歐志文 宋 俊

隨著VLAN技術(shù)的不斷成熟并被廣泛應(yīng)用在局域網(wǎng)中，因其具有加強(qiáng)網(wǎng)絡(luò)安全、控制局域網(wǎng)病毒傳播、隔離廣播風(fēng)暴等優(yōu)點(diǎn)，極大地降低了網(wǎng)絡(luò)管理員對以往局域網(wǎng)模式管理的難度。針對醫(yī)院這一行業(yè)，穩(wěn)定可靠的網(wǎng)絡(luò)是核心業(yè)務(wù)的基本保障，是對病人與工作人員提供快速方便完成事務(wù)的重要途徑［1］。

1 VLAN技術(shù)實(shí)例

我院在引入VLAN技術(shù)之前，局域網(wǎng)絡(luò)為單一局域網(wǎng)，又稱“傻瓜式”局域網(wǎng)。它的優(yōu)點(diǎn)在于交換機(jī)要求較低，對組建網(wǎng)絡(luò)人員技術(shù)性要求不高。它的缺點(diǎn)是無法控制病毒在局域網(wǎng)內(nèi)的傳播和隔離廣播風(fēng)暴，網(wǎng)絡(luò)的安全性較差。VLAN技術(shù)的應(yīng)用，有效地解決了單一局域網(wǎng)的不足。然而VLAN技術(shù)必須使用支持VLAN劃分的交換機(jī)，它的價格也相對普通交換機(jī)高，需要接入成本加大［2－3］。

1.1 交換機(jī)的選型

我院的網(wǎng)絡(luò)終端數(shù)量達(dá)一定的規(guī)模，網(wǎng)絡(luò)架構(gòu)是采用核心層、匯聚層、接入層三層模式。第一，核心層選用Cisco4503交換機(jī)，特點(diǎn)是其具有組建VLAN所需的三層交換功能，能快速轉(zhuǎn)發(fā)VLAN數(shù)據(jù)包，吞吐量達(dá)64 Gbps。另外具有智能網(wǎng)絡(luò)服務(wù)和綜合管理工具，包括高級QoS特性和尖端的安全系統(tǒng)，模塊化設(shè)計，可自行選用千兆光口或電口模塊，為保障網(wǎng)絡(luò)連續(xù)可用性，設(shè)計冗余管理引擎和冗余電源，實(shí)現(xiàn)的作業(yè)生產(chǎn)保護(hù)。功能與性能上基本滿足業(yè)務(wù)需求。第二，匯聚層選用Cisco3560交換機(jī)，同樣是智能多層交換機(jī)，其上聯(lián)端口為千兆速率，下聯(lián)端口也是千兆，但基于設(shè)備的特點(diǎn)，該設(shè)備只是單電源設(shè)計。而接入層選用Cisco2918交換機(jī)，交換機(jī)價格實(shí)惠，支持VLAN劃分，同時支持端口綁定等可加強(qiáng)網(wǎng)絡(luò)安全功能，滿足組建虛擬局域網(wǎng)的基本要求［4－5］。

1.2 VLAN 軟件配置

在物理鏈路建立后，VLAN技術(shù)主要是采用軟件配置來實(shí)現(xiàn)。以我院實(shí)際應(yīng)用的部門進(jìn)行劃分是端口劃分方式為例，如表1:

表1 部門VLAN劃分規(guī)劃表

根據(jù)制定出來的劃分表，采用端口劃分VLAN的方法，只需要在接入層交換機(jī)相應(yīng)的端口上設(shè)置所屬VLAN。VLAN是非常靈活的，不局限于以上這種方式來劃分，VLAN劃分方式有三種，分別是采用MAC地址劃分，或采用IP地址劃分，或采用端口劃分。目前以部門劃分VLAN，并且部門所在的區(qū)域比較集中，所以采用端口劃分比較快捷方便一些。以上三種方式，可以任意組合使用?；诙丝诜绞絼澐諺LAN時，我們可以把任意部門劃分到一個VLAN里，舉個簡單例子，雖然消化內(nèi)科與呼吸內(nèi)科在不同樓層，但也可以把它們劃分到一個VLAN當(dāng)中。這里劃分VLAN要注意一個恰當(dāng)原則，并不是劃分VLAN越多越好，VLAN過多則會降低局域網(wǎng)帶給用戶的方便性與資源共享，同時會增加網(wǎng)絡(luò)性能負(fù)擔(dān)，加大管理員配置管理的難度［6－8］。

為了新建一個VLAN配置，首先從Cisco4503核心交換機(jī)開始配置，

1.3 醫(yī)院的網(wǎng)絡(luò)拓?fù)?/h3>

如圖1是我院的網(wǎng)絡(luò)拓?fù)鋱D，核心層采用思科4500系列三層交換機(jī)雙機(jī)熱備，增加核心層的穩(wěn)定性，采用HSRP協(xié)議，這是思科對冗余的私有協(xié)議，它提供幾乎100%的路由器可用性和冗余。我院采用三層網(wǎng)絡(luò)架構(gòu)，結(jié)構(gòu)清晰。清晰的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對網(wǎng)絡(luò)管理員管理劃分VLAN有相當(dāng)重要的作用。

