VLAN技術(shù)在醫(yī)院局域網(wǎng)絡(luò)建設(shè)中的應(yīng)用探析

劉怡青,閆海霞

（1.陜西省腫瘤醫(yī)院，陜西 西安 710061；2.空軍通信士官學(xué)校，遼寧 大連 116600）

0 引言

高質(zhì)量的醫(yī)院局域網(wǎng)是保證醫(yī)院各項業(yè)務(wù)順利運行、提升醫(yī)院管理水平和為患者做好周全服務(wù)的信息基礎(chǔ)設(shè)施[1]。網(wǎng)絡(luò)如果設(shè)計和配置不合理，容易產(chǎn)生網(wǎng)絡(luò)廣播風(fēng)暴，造成網(wǎng)絡(luò)運行質(zhì)量惡化，甚至網(wǎng)絡(luò)業(yè)務(wù)中斷。因此，合理利用局域網(wǎng)技術(shù)，保證網(wǎng)絡(luò)高效運行，是網(wǎng)絡(luò)運維管理人員必須面對的問題。VLAN(Virtual Local Area Network)即虛擬局域網(wǎng)具有隔離廣播域、增強網(wǎng)絡(luò)安全和提升網(wǎng)絡(luò)魯棒性等優(yōu)點[2]。VLAN 技術(shù)在企業(yè)網(wǎng)絡(luò)工程設(shè)計[3]、校園網(wǎng)絡(luò)等均有應(yīng)用[4]，是一種廣泛應(yīng)用的局域網(wǎng)技術(shù)。本文在分析VLAN原理、劃分方法和VLAN間路由的基礎(chǔ)上，結(jié)合醫(yī)院網(wǎng)絡(luò)升級改造，梳理VLAN 實際需求，結(jié)合醫(yī)院具體業(yè)務(wù)進行VLAN 合理劃分，并對交換機主要VLAN 配置進行了舉例說明。醫(yī)院網(wǎng)絡(luò)運行高效可靠，證明VLAN 技術(shù)有效提升了醫(yī)院網(wǎng)絡(luò)的帶寬利用率，同時增加了網(wǎng)絡(luò)運用的靈活性，保證了網(wǎng)絡(luò)業(yè)務(wù)的順暢運行。

1 VLAN技術(shù)

1.1 VLAN基本原理

交換式以太網(wǎng)中，交換機所有端口均處于同一個廣播域，某一臺計算機發(fā)出的廣播幀，局域網(wǎng)中所有的計算機均能接收到，很容易產(chǎn)生廣播風(fēng)暴，造成網(wǎng)絡(luò)資源的極大浪費，甚至導(dǎo)致網(wǎng)絡(luò)不可用。二層廣播幀是不能被路由器轉(zhuǎn)發(fā)的，因此可以利用路由器來減小廣播域的范圍，提高網(wǎng)絡(luò)帶寬利用率。但路由器不能解決同一交換機下的用戶隔離，并且經(jīng)濟代價高，增大了部署和運維成本。IEEE 提出的802.1Q 標準，即VLAN 技術(shù)，實現(xiàn)在二層交換機上直接劃分廣播域，較好地解決了路由器劃分廣播域存在的問題。要使交換機能夠分辨不同VLAN 的報文，需要在報文中添加標識VLAN 信息的字段。IEEE 802.1Q 標準對Ethernet 幀格式進行了修改，在以太網(wǎng)數(shù)據(jù)幀的目的MAC 地址和源MAC 地址字段之后、協(xié)議類型字段之前加入4 個字節(jié)的VLAN 標簽（又稱VLAN Tag，簡稱Tag），用于標識數(shù)據(jù)幀所屬的VLAN。VLAN 幀格式如圖1所示。

圖1 VLAN幀格式

VLAN幀格式中各個字段含義如下：

Destination address：目的MAC地址，6字節(jié)；

Source address：源MAC地址，6字節(jié)；

802.1 QTag：VLAN 標記，4 字節(jié)。其中，Type 長度為2 字節(jié)，表示幀類型，取值為0x8100 時表示802.1Q Tag 幀。PRI 長度為3 比特，表示幀的優(yōu)先級，取值范圍為0-7，值越大優(yōu)先級越高。CFI 長度為1 比特，規(guī)范格式指示符，表示MAC地址是否為經(jīng)典格式，在以太網(wǎng)中，CFI的值為0。VID，即VLAN 標識，長度為12比特，表示該幀所屬的VLAN。

Length/Type：類型/長度字段，指后續(xù)數(shù)據(jù)的字節(jié)長度，但不包括CRC檢驗碼。

Data：字段，42-1500字節(jié)。

FCS：幀校驗序列，4字節(jié)。

1.2 VLAN主要優(yōu)點

VLAN 技術(shù)把一個物理LAN 劃分為多個虛擬LAN，即VLAN，每個VLAN是一個廣播域，不同VLAN間不能直接互通，這樣廣播幀就被限制在一個VLAN內(nèi)，而不同VLAN 要想互通必須通過三層設(shè)備進行。VLAN最大的優(yōu)點是可以隔離廣播域，防止廣播風(fēng)暴，節(jié)省網(wǎng)絡(luò)帶寬。

