VLAN在广播电视监测台站信息化建设中的应用

黄吉林

摘   要：文章从网络安全的角度出发，介绍了虚拟局域网技术在基层广播电视监测台站网络规划、风险防范、运行维护等网络信息化建设中的应用，尤其是在减小广播风暴方面发挥的重要作用。文章总结了VLAN实践过程中的心得经验，旨在提供交流参考与借鉴。

关键词：网络安全;VLAN;广播风暴

1    网络安全概述

网络安全是一门前沿新领域，习近平总书记在全国网络安全和信息化工作会议上深刻阐释了网络强国战略思想，随着网络安全法的正式实施，网络安全重要性日益突出。中国国际广播电视信息网络展览会（China Content Broadcasting Network，CCBN）连续几届均开辟专门的网络安全论坛，可见网络安全得到广电业界的高度重视。众所周知，广播电视监测台站业务多样，数据采集量较大，且对实时性要求较高，因此网络通信的稳定可靠至关重要。面对繁多的监测监管系统以及不断扩张的网络规模，如何对网络结构进行综合分析与合理规划，提高网络通信质量，避免网络瘫痪，保证信息系统高效运行，是每一位技术员应该考虑的问题。笔者认为，虚拟局域网（Virtual Local Area Network，VLAN）技术是一种有效手段。

2    VLAN技术要点

2.1  定义

广播风暴[1]是常见的数据洪泛现象，是一种严重的网络故障，主要防治对策应以事前预防为主，而VLAN正是为应对广播风暴而产生的一门技术。VLAN通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的机制，每个逻辑网段是相互独立的广播域。同一个广播域的设备可以相互通信，不同VLAN之间的设备需要经过三层路由来实现通信。通过划分多个VLAN就可以大大缩小广播的范围，达到控制广播风暴、削弱网络干扰的目的。

2.2  划分方式

VLAN通常在三层交换机上实现，具体有5种划分方式，分别为基于端口、基于MAC地址、基于子网IP、基于协议、基于策略。其中，基于交换机端口的划分方式适用于结构相对固定的网络，由于简单高效，它的应用十分广泛。实际工作当中，应当根据具体的业务环境和办公需求来选择划分方式[2-4]。

2.3  优势

合理利用VLAN技术进行网络规划，可以达到事半功倍的效益，这包括但不止于方便归聚同类应用场景、提高网络安全、降低管理与维护成本等，具体来讲，VLAN具有以下优点。

（1）减小广播风暴，降低网络带宽的损耗，提高网络传输速率。（2）控制不同虚拟局域网设备间的访问权限，提高安全性。（3）提高系统健壮性，便于网络故障排查。（4）网络结构灵活清晰，便于管理维护及应用扩展。

3    VLAN在广电监测台中的应用

广播电视监测台拥有数量较多、专业性强的监测信息系统，每一系统通常包含服务器、数据库、存储、通信设备、安全设备等硬件实体，加之监测台安防工程所需的监控系统，整个监测台的联网设备量较多，网络规模较大。若仅利用普通二层交换机将所有内网设备连接起来，广播帧将在整个广播域内泛滥，造成网络带宽和CPU运算能力大量消耗，正常通信丢包率升高，网络性能显著下降。监测台同时下辖地理位置相对分散的监测站和无人值守的远程广播遥控监测前端，这些监测点的设备也需要和监测台本部联网通信。由于监测监管业务本身处于不断发展的过程，分阶段部署使得网络的异构性不断增加，给监测监管业务带来极大隐患。

3.1  基于业务和应用的VLAN规划

监测台业务涵盖广播电视技术监测、视听新媒体监管、节目内容监听监看等，不同业务部门的信息系统有各自独立的设备机房，或共用机房但有各自独立的设备机柜，系统设备上线运行后结构位置相对固定，根据不同业务划分子网较合理。行政部门的设备规模相对较小，可当作一个集合看待。监测台的安防监控网络，基于其特殊的用途考虑，宜将其划分为一个单独子网。为方便规划，将异地技术监测站作为一个单独子网看待。综合以上考虑，本文从业务和应用层面着手，采用基于端口划分的简单高效的VLAN技术。

如图1所示，分布式远程监测前端网络为市县两级结构，可以每个地级市为单位划分子网，市级子网底下可以再划分县级子网，而监测站内部网络的规划类似监测台本部，因原理相同，本文仅对监测台本部的网络规划进行重点讲解。在监测台本部，将广播电视监测部门、新媒体监管部门、节目监管部门、行政办公部门、安防监控系统分别划分为VLAN100，VLAN200，VLAN300，VLAN400，VLAN500子网。每个子网拥有一个汇聚交换机负责统一本局域网的出口，从而构成整体网络的匯聚层。汇聚交换机下连接本局域网的设备，并可以通过下级交换机拓展设备数量，从而构成整体网络的接入层。核心层交换机作为监测台内部的网关交换机，负责不同VLAN间的通信，并与接口路由器连接，从而打通监测台本部和异地监测内网的通信。汇聚层交换机采用华为S5700系列，接入层扩展交换机可以采用华为S3700系列或S5700系列，核心层交换机采用S7700系列。为方便起见，各汇聚层交换机以本部门的拼音字母表示，如GuangBo，下级接入交换机加上数字编号，如GuangBo01，有特殊用途的接入交换机可以另行命名，如WeiXing。交换机上的数字表示相应端口编号。观察图1可知，除了广播电视监测部门，其他子网的结构类似，它们的网关均位于核心层交换机。在广播电视监测部门，由于广播效果评价的需要，卫星采集系统负责提供基准比对节目源，卫星接收机以广播的形式向局域网发送大量的数据帧给卫星采集服务器等主机，若不单独划分一个子网，卫星广播数据将使整个局域网络性能下降甚至瘫痪网络。广播电视监测部门子网VLAN100网关位于核心层交换机，为了与卫星采集子网VLAN101通信，在汇聚层交换机GuangBo设置VLAN100的二级网关192.168.2.2/24以及VLAN101的网关192.168.3.1/24。

