淺談廣州地鐵3號線SMC網絡風暴的預防之策

陳 微 鐘敏富

1 網絡風暴

廣播是一個數據包或幀發送到本地網段上每一個節點的傳輸方式。網絡風暴，也叫廣播風暴，是指由于各種原因造成廣播包在網段內大量地被復制并傳播，導致網絡擁塞、性能下降，甚至出現癱瘓狀態的一種網絡現象。網絡風暴一般表現特征為網絡中某個端口流量劇增、網速下降明顯、數據包丟失嚴重、工作站執行程序時明顯變卡、服務器訪問等待時間越來越長甚至無法響應，最終網絡出現癱瘓的狀態。

產生網絡風暴的原因分為以下幾種。

1．網絡設備。網絡設備故障或使用不當會導致網絡風暴的出現，主要有幾種情況：①網線短路或網卡故障，交換機將收到大量不符合分裝原則的數據包，數據無法轉發出去，造成緩存溢出產生丟包，形成網絡風暴；②集線器代替交換機使用時，由于集線器屬于網絡底層設備，采用廣播的形式發送數據，當網絡稍微繁忙時，便可能出現網絡風暴。

2．網絡結構。當網絡中出現第2層環路或第3層環路時，導致目的路徑不明確，造成每一幀都在網絡中重復廣播，從而引起網絡風暴。

3．網絡病毒。只要網絡中任何一臺工作站感染上網絡病毒，就會迅速通過網絡傳播，致使全網內工作站中毒，網絡性能下降，產生網絡風暴。

4．網絡攻擊。一些黑客軟件會對網絡造成攻擊，不斷消耗網絡資源，形成網絡風暴。

2 系統分析

廣州地鐵3號線呈南北 “Y”字形走向，由原3號線和北延段構成，兩段線路的SMC系統采用了不同的結構，本文主要針對網絡風暴的防御能力進行分析，探討在日常維護工作中應采取的相應措施。

2．1 增加防火墻

SMC系統的連接如圖1所示。3號線各車站及車輛段的各類工作站連接到車站交換機，中間經過SDH網絡到達OCC通信設備房，OCC通信設備房的交換機和信號設備房的交換機之間使用防火墻。

抗菌藥說明書［適應癥］不符合抗菌藥說明書撰寫技術指導原則的主要表現有：適應癥沒有按照“本品適用于治療由對本品敏感的XXX、XXX和XXX菌引起的YYY病。”的規范描述；沒有遵循“如果獲得的證據僅僅支持用于較大人群的亞群（例如，疾病輕微的患者或特殊年齡組的患者）應予說明”的規定；沒有遵循“在某些情況下有理由限制適應癥，例如，建議藥品不作為某種感染的一線治療”應予描述的規定；遺漏使用限制的內容。

圖1 3號線SMC系統連接簡圖

在3號線開通之初，信號設備房交換機和通信SDH網絡之間未安裝防火墻，各站點的交換機通過SDH網絡直接與中央交換機相連。因SDH網絡是3號線各系統公用的網絡，除了信號設備外還有許多其他系統的網絡設備也通過它來傳輸信息，因此網絡的安全性較低。還在調試階段，某天SRS工作站突然運行緩慢，發展到整個網絡的網速不斷下降，在本地工作站顯示網絡連接已連上，但維護人員在中心維護工作站Ping各工作站均顯示超時，通過監控軟件發現系統的丟包率嚴重。以上現象確認為是一起網絡風暴引起的故障，最后在SMC系統增加了防火墻，問題得以解決。防火墻的引入使信號系統內部網絡免受其他非法用戶的侵入，建立一個安全的網關，起到隔離作用，能夠有效預防網絡風暴的發生。

2．2 采用VLAN技術

VLAN技術，可將連在同一個交換機上的不同設備屬于不同的網絡，阻止子網之間互相通信，縮小廣播域，減少網絡風暴的影響。因此對3號線SMC系統采用了VLAN技術，將LSMC和DTI劃分在2個不同子網中，使連在同一個交換機上的不同設備屬于不同的網絡，減少每個設備接收的廣播包數量，達到隔離廣播風暴的目的。

3號線北延段于2010年開通，其SMC系統連接如圖2所示。北延段在設計時充分考慮了有效性和可靠性，在接入3號線SMC系統前使用專用和獨立的DCS網絡，整個系統采用千兆光纖進行傳輸，且無需額外增加防火墻，網絡的安全性能大大提高。與3號線相同，北延段也利用了VLAN技術，將不同的設備類型劃分為不同的子網，提高了網絡的性能。

圖2 3號線北延段SMC系統連接簡圖

2．3 雙環冗余設計

北延段將整個網絡劃分為2個環，其中JCB、JCN、GZZ、RHZ、LGZ和DEPOT這幾個區域組成北環，南環則由 YTZ、MHY、JNY、THZ、UTZ、BYB以及JWZ構成。每個環的通信鏈路采用了冗余設計，當一條鏈路中的某個設備故障導致通信受阻時，系統將啟用第二條鏈路進行信息的傳輸。

3 預防措施

獨立網絡、VLAN技術以及雙環冗余設計，使北延段SMC系統對網絡風暴有更強的抵御能力。對于信號系統而言，網絡風暴造成的后果將十分嚴重，在日常維護工作中，應從技術、管理和應急等方面采取相應措施，預防網絡風暴的發生。

3．1 規范作業標準

不斷完善維修規程，要求維護人員在日常工作中嚴格按照標準進行作業，杜絕因作業不規范導致網絡風暴的發生。

1．在制作網線水晶頭后，利用網絡測試儀測試其性能是否完好，避免水晶頭壓制不好造成短路。

2．嚴禁將集線器代替交換機使用，在驗收交換機備件時加強識別。

3．對所有的USB端口、網絡端口進行封堵，并定期排查。

4．做好網絡流量的監控。維護工作站的流量監控軟件實時監測網絡流量的異常變化，當某臺交換機端口流量突然劇增時，維護人員應及時斷開網絡連接并檢查設備性能。

5．做好殺毒防毒工作。在各工作站中都安裝防病毒軟件，定期殺毒及更新病毒庫。

3．2 加強人員培訓

對檢修人員定期培訓交換機、防火墻知識，開展透明式技術比武，以賽代練；同時將技術骨干送外培訓，對防火墻等知識進行深入學習，并在內部組織二次培訓，提高員工的技能及故障搶險能力。

3．3 健全管理制度

以安全生產為基礎，健全網絡安全管理制度，不斷強化紅線意識，要求每位員工對網絡風暴的危害有清醒的認識，嚴禁使用不安全的U盤、光盤或軟盤在SMC系統的工作站上拷貝數據，防止人為因素造成網絡風暴的發生。

3．4 制定應急預案

組織技術骨干編寫SMC網絡風險防控指導書和應急預案，將網絡中可能存在的風險點按影響進行分類，對備件管理、搶修組織、信息匯報等方面制定了詳細的應急預案。有計劃地開展故障演練，當發生網絡風暴時各級人員能夠快速做出反應，及時應對并采取有效措施，保證網絡安全運行。

4 總結

總之，網絡風暴的產生主要是由網絡設備的性能、網絡拓撲結構及網絡安全等因素導致的。信號系統是地鐵運營的關鍵設備，要防患于未然，防止網絡風暴的出現，必須在日常維護工作中從技術、管理及應急等方面加以考慮，才能確保行車的安全與順暢。

［1］ 楊風暴．計算機網絡教程［M］．北京：國防工業出版社，2006

［2］ 廣州地鐵3號線北延段信號系統技術規格書［R］．廣州市地下鐵道總公司，2010（10）．