网络平台是医院信息化发展的基石,若缺乏安全可靠、稳定快速的网络环境,医院主要信息系统如HIS、PAC、LIS等的发展则无从谈起。基于医院网络及信息系统特点分析,通过网络规划、网络管理、安全应急预案三方面探讨医院网络管理工作中积累的经验教训,为以后医院管理提供参考与借鉴。
[关键词]
医院网络平台;网络规划;网络管理;安全应急
1网络管理概述
随着医院HIS、电子病历、LIS、PACS等业务系统不断发展,医院日常工作已经完全离不开信息化的支持,作为信息化奠基石的医院网络管理及网络安全也越显重要。从概念上讲网络管理的目标就是通过管理优化,实现网络的可用时间的最大化,并提高网络设备的利用率、网络性能、服务质量和安全性,降低网络运行成本,形成网络的长期规划。
2目前医院网络管理的需求突出点
近年来,三甲综合医院信息化规模已经完全步入大数据时代,小型局域网扩张成大型园区网络,网络终端成倍增长,数量基本已达到2000以上。伴随而来的网络压力也彰显,更能考验医院网络管理水平。网络管理上突显的主要需求点主要体现如下几方面:(1)工作站数量激增,直接增加了网管员的工作量。经统计,造成终端以及网络出现问题的主要为人为因素,如,误操作导致网络配置错误、移动介质使用和随意共享传播文件导致病毒感染、恶意扫描以及大量网络传输导致网络带宽被占用等;(2)多厂家网络设备、多网络互连,增加网络架构的复杂性和故障风险。网络建设是需要经过长时间升级完善,网络设备的多样化、多品牌化问题突出;业务的多元化给网络也带来跨网段、跨区域的特色。(3)医院信息系统平台的大数据应用以及数据备份带来带宽不足的凸显。(4)网络规模增长,直接带来故障率的增高以及排查难度的提高。
3医院网络管理的实用经验及方法
3.1故障的快速定位
故障快速定位是快速解决网络故障的前提,而故障前后的数据对比是故障快速定位的关键。因此我们需要熟悉自己的网络运行状况,每天做好网络运行状况登记,其中应包括:核心网络设备的性能使用率、运行日志、生成树状况、备份状况、运行配置、主干流量登记、重要端口流量、电源状况、环境温湿度等等。尤其是重要端口流量监控,需特别区分常态网络流量以及突发业务计划引起的大数据网络流量。常态做好全网流量监控(无专用设备可安装抓包软件进行分析)。医院网络故障一般分为三类:①设备硬件故障,特点为定位容易,故障修复时间比较明确;②配置导致的故障,特点较为少见,容易排查;③网络攻击或者广播风暴类故障,特点为隐蔽性,往往容易导致交换机无法远程管理,且业务影响范围较广。根据不同的故障种类,我们应事先制定对应的处理预案。认真做好网络运行状况登记,可助我们快速识别当前网络故障的种类,以便采用相应的处理预案。
3.2优化网络主干
提升主干带宽,一般有三个方法:①升级硬件:如百兆升级到千兆,千兆升级到万兆,或者做链路捆绑,该方法直接涉及网络成本;②采用虚拟局域网VLAN技术抑制广播风暴,提高带宽效率;③针对大数据流量的主干优化。(1)目前主流局域网技术均采用以太网技术,随着主机数量的增多、网络设备增加,原有单一共享网络的规模不断扩大,ARP、DHCP、生成树等等基于广播或者组播方式的网络协议带来大量的广播流量,直接消耗主干的带宽以及核心交换机的处理资源,甚至降低该共享网络中所有终端主机的处理速度。因此,如何抑制广播风暴以及其他不明流量风暴是提升现有主干传输能力的首要方式。VLAN技术是专门为了解决以太网广播以及安全性而提出的,是一种将局域网从逻辑上划分(注意,不是从物理上划分)成一个个不同的逻辑子网VLAN的实现技术。每个VLAN具有独立的广播域,可覆盖局域网内多个网络设备,允许不同地理位置的终端用户加入同一个逻辑子网。