CC BY
177
Д. В. Горбачев, кандидат технических наук, доцент, доцент кафедры инноватики и информационных технологий, ФГБОУ ВПО «Оренбургский государственный институт менеджмента» e-mail: gordi47@mail.ru
ПРОЕКТИРОВАНИЕ КОМПЬЮТЕРНОЙ СЕТИ ГОРОДСКОЙ КЛИНИЧЕСКОЙ (ЦЕНТРАЛЬНОЙ РАЙОННОЙ) БОЛЬНИЦЫ
Современная компьютерная сеть (КС) учреждения представляет собой сложнейший комплекс технологий, направленных на решение задач передачи информационных потоков. Эффективность сети закладывается на этапе ее проектирования. В свою очередь качество проектных решений в большей степени обуславливается правильным выбором технологий и продуктов КС. Предлагаемая статья посвящена вопросам разработки общего подхода к проектированию компонентов ЛВС учреждения системы здравоохранения.
Ключевые слова: сетевая технология, проект сети, сетевые протоколы, администрирование сети, доменная модель.
Проект компьютерной сети (КС) городской клинической (центральной районной) больницы ГКБ (ЦРБ) по своему характеру является корпоративной сетью учреждения, а по своему масштабу, чаще всего, - городская сеть (MAN) [1, 2]. Проект КС представляет собой комплект технической, эксплуатационной и рабочей документации. При этом особую значимость имеет техническая составляющая, поскольку в документации, описывающей технические решения по созданию КС ГКБ (ЦРБ), отражаются все аспекты технической эффективности, технологической устойчивости, качества услуг, масштабирования и администрирования. В связи с чем в данной работе основное внимание уделяется вопросам формирования технических решений компьютерной сети ГКБ (ЦРБ) - далее по тексту учреждения.
Постановка задачи
Технические решения по проекту КС учреждения, согласно ЕСКД, описываются в документе «Технический проект» [3]. Менее формализованным и более содержательно понятным документом являются «Методические указания. Информационные технологии : Автоматизированные системы, требования к содержанию документов» [4]. Согласно данных документов, проект КС учреждения логически закономерно структурируется по видам документов, разделам и подразделам. Вместе с тем современная компьютерная сеть это не просто комплекты устройств, выполняющих операции по передаче и приему данных. Современная компьютерная сеть - это комплекс технологий, реализуемых на всех уровнях обработки циркулирующей информации. Следовательно, в проект КС необходимо включать описания проектных решений используемых технологий в соответствии с уровнями их применения согласно модели OSI.
Целью данной работы является обобщение опыта проектирования КС городской клинической (центральной районной) больницы и выработки единого подхода к структуре и содержанию работ по подготовке технического проекта локальной вычислительной сети учреждения.
Описание решений
Позиции проекта:
I. Проектные решения на уровне технологий
1. Технологии физического и канального уровня:
Проектные решения по технологиям физического уровня базируются на физических принципах передачи данных в различных средах: медь, оптика, радио. Практически стандартом дефакто при проектировании КС на физическом уровне является стандарт ETHERNET. Причем для каждого из вариантов построения каналов связи (медь, оптика, радио) разработана своя спецификация, определяющая основные требования к организации и структуре этих каналов. Основными вопросами проектирования решений для физического уровня являются:
• выбор среды передачи данных проектируемой КС на уровне доступа и определение стандарта, которому должна соответствовать выбранная среда. Типовым решением на уровне доступа
является применение стандартов 10BASE-T/ /100BASE-TX, описанным в документах 802.3i и 802.3u, соответственно. Положительным моментом в таком выборе является возможность использования кабеля одного типа - витой пары. Однако существует и несколько нюансов, связанных, прежде всего, с категорией кабеля витая пара. Потенциально в качестве сетевой среды могут быть выбраны кабели витая пара CAT3, CAT4, CAT5, CAT5e, CAT6. Поскольку кабель CAT4 в настоящее время не применяется, его можно исключить из списка выбора. В качестве критериев, обуславливающих выбор того или иного типа кабеля, используются возможность дальнейшего масштабирования сети, устойчивость к воздействию помех, долговечность, универсальность и стоимость. Как показывает практика проектных решений, наиболее предпочтительным является выбор CAT3 или CAT5e. Выбор кабеля CAT3 может быть обоснован в тех случаях, когда сетевой трафик не предъявляет особых требований к скорости передачи данных и QoS, например, при подключении сетевого принтера, или когда в сеть объединяются устройства, не поддерживающие высокие скорости обмена. В обоих случаях можно сэкономить финансы или перераспределить их на другие инфраструктурные элементы КС. Кабель CAT5e выбирается всегда, когда необходимо обеспечить высокую скорость передачи данных и QoS.
