網絡專家心得:規(guī)范建設網絡更自如

字號:

“我不能因為我的無能而去限制或禁止醫(yī)院的同事們自由地使用網絡,當然一定的規(guī)范或規(guī)則還是要遵守的?!薄本﹨f(xié)和醫(yī)院網絡中心主任宋忠良感言。
    心得一:從未停歇的網絡建設
    據(jù)宋主任介紹,醫(yī)院從1996年門診樓的布線工程實施后,部門內部的網絡就逐漸相互聯(lián)接起來,之后聯(lián)網部門越來越多,網絡也隨之越來越大。到1997年底,網絡結構還很簡單,基本上屬于由中心交換機輻射向四周的小Hub構成的分支,頂多在遠點的地方用一個中等交換機作接續(xù),所以當時的主要特點就是接入點不多且很分散。當護士工作站開始上馬后,聯(lián)網計算機的數(shù)量才有了一個較大的飛躍。醫(yī)院也隨即進行了第一次批量設備購買,當時實現(xiàn)的是100M主干和10M到桌面的網絡。
    2001年,醫(yī)院網絡的改變就是VLAN(虛擬子網)的劃分和網絡的一次簡單升級。宋主任回憶說,從2001年開始對網絡進行了簡單的升級后,網絡容量擴增了許多,主干網升級到了1000M,桌面升級到了100M。同時為了減少網絡內的廣播,很大的工作量還體現(xiàn)在運用VLAN技術將網絡劃分成眾多子網,并用ACL將業(yè)務用戶(也就是通常所說的內網)和Internet用戶(也就是通常所說的外網)進行了隔離。這使得所有業(yè)務用計算機都可以同在一個子網中,即所謂的內網,而其他計算機則又按樓宇劃分為多個子網。
    對于三年多的網絡建設與維護,宋主任總結道,“這期間主要還是集中在增加接入設備以擴展網絡的接入能力,但并沒有實施其他任何功能上的擴展和改進?!睋?jù)悉,該網絡結構一直沿用到最近一次,即2005年10月份開始的網絡改造動工前。
    記者從采訪中了解到,過去幾年中,協(xié)和醫(yī)院網絡曾發(fā)生過多次大大小小的故障,特別是近一兩年內病毒和意外事故的頻發(fā),對網絡正常運行造成了或大或小的影響,但是最嚴重的時候則導致醫(yī)院的癱瘓,這無疑暴露出當前網絡中存在的諸多缺陷。因此,通過大量的數(shù)據(jù)統(tǒng)計和分析,醫(yī)院決定從2005年10月份開始對進行較大規(guī)模的改造,其中主要針對匯聚層和核心層的網絡硬件設備和部分軟件產品,據(jù)了解,這一次的網絡改造可謂是系統(tǒng)級的網絡基礎建設的徹底改造。
    心得二:架構不對,網絡如履薄冰
    眾所周知,2002年左右正是網絡發(fā)展過程中問題最為突出的時候,其中尤以病毒代表性。對于協(xié)和醫(yī)院來說,近兩三年間如BT下載、在線觀看電影、隨意外接電腦、應用QQ等IM軟件聊天……無論是應用的種類還是應用量,都在考驗著醫(yī)院的網絡安全保障、有效的帶寬以及網絡整體運行的支撐能力,表現(xiàn)為服務器存儲量不足、網絡交互量過大以及網絡安全問題等。據(jù)了解,期間最嚴重的時候全院網絡曾癱瘓2個多小時。對此,醫(yī)院專門組織人員做了大量的數(shù)據(jù)統(tǒng)計和分析。結果證明,只有12%的問題是出現(xiàn)在電源上,而另外80%以上的故障則都是因為病毒引起的。
