VLAN的实现方法

VLAN的实现方法（精选9篇）

VLAN的实现方法 第1篇

VLAN是将LAN中交换机等设备逻辑划分成多个网段,达到虚拟工作组目的,这就是通常讲地虚拟局域网。

1.1 VLAN的三个特点

第一,具有物理LAN相同属性,允许网管把局域网逻辑划分成不同广播域,每个虚拟局域网都由有同样需求的客户端组成,与物理局域网具有相同属性。第二,提高网络安全性,VLAN是逻辑而不是物理划分,故VLAN中的各计算机不需放在同一位置,即这些计算机不在同一物理网段。一个VLAN内部的广播和单播流量均不会发送到其它VLAN中,这样利于减少网络设备资源消耗、控制信息流量、方便网络管理,从而达到提高网络安全性目的。第三,限制网络广播风暴,VLAN的目的是解决网络广播问题和网络安全性,在以太网帧上增加虚拟局域网ID头标记,把用户划分为更小的工作域,限制不同的工作组间相互访问,因每个工作组为一个独立的VLAN。

1.2 VLAN隔离广播作用

将广播风暴控制在VLAN内部,其他VLAN不此影响,这大大节约了网络带宽。随着当前局域网数量地增加、规模地扩大,交换技术地提高,网管在网络组建规划时更宁愿选择可管理控制的交换机,再在交换机上定义VLAN,VLAN所连的网络设备可以是不同位置,这使得不同区域的设备间彼此不能相互访问,起到隔离限制网络广播的作用。

1.3 VLAN两大分类

VLAN分为静态VLAN和动态VLAN,静态VLAN指的是交换机的某一个端口(如fastethernet 0/2)属于某个VLAN是固定的,而动态VLAN指由连接Switch的PC来决定这个端口工作在某个VLAN中。在实现中动态VLAN明显优于静态,受用户欢迎。

静态VLAN应用较广,设置简单,它唯一也是最大缺点是交换机端口属性由网管来设定。若网络中的PC较多,要改变端口的VLAN属性,网管必须对交换机进行重新配置,这加大了误操作的可能性。且工作站若需更改所连交换机的端口时,须同时改变这个端口所属的VALN,这不适合那些经常改变网络拓扑结构的局域网。

动态VLAN是基于用户的,而不是基于Switch的Interface来设置,故当用户位置改变时,VLAN不需要再重新配置,这样大大减少了网管出错机率和维护成本。从动态VLAN的实现来讲,分三种类型。一是基于MAC地址,在OSI第二层设定访问链接的方式。由客户端MAC网卡地址来定义成员,当该设备接入交换机的某一端口时,该交换机需查询它的一个数据库,目的是建立VLAN成员资格表,所以网管需先把MAC分配到VLAN成员资格策略服务器数据库中的VLAN上。这样网管就需先收集接入VLAN的所有网卡的MAC地址,且若更换网卡,需重新设定,这加大网管工作量,对常更换网卡的用户不方便。二是基于工作站IP,是由IP地址来确定端口属于某一个虚拟局域网,这在OSI(开放系统互联)的第三层网络层设定访问链接来进行。这不同于基于MAC网卡地址,即使计算机因更换网卡或其他原因导致MAC地址改变,只要IP地址不变,就可添加到原先设定的虚拟局域网中。这与基于MAC相比,可简单改变网络结构。三是基于用户VLAN,它在OSI的第四层以上实现,是根据交换机各端口所连的PC上当前登录的用户来决定某一个端口属于哪一个VLAN中。只要用户使用自己的帐号登陆系统,该用户不管在哪台计算机、哪个IP的计算机上均可方便接入属于自己VLAN的网络中。从VLAN的实现和使用上讲,这是三种实现方式中最好的一种方式。

2 VLAN四种实现方法

虚拟局域网VLAN的四种实现方法是基于端口、MAC地址、网络层、IP组播。

1)基于端口,由交换机端口来划分。如华为S3760的2-15号快速以太网端口定义到VLAN 10,16-20号以太网端口定义到VLAN 20,21-24号以太网端口定义到VLAN 30。另外,这些属于同一个VLAN的端口可以是不连续的,这些端口如何定义划分由网管来把握确定。如果有多个Switch,可设置Switch1的3-13号端口和Switch2的5-15号端口为同一个VLAN,即同一VLAN可跨越多个Switch。优点设定VLAN成员方便,只需将端口定义设置即可;缺点若VLAN 30用户离开原来的端口,到一个新的Switch某一个以太网端口,就需要重新设置。

2)基于MAC,对每个MAC网卡地址的主机都需要配置它属于某个组。优点是当用户的工作站位置移动时,即从Switch1换到Switch2时,VLAN不用重新定义,这种根据MAC地址的划分方法是基于用户的VLAN。缺点初始化时,用户都需要配置,如果有成百甚至更多的客户端,配置较为繁琐,并会导致交换机的运行效率降低,因为在交换机的端口上都可能存在很多个VLAN组成员,这就无法限制广播包发生。

3)基于网络层,它是由每个客户端网络层地址或协议类型来划分的。虽然此方法是根据网络地址(如IP地址),但是它非路由,这与网络层路由无关。同时它尽管查看数据包IP地址,但非路由,故无OSPF、RIP等网络路由协议,它由生成树算法按桥接方式来实现。优点是用户的工作站位置改变,不需重新定义所属的VLAN,且可由协议类型来划分VLAN,这对网管非常重要,且不需要附加帧标签来识别VLAN,可减少网络流量。缺点效率低,因检测数据包网络层地址需花时间,一般交换机均可检测出数据包以太网帧头,但要让芯片能检查IP帧头,需更高技术,同时也很费时。

4)基于IP组播,它是由虚拟局域网VLAN来定义的,把一个组播当成一个VLAN。它将VLAN扩充到WAN,这具有很大的灵活性,并方便通过路由进行扩充,但这不适合LAN,因执行效率太低。

3 VLAN的配置举例

思科系列S3550交换机支持250个VLAN,可以分别为Server、VTP Client等。VLAN的编号由1到4094号,VLAN编号1002到1005号保留给FDDI和令牌环虚拟局域网。当VLAN编号需要生成的范围从1006到4094时,交换机需配置成VTP透明模式。

本交换机支持基于VLAN的生成树,最多可支持128个生成树,支持ISL及Trunk两种封装。配置正常范围下,VLAN编号1、1002号到1005号是自动生成的,且这些编号不能删除。VLAN的编号1到1005号的配置生成文档在vlan.dat文件中,可以用show vlan命令进行显示。如配置文件的内容显示如下:

这里可采用vlan database进入VLAN设置,使用no vlan vlan-id命令来删除VLAN。若删除VTP服务器的交换机上的VLAN时,则该VLAN将把所有相同VTP的交换机上进行删除。若在透明模式下,只在当前的交换机上进行删除VLAN。

