王麗娟
內(nèi)蒙古廣播電視臺內(nèi)蒙古呼和浩特市010050
廣播制播網(wǎng)的搭建及安全保障
王麗娟
內(nèi)蒙古廣播電視臺內(nèi)蒙古呼和浩特市010050
本文介紹了內(nèi)蒙古廣播電視臺全臺網(wǎng)架構(gòu)下制播網(wǎng)的搭建原則、網(wǎng)絡(luò)配置、與其他媒體的融合以及安全保障措施等。
全臺網(wǎng)架構(gòu)制播分離智能化管控
目前,廣播制播網(wǎng)的建設(shè)已經(jīng)實現(xiàn)了“集中式管理,分布式工作”的網(wǎng)絡(luò)化節(jié)目制作播出運行模式。在新技術(shù)、新手段運用的基礎(chǔ)上,完善了標(biāo)準(zhǔn)流程下的數(shù)據(jù)信息架構(gòu),實現(xiàn)了對廣播業(yè)務(wù)智能化的管理與控制,建成了廣播數(shù)字化、網(wǎng)絡(luò)化、集成化、自動化的智能管理平臺,形成以“采、編、播、存、管”為整個工藝流程的廣播業(yè)務(wù)管理體系。內(nèi)蒙古廣播電視臺正是在這樣的背景下完成了廣播制播網(wǎng)的建設(shè)。
2.1安全原則
廣播制播網(wǎng)系統(tǒng)采用了網(wǎng)絡(luò)、計算機(jī)、數(shù)據(jù)存儲和數(shù)字音頻等技術(shù),業(yè)務(wù)范圍涉及節(jié)目部、制作部、播出部及廣告部等部門,中間環(huán)節(jié)較多。為確保網(wǎng)絡(luò)安全,建設(shè)應(yīng)嚴(yán)格遵守國家標(biāo)準(zhǔn)要求,新聞出版廣電總局頒布的行業(yè)標(biāo)準(zhǔn)和《廣播電臺數(shù)字化網(wǎng)絡(luò)化建設(shè)白皮書》(2006、2007、2008版)的要求來進(jìn)行設(shè)計和實施。
2.2可擴(kuò)展和開放原則
隨著廣播業(yè)務(wù)的發(fā)展,對網(wǎng)絡(luò)資源需求的逐步增大,網(wǎng)絡(luò)系統(tǒng)必須具有擴(kuò)容的可能。因此,在系統(tǒng)建設(shè)的時候,必須考慮系統(tǒng)的易擴(kuò)展性、開放性,把制播網(wǎng)系統(tǒng)建設(shè)成為全臺網(wǎng)系統(tǒng)的一個有機(jī)組成部分。
2.3制播分離原則
制播網(wǎng)系統(tǒng)的搭建必須符合全臺網(wǎng)發(fā)展的需要,制作、播出系統(tǒng)能很方便的與廣播其他系統(tǒng)進(jìn)行融合,協(xié)調(diào)運作,并按制播分離的構(gòu)架來建設(shè)。播出網(wǎng)盡量小,盡量扁平化;制作網(wǎng)盡量大,盡量提供更多和更完善的服務(wù)。
2.4符合廣播業(yè)務(wù)流程原則
圖1 廣播制播網(wǎng)系統(tǒng)業(yè)務(wù)流程圖
制播網(wǎng)系統(tǒng)的搭建必須符合廣播的業(yè)務(wù)流程,節(jié)目制作人員在制作系統(tǒng)內(nèi)制作節(jié)目,音源來自多種渠道,未完成的制作其內(nèi)容可保存在自己的工程區(qū),隨時可在任一制作站上繼續(xù)編輯制作。制作完成的內(nèi)容可發(fā)送到素材成品區(qū),也可根據(jù)用戶權(quán)限,經(jīng)過三級或二級內(nèi)容審核后發(fā)送音頻到播出系統(tǒng)。發(fā)送過程中系統(tǒng)會對音頻信號質(zhì)量進(jìn)行審核,不符合質(zhì)量要求的節(jié)目不能發(fā)送到播出系統(tǒng),也不能發(fā)送到制作系統(tǒng)的素材成品區(qū)。圖1為廣播業(yè)務(wù)流程圖。
