史騫

摘 要：信息產(chǎn)業(yè)高速發(fā)展下，數(shù)據(jù)傳輸成為了廣播電視臺工作中的重要環(huán)節(jié)，現(xiàn)有廣播電視工作網(wǎng)絡結合了廣播制作網(wǎng)、電視非編網(wǎng)、辦公網(wǎng)及監(jiān)控網(wǎng)，對網(wǎng)絡要求越來越高。溧陽廣播電視臺大樓綜合布線于2005年完成，內(nèi)部網(wǎng)絡系統(tǒng)已建成使用十多年，設備比較陳舊。當初的網(wǎng)絡設計百兆入室，無線信號使用傳統(tǒng)路由作橋接，盲區(qū)較多，已經(jīng)不能滿足如今信息化高速發(fā)展的需求。為了提供一個良好的辦公環(huán)境，溧陽廣播電視臺決定對現(xiàn)有的網(wǎng)絡進行升級改造。

關鍵詞：VLAN技術；AC管理；無線覆蓋；網(wǎng)絡升級

1 當前網(wǎng)絡現(xiàn)狀分析與改造方向

1.1 網(wǎng)絡安全的重要性

在網(wǎng)絡媒體近些年的大力發(fā)展下，網(wǎng)絡信息傳播和數(shù)據(jù)傳輸成為人們生活中必不可少的一種接收外界信息方式，與生活緊密相連息息相關，關系著社會穩(wěn)定和民族文化發(fā)揚。宣傳是黨的喉舌，在廣電領域中網(wǎng)絡安全中起著絕對重要的作用，是整個廣電網(wǎng)絡的基本核心保障。隨著全球信息化步伐的加快，宣傳變得越來越重要。同時，隨著信息技術的深入發(fā)展，網(wǎng)絡安全也日益嚴峻，比如利用網(wǎng)絡干涉其他國家內(nèi)政以及大規(guī)模網(wǎng)絡監(jiān)控、竊密等行為嚴重危害到國家政治安全和用戶信息安全。建立維護網(wǎng)絡安全的長效機制刻不容緩，必須采取足夠強的安全保護措施，確保網(wǎng)絡信息的安全、完整、可用，營造一個風清氣正的網(wǎng)絡空間。

1.2 目前網(wǎng)絡中遇到的問題

本臺網(wǎng)絡整體安全性能不夠，現(xiàn)有的計算機工作及網(wǎng)絡設備需花費大量的人力與時間進行日常的維護管理工作。網(wǎng)絡內(nèi)時常由于受到地址解析協(xié)議（Address Resolution Protocol，ARP）攻擊，造成網(wǎng)絡阻塞，正常應用時斷時續(xù)。升級網(wǎng)絡首先要提高內(nèi)網(wǎng)的安全性，隨著各種網(wǎng)絡軟件，流媒體、門戶網(wǎng)站的投入使用，無紙化辦公等致使我們目前所需要生活與工作中的數(shù)據(jù)帶寬不斷增加，百兆帶寬已基本實現(xiàn)入戶。本臺外網(wǎng)接入速率為共享100 M帶寬，內(nèi)網(wǎng)為100 M共享帶寬，使用范圍包括本臺大樓、網(wǎng)絡公司以及各鄉(xiāng)鎮(zhèn)廣電站共計約200臺電腦，共享帶寬明顯不足。同時由于數(shù)字高清監(jiān)控接入內(nèi)網(wǎng)后，隨著數(shù)字高清攝像頭數(shù)量的增加，網(wǎng)絡帶寬占用率較高，同時監(jiān)控網(wǎng)也易受到內(nèi)網(wǎng)網(wǎng)絡環(huán)境的影響，錄制中出現(xiàn)掉幀黑屏等現(xiàn)象。另外工作需要傳輸和下載各種節(jié)目，尤其在上傳FTP服務器時占用的內(nèi)網(wǎng)帶寬較高，現(xiàn)百兆已經(jīng)完全不能滿足現(xiàn)有需求，在不改變布線方式的前提下來升級工作網(wǎng)絡已經(jīng)迫在眉睫。

1.3 合理布局建立新的網(wǎng)絡管理模式

合理規(guī)劃現(xiàn)有網(wǎng)絡，使用新的布局方式，中心交換機與各樓層之間的樓層交換機需要進行重新線路鋪設，合理利用好現(xiàn)有的資源，整合之前的網(wǎng)絡，對新網(wǎng)絡上的虛擬子網(wǎng)重新劃分，完善網(wǎng)絡結構，現(xiàn)有的帶寬升級至千兆到樓層，百兆到桌面。

