淺談廣州地鐵3號(hào)線SMC網(wǎng)絡(luò)風(fēng)暴的預(yù)防之策

陳 微 鐘敏富

1 網(wǎng)絡(luò)風(fēng)暴

廣播是一個(gè)數(shù)據(jù)包或幀發(fā)送到本地網(wǎng)段上每一個(gè)節(jié)點(diǎn)的傳輸方式。網(wǎng)絡(luò)風(fēng)暴，也叫廣播風(fēng)暴，是指由于各種原因造成廣播包在網(wǎng)段內(nèi)大量地被復(fù)制并傳播，導(dǎo)致網(wǎng)絡(luò)擁塞、性能下降，甚至出現(xiàn)癱瘓狀態(tài)的一種網(wǎng)絡(luò)現(xiàn)象。網(wǎng)絡(luò)風(fēng)暴一般表現(xiàn)特征為網(wǎng)絡(luò)中某個(gè)端口流量劇增、網(wǎng)速下降明顯、數(shù)據(jù)包丟失嚴(yán)重、工作站執(zhí)行程序時(shí)明顯變卡、服務(wù)器訪問等待時(shí)間越來越長(zhǎng)甚至無法響應(yīng)，最終網(wǎng)絡(luò)出現(xiàn)癱瘓的狀態(tài)。

產(chǎn)生網(wǎng)絡(luò)風(fēng)暴的原因分為以下幾種。

1．網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)設(shè)備故障或使用不當(dāng)會(huì)導(dǎo)致網(wǎng)絡(luò)風(fēng)暴的出現(xiàn)，主要有幾種情況：①網(wǎng)線短路或網(wǎng)卡故障，交換機(jī)將收到大量不符合分裝原則的數(shù)據(jù)包，數(shù)據(jù)無法轉(zhuǎn)發(fā)出去，造成緩存溢出產(chǎn)生丟包，形成網(wǎng)絡(luò)風(fēng)暴；②集線器代替交換機(jī)使用時(shí)，由于集線器屬于網(wǎng)絡(luò)底層設(shè)備，采用廣播的形式發(fā)送數(shù)據(jù)，當(dāng)網(wǎng)絡(luò)稍微繁忙時(shí)，便可能出現(xiàn)網(wǎng)絡(luò)風(fēng)暴。

2．網(wǎng)絡(luò)結(jié)構(gòu)。當(dāng)網(wǎng)絡(luò)中出現(xiàn)第2層環(huán)路或第3層環(huán)路時(shí)，導(dǎo)致目的路徑不明確，造成每一幀都在網(wǎng)絡(luò)中重復(fù)廣播，從而引起網(wǎng)絡(luò)風(fēng)暴。

3．網(wǎng)絡(luò)病毒。只要網(wǎng)絡(luò)中任何一臺(tái)工作站感染上網(wǎng)絡(luò)病毒，就會(huì)迅速通過網(wǎng)絡(luò)傳播，致使全網(wǎng)內(nèi)工作站中毒，網(wǎng)絡(luò)性能下降，產(chǎn)生網(wǎng)絡(luò)風(fēng)暴。

4．網(wǎng)絡(luò)攻擊。一些黑客軟件會(huì)對(duì)網(wǎng)絡(luò)造成攻擊，不斷消耗網(wǎng)絡(luò)資源，形成網(wǎng)絡(luò)風(fēng)暴。

2 系統(tǒng)分析

廣州地鐵3號(hào)線呈南北 “Y”字形走向，由原3號(hào)線和北延段構(gòu)成，兩段線路的SMC系統(tǒng)采用了不同的結(jié)構(gòu)，本文主要針對(duì)網(wǎng)絡(luò)風(fēng)暴的防御能力進(jìn)行分析，探討在日常維護(hù)工作中應(yīng)采取的相應(yīng)措施。

2．1 增加防火墻

SMC系統(tǒng)的連接如圖1所示。3號(hào)線各車站及車輛段的各類工作站連接到車站交換機(jī)，中間經(jīng)過SDH網(wǎng)絡(luò)到達(dá)OCC通信設(shè)備房，OCC通信設(shè)備房的交換機(jī)和信號(hào)設(shè)備房的交換機(jī)之間使用防火墻。

抗菌藥說明書［適應(yīng)癥］不符合抗菌藥說明書撰寫技術(shù)指導(dǎo)原則的主要表現(xiàn)有：適應(yīng)癥沒有按照“本品適用于治療由對(duì)本品敏感的XXX、XXX和XXX菌引起的YYY病?！钡囊?guī)范描述；沒有遵循“如果獲得的證據(jù)僅僅支持用于較大人群的亞群（例如，疾病輕微的患者或特殊年齡組的患者）應(yīng)予說明”的規(guī)定；沒有遵循“在某些情況下有理由限制適應(yīng)癥，例如，建議藥品不作為某種感染的一線治療”應(yīng)予描述的規(guī)定；遺漏使用限制的內(nèi)容。