VLAN技术实现是在以太网帧的基础上添加VLAN头,在二层转发的过程中根据VLANID决定该帧能达到的逻辑子网,而不会转发到其它VLAN中,实现每个VLAN的广播和单播流量得到严格隔离,从而实现有助于控制流量、简化网络管理和提高网络安全性。当然,不同VLAN彼此之间无法直接访问,则需支持路由或者三层转发功能(路由器、三层交换机)设备来完成。目前主流的核心交换机均带有三层交换引擎。常用的VLAN划分手段主要有根据物理端口划分、根据MAC地址划分和根据网络层协议划分。根据网络端口划分,简单稳定,只需在端口配置上指定该端口的VLAN所属就可以。根据MAC地址划分,则相对灵活,端口会根据MAC地址自动划分到该MAC地址所对应的VLAN中,当然前提是前期需对所有网络用户的MAC地址登记和对所有网络设备配置。根据网络层协议划分,相对复杂和耗费交换机性能,效率不高,较为少见。根据医院网络实际应用,应用终端的位置以及业务类型均相对固定,网络流量主要是来自应用终端与服务器之间互访流量,即垂直流量占多,而平行流量仅大量存在于服务器与网络存储之间。因此,我们选择了根据网络端口划分VLAN。根据网络端口划分VLAN一般有两种划分手段,一是根据该端口的业务应用类型,如PAC应用、LIS应用、HIS应用等等;二是根据该端口的地理位置,即按楼层划分。两种划分手段各有优势,前者在同一VLAN内的互访流量数据传输可不必经过三层转发,效率较高,并可方便使用到一些基于广播、组播实现的网络功能,如网络查找或网络共享等,因此适合如视频转播系统应用、门禁系统、监控系统以及服务器群等。后者则可以严格控制该VLAN的广播、组播流量通过网络核心设备和主干链路,大大降低网络转发压力,从而达到优化网络主干转发能力,因此适合普通楼层接入。(2)针对大数据流量,比如PAC服务器数据之间传输、服务器群与NAS等网络存储之间尽量采用专用光纤链路,尽量避免流经核心网络设备以及楼层主干。
3.3终端控制管理
终端管理主要手段有接入控制、应用访问管理以及病毒防杀等。当然,目前许多终端安全管理软件已经实现以上三个功能,以下将讨论在现在网络设备上不增加成本实现终端控制管理。(1)网络接入控制。常用方式有端口MAC地址绑定、端口MAC地址+IP地址绑定,还有基于802.1x协议的访问控制。a.端口MAC地址绑定。根据交换机性能,可以采取静态绑定MAC地址,动态绑定MAC地址。采用静态绑定MAC地址,网络管理员需要事先收集终端的MAC地址,并在交换机上找到对应的端口手动敲入命令,对交换机性能要求不高,但是会给网络管理员带来很大的工作量。动态绑定MAC地址,只需要在交换机端口上开启动态绑定MAC地址的功能,交换机就会自动学习并绑定端口所连接的MAC地址,不过要先确保接入交换机的终端都是合法的。b.端口MAC地址+IP地址绑定。同样可以采取静态绑定与动态绑定两种方式。采用静态端口MAC地址+IP地址绑定,网络管理员需要事先收集终端的MAC地址与IP地址,并在交换机上找到对应的端口手动敲入命令。此方法比只是绑定MAC地址安全性更高,但是会给网络管理员带来很大的工作量。采用动态端口MAC地址+IP地址绑定,需要结合DHCPSNOOPING或者DHCPRelay表项进行自动绑定,可以防止用户篡改IP地址,再配合动态绑定MAC地址,让交换机学习并绑定MAC地址,实现MAC地址与IP地址的双重绑定。c.基于802.1x协议的访问控制。指定每个合法用户一个用户名和密码,用户需要接入网络前,使用用户名和密码进行认证,认证通过以后才能访问网络,可以防止非法用户访问内部网络。接入交换机需要支持802.1x协议,还要部署RADIUS服务器进行认证。