医院局域网的VLAN划分与ISA2006的适应调整

陈国耿

北海市人民医院 信息科，广西 北海536000

医院局域网的VLAN划分与ISA2006的适应调整

陈国耿

北海市人民医院 信息科，广西 北海536000

随着医院信息化的发展，医院局域网需要进行改造升级。本文介绍了我院虚拟局域网VLAN划分方法以及ISA2006适应调整的实施过程。总结了VLAN+ISA2006在内网客户机访问外网控制方面的强大功能。

HIS；VLAN；ISA2006；网络安全

我院局域网建立于1998年，刚开始只有HIS一个网段，随着医院信息化发展和应用的增加，相继形成了HIS、PACS、办公三个各自隔离的网段，为了解决各网段内部电脑的互联网访问需求，并保护内网不受外网入侵，安装了ISA2006（Internet Security and Acceleration，互联网安全加速器）。到今年年初，各类服务器、PC、Windws终端数量已超过300台。网络内的计算机、交换机等设备的大量增加，使广播的数量也急剧增加，当达到总量的30%时，网络的传输效率将会明显下降；特别是当网络设备出现故障后，会不停地向网络发送广播，导致网络风暴，使网络通信陷入瘫痪[1]。进一步加强网络管理，提高网络的安全性、增加带宽、降低延时便成了关键问题，虚拟局域网(Virtual Local Area Network，VLAN)技术为其提供了最佳解决方案[2]。

引入VLAN技术实施网络改造。VLAN的划分依据不同原则，一般有三种划分方法：基于端口的VLAN划分；基于M1P地址的VLAN划分；基于路由的VLAN划分。由于基于端口的VLAN划分是把一个或多个交换机上的几个端口划分为一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备[3]。故选定了基于端口的VLAN划分方式。

1 改造前的网络拓扑结构

图 1 我院改造前的网络拓扑结构

如图1，HIS、PACS、办公3个网段相互独立，ISA2006安装了4个网卡，一个连接外网，剩余3个分别连接内部3个网段。

这时的ISA2006配置相对简单，只要把有上网需求的网段（例如办公192.168.3.0）加入到ISA2006的内部网络，然后在防火墙策略中建立相应的访问规则即可。

但是这种结构面临发展的瓶颈，随着各网段内设备的增加，IP资源紧张，广播风暴占用带宽。想再新建几个网段，但是ISA2006主机却不能再容纳更多的网卡。原有的网段划分随着业务发展跨越了多个建筑物，造成网络连接复杂，管理非常不便。

2 网络改造设计

图 2 我院网络改造设计的VLAN划分

如图2，利用购置的华为S6506三层交换机，进行网络改造，按照院内建筑布局，以基于端口的VLAN划分方式，划分了若干VLAN。

3 VLAN划分过程

ISA2006只保留2个网卡，原来接外网的网卡设置不变，把内网口IP设为192.168.100.2/24，网关为空（因为外网口已经添加ISP提供的网关了）。连接内网口的交换机端口定义为VLAN100，配置如下：

//定义全局缺省路由到192.168.100.2（ISA主机内网口IP），使各VLAN访问外网的请求可达ISA主机。

//以门诊楼VLAN10的建立为例，把e2/0/3、e2/0/4这2个端口划分到VLAN10，定义虚地址192.168.10.254，即是该VLAN内客户机的网关。其它VLAN类推。为了保障服务器群的安全，此次专门把所有服务器整合划分到一个VLAN里，保障服务器安全。

VLAN划分之后，就要考虑VLAN间的互连，这可以通过三层交换来实现[4]。只要参照门诊楼VLAN10的建立步骤建立各VLAN并设置好客户机默认网关，VLAN间就可以互访了。当然如果需要更细致的VLAN间访问控制，可参照具体交换机的访问控制列表ACL进行设置。

