淺談內(nèi)蒙古廣播電視臺融媒體平臺互聯(lián)網(wǎng)出口網(wǎng)絡設計

寶明輝

內(nèi)蒙古廣播電視臺 內(nèi)蒙古 呼和浩特市 010050

1 項目背景

內(nèi)蒙古廣播電視臺融媒體云平臺互聯(lián)網(wǎng)出口網(wǎng)絡系統(tǒng)建于2015年，當時網(wǎng)、端正處于起步階段，用戶數(shù)量少，開辦的網(wǎng)直播、點播等業(yè)務對基礎計算資源、存儲資源和互聯(lián)網(wǎng)出口帶寬需求不大。近幾年，隨著內(nèi)蒙古廣播電視臺私有云平臺的搭建以及奔騰融媒的不斷發(fā)展，奔騰融媒APP 用戶接近千萬，日發(fā)布消息1000多條、承辦的大型直播和投票類活動越來越多，原有系統(tǒng)已無法滿足內(nèi)蒙古廣播電視臺媒體深度融合發(fā)展需要。主要表現(xiàn)在：CDN回源帶寬不足造成客戶端會出現(xiàn)播發(fā)卡頓、傳輸丟幀、直播停滯等事故；承辦大型投票活動時因大量用戶同一時間訪問，出現(xiàn)無法下載和打開客戶端的情況；因沒有負載均衡設備，常常由于單個運營商鏈路發(fā)生故障導致奔騰融媒網(wǎng)、端節(jié)目生產(chǎn)發(fā)布業(yè)務中斷，影響正常收視；原有融媒體節(jié)目生產(chǎn)發(fā)布系統(tǒng)和出口網(wǎng)絡系統(tǒng)兩地分散部署、新舊安全設備性能岑參不齊，網(wǎng)絡拓撲復雜且無法集中運維，存在重大安全隱患。2022年，內(nèi)蒙古廣播電視臺啟動了融媒體云平臺互聯(lián)網(wǎng)出口網(wǎng)絡改造項目。

如圖1 所示，從網(wǎng)絡設備部署來看，改造前的內(nèi)蒙古廣播電視臺融媒體云平臺互聯(lián)網(wǎng)出口部署在A座，由2臺H3C S7506E作為出口核心交換機。A 座核心交換機用千兆鏈路與B 座云平臺防火墻互聯(lián)再接入云平臺核心交換機，出口網(wǎng)絡上游部署了2 套千兆IPS、2 臺千兆WAF、4 臺防火墻和1 臺千兆抗DDOS 設備。出口專線為電信1GB、聯(lián)通1GB，電信鏈路負責重要直播業(yè)務，聯(lián)通鏈路主要用于慢直播、點播和其它互聯(lián)網(wǎng)業(yè)務使用，整個鏈路為千兆鏈路。存在出口帶寬低，帶寬瓶頸、無鏈路負載功能以及設備部署分散、無法集中管理等諸多問題。

圖1 改造前的融媒體云平臺互聯(lián)網(wǎng)出口網(wǎng)絡系統(tǒng)拓撲圖

2 設計目標

（1）提高出口帶寬，消除帶寬瓶頸。通過本次項目實施，實現(xiàn)內(nèi)蒙古廣播電視臺奔騰融媒互聯(lián)網(wǎng)出口鏈路的全萬兆升級，無帶寬瓶頸，解決重大活動期間多用戶并發(fā)導致用戶無法登錄的問題。

（2）實現(xiàn)出口鏈路負載均衡。通過增加負載均衡設備，實現(xiàn)互聯(lián)網(wǎng)出口鏈路的冗余，保證單個運營商鏈路出現(xiàn)故障時奔騰融媒網(wǎng)、端的正常訪問。

（3）優(yōu)化網(wǎng)絡拓撲結構，便于管理。通過本項目實施，將原A 座安全設備全部轉移部署到B 座，與云平臺安全設備、云安全平臺設備集中統(tǒng)一管理，便于統(tǒng)一維護、排查故障，并在出現(xiàn)網(wǎng)絡故障時快速應急。

（4）提高節(jié)目生產(chǎn)、發(fā)布效率。通過本項目實施，將融媒體指揮調(diào)度中心節(jié)目生產(chǎn)客戶端接入M2OPLUS 內(nèi)容生產(chǎn)平臺內(nèi)網(wǎng)，避免因OA 網(wǎng)和出口鏈路不穩(wěn)定影響到奔騰融媒網(wǎng)、端的節(jié)目生產(chǎn)、發(fā)布。

