通過CNR管理HFC網絡

劉洋

（太原有線電視網絡公司，山西太原030012）

通過CNR管理HFC網絡

劉洋

（太原有線電視網絡公司，山西太原030012）

在三網融合的背景下，廣電系統的市場被不斷蠶食，市場競爭的壓力也在不斷增大，而擁有一個可控的優質網絡，才是在這種劣勢環境中的安身之本。CNR+CMTS的模式是更貼近于廣電現狀的方案，更加符合廣電人的實際需要。

三網融合；CNR+CMTS；廣電

引言

在現有的廣電行業中，網絡的部署大部分以HFC網為主，雖然部分廣電已經在網絡中部署了光纖加同軸的網絡，但CNR+CM的管理模式以及DOCSIC中關于QOS的管理，對于用戶體驗的保證依然值得借鑒。

1　CMTSProvision系統簡介

在DOCSIS標準中規定了CMTS業務的Provision流程，作為CMTS/CM接入網絡的運營管理系統，Provision系統需要支持以下業務進程：

1）為CM和各類CPE提供DHCP服務；

2）為CM提供Config－File的TFTP下載服務；

3）為CM進行認證和業務細分（用戶組識別）。

各廣電運營商由于對于業務要求的不同，所以對于Provision系統的需求也會有所差異，不過，以下幾個部分基本上是所有CMTSProvision系統都需要包含的：

1）Provision Server（CNR）；

2）外部數據庫（LDAP）；

3）外部數據庫和BOSS系統接口。

2　CISCO Provision Server——CNR介紹

CNR——Cisco Network Registrar是一個使用動態主機配置協議DHCP的動態IP地址管理系統，它為預定策略（如CoS）網絡中的PC機和其他設備分配IP地址。CNR從基于所請求的設備及策略的身份和型號的地址池中取出有效的IP地址來進行分配。例如，CNR能夠辨別已注冊設備、未注冊設備和已經分配特殊CoS的已注冊設備。

CNR提供用戶穩定的IP結構，客戶配置和預備線纜調制解調器的自動網絡服務。由于具有綜合其它網絡結構軟件和商業應用的唯一特性，CNR使企業和服務提供商用戶操作網絡的費用下降。

CNR也提供通過編程和腳本的定制而能夠瀏覽個別DHCP選項的擴展，確定基于選項內容的設備身份和型號，并分配設備給預先確定的類別和組。使用這些擴展，你能夠確定PC機和線纜調制解調器的不同并從不同的地址池分配IP地址給它們。

2.1CNR的性能

1）可升級，支持動態DNS的多進程DNS服務，增加的區域傳輸和通報。

2）支持BOOTP的全性能DHCP服務，動態BOOTP，多引導，用戶等級和路由器第二地址。

3）使用DHCPSafe Failover協議的冗余DHCP業務，在該協議在單點失敗時，除去DHCP服務，避免了較早Safe Failover協議中所發現的地址分配完全相同的問題。

2.2CNR的優點

CNR包括廣泛的獨特和標準的性能，該性能在競爭性產品和公共域軟件上給用戶帶來許多好處。最大的好處是穩定了IP結構，自動網絡服務和策略網絡的預備。

2.2.1穩定的IP結構

第一個關鍵的好處是帶領CNR發展的策略。這個策略保持DNS、DHCP和IP地址管理不獨立于操作系統，因而自帶應用軟件，更適合于大型網絡結構。因此，CNR的第一關鍵好處是DNS/DHCP應用。以下所描述的這些關鍵特性的公共目的是使DNS/DHCP結合于整個網絡結構，并使用戶注冊、服務提供和策略網絡等服務能夠實現。

CNR是基于注冊結構、執行DNS和DHCP服務應用的先進框架。結構保證每種服務都是多進程的，確保多處理器系統的可伸縮性。結構包括內部運行時間數據庫，該數據庫規定了性能、數據完整、有效的磁盤和存儲器的利用，在網絡管理上沒有復雜的數據庫管理任務結構也確保交叉平臺功能的一致。

2.2.2CNR設計結構給CISCO用戶提供眾多的好處

所有服務都使用了現代發展技術，提供可伸縮性、可靠性、靈活性和特性。而競爭產品依賴于公共域或第三者服務軟件，它們的發展過程不可控制，新性能的時間線不可預知。

CNR中的運行時間允許DNS和DHCP服務有效地使用內存，在磁盤上存儲像DNS緩存表這樣的數據。BIND在啟動時使用文本文件，但以后就完全基于內存。BIND消耗了增長的物理內存數量，當內存耗盡時，BIND求助于操作系統的內存分頁功能，這會導致BIND性能和服務器上的每種應用嚴重降級。

