網(wǎng)絡(luò)專家心得:規(guī)范建設(shè)網(wǎng)絡(luò)更自如

字號:

“我不能因為我的無能而去限制或禁止醫(yī)院的同事們自由地使用網(wǎng)絡(luò),當(dāng)然一定的規(guī)范或規(guī)則還是要遵守的。”——北京協(xié)和醫(yī)院網(wǎng)絡(luò)中心主任宋忠良感言。
    心得一:從未停歇的網(wǎng)絡(luò)建設(shè)
    據(jù)宋主任介紹,醫(yī)院從1996年門診樓的布線工程實施后,部門內(nèi)部的網(wǎng)絡(luò)就逐漸相互聯(lián)接起來,之后聯(lián)網(wǎng)部門越來越多,網(wǎng)絡(luò)也隨之越來越大。到1997年底,網(wǎng)絡(luò)結(jié)構(gòu)還很簡單,基本上屬于由中心交換機(jī)輻射向四周的小Hub構(gòu)成的分支,頂多在遠(yuǎn)點(diǎn)的地方用一個中等交換機(jī)作接續(xù),所以當(dāng)時的主要特點(diǎn)就是接入點(diǎn)不多且很分散。當(dāng)護(hù)士工作站開始上馬后,聯(lián)網(wǎng)計算機(jī)的數(shù)量才有了一個較大的飛躍。醫(yī)院也隨即進(jìn)行了第一次批量設(shè)備購買,當(dāng)時實現(xiàn)的是100M主干和10M到桌面的網(wǎng)絡(luò)。
    2001年,醫(yī)院網(wǎng)絡(luò)的改變就是VLAN(虛擬子網(wǎng))的劃分和網(wǎng)絡(luò)的一次簡單升級。宋主任回憶說,從2001年開始對網(wǎng)絡(luò)進(jìn)行了簡單的升級后,網(wǎng)絡(luò)容量擴(kuò)增了許多,主干網(wǎng)升級到了1000M,桌面升級到了100M。同時為了減少網(wǎng)絡(luò)內(nèi)的廣播,很大的工作量還體現(xiàn)在運(yùn)用VLAN技術(shù)將網(wǎng)絡(luò)劃分成眾多子網(wǎng),并用ACL將業(yè)務(wù)用戶(也就是通常所說的內(nèi)網(wǎng))和Internet用戶(也就是通常所說的外網(wǎng))進(jìn)行了隔離。這使得所有業(yè)務(wù)用計算機(jī)都可以同在一個子網(wǎng)中,即所謂的內(nèi)網(wǎng),而其他計算機(jī)則又按樓宇劃分為多個子網(wǎng)。
    對于三年多的網(wǎng)絡(luò)建設(shè)與維護(hù),宋主任總結(jié)道,“這期間主要還是集中在增加接入設(shè)備以擴(kuò)展網(wǎng)絡(luò)的接入能力,但并沒有實施其他任何功能上的擴(kuò)展和改進(jìn)?!睋?jù)悉,該網(wǎng)絡(luò)結(jié)構(gòu)一直沿用到最近一次,即2005年10月份開始的網(wǎng)絡(luò)改造動工前。
    記者從采訪中了解到,過去幾年中,協(xié)和醫(yī)院網(wǎng)絡(luò)曾發(fā)生過多次大大小小的故障,特別是近一兩年內(nèi)病毒和意外事故的頻發(fā),對網(wǎng)絡(luò)正常運(yùn)行造成了或大或小的影響,但是最嚴(yán)重的時候則導(dǎo)致醫(yī)院的癱瘓,這無疑暴露出當(dāng)前網(wǎng)絡(luò)中存在的諸多缺陷。因此,通過大量的數(shù)據(jù)統(tǒng)計和分析,醫(yī)院決定從2005年10月份開始對進(jìn)行較大規(guī)模的改造,其中主要針對匯聚層和核心層的網(wǎng)絡(luò)硬件設(shè)備和部分軟件產(chǎn)品,據(jù)了解,這一次的網(wǎng)絡(luò)改造可謂是系統(tǒng)級的網(wǎng)絡(luò)基礎(chǔ)建設(shè)的徹底改造。
    心得二:架構(gòu)不對,網(wǎng)絡(luò)如履薄冰
    眾所周知,2002年左右正是網(wǎng)絡(luò)發(fā)展過程中問題最為突出的時候,其中尤以病毒代表性。對于協(xié)和醫(yī)院來說,近兩三年間如BT下載、在線觀看電影、隨意外接電腦、應(yīng)用QQ等IM軟件聊天……無論是應(yīng)用的種類還是應(yīng)用量,都在考驗著醫(yī)院的網(wǎng)絡(luò)安全保障、有效的帶寬以及網(wǎng)絡(luò)整體運(yùn)行的支撐能力,表現(xiàn)為服務(wù)器存儲量不足、網(wǎng)絡(luò)交互量過大以及網(wǎng)絡(luò)安全問題等。據(jù)了解,期間最嚴(yán)重的時候全院網(wǎng)絡(luò)曾癱瘓2個多小時。對此,醫(yī)院專門組織人員做了大量的數(shù)據(jù)統(tǒng)計和分析。結(jié)果證明,只有12%的問題是出現(xiàn)在電源上,而另外80%以上的故障則都是因為病毒引起的。