3.1廣播的全臺網(wǎng)架構(gòu)
根據(jù)廣播的業(yè)務(wù)流程和設(shè)計原則,制播網(wǎng)系統(tǒng)架構(gòu)按照全臺網(wǎng)系統(tǒng)的有機(jī)組成部分搭建,分為播出和制作兩大系統(tǒng)。制作系統(tǒng)是大制作系統(tǒng)中的一個子系統(tǒng)。因此,在搭建制作、播出系統(tǒng)時,需充分考慮廣播業(yè)務(wù)發(fā)展以及全臺網(wǎng)發(fā)展的需要,使制作、播出系統(tǒng)能夠和其他系統(tǒng)進(jìn)行融合,并協(xié)調(diào)運作,共同構(gòu)成一個完整的全臺網(wǎng)系統(tǒng)。圖2為廣播全臺網(wǎng)系統(tǒng)架構(gòu)圖。
圖2 廣播全臺網(wǎng)系統(tǒng)架構(gòu)圖
3.2廣播制播網(wǎng)的搭建
根據(jù)廣播制播網(wǎng)的設(shè)計原則、業(yè)務(wù)流程以及全臺網(wǎng)的設(shè)計要求,可搭建制播網(wǎng)系統(tǒng)。制播分離是建設(shè)制播網(wǎng)系統(tǒng)的基本思想,播出網(wǎng)盡量小,盡量扁平化,制作網(wǎng)盡量大。一個盡量“小”的播出網(wǎng),更專注于播出,能提升并確保播出網(wǎng)的安全;一個盡量“大”的制作網(wǎng),可以提供更完善的功能和更多的服務(wù)而不用擔(dān)心會影響播出安全。
圖3為廣播制播網(wǎng)搭建的拓?fù)鋱D。
圖3 廣播制播網(wǎng)結(jié)構(gòu)拓?fù)鋱D
(1)制播分離的網(wǎng)絡(luò)搭建
播出網(wǎng)和制作網(wǎng)使用同一個物理網(wǎng)絡(luò),但需要通過VLAN劃分把制作服務(wù)器和播出服務(wù)器規(guī)劃到不同的VLAN網(wǎng)段中,通過VLAN保護(hù)各自用戶數(shù)據(jù)安全和網(wǎng)絡(luò)傳輸安全。每個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中,它們各自的廣播流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。
(2)內(nèi)外網(wǎng)互聯(lián)互通的搭建
①制播網(wǎng)和辦公網(wǎng)互聯(lián)互通。這種方式主要是通過網(wǎng)閘把辦公網(wǎng)站點的音頻成品傳送到制作系統(tǒng)中,也可將制作系統(tǒng)內(nèi)音頻導(dǎo)出至辦公網(wǎng)系統(tǒng),避免了移動存儲設(shè)備在內(nèi)網(wǎng)電腦的使用。
②制播網(wǎng)系統(tǒng)和媒資系統(tǒng)的互聯(lián)互通。制作系統(tǒng)可以通過軟件接口從媒資系統(tǒng)的鏡像庫提取音頻文件,也可以將制作系統(tǒng)音頻文件發(fā)送至媒資庫,作為音頻資料存儲在媒資庫中。
(3)關(guān)于服務(wù)器的配置
根據(jù)系統(tǒng)搭建的要求,進(jìn)行服務(wù)器組配置:三組播出數(shù)據(jù)庫服務(wù)器、一組制作數(shù)據(jù)庫服務(wù)器、一組播出音頻服務(wù)器、一組制作音頻服務(wù)器、二組應(yīng)用服務(wù)器、一組域控服務(wù)器、一臺SQL見證服務(wù)器和一臺系統(tǒng)監(jiān)測兼防病毒服務(wù)器。
播出數(shù)據(jù)庫服務(wù)器、播出音頻服務(wù)器、播出應(yīng)用服務(wù)器、制作數(shù)據(jù)庫服務(wù)器、制作音頻兼服務(wù)器、制作應(yīng)用服務(wù)器作為獨立服務(wù)器(非域控服務(wù)器)存在于網(wǎng)絡(luò)中。