圖1 醫(yī)院網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

2 結(jié)果

①管理更加規(guī)范、有效。在使用VLAN技術(shù)搭建網(wǎng)絡(luò)前，整個網(wǎng)絡(luò)處于一個邏輯局域網(wǎng)，隨著網(wǎng)絡(luò)越來越龐大，管理上越容易混亂。使用之后，對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行區(qū)域劃分，管理更加規(guī)范，IP地址也不容易出現(xiàn)沖突。②有效地降低了網(wǎng)絡(luò)故障率。在使用前，每當(dāng)網(wǎng)絡(luò)出現(xiàn)ARP攻擊時，整個網(wǎng)絡(luò)就處于癱瘓狀態(tài)，影響范圍廣，故障定位難。使用之后，ARP攻擊僅影響相對小的范圍，容易對故障進(jìn)行定位。③提高網(wǎng)絡(luò)效率。VLAN技術(shù)能夠有效地控制廣播風(fēng)暴，它能有效地控制在某個VLAN內(nèi)部，不影響其他VLAN的正常運(yùn)行。在同一個廣播域里的數(shù)據(jù)包大大地減少，從而減少主干流量，提高網(wǎng)絡(luò)使用效率［9］。④增強(qiáng)安全性。處于同一個局域網(wǎng)，網(wǎng)絡(luò)是共享的，局域網(wǎng)中某個電腦可以訪問其他電腦，但劃分VLAN之后，可以控制或者定制策略，允許或禁止各個VLAN間的訪問［10］。⑤提高可靠性。使用VLAN技術(shù)之后，同時與采用雙鏈路熱備份，不僅從物理上，還有邏輯上都提高網(wǎng)絡(luò)的可靠性、可用性。在運(yùn)行VLAN技術(shù)到新網(wǎng)絡(luò)中以來，醫(yī)院全網(wǎng)零故障率，極大地體現(xiàn)VLAN的優(yōu)勢。

3 結(jié)論

利用VLAN技術(shù)來構(gòu)建醫(yī)院局域網(wǎng)絡(luò)，可充分利用其優(yōu)越性，使醫(yī)院局域網(wǎng)達(dá)到了良好的穩(wěn)定性、靈活方便性和可擴(kuò)展性。我院在應(yīng)用了VLAN架構(gòu)醫(yī)院局域網(wǎng)絡(luò)之后，網(wǎng)絡(luò)故障率大大減低，運(yùn)行穩(wěn)定，網(wǎng)絡(luò)拓?fù)淝逦?，故障定位迅速，排除故障快捷，達(dá)到了方便有效的網(wǎng)絡(luò)管理，效果十分明顯。

［1］于 淼，方工文.VLAN技術(shù)分析及在醫(yī)院網(wǎng)絡(luò)建設(shè)中的應(yīng)用［J］.中國醫(yī)療設(shè)備，2012，27(7):86 －87.

［2］謝希仁.計算機(jī)網(wǎng)絡(luò)［M］.4版.電子工業(yè)出版社，2003.

［3］汪華斌.VLAN和訪問控制技術(shù)的應(yīng)用研究［J］.電腦開發(fā)與應(yīng)用，2008，21(2):10 －12.

［4］BALAJI SIVASUBRAMANIAN，ERUM FRAHIM.組建 Cisco多層交換網(wǎng)絡(luò)［M］.北京:人民郵電出版社，2007.

［5］還書國，李 萍，陶志君.基于三層交換技術(shù)的VLAN的實(shí)現(xiàn)［J］.中小企業(yè)管理與科技，2008，24:221.

［6］張 衛(wèi)，王 能，俞黎陽，等.計算機(jī)網(wǎng)絡(luò)工程［M］.清華大學(xué)出版社，2004.

［7］黃 毅.虛擬局域網(wǎng)在我院的應(yīng)用［J］.中國醫(yī)療設(shè)備，2012，27(8):60－61.

［8］劉文杰，林樂春，李鳳岐，等.VLAN技術(shù)在校園網(wǎng)實(shí)驗(yàn)中的應(yīng)用［J］.實(shí)驗(yàn)技術(shù)與管理，2009，26(3):85 －87.

［9］倪曉華.沖突域、廣播域引起的局域網(wǎng)故障排除［J］.現(xiàn)代醫(yī)院，2008，8(1):140 －141.

［10］呂曉娟，王 瑞，郭 甲，等.運(yùn)用虛擬局域網(wǎng)技術(shù)加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全建設(shè)［J］.醫(yī)學(xué)信息，2011，24(7):3130 －3131.