引言： 在三網(wǎng)融合加速推進(jìn)和4K產(chǎn)業(yè)鏈趨于成熟的形勢(shì)下，各電信運(yùn)營(yíng)商都在積極探索新的IPTV業(yè)務(wù)運(yùn)營(yíng)模式。以甘肅電信為例，為豐富節(jié)目?jī)?nèi)容并且形成競(jìng)爭(zhēng)格局，先后引入了多家服務(wù)提供商(以下簡(jiǎn)稱SP)向用戶提供視聽(tīng)業(yè)務(wù)，若繼續(xù)沿用原有SP直接互連IPTV平臺(tái)的方式，在路由控制、網(wǎng)絡(luò)可靠性和維護(hù)便捷性方面都將出現(xiàn)問(wèn)題。

在三網(wǎng)融合加速推進(jìn)和4K產(chǎn)業(yè)鏈趨于成熟的形勢(shì)下，各電信運(yùn)營(yíng)商都在積極探索新的IPTV業(yè)務(wù)運(yùn)營(yíng)模式。

以甘肅電信為例，為豐富節(jié)目?jī)?nèi)容并且形成競(jìng)爭(zhēng)格局，先后引入了多家服務(wù)提供商(以下簡(jiǎn)稱SP)向用戶提供視聽(tīng)業(yè)務(wù)，若繼續(xù)沿用原有SP直接互連IPTV平臺(tái)的方式，在路由控制、網(wǎng)絡(luò)可靠性和維護(hù)便捷性方面都將出現(xiàn)問(wèn)題。為此，公司新購(gòu)兩臺(tái)S9306交換機(jī)，采用OPSF多進(jìn)程和路由策略技術(shù)，實(shí)現(xiàn)了各SP與IPTV平臺(tái)的按需互通、各SP不可互通的需求，形成了自動(dòng)負(fù)載分擔(dān)和冗余備份的格局；同時(shí)新購(gòu)兩臺(tái)Secpath M9000 防火墻，采用SCF集群技術(shù)虛擬為一臺(tái)防火墻，既簡(jiǎn)化了防火墻配置，又實(shí)現(xiàn)了負(fù)荷分擔(dān)，滿足了多SP對(duì)接IPTV平臺(tái)的經(jīng)濟(jì)性、靈活性和安全性需求。

原有SP與IPTV平臺(tái)網(wǎng)絡(luò)互連情況及問(wèn)題

圖1 單SP接入IPTV平臺(tái)網(wǎng)絡(luò)拓?fù)?/p>

SP負(fù)責(zé)提供節(jié)目源，IPTV平臺(tái)負(fù)責(zé)實(shí)現(xiàn)節(jié)目?jī)?nèi)容的分發(fā)、存儲(chǔ)、播放及用戶的管理。各SP一般都有自己的EPG，供用戶瀏覽檢索節(jié)目，此外各個(gè)SP大都通過(guò)總部向駐地下發(fā)EPG和影視節(jié)目，SP駐地要將影視節(jié)目的工單信息傳給當(dāng)?shù)夭コ龉芾頇C(jī)構(gòu)進(jìn)行審核，審核通過(guò)后由IPTV平臺(tái)根據(jù)工單信息從SP駐地獲取媒體文件和描述信息，再由IPTV平臺(tái)向點(diǎn)播用戶進(jìn)行播放。甘肅電信此前采用了兩個(gè)廠商的IPTV平臺(tái)，分別服務(wù)于不同地域的用戶。

可以看出，SP有總部與駐地互通、駐地與當(dāng)?shù)夭コ龉芾頇C(jī)構(gòu)、駐地與兩個(gè)IPTV平臺(tái)和IPTV用戶進(jìn)行數(shù)據(jù)交換的需求，而各個(gè)SP之間并無(wú)通信需求。在只有一家SP時(shí)，采用專線電路方式和靜態(tài)路由方式實(shí)現(xiàn)與相關(guān)各方的連接和互通。

這種組網(wǎng)方式在只有一家SP對(duì)接IPTV平臺(tái)時(shí)是可行的，但當(dāng)引入多家SP時(shí)將面臨以下問(wèn)題：一是每個(gè)SP都要鋪設(shè)或占用到相關(guān)系統(tǒng)的傳輸鏈路，加劇了原本緊張的光纖資源；二是播出管理機(jī)構(gòu)、IPTV 平臺(tái)的兩臺(tái)負(fù)荷分擔(dān)的交換機(jī)針對(duì)內(nèi)部的服務(wù)器啟用了VRRP，采用靜態(tài)路由實(shí)現(xiàn)鏈路保護(hù)和路由控制時(shí)比較復(fù)雜，且容易造成故障；三是一些規(guī)模較小的SP對(duì)總部與駐地之間昂貴的專線電路租費(fèi)望而卻步，單獨(dú)采購(gòu)防火墻也存在配置管理不統(tǒng)一的問(wèn)題，有較大的安全風(fēng)險(xiǎn)。

