方案.doc

南宁医保网络方案医保网络系统包括市医保中心局域网和全市医保系统广域网两部分，市医保中心通过广域网连接各定点医疗及医药机构，它们之间通过数字专线或拨号线路互连，构成覆盖全市的医保广域网网络，以便达到信息查询、数据传输等资源共享的目的。医保中心还可通过因特网向公众发布各种信息、政策和规章制度。同时，“五险合一”是社会保险事业发展的必然方向，医疗保险信息系统的网络结构设计考虑了这方面的发展趋势，为今后的系统扩展留有一定的余地。医疗保险系统总体网络逻辑图如下所示：一、医保中心网络设计 医保中心网络是本系统的关键所在，要求具有高速、稳定、可靠、安全等特性。为满足此要求，我们采用内外网隔离技术，将医保中心网络分为内部业务子网和外部访问子网两大块。为了增强安全，不仅仅在外部访问子网的前面设置了高强度的PIX防火墙，而且内外网之间也设置了高强度的防火墙。同时还使用了目前较先进的IPSec、VLAN以及通讯机（即堡垒主机代理）等安全技术。内部和外部子网都采用全交换式的快速以太网结构。医保中心网络拓扑图如下：（1）主干交换与路由设计 鉴于医疗保险行业本身的特点，数据并发处理量较大，突发性操作频繁，因而对网络的安全性、实时性要求都比较高。在内部业务子网中，为了增强骨干交换机的稳定和可靠性，采用两台具备第三层路由交换能力的英特尔 Express 550T路由交换机做为骨干交换机，并且互为冗余备份，通过超5类连接到业务主机及通讯机（即堡垒主机）。边缘交换机采用一台英特尔 Express 510T交换机，通过冗余线路上连到骨干交换机，实现桌面10/100交换。外部访问子网的主交换机采用一台英特尔 Express 520T交换机，连接全部的外部访问服务器（WWW/FTP/E-Mail）。为了加强网络主干、提高网络速度，可增加一台英特尔 网擎 (Intel NetStructure)1500高速缓存器。整个网络用Intel Device View网管软件实现智能化的管理。英特尔 Express 500系列交换机产品介绍英特尔 Express 550T路由交换机用于快速以太网园区主干和网段的可扩充路由交换机Intel Express 550T路由交换机的主要特性 利用集成的IP/IPX路由来提高网络性能 通过容错系统支持获得最大限度的网络伸缩性 控制网络资源、访问和通信利用这些高度可扩充、8端口的第3层交换机，您可以创造出快速和可扩展网段或主干解决方案。通过逐个路由数据包，它们可以轻而易举地集成至您现有的路由基础设施之中。您可以使用英特尔 Express 550路由交换机堆叠在主干中集中网络路由，或者通过在工作组中增加英特尔 Express 550路由交换机来将路由功能分配到网络边缘。可扩充的堆叠技术该项英特尔技术实现了英特尔 Express 500系列交换机中机箱式交换机的众多优势，而且无需高额的前期成本。性能利用可扩充至14.7Gbps的可伸缩性背板，总计可难叠多达7台交换机。您在堆叠中每增加一台交换机，英特尔 可扩充堆叠技术即可为背板提供额外的2.1Gbps带宽。您可以根据需要增加交换机来支持更多的用户，并且确信您的交换结构能够随时扩充来满足日益增长的带宽需求。可管理性整个堆叠可以作为一个设备进行管理。可靠性可使用一套冗余堆叠模块来消除交换机到交换机连接的单点故障（英特尔 Express 550T和550F路由交换机以及520T交换机）。特性优势可扩充的堆叠技术在堆叠中每增加一台交换机便可增加额外2.1Gbps背板容量。第3层交换(IP/IPX路由）允许网络分段，以增强性能。冗余电源、冗余背板连接容错、可靠。IP数据包过滤通过阻止不必要的http、Telnet或FTP访问来增加安全性。IP多点广播支持利用互联网成组管理协议(IGMP)或远距离矢量多点广播路由协议(OVMRP)提高带宽利用率。RSVP通过保留带宽来改善对等待时间敏感的应用传输质量，如音频和视频。差别服务划分通信的优先级，使关键业务应用具有优先权。链路集合集合多个端口来支持更高带宽的连接，并提供额外的网络伸缩能力。英特尔 Express 520T交换机用于园区环境和网段的可扩充快速以太网交换机该款通用型12端口快速以太网交换机支持分段交换机所需的可扩展性，而且具有足够的端口密度，以实现经济高效的小型工作组解决方案。将其与英特尔 Express 550路由交换机相堆叠并增加冗余背板连接，即可获得客户化和高度可靠的网络核心。或者，与 英特尔 Express 510T交换机相堆叠，您将可以更准确地满足您的桌面交换需求。