ipv6中的可控組播技術(shù)

1、ipv6系列（九）：ipv6中的可控組播技術(shù)文/喬肖桜 組播是指在ip網(wǎng)絡(luò)中將數(shù)據(jù)包發(fā)送到某個(gè)確定的節(jié)點(diǎn)集合（即組播組）。其基本思想是： 源主機(jī)（即組播源）只發(fā)送一份數(shù)據(jù)，其目的地址為組播組地址；組播組中的所有接收者都 可收到同樣的數(shù)據(jù)拷貝，并只冇組播組內(nèi)的主機(jī)可以接收該數(shù)據(jù)。組播技術(shù)有效地解決了單點(diǎn)發(fā)送、多點(diǎn)接收的問題，實(shí)現(xiàn)了 ip網(wǎng)絡(luò)中點(diǎn)到多點(diǎn)的高效數(shù)據(jù) 傳送，能夠人量節(jié)約網(wǎng)絡(luò)帶寬、降低網(wǎng)絡(luò)負(fù)載。在組播技術(shù)帶來諸多優(yōu)點(diǎn)的同時(shí)，也存在著 不可控的問題。首先，組播用戶可以隨意加入和退出一個(gè)組播組，而網(wǎng)絡(luò)管理者卻無法控制 用八加入和退出組播組，從而無法控制組播用八的合法性；其次，在組播網(wǎng)絡(luò)中，管

2、理者同 樣無法對(duì)紐播源進(jìn)行控制，從而使非法紐播源在紐播網(wǎng)絡(luò)屮進(jìn)行傳播成為町能。因此，在部署組播網(wǎng)絡(luò)吋，需要對(duì)組播源、組播接收者進(jìn)行相應(yīng)的控制，這樣才能夠保證組 播數(shù)據(jù)由可信的源進(jìn)行發(fā)送，并且由可信及可控的接收者進(jìn)行接收，實(shí)現(xiàn)合理的組播流量轉(zhuǎn) 發(fā)，從而滿足組播業(yè)務(wù)運(yùn)營的需耍。1 pv6中可控組播技術(shù)介紹對(duì)于ipv6的可控組播技術(shù)而言，在實(shí)現(xiàn)屮首先要符合組播路由協(xié)議（pim）、纟f1播組管理協(xié)議 （mld）等基本紐播協(xié)議的要求。在此基礎(chǔ)之上，建立ipv6可控組播的技術(shù)模型，確定在一 個(gè)可控組播的部署環(huán)境中，対組播源及組播接收者的控制。在ipv6可控組播技術(shù)應(yīng)當(dāng)能夠提供以下功能： 對(duì)組播源嚴(yán)格控制，

3、阻止未被授權(quán)的組播流的發(fā)送。 對(duì)組播接收者嚴(yán)格控制，阻止未授權(quán)用戶組播流量的獲取。 對(duì)用八身份控制，能夠針對(duì)用八的身份進(jìn)行組播組的授權(quán)。 組播控制權(quán)限能夠根據(jù)用戶的在線情況實(shí)時(shí)下發(fā)，避免設(shè)備的壓力過大。 抑制二層組播報(bào)文，使其無法在接入層泛濫。 與現(xiàn)有的認(rèn)證計(jì)費(fèi)系統(tǒng)配合，達(dá)到平滑升級(jí)的目的。 在現(xiàn)有的設(shè)備上平滑升級(jí)支持ipv6可控組播功能在ipv6的組播環(huán)境中，組播的組管理協(xié)議和組播路由協(xié)議在原理上沒有發(fā)生變化，為了適 應(yīng)ipv6報(bào)文的特點(diǎn)，相關(guān)協(xié)議進(jìn)行了-些適配性的修改。同吋，ipv6的組播地址與對(duì)應(yīng)的 組播mac地址發(fā)生了一些變化，同ipv4的組播相比，ipv6組播的ip地址與組播的mac

4、 的對(duì)應(yīng)關(guān)系不存在32比1的問題，這樣在ipv6網(wǎng)絡(luò)屮，ipv6的紐播地址分配會(huì)更加合理。 因此，在ipv6的可控組播屮，需要對(duì)這些變化進(jìn)行處理，才能夠?qū)崿F(xiàn)可控組播的功能。如上所述，在ipv6的可控組播涉及到的技術(shù)主要有：組播源控制，組播組控制。同時(shí)，當(dāng) ipv6網(wǎng)絡(luò)中開啟組播業(yè)務(wù)吋，要考慮到組播地址的分配問題。下而將對(duì)ipv6網(wǎng)絡(luò)中可控組 播所涉及的技術(shù)及可控組播的實(shí)現(xiàn)過程進(jìn)行分析。1.1 ipv6的組播地址同ipv4組播一樣，在ipv6中，使用組播組地址來確定一個(gè)組播組的接收者，接收者接收ipv6 組播時(shí)，必須耍知道ipv6的紐播紐地址，這樣通過mld協(xié)議的管理，接收者才能夠獲取 ipv6

