医保中心网络设计方案

医保网络系统包括市医保中心局域网和全市医保系统广域网两部分，市医保中心通

过广域网连接各定点医疗及医药机构，它们之间通过数字专线或拨号线路互连，构

成覆盖全市的医保广域网网络，以便达到信息查询、数据传输等资源共享的目的。

医保中心还可通过因特网向公众发布各种信息、政策和规章制度。同时，“五险合一”

是社会保险事业发展的必然方向，医疗保险信息系统的网络结构设计考虑了这方面

的发展趋势，为今后的系统扩展留有一定的余地。医疗保险系统总体网络逻辑图如

下所示：

一、医保中心网络设计

医保中心网络是本系统的关键所在，要求具有高速、稳定、可靠、安全等特性。

为满足此要求，我们采用内外网隔离技术，将医保中心网络分为内部业务子网和外

部访问子网两大块。为了增强安全，不仅仅在外部访问子网的前面设置了高强度的

PIX防火墙，而且内外网之间也设置了高强度的防火墙。同时还使用了目前较先进的

IPSec、VLAN以及通讯机（即堡垒主机代理）等安全技术。内部和外部子网都采用

全交换式的快速以太网结构。医保中心网络拓扑图如下：

（1）主干交换与路由设计

鉴于医疗保险行业本身的特点，数据并发处理量较大，突发性操作频繁，因而

对网络的安全性、实时性要求都比较高。在内部业务子网中，为了增强骨干交换机

的稳定和可靠性，采用两台具备第三层路由交换能力的英特尔 Express 550T路由交



换机做为骨干交换机，并且互为冗余备份，通过超5类连接到业务主机及通讯机（即

堡垒主机）。边缘交换机采用一台英特尔 Express 510T交换机，通过冗余线路上连



到骨干交换机，实现桌面10/100交换。外部访问子网的主交换机采用一台英特尔



Express 520T交换机，连接全部的外部访问服务器（WWW/FTP/E-Mail）。为了加强

网络主干、提高网络速度，可增加一台英特尔 网擎™ (Intel NetStructure™)1500

®®

高速缓存器。整个网络用Intel Device View网管软件实现智能化的管理。

★英特尔 Express 500系列交换机产品介绍



英特尔 Express 550T路由交换机



用于快速以太网园区主干和网段的可扩充路由交换机

Intel Express 550T路由交换机的主要特性



■ 利用集成的IP/IPX路由来提高网络性能

■ 通过容错系统支持获得最大限度的网络伸缩性

■ 控制网络资源、访问和通信

利用这些高度可扩充、8端口的第3层交换机，

您可以创造出快速和可扩展网段或主干解决方案。通过逐个路由数据包，它们可以

轻而易举地集成至您现有的路由基础设施之中。您可以使用英特尔 Express 550



路由交换机堆叠在主干中集中网络路由，或者通过在工作组中增加英特尔 Express



550路由交换机来将路由功能分配到网络边缘。

可扩充的堆叠技术

该项英特尔技术实现了英特尔 Express 500系列交换机中机箱式交换机的众多优势，而且无需



高额的前期成本。

性能

－－利用可扩充至14.7Gbps的可伸缩性背板，总计可难叠多达7台交换机。您在堆叠中每

增加一台交换机，英特尔 可扩充堆叠技术即可为背板提供额外的2.1Gbps带宽。您可以根据



需要增加交换机来支持更多的用户，并且确信您的交换结构能够随时扩充来满足日益增长的带宽

需求。

可管理性

－－整个堆叠可以作为一个设备进行管理。

可靠性

－－可使用一套冗余堆叠模块来消除交换机到交换机连接的单点故障

（英特尔 Express 550T和550F路由交换机以及520T交换机）。



特性 优势

在堆叠中每增加一台交换机便可增加额外2.1Gbps背板容量。 可扩充的堆叠技术

允许网络分段，以增强性能。 第3层交换(IP/IPX路由）

容错、可靠。 冗余电源、冗余背板连接

通过阻止不必要的http、Telnet或FTP访问来增加安全性。 IP数据包过滤

利用互联网成组管理协议(IGMP)或远距离矢量多点广播 IP多点广播支持

路由协议(OVMRP)提高带宽利用率。

通过保留带宽来改善对等待时间敏感的应用传输质量，如音频和视频。 RSVP

划分通信的优先级，使关键业务应用具有优先权。 差别服务

集合多个端口来支持更高带宽的连接，并提供额外的网络伸缩能力。 链路集合

英特尔 Express 520T交换机



用于园区环境和网段的可扩充快速以太网交换机

该款通用型12端口快速以太网交换机支持分段交换机所需的可扩展性，而且具有足

够的端口密度，以实现经济高效的小型工作组解决方案。将其与英特尔 Express 550



路由交换机相堆叠并增加冗余背板连接，即可获得客户化和高度可靠的网络核心。

或者，与 英特尔 Express 510T交换机相堆叠，您将可以更准确地满足您的桌面交



换需求。

特性 优势

在堆叠中每增加一台交换机便可增加额外2.1Gbps的背板容量。 可扩充的堆叠技术

容错、可靠。 冗余电源、冗余背板连接

减少拥塞并防止数据包丢失。 先进的流量控制(802.3x)

