某大型隔離酒店信息網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì)

傅東東

（廣州市設(shè)計(jì)院集團(tuán)有限公司）

1 引言

根據(jù)全球新冠肺炎疫情高發(fā)趨勢發(fā)現(xiàn)，新冠肺炎疫情防控是一項(xiàng)長期、反復(fù)、艱巨的工作，我們要做好長期與新冠肺炎斗爭的準(zhǔn)備。

隔離酒店是外防輸入、內(nèi)防反彈的重要防線。某大型隔離酒店擁有5000間客房以及配套的員工宿舍，承擔(dān)了我國絕大部分的境外疫情輸入風(fēng)險(xiǎn)隔離工作，支撐實(shí)現(xiàn)把外防輸入主陣地由市區(qū)轉(zhuǎn)向郊區(qū)、由分散轉(zhuǎn)向集中、最大限度降低傳染及擴(kuò)散風(fēng)險(xiǎn)，把境外輸入風(fēng)險(xiǎn)集中在少數(shù)區(qū)域的防疫目標(biāo)。

大型隔離酒店信息網(wǎng)絡(luò)建設(shè)除了滿足業(yè)務(wù)管理需求外，同時(shí)需要充分滿足被隔離人員的安全、辦公、生活、娛樂、健康監(jiān)測、心理疏導(dǎo)等各種業(yè)務(wù)需求或場景需求。因此面臨接入業(yè)務(wù)多樣性、場景復(fù)雜化、網(wǎng)絡(luò)邊界消失、潛在技術(shù)風(fēng)險(xiǎn)等問題，傳統(tǒng)網(wǎng)絡(luò)方案已經(jīng)不能滿足疫情常態(tài)化下的隔離酒店使用要求。

2 需求分析

2.1 外網(wǎng)需求

外網(wǎng)網(wǎng)絡(luò)系統(tǒng)主要承載電視、網(wǎng)絡(luò)、電話語音等信號，采用IP網(wǎng)絡(luò)進(jìn)行傳輸。

酒店高峰時(shí)入住客人約5000余人，需要系統(tǒng)無線上網(wǎng)、電話、電視等服務(wù)；員工及護(hù)理人員約900余人，需要提供無線上網(wǎng)、電話、電視等服務(wù)；接待中心、綜合樓、健康中心、飯?zhí)玫扰涮子梅啃枰峁┚W(wǎng)絡(luò)、電話、電視等服務(wù)。

2.2 辦公網(wǎng)需求

辦公網(wǎng)絡(luò)主要用于承載酒店工作人員辦公登錄互聯(lián)網(wǎng)、酒管系統(tǒng)，以及智慧管控平臺(tái)、健康監(jiān)測系統(tǒng)、無人機(jī)器人應(yīng)用等增值業(yè)務(wù)，由有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)兩部分組成。無線網(wǎng)絡(luò)信號覆蓋除酒店客房外的所有區(qū)域；有線網(wǎng)絡(luò)主要分布在各辦公區(qū)域、酒店客房首層出入口等。

2.3 智能網(wǎng)需求

智能網(wǎng)承載視頻安防監(jiān)控、門禁、道閘以及其他智能化設(shè)備的業(yè)務(wù)流量。

2.4 健康專網(wǎng)需求

健康專網(wǎng)承載住客病歷數(shù)據(jù)、日常監(jiān)測等健康監(jiān)測系統(tǒng)的業(yè)務(wù)流量。

2.5 網(wǎng)絡(luò)安全需求

由于本項(xiàng)目的規(guī)模較大且作為境外人員入境的臨時(shí)防控場所，容易受到外部的關(guān)注，同時(shí)也更容易成為網(wǎng)絡(luò)攻擊目標(biāo)，安全風(fēng)險(xiǎn)的威脅主要來自以下幾個(gè)方面：

1）內(nèi)部威脅

惡意或誤操作引起的信息泄露或毀壞重要信息，以欺詐手段使用重要信息或者令合法用戶無法正常使用相關(guān)的信息[1]，本項(xiàng)目中內(nèi)部的安全威脅主要來自客人以及內(nèi)部辦公人員電腦終端、無線設(shè)備終端的非法訪問和病毒攻擊。

