IPTV承载网解决方案

Xu Xiaohu 2005-09-20 IPTV承载网解决方案 2 内容纲要 IPTV网络架构 组播方案 可控组播 IPTV安全 IPTV可靠性 IPTV QoS IPTV特殊组网 3 IPTV网络架构 城域网 MA5200G NE80/40 L2 总部 CS 城域 CS 总部业务支撑平台 城域业务支撑平台 DSLAM 上网 OpenEye BTV RTU ES ES Home Gateway NE80E/40E NE80E/40E 国干网 上网 VoD 大客户 4 IPTV承载网方案验证环境 NE40E MA5200G NE80E NE40E MA5300 SR-NE40 VOD/BTV/EPG MA5100 MA5200F S2024C E1000 S3552G S2000EI S5000 S6502 S6502 NE40 NE40 NE80E ATM 5 内容纲要 IPTV网络架构 组播方案 可控组播 IPTV安全 IPTV可靠性 IPTV QoS IPTV特殊组网 6 接入网组播复制方案 基于 BAS进行组播复制 面向 PPPOE进行组播复制 面向 VLAN进行组播复制 面向 PVC进行组播复制 基于 DSLAM进行组播复制 IP DSLAM ATM DSLAM 基于 LAN SWITCH进行组播复制 汇聚组播交换机 末端组播交换机 7 基于 BAS进行组播复制 面向 PPPOE进行组播复制 STB 以 PPPoE 方式接入认证，则组播业务流将被封装到 PPPoE 中，目的 MAC地址是主机的 MAC地址，对接入网设备而言，是一个单播报文，和其它普通的 Internet 业务报文没有任何区别， DSLAM和以太网交换机等接入设备不需要做任何改造和配置修改。组播 MAC地址变为单播 MAC。 面向 VLAN进行组播复制 STB 以 DHCP方式（或者 WEB认证方式）接入认证，将不同用户通过 VLAN进行隔离（即 PVPU方式），那么接入网设备无需做任何改造和配置更改。 面向 PVC进行组播复制 这种方式主要针对 ATM DSLAM设备。 STB可以采用任何一种接入认证方式。 8 基于 BAS进行组播复制 优点： 对 BRAS 以下的接入网设备没有特殊要求，现网设备无需改造就可以开展 IPTV组播业务。 可控组播实现最为简单有效。由于组播复制点和业务接入控制点都集中在 BAS，用户 IPTV 组播业务权限控制可以和用户的认证、组播鉴权、带宽管理统一在 BAS 上实现。 缺点： 对 BAS性能要求较高。 BRAS 通常部署在网络的边缘汇聚层上，相对于 DSLAM 和以太交换机等接入设备而言，BRAS的网络位置较高，接入的用户也较多，如果面向每个用户复制 IPTV 业务流，需要 BRAS 设备具有较高的交换容量、端口流量吞吐能力和组播业务流的复制能力。 接入网带宽需求较大。在 BRAS 的每个端口上直接面向每个用户复制 IPTV 业务流，接入网的带宽是节目频道的带宽 点播的用户数。因此，如果点播的用户多，接入网带宽是一个严重的瓶颈。 9 基于 DSLAM进行组播复制 IP DSLAM IGMP PROXY。 这种方式适用于 DSLAM上的不同用户通过 VLAN进行安全隔离的情况。 IGMP-PROXY的作用就是代理用户 VLAN的IGMP主机，实现与上联的 PIM路由器之间的 IGMP协议交互。 IGMP SNOOPING。 这种方式适用于 DSLAM上的不同用户属于同一 VLAN的情况（用户端口之间通过设备内部机制相互隔离）。 ATM DSLAM 上行接口改造为 FE/GE之后，使用与 IP DSLAM相同的方式进行组播复制。 10 基于 DSLAM进行组播复制 优点： DSLAM作为大容量、延伸到接入网末端的宽带用户的接入设备，在 DSLAM上进行组播复制，使组播的复制点下移到接入网的末端，可以有效地节省上行接口的带宽，同时极大地降低对 BAS设备的性能和功能上的要求。 