基于VXLAN的醫(yī)院多網融合架構研究與應用

黃 偉 趙 峰 陳 剛 周 振 朱華東 朱萍萍 王曉梅

(皖南醫(yī)學院弋磯山醫(yī)院 蕪湖 241001)

1 引言

隨著國家“互聯(lián)網+醫(yī)療健康”指導意見的出臺,醫(yī)療信息化水平對創(chuàng)新醫(yī)療服務模式，提高醫(yī)療服務能力和效率，進一步實現(xiàn)信息惠民、惠醫(yī)、惠政方面的作用日益重要。醫(yī)療信息化水平的提升離不開高可用性的基礎網絡架構支撐，傳統(tǒng)的醫(yī)療信息網絡架構采用物理隔離內外網的方式在智慧醫(yī)療戰(zhàn)略推進過程中逐漸顯露弊端。本研究旨在運用基于可擴展虛擬局域網絡(Virtual eXtensible Local Area Network，VXLAN)的多網融合技術解決傳統(tǒng)醫(yī)院信息網絡相互孤立、管理成本高、可擴展性差的問題，為打造信息互聯(lián)互通的智慧醫(yī)院提供保障。

2 可擴展虛擬局域網絡

2.1 VXLAN報文格式

VXLAN是基于IP網絡、采用MAC in UDP封裝形式的2層虛擬專用網(Virtual Private Network，VPN)技術。引入8字節(jié)的VXLAN報頭，包含24bit的VNI和一些保留比特。加上UDP/IP/Ethernet報文頭，比原始的Ethernet幀增加50字節(jié)的開銷，其報文格式，見圖1。將原始2層幀以及VXLAN報頭封裝在用戶數(shù)據(jù)報文協(xié)議(User Datagram Protocol，UDP)中，以此穿越3層網絡,實現(xiàn)在3層網絡上傳輸2層數(shù)據(jù)幀[1]。

圖1 VXLAN數(shù)據(jù)報文格式

2.2 傳輸模型

VXLAN是由NVE、VTEP、VXLAN隧道、VXLAN網關幾部分組成，其中VXLAN網關分為2層和3層。NVE為網絡虛擬邊緣節(jié)點，是實現(xiàn)網絡虛擬化功能的網絡實體。報文經過NVE封裝轉換后NVE間可基于3層基礎網絡建立2層虛擬化網絡。設備和服務器上的虛擬交換機VSwitch都可以作為NVE。VTEP是VXLAN隧道端點，封裝在NVE中，VTEP根據(jù)2層數(shù)據(jù)包識別2層數(shù)據(jù)報文所對應VXLAN的VIN號，對數(shù)據(jù)報文進行封裝和解封裝。VXLAN隧道是在不同地理位置之間的VTEP或者VTEP和VXLAN網關之間建立的點對點隧道，用于VXLAN數(shù)據(jù)傳輸。每個VTEP設備都會根據(jù)收到的數(shù)據(jù)包自動維護包含目的MAC、VIN號、以及下一跳地址的VIN轉發(fā)表項，VTEP設備根據(jù)此轉發(fā)表在VXLAN隧道中傳輸數(shù)據(jù)。VTEP網關用于不同VXLAN之間或者VLXAN和原始VLAN之間的數(shù)據(jù)轉發(fā)。VXLAN網關所在的VTEP設備在收到數(shù)據(jù)報文后根據(jù)VIN轉發(fā)表判斷此次轉發(fā)是2層轉發(fā)還是跨VIN的3層轉發(fā)[2]。VXLAN傳輸模型，見圖2。在服務器之間進行數(shù)據(jù)傳輸時虛擬機首先將數(shù)據(jù)發(fā)送給VTEP設備,VTEP在接收到服務器發(fā)送的數(shù)據(jù)包后根據(jù)數(shù)據(jù)報文的接收端口、VAIN號等信息識別出該數(shù)據(jù)報文對應的VLXAN號,然后采用頭端復制的方式對原始數(shù)據(jù)封裝后交給承載網絡進行轉發(fā)。如果是同一個VXLAN內流量，直接通過VXLAN隧道發(fā)送給遠端VTEP，再由遠端VTEP對接收到的數(shù)據(jù)報文解封裝后發(fā)送給目的虛擬機。如果是跨VNI間的流量，封裝數(shù)據(jù)包首先發(fā)給VXLAN網關，VLXAN網關在進行外層封裝后根據(jù)VIN轉發(fā)表通過組播協(xié)議以地址解析協(xié)議(Address Resloution Protocol，ARP)泛宏的方式逐級轉發(fā)給下一跳設備,最終完成跨VIN的數(shù)據(jù)傳輸。

