張路 汪非 （天津泰達有線電視網(wǎng)絡(luò)有限公司 天津300456）

廣電IP網(wǎng)絡(luò)概述及安全優(yōu)化

張路 汪非 （天津泰達有線電視網(wǎng)絡(luò)有限公司 天津300456）

泰達有線電視網(wǎng)絡(luò)有限公司作為網(wǎng)絡(luò)運營主體，在建網(wǎng)初期就將有線電視網(wǎng)絡(luò)定位在可提供多業(yè)務(wù)支撐的綜合信息網(wǎng)。概述了泰達有線電視IP系統(tǒng)構(gòu)成、現(xiàn)狀，提出IP骨干網(wǎng)的整體安全優(yōu)化方案。

IP 骨干網(wǎng) 廣電

1 IP網(wǎng)絡(luò)系統(tǒng)概述

經(jīng)過3年左右的建設(shè)，泰達有線電視網(wǎng)絡(luò)已逐步完善，涵蓋了整個開發(fā)區(qū)，并實現(xiàn)了開發(fā)區(qū)和開發(fā)區(qū)西區(qū)、中新生態(tài)城的互聯(lián)，在整個開發(fā)區(qū)形成了一個主干1 000 M帶寬的傳輸網(wǎng)絡(luò)體系。整個骨干網(wǎng)已實現(xiàn) WWW、DNS、WEBMAIL、FTP、VOD點播系統(tǒng)、BOSS計費系統(tǒng)、辦公自動化系統(tǒng)（OA）、用戶上網(wǎng)和企業(yè)VPN接入等網(wǎng)絡(luò)服務(wù)。泰達有線電視數(shù)字網(wǎng)已完成建立在數(shù)字電視及寬帶業(yè)務(wù)平臺之上的交互數(shù)字電視平臺，可以提供VOD、IP電話、銀聯(lián)在線繳費、信息瀏覽、游戲、電視購物、股票等業(yè)務(wù)。交互電視可以有效利用泰達有線電視網(wǎng)絡(luò)有限公司在網(wǎng)運行的Cable Modem資源，引導用戶從寬帶業(yè)務(wù)進入交互電視業(yè)務(wù)。同時，雙向機頂盒作為一個重要的接入資源，又能夠把互聯(lián)網(wǎng)接入業(yè)務(wù)引入用戶家庭，從而為數(shù)據(jù)業(yè)務(wù)和電視業(yè)務(wù)的組合營銷創(chuàng)造更大的發(fā)展空間。泰達有線電視網(wǎng)絡(luò)有限公司已經(jīng)實現(xiàn)同時運營數(shù)字電視業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)和其他增值業(yè)務(wù)，并具備了向市場提供IP語音服務(wù)的能力，這正是電信業(yè)務(wù)融入廣電業(yè)務(wù)的一種理想狀態(tài)。

圖1 網(wǎng)絡(luò)拓撲圖

2 IP系統(tǒng)現(xiàn)狀

2.1 骨干網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)及設(shè)備

根據(jù)開發(fā)區(qū)用戶區(qū)域特征，泰達有線電視網(wǎng)絡(luò)有限公司將整個開發(fā)區(qū)分為5個主要節(jié)點：A節(jié)點為主節(jié)點，負責Internet接入，VoD系統(tǒng)接入，計費系統(tǒng)接入，也負責部分個人用戶的接入；B和C兩個節(jié)點主要承載個人用戶，其中大部分為寬帶接入和視頻點播的業(yè)務(wù)；D和E兩個節(jié)點主要承載企業(yè)用戶，基本以數(shù)據(jù)傳輸為主。

各個節(jié)點之間都是使用兩條千兆光纖組成的channel相連，形成一個環(huán)網(wǎng)。由于A、B、C 3個節(jié)點是使用VOD的主要節(jié)點，流量較大，所以A節(jié)點分別與B、C節(jié)點之間有一條萬兆的鏈路相連，提供高效的數(shù)據(jù)轉(zhuǎn)發(fā)。

目前泰達有線電視網(wǎng)絡(luò)有限公司骨干光纖網(wǎng)共配置一個核心前端4個分前端，網(wǎng)絡(luò)拓撲如圖1。

此次項目選擇的骨干路由器為Cisco7600系列路由器。配置如下：A前端，雙SUP720G引擎Cisco7609路由器一臺；B前端，SUP32G引擎Cisco7604路由器一臺；C前端，SUP32G引擎Cisco7604路由器一臺；D前端，SUP32G引擎Cisco7604路由器一臺；E前端，SUP32G引擎Cisco7604路由器一臺。