IPTV內(nèi)容匯聚網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)

1.物理拓?fù)湓O(shè)計(jì)

新增兩臺(tái)S9306設(shè)備定位為IPTV內(nèi)容匯聚平臺(tái)，與IPTV平臺(tái)、播出管理機(jī)構(gòu)等形成口字型拓?fù)?；各個(gè)SP駐地就近以裸纖直連的方式與兩臺(tái)S9306形成口字型連接，實(shí)現(xiàn)各個(gè)SP經(jīng)過(guò)S9306與相關(guān)系統(tǒng)作對(duì)接傳輸工單信息和內(nèi)容流入。

圖2 IPTV內(nèi)容匯聚網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

新增兩臺(tái)EUDEMON1000E防火墻采用集群模式形成一臺(tái)虛擬防火墻，向上連通IP城域網(wǎng)省中心節(jié)點(diǎn)，向下以口字型對(duì)接兩臺(tái)S9306交換機(jī)，在公網(wǎng)環(huán)境下利用防火墻安全策略實(shí)現(xiàn)各個(gè)SP駐地與總部傳輸節(jié)目信息和省內(nèi)IPTV用戶訪問(wèn)SP的EPG的通信需求。為便于維護(hù)，在設(shè)備互連時(shí)保持接口占用一致性，如兩臺(tái)S9306的Gi4/0/1分別連接CP1的兩臺(tái)交換機(jī)的Gi0/1口；為增強(qiáng)兩臺(tái)設(shè)備互連帶寬，在兩臺(tái)S9306之間采用e-trunk鏈路捆綁技術(shù)擴(kuò)展帶寬，劃分子接口為各個(gè)SP、播出管理機(jī)構(gòu)和IPTV平臺(tái)形成邏輯上的獨(dú)立的備用鏈路。新的網(wǎng)絡(luò)拓?fù)涫疽?jiàn)圖2。

2.IP地址規(guī)劃

為SP規(guī)劃16個(gè)C的私網(wǎng)IP地址10.x.240.0/20，對(duì)大型SP分配半個(gè)C的私網(wǎng)IP地址，對(duì)小型SP分配1/4個(gè)C的IP地址。為便于各SP的網(wǎng)絡(luò)平滑擴(kuò)展，要求各SP用從起始IP地址開(kāi)始預(yù)留32個(gè)IP地址用于網(wǎng)絡(luò)設(shè)備管理IP地址、鏈路互連等用途，對(duì)剩余IP地址按照服務(wù)器功能劃分網(wǎng)段，并使用VRRP協(xié)議在各SP的交換機(jī)與服務(wù)器之間形成冗余保護(hù)。從IP城域網(wǎng)申請(qǐng)一個(gè)C的公網(wǎng)IP地址，對(duì)各個(gè)SP駐地需要與外部通信的服務(wù)器進(jìn)行IP地址NAT映射，并設(shè)置嚴(yán)格的白名單策略控制外部網(wǎng)絡(luò)對(duì)SP駐地服務(wù)器的訪問(wèn)。

3.路由協(xié)議規(guī)劃

OSPF router-id采用S9306和M9000設(shè)備的loopback IP，統(tǒng)一配置為area 0，各OSPF接口啟用MD5加密，加密字符串由我公司統(tǒng)一確定,在S9306上對(duì)每個(gè)方向的系統(tǒng)啟用一個(gè)OPSF進(jìn)程進(jìn)行對(duì)接，各OSPF進(jìn)程關(guān)聯(lián)S9306的外聯(lián)鏈路接口網(wǎng)段及S9306上互連子接口的網(wǎng)段，各SP交換機(jī)的OSPF進(jìn)程關(guān)聯(lián)外聯(lián)S9306鏈路的接口網(wǎng)段、互聯(lián)VLAN接口的IP地址網(wǎng)段和相應(yīng)的業(yè)務(wù)網(wǎng)段IP地址段，對(duì)每個(gè)SP系統(tǒng)形成口字型ospf閉環(huán)。規(guī)劃SP與S9306互連鏈路的cost為1000，兩臺(tái)S9306互連鏈路的cost為2000,SP內(nèi)部?jī)膳_(tái)交換機(jī)互連cost為15000。IPTV平臺(tái)、播出管理機(jī)構(gòu)及M9000防火墻都做類似OPSF協(xié)議配置。

