VLAN技術(shù)在醫(yī)院局域網(wǎng)絡(luò)建設(shè)中的應(yīng)用探析

劉怡青,閆海霞

（1.陜西省腫瘤醫(yī)院，陜西 西安 710061；2.空軍通信士官學(xué)校，遼寧 大連 116600）

0 引言

高質(zhì)量的醫(yī)院局域網(wǎng)是保證醫(yī)院各項(xiàng)業(yè)務(wù)順利運(yùn)行、提升醫(yī)院管理水平和為患者做好周全服務(wù)的信息基礎(chǔ)設(shè)施[1]。網(wǎng)絡(luò)如果設(shè)計(jì)和配置不合理，容易產(chǎn)生網(wǎng)絡(luò)廣播風(fēng)暴，造成網(wǎng)絡(luò)運(yùn)行質(zhì)量惡化，甚至網(wǎng)絡(luò)業(yè)務(wù)中斷。因此，合理利用局域網(wǎng)技術(shù)，保證網(wǎng)絡(luò)高效運(yùn)行，是網(wǎng)絡(luò)運(yùn)維管理人員必須面對(duì)的問題。VLAN(Virtual Local Area Network)即虛擬局域網(wǎng)具有隔離廣播域、增強(qiáng)網(wǎng)絡(luò)安全和提升網(wǎng)絡(luò)魯棒性等優(yōu)點(diǎn)[2]。VLAN 技術(shù)在企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)[3]、校園網(wǎng)絡(luò)等均有應(yīng)用[4]，是一種廣泛應(yīng)用的局域網(wǎng)技術(shù)。本文在分析VLAN原理、劃分方法和VLAN間路由的基礎(chǔ)上，結(jié)合醫(yī)院網(wǎng)絡(luò)升級(jí)改造，梳理VLAN 實(shí)際需求，結(jié)合醫(yī)院具體業(yè)務(wù)進(jìn)行VLAN 合理劃分，并對(duì)交換機(jī)主要VLAN 配置進(jìn)行了舉例說明。醫(yī)院網(wǎng)絡(luò)運(yùn)行高效可靠，證明VLAN 技術(shù)有效提升了醫(yī)院網(wǎng)絡(luò)的帶寬利用率，同時(shí)增加了網(wǎng)絡(luò)運(yùn)用的靈活性，保證了網(wǎng)絡(luò)業(yè)務(wù)的順暢運(yùn)行。

1 VLAN技術(shù)

1.1 VLAN基本原理

交換式以太網(wǎng)中，交換機(jī)所有端口均處于同一個(gè)廣播域，某一臺(tái)計(jì)算機(jī)發(fā)出的廣播幀，局域網(wǎng)中所有的計(jì)算機(jī)均能接收到，很容易產(chǎn)生廣播風(fēng)暴，造成網(wǎng)絡(luò)資源的極大浪費(fèi)，甚至導(dǎo)致網(wǎng)絡(luò)不可用。二層廣播幀是不能被路由器轉(zhuǎn)發(fā)的，因此可以利用路由器來減小廣播域的范圍，提高網(wǎng)絡(luò)帶寬利用率。但路由器不能解決同一交換機(jī)下的用戶隔離，并且經(jīng)濟(jì)代價(jià)高，增大了部署和運(yùn)維成本。IEEE 提出的802.1Q 標(biāo)準(zhǔn)，即VLAN 技術(shù)，實(shí)現(xiàn)在二層交換機(jī)上直接劃分廣播域，較好地解決了路由器劃分廣播域存在的問題。要使交換機(jī)能夠分辨不同VLAN 的報(bào)文，需要在報(bào)文中添加標(biāo)識(shí)VLAN 信息的字段。IEEE 802.1Q 標(biāo)準(zhǔn)對(duì)Ethernet 幀格式進(jìn)行了修改，在以太網(wǎng)數(shù)據(jù)幀的目的MAC 地址和源MAC 地址字段之后、協(xié)議類型字段之前加入4 個(gè)字節(jié)的VLAN 標(biāo)簽（又稱VLAN Tag，簡(jiǎn)稱Tag），用于標(biāo)識(shí)數(shù)據(jù)幀所屬的VLAN。VLAN 幀格式如圖1所示。

