宝明辉

内蒙古广播电视台 内蒙古 呼和浩特市 010050

1 项目背景

内蒙古广播电视台融媒体云平台互联网出口网络系统建于2015年，当时网、端正处于起步阶段，用户数量少，开办的网直播、点播等业务对基础计算资源、存储资源和互联网出口带宽需求不大。近几年，随着内蒙古广播电视台私有云平台的搭建以及奔腾融媒的不断发展，奔腾融媒APP 用户接近千万，日发布消息1000多条、承办的大型直播和投票类活动越来越多，原有系统已无法满足内蒙古广播电视台媒体深度融合发展需要。主要表现在：CDN回源带宽不足造成客户端会出现播发卡顿、传输丢帧、直播停滞等事故；承办大型投票活动时因大量用户同一时间访问，出现无法下载和打开客户端的情况；因没有负载均衡设备，常常由于单个运营商链路发生故障导致奔腾融媒网、端节目生产发布业务中断，影响正常收视；原有融媒体节目生产发布系统和出口网络系统两地分散部署、新旧安全设备性能岑参不齐，网络拓扑复杂且无法集中运维，存在重大安全隐患。2022年，内蒙古广播电视台启动了融媒体云平台互联网出口网络改造项目。

如图1 所示，从网络设备部署来看，改造前的内蒙古广播电视台融媒体云平台互联网出口部署在A座，由2台H3C S7506E作为出口核心交换机。A 座核心交换机用千兆链路与B 座云平台防火墙互联再接入云平台核心交换机，出口网络上游部署了2 套千兆IPS、2 台千兆WAF、4 台防火墙和1 台千兆抗DDOS 设备。出口专线为电信1GB、联通1GB，电信链路负责重要直播业务，联通链路主要用于慢直播、点播和其它互联网业务使用，整个链路为千兆链路。存在出口带宽低，带宽瓶颈、无链路负载功能以及设备部署分散、无法集中管理等诸多问题。

图1 改造前的融媒体云平台互联网出口网络系统拓扑图

2 设计目标

（1）提高出口带宽，消除带宽瓶颈。通过本次项目实施，实现内蒙古广播电视台奔腾融媒互联网出口链路的全万兆升级，无带宽瓶颈，解决重大活动期间多用户并发导致用户无法登录的问题。

（2）实现出口链路负载均衡。通过增加负载均衡设备，实现互联网出口链路的冗余，保证单个运营商链路出现故障时奔腾融媒网、端的正常访问。

（3）优化网络拓扑结构，便于管理。通过本项目实施，将原A 座安全设备全部转移部署到B 座，与云平台安全设备、云安全平台设备集中统一管理，便于统一维护、排查故障，并在出现网络故障时快速应急。

（4）提高节目生产、发布效率。通过本项目实施，将融媒体指挥调度中心节目生产客户端接入M2OPLUS 内容生产平台内网，避免因OA 网和出口链路不稳定影响到奔腾融媒网、端的节目生产、发布。

（5） 提高客户端网络安全。通过对A 座和D 座节目生产发布客户端安装杀毒软件以及接入上网行为审计系统，实现对客户端设备的行为管理和监控，减少客户端故障发生率和病毒感染率，避免因生产端接入互联网导致整个云平台受到网络攻击。

3 系统架构设计

如图2 所示，为了出口网络的高安全性，在设计网络系统时，出口网络链路中所有的网络设备和安全设备均以2 台主主交叉方式部署，保证两条链路中任何一条链路或设备发生故障时所有的流量自动切换到另一条正常的链路，保证业务不间断。

图2 融媒体云平台互联网出口网络升级改造后的拓扑

3.1 专线带宽设计

改造前，内蒙古广播电视台融媒体云平台互联网出口带宽电信1GB、联通1GB，同时也租用CDN 专线和爱秀（公有云服务）。每当有大型直播、投票类活动时因CDN回源和用户请求过高造成播放卡顿、客户端无法登录和下载等问题，不仅影响用户体验，同时也严重制约了内蒙古广播电视台奔腾融媒的快速发展。为此通过测算，将电信专线从1GB 提高到2GB，同时接入1GB 移动专线，总出口达到4GB。通过半年的观察，4GB 出口带宽配合CDN 和公有云服务，已基本满足内蒙古广播电视台现阶段使用需求。

3.2 交换机部署

出口网络中有负责不同业务网络间进行数据交互并承担总出口的核心交换机，也有负责局部数据和消息中转的汇聚交换机及面向业务系统服务器、生产端的接入层交换机。在设计网络系统的时候根据不同业务场景、流量大小、实现功能等方面的需求，部署不同类型的交换机。本次改造升级，核心交换机使用现有B座2 台云平台华为CE12808 万兆交换机；汇聚交换机使用2 台华为CE6851 万兆交换机；每个运营商专线部署了1 台万兆接入交换机。

