东软医保软件在校园网中跨区使用

开篇：润墨网以专业的文秘视角，为您筛选了一篇东软医保软件在校园网中跨区使用范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：本文提出了在校园网中跨区使用东软医保软件的一个解决方方案。

Abstract: This paper presents a solution program of the Neusoft Medical Insurance software used in the Campus Network.

关键词：围栏；策略路由

Key words: VLAN；Policy Routing

中图分类号：TP39文献标识码：A 文章编号：1006-4311（2011）25-0137-01

1 存在问题

主要存在以下几个方面问题。

1.1 医保系统的安全性如何保证。在校园网上运行医保管理软件，必须从技术上保证系统传递的数据不能被校园网其他用户获取。同时医保系统使用专线，相当于校园网增加了一个新的出口，为保证校园网安全，医保专线出口必须有相应的安全设置。同时医保系统的运行不能对校园网运行有过多干扰，尤其不能改变现有校园网拓扑及IP地址的规划，尽量不增添额外设备。

1.2 医保系统双机运行有许多特殊的要求，如主机不支持双网卡，主机、备机必须能互访且同时能通过专线访问医保服务器，软件及运行的操作系统不支持VPN等复杂的认证方式（可进一步探讨）。具体到河南工院，还存在一个医保系统使用的保留IP地址，与学院现有IP段冲突的问题。

2 解决方案

实现两台计算机跨校区互联，一般主要来说，可以通过二层的围栏（VLAN）或三层的路由来实现，两种方案有各自的适用条件。VLAN适用于同一网段内计算机，通过二层交换机间的相互连接。如果两台计算机距离较远，跨多个交换机，则可以通过TRUNK实现跨交换机的VLAN，VLAN安全性好，不同VLAN间无法通讯，可以确保VLAN内数据通讯安全。但现在规模较大的校园网，多在汇聚层就使用三层设备，三层设备（路由或交换）可以终结VLAN，因此VALN数据通讯的安全性在三层设备上得不到保障，且在校园网上实现还要保证不同网络设备VLAN的兼容性。

三层的路由同样可以实现校园内两台计算机的互联，如大多数校园网正在使用静态路由或动态路由协议。但考虑到医保系统数据传输的途径与其他数据不同，有专门的出口，因此必须在现有路由协议基础上，增加使用源路由路由，也就是能够基于源地址进行路由选择的新的路由策略。源路由路由的优先级一般高于其他路由协议，应用得法，可以防止其他数据对医保数据的干扰，保证数据传输的安全性。在此情况下，如何保证新增加的路由策略不影响原有的路由协议功能，是问题的关键。

3 实现过程

经以上分析，确定采用VLAN+策略路由的方式实现医保数据的安全传输，即在汇聚交换机（三层设备）以下采用VLAN隔离数据，汇聚到核心、核心到汇聚采用策略路由控制数据传输途径。为解决IP地址冲突问题，同时保证校园网安全，在校园网医保系统出口应使用具有NAT地址转换功能的路由，同时启用防火墙，对进出路由的数据进行过滤和限制，防范可能发生的网络攻击行为。同时对回程路由进行限制，保证医保系统的备机只能访问限定IP的计算机。

组网需求：办公网为192.168.0.0/16网段，核心交换机为H3C S9500，汇聚交换机为H3C S5516，接入为H3C E026。老区医保机（IP192.168.6.2）通过校园网医保出口(IP192.168.226.2)做NAT连接医保主机，并通过ADSL上医保系统；校园网其他计算机由校园网通过校园网总出口上internet。在S9500上配置策略路由，在接入交换、老区汇聚划分VLAN。

4 配置代码、注意事项

软件版本：适合H3C S5516、S9500交换机全系列软件版本硬件版本。

具体步骤中vlan配置略，医保出口设备配置从略。

4.1 配置路由规则

[S9512]acl number 3010

[S9512]rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.255.255

[S9512]rule 1 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.255.255

[S9512]rule 2 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.0.0 0.0.255.255

……

[S9512]acl number 3020

[S9512 acl number 302]rule 0 permit ip source 192.168.6.0 0.0.0.255

4.2 应用策略路由

[S9512]Interface GigabitEthernet10/1/17

[S9512 Interface GigabitEthernet10/1/17 ]packet-filter inbound ip-group 3010

[S9512 Interface GigabitEthernet10/1/17]traffic-redirect inbound ip-group 3020 next-hop 192.168.226.2

4.3 注意事项

①策略路由的优先级高于静态路由，因此顺序不能颠倒；②IP和掩码格式按要求书写；③策略路由要对原静态路由规则的进行处理。

5 结论

按上述方法修改校内二层交换机及三层核心交换配置后，新老校区的医保系统均可正常使用，校园网其他用户与医保机之间不能互相访问，满足了医保系统安全使用的要求。此问题的解决对其他类似的网络软件的使用，提供了一个参考。

参考文献：

[1]任小金等.策略路由在校园网中的应用[J].河南大学学报（自然科学版），2003，（03）.