任儉

摘 要 本文介紹了作者在參與建設(shè)醫(yī)院內(nèi)部局域網(wǎng)中的一些體會(huì)和想法，包括影響網(wǎng)絡(luò)安全運(yùn)行的一些因素和隱患，提出了作者在網(wǎng)絡(luò)建設(shè)維護(hù)工作中積累的應(yīng)對(duì)措施，目的是讓醫(yī)院網(wǎng)絡(luò)能夠更安全、更穩(wěn)定、更快速、更高效地運(yùn)行。

【關(guān)鍵詞】局域網(wǎng) 故障隱患 解決方案

我院于2013年建造新院區(qū)，面積達(dá)到6萬(wàn)多平米。2014年5月正式投入使用。下面我整理了一些在網(wǎng)絡(luò)建設(shè)過(guò)程當(dāng)中遇到的問(wèn)題和解決辦法。

1 匯聚交換機(jī)位置

通常匯聚交換機(jī)會(huì)安裝在樓層弱電間內(nèi)。例如我們的老院區(qū)就是這樣，光纖從主機(jī)房主交換機(jī)上出來(lái)，接到樓層弱電間的匯聚交換機(jī)上，再通過(guò)光纖或者網(wǎng)線接到接入交換機(jī)。但是此次我們新院區(qū)使用的是H3C S7503E的匯聚交換機(jī)，產(chǎn)生了一個(gè)問(wèn)題：該交換機(jī)體積達(dá)到10U以上，發(fā)熱量較大，弱電間沒(méi)有降溫條件，容易造成宕機(jī)。

經(jīng)過(guò)考察論證，匯聚放在了主機(jī)房?jī)?nèi)，通過(guò)光纖連到各樓層弱電間的接入交換機(jī)。主機(jī)房配備了愛(ài)默生機(jī)房專用空調(diào)，溫度、濕度、通風(fēng)等條件都屬上佳，利于機(jī)器的安全運(yùn)行。

2 物理隔離

在新院區(qū)我們建了兩套網(wǎng)絡(luò)，醫(yī)院業(yè)務(wù)網(wǎng)、政務(wù)網(wǎng)、財(cái)務(wù)網(wǎng)等作為一套內(nèi)網(wǎng)；而外網(wǎng)則是單獨(dú)的一套上Internet的網(wǎng)絡(luò)。我們把重點(diǎn)放在內(nèi)網(wǎng)上，2臺(tái)主交換機(jī)H3C S10512和2臺(tái)匯聚交換機(jī)H3C S7503E全部用于內(nèi)網(wǎng)，而光纖也是兩路，有備份冗余，這樣，主交換機(jī)、匯聚交換機(jī)、光纖線路都是冗余的，最大程度地保證醫(yī)院業(yè)務(wù)的正常開(kāi)展。外網(wǎng)的要求不是很高，大多數(shù)是寢室和少數(shù)科室在用，發(fā)生故障不會(huì)對(duì)醫(yī)院業(yè)務(wù)造成影響，所以我們就使用一個(gè)普通的交換機(jī)放在主機(jī)房，用光纖連接到各弱電間的外網(wǎng)交換機(jī)，并不走三層架構(gòu)。而這些交換機(jī)也有可能是內(nèi)網(wǎng)退下來(lái)的，屬于降級(jí)使用。

3 弱電間

3.1 弱電間的門(mén)

我們老院區(qū)弱電間是采用門(mén)鎖的方式，一把鑰匙能打開(kāi)全院所有的弱電間。如果鑰匙被任何人意外遺失，那弱電間就有了被其他人進(jìn)入的可能，產(chǎn)生意想不到的后果。

