打造新型数字电视台
—H3C电视台非线编存储解决方案
当今,数字化已经成为时代潮流和发展的方向,高清、移动、互动等成为电视新业务的发展重点,如何以较短的时间,较低的成本,最安全的方式,使我国庞大的电视系统实现数字化,是我们面临的一个重要课题。对于电视台不论是非线性编辑制系统和媒资系统,还是办公网的企业门户网站和网络电视(WEBTV)、数字电视应用开展,存储系统的建设都是非常重要的,各种素材和音、视频资料的数据都是电视台业务最直接的表现形式,也是数字化电视台的最重要素。作为电视台业务最重要的非线性编辑制系统,存储系统的设计更是十分重要,直接影响着电视台后台业务的顺利进行。
非线性编辑制系统存储设计
非线性编辑制系统通常采用FC-SAN高速光纤通道存储备或者千兆以太网IP-SAN存储设备,要求能实时读取供节目编辑制作使用的视音频素材,对存储系统的高性能、稳定性、可靠性要求很高。 特别在非线性编辑环节,由于非线性编辑的特殊性,对提供中心存储的存储设备的要求更高,要求稳定的高带宽、低延迟等等,而选用何种存储设备也和电视采用何种非线性编辑技术和设备密切相关。同时,由于在非线性编辑环节电视台将有大批的工作站接入,选用不同的技术和设备,对成本的影响比较大,非线编系统的设计在强调高性能高稳定的同时,高性价比也十分重要。现今,电视台非线性编辑技术得到了快速和突破性的发展,在存储领域和以太网领域,相关技术也得到快速的发展。当前在电视台的制作系统中,主要存在传统的双网架构和单网架构两种模式,下面我们将针对这两种架构进行介绍,同时将重点介绍H3C 公司在单网架构中的IP-SAN存储系统。
FC+以太的双网结构
众所周知,前几年建设的非线性编辑制作网系统都采用FC(即Fiber Channel网络)+以太的双网结构,在双网结构中,以太网负责元数据信息的传输,FC网负责视音频大文件的传输,保障高质量视频文件的采集、在线编辑和下载。
当然,双网架构有着其产生和应用的背景: 早期的PC平台不足以对高质量视频数据进行实时处理,出现了采用专用视音频处理板卡的折衷方案。传统的非线编工作站采用了此类专用硬体编辑卡,因为板卡上的硬件缓存很小,编辑工作站需要长时间得到一个恒定的高带宽。否则,在进行节目上下载或在线编辑时,只要网络带宽出现瞬间的降低,低于编辑制作所要求的带宽时,在工作站端就会出现视频画面闪黑,使得节目的上下载和播出发生问题。配套此类采用专用硬体编辑卡的工作站,双网结构的优点在于,FC网络和以太网络分别传输不同类型的数据,从而每个编辑工作站都能获得一个稳定的带宽。但是,现今随着CPU+GPU+I/O板卡技术的发展成熟,通过软件方式来实现视音频节目编辑已经在各大电视台普遍采用,基于iSCSI的IP存储技术的不断发展和在电视台非线编环境中的普遍应用,最初通过采用双网架构保证非线编工作站专有带宽的必需性、必要性已不大。
同时,双网结构也有一些问题,面临未来发展出现应用瓶颈,总体来说分为以下几点:
资金投入量大:采用FC存储设备,无论是FC交换机还是非线编/上传下载工作站端必需安装的专有FC HBA卡,价格都十分昂贵。需要一次性投入的资金量大,但非线性网络系统的建设需要分期完成,且初期投资比较小。特别不适合中小型电视台的非线编网建设。
维护成本高:FC网+以太网,组网结构复杂,安装调试和维护难,不适合中小型的电视台。
兼容性差:由于历史遗留FC-SAN协议本身的封闭性和管理协议的缺乏,导致了不同种类的FC设备(FC-SAN存储设备、FC交换机、FC HBA卡)之间存在严重的互操作性问题、而各个厂家的FC存储设备的数据管理功能(如卷管理、数据快照、远程复制等)
互通性也非常差。最终电视台各个子系统间(例如新闻节目和体育节目的制播系统之间、新闻节目的制作编辑环节和播出环节的FC-SAN存储系统之间)各自为战,同时管理上也陷入难以统一管理的泥潭之中。
可升级性差:采用FC-SAN+ 以太网的双网架构,在建设完成后,若后期扩大规模,对FC-SAN的升级性较差,可能会需要更换FC交换机。
基于以太网和IP存储的单网结构
