广域网革命者｜穿透灵魂的SD-WAN解决方案

---

 

目 录

1.医联体发展简介
1.1.医联体的概念及目标
1.2.医联体的组织形式
1.3.医联体的建设进展

2.医联体网络建设现状与挑战
2.1.当前医联体网络现状
2.1.1.专线投入成本高
2.1.2.网络运维管理难
2.1.3.业务链路质量差
2.1.4.安全能力弱
2.2.新型医联体WAN组网需要具备哪些特性？
2.3.医联体WAN组网转型方案——SD-WAN

3.山石网科SD-WAN解决方案
3.1.方案架构设计
3.2.方案价值
3.2.1.【成本】灵活接入，降低线路成本
3.2.2.【运维】零配置开局，快速组网
3.2.3.【运维】按需编排，灵活组网
3.2.4.【运维】统一监控告警，实现运维闭环
3.2.5.【运维】可视化大屏，整网信息一目了然
3.2.6.【业务】应用灵活选路，合理分配链路
3.2.7.【业务】故障切换及负载均衡，链路质量保证
3.2.8.【安全】领先防护能力，满足安全合规
3.3.业界认可

4.SD-WAN在医联体中的应用场景
4.1.医联体网络互联互通场景
4.2.医联体混合云场景
4.3.医联体远程医疗&视频会议场景

 

1.医联体发展简介

 

1.1.医联体的概念及目标

医联体是指区域医疗联合体，是将同一个区域内的医疗资源整合在一起，通常由三甲医院、甲级医院、社区医院和村医院组成。构建医联体的主要目的是希望通过信息互通、资源互享、医生上下流动、病人双向转诊等方式，逐步实现各医院医疗资源和医疗水平的均衡发展，使绝大部轻微病患者能够放心地在就近等级相对较低的医院看病就诊，缓解大医院病人的接待压力，最终解决老百姓看病难的问题。

 

1.2.医联体的组织形式

根据《国务院办公厅关于推进医疗联合体建设和发展的指导意见》，医联体的四种模式分别为：城市医疗集团、县域医共体、专科联盟、远程医疗协作网。

城市医疗集团：以1家三甲医院为牵头单位，联合若干城市二甲医院、康复医院、护理院以及社区卫生服务中心，构建“1+X”医联体，纵向整合医疗资源，形成资源共享、分工协作的管理模式。

县域医共体：重点探索以“县医院为龙头，乡镇卫生院为枢纽，村卫生室为基础”的县乡一体化管理模式，并与乡村一体化有效衔接，充分发挥县医院的城乡纽带作用和县域龙头作用，形成县乡村医疗卫生机构分工协作机制，构建县乡村三级联动的县域医疗服务体系。

专科联盟：以区域内医疗机构特色专科为纽带，联合其他医疗机构相同专科技术力量，形成区域内若干特色专科中心，提升解决专科重大疾病的救治能力，盘活现有医疗资源，突出专科特色。

远程医疗协作网：由大型公立医院与基层、偏远和欠发达地区医疗机构建立远程医疗服务网络。鼓励二甲、三甲医院向基层医疗卫生机构提供远程医疗服务，提升远程医疗服务能力，促进优质医疗资源纵向流动。

 

1.3.医联体的建设进展

近年来，作为分级诊疗的重要抓手，医联体一直以来被给予厚望，被列入新医改的重点举措后，全国各地各级医疗机构纷纷响应，成为各地医改的宠儿，形形色色的医联体不断涌现，其重要性不言而喻，以下为我国医联体的大致发展进程：