4 ISA2006的适应调整

打开ISA 服务器管理工具，进入ISA-配置-网络-内部，把需要访问外网的VLAN添加进内网，例如VLAN11，如图3：

图 3 添加到指定VLAN的静态路由

开始-运行-cmd，进入命令行模式，添加到指定VLAN的静态路由，例如route add 192.168.11.0 mask 255.255.255.0 192.168.100.1 /p。注意：下一跳地址一定是ISA所在VLAN的gateway，亦即所在VLAN接口的虚地址，此处为192.168.100.1。如要禁止某个VLAN访问外网，不要添加路由即可。

经过以上设置，再在防火墙策略中建立相应的访问规则，VLAN11的客户机即可访问外网，当然还可以通过IP、协议等条件限制只允许部分客户机或者部分应用，在此不详述。

5 总结

医院信息系统是典型的24×8h小时不间断系统，作为运营基础的网络的稳定可靠至关重要，因此这次VLAN划分涉及的交换机都提前做好配置方案，做到了认真组织、精心安排、科学施工，使对医疗工作的影响降至最低限度[5]。

我院局域网在成功进行VLAN划分后，取得较好效果。首先，网络环境得到改善，网络运行平稳，运行效率得到显著提升，网络传输速度与VLAN划分前相比有着明显的提高[6]。例如改造后PACS等大负载大流量客户明显感到速度和稳定性得到加强。

VLAN的划分极大地增强了网络管理的灵活性。可以根据部门职能或者应用将不同物理位置的用户划分为一个逻辑网段，在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用[7]。通过合理划分VLAN，还在一定程度上防止了病毒的传播，大大提高了网络的安全性[8]。

VLAN+ISA2006进行客户机访问互联网授权管理非常方便，功能强大。ISA SERVER 2006是微软公司推出的一款重量级的网络安全产品，被公认为X86架构下最优秀的企业级路由软件防火墙。具有灵活的多网络支持、易于使用且高度集成的VPN配置、可扩展的用户身份验证模型、深层次的HTTP过滤功能等优点。ISA SERVER的多层防火墙可以保护网络资源免受病毒、黑客的入侵和未经授权的访问，在网络内安装ISA SERVER可以将其配置成防火墙，也可以配置成WEB缓存服务器，或二者兼备[9]。根据我院数年应用，对于限定子网、特定IP、特定时间段、指定应用等控制客户机访问外网的复杂需求，VLAN+ISA2006的组合完全胜任，值得推广。

[1] 许同来,谷敏.VLAN技术在医院网络管理中的应用[J].江苏卫生事业管理,2009,20(6):65-66.

[2] 赵雷.VLAN在高校图书馆网络中的应用[J].中华医学图书情报杂志,2007,16(5):68-69.

[3] 骆正云.医院虚拟局域网规划与实现[J].医疗设备信息,2005, 20(11):10-11.

[4] 徐浩,孔明霞,张楠.VLAN技术在医院网络建设中的应用[J].医疗设备信息,2005,20(2):13-15.

[5] 徐旭东,马锡坤,杨霜英,等.VLAN划分中需要解决的有关问题[J].医疗设备信息,2007,22(9):18-19.

[6] 应旭锋,陈杰,左艳荣,等.浅谈VLAN技术在局域网内的实施和应用[J].中国医学教育技术,2010,24(1):47-48.

[7] 张海霞,李华伟,李芹.VLAN技术在我院网络管理中的应用[J].医学信息,2007,20(4):548-550.

[8] 路莹.构建基于三层交换技术的图书馆VLAN网络[J].中华医学图书情报杂志,2008,17(1):60-63.

VLAN Division of Hospital's Local Network and Modify of ISA2006

CHEN Guo-geng
Information Department,Beihai People's Hospital,Beihai Guangxi 536000,China

TP393.01；TP393.08

A

10.3969/j.issn.1674-1633.2010.10.006

1674-1633(2010)10-0016-02

2010-04-23

作者邮箱：zyryf@hotmail.com

Abstract:With the development of hospital informationization,hospital LAN need to be upgraded.This paper introduces the division method of VALN and modification process of ISA2006,and sunnarizes the function of VLAN+ISA2006.

Key words:HIS; VLAN; ISA2006; network security