圖2 VXLAN傳輸模型

2.3 網絡現(xiàn)狀

目前采用外網和內網物理隔離的方式,兩套網絡分別運行在單獨的一套物理設備上，無法直接通信，通過在中間部署網閘設備按需控制內網和外網互訪。該網絡結構下存在以下問題:從核心到匯聚再到接入3層設備需要安裝兩套;要獲取內外網資源需采用兩臺終端或兩條鏈路的方式;隔離區(qū)(Demilitarized zone,DMZ)同時連接內外網存在很大安全隱患。此種部署模式造成很大資源浪費，增加管理人員運維的復雜性。醫(yī)院傳統(tǒng)內外網物理隔離網絡架構，見圖3。目前采用OSPF+STP+VRRP模式部署,匯聚至核心通過雙鏈路上連核心，整網啟用屏蔽雙絞線(Shielded Twisted Pair，STP)防環(huán)。STP在網絡物理鏈路發(fā)生故障時網絡收斂時間相對較長。整體網絡在可擴展性、高可用性以及穩(wěn)定性方面在智慧醫(yī)院推進過程中逐漸顯示出不足，因此迫切需要對整網進行改造。

圖3 醫(yī)院傳統(tǒng)內外網物理隔離網絡架構

3 多網融合網絡架構

3.1 設計

遵循核心-匯聚-接入3層扁平化架構設計原則，內網、網外、設備網3網運行在同一套物理網絡中，骨干間采用萬兆互聯(lián)。核心設備部署兩臺云計算數(shù)據(jù)中心核心交換機,雙機虛擬化(IFR2)。樓宇匯聚層部署兩臺匯聚交換機做雙機虛擬化,匯聚交換機采用雙鏈路萬兆至核心，分布式VXLAN網關部署在匯聚交換上通過VXLAN技術劃分虛擬化專網，保證隔離強度，3網互不影響，節(jié)省網絡投資，接入層設備采用動態(tài)VLAN接入，通過TRUNK的方式采用雙鏈路到匯聚層，匯聚層完成VLAN到VXLAN的映射。核心交換機旁掛部署控制器AD Campus，核心和匯聚之間啟用開放式最短路徑優(yōu)先協(xié)議(Open Shortest Path First，OSPF)保證3層互通,核心和匯聚之間啟用VXLAN組網構建Overlay網絡[3]。3網在同一套物理網中，對人員按用戶角色自動分配IP以虛擬隔離通道，獲取相同網絡權限，使醫(yī)院內部終端在任意位置接入網絡可獲得相同權限以及用戶業(yè)務隨行、用戶組安全隔離。VXLAN多網絡融合拓撲，見圖4。

圖4 VXLAN多網融合網絡拓撲

3.2 網絡資源策略管理

策略管理上采用面向業(yè)務的分組模式，將屬性或訪問權限相近的用戶分到一個安全組中，同時也將服務器側的資源劃分到安全組進行統(tǒng)一管理。策略定義基于矩陣表格的方式簡單直觀，見表1。具體策略可簡單可復雜。實現(xiàn)各種高級復雜的策略控制功能。根據(jù)用戶分配IP，用戶名與IP地址一一對應，用戶策略上采用面向業(yè)務分組的方式,將屬性或訪問權限相近的用戶分到一個用戶組中，同時也將服務器資源劃分到相應的用戶組進行統(tǒng)一管理,基于5W1H靈活用戶認證接入機制，根據(jù)誰(who)、誰的設備(whose)、什么設備(what)、什么時間(when)、什么地點(where)、什么方式(how)多個維度覆蓋各種接入場景。根據(jù)個人需求靈活定制場景，保障內網訪問安全。網絡訪問策略定義，見表2。

表1 用戶組及相關網絡資源定義

表2 網絡訪問策略定義

3.3 網絡虛擬通道隔離

匯聚和核心設備之間運行VXLAN構建Overlay網絡，具備跨廣域網的通道隔離能力，相比多協(xié)議標簽交換(Multiple Protocol Label Switching，MPLS)的方式，VXLAN隔離只需要在端點(VTEP)做隔離，不需要全網隔離。采用基于虛擬轉發(fā)和路由(Virtual Routing and Forwarding，VRF)的方式替代傳統(tǒng)的基于訪問控制列表(Access Control List，ACL)的隔離，每個用戶組在VTEP節(jié)點分配不同的VRF，VRF之間在路由層面實現(xiàn)隔離，每個用戶在VRF內通過VLAN映射成不同的VXLAN，最終在通道內經由VXLAN數(shù)據(jù)傳輸實現(xiàn)隔離，以此保障傳輸安全[4]。

4 成效

4.1 實現(xiàn)位址分離的網絡架構

傳統(tǒng)網絡劃分L3網段時通常和地理位置緊密關聯(lián)，根據(jù)不同樓宇或樓層劃分不同L3網段，當員工地理位置發(fā)生改變時往往跨越不同的L3網段會發(fā)生IP地址的變更從而喪失原有的權限,因此網絡管理人員需根據(jù)新的IP重新調整對應的權限，針對該員工的策略控制也需做兩套，增加網管的負擔，也浪費交換機的ACL資源。通過AD Campus網絡將VXLAN和Overlay技術結合實現(xiàn)柔性網絡架構。使整體網絡架構較靈活，業(yè)務部署(應用/終端)可以實現(xiàn)與地理位置無關[5]。無狀態(tài)網絡的核心實現(xiàn)位址分離，將用戶分配的IP地址和實際地理位置解耦合,使IP地址可以在全網任意位置接入，不管用戶移動到哪IP地址都能隨身攜帶。IP地址不僅能承擔路由連通性的技術功能，還具有身份和業(yè)務的標識功能，達到用戶無感無狀態(tài)的效果。此網絡結構下當員工地理位置發(fā)生變化時不需要分派兩個地址，只需要一個固定IP地址即可，不管在哪個工位辦公都可以使用，網管做策略時只要針對一個IP地址，工作量降低。對于分散在不同大樓的同部門員工可以分派同一個網段的地址，前綴相同，這樣做策略時可以針對IP前綴做一條策略即可，避免逐個IP地址做策略。

