基于VXLAN的醫(yī)院多網(wǎng)融合架構(gòu)研究與應(yīng)用

黃 偉 趙 峰 陳 剛 周 振 朱華東 朱萍萍 王曉梅

(皖南醫(yī)學(xué)院弋磯山醫(yī)院 蕪湖 241001)

1 引言

隨著國(guó)家“互聯(lián)網(wǎng)+醫(yī)療健康”指導(dǎo)意見(jiàn)的出臺(tái),醫(yī)療信息化水平對(duì)創(chuàng)新醫(yī)療服務(wù)模式，提高醫(yī)療服務(wù)能力和效率，進(jìn)一步實(shí)現(xiàn)信息惠民、惠醫(yī)、惠政方面的作用日益重要。醫(yī)療信息化水平的提升離不開(kāi)高可用性的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)支撐，傳統(tǒng)的醫(yī)療信息網(wǎng)絡(luò)架構(gòu)采用物理隔離內(nèi)外網(wǎng)的方式在智慧醫(yī)療戰(zhàn)略推進(jìn)過(guò)程中逐漸顯露弊端。本研究旨在運(yùn)用基于可擴(kuò)展虛擬局域網(wǎng)絡(luò)(Virtual eXtensible Local Area Network，VXLAN)的多網(wǎng)融合技術(shù)解決傳統(tǒng)醫(yī)院信息網(wǎng)絡(luò)相互孤立、管理成本高、可擴(kuò)展性差的問(wèn)題，為打造信息互聯(lián)互通的智慧醫(yī)院提供保障。

2 可擴(kuò)展虛擬局域網(wǎng)絡(luò)

2.1 VXLAN報(bào)文格式

VXLAN是基于IP網(wǎng)絡(luò)、采用MAC in UDP封裝形式的2層虛擬專用網(wǎng)(Virtual Private Network，VPN)技術(shù)。引入8字節(jié)的VXLAN報(bào)頭，包含24bit的VNI和一些保留比特。加上UDP/IP/Ethernet報(bào)文頭，比原始的Ethernet幀增加50字節(jié)的開(kāi)銷，其報(bào)文格式，見(jiàn)圖1。將原始2層幀以及VXLAN報(bào)頭封裝在用戶數(shù)據(jù)報(bào)文協(xié)議(User Datagram Protocol，UDP)中，以此穿越3層網(wǎng)絡(luò),實(shí)現(xiàn)在3層網(wǎng)絡(luò)上傳輸2層數(shù)據(jù)幀[1]。

圖1 VXLAN數(shù)據(jù)報(bào)文格式

2.2 傳輸模型

VXLAN是由NVE、VTEP、VXLAN隧道、VXLAN網(wǎng)關(guān)幾部分組成，其中VXLAN網(wǎng)關(guān)分為2層和3層。NVE為網(wǎng)絡(luò)虛擬邊緣節(jié)點(diǎn)，是實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化功能的網(wǎng)絡(luò)實(shí)體。報(bào)文經(jīng)過(guò)NVE封裝轉(zhuǎn)換后NVE間可基于3層基礎(chǔ)網(wǎng)絡(luò)建立2層虛擬化網(wǎng)絡(luò)。設(shè)備和服務(wù)器上的虛擬交換機(jī)VSwitch都可以作為NVE。VTEP是VXLAN隧道端點(diǎn)，封裝在NVE中，VTEP根據(jù)2層數(shù)據(jù)包識(shí)別2層數(shù)據(jù)報(bào)文所對(duì)應(yīng)VXLAN的VIN號(hào)，對(duì)數(shù)據(jù)報(bào)文進(jìn)行封裝和解封裝。VXLAN隧道是在不同地理位置之間的VTEP或者VTEP和VXLAN網(wǎng)關(guān)之間建立的點(diǎn)對(duì)點(diǎn)隧道，用于VXLAN數(shù)據(jù)傳輸。每個(gè)VTEP設(shè)備都會(huì)根據(jù)收到的數(shù)據(jù)包自動(dòng)維護(hù)包含目的MAC、VIN號(hào)、以及下一跳地址的VIN轉(zhuǎn)發(fā)表項(xiàng)，VTEP設(shè)備根據(jù)此轉(zhuǎn)發(fā)表在VXLAN隧道中傳輸數(shù)據(jù)。VTEP網(wǎng)關(guān)用于不同VXLAN之間或者VLXAN和原始VLAN之間的數(shù)據(jù)轉(zhuǎn)發(fā)。VXLAN網(wǎng)關(guān)所在的VTEP設(shè)備在收到數(shù)據(jù)報(bào)文后根據(jù)VIN轉(zhuǎn)發(fā)表判斷此次轉(zhuǎn)發(fā)是2層轉(zhuǎn)發(fā)還是跨VIN的3層轉(zhuǎn)發(fā)[2]。VXLAN傳輸模型，見(jiàn)圖2。在服務(wù)器之間進(jìn)行數(shù)據(jù)傳輸時(shí)虛擬機(jī)首先將數(shù)據(jù)發(fā)送給VTEP設(shè)備,VTEP在接收到服務(wù)器發(fā)送的數(shù)據(jù)包后根據(jù)數(shù)據(jù)報(bào)文的接收端口、VAIN號(hào)等信息識(shí)別出該數(shù)據(jù)報(bào)文對(duì)應(yīng)的VLXAN號(hào),然后采用頭端復(fù)制的方式對(duì)原始數(shù)據(jù)封裝后交給承載網(wǎng)絡(luò)進(jìn)行轉(zhuǎn)發(fā)。如果是同一個(gè)VXLAN內(nèi)流量，直接通過(guò)VXLAN隧道發(fā)送給遠(yuǎn)端VTEP，再由遠(yuǎn)端VTEP對(duì)接收到的數(shù)據(jù)報(bào)文解封裝后發(fā)送給目的虛擬機(jī)。如果是跨VNI間的流量，封裝數(shù)據(jù)包首先發(fā)給VXLAN網(wǎng)關(guān)，VLXAN網(wǎng)關(guān)在進(jìn)行外層封裝后根據(jù)VIN轉(zhuǎn)發(fā)表通過(guò)組播協(xié)議以地址解析協(xié)議(Address Resloution Protocol，ARP)泛宏的方式逐級(jí)轉(zhuǎn)發(fā)給下一跳設(shè)備,最終完成跨VIN的數(shù)據(jù)傳輸。