    對于這樣的結果,宋主任坦言,網絡就是拿來用的,應用越豐富才使網絡本身擁有更多的提升空間。作為網絡管理和運維人員,不能期望通過對員工上網行為的控制,如禁止或不允許等行為,保證醫(yī)院網絡的健康運行。他認為這樣的做法違背了網絡存在的本質,并且違背了人們應用網絡的初衷,因此雖然整個醫(yī)院的網絡已經部署了先進的設備并在行業(yè)內已表現(xiàn)出相對先進的性能,但是宋主任還是非常謙虛地表示,只要是由于應用導致的網絡故障都只能歸咎到網絡基礎架構和運維者的管理不當,但這并非放棄管理,而是追求更簡捷、更有效的管理,對此,他這樣表述:“這種做法不是不讓使用者出拳,而是要求他們不出怪拳、要出就出正經八百的拳。”
    相應地,在這種觀點的前提下,他們正在把網絡應用層出現(xiàn)的問題下放到網絡層及更底層去解決,而這種解決方案的潛臺詞就是在充分保證使用者對網絡的絕對使用權的前提下,網絡運維人員需要從底層網絡的徹底改造保障整個醫(yī)院網絡的正常運行。于是,通過對當時網絡結構和設備配置的仔細分析后,醫(yī)院網絡中心的工作人員意識到早先的網絡架構存在很大的問題,具體為:首先是原先的星型網絡結構難以實現(xiàn)交換和路由時鏈路的冗余,這使得每一個匯聚或核心交換機/路由器一旦出現(xiàn)故障時,整個網絡就無法繼續(xù)流通;其次是,由于沒有實施基于角色的訪問控制,使得由VLAN劃分出的每個子網內的終端機器可以順利通過路由訪問到其他子網內的機器,而這也同樣給病毒創(chuàng)造了肆意傳播的機會;此外還包括原有網絡缺乏可擴展性、抗打擊能力不足、IP地址數(shù)量有限,以及缺乏桌面級控制和管理等。有鑒于此,協(xié)和醫(yī)院從2005年10月開始,劃撥了800萬左右的經費狠下決心實施全院網絡的整體改造,其中重點就是網絡架構的重新規(guī)劃和部署。
    如今,協(xié)和醫(yī)院對網絡的改造已經接近尾聲,縱觀整個的改造過程,對網絡架構的交換或路由的改造、以及加入基于角色的訪問控制是最顯著的成果,實現(xiàn)了具備關鍵鏈路冗余的三層交換網絡,同時更有效地解決了網絡的可擴展性和病毒等安全問題。據(jù)了解,改造工程將于2006年2月全部結束。
    心得三:集成商沒得靠,得靠自己
    宋主任經常組織或參加同行們的沙龍或討論會,據(jù)他介紹,通過長期參與這些行業(yè)內同仁的自發(fā)交流,除了對自身醫(yī)院網絡面臨的問題得到或多或少的建議,還能借鑒同行們在細微實踐中的經驗和教訓。宋主任表示,當初在建設網絡時,醫(yī)院的人員作為用戶還沒有對自身的網絡需求做充分的調研和規(guī)劃,而那時,很多應項目而來的專業(yè)廠商卻并沒能提供足夠的咨詢服務,而且廠商所給的解決方案往往難以面向特定的某個用戶網絡,常常是千篇一律地產品和千篇一律的方案,以至于方案實施后也很難一下落實到醫(yī)院網絡的具體應用上,這樣的做法使得用戶和廠商之間沒有達到有效的溝通,最后造成的問題就是實施后的方案并沒有完全從用戶的網絡需求現(xiàn)狀考慮,因此很難匹配用戶網絡的真正應用需求。
    談到這些,宋主任表示很遺憾,但同時很期望,能有相應的集成商為用戶提供詳盡的咨詢服務。具體而言,就是說在項目投標時,盡可能細致地幫助用戶分析實際情況,從而給出一個適合該用戶的解決方案。當然,對于這種服務的實現(xiàn),宋主任也表示,在當前的網絡發(fā)展狀況下,對于服務的界定也的確是業(yè)內共同面臨的一個大問題,因此,目前對這種服務的需求雖然還未能實現(xiàn),但他相信這樣的服務及服務商的出現(xiàn)是必然的,一切只是時間的問題。