    對于這樣的結(jié)果,宋主任坦言,網(wǎng)絡(luò)就是拿來用的,應(yīng)用越豐富才使網(wǎng)絡(luò)本身擁有更多的提升空間。作為網(wǎng)絡(luò)管理和運(yùn)維人員,不能期望通過對員工上網(wǎng)行為的控制,如禁止或不允許等行為,保證醫(yī)院網(wǎng)絡(luò)的健康運(yùn)行。他認(rèn)為這樣的做法違背了網(wǎng)絡(luò)存在的本質(zhì),并且違背了人們應(yīng)用網(wǎng)絡(luò)的初衷,因此雖然整個醫(yī)院的網(wǎng)絡(luò)已經(jīng)部署了先進(jìn)的設(shè)備并在行業(yè)內(nèi)已表現(xiàn)出相對先進(jìn)的性能,但是宋主任還是非常謙虛地表示,只要是由于應(yīng)用導(dǎo)致的網(wǎng)絡(luò)故障都只能歸咎到網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和運(yùn)維者的管理不當(dāng),但這并非放棄管理,而是追求更簡捷、更有效的管理,對此,他這樣表述:“這種做法不是不讓使用者出拳,而是要求他們不出怪拳、要出就出正經(jīng)八百的拳?!?BR>    相應(yīng)地,在這種觀點(diǎn)的前提下,他們正在把網(wǎng)絡(luò)應(yīng)用層出現(xiàn)的問題下放到網(wǎng)絡(luò)層及更底層去解決,而這種解決方案的潛臺詞就是在充分保證使用者對網(wǎng)絡(luò)的絕對使用權(quán)的前提下,網(wǎng)絡(luò)運(yùn)維人員需要從底層網(wǎng)絡(luò)的徹底改造保障整個醫(yī)院網(wǎng)絡(luò)的正常運(yùn)行。于是,通過對當(dāng)時網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備配置的仔細(xì)分析后,醫(yī)院網(wǎng)絡(luò)中心的工作人員意識到早先的網(wǎng)絡(luò)架構(gòu)存在很大的問題,具體為:首先是原先的星型網(wǎng)絡(luò)結(jié)構(gòu)難以實現(xiàn)交換和路由時鏈路的冗余,這使得每一個匯聚或核心交換機(jī)/路由器一旦出現(xiàn)故障時,整個網(wǎng)絡(luò)就無法繼續(xù)流通;其次是,由于沒有實施基于角色的訪問控制,使得由VLAN劃分出的每個子網(wǎng)內(nèi)的終端機(jī)器可以順利通過路由訪問到其他子網(wǎng)內(nèi)的機(jī)器,而這也同樣給病毒創(chuàng)造了肆意傳播的機(jī)會;此外還包括原有網(wǎng)絡(luò)缺乏可擴(kuò)展性、抗打擊能力不足、IP地址數(shù)量有限,以及缺乏桌面級控制和管理等。有鑒于此,協(xié)和醫(yī)院從2005年10月開始,劃撥了800萬左右的經(jīng)費(fèi)狠下決心實施全院網(wǎng)絡(luò)的整體改造,其中重點(diǎn)就是網(wǎng)絡(luò)架構(gòu)的重新規(guī)劃和部署。
    如今,協(xié)和醫(yī)院對網(wǎng)絡(luò)的改造已經(jīng)接近尾聲,縱觀整個的改造過程,對網(wǎng)絡(luò)架構(gòu)的交換或路由的改造、以及加入基于角色的訪問控制是最顯著的成果,實現(xiàn)了具備關(guān)鍵鏈路冗余的三層交換網(wǎng)絡(luò),同時更有效地解決了網(wǎng)絡(luò)的可擴(kuò)展性和病毒等安全問題。據(jù)了解,改造工程將于2006年2月全部結(jié)束。
    心得三:集成商沒得靠,得靠自己
    宋主任經(jīng)常組織或參加同行們的沙龍或討論會,據(jù)他介紹,通過長期參與這些行業(yè)內(nèi)同仁的自發(fā)交流,除了對自身醫(yī)院網(wǎng)絡(luò)面臨的問題得到或多或少的建議,還能借鑒同行們在細(xì)微實踐中的經(jīng)驗和教訓(xùn)。宋主任表示,當(dāng)初在建設(shè)網(wǎng)絡(luò)時,醫(yī)院的人員作為用戶還沒有對自身的網(wǎng)絡(luò)需求做充分的調(diào)研和規(guī)劃,而那時,很多應(yīng)項目而來的專業(yè)廠商卻并沒能提供足夠的咨詢服務(wù),而且廠商所給的解決方案往往難以面向特定的某個用戶網(wǎng)絡(luò),常常是千篇一律地產(chǎn)品和千篇一律的方案,以至于方案實施后也很難一下落實到醫(yī)院網(wǎng)絡(luò)的具體應(yīng)用上,這樣的做法使得用戶和廠商之間沒有達(dá)到有效的溝通,最后造成的問題就是實施后的方案并沒有完全從用戶的網(wǎng)絡(luò)需求現(xiàn)狀考慮,因此很難匹配用戶網(wǎng)絡(luò)的真正應(yīng)用需求。
    談到這些,宋主任表示很遺憾,但同時很期望,能有相應(yīng)的集成商為用戶提供詳盡的咨詢服務(wù)。具體而言,就是說在項目投標(biāo)時,盡可能細(xì)致地幫助用戶分析實際情況,從而給出一個適合該用戶的解決方案。當(dāng)然,對于這種服務(wù)的實現(xiàn),宋主任也表示,在當(dāng)前的網(wǎng)絡(luò)發(fā)展?fàn)顩r下,對于服務(wù)的界定也的確是業(yè)內(nèi)共同面臨的一個大問題,因此,目前對這種服務(wù)的需求雖然還未能實現(xiàn),但他相信這樣的服務(wù)及服務(wù)商的出現(xiàn)是必然的,一切只是時間的問題。