集合多个端口来支持更高带宽的连接，并提供额外的网络伸缩能力。 链路集合

当向多个台式机广播通信时可减少拥塞。 IP多点广播修整

英特尔 Express 510T交换机



可扩充交换机。将价格适中的工作组交换带至桌面

英特尔 Express 510T交换机的主要特性



■ 可扩充，轻松满足您日益增长的网络需求

■ 可扩展，支持光纤、ATM和千兆位以太网

■ 基于互联网和Windows*操作系统的直观的安装与控制

将专用快速以太网性能扩展至您的桌面。利用互选模块，该款24端口交换机可扩展

至多达32端口，在7台交换机的堆叠中端口最多可达196个。

特性 优势

在堆叠中每增加一台交换机便可增加额外2.1Gbps的背板容量。 可扩充的堆叠技术

减少拥塞并防止数据包丢失。 先进的流量控制（802.3x）

集合多个端口来支持更高带宽的连接，并提供额外的网络伸缩能力。 链路集合

当向多个台式机广播通信时可减少拥塞。 IP多点广播修整

容错、可靠。 冗余电源

★英特尔 网擎™ (Intel NetStructure™)1500高速缓存器

®®

加强网络主干、提高网络速度

英特尔 网擎™ (Intel NetStructure™)

®®

高速缓存器可以增强您的网络主干。高速缓

存技术主要用于存储用户访问最频繁的网上

信息，它可以有效地改进您客户的互联网体

验，并充分利用您现有的网络资源。英特尔

网擎高速缓存器集成在超薄型机架安装平台

之上，结合了英特尔高速缓存器技术与业界

领先的Inktomi* Traffic Server Engine*

高速缓存软件，可为您的客户提供最大的网

络带宽和高质量的互联网服务。

易于配置、使用和管理

无论带宽需求和运营规模如何，高速缓存技术均可提供更佳的信息管理－－节约上

游网络带宽，同时增强用户的互联网体验。现在，英特尔更提供了经济高质的机架

安装式设计，从而真正实现了设备的快速部署。

英特尔网擎高速缓存器专门设计，具有自动安装向导和直观的软件配置，安装和维

护十分方便。因此，这一全面集成的硬件/软件解决方案能够以最快的速度并入您的

网络，而且无需专业的系统管理员进行部署。您可以轻松将其部署到数据中心或网

络接入服务提供商中。基于浏览器的控制台和基于网络的命令行界面(CLI)等管理特

性使用户可以远程管理系统硬件及应用软件。

英特尔网擎高速缓存器使您能够经济有效地提高客户服务水平，从而保持快速发展。

英特尔网擎高速缓存器是可扩充的解决方案，在降低网络带宽需求的同时，还可改

进对互联网信息的访问，并提高性能－－所有这些优势都有助于您在互联网市场竞

争中遥遥领先。

作为领先的提供商，Inktomi* 为众多最活跃的互联网站点和要求最苛刻的网络提供

了高速缓存解决方案，并将其专业技术与经验应用到了Inktomi Traffic Server

Engine*之中。它与英特尔高速缓存器技术紧密结合，提供了出色的高速缓存能力和

强大的可靠性，不但可增强最终用户的体验，而且还能够提高您的收益。

提高网络容量和可靠性

英特尔 网擎™ (Intel NetStructure™) 高速缓存器配备热插拔硬盘，采用简化

®®

的安装和管理界面，并具有自动恢复备份和远程管理能力。所有这些特性均集成在

一个2U机箱之中，不仅可提高您主干系统的容量和可靠性，而且丝毫未改变系统体

系结构，或扩大网络系统的占地面积。

随着带宽要求的提高，以及新客户的增加，英特尔网擎高速缓存器还支持集群

能力。使用一台支持Layer4重定向功能的交换机进行部署，如英特尔 Express 550T

®

交换机，即可实现可扩充的高速缓存解决方案，不但强大，而且经济高效。

世界一流的带宽管理

使用英特尔即插即用的高速缓存解决方案，您可提高客户服务能力和收益。英

特尔网擎高速缓存器提供了全面的带宽管理，并为增强您的互联网能力而精心设计，

可为您的成功助一臂之力。您可以降低任何网络高峰需求的影响，并通过可扩充的

解决方案－－英特尔网擎高速缓存器来充分利用宝贵的资源。

基于互联网和Windows*操作系统的管理平台

所有英特尔 Express 500系列交换机均配备英特尔 Device View，它是一款通用



型设备管理应用程序，可用于安装、配置和监视所有可管理的英特尔设备，包括交

换机、集线器、路由器和打印服务器。英特尔 Device View以单一界面提供了基于

互联网和Windows*操作系统的管理，它可自动发现和映射所有可管理的英特尔设备，

并且能够利用用户定义的图表对网络通信情况和趋势进行分析。该软件亦可插入到

HP Openvtew*或Tivoli的Netview*企业管理应用程序之中。

（2）安全保护设计

为了保证医保中心局域网络的安全，系统中分别在内部业务子网与外部访问子

网之间、外部访问子网与外界广域网之间都设置了硬件防火墙。同时，为了保护业

