任儉

摘 要 本文介紹了作者在參與建設(shè)醫(yī)院內(nèi)部局域網(wǎng)中的一些體會和想法，包括影響網(wǎng)絡(luò)安全運(yùn)行的一些因素和隱患，提出了作者在網(wǎng)絡(luò)建設(shè)維護(hù)工作中積累的應(yīng)對措施，目的是讓醫(yī)院網(wǎng)絡(luò)能夠更安全、更穩(wěn)定、更快速、更高效地運(yùn)行。

【關(guān)鍵詞】局域網(wǎng) 故障隱患 解決方案

我院于2013年建造新院區(qū)，面積達(dá)到6萬多平米。2014年5月正式投入使用。下面我整理了一些在網(wǎng)絡(luò)建設(shè)過程當(dāng)中遇到的問題和解決辦法。

1 匯聚交換機(jī)位置

通常匯聚交換機(jī)會安裝在樓層弱電間內(nèi)。例如我們的老院區(qū)就是這樣，光纖從主機(jī)房主交換機(jī)上出來，接到樓層弱電間的匯聚交換機(jī)上，再通過光纖或者網(wǎng)線接到接入交換機(jī)。但是此次我們新院區(qū)使用的是H3C S7503E的匯聚交換機(jī)，產(chǎn)生了一個問題：該交換機(jī)體積達(dá)到10U以上，發(fā)熱量較大，弱電間沒有降溫條件，容易造成宕機(jī)。

經(jīng)過考察論證，匯聚放在了主機(jī)房內(nèi)，通過光纖連到各樓層弱電間的接入交換機(jī)。主機(jī)房配備了愛默生機(jī)房專用空調(diào)，溫度、濕度、通風(fēng)等條件都屬上佳，利于機(jī)器的安全運(yùn)行。

2 物理隔離

在新院區(qū)我們建了兩套網(wǎng)絡(luò)，醫(yī)院業(yè)務(wù)網(wǎng)、政務(wù)網(wǎng)、財務(wù)網(wǎng)等作為一套內(nèi)網(wǎng)；而外網(wǎng)則是單獨的一套上Internet的網(wǎng)絡(luò)。我們把重點放在內(nèi)網(wǎng)上，2臺主交換機(jī)H3C S10512和2臺匯聚交換機(jī)H3C S7503E全部用于內(nèi)網(wǎng)，而光纖也是兩路，有備份冗余，這樣，主交換機(jī)、匯聚交換機(jī)、光纖線路都是冗余的，最大程度地保證醫(yī)院業(yè)務(wù)的正常開展。外網(wǎng)的要求不是很高，大多數(shù)是寢室和少數(shù)科室在用，發(fā)生故障不會對醫(yī)院業(yè)務(wù)造成影響，所以我們就使用一個普通的交換機(jī)放在主機(jī)房，用光纖連接到各弱電間的外網(wǎng)交換機(jī)，并不走三層架構(gòu)。而這些交換機(jī)也有可能是內(nèi)網(wǎng)退下來的，屬于降級使用。

3 弱電間

3.1 弱電間的門

我們老院區(qū)弱電間是采用門鎖的方式，一把鑰匙能打開全院所有的弱電間。如果鑰匙被任何人意外遺失，那弱電間就有了被其他人進(jìn)入的可能，產(chǎn)生意想不到的后果。

目前我們在新大樓所有弱電間都用門禁取代了門鎖，非常有效地解決了這個問題：如果有人遺失門禁卡或離開醫(yī)院而沒有交出門禁卡，只要直接在電腦里取消該門禁卡的權(quán)限；如果弱電間發(fā)生了安全方面的事件，只要從電腦里調(diào)出記錄，就能知道哪些人于哪些時間去了哪些弱電間。

3.2 弱電間的供電

在老院區(qū)，我們都采取了安裝2-3KV在線式UPS的方法，來穩(wěn)定電壓，并且在萬一停電時還能支撐一段時間?，F(xiàn)在看來，也有弊端。（1）在市電與交換機(jī)之間多了個UPS，相當(dāng)于多了個故障點，如UPS發(fā)生故障，那么交換機(jī)就會斷電；（2）UPS插頭與墻上的電源插座有時會不匹配，需要使用一個轉(zhuǎn)換器，而這樣通過轉(zhuǎn)換器插在墻上，時間長了會松動，造成UPS電池耗盡，交換機(jī)隨即斷電。

基于上述嘗試，新大樓弱電間的交換機(jī)目前還是使用PDU直接接到市電。但是我們正在考慮集中供電的設(shè)想，即在某個房間專設(shè)一個大容量的在線式UPS，從該UPS拉電線到每一個弱電間，專供交換機(jī)使用。這樣，接入交換機(jī)不會受斷電或電壓不穩(wěn)定的影響，整個網(wǎng)絡(luò)三層架構(gòu)就可保持暢通運(yùn)行，相對讓人放心。

