IPTV承載網(wǎng)解決方案

Xu Xiaohu 2005-09-20 IPTV承載網(wǎng)解決方案 2 內(nèi)容綱要 IPTV網(wǎng)絡(luò)架構(gòu) 組播方案 可控組播 IPTV安全 IPTV可靠性 IPTV QoS IPTV特殊組網(wǎng) 3 IPTV網(wǎng)絡(luò)架構(gòu) 城域網(wǎng) MA5200G NE80/40 L2 總部 CS 城域 CS 總部業(yè)務支撐平臺 城域業(yè)務支撐平臺 DSLAM 上網(wǎng) OpenEye BTV RTU ES ES Home Gateway NE80E/40E NE80E/40E 國干網(wǎng) 上網(wǎng) VoD 大客戶 4 IPTV承載網(wǎng)方案驗證環(huán)境 NE40E MA5200G NE80E NE40E MA5300 SR-NE40 VOD/BTV/EPG MA5100 MA5200F S2024C E1000 S3552G S2000EI S5000 S6502 S6502 NE40 NE40 NE80E ATM 5 內(nèi)容綱要 IPTV網(wǎng)絡(luò)架構(gòu) 組播方案 可控組播 IPTV安全 IPTV可靠性 IPTV QoS IPTV特殊組網(wǎng) 6 接入網(wǎng)組播復制方案 基于 BAS進行組播復制 面向 PPPOE進行組播復制 面向 VLAN進行組播復制 面向 PVC進行組播復制 基于 DSLAM進行組播復制 IP DSLAM ATM DSLAM 基于 LAN SWITCH進行組播復制 匯聚組播交換機 末端組播交換機 7 基于 BAS進行組播復制 面向 PPPOE進行組播復制 STB 以 PPPoE 方式接入認證，則組播業(yè)務流將被封裝到 PPPoE 中，目的 MAC地址是主機的 MAC地址，對接入網(wǎng)設(shè)備而言，是一個單播報文，和其它普通的 Internet 業(yè)務報文沒有任何區(qū)別， DSLAM和以太網(wǎng)交換機等接入設(shè)備不需要做任何改造和配置修改。組播 MAC地址變?yōu)閱尾?MAC。 面向 VLAN進行組播復制 STB 以 DHCP方式（或者 WEB認證方式）接入認證，將不同用戶通過 VLAN進行隔離（即 PVPU方式），那么接入網(wǎng)設(shè)備無需做任何改造和配置更改。 面向 PVC進行組播復制 這種方式主要針對 ATM DSLAM設(shè)備。 STB可以采用任何一種接入認證方式。 8 基于 BAS進行組播復制 優(yōu)點： 對 BRAS 以下的接入網(wǎng)設(shè)備沒有特殊要求，現(xiàn)網(wǎng)設(shè)備無需改造就可以開展 IPTV組播業(yè)務。 可控組播實現(xiàn)最為簡單有效。由于組播復制點和業(yè)務接入控制點都集中在 BAS，用戶 IPTV 組播業(yè)務權(quán)限控制可以和用戶的認證、組播鑒權(quán)、帶寬管理統(tǒng)一在 BAS 上實現(xiàn)。 缺點： 對 BAS性能要求較高。 BRAS 通常部署在網(wǎng)絡(luò)的邊緣匯聚層上，相對于 DSLAM 和以太交換機等接入設(shè)備而言，BRAS的網(wǎng)絡(luò)位置較高，接入的用戶也較多，如果面向每個用戶復制 IPTV 業(yè)務流，需要 BRAS 設(shè)備具有較高的交換容量、端口流量吞吐能力和組播業(yè)務流的復制能力。 接入網(wǎng)帶寬需求較大。在 BRAS 的每個端口上直接面向每個用戶復制 IPTV 業(yè)務流，接入網(wǎng)的帶寬是節(jié)目頻道的帶寬 點播的用戶數(shù)。因此，如果點播的用戶多，接入網(wǎng)帶寬是一個嚴重的瓶頸。 