将1号端口分配给VLAN 30

定义二层口

配置VLAN TrunksSA#confi term

默认方式下TRUNK允许所有的VLAN通过,用swit trun allo vlan remo vlan-list这条命令来进行删除。

VLAN的实现方法 第2篇

1. 交换机E0/1和E0/2属于vlan10

2. 交换机E0/3属于vlan20

3. 交换机E0/4和E0/5属于vlan30

4. 交换机E0/23连接Server1

5. 交换机E0/24连接Server2

6. Server1和Server2分属于vlan40和vlan50

7. PC和Server都在同一网段

8. E0/10连接BAS设备，属于vlan60

『组网需求』

1. 利用二层交换机端口的hybrid属性灵活实现vlan之间的灵活互访；

2. Vlan10、vlan20和vlan30的PC均可以访问Server 1；

3. vlan 10、20以及vlan30的4端口的PC可以访问Server 2；

4. vlan 10中的2端口的PC可以访问vlan 30的PC；

5. vlan 20的PC可以访问vlan 30的5端口的PC；

6. vlan10的PC访问外网需要将vlan信息送到BAS，而vlan20和vlan30则不需要，

2 数据配置步骤

『端口hybrid属性配置流程』

hybrid 属性是一种混杂模式，实现了在一个untagged端口允许报文以tagged形式送出交换机。同时可以利用hybrid属性定义分属于不同的vlan的 端口之间的互访，这是access和trunk端口所不能实现的。在一台交换机上不允许trunk端口和hybrid端口同时存在。

1. 先创建业务需要的vlan

[SwitchA]vlan 10

[SwitchA]vlan 20

[SwitchA]vlan 30

[SwitchA]vlan 40

[SwitchA]vlan 50

2. 每个端口，都配置为 hybrid状态

[SwitchA]interface Ethernet 0/1

[SwitchA-Ethernet0/1]port link-type hybrid

3. 设置端口的pvid等于该端口所属的vlan

[Switch-Ethernet0/1]port hybrid pvid vlan 10

4. 将希望可以互通的端口的pvid vlan，设置为untagged vlan，这样从该端口发出的广播帧就可以到达本端口

[Switch-Ethernet0/1]port hybrid vlan 10 40 50 60 untagged

实际上，这种配置是通过 hybrid 端口的 pvid 来唯一的表示一个端口，接收端口通过是否将 vlan 设置为 untagged vlan，来控制是否与 pvid vlan 为 该 vlan 的端口互通。

5. 以下各端口类似：

[Switch-Ethernet0/1]int e0/2

[Switch-Ethernet0/2]port link-type hybrid

[Switch-Ethernet0/2]port hybrid pvid vlan 10

[Switch-Ethernet0/2]port hybrid vlan 10 30 40 50 60 untagged

[Switch-Ethernet0/2]int e0/3

[Switch-Ethernet0/3]port link-type hybrid

[Switch-Ethernet0/3]port hybrid pvid vlan 20

[Switch-Ethernet0/3]port hybrid vlan 20 30 40 50 60 untagged

[Switch-Ethernet0/3]int e0/4

[Switch-Ethernet0/4]port link-type hybrid

[Switch-Ethernet0/4]port hybrid pvid vlan 30

[Switch-Ethernet0/4]port hybrid vlan 10 30 40 50 60 untagged

[Switch-Ethernet0/4]int e0/5

[Switch-Ethernet0/5]port link-type hybrid

[Switch-Ethernet0/5]port hybrid pvid vlan 30

[Switch-Ethernet0/5]port hybrid vlan 10 20 30 40 60 untagged

[Switch-Ethernet0/5]int e0/23

[Switch-Ethernet0/23]port link-type hybrid

[Switch-Ethernet0/23]port hybrid pvid vlan 40

[Switch-Ethernet0/23]port hybrid vlan 10 20 30 40 untagged

[Switch-Ethernet0/24]int e0/24

[Switch-Ethernet0/24]port link-type hybrid

[Switch-Ethernet0/24]port hybrid pvid vlan 50

[Switch-Ethernet0/24]port hybrid vlan 10 20 30 50 untagged

6. 在上行口E0/10上允许vlan10以tagged形式送出，其它为untagged

[SwitchA]interface Ethernet 0/10

[SwitchA-Ethernet0/10]port link-type hybrid

[SwitchA-Ethernet0/10]port hybrid pvid vlan 60

[SwitchA-Ethernet0/10]port hybrid vlan 10 tagged

[SwitchA-Ethernet0/10]port hybrid vlan 20 30 untagged

VLAN的实现方法 第3篇

关键词：VLAN,虚拟局域网,企业网络,网络设计

1 企业组网中采用单一网段架构的不足之处

企业在组建局域网和信息化平台时, 为节约成本往往采用了单一网段架构的组网模式。随着企业内部联网计算机的不断增多、网络应用的日趋复杂, 这种架构的弊端也不断显现出来。由于防火墙、服务器、工作站等网络设备处在同一个网段 (同一广播域) , 大量的广播包发送到局域网上容易引起广播风暴、占用很高的网络带宽, 从而影响到正常业务数据流的稳定传输。一旦某计算机发生ARP攻击或者冒用了网络设备的IP地址, 就会干扰到网络的正常运行, 造成严重的安全隐患。为了解决上述问题, 提高企业网络的安全性、稳定性和可靠性, 就需要部署与实施VLAN虚拟局域网。

2VLAN虚拟局域网的主要特点

IEEE802.1Q定义了VLAN网桥和操作规范。传统的共享介质型以太网中, 所有的计算机位于同一个广播域中, 广播域越大对网络性能的影响也就越大。有效的解决途径就是把单一网段架构的以太网划分成逻辑上相互独立的多个子网, 同一VLAN中的广播包只有同一VLAN的成员组才能收到, 而不会传输到其它VLAN中去, 这就很好地控制了广播风暴。在企业网络组建中, 通过合理的VLAN设计规划, 一方面可以限制广播域, 最大限度地防止广播风暴的发生, 节省网络带宽;同时还可以提高网络处理能力, 并通过VLAN间路由、VLAN间互访策略, 全面增强企业网络的安全性。

3 企业VLAN规划中的技术要点

VLAN技术在大型局域网、大型校园网的组建中有着广泛的应用, VLAN的规划和设计是高等计算机网络的一个重点, 同时也是一个技术难点, 实施者必须具备较高的计算机网络知识与实践技能。企业在实施VLAN前, 应该从以下几个方面重点分析和考虑:

(1) 根据目前的网络拓扑、综合布线、各类网络设备、计算机数量以及分布的地理位置进行统计和调研。通常位于核心层的防火墙、服务器组等应划分到一个单独的VLAN网段, 然后根据各部门的网络应用需求、联网设备数量作进一步规划。

(2) 采用合适的VLAN划分技术, 常见的VLAN划分方式包括:基于端口的VLAN、基于MAC地址的VLAN、基于协议的VLAN、基于IP子网的VLAN 和基于策略的VLAN等。以中小型企业为例, 计算机的数量与分布的地理位置相对比较固定, 优先考虑采用基于端口的静态VLAN划分方式。将交换机中的任意端口定义为一个VLAN端口组成员, 从而形成一个VLAN网段, 将指定端口加入到指定VLAN中之后, 该端口就可以转发指定VLAN的数据包。