当今,CPU+GPU+I/O板卡技术已经发展成熟,通过软件方式来实现视音频节目编辑已经在各大电视台普遍采用,单网架构,即基于以太网结构存储和传输技术的非线性编辑网络理念,配合CPU+GPU+I/O板卡技术的非线性编辑制作工作站 ,采用iSCSI存储设备,提供在IP网络上应用大容量存储的解决方案。
单网结构图如下所示:
单网结构的发展得益于以下三大技术的成熟发展:
基于CPU+GPU+I/O板卡技术的不断发展:新PC平台架构推出,新一代的CPU、GPU和PCIE总线技术已经彻底解决了编辑系统纯软件编辑所面临的技术障碍,完全能满足标准清晰度视频画面的实时处理。而大容量缓存和帧缓冲技术可以大大降低了网络流量不均衡给非编系统造成的影响。
以太网的普及和成熟发展:大量服务器采用千兆以太网网卡, 10Gbps已经走出实验室阶段进入产品销售,成品的10Gbps以太网设备与2Gbps的光纤通道设备成本大体相当。
IP存储技术的发展和普遍应用: 基于iSCSI的IP存储技术经IETF组织 2003年正式标准化以后,得以不断发展,iSCSI集SCSI、以太网和TCP/IP等技术于一身,具有很多的优点,特别适合于低成本、高效能,以及连续成长型的新媒体多业务应用平台。
目前IP存储的单网架构在各大中型电视台得到了普遍应用, IP存储的单网架构有具备如下特点和优势 :
维护成本低:单网网络结构简单,安装调试和维护方便
更高的兼容性、稳定性:彻底脱离了硬件编辑卡的限制,极大提升了编辑系统的兼容性和稳定性。同时IP存储建立在标准的TCP/IP协议之上,具备最大的开放性、标准性。以提供最大的兼容性,以真正实现统一数据管理,以更好地实现升级、扩容。
IP存储和SAN交换机都支持9K巨型帧:IP存储和IP SAN以太网交换机能很好支持以太网9K巨型帧技术,提升整网性能,以满足非线编网大数据流应用需求。
和双网结构很好的融合:ISCSI存储系统可以和双网架构FC-SAN存储系统很好地融合。能很好满足电视台分期建设和升级改造的实际情况,例如电视台初期建设采用FC设备作为核心存储设备。由于业务量的增加或在线时间变长,FC存储设备的容量明显不足,购买新的FC存储和增加FC交换机端口不仅投资较大,还面临兼容性、管理性等储多难题。此时可轻松在其双网架构中增加ISCSI设备就可以实现存储容量的扩充,主机端只需要做一下简单的配置修改。
性能价格比高:资金投入量少,能很好满足电视台非线编网大容量存储需求。
大量的成功应用:IP存储技术是未来的发展方向,更是中小型电视台的最佳选择。
H3C 非线编制作网存储解决方案
如上图所示,解决方案主要采用了以IP-SAN存储系统和以太网交换机的单网架构。
对大型电视台,在方案中采用H3C企业级Neocean IX3000或IX3600万兆存储系统,利用IP技术的高性能、低成本和标准化的特性,突破了传统FC-SAN存储产品的各种结构局限和应用困境,在电视台的非线编应用上体现出卓然超群的特性和巨大的灵活性、扩展性、兼容性、稳定性。IX3000采用革命性的SAS技术打造高性能、高扩展的数据管理平台,内部数据交换带宽高达72Gb,而IX3600提供4个万兆访问接口,提供高带宽访问能力,适用于电视台性能要求苛刻的非线编应用。
对中小型电视台,采用EX1000存储系统,EX系列基于64位硬件体系和64位专用存储操作系统,保证了系统在海量数据存取时的性能和可靠性。单台EX1000可容纳16块企业级SATA II硬盘,最大容量可达到12TB,提供最高410MB/s的带宽吞吐量和54,000 IOPS的处理能力。多台EX系列产品可通过前端交换机进行横向扩展,整个存储系统的性能、容量和可靠性可线性增加。同时,EX1000存储系统拥有4个前端GE接口,可连接服务器或IP SAN网络交换机,4条数据链路支持链路聚合和动态故障切换,在保证数据读写带宽的同时保障数据通路的可用和畅通。
对于单网落网络交换采用H3C全千兆智能弹性交换机S5648P和全万兆交换机S7500E、S9500。其中,S5600提供高密度的全千兆电口,通过其千兆铜缆连接到各工作站和存储系统上,连接带宽可以采用 GE的连接,也可以采用链路聚和的方式达到N*GE的带宽。S5648P支持IRF智能弹性堆叠,方便将来很好地扩展,同时支持双路万兆上联,避免了存储系统成为性能瓶颈。而S7500E和S9500全万兆交换机提供足够的千兆和万兆接口、丰富的QoS功能,更加适合大型电视台非线编网采用。