2017年，基本搭建医联体制度框架，全面启动多种形式的医联体建设试点。

2018年，将医联体建设工作与医疗单位绩效考核相挂钩，进一步加速了医联体建设的步伐。

2019年，随着分级诊疗的持续推进，各地不断夯实医联体建设，并形成了各具特色的医联体模式，如深圳罗湖模式、安徽天长医共体、北京儿童医院专科联盟等。

2021年，在总结试点经验的基础上，全面推进医联体建设，逐步实现医联体网格化布局管理。所有二甲公立医院和政府办基层医疗卫生机构全部参与医联体。

通过医联体建设，患者就医流向逐步变化，基层硬件与软件实力得到改善；在医学检验、医学影像诊断等方面，医联体内部医疗机构逐步实现资源共享、服务同质；通过完善财政、价格、医保等配套政策，医联体内部互动衔接机制初步形成。虽然受到疫情影响，全国的医联体建设进度有所放缓，但是整体上仍然在持续推进中。

 

2.医联体网络建设现状与挑战

 

2.1.当前医联体网络现状

无论是何种形式的医联体，组织架构总体都是总分的结构，对应的医联体广域网的建设也是类似，大多以星型方式实现组网。

 

如上图所示，医联体广域网主要以三甲医院为主体，医联体云数据中心和公有云承载医联体核心医疗业务系统，分支医院通常采用专线和互联网链路实现与三甲医院核心业务系统之间的互联对接。然而随着医联体规模的逐渐扩大，医疗业务的日益增长，传统的医联体广域组网面临着诸多挑战。

 

2.1.1.专线投入成本高

 

医联体的主要医疗业务系统一般都部署在三甲医院的数据中心，并通过租用运营商专线将二甲医院、社区医院、农村卫生院连接起来。

分支医疗网点增多：随着分支医疗网点的不断增多，广域组网规模逐渐扩大，传统医疗网点大都采用双专线组网，虽然专线投入成本巨大，但备用专线的利用率却极低。

医疗业务增加：随着远程医疗业务增加，导致医疗业务流量上涨，使得扩容带宽费用激增，高昂的专线成本对扩容大容量带宽、提升业务连续性提出新的挑战。

 

2.1.2.网络运维管理难

1. 传统专线一般需要单独部署，申请周期长（一般需要半个月到1个月时间），后续医院单位增多，部署周期更长。

2. VPN 配置复杂，对运维人员技术要求高、人力成本高，后续医院单位增多，上线效率更低。

3. 各级医院单位、牵头医院单独进行网络配置，无法做到集中管理和链路建立。

4. 当构建完网络后，网络无法直观展示，设备及链路状态无法感知，安全威胁无法控制。

5. 网络故障无法及时响应，定位周期长，恢复时间更长，直接影响医联体正常医务工作开展。

 

2.1.3.业务链路质量差

1. 专线组网

二甲医院、社区卫生院等机构网络出口一般有主备两条专线，当出现链故障时，无法实现链路的自动切换，业务连续性无法保证；由于链路为主备模式，链路利用率较低，容易造成单线拥堵；只能根据IP进行流量分配，业务流量分配不灵活，关键业务访问质量难以保障。

2. VPN组网

受运营商网络环境的影响，传统的VPN网络质量会由于网络抖动、丢包、延迟等问题出现链路质量不佳的情况，影响各医院网点与医联体牵头医院之间的访问通信。

 

2.1.4.安全能力弱

大部分二甲医院、社区医院和农村卫生院出口网关缺乏丰富的安全防护能力，安全问题较多，如垃圾邮件传播、恶意漏洞攻击、风险IP、僵尸主机等，面对日增长的网络安全威胁，难以形成各医院网点与医联体牵头医院之间端到端的安全防护能力。特别是从分支医院访问三甲医院数据中心的流量需要得到重点监控和过滤，以此从分支侧来保护医联体核心业务安全。

 

2.2.新型医联体WAN组网需要具备哪些特性？

面对医联体传统广域组网的诸多挑战，我们总结出新型的WAN组网需要具备以下四大特性：

1. 降低线路成本

通过让普通链路达到专线的网络质量，让用户以互联网的成本，享受专线的品质，实现线路的成本下降。

2. 提升业务效率

快速实现WAN网络的部署和扩容，提升组网效率；灵活的带宽分配和智能选路功能提升业务访问体验，保证业务稳定性和连续性。

3. 全网可视可控

WAN全网设备需要能够被统一纳管，并对设备和链路状态进行可视化的实时监控和告警，帮助运维人员提高运维效率。

4. 满足安全合规

不管是企业数据中心还是云环境，WAN组网中的总部与分支设备都应该具备全面的L2-L7层的安全防护能力，保证企业数据的传输安全。

 

