VxLAN+SDN在醫院信息化建設中的應用

張新龍 王建林 丁雪乾

（蘭州大學第一醫院信息中心 甘肅省蘭州市 730030）

目前遠程會診、電子病歷之后，醫療行業的信息化狀況及其進展，成為了越來越多的醫院管理者關注的焦點之一[1]。與此同時，隨著社會生活的發展，衛生醫療行業數據中心的計算部署規模不斷擴大，應用迭代速度不斷提升。因此，網絡系統作為數據中心IT基礎架構的關鍵部分，需要即時適應云計算數據中心業務部署的發展需求。然而，傳統網絡架構中，網絡資源和應用系統高度耦合，資源調配需要手工管理，效率低下，無法適應云計算數據中心急劇增加的業務需求[2]。因此，本應用旨在利用H3C 公司的SDN 解決方案（SDN 軟件平臺，S10508X-V 核心交換機，S7506E 高端交換機等），融合VxLAN 技術優勢，分期分階段對醫院網絡進行改造和建設。最終完成全院的SDN 網絡建設和改造工作，充分體現網絡服務化的優勢，使網絡具備更好的人機交互體驗，具備醫療行業領先的技術特色[3]。

1 基于“VxLAN+SDN”的系統整體設計

網絡是醫院穩定運行和信息化支撐的基礎，網絡的穩定可靠、故障的快速恢復直接影響到醫療安全，如何實現智能化運維，盡量避免或減少運維人員出入隔離區的次數，具有十分重要的現實意義[4]。

1.1 SDN技術特點

傳統網絡需要專業的運維員在設備現場對基礎網絡進行維護和保障，而使用SDN 技術核心目的是減少接觸式運維，提高全院的信息化服務水平，保障醫院信息化各環節可靠高效地運行[5]。本應用借助SDN 對傳統網絡進行改造，使全院網絡具備安全、高效、智慧、開放、可視等特點，使之能發揮網絡架構的技術優勢。SDN網絡技術不僅可以服務于HIS 系統、PACS 系統等核心業務，也可以通過SDN 快速將醫院全部網絡資源統一管理，極大減輕了新業務上線網絡對接調測及在隔離區域快速組建網絡的難度。

1.2 “SDN+VxLAN”架構

信息科技是常態化疫情防控的重要手段。用好大數據、人工智能、信息化網絡、物聯網等技術利器，可以增強我們與病毒“硬碰硬”的能力與勇氣。我院將SDN 和VxLAN 兩項先進的技術有機地結合在一起，真正實現一種靈活柔性的網絡架構[6]，通過SDN 構造醫院網驅動器，使用VxLAN 構建新一代柔性的基礎網絡，配合軟件定義的相關理念，能夠顛覆傳統醫院網“人適應網”的現狀，從而實現整個院區網范圍內的“網隨人動”，減少了人員在隔離區的接觸式運維。結合經驗與需要，我院項目組進行了深入探討與建設，在本次項目中新穎地采用了先進的網絡架構設計思路SDN+VxLAN（軟件定義網絡和網絡虛擬化），對骨干網架構進行升級改造，達到網絡規范、技術先進、安全可靠、管理方便的目的。其具體策略為：

（1）全院采用四張網絡（醫療內網，互聯網，設備網，視訊網），四張網絡實現物理隔離建設方式，每套獨立的物理網絡建設都采用SDN+VxLAN 技術，按照業務需求隔離成多張邏輯網絡承載不同業務。網絡架構支持橫向、縱向彈性擴展，提高監控的精準度以及后期網絡的彈性擴充。網絡架構如圖1 所示。

（2）所有控制策略均由SDN 控制器集中、統一管理，基于全網視角對不同業務設置不同控制策略，其策略更加規范。可以靈活針對疫區單獨設制網絡和業務策略。新設備上線不用現場調測網絡，通過SDN 控制可以遠程統一調度管理。