当数据帧在本VLAN内部通信时，网络边界是该VLAN的汇聚层交换机，当部门VLAN间需要相互通信时，需经过汇聚层交换机→核心层交换机→汇聚层交换机的路径。由此可见，每一个部门汇聚交换机作为统一出口，整个内网由核心交换机作为统一出口与路由器连接，十分便于维护和管理。当某一IP地址的主机异常时，可以迅速定位到故障部门的故障点，便于排除故障。相关命令可以查阅华为交换机配置文档，本文采用如下的配置思路。

（1）配置核心层交换机作为部门VLAN的网关，实现部门间路由通信，同时配置交换机与接口路由器的通信接口，实现监测台本部内网与异地监测内网间的通信。其中，汇聚层交换机接口为trunk模式，路由器接口为access模式，VLAN600（网关192.168.8.1/24）用于与路由器通信，配置文件核心命令有：ip route-static 192.168.3.0 255.255.255.0 192.168.2.2（配置到卫星采集网络的静态路由），ip route-static 0.0.0.0 255.255.255.0 192.168.8.2（配置缺省路由，实现内网到路由器的访问，假设与核心交换机连接的路由器接口地址为192.168.8.2）。

（2）配置汇聚层交换机和接入层交换机，主要是配置VLAN号和端口模式。其中，汇聚层交换机XinMeiTi，JieMu，XingZheng，JianKong以及接入层交换机WeiXing，GuangBo01，XinMeiTi01，JieMu01，XingZheng01，JianKong01的配置文件类似，较简单此处省略。

（3）由于VLAN100汇聚层交换机GuangBo同时担负内部子网VLAN101的网关，需单独配置。在GuangBo上配置VLAN100的二级网关以及VLAN101的网关，实现VLAN101与VLAN100的通信，配置文件核心命令有：interface vlanif 100， ip address 192.168.2.2 24. interface vlanif 101， ip address 192.168.3.1 24。

3.2  VLAN实践心得

在实际工作当中，通常采用三层交换机而不是路由器来分割广播域，主要有以下几点原因：（1）路由器接口数量少，广播域分割数量受限，无法满足实际需求。（2）三层交换机本质上是带有路由功能的交换机，基于一次路由多次转发机制，比路由器基于三层路由协议分析处理速度快。（3）交换机内部利用专用硬件处理数据帧可实现线速度交换，比基于软件处理的路由器速度快。（4）路由器成本高于三层交换机。路由器一般作为不同类型网络之间连接的网关节点。

根据实际业务和应用需要，可能会出现分割现有网络或是增加新网络的情况，虽然利用VLAN可以灵活地构建网络，但若没有全局统筹把握，往往会适得其反使网络结构复杂化，这一点应引起足够重视。当大数据流纵横交错，一旦发生故障，准确定位并排除故障反而比较困难。

核心层交换机和汇聚层交换机作为网络的重要转发节点，最好采用带宽大性能高的交换机，例如千兆交换机，以免成为整个网络的通信瓶颈。交换机的Access模式仅支持一个VLAN，一般用于设备接口，Trunk模式支持多个VLAN，一般用于交换机之间或交换机和路由器之间的接口。

因为各个虚拟局域网必须要通过核心层网关交换机路由转发方可完成通信，由此为高级安全管控创造了条件。可以在网关处设置访问策略，规定不同部门不同用户之间所能访问的系统资源，也可以采取配置安全协议以及设置防火墙等措施，提高网络安全性。

监测台应加强技术团队建设，注重人员素质培养。网络维护员在进行信息化建设和运行维护的时候，要加强VLAN安全管控，树立正确的安全意识，密切关注网络结构变化。应秉持发展的眼光，定期进行信息系统测评，发现网络漏洞和隐患时及时采取措施。

4    结语

网络安全是监测监管业务顺利开展的重要保障，没有网络安全服务质量就无从谈起。本文介绍了虚拟局域网VLAN技术在监测台网络信息化中的应用，肯定VLAN技术在防范广播风暴、提高网络稳定性、安全性以及组网灵活便捷高效等方面所起作用的同时，也强调了合理统筹规划网络结构、多重网络安全防护、加强技术队伍建设等的重要性。在当前广电数据网多业务并行发展的背景下，借助VLAN能更好地实现精细化管理，全面提升网络技术的应用水平。对VLAN进行改进与完善，应引起广电工程师们的重视。

[参考文献]

[1]郝高麟.广播风暴的预防与排除[J].电信快报，2016（8）：39-43.

[2]胡帅.网络工程中的VLAN技术研究[J].无线互联科技，2017（4）：34-36.

[3]陆树芬.试谈虚拟局域网（VLAN）技术的应用[J].电脑编程技巧与维护，2017（23）：69-70.

[4]龙智勇.虚拟局域网下医院網络安全建设研究[J].科技创新与应用，2018（22）：85-86.

Abstract：From the perspective of network security， this paper introduces the application of VLAN （Virtual Local Area Network） technology in network informatization construction of radio and television monitoring station， such as network planning， risk prevention， operation and maintenance， etc. Especially the important role played in reducing broadcast storm. This paper summarizes the experience gained in the practice of VLAN， aiming at providing reference for exchanging.

Key words：network security; VLAN; broadcast storm