广播发射台内网综合改造应用探析
肖振兴 陈琦琦
(国家广电总局七六一台)
摘要 国家广电总局无线电台管理局内部专用网络已成为安全传输发射工作的重要组成部分。由于直属台站网络建设早,随着信息技术的飞速发展和应用业务的不断增加,这些网络有的无法适应现在的需要。本文根据无线局网络建设要求,结合本台实际,改变了台网络拓扑结构,利用VRRP和TRUNK技术提高网络冗余,增加了无线网络桥接和电力网络桥接提高网络连接的灵活性,提出了一个可靠、安全、稳定的内部专用网络改造方案。 关键词 网络拓扑 虚拟路由器 网络冗余 端口汇聚 电力网络桥接 无线中继 1.引言 随着无线局安全传输发射工作的自动化、信息化程度的全面展开,广播发射台内部专用网络也逐渐成为安全传输发射工作的重要一部分。我台的内部专用网络担负了多项业务,已运行了多年。随着近年来业务的增加,客户端数量的增长,对网络的可靠性、安全性、稳定性都提出了更高的要求,因此,迫切需要对广播发射台内部专用网络进行改造,解决各种潜在的问题和运行中出现的弊端,从而使网络更好的为安全传输发射工作服务。 2.现有网络简述 我台早在2004年已开始计划建设台内部网络,提出并讨论了多个方案。2005年建成了建筑物之间光缆传输,建筑物之内5类线传输的基础网络。2006年随着全局信息化工作的全面开展,经过扩容和配置,我台网络分成了连接因特网的局域网(以下简称外网)和连接全局广域网的内部专网(以下简称内网)。因为跟传输发射工作相关的业务都运行在全局广域网内,本文以本台内网为例进行讨论。 对于直属京外广播发射台(站),通过路由器接入中国电信专线上联至无线电台管理局中心路由器,通过以太口下联台站中心交换机华为S6503。该中心交换机还与原有的VSAT网接入路由器相连。图1为网络拓扑图。 3.存在问题和弊端 3.1 网络结构存在问题 开始设计台内部网络时,考虑到我台建筑位置较为分散,为了节约成本,采用了树形网络拓扑结构,各建筑物之间距离最近的进行连接,通信线路总长度短,成本较低,节点易于扩充,寻找路径比较方便,但是也造成了节点故障影响大的问题。除了叶节点及其相连的线路外,任一节点或其相连的线路故障都会使系统受到影响。比如丙机房电路检修时,除了丙机房网络中断,其以下的所有节点也无法连接到根节点,更不用说连接广域网了。 3.2 网络没有冗余 虽然我台内网所有的设备和线缆都有备份,但在用设备出故障时仍需要有人来更换设备或拔插线缆,既不方便也影响到业务,特别是有实时性要求的业务,一旦来不及发现处理故障,后果严重。 3.3网络连接方式单调 我台从接入交换机到各终端的连接都是使用5类线。而广播发射台机房设备具有高压、高频,大功率、大电流的特点,离设备较近的5类线缆容易受到干扰,虽然采取了使用屏蔽双绞线、改善接地等办法,但效果有限。严重时网络中断,线缆发热,接地导线碰到金属还会打火。 平时工作中,也经常遇到需要临时增加设备使用,但工作地点附近网络接入点不够或根本没有网络的情况。之前采用的办法都是用5类线缆长距离连接到别处的网络接入点去,既不方便还造成了浪费。 4.改造方案分析 4.1改变网络拓扑结构 要使某单个节点发生故障时不影响到别的节点,最好的办法就是采用星形网络结构。但是,采用星形网络结构需要耗费大量的电缆,且安装和维护的工作量也骤增,成本过高。而与安全传输发射工作直接相关的,实时性强的业务只部署在技术网,接入技术网的只是几大技术部门(机房)。因此,我们采用在各机房之间再组建一个星形网络结构的技术网,通过防火墙和办公网互联即可满足要求。 4.2增加网络冗余 星形网络中,中心节点至关重要,一旦故障会导致全网瘫痪,较好的解决办法就是用2台交换机运行VRRP(虚拟路由器冗余协议)。VRRP是由IETF推出的一种用于解决局域网主机访问外部网络的可靠性问题的容错协议。