特性优势可扩充的堆叠技术在堆叠中每增加一台交换机便可增加额外2.1Gbps的背板容量。冗余电源、冗余背板连接容错、可靠。先进的流量控制(802.3x)减少拥塞并防止数据包丢失。链路集合集合多个端口来支持更高带宽的连接，并提供额外的网络伸缩能力。IP多点广播修整当向多个台式机广播通信时可减少拥塞。英特尔 Express 510T交换机可扩充交换机。将价格适中的工作组交换带至桌面英特尔 Express 510T交换机的主要特性 可扩充，轻松满足您日益增长的网络需求 可扩展，支持光纤、ATM和千兆位以太网 基于互联网和Windows*操作系统的直观的安装与控制将专用快速以太网性能扩展至您的桌面。利用互选模块，该款24端口交换机可扩展至多达32端口，在7台交换机的堆叠中端口最多可达196个。特性优势可扩充的堆叠技术在堆叠中每增加一台交换机便可增加额外2.1Gbps的背板容量。先进的流量控制（802.3x）减少拥塞并防止数据包丢失。链路集合集合多个端口来支持更高带宽的连接，并提供额外的网络伸缩能力。IP多点广播修整当向多个台式机广播通信时可减少拥塞。冗余电源容错、可靠。英特尔 网擎 (Intel NetStructure)1500高速缓存器 加强网络主干、提高网络速度英特尔 网擎 (Intel NetStructure) 高速缓存器可以增强您的网络主干。高速缓存技术主要用于存储用户访问最频繁的网上信息，它可以有效地改进您客户的互联网体验，并充分利用您现有的网络资源。英特尔网擎高速缓存器集成在超薄型机架安装平台之上，结合了英特尔高速缓存器技术与业界领先的Inktomi* Traffic Server Engine*高速缓存软件，可为您的客户提供最大的网络带宽和高质量的互联网服务。易于配置、使用和管理无论带宽需求和运营规模如何，高速缓存技术均可提供更佳的信息管理节约上游网络带宽，同时增强用户的互联网体验。现在，英特尔更提供了经济高质的机架安装式设计，从而真正实现了设备的快速部署。英特尔网擎高速缓存器专门设计，具有自动安装向导和直观的软件配置，安装和维护十分方便。因此，这一全面集成的硬件/软件解决方案能够以最快的速度并入您的网络，而且无需专业的系统管理员进行部署。您可以轻松将其部署到数据中心或网络接入服务提供商中。基于浏览器的控制台和基于网络的命令行界面(CLI)等管理特性使用户可以远程管理系统硬件及应用软件。英特尔网擎高速缓存器使您能够经济有效地提高客户服务水平，从而保持快速发展。英特尔网擎高速缓存器是可扩充的解决方案，在降低网络带宽需求的同时，还可改进对互联网信息的访问，并提高性能所有这些优势都有助于您在互联网市场竞争中遥遥领先。作为领先的提供商，Inktomi* 为众多最活跃的互联网站点和要求最苛刻的网络提供了高速缓存解决方案，并将其专业技术与经验应用到了Inktomi Traffic Server Engine*之中。它与英特尔高速缓存器技术紧密结合，提供了出色的高速缓存能力和强大的可靠性，不但可增强最终用户的体验，而且还能够提高您的收益。提高网络容量和可靠性 英特尔 网擎 (Intel NetStructure) 高速缓存器配备热插拔硬盘，采用简化的安装和管理界面，并具有自动恢复备份和远程管理能力。所有这些特性均集成在一个2U机箱之中，不仅可提高您主干系统的容量和可靠性，而且丝毫未改变系统体系结构，或扩大网络系统的占地面积。 随着带宽要求的提高，以及新客户的增加，英特尔网擎高速缓存器还支持集群能力。使用一台支持Layer4重定向功能的交换机进行部署，如英特尔 Express 550T交换机，即可实现可扩充的高速缓存解决方案，不但强大，而且经济高效。世界一流的带宽管理 使用英特尔即插即用的高速缓存解决方案，您可提高客户服务能力和收益。英特尔网擎高速缓存器提供了全面的带宽管理，并为增强您的互联网能力而精心设计，可为您的成功助一臂之力。您可以降低任何网络高峰需求的影响，并通过可扩充的解决方案英特尔网擎高速缓存器来充分利用宝贵的资源。基于互联网和Windows*操作系统的管理平台所有英特尔 Express 500系列交换机均配备英特尔 Device View，它是一款通用型设备管理应用程序，可用于安装、配置和监视所有可管理的英特尔设备，包括交换机、集线器、路由器和打印服务器。英特尔 Device View以单一界面提供了基于互联网和Windows*操作系统的管理，它可自动发现和映射所有可管理的英特尔设备，并且能够利用用户定义的图表对网络通信情况和趋势进行分析。