医院网络建设中的一些问题和解决方案
医院网络建设中的一些问题和解决方案
文/任俭
摘要:本文介绍了作者在参与建设医院内部局域网中的一些体会和
想法,包括影响网络安全运行的一些因素和隐患,提出了作者在
网络建设维护工作中积累的应对措施,目的是让医院网络能够更
安全、更稳定、更快速、更高效地运行。
【关键词】局域网 故障隐患 解决方案
我院于 2013 年建造新院区,面积达到 6万多平米。2014 年 5 月正式投入使用。下面
我整理了一些在网络建设过程当中遇到的问题和解决办法。
1 汇聚交换机位置
通常汇聚交换机会安装在楼层弱电间内。例如我们的老院区就是这样,光纤从主机房主
交换机上出来,接到楼层弱电间的汇聚交换机上,再通过光纤或者网线接到接入交换机。但
是此次我们新院区使用的是 H3C S7503E 的汇聚交换机,产生了一个问题:该交换机体积达
到 10U 以上,发热量较大,弱电间没有降温条件,容易造成宕机。
经过考察论证,汇聚放在了主机房内,通过光纤连到各楼层弱电间的接入交换机。主
机房配备了爱默生机房专用空调, 温度、 湿度、通风等条件都属上佳,利于机器的安全运行。
2 物理隔离
在新院区我们建了两套网络,医院业务网、政务网、财务网等作为一套内网;而外网
则是单独的一套上 Internet 的网络。我们把重点放在内网上,2 台主交换机 H3C S10512 和
2 台汇聚交换机 H3C S7503E 全部用于内网,而光纤也是两路,有备份冗余,这样,主交换
机、汇聚交换机、光纤线路都是冗余的,最大程度地保证医院业务的正常开展。外网的要求
不是很高,大多数是寝室和少数科室在用,发生故障不会对医院业务造成影响,所以我们就
使用一个普通的交换机放在主机房,用光纤连接到各弱电间的外网交换机, 并不走三层架构。
而这些交换机也有可能是内网退下来的,属于降级使用。
3 弱电间
3.1 弱电间的门
我们老院区弱电间是采用门锁的方式,一把钥匙能打开全院所有的弱电间。如果钥匙
被任何人意外遗失,那弱电间就有了被其他人进入的可能,产生意想不到的后果。
目前我们在新大楼所有弱电间都用门禁取代了门锁,非常有效地解决了这个问题:如
果有人遗失门禁卡或离开医院而没有交出门禁卡,只要直接在电脑里取消该门禁卡的权限;
如果弱电间发生了安全方面的事件,只要从电脑里调出记录,就能知道哪些人于哪些时间去了哪些弱电间。
3.2 弱电间的供电
在老院区,我们都采取了安装 2-3KV 在线式 UPS 的方法,来稳定电压,并且在万一
停电时还能支撑一段时间。现在看来,也有弊端。(1)在市电与交换机之间多了个 UPS,
相当于多了个故障点,如 UPS 发生故障,那么交换机就会断电;(2)UPS 插头与墙上的
电源插座有时会不匹配, 需要使用一个转换器,而这样通过转换器插在墙上, 时间长了会松动,
造成 UPS 电池耗尽,交换机随即断电。基于上述尝试,新大楼弱电间的交换机
目前还是使用 PDU 直接接到市电。但是我们正在考虑集中供电的设想,即在某个房间专设
一个大容量的在线式 UPS,从该 UPS 拉电线到每一个弱电间,专供交换机使用。这样,接
入交换机不会受断电或电压不稳定的影响,整个网络三层架构就可保持畅通运行,相对让人
放心。
4 电脑设备、交换机端口对应文档要管理好医院网络,一份完整翔实的文
档是必不可少的。在以前,没有整理出关于电脑设备及交
换机的文档,客户端情况不了解,不清楚接入交换机上用掉了多少口,更谈不上如何对应,
当发生故障时, 无法及时有效地抓住主要因素,导致处理问题效率低下。
当我察觉到这些问题时,开始着手整理出一些文档。 内容包括科室、 IP地址、 MAC地址、
信息点位号、交换机口等等,另外,还需要一份交换机对应信息点位的表格。 有了这些文档,
在处理故障时就相当得心应手。
(1)对网络的管理。目前我们把所有信息点都插在了交换机上,即为“满跳”。这样
做的好处是,如果一个地方要用网络,只找到相应的信息点号码,直接登录到该交换机开通
对应端口 VLAN,该信息点即可使用。而平时,不使用电脑的那些端口,则不分配 VLAN,即
使插上电脑, 也不能使用。 (2) 对电脑的管理。平时工作中,我们经常使用远程桌面管理软件
来指导用户使用软件或解决问题。只要对方报出文档中的资产编码或 IP 地址,我们就可以
接管对方的桌面,从而发现和解决问题。
5 VLAN划分
在本次网络建设中,我们对医院的内网进行了 VLAN 的划分,起到了以下作用:(1)
提高了网络安全性。一个 VLAN 内部的广播和单播流量均不会发送到其它 VLAN 中,这
样利于减少网络设备资源消耗、控制信息流量、方便网络管理,从而达到提高网络安全性
目的。(2)提高了管理效率。由于 VLAN 的虚拟性,增加、删除、移动用户就变得更加简
便快捷。用户可以随时随地通过 VLAN 在网络上进行操作。利用 VLAN 技术将医院的各
职能部门、各病区按不同地理位置划分为一个个逻辑网段。(3)有效控制广播风暴。由于
不同的 VLAN 有着各自独立的广播域,而广播只能在本地 VLAN 内进行,从而大大减少
了广播对网络带宽的占用,提高了带宽传输效率,并可以有效地避免广播风暴的产生。
6 信息点
以前我们室内信息点不够时,如果 VLAN相同,就接入一个小型 HUB,再接到电脑。
其实这种做法是有弊端的。(1)电脑未直接连在接入交换机,不方便管理;(2)HUB 的
设计不能与交换机相比,如发生故障,那么接在该 HUB 上的电脑都联不了网,严重的可影
响医院的网络;(3)HUB 扔在桌上或地上,不排除可能会有“好奇”的人用一根网线把两
个网口插上, 那简直是网络中心管理员的灾难。在我主导老院区网络改超六类以及新院
区网络建设时,信息点的数量做到够用而且有一定冗余。在以后的日常使用中,当信息点不
够用的时候,尽量从弱电间拉网线过来,而不使用 HUB。值得注意的是,信息点的数量还
需要考虑到网络打印机,和另外一些移动的设备,比如移动心电图诊断设备等。
以上是本人在医院网络建设和维护中得出的一些粗浅的认识和体会。我认为,网络管
理既要从大的方面入手,搭建好高速稳定的网络平台,同时也要注意平常细节的东西,将一
些小的故障隐患防范于未然,这样,网络就能更安全、更稳定、更快速、更高效地运行。
参考文献
[1] 崔鹏宇 . 计算机网络与信息安全系统的搭建研究 . 计算机安全 ,2013(12).
[2] 王宇 . 建立安全稳定的局域网的要求 . 计算机和网络 ,2014(5).
作者单位
复旦大学附属中山医院青浦分院网络中心 上海市 201700