CNR是市場上第一具備大多數DNS和DHCP標準并具有幫助用戶解決商務問題的獨特和創新性能的產品。包括DNS動態升級協議（RFC2136）、帶寬保持DNS增加的區域傳輸協議（RFC 1995）和獨特的解決異常事件和分區隱匿性能。

CNR也是市場上第一家具有DHCP安全FAILOVER協議的“安全”版本的產品。早期的FAILOVER協議在網絡失敗導致分區時允許重復的IP地址分配。CISCO工程師設計并實現了增強的防止重復地址分配的FAILOVER協議。增強的FAILOVER協議是因特網工程任務組（IETF）致力于DHCPFAILOVER標準化的基礎。

2.3自動網絡服務

CNR允許網絡管理者使網絡服務自動化象IP地址管理，客戶配置和線纜調制解調器預備。在上千和上萬設備的大型動態網絡中，移動、增加和改變都可能導致差錯并且消費昂貴。有了CNR靈活的DHCP服務，網絡結構應用過程就能夠自動和完整。

2.4策略網絡的預備

Cisco保證策略網絡將允許網絡管理者展開服務質量（QoS）和基于應用和用戶通過智能網絡的安全策略。今天，網絡設備（交換機、路由器和防火墻）都實施了QoS和IP地址安全策略。

用戶身份、IP地址、介質訪問層MAC和網絡策略之間的映射是必須的。目前，CNR可以提供MAC地址和IP地址之間的映射，并與支持用戶ID和 MAC地址之間映射的其他應用結合在一起。將來，這些CoS和目錄服務能力將與Cisco保證策略網絡結合以使基于用戶的網絡策略能夠實現。CNR完成CABLE環境中的DHCP SERVER，TFTP SERVER, TOD server，成為CABLE環境下的核心支撐配置服務器。

3　以某廣電Provision系統部署規劃為例

3.1總體部署架構

某廣電規劃以某市為首，在整個城市部署CMTS接入網，所以Provision系統的部署必須要切合CMTS的部署結構。

部署的原則如下：

CNR以地市為單位，采取分布式部署。

CNR進行功能性分組，面向不同的終端類型。

CNR采取Failover熱備份，提高可用性。

LDAP部署根據BOSS部署結構來定，以在市區集中部署為主。

3.2CNR功能性分組部署

CNR的功能性分組部署是以終端類型為基礎的。某廣電是以成為多業務運營商（MSO）為目的來建網的，所以，網內必然存在多種終端設備來支撐不同的業務。主要的終端設備有以下幾種：Cable Modem、用戶PC、雙向機頂盒、MTA/EMTA。

從Provision的角度上來講，各種終端的進程是不相同的，如果我們把所有種類終端的Provision都集中到一臺Provision Server上，那么在設備性能、后臺認證等方面，都是不利的，所以建議，將不同的終端，指向到不同的Provision Server上。

從目前**廣電規劃的業務來看，我們需要將CNR在功能上分為CM、PC、STB三個組。

多終端的Provision指向主要依靠CMTS來完成。UBR系列CMTS所有的IOS都可以區分CM和CPE（Host）的DHCPDiscovery。最新的IOS已經可以支持區分普通PC，MTA，STB的DHCPDiscovery。

對于STB的區分，需要在機頂盒的DHCP DISCOVER及DHCPREQUEST的消息包中，加入option60，內容為“openCable2.0:xxxxxxx”的NVTASCII字符串（不以NULL結尾），其中，“openCable2.0”用于標識機頂盒（與普通CPE相區別），“:xxxxxxx”由廠商自己具體實現，可用于標識廠商。

3.3CNR高可靠性（Failover）部署

CNR是支持DHCP安全FAILOVER協議的“安全”版本的產品。早期的FAILOVER協議在網絡失敗導致分區時允許重復的IP地址分配。CISCO設計并實現了增強的防止重復地址分配的FAILOVER協議。增強的FAILOVER協議是因特網工程任務組（IETF）致力于DHCPFAILOVER標準化的基礎。

Failover幫助CNR提高可用性，將兩臺CNR建成一個組，一條主用一臺備用，兩臺將通過心跳協議保持，當備用CNR發現主用CNR無法正常工作的時候，可以改變自己的狀態為主用。

需要注意的是，主要和備用CNR的IP地址分布是不同的，我們可以通過百分比來決定一個IP地址池內的地址，有多少配置在主用，多少配置在備用。這樣作的好處是，一旦備用CNR接手服務的時候，絕對不會發生重復發送IP地址，造成地址沖突的情況。

3.4CNR各地市部署規劃

每個地市都需要部署一個CNR組。通過上面兩節的分析，一個CNR組從功能上要分為CM、PC和STB，而每一個功能的CNR為了高可用性，需要部署主備兩臺，這樣一個CNR組就需要6臺CNR服務器組。