配置兩臺域控服務(wù)器,域控服務(wù)器不做群集,在整個網(wǎng)里,它們的主要作用就是域管理和備份,域里的其他服務(wù)器都以獨立服務(wù)器的方式存在,方便在域里添加新服務(wù)器或從域里把其失效的服務(wù)器移出,并且當(dāng)這兩臺域控服務(wù)器中任意一臺失效的情況下,可以很方便的新增一臺服務(wù)器,并把它升級為域控制器,系統(tǒng)的修復(fù)可以在不停機(jī)的情況下無縫實現(xiàn)。
配置播出數(shù)據(jù)庫服務(wù)器,采用群集技術(shù)和SQL Server 2012軟件自帶的鏡像功能,實現(xiàn)數(shù)據(jù)庫服務(wù)的熱備份,而且當(dāng)主服務(wù)器失效的時候,服務(wù)器的切換不超過10秒。這兩臺服務(wù)器任意一臺服務(wù)器失效以后,可以實現(xiàn)不停機(jī)的添加新的鏡像服務(wù)器操作。新增的服務(wù)器可以十分方便的通過簡單設(shè)置,實現(xiàn)數(shù)據(jù)庫的鏡像。因此,可以通過這種方式實現(xiàn)服務(wù)器更換,系統(tǒng)需要的最大停機(jī)時間就是主備服務(wù)器切換的時間。
配置SQL見證服務(wù)器,用于監(jiān)測SQL主備數(shù)據(jù)庫服務(wù)器的運行狀態(tài),同時對主備服務(wù)器的角色進(jìn)行仲裁,實現(xiàn)故障的自動轉(zhuǎn)移。
配置了一組制作數(shù)據(jù)庫服務(wù)器,由于采用制播分離的構(gòu)架進(jìn)行設(shè)計,播出服務(wù)器和制作服務(wù)器分開配置,制作數(shù)據(jù)庫服務(wù)器同樣采用SQL Server 2012軟件自帶的鏡像功能,實現(xiàn)數(shù)據(jù)庫服務(wù)的熱備份。
配置了一組播出音頻服務(wù)器和一組制作音頻服務(wù)器,與數(shù)據(jù)庫服務(wù)器分開管理,專門提供音頻文件的管理和服務(wù)。
配置了兩套獨立存儲陣列,分別為制作和播出陣列,存儲陣列通過SAN交換機(jī)與音頻服務(wù)器相連,每組服務(wù)器使用Windows Server 2012自帶的群集軟件做群集。
配置了兩組應(yīng)用服務(wù)器,分別為制作和播出應(yīng)用服務(wù)器組,每組配置了兩臺服務(wù)器互為備份,應(yīng)用服務(wù)器和音頻服務(wù)器分開部署,可以有效的減少應(yīng)用服務(wù)器的負(fù)載,提高應(yīng)用服務(wù)器和數(shù)據(jù)服務(wù)器交互的效率,提高客戶端查詢數(shù)據(jù)庫的速度。
配置一臺系統(tǒng)監(jiān)測兼防病毒服務(wù)器。該服務(wù)器安裝系統(tǒng)監(jiān)測軟件的服務(wù)器端軟件,用于監(jiān)測系統(tǒng)內(nèi)所有服務(wù)器和站點的運行狀況,包括服務(wù)器和站點的內(nèi)存使用情況、CPU利用率、開關(guān)機(jī)狀況等,還可以監(jiān)測FTP、SQL、應(yīng)用服務(wù)器軟件的可用性,當(dāng)發(fā)現(xiàn)相關(guān)問題的時候,系統(tǒng)會自動報警。
(4)關(guān)于存儲系統(tǒng)
制播網(wǎng)的存儲系統(tǒng)采用SAN網(wǎng)方案,服務(wù)器不直接和存儲陣列連接,分別通過主備兩臺SAN交換機(jī)與陣列連接,這樣系統(tǒng)具備更好的擴(kuò)展性。當(dāng)系統(tǒng)需要擴(kuò)展存儲容量的時候,只需要把新增的陣列連接到SAN交換機(jī)上再做簡單的配置即可。