圖2 VXLAN傳輸模型

2.3 網(wǎng)絡(luò)現(xiàn)狀

目前采用外網(wǎng)和內(nèi)網(wǎng)物理隔離的方式,兩套網(wǎng)絡(luò)分別運(yùn)行在單獨(dú)的一套物理設(shè)備上，無(wú)法直接通信，通過(guò)在中間部署網(wǎng)閘設(shè)備按需控制內(nèi)網(wǎng)和外網(wǎng)互訪。該網(wǎng)絡(luò)結(jié)構(gòu)下存在以下問(wèn)題:從核心到匯聚再到接入3層設(shè)備需要安裝兩套;要獲取內(nèi)外網(wǎng)資源需采用兩臺(tái)終端或兩條鏈路的方式;隔離區(qū)(Demilitarized zone,DMZ)同時(shí)連接內(nèi)外網(wǎng)存在很大安全隱患。此種部署模式造成很大資源浪費(fèi)，增加管理人員運(yùn)維的復(fù)雜性。醫(yī)院傳統(tǒng)內(nèi)外網(wǎng)物理隔離網(wǎng)絡(luò)架構(gòu)，見(jiàn)圖3。目前采用OSPF+STP+VRRP模式部署,匯聚至核心通過(guò)雙鏈路上連核心，整網(wǎng)啟用屏蔽雙絞線(Shielded Twisted Pair，STP)防環(huán)。STP在網(wǎng)絡(luò)物理鏈路發(fā)生故障時(shí)網(wǎng)絡(luò)收斂時(shí)間相對(duì)較長(zhǎng)。整體網(wǎng)絡(luò)在可擴(kuò)展性、高可用性以及穩(wěn)定性方面在智慧醫(yī)院推進(jìn)過(guò)程中逐漸顯示出不足，因此迫切需要對(duì)整網(wǎng)進(jìn)行改造。

圖3 醫(yī)院傳統(tǒng)內(nèi)外網(wǎng)物理隔離網(wǎng)絡(luò)架構(gòu)

3 多網(wǎng)融合網(wǎng)絡(luò)架構(gòu)

3.1 設(shè)計(jì)

