構建可控的IPTV內容匯聚網絡

引言： 在三網融合加速推進和4K產業鏈趨于成熟的形勢下，各電信運營商都在積極探索新的IPTV業務運營模式。以甘肅電信為例，為豐富節目內容并且形成競爭格局，先后引入了多家服務提供商(以下簡稱SP)向用戶提供視聽業務，若繼續沿用原有SP直接互連IPTV平臺的方式，在路由控制、網絡可靠性和維護便捷性方面都將出現問題。

在三網融合加速推進和4K產業鏈趨于成熟的形勢下，各電信運營商都在積極探索新的IPTV業務運營模式。

以甘肅電信為例，為豐富節目內容并且形成競爭格局，先后引入了多家服務提供商(以下簡稱SP)向用戶提供視聽業務，若繼續沿用原有SP直接互連IPTV平臺的方式，在路由控制、網絡可靠性和維護便捷性方面都將出現問題。為此，公司新購兩臺S9306交換機，采用OPSF多進程和路由策略技術，實現了各SP與IPTV平臺的按需互通、各SP不可互通的需求，形成了自動負載分擔和冗余備份的格局；同時新購兩臺Secpath M9000 防火墻，采用SCF集群技術虛擬為一臺防火墻，既簡化了防火墻配置，又實現了負荷分擔，滿足了多SP對接IPTV平臺的經濟性、靈活性和安全性需求。

原有SP與IPTV平臺網絡互連情況及問題

圖1 單SP接入IPTV平臺網絡拓撲

SP負責提供節目源，IPTV平臺負責實現節目內容的分發、存儲、播放及用戶的管理。各SP一般都有自己的EPG，供用戶瀏覽檢索節目，此外各個SP大都通過總部向駐地下發EPG和影視節目，SP駐地要將影視節目的工單信息傳給當地播出管理機構進行審核，審核通過后由IPTV平臺根據工單信息從SP駐地獲取媒體文件和描述信息，再由IPTV平臺向點播用戶進行播放。甘肅電信此前采用了兩個廠商的IPTV平臺，分別服務于不同地域的用戶。

可以看出，SP有總部與駐地互通、駐地與當地播出管理機構、駐地與兩個IPTV平臺和IPTV用戶進行數據交換的需求，而各個SP之間并無通信需求。在只有一家SP時，采用專線電路方式和靜態路由方式實現與相關各方的連接和互通。

這種組網方式在只有一家SP對接IPTV平臺時是可行的，但當引入多家SP時將面臨以下問題：一是每個SP都要鋪設或占用到相關系統的傳輸鏈路，加劇了原本緊張的光纖資源；二是播出管理機構、IPTV 平臺的兩臺負荷分擔的交換機針對內部的服務器啟用了VRRP，采用靜態路由實現鏈路保護和路由控制時比較復雜，且容易造成故障；三是一些規模較小的SP對總部與駐地之間昂貴的專線電路租費望而卻步，單獨采購防火墻也存在配置管理不統一的問題，有較大的安全風險。

IPTV內容匯聚網絡規劃設計

1.物理拓撲設計

新增兩臺S9306設備定位為IPTV內容匯聚平臺，與IPTV平臺、播出管理機構等形成口字型拓撲；各個SP駐地就近以裸纖直連的方式與兩臺S9306形成口字型連接，實現各個SP經過S9306與相關系統作對接傳輸工單信息和內容流入。

圖2 IPTV內容匯聚網絡拓撲設計

新增兩臺EUDEMON1000E防火墻采用集群模式形成一臺虛擬防火墻，向上連通IP城域網省中心節點，向下以口字型對接兩臺S9306交換機，在公網環境下利用防火墻安全策略實現各個SP駐地與總部傳輸節目信息和省內IPTV用戶訪問SP的EPG的通信需求。為便于維護，在設備互連時保持接口占用一致性，如兩臺S9306的Gi4/0/1分別連接CP1的兩臺交換機的Gi0/1口；為增強兩臺設備互連帶寬，在兩臺S9306之間采用e-trunk鏈路捆綁技術擴展帶寬，劃分子接口為各個SP、播出管理機構和IPTV平臺形成邏輯上的獨立的備用鏈路。新的網絡拓撲示見圖2。

