不中断医疗业务实现医院VI.,AN的部署应用
石 磊,孙文桥,王剑
(解放军第210医院,辽宁大连116021)
摘要:采用虚拟网络技术对医院网络系统进行了改造。在实施过程中充分利用交换机功能,实现了在不中断医疗业务情况下全院虚网的部署。
论文详细介绍了划分VLAN 的方法及配置步骤。实际应用表明,在医院信息系统中采用虚拟网络技术后,有效提高了网络运行的效率和安全
性.从而确保整个管理信息系统安全、稳定运行。
关键词:VLAN:交换机;网络安全
M edical Business without Interruption to Complete the Application of Hospital VLAN
SHI Lei,SUN Wen-qiao,WANG Jian
(The 210th Hospital of PLA。Dalian l16021。China)
Abstract:The hospital network system was transform ed by using virtual network technology.In the implementation process full use of the switch
functions,to complete the transformation of hispital VLAN without medical business interruption .The method of partitioning virtual network VLAN
and its relevant configuration steps were detailedly proposed in the paper.The application result indicated that the eficiency and safety of network
operation of hospital information system were efectively improved by using VLAN technology,which ensured more safety and stability running for the
whole hospital information system.
Key words:VLAN(virtual local area network);switch;network safety
收稿13期:2010-02-04
医学信息2010年o5月第23卷第5期Medical Information.May.2010.Vo1.23.No.5
1 前言
自1999年底我院开通”军卫一号”工程以来,随着医院的发展、
工作站的增加,机器数量超过了254个,为了实现更多用户的接入,
将原来的C类地址改为B类地址,现在已有400多台接人医院局域
网内。目前网络上存在着诸多隐患:① 由于没有划分虚网,广播包在
各个交换机上进行广播,网络阻塞现象时有发生,造成数据库死锁、
网络速度慢等现象;②网络安全性不高,虽在网络管理上采取了一
些手段,如屏蔽u盘、光盘,但一旦发生ARP病毒,无法阻断;③依
托HIS系统的应用日益增多,如LIS、PIVAS等,增加了网络负荷,特
别是我院今年拟开通PACS,对网络性能提出了更高要求。
广播风暴和网络安全的控制只能通过路由器来实现,为有效提
高交换机的数据交换效率[11,我院采用了虚拟网络(VLAN)技术,通过
在支持VLAN技术的交换机上划分多个不同的VLAN,使广播信息
在交换过程中只能在同一个VLAN中复制,无法跨越不同的VLAN,
从而有效地阻隔了广播风暴,提高了交换机的性能,增强了网络的
安全性,确保了我院信息系统的安全、稳定运行。
医院在实施VLAN改造时,常规的方案都是利用晚上的空闲时
间,全院断网,停止医疗业务,信息科人员下科,对全部机器的配置
修改完成后,再开通业务,这样不仅信息科技术人员工作量大、任务
繁重,而且也影响了全院医疗工作的正常运行[3]。我院采取的VLAN
升级方案,充分利用交换机的网管功能,在实施过程中不需要断网,
可逐个虚网剥离、逐台机器实施,在虚网部署过程中临床科室医疗
工作可以正常进行。
2 虚网划分方案
虚网的划分一般都采用基于端口方式,在制定全院虚网子网范
围时,常见的设计方法有按楼宇划分、接科室划分、按应用划分等,
我们院由于楼宇较多,且分布较散,因此采用按楼宇划分和按应用
划分相结合的方法。由于PACS系统传输图像,对带宽占用较高,因
此我们将PACS涉及到的工作站单独划分一个虚网,其它除PACS
外全部工作站按楼字划分,这样划分出外科楼、内科楼、门诊楼、急
诊楼、PACS等7个虚网。
为了保证服务器的安全,将网络中心中的13台服务器和信息
科网管机器单独划作一个VLAN,构成网管中心子网。划分好各个
VLAN后,通过设定VLAN访问控制表,对不同业务部门设定不同的
访问权限[21,使各子网只与服务器子网通讯,而各部门的子网之间是
隔离的。这样,既满足了各部门的安全要求,又可实现部门之间的数
据交流,有效提高了网络的数据交换能力。
3 配置VLAN的方法和步骤
我院采用的核心交换机为3COM 5500,二层交换机为3corn
4200系列。具体实施步骤如下:
3.1逐台添加默认网关VLANI 即把全院机器都看作在一个大的虚
网内。由于交换机上还没有划分VLAN,所以网关即使添加后也不起
作用,不影响网络的正常连通。
3.2在三层交换机上设置VLANl 将端口全部绑定到VLAN1上,通
过控制口连接到三层交换机:
『xxk]sysname 5500xxk /l'#g名
【5500xxk]user-interface aux 0 7 ,,设置权限
[5500xxk—ui—aux0一"]]authentication—inode password ∥设置口令
set authentication password cipher 210210
【5500-xxk-ui-auxO-7]quit
[5500-xxk]user-interface vty 0 4
[5500xxk—ui—vtyO-4]authentication-mede password
【550Oxxk—ui—vty0-4]set authentication password cipher 210210
【5500xxk—ui-vtyO-4]quit
【5500一xxk]interfaee vlanl//划分VLAN1
【5500-xxk-Vlan-interfaee1]ip address 202.196.2.1 255.255.0.0//
管理IP地址
3.3将七个虚网逐个剥离,如外科楼设为VLAN2,先在三层交换机上
创建VLAN2:
【5500-xxk]interface GigabitEthemet 1/0/1 //~A.千兆口
【5500xxk-GigabitEthemet1/0/1]port link—type trunk//把该13打
上trunk
[5500一xxk—GigabitEthemet1/0/1]port trunk permit vlan all
【5500-xxk]vlan 2
【5500-xxk]interface Vlan-interface2
[5500-xxk-Vlan—interface2]ip address 202.197.2.1 |
|
资源大小:221.87 KB 