该软件亦可插入到HP Openvtew*或Tivoli的Netview*企业管理应用程序之中。（2）安全保护设计 为了保证医保中心局域网络的安全，系统中分别在内部业务子网与外部访问子网之间、外部访问子网与外界广域网之间都设置了硬件防火墙。同时，为了保护业务主机，不允许直接访问业务主机，所有的业务访问均通过通讯机（即堡垒主机）代理来完成。就算系统的两道防火墙被黑客破坏后，入侵者也无法直接访问业务主机，在最严重的情况下，入侵者也只能摧毁通讯机（即堡垒代理主机）而已，其无法窜改或删除业务数据。由于通讯机是所有业务访问的代理，为了增加通讯机的安全可靠性，采用双机热备份方式工作。对于硬件防火墙，系统选用了Cisco公司的Cisco Secure PIX防火墙。Cisco Secure PIX防火墙集成有硬件和软件，易于安装，具有卓越的性能，能够提供强大的安全保护能力，使您能够对内部网进行严格的保护，把内部网络结构与外界完全隔离开来，使其免受外部世界的入侵破坏，为您提供全面的防火墙安全保护。Cisco Secure PIX防火墙的功能特点如下：l 访问控制表（Access Lists）控制那一台内部主机能够建立与外部网络的连接。通过访问控制表可对安全策略进行配置，以限制对外部网络的访问（限制可以是基于源地址、外部目的地址，或通信协议）。l 适应性安全算法（ASA），始终监视返回的数据包，以判别其合法性。并使用随机的TCP序列号来减少受到TCP序列号攻击的危险。l 与Cisco IOS一致的配置界面，简单并且易于操作。l 采用管道技术，允许特定用户从外部网络访问内部网络。l 直通式代理服务，建立在用户级别上的对外部接入和内部接出的验证。对于普通的代理服务器，它要分析应用层每一个数据包，而PIX防火墙首先询问身份验证服务器，当连接被确认后，它就建立起一个数据管道，之后所有的信息流就直接在连接双方迅速地传递。允许安全策略建立在每用户地ID之上，一个连接必须首先验证用户ID和口令才能建立起来。l DNS防护，识别向外部网络发出地DNS转换请求，仅接受一个DNS响应。l 可通过设置最大地初始连接数来保护内部主机不受突发的大量TCP SYN数据包的攻击。l 控制“用户验证服务”允许的未应答的登录请求次数。l 图形化的管理界面，提供基于WindowsNT、Windows95/98、或Solaris等操作系统的WWW浏览器管理界面。l IP碎片防护，以抵御IP碎片的攻击。l Java过滤，网络管理员可禁止从内部主机下载Java applets。l 安全的电子邮件访问。l 支持建立在NetBIOS over IP 技术之上的内部网络与外部网络的连接。l 网络地址转换（NAT）。对内部主机，当其向外部发送数据包时，对其源IP地址进行转换，同时支持动态和静态转换。允许给内部主机赋予私有IP地址或保留现有的合法IP地址。l 端口地址转换（PAT）。通过使用端口重映像，一个单独的IP地址可支持64,000个实体的源IP地址转换。l 支持虚拟私有网络（VPN）互操作和基于IPSec的扩展。l SNMP MIB-II支持。通过SNMP，PIX防火墙可集成到传统的网管系统中。l 通过阀值的设定，当PIX防火墙被黑客攻击时，管理员能够自动地通过E-Mail或寻呼接受实时报警。二、广域网连接方案设计（1）中心网络广域网接入根据全局网络结构的逻辑图，对于广域网访问，中心网络系统可以采取DDN、Internet、PSTN三种接入方式。虽然DDN和Internet的连接，可在同一台路由器上实现，但是当这一台路由器被通过Internet入侵的黑客攻破端口后，后面的连接大型参保单位的端口就会暴露在入侵者的面前，为了安全起见，系统采用两台路由器来分别连接DDN专线和Internet线路。路由器选用Cisco 3660路由器。为了满足远程通信的需要，系统中配置了远程访问服务器。对于远程拨号访问服务器，推荐采用独立式的远程拨号访问服务器，系统采用Intel的LanRover D56 拨号服务器。1. Cisco 3600 系列路由器关键特性 在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、ATM 连接以及语音、视频和数据的多种业务集成。 模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护。 高密度 ISDN PRI 功能。 预配置的 BRI 和 PRI 调制解调器捆绑。 支持 Modem-over-BRI 功能性。 