2.3.医联体WAN组网转型方案——SD-WAN

基于这些新型WAN组网的特性需求，SD-WAN是解决传统医联体广域组网问题非常合适的一个方案。

SD-WAN，即软件定义广域网络，是将SDN技术应用到广域网场景中所形成的一种方案。这种方案用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务，旨在帮助用户降低广域网的开支和提高网络连接灵活性。

SD-WAN方案通过一套可视化的SDN控制器（一般部署于总部），将所有广域网关设备与之互联，对设备进行统一管理和控制，从而实现广域网的控制平面和转发平面分离。所有的设备配置、隧道建立、状态监控等操作都可以通过控制器完成而无需登录每台设备进行操作，这样便能灵活便捷地使用网络资源，高效组建、运营和运维整个广域网。

采用SD-WAN组建广域网可以很好的实现降本增效。通过综合性统计，SD-WAN组网可以大幅降低线路成本，较传统MPLS广域网专线降低70%以上；其次应用性能显著提升：与传统广域网相比，链路性能提升50%以上；此外可快速实现业务响应：基于SD-WAN组网，开通分支与总部的连接仅需分钟级别，支撑业务快速发展；最后，管理效率也提升明显：可视化运维使管理员对链路状态一目了然，高效实现故障定位。

 

3.山石网科SD-WAN解决方案

 

3.1.方案架构设计

山石网科SD-WAN解决方案由山石安全管理平台HSM作为SD-WAN控制器，以山石全系列防火墙及山石云·界（虚拟化防火墙）作为CPE/vCPE，覆盖三甲医院云数据中心、医联体公有云、二甲医院、社区医院、农村卫生院等多种环境，为用户构建全场景、易运维、高安全、高稳定的医联体SD-WAN解决方案。

 

方案整体采用HSM作为SD-WAN控制器，对所有区域的出口网关设备（CPE）进行统一管理及配置下发。其Underlay网络采用互联网、专线、3G/4G等多种链路，链路选择灵活；Overlay网络通过SD-WAN控制器进行可视化的配置与隧道建立，实现数据通信。

方案具备部署简单、运维高效、业务保障、安全合规等四方面的核心价值，再结合清晰、简洁、可视化的控制平台，为用户提供了全生命周期式的SD-WAN解决方案。

 

3.2.方案价值

下面就通过方案价值来阐述山石网科SD-WAN方案是如何来解决医联体传统广域组网所面临的线路成本高、运维管理难、链路质量差和安全问题多这四大难题。

 

3.2.1.【成本】灵活接入，降低线路成本

方案采用专线、互联网、3G/4G等多种链路接入方式，实现低成本的互联网链路与专线链路的混合接入。

 

传统WAN组网中二甲医院通常采用双专线出口，社区医院/农村卫生院采用专线+互联网出口，山区医院则由于地理位置偏远，网络基础线路无法触达。这种组网模式下虽然保证了部分分支医院的链路可靠性，但是由于大量采用专线，组网成本高，并且线路利用率低，部分偏远地区医院网络接入困难。

SD-WAN组网采用专线、互联网、3G/4G链路混合接入的方式，二甲医院采用专线+互联网出口，社区医院/农村卫生院采用双互联网出口，山区医院可采用3G/4G无线通信链路进行接入，专线的使用量大大减少，链路质量采用SD-WAN控制器实现优化，在保证链路可靠性的同时，极大得降低了专线成本，满足更多偏远医院的网络接入需求。

 

3.2.2.【运维】零配置开局，快速组网

方案支持零配置开局功能，分支医院无需专业的运维人员即可通过U盘对CPE设备进行初始化配置，实现医院出口设备的快速部署和上线，大幅缩减分支节点开局时间。此外，批量自组网功能可帮助运维人员针对大量分支医院组网场景，批量实现VPN隧道的建立，极大提升组网效率。