2.2 路由協(xié)議的選擇

開放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）協(xié)議作為一個開放性的協(xié)議，在大多數(shù)廠商的產(chǎn)品中都能夠支持。這也為以后升級擴展奠定了基礎(chǔ)。OSPF具有支持大型網(wǎng)絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點。

OSPF路由器之間使用鏈路狀態(tài)通告（LSA）來交換各自的鏈路狀態(tài)信息，并把獲得的信息存儲在鏈路狀態(tài)數(shù)據(jù)庫中。各OSPF路由器獨立使用SPF算法計算到各個目的地址的路由。

OSPF協(xié)議支持分層路由方式，這使得它的擴展能力遠遠超過RIP協(xié)議。當OSPF網(wǎng)絡(luò)擴展到100、500甚至上千個路由器時，路由器的鏈路狀態(tài)數(shù)據(jù)庫將記錄成千上萬條鏈路信息。為了使路由器的運行更快速、更經(jīng)濟、占用的資源更少，網(wǎng)絡(luò)工程師們通常按功能、結(jié)構(gòu)和需要把OSPF網(wǎng)絡(luò)分割成若干個區(qū)域，并將這些區(qū)域和主干區(qū)域根據(jù)功能和需要相互連接，從而達到分層的目的。

OSPF的特性：使用了區(qū)域的概念，支持無類路由，完全支持超網(wǎng)，可變長子網(wǎng)等無類特性，支持較大型的網(wǎng)絡(luò)，收斂速度快，使用組播地址來進行信息互通，支持使用多條路徑的效率更高的等價負載均衡，安全性高。

目前所有骨干路由器都在一個骨干區(qū)域area 0內(nèi)。

泰達有線電視網(wǎng)絡(luò)有限公司IP骨干網(wǎng)是開放式的網(wǎng)絡(luò)，所以我們需要在OSPF中配置加密認證，防止外界攻擊IP骨干網(wǎng)的OSPF。為防止因監(jiān)聽而導致的認證口令泄露的情況，我們采用OSPF中的MD5加密認證方式。

同時，考慮到以后系統(tǒng)的擴容開發(fā)，可能會連接一些除Cisco以外的廠商的設(shè)備，不能很好的支持OSPF認證或是MD5加密認證方式，我們采用OSPF鏈路認證方式，沒有采用OSPF區(qū)域認證方式。

3 IP骨干網(wǎng)的整體安全優(yōu)化

考慮到IP骨干網(wǎng)承載著多種業(yè)務(wù)的接入，安全方面的問題便逐漸顯現(xiàn)出來，既要保證各種業(yè)務(wù)流暢的運營，也要考慮到幾種業(yè)務(wù)互不干擾；既要滿足各種接入方式的實現(xiàn)，還要保障自身系統(tǒng)的安全性。

網(wǎng)絡(luò)運營的主要兩種業(yè)務(wù)分別是VOD視頻點播以及寬帶上網(wǎng)，針對VOD點播，骨干路由器A到B，和A到C各有一條10 GE的光鏈路，根據(jù)不同前端用戶的點播請求，利用策略路由將回應(yīng)用戶的視頻流指向這兩條10 GE鏈路，也可以說這兩條10 GE鏈路是專門提供視頻點播推流的。另外，VOD用戶與寬帶用戶獲取的IP地址也不是一個網(wǎng)段的，這樣在CMTS頭端設(shè)備上將兩個業(yè)務(wù)直接區(qū)分開。針對VOD點播的特點，它只需要訪問特定的幾個網(wǎng)段和特定的端口，這樣可以針對這些VOD用戶的IP地址實施嚴密的訪問控制，以免用戶端私接設(shè)備對系統(tǒng)造成安全隱患。寬帶用戶只需要訪問Internet就可以了。由此對于這些IP端的用戶對VOD系統(tǒng)的訪問就可以控制起來了。

在主要業(yè)務(wù)運行的同時，也有一些增值業(yè)務(wù)，VOIP和VPN等等。對于VOIP來講，應(yīng)該是本網(wǎng)優(yōu)先級最高的，這樣從用戶端設(shè)備劃分好vlan,在CMTS設(shè)備區(qū)分出來數(shù)據(jù)流，打上標記，將其優(yōu)先級提上來，保證用戶語音通話的質(zhì)量。

4 結(jié)論

可見IP網(wǎng)絡(luò)在當今網(wǎng)絡(luò)時代的確是不可或缺的，IP網(wǎng)絡(luò)的優(yōu)勢隨處可見，快速部署，完善的安全管理，對于數(shù)據(jù)流的控制相對自由，這樣在IP網(wǎng)絡(luò)中我們可以實現(xiàn)多種多樣的業(yè)務(wù)綜合運營?！?/p>

2011-05-09