务主机，不允许直接访问业务主机，所有的业务访问均通过通讯机（即堡垒主机）

代理来完成。就算系统的两道防火墙被黑客破坏后，入侵者也无法直接访问业务主

机，在最严重的情况下，入侵者也只能摧毁通讯机（即堡垒代理主机）而已，其无

法窜改或删除业务数据。由于通讯机是所有业务访问的代理，为了增加通讯机的安

全可靠性，采用双机热备份方式工作。对于硬件防火墙，系统选用了Cisco公司的

Cisco Secure PIX防火墙。

Cisco Secure PIX防火墙集成有硬件和软件，易于安装，具有卓越的性能，能够提供

强大的安全保护能力，使您能够对内部网进行严格的保护，把内部网络结构与外界

完全隔离开来，使其免受外部世界的入侵破坏，为您提供全面的防火墙安全保护。

Cisco Secure PIX防火墙的功能特

点如下：

 访问控制表（Access Lists）控

制那一台内部主机能够建立与外

部网络的连接。通过访问控制表可

对安全策略进行配置，以限制对外

部网络的访问（限制可以是基于源

地址、外部目的地址，或通信协

议）。

 适应性安全算法（ASA），始终监视返回的数据包，以判别其合法性。并使用随

机的TCP序列号来减少受到TCP序列号攻击的危险。

 与Cisco IOS一致的配置界面，简单并且易于操作。

 采用管道技术，允许特定用户从外部网络访问内部网络。

 直通式代理服务，建立在用户级别上的对外部接入和内部接出的验证。对于普通

的代理服务器，它要分析应用层每一个数据包，而PIX防火墙首先询问身份验证服

务器，当连接被确认后，它就建立起一个数据管道，之后所有的信息流就直接在连

接双方迅速地传递。允许安全策略建立在每用户地ID之上，一个连接必须首先验证

用户ID和口令才能建立起来。

 DNS防护，识别向外部网络发出地DNS转换请求，仅接受一个DNS响应。

 可通过设置最大地初始连接数来保护内部主机不受突发的大量TCP SYN数据包

的攻击。

 控制“用户验证服务”允许的未应答的登录请求次数。

 图形化的管理界面，提供基于WindowsNT、Windows95/98、或Solaris等操作系

统的WWW浏览器管理界面。

 IP碎片防护，以抵御IP碎片的攻击。

 Java过滤，网络管理员可禁止从内部主机下载Java applets。

 安全的电子邮件访问。

 支持建立在NetBIOS over IP 技术之上的内部网络与外部网络的连接。

 网络地址转换（NAT）。对内部主机，当其向外部发送数据包时，对其源IP地址

进行转换，同时支持动态和静态转换。允许给内部主机赋予私有IP地址或保留现有

的合法IP地址。

 端口地址转换（PAT）。通过使用端口重映像，一个单独的IP地址可支持64,000

个实体的源IP地址转换。

 支持虚拟私有网络（VPN）互操作和基于IPSec的扩展。

 SNMP MIB-II支持。通过SNMP，PIX防火墙可集成到传统的网管系统中。

 通过阀值的设定，当PIX防火墙被黑客攻击时，管理员能够自动地通过E-Mail

或寻呼接受实时报警。

二、广域网连接方案设计

（1）中心网络广域网接入

根据全局网络结构的逻辑图，对于广域网访问，中心网络系统可以采取DDN、

Internet、PSTN三种接入方式。虽然DDN和Internet的连接，可在同一台路由器上

实现，但是当这一台路由器被通过Internet入侵的黑客攻破端口后，后面的连接大型

参保单位的端口就会暴露在入侵者的面前，为了安全起见，系统采用两台路由器来

分别连接DDN专线和Internet线路。路由器选用Cisco 3660路由器。为了满足远程

通信的需要，系统中配置了远程访问服务器。对于远程拨号访问服务器，推荐采用

独立式的远程拨号访问服务器，系统采用Intel的LanRover™ D56 拨号服务器。

1. Cisco 3600 系列路由器

关键特性

➢ 在一个平台中结合了拨号访问、先进的局域网

到局域网路由服务、ATM 连接以及语音、视频和

数据的多种业务集成。

➢ 模块化、可伸缩的设计提供性能、可伸缩性、

灵活性和投资保护。

➢ 高密度 ISDN PRI 功能。

➢ 预配置的 BRI 和 PRI 调制解调器捆绑。

➢ 支持 Modem-over-BRI 功能性。

➢ 集成了 Cisco IOS 软件(产品定价中包括IP IOS软件)。

➢ 完全支持VPN。

➢ Cisco IOS 防火墙特性集提供防止网络入侵的安全保护。

Cisco 3600 系列是一个适合大中型企业和 Internet 服务供应商的模块化、多功能访

问平台家族。Cisco 3600 系列拥有70多个模块化接口选项，提供语音/数据集成、虚

拟专网(VPN)、拨号访问和多协议数据路由解决方案。Cisco 3600 系列通过利用

Cisco 的语音/传真网络模块，允许客户在单个网络上合并语音、传真和数据流量。

高性能的模块化体系结构保护了客户的网络技术投资，并将多个设备的功能集成到

