張立軍 于淼

摘要

隨著智慧醫(yī)院的發(fā)展，近年來SDN的概念被越來越廣泛地宣傳與接受，隨著技術(shù)的發(fā)展，園區(qū)網(wǎng)絡已經(jīng)有規(guī)?；氖褂茫疚耐ㄟ^實施SDN園區(qū)解決方案，實現(xiàn)了網(wǎng)絡自動化運維、圖形化管理以及人隨網(wǎng)動，滿足了醫(yī)院對網(wǎng)絡的需求。

【關(guān)鍵詞】SDN 網(wǎng)絡建設(shè) 解決方案

1 SDN園區(qū)網(wǎng)絡建設(shè)背景

根據(jù)業(yè)務需求，醫(yī)院需要建設(shè)并維護內(nèi)網(wǎng)、外網(wǎng)、金宏網(wǎng)、衛(wèi)計專網(wǎng)、社保網(wǎng)等網(wǎng)絡，目前網(wǎng)絡自動化程度不高，網(wǎng)絡僵化、難以滿足業(yè)務快速變化的需求、運維費時費力，如何升級網(wǎng)絡自動化程度，滿足醫(yī)院業(yè)務快速發(fā)展對網(wǎng)絡的需求，已經(jīng)提上日程。

2 SDN園區(qū)網(wǎng)絡實施

2.1 所需條件

本方案采用VXlan技術(shù)和EVPN分布式轉(zhuǎn)發(fā)。服務器側(cè)，需要兩臺服務器，分別用于安裝dhcp和控制器。醫(yī)院目前的用戶數(shù)量不多，規(guī)模不大，可以采用二層組網(wǎng)模型，分為leaf和access，用戶的網(wǎng)關(guān)都放在leaf上，leaf設(shè)備需要支持Vxlan技術(shù)和EVPN，為了實現(xiàn)交換機自動上線，leaf和access交換機采用與控制器同一品牌的交換機。

2.2 組網(wǎng)

組網(wǎng)拓撲如圖1所示，其中l(wèi)eaf角色的交換機為核心交換機，考慮可靠性，將兩臺交換機虛擬化為一臺，Director，EIA和DHCPServer服務器，都需要準備2個網(wǎng)卡，一個網(wǎng)卡配置VLANI網(wǎng)段ip，連接到Vlan1交換機;另一個網(wǎng)卡配置VLAN4094網(wǎng)段ip，連接到Vlan 4094交換機;

DHCP服務器采用windows server2012操作系統(tǒng)自帶的，用于對全網(wǎng)設(shè)備、終端分配IP地址;Director為控制器，對整網(wǎng)交換機、終端以及dhcp服務器進行統(tǒng)一管理。

2.3 實施過程

Director上實現(xiàn)的自動化配置一共包含兩部分，一部分是Underlay的全自動化部署，支持設(shè)備自動堆疊和自動聚合，可以實現(xiàn)設(shè)備的互聯(lián)互通以及圖形化管理，另一部分是用于承載用戶業(yè)務的Overlay自動化配置。

2.3.1 Underlay自動化部署

Underlay自動化部署流程圖如下所示，整個流程大體包括自動化部署準備、設(shè)備空配置啟動獲取角色模板自動化上線以及Director自動納管三部分。首先需要在Director頁面完成自動化參數(shù)（包含登錄賬號、密碼，IP地址規(guī)劃）等初始配置，其中DHCP服務器地址池部分也是由Director通過安裝在DHCP服務器上的插件實現(xiàn)的自動配置，然后設(shè)備進行空配置啟動，啟動過程中從DHCP服務器獲取給定范圍的IP地址以及服務器地址信息，根據(jù)角色分別獲取對應的自動化配置模板并下發(fā)到設(shè)備側(cè)。當設(shè)備被Director自動納管，且加入到對應的設(shè)備組和接口組后，Underlay部分的自動化部署即全部完成，整個過程無需登錄設(shè)備、無需通過命令行修改配置。

