醫院局域網的VLAN劃分與ISA2006的適應調整

陳國耿

北海市人民醫院 信息科，廣西 北海536000

醫院局域網的VLAN劃分與ISA2006的適應調整

陳國耿

北海市人民醫院 信息科，廣西 北海536000

隨著醫院信息化的發展，醫院局域網需要進行改造升級。本文介紹了我院虛擬局域網VLAN劃分方法以及ISA2006適應調整的實施過程?？偨Y了VLAN+ISA2006在內網客戶機訪問外網控制方面的強大功能。

HIS；VLAN；ISA2006；網絡安全

我院局域網建立于1998年，剛開始只有HIS一個網段，隨著醫院信息化發展和應用的增加，相繼形成了HIS、PACS、辦公三個各自隔離的網段，為了解決各網段內部電腦的互聯網訪問需求，并保護內網不受外網入侵，安裝了ISA2006（Internet Security and Acceleration，互聯網安全加速器）。到今年年初，各類服務器、PC、Windws終端數量已超過300臺。網絡內的計算機、交換機等設備的大量增加，使廣播的數量也急劇增加，當達到總量的30%時，網絡的傳輸效率將會明顯下降；特別是當網絡設備出現故障后，會不停地向網絡發送廣播，導致網絡風暴，使網絡通信陷入癱瘓[1]。進一步加強網絡管理，提高網絡的安全性、增加帶寬、降低延時便成了關鍵問題，虛擬局域網(Virtual Local Area Network，VLAN)技術為其提供了最佳解決方案[2]。

引入VLAN技術實施網絡改造。VLAN的劃分依據不同原則，一般有三種劃分方法：基于端口的VLAN劃分；基于M1P地址的VLAN劃分；基于路由的VLAN劃分。由于基于端口的VLAN劃分是把一個或多個交換機上的幾個端口劃分為一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網絡管理員對網絡設備的交換端口進行重新分配即可，不用考慮該端口所連接的設備[3]。故選定了基于端口的VLAN劃分方式。

1 改造前的網絡拓撲結構

圖 1 我院改造前的網絡拓撲結構

如圖1，HIS、PACS、辦公3個網段相互獨立，ISA2006安裝了4個網卡，一個連接外網，剩余3個分別連接內部3個網段。

這時的ISA2006配置相對簡單，只要把有上網需求的網段（例如辦公192.168.3.0）加入到ISA2006的內部網絡，然后在防火墻策略中建立相應的訪問規則即可。

但是這種結構面臨發展的瓶頸，隨著各網段內設備的增加，IP資源緊張，廣播風暴占用帶寬。想再新建幾個網段，但是ISA2006主機卻不能再容納更多的網卡。原有的網段劃分隨著業務發展跨越了多個建筑物，造成網絡連接復雜，管理非常不便。

2 網絡改造設計

圖 2 我院網絡改造設計的VLAN劃分

如圖2，利用購置的華為S6506三層交換機，進行網絡改造，按照院內建筑布局，以基于端口的VLAN劃分方式，劃分了若干VLAN。

3 VLAN劃分過程

ISA2006只保留2個網卡，原來接外網的網卡設置不變，把內網口IP設為192.168.100.2/24，網關為空（因為外網口已經添加ISP提供的網關了）。連接內網口的交換機端口定義為VLAN100，配置如下：

//定義全局缺省路由到192.168.100.2（ISA主機內網口IP），使各VLAN訪問外網的請求可達ISA主機。

//以門診樓VLAN10的建立為例，把e2/0/3、e2/0/4這2個端口劃分到VLAN10，定義虛地址192.168.10.254，即是該VLAN內客戶機的網關。其它VLAN類推。為了保障服務器群的安全，此次專門把所有服務器整合劃分到一個VLAN里，保障服務器安全。

VLAN劃分之后，就要考慮VLAN間的互連，這可以通過三層交換來實現[4]。只要參照門診樓VLAN10的建立步驟建立各VLAN并設置好客戶機默認網關，VLAN間就可以互訪了。當然如果需要更細致的VLAN間訪問控制，可參照具體交換機的訪問控制列表ACL進行設置。