一个可管理的解决方案之中。

Cisco 3600 是世界第一个真正的多功能应用支持平台，在单独一个服务器上广泛支

持分支机构/企业拨号访问应用，LAN 到 LAN 或者路由选择应用以及多服务应用。

它提供前所未有的模块化选项，可使用多种不同的网络模块，它还具有强大的灵活

性，可针对客户的不同应用环境，提供各种配置选项，而且最重要的是，它具有支

持所有这些应用的优质运行性能。

作为一个多功能解决方案，你可以依靠 Cisco 3600 平台的出众性能、安全性以及灵

活性来满足你未来多年的需要。与具有综合管理、配置以及单供应商支持的一台多

功能设备相比，管理、配置以及支持多台设备的费用就显得相当昂贵。

此外，Cisco IOS 软件包含许多可提供安全性、可靠性以及WAN优化的功能，在任

何应用环境中，都可以使用 Cisco IOS 功能来控制不断上升的WAN费用。例如，

Cisco 3600服务器支持按需拨号路由选择(DDR) 和拨号备份，同时支持 Protocol

Spoofing 和 Snapshot Routing，从而减少不必要的 WAN 传输。为了更进一步减少

WAN费用和增加有效带宽，Cisco IOS 软件支持在帧中继、专线以及拨号网络上的

数据压缩。Cisco IOS 软件拥有广泛的多媒体功能，可以支持诸如在 WAN 上的电

话会议那样的新型应用。资源预保留协议(RSVP)、非协议依赖性的多点广播(PIM) 以

及加权公平排队 (WF) 等功能可以保证一贯的服务质量以及较高的应用可用性。

功能特点

➢ 全功能的 Cisco IOS

Cisco 3600 是 Cisco 整套端到端拨号连接解决方案中的一部分。没有任何其它的供

应商能够向远程用户提供这么多的 Intermir 访问以及企业扩展选择。而且 Cisco

IOS 软件有能力在用户负担得起的前提下布置拨号虚拟专用网络 (Dial VPNS)，使

Cisco 产品的功能又得到了相应的提升。用户还能够通过数据压缩等带宽优化技术来

节省开支，并且可以布置高质量的网络安全防火墙以及数据加密功能。

➢ 安全性

安全已成为今天大多数网络管理者关心的主要问题，Cisco 3600，配合广为流行、功

能强大的 Cisco IOS 软件，可以为客户核心网络提供全面的安全保障。对于远程用

户环境，Cisco 3600 将该项已被证明是有效的核心安全技术扩展到混合介质拨入站

点。Cisco ISO 软件支持的安全功能包括访问列表、侵入事件记录、远程访问拨入用

户服务(RADIUS)、KerberosV 以及具有验证、授权和记帐 (AAA) 的 TACACS+。

➢ 管理

Cisco 3600 提供一套称为 Cisco Works 的完善的图形用户界面(GUI)管理工具，可对

Cisco 3600 机箱及其相关网络模块进行图形化的配置、监控和调试。

Cisco 配置管理功能向网络管理者提供对网络统计数据的完全控制以及在一个中央

控制中心配置和调节网络操作的能力。Cisco IOS 软件包含全面的故障分析工具，可

以大大减少问题隔离和恢复所需的时间和费用。

针对 Cisco 3600 提供的内部调制解调器，一套先进的可选调制解调器管理功能可供

使用，它提供广泛的带宽优化功能，可以帮助分支机构和企业客户降低运行地理位

置分散的广域网络的重复费用。调制解调器管理功能集包括呼入过程监视 hard and

busy out、分组、一个用户定义的警告域值以及统计功能。管理人员可查看调制解调

器的调制配置、调制解调器协议、调制解调器 EIA/T I-B2 信号状态。调制解调器发

送和接收速率以及模拟信噪比等实时(当时或以前的呼叫)。调制解调器可以用管理网

络其它部分的相同工具来管理，从而为网络管理者提供了一个在中央管理点进行管

理的解决方案。

➢ 可扩展性

Cisco 采用了多机箱多链路点对点协议 (MMP) ,使客户开始时可以建立一个小规模

的网络，在需要的时候再扩展额外的访问服务器，而同时还能够使用拨号访问。拥

有中型拨入池的企业和分支机构网络管理员间能够很容易地扩展和集成其访问网络

架构，以聚合多个服务器上的多个呼叫，从而为其最终用户提供一个更高带宽的解

决方案。当服务供应商和企业客户利用分布式网络的可靠性建立具有弹性的网络系

统时，这些可扩展功能对他们是非常重要的。

多链路点到点协议 (MP) 使用户可利用ISDN连接的优势，并且可以使用两个B通

道达到128kbps 数据吞吐量。异步用户如果在其工作站上获得支持，使用两个通过

两条电话线连接的调制解调器，他们也能够受益于该功能。为了满足用户不断增长

的需求，需要扩展 Cisco 3600 解决方案，而MMP支持是实现这种扩展的一个关键

因素。MMP使呼叫能够被“链接”起来，而不管每个呼叫被置于哪个物理机箱，从

而能将 Cisco 3600 机箱堆放起来并视为一个拨入池。

➢ Cisco 3600 平台

