史騫

摘 要：信息產(chǎn)業(yè)高速發(fā)展下，數(shù)據(jù)傳輸成為了廣播電視臺(tái)工作中的重要環(huán)節(jié)，現(xiàn)有廣播電視工作網(wǎng)絡(luò)結(jié)合了廣播制作網(wǎng)、電視非編網(wǎng)、辦公網(wǎng)及監(jiān)控網(wǎng)，對(duì)網(wǎng)絡(luò)要求越來(lái)越高。溧陽(yáng)廣播電視臺(tái)大樓綜合布線于2005年完成，內(nèi)部網(wǎng)絡(luò)系統(tǒng)已建成使用十多年，設(shè)備比較陳舊。當(dāng)初的網(wǎng)絡(luò)設(shè)計(jì)百兆入室，無(wú)線信號(hào)使用傳統(tǒng)路由作橋接，盲區(qū)較多，已經(jīng)不能滿足如今信息化高速發(fā)展的需求。為了提供一個(gè)良好的辦公環(huán)境，溧陽(yáng)廣播電視臺(tái)決定對(duì)現(xiàn)有的網(wǎng)絡(luò)進(jìn)行升級(jí)改造。

關(guān)鍵詞：VLAN技術(shù)；AC管理；無(wú)線覆蓋；網(wǎng)絡(luò)升級(jí)

1 當(dāng)前網(wǎng)絡(luò)現(xiàn)狀分析與改造方向

1.1 網(wǎng)絡(luò)安全的重要性

在網(wǎng)絡(luò)媒體近些年的大力發(fā)展下，網(wǎng)絡(luò)信息傳播和數(shù)據(jù)傳輸成為人們生活中必不可少的一種接收外界信息方式，與生活緊密相連息息相關(guān)，關(guān)系著社會(huì)穩(wěn)定和民族文化發(fā)揚(yáng)。宣傳是黨的喉舌，在廣電領(lǐng)域中網(wǎng)絡(luò)安全中起著絕對(duì)重要的作用，是整個(gè)廣電網(wǎng)絡(luò)的基本核心保障。隨著全球信息化步伐的加快，宣傳變得越來(lái)越重要。同時(shí)，隨著信息技術(shù)的深入發(fā)展，網(wǎng)絡(luò)安全也日益嚴(yán)峻，比如利用網(wǎng)絡(luò)干涉其他國(guó)家內(nèi)政以及大規(guī)模網(wǎng)絡(luò)監(jiān)控、竊密等行為嚴(yán)重危害到國(guó)家政治安全和用戶信息安全。建立維護(hù)網(wǎng)絡(luò)安全的長(zhǎng)效機(jī)制刻不容緩，必須采取足夠強(qiáng)的安全保護(hù)措施，確保網(wǎng)絡(luò)信息的安全、完整、可用，營(yíng)造一個(gè)風(fēng)清氣正的網(wǎng)絡(luò)空間。

1.2 目前網(wǎng)絡(luò)中遇到的問(wèn)題

本臺(tái)網(wǎng)絡(luò)整體安全性能不夠，現(xiàn)有的計(jì)算機(jī)工作及網(wǎng)絡(luò)設(shè)備需花費(fèi)大量的人力與時(shí)間進(jìn)行日常的維護(hù)管理工作。網(wǎng)絡(luò)內(nèi)時(shí)常由于受到地址解析協(xié)議（Address Resolution Protocol，ARP）攻擊，造成網(wǎng)絡(luò)阻塞，正常應(yīng)用時(shí)斷時(shí)續(xù)。升級(jí)網(wǎng)絡(luò)首先要提高內(nèi)網(wǎng)的安全性，隨著各種網(wǎng)絡(luò)軟件，流媒體、門戶網(wǎng)站的投入使用，無(wú)紙化辦公等致使我們目前所需要生活與工作中的數(shù)據(jù)帶寬不斷增加，百兆帶寬已基本實(shí)現(xiàn)入戶。本臺(tái)外網(wǎng)接入速率為共享100 M帶寬，內(nèi)網(wǎng)為100 M共享帶寬，使用范圍包括本臺(tái)大樓、網(wǎng)絡(luò)公司以及各鄉(xiāng)鎮(zhèn)廣電站共計(jì)約200臺(tái)電腦，共享帶寬明顯不足。同時(shí)由于數(shù)字高清監(jiān)控接入內(nèi)網(wǎng)后，隨著數(shù)字高清攝像頭數(shù)量的增加，網(wǎng)絡(luò)帶寬占用率較高，同時(shí)監(jiān)控網(wǎng)也易受到內(nèi)網(wǎng)網(wǎng)絡(luò)環(huán)境的影響，錄制中出現(xiàn)掉幀黑屏等現(xiàn)象。另外工作需要傳輸和下載各種節(jié)目，尤其在上傳FTP服務(wù)器時(shí)占用的內(nèi)網(wǎng)帶寬較高，現(xiàn)百兆已經(jīng)完全不能滿足現(xiàn)有需求，在不改變布線方式的前提下來(lái)升級(jí)工作網(wǎng)絡(luò)已經(jīng)迫在眉睫。

