◆江濤 宋念東 潘傳迪 劉翔

（1.皖南醫(yī)學(xué)院弋磯山醫(yī)院 安徽 241001；2.皖南醫(yī)學(xué)院 安徽 241002）

目前，大多數(shù)醫(yī)院都建有內(nèi)網(wǎng)、外網(wǎng)、設(shè)備網(wǎng)等多套計算機網(wǎng)絡(luò)，隨著醫(yī)院信息化的不斷發(fā)展，業(yè)務(wù)的差異化安全要求和業(yè)務(wù)融合的發(fā)展趨勢之間的矛盾越發(fā)突出，如何解決這一矛盾，并在建設(shè)成本和建設(shè)效果之間取得平衡，是醫(yī)院網(wǎng)絡(luò)建設(shè)必須考慮的問題[1]。鑒于上述考慮，皖南醫(yī)學(xué)院第一附屬醫(yī)院采用了多網(wǎng)融合技術(shù)對計算機網(wǎng)絡(luò)進(jìn)行升級改造，將醫(yī)院內(nèi)網(wǎng)、外網(wǎng)、設(shè)備網(wǎng)承載在一套物理網(wǎng)絡(luò)上，進(jìn)行統(tǒng)一部署和管理，取得良好效果。

1 醫(yī)院計算機網(wǎng)絡(luò)設(shè)計原則

（1）整體規(guī)劃原則。為滿足醫(yī)院集中管理要求，需要進(jìn)行計算機網(wǎng)絡(luò)整體規(guī)劃，特別是大量的數(shù)字化醫(yī)學(xué)儀器的投入應(yīng)用，更需要站在數(shù)字化應(yīng)用的高度進(jìn)行統(tǒng)一規(guī)劃。

（2）經(jīng)濟實用原則。在確保系統(tǒng)安全和性能的前提下，系統(tǒng)設(shè)計應(yīng)堅持實用性和經(jīng)濟性原則。通過精心設(shè)計、優(yōu)選產(chǎn)品、科學(xué)組合、嚴(yán)控安裝，以達(dá)到小投入大效益目的。

（3）成熟性和前瞻性原則。盡量采用成熟的或經(jīng)過實踐檢驗的先進(jìn)技術(shù)，同時，在滿足成熟性的前提下，技術(shù)適當(dāng)前瞻。

（4）標(biāo)準(zhǔn)化原則。采用標(biāo)準(zhǔn)化、結(jié)構(gòu)化、模塊化設(shè)計。選用的技術(shù)設(shè)備應(yīng)具有協(xié)同運行的能力和良好的開放性，并提供標(biāo)準(zhǔn)接口，便于系統(tǒng)將來的拓展或升級。

（5）安全性原則。包括系統(tǒng)自身和數(shù)據(jù)傳輸?shù)陌踩?，此外，系統(tǒng)應(yīng)具有對系統(tǒng)運行狀態(tài)的監(jiān)控、分析、優(yōu)化、故障監(jiān)測及在線排除等功能。

2 多網(wǎng)融合網(wǎng)絡(luò)架構(gòu)設(shè)計說明

網(wǎng)絡(luò)由核心、匯聚、接入三層設(shè)備組成，外部部署園區(qū)控制器。

網(wǎng)絡(luò)核心使用2臺核心交換機，分別在醫(yī)院兩個機房各部署一臺，并部署雙機虛擬化。每棟大樓均部署2臺匯聚交換機，實現(xiàn)雙機虛擬化，并部署VXLAN網(wǎng)關(guān)。每臺匯聚交換機萬兆雙鏈路連到兩臺核心交換機上。每個弱電間的接入層部署接入交換機并進(jìn)行虛擬化（二臺或多臺堆疊），萬兆雙鏈路至匯聚交換機。核心交換機旁掛部署控制器。網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

該網(wǎng)絡(luò)架構(gòu)設(shè)計有如下一些特點。

（1）匯聚層和核心層之間構(gòu)建overlay網(wǎng)絡(luò)，采用分布式L3網(wǎng)關(guān)。接入層通過動態(tài)VLAN和TRUNK方式上連到匯聚層，由匯聚層實現(xiàn)VLAN到VXLAN的映射。