系統(tǒng)配置了播出、制作兩組存儲陣列組,每組陣列由兩臺陣列構(gòu)成,兩臺陣列之間通過鏡像軟件實現(xiàn)數(shù)據(jù)的鏡像。
制播分離后,系統(tǒng)配置了播出、制作兩組存儲陣列組,每組陣列分別配置了兩臺雙控陣列做為存儲陣列。兩臺陣列之間通過鏡像軟件實現(xiàn)數(shù)據(jù)的鏡像,每臺陣列配置12塊1T SATA磁盤,12塊盤插在陣列上,1塊做冷備盤,1塊做熱備盤,10塊做raid 5,形成8T的可用容量。
(5)關(guān)于網(wǎng)絡(luò)系統(tǒng)的集成
網(wǎng)絡(luò)布線按照結(jié)構(gòu)化布線的原則,采用垂直布線和水平布線兩級結(jié)構(gòu),核心交換機(jī)和樓層交換機(jī)兩級結(jié)構(gòu)。網(wǎng)絡(luò)的主干網(wǎng)采用全光纖連接,所有樓層交換機(jī)和核心交換機(jī)的連接也采用光纖連接,核心交換機(jī)作為整個網(wǎng)絡(luò)的核心,依照《廣播電臺數(shù)字化網(wǎng)絡(luò)化建設(shè)白皮書》的要求,應(yīng)用兩臺核心交換機(jī)。這兩臺核心交換機(jī)互為備份,核心交換機(jī)采用全千兆口的交換,它與樓層交換機(jī)的連接采用千兆光纖口進(jìn)行上行連接。兩臺核心交換機(jī)是通過每臺服務(wù)器上配置的兩塊千兆網(wǎng)卡與服務(wù)器進(jìn)行鏈接,這樣可保證任何一塊網(wǎng)卡或一臺核心交換機(jī)出現(xiàn)故障的時候,所有工作站依然可以訪問服務(wù)器。
在制播網(wǎng)系統(tǒng)中,通過配置安全網(wǎng)閘的方法來完成制播網(wǎng)和綜合辦公網(wǎng)之間的音頻數(shù)據(jù)交換。
為保障網(wǎng)絡(luò)的安全,系統(tǒng)搭建過程中需充分考慮交換機(jī)、服務(wù)器、存儲設(shè)備的冗余備份以及網(wǎng)絡(luò)防入侵的措施。
4.1交換機(jī)冗余備份
核心交換機(jī)的冗余。核心交換機(jī)作為整個網(wǎng)絡(luò)的核心,其安全性很重要,配置的兩臺核心交換機(jī)互為備份的關(guān)系。當(dāng)其中一臺核心交換機(jī)出現(xiàn)故障的時候,所有的站點能通過另外一臺核心交換機(jī)訪問服務(wù)器,從而保證訪問通暢,播出繼續(xù)進(jìn)行。
服務(wù)器網(wǎng)卡的冗余。每臺服務(wù)器都配備四塊千兆網(wǎng)卡,通過所使用的千兆網(wǎng)卡分別和兩臺核心交換機(jī)連接,每臺樓層交換機(jī)也分別通過上行網(wǎng)線同時連接到這兩臺核心交換機(jī)上,以保證任何一塊服務(wù)器網(wǎng)卡出現(xiàn)故障的時候,服務(wù)器能依靠另外一塊網(wǎng)卡保持網(wǎng)絡(luò)的暢通。
樓層交換機(jī)的冗余。每個樓層配置兩臺樓層交換機(jī),每臺交換機(jī)分別連接直播機(jī)房的主備播出站。當(dāng)主播站連接的樓層交換機(jī)失效的時候,備播站依然可以通過和它連接的另一臺樓層交換機(jī)訪問服務(wù)器,保證播出的正常進(jìn)行。
4.2服務(wù)器冗余備份
服務(wù)器除了自身的安全設(shè)計外,重點考慮的是服務(wù)器的冗余備份。
制播網(wǎng)系統(tǒng)的播出服務(wù)器組和制作服務(wù)器組等都實現(xiàn)了雙機(jī)熱備。當(dāng)主服務(wù)器失效的時候,服務(wù)器組將自動切換到備服務(wù)器,由備服務(wù)器對外提供服務(wù)。
