医院SDN架构内外网络一体化建设实践

2020-06-12孔明军曹化菲刘阳

中国信息化 2020年5期

孔明军曹化菲刘阳

传统的医院网络一般采用接入、汇聚、核心三层架构，同时为保证网络安全，内外网大都做严格的物理隔离，这种模式虽然具有稳定性强，安全性高的优点，但随着医院网络的不断发展和扩充，将导致网络结构越来越繁杂，网络终端的安装和维护都非常复杂。SDN作为一种新兴的网络架构，已逐渐被很多医疗机构采用，本文以我院医养院区网络改造为例，详细介绍了利用SDN架构实现医院内外网络一体化的建设方案，供业内同仁参考和交流。

我院医养院区在接手启用前是按照传统三层网络部署的，该院区占地范围大，共有9座楼宇，建有一个核心配线室，各楼宇分别建有一个汇聚配线室，每个楼宇的楼层设有接入配线间，核心配线室同各楼层分配线室采用光纤线路连接，系统的网络架构除有内外网核心汇聚区分外，各楼宇分层配线室所有网络接入的交换设备没有做内外网络分离，网络端口全部都打在同级配线架上。由于医院运营同时具有内外网络的接入需求，为保证网络安全性，将面临对内外网终端的接入做安全隔离的需求，如果采用传统隔离方式，要对所有楼层接入交换设备进行内外网分离，一方面项目实施将非常复杂，还会破坏配线室规整的配线结构，导致跳线较为凌乱，另外要增加较多的交换设备才能完成，投入资金也较大。基于以上原因，我们论证和实施了SDN网络架构模式，在基本不改变原有网络结构的前提下，实现了医养院区内外网络有线无线的一体化改造，同时也考虑了网络安全的基本要求。

一、原网架构

医养院区原内外网络架构为三层架构（即核心-汇聚-接入），有线网络共覆盖9栋楼，无线网络覆盖7栋楼（除1#、9#楼），机房至每栋楼之间通过千兆光纤连接，每栋楼部署一台汇聚交换机，下联楼层接入交换机；网络出口部署一台防火墙及出口网关，保证网络安全及互联网访问需求。无线设计采用AC+FIT AP 组网模式，通过AC控制器对所有AP进行控制管理，无需单个AP设置，方便快捷，整网无漫游，可以提供良好的上网体验。

二、升级架构

为保证网络内外网络的安全性，同时减少设备投资，本次设计把现有网络升级为SDN网络，可以实现无状态网络、策略随行、网随点动、有线无线一体化、虚拟网络隔离、业务按需交付等功能。

本次改造更換现有内网核心、汇聚交换机，设备需支持VXLAN三层网关，作为SDN新网络的Spine、Leaf节点，原接入交换机作为Access节点，无需更换；增加一套SDN控制器，实现对整网运维及配置下发；同时通过对现有无线系统认证节点与新增SDN控制器做对接，即可实现整网有线无线深度融合，即用户无论通过有线还是无线认证连接，用户地址不变，策略不变。

通过对业务的逻辑划分，区分内网及外网用户，隔离方式上，SDN网络提供两种隔离方式，一是类似MPLS的VRF隔离，不同的用户组通过VTEP 节点进行分配控制，分配的不同的VRF之间由关联的路由进行隔离，同时用户把各个VLAN段分别映射，形成一组隔离的VXLAN进行数据传输。二是ACL的隔离方式，因为每个用户组在IP分配的时候已经分配在不同的网段，因此不同用户组在接入之后获取的是不同网段的IP，ACL隔离相对比较简单，一条ACL就可以实现不同用户组之间的网络隔离，保证内外网的安全；原有外网、内网核心可作为服务器区的汇聚设备，连接到新的核心交换机上，保证数据中心数据高速传输。

三、SDN网络架构说明

在不改变原有的三层网络基本架构的前提下，增加一套园区控制器（Campus Director），现有的无线网络和园区控制器做对接，方案有如下一些特点。

核心层和汇集层之间构建为一个新的无状态区分的overlay网络，其分布式的L3网关可以有效的避免网络广播风暴的产生，接入交换设备的动态VLAN层通过TRUNK的方式和汇聚层上联，由汇聚层实现从VLAN到VXLAN的映射。

用户的策略管理面向用户分组，同一个用户分组的属性和访问权限是相近的，而服务器端的资源和划分到相应的用户组进行统一管理，矩阵式表格的策略定义方便直观，可以进行无论简单还是复杂都能控制的策略定义。

系统用户认证接入机制通过5W1H方式进行灵活控制，其意义是who（是谁），whose（是谁的终端），what（是什么终端），when（在什么时间），where（在什么地点），how（以什么方式）所有接入场景实现了多维度体现。网管用户可以根据自己的实际需求，方便灵活地定制各种个性化的需求场景。

系统的运维方便性得到很大提高，用户在定义终端时可以实现MAC地址和IP地址一对一进行绑定，还可以与端口进行进一步的安全绑定，这样将不限制终端的使用场所，可以实现任意迁移但IP地址不会改变。

园区控制器（Campus Director）负责全网的配置和管理，是整个网络的核心组件。网络终端接入、用户分组、策略定义、业务配置、网络运维等各级管理在图形化的可视平台窗口内完成，任何网络设备的控制命令都可以在后台转换完成并下发到相关设备上即时执行（由于接入交换机不是相同的厂商，其设备命令不同，这需单独进行配置）。