采用此方法,可以避免非法用户通过修改MAC地址与IP地址来进入网络,安全性更高。(2)应用访问管理。鉴于医院网络业务大多数为垂直型分布,即终端直接访问服务器群。因此可在三层网络设备上做三层网络转发识别和过滤,减轻主干转发压力以及服务器网络压力。比如一般对内存储设备的保护、只开放数据库端口、开发应用服务器端口以及远程管理端口等。(3)病毒防杀。医院内部的终端无法连接互联网,无法及时获取杀毒软件病毒库和系统补丁的更新,容易感染计算机病毒,造成安全隐患。可以通过组建杀毒软件与系统补丁升级系统对终端进行病毒库与系统补丁的更新。这个病毒防杀系统采用C/S架构,包括服务器和终端两部分。服务器与终端都在医院内部网络。如果服务器可以直接连接互联网,服务器可以采用方式,下载终端需要升级的文件数据,为终端提供及时的升级。如果服务器无法接入互联网,可以在一台能上网的机器上下载好升级的文件数据,再放在服务器上,用方式让终端升级。
3.4网络隔离
上下级单位之间、医院园区之间、特殊业务等等业务交互导致医院网络不再是以往单一的、物理独立的局域网,而是一张多出口、多业务甚至多协议的复杂网络。如何较好地划分、控制每个逻辑子网也成了当前医院网络安全工作的重中之中,也是安全等级保护自查的一个重要项目。对外来接入网络,应定位为不安全网络,应采取逻辑隔离、严格控制接入权限以及做访问审计等手段。(1)逻辑隔离:禁止二层直接接入,采用三层互联技术,控制广播域,并做好防毒防攻击。(2)严格控制接入权:使用网络安全设备对前置机或者专线严格控制准入权,只允许访问指定服务器或者网段。(3)做安全审计:增加安全审计设备对入口流量进行访问审计记录,做到每个应用访问可查可追踪。
4结语
一、总体要求
以改进工作作风、提高行政效能为重点,以促进政务公开、改善政务服务为关键,以切实维护群众切身利益为核心,认真落实群众对政务工作的知情权、表达权、参与权、监督权,充分发挥群众监督和舆论监督的作用。通过《*面对面》政风行风热线搭建群众与政府部门和行业联系沟通的桥梁,畅通政府部门和行业与群众联系交流的渠道,及时传递政务和行业信息,使热线成为密切政府与群众关系的“连心线”、为群众排忧解难的“民心线”、推动政风行风建设的“监督线”,努力创建人民群众满意的政府部门和行业。
二、职责分工
《*面对面》热线实行市监察局与市纠风办组织协调、新闻媒体具体运作、部门和行业上线直播、人民群众积极参与的工作机制。
(一)市监察局、市纠风办、市政府新闻办、*传媒集团负责《*面对面》热线的组织领导和统筹安排,组织审点节目方案和重要报道内容,对市级媒体宣传报道进行协调和指导。
(二)市监察局、市纠风办、*人民广播电台负责制定《*面对面》热线运行方案、上线计划和直播预案;会同上线部门(行业)确定节目话题、群众反映或投诉事项的督办;跟踪热线反映情况和投诉问题办理结果,收集、汇总、编发信息;组织考评部门和行业上线情况及督办事项办理落实情况。
(三)市信息办负责在*公众信息网上醒目位置设立《*面对面》热线专栏并提供运行和技术保障;专栏内容涵盖《*面对面》热线节目简介、每项节目预告、节目在线同步直播、在线互动反馈以及往期节目音频和图片资料等。
(四)市广电局、*传媒集团、*人民广播电台负责协调广播信号发射、传输等技术保障工作,保证覆盖范围和播出效果;对区(市)县级广播电视媒体联动和节目采编内容的宣传报道进行协调和指导。
(五)市级相关部门(行业)要明确一名业务主管领导上线,指定有关综合部门或主要业务处室、机构具体承办热线工作;向社会公布本部门、本行业热线电话;负责本部门、本行业上线工作的内部协调、人员分工、资料收集和预案制作;办理和反馈涉及本部门、本行业的咨询投诉,收集听众反映问题的办理情况并编报工作简报。
