黃吉林

摘? ?要：文章從網(wǎng)絡(luò)安全的角度出發(fā)，介紹了虛擬局域網(wǎng)技術(shù)在基層廣播電視監(jiān)測(cè)臺(tái)站網(wǎng)絡(luò)規(guī)劃、風(fēng)險(xiǎn)防范、運(yùn)行維護(hù)等網(wǎng)絡(luò)信息化建設(shè)中的應(yīng)用，尤其是在減小廣播風(fēng)暴方面發(fā)揮的重要作用。文章總結(jié)了VLAN實(shí)踐過(guò)程中的心得經(jīng)驗(yàn)，旨在提供交流參考與借鑒。

關(guān)鍵詞：網(wǎng)絡(luò)安全;VLAN;廣播風(fēng)暴

1? ? 網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全是一門(mén)前沿新領(lǐng)域，習(xí)近平總書(shū)記在全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上深刻闡釋了網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略思想，隨著網(wǎng)絡(luò)安全法的正式實(shí)施，網(wǎng)絡(luò)安全重要性日益突出。中國(guó)國(guó)際廣播電視信息網(wǎng)絡(luò)展覽會(huì)（China Content Broadcasting Network，CCBN）連續(xù)幾屆均開(kāi)辟專門(mén)的網(wǎng)絡(luò)安全論壇，可見(jiàn)網(wǎng)絡(luò)安全得到廣電業(yè)界的高度重視。眾所周知，廣播電視監(jiān)測(cè)臺(tái)站業(yè)務(wù)多樣，數(shù)據(jù)采集量較大，且對(duì)實(shí)時(shí)性要求較高，因此網(wǎng)絡(luò)通信的穩(wěn)定可靠至關(guān)重要。面對(duì)繁多的監(jiān)測(cè)監(jiān)管系統(tǒng)以及不斷擴(kuò)張的網(wǎng)絡(luò)規(guī)模，如何對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行綜合分析與合理規(guī)劃，提高網(wǎng)絡(luò)通信質(zhì)量，避免網(wǎng)絡(luò)癱瘓，保證信息系統(tǒng)高效運(yùn)行，是每一位技術(shù)員應(yīng)該考慮的問(wèn)題。筆者認(rèn)為，虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）技術(shù)是一種有效手段。

2? ? VLAN技術(shù)要點(diǎn)

2.1? 定義

廣播風(fēng)暴[1]是常見(jiàn)的數(shù)據(jù)洪泛現(xiàn)象，是一種嚴(yán)重的網(wǎng)絡(luò)故障，主要防治對(duì)策應(yīng)以事前預(yù)防為主，而VLAN正是為應(yīng)對(duì)廣播風(fēng)暴而產(chǎn)生的一門(mén)技術(shù)。VLAN通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的機(jī)制，每個(gè)邏輯網(wǎng)段是相互獨(dú)立的廣播域。同一個(gè)廣播域的設(shè)備可以相互通信，不同VLAN之間的設(shè)備需要經(jīng)過(guò)三層路由來(lái)實(shí)現(xiàn)通信。通過(guò)劃分多個(gè)VLAN就可以大大縮小廣播的范圍，達(dá)到控制廣播風(fēng)暴、削弱網(wǎng)絡(luò)干擾的目的。

2.2? 劃分方式

VLAN通常在三層交換機(jī)上實(shí)現(xiàn)，具體有5種劃分方式，分別為基于端口、基于MAC地址、基于子網(wǎng)IP、基于協(xié)議、基于策略。其中，基于交換機(jī)端口的劃分方式適用于結(jié)構(gòu)相對(duì)固定的網(wǎng)絡(luò)，由于簡(jiǎn)單高效，它的應(yīng)用十分廣泛。實(shí)際工作當(dāng)中，應(yīng)當(dāng)根據(jù)具體的業(yè)務(wù)環(huán)境和辦公需求來(lái)選擇劃分方式[2-4]。

2.3? 優(yōu)勢(shì)

合理利用VLAN技術(shù)進(jìn)行網(wǎng)絡(luò)規(guī)劃，可以達(dá)到事半功倍的效益，這包括但不止于方便歸聚同類(lèi)應(yīng)用場(chǎng)景、提高網(wǎng)絡(luò)安全、降低管理與維護(hù)成本等，具體來(lái)講，VLAN具有以下優(yōu)點(diǎn)。