遵循核心-匯聚-接入3層扁平化架構(gòu)設(shè)計(jì)原則，內(nèi)網(wǎng)、網(wǎng)外、設(shè)備網(wǎng)3網(wǎng)運(yùn)行在同一套物理網(wǎng)絡(luò)中，骨干間采用萬(wàn)兆互聯(lián)。核心設(shè)備部署兩臺(tái)云計(jì)算數(shù)據(jù)中心核心交換機(jī),雙機(jī)虛擬化(IFR2)。樓宇匯聚層部署兩臺(tái)匯聚交換機(jī)做雙機(jī)虛擬化,匯聚交換機(jī)采用雙鏈路萬(wàn)兆至核心，分布式VXLAN網(wǎng)關(guān)部署在匯聚交換上通過(guò)VXLAN技術(shù)劃分虛擬化專網(wǎng)，保證隔離強(qiáng)度，3網(wǎng)互不影響，節(jié)省網(wǎng)絡(luò)投資，接入層設(shè)備采用動(dòng)態(tài)VLAN接入，通過(guò)TRUNK的方式采用雙鏈路到匯聚層，匯聚層完成VLAN到VXLAN的映射。核心交換機(jī)旁掛部署控制器AD Campus，核心和匯聚之間啟用開(kāi)放式最短路徑優(yōu)先協(xié)議(Open Shortest Path First，OSPF)保證3層互通,核心和匯聚之間啟用VXLAN組網(wǎng)構(gòu)建Overlay網(wǎng)絡(luò)[3]。3網(wǎng)在同一套物理網(wǎng)中，對(duì)人員按用戶角色自動(dòng)分配IP以虛擬隔離通道，獲取相同網(wǎng)絡(luò)權(quán)限，使醫(yī)院內(nèi)部終端在任意位置接入網(wǎng)絡(luò)可獲得相同權(quán)限以及用戶業(yè)務(wù)隨行、用戶組安全隔離。VXLAN多網(wǎng)絡(luò)融合拓?fù)?，?jiàn)圖4。

圖4 VXLAN多網(wǎng)融合網(wǎng)絡(luò)拓?fù)?/p>

3.2 網(wǎng)絡(luò)資源策略管理

策略管理上采用面向業(yè)務(wù)的分組模式，將屬性或訪問(wèn)權(quán)限相近的用戶分到一個(gè)安全組中，同時(shí)也將服務(wù)器側(cè)的資源劃分到安全組進(jìn)行統(tǒng)一管理。策略定義基于矩陣表格的方式簡(jiǎn)單直觀，見(jiàn)表1。具體策略可簡(jiǎn)單可復(fù)雜。實(shí)現(xiàn)各種高級(jí)復(fù)雜的策略控制功能。根據(jù)用戶分配IP，用戶名與IP地址一一對(duì)應(yīng)，用戶策略上采用面向業(yè)務(wù)分組的方式,將屬性或訪問(wèn)權(quán)限相近的用戶分到一個(gè)用戶組中，同時(shí)也將服務(wù)器資源劃分到相應(yīng)的用戶組進(jìn)行統(tǒng)一管理,基于5W1H靈活用戶認(rèn)證接入機(jī)制，根據(jù)誰(shuí)(who)、誰(shuí)的設(shè)備(whose)、什么設(shè)備(what)、什么時(shí)間(when)、什么地點(diǎn)(where)、什么方式(how)多個(gè)維度覆蓋各種接入場(chǎng)景。根據(jù)個(gè)人需求靈活定制場(chǎng)景，保障內(nèi)網(wǎng)訪問(wèn)安全。網(wǎng)絡(luò)訪問(wèn)策略定義，見(jiàn)表2。

表1 用戶組及相關(guān)網(wǎng)絡(luò)資源定義

表2 網(wǎng)絡(luò)訪問(wèn)策略定義

3.3 網(wǎng)絡(luò)虛擬通道隔離

匯聚和核心設(shè)備之間運(yùn)行VXLAN構(gòu)建Overlay網(wǎng)絡(luò)，具備跨廣域網(wǎng)的通道隔離能力，相比多協(xié)議標(biāo)簽交換(Multiple Protocol Label Switching，MPLS)的方式，VXLAN隔離只需要在端點(diǎn)(VTEP)做隔離，不需要全網(wǎng)隔離。采用基于虛擬轉(zhuǎn)發(fā)和路由(Virtual Routing and Forwarding，VRF)的方式替代傳統(tǒng)的基于訪問(wèn)控制列表(Access Control List，ACL)的隔離，每個(gè)用戶組在VTEP節(jié)點(diǎn)分配不同的VRF，VRF之間在路由層面實(shí)現(xiàn)隔離，每個(gè)用戶在VRF內(nèi)通過(guò)VLAN映射成不同的VXLAN，最終在通道內(nèi)經(jīng)由VXLAN數(shù)據(jù)傳輸實(shí)現(xiàn)隔離，以此保障傳輸安全[4]。

4 成效

4.1 實(shí)現(xiàn)位址分離的網(wǎng)絡(luò)架構(gòu)

