陳國耿

北海市人民醫(yī)院 信息科，廣西 北海536000

醫(yī)院局域網(wǎng)的VLAN劃分與ISA2006的適應(yīng)調(diào)整

陳國耿

北海市人民醫(yī)院 信息科，廣西 北海536000

隨著醫(yī)院信息化的發(fā)展，醫(yī)院局域網(wǎng)需要進行改造升級。本文介紹了我院虛擬局域網(wǎng)VLAN劃分方法以及ISA2006適應(yīng)調(diào)整的實施過程?？偨Y(jié)了VLAN+ISA2006在內(nèi)網(wǎng)客戶機訪問外網(wǎng)控制方面的強大功能。

HIS；VLAN；ISA2006；網(wǎng)絡(luò)安全

我院局域網(wǎng)建立于1998年，剛開始只有HIS一個網(wǎng)段，隨著醫(yī)院信息化發(fā)展和應(yīng)用的增加，相繼形成了HIS、PACS、辦公三個各自隔離的網(wǎng)段，為了解決各網(wǎng)段內(nèi)部電腦的互聯(lián)網(wǎng)訪問需求，并保護內(nèi)網(wǎng)不受外網(wǎng)入侵，安裝了ISA2006（Internet Security and Acceleration，互聯(lián)網(wǎng)安全加速器）。到今年年初，各類服務(wù)器、PC、Windws終端數(shù)量已超過300臺。網(wǎng)絡(luò)內(nèi)的計算機、交換機等設(shè)備的大量增加，使廣播的數(shù)量也急劇增加，當達到總量的30%時，網(wǎng)絡(luò)的傳輸效率將會明顯下降；特別是當網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會不停地向網(wǎng)絡(luò)發(fā)送廣播，導(dǎo)致網(wǎng)絡(luò)風(fēng)暴，使網(wǎng)絡(luò)通信陷入癱瘓[1]。進一步加強網(wǎng)絡(luò)管理，提高網(wǎng)絡(luò)的安全性、增加帶寬、降低延時便成了關(guān)鍵問題，虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)技術(shù)為其提供了最佳解決方案[2]。

引入VLAN技術(shù)實施網(wǎng)絡(luò)改造。VLAN的劃分依據(jù)不同原則，一般有三種劃分方法：基于端口的VLAN劃分；基于M1P地址的VLAN劃分；基于路由的VLAN劃分。由于基于端口的VLAN劃分是把一個或多個交換機上的幾個端口劃分為一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進行重新分配即可，不用考慮該端口所連接的設(shè)備[3]。故選定了基于端口的VLAN劃分方式。

1 改造前的網(wǎng)絡(luò)拓撲結(jié)構(gòu)

圖 1 我院改造前的網(wǎng)絡(luò)拓撲結(jié)構(gòu)

如圖1，HIS、PACS、辦公3個網(wǎng)段相互獨立，ISA2006安裝了4個網(wǎng)卡，一個連接外網(wǎng)，剩余3個分別連接內(nèi)部3個網(wǎng)段。

這時的ISA2006配置相對簡單，只要把有上網(wǎng)需求的網(wǎng)段（例如辦公192.168.3.0）加入到ISA2006的內(nèi)部網(wǎng)絡(luò)，然后在防火墻策略中建立相應(yīng)的訪問規(guī)則即可。

但是這種結(jié)構(gòu)面臨發(fā)展的瓶頸，隨著各網(wǎng)段內(nèi)設(shè)備的增加，IP資源緊張，廣播風(fēng)暴占用帶寬。想再新建幾個網(wǎng)段，但是ISA2006主機卻不能再容納更多的網(wǎng)卡。原有的網(wǎng)段劃分隨著業(yè)務(wù)發(fā)展跨越了多個建筑物，造成網(wǎng)絡(luò)連接復(fù)雜，管理非常不便。