（5） 提高客戶端網(wǎng)絡安全。通過對A 座和D 座節(jié)目生產(chǎn)發(fā)布客戶端安裝殺毒軟件以及接入上網(wǎng)行為審計系統(tǒng)，實現(xiàn)對客戶端設備的行為管理和監(jiān)控，減少客戶端故障發(fā)生率和病毒感染率，避免因生產(chǎn)端接入互聯(lián)網(wǎng)導致整個云平臺受到網(wǎng)絡攻擊。

3 系統(tǒng)架構設計

如圖2 所示，為了出口網(wǎng)絡的高安全性，在設計網(wǎng)絡系統(tǒng)時，出口網(wǎng)絡鏈路中所有的網(wǎng)絡設備和安全設備均以2 臺主主交叉方式部署，保證兩條鏈路中任何一條鏈路或設備發(fā)生故障時所有的流量自動切換到另一條正常的鏈路，保證業(yè)務不間斷。

圖2 融媒體云平臺互聯(lián)網(wǎng)出口網(wǎng)絡升級改造后的拓撲

3.1 專線帶寬設計

改造前，內(nèi)蒙古廣播電視臺融媒體云平臺互聯(lián)網(wǎng)出口帶寬電信1GB、聯(lián)通1GB，同時也租用CDN 專線和愛秀（公有云服務）。每當有大型直播、投票類活動時因CDN回源和用戶請求過高造成播放卡頓、客戶端無法登錄和下載等問題，不僅影響用戶體驗，同時也嚴重制約了內(nèi)蒙古廣播電視臺奔騰融媒的快速發(fā)展。為此通過測算，將電信專線從1GB 提高到2GB，同時接入1GB 移動專線，總出口達到4GB。通過半年的觀察，4GB 出口帶寬配合CDN 和公有云服務，已基本滿足內(nèi)蒙古廣播電視臺現(xiàn)階段使用需求。

3.2 交換機部署

出口網(wǎng)絡中有負責不同業(yè)務網(wǎng)絡間進行數(shù)據(jù)交互并承擔總出口的核心交換機，也有負責局部數(shù)據(jù)和消息中轉的匯聚交換機及面向業(yè)務系統(tǒng)服務器、生產(chǎn)端的接入層交換機。在設計網(wǎng)絡系統(tǒng)的時候根據(jù)不同業(yè)務場景、流量大小、實現(xiàn)功能等方面的需求，部署不同類型的交換機。本次改造升級，核心交換機使用現(xiàn)有B座2 臺云平臺華為CE12808 萬兆交換機；匯聚交換機使用2 臺華為CE6851 萬兆交換機；每個運營商專線部署了1 臺萬兆接入交換機。

3.3 防火墻部署

將A 座4 臺利舊的啟明星辰防火墻遷移到B 座部署，上線部署2 臺、冷備2 臺，用于融媒體云平臺互聯(lián)網(wǎng)出口防火墻，并保證單臺防火墻發(fā)生故障時快速整機更換。2 臺華為USG6680 防火墻作為云平臺與其它業(yè)務系統(tǒng)間的邊界防火墻，隔離云平臺與主干平臺、全臺網(wǎng)、指揮調(diào)度平臺、融媒體指揮調(diào)度中心業(yè)務。

3.4 IPS設備部署

為主動防御和檢測針對業(yè)務系統(tǒng)的各種漏洞攻擊，對木馬、蠕蟲、間諜軟件進行識別，在互聯(lián)網(wǎng)出口部署了2 臺深信服NIPS-2000-FH2350A 下一代IPS入侵防御系統(tǒng)，以補充防病毒和防火墻沒有的功能。

3.5 抗DDOS設備部署

DDOS 即分布式拒絕服務攻擊，是通過制造大量非法流量，占用大量系統(tǒng)服務資源以達到耗盡帶寬為目的，使正常網(wǎng)絡業(yè)務無法正常開展的一種攻擊手段。因此，需要在私有云平臺與互聯(lián)網(wǎng)連接的邊界處部署一套可識別和抵御多種類型DDOS 攻擊的系統(tǒng)，不僅可以對攻擊進行準確識別，還可以提高對蠕蟲病毒流量的識別能力，從而提高系統(tǒng)的安全防范能力。內(nèi)蒙古廣播電視臺在互聯(lián)網(wǎng)出口網(wǎng)絡選用了2 臺盛邦安全RayADS-20G 型抗DDOS設備。

