李静LI Jing；余军YU Jun；冯祖洪FENG Zu-hong

（①银川市中医医院，银川 750001；②北方民族大学，银川 750021）

（①Yinchuan Traditional Chinese Medicine Hospital，Yinchuan 750001，China；②Beifang University of Nationalities，Yinchuan 750021，China）

0 引言

随着信息化进程的不断深化，计算机网络在影响着社会的各行各业的同时，也在不断冲击着传统医疗模式。近年来，为了适应新的形势，各个医疗机构都在积极进行信息化建设。本文以银川市中医医院为背景，探讨了当今医疗机构计算机网络存在的普遍问题，并进行具体分析和研究，给出了一套合理的计算机网络IP 地址规划及VLAN划分方案，有效地解决了网络规划不合理、网速慢等问题，为医院的信息化建设提供了一个良好的基础环境。

1 银川市中医医院计算机网络现状及存在的问题

1.1 IP 地址问题

目前该院内网计算机的IP 地址采用自动获取方式，但是由于管理疏忽，某些计算机的IP 地址被用户或者网络管理员设置为固定IP。这样先开机的计算机就可能自动获取到未开机的计算机（该计算机的IP 地址之前被手动设置为固定IP）的IP 地址，当后者开机后会出现IP 地址获取不到或者IP 地址冲突等问题，导致无法连接网络。例如，计算机A 的IP 地址为固定IP：192.168.1.56，计算机B 的IP 地址为自动获取方式取得，当计算机B 的开机时间早于计算机A 时，就有可能自动获取得到的IP 地址为192.168.1.56，当计算机A 开机时，计算机就会提示IP 冲突，无法连接网络。虽然解决方法很简单，只需要将计算机A 的IP 设置为自动获取便可得到一个新的IP，但是也需要网络管理员到现场操作，给网络管理工作带来了极大的不便。

随着网络规模的不断扩大，网络覆盖范围的不断延伸，网络设备数量和种类也在不断地增加。对于网络管理人员，需要及时发现网络中存在的各种故障和隐患，以便能够快速故障处理，有效的排除网络故障，降低网络使用风险，确保各种业务的正常开展。在排除网络故障的过程中，经常需要网络管理人员对某一个IP 地址的计算机进行地理位置的及时定位。例如，在杀毒软件查找到网络中攻击源计算机的IP 地址时，网络管理员无法根据IP 地址查找到该计算机的具体地理位置。

以上两个问题归根结底是由于IP 地址规划不合理造成的。因此，如何对全院计算机的IP 地址进行科学合理的规划成为网络规划的一个重要问题。

1.2 ARP 攻击

ARP 攻击，即地址解析协议攻击。首先，地址解析协议的作用是通过目标设备的IP 地址，查询目标设备的MAC 地址，以保证通信的正常进行。ARP 具体来说就是将网络层的IP 地址解析成数据链路层的MAC 地址。

ARP 攻击则是通过伪造IP 地址和MAC 地址来实现ARP 欺骗的，它能够在网络中产生大量的ARP 通信量，使网络阻塞。攻击者只要持续不断地发出伪造的ARP 响应包，就能更改目标主机ARP 缓存表中的IP-MAC 条目，从而造成用户上网速度慢，或者网络中断。

由于全院计算机内网均处于同一个网段内，较大的广播域造成了ARP 攻击发生的可能性大大增加。而医疗行业又是关系到病人生命安危的重要行业，尤其对于门诊这样提供给病人及时性服务的重要区域，一旦发生ARP 攻击，将造成大量的病人滞留门诊，不仅造成医院严重的经济损失，也会给医院的社会效应造成极大的负面影响。因此，怎样减少ARP 攻击发生的可能性，并且在发生ARP攻击时能够尽可能快速地查找到攻击源，成为不容忽视的问题。

2 医院计算机网络的设计原则

可用性：医院计算机网络应以医院的实际情况为根本和前提，充分考虑到医院的具体情况，在保证医院的门诊、住院流程顺利执行的基础上，最大程度地方便网络管理人员进行维护、管理，以减少医务人员运用网络的难度，从而降低人为操作引起的网络故障。

安全性：医院计算机网络中包含大量医疗信息和财务信息的重要数据，不论是损坏还是丢失，都会给医院造成极大的损失，因此网络的安全问题显得尤为重要。内外网严格分离是网络安全的基本设计，此外，主要的安全技术还有VLAN 划分、IDS、IPS 等技术。