（2）采用面向用戶的分組管理模式，根據(jù)屬性及訪問權(quán)限將用戶進(jìn)行分組，將服務(wù)器端的資源分到相應(yīng)的用戶組進(jìn)行統(tǒng)一管理。采用矩陣表格方式進(jìn)行策略定義，直觀且操作簡單。

（3）用戶接入認(rèn)證基于5W1H，即根據(jù)who（誰）、whose（誰的設(shè)備）、what（什么設(shè)備）、where（什么地點）、when（什么時間）、how（什么方式）多個維度進(jìn)行接入認(rèn)證。

（4）支持用戶終端MAC和獲取的IP地址一對一固定的需求。終端無論移動到哪里，都可以做到始終獲取唯一固定的IP。

（5）園區(qū)網(wǎng)控制器采用圖形化界面。對網(wǎng)絡(luò)的配置操作，如用戶組及策略配置、接入認(rèn)證、自動化上線、業(yè)務(wù)配置、網(wǎng)絡(luò)運維等都可在園區(qū)控制器上通過圖形化界面操作完成，園區(qū)控制器將網(wǎng)絡(luò)管理員圖形化界面操作轉(zhuǎn)化為網(wǎng)絡(luò)設(shè)備具體命令后下發(fā)給相關(guān)設(shè)備執(zhí)行。

圖1多網(wǎng)融合網(wǎng)絡(luò)拓?fù)鋱D

3 多網(wǎng)融合網(wǎng)絡(luò)特點

3.1 柔性網(wǎng)絡(luò)

柔性網(wǎng)絡(luò)包含兩方面含義：①網(wǎng)絡(luò)架構(gòu)靈活，業(yè)務(wù)部署可以實現(xiàn)與位置無關(guān)；②終端和用戶根據(jù)位置匹配通道的模式，網(wǎng)絡(luò)資源隨用戶和應(yīng)用移動。具體包括如下特點：

（1）無狀態(tài)網(wǎng)絡(luò)。傳統(tǒng)網(wǎng)絡(luò)劃分三層（L3）網(wǎng)段時常與位置緊密關(guān)聯(lián)，網(wǎng)絡(luò)要根據(jù)不同的樓層或辦公室劃分不同的L3網(wǎng)段，這種模式下難以實現(xiàn)用戶移動辦公，因為用戶移動往往要跨越不同L3網(wǎng)段，無法保留原IP地址和權(quán)限，給工作帶來麻煩。無狀態(tài)網(wǎng)絡(luò)的核心是IP地址與位置解耦，即位址分離，用戶或終端在網(wǎng)絡(luò)中任意位置接入，都不需要改變網(wǎng)絡(luò)配置且保留IP地址不變。

（2）策略隨行。策略隨行的核心是用戶和IP地址綁定，即名址綁定。除了用戶和IP綁定外，還可以實現(xiàn)業(yè)務(wù)組或用戶組和IP網(wǎng)段的綁定，以實現(xiàn)通過IP段標(biāo)識業(yè)務(wù)組或用戶組。比如財務(wù)人員可能在網(wǎng)絡(luò)的不同位置辦公，我們可以將其分配在同一個網(wǎng)段內(nèi)。

（3）網(wǎng)隨人動。傳統(tǒng)網(wǎng)絡(luò)不能解決用戶和終端在任意位置接入時權(quán)限和IP地址保留問題。網(wǎng)隨人動即將用戶和應(yīng)用作為核心，網(wǎng)絡(luò)資源跟隨用戶和應(yīng)用移動。

（4）多業(yè)務(wù)隔離。整網(wǎng)采用overlay技術(shù)，天然具備業(yè)務(wù)隔離能力，相比MPLS的隔離方式，VXLAN的隔離只需要在端點（VTEP）做隔離[2]。不僅讓整個運維節(jié)點大幅減少，而且保證了業(yè)務(wù)隔離的強度。園區(qū)控制器提供兩種隔離方式，一是類似MPLS的VRF隔離，每個用戶組在VTEP節(jié)點分配不同的VRF，VRF之間在路由層面實現(xiàn)隔離，每個用戶在VRF內(nèi)通過VLAN映射成不同的VXLAN[3]。二是ACL的隔離方式，因為每個用戶組在IP分配的時候已經(jīng)分配在不同的網(wǎng)段，因此不同用戶組在接入之后獲取的是不同網(wǎng)段的IP，ACL隔離相對比較簡單，一條ACL就可以實現(xiàn)不同用戶組之間的網(wǎng)絡(luò)隔離。

