发射台网络系统整合及功能拓展

2010-06-07聂广才

电视技术 2010年8期

聂广才，王麟

（安徽省广播电视传输发射总台，安徽合肥 230022）

1 引言

为保障发射台系统安全、优质运转，近年来，许多广电台站逐步进行了设备的固态化、数字化和网络化改造，网络化改造将各种设备连接在一起，给工作人员提供了统一的监控接口和界面，为设备参数的查看设置、远程操控带来了方便，但一个发射台往往有若干独立的网络体系，不同网络面向的对象不同，功能也不同，有必要将它们组成一个有机的整体协调工作，这正是当今行业中推崇的总控网概念。

2 大蜀山发射台原网络系统分析

合肥大蜀山发射台是安徽省最重要的无线骨干台站。九十年代末，发射台就开始了发射机遥测遥控网的研制，当时主要是面向电子管机器的集总体系网络监控系统[1]。之后随着发射机固态化改造的基本完成，绝大多数机器本身已具有通信接口和协议，又研制了第二代以串口服务器为核心的基于客户机/服务器（Client/Server，C/S）结构的发射机网络监控系统。

2004年，发射台开发了自动值班报警及远程视音频回传系统，由画面分割服务器、网络传输、客户端和软件系统组成，功能包括：画面分割及显示方式调整、音频指示、字符信息叠加显示、视频丢失报警、静帧报警、音频丢失报警、日志记录查询、录像及录像回放等。2005年，通过光纤将监控距离延伸到几十公里外的山下中心机房，建立了若干远程客户端，实现了对发射机的远程监控[2]。同年，利用光纤通道将办公计算机与山下彩电中心的网络连接在一起，接入Internet网，实现了上网功能，也建成了发射台内部的办公局域网。

这3套网络系统共同组成的网络结构，除了在山上和山下系统的连接上共用光纤通道外，彼此之间没有任何联系，这是因为3套网络投入使用的时间不同、面向的控制功能不同、合作的开发商也不同，因此设计时无法考虑兼容性，致使它们在网段地址和实际使用中均相对独立。而总控网的思想则是希望所有的功能在控制计算机上集成起来，从而实现一种界面、多种控制。

3 网络系统的整合设计

网络系统整合的目的是在同一台监控计算机上实现在线办公、发射机监控和远程视音频监控功能的集成，原网络系统结构中，3套网络在硬件上已经实现了交换机和数据光纤通道共享，在物理结构上已经连成共同的网络，这就为网络整合的实现创造了先决条件。

3.1 发射机监控网和视音频回传网络的整合

因为发射台的2个监控网络均采用C/S结构，要达到整合目的，首先要求多个系统的网络地址在同一个子网内，否则客户机和服务器无法互访。具体的设计是：将视音频回传系统中的3个画面分割服务器和远程客户机IP地址均修改为发射机监控子网网段（192.168.0.0）的IP地址（原系统默认不在该网段），并修改服务器相关软件设置，这样，这2个原子网中的所有客户机只要安装了2个网络系统的客户端软件，即可实现对系统内各设备的监控。

3.2 办公网与监控网络的整合

对于办公网中的计算机，不能采用与视音频回传系统相似的方法设置，因为它们是作为中心局域网中的子机共享上网的，其IP地址网段必须与中心网一致，同时采用了MAC地址与IP地址绑定的策略，各子机的IP地址均不能改变。出于安全角度、地址冲突和网络资源等方面的考虑，2个监控子网中的计算机也不能将IP地址设为办公子网中的地址，因此，在原有状况下，监控网和办公网是不能融合的。考虑到目前发射台办公计算机需要连接到监控网的数量不多，只需1，2台给相关的操作人员使用即可。因此，在需要监控的计算机上安装双网卡，其中第2块网卡的IP地址设为监控子网网段（192.168.0.0）中的空闲地址，同时在计算机上安装发射机监控和视音频回传系统的客户端软件，就能同时实现2个系统的监控功能和在线办公的功能，经过实际操作验证，方法可行。如果控制计算机中加上一个GUI控制界面，不同的选单项调用不同的子功能模块，设计方案将更加完美。

3.3 整合后的系统结构

网络整合后的系统结构如图1所示。

4 网络的功能拓展

发射台人员在外出差或移动办公时，经常需要了解单位内设备的运行状况并获取所需要的网内共享图纸或资料，传统的媒介方式往往难以做到这一点。为实现这一功能，还需对网络功能进行拓展，下面比较2种可实现远程接入功能的方案。

4.1 改C/S为B/S结构

B/S（Browser/Server）结构即浏览器和服务器结构，它是随着Internet技术的兴起，对C/S结构的一种变化或者改进的结构，这种结构可大大简化客户端的计算机载荷，能实现不同人员在不同地点以不同的接入方式（LAN，WAN，Internet/Intranet等）访问和操作共同的数据库，能有效保护数据平台和管理访问权限，服务器数据库也比较安全。发射台的各网络系统中，发射机远程监控系统在设计初就预留了B/S功能，只需设立一个Web服务器，将服务组件装入，在客户机或浏览器上即可访问，对于视音频远程回传系统，虽然不具有B/S结构的设计，但有许多免费软件，安装使用后，原有的C/S程序不需二次开发就能实现Web化，即可实现B/S结构应用。

