天津醫(yī)科大學(xué)總醫(yī)院濱海醫(yī)院 胡瑩瑩

本文主要介紹了VLAN、VLAN劃分等相關(guān)技術(shù)，并基于醫(yī)院VLAN劃分的實(shí)例來(lái)說(shuō)明VLAN技術(shù)在醫(yī)院網(wǎng)絡(luò)管理中的主要作用。VLAN技術(shù)不僅可以使醫(yī)院的網(wǎng)絡(luò)配置更加靈活同時(shí)也可以提高網(wǎng)絡(luò)的安全性，提升醫(yī)院的管理水平。

隨著信息技術(shù)的飛快發(fā)展，醫(yī)院信息系統(tǒng)的體量也不斷擴(kuò)大，這對(duì)承載醫(yī)院信息系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)的要求也變得越來(lái)越高，在多數(shù)據(jù)融合的基礎(chǔ)上要做到高帶寬、低時(shí)延，同時(shí)還要保障網(wǎng)絡(luò)運(yùn)行的安全性和可靠性。各個(gè)信息系統(tǒng)的網(wǎng)絡(luò)既要做到相互通信，又要做到互不干擾，VLAN技術(shù)的出現(xiàn)解決了這一難題。

1 VLAN技術(shù)

VLAN（Virtual LAN，虛擬局域網(wǎng)）是在LAN（局域網(wǎng)）上衍生出來(lái)的概念，LAN是在某一特定地理范圍，由若干臺(tái)計(jì)算機(jī)設(shè)備組成的可以互聯(lián)互通的工作組，它的局限性在于覆蓋的地理范圍較小。VLAN突破了LAN的局限性，它可以將處于不同地理位置的計(jì)算機(jī)根據(jù)功能、部門或者其他因素連接成一個(gè)局域網(wǎng)，組成邏輯上的局域網(wǎng)，因此被稱為虛擬局域網(wǎng)。

一個(gè)局域網(wǎng)就是一個(gè)廣播域，如圖1所示，當(dāng)網(wǎng)絡(luò)上的計(jì)算機(jī)A想要和計(jì)算機(jī)C通信時(shí)，需先向網(wǎng)絡(luò)上廣播一個(gè)ARP請(qǐng)求以獲得計(jì)算機(jī)C的MAC地址，交換機(jī)A收到計(jì)算機(jī)A的廣播請(qǐng)求時(shí)會(huì)向除接口端口外的其他端口轉(zhuǎn)發(fā)該請(qǐng)求，即洪泛。此時(shí)計(jì)算機(jī)和交換機(jī)2都收到了ARP請(qǐng)求，交換機(jī)2繼續(xù)執(zhí)行洪泛操作，最終計(jì)算機(jī)B和計(jì)算機(jī)D也收到了計(jì)算機(jī)A發(fā)來(lái)的ARP請(qǐng)求。在不劃分VLAN的情況下，計(jì)算機(jī)A想獲得計(jì)算機(jī)C的MAC地址，結(jié)果整個(gè)網(wǎng)絡(luò)的所有客戶端都收到了ARP請(qǐng)求，這大大浪費(fèi)了網(wǎng)絡(luò)帶寬和CPU的處理時(shí)間。

圖1 未劃分VLANFig.1 Undivided VLAN

為了解決該問(wèn)題，我們采用劃分VLAN的方式，如圖2所示，將交換機(jī)1上連接計(jì)算機(jī)A的端口1和連接計(jì)算機(jī)C的端口2劃分到VLAN100里，和交換機(jī)2相連的端口3劃分到其他VLAN里。那么交換機(jī)1收到來(lái)自端口1的ARP請(qǐng)求時(shí)，只轉(zhuǎn)發(fā)給屬于同一VLAN的端口2，即只有計(jì)算機(jī)C能收到該報(bào)文，而計(jì)算機(jī)B和D將獲取不到該報(bào)文，大大節(jié)省了網(wǎng)絡(luò)帶寬和CPU的處理時(shí)間。同時(shí)，劃分VLAN后縮小了廣播域的大小，即縮小了ARP攻擊范圍，提高了網(wǎng)絡(luò)安全性。