圖1：SDN+VxLAN 網絡架構

圖2：隔離通道動態跟隨架構

（3）根據業務主次、實際需求等靈活動態分配，保證核心業務可靠運行。

（4）通過SDN 控制器實現對全網網絡設備集中統一管理及配置下發，無需手動對網絡設備進行單獨配置，網絡設備管控更簡單。

1.3 “SDN+VxLAN”技術優勢

“SDN+VxLAN”是一種全新的信息網絡架構技術，是新型的分布式協同生產機制以及新型的網絡架構模式的基礎。具有安全可信、異構多活、智能執行等優點，對其開展深入研究和恰當應用。

醫院信息網絡架構是一個開放的系統，具有適應各種政策、技術、業務發展的能力，遵循信息標準化的軟件系統都可以接入到平臺，并通過平臺實現數據集成和應用集成。站在全新高度與常態化抗疫的時期下規劃建設醫院網絡，必須有一個前瞻性、預見性的建設目標，同時也必須確保安全性、實用性與可執行性的結合，才能逐步建成一個完整、高效的網絡架構。本應用服務內容從醫院信息化基礎建設出發，為醫院提供區別于傳統技術的便捷，可靠，易用，安全的通信網絡，具備IP地址與物理位置解耦、網隨人動、策略隨行、故障設備即插即換、可視運維等能力，使醫院網絡從傳統園區網升級到最新的SDN 網絡，滿足病房的網絡組建、設備運維、策略隨行以及新業務快速上線等需求。

2 “VxLAN+SDN”架構的技術要素

本應用從醫院網絡信息化建設角度出發，提出VxLAN+ SDN網絡架構，包含的主要技術要素有VXLAN、EVPN、服務鏈技術以及多Fabric 技術。

2.1 VxLANN和服務鏈技術

VxLAN 技術是一種MAC in UDP 技術。VxLAN 基于IP 網絡組建大二層網絡，支撐醫院SDN 網絡方案實現IP 地址與物理位置解耦，不局限物理地址規劃IP 等特性，VxLAN 分布式網關技術支撐醫院網絡設備的每個匯聚點配置文件相同，每個接入設備配置文件相同，使網絡具備智能運維，故障即插即換的特性。

2.2 EVPN技術

EVPN 中，PE 之間的MAC/IP 地址學習是基于控制平面的，采用MP-BGP 協議通告MAC/IP 的可達性，是一種基于Overlay 技術的二層互連技術，EVPN 繼承了MP-BGP 和VxLAN 的優勢，本應用中EVPN 技術支撐分離控制平面與數據平面：控制平面負責發布路由信息，數據平面負責轉發報文，分工明確，易于管理[8]。服務鏈可以做到L4～7 層的服務SDN 自動配置。網絡設備可以通過L2～L4 層對網絡流量進行初步的安全防護，即無狀態防火墻，安全設備可以做L4～L7 層對網絡流量進行精細防護，即有狀態防火墻。服務鏈可以使得這兩種防護做到統一界面呈現，極大簡化配置。

2.3 多Fabric技術

多Fabric 解決方案采用EVPN 技術構建多園區的Overlay 網絡，網絡設備與VCF Controller 配合，可一鍵完成基礎網絡的自動部署，并且做到自動化過程的可視化，對物理網絡和虛擬網絡進行運維和監控。多Fabric 通過EBGP 技術建立Fabric 連接，實現Overlay 網絡的多Fabric 統一部署，實現用戶遷移策略隨行。多Fabfric 技術支撐醫院未來多院區網絡規劃，當有多個分支機構時仍然具備SDN先進的技術特性。

3 應用成效

在信息化和網絡應用成為醫院運行必要支撐的情況下，醫院信息系統必須根據各種要求進行加強建設。我院信息化建設組以VxLAN+ SDN 為著力點打造了SDN 網絡系統，具體的實現包括有：

3.1 無狀態網絡

傳統網絡劃分L3 網段時往往與位置緊密關聯，不同的樓層/樓棟劃分不同L3 網段，用戶移動往往要跨越不同L3 網段，IP 地址必須進行更換，網絡變更效率低，工作復雜。采用SDN 后的網絡為無狀態網絡，核心是位址分離，即IP 地址與位置解耦，讓IP地址可以在任意位置接入，無需改變網絡的配置。當遇到科室變動，部門不按照物理位置規劃時，大大的簡化了網絡配置，無需網絡管理人員頻繁的更改設備的配置。