2 網(wǎng)絡(luò)改造設(shè)計

圖 2 我院網(wǎng)絡(luò)改造設(shè)計的VLAN劃分

如圖2，利用購置的華為S6506三層交換機，進行網(wǎng)絡(luò)改造，按照院內(nèi)建筑布局，以基于端口的VLAN劃分方式，劃分了若干VLAN。

3 VLAN劃分過程

ISA2006只保留2個網(wǎng)卡，原來接外網(wǎng)的網(wǎng)卡設(shè)置不變，把內(nèi)網(wǎng)口IP設(shè)為192.168.100.2/24，網(wǎng)關(guān)為空（因為外網(wǎng)口已經(jīng)添加ISP提供的網(wǎng)關(guān)了）。連接內(nèi)網(wǎng)口的交換機端口定義為VLAN100，配置如下：

//定義全局缺省路由到192.168.100.2（ISA主機內(nèi)網(wǎng)口IP），使各VLAN訪問外網(wǎng)的請求可達ISA主機。

//以門診樓VLAN10的建立為例，把e2/0/3、e2/0/4這2個端口劃分到VLAN10，定義虛地址192.168.10.254，即是該VLAN內(nèi)客戶機的網(wǎng)關(guān)。其它VLAN類推。為了保障服務(wù)器群的安全，此次專門把所有服務(wù)器整合劃分到一個VLAN里，保障服務(wù)器安全。

VLAN劃分之后，就要考慮VLAN間的互連，這可以通過三層交換來實現(xiàn)[4]。只要參照門診樓VLAN10的建立步驟建立各VLAN并設(shè)置好客戶機默認網(wǎng)關(guān)，VLAN間就可以互訪了。當然如果需要更細致的VLAN間訪問控制，可參照具體交換機的訪問控制列表ACL進行設(shè)置。

4 ISA2006的適應(yīng)調(diào)整

打開ISA 服務(wù)器管理工具，進入ISA-配置-網(wǎng)絡(luò)-內(nèi)部，把需要訪問外網(wǎng)的VLAN添加進內(nèi)網(wǎng)，例如VLAN11，如圖3：

圖 3 添加到指定VLAN的靜態(tài)路由

開始-運行-cmd，進入命令行模式，添加到指定VLAN的靜態(tài)路由，例如route add 192.168.11.0 mask 255.255.255.0 192.168.100.1 /p。注意：下一跳地址一定是ISA所在VLAN的gateway，亦即所在VLAN接口的虛地址，此處為192.168.100.1。如要禁止某個VLAN訪問外網(wǎng)，不要添加路由即可。

經(jīng)過以上設(shè)置，再在防火墻策略中建立相應(yīng)的訪問規(guī)則，VLAN11的客戶機即可訪問外網(wǎng)，當然還可以通過IP、協(xié)議等條件限制只允許部分客戶機或者部分應(yīng)用，在此不詳述。

5 總結(jié)

醫(yī)院信息系統(tǒng)是典型的24×8h小時不間斷系統(tǒng)，作為運營基礎(chǔ)的網(wǎng)絡(luò)的穩(wěn)定可靠至關(guān)重要，因此這次VLAN劃分涉及的交換機都提前做好配置方案，做到了認真組織、精心安排、科學(xué)施工，使對醫(yī)療工作的影響降至最低限度[5]。

我院局域網(wǎng)在成功進行VLAN劃分后，取得較好效果。首先，網(wǎng)絡(luò)環(huán)境得到改善，網(wǎng)絡(luò)運行平穩(wěn)，運行效率得到顯著提升，網(wǎng)絡(luò)傳輸速度與VLAN劃分前相比有著明顯的提高[6]。例如改造后PACS等大負載大流量客戶明顯感到速度和穩(wěn)定性得到加強。