同時為防止病毒及ARP攻擊，每臺客戶端還應安裝網(wǎng)絡防殺毒軟件，遇到病毒爆發(fā)時能第一時間從本地先控制病毒蔓延，每臺電腦網(wǎng)卡MAC地址與IP綁定，確保在發(fā)生網(wǎng)絡攻擊時能第一時間找到受感染的計算機，從而保證整個網(wǎng)絡系統(tǒng)的穩(wěn)定性、可靠性、安全性。

核心交換機數(shù)據(jù)量巨大，為保障網(wǎng)絡穩(wěn)定需增加備用核心交換機來組成新的網(wǎng)絡，原來的服務器和中心交換機可做備用機，也可以把監(jiān)控網(wǎng)單獨接入，用作獨立的監(jiān)控服務器，與工作網(wǎng)絡分開后能更好地管理。當核心交換機發(fā)生故障時，能夠通過軟件自動或手動快速切換到備用交換機上，從而保障網(wǎng)絡的正常運行。為防止關鍵設備故障使得整個網(wǎng)絡或部分網(wǎng)絡的癱瘓，還需適當增加冗余備份設備。比如增加郵件服務器、路由器、文件服務器、網(wǎng)絡管理服務器、防火墻及各種殺毒軟件應用軟件等，以實現(xiàn)電視臺工作流程為導向，實現(xiàn)以先進的計算機和通信技術為主要手段，搭建一個覆蓋全單位的自動化辦公信息平臺。

安裝相應的管理軟件，使其能對整個局域網(wǎng)及接入局域網(wǎng)的各個子網(wǎng)進行實時監(jiān)控數(shù)據(jù)流量值，快速定位網(wǎng)絡故障，有效地管理、監(jiān)控網(wǎng)絡運行狀況，升級具有網(wǎng)管功能的多層網(wǎng)管型交換機，使得所有接入局域網(wǎng)的可控管理用戶既可以根據(jù)要求互訪，對每個不同部分按用途劃分管理權限和數(shù)據(jù)跟蹤，實現(xiàn)數(shù)據(jù)和資源的共享，遇到非授權用戶時也可以根據(jù)設置的要求阻止訪問，保障安全。

在外網(wǎng)接入前設置防病毒過濾網(wǎng)關。防病毒網(wǎng)關可以檢測到外網(wǎng)數(shù)據(jù)的狀態(tài)，對進入網(wǎng)絡的流量進行有效防護和過濾，將其作為網(wǎng)絡接入前的第一道屏障，同時增加一臺防火墻，組成主備兩個網(wǎng)絡。當其中一個網(wǎng)絡遇到攻擊癱瘓時，可以自動切換至備用網(wǎng)絡，使病毒數(shù)據(jù)包無法進入主網(wǎng)絡，手動物理切斷也是提高內(nèi)網(wǎng)的安全性最直接、最有效的方式。目前外網(wǎng)接入的帶寬為100 M，已經(jīng)滿足不了整個工作網(wǎng)絡的需求，根據(jù)溧陽廣播電視臺未來的應用需要，可考慮網(wǎng)絡改造后，將外網(wǎng)連接帶寬升級為500 M，內(nèi)網(wǎng)為千兆。

1.4 網(wǎng)絡設備VLAN規(guī)劃及設置

當前，整個臺里的所有網(wǎng)絡都整合成了一個網(wǎng)絡，這樣的網(wǎng)絡結構安全性、穩(wěn)定性都比較差，較容易受到ARP攻擊和發(fā)生病毒傳播現(xiàn)象。其中一個設備一旦中毒，就很容易傳播到其他設備上，所以我們必須保障安全劃分出多個網(wǎng)絡，即其中一個網(wǎng)絡中了病毒，很難對其他網(wǎng)絡構成威脅。這包括所有交換設備對內(nèi)網(wǎng)地址的虛擬網(wǎng)絡進行重新劃分，功能不同分開的網(wǎng)絡也不同，其中包括辦公網(wǎng)、廣播制作網(wǎng)、非編網(wǎng)及監(jiān)控網(wǎng)。把網(wǎng)絡分成5個相對獨立的子網(wǎng)，根據(jù)不同的要求來進行不同的配置：

