陸 興

（廣西廣電新媒體有限公司，廣西 南寧 530022）

0 引言

交互式網(wǎng)絡(luò)電視（IPTV）直播網(wǎng)絡(luò)系統(tǒng)是IPTV集成播控平臺與直播相關(guān)的所有網(wǎng)絡(luò)的總稱，包括直播信號的接入、編碼、切換、監(jiān)控及收錄等模塊網(wǎng)絡(luò)。在信源組成上，當(dāng)前廣西IPTV 集成播控平臺主要由中央集成播控總平臺、廣西廣電網(wǎng)絡(luò)提供主要頻道的主備路信號，廣西廣播電視臺提供本地頻道信號。所有信號接入到IPTV 直播網(wǎng)絡(luò)系統(tǒng)后，經(jīng)過切換器保障處理后傳送到運(yùn)營商傳輸網(wǎng)絡(luò)。同時，IPTV 集成播控平臺內(nèi)部存在對直播信號的使用需求，如監(jiān)控、收錄、轉(zhuǎn)碼供手機(jī)網(wǎng)站播出等，IPTV 直播網(wǎng)絡(luò)系統(tǒng)除了需要考慮滿足相關(guān)部門對直播頻道可用率的要求之外，還保障內(nèi)部直播信號使用需求系統(tǒng)能正常獲取到直播信號。

在直播信號傳輸方面，廣西IPTV 集成播控平臺直播網(wǎng)絡(luò)系統(tǒng)采用組播技術(shù)進(jìn)行直播頻道信號傳輸，滿足靈活多樣的直播業(yè)務(wù)需求以及相關(guān)部門的安全播出工作要求[1]。

1 IPTV 直播網(wǎng)絡(luò)系統(tǒng)安全設(shè)計思路

在IPTV 發(fā)展前期，各地IPTV 集成播控平臺基本采用如下兩種方案搭建IPTV 直播網(wǎng)絡(luò)系統(tǒng)。方案一，在直播交換機(jī)中將組播流虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）透傳到需要使用直播流設(shè)備互聯(lián)交換機(jī)上，通過組播VLAN 復(fù)制或者PIM技術(shù)將組播傳送到需要使用直播信號設(shè)備上，如信號監(jiān)控設(shè)備、編轉(zhuǎn)碼設(shè)備以及收錄設(shè)備等。方案二是將上述需要使用直播信號設(shè)備直接接入到直播交換機(jī)，直接提取直播交換機(jī)中的組播信號。這兩種方案均存在較大的安全隱患，方案一可導(dǎo)致直播交換機(jī)的廣播域延伸到其他網(wǎng)絡(luò)設(shè)備，同時增加了廣播域接入設(shè)備數(shù)量，方案二則增加了直播交換機(jī)廣播域接入設(shè)備數(shù)量。兩種方案均容易出現(xiàn)廣播風(fēng)暴或者設(shè)備組播地址配置錯誤干擾，大大增加了現(xiàn)網(wǎng)直播頻道的播出安全風(fēng)險。在播出安全為核心的廣電行業(yè)，如此大的安全播出風(fēng)險是無法接受的。

廣西IPTV 集成播控平臺在原有IPTV 直播網(wǎng)絡(luò)系統(tǒng)設(shè)計模式基礎(chǔ)上，引入了點播與直播分離的組網(wǎng)方式、單纖單向物理組播單向傳輸、全二層交換機(jī)設(shè)計、利用ACL 技術(shù)實現(xiàn)組播單向傳播、全組播、強(qiáng)推等設(shè)計思路，很好地解決了上述兩個方案存在的問題，適應(yīng)新形勢，在保證高安全的同時，滿足了靈活多樣的直播信號使用需求[2]。

1.1 點播與直播分離的組網(wǎng)方式

IPTV 集成播控平臺主要由直播和點播兩個系統(tǒng)組成。點播系統(tǒng)需要與多個外部系統(tǒng)通信，安全風(fēng)險偏高，而直播系統(tǒng)相對獨立，只有直播相關(guān)系統(tǒng)需要與其對接，安全風(fēng)險偏低，且直播系統(tǒng)保障等級最高?；趦蓚€業(yè)務(wù)的保障級別不同，考慮到其相互獨立性，在組網(wǎng)方式上，廣西IPTV 集成播控平臺采用點播與直播分離的設(shè)計方式，在架構(gòu)上完成網(wǎng)絡(luò)物理隔離。在直播業(yè)務(wù)流向上，所有直播信源直接匯聚到直播交換機(jī)，傳送到切換后回到直播交換機(jī)，然后再由直播交換機(jī)傳送到運(yùn)營商傳輸網(wǎng)絡(luò)、監(jiān)控、編轉(zhuǎn)碼、收錄等平臺，全程在直播交換機(jī)中完成。同時，在物理保障方面，所有接入信源專線均為主備接入，輸出信號專線也為主備接入，整個直播網(wǎng)絡(luò)系統(tǒng)設(shè)備和專線均為冗余設(shè)計，確保任一設(shè)備或?qū)＞€故障秒級切換，不影響直播信號傳輸，滿足相關(guān)部門的安全播出要求[3]。