三、组织机构与运行方式
(一)组织机构。
1.设立《*面对面》热线办公室,由市监察局、市纠风办、市政府新闻办、市广电局、市信息办、*传媒集团组成;市纠风办负责《*面对面》热线办公室日常工作。《*面对面》热线办公室负责制定和上线计划并监督其落实,组织上线工作考评,按时向市政府报告上线节目情况;指导各区(市)县政风行风热线工作。
2.在*人民广播电台新闻频道设立《*面对面》热线节目组,负责上线节目直播工作。节目组负责记录现场督办事项、跟踪热线反映情况和投诉问题的办理结果,会同上线部门(行业)将受理咨询投诉的情况或调查结果在次日的节目中向当事人反馈;收集、汇总节目信息定期上报《*面对面》热线办公室。
(二)节目日常运行。
1.《*面对面》热线节目组根据上线计划,会同上线部门(行业)确定节目话题、制定节目直播预案并及时将相关节目信息传至*公众信息网《*面对面》热线专栏进行预告。当期节目直播完成后,对群众反映的一般性事项,由节目组落实次日节目反馈内容;对群众关注度高、具有一定典型性的重要事项,节目组及时组织记者进行跟踪报道,并反馈结果。
2.2009年1月20日在*人民广播电台开通《*面对面》热线节目。每周周一至周五上午10∶10—11∶00为直播(遇国家法定节假日顺延)。其中:周一由*人民广播电台围绕当前热点,自行确定节目话题,与听众进行互动交流;周二、周四分别由上线部门(行业)领导带队在*人民广播电台直播间上线接听群众热线,解答群众咨询、介绍部门职能、宣传解释政策、受理群众投诉;周三、周五由节目组或上线部门(行业)反馈投诉事项的办理结果或阶段性进展情况。
3.在*公众信息网开通《*面对面》热线网页,内容包括:直播*人民广播电台开通《*面对面》热线节目;设立接受群众意见、建议信息平台和信息反馈页面,由上线部门(行业)负责回答解决群众的问题;《*面对面》热线栏目宗旨、上线计划、工作成果等。
4.《*面对面》热线节目组和*公众信息网《*面对面》专栏每周一(遇国家法定节假日顺延)将上周节目信息和网页访问互动情况上报《*面对面》热线节目办公室。
5.在《*日报》和*电视台新闻综合频道开设相应的政风行风热线栏目。
四、工作要求
(一)《*日报》、*公众信息网等市级新闻媒体要根据节目计划安排,将上线部门(行业)的主要职能、带队领导、交流话题、咨询电话等提前向社会公示预告,公示预告的内容由市纠风办下达。上线部门(行业)要提前在系统内外收集情况和意见,针对本部门(行业)的职能职责和服务要求拟定节目主题、制定工作方案、确定人员分工,并提前将公示预告内容报送市纠风办。《*面对面》热线节目组要提前一周与确定的上线部门(行业)共同制定节目预案。
(二)上线部门(行业)主要负责同志和分管负责同志要带头上线,带着对群众的感情,倾听群众呼声、解决群众诉求。组织本部门、本行业干部职工同步收听节目内容,接受群众的监督和批评。
一、突出培训内容的针对性,切实提高干部的执政能力和保持党员先进性
从全县党员干部的思想和工作实际出发,紧密结合保持党员先进性教育活动的开展,突出重点,科学设置培训内容。一深入学习政治理论。要把学习“三个代表”重要思想和贯彻党的十六大和十六届三中、四中全会精神放在首位,加强对《》、《保持共产党员先进性教育读本》及《论加强和改进执政能力建设(专题摘编)》的学习,增强干部执政意识,提高执政能力,保持共产党员的先进性。二加强科技文化知识学习。组织全体干部学习电子政务、外语、行政管理、行政法规及岗位专业知识。提高现代化办公、依法行政和从事岗位工作的能力。三突出学习发展县域经济所必需的知识。围绕促进县域经济的大发展、快发展,对外开放,招商引资上项目,促进县属企业迅速扩张,特色产业“二次创业”,加快农村富余劳动力转移,优化经济发展环境等相关知识作为主要学习内容,促使全县党员干部解放思想,更新观念,明晰发展思路,增强大发展、快发展的决心和信心。
