本文主要介绍了VLAN、VLAN划分等相关技术,并基于医院VLAN划分的实例来说明VLAN技术在医院网络管理中的主要作用。VLAN技术不仅可以使医院的网络配置更加灵活同时也可以提高网络的安全性,提升医院的管理水平。随着信息技术的飞快发展,医院信息系统的体量也不断扩大,这对承载医院信息系统的计算机网络的要求也变得越来越高,在多数据融合的基础上要做到高带宽、低时延,同时还要保障网络运行的安全性和可靠性。各个信息系统的网络既要做到相互通信,又要做到互不干扰,VLAN技术的出现解决了这一难题。
1VLAN技术
VLAN(VirtualLAN,虚拟局域网)是在LAN(局域网)上衍生出来的概念,LAN是在某一特定地理范围,由若干台计算机设备组成的可以互联互通的工作组,它的局限性在于覆盖的地理范围较小。VLAN突破了LAN的局限性,它可以将处于不同地理位置的计算机根据功能、部门或者其他因素连接成一个局域网,组成逻辑上的局域网,因此被称为虚拟局域网。一个局域网就是一个广播域,如图1所示,当网络上的计算机A想要和计算机C通信时,需先向网络上广播一个ARP请求以获得计算机C的MAC地址,交换机A收到计算机A的广播请求时会向除接口端口外的其他端口转发该请求,即洪泛。此时计算机和交换机2都收到了ARP请求,交换机2继续执行洪泛操作,最终计算机B和计算机D也收到了计算机A发来的ARP请求。在不划分VLAN的情况下,计算机A想获得计算机C的MAC地址,结果整个网络的所有客户端都收到了ARP请求,这大大浪费了网络带宽和CPU的处理时间。为了解决该问题,我们采用划分VLAN的方式,如图2所示,将交换机1上连接计算机A的端口1和连接计算机C的端口2划分到VLAN100里,和交换机2相连的端口3划分到其他VLAN里。那么交换机1收到来自端口1的ARP请求时,只转发给属于同一VLAN的端口2,即只有计算机C能收到该报文,而计算机B和D将获取不到该报文,大大节省了网络带宽和CPU的处理时间。同时,划分VLAN后缩小了广播域的大小,即缩小了ARP攻击范围,提高了网络安全性。
2VLAN划分
2.1基于端口的划分
基于端口的划分也成为静态VLAN,即将交换机的某个端口划分为一个固定VLAN内,由于该模式需要将端口一个个的指定,当客户端变更时,所属的交换机端口VLAN也需重新设置,因此只适合规模较小同时比较稳定的网络,当网络规模较大或需要频繁变动时,该模式由于维护时间和成本较高而不再适用。
2.2基于MAC地址的划分
基于MAC地址的划分是根据每台设备网卡的MAC地址来划分VLAN,属于动态VLAN的一种,由于VLAN是与MAC地址绑定,所以当设备的物理位置发生变化的时候,无需再重新配置VLAN,仅在设备更换网卡的情况下才需重新配置VLAN,使得后期维护变得简单。但前期需对所有的MAC地址进行查看和绑定VLAN操作,对于大型网络来说,前期工作量较大。
2.3基于IP地址的划分
基于IP地址的划分也是属于动态VLAN的一种,它是通过设备IP来决定属于哪个VLAN。当设备由于更换网卡导致MAC地址改变时,由于其IP地址并未发生改变,所属VLAN也未发生变化,因此无需再重新设置VLAN。
3VLAN在医院网络中的应用
3.1隔离内外网
目前医院由于存在的业务系统繁多、组织结构和业务流程等原因,无法实现内外网的纯物理隔离,同一科室即需要访问内网业务系统,也需要访问外网业务系统。若想实现多业务系统之间的互联互通,同时保证各个系统安全独立,需在二层交换机上针对不同的业务系统配置不同的VLAN,将业务系统实现物理隔离,控制各业务系统之间的相互访问。同时也需要在三层交换机上通过配置ACL(AccessControlList,访问控制列表)实现允许或禁止特定VLAN数据通过,控制病毒在网络中的传播,从而保证数据安全。
3.2增加网络灵活性
借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的局域网络环境,在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动,就像使用本地LAN一样方便、灵活、有效[1]。
3.3提高网络安全性
处在同一VLAN的端口存在于一个广播域中,即该VLAN内的所有端口只能收到此VLAN内端口发出的广播包,这样就可以有效的隔离广播域,减少网络中的广播包,抑制广播风暴的发生。当网络中的某台设备出现故障时,通过VLAN设置可以减小故障设备影响范围,并快速定位故障,有效进行故障排查。
3.4合理规划和分配IP地址
如表1所示,每一个VLAN对应一个IP地址段,属于该VLAN的PC或设备只能配置该VLAN对应IP地址段内的IP地址,否则将无法进行三层通信。这样不仅合理规划和管理了IP地址,减少IP地址冲突的产生,同时也减少了IP地址盗用对网络产生的不良影响。
4VLAN在医院网络中的应用实例
某大型医院采用核心三层交换机热备的方式,同时汇聚交换机通过两条线路分别连接核心交换机,接入交换机也采用双线路的方式接入汇聚交换机。这样当网络中的汇聚交换机或核心交换机出现故障时,可迅速自动切换到另一条线路上,不会导致业务中断,前端用户基本感觉不到网络波动,这种双机热备的方式能保障医院业务的正常运转。通过在核心三层交换机上划分VLAN,可以保障各个业务的独立运行,同时设置端口访问控制列表,可以让VLAN之间互联互通。在核心交换机上执行ShowVLAN命令可以查看所有的VLAN信息,包含VLAN名称,VLAN类型和VLAN对应的端口号。如下所示,所有VLAN均配置为静态VLAN,内网业务配置为VLAN20,外网业务配置为VLAN10,服务器配置为VLAN80和VLAN81,大屏配置为VLAN99等。通过给不同业务配置不同VLAN,可以实现各个业务的独立运行,为了实现业务的互联互通,可以将接口类型配置为TRUNK,同时配置接口允许通过的VLAN列表,已达到系统之间的交互。
5存在的问题
VLAN虽然结构简明,管理方便,但在网络的日常管理中心,也应注意相应的维护工作[2]。每一次的软件或硬件的更改或升级都有可能涉及到VLAN的维护,因此对网络管理人员的业务水平提出了更高的要求。网络管理人员需要维护好VLAN配置表,定期检查网络设备如路由器和交换机等的配置是否正确,同时做好配置表的备份工作,以便出现网络故障时能及时定位和解决,防止网络故障的蔓延。另外,VLAN技术本身也存在在技术标准不统一的问题,目前已有的VLAN标准包含802.10标准、802.1Q标准及思科公司的ISL等,由于不同厂商的设备使用的VLAN标准不同,在互相通信时存在通信协商的问题。
6结语
VLAN技术作为一种新一代的网络技术,它在我院的应用为解决网络重点的灵活配置和网络安全性等问题提供了良好的手段[3]。虽然VLAN技术目前还有很多问题需要解决,但随着技术的不断进步,VLAN技术也将不断完善,今后会在医院网络管理中得到更加广泛的应用,提升医院的网络管理效率和水平。
引用
[1]刘晓辉.网络管理标准教程[M].北京:人民邮电出版社,2004:3.
[2]郑建达.VLAN技术在医院网络中的应用研究[J].无线互联科技,2015(12):47-48.
[3]王永艳,吕鑫.VLAN技术在我院网络管理中的应用[J].电脑知识与技术(学术交流),2007(8):133-134.
作者:胡莹莹 单位:天津医科大学总医院滨海医院