（1）減小廣播風(fēng)暴，降低網(wǎng)絡(luò)帶寬的損耗，提高網(wǎng)絡(luò)傳輸速率。（2）控制不同虛擬局域網(wǎng)設(shè)備間的訪問(wèn)權(quán)限，提高安全性。（3）提高系統(tǒng)健壯性，便于網(wǎng)絡(luò)故障排查。（4）網(wǎng)絡(luò)結(jié)構(gòu)靈活清晰，便于管理維護(hù)及應(yīng)用擴(kuò)展。

3? ? VLAN在廣電監(jiān)測(cè)臺(tái)中的應(yīng)用

廣播電視監(jiān)測(cè)臺(tái)擁有數(shù)量較多、專業(yè)性強(qiáng)的監(jiān)測(cè)信息系統(tǒng)，每一系統(tǒng)通常包含服務(wù)器、數(shù)據(jù)庫(kù)、存儲(chǔ)、通信設(shè)備、安全設(shè)備等硬件實(shí)體，加之監(jiān)測(cè)臺(tái)安防工程所需的監(jiān)控系統(tǒng)，整個(gè)監(jiān)測(cè)臺(tái)的聯(lián)網(wǎng)設(shè)備量較多，網(wǎng)絡(luò)規(guī)模較大。若僅利用普通二層交換機(jī)將所有內(nèi)網(wǎng)設(shè)備連接起來(lái)，廣播幀將在整個(gè)廣播域內(nèi)泛濫，造成網(wǎng)絡(luò)帶寬和CPU運(yùn)算能力大量消耗，正常通信丟包率升高，網(wǎng)絡(luò)性能顯著下降。監(jiān)測(cè)臺(tái)同時(shí)下轄地理位置相對(duì)分散的監(jiān)測(cè)站和無(wú)人值守的遠(yuǎn)程廣播遙控監(jiān)測(cè)前端，這些監(jiān)測(cè)點(diǎn)的設(shè)備也需要和監(jiān)測(cè)臺(tái)本部聯(lián)網(wǎng)通信。由于監(jiān)測(cè)監(jiān)管業(yè)務(wù)本身處于不斷發(fā)展的過(guò)程，分階段部署使得網(wǎng)絡(luò)的異構(gòu)性不斷增加，給監(jiān)測(cè)監(jiān)管業(yè)務(wù)帶來(lái)極大隱患。

3.1? 基于業(yè)務(wù)和應(yīng)用的VLAN規(guī)劃

監(jiān)測(cè)臺(tái)業(yè)務(wù)涵蓋廣播電視技術(shù)監(jiān)測(cè)、視聽(tīng)新媒體監(jiān)管、節(jié)目?jī)?nèi)容監(jiān)聽(tīng)監(jiān)看等，不同業(yè)務(wù)部門(mén)的信息系統(tǒng)有各自獨(dú)立的設(shè)備機(jī)房，或共用機(jī)房但有各自獨(dú)立的設(shè)備機(jī)柜，系統(tǒng)設(shè)備上線運(yùn)行后結(jié)構(gòu)位置相對(duì)固定，根據(jù)不同業(yè)務(wù)劃分子網(wǎng)較合理。行政部門(mén)的設(shè)備規(guī)模相對(duì)較小，可當(dāng)作一個(gè)集合看待。監(jiān)測(cè)臺(tái)的安防監(jiān)控網(wǎng)絡(luò)，基于其特殊的用途考慮，宜將其劃分為一個(gè)單獨(dú)子網(wǎng)。為方便規(guī)劃，將異地技術(shù)監(jiān)測(cè)站作為一個(gè)單獨(dú)子網(wǎng)看待。綜合以上考慮，本文從業(yè)務(wù)和應(yīng)用層面著手，采用基于端口劃分的簡(jiǎn)單高效的VLAN技術(shù)。

