廣電工作網絡升級及AC無線覆蓋

史騫

摘 要：信息產業高速發展下，數據傳輸成為了廣播電視臺工作中的重要環節，現有廣播電視工作網絡結合了廣播制作網、電視非編網、辦公網及監控網，對網絡要求越來越高。溧陽廣播電視臺大樓綜合布線于2005年完成，內部網絡系統已建成使用十多年，設備比較陳舊。當初的網絡設計百兆入室，無線信號使用傳統路由作橋接，盲區較多，已經不能滿足如今信息化高速發展的需求。為了提供一個良好的辦公環境，溧陽廣播電視臺決定對現有的網絡進行升級改造。

關鍵詞：VLAN技術；AC管理；無線覆蓋；網絡升級

1 當前網絡現狀分析與改造方向

1.1 網絡安全的重要性

在網絡媒體近些年的大力發展下，網絡信息傳播和數據傳輸成為人們生活中必不可少的一種接收外界信息方式，與生活緊密相連息息相關，關系著社會穩定和民族文化發揚。宣傳是黨的喉舌，在廣電領域中網絡安全中起著絕對重要的作用，是整個廣電網絡的基本核心保障。隨著全球信息化步伐的加快，宣傳變得越來越重要。同時，隨著信息技術的深入發展，網絡安全也日益嚴峻，比如利用網絡干涉其他國家內政以及大規模網絡監控、竊密等行為嚴重危害到國家政治安全和用戶信息安全。建立維護網絡安全的長效機制刻不容緩，必須采取足夠強的安全保護措施，確保網絡信息的安全、完整、可用，營造一個風清氣正的網絡空間。

1.2 目前網絡中遇到的問題

本臺網絡整體安全性能不夠，現有的計算機工作及網絡設備需花費大量的人力與時間進行日常的維護管理工作。網絡內時常由于受到地址解析協議（Address Resolution Protocol，ARP）攻擊，造成網絡阻塞，正常應用時斷時續。升級網絡首先要提高內網的安全性，隨著各種網絡軟件，流媒體、門戶網站的投入使用，無紙化辦公等致使我們目前所需要生活與工作中的數據帶寬不斷增加，百兆帶寬已基本實現入戶。本臺外網接入速率為共享100 M帶寬，內網為100 M共享帶寬，使用范圍包括本臺大樓、網絡公司以及各鄉鎮廣電站共計約200臺電腦，共享帶寬明顯不足。同時由于數字高清監控接入內網后，隨著數字高清攝像頭數量的增加，網絡帶寬占用率較高，同時監控網也易受到內網網絡環境的影響，錄制中出現掉幀黑屏等現象。另外工作需要傳輸和下載各種節目，尤其在上傳FTP服務器時占用的內網帶寬較高，現百兆已經完全不能滿足現有需求，在不改變布線方式的前提下來升級工作網絡已經迫在眉睫。

1.3 合理布局建立新的網絡管理模式

合理規劃現有網絡，使用新的布局方式，中心交換機與各樓層之間的樓層交換機需要進行重新線路鋪設，合理利用好現有的資源，整合之前的網絡，對新網絡上的虛擬子網重新劃分，完善網絡結構，現有的帶寬升級至千兆到樓層，百兆到桌面。

同時為防止病毒及ARP攻擊，每臺客戶端還應安裝網絡防殺毒軟件，遇到病毒爆發時能第一時間從本地先控制病毒蔓延，每臺電腦網卡MAC地址與IP綁定，確保在發生網絡攻擊時能第一時間找到受感染的計算機，從而保證整個網絡系統的穩定性、可靠性、安全性。

核心交換機數據量巨大，為保障網絡穩定需增加備用核心交換機來組成新的網絡，原來的服務器和中心交換機可做備用機，也可以把監控網單獨接入，用作獨立的監控服務器，與工作網絡分開后能更好地管理。當核心交換機發生故障時，能夠通過軟件自動或手動快速切換到備用交換機上，從而保障網絡的正常運行。為防止關鍵設備故障使得整個網絡或部分網絡的癱瘓，還需適當增加冗余備份設備。比如增加郵件服務器、路由器、文件服務器、網絡管理服務器、防火墻及各種殺毒軟件應用軟件等，以實現電視臺工作流程為導向，實現以先進的計算機和通信技術為主要手段，搭建一個覆蓋全單位的自動化辦公信息平臺。