（1）辦公網(wǎng)172.31.0.2/249為核心交換機（華為S5700-24TP-SI-AC24口千兆交換機3層交換機）子網(wǎng)。交換機網(wǎng)關設置為172.31.0.3，防火墻IP地址設置為172.31.0.4。同時為核心交換機建立路由冗余機制。（2）文稿系統(tǒng)172.31.1.2/50為服務器子網(wǎng)。網(wǎng)關設置為172.31.1.3，各監(jiān)控攝像頭IP設置為172.31.1.4以后。此網(wǎng)段內(nèi)的計算機都可以共享服務器的信息和共享樓層打印機。（3）非編網(wǎng)192.168.1.0/50為數(shù)據(jù)源子網(wǎng)。網(wǎng)關設置為192.168.1.3，各客戶機IP設置為192.168.1.4以后。非編網(wǎng)主要是無卡非編工作站與有卡非編工作站之間的數(shù)據(jù)傳輸，所以對網(wǎng)絡帶寬要求較高，此網(wǎng)段分配網(wǎng)絡帶寬不設限制。（4）廣播制作網(wǎng)192.168.2.0/50為演練計算機子網(wǎng)，網(wǎng)關設置為192.168.2.3，各客戶機IP設置為192.168.2.4以后。主要是外網(wǎng)下載音頻文件后通過FTP服務器進行內(nèi)網(wǎng)入庫。（5）監(jiān)控網(wǎng)192.168.3.0/50為數(shù)據(jù)終端子網(wǎng)，網(wǎng)關設置為192.168.3.3，各客戶機IP設置為192.168.3.4以后，與各網(wǎng)段互聯(lián)并入一個虛擬網(wǎng)。

通過以上配置，廣播、非編、監(jiān)控、辦公等每個獨立的工作區(qū)域都歸屬于不同的子網(wǎng)，每個子網(wǎng)的可用地址均保證一定的數(shù)量與冗余，可解決各區(qū)域因網(wǎng)絡節(jié)點增加，網(wǎng)絡地址不足的問題。把獨立工作的網(wǎng)分開相互不干擾不影響，若需要相互數(shù)據(jù)交換時再建立鏈接，這樣可以防止單一網(wǎng)絡內(nèi)病毒及ARP風暴爆發(fā)時影響到其他子網(wǎng)，從而導致病毒傳播到整個網(wǎng)絡，同時也確保各虛擬網(wǎng)區(qū)域內(nèi)專有數(shù)據(jù)的安全；獨立的訪問權限可以防止誤操作。區(qū)域網(wǎng)絡使用3層網(wǎng)管交換機設置訪問權限，獨立網(wǎng)絡區(qū)域內(nèi)部計算機之間的訪問不受限制，從而實現(xiàn)了局域網(wǎng)絡向多層次、路由型網(wǎng)絡結構的轉變。新的網(wǎng)絡規(guī)劃里，冗余155個地址給各局域網(wǎng)區(qū)域，預留了充足的IP地址空間，并且每臺設備使用固定IP于MAC地址綁定統(tǒng)一管理，區(qū)域內(nèi)網(wǎng)絡地址便可得到更直接的管理。

當前數(shù)據(jù)備份策略還不完善，各個服務器權限劃分不規(guī)范，沒能仔細劃分用戶權限。網(wǎng)絡線路布線比較混亂，端口分配不合理。多數(shù)線路都是明線，容易誤操作形成內(nèi)網(wǎng)環(huán)路而導致網(wǎng)絡癱瘓。IP地址管理混亂，目前各計算機的IP地址都是手動修改無統(tǒng)一分配模式，容易導致IP地址沖突。廣播制作網(wǎng)、非編網(wǎng)、監(jiān)控網(wǎng)等各網(wǎng)絡交織在一起帶來管理上的不便，改造后的網(wǎng)絡將把各個VLAN進行劃分，每個網(wǎng)絡使用獨立的網(wǎng)段劃分。