Другой технологией физического уровня, применяемой на уровне доступа, является беспроводной доступ. Здесь используется стандарт 802.11 b/g/n сетей WiFi. Применение этого стандарта обосновано в тех случаях, когда прокладка кабельной сети сильно затруднена или невозможна. Некоторым ограничением использования сетей WiFi является безопасность передачи данных. Однако обеспечить требуемый уровень защиты передаваемой информации возможно с помощью протоколов шифрования WPA/WPA2, WEP, фильтрации по MAC-адресам, а также применением сервера RADIUS;
• выбор среды передачи данных проектируемой КС на уровне распределения обуславливается требованием обеспечения высокой пропускной способности каналов этого уровня, поэтому предпочтительным является поддержка скоростей передачи данных от 100Мбит/с до 1Гбит/с. Типовым решением на уровне доступа является применение стандартов 100BASE-TX/1000BASE-TX/1000BASE-SX (документы 802.3u/802.3ab/ 802.3z). В зависимости от стандарта осуществляется выбор кабеля, применяемого в качестве среды физического уровня OSI: витая пара CAT5e, CAT6, CAT6a, или многомодового оптоволокна диаметром 50 микрон в европейском стандарте и 62,5 микрон в североамериканском и японском стандартах. Предпочтения чаще отдаются в пользу медного кабеля из-за более низкой цены, и такой выбор во многих случаях является оправданным. Однако при интенсивном обращении в сети медийного трафика и трафика реального времени могут возникнуть ситуации, когда именно кабельная система уровня распределения станет узким местом. В этом случае целесообразнее использовать оптоволокно;
• ключевым требованием к среде передачи данных уровня ядра, помимо высокой пропускной способности и производительности каналов связи, является обеспечение эффективного транспорта в среду провайдера. Чаще других на этом уровне используются два решения: 1) применение технологий xDSL (SDSL, VDSL, SHDSL); 2) применение оптоволокна или меди через шлюз/ маршрутизатор провайдера. Первая технология применяется в тех случаях, когда городской ввод в сеть предприятия реализуется посредством телефонной линии. Второй - когда доступен выделенный кабельный ввод. Предпочтительным вариантом является использование второго варианта, поскольку в этом случае обеспечивается существенно более высокая надежность подключения к сети и гарантированное QoS по трем классам обслуживания: трафик реального времени; трафик ИС систем в режиме online; трафик, некритичный к задержкам.
Кроме того, важным моментом, также определяющим повышенные требования к пропускной способности и производительности каналов связи уровня ядра сети, является включение на этом уровне серверных ферм. Серверы, в этом случае, могут подключаться к коммутаторам ядра с посредством технологий 1000BASE-TX/1000BASE-SX;
• интерфейсами физического уровня для витой пары CAT 5e являются разъемы 8P8C, обжатые по стандарту TIA/EIA-568-B. Для соединения устройств по волоконно оптическим каналам используется LC-коннектор или FDDI-коннектор.
Таким образом, проектное решение по технологиям физического и канального уровня может иметь вид как показано на рисунке 1.
Ключевыми аспектами организации уровня передачи данных (канального уровня) является:
• обеспечение строго очерченного служебного интерфейса для сетевого уровня;
• обработка ошибок передачи данных;
• управление потоком данных, исключающее затопление медленных приемников быстрыми передатчиками [2].
При проектировании решений по организации уровня передачи данных (канального уровня) необходимо учитывать возможность реализации в КС подуровней LLC (Logical Link Control -управление логическим каналом) и MAC (Media Access Layer - уровень доступа к среде). Уровень LLC отвечает за достоверную передачу кадров между станциями сети и взаимодействие с сетевым уровнем. MAC-уровень обеспечивает доступ с среде передачи данных. Типовым проектным решением для уровня передачи данных является применение протокола Ethernet и Fast Ethernet. Также на уровне ядра сети для организации доступа в сеть провайдера или создания собственного высокоскоростного транспорта могут применяться протоколы FDDI, xDSL, ATM.
Кроме того, здесь также устанавливаются виды сервисов LLC:
- сервис без подтверждения доставки и установления соединения (Ethernet);
- сервис с установлением соединения (ATM);
- сервис без установления соединения, но с подтверждением доставки.
Также определяется режим работы подуровня LLC: дуплексный, полудуплексный.
Для подуровня MAC должна быть определена необходимость использования MAC-адресов. В реальных КС многие устройства автоматически строят каналы и применяют протокол Ethernet. Однако в отдельных ситуациях может потребоваться жесткая привязка канала связи к устройству с помощью MAC-адреса. Такая ситуация должна содержать описание и схему канала.
Проектное решение для уровня передачи данных (канального) имеет вид (рис. 2).
Для обеспечения прямой связи между двумя узлами сети используется протокол PPP или его модификация PPPoE.
