OTT 業務網絡與安全規劃設計

■ 安徽 王迪

編者按：OTT 業務作為廣電網絡重要的的增值業務，其安全穩定運行關乎企業業務的成敗，如今OTT 業務也面臨諸多網絡安全威脅。本文從OTT 業務的可靠性設計規劃、安全性設計規劃以及IPv6 設計規劃方面進行了安全性探討。

廣播電視網絡面臨的網絡安全形勢日益嚴峻，業務相關技術網絡由相對簡單、封閉逐漸向復雜、無邊界化發展，導致面臨的安全風險和威脅越發突出。行業關鍵信息基礎設施的安全防護能力與其重要地位相比，仍然較為薄弱，難以有效應對高強度的網絡攻擊。云計算、大數據、移動互聯網的發展應用，伴隨著新的安全風險，尚缺乏有效的應對手段。

OTT 業務屬于廣電網絡的增值業務，為了保證各類OTT 業務安全穩定的運行，在進行網絡與安全規劃的時候，既要提高網絡的可靠性，又要保證OTT 業務的安全性。

本文探討了通過采用VRRP+HRP 等技術，再通過路由規劃，可以實現業務上的“主-主”模式，在滿足OTT業務可靠性的同時，滿足業務的安全性要求。同時，還要考慮廣電網絡的IPv6升級改造，即符合廣電網絡IPv6 規模部署和推進的整體規劃，還要充分結合業務發展和用戶終端的升級情況等因素，進行綜合決策。

整體拓撲圖設計如圖1所示。

圖1 整體網絡拓撲圖

可靠性設計規劃

可靠性是反映網絡設備本身的穩定性以及網絡保持業務不中斷的能力，主要包括設備級可靠性、網絡級可靠性和業務級可靠性三個層次。其中，業務級可靠性更多的是從業務管理的層面來要求的，要求業務不中斷。整體網絡可靠性在99.999%以上。

在進行OTT 網絡設計規劃時通常采用星型結構的網絡設計，一般考慮如下原則：

將網絡劃分為核心層、匯聚層、接入層；每層功能清晰，架構穩定，易于擴展和維護；將網絡中不同的OTT 業務劃分為不同的模塊，模塊內部的調整涉及范圍小，易于進行問題定位；關鍵設備采用雙節點冗余設計、關鍵鏈路采用Trunk 方式冗余備份或者負載分擔、關鍵設備的電源、主控板等關鍵部件冗余備份。

安全性設計規劃

OTT 網絡應具備有效的安全控制，按業務和權限進行分區邏輯隔離，對特別重要的業務采取物理隔離。

因此，OTT 平臺在搭建過程中，需要兩臺數據中心級的安全網關，所有部件均采用全冗余技術，比如主控板、業務板及電源等，同時要支持“主-備”和“主-主”組網模式、端口聚合、VPN 冗余、業務板負載均衡、雙主控主備倒換技術的能力，從而能夠提供高級別的安全防護能力和業務擴展能力。

作為安全網關，優異的地址轉換性能和VPN 性能也是對OTT 業務的強大支撐。比如基于IP 的轉換、基于端口的轉換、語音多媒體等業務流量的多通道協議NAT 轉換、無數目限制的PAT 方式轉換、域內NAT 以及雙向NAT 等，以滿足各種NAT 應用場景。隨著OTT業務更多在公共網絡上的傳輸，擁有最佳的VPN 性能能滿足大量業務的加密傳輸要求。

比如支持4over6、6over4的VPN 技術，以保證網絡從IPv4-IPv6 演進過程中VPN傳輸需求。

安全網關如何抵抗外部威脅，提高網絡安全，還體現在入侵防御功能上，可以對系統漏洞、未授權自動下載、欺騙類應用軟件、廣告類軟件、異常協議、P2P 異常等多種威脅進行防護。安全網關還要求能實時捕獲最新的攻擊、蠕蟲及木馬等威脅，為網絡提供強大的防御能力。

為滿足網絡向IPv6 的平滑演進，保證業務的穩定運行，安全網關需要支持隨著IPv4 地址的枯竭，網絡能向IPv6 平滑演進，并確保業務穩定運行。安全網關還要具有NAT44、NAT64 等多種過渡功能，為未來的網絡演進及業務過渡提供高效、靈活和放心的解決辦法。

IPv6 設計規劃

根據《廣播電視媒體網站IPv6 改造實施指南(2018)》下達的廣播電視媒體網站IPv6 改造實施的總體目標，確定過渡技術的選擇和各網絡設備對過渡技術的支持情況，規劃原則：

在不影響現網業務的基礎上完成用戶發展指標，降低網絡風險；

IPv6 改造順序應按照“承載環境先行，業務接入隨后，網管安全支撐按需”的原則進行；

IP 承載網是提供IPv6端到端連接的根本，需要先行改造支持IPv6；

業務網、各類接入網是發展IPv6 用戶的關鍵，應在承載具備條件的基礎上逐步改造，支持IPv4/IPv6 雙棧方式；

網管系統、支撐平臺等應根據網絡、業務的升級步驟按需改造，相關接口仍采用IPv4 協議，接口內部相關字段支持IPv6 地址；

從IPv4-only 向IPv6-only 演進還需要遵循兩個原則：

首要原則是“不影響現網業務(IPv4/1Pv6) 的正常運行”。IPv4 設備上部署IPv6 協議或者雙棧設備關閉IPv4 協議和服務時，用戶應該感知不到基礎網絡升級到IPv4/IPv6 雙棧或者從雙棧到IPv6-only 的變化。次要原則是“兼容現有終端設備，不能強制用戶升級或者更換自己的終端設備，如PC、平板電腦和機頂盒等”。

對于OTT 業務網絡，可以建設為IPv4 和IPv6 雙棧網絡，或者建設IPv6-only 網絡。如果直接規劃或建設成IPv6-only 網絡，那么針對目前IPv4 流量占比相對較高的情形，就需要考慮IPv4 網絡和IPv6 網絡互通場景，考慮IPv4 客戶訪問IPv6 服務場景，IPV6 的客戶訪問IPv4服務場景，通過IPv4 網絡連接兩個IPv6-only 網絡場景等。

對于現有的OTT 業務網絡，不可能對所有不支持IPv6 的設備進行更換，所以對支持IPv6 的設備直接開啟IPv6 功能，同時運行IPv4和IPv6 協議棧，實現雙棧。

OTT 業務系統在廣電城域網中實際部署的過程中，為了保證業務系統的穩定性、安全性以及未來IPv6 升級改造中的擴展性，可以通過在OTT 業務的互聯網出口處部署兩臺高性能的安全網關。這兩臺安全網關可以通過“主-主”或者“主-備”的模式運行，將不同的OTT業務通過劃分不同的DMZ 區進行隔離，然后根據不同OTT業務實際的運行流量，在安全網關上進行系統資源的重新分配，其中包括CPU、內存等。

在DMZ 區之間、Intranet區、Extranet 區等不同的安全區之間，通過安全網關的安全策略進行訪問控制，精確到協議和端口號，嚴格控制合法流量的流入和流出。通過安全網關的NAT 功能，實現私網地址向公網地址，公網地址向私網地址的互相訪問。

同時，要求安全網關已經實際配置IPv6 功能，給未來的NAT46、NAT64 等業務留下充足的擴展空間。