多網(wǎng)融合技術(shù)在智慧醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用

◆江濤 宋念東 潘傳迪 劉翔

（1.皖南醫(yī)學(xué)院弋磯山醫(yī)院 安徽 241001；2.皖南醫(yī)學(xué)院 安徽 241002）

目前，大多數(shù)醫(yī)院都建有內(nèi)網(wǎng)、外網(wǎng)、設(shè)備網(wǎng)等多套計(jì)算機(jī)網(wǎng)絡(luò)，隨著醫(yī)院信息化的不斷發(fā)展，業(yè)務(wù)的差異化安全要求和業(yè)務(wù)融合的發(fā)展趨勢(shì)之間的矛盾越發(fā)突出，如何解決這一矛盾，并在建設(shè)成本和建設(shè)效果之間取得平衡，是醫(yī)院網(wǎng)絡(luò)建設(shè)必須考慮的問(wèn)題[1]。鑒于上述考慮，皖南醫(yī)學(xué)院第一附屬醫(yī)院采用了多網(wǎng)融合技術(shù)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行升級(jí)改造，將醫(yī)院內(nèi)網(wǎng)、外網(wǎng)、設(shè)備網(wǎng)承載在一套物理網(wǎng)絡(luò)上，進(jìn)行統(tǒng)一部署和管理，取得良好效果。

1 醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)原則

（1）整體規(guī)劃原則。為滿(mǎn)足醫(yī)院集中管理要求，需要進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)整體規(guī)劃，特別是大量的數(shù)字化醫(yī)學(xué)儀器的投入應(yīng)用，更需要站在數(shù)字化應(yīng)用的高度進(jìn)行統(tǒng)一規(guī)劃。

（2）經(jīng)濟(jì)實(shí)用原則。在確保系統(tǒng)安全和性能的前提下，系統(tǒng)設(shè)計(jì)應(yīng)堅(jiān)持實(shí)用性和經(jīng)濟(jì)性原則。通過(guò)精心設(shè)計(jì)、優(yōu)選產(chǎn)品、科學(xué)組合、嚴(yán)控安裝，以達(dá)到小投入大效益目的。

（3）成熟性和前瞻性原則。盡量采用成熟的或經(jīng)過(guò)實(shí)踐檢驗(yàn)的先進(jìn)技術(shù)，同時(shí)，在滿(mǎn)足成熟性的前提下，技術(shù)適當(dāng)前瞻。

（4）標(biāo)準(zhǔn)化原則。采用標(biāo)準(zhǔn)化、結(jié)構(gòu)化、模塊化設(shè)計(jì)。選用的技術(shù)設(shè)備應(yīng)具有協(xié)同運(yùn)行的能力和良好的開(kāi)放性，并提供標(biāo)準(zhǔn)接口，便于系統(tǒng)將來(lái)的拓展或升級(jí)。

（5）安全性原則。包括系統(tǒng)自身和數(shù)據(jù)傳輸?shù)陌踩?，此外，系統(tǒng)應(yīng)具有對(duì)系統(tǒng)運(yùn)行狀態(tài)的監(jiān)控、分析、優(yōu)化、故障監(jiān)測(cè)及在線排除等功能。

2 多網(wǎng)融合網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)說(shuō)明

網(wǎng)絡(luò)由核心、匯聚、接入三層設(shè)備組成，外部部署園區(qū)控制器。

網(wǎng)絡(luò)核心使用2臺(tái)核心交換機(jī)，分別在醫(yī)院兩個(gè)機(jī)房各部署一臺(tái)，并部署雙機(jī)虛擬化。每棟大樓均部署2臺(tái)匯聚交換機(jī)，實(shí)現(xiàn)雙機(jī)虛擬化，并部署VXLAN網(wǎng)關(guān)。每臺(tái)匯聚交換機(jī)萬(wàn)兆雙鏈路連到兩臺(tái)核心交換機(jī)上。每個(gè)弱電間的接入層部署接入交換機(jī)并進(jìn)行虛擬化（二臺(tái)或多臺(tái)堆疊），萬(wàn)兆雙鏈路至匯聚交換機(jī)。核心交換機(jī)旁?huà)觳渴鹂刂破?。網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

該網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)有如下一些特點(diǎn)。

（1）匯聚層和核心層之間構(gòu)建overlay網(wǎng)絡(luò)，采用分布式L3網(wǎng)關(guān)。接入層通過(guò)動(dòng)態(tài)VLAN和TRUNK方式上連到匯聚層，由匯聚層實(shí)現(xiàn)VLAN到VXLAN的映射。

（2）采用面向用戶(hù)的分組管理模式，根據(jù)屬性及訪問(wèn)權(quán)限將用戶(hù)進(jìn)行分組，將服務(wù)器端的資源分到相應(yīng)的用戶(hù)組進(jìn)行統(tǒng)一管理。采用矩陣表格方式進(jìn)行策略定義，直觀且操作簡(jiǎn)單。