缺点： 由于组播复制点（在 DSLAM上）和接入控制点（在 BAS上）的分离，相对于 BAS面向用户进行组播复制的方案而言，组播控制功能实现比较复杂，需要扩展或新增协议 。 11 基于 LAN SWTICH进行组播复制 汇聚交换机 老方案：针对组播作为 L3,运行 PIM协议，针对单播作为 L2； 新方案： IGMP-PROXY 末端交换机 不同用户端口通过 VLAN进行隔离，此外所有用户端口以UNTAG方式加入组播 VLAN。交换机从用户端口收到 IGMP成员报告之后，将该报文通过组播 VLAN进行转发。在末端交换机的上联的 L3设备（ BAS或者路由器）上也有对应组播VLAN的 VLAN ID的子接口，该子接口启动 PIM和 IGMP协议。组播流通过该子接口转发到末端交换机的组播 VLAN内，组播 VLAN启动 IGMP-SNOOPING，实现组播流的精确转发。 12 基于 LAN SWTICH进行组播复制 优点： 在对 BAS、 DSLAM（或以太网接入交换机）不进行升级改造的情况下，可以在 BAS和 DSLAM（或以太网接入交换机）之间增加汇聚组播交换机来开展组播业务。这种方式的网络改造成本较低，工作量也不大。 末端交换机方案只适用于以太网接入方式和 IPTV业务开展初期，投资成本较低。 缺点： 由于组播复制点（在汇聚组播交换机上）和接入控制点（在BAS上）的分离，相对于 BAS面向用户进行组播复制的方案而言，组播控制功能实现比较复杂，需要扩展或新增协议。 13 城域网组播方案 域内组播 PIM-DM PIM-SM PIM-SSM 域间组播 MSDP MBGP 14 内容纲要 IPTV网络架构 组播方案 可控组播 IPTV安全 IPTV可靠性 IPTV QoS IPTV特殊组网 15 可控组播 可控组播是指对用户组播权限的控制功能，它是实现 IPTV业务可运营和可管理的关键环节。 组播权限控制可以通过静态配置实现，也可以通过网管实现集中下发权限配置。 控制策略设置在组播复制点上 . 控制内容包括 : IGMP成员报告过滤 IGMP成员数量限制 . 16 IPTV终端认证方式 PPPOE STB通过 PPPOE进行认证 ,BAS面向 PPPOE会话进行组播复制 . DHCP STB发送 DHCP请求，以太网接入网络设备（如 DSLAM或LAN交换机）的 DHCP SNOOPING功能监听到 DHCP请求之后，在用户的 DHCP报文内打上 Option82标记，标识用户的物理位置。 DHCP relay（ BAS或者 SR）将该 DHCP 请求转发到 DHCP SERVER上。 DHCP Server根据 Option 60识别业务终端类型，并根据 Option82判断 DHCP请求的合法性，保证地址分配的安全性。在 DHCP relay（ BAS或者 SR）上收到 DHCP SERVER的 DHCP OFFER，之后生成静态表项（如 ARP），防止用户非法盗用 IP地址。 17 内容纲要 IPTV网络架构 组播方案 可控组播 IPTV安全 IPTV可靠性 IPTV QoS IPTV特殊组网 18 IPTV安全 合法组播源保护 非法组播源过滤 组播网络关键组件的安全 攻击抵御能力 DHCP 安全特性 19 合法组播源保护 防火墙透明模式 防火墙路由模式 静态组播 组播 NAT T r u s t Zon eUn trus t Zon e1 0 1 .1 .1 .1 / 2 41 0 0 .1 .1 .2 / 2 4 1 0 0 .1 .1 .2 / 2 4S = 1 0 1 .1 .1 .2 D= 2 2 5 .1 .1 .1S = 1 0 1 .1 .1 .2 D= 2 2 5 .1 .1 .1I a m n o t f i r s t - hop DR f o r s o u r c e o f 1 0 1 .1 .1 .2S= 100.1.1.2 D=2 25.1.1.1MC N A T enab led20 非法组播源过滤 在 RP上对于源注册进行过滤； 在 PIM-SM组播网络中， RP是连接组播源和组播接收者的“桥梁”，连接组播源的 PIM路由器必须向 RP注册组播源之后，组播流才能被转发到接收者。