2.IP地址規劃

為SP規劃16個C的私網IP地址10.x.240.0/20，對大型SP分配半個C的私網IP地址，對小型SP分配1/4個C的IP地址。為便于各SP的網絡平滑擴展，要求各SP用從起始IP地址開始預留32個IP地址用于網絡設備管理IP地址、鏈路互連等用途，對剩余IP地址按照服務器功能劃分網段，并使用VRRP協議在各SP的交換機與服務器之間形成冗余保護。從IP城域網申請一個C的公網IP地址，對各個SP駐地需要與外部通信的服務器進行IP地址NAT映射，并設置嚴格的白名單策略控制外部網絡對SP駐地服務器的訪問。

3.路由協議規劃

OSPF router-id采用S9306和M9000設備的loopback IP，統一配置為area 0，各OSPF接口啟用MD5加密，加密字符串由我公司統一確定,在S9306上對每個方向的系統啟用一個OPSF進程進行對接，各OSPF進程關聯S9306的外聯鏈路接口網段及S9306上互連子接口的網段，各SP交換機的OSPF進程關聯外聯S9306鏈路的接口網段、互聯VLAN接口的IP地址網段和相應的業務網段IP地址段，對每個SP系統形成口字型ospf閉環。規劃SP與S9306互連鏈路的cost為1000，兩臺S9306互連鏈路的cost為2000,SP內部兩臺交換機互連cost為15000。IPTV平臺、播出管理機構及M9000防火墻都做類似OPSF協議配置。

4.安全管理規劃

在路由引入時實行路由白名單控制，由M9006向交換機引入各個SP總部和省內IPTV用戶的明細路由，由S9306通過路由策略將相關進程的明細路由通過路由策略引入到SP所在的進程，或者將SP的路由引入到播出管理機構或IPTV平臺，實現靈活可控的按需互通策略，避免諸如各個SP互通的可能性。各個SP和IPTV平臺、播出管理機構在交換機上實施嚴格的ACL白名單策略，進一步提高各個系統的安全性。刪除S9306和M9000上缺省的用戶名和密碼，統一新建專用的本地應急管理員帳號，設置telnet ACL僅允許網管中心登陸設備；將設備納入4A堡壘機系統實現維護操作的集中認證、授權和記帳功能。開啟SNMP V2協議并設置SNMP的團體字和ACL列表，僅允許網管中心對設備進行SNMP輪詢。

主要部署過程

1.S9306上OSPF協議及路由策略設置過程示意，以某個SP舉例如下，其它類似。同時，考慮到在網業務安全，特對相關IP地址中的第2位的值用x進行了代替。

首先，在S9306-1上設置互連SP1的接口IP地址并配置cost。其次，在S9306-1上設置互連S9306-2的子接口IP地址并配置cost。然后，在S9306-1上設置要引入到SP1的路由前綴和路由策略。最后，在S9306-1上針對SP1配置OSPF協議并將相關各系統的明細路由引入該SP。

同理，在完成S9306-2的相關協議配置后，SP1與S9306之間將建立起ospf鄰居，并且能夠收到兩個IPTV平臺、播出管理機構的明細路由。由于OSPF閉環根據cost值優先選出直連鏈路作為主用路由裝入路由表，并將經過互連鏈路再到對方的 鏈路作為次優路由，一旦主用路由由于鏈路失效，備用路由即時生效，實現無間斷傳輸。

2.在M9006防火墻上完成相關IP地址映射和安全策略設置，實現可信外部IP地址段與SP駐地相關服務器的按需互通。由于防火墻為集群模式，設備已經通過集群協議完成了大部分雙機配置工作，只需按照單臺防火墻完成相關安全策略設置即可。這里以其中某個SP的一個需要與外界通信的服務器為從例，演示主要配置過程，省略了諸如對接S9306的OSPF協議配置等。

首先，設置服務器的內網IP地址。其次，對允許訪問該服務器的端口進行設置，這里開放了與總部通信的特殊端口和SSH端口，也開放了PING測試，便于調測過程中進行測試。

然后，設置策略，將該服務器的IP地址與開放的服務端口進行關聯。接著，在M9006的上聯接口處進行NAT映射，使外部網絡可通過外部IP地址訪問到內網中的服務器。這里將M9006上聯口定義為非信任區。下面將M9006互連S9306的接口定義為名為IPTV_SP的區域。然后設置域間策略，允許內部服務器訪問任意外網，最后設置域間策略，僅允許外部網絡訪問符合前述定義的安全策略的服務器的相應端口。

效果驗證

IPTV內容源匯聚網絡建成后，在對S9306交換機和防火墻斷開任意鏈路或任意一臺設備的情況下，各SP駐地與相關系統的通信完全正常；同時在各個SP之間嘗試連通性，確認無法互通，該網絡功能達到預期，性能良好，為IPTV業務運營奠定了堅實基礎。