时间:2024-07-06
段成龙
内蒙古新闻出版广电局706台 内蒙古 呼和浩特市 010050
无线网的拓扑是实现智能建设的基础,以706台为例,台区无线网的搭建采用AP热点、路由器和光发光收器与无线网桥相结合的混合方式实现,无线网覆盖的区域分为技术楼、宿舍楼、警卫室、铁塔和户外区域,最终实现全台区覆盖,现以706台的升级建设为例进行阐述。图1为706台无线网总体拓扑图,图2为706台采用多种方式搭建无线网的拓扑图。
1.1.1 技术楼无线网覆盖
技术楼无线网覆盖采用路由器和AP热点混搭的方式搭建,因技术楼是依山而建,墙体厚,信号散射困难,所以采用了大功率穿墙路由器来覆盖,同时在技术楼的房间内搭建AP热点保障覆盖无盲点。图3为706台技术无线网覆盖的布点结构示意图。
1.1.2 宿舍楼的无线网覆盖
宿舍楼为台职工候岗休息的区域,此处布置无线网采用AP热点与路由器相结合的方式,既实现了无线网使用的漫游服务,也实现了无线网的逻辑信道隔离(VLAN隔离),保障了数据使用高峰期的正常使用。在进行VLAN隔离时,尽量选用二层交换机并具有一键隔离功能,如果没有就需要进行人工的端口配置和MAC码表和IP地址池的匹配。图4为宿舍楼的无线网覆盖效果图。
图1 706台无线网总体拓扑图
图2 706台采用多种方式搭建无线网的拓扑图
图3 706台技术无线网覆盖的布点结构示意图
1.1.3 警卫室和山上铁塔区域覆盖
利用警卫室和铁塔已经接通的光纤,706台使用光纤机进行主干光纤的尾纤的熔通和分配,尽量多的熔通了尾纤,为后续的改造升级打下了基础。在尾纤熔通后,使用单模光发光收器实现了无线网的覆盖,在这一点使用设备上,后续我们还要进行升级,用具备光口模块的交换机替换现在的单模光发收器,进一步保障网络的安全与稳定。
1.1.4 户外区域无线网覆盖
户外区域无线网覆盖采用在建筑物的外廊檐和外墙体加装大功率路由器,将整个台区户外广场覆盖,为户外探头、基础设备的互联提供网络支持。在户外无线网的搭建时,应注意尽量使用三防的户外设备以保证长期的稳定高效,如没有使用,也要对设备进行人工的三防处理。图5为户外无线网覆盖效果图。
图4 宿舍楼无线网覆盖效果图
图5 户外无线网覆盖效果图
图6 706台信号监测系统的拓扑图
以706台为例,基于搭建的无线网主要实现了以下四点功能。
1.2.1 信号监控的监测回传和利用以太网的数据上传以及控制
信号的监测是保障安全播出重要的技术手段,但是原有的信号监测系统没有接入以太网,造成一定程度的监测数据上传范围小、数据没有形成可读性的文件和远程控制受限等诸多问题。706台基于覆盖的无线网,将信号监测系统接入台区的无线网来实现监测系统的高效智能化。这套系统除了实现对信源信号质量的甄别和接入,发射信号参数的采集和回传,并在发射机的显示器和机房多功能大屏幕上显示。706台利用无线网对其进行升级,实现了重要参数的报表制作,并通过无线网下发到接入无线网的设备,同时实现了远程控制,报警阈值的远程设定与修改等。
在监测信号回传上也进行了升级,将接收到的发射信号进行音视频的解码,将视频信号投放到大屏幕显示,再将音频信号进行数字码流模拟成模拟信号的连续跳动音柱,实现了音频信号更为直观的显示,以便值机员的监测,同时也将大屏幕的显示内容进行了投屏处理,同一WiFi下的Pad进行显示与控制,进一步了解信号质量。
图7 监测信号回传显示拓扑图
图8 706台实现信号监控的总体网络拓扑图
