唐 夏 楊 強 謝洪波

(遂寧市中心醫(yī)院信息科 四川遂寧 629000)

引 言

隨著醫(yī)院的業(yè)務(wù)和規(guī)模不斷發(fā)展壯大，其對網(wǎng)絡(luò)的要求也越來越高。傳統(tǒng)網(wǎng)絡(luò)架構(gòu)存在網(wǎng)絡(luò)僵化嚴重、管理難度大、安全風險高等問題，軟件定義網(wǎng)絡(luò)(Software Defined Network，SDN)順應(yīng)潮流被適時地提出。SDN是一種全新的網(wǎng)絡(luò)創(chuàng)新架構(gòu)，其核心思想是“將控制平面與數(shù)據(jù)平面分離、將軟硬件解耦，并通過API使網(wǎng)絡(luò)功能可編程”。[1]將SDN應(yīng)用到醫(yī)院網(wǎng)絡(luò)中能很好地解決傳統(tǒng)網(wǎng)絡(luò)的弊端，能有效地將傳統(tǒng)網(wǎng)絡(luò)設(shè)備、交換機、安全設(shè)備等網(wǎng)絡(luò)資源融合起來，實現(xiàn)物理資源、虛擬資源的隨需而動，從而實現(xiàn)網(wǎng)絡(luò)運維的集中化、便捷化、靈活彈性化、資源池化、安全可靠化。

一、醫(yī)院網(wǎng)絡(luò)現(xiàn)狀

(一)網(wǎng)絡(luò)僵化嚴重

醫(yī)院業(yè)務(wù)部署與物理網(wǎng)絡(luò)拓撲強相關(guān)，主要按地理位置業(yè)務(wù)功能等進行VLAN劃分，并控制它們之間的訪問。部門搬遷、工位調(diào)整導致IP變更需要不斷地調(diào)整網(wǎng)絡(luò)；網(wǎng)絡(luò)僵化導致網(wǎng)絡(luò)設(shè)備故障替換、配置還原、新增安全防護設(shè)備等部署困難。

(二)管理難度大

內(nèi)網(wǎng)、外網(wǎng)、無線網(wǎng)、物聯(lián)網(wǎng)、設(shè)備網(wǎng)等在醫(yī)院的應(yīng)用，網(wǎng)絡(luò)規(guī)模越來越大，業(yè)務(wù)類型越來越多，導致醫(yī)院的網(wǎng)絡(luò)系統(tǒng)趨于復雜，管理起來困難。

(三)安全風險高

隨著醫(yī)院業(yè)務(wù)的拓展，智能終端越來越多，公共區(qū)域端口開放導致安全設(shè)備也逐漸增多。與此同時，本院現(xiàn)有兩臺思科交換機已使用十余年，維修配件等均已停產(chǎn)，存在嚴重的安全風險。

二、SDN網(wǎng)絡(luò)體系

SDN架構(gòu)在網(wǎng)絡(luò)中引入了三個不同的層：包含所有網(wǎng)絡(luò)元素的數(shù)據(jù)平面層、帶有SDN控制器的控制平面層和使網(wǎng)絡(luò)可編程的應(yīng)用層。其基本結(jié)構(gòu)框架如下圖1：

圖1 SDN基本結(jié)構(gòu)框架

這三層結(jié)構(gòu)外部相互獨立，而內(nèi)部又密切關(guān)聯(lián)。中間的控制層與應(yīng)用層的各個業(yè)務(wù)應(yīng)用通過北向接口(API)相互連接，而與底層的數(shù)據(jù)平面層的網(wǎng)絡(luò)設(shè)備由南向接口實現(xiàn)，即以O(shè)penFlow為協(xié)議標準，它的作用就是轉(zhuǎn)發(fā)功能。但是，我們需要明確因為北向接口沒有公有標準，基于SDN網(wǎng)絡(luò)改造時需考慮兼容性問題。

三、傳統(tǒng)網(wǎng)絡(luò)與SDN網(wǎng)絡(luò)架構(gòu)對比

四、醫(yī)院網(wǎng)絡(luò)改造建設(shè)思路

(一)業(yè)務(wù)隨行+可視化運維管理解決方案

隨著醫(yī)院“整體上云”的建設(shè)步伐加快，傳統(tǒng)方式的網(wǎng)絡(luò)架構(gòu)已逐漸不能滿足醫(yī)院需求。醫(yī)院要求無論用戶身處何地，使用哪個IP地址，都要保證該用戶獲得相同的網(wǎng)絡(luò)權(quán)限，對其執(zhí)行對應(yīng)的用戶策略，能審計到具體人員。同時，醫(yī)院對于管理員來說要運用集中化、便捷化、可視化的運維管理。因此，基于SDN的“網(wǎng)隨人動”的業(yè)務(wù)隨行模式+可視化運維管理成為醫(yī)院網(wǎng)絡(luò)改造的解決方案。[2]

