基于SDN的醫院網絡改造實踐探討

唐 夏 楊 強 謝洪波

(遂寧市中心醫院信息科 四川遂寧 629000)

引 言

隨著醫院的業務和規模不斷發展壯大，其對網絡的要求也越來越高。傳統網絡架構存在網絡僵化嚴重、管理難度大、安全風險高等問題，軟件定義網絡(Software Defined Network，SDN)順應潮流被適時地提出。SDN是一種全新的網絡創新架構，其核心思想是“將控制平面與數據平面分離、將軟硬件解耦，并通過API使網絡功能可編程”。[1]將SDN應用到醫院網絡中能很好地解決傳統網絡的弊端，能有效地將傳統網絡設備、交換機、安全設備等網絡資源融合起來，實現物理資源、虛擬資源的隨需而動，從而實現網絡運維的集中化、便捷化、靈活彈性化、資源池化、安全可靠化。

一、醫院網絡現狀

(一)網絡僵化嚴重

醫院業務部署與物理網絡拓撲強相關，主要按地理位置業務功能等進行VLAN劃分，并控制它們之間的訪問。部門搬遷、工位調整導致IP變更需要不斷地調整網絡；網絡僵化導致網絡設備故障替換、配置還原、新增安全防護設備等部署困難。

(二)管理難度大

內網、外網、無線網、物聯網、設備網等在醫院的應用，網絡規模越來越大，業務類型越來越多，導致醫院的網絡系統趨于復雜，管理起來困難。

(三)安全風險高

隨著醫院業務的拓展，智能終端越來越多，公共區域端口開放導致安全設備也逐漸增多。與此同時，本院現有兩臺思科交換機已使用十余年，維修配件等均已停產，存在嚴重的安全風險。

二、SDN網絡體系

SDN架構在網絡中引入了三個不同的層：包含所有網絡元素的數據平面層、帶有SDN控制器的控制平面層和使網絡可編程的應用層。其基本結構框架如下圖1：

圖1 SDN基本結構框架

這三層結構外部相互獨立，而內部又密切關聯。中間的控制層與應用層的各個業務應用通過北向接口(API)相互連接，而與底層的數據平面層的網絡設備由南向接口實現，即以OpenFlow為協議標準，它的作用就是轉發功能。但是，我們需要明確因為北向接口沒有公有標準，基于SDN網絡改造時需考慮兼容性問題。

三、傳統網絡與SDN網絡架構對比

四、醫院網絡改造建設思路

(一)業務隨行+可視化運維管理解決方案

隨著醫院“整體上云”的建設步伐加快，傳統方式的網絡架構已逐漸不能滿足醫院需求。醫院要求無論用戶身處何地，使用哪個IP地址，都要保證該用戶獲得相同的網絡權限，對其執行對應的用戶策略，能審計到具體人員。同時，醫院對于管理員來說要運用集中化、便捷化、可視化的運維管理。因此，基于SDN的“網隨人動”的業務隨行模式+可視化運維管理成為醫院網絡改造的解決方案。[2]

這種方案相對于傳統方案，最大的區別在于，業務隨行提出了安全組的概念。安全組，即擁有相同網絡訪問策略的一組用戶。安全組僅與用戶身份有關，與用戶VLAN、IP等網絡信息完全解耦。部署方案如下圖2：

圖2 業務隨行+可視化運維管理部署圖

(二)工作流程

業務隨行的工作流程如下圖3：

第一步：定義用戶和安全組，實現終端接入認證，所有用戶必須通過認證后才能接入網絡；

第二步：定義組權限和策略，并下發給所有關聯的執行點設備；

第三步：用戶發起認證，Controller根據用戶的登錄條件，將其與安全組關聯。認證成功后，Controller將該用戶所屬安全組下發給認證點，認證點將用戶的真實IP地址上報給Controller。Controller收集所有上線用戶的IP地址；

第四步：用戶發起業務流量；

第五步：判定有無用戶信息。當策略執行點收到報文后，根據Controller同步的用戶信息，識別報文的源/目的IP對應的用戶組，若有，用戶信息則執行策略；若無，執行點可以主動向Controller查詢IP所屬組信息。[3]

圖3 業務隨行-工作流程圖

(三)改造后網絡架構的優勢

1.實現物理位置與網絡位置解耦

通過SDN控制器，使醫院業務部署與物理網絡拓撲弱相關，擺脫按地理位置業務功能等進行VLAN劃分的局面，用戶位置可隨時變更、終端任意部署、網絡管理實現“零”干預。

2.實現網絡訪問策略與lP解耦

管理員在SDN控制器基于用戶身份進行安全組統一劃分，通過策略矩陣統一管理業務策略，配置簡單，維護方便，能夠有效保障用戶移動時網絡訪問權限一致。

3.業務帶寬和QoS保障

Controller統一配置，認證點交換機和防火墻上執行用戶限速，邊界防火墻和SVN保障VIP用戶流量優先轉發。

4.實現安全用戶隔離

二層端口隔離+基于安全組的組間隔離，組間隔離策略與IP解耦，配置簡單，維護方便，能夠有效實現用戶隔離。

5.實現可視化運維管理

以安全組為基礎，通過定義不同用戶組、組間策略和QoS，大大簡化規劃和配置工作量，且策略矩陣簡單形象，具備可視化運維管理界面，理解容易，維護簡單。

五、總結展望

如今的網絡是在過去幾十年中建立的，它非常復雜，我們無法在短時間內拆除和更換網絡。我們相信大多數網絡都是軟件定義的、可編程的和被虛擬化，隨著醫院信息化逐步向云方式的轉變，通過SDN控制器與云平臺的對接，實現業務端到端自動化交付一定會成為業界的主流。本文探討了基于SDN的醫院網絡改造，提出業務隨行的網絡改造方案，SDN在醫院網絡中的成功應用必將顛覆醫院傳統網絡架構，而目前SDN在醫療領域中還沒有形成統一的規范，想要廣泛應用還需要時間的積淀。