醫(yī)院網絡建設中的一些問題和解決方案

任儉

摘 要 本文介紹了作者在參與建設醫(yī)院內部局域網中的一些體會和想法，包括影響網絡安全運行的一些因素和隱患，提出了作者在網絡建設維護工作中積累的應對措施，目的是讓醫(yī)院網絡能夠更安全、更穩(wěn)定、更快速、更高效地運行。

【關鍵詞】局域網 故障隱患 解決方案

我院于2013年建造新院區(qū)，面積達到6萬多平米。2014年5月正式投入使用。下面我整理了一些在網絡建設過程當中遇到的問題和解決辦法。

1 匯聚交換機位置

通常匯聚交換機會安裝在樓層弱電間內。例如我們的老院區(qū)就是這樣，光纖從主機房主交換機上出來，接到樓層弱電間的匯聚交換機上，再通過光纖或者網線接到接入交換機。但是此次我們新院區(qū)使用的是H3C S7503E的匯聚交換機，產生了一個問題：該交換機體積達到10U以上，發(fā)熱量較大，弱電間沒有降溫條件，容易造成宕機。

經過考察論證，匯聚放在了主機房內，通過光纖連到各樓層弱電間的接入交換機。主機房配備了愛默生機房專用空調，溫度、濕度、通風等條件都屬上佳，利于機器的安全運行。

2 物理隔離

在新院區(qū)我們建了兩套網絡，醫(yī)院業(yè)務網、政務網、財務網等作為一套內網；而外網則是單獨的一套上Internet的網絡。我們把重點放在內網上，2臺主交換機H3C S10512和2臺匯聚交換機H3C S7503E全部用于內網，而光纖也是兩路，有備份冗余，這樣，主交換機、匯聚交換機、光纖線路都是冗余的，最大程度地保證醫(yī)院業(yè)務的正常開展。外網的要求不是很高，大多數是寢室和少數科室在用，發(fā)生故障不會對醫(yī)院業(yè)務造成影響，所以我們就使用一個普通的交換機放在主機房，用光纖連接到各弱電間的外網交換機，并不走三層架構。而這些交換機也有可能是內網退下來的，屬于降級使用。

3 弱電間

3.1 弱電間的門

我們老院區(qū)弱電間是采用門鎖的方式，一把鑰匙能打開全院所有的弱電間。如果鑰匙被任何人意外遺失，那弱電間就有了被其他人進入的可能，產生意想不到的后果。

目前我們在新大樓所有弱電間都用門禁取代了門鎖，非常有效地解決了這個問題：如果有人遺失門禁卡或離開醫(yī)院而沒有交出門禁卡，只要直接在電腦里取消該門禁卡的權限；如果弱電間發(fā)生了安全方面的事件，只要從電腦里調出記錄，就能知道哪些人于哪些時間去了哪些弱電間。

3.2 弱電間的供電

在老院區(qū)，我們都采取了安裝2-3KV在線式UPS的方法，來穩(wěn)定電壓，并且在萬一停電時還能支撐一段時間。現在看來，也有弊端。（1）在市電與交換機之間多了個UPS，相當于多了個故障點，如UPS發(fā)生故障，那么交換機就會斷電；（2）UPS插頭與墻上的電源插座有時會不匹配，需要使用一個轉換器，而這樣通過轉換器插在墻上，時間長了會松動，造成UPS電池耗盡，交換機隨即斷電。

基于上述嘗試，新大樓弱電間的交換機目前還是使用PDU直接接到市電。但是我們正在考慮集中供電的設想，即在某個房間專設一個大容量的在線式UPS，從該UPS拉電線到每一個弱電間，專供交換機使用。這樣，接入交換機不會受斷電或電壓不穩(wěn)定的影響，整個網絡三層架構就可保持暢通運行，相對讓人放心。

4 電腦設備、交換機端口對應文檔

要管理好醫(yī)院網絡，一份完整翔實的文檔是必不可少的。

在以前，沒有整理出關于電腦設備及交換機的文檔，客戶端情況不了解，不清楚接入交換機上用掉了多少口，更談不上如何對應，當發(fā)生故障時，無法及時有效地抓住主要因素，導致處理問題效率低下。

當我察覺到這些問題時，開始著手整理出一些文檔。內容包括科室、IP地址、MAC地址、信息點位號、交換機口等等，另外，還需要一份交換機對應信息點位的表格。有了這些文檔，在處理故障時就相當得心應手。

（1）對網絡的管理。目前我們把所有信息點都插在了交換機上，即為“滿跳”。這樣做的好處是，如果一個地方要用網絡，只找到相應的信息點號碼，直接登錄到該交換機開通對應端口VLAN，該信息點即可使用。而平時，不使用電腦的那些端口，則不分配VLAN，即使插上電腦，也不能使用。（2）對電腦的管理。平時工作中，我們經常使用遠程桌面管理軟件來指導用戶使用軟件或解決問題。只要對方報出文檔中的資產編碼或IP地址，我們就可以接管對方的桌面，從而發(fā)現和解決問題。

5 VLAN劃分

在本次網絡建設中，我們對醫(yī)院的內網進行了VLAN的劃分，起到了以下作用：（1）提高了網絡安全性。一個VLAN內部的廣播和單播流量均不會發(fā)送到其它VLAN中，這樣利于減少網絡設備資源消耗、控制信息流量、方便網絡管理，從而達到提高網絡安全性目的。（2）提高了管理效率。由于VLAN的虛擬性，增加、刪除、移動用戶就變得更加簡便快捷。用戶可以隨時隨地通過VLAN在網絡上進行操作。利用VLAN 技術將醫(yī)院的各職能部門、各病區(qū)按不同地理位置劃分為一個個邏輯網段。（3）有效控制廣播風暴。由于不同的VLAN 有著各自獨立的廣播域，而廣播只能在本地VLAN 內進行，從而大大減少了廣播對網絡帶寬的占用，提高了帶寬傳輸效率，并可以有效地避免廣播風暴的產生。

6 信息點

以前我們室內信息點不夠時，如果VLAN相同，就接入一個小型HUB，再接到電腦。其實這種做法是有弊端的。（1）電腦未直接連在接入交換機，不方便管理；（2）HUB的設計不能與交換機相比，如發(fā)生故障，那么接在該HUB上的電腦都聯不了網，嚴重的可影響醫(yī)院的網絡；（3）HUB扔在桌上或地上，不排除可能會有“好奇”的人用一根網線把兩個網口插上，那簡直是網絡中心管理員的災難。

在我主導老院區(qū)網絡改超六類以及新院區(qū)網絡建設時，信息點的數量做到夠用而且有一定冗余。在以后的日常使用中，當信息點不夠用的時候，盡量從弱電間拉網線過來，而不使用HUB。值得注意的是，信息點的數量還需要考慮到網絡打印機，和另外一些移動的設備，比如移動心電圖診斷設備等。

以上是本人在醫(yī)院網絡建設和維護中得出的一些粗淺的認識和體會。我認為，網絡管理既要從大的方面入手，搭建好高速穩(wěn)定的網絡平臺，同時也要注意平常細節(jié)的東西，將一些小的故障隱患防范于未然，這樣，網絡就能更安全、更穩(wěn)定、更快速、更高效地運行。

參考文獻

[1]崔鵬宇.計算機網絡與信息安全系統(tǒng)的搭建研究[J].計算機安全，2013（12）.

[2]王宇.建立安全穩(wěn)定的局域網的要求[J].計算機和網絡，2014（5）.

（通訊作者：馬江華）

作者單位

復旦大學附屬中山醫(yī)院青浦分院網絡中心 上海市 201700