數(shù)據(jù)庫服務(wù)器組分別配置了兩臺數(shù)據(jù)庫服務(wù)器,確保了系統(tǒng)對數(shù)據(jù)的安全管理。
域控服務(wù)器也配置了兩臺,任何一臺失效的情況下,另外一臺也能擔(dān)負(fù)起域控的任務(wù)。
應(yīng)用服務(wù)器也配置了兩組,一組兩臺應(yīng)用服務(wù)器以負(fù)載均衡的方式對外提供服務(wù)。如果兩臺服務(wù)器都正常的時候,這兩臺服務(wù)器同時提供對外服務(wù),提高整個系統(tǒng)的性能;如果其中一臺服務(wù)器出現(xiàn)故障,另外一臺還能繼續(xù)對外提供服務(wù),只是性能減半。
4.3存儲的冗余備份
存儲系統(tǒng)是整個系統(tǒng)核心,涉及系統(tǒng)的播出安全及數(shù)據(jù)的安全,為保障存儲系統(tǒng)的安全應(yīng)有以下措施。
(1)系統(tǒng)的SAN存儲網(wǎng)絡(luò)采用兩臺SAN交換機(jī),每組陣列分別連接到這兩臺SAN交換機(jī)上。每臺播出服務(wù)器配置兩塊HBA卡,服務(wù)器通過這兩塊HBA卡分別和這兩臺SAN光纖交換機(jī)連接,可以保障當(dāng)任意一臺SAN交換機(jī)或任意一塊HBA卡失效的時候,服務(wù)器都有路徑可以訪問到播出和制作陣列。
(2)播出、制作分別配置兩臺存儲陣列,兩臺陣列通過鏡像軟件實現(xiàn)陣列數(shù)據(jù)的鏡像,保證數(shù)據(jù)的冗余備份。當(dāng)主陣列失效的時候,系統(tǒng)將自動切換到備陣列,切換時間幾乎為0,不會引起主備服務(wù)器的切換,對用戶的操作、播出沒有任何的影響。
(3)所有陣列組的主陣列都配置了雙控制器。當(dāng)主控制器失效的時候,備控制器將自動接替失效的主控制器繼續(xù)對外提供服務(wù)器,對系統(tǒng)的使用沒有任何影響。
(4)磁盤陣列都具有容錯功能,并具有熱備盤的功能。當(dāng)其中一個磁盤失效的時候,熱備盤能自動接替失效的磁盤,重建raid并維持陣列的完整性,確保陣列的可靠性,不會影響陣列正常工作。
4.3網(wǎng)絡(luò)防入侵措施
為保證播出的安全性,制播網(wǎng)必須運行在物理隔離的獨立網(wǎng)絡(luò)內(nèi),它和辦公網(wǎng)之間是通過安全隔離網(wǎng)閘來進(jìn)行數(shù)據(jù)交換的。辦公網(wǎng)的音頻文件通過安全網(wǎng)閘的時候,傳輸音頻文件將經(jīng)過幀校驗、文件病毒粉碎技術(shù)傳輸校驗后,由非網(wǎng)絡(luò)協(xié)議安全傳輸?shù)絻?nèi)網(wǎng)制作系統(tǒng)。由于制播網(wǎng)和辦公網(wǎng)之間沒有網(wǎng)絡(luò)路徑可以直接聯(lián)通,而且也沒有公開的可用于網(wǎng)絡(luò)協(xié)議可以利用,完全可以有效的防范來自外網(wǎng)的攻擊。而且?guī)r?、文件病毒粉碎技術(shù)的采用,可以有效的防范病毒的傳入和黑客的入侵。
2015年7月30日,內(nèi)蒙古廣播電視臺廣播制播網(wǎng)整體建設(shè)竣工。2015年11月18日,檢測驗收工作完成。2016年5月31日,第一批頻率開播運行至今,網(wǎng)絡(luò)運行安全穩(wěn)定,廣播各部門、各環(huán)節(jié)的工作效率明顯提升,達(dá)到了預(yù)期的構(gòu)想,有力地保障了廣播節(jié)目的安全播出。
審稿人:孫生和內(nèi)蒙古廣播電視臺正高級工程師
責(zé)任編輯:王學(xué)敏
TN946.1
B
2096-0751(2016)08-0016-06
王麗娟內(nèi)蒙古廣播電視臺正高級工程師