(3) 各个VLAN之间的路由与ACL访问策略的配置。通常服务器所属的VLAN可以与其它VLAN相互访问, 各个VLAN的内部计算机可以互访, 其它VLAN之间计算机的互访权限视具体情况在三层交换机加以启用或禁用。

(4) 防火墙到各个VLAN之间的路由规划。防火墙是整个企业网的Internet总出口, 直接决定哪些VLAN组、哪些计算机成员可以访问Internet。

(5) 必要的经费投入, 购买合适的网络设备。一般选择三层智能VLAN以太网交换机, 根据设计方案, 通过命令参数进行配置。由于不同品牌、不同型号的交换机VLAN配置参数与语法命令不尽相同, 因此需要VLAN实施者精通常用交换机的配置与应用。

4 某企业VLAN规划和实施的具体步骤与案例分析

随着经营业务的不断扩展、联网设备的不断增多, 为提高局域网安全性和处理能力, 笔者参与了某商品流通企业的局域网VLAN实施项目。从企业网络应用的规模和现状分析, 设计划分为5个VLAN, 其中VLAN16为服务器核心网段, 可以与其它全部VLAN (17～20) 互访。VLAN (17～20) 只能访问16网段, 相互之间不能互访, 但每个VLAN内部计算机可以互访。防火墙型号为H3C SecPath F100-S, LAN口管理IP为192.168.16.1, 可以路由到全部5个VLAN, 并能控制任意网段的计算机访问外网与IP流量。

在实施VLAN前, 首先要对企业现有的综合布线作全面的梳理, 每根网线连接哪台电脑、交换机的端口标识要明确、清晰。在核心交换机端口充裕的情况下, 做到计算机与核心交换机端口直接相连, 尽量不要采用SOHO交换机进行多层次的网络转接。根据VLAN设计方案, 对网络设备、部门计算机的网络参数进行重新分配和配置, 把每台计算机的网线连接到交换机对应的VLAN端口。

该项目中, 采用了H3C公司的48口全千兆三层以太网交换机S5500-48P-SI。S5500-48P-SI千兆以太网交换机定位于企业网和城域网的汇聚或接入, 具备丰富的业务特性, 提供了高性能、大容量的交换服务, 并支持10GE 的上行接口, 为接入设备提供了更高的带宽。同时还可以用于数据中心服务器群的连接, 为用户提供了高接入带宽和高端口密度。S5500-48P-SI支持4K个基于端口的VLAN, 在全双工模式下交换容量为240Gbps, 整机包转发率为72Mpps, 可以满足企业目前应用需求。

S5500-48P-SI交换机的配置是整个VLAN实施中的技术重点和难点, 其配置要点说明如下:

(1) 创建ACL访问策略。根据设计方案, VLAN16可以与VLAN (17～20) 直接互访, 无须设置拒绝访问规则。VLAN17不能与VLAN (18～20) 互访, VLAN18不能与VLAN (17、19、20) 互访, VLAN19不能与VLAN (17、18、20) 互访, VLAN20不能与VLAN (17～19) 互访。因此, 必须单独设置规则号和拒绝访问控制列表。

acl number 3001

rule 0 deny ip source 192.168.17.0 0.0.0.255 destination 192.168.18.0 0.0.0.255

rule 1 deny ip source 192.168.17.0 0.0.0.255 destination 192.168.19.0 0.0.0.255

rule 2 deny ip source 192.168.17.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

acl number 3002

rule 0 deny ip source 192.168.18.0 0.0.0.255 destination 192.168.17.0 0.0.0.255

rule 1 deny ip source 192.168.18.0 0.0.0.255 destination 192.168.19.0 0.0.0.255

rule 2 deny ip source 192.168.18.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

acl number 3003

rule 0 deny ip source 192.168.19.0 0.0.0.255 destination 192.168.17.0 0.0.0.255

rule 1 deny ip source 192.168.19.0 0.0.0.255 destination 192.168.18.0 0.0.0.255

rule 2 deny ip source 192.168.19.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

acl number 3004

rule 0 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.17.0 0.0.0.255

rule 1 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.18.0 0.0.0.255

rule 2 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.19.0 0.0.0.255

(2) 创建VLAN16至VLAN20共计5个VLAN, 配置每个VLAN的管理IP地址 (即每个网段的网关) , 在VLAN (17～20) 上绑定相应的ACL访问策略。

vlan 16 to 20

interface Vlan-interface16

ip address 192.168.16.254 255.255.255.0

interface Vlan-interface17

ip address 192.168.17.254 255.255.255.0

packet-filter 3001 inbound

interface Vlan-interface18

ip address 192.168.18.254 255.255.255.0

packet-filter 3002 inbound

interface Vlan-interface19

ip address 192.168.19.254 255.255.255.0

packet-filter 3003 inbound

interface Vlan-interface20

ip address 192.168.20.254 255.255.255.0

packet-filter 3004 inbound

(3) 根据表2所示, 将交换机端口划分到对应的VLAN和设置访问模式, 以端口1、11、16、31、36、47、48为例, 配置参数如下:

interface GigabitEthernet1/0/1

port access vlan 16

mirroring-group 1 mirroring-port both

interface GigabitEthernet1/0/11

port access vlan 17

interface GigabitEthernet1/0/16

port access vlan 18

interface GigabitEthernet1/0/31

port access vlan 19

interface GigabitEthernet1/0/36

port access vlan 20

interface GigabitEthernet1/0/47

mirroring-group 1 monitor-port

interface GigabitEthernet1/0/48

port link-type trunk

port trunk permit vlan all

(4) 配置交换机默认的静态路由, 指向防火墙的内网口管理地址。H3C SecPath F100-S防火墙LAN端口IP地址为192.168.16.1, 是整个公司局域网接入Internet的出口网关。

ip route-static 0.0.0.0 0.0.0.0 192.168.16.1

(5) 配置防火墙的Internet接入与内部VLAN关联的静态路由:

ip route-static 0.0.0.0 0.0.0.0 【公网IP】 preference 60

ip route-static 192.168.0.0 255.255.0.0 192.168.16.254 preference 60

全部配置完毕后测试结果表明, 除了VLAN16, 其它VLAN之间的计算机均不能直接互访, 所有计算机都可以访问Internet和PING通服务器。测试结果与VLAN设计方案完全一致, 可以正式启用VLAN。

5VLAN实施后产生问题如何解决

由于实施VLAN后除了VLAN16其它各网段之间不能直接互访, 因此也带来了一些网络应用上的问题。比如不同VLAN之间不能直接共享打印机和共享文件夹, 需要重新设置共享。解决方案是在同一VLAN的内部计算机上设置共享打印机或者文件夹, 或者在VLAN16网段上设置共享打印机或者文件夹, 以便给全公司的联网计算机访问。

6 结语

通过实施VLAN前后的网络协议分析, 在企业网络应用高峰期利用OmniPeek协议分析软件在各个VLAN网段中实时抓包采样, 发现各个网段的广播包数量明显减少, 网络利用率有了明显提高, 实施后从未发生过广播风暴现象。特别是核心层网络设备从普通交换机升级到全千兆VLAN交换机后, 业务软件的输入、统计、查询, 以及浏览网页的速度均有较大的提高, 网络性能有了很大改善。

上述企业VLAN的设计思路、实施步骤和配置参数具有很高的参考与应用价值。规模更大、更复杂的企业网拥有更多的计算机, 因此, 需在此基础上划分更多的VLAN、设计更加复杂的ACL访问控制策略。通过VLAN的实施, 不仅提高了网络安全性和利用率, 并且对于今后企业网络的扩展和升级都带来了很大的便利。

参考文献

[1]崔北亮.CCNA认证指南 (640-802) [M].北京:电子工业出版社, 2009.