圖1 VLAN幀格式

VLAN幀格式中各個(gè)字段含義如下：

Destination address：目的MAC地址，6字節(jié)；

Source address：源MAC地址，6字節(jié)；

802.1 QTag：VLAN 標(biāo)記，4 字節(jié)。其中，Type 長(zhǎng)度為2 字節(jié)，表示幀類型，取值為0x8100 時(shí)表示802.1Q Tag 幀。PRI 長(zhǎng)度為3 比特，表示幀的優(yōu)先級(jí)，取值范圍為0-7，值越大優(yōu)先級(jí)越高。CFI 長(zhǎng)度為1 比特，規(guī)范格式指示符，表示MAC地址是否為經(jīng)典格式，在以太網(wǎng)中，CFI的值為0。VID，即VLAN 標(biāo)識(shí)，長(zhǎng)度為12比特，表示該幀所屬的VLAN。

Length/Type：類型/長(zhǎng)度字段，指后續(xù)數(shù)據(jù)的字節(jié)長(zhǎng)度，但不包括CRC檢驗(yàn)碼。

Data：字段，42-1500字節(jié)。

FCS：幀校驗(yàn)序列，4字節(jié)。

1.2 VLAN主要優(yōu)點(diǎn)

VLAN 技術(shù)把一個(gè)物理LAN 劃分為多個(gè)虛擬LAN，即VLAN，每個(gè)VLAN是一個(gè)廣播域，不同VLAN間不能直接互通，這樣廣播幀就被限制在一個(gè)VLAN內(nèi)，而不同VLAN 要想互通必須通過三層設(shè)備進(jìn)行。VLAN最大的優(yōu)點(diǎn)是可以隔離廣播域，防止廣播風(fēng)暴，節(jié)省網(wǎng)絡(luò)帶寬。

VLAN 還可以增強(qiáng)網(wǎng)絡(luò)的安全性，不同VLAN 不能直接通信，即實(shí)現(xiàn)用戶的二層隔離。VLAN 也提高了網(wǎng)絡(luò)的魯棒性，當(dāng)網(wǎng)絡(luò)規(guī)模增大時(shí)，可以將某些網(wǎng)絡(luò)故障限制在一個(gè)VLAN內(nèi)，不至于影響整個(gè)網(wǎng)絡(luò)。

靈活構(gòu)建虛擬工作組。用VLAN 可以劃分不同的用戶到不同的工作組，同一工作組的用戶不必局限于特定的物理位置和范圍，網(wǎng)絡(luò)構(gòu)建和維護(hù)更加方便靈活。

1.3 VLAN劃分方法

可以采用基于端口、基于MAC、基于子網(wǎng)、基于協(xié)議的方法來劃分VLAN。但最簡(jiǎn)單、最有效的劃分VLAN 的方法是基于端口的VLAN，這也是最常用的一種劃分方法。基于端口的VLAN 通過將指定的交換機(jī)端口加入指定VLAN 中即可，從而實(shí)現(xiàn)該端口轉(zhuǎn)發(fā)指定的VLAN 數(shù)據(jù)。需要注意的是，如果VLAN 用戶離開原來的交換機(jī)端口，而連接到新的接入端口，則需要重新配置新連接端口所屬的VLAN。

在實(shí)際配置基于端口的VLAN 時(shí)，需要理解不同的鏈路端口類型：Access端口、Trunk端口和Hybrid端口。Access 端口只能屬于某個(gè)特定的VLAN，并且只能讓屬于這個(gè)特定VLAN 的數(shù)據(jù)幀通過，通常用于連接用戶主機(jī)。Trunk端口可以同時(shí)屬于多個(gè)VLAN，并且可以接收和發(fā)送多個(gè)VLAN 數(shù)據(jù)幀，通常用于交換機(jī)之間的連接。Hybrid 端口可以接收和發(fā)送多個(gè)VLAN 的數(shù)據(jù)幀，且能夠指定對(duì)任何的VLAN 幀進(jìn)行剝離標(biāo)簽操作，而Trunk 端口僅對(duì)默認(rèn)VLAN 幀進(jìn)行剝離標(biāo)簽操作。Hybrid端口適用一些特殊場(chǎng)合，比如同一臺(tái)交換機(jī)下絕大部分主機(jī)之間需要進(jìn)行隔離，但這些隔離的主機(jī)又都需要與另一臺(tái)主機(jī)通信時(shí)，就可以采用Hybrid端口的方式實(shí)現(xiàn)。