所以在这个“关口”位置设置过滤列表，可以集中对组播源进行控制，过滤非法组播源。 在 MSDP节点上对 SA信息进行过滤； 在跨 PIM-SM域组播网络中，对于从其他 PIM-SM域通过 MSDP发送来的组播源信息（ SA消息），通过设置过滤列表，也可以集中对组播源进行控制，过滤非法组播源。 在任何 PIM-SM路由器上对组播流进行过滤。 除了以上两种集中控制方式以外，还可以在任何一个 PIM-SM路由器上设置过滤列表，对接收到的组播流进行控制，过滤掉非法组播流。这种分散的控制方式还可以用于实现分区域提供差异化的组播节目。 21 组播关键组件安全 BSR和 RP是 PIM-SM组播网络中的关键组件。 RP是组播源和接收者之间的“桥梁”，连接组播源的 PIM路由器必须向 RP注册组播源之后，组播流才能被转发到接收者。同时 RP上集中部署组播源控制策略，可以有效地过滤非法组播源，由此可见， RP在 PIM-SM网络至关重要 . 而 BSR又是 RP候选者信息的收集者和发布者，因此保证两者的安全，防止非法 BSR和非法 RP的网络欺骗，是组播网络安全的重要组成部分。 BSR上设置 RP过滤列表 所有 PIM路由器上设置 BSR过滤列表 22 攻击抵御能力 抵御 ARP攻击能力 抵御 DHCP攻击能力 抵御 IGMP攻击能力 23 DHCP 安全特性 防 IP地址盗用 :IP+MAC绑定 IP地址申请数量限制 DHCP option82 24 内容纲要 IPTV网络架构 组播方案 可控组播 IPTV安全 IPTV可靠性 IPTV QoS IPTV特殊组网 25 IPTV可靠性 组播源的可靠性 组播关键组件的可靠性 城域网可靠性 接入网可靠性 26 组播源可靠性 Anycast source 这两个 PIM路由器都作为该组播流的第一跳 DR，向 RP进行源注册。 RP沿着到达组播源的最短路径方向加入 SPT，当任何一路上的防火墙、第一跳DR的 PIM路由器 DOWN掉，或者连接防火墙和PIM路由器的任何一条链路发生中断之后，随着IGP路由快速收敛而触发 SPT切换，组播流就会沿着切换后的 SPT转发到组播接收者。 SOURCE 10.1.1.1 10.1.1.2 172.16.1.2 (vrrp:172.16.1.1) 172.16.1.3 (vrrp:172.16.1.1) 172.16.1.4 gw:172.16.1.1 27 双归属连接 路由模式 防火墙连接路由器的两个上行物理接口划分到同一个 VLAN，在防火墙上启动静态组播和组播 NAT功能 桥接模式 SOURCE I am DR 28 组播关键组件可靠性 BSR备份 BootTrap RP备份 Anycast RP BSRRP切换过程中 ,组播不丢包 . 29 城域网可靠性 IGPSPT快速收敛 链路中断 /恢复过程中 ,节目中断时间小于 1秒 . 实测数据 :0.66s, 0.24s,0.38s,0.45s 组播承载于 RPR 链路中断 /恢复过程中 ,节目中断时间小于 50毫秒 . 城域网 5200G NE80/40 CS MC SERVER/EPG ES ES NE80E/40E NE80E/40E 50ms 30 接入网可靠性 RSTP 802.1s 中断 BAS与汇聚交换机之间链路，节目中断 1秒左右； 恢复链路，节目中断 3秒左右。 