引言： 在三網(wǎng)融合加速推進和4K產(chǎn)業(yè)鏈趨于成熟的形勢下，各電信運營商都在積極探索新的IPTV業(yè)務(wù)運營模式。以甘肅電信為例，為豐富節(jié)目內(nèi)容并且形成競爭格局，先后引入了多家服務(wù)提供商(以下簡稱SP)向用戶提供視聽業(yè)務(wù)，若繼續(xù)沿用原有SP直接互連IPTV平臺的方式，在路由控制、網(wǎng)絡(luò)可靠性和維護便捷性方面都將出現(xiàn)問題。

在三網(wǎng)融合加速推進和4K產(chǎn)業(yè)鏈趨于成熟的形勢下，各電信運營商都在積極探索新的IPTV業(yè)務(wù)運營模式。

以甘肅電信為例，為豐富節(jié)目內(nèi)容并且形成競爭格局，先后引入了多家服務(wù)提供商(以下簡稱SP)向用戶提供視聽業(yè)務(wù)，若繼續(xù)沿用原有SP直接互連IPTV平臺的方式，在路由控制、網(wǎng)絡(luò)可靠性和維護便捷性方面都將出現(xiàn)問題。為此，公司新購兩臺S9306交換機，采用OPSF多進程和路由策略技術(shù)，實現(xiàn)了各SP與IPTV平臺的按需互通、各SP不可互通的需求，形成了自動負載分擔和冗余備份的格局；同時新購兩臺Secpath M9000 防火墻，采用SCF集群技術(shù)虛擬為一臺防火墻，既簡化了防火墻配置，又實現(xiàn)了負荷分擔，滿足了多SP對接IPTV平臺的經(jīng)濟性、靈活性和安全性需求。

原有SP與IPTV平臺網(wǎng)絡(luò)互連情況及問題

圖1 單SP接入IPTV平臺網(wǎng)絡(luò)拓撲

SP負責提供節(jié)目源，IPTV平臺負責實現(xiàn)節(jié)目內(nèi)容的分發(fā)、存儲、播放及用戶的管理。各SP一般都有自己的EPG，供用戶瀏覽檢索節(jié)目，此外各個SP大都通過總部向駐地下發(fā)EPG和影視節(jié)目，SP駐地要將影視節(jié)目的工單信息傳給當?shù)夭コ龉芾頇C構(gòu)進行審核，審核通過后由IPTV平臺根據(jù)工單信息從SP駐地獲取媒體文件和描述信息，再由IPTV平臺向點播用戶進行播放。甘肅電信此前采用了兩個廠商的IPTV平臺，分別服務(wù)于不同地域的用戶。

可以看出，SP有總部與駐地互通、駐地與當?shù)夭コ龉芾頇C構(gòu)、駐地與兩個IPTV平臺和IPTV用戶進行數(shù)據(jù)交換的需求，而各個SP之間并無通信需求。在只有一家SP時，采用專線電路方式和靜態(tài)路由方式實現(xiàn)與相關(guān)各方的連接和互通。

這種組網(wǎng)方式在只有一家SP對接IPTV平臺時是可行的，但當引入多家SP時將面臨以下問題：一是每個SP都要鋪設(shè)或占用到相關(guān)系統(tǒng)的傳輸鏈路，加劇了原本緊張的光纖資源；二是播出管理機構(gòu)、IPTV 平臺的兩臺負荷分擔的交換機針對內(nèi)部的服務(wù)器啟用了VRRP，采用靜態(tài)路由實現(xiàn)鏈路保護和路由控制時比較復雜，且容易造成故障；三是一些規(guī)模較小的SP對總部與駐地之間昂貴的專線電路租費望而卻步，單獨采購防火墻也存在配置管理不統(tǒng)一的問題，有較大的安全風險。

