陳 微 鐘敏富

1 網(wǎng)絡風暴

廣播是一個數(shù)據(jù)包或幀發(fā)送到本地網(wǎng)段上每一個節(jié)點的傳輸方式。網(wǎng)絡風暴，也叫廣播風暴，是指由于各種原因造成廣播包在網(wǎng)段內大量地被復制并傳播，導致網(wǎng)絡擁塞、性能下降，甚至出現(xiàn)癱瘓狀態(tài)的一種網(wǎng)絡現(xiàn)象。網(wǎng)絡風暴一般表現(xiàn)特征為網(wǎng)絡中某個端口流量劇增、網(wǎng)速下降明顯、數(shù)據(jù)包丟失嚴重、工作站執(zhí)行程序時明顯變卡、服務器訪問等待時間越來越長甚至無法響應，最終網(wǎng)絡出現(xiàn)癱瘓的狀態(tài)。

產(chǎn)生網(wǎng)絡風暴的原因分為以下幾種。

1．網(wǎng)絡設備。網(wǎng)絡設備故障或使用不當會導致網(wǎng)絡風暴的出現(xiàn)，主要有幾種情況：①網(wǎng)線短路或網(wǎng)卡故障，交換機將收到大量不符合分裝原則的數(shù)據(jù)包，數(shù)據(jù)無法轉發(fā)出去，造成緩存溢出產(chǎn)生丟包，形成網(wǎng)絡風暴；②集線器代替交換機使用時，由于集線器屬于網(wǎng)絡底層設備，采用廣播的形式發(fā)送數(shù)據(jù)，當網(wǎng)絡稍微繁忙時，便可能出現(xiàn)網(wǎng)絡風暴。

2．網(wǎng)絡結構。當網(wǎng)絡中出現(xiàn)第2層環(huán)路或第3層環(huán)路時，導致目的路徑不明確，造成每一幀都在網(wǎng)絡中重復廣播，從而引起網(wǎng)絡風暴。

3．網(wǎng)絡病毒。只要網(wǎng)絡中任何一臺工作站感染上網(wǎng)絡病毒，就會迅速通過網(wǎng)絡傳播，致使全網(wǎng)內工作站中毒，網(wǎng)絡性能下降，產(chǎn)生網(wǎng)絡風暴。

4．網(wǎng)絡攻擊。一些黑客軟件會對網(wǎng)絡造成攻擊，不斷消耗網(wǎng)絡資源，形成網(wǎng)絡風暴。

2 系統(tǒng)分析

廣州地鐵3號線呈南北 “Y”字形走向，由原3號線和北延段構成，兩段線路的SMC系統(tǒng)采用了不同的結構，本文主要針對網(wǎng)絡風暴的防御能力進行分析，探討在日常維護工作中應采取的相應措施。

2．1 增加防火墻

SMC系統(tǒng)的連接如圖1所示。3號線各車站及車輛段的各類工作站連接到車站交換機，中間經(jīng)過SDH網(wǎng)絡到達OCC通信設備房，OCC通信設備房的交換機和信號設備房的交換機之間使用防火墻。

抗菌藥說明書［適應癥］不符合抗菌藥說明書撰寫技術指導原則的主要表現(xiàn)有：適應癥沒有按照“本品適用于治療由對本品敏感的XXX、XXX和XXX菌引起的YYY病。”的規(guī)范描述；沒有遵循“如果獲得的證據(jù)僅僅支持用于較大人群的亞群（例如，疾病輕微的患者或特殊年齡組的患者）應予說明”的規(guī)定；沒有遵循“在某些情況下有理由限制適應癥，例如，建議藥品不作為某種感染的一線治療”應予描述的規(guī)定；遺漏使用限制的內容。

圖1 3號線SMC系統(tǒng)連接簡圖

在3號線開通之初，信號設備房交換機和通信SDH網(wǎng)絡之間未安裝防火墻，各站點的交換機通過SDH網(wǎng)絡直接與中央交換機相連。因SDH網(wǎng)絡是3號線各系統(tǒng)公用的網(wǎng)絡，除了信號設備外還有許多其他系統(tǒng)的網(wǎng)絡設備也通過它來傳輸信息，因此網(wǎng)絡的安全性較低。還在調試階段，某天SRS工作站突然運行緩慢，發(fā)展到整個網(wǎng)絡的網(wǎng)速不斷下降，在本地工作站顯示網(wǎng)絡連接已連上，但維護人員在中心維護工作站Ping各工作站均顯示超時，通過監(jiān)控軟件發(fā)現(xiàn)系統(tǒng)的丟包率嚴重。以上現(xiàn)象確認為是一起網(wǎng)絡風暴引起的故障，最后在SMC系統(tǒng)增加了防火墻，問題得以解決。防火墻的引入使信號系統(tǒng)內部網(wǎng)絡免受其他非法用戶的侵入，建立一個安全的網(wǎng)關，起到隔離作用，能夠有效預防網(wǎng)絡風暴的發(fā)生。