2）外部威脅

主要是來自互聯(lián)網(wǎng)安全攻擊，因此必須通過各種安全技術(shù)手段提高網(wǎng)絡(luò)的安全性和網(wǎng)絡(luò)穩(wěn)定性，在建立外部網(wǎng)絡(luò)攻擊安全防范的同時(shí)，也要做好內(nèi)部安全防范。全網(wǎng)根據(jù)不同的功能劃分不同的安全區(qū)域，安全域之間設(shè)置相應(yīng)的網(wǎng)絡(luò)隔離措施。

2.6 帶寬需求

網(wǎng)絡(luò)帶寬是設(shè)計(jì)和維護(hù)高效LAN或WAN的最關(guān)鍵因素。和服務(wù)器不同，服務(wù)器可以在網(wǎng)絡(luò)使用過程中按需調(diào)整配置，但是帶寬在設(shè)計(jì)網(wǎng)絡(luò)初期就必須充分考慮并實(shí)現(xiàn)最佳優(yōu)化。在帶寬計(jì)算中主要考慮以下因素：

①各業(yè)務(wù)系統(tǒng)的接入數(shù)或并發(fā)數(shù)；

②影音、游戲等業(yè)務(wù)對帶寬有不同的要求，組播方式、單播方式對網(wǎng)絡(luò)上下行帶寬需求也有較大影響；

③需要考慮酒店主要業(yè)務(wù)系統(tǒng)的應(yīng)用程序類型及其對應(yīng)的性能服務(wù)水平協(xié)議（SLA）要求；

④評估關(guān)鍵業(yè)務(wù)系統(tǒng)的平均使用需求；

⑤評估各業(yè)務(wù)系統(tǒng)跨安全區(qū)域間的信息轉(zhuǎn)發(fā)及調(diào)用需求。

2.7 可靠性需求

由于活動(dòng)空間較小，酒店內(nèi)客人娛樂消遣手段主要依托于電視、電腦、移動(dòng)終端等設(shè)備所帶來的影音、游戲、網(wǎng)頁瀏覽等，客人等對網(wǎng)絡(luò)可靠性的要求高于普通酒店。

業(yè)務(wù)系統(tǒng)支撐酒管、健康監(jiān)測、無人機(jī)器人應(yīng)用等關(guān)鍵性應(yīng)用，對于網(wǎng)絡(luò)可靠性的要求高。

設(shè)計(jì)時(shí)通過合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)關(guān)鍵部分制定可靠的網(wǎng)絡(luò)備份策略、流量負(fù)載分擔(dān)策略，重要的網(wǎng)絡(luò)節(jié)點(diǎn)應(yīng)采用先進(jìn)可靠的容錯(cuò)技術(shù)，避免單路由或單節(jié)點(diǎn)故障造成整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓，最大限度地保障關(guān)鍵業(yè)務(wù)的正常運(yùn)行。

2.8 可維護(hù)需求

隔離區(qū)具有衛(wèi)生防疫需求，應(yīng)盡量減少工作人員進(jìn)入客房區(qū)維護(hù)檢修的次數(shù)，采用簡單的客房區(qū)域網(wǎng)絡(luò)架構(gòu)以便故障定位和設(shè)置調(diào)整，降低網(wǎng)絡(luò)管理的復(fù)雜性，并采用成熟、易維護(hù)、高可靠的產(chǎn)品。

3 網(wǎng)絡(luò)總體規(guī)劃

信息網(wǎng)絡(luò)總體由外網(wǎng)、智能網(wǎng)、辦公網(wǎng)、健康中心內(nèi)外網(wǎng)、DMZ區(qū)、應(yīng)用服務(wù)器區(qū)等子網(wǎng)絡(luò)組成（見圖1），各功能網(wǎng)絡(luò)之間通過區(qū)域防火墻實(shí)現(xiàn)邏輯隔離。

圖1 信息網(wǎng)絡(luò)總體架構(gòu)圖

DMZ區(qū)域部署對外提供應(yīng)用服務(wù)的服務(wù)器。應(yīng)用服務(wù)器區(qū)部署網(wǎng)管無線控制器、日志審計(jì)、終端安全準(zhǔn)入、堡壘機(jī)、病毒防范等系統(tǒng)滿足內(nèi)網(wǎng)安全防范的需求；同時(shí)考慮到視頻點(diǎn)播系統(tǒng)、程控電話系統(tǒng)主要負(fù)荷中心在外網(wǎng)，且具有內(nèi)部安全防范的必要，因此將視頻點(diǎn)播系統(tǒng)、程控電話系統(tǒng)服務(wù)器部署在應(yīng)用服務(wù)器區(qū)。