2. Технологии сетевого уровня
В проектных решениях по технологиям сетевого уровня описываются сведения по настройкам протоколов: IPv4/IPv6 (Internet Protocol), DVMRP (Distance Vector Multicast Routing Protocol),
/ \
* ♦
/ \
* •
/ \
ІИ УіШміДШИіііДТтГіГ IN УАЦіУДТїїДтТДГІіИ
LC 1000BASE-SX LC
1000ВІ
8P8C
TIA/EIA-568-B
Стандарт 802.3z
Серверная ферма
Уровень распределения
8P8C
' '________- 8P8C
— 8P8C ----
TIA/EIA-568-B
TIA/EIA-568-B 8p8C TIA/EIA-568-B
1000BASE-TX
1000BASE-SX
Уровень доступа
*
L— 8P8C
TIA/EIA-568-B
8P8C
TIA/EIA-568-B
8P8C
TIA/EIA-568-B
802.11 b/g/n
OL • • • Q
Стандарт 802.3І / 802.3u
ARP (Address Resolution Protocol), ICMP (Internet Control Message Protocol), IGMP (Internet Group Multicast Protocol), PIM-SM, (Protocol Independent Multicast Sparse Mode), PIM-DM (Protocol Independent Multicast Dense Mode), IPsec (Internet Protocol Security), RIP (Routing Information Protocol), DDP (Datagram Delivery Protocol). Наиболее важными на данном уровне являются решения по формированию логической схемы сети, структуры подсетей и схемы адресации узлов (hosts). Также технологии сетевого уровня предполагают решение задач маршрутизации, управления перегрузками и обеспечения качества обслуживания. В проекте данного уровня описываются следующие проектные решения.
Логические адреса (формирование IP-адреса и масок подсетей)
Разработка схемы логической адресации узлов компьютерной сети учреждения выполняется согласно требований документов RFC 990 и RFC 997. В ее основе лежит разделение адресации сетей от адресации устройств в этих сетях. При этом адреса назначаются последовательно, для того чтобы сделать маршрутизацию трафика сети более эффективной. Основным протоколом адресации узлов сети является протокол IP (Internet Protocol). IP-адрес состоит из двух частей: номера сети и номера узла. Поскольку сети учреждения являются изолированными сетями, IP-адрес может быть выбран администратором из специально зарезервированных для таких сетей блоков адресов: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16. Для сравнительно небольших компьютерных сетей с количеством узлов до 200 (к таким сетям относятся сети учреждений с числом компьютеров до 150шт. - ЛПУ3-6 типов) частные IP-ареса могут быть выбраны из диапазонов 172.16.0.0 - 172.16.131.0 или 192.168.0.0 - 198.168.255.0. Для крупных медицинских центров с числом узлов более 5000, целесообразно использовать диапазон адресов из 10.0.0.0.
Для типовой структуры городской клинической (центральной районной) больницы (рис. 3) компьютерная сеть включает в себя несколько подсетей. Причем подсети, в данном случае, могут
BB:00:22:33:DD:33 ЕЕ:11:22:11:22:33
быть двух типов: 1 - подсети, составляющие внутреннюю (основную) сеть учреждения (создаются на основе коммутаторов); 2 - подсети удаленных филиалов (создаются с использованием маршрутизаторов).
Логическая схема сети представляет собой схему топологии сети, на которой изображаются узлы, сгруппированные по методу использования сети, независимо от местоположения. На логической схеме КС указываются имена узлов сети и их адреса.
Адресация узлов КС учреждения записывается в таблице адресации, для составления которой используется модель расчета адресного пространства сети на основе бесклассовой адресации. Выбор метода бесклассовой адресации обуславливается тем, что он позволяет гибко управлять пространством 1Р-адресов. Использование этого метода позволяет экономно использовать ресурс 1Р-адресов, поскольку возможно применение различных масок подсетей к различным подсетям. При этом начальный (нулевой) и последний адреса фиксируются и используются для широковещательной рассылки.
Маршрутизация является основной функцией протокола 1Р. Обмен 1Р-дейтаграммами и их обработка на каждом узле выполняются протоколом 1Р, работающим на межсетевом уровне [5]. Каждая 1Р-дейтаграмма содержит 1Р-адреса источника и назначения. Службы уровня 1Р (межсетевого уровня) на каждом узле анализируют адрес назначения каждой датаграммы, ищут этот адрес в локальной таблице маршрутизации и выбирают действие по ее дальнейшему перенаправлению. 1Р-маршрутизаторы подключаются к двум или нескольким сегментам 1Р-сети, между которыми требуется обеспечить перенаправление пакетов. Алгоритм маршрутизации реализуется программным обеспечением, реализуемым на сетевом уровне и отвечающим за выбор выходной линии для отправки пришедшего пакета. Определенный выигрыш, при решении задач маршрутизации, позволяет получить виртуальные каналы. В этом случае маршрут выбирается только при создании виртуального канала. После этого все информационные пакеты следуют по выбранному маршруту. Система 1Р-маршрутизации основана на использовании таблиц маршрутизации для связи между сегментами сети.
Алгоритм маршрутизации может быть адаптивным или неадаптивным (статическим). При адаптивной маршрутизации таблица маршрутов составляется на основании данных, содержащихся в проходящих через маршрутизатор дейтаграммах. Неадаптивные алгоритмы не учитывают при выборе маршрута топологию и текущее состояние сети и не измеряют трафик на линиях. При выборе типа маршрутизации руководствуются логической топологией, масштабом сети и способом подключения к сети провайдера. Кроме того, при выборе способа маршрутизации необходимо учитывать пространственное расположение объектов городской клинической (центральной районной) больницы (рис. 4), поскольку возможно применение как внутренних (собственных) каналов связи, так и каналов провайдера. В таком случае внутри сети используется динамическая маршрутизация, а вне КС - статическая.
