吳丹，劉長(zhǎng)興，吳建軍

濟(jì)南軍區(qū)總醫(yī)院 信息科，山東 濟(jì)南250031

劃分我院Vlan時(shí)保持內(nèi)網(wǎng)中多數(shù)線路通信正常

吳丹，劉長(zhǎng)興，吳建軍

濟(jì)南軍區(qū)總醫(yī)院 信息科，山東 濟(jì)南250031

敘述在為我院內(nèi)網(wǎng)劃分Vlan的過(guò)程中，保持多數(shù)客戶端與服務(wù)器正常通信的方法。[關(guān)鍵詞] 醫(yī)院內(nèi)網(wǎng)；Vlan；服務(wù)器

我院內(nèi)網(wǎng)一直沒(méi)劃分Vlan(Virtual Local Area Network虛擬局域網(wǎng))，隨著內(nèi)網(wǎng)中主機(jī)的不斷增加，現(xiàn)已有1000多臺(tái)，廣播域越來(lái)越大，嚴(yán)重影響了通信質(zhì)量，降低了工作效率?？评餂Q定給內(nèi)網(wǎng)劃分Vlan。

1 劃分Vlan遇到的問(wèn)題

(1)劃分Vlan的過(guò)程中必須保證絕大多數(shù)客戶端能正常訪問(wèn)服務(wù)器。

(2)暫時(shí)無(wú)法與服務(wù)器通信的客戶端要在半小時(shí)內(nèi)恢復(fù)與服務(wù)器的通信。

(3)服務(wù)器的IP地址不能改變。

2 劃分Vlan的方法

基于上述3個(gè)問(wèn)題的限制，我們這樣進(jìn)行劃分：

第一步：規(guī)定每棟樓的每?jī)扇龑觾?nèi)的主機(jī)對(duì)應(yīng)的物理網(wǎng)口劃入一個(gè)Vlan，使每個(gè)Vlan內(nèi)的主機(jī)數(shù)在20~50臺(tái)間。網(wǎng)絡(luò)號(hào)由原來(lái)的132.146.0.0改為132.146.x.0，這里的x是根據(jù)實(shí)際情況人為設(shè)定的，例如病房樓三、四層的主機(jī)對(duì)應(yīng)的網(wǎng)絡(luò)號(hào)就是132.146.3.0，五、六層是132.146.5.0子網(wǎng)掩碼改為24位。這樣改可以保證剛劃分到創(chuàng)建的Vlan中的主機(jī)只會(huì)受影響20~30min（具體的理論依據(jù)和實(shí)現(xiàn)方法將在第三步中闡述），也滿足了劃分Vlan時(shí)只有少數(shù)客戶端受到影響的條件，因?yàn)?0~50臺(tái)主機(jī)與1000多臺(tái)相比絕對(duì)算是少數(shù)。

第二步：在核心交換機(jī)上，對(duì)應(yīng)實(shí)際情況創(chuàng)建各Vlan，以創(chuàng)建病房樓三、四層對(duì)應(yīng)的Vlan為例，主要代碼實(shí)現(xiàn)如下：

Snitch#Vlan database

Snitch（Vlan）#Vlan 3 name bingfang3lou //在交換機(jī)上添加Vlan 3且別名為”bingfang3lou”

Snitch（Vlan）# exit

Snitch# configure terminal

Snitch（config）#interface Vlan 3

Snitch（config-if）#IP address 132.146.3.1 255.255.255.0//指定Vlan 3的IP地址、子網(wǎng)掩碼

使用相同的方法在核心交換機(jī)上創(chuàng)建好各Vlan，但只是創(chuàng)建好Vlan并沒(méi)有將交換機(jī)的物理網(wǎng)口分配給各Vlan，這時(shí)各物理網(wǎng)口全部屬于交換機(jī)的默認(rèn)Vlan，即內(nèi)網(wǎng)中所有主機(jī)在同一Vlan中，這個(gè)Vlan是交換機(jī)的默認(rèn)Vlan。整個(gè)工作其實(shí)就是將默認(rèn)Vlan中的主機(jī)分步劃分到各新創(chuàng)建的Vlan中。