 

3.2.3.【运维】按需编排，灵活组网

方案可根据医联体实际业务场景灵活进行SD-WAN组网，支持星型组网、Mesh组网、双Hub组网，并可以对退出组网设备进行配置回收。星型组网满足传统总部-分支网络架构，构建总部与分支之间的互联广域网，覆盖70%的应用场景；Mesh组网实现分支之间的高效互联，分支互访无需通过总部即可实现直连通信；双Hub组网提升网络可靠性与稳定性，结合智能链路切换能力保证业务的持续访问。

 

3.2.4.【运维】统一监控告警，实现运维闭环

当构建完医联体SD-WAN广域网之后，运维人员就需要高效的对整网进行精细智能化的运维管控，实时了解当前整网设备的运行情况和链路状态，第一时间发现问题，做出高效运维决策。山石网科SD-WAN 控制平台提供了清晰、简洁、友好的操作界面，界面首页直观展示整网设备状态以及地理分布情况，呈现链路告警数量、详细信息、告警排名以及流量排名，让运维人员全局把控整网运行态势。

 

3.2.5.【运维】可视化大屏，整网信息一目了然

SD-WAN全景化大屏展示功能，将整网链路数据状态清晰展示，设备及链路情况一目了然，帮助运维人员实时监控广域网设备地理分布、运行健康状态、告警信息和链路流量情况，大大提升了广域网运维的效率。

 

3.2.6.【业务】应用灵活选路，合理分配链路

方案支持应用精准识别及灵活流量控制，采用深度应用识别技术，根据协议特征、行为特征及关联分析等准确识别数千种网络应用，其中包括600余种移动应用，300余种云应用。可采用应用识别能力，基于应用策略路由，实现应用引流，保证链路合理分配。例如，医疗行业中的核心关键应用（如HIS，LIS，PACS等）可通过高质量链路传输，而非实时性应用（如邮件、视频会议、文档管理等）流量可以在其他链路上传输。通过智能选路功能进行应用分流，医联体广域网可以平滑实现从WAN向SD-WAN技术的应用过度。

 

3.2.7.【业务】故障切换及负载均衡，链路质量保证

传统医联体组网中，当分支医院出口链路出现故障时，通常需要通过手动配置实现链路切换，以恢复业务访问，这种方式使得故障定位困难，业务恢复周期长，严重影响正常业务。山石SD-WAN方案支持智能链路切换故能，当出口单条链路故障时，安全网关迅速监测到这一情况，并将链路上的流量快速引流到其他正常链路，从而保障用户访问业务的连续性。

 

大部分分支医院采用双线路主备的组网模式，流量只走主链路，这样便造成了备用链路的资源浪费，无法利用现有线路以提升访问质量。方案能够智能分析不同链路的负载状态、带宽状态等信息，并依据管理员的策略，将负载更合理地在不同链路上进行分配，充分提升链路利用率。

 

3.2.8.【安全】领先防护能力，满足安全合规

山石网科SD-WAN所有节点设备均采用安全架构，从核心节点防火墙，到分支防火墙，再到部署于云端的山石云-界虚拟化防火墙，都可以为SD-WAN组网提供业界领先的L2-L7层的安全防护能力，帮助医联体构建云上云下一体化的网络安全和数据安全体系，满足医联体组网安全合规需求。

 

3.3.业界认可

山石网科SD-WAN解决方案于2020年1月通过了中国通信标准化协会SD-WAN Ready评测认证，该认证着重评测SD-WAN方案落地的实际功能，如自动化部署、链路双活、链路质量检测、应用识别、负载均衡、动态路由等。此项认证的获得充分证明了方案可以安全稳定地在用户侧实现高质量落地，满足用户多样化的SD-WAN应用需求。

 

 

4.SD-WAN在医联体中的应用场景

 