圖1 3號(hào)線SMC系統(tǒng)連接簡(jiǎn)圖

在3號(hào)線開通之初，信號(hào)設(shè)備房交換機(jī)和通信SDH網(wǎng)絡(luò)之間未安裝防火墻，各站點(diǎn)的交換機(jī)通過SDH網(wǎng)絡(luò)直接與中央交換機(jī)相連。因SDH網(wǎng)絡(luò)是3號(hào)線各系統(tǒng)公用的網(wǎng)絡(luò)，除了信號(hào)設(shè)備外還有許多其他系統(tǒng)的網(wǎng)絡(luò)設(shè)備也通過它來傳輸信息，因此網(wǎng)絡(luò)的安全性較低。還在調(diào)試階段，某天SRS工作站突然運(yùn)行緩慢，發(fā)展到整個(gè)網(wǎng)絡(luò)的網(wǎng)速不斷下降，在本地工作站顯示網(wǎng)絡(luò)連接已連上，但維護(hù)人員在中心維護(hù)工作站Ping各工作站均顯示超時(shí)，通過監(jiān)控軟件發(fā)現(xiàn)系統(tǒng)的丟包率嚴(yán)重。以上現(xiàn)象確認(rèn)為是一起網(wǎng)絡(luò)風(fēng)暴引起的故障，最后在SMC系統(tǒng)增加了防火墻，問題得以解決。防火墻的引入使信號(hào)系統(tǒng)內(nèi)部網(wǎng)絡(luò)免受其他非法用戶的侵入，建立一個(gè)安全的網(wǎng)關(guān)，起到隔離作用，能夠有效預(yù)防網(wǎng)絡(luò)風(fēng)暴的發(fā)生。

2．2 采用VLAN技術(shù)

VLAN技術(shù)，可將連在同一個(gè)交換機(jī)上的不同設(shè)備屬于不同的網(wǎng)絡(luò)，阻止子網(wǎng)之間互相通信，縮小廣播域，減少網(wǎng)絡(luò)風(fēng)暴的影響。因此對(duì)3號(hào)線SMC系統(tǒng)采用了VLAN技術(shù)，將LSMC和DTI劃分在2個(gè)不同子網(wǎng)中，使連在同一個(gè)交換機(jī)上的不同設(shè)備屬于不同的網(wǎng)絡(luò)，減少每個(gè)設(shè)備接收的廣播包數(shù)量，達(dá)到隔離廣播風(fēng)暴的目的。

3號(hào)線北延段于2010年開通，其SMC系統(tǒng)連接如圖2所示。北延段在設(shè)計(jì)時(shí)充分考慮了有效性和可靠性，在接入3號(hào)線SMC系統(tǒng)前使用專用和獨(dú)立的DCS網(wǎng)絡(luò)，整個(gè)系統(tǒng)采用千兆光纖進(jìn)行傳輸，且無需額外增加防火墻，網(wǎng)絡(luò)的安全性能大大提高。與3號(hào)線相同，北延段也利用了VLAN技術(shù)，將不同的設(shè)備類型劃分為不同的子網(wǎng)，提高了網(wǎng)絡(luò)的性能。

圖2 3號(hào)線北延段SMC系統(tǒng)連接簡(jiǎn)圖

2．3 雙環(huán)冗余設(shè)計(jì)

北延段將整個(gè)網(wǎng)絡(luò)劃分為2個(gè)環(huán)，其中JCB、JCN、GZZ、RHZ、LGZ和DEPOT這幾個(gè)區(qū)域組成北環(huán)，南環(huán)則由 YTZ、MHY、JNY、THZ、UTZ、BYB以及JWZ構(gòu)成。每個(gè)環(huán)的通信鏈路采用了冗余設(shè)計(jì)，當(dāng)一條鏈路中的某個(gè)設(shè)備故障導(dǎo)致通信受阻時(shí)，系統(tǒng)將啟用第二條鏈路進(jìn)行信息的傳輸。