IPTV內(nèi)容匯聚網(wǎng)絡(luò)規(guī)劃設(shè)計

1.物理拓撲設(shè)計

新增兩臺S9306設(shè)備定位為IPTV內(nèi)容匯聚平臺，與IPTV平臺、播出管理機構(gòu)等形成口字型拓撲；各個SP駐地就近以裸纖直連的方式與兩臺S9306形成口字型連接，實現(xiàn)各個SP經(jīng)過S9306與相關(guān)系統(tǒng)作對接傳輸工單信息和內(nèi)容流入。

圖2 IPTV內(nèi)容匯聚網(wǎng)絡(luò)拓撲設(shè)計

新增兩臺EUDEMON1000E防火墻采用集群模式形成一臺虛擬防火墻，向上連通IP城域網(wǎng)省中心節(jié)點，向下以口字型對接兩臺S9306交換機，在公網(wǎng)環(huán)境下利用防火墻安全策略實現(xiàn)各個SP駐地與總部傳輸節(jié)目信息和省內(nèi)IPTV用戶訪問SP的EPG的通信需求。為便于維護，在設(shè)備互連時保持接口占用一致性，如兩臺S9306的Gi4/0/1分別連接CP1的兩臺交換機的Gi0/1口；為增強兩臺設(shè)備互連帶寬，在兩臺S9306之間采用e-trunk鏈路捆綁技術(shù)擴展帶寬，劃分子接口為各個SP、播出管理機構(gòu)和IPTV平臺形成邏輯上的獨立的備用鏈路。新的網(wǎng)絡(luò)拓撲示見圖2。

2.IP地址規(guī)劃

為SP規(guī)劃16個C的私網(wǎng)IP地址10.x.240.0/20，對大型SP分配半個C的私網(wǎng)IP地址，對小型SP分配1/4個C的IP地址。為便于各SP的網(wǎng)絡(luò)平滑擴展，要求各SP用從起始IP地址開始預(yù)留32個IP地址用于網(wǎng)絡(luò)設(shè)備管理IP地址、鏈路互連等用途，對剩余IP地址按照服務(wù)器功能劃分網(wǎng)段，并使用VRRP協(xié)議在各SP的交換機與服務(wù)器之間形成冗余保護。從IP城域網(wǎng)申請一個C的公網(wǎng)IP地址，對各個SP駐地需要與外部通信的服務(wù)器進行IP地址NAT映射，并設(shè)置嚴格的白名單策略控制外部網(wǎng)絡(luò)對SP駐地服務(wù)器的訪問。

3.路由協(xié)議規(guī)劃

OSPF router-id采用S9306和M9000設(shè)備的loopback IP，統(tǒng)一配置為area 0，各OSPF接口啟用MD5加密，加密字符串由我公司統(tǒng)一確定,在S9306上對每個方向的系統(tǒng)啟用一個OPSF進程進行對接，各OSPF進程關(guān)聯(lián)S9306的外聯(lián)鏈路接口網(wǎng)段及S9306上互連子接口的網(wǎng)段，各SP交換機的OSPF進程關(guān)聯(lián)外聯(lián)S9306鏈路的接口網(wǎng)段、互聯(lián)VLAN接口的IP地址網(wǎng)段和相應(yīng)的業(yè)務(wù)網(wǎng)段IP地址段，對每個SP系統(tǒng)形成口字型ospf閉環(huán)。規(guī)劃SP與S9306互連鏈路的cost為1000，兩臺S9306互連鏈路的cost為2000,SP內(nèi)部兩臺交換機互連cost為15000。IPTV平臺、播出管理機構(gòu)及M9000防火墻都做類似OPSF協(xié)議配置。