VLAN 還可以增強網(wǎng)絡(luò)的安全性，不同VLAN 不能直接通信，即實現(xiàn)用戶的二層隔離。VLAN 也提高了網(wǎng)絡(luò)的魯棒性，當網(wǎng)絡(luò)規(guī)模增大時，可以將某些網(wǎng)絡(luò)故障限制在一個VLAN內(nèi)，不至于影響整個網(wǎng)絡(luò)。

靈活構(gòu)建虛擬工作組。用VLAN 可以劃分不同的用戶到不同的工作組，同一工作組的用戶不必局限于特定的物理位置和范圍，網(wǎng)絡(luò)構(gòu)建和維護更加方便靈活。

1.3 VLAN劃分方法

可以采用基于端口、基于MAC、基于子網(wǎng)、基于協(xié)議的方法來劃分VLAN。但最簡單、最有效的劃分VLAN 的方法是基于端口的VLAN，這也是最常用的一種劃分方法。基于端口的VLAN 通過將指定的交換機端口加入指定VLAN 中即可，從而實現(xiàn)該端口轉(zhuǎn)發(fā)指定的VLAN 數(shù)據(jù)。需要注意的是，如果VLAN 用戶離開原來的交換機端口，而連接到新的接入端口，則需要重新配置新連接端口所屬的VLAN。

在實際配置基于端口的VLAN 時，需要理解不同的鏈路端口類型：Access端口、Trunk端口和Hybrid端口。Access 端口只能屬于某個特定的VLAN，并且只能讓屬于這個特定VLAN 的數(shù)據(jù)幀通過，通常用于連接用戶主機。Trunk端口可以同時屬于多個VLAN，并且可以接收和發(fā)送多個VLAN 數(shù)據(jù)幀，通常用于交換機之間的連接。Hybrid 端口可以接收和發(fā)送多個VLAN 的數(shù)據(jù)幀，且能夠指定對任何的VLAN 幀進行剝離標簽操作，而Trunk 端口僅對默認VLAN 幀進行剝離標簽操作。Hybrid端口適用一些特殊場合，比如同一臺交換機下絕大部分主機之間需要進行隔離，但這些隔離的主機又都需要與另一臺主機通信時，就可以采用Hybrid端口的方式實現(xiàn)。

1.4 VLAN間路由

劃分VLAN后，隔離了廣播域，不同VLAN間不能直接互通，不同VLAN 間的互通必須通過三層進行。基于路由器實現(xiàn)VLAN間路由的原理如圖2所示。使用路由器對不同VLAN進行互連，并且把終端PC的網(wǎng)關(guān)設(shè)為路由器接口的IP地址，就可以實現(xiàn)VLAN間三層互通，但代價高昂，有多少個VLAN 就需要多少個路由器接口。因此，實際中經(jīng)常采用的方案有單臂路由和利用三層交換機。

圖2 基于路由器實現(xiàn)VLAN間路由

通過利用802.1Q協(xié)議和子接口，可以在一個路由器接口實現(xiàn)VLAN 間路由，因此只需要一個物理接口和連接，避免了路由器端口和線纜浪費，這種方式被稱為單臂路由,如圖3 所示。由于單臂路由方式進行VLAN 間路由時，數(shù)據(jù)幀在Trunk鏈路上往返發(fā)送，造成轉(zhuǎn)發(fā)延遲；同時路由器是通過路由表轉(zhuǎn)發(fā)IP 報文的，如果需要路由的數(shù)據(jù)幀較多，會消耗路由器大量計算和內(nèi)存資源，可能造成轉(zhuǎn)發(fā)瓶頸。因此，通常選擇性能較高路由器且?guī)捿^高的鏈路作為交換機和路由器之間連接的鏈路。

圖3 基于單臂路由實現(xiàn)VLAN間路由

更常用的方式是采用三層交換機實現(xiàn)VLAN 間路由[5]。通過在三層交換機上為每個VLAN 創(chuàng)建一個虛擬的三層接口并配置IP 地址，同時把該IP 地址指定為VLAN成員的網(wǎng)關(guān)地址，即可實現(xiàn)VLAN間通信，原理如圖4所示。三層交換機轉(zhuǎn)發(fā)引起速率高，吞吐量大，因此這種方式較基于路由器實現(xiàn)的VLAN 間通信效率高、魯棒性強、成本低。