结语
目前,以以太网和IP存储技术的单网架构在电视台行业已经得到了普遍应用,IP存储技术具有低廉、开放、大容量、传输速度高、安全等诸多优点,非常适合需要在网络上存储和传输大量数据流、需要网络化共享的非线性编辑网应用环境,同时IP存储提供低成本、高可用性、高安全、安装和后期维护简单方便优点,从而全面提升电视台共享存储效率和管理效率。
H3C报业全方位
终端准入安全防御解决方案
信息技术的快速发展,使越来越多的报社加速实施基于基础信息化网络平台,以提高报社的服务水平和核心竞争力。最为突出的一点就是各报社为了提高采编效率,为每位记才配备了笔记本电脑,而报社内、外网融合导致越来越多的固定计算机具备了Internet上网权限,在这种情况下,如何防范非法PC接入到报社网络中,如何防范合法计PC在安全状态不满足要求的情况接入到报社网络中,保障终端PC的安全是实现报社信息安全的首要前提。
如何确保网络中的终端安全状态符合报社网络统一的安全策略,是每一个网络管理人员不得不面对的挑战。新的系统补丁发布了,却无人理会,任由系统漏洞存在;新的病毒出现了,却不及时的升级病毒库,为病毒入侵大开方便之门;报社的办公终端却安装了一些与工作无关的游戏、聊天软件等,给网络留下安全风险的同时,更是直接影响工作效率,远程VPN接入用户的安全接入问题如何管控,这种种情况在现在报社网络中普遍存在,然而,管理人员在查找、定位、修复这些不符合安全策略的用户终端时,却是一件费时费力令人头痛的事情。目前,报社网络中正是因为缺少一套有效的智能监管系统,致使报社制定的一些安全策略、安全规章制度与用户实际执行的情况严重脱节,安全问题不断涌现,给报社的正常业务运行造成了很大的影响。
在医学上,如果在一个区域发生传染疫情,为了避免疫情的进一步扩散,通常所采用的手段就是隔离,“非典”期间对“发热疑似病例”和“确诊病例”的隔离就是一个典型的例子。而在我们的网络中,如果一台终端PC感染了网络病毒,在接入网络之前没有做任何的检查,或者采取的防范措施不到位,网络病毒很容易就会传播到其他用户终端、报社的信息服务器等,直接影响整个网络的稳定运行,这无异于一个“非典病人”进入了人群密杂的大型商场,后果不堪设想。针对这种情况,如果有一套系统能够智能地识别存在安全威胁的主机,在其接入网络时,将该用户终端转移到一个“隔离区”,在该区域进行病毒库的升级、打上最新的系统补丁,卸载非法软件等操作,然后再对其进行安全评估,直到符合我们制定的安全策略之后,才让其进入我们的报社网络,就可以最大限度地避免“疫情扩散”,造成不必要的损失。
基于上述检查、隔离、治疗的思想,H3C推出了面向局域网络接入终端、广域网络边界以及VPN用户的终端准入集身份认证、行为授权、安全防护的一体的行之有效的“端点准入防御”解决方案(EAD-Endpoing Admission Defense)。系统从网络终端入手,整合网络接入控制与终端安全产品,强制统一实施网络安全策略,从而加强网络终端的主动防御能力,防止“危险”、“易感”终端接入网络,控制病毒、蠕虫的蔓延。这种端到端的安全防护体系,可以在报社任何网络接入终端的接入层面帮助管理员统一实施报社的网络安全策略,大幅度提高报社网络的整体安全管控水平。
在报社网络系统中,H3C EAD解决方案从以下四个步聚解决网络内部接入安全问题:
首先要解决的是“你是谁?”的问题,即要对用户进行识别,是谁进入到我们的网络当中来,我们只允许本报社或经过授权的外部工作人员使用我们的网络,其他人员一律拒之门外。
其次是“你安全不?”,要对接入网络的用户进行安全评估,看其是否符合我们制定的安全策略,如果用户终端存在安全风险,如没有更新系统补丁、病毒库,安装了非法软件的用户,则强制隔离起来,待消除安全风险后,方可接入报社网络。
接下来就是要解决用户进入网络后,可使用什么网络资源,不可以使用什么网络资源的问题,即用户权限划分问题。用户进入报社网络后,根据用户的不同身份与职责进行权限划分,使用户按照自已的权限访问网络,避免网络资源的滥用。