二、不断改进培训方法,使干部培训工作更具创造力和吸引力
为适应当前全县经济发展的需要,结合当前保持党员先进性教育开展,着眼于提高广大干部的执政能力和保持党员先进性,采取更加灵活多样的培训形式。(一)集中办班。适应增强干部执政意识,提高执政本领,保持党员先进性的需要,确定全员培训目标,坚持党政干部、优秀年轻干部、农村干部、科技人才一起抓,并根据不同特点、不同内容需要进行培训,努力做到领导干部重点培训,年轻干部经常培训,紧缺人才抓紧培训。年内要办好保持党员先进性“一把手”培训班、乡局级领导干部学习十六届四中全会精神培训班、农村党支部书记培训班、农村村委会主任培训班、优秀年轻干部培训班,会同人事劳动和社会保障局举办公务员电子政务培训班,择机举办一场宏观经济形势与县域经济发展专题讲座,并协调指导农林、畜牧、中小企业局等职能部门搞好对所属党员干部的岗位培训。(二)抓好中心组学习。县直党委和县直部门的党组织要结合保持党员先进性教育活动的开展和本职工作的需要,认真制定中心组年度学习计划,要“一把手”带头,长期坚持学,保证人数,保证培训时间。每次学习要以增强执政意识、提高执政能力和保持党员先进性为目的,维绕全县经济建设和改革开放的热点和难点问题,深入研讨,集中交流,努力做到学以致用。(三)开展干部远程教育。干部远程教育已成为新时期干部教育培训的一项重要手段,与其他教育手段相比,它具有形象生动、快捷、便利、覆盖面广和信息量大的优势。各乡镇要在总结过来工作中好的经验做法的基础上,再接再厉,乘势而上,把干部远程教育的管理和使用水平提高到一个新水平。一是不断强化领导,提高管理水平。各乡镇要不断完善干部远程教育的领导和工作机构。要由党委副书记牵头抓总,党委组织委员专司主管,政治立场坚定、业务素质高的同志担任专职管理播放人员。副书记及组织委员要确实负责起干部远程教育的协调指导工作,要及时解决干部远程工作中的困难和问题,保证播放人员和资金的落实。逐步完善网络管理、播放收看、研讨交流、设备保养等一些列规章制度,并张贴上墙,严格执行。要配备档案厨柜,不断完善软硬件设施。二是加强播放收看,增强收看效果。要确保收看时间。各乡镇要严格按照县委组织部干训科下发的《**县干部远程教育干部远程教育播放收看计划》要求,不折不扣地抓好落实,要保证每月组织党员干部至少收看两次远程教学节目,全年不少于50课时。要采取灵活多样的播放收看形式。可以组织党员干部集中收看,也可以采取“点播式”播放收看,即提前公布远程教育节目单,由大家根据需要点播收看,这样可以使收看更具针对性。三是要做好干部远程教育拓展延伸工作。由于受到技术资金条件的限制,目前,干部远程教育网络还不能直接进村入户,要使广大农村党员干部收看到远程教育节目,就必须对远程教育节目进行下载刻录并下发到村,利用电教网点组织党员干部进行收看。所以各乡镇务必重视远程教育节目下载刻录工作,确保每月节目下载刻录不少于2盘,全年制作远程教育节目光盘24盘以上,**年确保下发到本乡镇1/3以上的村级电教网点。四是强化播放收看的信息反馈工作。各乡镇要及时填报《收看干部远程教学节目情况一览表》,认真总结并反馈干部远程教育的经验及相关信息,县委组织部将在《**组织工作》上开辟专栏,登载各乡镇的经验做法,指导干部远程教育工作的深入开展。(四)开展送课下乡活动。根据形势和任务的需要,县委组织部将整合师资力量,组建宣讲团下乡入村,深入浅出地宣讲党的十六届四中全会精神、依法执政知识、农村法律法规、实用技术,切实提高农村党员干部的思想素质和致富本领。