[2]王达.CISCO/H3C交换机配置与管理完全手册[M].北京:中国水利水电出版社, 2009.

[3]Marina Smith.虚拟局域网[M].北京:清华大学出版社, 2003.

[4]Todd Lammle.CCNA学习指南:中文第6版[M].北京:电子工业出版社, 2008.

VLAN的实现方法 第4篇

一般来说配置不成什么问题，一定记得开启三层的ip routing

S1配置：

Switch#show run

Building configuration...

Current configuration : 1066 bytes

!

version 12.1

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname Switch

!

no ip domain-lookup

!

spanning-tree mode pvst

!

interface FastEthernet0/1

switchport access vlan 2

!

interface FastEthernet0/2

switchport access vlan 2

!

interface FastEthernet0/3

!

interface FastEthernet0/4

!

interface FastEthernet0/5

!

interface FastEthernet0/6

!

interface FastEthernet0/7

!

interface FastEthernet0/8

!

interface FastEthernet0/9

!

interface FastEthernet0/10

!

interface FastEthernet0/11

!

interface FastEthernet0/12

!

interface FastEthernet0/13

!

interface FastEthernet0/14

!

interface FastEthernet0/15

!

interface FastEthernet0/16

!

interface FastEthernet0/17

!

interface FastEthernet0/18

!

interface FastEthernet0/19

!

interface FastEthernet0/20

!

interface FastEthernet0/21

!

interface FastEthernet0/22

!

interface FastEthernet0/23

!

interface FastEthernet0/24

switchport mode trunk

!

interface Vlan1

no ip address

shutdown

!

!

line con 0

!

line vty 0 4

login

line vty 5 15

login

!

!

end

S2配置：

Switch#show run

Building configuration...

Current configuration : 1066 bytes

!

version 12.1

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname Switch

!

no ip domain-lookup

!

spanning-tree mode pvst

!

interface FastEthernet0/1

switchport access vlan 3

!

interface FastEthernet0/2

switchport access vlan 3

!

interface FastEthernet0/3

!

interface FastEthernet0/4

!

interface FastEthernet0/5

!

interface FastEthernet0/6

!

interface FastEthernet0/7

!

interface FastEthernet0/8

!

interface FastEthernet0/9

!

interface FastEthernet0/10

!

interface FastEthernet0/11

!

interface FastEthernet0/12

!

interface FastEthernet0/13

!

interface FastEthernet0/14

!

interface FastEthernet0/15

!

interface FastEthernet0/16

!

interface FastEthernet0/17

!

interface FastEthernet0/18

!

interface FastEthernet0/19

!

interface FastEthernet0/20

!

interface FastEthernet0/21

!

interface FastEthernet0/22

!

interface FastEthernet0/23

!

interface FastEthernet0/24

switchport mode trunk

!

interface Vlan1

no ip address

shutdown

!

!

line con 0

!

line vty 0 4

login

line vty 5 15

login

!

!

end

------------------------------

S3配置：

Switch#show run

Building configuration...

Current configuration : 1192 bytes

!

version 12.2

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname Switch

!

!

!

!

!

ip routing

!

!

!

!

!

!

!

!

!

!

spanning-tree mode pvst

!

!

!

!

interface FastEthernet0/1

!

interface FastEthernet0/2

!

interface FastEthernet0/3

!

interface FastEthernet0/4

!

interface FastEthernet0/5

!

interface FastEthernet0/6

!

interface FastEthernet0/7

!

interface FastEthernet0/8

!

interface FastEthernet0/9

!

interface FastEthernet0/10

!

interface FastEthernet0/11

!

interface FastEthernet0/12

!

interface FastEthernet0/13

!

interface FastEthernet0/14

!

interface FastEthernet0/15

!

interface FastEthernet0/16

!

interface FastEthernet0/17

!

interface FastEthernet0/18

!

interface FastEthernet0/19

!

interface FastEthernet0/20

!

interface FastEthernet0/21

!

interface FastEthernet0/22

!

interface FastEthernet0/23

!

interface FastEthernet0/24

!

interface GigabitEthernet0/1

!

interface GigabitEthernet0/2

!

interface Vlan1

no ip address

shutdown

!

interface Vlan2

ip address 192.168.1.1 255.255.255.0

!

interface Vlan3

ip address 192.168.2.1 255.255.255.0

!

ip classless

!

!

!

!

!

!

!

line con 0

line vty 0 4

login

!

!

!

VLAN的实现方法 第5篇

1 VLAN内及VALN间通信

在交换机上划分VALN后,可以隔离广播域,减小冲突域,这不但提高了网络的性能、安全,而且给网络管理员带来很大的便利。在一般的二层交换机组成的网络中,VLAN实现了网络流量的分割,不同的VLAN间是不能互相通信的。如果要实现VLAN间的通信必须借助路由来实现。

2 利用三层交换机实现VLAN间通信

三层交换机,就是带有路由功能的二层交换机。它把第二层交换机和第三层路由器两者的优势有机而智能化地结合起来,可在各个层次提供线速性能。在一台三层交换机内,分别设置了交换机和路由模块;而内置的路由模块与交换模块类似。因此,与传统的路由器相比,可以实现高速路由,来完成VLAN间通信。

3 企业销售部和技术部现状分析

一、跨交换机实现同一部门间相互通信

因业务发展需要,企业有两个主要部门:销售部和技术部。两个部门的电脑分散在两间办公室及两台交换机上(如图1),现在要求同一部门之间需要相互通信,而销售部和技术部之间需要相互隔离。结果为PC1和PC3,PC2和PC4相互可以通信,其它情况则不可以通信。解决方案:在两台交换机上创建VLAN10和VLAN20,分别将端口0/1-10划分到VLAN10,端口0/11-20划分到VLAN20,把两台交换机相连的端口均设为Tag VLAN。

Tag VLAN工作原理:Tag VLAN是基于交换机端口的另外一种类型,主要用于实现跨交换机的相同VLAN内主机之间可以直接访问,同时对于不同VLAN的主机进行隔离。交换机在从Trunk口转发数据前会在数据上打Tag标签,标签中的信息可以识别它们所在的VLAN,这使得所有属于该VLAN的数据,都将在该逻辑VLAN中传播。Trunk端口默认是属于交换机上所有VLAN的,但可以通过设置许可VLAN列表来加以限制。