目前我們?cè)谛麓髽撬腥蹼婇g都用門(mén)禁取代了門(mén)鎖，非常有效地解決了這個(gè)問(wèn)題：如果有人遺失門(mén)禁卡或離開(kāi)醫(yī)院而沒(méi)有交出門(mén)禁卡，只要直接在電腦里取消該門(mén)禁卡的權(quán)限；如果弱電間發(fā)生了安全方面的事件，只要從電腦里調(diào)出記錄，就能知道哪些人于哪些時(shí)間去了哪些弱電間。

3.2 弱電間的供電

在老院區(qū)，我們都采取了安裝2-3KV在線式UPS的方法，來(lái)穩(wěn)定電壓，并且在萬(wàn)一停電時(shí)還能支撐一段時(shí)間。現(xiàn)在看來(lái)，也有弊端。（1）在市電與交換機(jī)之間多了個(gè)UPS，相當(dāng)于多了個(gè)故障點(diǎn)，如UPS發(fā)生故障，那么交換機(jī)就會(huì)斷電；（2）UPS插頭與墻上的電源插座有時(shí)會(huì)不匹配，需要使用一個(gè)轉(zhuǎn)換器，而這樣通過(guò)轉(zhuǎn)換器插在墻上，時(shí)間長(zhǎng)了會(huì)松動(dòng)，造成UPS電池耗盡，交換機(jī)隨即斷電。

基于上述嘗試，新大樓弱電間的交換機(jī)目前還是使用PDU直接接到市電。但是我們正在考慮集中供電的設(shè)想，即在某個(gè)房間專設(shè)一個(gè)大容量的在線式UPS，從該UPS拉電線到每一個(gè)弱電間，專供交換機(jī)使用。這樣，接入交換機(jī)不會(huì)受斷電或電壓不穩(wěn)定的影響，整個(gè)網(wǎng)絡(luò)三層架構(gòu)就可保持暢通運(yùn)行，相對(duì)讓人放心。

4 電腦設(shè)備、交換機(jī)端口對(duì)應(yīng)文檔

要管理好醫(yī)院網(wǎng)絡(luò)，一份完整翔實(shí)的文檔是必不可少的。

在以前，沒(méi)有整理出關(guān)于電腦設(shè)備及交換機(jī)的文檔，客戶端情況不了解，不清楚接入交換機(jī)上用掉了多少口，更談不上如何對(duì)應(yīng)，當(dāng)發(fā)生故障時(shí)，無(wú)法及時(shí)有效地抓住主要因素，導(dǎo)致處理問(wèn)題效率低下。

當(dāng)我察覺(jué)到這些問(wèn)題時(shí)，開(kāi)始著手整理出一些文檔。內(nèi)容包括科室、IP地址、MAC地址、信息點(diǎn)位號(hào)、交換機(jī)口等等，另外，還需要一份交換機(jī)對(duì)應(yīng)信息點(diǎn)位的表格。有了這些文檔，在處理故障時(shí)就相當(dāng)?shù)眯膽?yīng)手。

（1）對(duì)網(wǎng)絡(luò)的管理。目前我們把所有信息點(diǎn)都插在了交換機(jī)上，即為“滿跳”。這樣做的好處是，如果一個(gè)地方要用網(wǎng)絡(luò)，只找到相應(yīng)的信息點(diǎn)號(hào)碼，直接登錄到該交換機(jī)開(kāi)通對(duì)應(yīng)端口VLAN，該信息點(diǎn)即可使用。而平時(shí)，不使用電腦的那些端口，則不分配VLAN，即使插上電腦，也不能使用。（2）對(duì)電腦的管理。平時(shí)工作中，我們經(jīng)常使用遠(yuǎn)程桌面管理軟件來(lái)指導(dǎo)用戶使用軟件或解決問(wèn)題。只要對(duì)方報(bào)出文檔中的資產(chǎn)編碼或IP地址，我們就可以接管對(duì)方的桌面，從而發(fā)現(xiàn)和解決問(wèn)題。

