張路 汪非 （天津泰達有線電視網絡有限公司 天津300456）

廣電IP網絡概述及安全優(yōu)化

張路 汪非 （天津泰達有線電視網絡有限公司 天津300456）

泰達有線電視網絡有限公司作為網絡運營主體，在建網初期就將有線電視網絡定位在可提供多業(yè)務支撐的綜合信息網。概述了泰達有線電視IP系統(tǒng)構成、現(xiàn)狀，提出IP骨干網的整體安全優(yōu)化方案。

IP 骨干網 廣電

1 IP網絡系統(tǒng)概述

經過3年左右的建設，泰達有線電視網絡已逐步完善，涵蓋了整個開發(fā)區(qū)，并實現(xiàn)了開發(fā)區(qū)和開發(fā)區(qū)西區(qū)、中新生態(tài)城的互聯(lián)，在整個開發(fā)區(qū)形成了一個主干1 000 M帶寬的傳輸網絡體系。整個骨干網已實現(xiàn) WWW、DNS、WEBMAIL、FTP、VOD點播系統(tǒng)、BOSS計費系統(tǒng)、辦公自動化系統(tǒng)（OA）、用戶上網和企業(yè)VPN接入等網絡服務。泰達有線電視數(shù)字網已完成建立在數(shù)字電視及寬帶業(yè)務平臺之上的交互數(shù)字電視平臺，可以提供VOD、IP電話、銀聯(lián)在線繳費、信息瀏覽、游戲、電視購物、股票等業(yè)務。交互電視可以有效利用泰達有線電視網絡有限公司在網運行的Cable Modem資源，引導用戶從寬帶業(yè)務進入交互電視業(yè)務。同時，雙向機頂盒作為一個重要的接入資源，又能夠把互聯(lián)網接入業(yè)務引入用戶家庭，從而為數(shù)據(jù)業(yè)務和電視業(yè)務的組合營銷創(chuàng)造更大的發(fā)展空間。泰達有線電視網絡有限公司已經實現(xiàn)同時運營數(shù)字電視業(yè)務、數(shù)據(jù)業(yè)務和其他增值業(yè)務，并具備了向市場提供IP語音服務的能力，這正是電信業(yè)務融入廣電業(yè)務的一種理想狀態(tài)。

圖1 網絡拓撲圖

2 IP系統(tǒng)現(xiàn)狀

2.1 骨干網的網絡結構及設備

根據(jù)開發(fā)區(qū)用戶區(qū)域特征，泰達有線電視網絡有限公司將整個開發(fā)區(qū)分為5個主要節(jié)點：A節(jié)點為主節(jié)點，負責Internet接入，VoD系統(tǒng)接入，計費系統(tǒng)接入，也負責部分個人用戶的接入；B和C兩個節(jié)點主要承載個人用戶，其中大部分為寬帶接入和視頻點播的業(yè)務；D和E兩個節(jié)點主要承載企業(yè)用戶，基本以數(shù)據(jù)傳輸為主。

各個節(jié)點之間都是使用兩條千兆光纖組成的channel相連，形成一個環(huán)網。由于A、B、C 3個節(jié)點是使用VOD的主要節(jié)點，流量較大，所以A節(jié)點分別與B、C節(jié)點之間有一條萬兆的鏈路相連，提供高效的數(shù)據(jù)轉發(fā)。

目前泰達有線電視網絡有限公司骨干光纖網共配置一個核心前端4個分前端，網絡拓撲如圖1。

此次項目選擇的骨干路由器為Cisco7600系列路由器。配置如下：A前端，雙SUP720G引擎Cisco7609路由器一臺；B前端，SUP32G引擎Cisco7604路由器一臺；C前端，SUP32G引擎Cisco7604路由器一臺；D前端，SUP32G引擎Cisco7604路由器一臺；E前端，SUP32G引擎Cisco7604路由器一臺。