МУЗ (БУЗ) «Центральная районная больница»
ЦРБ: круглосуточный стационар, дневной стационар, районная поликлиника, отделение скорой медицинской помощи
ЛПУ 2 (3) типа
Участковая больница
ЛПУ 3 (4) типа
Врачебная амбулатория
ЛПУ 4 (5) типа
Фельдшерско-акушерские пункты
ЛПУ 5 типа
Рис. 3. Обобщенная структура ЦРБ
Схема маршрутов составляется на каждое устройство и фиксируется в таблице маршрутизации [6, 7]. Каждая запись в таблице маршрутизации включает следующую информацию:
• адрес сети или узла назначения, либо указание, что маршрут является маршрутом по умолчанию;
• маску сети назначения (для 1Ру4-сетей маска /32 (255.255.255.255) позволяет указать единичный узел сети);
• шлюз, обозначающий адрес маршрутизатора в сети, на который необходимо отправить пакет, следующий до указанного адреса назначения;
• интерфейс (в зависимости от системы это может быть порядковый номер, GUID или символьное имя устройства);
• метрику - числовой показатель, задающий предпочтительность маршрута. Чем меньше число, тем более предпочтителен маршрут (интуитивно представляется как расстояние).
Типы записей в таблице маршрутизации:
• маршрут до сети;
• маршрут до компьютера;
• маршрут по умолчанию.
Протоколы маршрутизации [8]:
AODV;
BGP - Border GateWay Protocol;
EGP;
EIGRP - Enhanced Interior Gateway Routing Protocol;
HSRP и CARP - протоколы резервирования шлюза в Ethernet-сетях;
IGRP - Interior Gateway Routing Protocol (лицензированный протокол Cisco Systems);
IS-IS - Intermediate System to Intermediate System (стек OSI);
OLSR;
OSPF - Open Shortest Path First;
RIP - Routing Information Protocol.
Главный больничный комплекс
Участковая больница Оптоволокно тип «А» G.652D
2. Собственный канал
Витая пара UTP
ФАП
Рис. 4. Структурная схема включения маршрутизатров
Задача управления нагрузкой сети заключается в исключении состояния перегрузки сетевой инфраструктуры вследствие большого количества пакетов, передаваемых одновременно подсетями или их частями. Стратегиями предотвращения перегрузок в КС является:
• применение виртуальных каналов;
• разработка и применение политик очередей пакетов и обслуживания;
• выбор алгоритма маршрутизации;
• управление временем жизни пакетов.
Технологии обеспечения QoS обуславливаются видами трафика, циркулирующего в сети учреждения. Типовым трафиком городской клинической (центральной районной) больницы является:
• передача файлов;
• web-доступ;
• удаленный доступ к серверу;
• обработка транзакций;
• электронная почта;
• медицинское оборудование;
• широковещательное видео (видеоконференция);
• обработка изображений;
• аудио;
• телефония.
Высокие требования к качеству обслуживания предъявляют трафик аудио, видео, телефонии, медицинского оборудования и транзакций. Обеспечить требуемое качество обслуживания трафика в КС позволяют следующие технологии:
- использование перекрывающей пропускной способности;
- организация приоритетных очередей в маршрутизаторах;
- применение протокола RSVP;
- дифференциальное обслуживание.
Проектное решение
Логическая схема компьютерной сети городской клинической (центральной районной) больницы приведена на рисунке 5.
Рис. 5. Логическая топология сети ЦРБ
Схема маршрутизации и сетевое адресное пространство городской клинической (центральной районной) больницы приведено на рисунке 5 (вариант).
Общая сеть городской клинической (центральной районной) больницы формируется (в данном примере) из 13 подсетей (табл. 1). Сетевые адреса назначаются в соответствии с правилами протокола CIDR (бесклассовая междоменная маршрутизация), т.е. каждой подсети выделяются ее адрес и маска. Отделение внутренних подсетей от сети провайдера выполняется посредством протокола NAT.
Для предотвращения перегрузок в КС городской клинической (центральной районной) больницы используется стратегия коммутируемых виртуальных каналов на маршрутизаторах совместно с протоколом резервирования ресурсов - RSVP (Resource Reservation Protocol). В маршрутизаторах, транслирующих трафик низкой и средней «взрывообразности», устанавливаются общая очередь для всех линий, а маршрутизаторов, транслирующих трафик высокой «взрывообразности» - по очереди для каждой линии или комбинированный вариант. Алгоритм маршрутизации выбирается автоматически в соответствии с возможностями маршрутизаторов по перераспределению трафика по всем линиям с учетом загруженности.
Качество обслуживания (QoS) сетевых запросов всех видов обеспечивается применением технологий перекрывающей пропускной способности в каналах с высокой концентрацией требовательного к пропускной способности сети трафика, организации приоритетных очередей в маршрутизаторах в зависимости от протоколов транспортного и прикладного уровня, а также применение протокола RSVP (рис.7).
Для решения перечисленных задач применяются устройства, обладающие следующими свойствами:
• предоставляет масштабируемые интерактивные сервисы для работы с мультимедиа, в том числе Telepresence.
• является оптимальным решением для создания сложных ит-систем, для которых требуются непрерывность функционирования и возможности совместной работы.
• модернизируемая на месте установки системная плата, скорость коммутации глобальной сети до 350 мбит/с.
