陈 微 钟敏富

1 网络风暴

广播是一个数据包或帧发送到本地网段上每一个节点的传输方式。网络风暴，也叫广播风暴，是指由于各种原因造成广播包在网段内大量地被复制并传播，导致网络拥塞、性能下降，甚至出现瘫痪状态的一种网络现象。网络风暴一般表现特征为网络中某个端口流量剧增、网速下降明显、数据包丢失严重、工作站执行程序时明显变卡、服务器访问等待时间越来越长甚至无法响应，最终网络出现瘫痪的状态。

产生网络风暴的原因分为以下几种。

1．网络设备。网络设备故障或使用不当会导致网络风暴的出现，主要有几种情况：①网线短路或网卡故障，交换机将收到大量不符合分装原则的数据包，数据无法转发出去，造成缓存溢出产生丢包，形成网络风暴；②集线器代替交换机使用时，由于集线器属于网络底层设备，采用广播的形式发送数据，当网络稍微繁忙时，便可能出现网络风暴。

2．网络结构。当网络中出现第2层环路或第3层环路时，导致目的路径不明确，造成每一帧都在网络中重复广播，从而引起网络风暴。

3．网络病毒。只要网络中任何一台工作站感染上网络病毒，就会迅速通过网络传播，致使全网内工作站中毒，网络性能下降，产生网络风暴。

4．网络攻击。一些黑客软件会对网络造成攻击，不断消耗网络资源，形成网络风暴。

2 系统分析

广州地铁3号线呈南北 “Y”字形走向，由原3号线和北延段构成，两段线路的SMC系统采用了不同的结构，本文主要针对网络风暴的防御能力进行分析，探讨在日常维护工作中应采取的相应措施。

2．1 增加防火墙

SMC系统的连接如图1所示。3号线各车站及车辆段的各类工作站连接到车站交换机，中间经过SDH网络到达OCC通信设备房，OCC通信设备房的交换机和信号设备房的交换机之间使用防火墙。

抗菌药说明书［适应症］不符合抗菌药说明书撰写技术指导原则的主要表现有：适应症没有按照“本品适用于治疗由对本品敏感的XXX、XXX和XXX菌引起的YYY病。”的规范描述；没有遵循“如果获得的证据仅仅支持用于较大人群的亚群（例如，疾病轻微的患者或特殊年龄组的患者）应予说明”的规定；没有遵循“在某些情况下有理由限制适应症，例如，建议药品不作为某种感染的一线治疗”应予描述的规定；遗漏使用限制的内容。

图1 3号线SMC系统连接简图

在3号线开通之初，信号设备房交换机和通信SDH网络之间未安装防火墙，各站点的交换机通过SDH网络直接与中央交换机相连。因SDH网络是3号线各系统公用的网络，除了信号设备外还有许多其他系统的网络设备也通过它来传输信息，因此网络的安全性较低。还在调试阶段，某天SRS工作站突然运行缓慢，发展到整个网络的网速不断下降，在本地工作站显示网络连接已连上，但维护人员在中心维护工作站Ping各工作站均显示超时，通过监控软件发现系统的丢包率严重。以上现象确认为是一起网络风暴引起的故障，最后在SMC系统增加了防火墙，问题得以解决。防火墙的引入使信号系统内部网络免受其他非法用户的侵入，建立一个安全的网关，起到隔离作用，能够有效预防网络风暴的发生。

2．2 采用VLAN技术

VLAN技术，可将连在同一个交换机上的不同设备属于不同的网络，阻止子网之间互相通信，缩小广播域，减少网络风暴的影响。因此对3号线SMC系统采用了VLAN技术，将LSMC和DTI划分在2个不同子网中，使连在同一个交换机上的不同设备属于不同的网络，减少每个设备接收的广播包数量，达到隔离广播风暴的目的。

3号线北延段于2010年开通，其SMC系统连接如图2所示。北延段在设计时充分考虑了有效性和可靠性，在接入3号线SMC系统前使用专用和独立的DCS网络，整个系统采用千兆光纤进行传输，且无需额外增加防火墙，网络的安全性能大大提高。与3号线相同，北延段也利用了VLAN技术，将不同的设备类型划分为不同的子网，提高了网络的性能。

图2 3号线北延段SMC系统连接简图

2．3 双环冗余设计

北延段将整个网络划分为2个环，其中JCB、JCN、GZZ、RHZ、LGZ和DEPOT这几个区域组成北环，南环则由 YTZ、MHY、JNY、THZ、UTZ、BYB以及JWZ构成。每个环的通信链路采用了冗余设计，当一条链路中的某个设备故障导致通信受阻时，系统将启用第二条链路进行信息的传输。

3 预防措施

独立网络、VLAN技术以及双环冗余设计，使北延段SMC系统对网络风暴有更强的抵御能力。对于信号系统而言，网络风暴造成的后果将十分严重，在日常维护工作中，应从技术、管理和应急等方面采取相应措施，预防网络风暴的发生。

3．1 规范作业标准

不断完善维修规程，要求维护人员在日常工作中严格按照标准进行作业，杜绝因作业不规范导致网络风暴的发生。

1．在制作网线水晶头后，利用网络测试仪测试其性能是否完好，避免水晶头压制不好造成短路。

2．严禁将集线器代替交换机使用，在验收交换机备件时加强识别。

3．对所有的USB端口、网络端口进行封堵，并定期排查。

4．做好网络流量的监控。维护工作站的流量监控软件实时监测网络流量的异常变化，当某台交换机端口流量突然剧增时，维护人员应及时断开网络连接并检查设备性能。

5．做好杀毒防毒工作。在各工作站中都安装防病毒软件，定期杀毒及更新病毒库。

3．2 加强人员培训

对检修人员定期培训交换机、防火墙知识，开展透明式技术比武，以赛代练；同时将技术骨干送外培训，对防火墙等知识进行深入学习，并在内部组织二次培训，提高员工的技能及故障抢险能力。

3．3 健全管理制度

以安全生产为基础，健全网络安全管理制度，不断强化红线意识，要求每位员工对网络风暴的危害有清醒的认识，严禁使用不安全的U盘、光盘或软盘在SMC系统的工作站上拷贝数据，防止人为因素造成网络风暴的发生。

3．4 制定应急预案

组织技术骨干编写SMC网络风险防控指导书和应急预案，将网络中可能存在的风险点按影响进行分类，对备件管理、抢修组织、信息汇报等方面制定了详细的应急预案。有计划地开展故障演练，当发生网络风暴时各级人员能够快速做出反应，及时应对并采取有效措施，保证网络安全运行。

4 总结

总之，网络风暴的产生主要是由网络设备的性能、网络拓扑结构及网络安全等因素导致的。信号系统是地铁运营的关键设备，要防患于未然，防止网络风暴的出现，必须在日常维护工作中从技术、管理及应急等方面加以考虑，才能确保行车的安全与顺畅。

［1］ 杨风暴．计算机网络教程［M］．北京：国防工业出版社，2006

［2］ 广州地铁3号线北延段信号系统技术规格书［R］．广州市地下铁道总公司，2010（10）．