基于交換機虛擬化技術(shù)構(gòu)建安全可靠高性能的醫(yī)院網(wǎng)絡

周錦

摘要：如今，人們已經(jīng)進入信息時代，對醫(yī)院信息化建設提出了新的要求，傳統(tǒng)的醫(yī)院網(wǎng)絡系統(tǒng)已經(jīng)無法適應多種業(yè)務的系統(tǒng)服務需求。在新時期，交換機虛擬化技術(shù)被廣泛應用于醫(yī)院網(wǎng)絡構(gòu)建中，交換機虛擬技術(shù)具有以下特點：一是資源利用率高，二是安全性好，三是上線速度快，四是方便操作管理，這些都是傳統(tǒng)網(wǎng)絡技術(shù)無法比擬的。交換機虛擬技術(shù)實質(zhì)上是資源管理技術(shù)，能夠整合醫(yī)院現(xiàn)有資源，提高資源的利用率，避免資源的浪費，進而推動醫(yī)院的發(fā)展。本文介紹了醫(yī)院現(xiàn)有網(wǎng)絡拓樸結(jié)構(gòu)以及存在的問題，同時介紹了幾種交換機虛擬化技術(shù)，并通過IRF交換機虛擬化技術(shù)構(gòu)建了新的醫(yī)院網(wǎng)絡拓樸結(jié)構(gòu)。

關(guān)鍵詞：交換機虛擬化;VSS;IRF;CSS;醫(yī)院網(wǎng)絡拓樸結(jié)構(gòu)

昆山市第一人民醫(yī)院現(xiàn)有核心網(wǎng)絡系統(tǒng)建于2009年，經(jīng)過多年的使用，設備已經(jīng)進入電子器件疲勞期，存在突然損壞或宕機的可能性。同時由于設備使用的是上世紀的技術(shù)，在設備性能及設備功能上已經(jīng)無法滿足現(xiàn)有的應用需求。所以需要對現(xiàn)有核心設備進行替換升級，以適應未來68年的信息化發(fā)展需要。

一、醫(yī)院網(wǎng)絡系統(tǒng)現(xiàn)狀

昆山市第一人民醫(yī)院整體網(wǎng)絡系統(tǒng)主要分為兩塊區(qū)域，分別為友誼院區(qū)和本部院區(qū)，兩院區(qū)通過裸光纖進行連接，其中廣仁院區(qū)網(wǎng)絡系統(tǒng)通過祼光纖直接連接在本部院區(qū)，拓樸結(jié)構(gòu)如圖1。

友誼院區(qū)核心交換機采用兩臺H3C S7510E作為核心交換機，兩臺交換機運行VRRP+MSTP協(xié)議，兩臺設備形成主備工作，各樓層接入交換機采用兩條光纖直連方式分別連接兩臺核心交換機，但由于受到協(xié)議的限制，兩條光纖鏈路也是主備關(guān)系，實際可用上行鏈路仍為一條先兆光纖，另一條為備份鏈路處于阻斷狀態(tài)。

現(xiàn)有網(wǎng)絡系統(tǒng)存在的問題。

根據(jù)網(wǎng)絡系統(tǒng)的情況，結(jié)合醫(yī)院實際使用中的問題，我們總結(jié)了現(xiàn)有網(wǎng)絡中存在的隱患及問題。

（1）由于H3C 7510E和H3C 7506是早期設備，雖然每個機房都是兩臺核心交換機主備冗余，但交換機性能沒有充分發(fā)揮，帶寬、性能吃緊。

（2）由于兩院區(qū)間的網(wǎng)絡主備協(xié)議采用VRRP+MSTP的方式，此種協(xié)議方式在主備鏈路間切換時需要時間，影響前臺業(yè)務。

（3）主業(yè)務服務器在友誼院區(qū)，兩院區(qū)間雙光纖連接，但為主備關(guān)系，鏈路資源浪費嚴重，線路中斷切換復雜。

（4）暫無專業(yè)的維護平臺，故障發(fā)現(xiàn)處理均靠人工操作，效率偏低。

二、網(wǎng)絡虛擬化技術(shù)

從2009年開始，CSICO，華為，H3C等主要的網(wǎng)絡設備廠商就已相繼推出了各自的交換機虛擬化技術(shù)，但是這一技術(shù)在當時還不是很穩(wěn)定，近年來這一技術(shù)開始逐漸成熟，并取得了廣泛應用。[1]現(xiàn)在的交換機虛擬化技術(shù)主流有三種，分別是：思科的虛擬交換系統(tǒng)VSS，H3C IRF網(wǎng)絡虛擬化技術(shù)和華為集群交換機系統(tǒng)CSS。

（一）思科虛擬交換系統(tǒng)VSS

在使用VSS技術(shù)的網(wǎng)絡虛擬化交換機中，其中一臺交換機指定為主交換機，另一臺則作為備份交換機。在VSS虛擬網(wǎng)絡結(jié)構(gòu)中，樓層交換機用來連接主交換機和備份交換機的連接的線路，都可以用來傳輸數(shù)據(jù)，大大提高了帶寬，這在原來的網(wǎng)絡環(huán)境中是不可以的。原理如圖2所示。

交換機在使用VSS技術(shù)以后，用戶通過客戶端登陸虛擬化交換機，就可以直接管理虛擬化為一體的各臺交換機，這方便了管理也提高了運維的效率。但是目前VSS技術(shù)僅適用于高端機型上。

（二）H3C IRF網(wǎng)絡虛擬化技術(shù)