192.168.2.64/26
192.168.6.0/29 3
Рис. 6. Схема соединения маршрутизаторов
• предоставляет интерактивные сервисы для работы с мультимедиа и средства виртуализации сервисов.
• позволяет создавать и управлять средними по размеру ИТ-инфраструктурами, для которых требуются оперативность и возможности совместной работы.
3. Технологии транспортного уровня
Основной задачей транспортного уровня является предоставление надежной и экономичной передачи данных от узла-источника узлу-получателю вне зависимости от физических характеристик используемой сети. Сервисы транспортного уровня могут быть ориентированными на соединение или не требующими соединений.
На транспортном уровне применяется два основных протокола: ТСР и UDR Посредством этих протоколов транспортным уровнем предоставляется сервис передачи данных с прикладного уровня модели OSI на более низкие уровни.
На транспортном уровне предусмотрено три типа сетевого сервиса [9].
• сервис типа А предоставляет сетевые соединения с приемлемым для пользователей количеством необнаруживаемых ошибок и приемлемой частотой сообщений об обнаруженных ошибках;
• сервис типа В отличается приемлемым количеством необнаруживаемых ошибок, но неприемлемой частотой сообщений об обнаруженных ошибках;
• сервис типа С предоставляет сетевые соединения с количеством необнаруженных ошибок, неприемлемым для сеансового уровня.
Существует пять классов сервиса транспортного протокола:
• класс 0, известный как телекс, представляет собой сервис с самым низким качеством. В этом классе сервиса предусматривается, что управление потоком данных осуществляет сетевой уровень (под транспортным уровнем). Транспортный уровень разрывает соединение, когда аналогичную операцию выполняет сетевой уровень.
Таблица 1
Сетевая адресация городской клинической (центральной районной) больницы (вариант)
Наименование / (номер) сети Число узлов Адрес сети Пул сетевых адресов Широковещательный адрес
Сеть №1 159 192.168.1.0, 192.168.2.0 256
Подсеть №1 28 192.168.1.0/27 192.168.1.1 - 192.168.1.45 192.168.1.31
Подсеть №2 18 192.168.1.32/27 192.168.1.33 - 192.168.1.50 192.168.1.63
Подсеть №3 10 192.168.1.64/28 192.168.1.65 - 192.168.1.74 192.168.1.79
Подсеть №4 6 192.168.1.180/29 192.168.1.181 - 192.168.1.186 192.168.1.187
Подсеть М1.0-М.1.1 2 192.168.1.188/30 192.168.1.189 - 192.168.1.190 192.168.1.191
Подсеть М1.1-М1.2 2 192.168.1.192/30 192.168.1.193 - 192.168.1.194 19.168.1.195
Подсеть М1.1-М1.3 2 192.168.1.196/30 192.168.1.197 - 192.168.1.198 19.168.1.199
Подсеть М1.1-М1.4 2 192.168.1.200/30 192.168.1.201 - 192.168.1.202 19.168.1.203
Подсеть №5 45 192.168.2.0/26 192.168.2.1 - 192.168.2.45 192.168.2.63
Сеть №2 34 192.168.2.64/26 192.168.2.65 - 192.168.2.98 192.168.2.127
Подсеть М1.2-М1.3 2 192.168.2.128/30 192.168.2.129 - 192.168.2.130 192.168.2.131
Подсеть М1.3-М2.1 2 192.168.2.132/30 192.168.2.133 - 192.168.2.134 192.168.2.135
Сеть №3 30 192.168.16.0/27 192.168.16.1 - 192.168.16.30 192.168.16.31
Сеть №4 12 192.168.12.0 32
Подсеть №1 12 192.168.12.0/28 192.168.12.1 - 192.168.12.12 192.168.12.15
Сеть №5 10 192.168.12.16/28 192.168.12.17 - 192.168.12.26 192.168.12.31
Сеть №6 15 192.168.10.0/27 192.168.10.1 - 192.168.10.15 192.1968.10.31
Сеть №7 3 192.168.8.0/29 192.168.8.1 - 192.168.8.3 192.168.8.7
Сеть №8 3 192.168.6.0/29 192.168.6.1 - 192.168.6.3 192.168.6.7
• сервис класса 1 был разработан CCITT для стандарта Х.25 на сети с коммутацией пакетов. Он обеспечивает передачу срочных данных, однако управление потоком все равно осуществляется на сетевом уровне.
• класс 2 - это модифицированный класс 0. Уровень сервиса этого класса базируется на предположении о том, что сеть обладает высокой надежностью. Предлагаемое качество сервиса предусматривает возможность мультиплексирования множества транспортных соединений из одного сетевого соединения. Класс 2 обеспечивает необходимую сборку мультиплексированных пакетов данных, прибывающих неупорядоченными.
• класс 3 обеспечивает виды сервиса, предлагаемые уровнями 1 и 2, а в случае обнаружения ошибки предоставляет возможность ресинхронизации для переустановления соединения.
• класс 4 предполагает, что сетевому уровню присуща надежность, поэтому он предлагает обнаружение и устранение ошибок.
Выбор того или оного класса обслуживания в сети городской клинической (центральной районной) больницы обуславливается соответствующим классом трафика (табл. 2) [10].
