史骞
摘 要:信息产业高速发展下,数据传输成为了广播电视台工作中的重要环节,现有广播电视工作网络结合了广播制作网、电视非编网、办公网及监控网,对网络要求越来越高。溧阳广播电视台大楼综合布线于2005年完成,内部网络系统已建成使用十多年,设备比较陈旧。当初的网络设计百兆入室,无线信号使用传统路由作桥接,盲区较多,已经不能满足如今信息化高速发展的需求。为了提供一个良好的办公环境,溧阳广播电视台决定对现有的网络进行升级改造。
关键词:VLAN技术;AC管理;无线覆盖;网络升级
1 当前网络现状分析与改造方向
1.1 网络安全的重要性
在网络媒体近些年的大力发展下,网络信息传播和数据传输成为人们生活中必不可少的一种接收外界信息方式,与生活紧密相连息息相关,关系着社会稳定和民族文化发扬。宣传是党的喉舌,在广电领域中网络安全中起着绝对重要的作用,是整个广电网络的基本核心保障。随着全球信息化步伐的加快,宣传变得越来越重要。同时,随着信息技术的深入发展,网络安全也日益严峻,比如利用网络干涉其他国家内政以及大规模网络监控、窃密等行为严重危害到国家政治安全和用户信息安全。建立维护网络安全的长效机制刻不容缓,必须采取足够强的安全保护措施,确保网络信息的安全、完整、可用,营造一个风清气正的网络空间。
1.2 目前网络中遇到的问题
本台网络整体安全性能不够,现有的计算机工作及网络设备需花费大量的人力与时间进行日常的维护管理工作。网络内时常由于受到地址解析协议(Address Resolution Protocol,ARP)攻击,造成网络阻塞,正常应用时断时续。升级网络首先要提高内网的安全性,随着各种网络软件,流媒体、门户网站的投入使用,无纸化办公等致使我们目前所需要生活与工作中的数据带宽不断增加,百兆带宽已基本实现入户。本台外网接入速率为共享100 M带宽,内网为100 M共享带宽,使用范围包括本台大楼、网络公司以及各乡镇广电站共计约200台电脑,共享带宽明显不足。同时由于数字高清监控接入内网后,随着数字高清摄像头数量的增加,网络带宽占用率较高,同时监控网也易受到内网网络环境的影响,录制中出现掉帧黑屏等现象。另外工作需要传输和下载各种节目,尤其在上传FTP服务器时占用的内网带宽较高,现百兆已经完全不能满足现有需求,在不改变布线方式的前提下来升级工作网络已经迫在眉睫。
1.3 合理布局建立新的网络管理模式
合理规划现有网络,使用新的布局方式,中心交换机与各楼层之间的楼层交换机需要进行重新线路铺设,合理利用好现有的资源,整合之前的网络,对新网络上的虚拟子网重新划分,完善网络结构,现有的带宽升级至千兆到楼层,百兆到桌面。
同时为防止病毒及ARP攻击,每台客户端还应安装网络防杀毒软件,遇到病毒爆发时能第一时间从本地先控制病毒蔓延,每台电脑网卡MAC地址与IP绑定,确保在发生网络攻击时能第一时间找到受感染的计算机,从而保证整个网络系统的稳定性、可靠性、安全性。
核心交换机数据量巨大,为保障网络稳定需增加备用核心交换机来组成新的网络,原来的服务器和中心交换机可做备用机,也可以把监控网单独接入,用作独立的监控服务器,与工作网络分开后能更好地管理。当核心交换机发生故障时,能够通过软件自动或手动快速切换到备用交换机上,从而保障网络的正常运行。为防止关键设备故障使得整个网络或部分网络的瘫痪,还需适当增加冗余备份设备。比如增加邮件服务器、路由器、文件服务器、网络管理服务器、防火墙及各种杀毒软件应用软件等,以实现电视台工作流程为导向,实现以先进的计算机和通信技术为主要手段,搭建一个覆盖全单位的自动化办公信息平台。
