VLAN在廣播電視監測臺站信息化建設中的應用

黃吉林

摘? ?要：文章從網絡安全的角度出發，介紹了虛擬局域網技術在基層廣播電視監測臺站網絡規劃、風險防范、運行維護等網絡信息化建設中的應用，尤其是在減小廣播風暴方面發揮的重要作用。文章總結了VLAN實踐過程中的心得經驗，旨在提供交流參考與借鑒。

關鍵詞：網絡安全;VLAN;廣播風暴

1? ? 網絡安全概述

網絡安全是一門前沿新領域，習近平總書記在全國網絡安全和信息化工作會議上深刻闡釋了網絡強國戰略思想，隨著網絡安全法的正式實施，網絡安全重要性日益突出。中國國際廣播電視信息網絡展覽會（China Content Broadcasting Network，CCBN）連續幾屆均開辟專門的網絡安全論壇，可見網絡安全得到廣電業界的高度重視。眾所周知，廣播電視監測臺站業務多樣，數據采集量較大，且對實時性要求較高，因此網絡通信的穩定可靠至關重要。面對繁多的監測監管系統以及不斷擴張的網絡規模，如何對網絡結構進行綜合分析與合理規劃，提高網絡通信質量，避免網絡癱瘓，保證信息系統高效運行，是每一位技術員應該考慮的問題。筆者認為，虛擬局域網（Virtual Local Area Network，VLAN）技術是一種有效手段。

2? ? VLAN技術要點

2.1? 定義

廣播風暴[1]是常見的數據洪泛現象，是一種嚴重的網絡故障，主要防治對策應以事前預防為主，而VLAN正是為應對廣播風暴而產生的一門技術。VLAN通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的機制，每個邏輯網段是相互獨立的廣播域。同一個廣播域的設備可以相互通信，不同VLAN之間的設備需要經過三層路由來實現通信。通過劃分多個VLAN就可以大大縮小廣播的范圍，達到控制廣播風暴、削弱網絡干擾的目的。

2.2? 劃分方式

VLAN通常在三層交換機上實現，具體有5種劃分方式，分別為基于端口、基于MAC地址、基于子網IP、基于協議、基于策略。其中，基于交換機端口的劃分方式適用于結構相對固定的網絡，由于簡單高效，它的應用十分廣泛。實際工作當中，應當根據具體的業務環境和辦公需求來選擇劃分方式[2-4]。

2.3? 優勢

合理利用VLAN技術進行網絡規劃，可以達到事半功倍的效益，這包括但不止于方便歸聚同類應用場景、提高網絡安全、降低管理與維護成本等，具體來講，VLAN具有以下優點。

（1）減小廣播風暴，降低網絡帶寬的損耗，提高網絡傳輸速率。（2）控制不同虛擬局域網設備間的訪問權限，提高安全性。（3）提高系統健壯性，便于網絡故障排查。（4）網絡結構靈活清晰，便于管理維護及應用擴展。

3? ? VLAN在廣電監測臺中的應用

廣播電視監測臺擁有數量較多、專業性強的監測信息系統，每一系統通常包含服務器、數據庫、存儲、通信設備、安全設備等硬件實體，加之監測臺安防工程所需的監控系統，整個監測臺的聯網設備量較多，網絡規模較大。若僅利用普通二層交換機將所有內網設備連接起來，廣播幀將在整個廣播域內泛濫，造成網絡帶寬和CPU運算能力大量消耗，正常通信丟包率升高，網絡性能顯著下降。監測臺同時下轄地理位置相對分散的監測站和無人值守的遠程廣播遙控監測前端，這些監測點的設備也需要和監測臺本部聯網通信。由于監測監管業務本身處于不斷發展的過程，分階段部署使得網絡的異構性不斷增加，給監測監管業務帶來極大隱患。