(五)开展“创建学习型机关”活动。今年结合保持共产党员先进性活动的开展,在全县乡镇、县直各部门开展“创建学习型机”的关活动,以政治理论、科技文化、外语、市场经济、法律法规及本专业知识为重点内容,使机关干部中形成终生学习、全员学习的理念,培养和造就高素质的机关干部队伍,建设政治坚定、务实高效、勤政廉洁、人民满意的党政机关。(六)认真抓好干部的计划调训工作。按照干部进修计划,加强计划的调节平衡和督促检查,使干部能够按照计划到各级党校或干部进修学校接受培训和进修,更要对班子成员严格要求、严格管理和严格监督,确保干部按照计划参加培训。
一、指导思想
坚持以“三个代表”重要思想和科学发展观为指导,按照“总体规划、突出重点、分类指导、分步实施、全面覆盖”的原则,早日实现我县广播电视“村村通”,为构建社会主义和谐社会,推进社会主义新农村建设,巩固边疆稳定和民族团结,全面建设小康社会奠定坚实的基础。
二、组织领导
进一步调整充实县“村村通”工作领导小组;在县广播电视“村村通”工作领导小组的领导下,形成政府统一领导、部门密切配合的协调机制。各乡镇要进一步加强组织领导,层层签订目标责任书,明确任务、责任和要求,狠抓工作落实,确保我县—年“村村通”工程建设任务的圆满完成。
第二批“村村通”工程建设,各乡镇包干使用建设经费,负责本乡镇区域内的建设工作。
三、技术方案
按照国家发展改革委办公厅和国家广电总局办公厅《关于扎实做好“十一五”广播电视村村通工程建设有关工作的通知》(发改办社会〔〕1097号)要求,—年的20户以上已通电自然村“村村通”工程建设,坚持采用卫星直播方式覆盖,采用先进可靠的卫星直播技术转播中央及各省(市、区)广播电视卫视节目,用户可使用直播卫星专用设备收听收看广播电视节目。
四、目标任务
按照国家第三批扩大内需新增我县267个已通电自然村“村村通”直播卫星覆盖工程建设任务,结合我县“解五难”惠民工程的实施,在年8月底前完成上级配发8115套、我县自购1895套、共计10010套的直播卫星覆盖工程建设任务。宣传发动和建设、验收时间从年9月30日至年8月底结束。
五、实施对象
实施对象为年已实施直播卫星覆盖工程建设的582个项目规划村民小组中目前未通有线电视并且没有安装直播卫星接收设备的农户,其中对年各乡镇上报并经核实的项目规划小组中目前还没有安装直播卫星接收设备的1661户特殊人群实行每户免费安装一套直播卫星接收设备。另外,在工程实施过程中县广电局可根据符合安装条件的实际情况对项目规划小组做适当调整。
六、设备采购和招标
按照国家要求,设备购置实行国家集中统一招标,由省广电局统一组织向国家申请采购卫星直播接收设备。我县第二批卫星直播设备中标厂商是南京熊猫信息产业有限公司,负责按质、按量、按时将直播卫星接收设备提供给县广播电视局。县广播电视局负责配件材料、工具、用品的采购。
七、资金保障
(一)国家和省级补助资金。我县267个村民小组,国家和省级共补助267万元,共配发接收设备8115套。
(二)市级补助资金。市级补助13.3万元。
(三)县级配套资金。县级配套120.15万元。
(四)用户自筹部分购置接收设备资金。自愿购买使用接收设备的农户,每户自筹购买接收设备资金100元。资金收取后统一上交县财政预算外资金专户管理,广播电视局按规定申请使用。
八、具体措施
(一)层层落实责任。根据“村村通”工程建设任务分解,各乡镇要把“村村通”工程建设纳入各乡镇工作重要议事日程,纳入地方经济社会发展和社会主义新农村建设的总体规划,纳入扶贫攻坚计划,纳入部门干部考核的内容,层层签订广播电视“村村通”工程建设目标责任书,高标准、高质量地完成好国家下达我县的建设任务。