高度模块化的 Cisco 3600 系列访问服务器具有惊人的多功能性，可以单一机箱内支

持分支机构/企业拨号访问应用，局域网到局域网 (LAN-to-LAN) 或路由选择应用以

及多服务应用。这些独有的特性使Cisco 3600 系列成为大型分支机构理想的平台。

Cisco将继续为 Cisco 3600 系列开发新的解决方案，以助你保持领先的地位。Cisco

提供前所未有的模块化选项，可以使用多种网络模块，还有巨大的灵活性，配有各

种适合客户专用应用环境的可配置选择，而且最重要的是，Cisco 具有支持所有这些

应用的优质运行性能。

2. LanRover™ D56 拨号服务器

主要特性

■ 支持多达60个V.90 56Kbps并发对话

高密度数字调制解调器

■ 多处理、多总线超标量芯片体系结构

■ 多种经济高效的配置

■ 模块化，可从BRI升级至PRI、从12

个调制解调器升级至60个

自适应10/100Mbps网络连接

轻松的管理

■ 多台机器的多链路PPP

概述

LanRover™ D56 拨号服务器为那些需要对信息进行快速、可靠访问的中小型企业而

专门设计，是一款数字远程访问服务器，它具有独一无二的非阻塞、多处理体系结

构，为端接PPP数据包而精心优化。与其它随着呼叫容量的提高而不得不牺牲性能

的远程访问服务器不同，LanRover D56 拨号服务器提供了统一、高速的信息访问能

力，即使在满负荷运行时也不例外。

1、56K调制解调器技术的突破性速度

英特尔的多协议远程访问服务器已因其出色的易用性、性能、安全性和管理已

赢得了50多项业界大奖。现在，具有Smart Detect™ 功能的高速、高密度LanRover™

D56 拨号服务器通过一个方便的数字广域网接口提供对模拟和数字PPP呼叫的端

接。

LanRovr D56 拨号服务器全面兼容当今最先进的客户机调制解调器和ISDN终端网

卡，目前具有多种经济高效的配置：具有12个调制解调器的8 BRI、仅支持ISDN

的单PRI、具有12、24或30个调制解调器的单PRI、具有48或60个调制解调器的

双PRI。

2、在满负荷运行下实现全面性能

承袭屡获殊荣的LanRover™ Access Switch 接入交换机的设计理念，LanRover

D56 拨号服务器以业界领先的设计提供了一致的性能，即使满负荷运行，服务器也

可从容应付。其独一无二的非阻塞体系结构可确保缓冲、带宽和系统资源能够随时

服务于所有用户。通过将处理能力分散到关键性能广域网和数字调制解调器接口组

件中，LanRover D56 拨号服务器保持了一致的性能。

调制解调器卡、广域网卡和主CPU上的专用微处理器可以产生260 MIPS以上的动

力。因此，LanRover D56 拨号服务器能够在处理数据的同时轻松运行诸如呼叫管理、

计费、安全与远程适配路由等主CPU任务。远程适配路由可最大限度地减少拨号连

接中的通信流量，从而降低线路成本并提高了性能。

3、卓越的安全性

利用各种安全选件，您可以将LanRover D56 拨号服务器作为一个集中的验证与

授权服务器使用，它支持TACACS+和RADIUS，以及第三方安全产品。利用随

LanRover D56 拨号服务器提供的ShivaRemote™ 和Windows NT*安全程序包，您可

以增强微软环境中的拨入/拨出安全特性。此外，LanRover D56 拨号服务器还通过

Shiva Access Manager，为Windows NT域和Novell* 目录服务提供了代理支持。

®

4、成熟而易于管理的解决方案

LanRover D56 拨号服务器采用最新一代ShivOS™，这是一款性能稳定、业经验

证的操作系统，用于实现可靠的远程访问，全球逾100,000部LanRover服务器均安

装了该操作系统。采用基于JAVA的Shiva Configurator，您能够轻松而直观地对所



有英特尔设备进行集中或远程管理。

LanRover D56 拨号服务器完全符合开放式工业标准，它提供了卓越的互操作性

和全面的投资保护。您能够在同一模块化、可升级的机箱内将您的远程访问能力从

12个调制解调器的BRI升级至48个调制解调器的PRI。

特性

业经验证的拨入连接

● 单号码模拟和ISDN Smart Detect

● 单号码IPX、TCP/IP、ARA、ATCP

● ShivaRemote™ for Windows 95*

● ShivaRemote for Windows 3.x*

● 微软拨号网络客户机

● 微软RAS客户机(支持第三方客户机)

● AppleTalk PPP拨入支持(支持第三方客户机)

● FCR PPP for Mac OS(支持第三方客户机)

● SLIP、PPP和多链路PPP

● 使用NetWare* VLMS和NETX的IPX拨入(包括所有必需软件)