5、的組播流。ipv6的組播組地址格式如圖1所示：71115圖 i ipv6組播地址格式最高的8個(gè)bit為oxff,標(biāo)識(shí)此地址為組播地址。接著的4個(gè)bit為flag位，在flag位的最 高位為0； r bit表示是否是內(nèi)嵌rp的組播地址；p bit表示組播地址是否是基于單播前綴生成的；tbit表示組播地址是永久分配的還是臨時(shí)分配的?？梢钥闯?，flag根據(jù)一個(gè)組播地 址的功能、生成方式等屬性進(jìn)行了標(biāo)識(shí)。其余的bit為group id,用于在組播地址中用來標(biāo) 識(shí)一個(gè)組播組。ipv6組播mac地址的高16位為0x3333,低32位為ipv6組播地址的低32位。圖2為ipv6 組播地址ff1e:f30e:

6、101的mac地址映射舉例。128-tm ipv6 addressff1e i 00000000000000000000f30e0101 |“|32b<ts| :43-bft mac address3333f30e0101 16 txt macaddress prefix圖2 ipv6組播mac地址如圖2所示，ipv6的組播mac地址為將128 bit的ipv6組播地址的低32bit： f30e0101直接映射到了 mac地址的低32bit中。在ipv6的組播部署屮，市于組地址范圍擴(kuò)人，相應(yīng)的紐地址分配上更加方便。由于在ipv6 的1p地址向mac地址的映射過程中，町以直接將后32bit

7、的組地址信息映射到mac地址 中，因此在進(jìn)行ipv6的組地址分配時(shí)，能夠避免在ipv4組播中組播組地址與組播mac地 址的多對(duì)一的情況出現(xiàn)。12組播源控制對(duì)組播源的控制，將保證只有已屮請(qǐng)且被授權(quán)的組播源才能發(fā)送組播數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，其實(shí)質(zhì) 是對(duì)網(wǎng)絡(luò)屮組播節(jié)目的控制，只有被授權(quán)的節(jié)目才能夠在網(wǎng)絡(luò)中傳輸。在一個(gè)組播業(yè)務(wù)被發(fā)布z前，組播的提供者必須向園區(qū)網(wǎng)的管理者中請(qǐng)，管理者經(jīng)過対組播 業(yè)務(wù)的評(píng)審后，確定用于組播源發(fā)送的相關(guān)參數(shù)，包括組播源地址，組播組地址，所用帶寬 等必要信息。當(dāng)組播業(yè)務(wù)的提供者將組播流量發(fā)送到網(wǎng)絡(luò)中后，需要捉供給組播接收者接收 紐播數(shù)據(jù)的方式，可以采用web網(wǎng)頁的方式進(jìn)行紐播業(yè)務(wù)的發(fā)

8、布。對(duì)組播源的控制方法如下： 采用靜態(tài)授權(quán)的方式，即根據(jù)管理者為組播源分配的源地址、組播地址、帶寬等必 耍信息，在與組播源直接相連的邊緣交換機(jī)上配置acl,完成長(zhǎng)期性的授權(quán)，直到組 播提供者終止組播業(yè)務(wù)后取消授權(quán)。 同時(shí)在接入層及網(wǎng)絡(luò)出口設(shè)備上，配置在缺省情況下禁止轉(zhuǎn)發(fā)接收的ipv6組播報(bào) 文，使只有符合組播acl配置的組播流量才能夠被轉(zhuǎn)發(fā)。這樣就限制了在一個(gè)園區(qū)網(wǎng) 內(nèi)部，只能使川被授權(quán)的紐播流量。13組播接收者控制對(duì)組播接收者的控制，主要是在網(wǎng)絡(luò)邊緣設(shè)備上対終端用八的組播接收權(quán)限進(jìn)行控制。這是 一個(gè)動(dòng)態(tài)的過程，在用戶使用組播前由網(wǎng)管服務(wù)器動(dòng)態(tài)下發(fā)到網(wǎng)絡(luò)邊緣設(shè)備上。同時(shí)結(jié)合用戶認(rèn)證技術(shù)，當(dāng)一個(gè)

9、用八接入網(wǎng)絡(luò)時(shí)，首先需要經(jīng)過802.1x認(rèn)證，確認(rèn)身份后, 結(jié)合組播控制服務(wù)器，對(duì)特定川戶的組播權(quán)限進(jìn)行實(shí)時(shí)控制。使用user-profile技術(shù)對(duì)用戶的纟r播權(quán)限進(jìn)行下發(fā)。use.profile提供一個(gè)配置模板，用戶可 以根據(jù)不同的應(yīng)用場(chǎng)景進(jìn)行配置，比如car策略和qos策略等。在設(shè)備上配置的組播權(quán)限 是包含在user-profile中的，當(dāng)用八上線時(shí)，通過網(wǎng)管服務(wù)器下發(fā)對(duì)應(yīng)的user-profile,對(duì)用 八的組播權(quán)限進(jìn)行動(dòng)態(tài)授權(quán)。個(gè)紐播用戶在網(wǎng)絡(luò)屮獲得組播權(quán)限的過程如如圖3所示：卩目海夕份認(rèn)il及用 戶皆理震勞:s組橋枚假控制交検機(jī)圖3可控組播技術(shù)簡(jiǎn)介1. 當(dāng)用戶接入網(wǎng)絡(luò)時(shí)，進(jìn)行802.