這種方案相對于傳統(tǒng)方案，最大的區(qū)別在于，業(yè)務(wù)隨行提出了安全組的概念。安全組，即擁有相同網(wǎng)絡(luò)訪問策略的一組用戶。安全組僅與用戶身份有關(guān)，與用戶VLAN、IP等網(wǎng)絡(luò)信息完全解耦。部署方案如下圖2：

圖2 業(yè)務(wù)隨行+可視化運維管理部署圖

(二)工作流程

業(yè)務(wù)隨行的工作流程如下圖3：

第一步：定義用戶和安全組，實現(xiàn)終端接入認證，所有用戶必須通過認證后才能接入網(wǎng)絡(luò)；

第二步：定義組權(quán)限和策略，并下發(fā)給所有關(guān)聯(lián)的執(zhí)行點設(shè)備；

第三步：用戶發(fā)起認證，Controller根據(jù)用戶的登錄條件，將其與安全組關(guān)聯(lián)。認證成功后，Controller將該用戶所屬安全組下發(fā)給認證點，認證點將用戶的真實IP地址上報給Controller。Controller收集所有上線用戶的IP地址；

第四步：用戶發(fā)起業(yè)務(wù)流量；

第五步：判定有無用戶信息。當策略執(zhí)行點收到報文后，根據(jù)Controller同步的用戶信息，識別報文的源/目的IP對應(yīng)的用戶組，若有，用戶信息則執(zhí)行策略；若無，執(zhí)行點可以主動向Controller查詢IP所屬組信息。[3]

圖3 業(yè)務(wù)隨行-工作流程圖

(三)改造后網(wǎng)絡(luò)架構(gòu)的優(yōu)勢

1.實現(xiàn)物理位置與網(wǎng)絡(luò)位置解耦

通過SDN控制器，使醫(yī)院業(yè)務(wù)部署與物理網(wǎng)絡(luò)拓撲弱相關(guān)，擺脫按地理位置業(yè)務(wù)功能等進行VLAN劃分的局面，用戶位置可隨時變更、終端任意部署、網(wǎng)絡(luò)管理實現(xiàn)“零”干預。

2.實現(xiàn)網(wǎng)絡(luò)訪問策略與lP解耦

管理員在SDN控制器基于用戶身份進行安全組統(tǒng)一劃分，通過策略矩陣統(tǒng)一管理業(yè)務(wù)策略，配置簡單，維護方便，能夠有效保障用戶移動時網(wǎng)絡(luò)訪問權(quán)限一致。

3.業(yè)務(wù)帶寬和QoS保障

Controller統(tǒng)一配置，認證點交換機和防火墻上執(zhí)行用戶限速，邊界防火墻和SVN保障VIP用戶流量優(yōu)先轉(zhuǎn)發(fā)。

4.實現(xiàn)安全用戶隔離

二層端口隔離+基于安全組的組間隔離，組間隔離策略與IP解耦，配置簡單，維護方便，能夠有效實現(xiàn)用戶隔離。

5.實現(xiàn)可視化運維管理

以安全組為基礎(chǔ)，通過定義不同用戶組、組間策略和QoS，大大簡化規(guī)劃和配置工作量，且策略矩陣簡單形象，具備可視化運維管理界面，理解容易，維護簡單。

五、總結(jié)展望

如今的網(wǎng)絡(luò)是在過去幾十年中建立的，它非常復雜，我們無法在短時間內(nèi)拆除和更換網(wǎng)絡(luò)。我們相信大多數(shù)網(wǎng)絡(luò)都是軟件定義的、可編程的和被虛擬化，隨著醫(yī)院信息化逐步向云方式的轉(zhuǎn)變，通過SDN控制器與云平臺的對接，實現(xiàn)業(yè)務(wù)端到端自動化交付一定會成為業(yè)界的主流。本文探討了基于SDN的醫(yī)院網(wǎng)絡(luò)改造，提出業(yè)務(wù)隨行的網(wǎng)絡(luò)改造方案，SDN在醫(yī)院網(wǎng)絡(luò)中的成功應(yīng)用必將顛覆醫(yī)院傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，而目前SDN在醫(yī)療領(lǐng)域中還沒有形成統(tǒng)一的規(guī)范，想要廣泛應(yīng)用還需要時間的積淀。