安装相应的管理软件,使其能对整个局域网及接入局域网的各个子网进行实时监控数据流量值,快速定位网络故障,有效地管理、监控网络运行状况,升级具有网管功能的多层网管型交换机,使得所有接入局域网的可控管理用户既可以根据要求互访,对每个不同部分按用途划分管理权限和数据跟踪,实现数据和资源的共享,遇到非授权用户时也可以根据设置的要求阻止访问,保障安全。
在外网接入前设置防病毒过滤网关。防病毒网关可以检测到外网数据的状态,对进入网络的流量进行有效防护和过滤,将其作为网络接入前的第一道屏障,同时增加一台防火墙,组成主备两个网络。当其中一个网络遇到攻击瘫痪时,可以自动切换至备用网络,使病毒数据包无法进入主网络,手动物理切断也是提高内网的安全性最直接、最有效的方式。目前外网接入的带宽为100 M,已经满足不了整个工作网络的需求,根据溧阳广播电视台未来的应用需要,可考虑网络改造后,将外网连接带宽升级为500 M,内网为千兆。
1.4 网络设备VLAN规划及设置
当前,整个台里的所有网络都整合成了一个网络,这样的网络结构安全性、稳定性都比较差,较容易受到ARP攻击和发生病毒传播现象。其中一个设备一旦中毒,就很容易传播到其他设备上,所以我们必须保障安全划分出多个网络,即其中一个网络中了病毒,很难对其他网络构成威胁。这包括所有交换设备对内网地址的虚拟网络进行重新划分,功能不同分开的网络也不同,其中包括办公网、广播制作网、非编网及监控网。把网络分成5个相对独立的子網,根据不同的要求来进行不同的配置:
(1)办公网172.31.0.2/249为核心交换机(华为S5700-24TP-SI-AC24口千兆交换机3层交换机)子网。交换机网关设置为172.31.0.3,防火墙IP地址设置为172.31.0.4。同时为核心交换机建立路由冗余机制。(2)文稿系统172.31.1.2/50为服务器子网。网关设置为172.31.1.3,各监控摄像头IP设置为172.31.1.4以后。此网段内的计算机都可以共享服务器的信息和共享楼层打印机。(3)非编网192.168.1.0/50为数据源子网。网关设置为192.168.1.3,各客户机IP设置为192.168.1.4以后。非编网主要是无卡非编工作站与有卡非编工作站之间的数据传输,所以对网络带宽要求较高,此网段分配网络带宽不设限制。(4)广播制作网192.168.2.0/50为演练计算机子网,网关设置为192.168.2.3,各客户机IP设置为192.168.2.4以后。主要是外网下载音频文件后通过FTP服务器进行内网入库。(5)监控网192.168.3.0/50为数据终端子网,网关设置为192.168.3.3,各客户机IP设置为192.168.3.4以后,与各网段互联并入一个虚拟网。
通过以上配置,广播、非编、监控、办公等每个独立的工作区域都归属于不同的子网,每个子网的可用地址均保证一定的数量与冗余,可解决各区域因网络节点增加,网络地址不足的问题。把独立工作的网分开相互不干扰不影响,若需要相互数据交换时再建立链接,这样可以防止单一网络内病毒及ARP风暴爆发时影响到其他子网,从而导致病毒传播到整个网络,同时也确保各虚拟网区域内专有数据的安全;独立的访问权限可以防止误操作。区域网络使用3层网管交换机设置访问权限,独立网络区域内部计算机之间的访问不受限制,从而实现了局域网络向多层次、路由型网络结构的转变。新的网络规划里,冗余155个地址给各局域网区域,预留了充足的IP地址空间,并且每台设备使用固定IP于MAC地址绑定统一管理,區域内网络地址便可得到更直接的管理。