● 异步终端远程登录拨入

● 标准ODI与NDIS驱动程序接口

● 命令外壳注册脚本

● 支持DNS域名服务器

● 兼容领先的TCP/IP软件包，包括Novell LAN WorkPlace*、微软TCP/IP-32*、

FTP Software PC/TCP* 和OnNet*、Sun Soft Connection*、WollongongPathWay*以

及Apple Mac TCP*

● 兼容Windows 95、Windows NT、Windows 3.x、Windows for Workgroups、IBM

● 具有多机器多链路PPP的增强可扩充性和集群。支持机箱中128Kbps ISDN

● 通过异步拨出，使个人电脑和Macintosh用户能够轻松 地访问在线服务、

● 支持由内置数字调制解调器发出的数个同时模拟和 ISDN拨出对话

● 支持运行于Macintosh或Windows之上的所有领先的通 信软件包

OS12、DOS、AppleMac操作系统和领先的UNIX操作系统

呼叫的端接共享拨出便利

电子布告板或互联网

● 对拨出活动实施增强的安全和控制

● 通过在WinSock兼容IP堆栈上使用任何Windows通信软件包提供IPX或IP

拨出服务

集中式管理

● 多台LanRover™的集中管理

● 通过TCP/IP、IPX和命令外壳SNMP(包括MIB II和其它 扩展)在TCP/IP、

● TCP/IP地址可通过DHCP、每用户，利用内部地址区或远程选择进行分配

● 保持详尽的活动记录以用于计费、收费和故障排除

● 可从固定内存或BootP/TFTP服务器进行自引导

● 通过任何标准浏览器查看交互式在线文档

全面的安全性

● 用户名称、密码和回叫安全性（固定和漫游）

● 支持SPAP、CHAP和PAP

● 通过Shiva用户列表、Shiva用户列表服务器、NetWare Bindery、NDS和

● 拨入密码过期与更换密码选件

● 可定制用于拨入用户的安全规则或网络事件通知标志

● IP设备和网络过滤

● 基于资源和IP地址、协议或端口目的地的IP过滤

● 由用户或服务器进行的AppleTalk分区和设备过滤

● Windows95安全程序包

● 支持RADIUS、TACACS和TACACS+

卓越的性能

● 用于ShivaRemote和Windows 95、以及局域网到局域网 连接的STAC数据

● 标头压缩和广播过滤

● 在IPX、TCP/IP、NetBEUI、802.2/LLC和AppleTalk环 境中的广播过滤

● 采用英特尔的“Delta”技术(Delta SAP、Delta RIP和 Delta RTMP)将更新通

压缩

IPX和AppleTalk上实现带内与带外管理

NT域集中进行验证

信量减少到最低限度

（2）下属参保机构广域网连接

在医保网络系统中采用的通信手段主要为128K DDN专线和电话拨号线路。其中电话

拨号线路作为小型参保单位、药店或单机个人用户的主要接入方式；DDN专线作为各

大型医院及参保单位与医保中心之间的主要连接方式，并辅助以拨号线路作为专线

的备份，以达到较高的通信可靠性。

对于因特网接入，下属单位可采用拨号方式连接因特网，通过WWW和FTP进行查询、

浏览和数据传送。这种方式对用户端的要求不高，只要使用流行的浏览器软件并具

有电话线路即可实现。

从技术发展和长远的观点来看，以因特网为基础建立与各用户的广域网连接是一个

发展方向，特别是可建立基于因特网的虚拟私有网络（VPN），可大大节省远程通信

费用。

三、网络管理软件

在本方案中网络管理软件选用Intel公司的

Intel Device View v2.0网管软

®

件。

英特尔 Device View V2.0是一款基于因特网和Windows的全面的设备管理工

®

具，可用于安装、配置和监控支持SNMP的英特尔网络设备，其中包括英特尔 Express

交换机、集线器和路由器。英特尔 Device View易于使用，减少了费时的设置环节，

并使众多曾经需要人工安装的详细配置工作自动进行，从而节省了管理时间。“向导”

可协助用户进行安装与配置工作，而直观的界面更可以图形化方式显示英特尔网络

设备，使管理更加简单。

详细特性

1、简单、直接安装

英特尔 Device View 应用软件安装非常简便，使您拥有更多时间来管理您的网

络。

2、配置向导

先进的发现和安装向导大大简化了众多繁杂的任务，如配置一台新的交换机、

在交换机中设置虚拟局域网或重新配置一台路由器。向导将有效地指导您通过每一

步过程。

3、未配置设备的设置

在英特尔 Device View发现网络设备之后，您可以使用”英特尔设备安装向导”