可靠性：由于医院单位性质的特殊性，要求计算机网络支持7*24 小时不间断的工作。网络一旦出现故障，就会影响医疗过程的顺利进行，严重的甚至导致医疗活动的停滞。所以，在网络设计中，要将高可靠性放在十分重要的位置，以确保医疗活动的正常进行。

可扩展性：随着信息技术的不断发展，及医院医疗活动对信息技术的依赖程度不断加深，医院网络的应用呈爆发式增长，只有具备扩展性和开放性的设备，才能拥有较长的生命力。

3 计算机网络建设的基本技术

3.1 VLAN 技术

VLAN（Virtual Local Area Network）技术，即虚拟局域网技术，是一种逻辑广播域，允许一组不限物理位置的用户群共享一个独立的广播域，即可使不同的用户群属于不同的广播域。这样，通过划分用户群，控制广播范围等方式，VLAN 技术可以从根本上解决网络效率与安全性问题。

3.2 三层交换技术

三层交换（也叫多层交换技术，或IP 交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI 网络标准模型中的第二层——数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。

三层交换技术的出现，解决了局域网中的网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。

3.3 NAT 技术

NAT（Network Address Translation，网络地址转换）是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。在实际应用中，NAT 技术主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用的IP 地址空间的枯竭。

3.4 VPN 技术

VPN（Virtual Private Network）技术，即虚拟专用网络。该技术的功能是在公用网络上建立专用网络，进行加密通讯，在企业网络中有广泛应用。

4 对该院的计算机网络进行IP 地址规划及VLAN的划分

该院的网络系统可以分为门诊部、住院部、功能科室部、行政办公部及后勤部，其中，门诊部及住院部位于九层的综合大楼（其中一至三层属于门诊部，四至九层属于住院部），功能科室与行政办公部位于后院三层小楼，后勤部位于后院的零散房间。根据该院的具体情况，为了使VLAN 编号及IP 地址能够和部门楼层对应起来，让管理人员一目了然，可以根据VLAN 编号及IP 地址确定用户的具体位置，本文提出如下VLAN 及IP 地址规划方案：

4.1 IP 地址的规划

根据分析，本文将采用B 类私有地址对该院的IP 地址进行规划。

IP 地址中的第三段数字统一采用两位数，其中十位数字表示部门，个位数字表示楼层，具体规则如下：

1 表示门诊部门，2 表示住院部门，3 表示功能科室部门，4 表示行政办公部门，5 表示后勤部门。1-9 分别表示一至九层，其中后院零散房间的楼层号定为1。例如，172.16.12.3 表示门诊部2 楼的某个地址，172.16.31.3 表示功能科室部门一楼的某个地址，172.16.51.3 表示后勤部门的某个地址。

住院部门各个楼层均由病房区和工作区组成。

对于住院部房间物理位置的规整性，本文将住院部IP 地址的第四段数字进行统一规划，具体规则如下：第四段数字统一采用三位数字表示，如果该数字是一位数，则将其十位和百位数字用0 代替，如果该数字是两位数，则将其百位数字用0 替代，其中百位表示房间类别：0 表示工作区，1、2 表示病房区。例如，172.16.28.56 表示住院部8楼工作区的某个IP 地址，172.16.26.156 表示住院部6 楼病房区的某个IP 地址。

4.2 VLAN 的规划

完成IP 地址的规划后，VLAN 的划分可以根据IP 地址的规划情况来确定。本文将每个楼宇的每个楼层划分为一个网段，因此可以将每个楼层划分为一个VLAN。VLAN的编号采用2 位数。十位数字1 表示九层的综合大楼，2表示三层的小楼，3 表示后院零散房间。个位数字表示楼层。后院零散房间的楼层规定为1。例如，VLAN17 表示该VLAN 是综合大楼7 楼的VLAN。

5 结论

通过以上方案可以看出，VLAN 及IP 地址的划分较为精确，管理人员仅仅依靠VLAN 编号或IP 地址，就能够确定出用户的具体位置，这为网络的维护带来了很大的方便。同时，由于VLAN 减小了广播域的范围，使得ARP 攻击只能影响到本楼层的用户，大大减少了ARP 攻击的危害范围，同时也缩小了管理人员查找攻击源的排查范围，提高了解决问题的效率。

[1]姚坤.高校校园网建设方案的设计与研究[D].北方民族大学，2013.

[2]孟瑞祺，等.基于现代医院信息化的网络改造设计与实施[J].科技信息，2011（29）：92.

[3]杨霜英，等.大型医院信息系统网络改造研究[J].医院数字化，2010，25（1）：29，35-36.

[4]邹玉蓉.我院网络系统的改造与实现[J].医院数字化，2010，25（9）：30-31.