当前数据备份策略还不完善,各个服务器权限划分不规范,没能仔细划分用户权限。网络线路布线比较混乱,端口分配不合理。多数线路都是明线,容易误操作形成内网环路而导致网络瘫痪。IP地址管理混乱,目前各计算机的IP地址都是手动修改无统一分配模式,容易导致IP地址冲突。广播制作网、非编网、监控网等各网络交织在一起带来管理上的不便,改造后的网络将把各个VLAN进行划分,每个网络使用独立的网段划分。
改造后整个单位的网络分楼层分别通过不同的汇聚交换机接入核心交换机。网络核心交换机华为的S5700-24TP-SI-AC采用千兆的光纤连接到8台TP-LINK TL-SG1024DT,这样就搭建出一个全千兆的骨干网络,极大地提高了数据交换能力。TP-LINK TL-SG1024DT采用千兆的双绞线连接到每个楼层中的百兆交换机上,再以百兆接入到每个客户端。这次网络系统升级改造就是把整个台里的大局域网划分为多个虚拟子网,每个网段之间是互通的,都由交换机作物理连接,可以互相访问也可以设置权限控制访问,每个用户按使用需求划分到不同的网络中,也可以在每个网段之间设置网络带宽来控制上传下载的数据流量。各专用子网将分别作为独立的VLAN接入,这样可以保证专用网络的独立带宽,保证重要环节的顺畅传输,同时也保证局域网中的信息和局域网中各用户之间的互访。
2 AC管理无线覆盖
目前无线网络是通过无线路由器与各办公室连接,由于无线路由覆盖面小,信号没有连续性,只能在一个固定区域内使用。往往一个楼层有多个办公室便会出现十几个无线路由名称,且设备每次登陆繁琐,离开一个路由范围后不能自动连接到信号强的设备上,需手动切换,体验较差。所以本次改造将增加AC无线管理器,每层楼楼道安装两组瘦AP,把单位的无线网络统一管理,统一名称,实现整幢大楼无线信号无缝切换。
每个楼层使用2个吸顶式瘦AP,安装范围需使得两个AP的信号相互覆盖。通过有线连接至核心交换机的AC管理器,AC管理器的主要作用是负责将来自各不同楼层所有AP的数据汇聚到一台AC管理器上并接入互联网,可以使AP设备无线用户的认证、配置管理、带宽控制、访问设置、接入点设置等管理等功能。这样整个楼层可以做到全方位无线覆盖,并且通过AC管理器可以把所有AP都设置成一个SSID,实现全大楼无线信号自动无缝切换。
3 改造的费用与总结
溧阳广播电视台局域网经过此次改造后安全性和稳定性得到明显改善,此次网络升级改造费用约4.5万元,骨干网络由原先的百兆网升级为千兆网络,每个办公室千兆接入,百兆接出至各客户端。所以,在内网数据传输和外网数据传输上都不存在瓶颈,极大地提高了工作效率,外网接入速率由100 M提高到500 M,并且按楼层平均分配,不再出现部分客户端下载时数据量过大,全网受影响的情况。数字监控网在原先的旧网络里改造,不浪费原先的网络资源。并且,在另一个较为独立的网络系统里,与台局域网分开的监控网络更安全、可靠。经网络安全改造后,部分比较分散在各楼层的小型服务器如广播FTP服务器、非编无卡工作站、监控录像服务器等因为升级后的服务器区域安全性得到极大提高,此部分服务器可统一放置于台统一计算机中心的服务器区域,并且接入UPS提高了访问的安全性,同时方便统一管理。AC无线的加入实现全方位的无线信号覆盖,自动漫游无缝切换功能,极大地方便了无线端设备的上网需求。
[参考文献]
[1]张倩,袁建新,刘福春.无线网络技术在局域网升级改造中的应用[J].海河水利,2009(5):113-114.
[2]邹杨,米兰,谢瑞莎.基于VLAN技术的某局域网改造方法[J].兵工自动化,2015(6):70-74.
[3]刘颖.局域网升级改造分析[J].电子技术与软件工程,2015(5):15.