刘怡青,闫海霞

（1.陕西省肿瘤医院，陕西 西安 710061；2.空军通信士官学校，辽宁 大连 116600）

0 引言

高质量的医院局域网是保证医院各项业务顺利运行、提升医院管理水平和为患者做好周全服务的信息基础设施[1]。网络如果设计和配置不合理，容易产生网络广播风暴，造成网络运行质量恶化，甚至网络业务中断。因此，合理利用局域网技术，保证网络高效运行，是网络运维管理人员必须面对的问题。VLAN(Virtual Local Area Network)即虚拟局域网具有隔离广播域、增强网络安全和提升网络鲁棒性等优点[2]。VLAN 技术在企业网络工程设计[3]、校园网络等均有应用[4]，是一种广泛应用的局域网技术。本文在分析VLAN原理、划分方法和VLAN间路由的基础上，结合医院网络升级改造，梳理VLAN 实际需求，结合医院具体业务进行VLAN 合理划分，并对交换机主要VLAN 配置进行了举例说明。医院网络运行高效可靠，证明VLAN 技术有效提升了医院网络的带宽利用率，同时增加了网络运用的灵活性，保证了网络业务的顺畅运行。

1 VLAN技术

1.1 VLAN基本原理

交换式以太网中，交换机所有端口均处于同一个广播域，某一台计算机发出的广播帧，局域网中所有的计算机均能接收到，很容易产生广播风暴，造成网络资源的极大浪费，甚至导致网络不可用。二层广播帧是不能被路由器转发的，因此可以利用路由器来减小广播域的范围，提高网络带宽利用率。但路由器不能解决同一交换机下的用户隔离，并且经济代价高，增大了部署和运维成本。IEEE 提出的802.1Q 标准，即VLAN 技术，实现在二层交换机上直接划分广播域，较好地解决了路由器划分广播域存在的问题。要使交换机能够分辨不同VLAN 的报文，需要在报文中添加标识VLAN 信息的字段。IEEE 802.1Q 标准对Ethernet 帧格式进行了修改，在以太网数据帧的目的MAC 地址和源MAC 地址字段之后、协议类型字段之前加入4 个字节的VLAN 标签（又称VLAN Tag，简称Tag），用于标识数据帧所属的VLAN。VLAN 帧格式如图1所示。

图1 VLAN帧格式

VLAN帧格式中各个字段含义如下：

Destination address：目的MAC地址，6字节；

Source address：源MAC地址，6字节；

802.1 QTag：VLAN 标记，4 字节。其中，Type 长度为2 字节，表示帧类型，取值为0x8100 时表示802.1Q Tag 帧。PRI 长度为3 比特，表示帧的优先级，取值范围为0-7，值越大优先级越高。CFI 长度为1 比特，规范格式指示符，表示MAC地址是否为经典格式，在以太网中，CFI的值为0。VID，即VLAN 标识，长度为12比特，表示该帧所属的VLAN。

Length/Type：类型/长度字段，指后续数据的字节长度，但不包括CRC检验码。

Data：字段，42-1500字节。

FCS：帧校验序列，4字节。

1.2 VLAN主要优点

VLAN 技术把一个物理LAN 划分为多个虚拟LAN，即VLAN，每个VLAN是一个广播域，不同VLAN间不能直接互通，这样广播帧就被限制在一个VLAN内，而不同VLAN 要想互通必须通过三层设备进行。VLAN最大的优点是可以隔离广播域，防止广播风暴，节省网络带宽。

VLAN 还可以增强网络的安全性，不同VLAN 不能直接通信，即实现用户的二层隔离。VLAN 也提高了网络的鲁棒性，当网络规模增大时，可以将某些网络故障限制在一个VLAN内，不至于影响整个网络。

灵活构建虚拟工作组。用VLAN 可以划分不同的用户到不同的工作组，同一工作组的用户不必局限于特定的物理位置和范围，网络构建和维护更加方便灵活。

1.3 VLAN划分方法

可以采用基于端口、基于MAC、基于子网、基于协议的方法来划分VLAN。但最简单、最有效的划分VLAN 的方法是基于端口的VLAN，这也是最常用的一种划分方法。基于端口的VLAN 通过将指定的交换机端口加入指定VLAN 中即可，从而实现该端口转发指定的VLAN 数据。需要注意的是，如果VLAN 用户离开原来的交换机端口，而连接到新的接入端口，则需要重新配置新连接端口所属的VLAN。

在实际配置基于端口的VLAN 时，需要理解不同的链路端口类型：Access端口、Trunk端口和Hybrid端口。Access 端口只能属于某个特定的VLAN，并且只能让属于这个特定VLAN 的数据帧通过，通常用于连接用户主机。Trunk端口可以同时属于多个VLAN，并且可以接收和发送多个VLAN 数据帧，通常用于交换机之间的连接。Hybrid 端口可以接收和发送多个VLAN 的数据帧，且能够指定对任何的VLAN 帧进行剥离标签操作，而Trunk 端口仅对默认VLAN 帧进行剥离标签操作。Hybrid端口适用一些特殊场合，比如同一台交换机下绝大部分主机之间需要进行隔离，但这些隔离的主机又都需要与另一台主机通信时，就可以采用Hybrid端口的方式实现。