2.2 路由協(xié)議的選擇

開放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）協(xié)議作為一個開放性的協(xié)議，在大多數(shù)廠商的產品中都能夠支持。這也為以后升級擴展奠定了基礎。OSPF具有支持大型網絡、路由收斂快、占用網絡資源少等優(yōu)點。

OSPF路由器之間使用鏈路狀態(tài)通告（LSA）來交換各自的鏈路狀態(tài)信息，并把獲得的信息存儲在鏈路狀態(tài)數(shù)據(jù)庫中。各OSPF路由器獨立使用SPF算法計算到各個目的地址的路由。

OSPF協(xié)議支持分層路由方式，這使得它的擴展能力遠遠超過RIP協(xié)議。當OSPF網絡擴展到100、500甚至上千個路由器時，路由器的鏈路狀態(tài)數(shù)據(jù)庫將記錄成千上萬條鏈路信息。為了使路由器的運行更快速、更經濟、占用的資源更少，網絡工程師們通常按功能、結構和需要把OSPF網絡分割成若干個區(qū)域，并將這些區(qū)域和主干區(qū)域根據(jù)功能和需要相互連接，從而達到分層的目的。

OSPF的特性：使用了區(qū)域的概念，支持無類路由，完全支持超網，可變長子網等無類特性，支持較大型的網絡，收斂速度快，使用組播地址來進行信息互通，支持使用多條路徑的效率更高的等價負載均衡，安全性高。

目前所有骨干路由器都在一個骨干區(qū)域area 0內。

泰達有線電視網絡有限公司IP骨干網是開放式的網絡，所以我們需要在OSPF中配置加密認證，防止外界攻擊IP骨干網的OSPF。為防止因監(jiān)聽而導致的認證口令泄露的情況，我們采用OSPF中的MD5加密認證方式。

同時，考慮到以后系統(tǒng)的擴容開發(fā)，可能會連接一些除Cisco以外的廠商的設備，不能很好的支持OSPF認證或是MD5加密認證方式，我們采用OSPF鏈路認證方式，沒有采用OSPF區(qū)域認證方式。

3 IP骨干網的整體安全優(yōu)化

考慮到IP骨干網承載著多種業(yè)務的接入，安全方面的問題便逐漸顯現(xiàn)出來，既要保證各種業(yè)務流暢的運營，也要考慮到幾種業(yè)務互不干擾；既要滿足各種接入方式的實現(xiàn)，還要保障自身系統(tǒng)的安全性。

網絡運營的主要兩種業(yè)務分別是VOD視頻點播以及寬帶上網，針對VOD點播，骨干路由器A到B，和A到C各有一條10 GE的光鏈路，根據(jù)不同前端用戶的點播請求，利用策略路由將回應用戶的視頻流指向這兩條10 GE鏈路，也可以說這兩條10 GE鏈路是專門提供視頻點播推流的。另外，VOD用戶與寬帶用戶獲取的IP地址也不是一個網段的，這樣在CMTS頭端設備上將兩個業(yè)務直接區(qū)分開。針對VOD點播的特點，它只需要訪問特定的幾個網段和特定的端口，這樣可以針對這些VOD用戶的IP地址實施嚴密的訪問控制，以免用戶端私接設備對系統(tǒng)造成安全隱患。寬帶用戶只需要訪問Internet就可以了。由此對于這些IP端的用戶對VOD系統(tǒng)的訪問就可以控制起來了。

在主要業(yè)務運行的同時，也有一些增值業(yè)務，VOIP和VPN等等。對于VOIP來講，應該是本網優(yōu)先級最高的，這樣從用戶端設備劃分好vlan,在CMTS設備區(qū)分出來數(shù)據(jù)流，打上標記，將其優(yōu)先級提上來，保證用戶語音通話的質量。

4 結論

可見IP網絡在當今網絡時代的確是不可或缺的，IP網絡的優(yōu)勢隨處可見，快速部署，完善的安全管理，對于數(shù)據(jù)流的控制相對自由，這樣在IP網絡中我們可以實現(xiàn)多種多樣的業(yè)務綜合運營。■

2011-05-09