它能够将局域网的一组路由设备构成一个VRRP备份组,相当于一台虚拟路由器。局域网内的主机只需要知道这个虚拟路由器的IP地址,并不需知道具体某台设备的IP地址,将网络内主机的缺省网关设置为该虚拟路由器的IP地址,主机就可以利用该虚拟网关与外部网络进行通信。 同时,接入交换机采用TRUNK(端口汇聚)上联到中心交换机。虽然交换机可以使用光模块,但是光模块价格较高,而且没有统一标准,一旦损坏就需要从原厂商用相同的模块更换,这样给后期的维护带来很大的麻烦。因此,价格便宜,维护方便的光纤收发器是更好的选择。我台原来使用的光纤收发器型号为ANYKEY AK-511-2,是一种双纤收发器,接收发送的数据在一对光纤上传输,兼容性强但是光纤资源消耗大。如果改用单纤收发器,只需一根光缆就可以接受发送数据,原来的2根光纤就能组成2条物理路径,再通过配置软件的设置TRUNK,将这2条物理路径所在的端口组合在一起成为一条逻辑的路径来使用,既能提升了网络带宽,还能具有链路冗余作用。只需更换光纤收发器即可满足要求,无需额外铺设线缆,节约了成本。 4.3增加网络连接方式 根据接入环境和条件的不同,增加了两种网络连接方式。 对于长时间使用、位置固定的设备可以使用电力网络桥接器。电力网络桥接器俗称电力猫,它利用电线传送高频信号,把载有信息的高频信号加载于电流上,然后用电线传输,接收信息的调制解调器再把高频信号从电流中“分解”出来,并传送到网络设备或终端上。电力猫经过多年的发展,理论速率已达到了500Mbps,最大传输距离超过300米,性能已超过了5类线,符合我台内网的需求。无线电台电力系统发达,使用的都是优质电线,为电力猫的使用提供了良好的基础。 对于临时使用,位置不固定的设备可以使用多台无线路由器组成WDS(无线分布式系统)。WDS的功能是充当无线网络的中继器,通过在无线路由器上开启WDS功能,让其可以延伸扩展无线信号,从而覆盖更广更大的范围。配置好WDS后,只需在有临时设备使用时开启,使用结束后关闭即可,方便高效。 5.改造实施 5.1 新增星形网络 原有的网络保留作为办公网,节传、丙机房利用原有光缆中的其它光纤连接,甲、乙机房铺设直接连接到中心交换机所在的网络机房的多芯光缆,各机房之间组建成技术网。技术网络结构拓扑图如图2所示。 5.2 VRRP配置 技术网使用2台3层交换机H3C S7506E组织成一个VRRP备份组,id为VR1,虚拟IP地址为172.1.80.1/24;交换机A配置优先级为200,IP地址为172.1.80.2/24;交换机B优先级采用默认值100,IP地址为172.1.80.3/24;其它方面均使用默认配置,无需配置。2台交换机配置步骤相似,以交换机A为例。 1)进入VLAN接口视图 2)为接口2配置实际IP地址 ip address 172.1.80.2 255.255.255.0 3)为虚拟路由器VR1配置IP地址 vrrp vrid VR1 virtual-ip 172.1.80.1 4)配置优先级 vrrp vrid VR1 priority 200 因为虚拟交换机是根据配置的优先级大小选择主交换机的,交换机A优先级大,就成为了主交换机,状态为Master,提供实际的路由服务。交换机B则作为备份交换机,随时监测主交换机的状态。当主交换机A正常工作时,它会每隔一段时间(默认值1秒)发送一个VRRP组播报文,以通知组内的备份交换机B,主交换机A处于正常工作状态。当主交换机A故障或关机时,备份交换机B在3秒内没有接收到来自主交换机A的报文,则将自己状态转为Master,接替交换机A的工作,完成VRRP的备份功能。因为交换机默认就是抢占方式,当主交换机A恢复正常后,能够继续成为Master进行工作。 5.3 TRUNK配置 新选用的单纤光纤收发器型号为友讯 DFE-855,采用了波分复用的技术实现单纤收发。