1.3 合理布局建立新的網(wǎng)絡(luò)管理模式

合理規(guī)劃現(xiàn)有網(wǎng)絡(luò)，使用新的布局方式，中心交換機(jī)與各樓層之間的樓層交換機(jī)需要進(jìn)行重新線路鋪設(shè)，合理利用好現(xiàn)有的資源，整合之前的網(wǎng)絡(luò)，對(duì)新網(wǎng)絡(luò)上的虛擬子網(wǎng)重新劃分，完善網(wǎng)絡(luò)結(jié)構(gòu)，現(xiàn)有的帶寬升級(jí)至千兆到樓層，百兆到桌面。

同時(shí)為防止病毒及ARP攻擊，每臺(tái)客戶端還應(yīng)安裝網(wǎng)絡(luò)防殺毒軟件，遇到病毒爆發(fā)時(shí)能第一時(shí)間從本地先控制病毒蔓延，每臺(tái)電腦網(wǎng)卡MAC地址與IP綁定，確保在發(fā)生網(wǎng)絡(luò)攻擊時(shí)能第一時(shí)間找到受感染的計(jì)算機(jī)，從而保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性、可靠性、安全性。

核心交換機(jī)數(shù)據(jù)量巨大，為保障網(wǎng)絡(luò)穩(wěn)定需增加備用核心交換機(jī)來(lái)組成新的網(wǎng)絡(luò)，原來(lái)的服務(wù)器和中心交換機(jī)可做備用機(jī)，也可以把監(jiān)控網(wǎng)單獨(dú)接入，用作獨(dú)立的監(jiān)控服務(wù)器，與工作網(wǎng)絡(luò)分開(kāi)后能更好地管理。當(dāng)核心交換機(jī)發(fā)生故障時(shí)，能夠通過(guò)軟件自動(dòng)或手動(dòng)快速切換到備用交換機(jī)上，從而保障網(wǎng)絡(luò)的正常運(yùn)行。為防止關(guān)鍵設(shè)備故障使得整個(gè)網(wǎng)絡(luò)或部分網(wǎng)絡(luò)的癱瘓，還需適當(dāng)增加冗余備份設(shè)備。比如增加郵件服務(wù)器、路由器、文件服務(wù)器、網(wǎng)絡(luò)管理服務(wù)器、防火墻及各種殺毒軟件應(yīng)用軟件等，以實(shí)現(xiàn)電視臺(tái)工作流程為導(dǎo)向，實(shí)現(xiàn)以先進(jìn)的計(jì)算機(jī)和通信技術(shù)為主要手段，搭建一個(gè)覆蓋全單位的自動(dòng)化辦公信息平臺(tái)。

安裝相應(yīng)的管理軟件，使其能對(duì)整個(gè)局域網(wǎng)及接入局域網(wǎng)的各個(gè)子網(wǎng)進(jìn)行實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)流量值，快速定位網(wǎng)絡(luò)故障，有效地管理、監(jiān)控網(wǎng)絡(luò)運(yùn)行狀況，升級(jí)具有網(wǎng)管功能的多層網(wǎng)管型交換機(jī)，使得所有接入局域網(wǎng)的可控管理用戶既可以根據(jù)要求互訪，對(duì)每個(gè)不同部分按用途劃分管理權(quán)限和數(shù)據(jù)跟蹤，實(shí)現(xiàn)數(shù)據(jù)和資源的共享，遇到非授權(quán)用戶時(shí)也可以根據(jù)設(shè)置的要求阻止訪問(wèn)，保障安全。

