摘 要：隨著IPTV業(yè)務(wù)在城域網(wǎng)上部署和發(fā)展，引入了新的安全風(fēng)險(xiǎn)，文章對(duì)這些風(fēng)險(xiǎn)進(jìn)行了綜合分析，提出了IPTV承載網(wǎng)安全加固建議。

關(guān)鍵詞：IPOE；認(rèn)證方式；新業(yè)務(wù)；PPPOE；DHCP

1 背景

隨著城域網(wǎng)寬帶業(yè)務(wù)的發(fā)展，可運(yùn)營(yíng)、可管理的網(wǎng)絡(luò)建設(shè)理念已經(jīng)深入人心。采用動(dòng)態(tài)IP地址，每用戶帶寬控制的PPPOE設(shè)備已經(jīng)成為電信運(yùn)營(yíng)商主要的接入方式。隨著IP網(wǎng)上新業(yè)務(wù)的迅速發(fā)展，人們產(chǎn)生了所有智能設(shè)備聯(lián)網(wǎng)的需求、移動(dòng)高速上網(wǎng)的需求、有保障可控視頻的需求。隨著提供業(yè)務(wù)的多樣化，用戶認(rèn)證方式作為可運(yùn)營(yíng)、可管理的核心，受到包括運(yùn)營(yíng)商、制造商的密切關(guān)注。目前核心認(rèn)證技術(shù)主要包括IPOE和PPPOE，兩種應(yīng)用都比較成熟，并在當(dāng)前的網(wǎng)絡(luò)建設(shè)中獲得大規(guī)模商用。下面首先對(duì)這兩種認(rèn)證方式進(jìn)行全面的分析比較，然后提出多業(yè)務(wù)承載對(duì)于認(rèn)證技術(shù)的需求，最后討論IPOE認(rèn)證技術(shù)在部署時(shí)需要注意的地方。

2 PPPOE與IPOE比較

PPPOE相關(guān)標(biāo)準(zhǔn)則是在1999年的RFC2516-A MethOd fOr Transmitting PPP Over Ethernet （PPPOE）中明確定義的[1]。PPPOE認(rèn)證的不足之處在于認(rèn)證機(jī)制比較復(fù)雜，對(duì)設(shè)備處理性能、內(nèi)存資源需求較高；需要在用戶終端上安裝客戶端程序；組播支持方面，采用PPPOE方式認(rèn)證時(shí)，組播復(fù)制點(diǎn)只能選擇在BRAS設(shè)備上。

IPOE認(rèn)證的推出是在2006年，不需要在用戶終端上安裝任何客戶端程序，不需要輸入用戶名和密碼，非常適合新型網(wǎng)絡(luò)設(shè)備。由于省去了PPP封裝和多余的交互過(guò)程，IPOE具備以下諸多優(yōu)勢(shì)：（1）數(shù)據(jù)傳遞上減少了多余的字節(jié)，提高了網(wǎng)絡(luò)傳輸效率；（2）使直播節(jié)目復(fù)制可以從SR/BRAS下移到接入設(shè)備上，緩解接入設(shè)備的上聯(lián)流量壓力；（3）采用DHCP方式建立會(huì)話，無(wú)論是會(huì)話建立的過(guò)程還是會(huì)話的維持都非常簡(jiǎn)捷，更加適合大容量的用戶接入；（4）IPOE實(shí)際上是一種無(wú)連接的用戶會(huì)話接入方式，非常適合于像NGN電話、視頻監(jiān)控等需要24小時(shí)長(zhǎng)接在線的業(yè)務(wù)；（5）采用DHCP方式建立會(huì)話，合理設(shè)置租期，可以實(shí)現(xiàn)在SR設(shè)備故障、割接、意外重啟后的快速用戶恢復(fù)。