4 跨交换机实现不同办公室的销售人员不能相互通信

企业领导考虑到销售部的特殊性,提出了新要求。希望同办公室的销售人员能相互通信,而不同办公室的销售人员由于业务需要,不能相互通信。结果为PC2和PC4不可以相互通信,但同一办公室的销售部电脑可以相互通信。解决方案:配置两台交换机,修改Trunk接口的许可VLAN列表。

5 跨交换机实现两个部门间相互通信

利用三层交换机的路由功能,实现不同VLAN间的互访。采用SVI(交换虚拟接口)给接口配置IP地址的方式实现VLAN间互连,从而达到两个部门的所有主机都能相互访问,以共享数据资源。解决方案:设置三层交换机SwitchA的VLAN间通信,并修改相应的PC默认网关。

6 交换机上安全配置的实现过程

步骤一:在三层交换机SwitchA和二层交换机SwitchB上创建Vlan10和Vlan20,并分别将端口0/1-10划分到VLAN10,端口0/11-20划分到VLAN20。

步骤二:把两台交换机相连的端口定义为tag vlan模式。

步骤三:设置IP地址为192.168.10.x,

验证同一部门的主机可以相互通信,不同部门的主机则不能通信(即PC1和PC3、PC2和PC4可相互ping通)。

步骤四:配置两台交换机,修改Trunk口的许可Vlan列表。

步骤五:验证办公室一中销售部主机(PC2)不能和办公室二中销售部主机(PC4)通信,而办公室二中销售部主机间可以相互通信。

使用no switchport trunk allowed vlan命令可以把Trunk的许可VLAN改为默认。

利用三层交换机的路由功能实现两个部门的主机都能相互访问。

步骤一:设置三层交换机SwitchA的VLAN间通信。

步骤二:将PC1和PC3的默认网关设置为192.168.10.254,将PC2和PC4的默认网关设置为192.168.20.254,并修改相应主机的IP地址。验证不同部门间的主机可以相互PING通。

7 总结

网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层的交换相结合使用为网络提供较好的安全措施。利用实现网络的安全隔离,实现企业部门网络的高效管理,从而实现信息的安全共享。

摘要：该文介绍了跨交换机实现VLAN间通信的工作原理;以企业销售部和技术部为研究应用对象,根据工作中的实际情况提出一些通信方案;最后给出交换机的管理与配置方法。

关键词：交换机,VLAN,通信

参考文献

[1]梁广民,王隆杰.思科网络实验室路由、交换实验指南[M].北京:电子工业出版社,2007.

VLAN的实现方法 第6篇

IEEE于1999年颁布了802.1Q标准, 即VLAN协议, 规定了VLAN的国际标准实现, 从而使得不同厂商之间的VLAN互通成为可能。标准以太网帧和VLAN帧结构如1所示。

与标准的以太网帧头相比, VLAN报文格式在源地址后增加了一个4字节的VLAN标签。

TPID (Tag Protocol Identifier) :16比特, 是IEEE定义的新的类型, 表明这是一个加了802.1Q标签的帧。TPID取固定值0x8100。

Priority:3比特, 它指明了该帧的优先级。一共有8种优先级, 0～7。

CFI (Canonical Format Indicator) :1比特, 当它为0时表示是规范格式, 为1时表示是非规范格式帧。

VLAN Identi er (VLAN ID) :12比特, 用来表示VLAN的ID标识, 一共可有4096个。每个支持802.1Q协议的交换机发出来的数据包中都会包含这个字段, 用来指明这个包属于哪一个VLAN。

EoPDH网桥芯片构介绍

本Eo PDH网桥芯片是为实现多通道以太网映射到PDH而设计的EOPDH汇聚式网桥芯片。它提供4个以太网接口, 每路以太网可通过VL A N划分到片内63路完全隔离的VCG通道, 每个通道经GFP封装后又可以根据带宽需求映射到1-16路E1。以该芯片为核心, 配以少量的外围元器件即可实现具有汇聚功能的多路以太网到多路E1转换器。芯片的内部结构设计如图1所示。

从图1中可知, VLAN的收发处理在以太网接口模块和GFP封装/解封装模块之间完成。在发送方向, 从MAC口来的以太网帧经过以太网接收器后提取出相关的VLAN信息及并将以太网净荷数据合并成字节数据流送给VLAN发送模块。VLAN发送模块根据相关要求插入VLAN标签或删除VLAN标签, 将以太网数据分发到63个VCG后进行GFP封装。之后, 将VCG数据送给VCAT/LCAS协议发送模块, 此模块根据ITU-T G.7042-Y1305[2]链路容量自动调整 (LCAS) 协议和ITU-T G.7043[3]准同步数字体系虚级联 (VCAT) 协议处理数据后再进行E1成帧, 最后发送到E1线路上去。在接收方向, 从E1线路来的数据经E1解帧后送给VCAT/LCAS模块, 恢复出的VCG数据经过GFP解帧后到VLAN接收模块处理。此模块根据接收VLAN相关要求插入VLAN标签或删除VLAN标签, 将恢复出的以太网数据通过以太网发送器发到以太网上。

VLAN模块设计

VLAN模块的设计分为收发两部分。收发功能独立, 可分别进行寄存器配置。其发送部分的电路框图如图2所示。

在发送方向上, 设计一个发送VL AN表格, 如表1所示, 所有的发送VL AN操作都以这个表为核心进行。发送VL AN表格包含63个VLAN的匹配信息以及VL AN的删除、插入控制信息和VCG的分配信息。因为要支持4个以太网口到63个VL AN的交叉处理, 需要一个专门的调度模块来调度VLAN表格, 协调各个操作。使用以太网端口的PORT ID和从以太网帧数据帧提取出VLAN信息来索引此表格, 如果VLAN表格中的VLAN配置和以太网中提取的VLAN TAG一致, 则说明此以太网帧的VLAN匹配。不匹配的帧将被

丢弃, 对于匹配的帧进一步处理, 如果配置为VLAN删除, 则由发送VLAN删除电路将以太网帧中的VL AN TAG删除;如果配置为添加VLAN, 则由发送VLAN添加电路根据寄存器配置在数据帧中原VLAN TAG前或原VLAN TAG后再插入一级VLAN, 形成二级VLAN。经过VLAN处理的数据帧按配置的VCG映射关系放到外部SDRAM中缓存。因为以太网数据的突发性所以需要为以太网来的数据帧提供一个海量存储器, 以防止以太网数据的丢失。外部的SDRAM就充当了这个海量存储器的作用。

在发送方向上, 如果要实现多路以太网数据共享一个信道传输, 需要将上述表格中的VCG_assign分配成相同的值即可。这样经过VLAN处理后的以太网帧就会被映射到同一个VCG组中, 通过GFP封装后从E1发出。