（3）用戶(hù)接入認(rèn)證基于5W1H，即根據(jù)who（誰(shuí)）、whose（誰(shuí)的設(shè)備）、what（什么設(shè)備）、where（什么地點(diǎn)）、when（什么時(shí)間）、how（什么方式）多個(gè)維度進(jìn)行接入認(rèn)證。

（4）支持用戶(hù)終端MAC和獲取的IP地址一對(duì)一固定的需求。終端無(wú)論移動(dòng)到哪里，都可以做到始終獲取唯一固定的IP。

（5）園區(qū)網(wǎng)控制器采用圖形化界面。對(duì)網(wǎng)絡(luò)的配置操作，如用戶(hù)組及策略配置、接入認(rèn)證、自動(dòng)化上線、業(yè)務(wù)配置、網(wǎng)絡(luò)運(yùn)維等都可在園區(qū)控制器上通過(guò)圖形化界面操作完成，園區(qū)控制器將網(wǎng)絡(luò)管理員圖形化界面操作轉(zhuǎn)化為網(wǎng)絡(luò)設(shè)備具體命令后下發(fā)給相關(guān)設(shè)備執(zhí)行。

圖1多網(wǎng)融合網(wǎng)絡(luò)拓?fù)鋱D

3 多網(wǎng)融合網(wǎng)絡(luò)特點(diǎn)

3.1 柔性網(wǎng)絡(luò)

柔性網(wǎng)絡(luò)包含兩方面含義：①網(wǎng)絡(luò)架構(gòu)靈活，業(yè)務(wù)部署可以實(shí)現(xiàn)與位置無(wú)關(guān)；②終端和用戶(hù)根據(jù)位置匹配通道的模式，網(wǎng)絡(luò)資源隨用戶(hù)和應(yīng)用移動(dòng)。具體包括如下特點(diǎn)：

（1）無(wú)狀態(tài)網(wǎng)絡(luò)。傳統(tǒng)網(wǎng)絡(luò)劃分三層（L3）網(wǎng)段時(shí)常與位置緊密關(guān)聯(lián)，網(wǎng)絡(luò)要根據(jù)不同的樓層或辦公室劃分不同的L3網(wǎng)段，這種模式下難以實(shí)現(xiàn)用戶(hù)移動(dòng)辦公，因?yàn)橛脩?hù)移動(dòng)往往要跨越不同L3網(wǎng)段，無(wú)法保留原IP地址和權(quán)限，給工作帶來(lái)麻煩。無(wú)狀態(tài)網(wǎng)絡(luò)的核心是IP地址與位置解耦，即位址分離，用戶(hù)或終端在網(wǎng)絡(luò)中任意位置接入，都不需要改變網(wǎng)絡(luò)配置且保留IP地址不變。

（2）策略隨行。策略隨行的核心是用戶(hù)和IP地址綁定，即名址綁定。除了用戶(hù)和IP綁定外，還可以實(shí)現(xiàn)業(yè)務(wù)組或用戶(hù)組和IP網(wǎng)段的綁定，以實(shí)現(xiàn)通過(guò)IP段標(biāo)識(shí)業(yè)務(wù)組或用戶(hù)組。比如財(cái)務(wù)人員可能在網(wǎng)絡(luò)的不同位置辦公，我們可以將其分配在同一個(gè)網(wǎng)段內(nèi)。

（3）網(wǎng)隨人動(dòng)。傳統(tǒng)網(wǎng)絡(luò)不能解決用戶(hù)和終端在任意位置接入時(shí)權(quán)限和IP地址保留問(wèn)題。網(wǎng)隨人動(dòng)即將用戶(hù)和應(yīng)用作為核心，網(wǎng)絡(luò)資源跟隨用戶(hù)和應(yīng)用移動(dòng)。

（4）多業(yè)務(wù)隔離。整網(wǎng)采用overlay技術(shù)，天然具備業(yè)務(wù)隔離能力，相比MPLS的隔離方式，VXLAN的隔離只需要在端點(diǎn)（VTEP）做隔離[2]。不僅讓整個(gè)運(yùn)維節(jié)點(diǎn)大幅減少，而且保證了業(yè)務(wù)隔離的強(qiáng)度。園區(qū)控制器提供兩種隔離方式，一是類(lèi)似MPLS的VRF隔離，每個(gè)用戶(hù)組在VTEP節(jié)點(diǎn)分配不同的VRF，VRF之間在路由層面實(shí)現(xiàn)隔離，每個(gè)用戶(hù)在VRF內(nèi)通過(guò)VLAN映射成不同的VXLAN[3]。二是ACL的隔離方式，因?yàn)槊總€(gè)用戶(hù)組在IP分配的時(shí)候已經(jīng)分配在不同的網(wǎng)段，因此不同用戶(hù)組在接入之后獲取的是不同網(wǎng)段的IP，ACL隔離相對(duì)比較簡(jiǎn)單，一條ACL就可以實(shí)現(xiàn)不同用戶(hù)組之間的網(wǎng)絡(luò)隔離。