在外網(wǎng)接入前設(shè)置防病毒過(guò)濾網(wǎng)關(guān)。防病毒網(wǎng)關(guān)可以檢測(cè)到外網(wǎng)數(shù)據(jù)的狀態(tài)，對(duì)進(jìn)入網(wǎng)絡(luò)的流量進(jìn)行有效防護(hù)和過(guò)濾，將其作為網(wǎng)絡(luò)接入前的第一道屏障，同時(shí)增加一臺(tái)防火墻，組成主備兩個(gè)網(wǎng)絡(luò)。當(dāng)其中一個(gè)網(wǎng)絡(luò)遇到攻擊癱瘓時(shí)，可以自動(dòng)切換至備用網(wǎng)絡(luò)，使病毒數(shù)據(jù)包無(wú)法進(jìn)入主網(wǎng)絡(luò)，手動(dòng)物理切斷也是提高內(nèi)網(wǎng)的安全性最直接、最有效的方式。目前外網(wǎng)接入的帶寬為100 M，已經(jīng)滿足不了整個(gè)工作網(wǎng)絡(luò)的需求，根據(jù)溧陽(yáng)廣播電視臺(tái)未來(lái)的應(yīng)用需要，可考慮網(wǎng)絡(luò)改造后，將外網(wǎng)連接帶寬升級(jí)為500 M，內(nèi)網(wǎng)為千兆。

1.4 網(wǎng)絡(luò)設(shè)備VLAN規(guī)劃及設(shè)置

當(dāng)前，整個(gè)臺(tái)里的所有網(wǎng)絡(luò)都整合成了一個(gè)網(wǎng)絡(luò)，這樣的網(wǎng)絡(luò)結(jié)構(gòu)安全性、穩(wěn)定性都比較差，較容易受到ARP攻擊和發(fā)生病毒傳播現(xiàn)象。其中一個(gè)設(shè)備一旦中毒，就很容易傳播到其他設(shè)備上，所以我們必須保障安全劃分出多個(gè)網(wǎng)絡(luò)，即其中一個(gè)網(wǎng)絡(luò)中了病毒，很難對(duì)其他網(wǎng)絡(luò)構(gòu)成威脅。這包括所有交換設(shè)備對(duì)內(nèi)網(wǎng)地址的虛擬網(wǎng)絡(luò)進(jìn)行重新劃分，功能不同分開(kāi)的網(wǎng)絡(luò)也不同，其中包括辦公網(wǎng)、廣播制作網(wǎng)、非編網(wǎng)及監(jiān)控網(wǎng)。把網(wǎng)絡(luò)分成5個(gè)相對(duì)獨(dú)立的子網(wǎng)，根據(jù)不同的要求來(lái)進(jìn)行不同的配置：

（1）辦公網(wǎng)172.31.0.2/249為核心交換機(jī)（華為S5700-24TP-SI-AC24口千兆交換機(jī)3層交換機(jī)）子網(wǎng)。交換機(jī)網(wǎng)關(guān)設(shè)置為172.31.0.3，防火墻IP地址設(shè)置為172.31.0.4。同時(shí)為核心交換機(jī)建立路由冗余機(jī)制。（2）文稿系統(tǒng)172.31.1.2/50為服務(wù)器子網(wǎng)。網(wǎng)關(guān)設(shè)置為172.31.1.3，各監(jiān)控?cái)z像頭IP設(shè)置為172.31.1.4以后。此網(wǎng)段內(nèi)的計(jì)算機(jī)都可以共享服務(wù)器的信息和共享樓層打印機(jī)。（3）非編網(wǎng)192.168.1.0/50為數(shù)據(jù)源子網(wǎng)。網(wǎng)關(guān)設(shè)置為192.168.1.3，各客戶機(jī)IP設(shè)置為192.168.1.4以后。非編網(wǎng)主要是無(wú)卡非編工作站與有卡非編工作站之間的數(shù)據(jù)傳輸，所以對(duì)網(wǎng)絡(luò)帶寬要求較高，此網(wǎng)段分配網(wǎng)絡(luò)帶寬不設(shè)限制。（4）廣播制作網(wǎng)192.168.2.0/50為演練計(jì)算機(jī)子網(wǎng)，網(wǎng)關(guān)設(shè)置為192.168.2.3，各客戶機(jī)IP設(shè)置為192.168.2.4以后。主要是外網(wǎng)下載音頻文件后通過(guò)FTP服務(wù)器進(jìn)行內(nèi)網(wǎng)入庫(kù)。（5）監(jiān)控網(wǎng)192.168.3.0/50為數(shù)據(jù)終端子網(wǎng)，網(wǎng)關(guān)設(shè)置為192.168.3.3，各客戶機(jī)IP設(shè)置為192.168.3.4以后，與各網(wǎng)段互聯(lián)并入一個(gè)虛擬網(wǎng)。