安裝相應的管理軟件，使其能對整個局域網及接入局域網的各個子網進行實時監控數據流量值，快速定位網絡故障，有效地管理、監控網絡運行狀況，升級具有網管功能的多層網管型交換機，使得所有接入局域網的可控管理用戶既可以根據要求互訪，對每個不同部分按用途劃分管理權限和數據跟蹤，實現數據和資源的共享，遇到非授權用戶時也可以根據設置的要求阻止訪問，保障安全。

在外網接入前設置防病毒過濾網關。防病毒網關可以檢測到外網數據的狀態，對進入網絡的流量進行有效防護和過濾，將其作為網絡接入前的第一道屏障，同時增加一臺防火墻，組成主備兩個網絡。當其中一個網絡遇到攻擊癱瘓時，可以自動切換至備用網絡，使病毒數據包無法進入主網絡，手動物理切斷也是提高內網的安全性最直接、最有效的方式。目前外網接入的帶寬為100 M，已經滿足不了整個工作網絡的需求，根據溧陽廣播電視臺未來的應用需要，可考慮網絡改造后，將外網連接帶寬升級為500 M，內網為千兆。

1.4 網絡設備VLAN規劃及設置

當前，整個臺里的所有網絡都整合成了一個網絡，這樣的網絡結構安全性、穩定性都比較差，較容易受到ARP攻擊和發生病毒傳播現象。其中一個設備一旦中毒，就很容易傳播到其他設備上，所以我們必須保障安全劃分出多個網絡，即其中一個網絡中了病毒，很難對其他網絡構成威脅。這包括所有交換設備對內網地址的虛擬網絡進行重新劃分，功能不同分開的網絡也不同，其中包括辦公網、廣播制作網、非編網及監控網。把網絡分成5個相對獨立的子網，根據不同的要求來進行不同的配置：

（1）辦公網172.31.0.2/249為核心交換機（華為S5700-24TP-SI-AC24口千兆交換機3層交換機）子網。交換機網關設置為172.31.0.3，防火墻IP地址設置為172.31.0.4。同時為核心交換機建立路由冗余機制。（2）文稿系統172.31.1.2/50為服務器子網。網關設置為172.31.1.3，各監控攝像頭IP設置為172.31.1.4以后。此網段內的計算機都可以共享服務器的信息和共享樓層打印機。（3）非編網192.168.1.0/50為數據源子網。網關設置為192.168.1.3，各客戶機IP設置為192.168.1.4以后。非編網主要是無卡非編工作站與有卡非編工作站之間的數據傳輸，所以對網絡帶寬要求較高，此網段分配網絡帶寬不設限制。（4）廣播制作網192.168.2.0/50為演練計算機子網，網關設置為192.168.2.3，各客戶機IP設置為192.168.2.4以后。主要是外網下載音頻文件后通過FTP服務器進行內網入庫。（5）監控網192.168.3.0/50為數據終端子網，網關設置為192.168.3.3，各客戶機IP設置為192.168.3.4以后，與各網段互聯并入一個虛擬網。

通過以上配置，廣播、非編、監控、辦公等每個獨立的工作區域都歸屬于不同的子網，每個子網的可用地址均保證一定的數量與冗余，可解決各區域因網絡節點增加，網絡地址不足的問題。把獨立工作的網分開相互不干擾不影響，若需要相互數據交換時再建立鏈接，這樣可以防止單一網絡內病毒及ARP風暴爆發時影響到其他子網，從而導致病毒傳播到整個網絡，同時也確保各虛擬網區域內專有數據的安全；獨立的訪問權限可以防止誤操作。區域網絡使用3層網管交換機設置訪問權限，獨立網絡區域內部計算機之間的訪問不受限制，從而實現了局域網絡向多層次、路由型網絡結構的轉變。新的網絡規劃里，冗余155個地址給各局域網區域，預留了充足的IP地址空間，并且每臺設備使用固定IP于MAC地址綁定統一管理，區域內網絡地址便可得到更直接的管理。