3 運(yùn)營(yíng)商新業(yè)務(wù)對(duì)于認(rèn)證方式的選擇

目前，運(yùn)營(yíng)商對(duì)于寬帶用戶開(kāi)展的業(yè)務(wù)包括寬帶撥號(hào)上網(wǎng)業(yè)務(wù)、WLAN業(yè)務(wù)、IPTV業(yè)務(wù)以及融合視頻OTT業(yè)務(wù)。從原則上講，可以采用單一的IPOE方式提供三網(wǎng)融合業(yè)務(wù)的綜合接入。但考慮到目前上網(wǎng)業(yè)務(wù)已經(jīng)普遍采用PPPOE方式，而PPPOE的局限性更多體現(xiàn)在IPTV等新興業(yè)務(wù)上，因此，在三網(wǎng)融合的業(yè)務(wù)接入構(gòu)架中，上網(wǎng)業(yè)務(wù)保留PPPOE的接入方式，其它業(yè)務(wù)采用IPOE方式的混合接入模式。

對(duì)于WLAN業(yè)務(wù)，由于很多用戶終端是智能手機(jī)，沒(méi)有內(nèi)置PPPOE軟件，只能使用DHCP方式。

對(duì)于IPTV業(yè)務(wù)，考慮到網(wǎng)絡(luò)設(shè)備投資的經(jīng)濟(jì)性，組播復(fù)制點(diǎn)越靠近用戶越好，因此DHCP方式更適合。

對(duì)于家庭網(wǎng)關(guān)等終端管理，要求用戶端設(shè)備零配置，用戶端設(shè)備上電后就能與管理平臺(tái)通信，再由管理平臺(tái)下發(fā)配置信息，不需認(rèn)證計(jì)費(fèi)，DHCP更經(jīng)濟(jì)合理。

4 部署IPOE時(shí)需要關(guān)注的幾個(gè)問(wèn)題

一是VLAN規(guī)劃。由于IPOE方式不再使用用戶名/口令來(lái)識(shí)別用戶及其業(yè)務(wù)類型，因此，用戶接入的VLAN規(guī)劃就非常重要。通過(guò)VLAN的劃分，可以有效隔離不同用戶和不同業(yè)務(wù)之間的流量，防止未授權(quán)的訪問(wèn)。目前至少要規(guī)劃上網(wǎng)VLAN、視頻（IPTV）VLAN、HGU終端管理VLAN，還要預(yù)留VOIP的VLAN。

二是業(yè)務(wù)網(wǎng)關(guān)設(shè)備選擇。運(yùn)營(yíng)商現(xiàn)網(wǎng)BRAS設(shè)備已經(jīng)承載了大量的寬帶用戶，并且城域網(wǎng)上沒(méi)有部署QOS策略，是通過(guò)輕載的方式來(lái)保證視頻業(yè)務(wù)的質(zhì)量。同時(shí)考慮到BRAS設(shè)備單板處理能力、整機(jī)處理能力、LICENSE等情況，選擇SR作為IPTV業(yè)務(wù)網(wǎng)關(guān)?，F(xiàn)階段，HGU的量還比較小，由BRAS作為終端管理的業(yè)務(wù)網(wǎng)關(guān)。當(dāng)HGU數(shù)量逐步增多時(shí)，還需根據(jù)情況再進(jìn)行調(diào)整。

三是DHCP server選擇?，F(xiàn)網(wǎng)的大部分BRAS/SR設(shè)備也支持作DHCP server功能，是選擇網(wǎng)絡(luò)設(shè)備作DHCP server的分布式部署還是用專用服務(wù)器的集中式部署？由于DHCP服務(wù)器上參數(shù)很多，因?yàn)镮PTV平臺(tái)擴(kuò)容、業(yè)務(wù)變化等引起的參數(shù)修改較為頻繁，目前適合于集中式的部署，待DHCP技術(shù)及業(yè)務(wù)穩(wěn)定后，后續(xù)可以考慮分布式部署。