VLAN的劃分極大地增強了網(wǎng)絡(luò)管理的靈活性。可以根據(jù)部門職能或者應(yīng)用將不同物理位置的用戶劃分為一個邏輯網(wǎng)段，在不改動網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護工作的負擔(dān)，降低了網(wǎng)絡(luò)維護費用[7]。通過合理劃分VLAN，還在一定程度上防止了病毒的傳播，大大提高了網(wǎng)絡(luò)的安全性[8]。

VLAN+ISA2006進行客戶機訪問互聯(lián)網(wǎng)授權(quán)管理非常方便，功能強大。ISA SERVER 2006是微軟公司推出的一款重量級的網(wǎng)絡(luò)安全產(chǎn)品，被公認為X86架構(gòu)下最優(yōu)秀的企業(yè)級路由軟件防火墻。具有靈活的多網(wǎng)絡(luò)支持、易于使用且高度集成的VPN配置、可擴展的用戶身份驗證模型、深層次的HTTP過濾功能等優(yōu)點。ISA SERVER的多層防火墻可以保護網(wǎng)絡(luò)資源免受病毒、黑客的入侵和未經(jīng)授權(quán)的訪問，在網(wǎng)絡(luò)內(nèi)安裝ISA SERVER可以將其配置成防火墻，也可以配置成WEB緩存服務(wù)器，或二者兼?zhèn)鋄9]。根據(jù)我院數(shù)年應(yīng)用，對于限定子網(wǎng)、特定IP、特定時間段、指定應(yīng)用等控制客戶機訪問外網(wǎng)的復(fù)雜需求，VLAN+ISA2006的組合完全勝任，值得推廣。

[1] 許同來,谷敏.VLAN技術(shù)在醫(yī)院網(wǎng)絡(luò)管理中的應(yīng)用[J].江蘇衛(wèi)生事業(yè)管理,2009,20(6):65-66.

[2] 趙雷.VLAN在高校圖書館網(wǎng)絡(luò)中的應(yīng)用[J].中華醫(yī)學(xué)圖書情報雜志,2007,16(5):68-69.

[3] 駱正云.醫(yī)院虛擬局域網(wǎng)規(guī)劃與實現(xiàn)[J].醫(yī)療設(shè)備信息,2005, 20(11):10-11.

[4] 徐浩,孔明霞,張楠.VLAN技術(shù)在醫(yī)院網(wǎng)絡(luò)建設(shè)中的應(yīng)用[J].醫(yī)療設(shè)備信息,2005,20(2):13-15.

[5] 徐旭東,馬錫坤,楊霜英,等.VLAN劃分中需要解決的有關(guān)問題[J].醫(yī)療設(shè)備信息,2007,22(9):18-19.

[6] 應(yīng)旭鋒,陳杰,左艷榮,等.淺談VLAN技術(shù)在局域網(wǎng)內(nèi)的實施和應(yīng)用[J].中國醫(yī)學(xué)教育技術(shù),2010,24(1):47-48.

[7] 張海霞,李華偉,李芹.VLAN技術(shù)在我院網(wǎng)絡(luò)管理中的應(yīng)用[J].醫(yī)學(xué)信息,2007,20(4):548-550.

[8] 路瑩.構(gòu)建基于三層交換技術(shù)的圖書館VLAN網(wǎng)絡(luò)[J].中華醫(yī)學(xué)圖書情報雜志,2008,17(1):60-63.

VLAN Division of Hospital's Local Network and Modify of ISA2006

CHEN Guo-geng
Information Department,Beihai People's Hospital,Beihai Guangxi 536000,China

TP393.01；TP393.08

A

10.3969/j.issn.1674-1633.2010.10.006

1674-1633(2010)10-0016-02

2010-04-23

作者郵箱：zyryf@hotmail.com

Abstract:With the development of hospital informationization,hospital LAN need to be upgraded.This paper introduces the division method of VALN and modification process of ISA2006,and sunnarizes the function of VLAN+ISA2006.

Key words:HIS; VLAN; ISA2006; network security