9 基于 DSLAM進行組播復制 IP DSLAM IGMP PROXY。 這種方式適用于 DSLAM上的不同用戶通過 VLAN進行安全隔離的情況。 IGMP-PROXY的作用就是代理用戶 VLAN的IGMP主機，實現(xiàn)與上聯(lián)的 PIM路由器之間的 IGMP協(xié)議交互。 IGMP SNOOPING。 這種方式適用于 DSLAM上的不同用戶屬于同一 VLAN的情況（用戶端口之間通過設(shè)備內(nèi)部機制相互隔離）。 ATM DSLAM 上行接口改造為 FE/GE之后，使用與 IP DSLAM相同的方式進行組播復制。 10 基于 DSLAM進行組播復制 優(yōu)點： DSLAM作為大容量、延伸到接入網(wǎng)末端的寬帶用戶的接入設(shè)備，在 DSLAM上進行組播復制，使組播的復制點下移到接入網(wǎng)的末端，可以有效地節(jié)省上行接口的帶寬，同時極大地降低對 BAS設(shè)備的性能和功能上的要求。 缺點： 由于組播復制點（在 DSLAM上）和接入控制點（在 BAS上）的分離，相對于 BAS面向用戶進行組播復制的方案而言，組播控制功能實現(xiàn)比較復雜，需要擴展或新增協(xié)議 。 11 基于 LAN SWTICH進行組播復制 匯聚交換機 老方案：針對組播作為 L3,運行 PIM協(xié)議，針對單播作為 L2； 新方案： IGMP-PROXY 末端交換機 不同用戶端口通過 VLAN進行隔離，此外所有用戶端口以UNTAG方式加入組播 VLAN。交換機從用戶端口收到 IGMP成員報告之后，將該報文通過組播 VLAN進行轉(zhuǎn)發(fā)。在末端交換機的上聯(lián)的 L3設(shè)備（ BAS或者路由器）上也有對應組播VLAN的 VLAN ID的子接口，該子接口啟動 PIM和 IGMP協(xié)議。組播流通過該子接口轉(zhuǎn)發(fā)到末端交換機的組播 VLAN內(nèi)，組播 VLAN啟動 IGMP-SNOOPING，實現(xiàn)組播流的精確轉(zhuǎn)發(fā)。 12 基于 LAN SWTICH進行組播復制 優(yōu)點： 在對 BAS、 DSLAM（或以太網(wǎng)接入交換機）不進行升級改造的情況下，可以在 BAS和 DSLAM（或以太網(wǎng)接入交換機）之間增加匯聚組播交換機來開展組播業(yè)務。這種方式的網(wǎng)絡(luò)改造成本較低，工作量也不大。 末端交換機方案只適用于以太網(wǎng)接入方式和 IPTV業(yè)務開展初期，投資成本較低。 缺點： 由于組播復制點（在匯聚組播交換機上）和接入控制點（在BAS上）的分離，相對于 BAS面向用戶進行組播復制的方案而言，組播控制功能實現(xiàn)比較復雜，需要擴展或新增協(xié)議。 13 城域網(wǎng)組播方案 域內(nèi)組播 PIM-DM PIM-SM PIM-SSM 域間組播 MSDP MBGP 14 內(nèi)容綱要 IPTV網(wǎng)絡(luò)架構(gòu) 組播方案 可控組播 IPTV安全 IPTV可靠性 IPTV QoS IPTV特殊組網(wǎng) 15 可控組播 可控組播是指對用戶組播權(quán)限的控制功能，它是實現(xiàn) IPTV業(yè)務可運營和可管理的關(guān)鍵環(huán)節(jié)。 組播權(quán)限控制可以通過靜態(tài)配置實現(xiàn)，也可以通過網(wǎng)管實現(xiàn)集中下發(fā)權(quán)限配置。 控制策略設(shè)置在組播復制點上 . 控制內(nèi)容包括 : IGMP成員報告過濾 IGMP成員數(shù)量限制 . 