VLAN接收部分电路结构和发送部分类似。在接收方向上, 也需要设计一个接收VLAN表格, 如表2所示。接收所有操作围绕接收VLAN表格进行, 这个表格包含63个VCG的VLAN配置信息及是否要进行VLAN删除、插入的控制信息和MAC端口对应信息。VCG数据经过GFP解封装后从数据中提取出VLAN信息, 使用此VLAN信息索引接收VLAN表格。如果表格中的VLAN配置和提取出的VLAN信息一致, 则说明VLAN匹配。不匹配的帧被丢弃, 匹配的帧进一步处理, 如果配置为删除, 则将收到包中的VLAN TAG删除;如果配置为添加则在原包中的VLAN TAG前或后插入新的VLAN TAG, 形成二级VLAN, 和发送方向完全类似。经过VLAN处理的包按MAC映射关系存入外部的SDRAM缓存。等到SDRAM中有完整的包后, 以太网发送器将数据帧取出通过MAC接口发送。

在接收方向上, 如果要实现多业务流的汇聚功能, 需要将表格中需要汇聚业务流VLAN对应的MAC_port_assign配置成相同。这样从E1来的多个VCG业务流就可以汇聚到一个MAC口上发送。

电路设计、仿真及FPGA实现[5]

本设计模块作为EoPDH网桥芯片的一部分, 根据模块功能定义进行了功能细分。采用高级描述语言Verilog[4]来进行代码设计, 输入工具采用图形化设计工具Summit, 仿真工具采用NC-Verilog, 综合布线软件采用的是Xilinx公司提供的Xilinx ISE Design Suite 12.4。

系统仿真时, 编写以太网发生器模型, 产生连续带VLAN的以太网帧送给M A C接口, 经过芯片发送电路处理后从E1侧将信号环回。环回的数据经接收电路处理后从以太网口恢复出以太网帧。发送方向插入VLAN后形成两级VLAN的仿真波形截图如图3所示。数据从E1接收回来从两级VLAN中删除一级VLAN的仿真波形截图如图4所示。

从图3可以看到, 以太网帧原数据帧中的VLAN信息为0x81000000, 插入的VLAN也为0x81000000。在具体应用中这个插入的VLAN信息可以根据具体应用由寄存器来设置。

从图4可以看到, 经过发送VLAN电路插入形成的两级VLAN被删除掉了一级, 只剩下了原测试激励中的VLAN标签。从仿真结果来看, VLAN模块完成了所设计的功能。

最后, 将整个芯片在Xilinx Spartan-6的XA6SLX45-3 FGG484上进行FPGA验证。经过FPGA验证, 实现了802.1Q标准要求的VLAN功能, 电路可工作在100Mhz。

参考文献

[1]IEEE.Virtual Bridged Local Area Networks[S].1999

[2]ITU-T G.7042/Y.1305Link Capacity Adjustment Scheme (LCAS) for Virtual Concatenated Signals[S].2002, 6

[3]ITU-T G.7043/Y.1343Virtual Concatenation of Plesiochronous Digital Hierarchy (PDH) Signals[S].2004, 6

[4]夏宇闻.Verilog数字系统设计教程[M].北京:北京航空航天大学出版社, 2003

VLAN的实现方法 第7篇

1 VLAN技术简介

VLAN(Virtual Local Area Network)的中文名为虚拟局域网,VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。VLAN技术是一种建立在交换技术基础之上的,它把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。它以软件方式实现逻辑工作组的划分与管理的技术。

VLAN是当前构建校园网普遍采用的技术。目前这种技术在交换机设备中有很好的协议支持。在校园网中交换机作为主要的连接设备,使得VLAN技术很容易实现。交换机在没有划分VLAN时,所有连接到同一台交换机上的所有用户的主机构成一个小型局域网,所有主机处于同一个广播域内。如果采用了虚拟局域网技术就是在逻辑搭建网络的一种形式,它可以把连接在同一台交换机上的用户主机划分在不同的VLAN中去。从逻辑看,它们就像连接在不同的独立交换机上一样。VLAN技术也可以把相连接的不同交换机上的不同用户主机划分在同一个VLAN中,从逻辑上看就像连接在同一台交换机一样。

2 VLAN技术在校园网应用的必要性

随着校园网的不断扩大,网络上的计算机数目越来越多。然而,在校园网中大多数采用的是交换机设备,这样一来就会产生大量的广播信息。网络中的计算机数目越多,产生的广播信息就越多,这样会直接影响到整个网络性能。如果采用VLAN技术可以有效防止交换网络的过量广播。使用VLAN技术,我们可以将某个交换端口划分到一个特定的VLAN中,该VLAN可以在一个交换机中也可以跨接多个交换机,同一个VLAN中的广播不会送到其它VLAN中。同样,相邻的端口只能接受本VLAN产生的广播。这样可以减少广播信息,释放出网络带宽,提高了网络性能。

在校园网中采用VLAN技术可以提高局域网的安全性。对于不同VLAN数据在传输时是相互隔离的,如果不同VLAN之间要进行通信,必须通过路由器或三层交换机等三层设备才可以。一个VLAN就是一个单独的广播域并且VLAN之间相互隔离,这就大大提高了网络的使用效率,在一定程度上确保了网络的安全性。人们在VLAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效而容易实现的方法是将网络分段成几个不同的广播组,网络管理员可以限制了VLAN中用户的数量,禁止未经允许而访问VLAN中的资源。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。

用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。

3 交换机端口简介

交换机的端口可以分为访问链接(AccessLink)和汇聚链接(Trunk Link)。对于访问链接端口它只属于一个VLAN且仅向该VLAN转发数据帧的端口。一般情况下,访问链接端口所连接的是客户机。VLAN的关键问题是如何设定访问链接端口。访问链接端口的设定可以是已经设定好的、也可以是根据所连的主机而动态改变设定。对于前者我们称为“静态VLAN”设定,对于后者称为“动态VLAN”设定。如果采用事先已经设定好交换机某一端口属于哪个VLAN方法就是静态VLAN设定。对于这种方法,如果局域网中计算机较多时,这种方法就变得繁琐。如果客户端改变了所连接的端口需要修改网络,这样工作量很大。如果随着端口所连接的主机不同,动态的划分该主机属于哪个VLAN的方法就是动态VLAN设定。这就可以避免由于端口的改变而引起的网络设定操作。

4 VLAN的划分方法

VLAN可以分为静态VLAN和动态VLAN。

1)对于静态VLAN是一种基于端口的设定方法。

基于端口的划分方法是最常用的一种方法,这种方法应用的最为广泛、最有效。当前绝大多数交换机都支持这种VLAN配置方法。这种划分方法是根据以太网交换机的交换端口来划分的,它是将交换机上的物理端口和内部的PVC(永久虚电路)端口分成若干组,每组构成一个虚拟网,好像就是一个独立的交换机。

对于这种方法用在校园网中可以提高网络的安全性。不同的VLAN在进行通信时可以通过路由器,在这里可以设置访问规则,如基于MAC地址的端口过滤。我们可以在交换机、路由交换机或路由器的相应端口上设定可通过的MAC地址集,这样可以防止非法接入。