1.2 全二層的直播交換機(jī)設(shè)計

為滿足直播頻道的超高安全播出要求，廣西IPTV 集成播控平臺IPTV 直播網(wǎng)絡(luò)系統(tǒng)在使用點播與直播分離的組網(wǎng)方式的同時，還采用了全二層組播的直播交換機(jī)設(shè)計思路。正常情況下，網(wǎng)絡(luò)設(shè)備通信均通過傳輸控制協(xié)議（Transmission Control Protocol，TCP）完成，通過三次握手，完成業(yè)務(wù)通信。但該通信屬于雙向通信，存在一定風(fēng)險?？紤]到直播交換機(jī)只存在直播信號相關(guān)業(yè)務(wù)，業(yè)務(wù)間無TCP通信需求，當(dāng)前僅剩下對交換機(jī)的設(shè)備管理和監(jiān)控需要使用到TCP 協(xié)議通信。調(diào)研發(fā)現(xiàn)，交換機(jī)帶外管理接口與交換機(jī)業(yè)務(wù)流量出于不同交換層面，相互隔離，同時外管理接口可完成交換機(jī)設(shè)備管理和監(jiān)控需求，最后決定直播交換機(jī)只在帶外管理接口上啟用IP 地址，滿足管理和監(jiān)控通信需求，同時在帶外管理接口上配置訪問控制列表（Access Control Lists，ACL），只允許指定IP 通過該接口進(jìn)行設(shè)備管理和監(jiān)控通信[4]。

1.3 引入單纖單向技術(shù)

點播與直播分離的組網(wǎng)方式保證了IPTV 集成播控平臺在架構(gòu)上安全可靠，但是在業(yè)務(wù)需求上，存在多個需要使用到直播信號的業(yè)務(wù)系統(tǒng)，同時部分外部信源接入專線是點播和直播合在一根線傳輸，需要分離點播后再把直播傳輸?shù)街辈ソ粨Q機(jī)。上述需求都要求直播交換機(jī)具備與外部進(jìn)行直播信號交互的能力。因此，在當(dāng)前架構(gòu)設(shè)計基礎(chǔ)上，需要新增直播交換機(jī)與點播網(wǎng)絡(luò)交換機(jī)互聯(lián)線，滿足分離點播后直播信號由該專線傳送到直播交換機(jī)，同時，直播交換機(jī)信號由該專線傳送到點播網(wǎng)絡(luò)，以備其他系統(tǒng)使用。新增該專線后，直播交換機(jī)將面臨原有IPTV 直播網(wǎng)絡(luò)系統(tǒng)的廣播域擴(kuò)大以及接入設(shè)備增多問題，大大增加了直播頻道安全播出風(fēng)險。為了解決該問題，廣西IPTV 集成播控平臺IPTV 直播網(wǎng)絡(luò)系統(tǒng)特引入組播單向傳輸技術(shù)。

目前，組播單向傳輸技術(shù)物理上采用華為交換機(jī)光接口板單纖單向授權(quán)功能，邏輯控制上使用ACL 控制技術(shù)。正常情況下，交換機(jī)光口同時存在收發(fā)光才能正常啟用，完成網(wǎng)絡(luò)通信工作，但是收光和發(fā)光意味著雙向通信，要物理上滿足組播單向傳輸就需要實現(xiàn)交換機(jī)光口在只有單一方向的光時也能正常啟用。通過與網(wǎng)絡(luò)設(shè)備廠家溝通以及內(nèi)部技術(shù)討論，最后確定使用華為交換機(jī)光接口板中的單纖單向功能。該功能啟用后，接口板上的光接口可配置實現(xiàn)僅有自帶發(fā)光前提下啟用接口通信功能。業(yè)務(wù)上，該功能的啟用意味著交換機(jī)光口可以只發(fā)送數(shù)據(jù)出去，而不接收外部進(jìn)來的任何信息。如果是TCP 類協(xié)議業(yè)務(wù)，此功能會導(dǎo)致業(yè)務(wù)無法正常通信，因為該類協(xié)議都需要雙向交互完成通信。但是直播信號使用的是組播技術(shù)傳播，組播協(xié)議可配置成強(qiáng)推模式，將直播信號推到指定組播地址和端口上，用戶只需要知道地址和端口即可拉到直播流，無需與推流設(shè)備通信[5]。

