醫院SDN架構內外網絡一體化建設實踐

孔明軍 曹化菲 劉陽

傳統的醫院網絡一般采用接入、匯聚、核心三層架構，同時為保證網絡安全，內外網大都做嚴格的物理隔離，這種模式雖然具有穩定性強，安全性高的優點，但隨著醫院網絡的不斷發展和擴充，將導致網絡結構越來越繁雜，網絡終端的安裝和維護都非常復雜。SDN作為一種新興的網絡架構，已逐漸被很多醫療機構采用，本文以我院醫養院區網絡改造為例，詳細介紹了利用SDN架構實現醫院內外網絡一體化的建設方案，供業內同仁參考和交流。

我院醫養院區在接手啟用前是按照傳統三層網絡部署的，該院區占地范圍大，共有9座樓宇，建有一個核心配線室，各樓宇分別建有一個匯聚配線室，每個樓宇的樓層設有接入配線間，核心配線室同各樓層分配線室采用光纖線路連接，系統的網絡架構除有內外網核心匯聚區分外，各樓宇分層配線室所有網絡接入的交換設備沒有做內外網絡分離，網絡端口全部都打在同級配線架上。由于醫院運營同時具有內外網絡的接入需求，為保證網絡安全性，將面臨對內外網終端的接入做安全隔離的需求，如果采用傳統隔離方式，要對所有樓層接入交換設備進行內外網分離，一方面項目實施將非常復雜，還會破壞配線室規整的配線結構，導致跳線較為凌亂，另外要增加較多的交換設備才能完成，投入資金也較大。基于以上原因，我們論證和實施了SDN網絡架構模式，在基本不改變原有網絡結構的前提下，實現了醫養院區內外網絡有線無線的一體化改造，同時也考慮了網絡安全的基本要求。

一、原網架構

醫養院區原內外網絡架構為三層架構（即核心-匯聚-接入），有線網絡共覆蓋9棟樓，無線網絡覆蓋7棟樓（除1#、9#樓），機房至每棟樓之間通過千兆光纖連接，每棟樓部署一臺匯聚交換機，下聯樓層接入交換機；網絡出口部署一臺防火墻及出口網關，保證網絡安全及互聯網訪問需求。無線設計采用AC+FIT AP 組網模式，通過AC控制器對所有AP進行控制管理，無需單個AP設置，方便快捷，整網無漫游，可以提供良好的上網體驗。

二、升級架構

為保證網絡內外網絡的安全性，同時減少設備投資，本次設計把現有網絡升級為SDN網絡，可以實現無狀態網絡、策略隨行、網隨點動、有線無線一體化、虛擬網絡隔離、業務按需交付等功能。

本次改造更換現有內網核心、匯聚交換機，設備需支持VXLAN三層網關，作為SDN新網絡的Spine、Leaf節點，原接入交換機作為Access節點，無需更換；增加一套SDN控制器，實現對整網運維及配置下發；同時通過對現有無線系統認證節點與新增SDN控制器做對接，即可實現整網有線無線深度融合，即用戶無論通過有線還是無線認證連接，用戶地址不變，策略不變。

通過對業務的邏輯劃分，區分內網及外網用戶，隔離方式上，SDN網絡提供兩種隔離方式，一是類似MPLS的VRF隔離，不同的用戶組通過VTEP 節點進行分配控制，分配的不同的VRF之間由關聯的路由進行隔離，同時用戶把各個VLAN段分別映射，形成一組隔離的VXLAN進行數據傳輸。二是ACL的隔離方式，因為每個用戶組在IP分配的時候已經分配在不同的網段，因此不同用戶組在接入之后獲取的是不同網段的IP，ACL隔離相對比較簡單，一條ACL就可以實現不同用戶組之間的網絡隔離，保證內外網的安全；原有外網、內網核心可作為服務器區的匯聚設備，連接到新的核心交換機上，保證數據中心數據高速傳輸。

三、SDN網絡架構說明

在不改變原有的三層網絡基本架構的前提下，增加一套園區控制器（Campus Director），現有的無線網絡和園區控制器做對接，方案有如下一些特點。

核心層和匯集層之間構建為一個新的無狀態區分的overlay網絡，其分布式的L3網關可以有效的避免網絡廣播風暴的產生，接入交換設備的動態VLAN層通過TRUNK的方式和匯聚層上聯，由匯聚層實現從VLAN到VXLAN的映射。

用戶的策略管理面向用戶分組，同一個用戶分組的屬性和訪問權限是相近的，而服務器端的資源和劃分到相應的用戶組進行統一管理，矩陣式表格的策略定義方便直觀，可以進行無論簡單還是復雜都能控制的策略定義。

系統用戶認證接入機制通過5W1H方式進行靈活控制，其意義是who（是誰），whose（是誰的終端），what（是什么終端），when（在什么時間），where（在什么地點），how（以什么方式）所有接入場景實現了多維度體現。網管用戶可以根據自己的實際需求，方便靈活地定制各種個性化的需求場景。

系統的運維方便性得到很大提高，用戶在定義終端時可以實現MAC地址和IP地址一對一進行綁定，還可以與端口進行進一步的安全綁定，這樣將不限制終端的使用場所，可以實現任意遷移但IP地址不會改變。

園區控制器（Campus Director）負責全網的配置和管理，是整個網絡的核心組件。網絡終端接入、用戶分組、策略定義、業務配置、網絡運維等各級管理在圖形化的可視平臺窗口內完成，任何網絡設備的控制命令都可以在后臺轉換完成并下發到相關設備上即時執行（由于接入交換機不是相同的廠商，其設備命令不同，這需單獨進行配置）。

四、結束語

從本次部署的實踐效果看，SDN架構相對傳統網絡在運維方便性上具有巨大的優勢。這種內外網有線無線一體化的模式大大提高了網管的運維效率，但由于這種架構下內外網絡是邏輯隔離，其終極安全性需要進一步探討和提高。

作者單位：山東省泰安市中心醫院