新形勢下高安全IPTV 直播網絡的研究與實現

陸 興

（廣西廣電新媒體有限公司，廣西 南寧 530022）

0 引言

交互式網絡電視（IPTV）直播網絡系統是IPTV集成播控平臺與直播相關的所有網絡的總稱，包括直播信號的接入、編碼、切換、監控及收錄等模塊網絡。在信源組成上，當前廣西IPTV 集成播控平臺主要由中央集成播控總平臺、廣西廣電網絡提供主要頻道的主備路信號，廣西廣播電視臺提供本地頻道信號。所有信號接入到IPTV 直播網絡系統后，經過切換器保障處理后傳送到運營商傳輸網絡。同時，IPTV 集成播控平臺內部存在對直播信號的使用需求，如監控、收錄、轉碼供手機網站播出等，IPTV 直播網絡系統除了需要考慮滿足相關部門對直播頻道可用率的要求之外，還保障內部直播信號使用需求系統能正常獲取到直播信號。

在直播信號傳輸方面，廣西IPTV 集成播控平臺直播網絡系統采用組播技術進行直播頻道信號傳輸，滿足靈活多樣的直播業務需求以及相關部門的安全播出工作要求[1]。

1 IPTV 直播網絡系統安全設計思路

在IPTV 發展前期，各地IPTV 集成播控平臺基本采用如下兩種方案搭建IPTV 直播網絡系統。方案一，在直播交換機中將組播流虛擬局域網（Virtual Local Area Network，VLAN）透傳到需要使用直播流設備互聯交換機上，通過組播VLAN 復制或者PIM技術將組播傳送到需要使用直播信號設備上，如信號監控設備、編轉碼設備以及收錄設備等。方案二是將上述需要使用直播信號設備直接接入到直播交換機，直接提取直播交換機中的組播信號。這兩種方案均存在較大的安全隱患，方案一可導致直播交換機的廣播域延伸到其他網絡設備，同時增加了廣播域接入設備數量，方案二則增加了直播交換機廣播域接入設備數量。兩種方案均容易出現廣播風暴或者設備組播地址配置錯誤干擾，大大增加了現網直播頻道的播出安全風險。在播出安全為核心的廣電行業，如此大的安全播出風險是無法接受的。

廣西IPTV 集成播控平臺在原有IPTV 直播網絡系統設計模式基礎上，引入了點播與直播分離的組網方式、單纖單向物理組播單向傳輸、全二層交換機設計、利用ACL 技術實現組播單向傳播、全組播、強推等設計思路，很好地解決了上述兩個方案存在的問題，適應新形勢，在保證高安全的同時，滿足了靈活多樣的直播信號使用需求[2]。

1.1 點播與直播分離的組網方式

IPTV 集成播控平臺主要由直播和點播兩個系統組成。點播系統需要與多個外部系統通信，安全風險偏高，而直播系統相對獨立，只有直播相關系統需要與其對接，安全風險偏低，且直播系統保障等級最高。基于兩個業務的保障級別不同，考慮到其相互獨立性，在組網方式上，廣西IPTV 集成播控平臺采用點播與直播分離的設計方式，在架構上完成網絡物理隔離。在直播業務流向上，所有直播信源直接匯聚到直播交換機，傳送到切換后回到直播交換機，然后再由直播交換機傳送到運營商傳輸網絡、監控、編轉碼、收錄等平臺，全程在直播交換機中完成。同時，在物理保障方面，所有接入信源專線均為主備接入，輸出信號專線也為主備接入，整個直播網絡系統設備和專線均為冗余設計，確保任一設備或專線故障秒級切換，不影響直播信號傳輸，滿足相關部門的安全播出要求[3]。

1.2 全二層的直播交換機設計

為滿足直播頻道的超高安全播出要求，廣西IPTV 集成播控平臺IPTV 直播網絡系統在使用點播與直播分離的組網方式的同時，還采用了全二層組播的直播交換機設計思路。正常情況下，網絡設備通信均通過傳輸控制協議（Transmission Control Protocol，TCP）完成，通過三次握手，完成業務通信。但該通信屬于雙向通信，存在一定風險。考慮到直播交換機只存在直播信號相關業務，業務間無TCP通信需求，當前僅剩下對交換機的設備管理和監控需要使用到TCP 協議通信。調研發現，交換機帶外管理接口與交換機業務流量出于不同交換層面，相互隔離，同時外管理接口可完成交換機設備管理和監控需求，最后決定直播交換機只在帶外管理接口上啟用IP 地址，滿足管理和監控通信需求，同時在帶外管理接口上配置訪問控制列表（Access Control Lists，ACL），只允許指定IP 通過該接口進行設備管理和監控通信[4]。