3.6 負載均衡設備部署

負載均衡設備分鏈路負載和應用負載。奔騰融媒互聯(lián)網(wǎng)出口網(wǎng)絡部署2臺迪普ADX3000-GAXI 型鏈路負載均衡設備，將電信、聯(lián)通、移動專線一起接入負載均衡設備，作為出口網(wǎng)絡三家運營商專線的鏈路負載，大大提高了出口帶寬和網(wǎng)絡安全性。

3.7 WAF防火墻部署

奔騰融媒互聯(lián)網(wǎng)出口網(wǎng)絡部署2 臺網(wǎng)神W12000 系列WAF 防火墻。WAF 防火墻對HTTP 的請求進行異常檢測和判斷，對包含攻擊行為的請求進行阻斷，給網(wǎng)站和APP 后臺服務提供安全防護。同時，啟用網(wǎng)頁防篡改功能對奔騰融媒網(wǎng)站進行保護。

3.8 上網(wǎng)行為審計服務部署

為保證融媒體節(jié)目生產(chǎn)客戶端安全，內(nèi)蒙古廣播電視臺部署了2 臺深信服AC-1000B3150 型上網(wǎng)行為管理設備。將D 座和A座融媒體節(jié)目生產(chǎn)客戶端網(wǎng)絡接入上網(wǎng)行為審計平臺，安裝殺毒軟件，提高客戶端網(wǎng)絡安全。

3.9 態(tài)勢感知平臺

內(nèi)蒙古廣播電視臺態(tài)勢感知平臺2020年開始投入使用，它通過在出口核心交換機配置鏡像端口進行引流，分析核心交換機各端口流量數(shù)據(jù)，再進行分析判斷、匯總和集中展示。通過本次升級改造項目，將原出口核心遷移到云平臺核心交換機后，在態(tài)勢感知平臺可以直觀地了解到整個云平臺和出口網(wǎng)絡的運行情況，進而根據(jù)監(jiān)測到的網(wǎng)絡安全情況，在各級網(wǎng)絡安全設備上進行策略調(diào)整，在服務器上增加補丁，以達到內(nèi)、外網(wǎng)整體的安全保障效果。

結語

通過周密的準備和近2 個月的項目實施，5月底完成了A座、B 座、D 座樓棟間和機房內(nèi)綜合布線、機柜部署、核心和分支交換機路由配置、設備更替、負載均衡、安全設備的上線調(diào)試以及最終的整體業(yè)務割接工作，期間所有的施工均在凌晨12點到5 點之間進行，未影響奔騰融媒正常的節(jié)目生產(chǎn)和發(fā)布。在項目實施過程中，遇到過安全設備開啟多重防護而出現(xiàn)客戶端響應慢、轉發(fā)效率低以及WAF 安全策略自動升級造成稿件無法更新等諸多問題，通過不斷地調(diào)整和優(yōu)化策略，最終實現(xiàn)了融媒體云平臺互聯(lián)網(wǎng)出口網(wǎng)絡的簡潔、高效、安全和易維護等設計目標。在下半年舉辦的大型融媒體直播活動“根脈”“內(nèi)蒙古草原文化節(jié)”、內(nèi)蒙古衛(wèi)視春晚等高并發(fā)業(yè)務中表現(xiàn)良好，全年共進行了1200多場直播活動，客戶端未出現(xiàn)之前的卡頓、無法打開等情況。在網(wǎng)絡安全和運維保障方面，通過總局、區(qū)局舉行的網(wǎng)絡攻防實戰(zhàn)演練得到了驗證。簡化的網(wǎng)絡拓撲、集中部署的新一代安全設備，在日常運維和快速響應時提高了工作效率。負載均衡設備的應用和出口鏈路設備的主主交叉部署，使整個鏈路可以根據(jù)負載情況自動調(diào)解和切換，更加智能化。

總之，廣播電視臺融媒體平臺互聯(lián)網(wǎng)出口網(wǎng)絡建設不是簡單的安全設備的堆疊，而是要從本臺自身現(xiàn)狀出發(fā)，設計合理的出口鏈路和帶寬，在設備選型時考慮最大會話數(shù)量、端口吞吐能力、對IPv6 的支持等多種因素。根據(jù)不同的業(yè)務邏輯，可以配合使用公有云和CDN，按需部署安全設備、設置安全策略，并對策略進行持續(xù)觀察和優(yōu)化，以實現(xiàn)最終的網(wǎng)絡安全保障和業(yè)務高效通暢。

審稿人：李志剛 內(nèi)蒙古廣播電視臺高級工程師