16 IPTV終端認證方式 PPPOE STB通過 PPPOE進行認證 ,BAS面向 PPPOE會話進行組播復制 . DHCP STB發(fā)送 DHCP請求，以太網(wǎng)接入網(wǎng)絡(luò)設(shè)備（如 DSLAM或LAN交換機）的 DHCP SNOOPING功能監(jiān)聽到 DHCP請求之后，在用戶的 DHCP報文內(nèi)打上 Option82標記，標識用戶的物理位置。 DHCP relay（ BAS或者 SR）將該 DHCP 請求轉(zhuǎn)發(fā)到 DHCP SERVER上。 DHCP Server根據(jù) Option 60識別業(yè)務終端類型，并根據(jù) Option82判斷 DHCP請求的合法性，保證地址分配的安全性。在 DHCP relay（ BAS或者 SR）上收到 DHCP SERVER的 DHCP OFFER，之后生成靜態(tài)表項（如 ARP），防止用戶非法盜用 IP地址。 17 內(nèi)容綱要 IPTV網(wǎng)絡(luò)架構(gòu) 組播方案 可控組播 IPTV安全 IPTV可靠性 IPTV QoS IPTV特殊組網(wǎng) 18 IPTV安全 合法組播源保護 非法組播源過濾 組播網(wǎng)絡(luò)關(guān)鍵組件的安全 攻擊抵御能力 DHCP 安全特性 19 合法組播源保護 防火墻透明模式 防火墻路由模式 靜態(tài)組播 組播 NAT T r u s t Zon eUn trus t Zon e1 0 1 .1 .1 .1 / 2 41 0 0 .1 .1 .2 / 2 4 1 0 0 .1 .1 .2 / 2 4S = 1 0 1 .1 .1 .2 D= 2 2 5 .1 .1 .1S = 1 0 1 .1 .1 .2 D= 2 2 5 .1 .1 .1I a m n o t f i r s t - hop DR f o r s o u r c e o f 1 0 1 .1 .1 .2S= 100.1.1.2 D=2 25.1.1.1MC N A T enab led20 非法組播源過濾 在 RP上對于源注冊進行過濾； 在 PIM-SM組播網(wǎng)絡(luò)中， RP是連接組播源和組播接收者的“橋梁”，連接組播源的 PIM路由器必須向 RP注冊組播源之后，組播流才能被轉(zhuǎn)發(fā)到接收者。所以在這個“關(guān)口”位置設(shè)置過濾列表，可以集中對組播源進行控制，過濾非法組播源。 在 MSDP節(jié)點上對 SA信息進行過濾； 在跨 PIM-SM域組播網(wǎng)絡(luò)中，對于從其他 PIM-SM域通過 MSDP發(fā)送來的組播源信息（ SA消息），通過設(shè)置過濾列表，也可以集中對組播源進行控制，過濾非法組播源。 在任何 PIM-SM路由器上對組播流進行過濾。 除了以上兩種集中控制方式以外，還可以在任何一個 PIM-SM路由器上設(shè)置過濾列表，對接收到的組播流進行控制，過濾掉非法組播流。這種分散的控制方式還可以用于實現(xiàn)分區(qū)域提供差異化的組播節(jié)目。 21 組播關(guān)鍵組件安全 BSR和 RP是 PIM-SM組播網(wǎng)絡(luò)中的關(guān)鍵組件。 RP是組播源和接收者之間的“橋梁”，連接組播源的 PIM路由器必須向 RP注冊組播源之后，組播流才能被轉(zhuǎn)發(fā)到接收者。同時 RP上集中部署組播源控制策略，可以有效地過濾非法組播源，由此可見， RP在 PIM-SM網(wǎng)絡(luò)至關(guān)重要 . 而 BSR又是 RP候選者信息的收集者和發(fā)布者，因此保證兩者的安全，防止非法 BSR和非法 RP的網(wǎng)絡(luò)欺騙，是組播網(wǎng)絡(luò)安全的重要組成部分。 