單纖單向功能啟用后，安全上滿足有關(guān)部門對直播頻道安全要求，但是組播協(xié)議默認(rèn)是強(qiáng)推模式，即所有進(jìn)入VLAN 的組播都會強(qiáng)制推送到配置有該VLAN 的所有接口上，即使設(shè)備只需要一個組播流，VLAN 中的所有組播流也會強(qiáng)推到該設(shè)備接入到VLAN 的物理接口，導(dǎo)致帶寬浪費(fèi)，同時存在帶寬不足影響直播穩(wěn)定性的風(fēng)險。針對此問題，廣西IPTV集成播控平臺對網(wǎng)中組播配置進(jìn)行了優(yōu)化，開啟組播監(jiān)聽模式，停用強(qiáng)推功能。組播監(jiān)聽模式開啟后，需要主動拉流或者手動在需要組播流接口上面配置強(qiáng)拉指定組播流方能獲取到直播信號，以此滿足按需拉流的目的，在解決帶寬浪費(fèi)及直播風(fēng)險的同時，達(dá)到所有分發(fā)直播流安全可控的效果，實現(xiàn)直播流最小權(quán)限分發(fā)原則。

1.4 利用ACL 技術(shù)實現(xiàn)組播單向傳播

單纖單向技術(shù)僅能在光接口板上通過購買授權(quán)的方式激活，實現(xiàn)物理上的組播流單向傳出傳輸，在實際使用過程中，有不少通過以太網(wǎng)電口接入網(wǎng)絡(luò)從而獲取組播流的場景，在這種情況下，就無法依靠光口的單纖單向功能實現(xiàn)組播流單向傳輸，保證現(xiàn)網(wǎng)頻道的播出安全。這時就需要使用交換機(jī)通用的ACL 技術(shù)，通過邏輯控制實現(xiàn)組播流單向傳輸控制。ACL 技術(shù)屬于邏輯控制技術(shù)，對比單纖單向的物理方式，雖然安全性上偏差，但是在業(yè)務(wù)使用便利性方面優(yōu)勢明顯。單纖單向僅能實現(xiàn)輸出的單向傳輸，ACL 技術(shù)可以實現(xiàn)輸入單向傳輸、輸出單向傳輸，另外還能實現(xiàn)輸入輸出同時控制。

通過在專線接口處入方向先配置只允許接收的指定組播地址ACL，同時配置所有方向配置禁止所有IP 協(xié)議流量ACL，實現(xiàn)組播輸入單向傳輸；在專線接口處出方向先配置只允許放行的指定組播地址ACL，同時配置所有方向配置禁止所有IP 協(xié)議流量ACL，實現(xiàn)組播輸出單向傳輸；在專線接口入方向配置只允許接收的指定組播地址ACL，同時在出方向配置只允許放行的指定組播地址ACL，實現(xiàn)對組播的輸入和輸出同時控制，解決解決帶寬浪費(fèi)及廣播域擴(kuò)大風(fēng)險，保證了直播頻道播出安全[6]。

上述3 種組播控制模式使用的場景是不一樣的。組播輸入單向傳輸控制模式主要用于滿足直播交換機(jī)外設(shè)備將組播流輸送到直播交換機(jī)的需求，保障直播交換機(jī)能正常接收指定組播的同時與外部實現(xiàn)邏輯網(wǎng)絡(luò)隔離；組播輸出單向傳輸控制模式主要用于直播交換機(jī)將組播輸送給外部直播信號使用平臺，如運(yùn)營商、監(jiān)控、編轉(zhuǎn)碼等平臺，保障按需輸出組播到各平臺的同時，直播交換機(jī)與各平臺網(wǎng)絡(luò)實現(xiàn)邏輯隔離；組播輸入輸出同時控制模式主要針對部分需要使用組播信號同時又向直播交換機(jī)提供組播信號的業(yè)務(wù)平臺，如編轉(zhuǎn)碼系統(tǒng)，實現(xiàn)直播交換機(jī)與其保持網(wǎng)絡(luò)邏輯隔離，確保直播交換機(jī)業(yè)務(wù)安全穩(wěn)定運(yùn)行，保障直播頻道播出安全。

2 結(jié)語

廣西IPTV 集成播控平臺直播網(wǎng)絡(luò)系統(tǒng)適應(yīng)新形勢需求，在滿足各類業(yè)務(wù)需求的同時，IPTV 直播頻道可用率及安全防護(hù)水平完全達(dá)到相關(guān)部門的安全播出要求。截止目前，直播頻道業(yè)務(wù)未出現(xiàn)任何安全播出事故，為廣西廣播電視行業(yè)安全播出工作交出了一份優(yōu)秀的答卷。