设置未配置的设备。该向导将帮助您自动安装设备的IP地址、子网掩码、名称和共

享串。与人工配置要求的时间相比，它所需的时间极少。

4、图形化管理

英特尔 Device View可以在界面中以图形化方式显示所支持的英特尔设备的面

板。在图形上点击鼠标右键将显示配置和监控信息以及设备管理选项。在端口上点

击鼠标右键将显示该端口的菜单选项，如端口速度和双工模式。这些特性允许您：

*在您的个人电脑上以真实、易于辨认的方式查看网络设备

*即时查看设备状态，检查端口是否正常，或因错误已被禁止

5、端口、设备、局域网和广域网通信情况图表

英特尔 Device View可将集线器、交换机、路由器或其它相关网络设备的通信

情况制成图表，使管理员可以轻松掌握设备状态。您也可以：

*同时运行多个图表，以实时查看设备性能

*建立各网段或整个广域网连接的通信图表

这些图表可以帮助管理员确认多种问题。例如，一个显示过多CRC错误的图表

可帮助您隔离可能引起不必要网络通信的故障网卡。

6、远程监控（RMON）支持

英特尔 Device View不仅提供基于标准的RMON支持，而且还提供了称为快速

告警的独特应用。利用它，您将不必在管理信息库（MIB）中人工选择数百种对象

标识符（OID），而是可以简单地为预先配置的快速告警事件（如网络利用率、错误

和广播风暴等）设置您自己的阈值。英特尔 Device View在交付时已为所有事件设

置默认值。

RMON支持使您能够：

➢ 查看当前网络状态，以对网络事件作出快速反应或提前进行处理

➢ 捕获一段时间内的网络数据来协助您规划未来网络容量升级和子网的重新组织

集成的

➢ SNMP陷阱日志

英特尔 Device View可显示从任何所支持的英特尔网络设备中发出的陷阱信息，

从而帮助管理员在发生事件时确认问题之所在。该日志也可通过改变设备图标来更

新在子网示图中的设备图标，以反应设备的当前状态。然后，子网示图将自动扩展，

将该设备放入平面视图中供管理员查看。

7、管理英特尔 Express 500系列交换机

英特尔 Device View可用于管理英特尔 Express 510T Switch、 英特尔 Express

520T Switch或英特尔 Express 550 Routing Switch。您只需简单双击设备树中的图标

即可。设备树列表还可发现英特尔千兆位交换机 — 双击千兆位交换机的图标即可

启动其内嵌的因特网服务器。

向导可以大大简化从远程设置和配置到日常管理的广泛处理过程。您可从菜单中选

择执行一系列任务。

如欲了解更多信息，请移动光标至以下项目之上。

● 设置端口速度

● 设置端口的双工模式

● 监控交换机通信

● 设置或改变陷阱接收器

● 管理堆叠

● 在交换机中设置虚拟局域网

● 为ToS区分服务创建IP过滤器

● 链接集合

8、故障排除

英特尔 Device View提供路由器重新配置、诊断和连接恢复能力。用于英特尔

Express 8100系列的Auto Fix特性使您能够在诊断屏幕上改正已确认的问题，而您所

需要做的仅仅是按一下按钮。英特尔 Device View组合了可以轻松浏览的协议树和

智能诊断功能，通过向管理员指引发生问题的位置而减少了排除故障的时间。

9、通信分析

英特尔 Device View还使您能够监控和分析局域网、ISP和帧中继通信，从而优

化您的网络。您可以根据需要获得更详细的信息，也可点击3-D按钮使图表细节更

易于观看。通过分析通信，管理员可以检验服务级别，为未来的增长进行规划，并

调整带宽分配以更精确地满足当前网络需求。可供选择的路由器通信显示包括链接

概述、链接详细情况、数据包、利用率和分配。

您可以通过突出显示隧道图标来获得更多信息。

四、整体实施方案

在此方案中，我们将两台英特尔公司企业级路由交换机550T做为网络主干，对

每台550T都配置一块1000SX千兆模块和一块4口10/100 TX模块，保证主干交换

机与主干交换机之间、主干交换机与服务器之间、主干交换机与边缘交换机之间都

能够相互冗余容错。服务器和边缘交换机都通过双线路连接到主干交换机550T上，

对主干100M端口也同样到了容错。这样不但增加了网络带宽，还做到了边缘交换机

和主干交换机的完全冗余。同时为主干交换机增加冗余电源模块，增强主干交换机

的可靠性。

桌面交换机采用Intel Express 510T Switch,其7.2GBPS的高速处理背板，为

数据处理提供了无堵塞、无碰撞的交换通路，而且具有足够的端口密度。利用可选

模块，该款24端口交换机可扩展至多达32端口，将专用快速以太网性能扩展到桌

面。另外我们通过冗余百兆线路，将边缘交换机连接到两台550T上，使整个网络系

统达到了高级别的冗余的同时，还获得了高度可靠的网络核心。

在外部访问子网中，我们采用Intel Express 520T Switch作为主干交换机。

由于外部子网的服务器群主要是提供WWW、FTP、E-MAIL等服务，为了加强网络主干、

提高网络速度，通过旁接一台英特尔 网擎™ (Intel NetStructure™)1500高速缓

®®

存器来提供最大的网络带宽和高质量的互联网服务。在安全方面，Intel Express

520T Switch分别通过两台Cisco Secure PIX防火墙来连接内部业务子网以及外界

广域网。

内部业务子网的安全通过一台Cisco Secure PIX 515-UR防火墙来提供安全保护，

Cisco Secure PIX 515-UR通过2个10/100兆以太网接口使用两条百兆线路来分别

连接两台550T主干交换机，再通过增加一个10/100BaT以太网NIC使用另一条百

兆线路连接到外部访问子网的520T交换机。所有访问内部业务子网的连接和数据传

输都要经过Cisco Secure PIX 515-UR的许可与控制。外部访问子网的安全也由一

台Cisco Secure PIX 515-UR防火墙来进行安全保护。这台Cisco Secure PIX 515-UR

通过增加模块达到4个10/100兆以太网接口，其中一个口连接到外部访问子网的