通過(guò)以上配置，廣播、非編、監(jiān)控、辦公等每個(gè)獨(dú)立的工作區(qū)域都?xì)w屬于不同的子網(wǎng)，每個(gè)子網(wǎng)的可用地址均保證一定的數(shù)量與冗余，可解決各區(qū)域因網(wǎng)絡(luò)節(jié)點(diǎn)增加，網(wǎng)絡(luò)地址不足的問(wèn)題。把獨(dú)立工作的網(wǎng)分開(kāi)相互不干擾不影響，若需要相互數(shù)據(jù)交換時(shí)再建立鏈接，這樣可以防止單一網(wǎng)絡(luò)內(nèi)病毒及ARP風(fēng)暴爆發(fā)時(shí)影響到其他子網(wǎng)，從而導(dǎo)致病毒傳播到整個(gè)網(wǎng)絡(luò)，同時(shí)也確保各虛擬網(wǎng)區(qū)域內(nèi)專有數(shù)據(jù)的安全；獨(dú)立的訪問(wèn)權(quán)限可以防止誤操作。區(qū)域網(wǎng)絡(luò)使用3層網(wǎng)管交換機(jī)設(shè)置訪問(wèn)權(quán)限，獨(dú)立網(wǎng)絡(luò)區(qū)域內(nèi)部計(jì)算機(jī)之間的訪問(wèn)不受限制，從而實(shí)現(xiàn)了局域網(wǎng)絡(luò)向多層次、路由型網(wǎng)絡(luò)結(jié)構(gòu)的轉(zhuǎn)變。新的網(wǎng)絡(luò)規(guī)劃里，冗余155個(gè)地址給各局域網(wǎng)區(qū)域，預(yù)留了充足的IP地址空間，并且每臺(tái)設(shè)備使用固定IP于MAC地址綁定統(tǒng)一管理，區(qū)域內(nèi)網(wǎng)絡(luò)地址便可得到更直接的管理。

當(dāng)前數(shù)據(jù)備份策略還不完善，各個(gè)服務(wù)器權(quán)限劃分不規(guī)范，沒(méi)能仔細(xì)劃分用戶權(quán)限。網(wǎng)絡(luò)線路布線比較混亂，端口分配不合理。多數(shù)線路都是明線，容易誤操作形成內(nèi)網(wǎng)環(huán)路而導(dǎo)致網(wǎng)絡(luò)癱瘓。IP地址管理混亂，目前各計(jì)算機(jī)的IP地址都是手動(dòng)修改無(wú)統(tǒng)一分配模式，容易導(dǎo)致IP地址沖突。廣播制作網(wǎng)、非編網(wǎng)、監(jiān)控網(wǎng)等各網(wǎng)絡(luò)交織在一起帶來(lái)管理上的不便，改造后的網(wǎng)絡(luò)將把各個(gè)VLAN進(jìn)行劃分，每個(gè)網(wǎng)絡(luò)使用獨(dú)立的網(wǎng)段劃分。

改造后整個(gè)單位的網(wǎng)絡(luò)分樓層分別通過(guò)不同的匯聚交換機(jī)接入核心交換機(jī)。網(wǎng)絡(luò)核心交換機(jī)華為的S5700-24TP-SI-AC采用千兆的光纖連接到8臺(tái)TP-LINK TL-SG1024DT，這樣就搭建出一個(gè)全千兆的骨干網(wǎng)絡(luò)，極大地提高了數(shù)據(jù)交換能力。TP-LINK TL-SG1024DT采用千兆的雙絞線連接到每個(gè)樓層中的百兆交換機(jī)上，再以百兆接入到每個(gè)客戶端。這次網(wǎng)絡(luò)系統(tǒng)升級(jí)改造就是把整個(gè)臺(tái)里的大局域網(wǎng)劃分為多個(gè)虛擬子網(wǎng)，每個(gè)網(wǎng)段之間是互通的，都由交換機(jī)作物理連接，可以互相訪問(wèn)也可以設(shè)置權(quán)限控制訪問(wèn)，每個(gè)用戶按使用需求劃分到不同的網(wǎng)絡(luò)中，也可以在每個(gè)網(wǎng)段之間設(shè)置網(wǎng)絡(luò)帶寬來(lái)控制上傳下載的數(shù)據(jù)流量。各專用子網(wǎng)將分別作為獨(dú)立的VLAN接入，這樣可以保證專用網(wǎng)絡(luò)的獨(dú)立帶寬，保證重要環(huán)節(jié)的順暢傳輸，同時(shí)也保證局域網(wǎng)中的信息和局域網(wǎng)中各用戶之間的互訪。

