傅东东
(广州市设计院集团有限公司)
根据全球新冠肺炎疫情高发趋势发现,新冠肺炎疫情防控是一项长期、反复、艰巨的工作,我们要做好长期与新冠肺炎斗争的准备。
隔离酒店是外防输入、内防反弹的重要防线。某大型隔离酒店拥有5000间客房以及配套的员工宿舍,承担了我国绝大部分的境外疫情输入风险隔离工作,支撑实现把外防输入主阵地由市区转向郊区、由分散转向集中、最大限度降低传染及扩散风险,把境外输入风险集中在少数区域的防疫目标。
大型隔离酒店信息网络建设除了满足业务管理需求外,同时需要充分满足被隔离人员的安全、办公、生活、娱乐、健康监测、心理疏导等各种业务需求或场景需求。因此面临接入业务多样性、场景复杂化、网络边界消失、潜在技术风险等问题,传统网络方案已经不能满足疫情常态化下的隔离酒店使用要求。
外网网络系统主要承载电视、网络、电话语音等信号,采用IP网络进行传输。
酒店高峰时入住客人约5000余人,需要系统无线上网、电话、电视等服务;员工及护理人员约900余人,需要提供无线上网、电话、电视等服务;接待中心、综合楼、健康中心、饭堂等配套用房需要提供网络、电话、电视等服务。
办公网络主要用于承载酒店工作人员办公登录互联网、酒管系统,以及智慧管控平台、健康监测系统、无人机器人应用等增值业务,由有线网络和无线网络两部分组成。无线网络信号覆盖除酒店客房外的所有区域;有线网络主要分布在各办公区域、酒店客房首层出入口等。
智能网承载视频安防监控、门禁、道闸以及其他智能化设备的业务流量。
健康专网承载住客病历数据、日常监测等健康监测系统的业务流量。
由于本项目的规模较大且作为境外人员入境的临时防控场所,容易受到外部的关注,同时也更容易成为网络攻击目标,安全风险的威胁主要来自以下几个方面:
1)内部威胁
恶意或误操作引起的信息泄露或毁坏重要信息,以欺诈手段使用重要信息或者令合法用户无法正常使用相关的信息[1],本项目中内部的安全威胁主要来自客人以及内部办公人员电脑终端、无线设备终端的非法访问和病毒攻击。
2)外部威胁
主要是来自互联网安全攻击,因此必须通过各种安全技术手段提高网络的安全性和网络稳定性,在建立外部网络攻击安全防范的同时,也要做好内部安全防范。全网根据不同的功能划分不同的安全区域,安全域之间设置相应的网络隔离措施。
网络带宽是设计和维护高效LAN或WAN的最关键因素。和服务器不同,服务器可以在网络使用过程中按需调整配置,但是带宽在设计网络初期就必须充分考虑并实现最佳优化。在带宽计算中主要考虑以下因素:
①各业务系统的接入数或并发数;
②影音、游戏等业务对带宽有不同的要求,组播方式、单播方式对网络上下行带宽需求也有较大影响;
③需要考虑酒店主要业务系统的应用程序类型及其对应的性能服务水平协议(SLA)要求;
④评估关键业务系统的平均使用需求;
⑤评估各业务系统跨安全区域间的信息转发及调用需求。
由于活动空间较小,酒店内客人娱乐消遣手段主要依托于电视、电脑、移动终端等设备所带来的影音、游戏、网页浏览等,客人等对网络可靠性的要求高于普通酒店。
业务系统支撑酒管、健康监测、无人机器人应用等关键性应用,对于网络可靠性的要求高。
设计时通过合理设计网络架构,网络关键部分制定可靠的网络备份策略、流量负载分担策略,重要的网络节点应采用先进可靠的容错技术,避免单路由或单节点故障造成整个网络系统瘫痪,最大限度地保障关键业务的正常运行。
隔离区具有卫生防疫需求,应尽量减少工作人员进入客房区维护检修的次数,采用简单的客房区域网络架构以便故障定位和设置调整,降低网络管理的复杂性,并采用成熟、易维护、高可靠的产品。
信息网络总体由外网、智能网、办公网、健康中心内外网、DMZ区、应用服务器区等子网络组成(见图1),各功能网络之间通过区域防火墙实现逻辑隔离。
图1 信息网络总体架构图
DMZ区域部署对外提供应用服务的服务器。应用服务器区部署网管无线控制器、日志审计、终端安全准入、堡垒机、病毒防范等系统满足内网安全防范的需求;同时考虑到视频点播系统、程控电话系统主要负荷中心在外网,且具有内部安全防范的必要,因此将视频点播系统、程控电话系统服务器部署在应用服务器区。
外网作为整个网络接入广域网、各种专网的统一出口,采用无源全光网络的二层组网架构,具备网络架构简单、光纤介质无源、带宽演进平滑等优点。
为了保证全光网络的可靠性,降低ONU设备维护时存在工作人员感染的风险。本项目采用TypeC OLT端口备份的保护方式(见图2),ONU和OLT设备上均有两个GPON接口,此种保护方式当ONU的主用PON口或用户线路故障时,ONU会自动将业务切换到备用PON口上,业务通过备用线路和OLT的备份端口上行,业务基本不会中断,从而满足用户的上网需求。
图2 Type C全备份方式
综合各单体建筑规模、建筑空间分布、方便运维、网络带宽收敛以及降低核心交换机的数据处理和转发压力等因素,办公网按照数据中心、楼栋、楼层的层次化模型设计,采用核心-汇聚-接入三层网络架构;采用双核心双链路方案;核心到汇聚采用双万兆链路;汇聚到接入采用双万兆链路连接;接入交换机下行千兆到桌面/终端设备,交换机之间采用TRUNK链路技术,保证链路可提供高带宽的数据传输能力,从而提高网络速度,突破网络瓶颈,进而大幅提高网络性能。