4 電腦設(shè)備、交換機(jī)端口對應(yīng)文檔

要管理好醫(yī)院網(wǎng)絡(luò)，一份完整翔實的文檔是必不可少的。

在以前，沒有整理出關(guān)于電腦設(shè)備及交換機(jī)的文檔，客戶端情況不了解，不清楚接入交換機(jī)上用掉了多少口，更談不上如何對應(yīng)，當(dāng)發(fā)生故障時，無法及時有效地抓住主要因素，導(dǎo)致處理問題效率低下。

當(dāng)我察覺到這些問題時，開始著手整理出一些文檔。內(nèi)容包括科室、IP地址、MAC地址、信息點位號、交換機(jī)口等等，另外，還需要一份交換機(jī)對應(yīng)信息點位的表格。有了這些文檔，在處理故障時就相當(dāng)?shù)眯膽?yīng)手。

（1）對網(wǎng)絡(luò)的管理。目前我們把所有信息點都插在了交換機(jī)上，即為“滿跳”。這樣做的好處是，如果一個地方要用網(wǎng)絡(luò)，只找到相應(yīng)的信息點號碼，直接登錄到該交換機(jī)開通對應(yīng)端口VLAN，該信息點即可使用。而平時，不使用電腦的那些端口，則不分配VLAN，即使插上電腦，也不能使用。（2）對電腦的管理。平時工作中，我們經(jīng)常使用遠(yuǎn)程桌面管理軟件來指導(dǎo)用戶使用軟件或解決問題。只要對方報出文檔中的資產(chǎn)編碼或IP地址，我們就可以接管對方的桌面，從而發(fā)現(xiàn)和解決問題。

5 VLAN劃分

在本次網(wǎng)絡(luò)建設(shè)中，我們對醫(yī)院的內(nèi)網(wǎng)進(jìn)行了VLAN的劃分，起到了以下作用：（1）提高了網(wǎng)絡(luò)安全性。一個VLAN內(nèi)部的廣播和單播流量均不會發(fā)送到其它VLAN中，這樣利于減少網(wǎng)絡(luò)設(shè)備資源消耗、控制信息流量、方便網(wǎng)絡(luò)管理，從而達(dá)到提高網(wǎng)絡(luò)安全性目的。（2）提高了管理效率。由于VLAN的虛擬性，增加、刪除、移動用戶就變得更加簡便快捷。用戶可以隨時隨地通過VLAN在網(wǎng)絡(luò)上進(jìn)行操作。利用VLAN 技術(shù)將醫(yī)院的各職能部門、各病區(qū)按不同地理位置劃分為一個個邏輯網(wǎng)段。（3）有效控制廣播風(fēng)暴。由于不同的VLAN 有著各自獨立的廣播域，而廣播只能在本地VLAN 內(nèi)進(jìn)行，從而大大減少了廣播對網(wǎng)絡(luò)帶寬的占用，提高了帶寬傳輸效率，并可以有效地避免廣播風(fēng)暴的產(chǎn)生。

6 信息點

以前我們室內(nèi)信息點不夠時，如果VLAN相同，就接入一個小型HUB，再接到電腦。其實這種做法是有弊端的。（1）電腦未直接連在接入交換機(jī)，不方便管理；（2）HUB的設(shè)計不能與交換機(jī)相比，如發(fā)生故障，那么接在該HUB上的電腦都聯(lián)不了網(wǎng)，嚴(yán)重的可影響醫(yī)院的網(wǎng)絡(luò)；（3）HUB扔在桌上或地上，不排除可能會有“好奇”的人用一根網(wǎng)線把兩個網(wǎng)口插上，那簡直是網(wǎng)絡(luò)中心管理員的災(zāi)難。

在我主導(dǎo)老院區(qū)網(wǎng)絡(luò)改超六類以及新院區(qū)網(wǎng)絡(luò)建設(shè)時，信息點的數(shù)量做到夠用而且有一定冗余。在以后的日常使用中，當(dāng)信息點不夠用的時候，盡量從弱電間拉網(wǎng)線過來，而不使用HUB。值得注意的是，信息點的數(shù)量還需要考慮到網(wǎng)絡(luò)打印機(jī)，和另外一些移動的設(shè)備，比如移動心電圖診斷設(shè)備等。

以上是本人在醫(yī)院網(wǎng)絡(luò)建設(shè)和維護(hù)中得出的一些粗淺的認(rèn)識和體會。我認(rèn)為，網(wǎng)絡(luò)管理既要從大的方面入手，搭建好高速穩(wěn)定的網(wǎng)絡(luò)平臺，同時也要注意平常細(xì)節(jié)的東西，將一些小的故障隱患防范于未然，這樣，網(wǎng)絡(luò)就能更安全、更穩(wěn)定、更快速、更高效地運(yùn)行。

參考文獻(xiàn)

[1]崔鵬宇.計算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)的搭建研究[J].計算機(jī)安全，2013（12）.

[2]王宇.建立安全穩(wěn)定的局域網(wǎng)的要求[J].計算機(jī)和網(wǎng)絡(luò)，2014（5）.

（通訊作者：馬江華）

作者單位

復(fù)旦大學(xué)附屬中山醫(yī)院青浦分院網(wǎng)絡(luò)中心 上海市 201700