集成了 Cisco IOS 软件(产品定价中包括IP IOS软件)。 完全支持VPN。 Cisco IOS 防火墙特性集提供防止网络入侵的安全保护。Cisco 3600 系列是一个适合大中型企业和 Internet 服务供应商的模块化、多功能访问平台家族。Cisco 3600 系列拥有70多个模块化接口选项，提供语音/数据集成、虚拟专网(VPN)、拨号访问和多协议数据路由解决方案。Cisco 3600 系列通过利用 Cisco 的语音/传真网络模块，允许客户在单个网络上合并语音、传真和数据流量。高性能的模块化体系结构保护了客户的网络技术投资，并将多个设备的功能集成到一个可管理的解决方案之中。Cisco 3600 是世界第一个真正的多功能应用支持平台，在单独一个服务器上广泛支持分支机构/企业拨号访问应用，LAN 到 LAN 或者路由选择应用以及多服务应用。它提供前所未有的模块化选项，可使用多种不同的网络模块，它还具有强大的灵活性，可针对客户的不同应用环境，提供各种配置选项，而且最重要的是，它具有支持所有这些应用的优质运行性能。作为一个多功能解决方案，你可以依靠 Cisco 3600 平台的出众性能、安全性以及灵活性来满足你未来多年的需要。与具有综合管理、配置以及单供应商支持的一台多功能设备相比，管理、配置以及支持多台设备的费用就显得相当昂贵。此外，Cisco IOS 软件包含许多可提供安全性、可靠性以及WAN优化的功能，在任何应用环境中，都可以使用 Cisco IOS 功能来控制不断上升的WAN费用。例如，Cisco 3600服务器支持按需拨号路由选择(DDR) 和拨号备份，同时支持 Protocol Spoofing 和 Snapshot Routing，从而减少不必要的 WAN 传输。为了更进一步减少WAN费用和增加有效带宽，Cisco IOS 软件支持在帧中继、专线以及拨号网络上的数据压缩。Cisco IOS 软件拥有广泛的多媒体功能，可以支持诸如在 WAN 上的电话会议那样的新型应用。资源预保留协议(RSVP)、非协议依赖性的多点广播(PIM) 以及加权公平排队 (WF) 等功能可以保证一贯的服务质量以及较高的应用可用性。功能特点 全功能的 Cisco IOSCisco 3600 是 Cisco 整套端到端拨号连接解决方案中的一部分。没有任何其它的供应商能够向远程用户提供这么多的 Intermir 访问以及企业扩展选择。而且 Cisco IOS 软件有能力在用户负担得起的前提下布置拨号虚拟专用网络 (Dial VPNS)，使 Cisco 产品的功能又得到了相应的提升。用户还能够通过数据压缩等带宽优化技术来节省开支，并且可以布置高质量的网络安全防火墙以及数据加密功能。 安全性安全已成为今天大多数网络管理者关心的主要问题，Cisco 3600，配合广为流行、功能强大的 Cisco IOS 软件，可以为客户核心网络提供全面的安全保障。对于远程用户环境，Cisco 3600 将该项已被证明是有效的核心安全技术扩展到混合介质拨入站点。Cisco ISO 软件支持的安全功能包括访问列表、侵入事件记录、远程访问拨入用户服务(RADIUS)、KerberosV 以及具有验证、授权和记帐 (AAA) 的 TACACS+。 管理Cisco 3600 提供一套称为 Cisco Works 的完善的图形用户界面(GUI)管理工具，可对 Cisco 3600 机箱及其相关网络模块进行图形化的配置、监控和调试。Cisco 配置管理功能向网络管理者提供对网络统计数据的完全控制以及在一个中央控制中心配置和调节网络操作的能力。Cisco IOS 软件包含全面的故障分析工具，可以大大减少问题隔离和恢复所需的时间和费用。针对 Cisco 3600 提供的内部调制解调器，一套先进的可选调制解调器管理功能可供使用，它提供广泛的带宽优化功能，可以帮助分支机构和企业客户降低运行地理位置分散的广域网络的重复费用。调制解调器管理功能集包括呼入过程监视 hard and busy out、分组、一个用户定义的警告域值以及统计功能。管理人员可查看调制解调器的调制配置、调制解调器协议、调制解调器 EIA/T I-B2 信号状态。调制解调器发送和接收速率以及模拟信噪比等实时(当时或以前的呼叫)。调制解调器可以用管理网络其它部分的相同工具来管理，从而为网络管理者提供了一个在中央管理点进行管理的解决方案。 可扩展性Cisco 采用了多机箱多链路点对点协议 (MMP) ,使客户开始时可以建立一个小规模的网络，在需要的时候再扩展额外的访问服务器，而同时还能够使用拨号访问。