医院虚拟网的设计与实现.docxVIP

医院虚拟网的设计与实现 随着科学技术的快速发展，虚拟网络（vlan）技术逐渐被人们接受。 虚拟网技术的出现与局域网交换技术密切相关。局域网交换技术使用户抛弃了传统的路由器,并在很大程度上代替了人们早已熟知的共享型介质。而虚拟网则改变了传统的工作模型,改变了人们的安全、组织观念,使我们得到更方便的管理和更严密的安全。 VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。 1 楼间交换设备的对接 改造前中心交换机为Cisco 4006,没有购置第3层管理引擎,作为第2层交换机使用。整个网络地理位置分布有烧伤楼、杏林楼、康复楼、门诊楼、中心楼、外科楼、老科教楼、传染科、高压氧仓等几栋楼,由多模光纤(传染楼为单模),接入到中心机房的Cisco4006上,门诊楼、外科楼和中心楼为Cisco3500交换机,下接Cisco29系列或Dlink3226系列交换机,有些楼幢还使用较早的3Com1000或610交换机和Intel4系列交换机。工作站有1 000多台,底层交换机200台左右。 2 分散虚拟网络的重要性 2.1 vla和网络划分 西南医院虚拟网划分前的网络是一个工作站众多的平滑网络,广播风暴特别严重,风暴率达75%左右,带宽利用率极低,资源浪费严重。VLAN能将全网络划为几个、几十个逻辑广播域,限制了广播范围,抑制了广播风暴的发生;同时,传送于网络间的无效数据减少,节约了带宽,减轻了交换机的负担,有效利用了资源。 2.2 网络负载日趋严重 病毒传播相当严重,安全性得不到保障,网络数据越来越多,整个网络负载日趋严重。划分VLAN能限制不同用户的访问,控制广播组的大小和位置,并能锁定某台设备的MAC地址,确保网络的安全性。 2.3 简化网络连接管理 网络管理员能借助于VLAN技术轻松管理整个网络,建立远程的虚网,其成员就像在本地使用局域网一样,非常方便。 3 网络划分方案 3.1 中心模式中心网络 中心交换机较老,能力也不强,又没有第3层管理引擎,要划虚拟网络只有重新购买第三层管理引擎或更换交换机。由于Cisco4006是5年前的产品,相对能力较弱,而且第3层引擎价格较高,重新购买引擎极不实用。经过几次研讨,最后决定使用转发速度快、交换能力强的Extreme6808 三层交换机作为中心交换机。在用户较多流量较大的外科楼、内科楼、门诊楼采用Extreme4808三层交换机作分中心交换机,接入层全部采用带光纤口的联想2924G可网管交换机,汇聚层交换机采用联想2924G和以前的Dlink3226交换机,3Com系列和Intel系列交换机已先行更换。 3.2 设置多层交换引擎 三层交换机是带有三层路由功能的二层交换机,是交换机和路由器的有机结合,并不是简单地把路由设备的硬件及软件叠加在局域网交换机上。三层交换机通过MAC地址表进行快速交换,如目的地址与源地址在同一子网内,则进行二层的转发;如目的地址与源地址不在同一子网内,则发送给缺省网关地址解析包,如果三层交换引擎在以前的通信过程中已知目标地址的MAC地址,则向源地址回复目标地址的MAC地址,否则三层交换机根据路由信息向目标地址广播一个ARP请求,目标地址得到此ARP请求后向三层交换机回复其MAC地址,三层交换机保存此地址并回复给源地址,同时将目标地址的MAC地址发送到二层交换引擎的MAC地址表中,以后源地址向目标地址发送的数据包便全部交由二层交换处理。由于仅在路由过程中才需三层处理,绝大部分时间数据都通过二层交换转发,因此三层交换机的速度很快,很接近二层交换机的速度,从而在第三层实现了数据包的高速转发。而使用路由器则会对每一IP地址进行判断解析,每一次交换都要经过路由,从而降低了效率,不适用于交换频繁的局域网。 3.3 虚拟网络的四种基本分类 端口划分、MAC地址划分、IP划分、基于网络层协议划分VLAN。 3.3.1 虚拟网络财务用户 这是比较实际的划分方式,这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚拟电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的交换机。优点是划分方便,一目了然,不易出错。在定义VLAN成员时非常简单,只要将其成员所在的所有端口都定义为相应的VLAN组即可,且适合于任何大小的网络;缺点是适用于结构比较单一的网络,对于比较复杂的网络状况就有些吃力,假如某用户离开了原来的端口,到了一个新交换机的端口,就必须重新定义。 3.3.2 基于