4.安全管理規(guī)劃

在路由引入時(shí)實(shí)行路由白名單控制，由M9006向交換機(jī)引入各個(gè)SP總部和省內(nèi)IPTV用戶的明細(xì)路由，由S9306通過(guò)路由策略將相關(guān)進(jìn)程的明細(xì)路由通過(guò)路由策略引入到SP所在的進(jìn)程，或者將SP的路由引入到播出管理機(jī)構(gòu)或IPTV平臺(tái)，實(shí)現(xiàn)靈活可控的按需互通策略，避免諸如各個(gè)SP互通的可能性。各個(gè)SP和IPTV平臺(tái)、播出管理機(jī)構(gòu)在交換機(jī)上實(shí)施嚴(yán)格的ACL白名單策略，進(jìn)一步提高各個(gè)系統(tǒng)的安全性。刪除S9306和M9000上缺省的用戶名和密碼，統(tǒng)一新建專用的本地應(yīng)急管理員帳號(hào)，設(shè)置telnet ACL僅允許網(wǎng)管中心登陸設(shè)備；將設(shè)備納入4A堡壘機(jī)系統(tǒng)實(shí)現(xiàn)維護(hù)操作的集中認(rèn)證、授權(quán)和記帳功能。開(kāi)啟SNMP V2協(xié)議并設(shè)置SNMP的團(tuán)體字和ACL列表，僅允許網(wǎng)管中心對(duì)設(shè)備進(jìn)行SNMP輪詢。

主要部署過(guò)程

1.S9306上OSPF協(xié)議及路由策略設(shè)置過(guò)程示意，以某個(gè)SP舉例如下，其它類似。同時(shí)，考慮到在網(wǎng)業(yè)務(wù)安全，特對(duì)相關(guān)IP地址中的第2位的值用x進(jìn)行了代替。

首先，在S9306-1上設(shè)置互連SP1的接口IP地址并配置cost。其次，在S9306-1上設(shè)置互連S9306-2的子接口IP地址并配置cost。然后，在S9306-1上設(shè)置要引入到SP1的路由前綴和路由策略。最后，在S9306-1上針對(duì)SP1配置OSPF協(xié)議并將相關(guān)各系統(tǒng)的明細(xì)路由引入該SP。

同理，在完成S9306-2的相關(guān)協(xié)議配置后，SP1與S9306之間將建立起ospf鄰居，并且能夠收到兩個(gè)IPTV平臺(tái)、播出管理機(jī)構(gòu)的明細(xì)路由。由于OSPF閉環(huán)根據(jù)cost值優(yōu)先選出直連鏈路作為主用路由裝入路由表，并將經(jīng)過(guò)互連鏈路再到對(duì)方的 鏈路作為次優(yōu)路由，一旦主用路由由于鏈路失效，備用路由即時(shí)生效，實(shí)現(xiàn)無(wú)間斷傳輸。

2.在M9006防火墻上完成相關(guān)IP地址映射和安全策略設(shè)置，實(shí)現(xiàn)可信外部IP地址段與SP駐地相關(guān)服務(wù)器的按需互通。由于防火墻為集群模式，設(shè)備已經(jīng)通過(guò)集群協(xié)議完成了大部分雙機(jī)配置工作，只需按照單臺(tái)防火墻完成相關(guān)安全策略設(shè)置即可。這里以其中某個(gè)SP的一個(gè)需要與外界通信的服務(wù)器為從例，演示主要配置過(guò)程，省略了諸如對(duì)接S9306的OSPF協(xié)議配置等。

首先，設(shè)置服務(wù)器的內(nèi)網(wǎng)IP地址。其次，對(duì)允許訪問(wèn)該服務(wù)器的端口進(jìn)行設(shè)置，這里開(kāi)放了與總部通信的特殊端口和SSH端口，也開(kāi)放了PING測(cè)試，便于調(diào)測(cè)過(guò)程中進(jìn)行測(cè)試。

然后，設(shè)置策略，將該服務(wù)器的IP地址與開(kāi)放的服務(wù)端口進(jìn)行關(guān)聯(lián)。接著，在M9006的上聯(lián)接口處進(jìn)行NAT映射，使外部網(wǎng)絡(luò)可通過(guò)外部IP地址訪問(wèn)到內(nèi)網(wǎng)中的服務(wù)器。這里將M9006上聯(lián)口定義為非信任區(qū)。下面將M9006互連S9306的接口定義為名為IPTV_SP的區(qū)域。然后設(shè)置域間策略，允許內(nèi)部服務(wù)器訪問(wèn)任意外網(wǎng)，最后設(shè)置域間策略，僅允許外部網(wǎng)絡(luò)訪問(wèn)符合前述定義的安全策略的服務(wù)器的相應(yīng)端口。

效果驗(yàn)證

IPTV內(nèi)容源匯聚網(wǎng)絡(luò)建成后，在對(duì)S9306交換機(jī)和防火墻斷開(kāi)任意鏈路或任意一臺(tái)設(shè)備的情況下，各SP駐地與相關(guān)系統(tǒng)的通信完全正常；同時(shí)在各個(gè)SP之間嘗試連通性，確認(rèn)無(wú)法互通，該網(wǎng)絡(luò)功能達(dá)到預(yù)期，性能良好，為IPTV業(yè)務(wù)運(yùn)營(yíng)奠定了堅(jiān)實(shí)基礎(chǔ)。