王麗娟
內(nèi)蒙古廣播電視臺內(nèi)蒙古呼和浩特市010050
廣播制播網(wǎng)的搭建及安全保障
王麗娟
內(nèi)蒙古廣播電視臺內(nèi)蒙古呼和浩特市010050
本文介紹了內(nèi)蒙古廣播電視臺全臺網(wǎng)架構(gòu)下制播網(wǎng)的搭建原則、網(wǎng)絡配置、與其他媒體的融合以及安全保障措施等。
全臺網(wǎng)架構(gòu)制播分離智能化管控
目前,廣播制播網(wǎng)的建設已經(jīng)實現(xiàn)了“集中式管理,分布式工作”的網(wǎng)絡化節(jié)目制作播出運行模式。在新技術(shù)、新手段運用的基礎(chǔ)上,完善了標準流程下的數(shù)據(jù)信息架構(gòu),實現(xiàn)了對廣播業(yè)務智能化的管理與控制,建成了廣播數(shù)字化、網(wǎng)絡化、集成化、自動化的智能管理平臺,形成以“采、編、播、存、管”為整個工藝流程的廣播業(yè)務管理體系。內(nèi)蒙古廣播電視臺正是在這樣的背景下完成了廣播制播網(wǎng)的建設。
2.1安全原則
廣播制播網(wǎng)系統(tǒng)采用了網(wǎng)絡、計算機、數(shù)據(jù)存儲和數(shù)字音頻等技術(shù),業(yè)務范圍涉及節(jié)目部、制作部、播出部及廣告部等部門,中間環(huán)節(jié)較多。為確保網(wǎng)絡安全,建設應嚴格遵守國家標準要求,新聞出版廣電總局頒布的行業(yè)標準和《廣播電臺數(shù)字化網(wǎng)絡化建設白皮書》(2006、2007、2008版)的要求來進行設計和實施。
2.2可擴展和開放原則
隨著廣播業(yè)務的發(fā)展,對網(wǎng)絡資源需求的逐步增大,網(wǎng)絡系統(tǒng)必須具有擴容的可能。因此,在系統(tǒng)建設的時候,必須考慮系統(tǒng)的易擴展性、開放性,把制播網(wǎng)系統(tǒng)建設成為全臺網(wǎng)系統(tǒng)的一個有機組成部分。
2.3制播分離原則
制播網(wǎng)系統(tǒng)的搭建必須符合全臺網(wǎng)發(fā)展的需要,制作、播出系統(tǒng)能很方便的與廣播其他系統(tǒng)進行融合,協(xié)調(diào)運作,并按制播分離的構(gòu)架來建設。播出網(wǎng)盡量小,盡量扁平化;制作網(wǎng)盡量大,盡量提供更多和更完善的服務。
2.4符合廣播業(yè)務流程原則
圖1 廣播制播網(wǎng)系統(tǒng)業(yè)務流程圖
制播網(wǎng)系統(tǒng)的搭建必須符合廣播的業(yè)務流程,節(jié)目制作人員在制作系統(tǒng)內(nèi)制作節(jié)目,音源來自多種渠道,未完成的制作其內(nèi)容可保存在自己的工程區(qū),隨時可在任一制作站上繼續(xù)編輯制作。制作完成的內(nèi)容可發(fā)送到素材成品區(qū),也可根據(jù)用戶權(quán)限,經(jīng)過三級或二級內(nèi)容審核后發(fā)送音頻到播出系統(tǒng)。發(fā)送過程中系統(tǒng)會對音頻信號質(zhì)量進行審核,不符合質(zhì)量要求的節(jié)目不能發(fā)送到播出系統(tǒng),也不能發(fā)送到制作系統(tǒng)的素材成品區(qū)。圖1為廣播業(yè)務流程圖。
3.1廣播的全臺網(wǎng)架構(gòu)
根據(jù)廣播的業(yè)務流程和設計原則,制播網(wǎng)系統(tǒng)架構(gòu)按照全臺網(wǎng)系統(tǒng)的有機組成部分搭建,分為播出和制作兩大系統(tǒng)。制作系統(tǒng)是大制作系統(tǒng)中的一個子系統(tǒng)。因此,在搭建制作、播出系統(tǒng)時,需充分考慮廣播業(yè)務發(fā)展以及全臺網(wǎng)發(fā)展的需要,使制作、播出系統(tǒng)能夠和其他系統(tǒng)進行融合,并協(xié)調(diào)運作,共同構(gòu)成一個完整的全臺網(wǎng)系統(tǒng)。圖2為廣播全臺網(wǎng)系統(tǒng)架構(gòu)圖。