前端传输网络采用无源全光网络架构,通过在核心机房部署OLT,各汇聚机房部署分光器ODN,再通过光纤接入到各客房ONU,为住客提供IPTV电视、无线联网、电话语音、上网、可视对讲等通信服务。在网络侧各业务流通过PON系统上行后,由OLT汇聚上联核心交换机再连接到运营商城域网。
对于不同业务的Qos通过在OLT设备上配置不同的优先级实现,按照业务层级定位原则如下。
①语音业务:语音业务需要配置为最高的优先级。
②健康监测业务:基于健康监测、用户需求沟通等业务功能的重要性,将健康监测的业务流量的优先级设置为次优先级。
③视频业务:基于对外网用户日常使用需求的考量,将视频的业务流量的业务优先级设置高于互联网接入业务流量。
④数据业务(包括WEB上网浏览业务、互动游戏、FTP下载等)等:互联网数据业务接入,配置为较低的业务优先级。
对于语音业务,PON系统通过上行连接到SS/IMS平台,采用VoIP方式提供。OLT设备各种业务都采用同样的基于以太网的承载,协议统一、简单,便于与SS/IMS的各种协议配合,实现无缝链接。
对于IPTV业务,用户可以从与ONU的UNI端口FE/GE连接的机顶盒上发起业务请求,OLT-ONU组成的PON系统可以动态检测用户的视频节目请求,动态控制视频组播业务流的复制。
互联网数据业务接入,在用户端通过ONU的FE/GE接口接入,通过OLT汇聚后由GE/10GE接口上联到宽带城域网。
PON系统提供设备认证和用户认证两级认证方式,用户的认证方式也可以采用其他方式,如PP‐PoE、IPoE等。
为了增加网络可靠性、降低网络组网复杂度,办公智能网网络通过虚拟化、扁平化技术,同层次交换机可以多台进行堆叠。
网络接入层/汇聚层/核心层交换机堆叠后,可以减少网络节点、简化网络拓扑,二层网络不需要部署复杂的环网协议和可靠性保护协议,实现无二层环路网络构建,提高二层网络可靠性和链路故障收敛性能,三层网络堆叠的多台设备间路由协议作为单一设备统一计算、路由收敛速度快。
本项目在中心机房部署两台核心交换机、在各组团汇聚机房部署汇聚交换机,在各组团楼层弱电间部署接入层交换机。
监控系统、门禁系统、道闸等系统接入到各楼层的弱电间接入交换机。
客房内可视对讲、求助报警等系统采用客房内的ONU网口接入,通过客用网与设备网之间的专用通道,把流量传输到设备网侧的服务器端。
客房内部设置无线覆盖系统采用ONU自带Wi-Fi功能为客房提供无线上网服务,每个客房分配独立的SSID号或统一SSID;办公区及公共区办公网无线覆盖采用瘦AC+AP的架构实现全区Wi-Fi覆盖,要求保证客房区域、办公区域信号全覆盖,并对终端漫游做充分优化。
无线用户身份各异,包括工作人员、护理人员、客人等,无线网络要求具有基于身份角色的动态策略控制机制,支持白名单,支持MAC地址与IP地址绑定,依据用户身份、时间和地点灵活控制每个用户的访问权限、带宽策略、连接数策略、路由策略。
办公网内无线终端种类多样,包括平板电脑、智能终端、笔记本电脑、无线打印机、无线投影仪等,要求办公无线网络具有无线终端类型识别能力,以实现基于VLAN、身份、位置和用户的无线打印机、投影仪等终端设备跨子网发现和共享服务。同时办公无线网络需具有良好的终端兼容性和高密度终端接入能力,能够提供稳定、高性能的无线网络连接。
客用网在核心交换机添加各个楼栋业务系统的VLAN,核心交换机添加到出口的默认路由,通过静态路由与智能设备网、办公网、健康专网进行连通。客房内业务相关设备采用客房内的ONU网口接入,通过客用网与设备网之间的专用通道,把流量传输到设备网侧的服务器端。
办公网在核心交换机添加各个业务系统的VLAN,并在核心交换机添加客用网、健康专网的静态路由。
由于设备网监控前端设备多且流量比较大,为了把广播终结在各楼栋,减少广播风暴的冲击,提高网络运行的稳定性、可靠性,本项目设计把前端监控设备的网关配置到各组团汇聚交换机,其他业务系统的网关配置到核心交换机上,通过核心层与汇聚层之间运行OSPF实现设备网内各系统互联互通。
由于本项目网络规模庞大,业务量也非常高,网络日常运维需要大量的人工操作;对于网络设备产生的各种警告信息、故障信息、网络拥塞,无法及时发现,并作相应处理;在这种情况下,有必要建设一套网络管理平台,分别对客用网、设备网、办公网的网络设备、安全设备进行直接管理和运维,以保障网络故障能及时发现、处置,从而保障网络更稳定可靠运行、保障设备网业务可靠传输。
对本项目而言,通过集中管理全网网络设备、安全防火墙,以保障网络系统能够正常、高效运行,使网络系统中的资源得到更好地利用,在网络管理平台的基础上实现各种网络管理功能的集合,并收集设备的日志信息,实时监视接收到的事件的状况,定位网络中潜在的风险是必须的。
在本项目信息网络系统设计中着重解决其所具有的业务多样性、场景复杂性、消失的网络边界等各方面需求,从而在满足用户的办公、上网、娱乐以及物联网等各种业务应用的同时,消除园区内的数据孤岛,实现数据的互联互通,配合更加完善的管理秩序,以应对隔离酒店更多场景应用的挑战。