由于信号监测系统是保障安全播出的重要环节,所以对于接入设备必须进行严格的权限控制。以706台为例,我们对接入终端的权限和等级进行如下划分:首先,对台站职工(参与发射工作的)的接入设备进行MAC码和设备的IP地址进行备案,并使用SQL数据库进行登记,载入信号监控系统的服务器。当职工的设备植入专用程序或者下载了APP时,这些设备接入了台区内的无线网,并且服务器查询与备案的MAC码和IP地址一致时方可通过设备使用专用的程序或APP。其次,将设备划分为三个等级,低级是备案设备接入台区无线网时可以观看机房大屏幕的投屏,也可以查看上文提及的参数报表;中级是在拥有低级权限功能的同时,备案设备接入台区无线网时,可以远程控制发射机的运行和修改发射设备工作阈值;高级权限在拥有前两级的功能下,可以在不接入台区无线网的情况下使用上述功能。
1.2.2 台区安防、消防监控的控制
利用台区无线网、安防探头和消防红外报警装置,可以实现无线连接和远程控制以及参数变更,同时利用安防、消防设备的APP实现手持终端的控制。
图9 706台库房门禁管理示意图
1.2.3 台站库房管理
发射台的库房是备品备件和工具存放的重要地点,所以必须要严格把控。我们利用无线网实现库房管理员远程实时控制,当库房有访客时,管理员通过库房门口的探头对其进行身份核实,在核实无误后对其的手机下发一个1分钟有效的动态密码;同时对库房存放的物品进行物联管理,对于备品备件,在库房货架上每一个物品储放格制作了一个储存物品的二维码,使用者通过扫码就可以知道这个物品的参数型号用途以及产品的生产厂家和说明书。扫码取走后,在管理员的电脑上就会有扫码取走的拥有者进行备案登记,登记取物者的姓名,取物时间和用途。对于工具的管理,使用RFID射频标签技术,在工具和储物格上安装射频标签,当工具离开储物格时,管理员电脑上会显示物品使用中,并通过使用者扫码登记其姓名、取物时间和用途;当使用者归还工具时射频标签合二为一,管理员电脑上自动生成归还记录。图9为706台库房门禁管理示意图。
1.2.4 台区附属设备的物联控制
利用706台搭建好的无线网对台区的大门进行网络信号的智能控制替代原有的电控门,优势在于当大门值守人员无法对来访人员的身份进行核实,需要台站负责人进行核实,可以通过无线探头在手机APP的远程实时显示,再通过无线网向大门发送相应的指令。
由于台区使用以太网,就失去了绝对意义上的物理隔离,所以网络安全就显得尤为重要。连接无线网的网络设备的网络安全是极其重要的一个环节,本文从位于OSI模型二层数据链路层的交换机和位于三层网络层的路由器安全使用进行阐述。
图10 OSI模型工作拓扑图
交换机的使用除了硬件损坏,最为主要的安全威胁就是LAN网上的广播洪流。这种网络洪流现象会溢出故障交换机的缓存,并致使互联网速度不正常且严重的情况下会导致整个网络崩溃。虽然一般交换机工作于二层,处理LAN洪流一般重启设备即可,但是当交换机处于LAN数据异常洪流时,交换机通常在异常情况下工作,频繁出现高温现象,加速交换机部件退化,缩短生命周期,所以一定要采取一定预防LAN广播数据洪流的措施,本文给出以下五点措施供参考。
2.1.1 监测子网系统并管理子网安全性的问题
针对来自网络内部的入侵(通过设备的串口接入),要在子网内形成具有一定入侵过滤的文件,同时这些文件过滤轨迹也会记录,这些记录也会成为网络状态分析的依据。
2.1.2 解决IP盗用的问题
将IP地址和MAC地址绑定到路由器,并且当一个IP通过路由器接入互联网时,路由器将检查发出该IP广播包的工作站的MAC是否与路由器的MAC地址表一致。
2.1.3 搭建网络安全监控系统
网络WWW服务器、电子邮件服务器等使用网络安全监视系统实时跟踪和监视网络,截取网络上传输的内容,恢复到完整的WWW、电子邮件、FTP和TELNE应用程序内容,建立数据库以保存相应的记录,发现网络上转移的非法内容,立即报告和解决高级安全网络管理中心。