1.4 VLAN間路由

劃分VLAN后，隔離了廣播域，不同VLAN間不能直接互通，不同VLAN 間的互通必須通過三層進(jìn)行。基于路由器實(shí)現(xiàn)VLAN間路由的原理如圖2所示。使用路由器對(duì)不同VLAN進(jìn)行互連，并且把終端PC的網(wǎng)關(guān)設(shè)為路由器接口的IP地址，就可以實(shí)現(xiàn)VLAN間三層互通，但代價(jià)高昂，有多少個(gè)VLAN 就需要多少個(gè)路由器接口。因此，實(shí)際中經(jīng)常采用的方案有單臂路由和利用三層交換機(jī)。

圖2 基于路由器實(shí)現(xiàn)VLAN間路由

通過利用802.1Q協(xié)議和子接口，可以在一個(gè)路由器接口實(shí)現(xiàn)VLAN 間路由，因此只需要一個(gè)物理接口和連接，避免了路由器端口和線纜浪費(fèi)，這種方式被稱為單臂路由,如圖3 所示。由于單臂路由方式進(jìn)行VLAN 間路由時(shí)，數(shù)據(jù)幀在Trunk鏈路上往返發(fā)送，造成轉(zhuǎn)發(fā)延遲；同時(shí)路由器是通過路由表轉(zhuǎn)發(fā)IP 報(bào)文的，如果需要路由的數(shù)據(jù)幀較多，會(huì)消耗路由器大量計(jì)算和內(nèi)存資源，可能造成轉(zhuǎn)發(fā)瓶頸。因此，通常選擇性能較高路由器且?guī)捿^高的鏈路作為交換機(jī)和路由器之間連接的鏈路。

圖3 基于單臂路由實(shí)現(xiàn)VLAN間路由

更常用的方式是采用三層交換機(jī)實(shí)現(xiàn)VLAN 間路由[5]。通過在三層交換機(jī)上為每個(gè)VLAN 創(chuàng)建一個(gè)虛擬的三層接口并配置IP 地址，同時(shí)把該IP 地址指定為VLAN成員的網(wǎng)關(guān)地址，即可實(shí)現(xiàn)VLAN間通信，原理如圖4所示。三層交換機(jī)轉(zhuǎn)發(fā)引起速率高，吞吐量大，因此這種方式較基于路由器實(shí)現(xiàn)的VLAN 間通信效率高、魯棒性強(qiáng)、成本低。

圖4 基于三層交換機(jī)實(shí)現(xiàn)VLAN間路由

2 VLAN在某醫(yī)院網(wǎng)絡(luò)中的應(yīng)用

2.1 VLAN設(shè)計(jì)分析

醫(yī)院局域網(wǎng)在原有的基礎(chǔ)網(wǎng)絡(luò)進(jìn)行適當(dāng)改造，考慮到醫(yī)院當(dāng)前業(yè)務(wù)需求和兼顧擴(kuò)展性，采用三層網(wǎng)絡(luò)架構(gòu)，即核心層、匯聚層和接入層，實(shí)現(xiàn)萬兆核心，千兆骨干，千兆/百兆到桌面。核心層采用雙核心交換機(jī)冗余備份，數(shù)據(jù)服務(wù)器雙歸屬連接，提高系統(tǒng)可靠性。匯聚層采用三層交換機(jī)，完成數(shù)據(jù)流量的匯聚和交換，降低核心負(fù)擔(dān)。接入層直接與用戶相連，為用戶提供數(shù)據(jù)快速交換和轉(zhuǎn)發(fā)能力。匯聚交換機(jī)、接入交換機(jī)也可分別通過兩條線路連接至各自上層交換機(jī)，實(shí)現(xiàn)業(yè)務(wù)的高可靠運(yùn)轉(zhuǎn)。基礎(chǔ)網(wǎng)絡(luò)承載了門診、住院、監(jiān)控、管理等各類信息。