傳統(tǒng)網(wǎng)絡(luò)劃分L3網(wǎng)段時(shí)通常和地理位置緊密關(guān)聯(lián)，根據(jù)不同樓宇或樓層劃分不同L3網(wǎng)段，當(dāng)員工地理位置發(fā)生改變時(shí)往往跨越不同的L3網(wǎng)段會(huì)發(fā)生IP地址的變更從而喪失原有的權(quán)限,因此網(wǎng)絡(luò)管理人員需根據(jù)新的IP重新調(diào)整對(duì)應(yīng)的權(quán)限，針對(duì)該員工的策略控制也需做兩套，增加網(wǎng)管的負(fù)擔(dān)，也浪費(fèi)交換機(jī)的ACL資源。通過(guò)AD Campus網(wǎng)絡(luò)將VXLAN和Overlay技術(shù)結(jié)合實(shí)現(xiàn)柔性網(wǎng)絡(luò)架構(gòu)。使整體網(wǎng)絡(luò)架構(gòu)較靈活，業(yè)務(wù)部署(應(yīng)用/終端)可以實(shí)現(xiàn)與地理位置無(wú)關(guān)[5]。無(wú)狀態(tài)網(wǎng)絡(luò)的核心實(shí)現(xiàn)位址分離，將用戶分配的IP地址和實(shí)際地理位置解耦合,使IP地址可以在全網(wǎng)任意位置接入，不管用戶移動(dòng)到哪IP地址都能隨身攜帶。IP地址不僅能承擔(dān)路由連通性的技術(shù)功能，還具有身份和業(yè)務(wù)的標(biāo)識(shí)功能，達(dá)到用戶無(wú)感無(wú)狀態(tài)的效果。此網(wǎng)絡(luò)結(jié)構(gòu)下當(dāng)員工地理位置發(fā)生變化時(shí)不需要分派兩個(gè)地址，只需要一個(gè)固定IP地址即可，不管在哪個(gè)工位辦公都可以使用，網(wǎng)管做策略時(shí)只要針對(duì)一個(gè)IP地址，工作量降低。對(duì)于分散在不同大樓的同部門員工可以分派同一個(gè)網(wǎng)段的地址，前綴相同，這樣做策略時(shí)可以針對(duì)IP前綴做一條策略即可，避免逐個(gè)IP地址做策略。

4.2 實(shí)現(xiàn)用戶策略隨行

通常要實(shí)現(xiàn)策略隨行需對(duì)用戶進(jìn)行分組，傳統(tǒng)的分組方式受地理位置影響，與地理位置緊耦合。同一個(gè)用戶組位于同一個(gè)辦公區(qū)，通常很難跨越地理的局限。這樣用戶一旦移動(dòng)起來(lái)策略實(shí)施就非常復(fù)雜，要達(dá)到策略跟隨或者體驗(yàn)一致也非常困難。將用戶分組和IP網(wǎng)段嚴(yán)格對(duì)應(yīng)，用戶未入網(wǎng)前整個(gè)網(wǎng)絡(luò)的策略控制內(nèi)容已確定，通過(guò)采用名址綁定的方式為每個(gè)接入用戶分配唯一的用戶名，將用戶名和IP地址一一對(duì)應(yīng)。由于其本身提供無(wú)狀態(tài)下任意位置訪問(wèn)功能，將用戶名和IP地址綁定的功能相結(jié)合，當(dāng)用戶位置發(fā)生變化后，因IP地址和網(wǎng)段沒(méi)有變化，所以針對(duì)IP的策略也未發(fā)生調(diào)整，這種針對(duì)IP的策略也是針對(duì)用戶的策略，從而實(shí)現(xiàn)用戶策略隨行。

4.3 網(wǎng)隨人動(dòng)

通常醫(yī)院網(wǎng)絡(luò)終端根據(jù)最初的IP規(guī)劃接入到相關(guān)接入交換機(jī)的端口，從而實(shí)現(xiàn)VLAN等權(quán)限和終端的匹配，不能解決用戶和終端任意位置接入權(quán)限分配的問(wèn)題，同時(shí)終端接入位置也受限制。AD Campus網(wǎng)絡(luò)將人和應(yīng)用作為核心，所有網(wǎng)絡(luò)資源跟隨人和應(yīng)用移動(dòng)，用戶在哪接入資源就下發(fā)到哪，真正體現(xiàn)柔性網(wǎng)絡(luò)的網(wǎng)隨人動(dòng)特點(diǎn)[6]。