將整網(wǎng)控制和轉(zhuǎn)發(fā)進(jìn)行分離，業(yè)務(wù)與設(shè)備進(jìn)行解耦合，底層硬件資源負(fù)責(zé)數(shù)據(jù)的轉(zhuǎn)發(fā)，上層的控制平面負(fù)責(zé)業(yè)務(wù)的轉(zhuǎn)發(fā)，在邏輯上將整個網(wǎng)切成多個平面，承載不同的業(yè)務(wù)，各業(yè)務(wù)之間互不影響，底層是物理網(wǎng)絡(luò)，通過配置不同的用戶組將網(wǎng)絡(luò)隔離為內(nèi)網(wǎng)、外網(wǎng)、設(shè)備網(wǎng)等網(wǎng)絡(luò)。

3.2 軟件定義

通過SDN思想，將網(wǎng)絡(luò)控制平臺集中，實現(xiàn)網(wǎng)絡(luò)運維極簡，真正將網(wǎng)絡(luò)管理人員從低價值勞動中解放出來。具體特點如下：

（1）設(shè)備自動部署。匯聚層和接入層交換機上電后自適應(yīng)下載配置文件，加載相關(guān)配置，無須網(wǎng)管人員干預(yù)，真正實現(xiàn)設(shè)備自動部署。

（2）園區(qū)一鍵啟動。通過控制器上的圖形化界面，完成用戶、終端、用戶組等網(wǎng)絡(luò)資源定義和網(wǎng)絡(luò)訪問策略定義，定義完成后一鍵啟動。資源定義和網(wǎng)絡(luò)訪問策略定義舉例如表1、表2。

圖2多業(yè)務(wù)隔離

表1用戶組及相關(guān)網(wǎng)絡(luò)資源定義舉例

表2網(wǎng)絡(luò)訪問策略定義舉例

（3）可視化運維。應(yīng)用驅(qū)動園區(qū)儀表盤從用戶、終端和業(yè)務(wù)的角度，將整網(wǎng)實時狀態(tài)以圖形化界面顯示，內(nèi)容包括：1）終端接入信息。展示接入終端類型和有線、無線的接入比例。2）應(yīng)用信息巡展。從應(yīng)用維度展示其繁忙度和在線用戶數(shù)量、IP容量和TopN應(yīng)用訪問流量，呈現(xiàn)應(yīng)用可用性。

3）用戶地圖信息。結(jié)合園區(qū)地圖實時顯示全網(wǎng)在線用戶分布情況。

4）流量信息。展示用戶最常訪問的應(yīng)用和網(wǎng)站及其流量監(jiān)控。

5）對于承載應(yīng)用的底層基礎(chǔ)網(wǎng)絡(luò)，應(yīng)用驅(qū)動園區(qū)儀表盤提供資源信息，展示全網(wǎng)有線、無線資源的平均使用率和接入帶寬。

用戶可靈活自定義園區(qū)儀表盤，實時展現(xiàn)用戶最關(guān)心的網(wǎng)絡(luò)業(yè)務(wù)運行狀況。

4 應(yīng)用體會

智慧醫(yī)療和互聯(lián)網(wǎng)醫(yī)院的建設(shè)，對基礎(chǔ)網(wǎng)絡(luò)架構(gòu)提出更高的要求，不僅僅局限于傳統(tǒng)架構(gòu)對隔離的要求，新形勢下要求基礎(chǔ)架構(gòu)靈活可變、軟件定義、易擴展和便運維?；诙嗑W(wǎng)融合技術(shù)的計算機網(wǎng)絡(luò)系統(tǒng)能支撐智慧醫(yī)療和互聯(lián)網(wǎng)醫(yī)院建設(shè)需求，解決業(yè)務(wù)的差異化安全要求和業(yè)務(wù)融合的發(fā)展趨勢之間的矛盾，在確保系統(tǒng)安全和性能的前提下，提升醫(yī)院整體業(yè)務(wù)水平。