2 AC管理無(wú)線覆蓋

目前無(wú)線網(wǎng)絡(luò)是通過(guò)無(wú)線路由器與各辦公室連接，由于無(wú)線路由覆蓋面小，信號(hào)沒(méi)有連續(xù)性，只能在一個(gè)固定區(qū)域內(nèi)使用。往往一個(gè)樓層有多個(gè)辦公室便會(huì)出現(xiàn)十幾個(gè)無(wú)線路由名稱，且設(shè)備每次登陸繁瑣，離開(kāi)一個(gè)路由范圍后不能自動(dòng)連接到信號(hào)強(qiáng)的設(shè)備上，需手動(dòng)切換，體驗(yàn)較差。所以本次改造將增加AC無(wú)線管理器，每層樓樓道安裝兩組瘦AP，把單位的無(wú)線網(wǎng)絡(luò)統(tǒng)一管理，統(tǒng)一名稱，實(shí)現(xiàn)整幢大樓無(wú)線信號(hào)無(wú)縫切換。

每個(gè)樓層使用2個(gè)吸頂式瘦AP，安裝范圍需使得兩個(gè)AP的信號(hào)相互覆蓋。通過(guò)有線連接至核心交換機(jī)的AC管理器，AC管理器的主要作用是負(fù)責(zé)將來(lái)自各不同樓層所有AP的數(shù)據(jù)匯聚到一臺(tái)AC管理器上并接入互聯(lián)網(wǎng)，可以使AP設(shè)備無(wú)線用戶的認(rèn)證、配置管理、帶寬控制、訪問(wèn)設(shè)置、接入點(diǎn)設(shè)置等管理等功能。這樣整個(gè)樓層可以做到全方位無(wú)線覆蓋，并且通過(guò)AC管理器可以把所有AP都設(shè)置成一個(gè)SSID，實(shí)現(xiàn)全大樓無(wú)線信號(hào)自動(dòng)無(wú)縫切換。

3 改造的費(fèi)用與總結(jié)

溧陽(yáng)廣播電視臺(tái)局域網(wǎng)經(jīng)過(guò)此次改造后安全性和穩(wěn)定性得到明顯改善，此次網(wǎng)絡(luò)升級(jí)改造費(fèi)用約4.5萬(wàn)元，骨干網(wǎng)絡(luò)由原先的百兆網(wǎng)升級(jí)為千兆網(wǎng)絡(luò)，每個(gè)辦公室千兆接入，百兆接出至各客戶端。所以，在內(nèi)網(wǎng)數(shù)據(jù)傳輸和外網(wǎng)數(shù)據(jù)傳輸上都不存在瓶頸，極大地提高了工作效率，外網(wǎng)接入速率由100 M提高到500 M，并且按樓層平均分配，不再出現(xiàn)部分客戶端下載時(shí)數(shù)據(jù)量過(guò)大，全網(wǎng)受影響的情況。數(shù)字監(jiān)控網(wǎng)在原先的舊網(wǎng)絡(luò)里改造，不浪費(fèi)原先的網(wǎng)絡(luò)資源。并且，在另一個(gè)較為獨(dú)立的網(wǎng)絡(luò)系統(tǒng)里，與臺(tái)局域網(wǎng)分開(kāi)的監(jiān)控網(wǎng)絡(luò)更安全、可靠。經(jīng)網(wǎng)絡(luò)安全改造后，部分比較分散在各樓層的小型服務(wù)器如廣播FTP服務(wù)器、非編無(wú)卡工作站、監(jiān)控錄像服務(wù)器等因?yàn)樯?jí)后的服務(wù)器區(qū)域安全性得到極大提高，此部分服務(wù)器可統(tǒng)一放置于臺(tái)統(tǒng)一計(jì)算機(jī)中心的服務(wù)器區(qū)域，并且接入U(xiǎn)PS提高了訪問(wèn)的安全性，同時(shí)方便統(tǒng)一管理。AC無(wú)線的加入實(shí)現(xiàn)全方位的無(wú)線信號(hào)覆蓋，自動(dòng)漫游無(wú)縫切換功能，極大地方便了無(wú)線端設(shè)備的上網(wǎng)需求。

[參考文獻(xiàn)]

[1]張倩，袁建新，劉福春.無(wú)線網(wǎng)絡(luò)技術(shù)在局域網(wǎng)升級(jí)改造中的應(yīng)用[J].海河水利，2009（5）：113-114.

[2]鄒楊，米蘭，謝瑞莎.基于VLAN技術(shù)的某局域網(wǎng)改造方法[J].兵工自動(dòng)化，2015（6）：70-74.

[3]劉穎.局域網(wǎng)升級(jí)改造分析[J].電子技術(shù)與軟件工程，2015（5）：15.