2.1.4 搭建入侵检测系统
入侵检测系统可以识别哪些是不想要的活动,限制这些活动,从而保护系统安全。
2.1.5 设置防火墙
利用防火墙在网络通信时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将未准许的用户与数据拒之门外,执行严格的包过滤使用专业的VPN加密通道(包过滤的VPN是指VPN的安全威胁就来自这条线路之外,即Internet,要想加固VPN这条加密通信通道,使它免受来自外部的攻击,就要为VPN服务器配置PPTP数据包筛选器,其原则是赋予接入VPN的客户端最少特权,并且丢弃除明确允许的数据包以外的其它所有数据包),但是706台有着自己的优势,在信源信号的传输过程中使用了SDH高速数据传输,并基于光纤通信,比如706台使用SDH传输微波信号转码的DS3信号,而SDH的高速稳定入侵是时下VPN所无法具备的优势,所以在以后的台站升级过程中,我们可以发挥优势来解决网络安全的问题。
路由器位于网络层,是数据转发路由的重要设备,作为一个重要的转发数据包的环节也是经常被攻击的节点,本文给出以下四点措施供参考。
(1)为了提高路由器的安全性,要同时启动RIP和MD5服务,加强网络认证过程,对于RIP的明文认证尽量要做到双认证,要赋予两个密钥,既可以保证安全性,也可以在一定的情况下实现单边路由来保证一定的使用;MD5是明文匹配的原则,也就是密钥,所以对于MD5服务的启用,也要设置访问权限和密码。另外,对于那些对网络安全环境要求较高的地方,比如发射机的监控系统采集了一些重要数据,或者要通过外网来更改发射参数的阈值,还应当启用访问列表,用于过滤垃圾信息,同时对流量的使用进行相应的监控。
(2)要根据需求,或者有选择的开启网络服务,过多开启网络服务而对其不进行有选择的开启,必然会对网络安全造成一定的隐患。所以我们要在使用过程中有选择的开启网络服务。其原因就是每开启一项服务就相当于开启了一条网络通路,通路越多安全隐患就越大。
(3)严格设置访问权限,是保障路由安全的第一道防线。首先要对访问权限进行分级授权,网络管理员要针对不同的访问级别核查其访问权限。对于网络管理员的访问记录做好记录,防止发生误操作等情况。
(4)路由器口令包括登陆口令、账户口令等。口令的设置是路由器安全防护工作的基础,目的是为了验证登陆者的身份,防止未经授权地址的非法访问。大多数路由器在出厂时都会配置一个默认的用户名和口令,很多网络管理员在路由器使用后并没有对默认口令进行修改,这样就给了黑客可乘之机。因此,管理员在进行口令修改时,要从口令长度和复杂性两方面对路由器口令进行设置,并定期对密码进行修改以加强路由器的安全防护工作。
讲好中国故事,传播好中国声音,是我们广电人的光荣使命。在万物互联的大的时代背景下我们也进行台站的2.0建设,所以在使命的引领下和时代的推进下,台站的网络搭建就显得尤为重要,利用无线网的高速、便捷、稳定的特点,实现了保障安全播出的实用功能,同时接入了无线网就存在了一定的网络风险,所以网络安全就成为安全播出必须攻取的又一制高点。在网络安全上我们不仅要谋全局,也要谋一隅,对于交换机路由器这样重要的设备一定要引起足够的重视,同时我们也要提高认识,把网络安全也要放在安全播出的思想意识中,只有这样的技防+人防的模式构建起来,才能让台区的发射工作迈上新的台阶。
我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!