設(shè)備的上線過程可以通過監(jiān)控拓撲進行監(jiān)控，設(shè)備上線后，對應角色的圖標就會變綠，狀態(tài)顯示“已納管“，也可看到設(shè)備對應的IP地址、MAC地址、SN碼等信息。如果SN角色綁定了設(shè)備標簽的，也將同步顯示出設(shè)備標簽。

2.3.2 Overlay自動化配置

Overlay部分自動化配置包含業(yè)務配置、私網(wǎng)配置以及用戶接入配置，這些配置都只需要管理員在Director上通過圖形化界面配置。

（1）業(yè)務配置內(nèi)容主要在通用組里的設(shè)備組和接口組進行。

設(shè)備組里主要做全局的配置，系統(tǒng)根據(jù)組網(wǎng)設(shè)備角色預置Spine設(shè)備組、Leaf設(shè)備組、Access設(shè)備組。通過向設(shè)備組配置組策略（組策略由若干動作組成），完成配置下發(fā)。刪除組策略或者刪除動作時，清除下發(fā)的配置。

由于本方案需要Leaf設(shè)備實現(xiàn)802.1x認證、MAC地址認證以及MAC Portal所需要的業(yè)務功能，因此在Leaf設(shè)備組里，需要對應配置全局使能802.1x認證、MAC認證、AAA認證、DHCP Snooping，有線MAC Portal FreeACL3001功能，在“Leaf設(shè)備組代”->”組策略“中增加策略，并增加動作。

配置完成后，Director會講配置下發(fā)到設(shè)備上去，可以點擊“部署結(jié)果”的圖標，查看相應的部署結(jié)果。

（2）私網(wǎng)配置包括創(chuàng)建私有網(wǎng)絡、二層網(wǎng)路域、安全組、資源組。

私有網(wǎng)絡亦即邏輯隔離的vpn，根據(jù)業(yè)務需求，可將醫(yī)院網(wǎng)絡分為內(nèi)網(wǎng)、外網(wǎng)、金宏網(wǎng)、衛(wèi)計專網(wǎng)、社保網(wǎng)。

二層網(wǎng)路域?qū)氖荲Xlan，按照部門進行分配，每個部門一個VXlan。

安全組對應的是IP地址段，對應不同的部門分配不同的地址段。

資源組對應的是各個部分所能訪問的服務器資源，本方案按照服務器的安全等級進行劃分，分為一般服務器和重要服務器，分配給不同的安全組訪問權(quán)限。

（3）用戶接入配置包含接入策略、接入組和接入用戶。

接入策略指的是用戶接入時的設(shè)定的屬性，包括授權(quán)信息、認證綁定信息和用戶客戶端配置等。

接入組是用戶使用網(wǎng)絡的一個途徑，主要指定采用的接入策略、安全組等信息。

接入用戶需要提前錄入認證系統(tǒng)，每個用戶需要對應一個接入組，而接入組中對應了接入策略和安全組，進而確定所屬的二層網(wǎng)絡域。

3 SDN園區(qū)網(wǎng)絡展望

本套園區(qū)網(wǎng)絡解決方案基于傳統(tǒng)交換機功能實現(xiàn)，穩(wěn)定、可靠性有所保障，同時，在SDN園區(qū)網(wǎng)絡解決方案中，交換機僅需要提供各基礎(chǔ)功能，無需頻繁的升級，面向客戶的各種功能，均通過軟件的方式提供，相對傳統(tǒng)升級交換機芯片或系統(tǒng)的方式，這種方式更新、迭代的速度更快，定制化程度更高，隨著技術(shù)的發(fā)展，整套方案的自動化程度會更高，也將將更貼近業(yè)務需求。

參考文獻

[1]劉興光.基于SDN的智能園區(qū)交換網(wǎng)絡解決方案[J].通訊世界，2015（19）.