这种划分的方法的优点:设定VLAN非常简单,只需将端口定义为相应的VLAN即可。它的不足之处:如果用户把主机接到新的交换机端口必须重新设定。

2)依据OSI参考模型的层次动态VLAN可分为3类:

(1)基于MAC地址的VLAN

这是一种通过记录并查询端口所连计算机上网卡的MAC地址来决定端口所属哪个VLAN。因为是基于MAC地址来决定所属VLAN的,所以这是一种在OSI参考模型的第二层设定访问链接方法。这种方法在设定时必须清楚所连接计算机的MAC地址并加以登录。而且如果计算机更换了网卡,还需要更改设定。

(2)基于子网的VLAN

这种方法是通过所连计算机的IP地址来决定其所属VLAN。这种方法只要IP地址不变其所属VLAN不变,无论其端口如何变化。因此,与基于MAC地址的VLAN相比这种方法更为简便地改变网络结构。对于这种方法我们可以理解为一种在OSI的第三层设定访问链接的方法。

这种划分的方法优点:当用户主机从一个交换机换到另一个交换机时,VLAN不用重新配置。这种方法的不足之处:初始化时,所有的用户都必须进行配置,如果计算机非常多的话,这种方法很繁琐。

(3)基于用户的VLAN

这种方法是根据交换机各端口所连的计算机上当前登录的用户来决定该端口属于哪个VLAN。这里所提到的用户,我们可以规定是主机系统登录的用户,也可以是设定的用户。这用方法优点:可以构建灵活多变的网络。这种方法的不足之处:不能较好的杜绝非法接入。

5 在高职校园网中VLAN的实现

高职院校按照其组成可以分为不同的系部。每个系部是一个整体,内部应该能够相互通信。基于此点,在进行局域网划分的时候,我们完全可以按照此种方法划分。这样可以保证每个系部的独立性,又可以防止相互之间的影响。如果VLAN之间进行通信,我们可以采用路由器或三层交换机(连接端口设置成Trunk模式)进行连接。

下面分别是使用思科的网络设备进行的配置,采用基于端口的VLAN划分和采用基于MAC地址的VLAN划分两种方法来实现的校园网VLAN划分。

1)采用基于端口的VLAN的具体配置实现

在Cisco Catalyst 2950-24交换机上创建VLAN10的配置

(1)创建VLAN10

(2)将F0/0端口划分至VLAN10

其他端口的划分方法也是这样。

(3)把端口改成Trunk模式并允许VLAN10通过。

2)采用基于MAC地址的VLAN的具体配置实现

(1)对于这种方法采用VLAN管理策略服务器(VMPS)来实现。VMPS是基于源MAC地址动态的、在交换机端口上划分VLAN的方法。属于Client/Server架构。在VMPS文件中包括一个映射MAC地址到VLAN分配的数据库。当一个帧到达动态端口时,交换机根据帧的源地址查询VMPS,获取相应的VLAN分配。

(2)在Catalyst 6500系列交换机中,配置VMPS的步骤如下。

(3)TFTP服务器上VMPS数据库格式如下:

(4)接下来就把Catalyst 6500配置为VMPS服务器

(5)使用命令激活VMPS,如下:

摘要：随着高职教育的蓬勃发展,校园网在不断扩大。校园网的管理越来越重要。如何更好的发挥网络功能?如何管理好校园网?我们不得不考虑这个问题。好的方法可以使校园网安全、高效地为学校服务。该文从VLAN技术上对校园网管理进行了探讨,介绍了VLAN的划分方法及其实现实例。最后介绍了VLAN在校园网中的实现模型。

关键词：VLAN技术,虚拟局域网,校园网,网络管理

参考文献

[1]赖志刚,宁辉华.浅谈VLAN技术[J].科技资讯,2008(3)109.

[2]梁广民,王隆杰.网络设备互联技术[M].北京:清华大学出版社,2006.

[3]Cisco System.网络安全架构[M].北京:人民邮电出版社,2005.

[4]陈伟川.基于MAC地址的动态VLAN原理及组网应用[J].计算机与现代化,2007(4):107-109.

VLAN的实现方法 第8篇

VLAN的目的是隔离广播, 并非要不同VLAN内的主机彻底不能相互通信, 但VLAN间的通信等同于不同广播域之间的通信, 必须使用第三层的设备才能实现。VLAN间的通信就是指VLAN间的路由, 是VLAN之间在一个路由器或其他三层设备 (三层交换机) 上发生的路由。

利用路由实现VLAN间的路由具有速度慢, 所以本文采用三层交换机, 以三层交换的方式来实现VLAN间的路由。三层交换机本质上就是带有路由功能的二层交换机, 三层交换机是将两者的优势有机而智能化地结合起来, 它可在各个层次提供线速转发性能。

2 Paceket Tracer简介

Paceket Tracer是思科公司推出的一款cisco路由器、交换机模拟软件。该软件是目前思科网络技术学院中最流行的、操作最简单和最接近真实环境的模拟工具。Paceket Tracer突破了网络设备的局限性, 是学生在最普通的计算机室就能模拟整个网络的搭建应用。

3 利用Paceket Tracer实现跨VLAN数据间的通信

三层交换机实现VLAN之间的访问的原理是, 利用三层交换机的路由功能, 通过识别数据包的IP地址, 查找路由表进行选路转发。

3.1 目标需求

某企业有两个主要部门:销售部和技术部, 其中销售部门的个人计算机系统分散连接, 他们之间需要相互进行通信, 销售部和技术部也需要进行相互通信, 现要在交换机上做适当配置来实现这一目标。

3.2 拓扑结构图

销售部和技术部各选取2台PC机为例进行配置, 拓扑结构图如图1所示。PC1和PC3分配在VLAN10中, PC2和PC4分配在VLAN20中。

3.3 配置命令

(1) 在三层交换机S3560上创建VLAN10并将Fa0/2端口划分到VLAN10中.创建VLAN20并将Fa0/3端口划分到VLAN20中。以VLAN10创建为例。

4 结束语

使用Packet Tracer模拟软件进行交换机的教学和实验, Packet Tracer模拟软件可以完成网络设备课程大部分的教学任务, 提高网络课程的实验效率, 可以让每一位同学都能自己动手配置, 这对加强学生的动手能力和今后的工作有很大的帮助。

摘要：本文简要地介绍了虚拟局域网 (VLAN) 的概念和技术以及思科网院提供的Paceket Tracer模拟软件, 较为详细地介绍了如何利用Paceket Tracer实现交换机跨VLAN实现数据通信的配置方法与步骤, 给三层交换机接口配置IP地址, 采用SVI (交换虚拟接口) 的方式实现VLAN间互连。

关键词：VLAN,三层交换机,网络设备配置,交换虚拟接口

参考文献

[1]杜勇.思科Paceket Tracer5.3在网络教学中的运用[J].中国科教创新导刊北京, 2011.14:45-47.

[2]薛琴.基于Paceket Tracer的计算机网络仿真实验教学[J].实验室研究与探索, 2010 (2) :57-59.