Проектное решение
Основным протоколом транспортного уровня является протокол TCP. Он обеспечивает надежную передачу данных и на него возложены задачи управления данными и перегрузками, что предполагает согласование скорости передачи данных с техническими возможностями рабочей станции-получателя и промежуточными устройствами. Протокол TCP является протоколом с предварительной установкой соединения.
Существует набор служб, использующих для передачи данных TCP, за которыми закреплены определенные порты:
• 20/21 - FTP;
• 22 - SSH;
• 23 - Telnet;
• 25 - SMTP;
• 80 - HTTP;
• 110 - POP3;
Система хранения данных
Вспомогательные подразделения (кадры, бухгалтерия, АХЧ и пр.)
J- 10 Mbit/s )
> 100 Mbit/s )
Лечебные подразделения
• 194 - IRC (Internet Relay Chat);
• 443 - HTTPS (Secure HTTP);
• 1863 - MSN Messenger;
• 2000 - Cisco SCCP (VoIP);
• 3389 - RDP;
• 8080 - альтернативный порт HTTP.
Полный список портов протокола ТСР приведен в [1]. Использование других портов протоколов TCP и UDP устанавливается администратором КС учреждения.
Тип сервиса: А.
Для классов трафика A, B, C, D, X устанавливаются следующие классы обслуживания (табл. 3) (рис. 8).
Включение механизмов TCP контроля за установлением и закрытием соединений с перегрузками, управлением пропускной способностью и таймингом.
Мониторинг сетевых сервисов реализуется применением протокола SNMP (Simple Network Management Protocol - простой протокол сетевого управления) - стандартный Интернет-протокол для управления устройствами в IP-сетях.
4. Технологии сеансового уровня
Сеансовый уровень является программно-управляемым уровнем. Он обеспечивает поддержание сеанса связи, позволяя приложениям взаимодействовать между собой длительное время. Уровень управляет созданием/завершением сеанса, обменом информацией, синхронизацией задач, определением права на передачу данных и поддержанием сеанса в периоды неактивности приложений. Синхронизация передачи обеспечивается помещением в поток данных контрольных точек, начиная с которых возобновляется процесс при нарушении взаимодействия.
Сеансы передачи составляются из запросов и ответов, которые осуществляются между приложениями. Службы сеансового уровня обычно используются в средах приложений, в которых требуется использование удалённого вызова процедур.
Таблица 2
Классы трафика
Класс трафика Характеристики
A Постоянная битовая скорость, чувствительность к задержкам, передача с установлением соединения (например, голосовой трафик, трафик телевизионного изображения). Параметры QoS: пиковая скорость передачи данных, задержка, джиттер
B Переменная битовая скорость, чувствительность к задержкам, передача с установлением соединения (например, компрессированный голос, компрессированное видеоизображение). Параметры QoS: пиковая скорость передачи данных, пульсация, средняя скорость передачи данных, задержка, джиттер
C Переменная битовая скорость, эластичность, передача с установлением соединения (например, трафик компьютерных сетей, в которых конечные узлы работают по протоколам с установлением соединений. Параметры QoS: пиковая скорость передачи данных, пульсация, средняя скорость передачи данных
D Переменная битовая скорость, эластичность, передача без установления соединения (например, трафик компьютерных сетей, в которых конечные узлы работают по протоколам без установления соединений. Параметры QoS не определены
X Тип трафика и его параметры определяются пользователем
Таблица 3
Решение по классу обслуживания трафика на транспортном уровне
Класс трафика Класс обслуживания
A 4 (min 3)
B 4 (min 3)
C 3 (min 2)
D 3 (min 2)
X 1-3
Проектное решение Протоколы
• H.245, Call Control Protocol for Multimedia Communication;
• ISO-SP, OSI session-layer protocol (X.225, ISO 8327);
• iSNS, Internet Storage Name Service;
• L2F, Layer 2 Forwarding Protocol;
• L2TP, Layer 2 Tunneling Protocol;
• NetBIOS, Network Basic Input Output System;
• PAP, Password Authentication Protocol;
• PPTP, Point-to-Point Tunneling Protocol;
• RPC, Remote Procedure Call Protocol;
• RTCP, Real-time Transport Control Protocol;
• SMPP, Short Message Peer-to-Peer;
• SCP, Session Control Protocol;
• SOCKS, сетевой протокол;
• SDP, Sockets Direct Protocol.
5. Технологии уровня представлений
Уровень представления использует программные интерфейсы и выполняет преобразование данных между устройствами с различными форматами данных, а также шифрование/дешифровку данных. Данный уровень является платформенно зависимым. Эту зависимость определяет операционная система, предоставляющая инструментальную среду обработки сетевых запросов. Основными протоколами данного уровня являются: NetBIOS, NetBEUI, FTP, NFS, Telnet. Проектное решение
Обеспечение эффективной работы представительского уровня осуществляется за счет использования на сетевых узлах следующих служб (на примере ОС MS Windows):
FDResPub - публикует этот компьютер с его ресурсами, так что их можно будет обнаружить в сети;
SstpSvc - обеспечивает поддержку протокола SSTP (Secure Socket Tunneling Protocol) для подключения к удаленным компьютерам с помощью VPN;
Система хранения данных
Вспомогательные подразделения (кадры, бухгалтерия, АХЧ и пр.)