圖4 基于三層交換機實現(xiàn)VLAN間路由

2 VLAN在某醫(yī)院網(wǎng)絡(luò)中的應(yīng)用

2.1 VLAN設(shè)計分析

醫(yī)院局域網(wǎng)在原有的基礎(chǔ)網(wǎng)絡(luò)進行適當改造，考慮到醫(yī)院當前業(yè)務(wù)需求和兼顧擴展性，采用三層網(wǎng)絡(luò)架構(gòu)，即核心層、匯聚層和接入層，實現(xiàn)萬兆核心，千兆骨干，千兆/百兆到桌面。核心層采用雙核心交換機冗余備份，數(shù)據(jù)服務(wù)器雙歸屬連接，提高系統(tǒng)可靠性。匯聚層采用三層交換機，完成數(shù)據(jù)流量的匯聚和交換，降低核心負擔(dān)。接入層直接與用戶相連，為用戶提供數(shù)據(jù)快速交換和轉(zhuǎn)發(fā)能力。匯聚交換機、接入交換機也可分別通過兩條線路連接至各自上層交換機，實現(xiàn)業(yè)務(wù)的高可靠運轉(zhuǎn)。基礎(chǔ)網(wǎng)絡(luò)承載了門診、住院、監(jiān)控、管理等各類信息。

為便于管理，需要對不同類型業(yè)務(wù)劃分VLAN，同時根據(jù)不同VLAN 間的互訪要求，通過VLAN 間路由實現(xiàn)受控互訪。

為便于管理，防止網(wǎng)絡(luò)廣播風(fēng)暴，對不同類型業(yè)務(wù)劃分VLAN，同時根據(jù)不同VLAN間的互訪要求，通過VLAN間路由實現(xiàn)受控互訪。VLAN接口根據(jù)實際情況，可以配置在匯聚或核心交換機。部分VLAN 規(guī)劃情況見表1。

表1 VLAN規(guī)劃

2.2 VLAN配置實例

醫(yī)院網(wǎng)絡(luò)主要采用H3C 交換機，以某業(yè)務(wù)科室VLAN101訪問數(shù)據(jù)服務(wù)器VLAN1001為例，簡化的拓撲結(jié)構(gòu)如圖5所示，主要配置步驟和內(nèi)容如下：

圖5 簡化拓撲示意圖

1）接入交換機SW10上配置

//創(chuàng)建VLAN 101 和1001，并把相應(yīng)端口加入VLAN

[SW10]vlan 101

[SW10-vlan101]port Ethernet1/0/1

[SW10]vlan 1001

//配置trunk鏈路端口

[SW10]interface Ethernet1/0/24

[SW10-Ethernet1/0/24]port link-type trunk

[SW10- Ethernet1/0/24]port trunk permit vlan 101 1001

2）匯聚交換機SW20上配置

匯聚交換機上主要配置需要的VLAN 及trunk 端口，配置方法同接入交換機，不再贅述。

3）核心交換機SW30上配置

核心交換機上VLAN 和trunk 端口的配置同匯聚交換機，此外，還要配置VLAN接口：

[SW30]interface vlan-interface 101

[SW30-interface-vlan101]ipaddress 192.168.101.254 24

[SW30]interface vlan-interface 1001

[SW30-interface-vlan1001]ipaddress 192.168.201.254 24

4）連通性測試

將設(shè)備線纜連接好，并按照IP 地址規(guī)劃，設(shè)置完成業(yè)務(wù)科室PC 機、數(shù)據(jù)服務(wù)器1 的IP 地址和子網(wǎng)掩碼，同時將PCA、PCB 網(wǎng)關(guān)設(shè)置為192.169.101.254，數(shù)據(jù)服務(wù)器1 網(wǎng)關(guān)設(shè)置為192.168.201.254，用ping 命令測試業(yè)務(wù)科室PC 機與數(shù)據(jù)服務(wù)器1 的網(wǎng)絡(luò)連通性即可。

5）其他VLAN配置

類似的，可以完成管理VLAN、其他業(yè)務(wù)VLAN的配置。需要說明的是，需要通過在核心交換機配置訪問控制列表ACL進一步完成VLAN間的受控互訪。

3 結(jié)論

高質(zhì)量的醫(yī)院局域網(wǎng)是保證醫(yī)院各項業(yè)務(wù)順利運行、提升醫(yī)院管理水平和為患者做好周全服務(wù)的必要條件。VLAN 技術(shù)具有隔離廣播域、增強網(wǎng)絡(luò)安全和提升網(wǎng)絡(luò)魯棒性等優(yōu)點。本文結(jié)合某醫(yī)院網(wǎng)絡(luò)升級改造，通過合理劃分VLAN，規(guī)劃VLAN 間路由，對各層網(wǎng)絡(luò)設(shè)備進行VLAN配置，實現(xiàn)VLAN技術(shù)落地。網(wǎng)絡(luò)運行表明，VLAN 技術(shù)有效提升了醫(yī)院網(wǎng)絡(luò)的帶寬利用率和網(wǎng)絡(luò)運用的靈活性，保證了醫(yī)院網(wǎng)絡(luò)各業(yè)務(wù)的順暢運行。