3 預(yù)防措施

獨(dú)立網(wǎng)絡(luò)、VLAN技術(shù)以及雙環(huán)冗余設(shè)計(jì)，使北延段SMC系統(tǒng)對(duì)網(wǎng)絡(luò)風(fēng)暴有更強(qiáng)的抵御能力。對(duì)于信號(hào)系統(tǒng)而言，網(wǎng)絡(luò)風(fēng)暴造成的后果將十分嚴(yán)重，在日常維護(hù)工作中，應(yīng)從技術(shù)、管理和應(yīng)急等方面采取相應(yīng)措施，預(yù)防網(wǎng)絡(luò)風(fēng)暴的發(fā)生。

3．1 規(guī)范作業(yè)標(biāo)準(zhǔn)

不斷完善維修規(guī)程，要求維護(hù)人員在日常工作中嚴(yán)格按照標(biāo)準(zhǔn)進(jìn)行作業(yè)，杜絕因作業(yè)不規(guī)范導(dǎo)致網(wǎng)絡(luò)風(fēng)暴的發(fā)生。

1．在制作網(wǎng)線水晶頭后，利用網(wǎng)絡(luò)測(cè)試儀測(cè)試其性能是否完好，避免水晶頭壓制不好造成短路。

2．嚴(yán)禁將集線器代替交換機(jī)使用，在驗(yàn)收交換機(jī)備件時(shí)加強(qiáng)識(shí)別。

3．對(duì)所有的USB端口、網(wǎng)絡(luò)端口進(jìn)行封堵，并定期排查。

4．做好網(wǎng)絡(luò)流量的監(jiān)控。維護(hù)工作站的流量監(jiān)控軟件實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量的異常變化，當(dāng)某臺(tái)交換機(jī)端口流量突然劇增時(shí)，維護(hù)人員應(yīng)及時(shí)斷開網(wǎng)絡(luò)連接并檢查設(shè)備性能。

5．做好殺毒防毒工作。在各工作站中都安裝防病毒軟件，定期殺毒及更新病毒庫。

3．2 加強(qiáng)人員培訓(xùn)

對(duì)檢修人員定期培訓(xùn)交換機(jī)、防火墻知識(shí)，開展透明式技術(shù)比武，以賽代練；同時(shí)將技術(shù)骨干送外培訓(xùn)，對(duì)防火墻等知識(shí)進(jìn)行深入學(xué)習(xí)，并在內(nèi)部組織二次培訓(xùn)，提高員工的技能及故障搶險(xiǎn)能力。

3．3 健全管理制度

以安全生產(chǎn)為基礎(chǔ)，健全網(wǎng)絡(luò)安全管理制度，不斷強(qiáng)化紅線意識(shí)，要求每位員工對(duì)網(wǎng)絡(luò)風(fēng)暴的危害有清醒的認(rèn)識(shí)，嚴(yán)禁使用不安全的U盤、光盤或軟盤在SMC系統(tǒng)的工作站上拷貝數(shù)據(jù)，防止人為因素造成網(wǎng)絡(luò)風(fēng)暴的發(fā)生。

3．4 制定應(yīng)急預(yù)案

組織技術(shù)骨干編寫SMC網(wǎng)絡(luò)風(fēng)險(xiǎn)防控指導(dǎo)書和應(yīng)急預(yù)案，將網(wǎng)絡(luò)中可能存在的風(fēng)險(xiǎn)點(diǎn)按影響進(jìn)行分類，對(duì)備件管理、搶修組織、信息匯報(bào)等方面制定了詳細(xì)的應(yīng)急預(yù)案。有計(jì)劃地開展故障演練，當(dāng)發(fā)生網(wǎng)絡(luò)風(fēng)暴時(shí)各級(jí)人員能夠快速做出反應(yīng)，及時(shí)應(yīng)對(duì)并采取有效措施，保證網(wǎng)絡(luò)安全運(yùn)行。

4 總結(jié)

總之，網(wǎng)絡(luò)風(fēng)暴的產(chǎn)生主要是由網(wǎng)絡(luò)設(shè)備的性能、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及網(wǎng)絡(luò)安全等因素導(dǎo)致的。信號(hào)系統(tǒng)是地鐵運(yùn)營(yíng)的關(guān)鍵設(shè)備，要防患于未然，防止網(wǎng)絡(luò)風(fēng)暴的出現(xiàn)，必須在日常維護(hù)工作中從技術(shù)、管理及應(yīng)急等方面加以考慮，才能確保行車的安全與順暢。

［1］ 楊風(fēng)暴．計(jì)算機(jī)網(wǎng)絡(luò)教程［M］．北京：國(guó)防工業(yè)出版社，2006

［2］ 廣州地鐵3號(hào)線北延段信號(hào)系統(tǒng)技術(shù)規(guī)格書［R］．廣州市地下鐵道總公司，2010（10）．