VLAN的实现方法 第9篇

关键词：虚拟局域网 (VLAN) ,医院信息系统,无线数字化医疗

近年来医疗体制改革成为公众关心的热点, 医院信息系统化建设也要适应医疗改革的需求, 建立面向临床的数字化医院, 利用信息技术简化就医流程, 提高医师工作效率, 是各级医院亟待解决的重要问题。

1、传统医院信息系统的局限性

医院作为与人民生活息息相关的单位, 倡导“以病人为中心”, 尽可能地为提高医护人员的诊断、处置效率, 为救治病患缩短时间。而传统的医院信息化系统存在其不可避免的局限性。如:传统的医院信息化系统难以实现移动临床医疗和护理, 住院查房、巡房携带电脑不方便, 多数医院仍采用纸质病史, 医嘱下达与执行不及时;无法数字化记录护理体征监测、护理记录, 护理工作数据难以采集。不能随时随地进行临床危急事件警示与处理及临床医疗合作。固定式检查、监护设备, 无法实现床边、家庭的检查及及时的远程诊断报告、远程监护, 对行动不便及在家的病人, 不便于便携式的检查、监护。而作为医院管理者来说, 无法及时获得医疗业务量、费用、质量等信息, 无法预测异常情况并随时随地作出决策。

2、无线数字化医疗的设计实现

医院信息化模块包括医院管理系统 (HIS) 、实验室管理系统 (LIS) , 医学影像管理系统 (PACS) 、电子病历电子病历 (EMR) 等, 由这些系统产生的信息资源, 存储在医院服务器上, 由各模块系统开发商提供的标准化接口, 集成医疗业务协同工作平台, 通过虚拟局域网 (VLAN) , 进行移动医护、危机值管理、计划任务管理、会诊管理、为重病人管理、药品使用管理、医疗业务查询、诊疗信息查询等工作。医护人员使用的移动终端可以是掌上电脑 (PDA) 、手机等移动数字设备。设计架构如图1所示:

3.1 移动医护

在病区组建V L A N后, 医生可以随身携带移动终端, 在病区间移动而不会发生程序错误。医护人员可以通过移动终端, 迅速地获取患者的住院信息、病史、检验、检查结果和其他生命体征信息, 尽可能有效地与患者交流, 从而获得高效率、高质量的床边探视和护理。医生可以根据查房情况, 及时将信息录入系统, 并根据病情变化当即开出检验、检查、治疗和其他医嘱, 避免了查房后再次转抄医嘱或凭记忆补开医嘱、记录病程, 造成重复工作甚至错误情况发生。

3.1 危机值管理

危机值是指实验室在检验分析过程中, 产生的异常数据结果。异常数据结果通过LIS系统, 自动集成到协同工作平台, 协同工作平台接收到危机值后, 通过VLAN网络, 发送到相应的移动终端:医用P D A或者主治医师手机。主治医师在收到危机值信息后, 通过信息提醒查看危机值, 能够及时根据危机值进行病史、报告查阅、医嘱下达等及时的处置工作。

3.2 计划任务管理:

工作人员将会议安排、医师排班、手术安排等计划任务录入到系统, 自动集成到协同工作平台, 通过V L A N网络, 发送到相关移动终端, 可以进行提醒时间设置, 随时随地提醒工作人员及时进行各项工作, 比如, 在手术开始前半个小时进行提醒、会议开始前十分钟提醒等。

3.3 会诊管理

在遇到需要会诊的患者病情时, 主治医生通过移动终端, 录入会诊申请, 会诊申请自动集成到协同工作平台, 通过VLAN网络传输到受邀会诊医师的移动终端。受邀医师接受会诊申请并查阅申请, 通过终端可以先查看患者病史病情等, 再进行床边会诊, 会诊结束后, 录入会诊结果与处置意见, 自动集成到协同平台, 返回到主治医师的移动终端, 主治医师根据会诊结果与意见, 进行医嘱处理。

3.4 危重病人管理

监护仪检测到被监护的重症病人的病危体征, 主治医师通过病危体征提醒, 录入病危通知到移动终端, 自动集成到协同工作平台, 通过V L A N网络, 发送到上级医师的移动终端, 上级医师查阅病危通知, 并进行床边处置、开医嘱等。此功能可以随时随地获取重症病人信息, 提高医疗质量, 保障患者安全。

3.5 药品使用管理

病人来院就诊时, 接诊医生通过移动终端开具抗生素处方, 集成到协同工作平台, 通过V L A N网络, 发送到上级医师的移动终端, 上级医师接收抗生素处方并审核处方, 将审核结果返回到接诊医生。此功能可以随时随地完成分级用药管理, 优化医疗业务监管流程。

3.6 信息查询

医院各级工作人员, 可以根据设定的权限, 在自己的权限范围内进行查询, 通过V L A N网络, 利用移动终端随时随地, 查询医疗业务实时动态信息, 辅助医院管理决策, 提高过程监管水平。

3.7 医疗机构间相互资源共享

可以通过移动运营商提供的无线网络, 实现各医疗机构间的资源共享, 如医生可以根据权限, 查询患者过往在其它医疗机构的治疗情况、用药情况等, 以便更加及时准确地判断病情。

3.8 日常业务提醒

医院医护人员工作繁忙, 对于日常工作中按流程需要及时处理的事情很难记住, 往往会造成有些待办任务延时, 给工作带来不便。工作提醒功能就是从医院H I S、电子病历、O A等各系统中抽取按流程需要下一工作环节处理的任务进行汇总, 根据不同岗位、不同权限人员进行分类, 供工作人员查询或主动提醒。同时系统也支持主动填写待办事项, 可以为自己填写, 也可指定其他人员接收。如对药剂工作人员, 可进行的提醒有:药品库存不足、药品过期提醒、积压药品提醒、领单审批提醒、调价审批、待发药品过期提醒等;对住院医生进行病历书写时效提醒;对住院护士进行护理工作提醒、护理病历书写提醒、危重病人提醒、交接班提醒等;对住院处待出院结账病人提醒;对后勤人员;设备报修处理提醒、材料请领审批、材料库存不足提醒等。

4、结束语

随着医学科技和信息技术的迅猛发展, 无线网络技术也不断发展, 网络保密技术充分发展, 无线数字化医疗信息的建立具有广阔的发展前景, 然而医院信息化建设的不断完善是一项艰巨而复杂的工作, 需要充分引入国际医学标准, 完善电子病历模型标准化、医疗设备数据传输标准化以及子系统无缝连接标准化等核心问题, 更加方便病人就诊, 提高医疗服务质量。同时大力发展远程医疗和社区医疗, 提高家庭健康保健水平, 使病人在家中就可以完成就医, 并且方便快捷地查询个人病历信息。

参考文献

[1]Erica Drazen and Jason Fortin:DigitalHospitals Move Off the Drawing Board.iHealthReports, October, 2003, 7-8

[2]李书章, 刘国详, 吴昊, 等.数字化医院建设思路与实践.解放军医院管理杂志.2004.11 (2) :100-102

[3]张鸿雁, 时利民, 赵勇, 等.对军队医院数字化建设的思考.中国医院.2005, 9:128-131