5 VLAN劃分

在本次網(wǎng)絡(luò)建設(shè)中，我們對(duì)醫(yī)院的內(nèi)網(wǎng)進(jìn)行了VLAN的劃分，起到了以下作用：（1）提高了網(wǎng)絡(luò)安全性。一個(gè)VLAN內(nèi)部的廣播和單播流量均不會(huì)發(fā)送到其它VLAN中，這樣利于減少網(wǎng)絡(luò)設(shè)備資源消耗、控制信息流量、方便網(wǎng)絡(luò)管理，從而達(dá)到提高網(wǎng)絡(luò)安全性目的。（2）提高了管理效率。由于VLAN的虛擬性，增加、刪除、移動(dòng)用戶就變得更加簡(jiǎn)便快捷。用戶可以隨時(shí)隨地通過(guò)VLAN在網(wǎng)絡(luò)上進(jìn)行操作。利用VLAN 技術(shù)將醫(yī)院的各職能部門(mén)、各病區(qū)按不同地理位置劃分為一個(gè)個(gè)邏輯網(wǎng)段。（3）有效控制廣播風(fēng)暴。由于不同的VLAN 有著各自獨(dú)立的廣播域，而廣播只能在本地VLAN 內(nèi)進(jìn)行，從而大大減少了廣播對(duì)網(wǎng)絡(luò)帶寬的占用，提高了帶寬傳輸效率，并可以有效地避免廣播風(fēng)暴的產(chǎn)生。

6 信息點(diǎn)

以前我們室內(nèi)信息點(diǎn)不夠時(shí)，如果VLAN相同，就接入一個(gè)小型HUB，再接到電腦。其實(shí)這種做法是有弊端的。（1）電腦未直接連在接入交換機(jī)，不方便管理；（2）HUB的設(shè)計(jì)不能與交換機(jī)相比，如發(fā)生故障，那么接在該HUB上的電腦都聯(lián)不了網(wǎng)，嚴(yán)重的可影響醫(yī)院的網(wǎng)絡(luò)；（3）HUB扔在桌上或地上，不排除可能會(huì)有“好奇”的人用一根網(wǎng)線把兩個(gè)網(wǎng)口插上，那簡(jiǎn)直是網(wǎng)絡(luò)中心管理員的災(zāi)難。

在我主導(dǎo)老院區(qū)網(wǎng)絡(luò)改超六類以及新院區(qū)網(wǎng)絡(luò)建設(shè)時(shí)，信息點(diǎn)的數(shù)量做到夠用而且有一定冗余。在以后的日常使用中，當(dāng)信息點(diǎn)不夠用的時(shí)候，盡量從弱電間拉網(wǎng)線過(guò)來(lái)，而不使用HUB。值得注意的是，信息點(diǎn)的數(shù)量還需要考慮到網(wǎng)絡(luò)打印機(jī)，和另外一些移動(dòng)的設(shè)備，比如移動(dòng)心電圖診斷設(shè)備等。

以上是本人在醫(yī)院網(wǎng)絡(luò)建設(shè)和維護(hù)中得出的一些粗淺的認(rèn)識(shí)和體會(huì)。我認(rèn)為，網(wǎng)絡(luò)管理既要從大的方面入手，搭建好高速穩(wěn)定的網(wǎng)絡(luò)平臺(tái)，同時(shí)也要注意平常細(xì)節(jié)的東西，將一些小的故障隱患防范于未然，這樣，網(wǎng)絡(luò)就能更安全、更穩(wěn)定、更快速、更高效地運(yùn)行。

參考文獻(xiàn)

[1]崔鵬宇.計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)的搭建研究[J].計(jì)算機(jī)安全，2013（12）.

[2]王宇.建立安全穩(wěn)定的局域網(wǎng)的要求[J].計(jì)算機(jī)和網(wǎng)絡(luò)，2014（5）.

（通訊作者：馬江華）

作者單位

復(fù)旦大學(xué)附屬中山醫(yī)院青浦分院網(wǎng)絡(luò)中心 上海市 201700