SDN園區(qū)解決方案的應(yīng)用

張立軍 于淼

摘要

隨著智慧醫(yī)院的發(fā)展，近年來SDN的概念被越來越廣泛地宣傳與接受，隨著技術(shù)的發(fā)展，園區(qū)網(wǎng)絡(luò)已經(jīng)有規(guī)?；氖褂?，本文通過實(shí)施SDN園區(qū)解決方案，實(shí)現(xiàn)了網(wǎng)絡(luò)自動(dòng)化運(yùn)維、圖形化管理以及人隨網(wǎng)動(dòng)，滿足了醫(yī)院對(duì)網(wǎng)絡(luò)的需求。

【關(guān)鍵詞】SDN 網(wǎng)絡(luò)建設(shè) 解決方案

1 SDN園區(qū)網(wǎng)絡(luò)建設(shè)背景

根據(jù)業(yè)務(wù)需求，醫(yī)院需要建設(shè)并維護(hù)內(nèi)網(wǎng)、外網(wǎng)、金宏網(wǎng)、衛(wèi)計(jì)專網(wǎng)、社保網(wǎng)等網(wǎng)絡(luò)，目前網(wǎng)絡(luò)自動(dòng)化程度不高，網(wǎng)絡(luò)僵化、難以滿足業(yè)務(wù)快速變化的需求、運(yùn)維費(fèi)時(shí)費(fèi)力，如何升級(jí)網(wǎng)絡(luò)自動(dòng)化程度，滿足醫(yī)院業(yè)務(wù)快速發(fā)展對(duì)網(wǎng)絡(luò)的需求，已經(jīng)提上日程。

2 SDN園區(qū)網(wǎng)絡(luò)實(shí)施

2.1 所需條件

本方案采用VXlan技術(shù)和EVPN分布式轉(zhuǎn)發(fā)。服務(wù)器側(cè)，需要兩臺(tái)服務(wù)器，分別用于安裝dhcp和控制器。醫(yī)院目前的用戶數(shù)量不多，規(guī)模不大，可以采用二層組網(wǎng)模型，分為leaf和access，用戶的網(wǎng)關(guān)都放在leaf上，leaf設(shè)備需要支持Vxlan技術(shù)和EVPN，為了實(shí)現(xiàn)交換機(jī)自動(dòng)上線，leaf和access交換機(jī)采用與控制器同一品牌的交換機(jī)。

2.2 組網(wǎng)

組網(wǎng)拓?fù)淙鐖D1所示，其中l(wèi)eaf角色的交換機(jī)為核心交換機(jī)，考慮可靠性，將兩臺(tái)交換機(jī)虛擬化為一臺(tái)，Director，EIA和DHCPServer服務(wù)器，都需要準(zhǔn)備2個(gè)網(wǎng)卡，一個(gè)網(wǎng)卡配置VLANI網(wǎng)段ip，連接到Vlan1交換機(jī);另一個(gè)網(wǎng)卡配置VLAN4094網(wǎng)段ip，連接到Vlan 4094交換機(jī);

DHCP服務(wù)器采用windows server2012操作系統(tǒng)自帶的，用于對(duì)全網(wǎng)設(shè)備、終端分配IP地址;Director為控制器，對(duì)整網(wǎng)交換機(jī)、終端以及dhcp服務(wù)器進(jìn)行統(tǒng)一管理。

2.3 實(shí)施過程

Director上實(shí)現(xiàn)的自動(dòng)化配置一共包含兩部分，一部分是Underlay的全自動(dòng)化部署，支持設(shè)備自動(dòng)堆疊和自動(dòng)聚合，可以實(shí)現(xiàn)設(shè)備的互聯(lián)互通以及圖形化管理，另一部分是用于承載用戶業(yè)務(wù)的Overlay自動(dòng)化配置。

2.3.1 Underlay自動(dòng)化部署

Underlay自動(dòng)化部署流程圖如下所示，整個(gè)流程大體包括自動(dòng)化部署準(zhǔn)備、設(shè)備空配置啟動(dòng)獲取角色模板自動(dòng)化上線以及Director自動(dòng)納管三部分。首先需要在Director頁面完成自動(dòng)化參數(shù)（包含登錄賬號(hào)、密碼，IP地址規(guī)劃）等初始配置，其中DHCP服務(wù)器地址池部分也是由Director通過安裝在DHCP服務(wù)器上的插件實(shí)現(xiàn)的自動(dòng)配置，然后設(shè)備進(jìn)行空配置啟動(dòng)，啟動(dòng)過程中從DHCP服務(wù)器獲取給定范圍的IP地址以及服務(wù)器地址信息，根據(jù)角色分別獲取對(duì)應(yīng)的自動(dòng)化配置模板并下發(fā)到設(shè)備側(cè)。當(dāng)設(shè)備被Director自動(dòng)納管，且加入到對(duì)應(yīng)的設(shè)備組和接口組后，Underlay部分的自動(dòng)化部署即全部完成，整個(gè)過程無需登錄設(shè)備、無需通過命令行修改配置。