520T交换机上，另外3个接口分别连接2台路由器和1台远程访问服务器。外界所

有访问医保中心网络的连接，都要经过这台防火墙的安全策略的控制。

在广域网连接方面，我们采用1台Cisco 3660路由器增加WAN模块NM-2W和广域网

卡WIC－2A/S通过基带MODEM连接到2M DDN线路上，专供大型参保机构接入。Cisco

3660路由器内置了冗余电源，并支持网络模块热插拔，方便在线维护。同时Cisco

3660路由器支持6个模块插槽，增加的NM-2W模块带有2个广域网卡插槽，有很强

的扩充能力。Cisco 3660路由器具备AIMCopr硬件压缩功能。我们通过Cisco 3660

路由器上固定100M 快速以太网接口连接到PIX 515-UR防火墙10/100M快速以太网

接口上，提供安全保护。与Internet的连接，通过采用1台Cisco 3640路由器增

加LAN/WAN混合模块NM-1FE2W和广域网卡WIC-2A/S通过基带MODEM连接到ISP的

128K DDN线路上，提供给参保用户通过因特网来访问。通过Cisco 3640路由器上的

混合模块的100M快速以太网接口连接到PIX 515-UR的10/100M 快速以太网接口上，

提供安全保护。Cisco 3640路由器支持4个模块插槽，增加的NM-1FE2W混合模块带

有2个广域网卡插槽，有较好的扩充能力。为了增强可靠性，可给Cisco 3640路由

器配备外置冗余电源。对远程访问服务，采用1台Intel LanRover D56远程访问服

务器配置1块24个56Kbps数据调制解调器模块，同时提供24个吞吐量高达56Kbps

的访问连接，并且通过10/100M 快速以太网接口连接到PIX 515-UR防火墙上，提供

安全保护。Intel LanRover D56远程访问服务器最大可支持36个数据调制解调器，

并可配备T1/E1/PRI接口，具备一定的扩展能力。

五、方案及产品特点分析

● 本套方案最大特点在于，在享受550T高容量背板的同时，充分的做到了网络

主干的冗余。不管是服务器网卡、千兆模块、还是百兆交换机的上连端口，或是任

意一条光纤通道。一旦出现了问题，系统都会自动切换，无须人为干预，且不会造

成系统的中断。

● 采用英特尔公司的550T作为网络主干交换机，利用Intel 550T 40Gbps交叉

● 550T Switch这种交换机能够在所有百兆端口同时提供无堵塞的100Mbps性

交换通路，为数据处理提供了高带宽的处理通道。

能，交叉交换结构还增强了出错冗余能力。避免了单台交换机或单条线路出错的现

象。由于数据包以并行方式同时传输给所有端口，因此不会发生单个端口失效的情

况。在550T上，除了支持千兆模块外，还可对Fast Ethernet模块进行支持，以解

决对高端口密度的需求。

● 英特尔的550T路由式交换机，支持Layer--3交换，最多可以划分2048个

VLANS，可以大大增加网络的安全性、可管理性并减小网络压力。在Layer2与Layer3

之间的交换提供全线速，最大可达到47.5Mpps，IP数据包每秒的包转发率高达4750

万个。

● 我们采用两条线路将510T Switch与主干550交换机通过百兆模块进行100M

连接。这样我们可通过 Spanning tree 技术实现英特尔的ES550 100M端口的冗余

容错。

● 另外，550T的自适应技术根据每个端口当前的流量选择最佳的交换模式，通

过这种动态的调节，不断在最大的交换速度和最小的误码传播之间寻求平衡，从而

达到改善整个网络的效率和性能的目的。每个端口均可设置为全双工、实现流量控

制和包转发从终端到干线。支持port-BadVLANS，允许用户分割网络资源以提高性

能、增强安全性和更有效的分配资源。支持8164个MAC 地址，具有Layer 3

Switching的功能。

● 桌面交换机采用Intel Express 510T Switch,每个端口均为10/100M自适应，

支持全双工和流控制。 因此，无论是以10Mbps,还是100Mbps运行，均可为其提供

专用的带宽。

● 路由器采用Cisco 3660和3640,均通过10/100M自适应端口经硬件防火墙与

中心网络连接，支持全双工和流控制。模块结构能支持广泛的网络模块以便灵活的

更改规模。整套Cisco IOS软件具有增强的安全特性，用户辨别和扩展Access List

只允许获准的流量进入网络，它应用事件登记和审查踪迹、编码、和虚拟专有网络

透纳等技术提高网络的安全，降低了WAN服务成本，增加多媒体支持，以及确保在

Cisco路由器之间通力合作。数据压缩和多个流量优先技术确保重要数据的整体性。

●承袭屡获殊荣的LanRover™ Access Switch 接入交换机的设计理念，LanRover

D56 拨号服务器以业界领先的设计提供了一致的性能，即使满负荷运行，服务器也

可从容应付。其独一无二的非阻塞体系结构可确保缓冲、带宽和系统资源能够随时

服务于所有用户。通过将处理能力分散到关键性能广域网和数字调制解调器接口组

件中，LanRover D56 拨号服务器保持了一致的性能。

● 整个网络通过Intel Device View网络管理软件提供了台式机上简单易行的

管理交换机的方法。管理和网络故障分析也是直观方便的。通过单击图形表示，一

组交换机可以作为一个交换机进行管理。使用交换机内建的RMON 和SNMP,能够监视

每个端口的性能。使用简洁的、用户自定义的统计图，还可以监视网络流量以及分

析流量的发展趋势。

● 网络主干采用Intel 550T 百兆冗余路由交换机和Intel 510T交换机构建主

● 整个网络吞吐能力强、指标、容错性能好、兼容性高，而且具有投资上的可

● 服务器、网络平台等均实现了冗余容错。

● 提供了DDN、Internet、PSTN等多种途径访问网络。

● 内外网通过两道防火墙安全隔离，提供强大的安全防护。

● 全线网络产品可通过网管软件实现统一管理和监控。

▲ 网络实现效果

干，实现了网络主干100全交换冗余结构，每台工作站独享10/100M数据带宽。

行性及技术上的先进性，并为未来网络技术升级作好充分准备。