拥有中型拨入池的企业和分支机构网络管理员间能够很容易地扩展和集成其访问网络架构，以聚合多个服务器上的多个呼叫，从而为其最终用户提供一个更高带宽的解决方案。当服务供应商和企业客户利用分布式网络的可靠性建立具有弹性的网络系统时，这些可扩展功能对他们是非常重要的。多链路点到点协议 (MP) 使用户可利用ISDN连接的优势，并且可以使用两个B通道达到128kbps 数据吞吐量。异步用户如果在其工作站上获得支持，使用两个通过两条电话线连接的调制解调器，他们也能够受益于该功能。为了满足用户不断增长的需求，需要扩展 Cisco 3600 解决方案，而MMP支持是实现这种扩展的一个关键因素。MMP使呼叫能够被“链接”起来，而不管每个呼叫被置于哪个物理机箱，从而能将 Cisco 3600 机箱堆放起来并视为一个拨入池。 Cisco 3600 平台高度模块化的 Cisco 3600 系列访问服务器具有惊人的多功能性，可以单一机箱内支持分支机构/企业拨号访问应用，局域网到局域网 (LAN-to-LAN) 或路由选择应用以及多服务应用。这些独有的特性使Cisco 3600 系列成为大型分支机构理想的平台。Cisco将继续为 Cisco 3600 系列开发新的解决方案，以助你保持领先的地位。Cisco 提供前所未有的模块化选项，可以使用多种网络模块，还有巨大的灵活性，配有各种适合客户专用应用环境的可配置选择，而且最重要的是，Cisco 具有支持所有这些应用的优质运行性能。2. LanRover D56 拨号服务器 主要特性 支持多达60个V.90 56Kbps并发对话高密度数字调制解调器 多处理、多总线超标量芯片体系结构 多种经济高效的配置 模块化，可从BRI升级至PRI、从12个调制解调器升级至60个自适应10/100Mbps网络连接轻松的管理多台机器的多链路PPP概述LanRover D56 拨号服务器为那些需要对信息进行快速、可靠访问的中小型企业而专门设计，是一款数字远程访问服务器，它具有独一无二的非阻塞、多处理体系结构，为端接PPP数据包而精心优化。与其它随着呼叫容量的提高而不得不牺牲性能的远程访问服务器不同，LanRover D56 拨号服务器提供了统一、高速的信息访问能力，即使在满负荷运行时也不例外。1、56K调制解调器技术的突破性速度 英特尔的多协议远程访问服务器已因其出色的易用性、性能、安全性和管理已赢得了50多项业界大奖。现在，具有Smart Detect 功能的高速、高密度LanRover D56 拨号服务器通过一个方便的数字广域网接口提供对模拟和数字PPP呼叫的端接。LanRovr D56 拨号服务器全面兼容当今最先进的客户机调制解调器和ISDN终端网卡，目前具有多种经济高效的配置：具有12个调制解调器的8 BRI、仅支持ISDN的单PRI、具有12、24或30个调制解调器的单PRI、具有48或60个调制解调器的双PRI。2、在满负荷运行下实现全面性能 承袭屡获殊荣的LanRover Access Switch 接入交换机的设计理念，LanRover D56 拨号服务器以业界领先的设计提供了一致的性能，即使满负荷运行，服务器也可从容应付。其独一无二的非阻塞体系结构可确保缓冲、带宽和系统资源能够随时服务于所有用户。通过将处理能力分散到关键性能广域网和数字调制解调器接口组件中，LanRover D56 拨号服务器保持了一致的性能。调制解调器卡、广域网卡和主CPU上的专用微处理器可以产生260 MIPS以上的动力。因此，LanRover D56 拨号服务器能够在处理数据的同时轻松运行诸如呼叫管理、计费、安全与远程适配路由等主CPU任务。远程适配路由可最大限度地减少拨号连接中的通信流量，从而降低线路成本并提高了性能。3、卓越的安全性 利用各种安全选件，您可以将LanRover D56 拨号服务器作为一个集中的验证与授权服务器使用，它支持TACACS+和RADIUS，以及第三方安全产品。利用随LanRover D56 拨号服务器提供的ShivaRemote 和Windows NT*安全程序包，您可以增强微软环境中的拨入/拨出安全特性。此外，LanRover D56 拨号服务器还通过Shiva Access Manager，为Windows NT域和Novell* 目录服务提供了代理支持。4、成熟而易于管理的解决方案 LanRover D56 拨号服务器采用最新一代ShivOS，这是一款性能稳定、业经验证的操作系统，用于实现可靠的远程访问，全球逾100,000部LanRover服务器均安装了该操作系统。