(二)加大直播卫星覆盖的宣传力度。充分利用广播、电视、网站等现代传媒,广泛宣传“村村通”直播电视卫星覆盖工程的普惠性、先进性、实用性,积极营造有利于“村村通”直播卫星覆盖工程建设的良好舆论氛围,确保工程建设顺利的推进。
关键词:VLAN;虚拟局域网;企业网络;网络设计
中图分类号:TP393文献标识码:A文章编号:16727800(2012)009013403
1企业组网中采用单一网段架构的不足之处
企业在组建局域网和信息化平台时,为节约成本往往采用了单一网段架构的组网模式。随着企业内部联网计算机的不断增多、网络应用的日趋复杂,这种架构的弊端也不断显现出来。由于防火墙、服务器、工作站等网络设备处在同一个网段(同一广播域),大量的广播包发送到局域网上容易引起广播风暴、占用很高的网络带宽,从而影响到正常业务数据流的稳定传输。一旦某计算机发生ARP攻击或者冒用了网络设备的IP地址,就会干扰到网络的正常运行,造成严重的安全隐患。为了解决上述问题,提高企业网络的安全性、稳定性和可靠性,就需要部署与实施VLAN虚拟局域网。
2VLAN虚拟局域网的主要特点
IEEE802.1Q定义了VLAN网桥和操作规范。传统的共享介质型以太网中,所有的计算机位于同一个广播域中,广播域越大对网络性能的影响也就越大。有效的解决途径就是把单一网段架构的以太网划分成逻辑上相互独立的多个子网,同一VLAN中的广播包只有同一VLAN的成员组才能收到,而不会传输到其它VLAN中去,这就很好地控制了广播风暴。在企业网络组建中,通过合理的VLAN设计规划,一方面可以限制广播域,最大限度地防止广播风暴的发生,节省网络带宽;同时还可以提高网络处理能力,并通过VLAN间路由、VLAN间互访策略,全面增强企业网络的安全性。
3企业VLAN规划中的技术要点
VLAN技术在大型局域网、大型校园网的组建中有着广泛的应用,VLAN的规划和设计是高等计算机网络的一个重点,同时也是一个技术难点,实施者必须具备较高的计算机网络知识与实践技能。企业在实施VLAN前,应该从以下几个方面重点分析和考虑:
(1)根据目前的网络拓扑、综合布线、各类网络设备、计算机数量以及分布的地理位置进行统计和调研。通常位于核心层的防火墙、服务器组等应划分到一个单独的VLAN网段,然后根据各部门的网络应用需求、联网设备数量作进一步规划。
(2)采用合适的VLAN划分技术,常见的VLAN划分方式包括:基于端口的VLAN、基于MAC地址的VLAN、基于协议的VLAN、基于IP子网的VLAN和基于策略的VLAN等。以中小型企业为例,计算机的数量与分布的地理位置相对比较固定,优先考虑采用基于端口的静态VLAN划分方式。将交换机中的任意端口定义为一个VLAN端口组成员,从而形成一个VLAN网段,将指定端口加入到指定VLAN中之后,该端口就可以转发指定VLAN的数据包。
(3)各个VLAN之间的路由与ACL访问策略的配置。通常服务器所属的VLAN可以与其它VLAN相互访问,各个VLAN的内部计算机可以互访,其它VLAN之间计算机的互访权限视具体情况在三层交换机加以启用或禁用。
(4)防火墙到各个VLAN之间的路由规划。防火墙是整个企业网的Internet总出口,直接决定哪些VLAN组、哪些计算机成员可以访问Internet。
(5)必要的经费投入,购买合适的网络设备。一般选择三层智能VLAN以太网交换机,根据设计方案,通过命令参数进行配置。由于不同品牌、不同型号的交换机VLAN配置参数与语法命令不尽相同,因此需要VLAN实施者精通常用交换机的配置与应用。
4某企业VLAN规划和实施的具体步骤与案例分析