3.1 外網(wǎng)

外網(wǎng)作為整個(gè)網(wǎng)絡(luò)接入廣域網(wǎng)、各種專網(wǎng)的統(tǒng)一出口，采用無源全光網(wǎng)絡(luò)的二層組網(wǎng)架構(gòu)，具備網(wǎng)絡(luò)架構(gòu)簡單、光纖介質(zhì)無源、帶寬演進(jìn)平滑等優(yōu)點(diǎn)。

為了保證全光網(wǎng)絡(luò)的可靠性，降低ONU設(shè)備維護(hù)時(shí)存在工作人員感染的風(fēng)險(xiǎn)。本項(xiàng)目采用TypeC OLT端口備份的保護(hù)方式（見圖2），ONU和OLT設(shè)備上均有兩個(gè)GPON接口，此種保護(hù)方式當(dāng)ONU的主用PON口或用戶線路故障時(shí)，ONU會(huì)自動(dòng)將業(yè)務(wù)切換到備用PON口上，業(yè)務(wù)通過備用線路和OLT的備份端口上行，業(yè)務(wù)基本不會(huì)中斷，從而滿足用戶的上網(wǎng)需求。

圖2 Type C全備份方式

3.2 其他功能專網(wǎng)

綜合各單體建筑規(guī)模、建筑空間分布、方便運(yùn)維、網(wǎng)絡(luò)帶寬收斂以及降低核心交換機(jī)的數(shù)據(jù)處理和轉(zhuǎn)發(fā)壓力等因素，辦公網(wǎng)按照數(shù)據(jù)中心、樓棟、樓層的層次化模型設(shè)計(jì)，采用核心-匯聚-接入三層網(wǎng)絡(luò)架構(gòu)；采用雙核心雙鏈路方案；核心到匯聚采用雙萬兆鏈路；匯聚到接入采用雙萬兆鏈路連接；接入交換機(jī)下行千兆到桌面/終端設(shè)備，交換機(jī)之間采用TRUNK鏈路技術(shù)，保證鏈路可提供高帶寬的數(shù)據(jù)傳輸能力，從而提高網(wǎng)絡(luò)速度，突破網(wǎng)絡(luò)瓶頸，進(jìn)而大幅提高網(wǎng)絡(luò)性能。

4 外網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)

前端傳輸網(wǎng)絡(luò)采用無源全光網(wǎng)絡(luò)架構(gòu)，通過在核心機(jī)房部署OLT，各匯聚機(jī)房部署分光器ODN，再通過光纖接入到各客房ONU，為住客提供IPTV電視、無線聯(lián)網(wǎng)、電話語音、上網(wǎng)、可視對講等通信服務(wù)。在網(wǎng)絡(luò)側(cè)各業(yè)務(wù)流通過PON系統(tǒng)上行后，由OLT匯聚上聯(lián)核心交換機(jī)再連接到運(yùn)營商城域網(wǎng)。

對于不同業(yè)務(wù)的Qos通過在OLT設(shè)備上配置不同的優(yōu)先級實(shí)現(xiàn)，按照業(yè)務(wù)層級定位原則如下。

①語音業(yè)務(wù)：語音業(yè)務(wù)需要配置為最高的優(yōu)先級。

②健康監(jiān)測業(yè)務(wù)：基于健康監(jiān)測、用戶需求溝通等業(yè)務(wù)功能的重要性，將健康監(jiān)測的業(yè)務(wù)流量的優(yōu)先級設(shè)置為次優(yōu)先級。

③視頻業(yè)務(wù)：基于對外網(wǎng)用戶日常使用需求的考量，將視頻的業(yè)務(wù)流量的業(yè)務(wù)優(yōu)先級設(shè)置高于互聯(lián)網(wǎng)接入業(yè)務(wù)流量。

④數(shù)據(jù)業(yè)務(wù)（包括WEB上網(wǎng)瀏覽業(yè)務(wù)、互動(dòng)游戲、FTP下載等）等：互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)接入，配置為較低的業(yè)務(wù)優(yōu)先級。

對于語音業(yè)務(wù)，PON系統(tǒng)通過上行連接到SS/IMS平臺(tái)，采用VoIP方式提供。OLT設(shè)備各種業(yè)務(wù)都采用同樣的基于以太網(wǎng)的承載，協(xié)議統(tǒng)一、簡單，便于與SS/IMS的各種協(xié)議配合，實(shí)現(xiàn)無縫鏈接。