采用基于JAVA的Shiva Configurator，您能够轻松而直观地对所有英特尔设备进行集中或远程管理。 LanRover D56 拨号服务器完全符合开放式工业标准，它提供了卓越的互操作性和全面的投资保护。您能够在同一模块化、可升级的机箱内将您的远程访问能力从12个调制解调器的BRI升级至48个调制解调器的PRI。特性业经验证的拨入连接单号码模拟和ISDN Smart Detect单号码IPX、TCP/IP、ARA、ATCPShivaRemote for Windows 95*ShivaRemote for Windows 3.x*微软拨号网络客户机微软RAS客户机(支持第三方客户机)AppleTalk PPP拨入支持(支持第三方客户机)FCR PPP for Mac OS(支持第三方客户机)SLIP、PPP和多链路PPP使用NetWare* VLMS和NETX的IPX拨入(包括所有必需软件)异步终端远程登录拨入标准ODI与NDIS驱动程序接口命令外壳注册脚本 支持DNS域名服务器 兼容领先的TCP/IP软件包，包括Novell LAN WorkPlace*、微软TCP/IP-32*、FTP Software PC/TCP*和OnNet*、Sun Soft Connection*、WollongongPathWay*以及Apple Mac TCP* 兼容Windows 95、Windows NT、Windows 3.x、Windows for Workgroups、IBM OS12、DOS、AppleMac操作系统和领先的UNIX操作系统 具有多机器多链路PPP的增强可扩充性和集群。支持机箱中128Kbps ISDN呼叫的端接共享拨出便利 通过异步拨出，使个人电脑和Macintosh用户能够轻松地访问在线服务、电子布告板或互联网支持由内置数字调制解调器发出的数个同时模拟和ISDN拨出对话支持运行于Macintosh或Windows之上的所有领先的通信软件包 对拨出活动实施增强的安全和控制 通过在WinSock兼容IP堆栈上使用任何Windows通信软件包提供IPX或IP拨出服务集中式管理 多台LanRover的集中管理 通过TCP/IP、IPX和命令外壳SNMP(包括MIB II和其它扩展)在TCP/IP、IPX和AppleTalk上实现带内与带外管理TCP/IP地址可通过DHCP、每用户，利用内部地址区或远程选择进行分配保持详尽的活动记录以用于计费、收费和故障排除可从固定内存或BootP/TFTP服务器进行自引导通过任何标准浏览器查看交互式在线文档全面的安全性用户名称、密码和回叫安全性（固定和漫游） 支持SPAP、CHAP和PAP 通过Shiva用户列表、Shiva用户列表服务器、NetWareBindery、NDS和NT域集中进行验证拨入密码过期与更换密码选件可定制用于拨入用户的安全规则或网络事件通知标志 IP设备和网络过滤基于资源和IP地址、协议或端口目的地的IP过滤由用户或服务器进行的AppleTalk分区和设备过滤Windows95安全程序包支持RADIUS、TACACS和TACACS+卓越的性能用于ShivaRemote和Windows 95、以及局域网到局域网连接的STAC数据压缩 标头压缩和广播过滤 在IPX、TCP/IP、NetBEUI、802.2/LLC和AppleTalk环境中的广播过滤 采用英特尔的“Delta”技术(Delta SAP、Delta RIP和Delta RTMP)将更新通信量减少到最低限度（2）下属参保机构广域网连接在医保网络系统中采用的通信手段主要为128K DDN专线和电话拨号线路。其中电话拨号线路作为小型参保单位、药店或单机个人用户的主要接入方式；DDN专线作为各大型医院及参保单位与医保中心之间的主要连接方式，并辅助以拨号线路作为专线的备份，以达到较高的通信可靠性。对于因特网接入，下属单位可采用拨号方式连接因特网，通过WWW和FTP进行查询、浏览和数据传送。这种方式对用户端的要求不高，只要使用流行的浏览器软件并具有电话线路即可实现。从技术发展和长远的观点来看，以因特网为基础建立与各用户的广域网连接是一个发展方向，特别是可建立基于因特网的虚拟私有网络（VPN），可大大节省远程通信费用。三、网络管理软件设备树轻松查看您的所有网络设备浏览器视图在可伸缩的树状结构中查看设备信息在本方案中网络管理软件选用Intel公司的Intel Device View v2.0网管软件。