一個CNR服務器組可以按照用戶接入量的規劃，服務5萬的終端。如果發生用戶量暴增，需要擴容，可以采用平行擴容的結構，對發生性能瓶頸的CNR擴容。如果用戶量比較大，可以在初期的規劃中就部署4組CNR，按照市區的不同的區域進行部署。

CNR支持Regional Server，即建立一個統一的CNR管理組（RICServer），這個CNR組不提供業務服務，是專為網管運維人員統一配置和管理部署在不同地域的CNR服務器組的。如果某廣電的運維部門統一在市區，那么可以部署一套RICServer,以方便運維和網管。

3.5LDAP部署

作為CNR的外置數據庫，LDAP的部署應該和BOSS系統的設計關聯起來。LDAP也應該部署多臺，同一功能的LDAP間可以用failover進行同步，保證各臺LDAP間的數據統一。如果BOSS的數據庫集中部署在市區，那么，LDAP也建議集中部署在同一位置。

如果BOSS的數據庫分部在各個地市，那么LDAP也可一分布式部署，不過這樣的部署，不利用管理，不建議這樣部署。

CNR可以設定和多個LDAP組進行連接，不同的LDAP組將按照設定的優先級排序。即，假定有CNR－X，CNR－Y以及LDAP－A，LDAP－B，CNRX可以設定LDAP－A為高優先級，LDAP－B為低優先級，在兩個LDAP組都工作正常的情況下，優先使用LDAP－A，當LDAP無法工作時，CNR－X將使用LDAP－B。而CNR－Y的設置則相反。

這樣的部署，即保證CNR和LDAP之間連接的高可用性，又利用交叉設計，對于不同LDAP服務器進行負載均衡。

3.6LDAP和BOSS的數據接口

LDAP是一種標準的數據結構，目前比較通用的是SUNONEDirectory Server或者Open LDAP。

SUNONEDirectory Server支持SDK for JAVA的API，通過這樣的API，BOSS可以建立和LDAP的數據接口，實現向往數據業務的同步和查詢。

3.7地址分配策略

DOCSIS接入系統中，Cable Modem以及各類CPE（PC，STB，IAD等）都是需要獲得IP地址的。

對于CableModem，由于在實際數據傳輸中，作為一個二層的橋接設備，其IP地址只是作為管理使用，所以建議分配私網地址。

對于IAD和STB，這樣的由運營商管理的終端，其業務主要由運營商內部的應用服務提供，所以一般也是使用私網地址。

對于用戶PC，用戶的PC主要使用來Internet上網的，對于較大型的運營商，一般使用公網IP，也不排除一些規模較小的運營商使用私網地址，然后在出口的地方使用NAT/PAT進行地址轉換。

4　基于Provision系統的認證

4.1CableModem認證

利用Provision系統結合用戶數據庫進行Cable Modem的認證。

由于CableModem都是由運營商管理的，較常用的認證方式是利用Cable Modem的MAC地址來進行用戶合法認證。

只需要在用戶信息數據庫中調整用戶的Cable Modem所在用戶組信息，就可以將用戶放到不同的服務類別中。無法查詢到用戶組信息的Cable Modem，即被認為非法CM，無法獲得合法的地址，或者合法的策略。

除了查詢的進程，同時Provision系統還需要將CM的整個上線情況同步到LDAP，且進一步同步到BOSS系統中，方便查詢用戶信息，和排除故障。

整個查詢和同步的步驟如：

1）BOSS向LDAP同步用戶信息。

2）CM向CNR發起DHCP請求。

3）CNR提取CM DHCP請求（主要是MAC地址），向LDAP發起用戶查詢（認證）。

4）LDAP查詢到用戶信息后，返回給CNR。

5）CNR將用戶的認證情況（IP、策略）通過DHCP響應，發給CM。

6）LDAP同時將CM上線信息發送給BOSS系統。

4.2STB認證

雙向機頂盒是由運營商控制的終端，所以對于STB的Provision，也需要進行認證，以防止非法的機頂盒拿到IP地址和策略。

STB的認證進程和CM類似，需要CNR向LDAP發起查詢，獲得響應以后，發送IP地址和策略給STB。

4.3增強的認證功能

在國內的一些已經使用的雙向機頂盒運營商環境中，已經發現有改寫STBMAC地址，冒充合法的STB，從而獲得IP地址，并且盜取服務的現象出現。這對雙向視頻業務帶來了很大的安全隱患。

由于對于雙向視頻業務的CA，在整個業內，目前還沒有一個標準或者行業用法，所以，對于這樣的現象，我們將采取Provision系統的增強認證功能，來盡量避免這樣盜用服務的情況出現。

4.4STB和CM的綁定認證

對于STB在Provision系統中的認證，我們建議，除了基本的MAC地址以外，我們應該還對STB所連接的CM共同認證，即，每個STB的MAC都和運營商規定的CM（同時發送給用戶的）的MAC相關聯，這樣，即使STB的MAC信息被用戶盜用，但是，如果提供的CM的MAC不能匹配，盜用的STB仍然無法獲得合法的IP和策略。