3.2 用戶策略隨行

醫院SDN 方案策略隨行的核心是“名址綁定”，即用戶和IP地址一一對應，傳統網絡用戶名和IP 地址是難以做到綁定的，一方面DHCP 的方式并不能保證單用戶每次獲取相同的IP，靜態地址分配的方式又不能保障用戶在移動過程中保持相同IP 能夠在不同的位置進行正常的網絡連接；本應用SDN 方案中無狀態網絡本身提供了IP 任意位置訪問的能力，再配合名址綁定實現用戶位置發生變化，IP 地址段沒有變，而這種針對IP 的策略其實就是針對患者用戶的策略，最終實現了患者用戶的策略隨行。

3.3 網隨人動

傳統網絡終端的規劃，接入到相關接入交換機的端口，從而實現VLAN 等權限和終端的匹配，一方面不能夠解決用戶和終端任意位置接入權限分配的問題，另外終端接入位置也受限制。本次SDN方案將人和應用作為核心，所有網絡的資源跟隨人和應用移動，網絡用戶在哪里接入、資源就下發到哪里。

3.4 網絡通道虛擬隔離

醫院傳統網絡在新業務上線、新部門增加時，要規劃新的VLAN 來支撐新業務、新部門的網絡用戶，SDN 網絡解決方案采用overlay 的技術，天然具備跨廣域網的通道隔離能力，技術支撐是分布式VxLAN 技術，在匯聚層劃分VxLAN 新業務組，接入層交換機一體化配置，不區分新業務和新部門，VxLAN 組通過SDN控制器直接下發到各個匯聚節點。我院SDN 控制平臺虛擬出專用的隔離病區網絡通道，通過SDN 控制平臺下發策略使隔離病區的網絡優先級全院最高，有力保障隔離病區優先使用醫院的信息化資源，為隔離病區的快速響應提供信息化支撐。其隔離通道動態跟隨架構如圖2 所示。

3.5 兼容性良好

醫院的SDN 網絡方案僅要求核心、匯聚層設備支持VxLAN，接入交換機只要支持SNMP 協議即可，不要求必須是同一廠家。最大程度的節約了醫院的信息化成本。

3.6 故障即插即換

采用的SDN 解決方案，核心層一份配置，匯聚層一份配置，接入層一份配置，每個角色的配置文件從SDN 控制平臺下發，支持在設備故障、替換掉原有設備時，SDN 控制平臺按照設備角色直接下發配置，無需人工干預，極大了增加了網絡管理部門運維的便捷性[9]。

3.7 界面操作

可視化智能運維、新業務上線、設備運維、策略下發等操作全部從SDN 控制平臺通過拖拉拽的方式進行。終端接入信息、流量信息、用戶地圖信息等通過可視化界面展示，屏蔽了設備底層命令，使網絡變更、新業務上線時的網絡配置都通過可視化的軟件界面操作，極大減輕了醫院網絡運維人員壓力[10]。

4 結語

對目前醫院信息系統進行新技術的擴展和改造，以適應特殊時期對高危患者識別、嚴防院內感染、保障診療業務正常運行等方面的具有重要意義。

通過探索將疫情防控和支撐醫院未來業務發展相結合，采用SDN+VxLAN 的解決方案為醫院的信息化建設奠定了扎實的基礎。首先，SDN+VxLAN 網絡的建設，改變了傳統網絡故障造成的恢復周期長、故障定位難等難題，減少了運維人員接觸和處置故障時間。其次，通過SDN+VxLAN 安全服務鏈、大數據網絡探針、事件聯動以及安全協同等多種安全措施，可以實現后期對醫療大數據應用、醫療數據進行按需、精細化的多層安全防護，實現數據安全威脅的快速自動化處理，避免人工操作的延遲，提升醫院整體安全響應效率。總之，該技術讓醫院底層網絡服務有了質的提升，是將新興網絡技術應用于醫療領域的一次實踐和探索。