英特尔 Device View V2.0是一款基于因特网和Windows的全面的设备管理工具，可用于安装、配置和监控支持SNMP的英特尔网络设备，其中包括英特尔 Express交换机、集线器和路由器。英特尔 Device View易于使用，减少了费时的设置环节，并使众多曾经需要人工安装的详细配置工作自动进行，从而节省了管理时间。“向导”可协助用户进行安装与配置工作，而直观的界面更可以图形化方式显示英特尔网络设备，使管理更加简单。设备视图利用图形化视图配置和管理您的设备诊断窗口查看由设备发出的诊断信息陷阱窗口在发生网络事件时接收通告系统标签查看设备发生的所有主要事件的工作日志事件窗口查看所有错误信息详细特性1、简单、直接安装 英特尔 Device View 应用软件安装非常简便，使您拥有更多时间来管理您的网络。2、配置向导 先进的发现和安装向导大大简化了众多繁杂的任务，如配置一台新的交换机、在交换机中设置虚拟局域网或重新配置一台路由器。向导将有效地指导您通过每一步过程。3、未配置设备的设置 在英特尔 Device View发现网络设备之后，您可以使用”英特尔设备安装向导”设置未配置的设备。该向导将帮助您自动安装设备的IP地址、子网掩码、名称和共享串。与人工配置要求的时间相比，它所需的时间极少。4、图形化管理 英特尔 Device View可以在界面中以图形化方式显示所支持的英特尔设备的面板。在图形上点击鼠标右键将显示配置和监控信息以及设备管理选项。在端口上点击鼠标右键将显示该端口的菜单选项，如端口速度和双工模式。这些特性允许您：*在您的个人电脑上以真实、易于辨认的方式查看网络设备*即时查看设备状态，检查端口是否正常，或因错误已被禁止5、端口、设备、局域网和广域网通信情况图表 英特尔 Device View可将集线器、交换机、路由器或其它相关网络设备的通信情况制成图表，使管理员可以轻松掌握设备状态。您也可以：*同时运行多个图表，以实时查看设备性能*建立各网段或整个广域网连接的通信图表 这些图表可以帮助管理员确认多种问题。例如，一个显示过多CRC错误的图表可帮助您隔离可能引起不必要网络通信的故障网卡。6、远程监控（RMON）支持 英特尔 Device View不仅提供基于标准的RMON支持，而且还提供了称为快速告警的独特应用。利用它，您将不必在管理信息库（MIB）中人工选择数百种对象标识符（OID），而是可以简单地为预先配置的快速告警事件（如网络利用率、错误和广播风暴等）设置您自己的阈值。英特尔 Device View在交付时已为所有事件设置默认值。RMON支持使您能够： 查看当前网络状态，以对网络事件作出快速反应或提前进行处理 捕获一段时间内的网络数据来协助您规划未来网络容量升级和子网的重新组织集成的 SNMP陷阱日志 英特尔 Device View可显示从任何所支持的英特尔网络设备中发出的陷阱信息，从而帮助管理员在发生事件时确认问题之所在。该日志也可通过改变设备图标来更新在子网示图中的设备图标，以反应设备的当前状态。然后，子网示图将自动扩展，将该设备放入平面视图中供管理员查看。7、管理英特尔 Express 500系列交换机 英特尔 Device View可用于管理英特尔 Express 510T Switch、 英特尔 Express 520T Switch或英特尔 Express 550 Routing Switch。您只需简单双击设备树中的图标即可。设备树列表还可发现英特尔千兆位交换机 双击千兆位交换机的图标即可启动其内嵌的因特网服务器。向导可以大大简化从远程设置和配置到日常管理的广泛处理过程。您可从菜单中选择执行一系列任务。 如欲了解更多信息，请移动光标至以下项目之上。 设置端口速度 设置端口的双工模式 监控交换机通信 设置或改变陷阱接收器 管理堆叠 在交换机中设置虚拟局域网 为ToS区分服务创建IP过滤器 链接集合8、故障排除 英特尔 Device View提供路由器重新配置、诊断和连接恢复能力。用于英特尔 Express 8100系列的Auto Fix特性使您能够在诊断屏幕上改正已确认的问题，而您所需要做的仅仅是按一下按钮。英特尔 Device View组合了可以轻松浏览的协议树和智能诊断功能，通过向管理员指引发生问题的位置而减少了排除故障的时间。9、通信分析 英特尔 Device View还使您能够监控和分析局域网、ISP和帧中继通信，从而优化您的网络。您可以根据需要获得更详细的信息，也可点击3-D按钮使图表细节更易于观看。