接入交换机选用华为S3300,使用1、2号端口,采用手工聚合方式。 1) 创建汇聚组1 [Quidway] link-aggregation group 1 mode manual 2) 将以太网端口Ethernet1/1/1 至Ethernet1/1/2 加入聚合组1 [Quidway] interface ethernet1/1/1 [Quidway-Ethernet1/1/1] port link-aggregation group 1 [Quidway-Ethernet1/1/1] interface ethernet1/1/2 [Quidway-Ethernet1/1/2] port link-aggregation group 1 接入交换机端口配置好后,在中心交换机上连接的端口进行相应的配置既可,配置步骤与接入交换机相似,在此不再累述。 5.4 电力猫配置 我台选用的电力猫型号为兆赫ZPL-500D,速率达到500Mbps,使用因特龙芯片,最多可以支持1对63终端。电力猫安装简单,同型号的无需设置即可互相连通,带来方便的同时也存在数据泄密的安全隐患,这就要通过分组来进行加密。 ZPL-500D采用AES 128-bit加密,能有效确保信号传输安全。启用方法为:首先,将要分组的电力猫连通,按住第一台ZPL-500D的分组键3-8秒,释放后会看到电源指示灯变为闪烁状态。然后,在两分钟内,按住其它ZPL-500D的分组键3-8秒,释放后同样会看到电源指示灯变为闪烁状态。最后,观察ZPL-500D的指示灯状态,当所有指示灯熄灭又变为常亮时,适配器自动重启,此时AES加密连接成功,安全的私有网络就搭建完毕了。 电力猫抗高频干扰的能力远强于5类网线,下面是在一台受干扰最严重的终端上进行的丢包率简单测试,先用5类线连接时PING网关100次,在用电力猫连接时PING网关100次,测试结果如图3所示。从图3可见,使用电力猫连接后,网络几乎不受高频干扰的影响,稳定性得到大幅提高。 5.5 WDS配置 我台使用的无线设备型号为300M高性能的D-LINK DAP-1360,为草案802.11n兼容设备,并能向后兼容802.11g和802.11b;具有一个10/100BASE-TX以太网LAN端口和两个具有RP-SMA 连接器的5dBi增益可分离全向天线;有七种无线模式,适用于不同条件;提供64/128-字节WEP加密和WPA/WPA2安全设置,充分保护网络和无线数据。下面以我台招待所和会议室之间构建的无线网络为例。 首先将一台DAP-1360接入会议室的接入交换机,登陆WEB管理界面后,在网络设置中,分配一个技术网网段的静态IP地址,取消DHCP服务;在无线设置中,选择无线模式为接入点模式,安全模式设置为WPA2;其余均使用默认设置。保存重启后设置生效,一个连接技术网的无线网络就搭建好了。 招待所和会议室之间隔了2层楼,无线信号无法覆盖,需要在中间增加无线中继。在两者中间增加一台DAP-1360,无线模式选择中继器模式,点击站点检测后可以发现之前建好的无线网络,选定既可。其余设置与前一台相同。保存重启后设置生效,无线信号就覆盖到了招待所,终端设备既可使用。 6 结语 我台应用以上方案成功解决了原网络存在的问题和弊端。现在的网络结构不但更加合理,也能够适应多种环境,同时也大大提高了网络的容错率。改造应用以来为安全传输发射工作的自动化、信息化奠定了良好的网络基础。 参考文献 1.王达 著 《Cisco/H3C交换机配置与管理完全手册(第2版)》 中国水利水电出版社 2012年 2.杭州华三通信技术有限公司 编 《H3C以太网交换机典型配置指导》 清华大学出版社2012年 3.刘威 主编 《无线网络技术》 电子工业出版社 2012年
评论 点击评论