如圖1所示，分布式遠(yuǎn)程監(jiān)測(cè)前端網(wǎng)絡(luò)為市縣兩級(jí)結(jié)構(gòu)，可以每個(gè)地級(jí)市為單位劃分子網(wǎng)，市級(jí)子網(wǎng)底下可以再劃分縣級(jí)子網(wǎng)，而監(jiān)測(cè)站內(nèi)部網(wǎng)絡(luò)的規(guī)劃類(lèi)似監(jiān)測(cè)臺(tái)本部，因原理相同，本文僅對(duì)監(jiān)測(cè)臺(tái)本部的網(wǎng)絡(luò)規(guī)劃進(jìn)行重點(diǎn)講解。在監(jiān)測(cè)臺(tái)本部，將廣播電視監(jiān)測(cè)部門(mén)、新媒體監(jiān)管部門(mén)、節(jié)目監(jiān)管部門(mén)、行政辦公部門(mén)、安防監(jiān)控系統(tǒng)分別劃分為VLAN100，VLAN200，VLAN300，VLAN400，VLAN500子網(wǎng)。每個(gè)子網(wǎng)擁有一個(gè)匯聚交換機(jī)負(fù)責(zé)統(tǒng)一本局域網(wǎng)的出口，從而構(gòu)成整體網(wǎng)絡(luò)的匯聚層。匯聚交換機(jī)下連接本局域網(wǎng)的設(shè)備，并可以通過(guò)下級(jí)交換機(jī)拓展設(shè)備數(shù)量，從而構(gòu)成整體網(wǎng)絡(luò)的接入層。核心層交換機(jī)作為監(jiān)測(cè)臺(tái)內(nèi)部的網(wǎng)關(guān)交換機(jī)，負(fù)責(zé)不同VLAN間的通信，并與接口路由器連接，從而打通監(jiān)測(cè)臺(tái)本部和異地監(jiān)測(cè)內(nèi)網(wǎng)的通信。匯聚層交換機(jī)采用華為S5700系列，接入層擴(kuò)展交換機(jī)可以采用華為S3700系列或S5700系列，核心層交換機(jī)采用S7700系列。為方便起見(jiàn)，各匯聚層交換機(jī)以本部門(mén)的拼音字母表示，如GuangBo，下級(jí)接入交換機(jī)加上數(shù)字編號(hào)，如GuangBo01，有特殊用途的接入交換機(jī)可以另行命名，如WeiXing。交換機(jī)上的數(shù)字表示相應(yīng)端口編號(hào)。觀察圖1可知，除了廣播電視監(jiān)測(cè)部門(mén)，其他子網(wǎng)的結(jié)構(gòu)類(lèi)似，它們的網(wǎng)關(guān)均位于核心層交換機(jī)。在廣播電視監(jiān)測(cè)部門(mén)，由于廣播效果評(píng)價(jià)的需要，衛(wèi)星采集系統(tǒng)負(fù)責(zé)提供基準(zhǔn)比對(duì)節(jié)目源，衛(wèi)星接收機(jī)以廣播的形式向局域網(wǎng)發(fā)送大量的數(shù)據(jù)幀給衛(wèi)星采集服務(wù)器等主機(jī)，若不單獨(dú)劃分一個(gè)子網(wǎng)，衛(wèi)星廣播數(shù)據(jù)將使整個(gè)局域網(wǎng)絡(luò)性能下降甚至癱瘓網(wǎng)絡(luò)。廣播電視監(jiān)測(cè)部門(mén)子網(wǎng)VLAN100網(wǎng)關(guān)位于核心層交換機(jī)，為了與衛(wèi)星采集子網(wǎng)VLAN101通信，在匯聚層交換機(jī)GuangBo設(shè)置VLAN100的二級(jí)網(wǎng)關(guān)192.168.2.2/24以及VLAN101的網(wǎng)關(guān)192.168.3.1/24。

當(dāng)數(shù)據(jù)幀在本VLAN內(nèi)部通信時(shí)，網(wǎng)絡(luò)邊界是該VLAN的匯聚層交換機(jī)，當(dāng)部門(mén)VLAN間需要相互通信時(shí)，需經(jīng)過(guò)匯聚層交換機(jī)→核心層交換機(jī)→匯聚層交換機(jī)的路徑。由此可見(jiàn)，每一個(gè)部門(mén)匯聚交換機(jī)作為統(tǒng)一出口，整個(gè)內(nèi)網(wǎng)由核心交換機(jī)作為統(tǒng)一出口與路由器連接，十分便于維護(hù)和管理。當(dāng)某一IP地址的主機(jī)異常時(shí)，可以迅速定位到故障部門(mén)的故障點(diǎn)，便于排除故障。相關(guān)命令可以查閱華為交換機(jī)配置文檔，本文采用如下的配置思路。

