基于SDN的醫(yī)院網(wǎng)絡(luò)改造實(shí)踐探討

唐 夏 楊 強(qiáng) 謝洪波

(遂寧市中心醫(yī)院信息科 四川遂寧 629000)

引 言

隨著醫(yī)院的業(yè)務(wù)和規(guī)模不斷發(fā)展壯大，其對(duì)網(wǎng)絡(luò)的要求也越來(lái)越高。傳統(tǒng)網(wǎng)絡(luò)架構(gòu)存在網(wǎng)絡(luò)僵化嚴(yán)重、管理難度大、安全風(fēng)險(xiǎn)高等問(wèn)題，軟件定義網(wǎng)絡(luò)(Software Defined Network，SDN)順應(yīng)潮流被適時(shí)地提出。SDN是一種全新的網(wǎng)絡(luò)創(chuàng)新架構(gòu)，其核心思想是“將控制平面與數(shù)據(jù)平面分離、將軟硬件解耦，并通過(guò)API使網(wǎng)絡(luò)功能可編程”。[1]將SDN應(yīng)用到醫(yī)院網(wǎng)絡(luò)中能很好地解決傳統(tǒng)網(wǎng)絡(luò)的弊端，能有效地將傳統(tǒng)網(wǎng)絡(luò)設(shè)備、交換機(jī)、安全設(shè)備等網(wǎng)絡(luò)資源融合起來(lái)，實(shí)現(xiàn)物理資源、虛擬資源的隨需而動(dòng)，從而實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)維的集中化、便捷化、靈活彈性化、資源池化、安全可靠化。

一、醫(yī)院網(wǎng)絡(luò)現(xiàn)狀

(一)網(wǎng)絡(luò)僵化嚴(yán)重

醫(yī)院業(yè)務(wù)部署與物理網(wǎng)絡(luò)拓?fù)鋸?qiáng)相關(guān)，主要按地理位置業(yè)務(wù)功能等進(jìn)行VLAN劃分，并控制它們之間的訪問(wèn)。部門搬遷、工位調(diào)整導(dǎo)致IP變更需要不斷地調(diào)整網(wǎng)絡(luò)；網(wǎng)絡(luò)僵化導(dǎo)致網(wǎng)絡(luò)設(shè)備故障替換、配置還原、新增安全防護(hù)設(shè)備等部署困難。

(二)管理難度大

內(nèi)網(wǎng)、外網(wǎng)、無(wú)線網(wǎng)、物聯(lián)網(wǎng)、設(shè)備網(wǎng)等在醫(yī)院的應(yīng)用，網(wǎng)絡(luò)規(guī)模越來(lái)越大，業(yè)務(wù)類型越來(lái)越多，導(dǎo)致醫(yī)院的網(wǎng)絡(luò)系統(tǒng)趨于復(fù)雜，管理起來(lái)困難。

(三)安全風(fēng)險(xiǎn)高

隨著醫(yī)院業(yè)務(wù)的拓展，智能終端越來(lái)越多，公共區(qū)域端口開(kāi)放導(dǎo)致安全設(shè)備也逐漸增多。與此同時(shí)，本院現(xiàn)有兩臺(tái)思科交換機(jī)已使用十余年，維修配件等均已停產(chǎn)，存在嚴(yán)重的安全風(fēng)險(xiǎn)。

二、SDN網(wǎng)絡(luò)體系

SDN架構(gòu)在網(wǎng)絡(luò)中引入了三個(gè)不同的層：包含所有網(wǎng)絡(luò)元素的數(shù)據(jù)平面層、帶有SDN控制器的控制平面層和使網(wǎng)絡(luò)可編程的應(yīng)用層。其基本結(jié)構(gòu)框架如下圖1：

圖1 SDN基本結(jié)構(gòu)框架

這三層結(jié)構(gòu)外部相互獨(dú)立，而內(nèi)部又密切關(guān)聯(lián)。中間的控制層與應(yīng)用層的各個(gè)業(yè)務(wù)應(yīng)用通過(guò)北向接口(API)相互連接，而與底層的數(shù)據(jù)平面層的網(wǎng)絡(luò)設(shè)備由南向接口實(shí)現(xiàn)，即以O(shè)penFlow為協(xié)議標(biāo)準(zhǔn)，它的作用就是轉(zhuǎn)發(fā)功能。但是，我們需要明確因?yàn)楸毕蚪涌跊](méi)有公有標(biāo)準(zhǔn)，基于SDN網(wǎng)絡(luò)改造時(shí)需考慮兼容性問(wèn)題。

三、傳統(tǒng)網(wǎng)絡(luò)與SDN網(wǎng)絡(luò)架構(gòu)對(duì)比

四、醫(yī)院網(wǎng)絡(luò)改造建設(shè)思路

(一)業(yè)務(wù)隨行+可視化運(yùn)維管理解決方案

隨著醫(yī)院“整體上云”的建設(shè)步伐加快，傳統(tǒng)方式的網(wǎng)絡(luò)架構(gòu)已逐漸不能滿足醫(yī)院需求。醫(yī)院要求無(wú)論用戶身處何地，使用哪個(gè)IP地址，都要保證該用戶獲得相同的網(wǎng)絡(luò)權(quán)限，對(duì)其執(zhí)行對(duì)應(yīng)的用戶策略，能審計(jì)到具體人員。同時(shí)，醫(yī)院對(duì)于管理員來(lái)說(shuō)要運(yùn)用集中化、便捷化、可視化的運(yùn)維管理。因此，基于SDN的“網(wǎng)隨人動(dòng)”的業(yè)務(wù)隨行模式+可視化運(yùn)維管理成為醫(yī)院網(wǎng)絡(luò)改造的解決方案。[2]