H3C的IRF（全名Intelligent Resilient Framework，即智能彈性架構(gòu)）網(wǎng)絡虛擬化技術(shù)，它與VSS技術(shù)一樣也可將物理交換機虛擬化為邏輯交換機。但IRF是一種通用性很高的技術(shù)，相較于VSS它的使用范圍更廣，也更便宜。[2]在H3C的高、中、低端多個系列的交換機設備上都可以用，這增加了交換機橫向和縱向擴展能力。在實際使用時，通過IRF技術(shù)的連接的交換機，邏輯上我們把它看作是一臺主機。原理如圖3所示。

使用IRF技術(shù)對交換機虛擬化后能簡化管理（多臺虛擬化為一臺的交換機可以統(tǒng)一管理），并用較低的成本獲得更加強大性能（低端交換機也可使用IRF技術(shù)擴展性能），同時還可以得到強大的擴展能力（IRF技術(shù)支持多臺交換機虛擬化為一臺交換機），并且由于其技術(shù)的通用性使得它能得到更多產(chǎn)品的廣泛支持。

（三）華為集群交換機系統(tǒng)CSS

CSS（Cluster Switch System，即集群交換機

系統(tǒng)），是另一種交換機虛擬化的方式，他通過專用的集群線纜將幾臺交換機通過鏈接起來，對外呈現(xiàn)為一臺邏輯交換機。[3]原理如圖4。

CSS的典型特征有：多臺交換機虛擬化后，對外表現(xiàn)為一臺交換機。數(shù)據(jù)包在虛擬交換機內(nèi)部同步，在虛擬交換機內(nèi)可跨設備可實現(xiàn)端口聚合。

總體來看，CSS技術(shù)的使用也比較簡單，網(wǎng)絡結(jié)構(gòu)也較簡化、通過CSS技術(shù)也提高了網(wǎng)絡性能，并且網(wǎng)絡功能不受任何影響，但是目前CSS技術(shù)也只在華為的高端交換機中使用，低端設備暫不支持。華為的低端交換機中使用iStack 技術(shù)，此技術(shù)類似于堆疊。堆疊技術(shù)只是使用一個ip和mac地址對堆疊中的交換機進行管理，可以提高交換機的可靠性，但對交換機性能沒什么提高。

三、昆山市第一人民醫(yī)院核心網(wǎng)絡虛擬化改造設計

友誼院區(qū)核心交換機采用兩臺H3C 10508V CLOS架構(gòu)交換機，采用IRF技術(shù)使兩臺交換機實現(xiàn)虛擬化功能，在邏輯層面統(tǒng)一管理、統(tǒng)一表項、統(tǒng)一配置，實現(xiàn)跨物理設備的端口聚合。同時將服務器區(qū)域獨立，分為萬兆服務器接入交換機與千兆服務器交換機區(qū)域，服務器交換機也采用虛擬化技術(shù)，實現(xiàn)各服務器與核心交換機之間40GB的鏈路傳輸。服務器實現(xiàn)雙鏈路聚合，使得服務器帶寬翻倍。由于核心交換機通過虛擬化技術(shù)實現(xiàn)跨設備的鏈路聚合所以接入層交換機原有的兩條上行鏈路也可采用鏈路聚合技術(shù)使得上行帶寬實現(xiàn)翻倍。本次核心交換機采用的是萬兆接口板卡，后期更換交換機可直接采購萬兆上行交換機，并配置萬兆模塊就可實現(xiàn)20G骨干直接，保證后續(xù)帶寬升級。

原有廣仁院區(qū)網(wǎng)絡依然連接本部園區(qū)核心交換機，由于替換的4臺原核心交換機設備依然可以正常使用，我們將其中兩臺核心交換機遷移至廣仁院區(qū)，將廣仁院區(qū)升級為雙核心架構(gòu)。還有2臺老核心交換機可以實現(xiàn)冷備功能，或作為熱點區(qū)域的匯聚交換機使用。網(wǎng)絡拓樸如圖5所示。

在擴展性方面本次所配置的骨干交換機具備SDN技術(shù)，同時后期擴容利用IRF的4框虛擬化技術(shù)（即4臺交換機虛擬化為一臺交換機）還可以實現(xiàn)本部數(shù)據(jù)中心和友誼數(shù)據(jù)中心的業(yè)務雙活，使得主備數(shù)據(jù)中心轉(zhuǎn)變成為主主中心更好的服務于醫(yī)院信息化。

通過網(wǎng)絡設備虛擬化技術(shù)對同一層面的設備進行橫向整合，將兩臺或多臺設備虛擬為一臺設備，統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一管理，并實現(xiàn)跨設備的鏈路捆綁。因此不會引入環(huán)路，無需部署STP和VRRP等協(xié)議，簡化網(wǎng)絡協(xié)議的部署，大大縮短設備和鏈路收斂時間（毫秒級），鏈路負載分擔方式工作，利用率大大提升。

四、總結(jié)

此次醫(yī)院核心交換機升級，通過H3C的IRF交換機虛擬化技術(shù)成功解決了原有網(wǎng)絡架構(gòu)存在的問題，有效提升了網(wǎng)絡帶寬，提高了醫(yī)院網(wǎng)絡的安全性。在醫(yī)院核心交換機及核心網(wǎng)絡出現(xiàn)問題時，網(wǎng)絡系統(tǒng)可以實現(xiàn)快速自動切換。良好的網(wǎng)絡結(jié)構(gòu)為醫(yī)院信息系統(tǒng)的運行提供了可靠保證。

參考文獻：

[1]梁治國，汪海濤.交換機虛擬化技術(shù)方案分析與實施[J].信息與電腦：理論版，2016（16）：174176.

[2]楊維永，劉金鎖，屠正偉，等.基于密碼卡的虛擬化可信平臺設計[J].信息技術(shù)，2016（1）：171176.

[3]張靜軒，常進達，郭棟，等.一種基于用戶行為控制語言的桌面虛擬化性能測試框架[J].信息網(wǎng)絡安全，2016（7）：5360.