2．2 采用VLAN技術

VLAN技術，可將連在同一個交換機上的不同設備屬于不同的網(wǎng)絡，阻止子網(wǎng)之間互相通信，縮小廣播域，減少網(wǎng)絡風暴的影響。因此對3號線SMC系統(tǒng)采用了VLAN技術，將LSMC和DTI劃分在2個不同子網(wǎng)中，使連在同一個交換機上的不同設備屬于不同的網(wǎng)絡，減少每個設備接收的廣播包數(shù)量，達到隔離廣播風暴的目的。

3號線北延段于2010年開通，其SMC系統(tǒng)連接如圖2所示。北延段在設計時充分考慮了有效性和可靠性，在接入3號線SMC系統(tǒng)前使用專用和獨立的DCS網(wǎng)絡，整個系統(tǒng)采用千兆光纖進行傳輸，且無需額外增加防火墻，網(wǎng)絡的安全性能大大提高。與3號線相同，北延段也利用了VLAN技術，將不同的設備類型劃分為不同的子網(wǎng)，提高了網(wǎng)絡的性能。

圖2 3號線北延段SMC系統(tǒng)連接簡圖

2．3 雙環(huán)冗余設計

北延段將整個網(wǎng)絡劃分為2個環(huán)，其中JCB、JCN、GZZ、RHZ、LGZ和DEPOT這幾個區(qū)域組成北環(huán)，南環(huán)則由 YTZ、MHY、JNY、THZ、UTZ、BYB以及JWZ構成。每個環(huán)的通信鏈路采用了冗余設計，當一條鏈路中的某個設備故障導致通信受阻時，系統(tǒng)將啟用第二條鏈路進行信息的傳輸。

3 預防措施

獨立網(wǎng)絡、VLAN技術以及雙環(huán)冗余設計，使北延段SMC系統(tǒng)對網(wǎng)絡風暴有更強的抵御能力。對于信號系統(tǒng)而言，網(wǎng)絡風暴造成的后果將十分嚴重，在日常維護工作中，應從技術、管理和應急等方面采取相應措施，預防網(wǎng)絡風暴的發(fā)生。

3．1 規(guī)范作業(yè)標準

不斷完善維修規(guī)程，要求維護人員在日常工作中嚴格按照標準進行作業(yè)，杜絕因作業(yè)不規(guī)范導致網(wǎng)絡風暴的發(fā)生。

1．在制作網(wǎng)線水晶頭后，利用網(wǎng)絡測試儀測試其性能是否完好，避免水晶頭壓制不好造成短路。

2．嚴禁將集線器代替交換機使用，在驗收交換機備件時加強識別。

3．對所有的USB端口、網(wǎng)絡端口進行封堵，并定期排查。

4．做好網(wǎng)絡流量的監(jiān)控。維護工作站的流量監(jiān)控軟件實時監(jiān)測網(wǎng)絡流量的異常變化，當某臺交換機端口流量突然劇增時，維護人員應及時斷開網(wǎng)絡連接并檢查設備性能。

5．做好殺毒防毒工作。在各工作站中都安裝防病毒軟件，定期殺毒及更新病毒庫。

3．2 加強人員培訓

對檢修人員定期培訓交換機、防火墻知識，開展透明式技術比武，以賽代練；同時將技術骨干送外培訓，對防火墻等知識進行深入學習，并在內部組織二次培訓，提高員工的技能及故障搶險能力。

3．3 健全管理制度

以安全生產(chǎn)為基礎，健全網(wǎng)絡安全管理制度，不斷強化紅線意識，要求每位員工對網(wǎng)絡風暴的危害有清醒的認識，嚴禁使用不安全的U盤、光盤或軟盤在SMC系統(tǒng)的工作站上拷貝數(shù)據(jù)，防止人為因素造成網(wǎng)絡風暴的發(fā)生。

3．4 制定應急預案

組織技術骨干編寫SMC網(wǎng)絡風險防控指導書和應急預案，將網(wǎng)絡中可能存在的風險點按影響進行分類，對備件管理、搶修組織、信息匯報等方面制定了詳細的應急預案。有計劃地開展故障演練，當發(fā)生網(wǎng)絡風暴時各級人員能夠快速做出反應，及時應對并采取有效措施，保證網(wǎng)絡安全運行。

4 總結

總之，網(wǎng)絡風暴的產(chǎn)生主要是由網(wǎng)絡設備的性能、網(wǎng)絡拓撲結構及網(wǎng)絡安全等因素導致的。信號系統(tǒng)是地鐵運營的關鍵設備，要防患于未然，防止網(wǎng)絡風暴的出現(xiàn)，必須在日常維護工作中從技術、管理及應急等方面加以考慮，才能確保行車的安全與順暢。

［1］ 楊風暴．計算機網(wǎng)絡教程［M］．北京：國防工業(yè)出版社，2006

［2］ 廣州地鐵3號線北延段信號系統(tǒng)技術規(guī)格書［R］．廣州市地下鐵道總公司，2010（10）．