10、1x認(rèn)證，確定用戶身份。2. 用八通過認(rèn)證后，根據(jù)在服務(wù)器側(cè)針対此用戶設(shè)置的組播用八控制權(quán)限，向接入層交換 機(jī)下發(fā)與此用戶相對(duì)應(yīng)的組播控制權(quán)限,并以u(píng)ser-profile為表現(xiàn)形式。3. 當(dāng)用八需要接收組播流量時(shí)，發(fā)送mld成員關(guān)系報(bào)告報(bào)文。當(dāng)mld報(bào)文經(jīng)過接入交 換機(jī)時(shí)，接入交換機(jī)通過比較針對(duì)此用戶的user-profile所包含的過濾信息，將己經(jīng)授權(quán)的 組播加入報(bào)文發(fā)送到上游mld路由器。如果用戶的mld通告報(bào)文中的組播組未被授權(quán)， 則接入交換機(jī)丟棄此mld報(bào)文，阻止未被授權(quán)的組播流發(fā)送給終端用戶。4. 用戶下線后，在接入設(shè)備上將已經(jīng)下發(fā)的用戶user-profile刪除?？煽亟M播技術(shù)通

11、常與mld snooping結(jié)合使用，這樣能夠在接入層棊于每個(gè)用戶的mac地 址，做到對(duì)用八的組播權(quán)限的動(dòng)態(tài)控制。14用戶組播權(quán)限部署及計(jì)費(fèi)在用戶管理服務(wù)器上，用戶的紐播權(quán)限以套餐的形式表示，即把多個(gè)紐播紐定義為一個(gè)紐播 套餐，組播套餐使用一個(gè)user-profile標(biāo)識(shí)。當(dāng)用戶進(jìn)行802.ix認(rèn)證時(shí)，user-profile會(huì)隨 認(rèn)證結(jié)果動(dòng)態(tài)的下發(fā)到接入設(shè)備上。當(dāng)用八需要使用組播服務(wù)時(shí)，管理員在用戶申請(qǐng)的服務(wù) 中配置好user-profile即可。對(duì)組播川戶的計(jì)費(fèi)可以使用原冇的計(jì)費(fèi)系統(tǒng)。針對(duì)使用單播包刀計(jì)費(fèi)的用戶，通過添加組播 的費(fèi)率即可實(shí)現(xiàn)對(duì)組播用戶的計(jì)費(fèi)；針對(duì)使用按時(shí)長(zhǎng)計(jì)費(fèi)的用戶，可以按

12、照限時(shí)包月策略, 即單播與組播在一個(gè)月內(nèi)有相同的使用時(shí)長(zhǎng)，在這部分時(shí)長(zhǎng)的使用屮，按照包月計(jì)費(fèi)處理, 超過的部分采用一定的費(fèi)率進(jìn)行按時(shí)長(zhǎng)收費(fèi)，通過這些計(jì)費(fèi)策略可以靈活的控制單播與組播 的費(fèi)率，方便計(jì)費(fèi)。15典型應(yīng)用部署場(chǎng)景圖4可控組播的典型部署 使用靜態(tài)組播授權(quán)的方式對(duì)組播源進(jìn)行控制，在園區(qū)網(wǎng)的出口及接入層的位置對(duì)校 外及校內(nèi)的非法組播源進(jìn)行過濾。 在h3c imc上配置用戶的組播權(quán)限，在用戶進(jìn)行身份認(rèn)證后対用戶的組播權(quán)限進(jìn)行 動(dòng)態(tài)下發(fā)，達(dá)到控制組播用戶接入權(quán)限的冃的。 結(jié)合h3c imc的計(jì)費(fèi)組件對(duì)用戶進(jìn)行計(jì)費(fèi)，在計(jì)費(fèi)策略的選擇上如前文所述，根據(jù) 不同的要求，可以選擇包月計(jì)費(fèi)或按時(shí)長(zhǎng)計(jì)費(fèi)。此方案的配置與部署后，通過紐播權(quán)限控制交換機(jī)、網(wǎng)絡(luò)管理服務(wù)器的配合，實(shí)現(xiàn)了可控紐 播的整體功能，對(duì)園區(qū)網(wǎng)的紐播能夠進(jìn)行必要的控制。在對(duì)組播源的控制方而，能夠同時(shí)控制園區(qū)內(nèi)部以及外部的組播源發(fā)送的組播信息。在對(duì)組播接收者的控制方面