多网融合技术在智慧医院计算机网络中的应用

◆江涛 宋念东 潘传迪 刘翔

（1.皖南医学院弋矶山医院 安徽 241001；2.皖南医学院 安徽 241002）

目前，大多数医院都建有内网、外网、设备网等多套计算机网络，随着医院信息化的不断发展，业务的差异化安全要求和业务融合的发展趋势之间的矛盾越发突出，如何解决这一矛盾，并在建设成本和建设效果之间取得平衡，是医院网络建设必须考虑的问题[1]。鉴于上述考虑，皖南医学院第一附属医院采用了多网融合技术对计算机网络进行升级改造，将医院内网、外网、设备网承载在一套物理网络上，进行统一部署和管理，取得良好效果。

1 医院计算机网络设计原则

（1）整体规划原则。为满足医院集中管理要求，需要进行计算机网络整体规划，特别是大量的数字化医学仪器的投入应用，更需要站在数字化应用的高度进行统一规划。

（2）经济实用原则。在确保系统安全和性能的前提下，系统设计应坚持实用性和经济性原则。通过精心设计、优选产品、科学组合、严控安装，以达到小投入大效益目的。

（3）成熟性和前瞻性原则。尽量采用成熟的或经过实践检验的先进技术，同时，在满足成熟性的前提下，技术适当前瞻。

（4）标准化原则。采用标准化、结构化、模块化设计。选用的技术设备应具有协同运行的能力和良好的开放性，并提供标准接口，便于系统将来的拓展或升级。

（5）安全性原则。包括系统自身和数据传输的安全性，此外，系统应具有对系统运行状态的监控、分析、优化、故障监测及在线排除等功能。

2 多网融合网络架构设计说明

网络由核心、汇聚、接入三层设备组成，外部部署园区控制器。

网络核心使用2台核心交换机，分别在医院两个机房各部署一台，并部署双机虚拟化。每栋大楼均部署2台汇聚交换机，实现双机虚拟化，并部署VXLAN网关。每台汇聚交换机万兆双链路连到两台核心交换机上。每个弱电间的接入层部署接入交换机并进行虚拟化（二台或多台堆叠），万兆双链路至汇聚交换机。核心交换机旁挂部署控制器。网络拓扑图如图1所示。

该网络架构设计有如下一些特点。

（1）汇聚层和核心层之间构建overlay网络，采用分布式L3网关。接入层通过动态VLAN和TRUNK方式上连到汇聚层，由汇聚层实现VLAN到VXLAN的映射。

（2）采用面向用户的分组管理模式，根据属性及访问权限将用户进行分组，将服务器端的资源分到相应的用户组进行统一管理。采用矩阵表格方式进行策略定义，直观且操作简单。

（3）用户接入认证基于5W1H，即根据who（谁）、whose（谁的设备）、what（什么设备）、where（什么地点）、when（什么时间）、how（什么方式）多个维度进行接入认证。

（4）支持用户终端MAC和获取的IP地址一对一固定的需求。终端无论移动到哪里，都可以做到始终获取唯一固定的IP。

（5）园区网控制器采用图形化界面。对网络的配置操作，如用户组及策略配置、接入认证、自动化上线、业务配置、网络运维等都可在园区控制器上通过图形化界面操作完成，园区控制器将网络管理员图形化界面操作转化为网络设备具体命令后下发给相关设备执行。

图1多网融合网络拓扑图

3 多网融合网络特点

3.1 柔性网络

柔性网络包含两方面含义：①网络架构灵活，业务部署可以实现与位置无关；②终端和用户根据位置匹配通道的模式，网络资源随用户和应用移动。具体包括如下特点：

（1）无状态网络。传统网络划分三层（L3）网段时常与位置紧密关联，网络要根据不同的楼层或办公室划分不同的L3网段，这种模式下难以实现用户移动办公，因为用户移动往往要跨越不同L3网段，无法保留原IP地址和权限，给工作带来麻烦。无状态网络的核心是IP地址与位置解耦，即位址分离，用户或终端在网络中任意位置接入，都不需要改变网络配置且保留IP地址不变。

（2）策略随行。策略随行的核心是用户和IP地址绑定，即名址绑定。除了用户和IP绑定外，还可以实现业务组或用户组和IP网段的绑定，以实现通过IP段标识业务组或用户组。比如财务人员可能在网络的不同位置办公，我们可以将其分配在同一个网段内。

（3）网随人动。传统网络不能解决用户和终端在任意位置接入时权限和IP地址保留问题。网随人动即将用户和应用作为核心，网络资源跟随用户和应用移动。

（4）多业务隔离。整网采用overlay技术，天然具备业务隔离能力，相比MPLS的隔离方式，VXLAN的隔离只需要在端点（VTEP）做隔离[2]。不仅让整个运维节点大幅减少，而且保证了业务隔离的强度。园区控制器提供两种隔离方式，一是类似MPLS的VRF隔离，每个用户组在VTEP节点分配不同的VRF，VRF之间在路由层面实现隔离，每个用户在VRF内通过VLAN映射成不同的VXLAN[3]。二是ACL的隔离方式，因为每个用户组在IP分配的时候已经分配在不同的网段，因此不同用户组在接入之后获取的是不同网段的IP，ACL隔离相对比较简单，一条ACL就可以实现不同用户组之间的网络隔离。

将整网控制和转发进行分离，业务与设备进行解耦合，底层硬件资源负责数据的转发，上层的控制平面负责业务的转发，在逻辑上将整个网切成多个平面，承载不同的业务，各业务之间互不影响，底层是物理网络，通过配置不同的用户组将网络隔离为内网、外网、设备网等网络。

3.2 软件定义

通过SDN思想，将网络控制平台集中，实现网络运维极简，真正将网络管理人员从低价值劳动中解放出来。具体特点如下：

（1）设备自动部署。汇聚层和接入层交换机上电后自适应下载配置文件，加载相关配置，无须网管人员干预，真正实现设备自动部署。

（2）园区一键启动。通过控制器上的图形化界面，完成用户、终端、用户组等网络资源定义和网络访问策略定义，定义完成后一键启动。资源定义和网络访问策略定义举例如表1、表2。

图2多业务隔离

表1用户组及相关网络资源定义举例

表2网络访问策略定义举例

（3）可视化运维。应用驱动园区仪表盘从用户、终端和业务的角度，将整网实时状态以图形化界面显示，内容包括：1）终端接入信息。展示接入终端类型和有线、无线的接入比例。2）应用信息巡展。从应用维度展示其繁忙度和在线用户数量、IP容量和TopN应用访问流量，呈现应用可用性。

3）用户地图信息。结合园区地图实时显示全网在线用户分布情况。

4）流量信息。展示用户最常访问的应用和网站及其流量监控。

5）对于承载应用的底层基础网络，应用驱动园区仪表盘提供资源信息，展示全网有线、无线资源的平均使用率和接入带宽。

用户可灵活自定义园区仪表盘，实时展现用户最关心的网络业务运行状况。

4 应用体会

智慧医疗和互联网医院的建设，对基础网络架构提出更高的要求，不仅仅局限于传统架构对隔离的要求，新形势下要求基础架构灵活可变、软件定义、易扩展和便运维。基于多网融合技术的计算机网络系统能支撑智慧医疗和互联网医院建设需求，解决业务的差异化安全要求和业务融合的发展趋势之间的矛盾，在确保系统安全和性能的前提下，提升医院整体业务水平。