（1）配置核心層交換機(jī)作為部門(mén)VLAN的網(wǎng)關(guān)，實(shí)現(xiàn)部門(mén)間路由通信，同時(shí)配置交換機(jī)與接口路由器的通信接口，實(shí)現(xiàn)監(jiān)測(cè)臺(tái)本部?jī)?nèi)網(wǎng)與異地監(jiān)測(cè)內(nèi)網(wǎng)間的通信。其中，匯聚層交換機(jī)接口為trunk模式，路由器接口為access模式，VLAN600（網(wǎng)關(guān)192.168.8.1/24）用于與路由器通信，配置文件核心命令有：ip route-static 192.168.3.0 255.255.255.0 192.168.2.2（配置到衛(wèi)星采集網(wǎng)絡(luò)的靜態(tài)路由），ip route-static 0.0.0.0 255.255.255.0 192.168.8.2（配置缺省路由，實(shí)現(xiàn)內(nèi)網(wǎng)到路由器的訪問(wèn)，假設(shè)與核心交換機(jī)連接的路由器接口地址為192.168.8.2）。

（2）配置匯聚層交換機(jī)和接入層交換機(jī)，主要是配置VLAN號(hào)和端口模式。其中，匯聚層交換機(jī)XinMeiTi，JieMu，XingZheng，JianKong以及接入層交換機(jī)WeiXing，GuangBo01，XinMeiTi01，JieMu01，XingZheng01，JianKong01的配置文件類(lèi)似，較簡(jiǎn)單此處省略。

（3）由于VLAN100匯聚層交換機(jī)GuangBo同時(shí)擔(dān)負(fù)內(nèi)部子網(wǎng)VLAN101的網(wǎng)關(guān)，需單獨(dú)配置。在GuangBo上配置VLAN100的二級(jí)網(wǎng)關(guān)以及VLAN101的網(wǎng)關(guān)，實(shí)現(xiàn)VLAN101與VLAN100的通信，配置文件核心命令有：interface vlanif 100， ip address 192.168.2.2 24. interface vlanif 101， ip address 192.168.3.1 24。

3.2? VLAN實(shí)踐心得

在實(shí)際工作當(dāng)中，通常采用三層交換機(jī)而不是路由器來(lái)分割廣播域，主要有以下幾點(diǎn)原因：（1）路由器接口數(shù)量少，廣播域分割數(shù)量受限，無(wú)法滿足實(shí)際需求。（2）三層交換機(jī)本質(zhì)上是帶有路由功能的交換機(jī)，基于一次路由多次轉(zhuǎn)發(fā)機(jī)制，比路由器基于三層路由協(xié)議分析處理速度快。（3）交換機(jī)內(nèi)部利用專用硬件處理數(shù)據(jù)幀可實(shí)現(xiàn)線速度交換，比基于軟件處理的路由器速度快。（4）路由器成本高于三層交換機(jī)。路由器一般作為不同類(lèi)型網(wǎng)絡(luò)之間連接的網(wǎng)關(guān)節(jié)點(diǎn)。

根據(jù)實(shí)際業(yè)務(wù)和應(yīng)用需要，可能會(huì)出現(xiàn)分割現(xiàn)有網(wǎng)絡(luò)或是增加新網(wǎng)絡(luò)的情況，雖然利用VLAN可以靈活地構(gòu)建網(wǎng)絡(luò)，但若沒(méi)有全局統(tǒng)籌把握，往往會(huì)適得其反使網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化，這一點(diǎn)應(yīng)引起足夠重視。當(dāng)大數(shù)據(jù)流縱橫交錯(cuò)，一旦發(fā)生故障，準(zhǔn)確定位并排除故障反而比較困難。