4.4 設(shè)備自動(dòng)化部署

傳統(tǒng)的網(wǎng)絡(luò)上線需要網(wǎng)絡(luò)維護(hù)人員為每臺(tái)設(shè)備依次加電、更新版本、寫配置、組網(wǎng)、調(diào)試和運(yùn)行，逐臺(tái)在核心、匯聚、接入配置。管理人員工作量大、冗雜而容易出錯(cuò)，網(wǎng)絡(luò)上線時(shí)間較長(zhǎng)。該網(wǎng)絡(luò)架構(gòu)中設(shè)備自動(dòng)化部署得到極大簡(jiǎn)化，由于是無(wú)差別的網(wǎng)絡(luò)，同樣角色的設(shè)備配置基本相同，這樣可以根據(jù)設(shè)備角色設(shè)定少量模板，一種角色的設(shè)備盡管數(shù)量很多，但由于共享同一個(gè)角色，因此使用一個(gè)配置模板，整網(wǎng)模板數(shù)量只有少量幾種。設(shè)備加電后自動(dòng)加載版本、配置，網(wǎng)管人員零干預(yù)啟動(dòng)。自動(dòng)部署的核心是由于AD Campus網(wǎng)絡(luò)將整網(wǎng)接入設(shè)備配置完全整合變成一份完全相同的配置文件，同時(shí)匯聚層設(shè)備也進(jìn)行整合變成一份相同的配置。這大大簡(jiǎn)化配置文件編寫的復(fù)雜度， 使得各層次設(shè)備配置模板化，自動(dòng)部署成本難度大大降低，同時(shí)也避免人為誤操作風(fēng)險(xiǎn)，實(shí)現(xiàn)自動(dòng)化部署，極大減輕網(wǎng)絡(luò)管理人員工作負(fù)擔(dān)。

5 結(jié)論

VXLAN多網(wǎng)融合網(wǎng)絡(luò)架構(gòu)的核心技術(shù)支撐是在核心和匯聚之間構(gòu)成的L3網(wǎng)絡(luò)基礎(chǔ)之上基于VXLAN技術(shù)構(gòu)建Overlay網(wǎng)絡(luò)。針對(duì)不同用戶組對(duì)不同應(yīng)用的訪問(wèn)創(chuàng)建不同VXLAN隧道，數(shù)據(jù)傳輸相互隔離，保障整體訪問(wèn)的安全性。基于VXLAN的醫(yī)院多網(wǎng)融合技術(shù)架構(gòu)有以下特點(diǎn):一是降低投入成本，內(nèi)網(wǎng)、外網(wǎng)、設(shè)備網(wǎng)絡(luò)運(yùn)行在同一物理網(wǎng)絡(luò)上,無(wú)需部署多套硬件設(shè)備，減少網(wǎng)絡(luò)硬件投入。二是更好地服務(wù)于臨床，全網(wǎng)用戶可以從任意位置接入，無(wú)需更改IP即可獲取和以往相同訪問(wèn)權(quán)限，無(wú)需等待信息中心人員重新調(diào)整策略，給臨床一線工作帶來(lái)便利，從網(wǎng)絡(luò)服務(wù)層面促進(jìn)臨床工作。三是運(yùn)維簡(jiǎn)單化，整網(wǎng)核心、匯聚、接入各配置統(tǒng)一簡(jiǎn)化配置,新設(shè)備上線可實(shí)現(xiàn)自動(dòng)部署,簡(jiǎn)化網(wǎng)絡(luò)管理人員運(yùn)維工作。四是智慧便民，構(gòu)建高可用、易擴(kuò)展、互聯(lián)互通的多網(wǎng)融合網(wǎng)架結(jié)構(gòu)有效保障醫(yī)院臨床應(yīng)用系統(tǒng)的穩(wěn)定性，及時(shí)有效地傳輸患者相關(guān)就診及結(jié)算信息，減少給排隊(duì)等待時(shí)間，給就診帶來(lái)便利。

目前基于VXLAN的網(wǎng)絡(luò)融合技術(shù)在醫(yī)療信息化領(lǐng)域應(yīng)用還不廣泛，依托信息技術(shù)為基礎(chǔ)的智慧醫(yī)院離不開(kāi)高可用、易擴(kuò)展的基礎(chǔ)網(wǎng)絡(luò)為支撐。本文系統(tǒng)性地介紹VXLAN的技術(shù)原理和基于VXLAN多網(wǎng)融合網(wǎng)絡(luò)架構(gòu)研究與應(yīng)用，是對(duì)目前VXLAN技術(shù)研究成果在醫(yī)療信息化領(lǐng)域應(yīng)用的總結(jié)?；赩XLAN的多網(wǎng)融合技術(shù)對(duì)于打造互聯(lián)互通、惠民、惠醫(yī)、惠政的智慧醫(yī)院有著至關(guān)重要的作用。