第三步：觀察到服務(wù)器的IP地址都是132.146.200.x，于是將所有服務(wù)器的子網(wǎng)掩碼改為24位，并在每臺(tái)服務(wù)器上增加默認(rèn)網(wǎng)關(guān)：132.146.200.1，且將默認(rèn)Vlan的IP改為132.146.200.1，這時(shí)內(nèi)網(wǎng)中的客戶端訪問(wèn)服務(wù)器斷了一下，但很快就恢復(fù)正常通信了，這時(shí)子網(wǎng)掩碼為24位的服務(wù)器既可以和子網(wǎng)掩碼為16位的客戶端通信，同時(shí)也可以和子網(wǎng)掩碼為24位的客戶端通信了。這一步是整個(gè)內(nèi)網(wǎng)劃分Vlan過(guò)程中保證絕大多數(shù)客戶端與服務(wù)器正常通信的關(guān)鍵，這步的成功標(biāo)志著我們?cè)诶碚撋系耐茢嗍钦_的。其原理是，這時(shí)候除服務(wù)器外的所有主機(jī)子網(wǎng)掩碼都是16位，若某客戶機(jī)向子網(wǎng)掩碼為24位的服務(wù)器發(fā)送請(qǐng)求，從客戶端到服務(wù)器這一方向的連接是這樣建立的，因?yàn)榉?wù)器與客戶端都在默認(rèn)Vlan中，所以利用交換機(jī)MAC地址表中記錄的MAC地址，通過(guò)廣播的形式即可建立。而由服務(wù)器返回客戶端的邏輯鏈路是這樣建立的，由于默認(rèn)Vlan的IP地址已經(jīng)改成132.146.200.1，且服務(wù)器都添加了默認(rèn)網(wǎng)關(guān)，所以此時(shí)服務(wù)器的返回信息是先交給默認(rèn)網(wǎng)關(guān)處理，然后再由132.146.200.1轉(zhuǎn)發(fā)給同Vlan中的客戶端和不同Vlan中的客戶端。服務(wù)器與客戶端間的邏輯鏈路都建立好了，這樣我們就可以開(kāi)始將設(shè)想中的子網(wǎng)網(wǎng)口分批加入到對(duì)應(yīng)的已創(chuàng)建的Vlan中。

還是以病號(hào)樓三、四層為例，三樓有一個(gè)交換機(jī)通過(guò)光通信連到主交換機(jī)房，我們?cè)谥鹘粨Q機(jī)房將核心交換4506的4/3口與之連接在核心交換上進(jìn)行如下配置：

Snitch#configare terminal

Snitch（config）# interface Gi 4/3

Snitch（config-if）# switchport mode access //指定4排3口為access模式

Snitch（config-if）# switchport access Vlan 3 //access模式的4排3口劃入Vlan 3

這時(shí)三、四層的客戶端無(wú)法與服務(wù)器通信了，因?yàn)樗鼈儸F(xiàn)在屬于Vlan 3了，但是IP地址，子網(wǎng)掩碼，默認(rèn)網(wǎng)關(guān)都還沒(méi)正確配置，所以就需要我們?nèi)ナ止づ渲?，使之IP地址為132.146.3.0~132.146.3.254，子網(wǎng)掩碼為24位，默認(rèn)網(wǎng)關(guān)為132.146.3.1。20多臺(tái)主機(jī)半個(gè)小時(shí)內(nèi)肯定能配置完，在這期間除三、四層外的其他主機(jī)都在正常工作。

以上述方法，將內(nèi)網(wǎng)分割開(kāi)來(lái)，逐個(gè)的將某個(gè)或某幾個(gè)物理網(wǎng)口從默認(rèn)Vlan中劃出，再劃入相應(yīng)的Vlan中，直到默認(rèn)Vlan中只剩下連接服務(wù)器的物理網(wǎng)口。最后將連接服務(wù)器的網(wǎng)口劃分到Vlan200中，配置如下：

Snitch#configare termina

Snitch（config）#int range gi 4/8 - 17

Snitch（config-if）# switchport mode access

Snitch（config-if）# switchport access Vlan 200 //將4排8至17口設(shè)為access模式且劃入Vlan 200

至此整個(gè)內(nèi)網(wǎng)在保持多數(shù)客戶端與服務(wù)器正常通信的前提下劃分Vlan成功。

[1] (美) Hucaby,D. (美) McQuerry,s. Cisco現(xiàn)場(chǎng)手冊(cè):Catalyst交換機(jī)配置[M].張輝,譯.北京:人民郵電出版社,2004.

[2] 高傳善,等.數(shù)據(jù)通訊與計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:高等教育出版社,2000.

[3] Andrew S. Tanenbaum計(jì)算機(jī)網(wǎng)絡(luò)[M].熊桂喜,王小虎,等,譯.北京:清華大學(xué)出版社,2002.

[4] 徐旭東,等.VLAN劃分中需要解決的有關(guān)問(wèn)題[J].醫(yī)療設(shè)備信息,2007(9):18-19.

[5] 李志福.醫(yī)院網(wǎng)絡(luò)終端安全解決方案[J].中國(guó)數(shù)字醫(yī)學(xué),2007(4):50-52.

[6] 陳剛,宋軍.現(xiàn)代化醫(yī)院信息系統(tǒng)的實(shí)踐和體會(huì)[J].新疆醫(yī)學(xué),2009(12):131-134.

[7] 劉曉輝.網(wǎng)管從業(yè)寶典[M].重慶:重慶大學(xué)出版社, 2008.

Ensuring the Normal Communication of Most of the Circuits in Internal Network during Partitioning Vlan

WU Dan, LIU Chang-xing, WU Jian-jun
Information Department, PLA General Hospital under Jinan Area Command,Jinan Shandong 250031,China

TP393

B

10.3969/j.issn.1674-1633.2010.06.018

1674-1633(2010)04-0053-02

2009-11-26

2010-03-12

作者郵箱：aisy@163.com

Abstract: This paper describes a method ensuring the normal communication of most of the circuits in internal network during partitioning vlan.

Key words: hospital internal network;Vlan;server