4.安全管理規(guī)劃

在路由引入時實行路由白名單控制，由M9006向交換機引入各個SP總部和省內(nèi)IPTV用戶的明細路由，由S9306通過路由策略將相關(guān)進程的明細路由通過路由策略引入到SP所在的進程，或者將SP的路由引入到播出管理機構(gòu)或IPTV平臺，實現(xiàn)靈活可控的按需互通策略，避免諸如各個SP互通的可能性。各個SP和IPTV平臺、播出管理機構(gòu)在交換機上實施嚴格的ACL白名單策略，進一步提高各個系統(tǒng)的安全性。刪除S9306和M9000上缺省的用戶名和密碼，統(tǒng)一新建專用的本地應(yīng)急管理員帳號，設(shè)置telnet ACL僅允許網(wǎng)管中心登陸設(shè)備；將設(shè)備納入4A堡壘機系統(tǒng)實現(xiàn)維護操作的集中認證、授權(quán)和記帳功能。開啟SNMP V2協(xié)議并設(shè)置SNMP的團體字和ACL列表，僅允許網(wǎng)管中心對設(shè)備進行SNMP輪詢。

主要部署過程

1.S9306上OSPF協(xié)議及路由策略設(shè)置過程示意，以某個SP舉例如下，其它類似。同時，考慮到在網(wǎng)業(yè)務(wù)安全，特對相關(guān)IP地址中的第2位的值用x進行了代替。

首先，在S9306-1上設(shè)置互連SP1的接口IP地址并配置cost。其次，在S9306-1上設(shè)置互連S9306-2的子接口IP地址并配置cost。然后，在S9306-1上設(shè)置要引入到SP1的路由前綴和路由策略。最后，在S9306-1上針對SP1配置OSPF協(xié)議并將相關(guān)各系統(tǒng)的明細路由引入該SP。

同理，在完成S9306-2的相關(guān)協(xié)議配置后，SP1與S9306之間將建立起ospf鄰居，并且能夠收到兩個IPTV平臺、播出管理機構(gòu)的明細路由。由于OSPF閉環(huán)根據(jù)cost值優(yōu)先選出直連鏈路作為主用路由裝入路由表，并將經(jīng)過互連鏈路再到對方的 鏈路作為次優(yōu)路由，一旦主用路由由于鏈路失效，備用路由即時生效，實現(xiàn)無間斷傳輸。

2.在M9006防火墻上完成相關(guān)IP地址映射和安全策略設(shè)置，實現(xiàn)可信外部IP地址段與SP駐地相關(guān)服務(wù)器的按需互通。由于防火墻為集群模式，設(shè)備已經(jīng)通過集群協(xié)議完成了大部分雙機配置工作，只需按照單臺防火墻完成相關(guān)安全策略設(shè)置即可。這里以其中某個SP的一個需要與外界通信的服務(wù)器為從例，演示主要配置過程，省略了諸如對接S9306的OSPF協(xié)議配置等。

首先，設(shè)置服務(wù)器的內(nèi)網(wǎng)IP地址。其次，對允許訪問該服務(wù)器的端口進行設(shè)置，這里開放了與總部通信的特殊端口和SSH端口，也開放了PING測試，便于調(diào)測過程中進行測試。

然后，設(shè)置策略，將該服務(wù)器的IP地址與開放的服務(wù)端口進行關(guān)聯(lián)。接著，在M9006的上聯(lián)接口處進行NAT映射，使外部網(wǎng)絡(luò)可通過外部IP地址訪問到內(nèi)網(wǎng)中的服務(wù)器。這里將M9006上聯(lián)口定義為非信任區(qū)。下面將M9006互連S9306的接口定義為名為IPTV_SP的區(qū)域。然后設(shè)置域間策略，允許內(nèi)部服務(wù)器訪問任意外網(wǎng)，最后設(shè)置域間策略，僅允許外部網(wǎng)絡(luò)訪問符合前述定義的安全策略的服務(wù)器的相應(yīng)端口。

效果驗證

IPTV內(nèi)容源匯聚網(wǎng)絡(luò)建成后，在對S9306交換機和防火墻斷開任意鏈路或任意一臺設(shè)備的情況下，各SP駐地與相關(guān)系統(tǒng)的通信完全正常；同時在各個SP之間嘗試連通性，確認無法互通，該網(wǎng)絡(luò)功能達到預(yù)期，性能良好，為IPTV業(yè)務(wù)運營奠定了堅實基礎(chǔ)。