為便于管理，需要對(duì)不同類型業(yè)務(wù)劃分VLAN，同時(shí)根據(jù)不同VLAN 間的互訪要求，通過VLAN 間路由實(shí)現(xiàn)受控互訪。

為便于管理，防止網(wǎng)絡(luò)廣播風(fēng)暴，對(duì)不同類型業(yè)務(wù)劃分VLAN，同時(shí)根據(jù)不同VLAN間的互訪要求，通過VLAN間路由實(shí)現(xiàn)受控互訪。VLAN接口根據(jù)實(shí)際情況，可以配置在匯聚或核心交換機(jī)。部分VLAN 規(guī)劃情況見表1。

表1 VLAN規(guī)劃

2.2 VLAN配置實(shí)例

醫(yī)院網(wǎng)絡(luò)主要采用H3C 交換機(jī)，以某業(yè)務(wù)科室VLAN101訪問數(shù)據(jù)服務(wù)器VLAN1001為例，簡(jiǎn)化的拓?fù)浣Y(jié)構(gòu)如圖5所示，主要配置步驟和內(nèi)容如下：

圖5 簡(jiǎn)化拓?fù)涫疽鈭D

1）接入交換機(jī)SW10上配置

//創(chuàng)建VLAN 101 和1001，并把相應(yīng)端口加入VLAN

[SW10]vlan 101

[SW10-vlan101]port Ethernet1/0/1

[SW10]vlan 1001

//配置trunk鏈路端口

[SW10]interface Ethernet1/0/24

[SW10-Ethernet1/0/24]port link-type trunk

[SW10- Ethernet1/0/24]port trunk permit vlan 101 1001

2）匯聚交換機(jī)SW20上配置

匯聚交換機(jī)上主要配置需要的VLAN 及trunk 端口，配置方法同接入交換機(jī)，不再贅述。

3）核心交換機(jī)SW30上配置

核心交換機(jī)上VLAN 和trunk 端口的配置同匯聚交換機(jī)，此外，還要配置VLAN接口：

[SW30]interface vlan-interface 101

[SW30-interface-vlan101]ipaddress 192.168.101.254 24

[SW30]interface vlan-interface 1001

[SW30-interface-vlan1001]ipaddress 192.168.201.254 24

4）連通性測(cè)試

將設(shè)備線纜連接好，并按照IP 地址規(guī)劃，設(shè)置完成業(yè)務(wù)科室PC 機(jī)、數(shù)據(jù)服務(wù)器1 的IP 地址和子網(wǎng)掩碼，同時(shí)將PCA、PCB 網(wǎng)關(guān)設(shè)置為192.169.101.254，數(shù)據(jù)服務(wù)器1 網(wǎng)關(guān)設(shè)置為192.168.201.254，用ping 命令測(cè)試業(yè)務(wù)科室PC 機(jī)與數(shù)據(jù)服務(wù)器1 的網(wǎng)絡(luò)連通性即可。

5）其他VLAN配置

類似的，可以完成管理VLAN、其他業(yè)務(wù)VLAN的配置。需要說明的是，需要通過在核心交換機(jī)配置訪問控制列表ACL進(jìn)一步完成VLAN間的受控互訪。

3 結(jié)論

高質(zhì)量的醫(yī)院局域網(wǎng)是保證醫(yī)院各項(xiàng)業(yè)務(wù)順利運(yùn)行、提升醫(yī)院管理水平和為患者做好周全服務(wù)的必要條件。VLAN 技術(shù)具有隔離廣播域、增強(qiáng)網(wǎng)絡(luò)安全和提升網(wǎng)絡(luò)魯棒性等優(yōu)點(diǎn)。本文結(jié)合某醫(yī)院網(wǎng)絡(luò)升級(jí)改造，通過合理劃分VLAN，規(guī)劃VLAN 間路由，對(duì)各層網(wǎng)絡(luò)設(shè)備進(jìn)行VLAN配置，實(shí)現(xiàn)VLAN技術(shù)落地。網(wǎng)絡(luò)運(yùn)行表明，VLAN 技術(shù)有效提升了醫(yī)院網(wǎng)絡(luò)的帶寬利用率和網(wǎng)絡(luò)運(yùn)用的靈活性，保證了醫(yī)院網(wǎng)絡(luò)各業(yè)務(wù)的順暢運(yùn)行。