核心層交換機(jī)和匯聚層交換機(jī)作為網(wǎng)絡(luò)的重要轉(zhuǎn)發(fā)節(jié)點(diǎn)，最好采用帶寬大性能高的交換機(jī)，例如千兆交換機(jī)，以免成為整個(gè)網(wǎng)絡(luò)的通信瓶頸。交換機(jī)的Access模式僅支持一個(gè)VLAN，一般用于設(shè)備接口，Trunk模式支持多個(gè)VLAN，一般用于交換機(jī)之間或交換機(jī)和路由器之間的接口。

因?yàn)楦鱾€(gè)虛擬局域網(wǎng)必須要通過(guò)核心層網(wǎng)關(guān)交換機(jī)路由轉(zhuǎn)發(fā)方可完成通信，由此為高級(jí)安全管控創(chuàng)造了條件。可以在網(wǎng)關(guān)處設(shè)置訪問(wèn)策略，規(guī)定不同部門(mén)不同用戶之間所能訪問(wèn)的系統(tǒng)資源，也可以采取配置安全協(xié)議以及設(shè)置防火墻等措施，提高網(wǎng)絡(luò)安全性。

監(jiān)測(cè)臺(tái)應(yīng)加強(qiáng)技術(shù)團(tuán)隊(duì)建設(shè)，注重人員素質(zhì)培養(yǎng)。網(wǎng)絡(luò)維護(hù)員在進(jìn)行信息化建設(shè)和運(yùn)行維護(hù)的時(shí)候，要加強(qiáng)VLAN安全管控，樹(shù)立正確的安全意識(shí)，密切關(guān)注網(wǎng)絡(luò)結(jié)構(gòu)變化。應(yīng)秉持發(fā)展的眼光，定期進(jìn)行信息系統(tǒng)測(cè)評(píng)，發(fā)現(xiàn)網(wǎng)絡(luò)漏洞和隱患時(shí)及時(shí)采取措施。

4? ? 結(jié)語(yǔ)

網(wǎng)絡(luò)安全是監(jiān)測(cè)監(jiān)管業(yè)務(wù)順利開(kāi)展的重要保障，沒(méi)有網(wǎng)絡(luò)安全服務(wù)質(zhì)量就無(wú)從談起。本文介紹了虛擬局域網(wǎng)VLAN技術(shù)在監(jiān)測(cè)臺(tái)網(wǎng)絡(luò)信息化中的應(yīng)用，肯定VLAN技術(shù)在防范廣播風(fēng)暴、提高網(wǎng)絡(luò)穩(wěn)定性、安全性以及組網(wǎng)靈活便捷高效等方面所起作用的同時(shí)，也強(qiáng)調(diào)了合理統(tǒng)籌規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)、多重網(wǎng)絡(luò)安全防護(hù)、加強(qiáng)技術(shù)隊(duì)伍建設(shè)等的重要性。在當(dāng)前廣電數(shù)據(jù)網(wǎng)多業(yè)務(wù)并行發(fā)展的背景下，借助VLAN能更好地實(shí)現(xiàn)精細(xì)化管理，全面提升網(wǎng)絡(luò)技術(shù)的應(yīng)用水平。對(duì)VLAN進(jìn)行改進(jìn)與完善，應(yīng)引起廣電工程師們的重視。

[參考文獻(xiàn)]

[1]郝高麟.廣播風(fēng)暴的預(yù)防與排除[J].電信快報(bào)，2016（8）：39-43.

[2]胡帥.網(wǎng)絡(luò)工程中的VLAN技術(shù)研究[J].無(wú)線互聯(lián)科技，2017（4）：34-36.

[3]陸樹(shù)芬.試談虛擬局域網(wǎng)（VLAN）技術(shù)的應(yīng)用[J].電腦編程技巧與維護(hù)，2017（23）：69-70.

[4]龍智勇.虛擬局域網(wǎng)下醫(yī)院網(wǎng)絡(luò)安全建設(shè)研究[J].科技創(chuàng)新與應(yīng)用，2018（22）：85-86.

Abstract：From the perspective of network security， this paper introduces the application of VLAN （Virtual Local Area Network） technology in network informatization construction of radio and television monitoring station， such as network planning， risk prevention， operation and maintenance， etc. Especially the important role played in reducing broadcast storm. This paper summarizes the experience gained in the practice of VLAN， aiming at providing reference for exchanging.

Key words：network security; VLAN; broadcast storm