對于IPTV業(yè)務(wù)，用戶可以從與ONU的UNI端口FE/GE連接的機(jī)頂盒上發(fā)起業(yè)務(wù)請求，OLT-ONU組成的PON系統(tǒng)可以動(dòng)態(tài)檢測用戶的視頻節(jié)目請求，動(dòng)態(tài)控制視頻組播業(yè)務(wù)流的復(fù)制。

互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)接入，在用戶端通過ONU的FE/GE接口接入，通過OLT匯聚后由GE/10GE接口上聯(lián)到寬帶城域網(wǎng)。

PON系統(tǒng)提供設(shè)備認(rèn)證和用戶認(rèn)證兩級認(rèn)證方式，用戶的認(rèn)證方式也可以采用其他方式，如PP‐PoE、IPoE等。

5 辦公網(wǎng)智能網(wǎng)設(shè)計(jì)

為了增加網(wǎng)絡(luò)可靠性、降低網(wǎng)絡(luò)組網(wǎng)復(fù)雜度，辦公智能網(wǎng)網(wǎng)絡(luò)通過虛擬化、扁平化技術(shù)，同層次交換機(jī)可以多臺(tái)進(jìn)行堆疊。

網(wǎng)絡(luò)接入層/匯聚層/核心層交換機(jī)堆疊后，可以減少網(wǎng)絡(luò)節(jié)點(diǎn)、簡化網(wǎng)絡(luò)拓?fù)洌泳W(wǎng)絡(luò)不需要部署復(fù)雜的環(huán)網(wǎng)協(xié)議和可靠性保護(hù)協(xié)議，實(shí)現(xiàn)無二層環(huán)路網(wǎng)絡(luò)構(gòu)建，提高二層網(wǎng)絡(luò)可靠性和鏈路故障收斂性能，三層網(wǎng)絡(luò)堆疊的多臺(tái)設(shè)備間路由協(xié)議作為單一設(shè)備統(tǒng)一計(jì)算、路由收斂速度快。

本項(xiàng)目在中心機(jī)房部署兩臺(tái)核心交換機(jī)、在各組團(tuán)匯聚機(jī)房部署匯聚交換機(jī)，在各組團(tuán)樓層弱電間部署接入層交換機(jī)。

監(jiān)控系統(tǒng)、門禁系統(tǒng)、道閘等系統(tǒng)接入到各樓層的弱電間接入交換機(jī)。

客房內(nèi)可視對講、求助報(bào)警等系統(tǒng)采用客房內(nèi)的ONU網(wǎng)口接入，通過客用網(wǎng)與設(shè)備網(wǎng)之間的專用通道，把流量傳輸?shù)皆O(shè)備網(wǎng)側(cè)的服務(wù)器端。

6 無線網(wǎng)絡(luò)設(shè)計(jì)

客房內(nèi)部設(shè)置無線覆蓋系統(tǒng)采用ONU自帶Wi-Fi功能為客房提供無線上網(wǎng)服務(wù)，每個(gè)客房分配獨(dú)立的SSID號或統(tǒng)一SSID；辦公區(qū)及公共區(qū)辦公網(wǎng)無線覆蓋采用瘦AC+AP的架構(gòu)實(shí)現(xiàn)全區(qū)Wi-Fi覆蓋，要求保證客房區(qū)域、辦公區(qū)域信號全覆蓋，并對終端漫游做充分優(yōu)化。

無線用戶身份各異，包括工作人員、護(hù)理人員、客人等，無線網(wǎng)絡(luò)要求具有基于身份角色的動(dòng)態(tài)策略控制機(jī)制，支持白名單，支持MAC地址與IP地址綁定，依據(jù)用戶身份、時(shí)間和地點(diǎn)靈活控制每個(gè)用戶的訪問權(quán)限、帶寬策略、連接數(shù)策略、路由策略。

辦公網(wǎng)內(nèi)無線終端種類多樣，包括平板電腦、智能終端、筆記本電腦、無線打印機(jī)、無線投影儀等，要求辦公無線網(wǎng)絡(luò)具有無線終端類型識別能力，以實(shí)現(xiàn)基于VLAN、身份、位置和用戶的無線打印機(jī)、投影儀等終端設(shè)備跨子網(wǎng)發(fā)現(xiàn)和共享服務(wù)。同時(shí)辦公無線網(wǎng)絡(luò)需具有良好的終端兼容性和高密度終端接入能力，能夠提供穩(wěn)定、高性能的無線網(wǎng)絡(luò)連接。