設(shè)備的上線過程可以通過監(jiān)控拓?fù)溥M(jìn)行監(jiān)控，設(shè)備上線后，對(duì)應(yīng)角色的圖標(biāo)就會(huì)變綠，狀態(tài)顯示“已納管“，也可看到設(shè)備對(duì)應(yīng)的IP地址、MAC地址、SN碼等信息。如果SN角色綁定了設(shè)備標(biāo)簽的，也將同步顯示出設(shè)備標(biāo)簽。

2.3.2 Overlay自動(dòng)化配置

Overlay部分自動(dòng)化配置包含業(yè)務(wù)配置、私網(wǎng)配置以及用戶接入配置，這些配置都只需要管理員在Director上通過圖形化界面配置。

（1）業(yè)務(wù)配置內(nèi)容主要在通用組里的設(shè)備組和接口組進(jìn)行。

設(shè)備組里主要做全局的配置，系統(tǒng)根據(jù)組網(wǎng)設(shè)備角色預(yù)置Spine設(shè)備組、Leaf設(shè)備組、Access設(shè)備組。通過向設(shè)備組配置組策略（組策略由若干動(dòng)作組成），完成配置下發(fā)。刪除組策略或者刪除動(dòng)作時(shí)，清除下發(fā)的配置。

由于本方案需要Leaf設(shè)備實(shí)現(xiàn)802.1x認(rèn)證、MAC地址認(rèn)證以及MAC Portal所需要的業(yè)務(wù)功能，因此在Leaf設(shè)備組里，需要對(duì)應(yīng)配置全局使能802.1x認(rèn)證、MAC認(rèn)證、AAA認(rèn)證、DHCP Snooping，有線MAC Portal FreeACL3001功能，在“Leaf設(shè)備組代”->”組策略“中增加策略，并增加動(dòng)作。

配置完成后，Director會(huì)講配置下發(fā)到設(shè)備上去，可以點(diǎn)擊“部署結(jié)果”的圖標(biāo)，查看相應(yīng)的部署結(jié)果。

（2）私網(wǎng)配置包括創(chuàng)建私有網(wǎng)絡(luò)、二層網(wǎng)路域、安全組、資源組。

私有網(wǎng)絡(luò)亦即邏輯隔離的vpn，根據(jù)業(yè)務(wù)需求，可將醫(yī)院網(wǎng)絡(luò)分為內(nèi)網(wǎng)、外網(wǎng)、金宏網(wǎng)、衛(wèi)計(jì)專網(wǎng)、社保網(wǎng)。

二層網(wǎng)路域?qū)?yīng)的是VXlan，按照部門進(jìn)行分配，每個(gè)部門一個(gè)VXlan。

安全組對(duì)應(yīng)的是IP地址段，對(duì)應(yīng)不同的部門分配不同的地址段。

資源組對(duì)應(yīng)的是各個(gè)部分所能訪問的服務(wù)器資源，本方案按照服務(wù)器的安全等級(jí)進(jìn)行劃分，分為一般服務(wù)器和重要服務(wù)器，分配給不同的安全組訪問權(quán)限。

（3）用戶接入配置包含接入策略、接入組和接入用戶。

接入策略指的是用戶接入時(shí)的設(shè)定的屬性，包括授權(quán)信息、認(rèn)證綁定信息和用戶客戶端配置等。

接入組是用戶使用網(wǎng)絡(luò)的一個(gè)途徑，主要指定采用的接入策略、安全組等信息。

接入用戶需要提前錄入認(rèn)證系統(tǒng)，每個(gè)用戶需要對(duì)應(yīng)一個(gè)接入組，而接入組中對(duì)應(yīng)了接入策略和安全組，進(jìn)而確定所屬的二層網(wǎng)絡(luò)域。

3 SDN園區(qū)網(wǎng)絡(luò)展望

本套園區(qū)網(wǎng)絡(luò)解決方案基于傳統(tǒng)交換機(jī)功能實(shí)現(xiàn)，穩(wěn)定、可靠性有所保障，同時(shí)，在SDN園區(qū)網(wǎng)絡(luò)解決方案中，交換機(jī)僅需要提供各基礎(chǔ)功能，無需頻繁的升級(jí)，面向客戶的各種功能，均通過軟件的方式提供，相對(duì)傳統(tǒng)升級(jí)交換機(jī)芯片或系統(tǒng)的方式，這種方式更新、迭代的速度更快，定制化程度更高，隨著技術(shù)的發(fā)展，整套方案的自動(dòng)化程度會(huì)更高，也將將更貼近業(yè)務(wù)需求。

參考文獻(xiàn)

[1]劉興光.基于SDN的智能園區(qū)交換網(wǎng)絡(luò)解決方案[J].通訊世界，2015（19）.