B/S结构的不足有：1）应用服务器运行数据负荷较重，一旦发生服务器“崩溃”等问题，后果不堪设想，因此，需要备份数据库存储服务器。对于发射台这样的单位，外部接入需求不多，这样做并不经济。2）直接将服务器暴露在公网上，即使有各种安全策略保障，也较局域网更易被攻击，安全性稍弱。3）将局域网内的无公网地址的计算机设置成Web服务器，比有公网地址的计算机被外部计算机访问，技术实现上更加复杂，甚至需要一定的经费开销，因此没有采用这种方案。

4.2 架设VPN服务器

虚拟专用网络（Virtual Private Network，VPN）通过一个公用网络（如Internet）建立临时的、安全的、模拟的点对点连接，保证数据安全传输的关键就在于VPN使用了隧道协议，常用的隧道协议有 PPTP（PPP），L2TP和IPSec。从技术上说，只要支持这些协议，任何操作系统都可以作为一台VPN客户机。VPN服务器可以是VPN客户机的一个连接点，为保证安全，可使用Windows Server 2003操作系统，VPN服务器仅是执行路由和远程访问服务任务的一个增强的Windows 2003 Server服务器，一旦进入VPN网络的请求被批准，这个VPN服务器就简单地充当一台路由器，向这个VPN客户机提供专用网络的接入[3]。

基于Windows Server 2003提供的 “路由和远程访问”服务，可在发射台内部搭建VPN服务器（需要2块网卡），然后通过单位外部客户端的VPN拨号连接对局域网进行访问。“路由和远程访问”服务默认已经安装好，但需要对该服务器进行必要的配置才能使其内置的VPN服务生效，操作步骤主要为：先启动VPN服务，再使用静态IP地址池为客户端分配IP地址，起始和结束可自定义一段 IP 地址（如 192.168.0.100～192.168.0.120），只要不与现有局域网中的地址冲突即可，最后设置用户名、密码，为指定用户赋予接入权限。在完成服务器的设置后，还需在客户机上建立一个VPN的专用连接。

VPN服务器和客户端的配置也可用专业的VPN设置软件完成，其操作界面更加友好，功能更强大，安全性也更高。无论用何种方式配置VPN，很重要的一点就是必须保证VPN服务器和互联网连接的网卡获得的是一个公网地址，即接入的互联网服务提供商（Internet Service Provider，ISP）没有使用地址转换技术，若机器地址在下列范围之一则不是公网地址：10.0.0.0～10.255.255.255，172.16.0.0～172.31.255.255，192.168.0.0～192.168.255.255。这时必须更换ISP，发射台办公网接入的是广电中心网，其IP地址均在10.10.126.0网段，显然不是公网地址，因此内部的办公计算机均不能改造为VPN服务器，只能通过接入别的ISP实现，比如说ADSL或现在流行的FTTX+LAN接入等。

图2为一种ADSL接入方案，需注意的是采用ADSL或FTTX+LAN接入Internet时，公网IP地址是由ISP自动分配的动态地址，为保证能使用固定的域名随时拨入VPN服务器，需要动态域名解析服务软件支持，如88IP或花生壳等，而且要做端口映射。从图2拓扑结构可以看出，局域网是在ADSL调制解调器或宽带路由器中通过网络地址转换（Network Address Translation，NAT）接入Internet的，这种方式一定要在相关设备中作端口映射，由于Windows 2003的VPN服务用的是1723端口，所以可将1723端口映射到VPN服务器（地址为192.168.0.3）。不同厂家的路由器对映射设置方式有所不同，需参考具体设备的手册，对于直接拨号方式，直接在防火墙中将这个端口放开就行了。此外，计算机防火墙还不能限制对本地回环地址127.0.0.1的访问，否则将无法连接虚拟网。

按照以上配置方式操作后，将VPN服务器设置为局域网的网关，即可实现客户机对发射台局域网内的访问，如果在客户机上安装监控系统的客户端软件，当VPN连接成功后，连接监控服务器、进行各系统的监控与在单位局域网内几乎完全一致。这种设计方案已在图2所示的现实系统中模拟调试成功，由于无须改动监控系统软件，且通信的安全性很高，更加倾向于选择这种实现方案。该方案对局域网外的客户机是否有公网地址并不要求，因此发射台办公网中的计算机在安装了VPN和监控系统的客户端软件后，同样能访问监控服务器，而且可以省去整合方案中的第2块网卡。

VPN唯一的不足就是需要另接能提供公网地址的ISP，为此需要额外支付一定的月租费用，尽管代价并不大，但考虑到当前发射台对移动办公的需求仍较小，只在调试成功的基础上作为拓展功能保留，一旦今后有需求，可随时开通。