關鍵的步驟如下：

1）提取STB的DHCPDiscovery中的MAC地址信息。

2）提取STB的DHCPDiscovery中的Option82中的Remote ID（CM的MAC地址信息）。

3）合并STB的MAC和CM的MAC，到LDAP進行組類別查詢。

4）根據LDAP返回的組類別信息，判定機頂盒是否為合法。

需要注意的是，由于CNR向LDAP提交的認證信息中將STB的MAC和CM的MAC合并，所以BOSS系統向LDAP寫入的機頂盒信息的時候，也需要將兩個MAC地址合并寫入。

5　BPI+

在STB和CM的MAC合并進行認證的情況下，只是修改STB的MAC已經無法盜取服務，但是我們不能排除同時修改STB和CM的MAC的情況出現，這樣，我們就需要BPI＋。

5.1BPI+的物理定位

BPI＋是定義在DOCSIS1.1標準中的安全措施，主要是為了防止修改CM的MAC地址來盜取或者監聽服務。

BPI＋的具體防護思路是，所有支持BPI＋的CM都需要在生產時就植入由CableLabs提供的一份證書（歐美標不同），而CMTS上也會安裝相應的證書。當CM和CMTS進行數據傳遞的時候，植入的證書和CM的MAC地址將會產生一個密鑰，數據在傳遞到對端的時候，對于進行MD5的加密，而解密就需要這個密鑰。私改MAC地址的CM，由于無法產生同樣的密鑰，所以無法解密合法的流量信息，也就避免了業務被盜用。

BPI＋的實施要求：

1）CM必須通過DOCSIS1.1以上認證，并植入CableLabs提供的證書。

2）CMTS必須通過DOCSIS1.1以上認證，并安裝CableLabs提供的證書。

3）在給CM的Config－file中，激活BPI＋。

5.2CM的物理定位

一般的CM認證由于采取的認證依據只是CM的MAC地址，所以一個合法的CM可以在網內所有的CMTS下進行漫游，這對用CM來實現多業務（個人數據業務，企業數據業務，視頻業務），也是個安全隱患。

將CM進行物理定位，即，每個CM都只能在限定的物理范圍內（映射到CMTS的一個三層端口）上線。CM的物理定位也是通過Provision系統的增強認證功能來實現。

實現方式如:

1）提取CM的DHCPDiscovery中的MAC地址信息。

2）提取CM的DHCPDiscovery中的Giaddr（CMTS的三層地址信息）。

3）合并CM的MAC和Giaddr，到LDAP進行組類別查詢。

4）根據LDAP返回的組類別信息，判定CM是否為合法。

需要注意的是，由于CNR向LDAP提交的認證信息中將CM的MAC和Giaddr合并，所以BOSS系統向LDAP寫入的機頂盒信息的時候，也需要將兩個信息合并寫入。

6　BOSS系統建議

廣電寬帶業務運營因其與電信運營十分相似，建議采用比較成熟的三戶實體模型，“三戶模型”是各省移動、網通公司等傳統運營商遵循的實體邏輯模型，三戶即客戶、用戶和帳戶，它來源于ETom的模型。近些年來，三戶模型已經在電信行業成為建設運營支撐系統普遍運用的模型，三戶模型也是根據營銷模型轉向“以客戶為中心”理念而產生的結果，客戶的需求成為支撐系統信息模型不斷趨于完善的主要驅動力。與客戶這個實體概念關聯最為緊密的概念就是用戶和帳戶，這三者之間的關系應該是一個相互關聯但又是獨立的三個實體，這種關聯只是一個歸屬和映射的關系，而三個實體本身是相互獨立的，分別是體現完全不同的幾個域的信息，客戶是體現了社會域的信息，用戶體現了業務域的信息，帳戶體現的是資金域的信息。對比廣電與電信行業的業務特點，分析各自的運營規則，“三戶模型”同時也是廣電數據業務運營支撐系統的最佳選擇之一。

（編輯：劉楠）

CNR M anagement Through HFC Network

Liu Yang
(Taiyuan Cable Television Network Co.,Ltd.,Taiyuan Shanxi030012)

In the context of triple play,radio and television systems market has been continuously eroded.The pressure of market competition is also increasing.A controllable network quality is the foundation for its developmentunder such environment.CNR+CMTS model is more close to the current situation of radio and television programs,and more in line with the actual needs of radio and television.

triple play;CNR+CMTS;radio and television

TN943

A

2095-0748(2016)21-0096-05

10.16525/j.cnki.14-1362/n.2016.21.43

2016-10-10

劉洋（1986—），男，遼寧建平人，本科，現就職于太原有線電視網絡公司，助理工程師，研究方向：三網融合。