改造后整個單位的網(wǎng)絡分樓層分別通過不同的匯聚交換機接入核心交換機。網(wǎng)絡核心交換機華為的S5700-24TP-SI-AC采用千兆的光纖連接到8臺TP-LINK TL-SG1024DT，這樣就搭建出一個全千兆的骨干網(wǎng)絡，極大地提高了數(shù)據(jù)交換能力。TP-LINK TL-SG1024DT采用千兆的雙絞線連接到每個樓層中的百兆交換機上，再以百兆接入到每個客戶端。這次網(wǎng)絡系統(tǒng)升級改造就是把整個臺里的大局域網(wǎng)劃分為多個虛擬子網(wǎng)，每個網(wǎng)段之間是互通的，都由交換機作物理連接，可以互相訪問也可以設置權限控制訪問，每個用戶按使用需求劃分到不同的網(wǎng)絡中，也可以在每個網(wǎng)段之間設置網(wǎng)絡帶寬來控制上傳下載的數(shù)據(jù)流量。各專用子網(wǎng)將分別作為獨立的VLAN接入，這樣可以保證專用網(wǎng)絡的獨立帶寬，保證重要環(huán)節(jié)的順暢傳輸，同時也保證局域網(wǎng)中的信息和局域網(wǎng)中各用戶之間的互訪。

2 AC管理無線覆蓋

目前無線網(wǎng)絡是通過無線路由器與各辦公室連接，由于無線路由覆蓋面小，信號沒有連續(xù)性，只能在一個固定區(qū)域內(nèi)使用。往往一個樓層有多個辦公室便會出現(xiàn)十幾個無線路由名稱，且設備每次登陸繁瑣，離開一個路由范圍后不能自動連接到信號強的設備上，需手動切換，體驗較差。所以本次改造將增加AC無線管理器，每層樓樓道安裝兩組瘦AP，把單位的無線網(wǎng)絡統(tǒng)一管理，統(tǒng)一名稱，實現(xiàn)整幢大樓無線信號無縫切換。

每個樓層使用2個吸頂式瘦AP，安裝范圍需使得兩個AP的信號相互覆蓋。通過有線連接至核心交換機的AC管理器，AC管理器的主要作用是負責將來自各不同樓層所有AP的數(shù)據(jù)匯聚到一臺AC管理器上并接入互聯(lián)網(wǎng)，可以使AP設備無線用戶的認證、配置管理、帶寬控制、訪問設置、接入點設置等管理等功能。這樣整個樓層可以做到全方位無線覆蓋，并且通過AC管理器可以把所有AP都設置成一個SSID，實現(xiàn)全大樓無線信號自動無縫切換。

3 改造的費用與總結

溧陽廣播電視臺局域網(wǎng)經(jīng)過此次改造后安全性和穩(wěn)定性得到明顯改善，此次網(wǎng)絡升級改造費用約4.5萬元，骨干網(wǎng)絡由原先的百兆網(wǎng)升級為千兆網(wǎng)絡，每個辦公室千兆接入，百兆接出至各客戶端。所以，在內(nèi)網(wǎng)數(shù)據(jù)傳輸和外網(wǎng)數(shù)據(jù)傳輸上都不存在瓶頸，極大地提高了工作效率，外網(wǎng)接入速率由100 M提高到500 M，并且按樓層平均分配，不再出現(xiàn)部分客戶端下載時數(shù)據(jù)量過大，全網(wǎng)受影響的情況。數(shù)字監(jiān)控網(wǎng)在原先的舊網(wǎng)絡里改造，不浪費原先的網(wǎng)絡資源。并且，在另一個較為獨立的網(wǎng)絡系統(tǒng)里，與臺局域網(wǎng)分開的監(jiān)控網(wǎng)絡更安全、可靠。經(jīng)網(wǎng)絡安全改造后，部分比較分散在各樓層的小型服務器如廣播FTP服務器、非編無卡工作站、監(jiān)控錄像服務器等因為升級后的服務器區(qū)域安全性得到極大提高，此部分服務器可統(tǒng)一放置于臺統(tǒng)一計算機中心的服務器區(qū)域，并且接入UPS提高了訪問的安全性，同時方便統(tǒng)一管理。AC無線的加入實現(xiàn)全方位的無線信號覆蓋，自動漫游無縫切換功能，極大地方便了無線端設備的上網(wǎng)需求。

[參考文獻]

[1]張倩，袁建新，劉福春.無線網(wǎng)絡技術在局域網(wǎng)升級改造中的應用[J].海河水利，2009（5）：113-114.

[2]鄒楊，米蘭，謝瑞莎.基于VLAN技術的某局域網(wǎng)改造方法[J].兵工自動化，2015（6）：70-74.

[3]劉穎.局域網(wǎng)升級改造分析[J].電子技術與軟件工程，2015（5）：15.