通过分析通信，管理员可以检验服务级别，为未来的增长进行规划，并调整带宽分配以更精确地满足当前网络需求。可供选择的路由器通信显示包括链接概述、链接详细情况、数据包、利用率和分配。您可以通过突出显示隧道图标来获得更多信息。四、整体实施方案 在此方案中，我们将两台英特尔公司企业级路由交换机550T做为网络主干，对每台550T都配置一块1000SX千兆模块和一块4口10/100 TX模块，保证主干交换机与主干交换机之间、主干交换机与服务器之间、主干交换机与边缘交换机之间都能够相互冗余容错。服务器和边缘交换机都通过双线路连接到主干交换机550T上，对主干100M端口也同样到了容错。这样不但增加了网络带宽，还做到了边缘交换机和主干交换机的完全冗余。同时为主干交换机增加冗余电源模块，增强主干交换机的可靠性。桌面交换机采用Intel Express 510T Switch,其7.2GBPS的高速处理背板，为数据处理提供了无堵塞、无碰撞的交换通路，而且具有足够的端口密度。利用可选模块，该款24端口交换机可扩展至多达32端口，将专用快速以太网性能扩展到桌面。另外我们通过冗余百兆线路，将边缘交换机连接到两台550T上，使整个网络系统达到了高级别的冗余的同时，还获得了高度可靠的网络核心。 在外部访问子网中，我们采用Intel Express 520T Switch作为主干交换机。由于外部子网的服务器群主要是提供WWW、FTP、E-MAIL等服务，为了加强网络主干、提高网络速度，通过旁接一台英特尔 网擎 (Intel NetStructure)1500高速缓存器来提供最大的网络带宽和高质量的互联网服务。在安全方面，Intel Express 520T Switch分别通过两台Cisco Secure PIX防火墙来连接内部业务子网以及外界广域网。内部业务子网的安全通过一台Cisco Secure PIX 515-UR防火墙来提供安全保护，Cisco Secure PIX 515-UR通过2个10/100兆以太网接口使用两条百兆线路来分别连接两台550T主干交换机，再通过增加一个10/100BaseT以太网NIC使用另一条百兆线路连接到外部访问子网的520T交换机。所有访问内部业务子网的连接和数据传输都要经过Cisco Secure PIX 515-UR的许可与控制。外部访问子网的安全也由一台Cisco Secure PIX 515-UR防火墙来进行安全保护。这台Cisco Secure PIX 515-UR通过增加模块达到4个10/100兆以太网接口，其中一个口连接到外部访问子网的520T交换机上，另外3个接口分别连接2台路由器和1台远程访问服务器。外界所有访问医保中心网络的连接，都要经过这台防火墙的安全策略的控制。在广域网连接方面，我们采用1台Cisco 3660路由器增加WAN模块NM-2W和广域网卡WIC2A/S通过基带MODEM连接到2M DDN线路上，专供大型参保机构接入。Cisco 3660路由器内置了冗余电源，并支持网络模块热插拔，方便在线维护。同时Cisco 3660路由器支持6个模块插槽，增加的NM-2W模块带有2个广域网卡插槽，有很强的扩充能力。Cisco 3660路由器具备AIMCopr硬件压缩功能。我们通过Cisco 3660路由器上固定100M 快速以太网接口连接到PIX 515-UR防火墙10/100M快速以太网接口上，提供安全保护。与Internet的连接，通过采用1台Cisco 3640路由器增加LAN/WAN混合模块NM-1FE2W和广域网卡WIC-2A/S通过基带MODEM连接到ISP的128K DDN线路上，提供给参保用户通过因特网来访问。通过Cisco 3640路由器上的混合模块的100M快速以太网接口连接到PIX 515-UR的10/100M 快速以太网接口上，提供安全保护。Cisco 3640路由器支持4个模块插槽，增加的NM-1FE2W混合模块带有2个广域网卡插槽，有较好的扩充能力。为了增强可靠性，可给Cisco 3640路由器配备外置冗余电源。对远程访问服务，采用1台Intel LanRover D56远程访问服务器配置1块24个56Kbps数据调制解调器模块，同时提供24个吞吐量高达56Kbps的访问连接，并且通过10/100M 快速以太网接口连接到PIX 515-UR防火墙上，提供安全保护。Intel LanRover D56远程访问服务器最大可支持36个数据调制解调器，并可配备T1/E1/PRI接口，具备一定的扩展能力。五、方案及产品特点分析 本套方案最大特点在于，在享受550T高容