圖2 廣播全臺網(wǎng)系統(tǒng)架構(gòu)圖
3.2廣播制播網(wǎng)的搭建
根據(jù)廣播制播網(wǎng)的設計原則、業(yè)務流程以及全臺網(wǎng)的設計要求,可搭建制播網(wǎng)系統(tǒng)。制播分離是建設制播網(wǎng)系統(tǒng)的基本思想,播出網(wǎng)盡量小,盡量扁平化,制作網(wǎng)盡量大。一個盡量“小”的播出網(wǎng),更專注于播出,能提升并確保播出網(wǎng)的安全;一個盡量“大”的制作網(wǎng),可以提供更完善的功能和更多的服務而不用擔心會影響播出安全。
圖3為廣播制播網(wǎng)搭建的拓撲圖。
圖3 廣播制播網(wǎng)結(jié)構(gòu)拓撲圖
(1)制播分離的網(wǎng)絡搭建
播出網(wǎng)和制作網(wǎng)使用同一個物理網(wǎng)絡,但需要通過VLAN劃分把制作服務器和播出服務器規(guī)劃到不同的VLAN網(wǎng)段中,通過VLAN保護各自用戶數(shù)據(jù)安全和網(wǎng)絡傳輸安全。每個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中,它們各自的廣播流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。
(2)內(nèi)外網(wǎng)互聯(lián)互通的搭建
①制播網(wǎng)和辦公網(wǎng)互聯(lián)互通。這種方式主要是通過網(wǎng)閘把辦公網(wǎng)站點的音頻成品傳送到制作系統(tǒng)中,也可將制作系統(tǒng)內(nèi)音頻導出至辦公網(wǎng)系統(tǒng),避免了移動存儲設備在內(nèi)網(wǎng)電腦的使用。
②制播網(wǎng)系統(tǒng)和媒資系統(tǒng)的互聯(lián)互通。制作系統(tǒng)可以通過軟件接口從媒資系統(tǒng)的鏡像庫提取音頻文件,也可以將制作系統(tǒng)音頻文件發(fā)送至媒資庫,作為音頻資料存儲在媒資庫中。
(3)關(guān)于服務器的配置
根據(jù)系統(tǒng)搭建的要求,進行服務器組配置:三組播出數(shù)據(jù)庫服務器、一組制作數(shù)據(jù)庫服務器、一組播出音頻服務器、一組制作音頻服務器、二組應用服務器、一組域控服務器、一臺SQL見證服務器和一臺系統(tǒng)監(jiān)測兼防病毒服務器。
播出數(shù)據(jù)庫服務器、播出音頻服務器、播出應用服務器、制作數(shù)據(jù)庫服務器、制作音頻兼服務器、制作應用服務器作為獨立服務器(非域控服務器)存在于網(wǎng)絡中。
配置兩臺域控服務器,域控服務器不做群集,在整個網(wǎng)里,它們的主要作用就是域管理和備份,域里的其他服務器都以獨立服務器的方式存在,方便在域里添加新服務器或從域里把其失效的服務器移出,并且當這兩臺域控服務器中任意一臺失效的情況下,可以很方便的新增一臺服務器,并把它升級為域控制器,系統(tǒng)的修復可以在不停機的情況下無縫實現(xiàn)。
配置播出數(shù)據(jù)庫服務器,采用群集技術(shù)和SQL Server 2012軟件自帶的鏡像功能,實現(xiàn)數(shù)據(jù)庫服務的熱備份,而且當主服務器失效的時候,服務器的切換不超過10秒。這兩臺服務器任意一臺服務器失效以后,可以實現(xiàn)不停機的添加新的鏡像服務器操作。新增的服務器可以十分方便的通過簡單設置,實現(xiàn)數(shù)據(jù)庫的鏡像。因此,可以通過這種方式實現(xiàn)服務器更換,系統(tǒng)需要的最大停機時間就是主備服務器切換的時間。
配置SQL見證服務器,用于監(jiān)測SQL主備數(shù)據(jù)庫服務器的運行狀態(tài),同時對主備服務器的角色進行仲裁,實現(xiàn)故障的自動轉(zhuǎn)移。