BFE - Служба базовой фильтрации (BFE) представляет собой службу, которая управляет политиками брандмауэра и политиками IP-безопасности (IPsec), применяя фильтрацию пользовательских режимов;
nsi - эта служба отправляет сетевые уведомления (например, о добавлении или удалении интерфейса и т.п.) клиентам пользовательских режимов;
StiSvc - обеспечивает службы получения изображений со сканеров и цифровых камер;
CryptSvc - предоставляет четыре службы управления: службу баз данных каталога, которая подтверждает подписи файлов Windows и разрешает установку новых программ; службу защищенного корня, которая добавляет и удаляет сертификаты доверенного корневого центра сертификации с этого компьютера; службу автоматического обновления корневых сертификатов, которая получает корневые сертификаты из центра обновления Windows и разрешает сценарии, такие как SSL, а также службу ключей, которая позволяет подавать заявки на сертификаты с этого компьютера. Если данная служба будет остановлена, все эти службы управления не будут работать;
RpcEptMapper - обеспечивает разрешение идентификаторов интерфейсов RPC до конечных точек транспорта;
RpcSs - удаленный вызов процедур (RPC);
RapiMgr - обеспечивают удаленное управление устройствами на платформе Windows Mobile;
BITS - передает файлы в фоновом режиме работы, используя незанятую пропускную способность сети;
SSDPSRV - обнаруживает сетевые устройства и службы, использующие протокол обнаружения SSDP, такие как устройства UPnP. Также объявляет устройства и службы SSDP, работающие на локальном компьютере;
netprofm - определяет сети, к которым подключен компьютер, собирает и хранит данные о свойствах этих сетей и оповещает приложения об изменении этих свойств;
RpcLocator - локатор удаленного вызова процедур (RPC).
В данном перечне приведены службы, имеющие тип запуска «Автоматический». Другие службы операционной системы могут включаться в режиме «Вручную» при запуске соответствующих приложений или протоколов прикладного уровня.
6. Технологии прикладного уровня
Прикладной уровень служит пользовательским интерфейсом с сетью. Этот уровень непосредственно взаимодействует с пользовательскими прикладными программами, предоставляют им доступ в сеть. Основными протоколами прикладного уровня являются:
• binkp - для передачи файлов в FTN-сетях, происходящей поверх TCP-соединения;
• DHCP - позволяет компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP;
• FTP - предназначен для передачи файлов по TCP-сетям;
• Finger - предназначен для предоставления информации о пользователях удалённого компьютера;
• DNS - протокол системы доменных имён;
• HTTP - протокол передачи гипертекста;
• HTTPS - расширение протокола HTTP, поддерживающее шифрование;
• IMAP - протокол доступа к электронной почте;
• IRC - протокол обмена сообщениями в режиме реального времени;
• XMPP - расширяемый протокол обмена сообщениями и информацией о присутствии;
• LDAP - облегчённый протокол доступа к каталогам;
• NTP - сетевой протокол для синхронизации внутренних часов компьютера с использованием сетей с переменной латентностью;
• NNTP - представляет собой сетевой протокол, распространения, запрашивания, размещения и получения групп новостей при взаимодействии между сервером групп новостей и клиентом;
• POP3 - стандартный Интернет-протокол, используемый клиентами электронной почты для извлечения электронного сообщения с удаленного сервера по TCP/IP-соединению;
• RDP - проприетарный протокол прикладного уровня, использующийся для обеспечения удалённой работы пользователя с сервером, на котором запущен сервис терминальных подключений;
• SSH - протокол, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов);
• SMTP - предназначен для передачи электронной почты в сетях TCP/IP;
• Telnet - сетевой протокол для реализации текстового интерфейса по сети (в современной форме — при помощи транспорта TCP);
• SNMP - стандартный интернет-протокол для управления устройствами в IP-сетях на основе архитектур UDP/TCP;
• SIP - протокол передачи данных, который описывает способ установления и завершения пользовательского Интернет-сеанса, включающего обмен мультимедийным содержимым (видео-и аудиоконференция, мгновенные сообщения, онлайн-игры).
Рис. 9. Модель включения доменов (общий подход)
Рис. 10. Организационная единица домена на примере фрагмента структуры организационных
единиц домена ГКБ
В проекте компьютерной сети городской клинической (центральной районной) больницы важное значение имеют решения, связанные с логической схемой организации управления сетевой инфраструктурой и ресурсами информационного и программного обеспечения. И здесь наилучшим вариантом являются модели, основанные на построении домена, из которых предпочтительным вариантом для городской клинической (центральной районной) больницы - модель с одним доменом. Для такой модели одна граница безопасности определяет границы домена, и все объекты размещаются внутри этой границы [11]. Кроме того, в такой модели более эффективно решаются вопросы администрирования за счет применения централизованных политик управле-
Таблица 4
Категории пользователей и их права доступа к системе управления ИТ-ресурсами
№ п/п Категория пользователей Права доступа с точки зрения:
редактирования информационного ресурса категории данных по принадлежности
Чтение Создание Удаление Обновление Информация общего пользования Специализированная информация Результаты общих анализов
1. «Клиенты» (личные сведения пациента) + 0 0 0 + + +
2. Специалисты + + 0 + + + +
3. Терапевты, педиатры + + + + + + +
4. Администраторы домена + + + + 0 0 0
5. Структурные руководители + 0 0 0 + 0 0
6. Функциональные службы (бухгалтерия, юридическая) + 0 0 0 + 0 0
Рис. 11. Общая структура сайтов домена mgkb-N.ru
ния и безопасности. При развитии инфраструктуры системы старшего уровня один домен может быть введен в соответствующее дерево в лесе без каких-либо затруднений (рис. 9).