當前數據備份策略還不完善，各個服務器權限劃分不規范，沒能仔細劃分用戶權限。網絡線路布線比較混亂，端口分配不合理。多數線路都是明線，容易誤操作形成內網環路而導致網絡癱瘓。IP地址管理混亂，目前各計算機的IP地址都是手動修改無統一分配模式，容易導致IP地址沖突。廣播制作網、非編網、監控網等各網絡交織在一起帶來管理上的不便，改造后的網絡將把各個VLAN進行劃分，每個網絡使用獨立的網段劃分。

改造后整個單位的網絡分樓層分別通過不同的匯聚交換機接入核心交換機。網絡核心交換機華為的S5700-24TP-SI-AC采用千兆的光纖連接到8臺TP-LINK TL-SG1024DT，這樣就搭建出一個全千兆的骨干網絡，極大地提高了數據交換能力。TP-LINK TL-SG1024DT采用千兆的雙絞線連接到每個樓層中的百兆交換機上，再以百兆接入到每個客戶端。這次網絡系統升級改造就是把整個臺里的大局域網劃分為多個虛擬子網，每個網段之間是互通的，都由交換機作物理連接，可以互相訪問也可以設置權限控制訪問，每個用戶按使用需求劃分到不同的網絡中，也可以在每個網段之間設置網絡帶寬來控制上傳下載的數據流量。各專用子網將分別作為獨立的VLAN接入，這樣可以保證專用網絡的獨立帶寬，保證重要環節的順暢傳輸，同時也保證局域網中的信息和局域網中各用戶之間的互訪。

2 AC管理無線覆蓋

目前無線網絡是通過無線路由器與各辦公室連接，由于無線路由覆蓋面小，信號沒有連續性，只能在一個固定區域內使用。往往一個樓層有多個辦公室便會出現十幾個無線路由名稱，且設備每次登陸繁瑣，離開一個路由范圍后不能自動連接到信號強的設備上，需手動切換，體驗較差。所以本次改造將增加AC無線管理器，每層樓樓道安裝兩組瘦AP，把單位的無線網絡統一管理，統一名稱，實現整幢大樓無線信號無縫切換。

每個樓層使用2個吸頂式瘦AP，安裝范圍需使得兩個AP的信號相互覆蓋。通過有線連接至核心交換機的AC管理器，AC管理器的主要作用是負責將來自各不同樓層所有AP的數據匯聚到一臺AC管理器上并接入互聯網，可以使AP設備無線用戶的認證、配置管理、帶寬控制、訪問設置、接入點設置等管理等功能。這樣整個樓層可以做到全方位無線覆蓋，并且通過AC管理器可以把所有AP都設置成一個SSID，實現全大樓無線信號自動無縫切換。

3 改造的費用與總結

溧陽廣播電視臺局域網經過此次改造后安全性和穩定性得到明顯改善，此次網絡升級改造費用約4.5萬元，骨干網絡由原先的百兆網升級為千兆網絡，每個辦公室千兆接入，百兆接出至各客戶端。所以，在內網數據傳輸和外網數據傳輸上都不存在瓶頸，極大地提高了工作效率，外網接入速率由100 M提高到500 M，并且按樓層平均分配，不再出現部分客戶端下載時數據量過大，全網受影響的情況。數字監控網在原先的舊網絡里改造，不浪費原先的網絡資源。并且，在另一個較為獨立的網絡系統里，與臺局域網分開的監控網絡更安全、可靠。經網絡安全改造后，部分比較分散在各樓層的小型服務器如廣播FTP服務器、非編無卡工作站、監控錄像服務器等因為升級后的服務器區域安全性得到極大提高，此部分服務器可統一放置于臺統一計算機中心的服務器區域，并且接入UPS提高了訪問的安全性，同時方便統一管理。AC無線的加入實現全方位的無線信號覆蓋，自動漫游無縫切換功能，極大地方便了無線端設備的上網需求。

[參考文獻]

[1]張倩，袁建新，劉福春.無線網絡技術在局域網升級改造中的應用[J].海河水利，2009（5）：113-114.

[2]鄒楊，米蘭，謝瑞莎.基于VLAN技術的某局域網改造方法[J].兵工自動化，2015（6）：70-74.

[3]劉穎.局域網升級改造分析[J].電子技術與軟件工程，2015（5）：15.