構建可控的IPTV內(nèi)容匯聚網(wǎng)絡

引言： 在三網(wǎng)融合加速推進和4K產(chǎn)業(yè)鏈趨于成熟的形勢下，各電信運營商都在積極探索新的IPTV業(yè)務運營模式。以甘肅電信為例，為豐富節(jié)目內(nèi)容并且形成競爭格局，先后引入了多家服務提供商(以下簡稱SP)向用戶提供視聽業(yè)務，若繼續(xù)沿用原有SP直接互連IPTV平臺的方式，在路由控制、網(wǎng)絡可靠性和維護便捷性方面都將出現(xiàn)問題。

在三網(wǎng)融合加速推進和4K產(chǎn)業(yè)鏈趨于成熟的形勢下，各電信運營商都在積極探索新的IPTV業(yè)務運營模式。

以甘肅電信為例，為豐富節(jié)目內(nèi)容并且形成競爭格局，先后引入了多家服務提供商(以下簡稱SP)向用戶提供視聽業(yè)務，若繼續(xù)沿用原有SP直接互連IPTV平臺的方式，在路由控制、網(wǎng)絡可靠性和維護便捷性方面都將出現(xiàn)問題。為此，公司新購兩臺S9306交換機，采用OPSF多進程和路由策略技術，實現(xiàn)了各SP與IPTV平臺的按需互通、各SP不可互通的需求，形成了自動負載分擔和冗余備份的格局；同時新購兩臺Secpath M9000 防火墻，采用SCF集群技術虛擬為一臺防火墻，既簡化了防火墻配置，又實現(xiàn)了負荷分擔，滿足了多SP對接IPTV平臺的經(jīng)濟性、靈活性和安全性需求。

原有SP與IPTV平臺網(wǎng)絡互連情況及問題

圖1 單SP接入IPTV平臺網(wǎng)絡拓撲

SP負責提供節(jié)目源，IPTV平臺負責實現(xiàn)節(jié)目內(nèi)容的分發(fā)、存儲、播放及用戶的管理。各SP一般都有自己的EPG，供用戶瀏覽檢索節(jié)目，此外各個SP大都通過總部向駐地下發(fā)EPG和影視節(jié)目，SP駐地要將影視節(jié)目的工單信息傳給當?shù)夭コ龉芾頇C構進行審核，審核通過后由IPTV平臺根據(jù)工單信息從SP駐地獲取媒體文件和描述信息，再由IPTV平臺向點播用戶進行播放。甘肅電信此前采用了兩個廠商的IPTV平臺，分別服務于不同地域的用戶。

可以看出，SP有總部與駐地互通、駐地與當?shù)夭コ龉芾頇C構、駐地與兩個IPTV平臺和IPTV用戶進行數(shù)據(jù)交換的需求，而各個SP之間并無通信需求。在只有一家SP時，采用專線電路方式和靜態(tài)路由方式實現(xiàn)與相關各方的連接和互通。

這種組網(wǎng)方式在只有一家SP對接IPTV平臺時是可行的，但當引入多家SP時將面臨以下問題：一是每個SP都要鋪設或占用到相關系統(tǒng)的傳輸鏈路，加劇了原本緊張的光纖資源；二是播出管理機構、IPTV 平臺的兩臺負荷分擔的交換機針對內(nèi)部的服務器啟用了VRRP，采用靜態(tài)路由實現(xiàn)鏈路保護和路由控制時比較復雜，且容易造成故障；三是一些規(guī)模較小的SP對總部與駐地之間昂貴的專線電路租費望而卻步，單獨采購防火墻也存在配置管理不統(tǒng)一的問題，有較大的安全風險。

IPTV內(nèi)容匯聚網(wǎng)絡規(guī)劃設計

1.物理拓撲設計

新增兩臺S9306設備定位為IPTV內(nèi)容匯聚平臺，與IPTV平臺、播出管理機構等形成口字型拓撲；各個SP駐地就近以裸纖直連的方式與兩臺S9306形成口字型連接，實現(xiàn)各個SP經(jīng)過S9306與相關系統(tǒng)作對接傳輸工單信息和內(nèi)容流入。

圖2 IPTV內(nèi)容匯聚網(wǎng)絡拓撲設計

新增兩臺EUDEMON1000E防火墻采用集群模式形成一臺虛擬防火墻，向上連通IP城域網(wǎng)省中心節(jié)點，向下以口字型對接兩臺S9306交換機，在公網(wǎng)環(huán)境下利用防火墻安全策略實現(xiàn)各個SP駐地與總部傳輸節(jié)目信息和省內(nèi)IPTV用戶訪問SP的EPG的通信需求。為便于維護，在設備互連時保持接口占用一致性，如兩臺S9306的Gi4/0/1分別連接CP1的兩臺交換機的Gi0/1口；為增強兩臺設備互連帶寬，在兩臺S9306之間采用e-trunk鏈路捆綁技術擴展帶寬，劃分子接口為各個SP、播出管理機構和IPTV平臺形成邏輯上的獨立的備用鏈路。新的網(wǎng)絡拓撲示見圖2。

