任俭

摘 要 本文介绍了作者在参与建设医院内部局域网中的一些体会和想法，包括影响网络安全运行的一些因素和隐患，提出了作者在网络建设维护工作中积累的应对措施，目的是让医院网络能够更安全、更稳定、更快速、更高效地运行。

【关键词】局域网 故障隐患 解决方案

我院于2013年建造新院区，面积达到6万多平米。2014年5月正式投入使用。下面我整理了一些在网络建设过程当中遇到的问题和解决办法。

1 汇聚交换机位置

通常汇聚交换机会安装在楼层弱电间内。例如我们的老院区就是这样，光纤从主机房主交换机上出来，接到楼层弱电间的汇聚交换机上，再通过光纤或者网线接到接入交换机。但是此次我们新院区使用的是H3C S7503E的汇聚交换机，产生了一个问题：该交换机体积达到10U以上，发热量较大，弱电间没有降温条件，容易造成宕机。

经过考察论证，汇聚放在了主机房内，通过光纤连到各楼层弱电间的接入交换机。主机房配备了爱默生机房专用空调，温度、湿度、通风等条件都属上佳，利于机器的安全运行。

2 物理隔离

在新院区我们建了两套网络，医院业务网、政务网、财务网等作为一套内网；而外网则是单独的一套上Internet的网络。我们把重点放在内网上，2台主交换机H3C S10512和2台汇聚交换机H3C S7503E全部用于内网，而光纤也是两路，有备份冗余，这样，主交换机、汇聚交换机、光纤线路都是冗余的，最大程度地保证医院业务的正常开展。外网的要求不是很高，大多数是寝室和少数科室在用，发生故障不会对医院业务造成影响，所以我们就使用一个普通的交换机放在主机房，用光纤连接到各弱电间的外网交换机，并不走三层架构。而这些交换机也有可能是内网退下来的，属于降级使用。

3 弱电间

3.1 弱电间的门

我们老院区弱电间是采用门锁的方式，一把钥匙能打开全院所有的弱电间。如果钥匙被任何人意外遗失，那弱电间就有了被其他人进入的可能，产生意想不到的后果。

目前我们在新大楼所有弱电间都用门禁取代了门锁，非常有效地解决了这个问题：如果有人遗失门禁卡或离开医院而没有交出门禁卡，只要直接在电脑里取消该门禁卡的权限；如果弱电间发生了安全方面的事件，只要从电脑里调出记录，就能知道哪些人于哪些时间去了哪些弱电间。

3.2 弱电间的供电

在老院区，我们都采取了安装2-3KV在线式UPS的方法，来稳定电压，并且在万一停电时还能支撑一段时间。现在看来，也有弊端。（1）在市电与交换机之间多了个UPS，相当于多了个故障点，如UPS发生故障，那么交换机就会断电；（2）UPS插头与墙上的电源插座有时会不匹配，需要使用一个转换器，而这样通过转换器插在墙上，时间长了会松动，造成UPS电池耗尽，交换机随即断电。

基于上述尝试，新大楼弱电间的交换机目前还是使用PDU直接接到市电。但是我们正在考虑集中供电的设想，即在某个房间专设一个大容量的在线式UPS，从该UPS拉电线到每一个弱电间，专供交换机使用。这样，接入交换机不会受断电或电压不稳定的影响，整个网络三层架构就可保持畅通运行，相对让人放心。

4 电脑设备、交换机端口对应文档

要管理好医院网络，一份完整翔实的文档是必不可少的。

在以前，没有整理出关于电脑设备及交换机的文档，客户端情况不了解，不清楚接入交换机上用掉了多少口，更谈不上如何对应，当发生故障时，无法及时有效地抓住主要因素，导致处理问题效率低下。

当我察觉到这些问题时，开始着手整理出一些文档。内容包括科室、IP地址、MAC地址、信息点位号、交换机口等等，另外，还需要一份交换机对应信息点位的表格。有了这些文档，在处理故障时就相当得心应手。

（1）对网络的管理。目前我们把所有信息点都插在了交换机上，即为“满跳”。这样做的好处是，如果一个地方要用网络，只找到相应的信息点号码，直接登录到该交换机开通对应端口VLAN，该信息点即可使用。而平时，不使用电脑的那些端口，则不分配VLAN，即使插上电脑，也不能使用。（2）对电脑的管理。平时工作中，我们经常使用远程桌面管理软件来指导用户使用软件或解决问题。只要对方报出文档中的资产编码或IP地址，我们就可以接管对方的桌面，从而发现和解决问题。

5 VLAN划分

在本次网络建设中，我们对医院的内网进行了VLAN的划分，起到了以下作用：（1）提高了网络安全性。一个VLAN内部的广播和单播流量均不会发送到其它VLAN中，这样利于减少网络设备资源消耗、控制信息流量、方便网络管理，从而达到提高网络安全性目的。（2）提高了管理效率。由于VLAN的虚拟性，增加、删除、移动用户就变得更加简便快捷。用户可以随时随地通过VLAN在网络上进行操作。利用VLAN 技术将医院的各职能部门、各病区按不同地理位置划分为一个个逻辑网段。（3）有效控制广播风暴。由于不同的VLAN 有着各自独立的广播域，而广播只能在本地VLAN 内进行，从而大大减少了广播对网络带宽的占用，提高了带宽传输效率，并可以有效地避免广播风暴的产生。

6 信息点

以前我们室内信息点不够时，如果VLAN相同，就接入一个小型HUB，再接到电脑。其实这种做法是有弊端的。（1）电脑未直接连在接入交换机，不方便管理；（2）HUB的设计不能与交换机相比，如发生故障，那么接在该HUB上的电脑都联不了网，严重的可影响医院的网络；（3）HUB扔在桌上或地上，不排除可能会有“好奇”的人用一根网线把两个网口插上，那简直是网络中心管理员的灾难。

在我主导老院区网络改超六类以及新院区网络建设时，信息点的数量做到够用而且有一定冗余。在以后的日常使用中，当信息点不够用的时候，尽量从弱电间拉网线过来，而不使用HUB。值得注意的是，信息点的数量还需要考虑到网络打印机，和另外一些移动的设备，比如移动心电图诊断设备等。

以上是本人在医院网络建设和维护中得出的一些粗浅的认识和体会。我认为，网络管理既要从大的方面入手，搭建好高速稳定的网络平台，同时也要注意平常细节的东西，将一些小的故障隐患防范于未然，这样，网络就能更安全、更稳定、更快速、更高效地运行。

参考文献

[1]崔鹏宇.计算机网络与信息安全系统的搭建研究[J].计算机安全，2013（12）.

[2]王宇.建立安全稳定的局域网的要求[J].计算机和网络，2014（5）.

（通讯作者：马江华）

作者单位

复旦大学附属中山医院青浦分院网络中心 上海市 201700