4.2 實現(xiàn)用戶策略隨行

通常要實現(xiàn)策略隨行需對用戶進行分組，傳統(tǒng)的分組方式受地理位置影響，與地理位置緊耦合。同一個用戶組位于同一個辦公區(qū)，通常很難跨越地理的局限。這樣用戶一旦移動起來策略實施就非常復雜，要達到策略跟隨或者體驗一致也非常困難。將用戶分組和IP網段嚴格對應，用戶未入網前整個網絡的策略控制內容已確定，通過采用名址綁定的方式為每個接入用戶分配唯一的用戶名，將用戶名和IP地址一一對應。由于其本身提供無狀態(tài)下任意位置訪問功能，將用戶名和IP地址綁定的功能相結合，當用戶位置發(fā)生變化后，因IP地址和網段沒有變化，所以針對IP的策略也未發(fā)生調整，這種針對IP的策略也是針對用戶的策略，從而實現(xiàn)用戶策略隨行。

4.3 網隨人動

通常醫(yī)院網絡終端根據(jù)最初的IP規(guī)劃接入到相關接入交換機的端口，從而實現(xiàn)VLAN等權限和終端的匹配，不能解決用戶和終端任意位置接入權限分配的問題，同時終端接入位置也受限制。AD Campus網絡將人和應用作為核心，所有網絡資源跟隨人和應用移動，用戶在哪接入資源就下發(fā)到哪，真正體現(xiàn)柔性網絡的網隨人動特點[6]。

4.4 設備自動化部署

傳統(tǒng)的網絡上線需要網絡維護人員為每臺設備依次加電、更新版本、寫配置、組網、調試和運行，逐臺在核心、匯聚、接入配置。管理人員工作量大、冗雜而容易出錯，網絡上線時間較長。該網絡架構中設備自動化部署得到極大簡化，由于是無差別的網絡，同樣角色的設備配置基本相同，這樣可以根據(jù)設備角色設定少量模板，一種角色的設備盡管數(shù)量很多，但由于共享同一個角色，因此使用一個配置模板，整網模板數(shù)量只有少量幾種。設備加電后自動加載版本、配置，網管人員零干預啟動。自動部署的核心是由于AD Campus網絡將整網接入設備配置完全整合變成一份完全相同的配置文件，同時匯聚層設備也進行整合變成一份相同的配置。這大大簡化配置文件編寫的復雜度， 使得各層次設備配置模板化，自動部署成本難度大大降低，同時也避免人為誤操作風險，實現(xiàn)自動化部署，極大減輕網絡管理人員工作負擔。

5 結論

VXLAN多網融合網絡架構的核心技術支撐是在核心和匯聚之間構成的L3網絡基礎之上基于VXLAN技術構建Overlay網絡。針對不同用戶組對不同應用的訪問創(chuàng)建不同VXLAN隧道，數(shù)據(jù)傳輸相互隔離，保障整體訪問的安全性。基于VXLAN的醫(yī)院多網融合技術架構有以下特點:一是降低投入成本，內網、外網、設備網絡運行在同一物理網絡上,無需部署多套硬件設備，減少網絡硬件投入。二是更好地服務于臨床，全網用戶可以從任意位置接入，無需更改IP即可獲取和以往相同訪問權限，無需等待信息中心人員重新調整策略，給臨床一線工作帶來便利，從網絡服務層面促進臨床工作。三是運維簡單化，整網核心、匯聚、接入各配置統(tǒng)一簡化配置,新設備上線可實現(xiàn)自動部署,簡化網絡管理人員運維工作。四是智慧便民，構建高可用、易擴展、互聯(lián)互通的多網融合網架結構有效保障醫(yī)院臨床應用系統(tǒng)的穩(wěn)定性，及時有效地傳輸患者相關就診及結算信息，減少給排隊等待時間，給就診帶來便利。

目前基于VXLAN的網絡融合技術在醫(yī)療信息化領域應用還不廣泛，依托信息技術為基礎的智慧醫(yī)院離不開高可用、易擴展的基礎網絡為支撐。本文系統(tǒng)性地介紹VXLAN的技術原理和基于VXLAN多網融合網絡架構研究與應用，是對目前VXLAN技術研究成果在醫(yī)療信息化領域應用的總結?；赩XLAN的多網融合技術對于打造互聯(lián)互通、惠民、惠醫(yī)、惠政的智慧醫(yī)院有著至關重要的作用。