3.1? 基于業務和應用的VLAN規劃

監測臺業務涵蓋廣播電視技術監測、視聽新媒體監管、節目內容監聽監看等，不同業務部門的信息系統有各自獨立的設備機房，或共用機房但有各自獨立的設備機柜，系統設備上線運行后結構位置相對固定，根據不同業務劃分子網較合理。行政部門的設備規模相對較小，可當作一個集合看待。監測臺的安防監控網絡，基于其特殊的用途考慮，宜將其劃分為一個單獨子網。為方便規劃，將異地技術監測站作為一個單獨子網看待。綜合以上考慮，本文從業務和應用層面著手，采用基于端口劃分的簡單高效的VLAN技術。

如圖1所示，分布式遠程監測前端網絡為市縣兩級結構，可以每個地級市為單位劃分子網，市級子網底下可以再劃分縣級子網，而監測站內部網絡的規劃類似監測臺本部，因原理相同，本文僅對監測臺本部的網絡規劃進行重點講解。在監測臺本部，將廣播電視監測部門、新媒體監管部門、節目監管部門、行政辦公部門、安防監控系統分別劃分為VLAN100，VLAN200，VLAN300，VLAN400，VLAN500子網。每個子網擁有一個匯聚交換機負責統一本局域網的出口，從而構成整體網絡的匯聚層。匯聚交換機下連接本局域網的設備，并可以通過下級交換機拓展設備數量，從而構成整體網絡的接入層。核心層交換機作為監測臺內部的網關交換機，負責不同VLAN間的通信，并與接口路由器連接，從而打通監測臺本部和異地監測內網的通信。匯聚層交換機采用華為S5700系列，接入層擴展交換機可以采用華為S3700系列或S5700系列，核心層交換機采用S7700系列。為方便起見，各匯聚層交換機以本部門的拼音字母表示，如GuangBo，下級接入交換機加上數字編號，如GuangBo01，有特殊用途的接入交換機可以另行命名，如WeiXing。交換機上的數字表示相應端口編號。觀察圖1可知，除了廣播電視監測部門，其他子網的結構類似，它們的網關均位于核心層交換機。在廣播電視監測部門，由于廣播效果評價的需要，衛星采集系統負責提供基準比對節目源，衛星接收機以廣播的形式向局域網發送大量的數據幀給衛星采集服務器等主機，若不單獨劃分一個子網，衛星廣播數據將使整個局域網絡性能下降甚至癱瘓網絡。廣播電視監測部門子網VLAN100網關位于核心層交換機，為了與衛星采集子網VLAN101通信，在匯聚層交換機GuangBo設置VLAN100的二級網關192.168.2.2/24以及VLAN101的網關192.168.3.1/24。

當數據幀在本VLAN內部通信時，網絡邊界是該VLAN的匯聚層交換機，當部門VLAN間需要相互通信時，需經過匯聚層交換機→核心層交換機→匯聚層交換機的路徑。由此可見，每一個部門匯聚交換機作為統一出口，整個內網由核心交換機作為統一出口與路由器連接，十分便于維護和管理。當某一IP地址的主機異常時，可以迅速定位到故障部門的故障點，便于排除故障。相關命令可以查閱華為交換機配置文檔，本文采用如下的配置思路。

（1）配置核心層交換機作為部門VLAN的網關，實現部門間路由通信，同時配置交換機與接口路由器的通信接口，實現監測臺本部內網與異地監測內網間的通信。其中，匯聚層交換機接口為trunk模式，路由器接口為access模式，VLAN600（網關192.168.8.1/24）用于與路由器通信，配置文件核心命令有：ip route-static 192.168.3.0 255.255.255.0 192.168.2.2（配置到衛星采集網絡的靜態路由），ip route-static 0.0.0.0 255.255.255.0 192.168.8.2（配置缺省路由，實現內網到路由器的訪問，假設與核心交換機連接的路由器接口地址為192.168.8.2）。

（2）配置匯聚層交換機和接入層交換機，主要是配置VLAN號和端口模式。其中，匯聚層交換機XinMeiTi，JieMu，XingZheng，JianKong以及接入層交換機WeiXing，GuangBo01，XinMeiTi01，JieMu01，XingZheng01，JianKong01的配置文件類似，較簡單此處省略。