环网技术 : RRPP GE RPR MSTP S2024C S3552G MA5200G MA5300 SR-NE40 MA5100 S2000EI S5000 S6502 S6502 31 内容纲要 IPTV网络架构 组播方案 可控组播 IPTV安全 IPTV可靠性 IPTV QoS IPTV特殊组网 32 IPTV QoS IPTV业务的 QoS质量保证需要从业务与承载层面全面考虑，才能实现 IPTV业务端到端的 QoS保证。 在业务层面，由于对承载网络 QoS参数的敏感程度随编码格式、编码速率、承载协议的不同而有所差异，在业务设计上应尽可能适应承载网络现状，可以采取的典型QoS机制有流媒体速率适应 /调节机制、媒体编码冗余性、媒体缓存等几种。 在承载层面，采用 Diff-Serv机制，将 IPTV业务标记为较高优先级，并且可以为该业务保留一定的带宽，从带宽、时延等方面满足 IPTV业务开展的 QoS需要。 Service Latency Jitter Ratio of loss packet IPTV 1s 1s 1/1000 VOD 1s 1s 1/1000 Vedio Conference 90ms 20ms 1/1000 33 BTV QoS BTV业务流通过 IP组播实现转发，数据承载于 UDP之上，没有类似 TCP的丢包重传和确认机制，属于单向数据流量模型。 在城域网内，通过实施 Diff-serv策略，满足一段时期内 BTV业务开展所需的带宽和时延抖动的要求。具体实施策略为：在接入组播源的边界路由器上进行复杂流分类，并将组播流进行 Remark操作，标记 DSCP域为 AF43。在组播域内的所有路由器（包括 BAS）启动 diff-serv功能，对 AF43流进行识别并进行带宽保证和流量整形。 触发建立组播转发数的组播协议报文（包括 PIM，IGMP）的转发在路由器上都处于最高优先级队列，因此在城域网流量负载较大甚至出现拥塞的情况下，协议报文仍然能够得到优先处理转发。 34 BTV QoS 在接入网内 ,通过以太网 802.1p QoS机制更加精确地保证接入网内组播业务 QoS。在末端交换机或 DSLAM上对用户上行的流量进行流分类，将 IGMP成员报告的 802.1p标记为较高优先级。在 IGMP路由器下行端口的出方向上将组播报文的 DSCP映射到 802.1p，从而在接入网所有设备上通过 802.1p对组播流以及 IGMP协议报文进行带宽保证。但是对于接入网设备要求较高而且配置工作量较大。 35 VOD QoS VOD业务流通过单播方式实现转发，数据流可以在 UDP或 TCP上进行承载。而且以 TCP承载方式居多。 TCP具有可靠的传输机制，如确认、丢包重传、滑动窗口流控机制。属于交互式流量模型。 在城域网内，仍然通过实施 Diff-serv策略，保证 VOD业务的QoS。因为属于交互式流量模型，所以既要保证 VOD业务流的QoS，又要保证用户到 VOD SERVER方向的 TCP ACK报文的及时和可靠的传递，才能保证 VOD画面的连续性，不会出现断断续续的问题。在在接入 VOD服务器的边界路由器上进行复杂流分类，并将 VOD流进行 Remark操作，标记 DSCP域为 AF21，在 SR或 BAS上对于用户上行的数据流进行复杂流分类，并将VOD SERVER方向的 TCP ACK报文 DSCP标记为 AF21，在所有路由器（包括 BAS）启动 diff-serve功能，对 AF43流进行识别并进行带宽保证和流量整形。 36 VOD QoS 在接入网内 ,通过以太网 802.1p QoS机制更加精确地保证接入网内 VOD业务 QoS。在 SR或BAS的下行端口的出方向将 VOD流的 DSCP映射到 802.1p，在末端交换机或 DSLAM上对用户的上行数据流进行复杂流分类，将用户发送给VOD SERVER的 TCP ACK报文的 802.1p标记为较高优先级。从而在接入网所有设备上通过802.1p实现带宽保证和队列调度。但是对于接入网设备要求较高而且配置工作量较大