7 路由設(shè)計(jì)

客用網(wǎng)在核心交換機(jī)添加各個(gè)樓棟業(yè)務(wù)系統(tǒng)的VLAN，核心交換機(jī)添加到出口的默認(rèn)路由，通過靜態(tài)路由與智能設(shè)備網(wǎng)、辦公網(wǎng)、健康專網(wǎng)進(jìn)行連通。客房內(nèi)業(yè)務(wù)相關(guān)設(shè)備采用客房內(nèi)的ONU網(wǎng)口接入，通過客用網(wǎng)與設(shè)備網(wǎng)之間的專用通道，把流量傳輸?shù)皆O(shè)備網(wǎng)側(cè)的服務(wù)器端。

辦公網(wǎng)在核心交換機(jī)添加各個(gè)業(yè)務(wù)系統(tǒng)的VLAN，并在核心交換機(jī)添加客用網(wǎng)、健康專網(wǎng)的靜態(tài)路由。

由于設(shè)備網(wǎng)監(jiān)控前端設(shè)備多且流量比較大，為了把廣播終結(jié)在各樓棟，減少廣播風(fēng)暴的沖擊，提高網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性、可靠性，本項(xiàng)目設(shè)計(jì)把前端監(jiān)控設(shè)備的網(wǎng)關(guān)配置到各組團(tuán)匯聚交換機(jī)，其他業(yè)務(wù)系統(tǒng)的網(wǎng)關(guān)配置到核心交換機(jī)上，通過核心層與匯聚層之間運(yùn)行OSPF實(shí)現(xiàn)設(shè)備網(wǎng)內(nèi)各系統(tǒng)互聯(lián)互通。

8 網(wǎng)管系統(tǒng)

由于本項(xiàng)目網(wǎng)絡(luò)規(guī)模龐大，業(yè)務(wù)量也非常高，網(wǎng)絡(luò)日常運(yùn)維需要大量的人工操作；對于網(wǎng)絡(luò)設(shè)備產(chǎn)生的各種警告信息、故障信息、網(wǎng)絡(luò)擁塞，無法及時(shí)發(fā)現(xiàn)，并作相應(yīng)處理；在這種情況下，有必要建設(shè)一套網(wǎng)絡(luò)管理平臺(tái)，分別對客用網(wǎng)、設(shè)備網(wǎng)、辦公網(wǎng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行直接管理和運(yùn)維，以保障網(wǎng)絡(luò)故障能及時(shí)發(fā)現(xiàn)、處置，從而保障網(wǎng)絡(luò)更穩(wěn)定可靠運(yùn)行、保障設(shè)備網(wǎng)業(yè)務(wù)可靠傳輸。

對本項(xiàng)目而言，通過集中管理全網(wǎng)網(wǎng)絡(luò)設(shè)備、安全防火墻，以保障網(wǎng)絡(luò)系統(tǒng)能夠正常、高效運(yùn)行，使網(wǎng)絡(luò)系統(tǒng)中的資源得到更好地利用，在網(wǎng)絡(luò)管理平臺(tái)的基礎(chǔ)上實(shí)現(xiàn)各種網(wǎng)絡(luò)管理功能的集合，并收集設(shè)備的日志信息，實(shí)時(shí)監(jiān)視接收到的事件的狀況，定位網(wǎng)絡(luò)中潛在的風(fēng)險(xiǎn)是必須的。

9 結(jié)語

在本項(xiàng)目信息網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)中著重解決其所具有的業(yè)務(wù)多樣性、場景復(fù)雜性、消失的網(wǎng)絡(luò)邊界等各方面需求，從而在滿足用戶的辦公、上網(wǎng)、娛樂以及物聯(lián)網(wǎng)等各種業(yè)務(wù)應(yīng)用的同時(shí)，消除園區(qū)內(nèi)的數(shù)據(jù)孤島，實(shí)現(xiàn)數(shù)據(jù)的互聯(lián)互通，配合更加完善的管理秩序，以應(yīng)對隔離酒店更多場景應(yīng)用的挑戰(zhàn)。