這種方案相對(duì)于傳統(tǒng)方案，最大的區(qū)別在于，業(yè)務(wù)隨行提出了安全組的概念。安全組，即擁有相同網(wǎng)絡(luò)訪問(wèn)策略的一組用戶。安全組僅與用戶身份有關(guān)，與用戶VLAN、IP等網(wǎng)絡(luò)信息完全解耦。部署方案如下圖2：

圖2 業(yè)務(wù)隨行+可視化運(yùn)維管理部署圖

(二)工作流程

業(yè)務(wù)隨行的工作流程如下圖3：

第一步：定義用戶和安全組，實(shí)現(xiàn)終端接入認(rèn)證，所有用戶必須通過(guò)認(rèn)證后才能接入網(wǎng)絡(luò)；

第二步：定義組權(quán)限和策略，并下發(fā)給所有關(guān)聯(lián)的執(zhí)行點(diǎn)設(shè)備；

第三步：用戶發(fā)起認(rèn)證，Controller根據(jù)用戶的登錄條件，將其與安全組關(guān)聯(lián)。認(rèn)證成功后，Controller將該用戶所屬安全組下發(fā)給認(rèn)證點(diǎn)，認(rèn)證點(diǎn)將用戶的真實(shí)IP地址上報(bào)給Controller。Controller收集所有上線用戶的IP地址；

第四步：用戶發(fā)起業(yè)務(wù)流量；

第五步：判定有無(wú)用戶信息。當(dāng)策略執(zhí)行點(diǎn)收到報(bào)文后，根據(jù)Controller同步的用戶信息，識(shí)別報(bào)文的源/目的IP對(duì)應(yīng)的用戶組，若有，用戶信息則執(zhí)行策略；若無(wú)，執(zhí)行點(diǎn)可以主動(dòng)向Controller查詢IP所屬組信息。[3]

圖3 業(yè)務(wù)隨行-工作流程圖

(三)改造后網(wǎng)絡(luò)架構(gòu)的優(yōu)勢(shì)

1.實(shí)現(xiàn)物理位置與網(wǎng)絡(luò)位置解耦

通過(guò)SDN控制器，使醫(yī)院業(yè)務(wù)部署與物理網(wǎng)絡(luò)拓?fù)淙跸嚓P(guān)，擺脫按地理位置業(yè)務(wù)功能等進(jìn)行VLAN劃分的局面，用戶位置可隨時(shí)變更、終端任意部署、網(wǎng)絡(luò)管理實(shí)現(xiàn)“零”干預(yù)。

2.實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)策略與lP解耦

管理員在SDN控制器基于用戶身份進(jìn)行安全組統(tǒng)一劃分，通過(guò)策略矩陣統(tǒng)一管理業(yè)務(wù)策略，配置簡(jiǎn)單，維護(hù)方便，能夠有效保障用戶移動(dòng)時(shí)網(wǎng)絡(luò)訪問(wèn)權(quán)限一致。

3.業(yè)務(wù)帶寬和QoS保障

Controller統(tǒng)一配置，認(rèn)證點(diǎn)交換機(jī)和防火墻上執(zhí)行用戶限速，邊界防火墻和SVN保障VIP用戶流量?jī)?yōu)先轉(zhuǎn)發(fā)。

4.實(shí)現(xiàn)安全用戶隔離

二層端口隔離+基于安全組的組間隔離，組間隔離策略與IP解耦，配置簡(jiǎn)單，維護(hù)方便，能夠有效實(shí)現(xiàn)用戶隔離。

5.實(shí)現(xiàn)可視化運(yùn)維管理

以安全組為基礎(chǔ)，通過(guò)定義不同用戶組、組間策略和QoS，大大簡(jiǎn)化規(guī)劃和配置工作量，且策略矩陣簡(jiǎn)單形象，具備可視化運(yùn)維管理界面，理解容易，維護(hù)簡(jiǎn)單。

五、總結(jié)展望

如今的網(wǎng)絡(luò)是在過(guò)去幾十年中建立的，它非常復(fù)雜，我們無(wú)法在短時(shí)間內(nèi)拆除和更換網(wǎng)絡(luò)。我們相信大多數(shù)網(wǎng)絡(luò)都是軟件定義的、可編程的和被虛擬化，隨著醫(yī)院信息化逐步向云方式的轉(zhuǎn)變，通過(guò)SDN控制器與云平臺(tái)的對(duì)接，實(shí)現(xiàn)業(yè)務(wù)端到端自動(dòng)化交付一定會(huì)成為業(yè)界的主流。本文探討了基于SDN的醫(yī)院網(wǎng)絡(luò)改造，提出業(yè)務(wù)隨行的網(wǎng)絡(luò)改造方案，SDN在醫(yī)院網(wǎng)絡(luò)中的成功應(yīng)用必將顛覆醫(yī)院傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，而目前SDN在醫(yī)療領(lǐng)域中還沒(méi)有形成統(tǒng)一的規(guī)范，想要廣泛應(yīng)用還需要時(shí)間的積淀。