1.4 VLAN间路由

划分VLAN后，隔离了广播域，不同VLAN间不能直接互通，不同VLAN 间的互通必须通过三层进行。基于路由器实现VLAN间路由的原理如图2所示。使用路由器对不同VLAN进行互连，并且把终端PC的网关设为路由器接口的IP地址，就可以实现VLAN间三层互通，但代价高昂，有多少个VLAN 就需要多少个路由器接口。因此，实际中经常采用的方案有单臂路由和利用三层交换机。

图2 基于路由器实现VLAN间路由

通过利用802.1Q协议和子接口，可以在一个路由器接口实现VLAN 间路由，因此只需要一个物理接口和连接，避免了路由器端口和线缆浪费，这种方式被称为单臂路由,如图3 所示。由于单臂路由方式进行VLAN 间路由时，数据帧在Trunk链路上往返发送，造成转发延迟；同时路由器是通过路由表转发IP 报文的，如果需要路由的数据帧较多，会消耗路由器大量计算和内存资源，可能造成转发瓶颈。因此，通常选择性能较高路由器且带宽较高的链路作为交换机和路由器之间连接的链路。

图3 基于单臂路由实现VLAN间路由

更常用的方式是采用三层交换机实现VLAN 间路由[5]。通过在三层交换机上为每个VLAN 创建一个虚拟的三层接口并配置IP 地址，同时把该IP 地址指定为VLAN成员的网关地址，即可实现VLAN间通信，原理如图4所示。三层交换机转发引起速率高，吞吐量大，因此这种方式较基于路由器实现的VLAN 间通信效率高、鲁棒性强、成本低。

图4 基于三层交换机实现VLAN间路由

2 VLAN在某医院网络中的应用

2.1 VLAN设计分析

医院局域网在原有的基础网络进行适当改造，考虑到医院当前业务需求和兼顾扩展性，采用三层网络架构，即核心层、汇聚层和接入层，实现万兆核心，千兆骨干，千兆/百兆到桌面。核心层采用双核心交换机冗余备份，数据服务器双归属连接，提高系统可靠性。汇聚层采用三层交换机，完成数据流量的汇聚和交换，降低核心负担。接入层直接与用户相连，为用户提供数据快速交换和转发能力。汇聚交换机、接入交换机也可分别通过两条线路连接至各自上层交换机，实现业务的高可靠运转。基础网络承载了门诊、住院、监控、管理等各类信息。

为便于管理，需要对不同类型业务划分VLAN，同时根据不同VLAN 间的互访要求，通过VLAN 间路由实现受控互访。

为便于管理，防止网络广播风暴，对不同类型业务划分VLAN，同时根据不同VLAN间的互访要求，通过VLAN间路由实现受控互访。VLAN接口根据实际情况，可以配置在汇聚或核心交换机。部分VLAN 规划情况见表1。

表1 VLAN规划

2.2 VLAN配置实例

医院网络主要采用H3C 交换机，以某业务科室VLAN101访问数据服务器VLAN1001为例，简化的拓扑结构如图5所示，主要配置步骤和内容如下：

图5 简化拓扑示意图

1）接入交换机SW10上配置

//创建VLAN 101 和1001，并把相应端口加入VLAN

[SW10]vlan 101

[SW10-vlan101]port Ethernet1/0/1

[SW10]vlan 1001

//配置trunk链路端口

[SW10]interface Ethernet1/0/24

[SW10-Ethernet1/0/24]port link-type trunk

[SW10- Ethernet1/0/24]port trunk permit vlan 101 1001

2）汇聚交换机SW20上配置

汇聚交换机上主要配置需要的VLAN 及trunk 端口，配置方法同接入交换机，不再赘述。

3）核心交换机SW30上配置

核心交换机上VLAN 和trunk 端口的配置同汇聚交换机，此外，还要配置VLAN接口：

[SW30]interface vlan-interface 101

[SW30-interface-vlan101]ipaddress 192.168.101.254 24

[SW30]interface vlan-interface 1001

[SW30-interface-vlan1001]ipaddress 192.168.201.254 24

4）连通性测试

将设备线缆连接好，并按照IP 地址规划，设置完成业务科室PC 机、数据服务器1 的IP 地址和子网掩码，同时将PCA、PCB 网关设置为192.169.101.254，数据服务器1 网关设置为192.168.201.254，用ping 命令测试业务科室PC 机与数据服务器1 的网络连通性即可。

5）其他VLAN配置

类似的，可以完成管理VLAN、其他业务VLAN的配置。需要说明的是，需要通过在核心交换机配置访问控制列表ACL进一步完成VLAN间的受控互访。

3 结论

高质量的医院局域网是保证医院各项业务顺利运行、提升医院管理水平和为患者做好周全服务的必要条件。VLAN 技术具有隔离广播域、增强网络安全和提升网络鲁棒性等优点。本文结合某医院网络升级改造，通过合理划分VLAN，规划VLAN 间路由，对各层网络设备进行VLAN配置，实现VLAN技术落地。网络运行表明，VLAN 技术有效提升了医院网络的带宽利用率和网络运用的灵活性，保证了医院网络各业务的顺畅运行。