4 ISA2006的適應調整

打開ISA 服務器管理工具，進入ISA-配置-網絡-內部，把需要訪問外網的VLAN添加進內網，例如VLAN11，如圖3：

圖 3 添加到指定VLAN的靜態路由

開始-運行-cmd，進入命令行模式，添加到指定VLAN的靜態路由，例如route add 192.168.11.0 mask 255.255.255.0 192.168.100.1 /p。注意：下一跳地址一定是ISA所在VLAN的gateway，亦即所在VLAN接口的虛地址，此處為192.168.100.1。如要禁止某個VLAN訪問外網，不要添加路由即可。

經過以上設置，再在防火墻策略中建立相應的訪問規則，VLAN11的客戶機即可訪問外網，當然還可以通過IP、協議等條件限制只允許部分客戶機或者部分應用，在此不詳述。

5 總結

醫院信息系統是典型的24×8h小時不間斷系統，作為運營基礎的網絡的穩定可靠至關重要，因此這次VLAN劃分涉及的交換機都提前做好配置方案，做到了認真組織、精心安排、科學施工，使對醫療工作的影響降至最低限度[5]。

我院局域網在成功進行VLAN劃分后，取得較好效果。首先，網絡環境得到改善，網絡運行平穩，運行效率得到顯著提升，網絡傳輸速度與VLAN劃分前相比有著明顯的提高[6]。例如改造后PACS等大負載大流量客戶明顯感到速度和穩定性得到加強。

VLAN的劃分極大地增強了網絡管理的靈活性。可以根據部門職能或者應用將不同物理位置的用戶劃分為一個邏輯網段，在不改動網絡物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬網絡技術，大大減輕了網絡管理和維護工作的負擔，降低了網絡維護費用[7]。通過合理劃分VLAN，還在一定程度上防止了病毒的傳播，大大提高了網絡的安全性[8]。

VLAN+ISA2006進行客戶機訪問互聯網授權管理非常方便，功能強大。ISA SERVER 2006是微軟公司推出的一款重量級的網絡安全產品，被公認為X86架構下最優秀的企業級路由軟件防火墻。具有靈活的多網絡支持、易于使用且高度集成的VPN配置、可擴展的用戶身份驗證模型、深層次的HTTP過濾功能等優點。ISA SERVER的多層防火墻可以保護網絡資源免受病毒、黑客的入侵和未經授權的訪問，在網絡內安裝ISA SERVER可以將其配置成防火墻，也可以配置成WEB緩存服務器，或二者兼備[9]。根據我院數年應用，對于限定子網、特定IP、特定時間段、指定應用等控制客戶機訪問外網的復雜需求，VLAN+ISA2006的組合完全勝任，值得推廣。

[1] 許同來,谷敏.VLAN技術在醫院網絡管理中的應用[J].江蘇衛生事業管理,2009,20(6):65-66.

[2] 趙雷.VLAN在高校圖書館網絡中的應用[J].中華醫學圖書情報雜志,2007,16(5):68-69.

[3] 駱正云.醫院虛擬局域網規劃與實現[J].醫療設備信息,2005, 20(11):10-11.

[4] 徐浩,孔明霞,張楠.VLAN技術在醫院網絡建設中的應用[J].醫療設備信息,2005,20(2):13-15.

[5] 徐旭東,馬錫坤,楊霜英,等.VLAN劃分中需要解決的有關問題[J].醫療設備信息,2007,22(9):18-19.

[6] 應旭鋒,陳杰,左艷榮,等.淺談VLAN技術在局域網內的實施和應用[J].中國醫學教育技術,2010,24(1):47-48.

[7] 張海霞,李華偉,李芹.VLAN技術在我院網絡管理中的應用[J].醫學信息,2007,20(4):548-550.

[8] 路瑩.構建基于三層交換技術的圖書館VLAN網絡[J].中華醫學圖書情報雜志,2008,17(1):60-63.

VLAN Division of Hospital's Local Network and Modify of ISA2006

CHEN Guo-geng
Information Department,Beihai People's Hospital,Beihai Guangxi 536000,China

TP393.01；TP393.08

A

10.3969/j.issn.1674-1633.2010.10.006

1674-1633(2010)10-0016-02

2010-04-23

作者郵箱：zyryf@hotmail.com

Abstract:With the development of hospital informationization,hospital LAN need to be upgraded.This paper introduces the division method of VALN and modification process of ISA2006,and sunnarizes the function of VLAN+ISA2006.

Key words:HIS; VLAN; ISA2006; network security