配置了一組制作數(shù)據(jù)庫服務器,由于采用制播分離的構(gòu)架進行設計,播出服務器和制作服務器分開配置,制作數(shù)據(jù)庫服務器同樣采用SQL Server 2012軟件自帶的鏡像功能,實現(xiàn)數(shù)據(jù)庫服務的熱備份。
配置了一組播出音頻服務器和一組制作音頻服務器,與數(shù)據(jù)庫服務器分開管理,專門提供音頻文件的管理和服務。
配置了兩套獨立存儲陣列,分別為制作和播出陣列,存儲陣列通過SAN交換機與音頻服務器相連,每組服務器使用Windows Server 2012自帶的群集軟件做群集。
配置了兩組應用服務器,分別為制作和播出應用服務器組,每組配置了兩臺服務器互為備份,應用服務器和音頻服務器分開部署,可以有效的減少應用服務器的負載,提高應用服務器和數(shù)據(jù)服務器交互的效率,提高客戶端查詢數(shù)據(jù)庫的速度。
配置一臺系統(tǒng)監(jiān)測兼防病毒服務器。該服務器安裝系統(tǒng)監(jiān)測軟件的服務器端軟件,用于監(jiān)測系統(tǒng)內(nèi)所有服務器和站點的運行狀況,包括服務器和站點的內(nèi)存使用情況、CPU利用率、開關(guān)機狀況等,還可以監(jiān)測FTP、SQL、應用服務器軟件的可用性,當發(fā)現(xiàn)相關(guān)問題的時候,系統(tǒng)會自動報警。
(4)關(guān)于存儲系統(tǒng)
制播網(wǎng)的存儲系統(tǒng)采用SAN網(wǎng)方案,服務器不直接和存儲陣列連接,分別通過主備兩臺SAN交換機與陣列連接,這樣系統(tǒng)具備更好的擴展性。當系統(tǒng)需要擴展存儲容量的時候,只需要把新增的陣列連接到SAN交換機上再做簡單的配置即可。
系統(tǒng)配置了播出、制作兩組存儲陣列組,每組陣列由兩臺陣列構(gòu)成,兩臺陣列之間通過鏡像軟件實現(xiàn)數(shù)據(jù)的鏡像。
制播分離后,系統(tǒng)配置了播出、制作兩組存儲陣列組,每組陣列分別配置了兩臺雙控陣列做為存儲陣列。兩臺陣列之間通過鏡像軟件實現(xiàn)數(shù)據(jù)的鏡像,每臺陣列配置12塊1T SATA磁盤,12塊盤插在陣列上,1塊做冷備盤,1塊做熱備盤,10塊做raid 5,形成8T的可用容量。
(5)關(guān)于網(wǎng)絡系統(tǒng)的集成
網(wǎng)絡布線按照結(jié)構(gòu)化布線的原則,采用垂直布線和水平布線兩級結(jié)構(gòu),核心交換機和樓層交換機兩級結(jié)構(gòu)。網(wǎng)絡的主干網(wǎng)采用全光纖連接,所有樓層交換機和核心交換機的連接也采用光纖連接,核心交換機作為整個網(wǎng)絡的核心,依照《廣播電臺數(shù)字化網(wǎng)絡化建設白皮書》的要求,應用兩臺核心交換機。這兩臺核心交換機互為備份,核心交換機采用全千兆口的交換,它與樓層交換機的連接采用千兆光纖口進行上行連接。兩臺核心交換機是通過每臺服務器上配置的兩塊千兆網(wǎng)卡與服務器進行鏈接,這樣可保證任何一塊網(wǎng)卡或一臺核心交換機出現(xiàn)故障的時候,所有工作站依然可以訪問服務器。
在制播網(wǎng)系統(tǒng)中,通過配置安全網(wǎng)閘的方法來完成制播網(wǎng)和綜合辦公網(wǎng)之間的音頻數(shù)據(jù)交換。
為保障網(wǎng)絡的安全,系統(tǒng)搭建過程中需充分考慮交換機、服務器、存儲設備的冗余備份以及網(wǎng)絡防入侵的措施。
4.1交換機冗余備份
核心交換機的冗余。核心交換機作為整個網(wǎng)絡的核心,其安全性很重要,配置的兩臺核心交換機互為備份的關(guān)系。當其中一臺核心交換機出現(xiàn)故障的時候,所有的站點能通過另外一臺核心交換機訪問服務器,從而保證訪問通暢,播出繼續(xù)進行。
服務器網(wǎng)卡的冗余。每臺服務器都配備四塊千兆網(wǎng)卡,通過所使用的千兆網(wǎng)卡分別和兩臺核心交換機連接,每臺樓層交換機也分別通過上行網(wǎng)線同時連接到這兩臺核心交換機上,以保證任何一塊服務器網(wǎng)卡出現(xiàn)故障的時候,服務器能依靠另外一塊網(wǎng)卡保持網(wǎng)絡的暢通。