圖2 已劃分VLANFig.2 Divided VLAN

2 VLAN劃分

2.1 基于端口的劃分

基于端口的劃分也成為靜態(tài)VLAN，即將交換機(jī)的某個(gè)端口劃分為一個(gè)固定VLAN內(nèi)，由于該模式需要將端口一個(gè)個(gè)的指定，當(dāng)客戶端變更時(shí)，所屬的交換機(jī)端口VLAN也需重新設(shè)置，因此只適合規(guī)模較小同時(shí)比較穩(wěn)定的網(wǎng)絡(luò)，當(dāng)網(wǎng)絡(luò)規(guī)模較大或需要頻繁變動(dòng)時(shí)，該模式由于維護(hù)時(shí)間和成本較高而不再適用。

2.2 基于MAC地址的劃分

基于MAC地址的劃分是根據(jù)每臺(tái)設(shè)備網(wǎng)卡的MAC地址來(lái)劃分VLAN，屬于動(dòng)態(tài)VLAN的一種，由于VLAN是與MAC地址綁定，所以當(dāng)設(shè)備的物理位置發(fā)生變化的時(shí)候，無(wú)需再重新配置VLAN，僅在設(shè)備更換網(wǎng)卡的情況下才需重新配置VLAN，使得后期維護(hù)變得簡(jiǎn)單。但前期需對(duì)所有的MAC地址進(jìn)行查看和綁定VLAN操作，對(duì)于大型網(wǎng)絡(luò)來(lái)說(shuō)，前期工作量較大。

2.3 基于IP地址的劃分

基于IP地址的劃分也是屬于動(dòng)態(tài)VLAN的一種，它是通過(guò)設(shè)備IP來(lái)決定屬于哪個(gè)VLAN。當(dāng)設(shè)備由于更換網(wǎng)卡導(dǎo)致MAC地址改變時(shí)，由于其IP地址并未發(fā)生改變，所屬VLAN也未發(fā)生變化，因此無(wú)需再重新設(shè)置VLAN。

3 VLAN在醫(yī)院網(wǎng)絡(luò)中的應(yīng)用

3.1 隔離內(nèi)外網(wǎng)

目前醫(yī)院由于存在的業(yè)務(wù)系統(tǒng)繁多、組織結(jié)構(gòu)和業(yè)務(wù)流程等原因，無(wú)法實(shí)現(xiàn)內(nèi)外網(wǎng)的純物理隔離，同一科室即需要訪問(wèn)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)，也需要訪問(wèn)外網(wǎng)業(yè)務(wù)系統(tǒng)。若想實(shí)現(xiàn)多業(yè)務(wù)系統(tǒng)之間的互聯(lián)互通，同時(shí)保證各個(gè)系統(tǒng)安全獨(dú)立，需在二層交換機(jī)上針對(duì)不同的業(yè)務(wù)系統(tǒng)配置不同的VLAN，將業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)物理隔離，控制各業(yè)務(wù)系統(tǒng)之間的相互訪問(wèn)。同時(shí)也需要在三層交換機(jī)上通過(guò)配置ACL（Access Control List，訪問(wèn)控制列表）實(shí)現(xiàn)允許或禁止特定VLAN數(shù)據(jù)通過(guò)，控制病毒在網(wǎng)絡(luò)中的傳播，從而保證數(shù)據(jù)安全。

3.2 增加網(wǎng)絡(luò)靈活性

借助VLAN技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個(gè)虛擬的局域網(wǎng)絡(luò)環(huán)境，在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)，就像使用本地LAN一樣方便、靈活、有效[1]。

3.3 提高網(wǎng)絡(luò)安全性

處在同一VLAN的端口存在于一個(gè)廣播域中，即該VLAN內(nèi)的所有端口只能收到此VLAN內(nèi)端口發(fā)出的廣播包，這樣就可以有效的隔離廣播域，減少網(wǎng)絡(luò)中的廣播包，抑制廣播風(fēng)暴的發(fā)生。當(dāng)網(wǎng)絡(luò)中的某臺(tái)設(shè)備出現(xiàn)故障時(shí)，通過(guò)VLAN設(shè)置可以減小故障設(shè)備影響范圍，并快速定位故障，有效進(jìn)行故障排查。

3.4 合理規(guī)劃和分配IP地址

如表1所示，每一個(gè)VLAN對(duì)應(yīng)一個(gè)IP地址段，屬于該VLAN的PC或設(shè)備只能配置該VLAN對(duì)應(yīng)IP地址段內(nèi)的IP地址，否則將無(wú)法進(jìn)行三層通信。這樣不僅合理規(guī)劃和管理了IP地址，減少IP地址沖突的產(chǎn)生，同時(shí)也減少了IP地址盜用對(duì)網(wǎng)絡(luò)產(chǎn)生的不良影響。

