智慧电台机房网络架构:网闸、专线、局域网怎么排
KAVANA 工程团队 — 2026 年 6 月
广播机房的网络架构,是一个被讨论得少、被误解得多的话题。
外行看机房,觉得就是几台服务器、一堆网线、一个路由器。行内人知道,播出级机房的网络,是要按照等保标准分区隔离的,生产网、办公网、互联网三层的物理和逻辑隔离,稍微搞错一个节点,轻则系统合规检查不通过,重则播出事故。
这两年,随着 AI 系统进机房,这个问题变得更复杂了。AI 服务需要访问互联网(云端 API、模型更新),也需要接触生产内网(播出调度、素材存储),这两个需求之间存在天然的安全张力。
这篇文章,我把我们在实际部署中见过的架构模式整理出来,重点讲清楚三层网络怎么分、AI 系统落在哪一层、隔离设备怎么选。
等保对广播机房网络分区的基本要求
先说合规背景。
国家对广播电视播出机构的网络安全要求,主要来自两个体系:等级保护(等保) 和 广电行业专项安全规范。对于地市级以上广播台,播出系统通常被定为等保三级,这意味着必须有完整的安全分区和访问控制。
对网络分区,等保三级的要求核心是:不同安全域之间不能直接互通,必须经过受控的边界设备做访问控制。
在广播机房的语境下,通常划分为三个安全域:
播出生产网(最高安全域):包含播出服务器、播控系统、音频矩阵、采编工作站(用于直接处理播出素材的部分)。这个网络对外完全隔离,不允许任何未经授权的出入口。
办公内网(中等安全域):行政、采编(非播出侧)、新媒体运营等。可以访问互联网,但与生产网之间有明确隔离。
互联网接入区(最低安全域):云 API 调用、外部数据接入、远程维护通道都在这一层。
三层之间的边界,不能只靠 VLAN 或软件防火墙——这是最常见的误区,我们后面专门讲。
KAVANA 系统部署在哪一层
这个问题我们被很多台的工程师问过,因为 KAVANA 系统有本地部署部分,也有云端 API 调用部分,两者分属不同安全域,必须明确。
本地部署部分(落在生产网):
KAVANA MGR 播出管理系统、DOG 自动播出执行引擎、播出调度和队列管理,这些组件直接参与播出流程,必须部署在生产网内。这些组件不主动访问互联网,只在生产网内与播出硬件交互。
具体来说,KAVANA MGR 作为播出管理核心,驻留生产网,所有播出指令的发起和确认都在生产网内完成,不经过互联网边界。DOG 播出引擎 同样只在生产网内运行,接收 MGR 的指令,驱动音频矩阵和播出设备。
AI 处理部分(落在隔离区或办公网):
TTS 合成、ASR 转写、LLM 文案辅助,这些 AI 处理任务在时效上有一定弹性——不需要和播出硬件实时交互,只需要在播出前一段时间完成素材准备。因此可以部署在办公网或隔离区,通过受控接口向生产网推送已完成的音频文件。
KAVANA AI 合成系统 的设计里,AI 处理节点和播出节点之间只有单向数据流:AI 侧生成音频文件,经审核后推入生产网素材库;播出侧从素材库调取,不反向访问 AI 节点。这个单向性很重要,是维持安全域隔离的关键设计。
三层之间的隔离设备:硬件网闸、软件网闸、防火墙各用在哪
分区划清楚之后,边界设备的选择是最容易被将就的一步。
播出生产网与办公网之间:硬件网闸(必选)
等保三级要求,生产网和办公网之间必须使用物理隔离设备。硬件网闸(也叫单向导入设备、物理隔离闸)的原理是把数据拆包、检查、重新封装,两侧网络之间不存在任何直接的 TCP/IP 连接。
我们见过有台在这个位置装了 VLAN 分割加软件防火墙,说"效果一样"。这在技术上说不通——VLAN 是逻辑隔离,同一台核心交换机上的两个 VLAN 之间,在交换机被攻陷或配置出错的情况下可以互通;软件防火墙跑在通用操作系统上,操作系统本身就是攻击面。等保检查时,这种方案大概率不通过。
硬件网闸的价格,中端产品在 8-15 万区间,对于地市级以上的台不是大数目,不要在这里省。
办公网与互联网接入区之间:软件防火墙(主流选择)