最后,要实现对用户的网络行为的事后记录功能,使用户的网络行为有迹可寻,有据可查。
确保接入终端安全的四步聚,如图(1)所示:
通过在报社网络中部署EAD系统,经过层层安全审查与过滤,确保每个接入网络的终端是安全的,这样就不会有存在安全威胁的终端进入网络,使我们拥有一个“干净”的网络环境。
有了功能如此强大的系统,如何快速地部署到我们报社网络当中呢?别急,接入来,我们得了解一下H3C EAD系统是由哪几部分组成的,知道了EAD系统各部分的功能,然后在网络中部署就非常清楚了。
EAD系统基本部件包括安全客户端、安全联动设备、安全策略服务器以及防病毒服务器、补丁服务器等第三方服务器。EAD系统中的各部件各司其职,由安全策略中心协调与整合各功能部件,共同完成对网络接入终端的安全状态评估、隔离与修复,提升网络的整体防御能力。
安全客户端:H3C iNode 智能客户端,是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体;
安全策略服务器:CAMS服务器,EAD系统的核心是整合与联动,而安全策略服务器是EAD方案中的管理与控制中心,兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能;
安全联动设备,是网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同,安全联动设备可以是交换机、路由器或防火墙安全网关,分别实现不同认证方式(如802.1x、Portal等)的端点准入控制。
第三方服务器,是指处于隔离区中,用于终端进行自我修复的防病毒服务器或补丁服务器。网络版的防病毒服务器提供病毒库升级服务,允许防病毒客户端进行在线升级;补丁服务器则提供系统补丁升级服务,当用户终端的系统补丁不能满足安全要求时,可以通过补丁服务器进行补丁下载和升级。
下面就根据报社网络接入的几个场景介绍一下典型的组网方案。
报社内部办公局域网EAD解决方案从两个方面来考虑,第一种是直接在接入层部署802.1X认证设备,这种部署方式更为严格,用户只要接入网络,就要受到严格的安全认证与控制,另外一种部署方式就是在网络汇聚层进行部署,这种部署方式更适合在原来网络的改造基础上部署EAD解决方案,来解决用户终端的安全接入问题。
接入层交换机实施EAD的组网方案
EAD可以配合接入层交换机,通过802.1x认证方式实现对接入用户的端点准入控制。在这种组网方案中,策略强制执行点在接入层交换机上,具有对不符合安全策略的用户隔离严格的特点,可以有效防止来自报社网络内部的安全威胁。但这种组网方案要求接入交换机支持EAD功能。如下图:
汇聚层交换机实施EAD的组网方案
如果接入交换机不支持EAD功能,也可以在汇聚交换机上启用EAD功能来执行端点准入的控制。在这种组网方案中,安全策略的强制执行点在汇聚层交换机上。对于接入层交换机内部之间的互访,可以启用端口隔离、PVLAN等安全功能,来防止接入层交换机内部主机的相互影响。如下图:
针对媒体报社的特殊性,有众多的记者驻外,还要及时地向总部传输一些文档或视频信息,为了确保这些应用的安全性,采用VPN接入的方式是最为理想的,H3C EAD解决方案也可以为VPN接入用户进行安全准入防御控制,确保不论是内部局域网用户还是远程VPN用户,都不会对报社的安全运行产生威胁。
EAD VPN 组网方案适用于报社小型驻外机构和出差人员利用iNode VPN 客户端软件从远程公共网络通过加密隧道(IPSec+L2TP)实现和报社总部之间的网络连接以及身份认证、授权、审计。而公共网络上其它用户则无法穿过虚拟隧道访问报社网内部的资源。
H3C EAD解决方案提供了一个全新的安全防御体系,将防病毒功能与网络接入控制相融合,加强了对用户终端的集中管理,提高了网络终端的主动抵抗能力。EAD解决方案通过安全客户端、安全策略服务器、接入设备以及第三方软件的联动,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击,从而大幅度提升报社网络抵御各种安全威胁的能力。