2.IP地址規(guī)劃

為SP規(guī)劃16個C的私網(wǎng)IP地址10.x.240.0/20，對大型SP分配半個C的私網(wǎng)IP地址，對小型SP分配1/4個C的IP地址。為便于各SP的網(wǎng)絡平滑擴展，要求各SP用從起始IP地址開始預留32個IP地址用于網(wǎng)絡設備管理IP地址、鏈路互連等用途，對剩余IP地址按照服務器功能劃分網(wǎng)段，并使用VRRP協(xié)議在各SP的交換機與服務器之間形成冗余保護。從IP城域網(wǎng)申請一個C的公網(wǎng)IP地址，對各個SP駐地需要與外部通信的服務器進行IP地址NAT映射，并設置嚴格的白名單策略控制外部網(wǎng)絡對SP駐地服務器的訪問。

3.路由協(xié)議規(guī)劃

OSPF router-id采用S9306和M9000設備的loopback IP，統(tǒng)一配置為area 0，各OSPF接口啟用MD5加密，加密字符串由我公司統(tǒng)一確定,在S9306上對每個方向的系統(tǒng)啟用一個OPSF進程進行對接，各OSPF進程關聯(lián)S9306的外聯(lián)鏈路接口網(wǎng)段及S9306上互連子接口的網(wǎng)段，各SP交換機的OSPF進程關聯(lián)外聯(lián)S9306鏈路的接口網(wǎng)段、互聯(lián)VLAN接口的IP地址網(wǎng)段和相應的業(yè)務網(wǎng)段IP地址段，對每個SP系統(tǒng)形成口字型ospf閉環(huán)。規(guī)劃SP與S9306互連鏈路的cost為1000，兩臺S9306互連鏈路的cost為2000,SP內(nèi)部兩臺交換機互連cost為15000。IPTV平臺、播出管理機構及M9000防火墻都做類似OPSF協(xié)議配置。

4.安全管理規(guī)劃

在路由引入時實行路由白名單控制，由M9006向交換機引入各個SP總部和省內(nèi)IPTV用戶的明細路由，由S9306通過路由策略將相關進程的明細路由通過路由策略引入到SP所在的進程，或者將SP的路由引入到播出管理機構或IPTV平臺，實現(xiàn)靈活可控的按需互通策略，避免諸如各個SP互通的可能性。各個SP和IPTV平臺、播出管理機構在交換機上實施嚴格的ACL白名單策略，進一步提高各個系統(tǒng)的安全性。刪除S9306和M9000上缺省的用戶名和密碼，統(tǒng)一新建專用的本地應急管理員帳號，設置telnet ACL僅允許網(wǎng)管中心登陸設備；將設備納入4A堡壘機系統(tǒng)實現(xiàn)維護操作的集中認證、授權和記帳功能。開啟SNMP V2協(xié)議并設置SNMP的團體字和ACL列表，僅允許網(wǎng)管中心對設備進行SNMP輪詢。

主要部署過程

1.S9306上OSPF協(xié)議及路由策略設置過程示意，以某個SP舉例如下，其它類似。同時，考慮到在網(wǎng)業(yè)務安全，特對相關IP地址中的第2位的值用x進行了代替。

首先，在S9306-1上設置互連SP1的接口IP地址并配置cost。其次，在S9306-1上設置互連S9306-2的子接口IP地址并配置cost。然后，在S9306-1上設置要引入到SP1的路由前綴和路由策略。最后，在S9306-1上針對SP1配置OSPF協(xié)議并將相關各系統(tǒng)的明細路由引入該SP。

同理，在完成S9306-2的相關協(xié)議配置后，SP1與S9306之間將建立起ospf鄰居，并且能夠收到兩個IPTV平臺、播出管理機構的明細路由。由于OSPF閉環(huán)根據(jù)cost值優(yōu)先選出直連鏈路作為主用路由裝入路由表，并將經(jīng)過互連鏈路再到對方的 鏈路作為次優(yōu)路由，一旦主用路由由于鏈路失效，備用路由即時生效，實現(xiàn)無間斷傳輸。

2.在M9006防火墻上完成相關IP地址映射和安全策略設置，實現(xiàn)可信外部IP地址段與SP駐地相關服務器的按需互通。由于防火墻為集群模式，設備已經(jīng)通過集群協(xié)議完成了大部分雙機配置工作，只需按照單臺防火墻完成相關安全策略設置即可。這里以其中某個SP的一個需要與外界通信的服務器為從例，演示主要配置過程，省略了諸如對接S9306的OSPF協(xié)議配置等。

首先，設置服務器的內(nèi)網(wǎng)IP地址。其次，對允許訪問該服務器的端口進行設置，這里開放了與總部通信的特殊端口和SSH端口，也開放了PING測試，便于調(diào)測過程中進行測試。

然后，設置策略，將該服務器的IP地址與開放的服務端口進行關聯(lián)。接著，在M9006的上聯(lián)接口處進行NAT映射，使外部網(wǎng)絡可通過外部IP地址訪問到內(nèi)網(wǎng)中的服務器。這里將M9006上聯(lián)口定義為非信任區(qū)。下面將M9006互連S9306的接口定義為名為IPTV_SP的區(qū)域。然后設置域間策略，允許內(nèi)部服務器訪問任意外網(wǎng)，最后設置域間策略，僅允許外部網(wǎng)絡訪問符合前述定義的安全策略的服務器的相應端口。

效果驗證

IPTV內(nèi)容源匯聚網(wǎng)絡建成后，在對S9306交換機和防火墻斷開任意鏈路或任意一臺設備的情況下，各SP駐地與相關系統(tǒng)的通信完全正常；同時在各個SP之間嘗試連通性，確認無法互通，該網(wǎng)絡功能達到預期，性能良好，為IPTV業(yè)務運營奠定了堅實基礎。