（3）由于VLAN100匯聚層交換機GuangBo同時擔負內部子網VLAN101的網關，需單獨配置。在GuangBo上配置VLAN100的二級網關以及VLAN101的網關，實現VLAN101與VLAN100的通信，配置文件核心命令有：interface vlanif 100， ip address 192.168.2.2 24. interface vlanif 101， ip address 192.168.3.1 24。

3.2? VLAN實踐心得

在實際工作當中，通常采用三層交換機而不是路由器來分割廣播域，主要有以下幾點原因：（1）路由器接口數量少，廣播域分割數量受限，無法滿足實際需求。（2）三層交換機本質上是帶有路由功能的交換機，基于一次路由多次轉發機制，比路由器基于三層路由協議分析處理速度快。（3）交換機內部利用專用硬件處理數據幀可實現線速度交換，比基于軟件處理的路由器速度快。（4）路由器成本高于三層交換機。路由器一般作為不同類型網絡之間連接的網關節點。

根據實際業務和應用需要，可能會出現分割現有網絡或是增加新網絡的情況，雖然利用VLAN可以靈活地構建網絡，但若沒有全局統籌把握，往往會適得其反使網絡結構復雜化，這一點應引起足夠重視。當大數據流縱橫交錯，一旦發生故障，準確定位并排除故障反而比較困難。

核心層交換機和匯聚層交換機作為網絡的重要轉發節點，最好采用帶寬大性能高的交換機，例如千兆交換機，以免成為整個網絡的通信瓶頸。交換機的Access模式僅支持一個VLAN，一般用于設備接口，Trunk模式支持多個VLAN，一般用于交換機之間或交換機和路由器之間的接口。

因為各個虛擬局域網必須要通過核心層網關交換機路由轉發方可完成通信，由此為高級安全管控創造了條件?？梢栽诰W關處設置訪問策略，規定不同部門不同用戶之間所能訪問的系統資源，也可以采取配置安全協議以及設置防火墻等措施，提高網絡安全性。

監測臺應加強技術團隊建設，注重人員素質培養。網絡維護員在進行信息化建設和運行維護的時候，要加強VLAN安全管控，樹立正確的安全意識，密切關注網絡結構變化。應秉持發展的眼光，定期進行信息系統測評，發現網絡漏洞和隱患時及時采取措施。

4? ? 結語

網絡安全是監測監管業務順利開展的重要保障，沒有網絡安全服務質量就無從談起。本文介紹了虛擬局域網VLAN技術在監測臺網絡信息化中的應用，肯定VLAN技術在防范廣播風暴、提高網絡穩定性、安全性以及組網靈活便捷高效等方面所起作用的同時，也強調了合理統籌規劃網絡結構、多重網絡安全防護、加強技術隊伍建設等的重要性。在當前廣電數據網多業務并行發展的背景下，借助VLAN能更好地實現精細化管理，全面提升網絡技術的應用水平。對VLAN進行改進與完善，應引起廣電工程師們的重視。

[參考文獻]

[1]郝高麟.廣播風暴的預防與排除[J].電信快報，2016（8）：39-43.

[2]胡帥.網絡工程中的VLAN技術研究[J].無線互聯科技，2017（4）：34-36.

[3]陸樹芬.試談虛擬局域網（VLAN）技術的應用[J].電腦編程技巧與維護，2017（23）：69-70.

[4]龍智勇.虛擬局域網下醫院網絡安全建設研究[J].科技創新與應用，2018（22）：85-86.

Abstract：From the perspective of network security， this paper introduces the application of VLAN （Virtual Local Area Network） technology in network informatization construction of radio and television monitoring station， such as network planning， risk prevention， operation and maintenance， etc. Especially the important role played in reducing broadcast storm. This paper summarizes the experience gained in the practice of VLAN， aiming at providing reference for exchanging.

Key words：network security; VLAN; broadcast storm