樓層交換機的冗余。每個樓層配置兩臺樓層交換機,每臺交換機分別連接直播機房的主備播出站。當主播站連接的樓層交換機失效的時候,備播站依然可以通過和它連接的另一臺樓層交換機訪問服務器,保證播出的正常進行。
4.2服務器冗余備份
服務器除了自身的安全設計外,重點考慮的是服務器的冗余備份。
制播網(wǎng)系統(tǒng)的播出服務器組和制作服務器組等都實現(xiàn)了雙機熱備。當主服務器失效的時候,服務器組將自動切換到備服務器,由備服務器對外提供服務。
數(shù)據(jù)庫服務器組分別配置了兩臺數(shù)據(jù)庫服務器,確保了系統(tǒng)對數(shù)據(jù)的安全管理。
域控服務器也配置了兩臺,任何一臺失效的情況下,另外一臺也能擔負起域控的任務。
應用服務器也配置了兩組,一組兩臺應用服務器以負載均衡的方式對外提供服務。如果兩臺服務器都正常的時候,這兩臺服務器同時提供對外服務,提高整個系統(tǒng)的性能;如果其中一臺服務器出現(xiàn)故障,另外一臺還能繼續(xù)對外提供服務,只是性能減半。
4.3存儲的冗余備份
存儲系統(tǒng)是整個系統(tǒng)核心,涉及系統(tǒng)的播出安全及數(shù)據(jù)的安全,為保障存儲系統(tǒng)的安全應有以下措施。
(1)系統(tǒng)的SAN存儲網(wǎng)絡采用兩臺SAN交換機,每組陣列分別連接到這兩臺SAN交換機上。每臺播出服務器配置兩塊HBA卡,服務器通過這兩塊HBA卡分別和這兩臺SAN光纖交換機連接,可以保障當任意一臺SAN交換機或任意一塊HBA卡失效的時候,服務器都有路徑可以訪問到播出和制作陣列。
(2)播出、制作分別配置兩臺存儲陣列,兩臺陣列通過鏡像軟件實現(xiàn)陣列數(shù)據(jù)的鏡像,保證數(shù)據(jù)的冗余備份。當主陣列失效的時候,系統(tǒng)將自動切換到備陣列,切換時間幾乎為0,不會引起主備服務器的切換,對用戶的操作、播出沒有任何的影響。
(3)所有陣列組的主陣列都配置了雙控制器。當主控制器失效的時候,備控制器將自動接替失效的主控制器繼續(xù)對外提供服務器,對系統(tǒng)的使用沒有任何影響。
(4)磁盤陣列都具有容錯功能,并具有熱備盤的功能。當其中一個磁盤失效的時候,熱備盤能自動接替失效的磁盤,重建raid并維持陣列的完整性,確保陣列的可靠性,不會影響陣列正常工作。
4.3網(wǎng)絡防入侵措施
為保證播出的安全性,制播網(wǎng)必須運行在物理隔離的獨立網(wǎng)絡內(nèi),它和辦公網(wǎng)之間是通過安全隔離網(wǎng)閘來進行數(shù)據(jù)交換的。辦公網(wǎng)的音頻文件通過安全網(wǎng)閘的時候,傳輸音頻文件將經(jīng)過幀校驗、文件病毒粉碎技術(shù)傳輸校驗后,由非網(wǎng)絡協(xié)議安全傳輸?shù)絻?nèi)網(wǎng)制作系統(tǒng)。由于制播網(wǎng)和辦公網(wǎng)之間沒有網(wǎng)絡路徑可以直接聯(lián)通,而且也沒有公開的可用于網(wǎng)絡協(xié)議可以利用,完全可以有效的防范來自外網(wǎng)的攻擊。而且?guī)r?、文件病毒粉碎技術(shù)的采用,可以有效的防范病毒的傳入和黑客的入侵。
2015年7月30日,內(nèi)蒙古廣播電視臺廣播制播網(wǎng)整體建設竣工。2015年11月18日,檢測驗收工作完成。2016年5月31日,第一批頻率開播運行至今,網(wǎng)絡運行安全穩(wěn)定,廣播各部門、各環(huán)節(jié)的工作效率明顯提升,達到了預期的構(gòu)想,有力地保障了廣播節(jié)目的安全播出。
審稿人:孫生和內(nèi)蒙古廣播電視臺正高級工程師
責任編輯:王學敏
TN946.1
B
2096-0751(2016)08-0016-06
王麗娟內(nèi)蒙古廣播電視臺正高級工程師