3.3 防火墙部署

将A 座4 台利旧的启明星辰防火墙迁移到B 座部署，上线部署2 台、冷备2 台，用于融媒体云平台互联网出口防火墙，并保证单台防火墙发生故障时快速整机更换。2 台华为USG6680 防火墙作为云平台与其它业务系统间的边界防火墙，隔离云平台与主干平台、全台网、指挥调度平台、融媒体指挥调度中心业务。

3.4 IPS设备部署

为主动防御和检测针对业务系统的各种漏洞攻击，对木马、蠕虫、间谍软件进行识别，在互联网出口部署了2 台深信服NIPS-2000-FH2350A 下一代IPS入侵防御系统，以补充防病毒和防火墙没有的功能。

3.5 抗DDOS设备部署

DDOS 即分布式拒绝服务攻击，是通过制造大量非法流量，占用大量系统服务资源以达到耗尽带宽为目的，使正常网络业务无法正常开展的一种攻击手段。因此，需要在私有云平台与互联网连接的边界处部署一套可识别和抵御多种类型DDOS 攻击的系统，不仅可以对攻击进行准确识别，还可以提高对蠕虫病毒流量的识别能力，从而提高系统的安全防范能力。内蒙古广播电视台在互联网出口网络选用了2 台盛邦安全RayADS-20G 型抗DDOS设备。

3.6 负载均衡设备部署

负载均衡设备分链路负载和应用负载。奔腾融媒互联网出口网络部署2台迪普ADX3000-GAXI 型链路负载均衡设备，将电信、联通、移动专线一起接入负载均衡设备，作为出口网络三家运营商专线的链路负载，大大提高了出口带宽和网络安全性。

3.7 WAF防火墙部署

奔腾融媒互联网出口网络部署2 台网神W12000 系列WAF 防火墙。WAF 防火墙对HTTP 的请求进行异常检测和判断，对包含攻击行为的请求进行阻断，给网站和APP 后台服务提供安全防护。同时，启用网页防篡改功能对奔腾融媒网站进行保护。

3.8 上网行为审计服务部署

为保证融媒体节目生产客户端安全，内蒙古广播电视台部署了2 台深信服AC-1000B3150 型上网行为管理设备。将D 座和A座融媒体节目生产客户端网络接入上网行为审计平台，安装杀毒软件，提高客户端网络安全。

3.9 态势感知平台

内蒙古广播电视台态势感知平台2020年开始投入使用，它通过在出口核心交换机配置镜像端口进行引流，分析核心交换机各端口流量数据，再进行分析判断、汇总和集中展示。通过本次升级改造项目，将原出口核心迁移到云平台核心交换机后，在态势感知平台可以直观地了解到整个云平台和出口网络的运行情况，进而根据监测到的网络安全情况，在各级网络安全设备上进行策略调整，在服务器上增加补丁，以达到内、外网整体的安全保障效果。

结语

通过周密的准备和近2 个月的项目实施，5月底完成了A座、B 座、D 座楼栋间和机房内综合布线、机柜部署、核心和分支交换机路由配置、设备更替、负载均衡、安全设备的上线调试以及最终的整体业务割接工作，期间所有的施工均在凌晨12点到5 点之间进行，未影响奔腾融媒正常的节目生产和发布。在项目实施过程中，遇到过安全设备开启多重防护而出现客户端响应慢、转发效率低以及WAF 安全策略自动升级造成稿件无法更新等诸多问题，通过不断地调整和优化策略，最终实现了融媒体云平台互联网出口网络的简洁、高效、安全和易维护等设计目标。在下半年举办的大型融媒体直播活动“根脉”“内蒙古草原文化节”、内蒙古卫视春晚等高并发业务中表现良好，全年共进行了1200多场直播活动，客户端未出现之前的卡顿、无法打开等情况。在网络安全和运维保障方面，通过总局、区局举行的网络攻防实战演练得到了验证。简化的网络拓扑、集中部署的新一代安全设备，在日常运维和快速响应时提高了工作效率。负载均衡设备的应用和出口链路设备的主主交叉部署，使整个链路可以根据负载情况自动调解和切换，更加智能化。

总之，广播电视台融媒体平台互联网出口网络建设不是简单的安全设备的堆叠，而是要从本台自身现状出发，设计合理的出口链路和带宽，在设备选型时考虑最大会话数量、端口吞吐能力、对IPv6 的支持等多种因素。根据不同的业务逻辑，可以配合使用公有云和CDN，按需部署安全设备、设置安全策略，并对策略进行持续观察和优化，以实现最终的网络安全保障和业务高效通畅。

审稿人：李志刚 内蒙古广播电视台高级工程师