1.3 引入單纖單向技術

點播與直播分離的組網方式保證了IPTV 集成播控平臺在架構上安全可靠，但是在業務需求上，存在多個需要使用到直播信號的業務系統，同時部分外部信源接入專線是點播和直播合在一根線傳輸，需要分離點播后再把直播傳輸到直播交換機。上述需求都要求直播交換機具備與外部進行直播信號交互的能力。因此，在當前架構設計基礎上，需要新增直播交換機與點播網絡交換機互聯線，滿足分離點播后直播信號由該專線傳送到直播交換機，同時，直播交換機信號由該專線傳送到點播網絡，以備其他系統使用。新增該專線后，直播交換機將面臨原有IPTV 直播網絡系統的廣播域擴大以及接入設備增多問題，大大增加了直播頻道安全播出風險。為了解決該問題，廣西IPTV 集成播控平臺IPTV 直播網絡系統特引入組播單向傳輸技術。

目前，組播單向傳輸技術物理上采用華為交換機光接口板單纖單向授權功能，邏輯控制上使用ACL 控制技術。正常情況下，交換機光口同時存在收發光才能正常啟用，完成網絡通信工作，但是收光和發光意味著雙向通信，要物理上滿足組播單向傳輸就需要實現交換機光口在只有單一方向的光時也能正常啟用。通過與網絡設備廠家溝通以及內部技術討論，最后確定使用華為交換機光接口板中的單纖單向功能。該功能啟用后，接口板上的光接口可配置實現僅有自帶發光前提下啟用接口通信功能。業務上，該功能的啟用意味著交換機光口可以只發送數據出去，而不接收外部進來的任何信息。如果是TCP 類協議業務，此功能會導致業務無法正常通信，因為該類協議都需要雙向交互完成通信。但是直播信號使用的是組播技術傳播，組播協議可配置成強推模式，將直播信號推到指定組播地址和端口上，用戶只需要知道地址和端口即可拉到直播流，無需與推流設備通信[5]。

單纖單向功能啟用后，安全上滿足有關部門對直播頻道安全要求，但是組播協議默認是強推模式，即所有進入VLAN 的組播都會強制推送到配置有該VLAN 的所有接口上，即使設備只需要一個組播流，VLAN 中的所有組播流也會強推到該設備接入到VLAN 的物理接口，導致帶寬浪費，同時存在帶寬不足影響直播穩定性的風險。針對此問題，廣西IPTV集成播控平臺對網中組播配置進行了優化，開啟組播監聽模式，停用強推功能。組播監聽模式開啟后，需要主動拉流或者手動在需要組播流接口上面配置強拉指定組播流方能獲取到直播信號，以此滿足按需拉流的目的，在解決帶寬浪費及直播風險的同時，達到所有分發直播流安全可控的效果，實現直播流最小權限分發原則。

1.4 利用ACL 技術實現組播單向傳播

單纖單向技術僅能在光接口板上通過購買授權的方式激活，實現物理上的組播流單向傳出傳輸，在實際使用過程中，有不少通過以太網電口接入網絡從而獲取組播流的場景，在這種情況下，就無法依靠光口的單纖單向功能實現組播流單向傳輸，保證現網頻道的播出安全。這時就需要使用交換機通用的ACL 技術，通過邏輯控制實現組播流單向傳輸控制。ACL 技術屬于邏輯控制技術，對比單纖單向的物理方式，雖然安全性上偏差，但是在業務使用便利性方面優勢明顯。單纖單向僅能實現輸出的單向傳輸，ACL 技術可以實現輸入單向傳輸、輸出單向傳輸，另外還能實現輸入輸出同時控制。

通過在專線接口處入方向先配置只允許接收的指定組播地址ACL，同時配置所有方向配置禁止所有IP 協議流量ACL，實現組播輸入單向傳輸；在專線接口處出方向先配置只允許放行的指定組播地址ACL，同時配置所有方向配置禁止所有IP 協議流量ACL，實現組播輸出單向傳輸；在專線接口入方向配置只允許接收的指定組播地址ACL，同時在出方向配置只允許放行的指定組播地址ACL，實現對組播的輸入和輸出同時控制，解決解決帶寬浪費及廣播域擴大風險，保證了直播頻道播出安全[6]。

上述3 種組播控制模式使用的場景是不一樣的。組播輸入單向傳輸控制模式主要用于滿足直播交換機外設備將組播流輸送到直播交換機的需求，保障直播交換機能正常接收指定組播的同時與外部實現邏輯網絡隔離；組播輸出單向傳輸控制模式主要用于直播交換機將組播輸送給外部直播信號使用平臺，如運營商、監控、編轉碼等平臺，保障按需輸出組播到各平臺的同時，直播交換機與各平臺網絡實現邏輯隔離；組播輸入輸出同時控制模式主要針對部分需要使用組播信號同時又向直播交換機提供組播信號的業務平臺，如編轉碼系統，實現直播交換機與其保持網絡邏輯隔離，確保直播交換機業務安全穩定運行，保障直播頻道播出安全。

2 結語

廣西IPTV 集成播控平臺直播網絡系統適應新形勢需求，在滿足各類業務需求的同時，IPTV 直播頻道可用率及安全防護水平完全達到相關部門的安全播出要求。截止目前，直播頻道業務未出現任何安全播出事故，為廣西廣播電視行業安全播出工作交出了一份優秀的答卷。