办公网和互联网之间,一般用商用防火墙(华为、奇安信、天融信等主流品牌都可以)。这一层的隔离没有强制要求物理隔离,但要有完整的访问控制策略:默认拒绝、按需开放、出入口流量审计。
云 API 调用(TTS、ASR、LLM)从办公网或隔离区发出,经防火墙出口到互联网,回包经同一防火墙入站。这条链路在防火墙侧要有明确的白名单——只允许特定 IP 和端口,不能开"全放行"。
生产网内部:wav9 格式防火墙(广播专项)
这是一个广播行业的特殊需求,外行容易忽视。
广播生产网内部,音频数据在系统间流转,主要格式是 WAV 和 PCM。内部防火墙要能识别和检查这些格式,而不是只看 TCP/IP 层的包头。"wav9 防火墙"是行业俗称,指的是在生产网内部对音频数据流做深度包检查(DPI)的安全组件。
KAVANA 的播出系统在生产网内设计了内容完整性校验机制,每个音频文件在进入播出队列前都有格式验证和元数据核对,防止被篡改的音频文件进入播出链路。这不完全是防火墙功能,但起到类似的保护作用。
一个省级广播台的真实案例
这个案例来自我们实际参与的一个部署项目,电台名称做了模糊化处理。
这家台有四个频率,原有机房网络是"一张平面大网"——播出服务器、采编工作站、行政办公机,同一个 IP 段,靠各自的操作系统账号做访问控制。这在 2015 年之前很普遍,当时合规要求没这么严格。
2023 年等保评估,被整改通知,要求重新做网络分区。整改预算批下来,找到我们一起做技术方案。
整改方案分三步:
第一步,重新规划 IP 地址段,把播出、采编、行政分进三个独立段,网络交换机做 VLAN 分割。这一步主要是打基础,工作量在于梳理现有设备的 IP 分布,有些老设备 IP 地址是硬编码在软件里的,改起来很麻烦。
第二步,在播出网和采编网之间安装硬件网闸。选了一家国产品牌,中端型号,单向导入,只允许采编侧向播出侧推素材,不允许反向连接。这一步的难点是在原有播出流程中加入文件交换节点,不能影响现有播出的连续性。
第三步,AI 系统的网络接入。AI 处理节点部署在采编网,云 API 调用通过采编网出口到互联网。生成的音频素材,经硬件网闸单向推入播出网素材库。KAVANA 的播出系统从素材库调取,不需要直接访问 AI 节点。
整个改造完成用了三个月,最后等保评估通过,没有重大整改项。
常见误区整理
结合我们在各台的经验,整理几个高频误区:
误区一:用 VLAN 替代硬件网闸。前面说过,VLAN 是逻辑隔离,等保三级不认。生产网和办公网之间必须有物理隔离设备。
误区二:AI 服务器直接连生产网。有台嫌麻烦,把 AI 服务器直接接进生产网,图的是素材传输方便。但 AI 服务器本身需要访问互联网(更新模型、调用云 API),一旦接进生产网,就在生产网里引入了互联网出口,直接破坏了分区的意义。
误区三:云 API 调用不做白名单。办公网出口防火墙的 AI 调用规则,有台设置成"允许 443 端口出站全放行",这等于没有防火墙。正确做法是只放行 AI 服务商的特定 IP 段,定期核对,有变化及时更新。
误区四:忽略内网横向移动风险。大多数台只关注"外面的攻击怎么进来",忽略了"内网里一台机器被攻陷之后横向扩散"的问题。生产网内部也需要最小权限原则,播出服务器只开放必要的端口,工作站之间不允许自由互访。
给县级台的简化版建议
上面讲的很多内容针对地市级以上的台,有专职 IT 人员,能做完整的三层架构。
对于人手有限的县级台,如果暂时没条件做完整的三层网络分区,至少要做到这几点:
播出服务器和上网机器,物理上不连同一台交换机。AI 系统需要联网就单独配一台机器,不要装在播出服务器上。所有 AI 生成的内容,通过移动存储或专用传输通道进播出网,不要直连。
这不是完美方案,但比"一张平面大网"要安全得多,也能应付基础的合规检查。
等到台里有条件升级架构,再按完整三层方案来做。
KAVANA 工程团队在广播机房网络安全领域有二十年实践经验,如需方案咨询,可通过官网联系我们。