表1 醫(yī)院VLAN配置表Tab.1 Hospital VLAN configuration

4 VLAN在醫(yī)院網(wǎng)絡(luò)中的應(yīng)用實(shí)例

某大型醫(yī)院采用核心三層交換機(jī)熱備的方式，同時(shí)匯聚交換機(jī)通過(guò)兩條線路分別連接核心交換機(jī)，接入交換機(jī)也采用雙線路的方式接入?yún)R聚交換機(jī)。這樣當(dāng)網(wǎng)絡(luò)中的匯聚交換機(jī)或核心交換機(jī)出現(xiàn)故障時(shí)，可迅速自動(dòng)切換到另一條線路上，不會(huì)導(dǎo)致業(yè)務(wù)中斷，前端用戶基本感覺不到網(wǎng)絡(luò)波動(dòng)，這種雙機(jī)熱備的方式能保障醫(yī)院業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。

通過(guò)在核心三層交換機(jī)上劃分VLAN，可以保障各個(gè)業(yè)務(wù)的獨(dú)立運(yùn)行，同時(shí)設(shè)置端口訪問(wèn)控制列表，可以讓VLAN之間互聯(lián)互通。在核心交換機(jī)上執(zhí)行Show VLAN命令可以查看所有的VLAN信息，包含VLAN名稱，VLAN類型和VLAN對(duì)應(yīng)的端口號(hào)。如下所示，所有VLAN均配置為靜態(tài)VLAN，內(nèi)網(wǎng)業(yè)務(wù)配置為VLAN20，外網(wǎng)業(yè)務(wù)配置為VLAN10，服務(wù)器配置為VLAN80和VLAN81，大屏配置為VLAN99等。通過(guò)給不同業(yè)務(wù)配置不同VLAN，可以實(shí)現(xiàn)各個(gè)業(yè)務(wù)的獨(dú)立運(yùn)行，為了實(shí)現(xiàn)業(yè)務(wù)的互聯(lián)互通，可以將接口類型配置為TRUNK，同時(shí)配置接口允許通過(guò)的VLAN列表，已達(dá)到系統(tǒng)之間的交互。

5 存在的問(wèn)題

VLAN雖然結(jié)構(gòu)簡(jiǎn)明，管理方便，但在網(wǎng)絡(luò)的日常管理中心，也應(yīng)注意相應(yīng)的維護(hù)工作[2]。每一次的軟件或硬件的更改或升級(jí)都有可能涉及到VLAN的維護(hù)，因此對(duì)網(wǎng)絡(luò)管理人員的業(yè)務(wù)水平提出了更高的要求。網(wǎng)絡(luò)管理人員需要維護(hù)好VLAN配置表，定期檢查網(wǎng)絡(luò)設(shè)備如路由器和交換機(jī)等的配置是否正確，同時(shí)做好配置表的備份工作，以便出現(xiàn)網(wǎng)絡(luò)故障時(shí)能及時(shí)定位和解決，防止網(wǎng)絡(luò)故障的蔓延。

另外，VLAN技術(shù)本身也存在在技術(shù)標(biāo)準(zhǔn)不統(tǒng)一的問(wèn)題，目前已有的VLAN標(biāo)準(zhǔn)包含802.10標(biāo)準(zhǔn)、802.1Q標(biāo)準(zhǔn)及思科公司的ISL等，由于不同廠商的設(shè)備使用的VLAN標(biāo)準(zhǔn)不同，在互相通信時(shí)存在通信協(xié)商的問(wèn)題。

6 結(jié)語(yǔ)

VLAN技術(shù)作為一種新一代的網(wǎng)絡(luò)技術(shù)，它在我院的應(yīng)用為解決網(wǎng)絡(luò)重點(diǎn)的靈活配置和網(wǎng)絡(luò)安全性等問(wèn)題提供了良好的手段[3]。雖然VLAN技術(shù)目前還有很多問(wèn)題需要解決，但隨著技術(shù)的不斷進(jìn)步，VLAN技術(shù)也將不斷完善，今后會(huì)在醫(yī)院網(wǎng)絡(luò)管理中得到更加廣泛的應(yīng)用，提升醫(yī)院的網(wǎng)絡(luò)管理效率和水平。