將整網(wǎng)控制和轉(zhuǎn)發(fā)進(jìn)行分離，業(yè)務(wù)與設(shè)備進(jìn)行解耦合，底層硬件資源負(fù)責(zé)數(shù)據(jù)的轉(zhuǎn)發(fā)，上層的控制平面負(fù)責(zé)業(yè)務(wù)的轉(zhuǎn)發(fā)，在邏輯上將整個(gè)網(wǎng)切成多個(gè)平面，承載不同的業(yè)務(wù)，各業(yè)務(wù)之間互不影響，底層是物理網(wǎng)絡(luò)，通過(guò)配置不同的用戶(hù)組將網(wǎng)絡(luò)隔離為內(nèi)網(wǎng)、外網(wǎng)、設(shè)備網(wǎng)等網(wǎng)絡(luò)。

3.2 軟件定義

通過(guò)SDN思想，將網(wǎng)絡(luò)控制平臺(tái)集中，實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)維極簡(jiǎn)，真正將網(wǎng)絡(luò)管理人員從低價(jià)值勞動(dòng)中解放出來(lái)。具體特點(diǎn)如下：

（1）設(shè)備自動(dòng)部署。匯聚層和接入層交換機(jī)上電后自適應(yīng)下載配置文件，加載相關(guān)配置，無(wú)須網(wǎng)管人員干預(yù)，真正實(shí)現(xiàn)設(shè)備自動(dòng)部署。

（2）園區(qū)一鍵啟動(dòng)。通過(guò)控制器上的圖形化界面，完成用戶(hù)、終端、用戶(hù)組等網(wǎng)絡(luò)資源定義和網(wǎng)絡(luò)訪問(wèn)策略定義，定義完成后一鍵啟動(dòng)。資源定義和網(wǎng)絡(luò)訪問(wèn)策略定義舉例如表1、表2。

圖2多業(yè)務(wù)隔離

表1用戶(hù)組及相關(guān)網(wǎng)絡(luò)資源定義舉例

表2網(wǎng)絡(luò)訪問(wèn)策略定義舉例

（3）可視化運(yùn)維。應(yīng)用驅(qū)動(dòng)園區(qū)儀表盤(pán)從用戶(hù)、終端和業(yè)務(wù)的角度，將整網(wǎng)實(shí)時(shí)狀態(tài)以圖形化界面顯示，內(nèi)容包括：1）終端接入信息。展示接入終端類(lèi)型和有線、無(wú)線的接入比例。2）應(yīng)用信息巡展。從應(yīng)用維度展示其繁忙度和在線用戶(hù)數(shù)量、IP容量和TopN應(yīng)用訪問(wèn)流量，呈現(xiàn)應(yīng)用可用性。

3）用戶(hù)地圖信息。結(jié)合園區(qū)地圖實(shí)時(shí)顯示全網(wǎng)在線用戶(hù)分布情況。

4）流量信息。展示用戶(hù)最常訪問(wèn)的應(yīng)用和網(wǎng)站及其流量監(jiān)控。

5）對(duì)于承載應(yīng)用的底層基礎(chǔ)網(wǎng)絡(luò)，應(yīng)用驅(qū)動(dòng)園區(qū)儀表盤(pán)提供資源信息，展示全網(wǎng)有線、無(wú)線資源的平均使用率和接入帶寬。

用戶(hù)可靈活自定義園區(qū)儀表盤(pán)，實(shí)時(shí)展現(xiàn)用戶(hù)最關(guān)心的網(wǎng)絡(luò)業(yè)務(wù)運(yùn)行狀況。

4 應(yīng)用體會(huì)

智慧醫(yī)療和互聯(lián)網(wǎng)醫(yī)院的建設(shè)，對(duì)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)提出更高的要求，不僅僅局限于傳統(tǒng)架構(gòu)對(duì)隔離的要求，新形勢(shì)下要求基礎(chǔ)架構(gòu)靈活可變、軟件定義、易擴(kuò)展和便運(yùn)維?；诙嗑W(wǎng)融合技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)能支撐智慧醫(yī)療和互聯(lián)網(wǎng)醫(yī)院建設(shè)需求，解決業(yè)務(wù)的差異化安全要求和業(yè)務(wù)融合的發(fā)展趨勢(shì)之間的矛盾，在確保系統(tǒng)安全和性能的前提下，提升醫(yī)院整體業(yè)務(wù)水平。