四是不同業(yè)務(wù)的DHCP server是否能夠合設(shè)。運(yùn)營(yíng)商最初的DHCP服務(wù)器是為家庭網(wǎng)關(guān)管理平臺(tái)服務(wù)的，用戶數(shù)很少，后來(lái)開(kāi)展IPTV業(yè)務(wù)，由于開(kāi)始是實(shí)驗(yàn)性質(zhì)的，用戶數(shù)也很少，再后來(lái)又增加了WLAN業(yè)務(wù)，開(kāi)始也是免費(fèi)試用。因此三種業(yè)務(wù)最初共用了一套DHCP系統(tǒng)。隨著用戶數(shù)量的增加，服務(wù)器壓力越來(lái)越大，參數(shù)調(diào)整需要考慮的因素也多，因此后來(lái)根據(jù)業(yè)務(wù)的不同進(jìn)行了分離，分別建設(shè)了DHCP系統(tǒng)。

五是租期T的選擇。對(duì)于不通的業(yè)務(wù)，考慮節(jié)省投資、節(jié)省IP地址，需要設(shè)置不同的租期。對(duì)于WLAN業(yè)務(wù)，主要考慮WLAN業(yè)務(wù)使用的公網(wǎng)IP，目前公網(wǎng)IP地址已經(jīng)非常緊張，而WLAN用戶數(shù)并不多，DHCP服務(wù)器壓力也不大，租期設(shè)置較短；對(duì)于IPTV業(yè)務(wù)，使用私網(wǎng)IP地址并且用戶數(shù)多DHCP服務(wù)器壓力大，租期應(yīng)設(shè)置較長(zhǎng)；對(duì)于家庭網(wǎng)關(guān)或HGU管理平臺(tái)，使用私網(wǎng)地址、用戶數(shù)量大、重要性較低、服務(wù)器數(shù)量少可減少投資，可將租期設(shè)置的更長(zhǎng)。

六是DHCP服務(wù)器的組網(wǎng)方式，目前主要是通過(guò)四層進(jìn)行負(fù)載分擔(dān)還是通過(guò)anycast方式進(jìn)行負(fù)載分擔(dān)。四層負(fù)載分擔(dān)方式一般由于DHCP服務(wù)器有多臺(tái)，四層下面還要帶二層；為了安全性，四層上面還要加2臺(tái)防火墻。這種方式一是投資大，增加了防火墻（2臺(tái)）、四層（2臺(tái)）、二層交換機(jī)（2臺(tái)）的投資，二是增加了故障點(diǎn)及故障率。建議采用anycast方式。

5 結(jié)束語(yǔ)

本文簡(jiǎn)要介紹了運(yùn)營(yíng)商新業(yè)務(wù)開(kāi)展現(xiàn)狀和IPOE技術(shù)的應(yīng)用。隨著IPTV、OTT、WLAN業(yè)務(wù)的快速發(fā)展，用戶數(shù)量快速增長(zhǎng)，故障量也日益增多，而DHCP系統(tǒng)作為這些新業(yè)務(wù)流程的首要環(huán)節(jié)—IP地址的分配，系統(tǒng)的穩(wěn)定運(yùn)行起著至關(guān)重要的作用，因此對(duì)DHCP的工作流程及協(xié)議分析的了解，有助于故障的預(yù)防、故障發(fā)生后的快速定位、迅速恢復(fù)，為用戶提供滿意的服務(wù)。

參考文獻(xiàn)

[1]RFC2516-A Method for Transmitting PPP Over Ethernet （PPPoE）.

[2]RFC 1541 Dynamic Host Configuration Protocol.

[3]RFC 2132-DHCP Options and BOOTP Vendor Extensions.

作者簡(jiǎn)介：程學(xué)武，男，籍貫：天津，碩士，就職于中國(guó)聯(lián)通網(wǎng)絡(luò)公司天津市分公司設(shè)備維護(hù)中心，工程師。