BSR上設(shè)置 RP過濾列表 所有 PIM路由器上設(shè)置 BSR過濾列表 22 攻擊抵御能力 抵御 ARP攻擊能力 抵御 DHCP攻擊能力 抵御 IGMP攻擊能力 23 DHCP 安全特性 防 IP地址盜用 :IP+MAC綁定 IP地址申請數(shù)量限制 DHCP option82 24 內(nèi)容綱要 IPTV網(wǎng)絡(luò)架構(gòu) 組播方案 可控組播 IPTV安全 IPTV可靠性 IPTV QoS IPTV特殊組網(wǎng) 25 IPTV可靠性 組播源的可靠性 組播關(guān)鍵組件的可靠性 城域網(wǎng)可靠性 接入網(wǎng)可靠性 26 組播源可靠性 Anycast source 這兩個 PIM路由器都作為該組播流的第一跳 DR，向 RP進行源注冊。 RP沿著到達組播源的最短路徑方向加入 SPT，當任何一路上的防火墻、第一跳DR的 PIM路由器 DOWN掉，或者連接防火墻和PIM路由器的任何一條鏈路發(fā)生中斷之后，隨著IGP路由快速收斂而觸發(fā) SPT切換，組播流就會沿著切換后的 SPT轉(zhuǎn)發(fā)到組播接收者。 SOURCE 10.1.1.1 10.1.1.2 172.16.1.2 (vrrp:172.16.1.1) 172.16.1.3 (vrrp:172.16.1.1) 172.16.1.4 gw:172.16.1.1 27 雙歸屬連接 路由模式 防火墻連接路由器的兩個上行物理接口劃分到同一個 VLAN，在防火墻上啟動靜態(tài)組播和組播 NAT功能 橋接模式 SOURCE I am DR 28 組播關(guān)鍵組件可靠性 BSR備份 BootTrap RP備份 Anycast RP BSRRP切換過程中 ,組播不丟包 . 29 城域網(wǎng)可靠性 IGPSPT快速收斂 鏈路中斷 /恢復過程中 ,節(jié)目中斷時間小于 1秒 . 實測數(shù)據(jù) :0.66s, 0.24s,0.38s,0.45s 組播承載于 RPR 鏈路中斷 /恢復過程中 ,節(jié)目中斷時間小于 50毫秒 . 城域網(wǎng) 5200G NE80/40 CS MC SERVER/EPG ES ES NE80E/40E NE80E/40E 50ms 30 接入網(wǎng)可靠性 RSTP 802.1s 中斷 BAS與匯聚交換機之間鏈路，節(jié)目中斷 1秒左右； 恢復鏈路，節(jié)目中斷 3秒左右。 環(huán)網(wǎng)技術(shù) : RRPP GE RPR MSTP S2024C S3552G MA5200G MA5300 SR-NE40 MA5100 S2000EI S5000 S6502 S6502 31 內(nèi)容綱要 IPTV網(wǎng)絡(luò)架構(gòu) 組播方案 可控組播 IPTV安全 IPTV可靠性 IPTV QoS IPTV特殊組網(wǎng) 32 IPTV QoS IPTV業(yè)務的 QoS質(zhì)量保證需要從業(yè)務與承載層面全面考慮，才能實現(xiàn) IPTV業(yè)務端到端的 QoS保證。 在業(yè)務層面，由于對承載網(wǎng)絡(luò) QoS參數(shù)的敏感程度隨編碼格式、編碼速率、承載協(xié)議的不同而有所差異，在業(yè)務設(shè)計上應盡可能適應承載網(wǎng)絡(luò)現(xiàn)狀，可以采取的典型QoS機制有流媒體速率適應 /調(diào)節(jié)機制、媒體編碼冗余性、媒體緩存等幾種。 在承載層面，采用 Diff-Serv機制，將 IPTV業(yè)務標記為較高優(yōu)先級，并且可以為該業(yè)務保留一定的帶寬，從帶寬、時延等方面滿足 IPTV業(yè)務開展的 QoS需要。 