4.1.医联体网络互联互通场景

不论是以城市医疗为核心的医联体，还是以农村医疗为核心的医共体，在网络建设初期所面临的问题都是互联互通，但是鉴于运营商在专线建设时不允许跨网组建，而偏远山区医院又无法便捷接入网络，这些都给医联体和医共体的建设增加了不小的难度。山石网科专为其打造了安全、稳定、可靠的SD-WAN 隧道，完美实现医联体互联互通问题。

 

组网方面：方案采用专线、互联网、3G/4G、ADSL等多种线路，可灵活实现不同场景下分支医院的广域网接入。通过山石SD-WAN构建高质量的VPN线路来解决跨运营商组网的问题，偏远山区医院可采用4G等无线链路实现广域网接入，充分保证医联体中所有医院的互联互通。

业务方面：为实现业务访问的稳定性与可持续性，方案采用智能故障切换功能，可根据链路故障情况自动进行链路切换，保证业务的永续访问和不中断；关键业务流量可进行精准引流到高质量链路，充分保障关键业务的正常访问。

管理方面：大屏展示实时监控设备和链路运行状态，一旦发现故障可及时通过邮件和企业微信方式发送告警，帮助运维人员快速响应故障并进行处理解决，极大地降低了整网的故障时间。

 

4.2.医联体混合云场景

不管是私有云还是公有云，云平台都可以为医院提供如海量医疗影像存储、医疗数据备份、智能疾病防控、影像质控、医疗影像筛查、辅助诊断、家庭医生等智能医疗行业应用的端到端医疗云服务。目前大部分医院的云服务之间并不是完全互联互通，无论是公有云还是私有云，都存在弊端，医联体中云环境的互联访问同样存在诸多问题：如何实现下级医院与医疗公有云、私有云之间的互联互通？如何保证业务的稳定和高质量访问？如何实现对医疗混合云链路的高效管理？这些都是构建医联体混合云中必须解决的问题。

 

 

山石网科完美支持NFV，可采用山石云·界虚拟化防火墙部署于云环境出口边界，与部署在各分支医院出口的山石防火墙配合，批量创建SD-WAN隧道以实现互联互通。

针对不同医疗业务可进行智能分流，让不同业务流量互不干扰，保证关键业务正常访问。业务路由可根据需求随需下发，无需进行传统的设备侧配置，极大的提升了业务发布效率。

所有互联线路和物理边界设备实现统一集中管理，对所有链路实现可视可控，让广域网管理更便捷、更高效。

 

4.3.医联体远程医疗&视频会议场景

为推进互联网+时代医联体和医共体建设，很多省份开始建设视频会议系统，用于覆盖区域内各医院、各科室，实现数字电视、信息发布、远程会诊、监控融合、手术示教、视频会议等多功能为一体的医共体统一平台。

造成医联体&医共体远程医疗和视频会议服务卡顿和不稳定主要有多个原因：

1、各分支医院到总部医院的网络带宽受限。

2、专线内存在其它次要应用，抢占视频会议等关键业务带宽。

3、出口缺乏备份链路，链路故障后恢复时间长。

 

为保证远程医疗&视频会议稳定，以下提供两种方案场景：

1. 场景一：下级医院仅单条链路时，需要增加专线带宽但预算不足

在各下级医院网络出口处部署山石防火墙设备，在现有单条专线链路的情况下，再接入一条互联网或ADSL线路（极端情况下可使用多条互联网或ADSL线路），通过山石防火墙将医院的关键业务分流至原有专线，将其他的非关键业务分流至互联网或ADSL线路，所有链路通过SD-WAN控制器统一管理和优化，此方案可以极大降低线路成本，实现冗余备份，保障关键业务。

2. 场景二：下级医院有冗余链路时，需要对关键业务进行保障且预算充足

在各下级医院网络出口处部署山石防火墙设备，基于负载均衡能力，将不同类型的业务分流至主备链路，提升链路的利用率；当出现链路故障情况时，可自动实现链路的智能切换，保证业务的稳定性与可持续。同时所有链路和组网设备采用山石SD-WAN控制器统一实现高效管理和运维。