快速解決醫(yī)院局域網(wǎng)IP地址沖突的策略與方法

方工文，于 淼

1.青島市婦女兒童醫(yī)院，山東 青島 266034；

2.青島市傳染病醫(yī)院，山東 青島 266033

0 前言

隨著醫(yī)院規(guī)模的不斷擴大以及醫(yī)院信息化建設(shè)的快速發(fā)展，醫(yī)院局域網(wǎng)客戶端計算機的數(shù)量急劇增加，IP地址分配增多，導致醫(yī)院局域網(wǎng)IP地址沖突或被盜用的現(xiàn)象時有發(fā)生，已經(jīng)嚴重影響醫(yī)院內(nèi)部網(wǎng)絡(luò)正常運作。如何快速發(fā)現(xiàn)沖突主機的物理位置，提高解決IP地址沖突問題的效率，恢復網(wǎng)絡(luò)正常運行，已成為亟待解決的問題。

1 醫(yī)院局域網(wǎng)發(fā)生IP地址沖突的原因及解決方案

1.1 發(fā)生IP地址沖突的原因

醫(yī)院局域網(wǎng)一般使用靜態(tài)分配IP地址，常見的IP地址沖突原因，主要有以下幾種：① 醫(yī)院局域網(wǎng)內(nèi)客戶端計算機維修調(diào)試時，使用臨時IP地址；② 醫(yī)院網(wǎng)絡(luò)管理員或終端操作員根據(jù)網(wǎng)絡(luò)管理員提供的參數(shù)進行IP地址設(shè)置時，由于疏忽造成參數(shù)輸錯；③ 醫(yī)院終端操作員對于IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)等參數(shù)如何設(shè)置并不清楚，但無意修改了相關(guān)信息；④ 也不排除醫(yī)院終端操作員盜用他人的IP地址，造成IP地址沖突。

1.2 解決方案

通過對造成IP地址沖突的可能原因和途徑進行分析后，制定出相應的解決方案，現(xiàn)在比較常用的解決方案主要是根據(jù)TCP/IP的層次結(jié)構(gòu)來避免IP地址沖突。

1.2.1 禁止用戶修改IP地址

為防止用戶隨意更改IP地址，可以通過修改netman.dll、netshell.dll、netcfgx.dll等3個文件實現(xiàn)隱藏計算機桌面的本地連接圖標，使用戶找不到修改IP地址入口，進而達到保護目的。

1.2.2 采用靜態(tài)路由技術(shù)

采用靜態(tài)路由技術(shù)，即IP-MAC地址綁定技術(shù)。在交換機上將所有終端計算機IP-MAC設(shè)置靜態(tài)ARP表項中，對于不存在于靜態(tài)ARP表項中的IP-MAC，使路由器不會轉(zhuǎn)發(fā)數(shù)據(jù)包，從而解決IP地址沖突問題。

2 基于SNMP協(xié)議解決IP沖突的技術(shù)與實施

SNMP簡單網(wǎng)絡(luò)管理協(xié)議，主要用來管理通信線路。SNMP的網(wǎng)絡(luò)管理由3部分組成，即管理信息庫MIB、管理信息結(jié)構(gòu)SMI和SNMP本身。

2.1 MIB-II管理信息庫

MIB-II庫主要記錄了端口信息、網(wǎng)絡(luò)設(shè)備基本信息、各層通信狀態(tài)等內(nèi)容。網(wǎng)絡(luò)管理員可以通過SNMP協(xié)議查看相應的信息。本文主要用到MIB-II庫IP組中的ipNetToMediaTable，可以實時讀取網(wǎng)絡(luò)設(shè)備的ARP表項中的IP-MAC信息。

2.2 BRIGDGE-MIB庫

BRIGDGE-MIB主要記錄了連接到網(wǎng)絡(luò)設(shè)備的主機MAC地址和設(shè)備端口的對應關(guān)系。通過該關(guān)系可以清楚知道指定MAC地址使用該設(shè)備的端口號。本文主要用到MIB-II庫IP組中的dot1dTPFdbTable，可以實時讀取交換機MAC-PORT信息。

2.3 實施過程

由于我院網(wǎng)絡(luò)是按照核心層、匯聚層、接入層來構(gòu)建的。在匯聚層上的網(wǎng)絡(luò)設(shè)備（路由器或者三層交換機）上讀出ARP（IP-MAC）信息，然后在接入層的網(wǎng)絡(luò)設(shè)備上讀出MAC-PORT信息，可以通過比較兩者MAC信息確定IP-MAC-PORT信息。將實時的IPMAC-PORT信息與合法的用戶數(shù)據(jù)庫中的IP-MACPORT做比較，若兩者不一致，則表明有IP地址發(fā)生沖突的現(xiàn)象，并且可以根據(jù)沖突者的MAC信息，定位出沖突者接入層網(wǎng)絡(luò)設(shè)備的端口，再通過SNMP協(xié)議的SET命令把沖突者的端口封掉，從而有效阻止IP地址的沖突。

實施方案以IP-MAC-PORT的映射關(guān)系為依據(jù)，判斷IP地址是否發(fā)生沖突。具體流程，見圖1。

圖1 解決IP地址沖突實施方案流程

3 結(jié)束語

基于SNMP協(xié)議解決IP沖突解決方案，有效地監(jiān)控和隔離IP沖突用戶，解決了IP地址沖突對醫(yī)院局域網(wǎng)的合法用戶正常使用網(wǎng)絡(luò)的影響，維護了醫(yī)院局域網(wǎng)正常的運行秩序。

[1] 秦剛,李俊.基于SNMP的網(wǎng)絡(luò)設(shè)備監(jiān)視系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機工程與應用,2003,39(13):197-199.

[2] 張震江,季磊.大型醫(yī)院IP地址沖突問題的快速解決方法探析[J].醫(yī)療衛(wèi)生裝備,2008,29(2):42-44.

[3] 徐其興.計算機組網(wǎng)技術(shù)與配置[M].北京:高等教育出版社,2007.

[4] 劉敏涵,王存祥.計算機網(wǎng)絡(luò)技術(shù)[M].西安:西安電子科技大學出版社,2007.

[5] Lincoln D.Stein.Network Programming with Perl[M].New Jersey:Addison Wesley,2002.

[6] (美)Mark A.Miller.用SNMP管理互聯(lián)網(wǎng)絡(luò)[M].晏明峰,等.譯.北京:中國電力出版社,2001.

[7] 黃影,吳飛.基于HIS的安全數(shù)據(jù)交換系統(tǒng)的研究與實現(xiàn)[J].中國醫(yī)療設(shè)備,2011,26(9):45-47.