【作者】Conling(笔名),某医院信息科基础设施组运维工程师。负责规划建设医院网络系统,网络安全防护架构,数据中心虚拟化集群,容灾备份等。
我院内部网络采用三套独立网络建设方案,其中医院内网、外网、设备网相互独立组网,内网与外网之间采用网闸进行隔离,少有与设备网交互的网络需求。在网络系统升级改造过程中,于2014年对门诊楼最老的一批网络设备进行了升级替换,基本建立了核心、汇聚与接入的三层网络架构,但是未明确划分VLAN区域界限,这会导致某一VLAN内部的网络广播风暴问题扩散到全院,引起网络宕机。2019年医院新大楼完成启用后,开始主动改造院区内部网络系统,对汇聚节点进行冗余化升级替换、光纤链路补全聚合组,全网生成树统一配置并启用边缘端口。2022年注重加强网络系统可用性保障,骨干光纤链路环形组网,避免因骨干链路或节点发生单点故障引起多楼宇发生网络故障。
新增和改造的楼宇一定采用全新规划的VLAN与网段,采用三层网络动态路由协议OSPF互联的方式完成网络连接,避免二层网络透传; 执行网络改造计划,缩小现有VLAN的使用区域,将业务VLAN的使用从多个楼宇缩小到单个楼宇内。
三层网络路由通讯经过多年的验证,稳定性不成问题,唯一的缺点是在削减了核心交换机性能压力的同时,无法通过核心交换机学习到区域终端的真实MAC地址,导致一些流量审计工具与准入系统的信息存在错误。虽然这些设备可以通过SNMP协议读取相关网关交换机的ARP表,但受到交换机产品与SNMP协议的性能影响,读取效率会有下降,且交换机SNMP协议还需要配合网络监控系统交互,会出现信息延迟的现象。
出口防火墙采用双机部署,使用前置的专线接入交换机连接运营商线路,通过链路聚合组+Trunk+VLAN方式,将不同线路的流量连接到两台防火墙; 采用物理隔离的网闸系统作为内网与外网进行信息交互的通道; 内网加入核心防火墙,采用旁路部署策略路由引流的方式进行网内流量过滤清洗; 互联网出口区多台安全设备采用策略路由引流方式部署,降低网络安全设备负载压力,提升网络系统可用性。
VLAN 在主、备线路均要放行,和传统组网模式有明显差异,在环网范围特别大、涉及到多个楼宇时,容易在备用路径遗漏VLAN,造成网络切换后部分网段不通。 生成树收敛难度增大,更怕受到其他生成树的冲击。在终端层面如果发生了某个交换机上同时连接了内网与外网的交换机,会造成优先级低的生成树根节点重新收敛,全网交换机端口生成树学习状态15秒。
网络系统监控的定制化可以有效地提升故障发现和故障定位的能力。我院在监控系统的维护中,从基本的网络设备监控、拓扑图展示,到逐步增加每条专线线路的对端IP状态监测,关键外部系统的可用性监测,可以在故障发生的第一时间做出故障点判断,确认是单条专线故障还是某个运营商专项故障,或者是外部系统故障。
施工挖断光缆、楼宇电力故障维修、桌面终端网络线路乱接等人为因素引起多次业务停机。这提醒我们在网络建设和管理中,需要加强对人为因素的控制,并且从网络系统技术层面加以实现,这样即使发生人为意外事件也不至于引起大范围故障。
点击文末阅读原文,可以到原文下留言交流
觉得本文有用,请转发或点击“在看”,让更多同行看到
资料/文章推荐:
欢迎关注社区 “网络”技术主题 ,将会不断更新优质资料、文章。地址:https://www.talkwithtrend.com/Channel/785
长按二维码关注公众号
*本公众号所发布内容仅代表作者观点,不代表社区立场