Пользователи домена системы управления ИТ-ресурсами учреждения функционально разбиты на следующие группы доступа (табл. 4):
• «клиенты» (группа пользователей представленных клиентами медицинских учреждений);
• специалисты (группа пользователей объединяющая профильных специалистов, таких как хирурги, стоматологи, отоларингологи и т.д);
• терапевты, педиатры;
• администраторы домена;
• структурные руководители;
• функциональные службы (бухгалтерия, юридическая).
Проектное решение
Структура организационной доменной единицы представлена на рисунке 9.
Групповые политики выглядят следующим образом:
• «клиенты» (группа пользователей, представленных клиентами медицинских учреждений, имеющих права доступа к информации индивидуального характера - личной медицинской карты, результаты обследования и анализы и т.д.);
• специалисты (группа пользователей, объединяющая профильных специалистов, таких как хирурги, стоматологи, отоларингологи и т.д.) Данная группа пользователей имеет права доступа к общей информации о пациенте, а также к профильной информации с момента рождения и до самой смерти;
• терапевты, педиатры: группа пользователей, имеющая доступ ко всей информации о пациенте, за исключением информации, попадающей под особою категорию защиты конфиденциальности;
• Администраторы домена - группа пользователей, имеющая доступ к данным, необходимым для решения вопросов, связанных с администрированием домена;
• Структурные руководители имеют доступ к информации отчетного и статистического характера, общая информация о клиенте;
• Функциональные службы (бухгалтерия, юридическая) - общедоступная информация.
Организационно структура с единственным доменом включает в себя основной сайт, в состав которого входит контроллер домена и сайты удаленных объектов: поликлиник, амбулаторий, ФАП (рис. 11).
Управление именами и сайтами домена реализуется посредством службы DNS. При этом используется одна зона DNS.
Сопоставление имен узлов их IP-адресам осуществляется службой DHCP. DHCP-сервер включается в структуру контроллера домена. При этом база данных каталога содержит в себе все имена узлов и их IP-адреса (см. табл. 1).
Выводы
Таким образом, в данном проекте представлены основные решения по организационному и технологическому построению компьютерной сети городской клинической (центральной районной) больницы. В приведенных описаниях некоторые решения носят общий характер, поскольку их конкретизация требует точных формулировок технического задания и знания особенностей объектов проектирования. В данный проект не вошли решения по физическому построению сети:
1. Принципиальная схема коммутации и маршрутизации.
2. Применение VLAN.
3. Управление топологией сети.
4. Обеспечение безопасности и ограничения доступа к сети (VPN).
5. Передача мультимедиа.
Кроме того, за рамками проекта также остались вопросы прокладки кабельной системы и запуска сети, поскольку эти вопросы входят в состав работ стадии рабочего проектирования и требуют обязательной привязки к физическому построению учреждения.
Литература
1. Кульгин, М. Технологии корпоративных сетей : Энциклопедия / М. Кульгин. - СПб. : Питер, 1999. - 704 с.
2. Таненбаум, Э. Компьютерные сети / Э. Танабаум. Изд. 4-е. - СПб. : Питер, 2003. - 992 с.
3. ГОСТ 2.12о-73
4. РД 5о-34.698-9о
5. IP-маршрутизация / [электронный ресурс] - URL: http://technet.microsoft.com/ru-ru/library/ cc785246(v=ws.10).aspx - Дата доступа: 1.12.2о12.
6. Камер, Д. Сети TCP/IP. Том 1. Принципы, протоколы и структура / Д. Камер. - М. : «Вильямс», 2оо3. - 88о с.
7. RFC 2.о. [Электронный ресурс] - URL: http://rfc2.ru/1180.rfc - Дата доступа: 1.12.2о12.
8. Cisco Systems. Руководство Cisco по междоменной многоадресатной маршрутизации. - М. : «Вильямс», 2оо4. - 32о с.
9. Локальные сети / [Электронный ресурс] - URL: http://www.itstan.ru/komp-tehnika/transportnyj-uroven.html - Дата доступа: 2.12.2о12.
10. Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы : учебник для вузов / В. Г. Олифер, Н. А. Олифер. - СПб. : Питер, 2оо7. - 96о с.
11. Моримото, Р Microsoft Windows Server 2008R2. Полное руководство / Р. Моримото, М. Ноэл, О. Драуби, Р. Мистри, К. Амарис: с англ. - М. : ООО «И. Д. Вильямс», 2011. - 1456 с.