Service Latency Jitter Ratio of loss packet IPTV 1s 1s 1/1000 VOD 1s 1s 1/1000 Vedio Conference 90ms 20ms 1/1000 33 BTV QoS BTV業(yè)務流通過 IP組播實現(xiàn)轉(zhuǎn)發(fā)，數(shù)據(jù)承載于 UDP之上，沒有類似 TCP的丟包重傳和確認機制，屬于單向數(shù)據(jù)流量模型。 在城域網(wǎng)內(nèi)，通過實施 Diff-serv策略，滿足一段時期內(nèi) BTV業(yè)務開展所需的帶寬和時延抖動的要求。具體實施策略為：在接入組播源的邊界路由器上進行復雜流分類，并將組播流進行 Remark操作，標記 DSCP域為 AF43。在組播域內(nèi)的所有路由器（包括 BAS）啟動 diff-serv功能，對 AF43流進行識別并進行帶寬保證和流量整形。 觸發(fā)建立組播轉(zhuǎn)發(fā)數(shù)的組播協(xié)議報文（包括 PIM，IGMP）的轉(zhuǎn)發(fā)在路由器上都處于最高優(yōu)先級隊列，因此在城域網(wǎng)流量負載較大甚至出現(xiàn)擁塞的情況下，協(xié)議報文仍然能夠得到優(yōu)先處理轉(zhuǎn)發(fā)。 34 BTV QoS 在接入網(wǎng)內(nèi) ,通過以太網(wǎng) 802.1p QoS機制更加精確地保證接入網(wǎng)內(nèi)組播業(yè)務 QoS。在末端交換機或 DSLAM上對用戶上行的流量進行流分類，將 IGMP成員報告的 802.1p標記為較高優(yōu)先級。在 IGMP路由器下行端口的出方向上將組播報文的 DSCP映射到 802.1p，從而在接入網(wǎng)所有設(shè)備上通過 802.1p對組播流以及 IGMP協(xié)議報文進行帶寬保證。但是對于接入網(wǎng)設(shè)備要求較高而且配置工作量較大。 35 VOD QoS VOD業(yè)務流通過單播方式實現(xiàn)轉(zhuǎn)發(fā)，數(shù)據(jù)流可以在 UDP或 TCP上進行承載。而且以 TCP承載方式居多。 TCP具有可靠的傳輸機制，如確認、丟包重傳、滑動窗口流控機制。屬于交互式流量模型。 在城域網(wǎng)內(nèi)，仍然通過實施 Diff-serv策略，保證 VOD業(yè)務的QoS。因為屬于交互式流量模型，所以既要保證 VOD業(yè)務流的QoS，又要保證用戶到 VOD SERVER方向的 TCP ACK報文的及時和可靠的傳遞，才能保證 VOD畫面的連續(xù)性，不會出現(xiàn)斷斷續(xù)續(xù)的問題。在在接入 VOD服務器的邊界路由器上進行復雜流分類，并將 VOD流進行 Remark操作，標記 DSCP域為 AF21，在 SR或 BAS上對于用戶上行的數(shù)據(jù)流進行復雜流分類，并將VOD SERVER方向的 TCP ACK報文 DSCP標記為 AF21，在所有路由器（包括 BAS）啟動 diff-serve功能，對 AF43流進行識別并進行帶寬保證和流量整形。 36 VOD QoS 在接入網(wǎng)內(nèi) ,通過以太網(wǎng) 802.1p QoS機制更加精確地保證接入網(wǎng)內(nèi) VOD業(yè)務 QoS。在 SR或BAS的下行端口的出方向?qū)?VOD流的 DSCP映射到 802.1p，在末端交換機或 DSLAM上對用戶的上行數(shù)據(jù)流進行復雜流分類，將用戶發(fā)送給VOD SERVER的 TCP ACK報文的 802.1p標記為較高優(yōu)先級。從而在接入網(wǎng)所有設(shè)備上通過802.1p實現(xiàn)帶寬保證和隊列調(diào)度。但是對于接入網(wǎng)設(shè)備要求較高而且配置工作量較大