随着经营业务的不断扩展、联网设备的不断增多,为提高局域网安全性和处理能力,笔者参与了某商品流通企业的局域网VLAN实施项目。从企业网络应用的规模和现状分析,设计划分为5个VLAN,其中VLAN16为服务器核心网段,可以与其它全部VLAN(17~20)互访。VLAN(17~20)只能访问16网段,相互之间不能互访,但每个VLAN内部计算机可以互访。防火墙型号为H3CSecPathF100S,LAN口管理IP为192.168.16.1,可以路由到全部5个VLAN,并能控制任意网段的计算机访问外网与IP流量。
接入层访问端口,按表1方案,连接网络设备、各职能部门的工作站计算机、网络共享打印机、无线接入点AP等
在实施VLAN前,首先要对企业现有的综合布线作全面的梳理,每根网线连接哪台电脑、交换机的端口标识要明确、清晰。在核心交换机端口充裕的情况下,做到计算机与核心交换机端口直接相连,尽量不要采用SOHO交换机进行多层次的网络转接。根据VLAN设计方案,对网络设备、部门计算机的网络参数进行重新分配和配置,把每台计算机的网线连接到交换机对应的VLAN端口。
该项目中,采用了H3C公司的48口全千兆三层以太网交换机S550048PSI。S550048PSI千兆以太网交换机定位于企业网和城域网的汇聚或接入,具备丰富的业务特性,提供了高性能、大容量的交换服务,并支持10GE的上行接口,为接入设备提供了更高的带宽。同时还可以用于数据中心服务器群的连接,为用户提供了高接入带宽和高端口密度。S550048PSI支持4K个基于端口的VLAN,在全双工模式下交换容量为240Gbps,整机包转发率为72Mpps,可以满足企业目前应用需求。
S550048PSI交换机的配置是整个VLAN实施中的技术重点和难点,其配置要点说明如下:
(1)创建ACL访问策略。根据设计方案,VLAN16可以与VLAN(17~20)直接互访,无须设置拒绝访问规则。VLAN17不能与VLAN(18~20)互访,VLAN18不能与VLAN(17、19、20)互访,VLAN19不能与VLAN(17、18、20)互访,VLAN20不能与VLAN(17~19)互访。因此,必须单独设置规则号和拒绝访问控制列表。
5VLAN实施后产生问题如何解决
由于实施VLAN后除了VLAN16其它各网段之间不能直接互访,因此也带来了一些网络应用上的问题。比如不同VLAN之间不能直接共享打印机和共享文件夹,需要重新设置共享。解决方案是在同一VLAN的内部计算机上设置共享打印机或者文件夹,或者在VLAN16网段上设置共享打印机或者文件夹,以便给全公司的联网计算机访问。
6结语
通过实施VLAN前后的网络协议分析,在企业网络应用高峰期利用OmniPeek协议分析软件在各个VLAN网段中实时抓包采样,发现各个网段的广播包数量明显减少,网络利用率有了明显提高,实施后从未发生过广播风暴现象。特别是核心层网络设备从普通交换机升级到全千兆VLAN交换机后,业务软件的输入、统计、查询,以及浏览网页的速度均有较大的提高,网络性能有了很大改善。
上述企业VLAN的设计思路、实施步骤和配置参数具有很高的参考与应用价值。规模更大、更复杂的企业网拥有更多的计算机,因此,需在此基础上划分更多的VLAN、设计更加复杂的ACL访问控制策略。通过VLAN的实施,不仅提高了网络安全性和利用率,并且对于今后企业网络的扩展和升级都带来了很大的便利。
参考文献:
[1]崔北亮.CCNA认证指南(640-802)[M].北京:电子工业出版社,2009.
[2]王达.CISCO/H3C交换机配置与管理完全手册[M].北京:中国水利水电出版社,2009.
[3]MarinaSmith.虚拟局域网[M].北京:清华大学出版社,2003.