IPv6中的可控组播技术.doc

IPv6系列（九）：IPv6中的可控组播技术文/乔肖桉组播是指在IP网络中将数据包发送到某个确定的节点集合（即组播组）。其基本思想是：源主机（即组播源）只发送一份数据，其目的地址为组播组地址；组播组中的所有接收者都可收到同样的数据拷贝，并且只有组播组内的主机可以接收该数据。组播技术有效地解决了单点发送、多点接收的问题，实现了IP网络中点到多点的高效数据传送，能够大量节约网络带宽、降低网络负载。在组播技术带来诸多优点的同时，也存在着不可控的问题。首先，组播用户可以随意加入和退出一个组播组，而网络管理者却无法控制用户加入和退出组播组，从而无法控制组播用户的合法性；其次，在组播网络中，管理者同样无法对组播源进行控制，从而使非法组播源在组播网络中进行传播成为可能。因此，在部署组播网络时，需要对组播源、组播接收者进行相应的控制，这样才能够保证组播数据由可信的源进行发送，并且由可信及可控的接收者进行接收，实现合理的组播流量转发，从而满足组播业务运营的需要。1Pv6中可控组播技术介绍对于IPv6的可控组播技术而言，在实现中首先要符合组播路由协议(PIM)、组播组管理协议(MLD)等基本组播协议的要求。在此基础之上，建立IPv6可控组播的技术模型，确定在一个可控组播的部署环境中，对组播源及组播接收者的控制。在IPv6可控组播技术应当能够提供以下功能： 对组播源严格控制，阻止未被授权的组播流的发送。 对组播接收者严格控制，阻止未授权用户组播流量的获取。 对用户身份控制，能够针对用户的身份进行组播组的授权。 组播控制权限能够根据用户的在线情况实时下发，避免设备的压力过大。 抑制二层组播报文，使其无法在接入层泛滥。 与现有的认证计费系统配合，达到平滑升级的目的。 在现有的设备上平滑升级支持IPv6可控组播功能在IPv6的组播环境中，组播的组管理协议和组播路由协议在原理上没有发生变化，为了适应IPv6报文的特点，相关协议进行了一些适配性的修改。同时，IPv6的组播地址与对应的组播MAC地址发生了一些变化，同IPv4的组播相比，IPv6组播的IP地址与组播的MAC的对应关系不存在32比1的问题，这样在IPv6网络中，IPv6的组播地址分配会更加合理。因此，在IPv6的可控组播中，需要对这些变化进行处理，才能够实现可控组播的功能。如上所述，在IPv6的可控组播涉及到的技术主要有：组播源控制，组播组控制。同时，当IPv6网络中开启组播业务时，要考虑到组播地址的分配问题。下面将对IPv6网络中可控组播所涉及的技术及可控组播的实现过程进行分析。1.1IPv6的组播地址同IPv4组播一样，在IPv6中，使用组播组地址来确定一个组播组的接收者，接收者接收IPv6组播时，必须要知道IPv6的组播组地址，这样通过MLD协议的管理，接收者才能够获取IPv6的组播流。IPv6的组播组地址格式如图1所示：图1 IPv6组播地址格式最高的8个bit为0xFF，标识此地址为组播地址。接着的4个bit为Flag位，在Flag位的最高位为0；R bit表示是否是内嵌RP的组播地址；P bit表示组播地址是否是基于单播前缀生成的；T bit表示组播地址是永久分配的还是临时分配的。可以看出，Flag根据一个组播地址的功能、生成方式等属性进行了标识。其余的bit为Group ID，用于在组播地址中用来标识一个组播组。IPv6组播MAC地址的高16位为0x3333，低32位为IPv6组播地址的低32位。图2为IPv6组播地址FF1E:F30E:101的MAC地址映射举例。图2 IPv6组播MAC地址如图2所示，IPv6的组播MAC地址为将128 bit的IPv6组播地址的低32bit：F30E0101直接映射到了MAC地址的低32bit中。在IPv6的组播部署中，由于组地址范围扩大，相应的组地址分配上更加方便。由于在IPv6的IP地址向MAC地址的映射过程中，可以直接将后32bit的组地址信息映射到MAC地址中，因此在进行IPv6的组地址分配时，能够避免在IPv4组播中组播组地址与组播MAC地址的多对一的情况出现。1.2组播源控制对组播源的控制，将保证只有已申请且被授权的组播源才能发送组播数据进入网络，其实质是对网络中组播节目的控制，只有被授权的节目才能够在网络中传输。在一个组播业务被发布之前，组播的提供者必须向园区网的管理者申请，管理者经过对组播业务的评审后，确定用于组播源发送的相关参数，包括组播源地址，组播组地址，所用带宽等必要信息。当组播业务的提供者将组播流量发送到网络中后，需要提供给组播接收者接收组播数据的方式，可以采用WEB网页的方式进行组播业务的发布。对组播源的控制方法如下： 采用静态授权的方式，即根据管理者为组播源分配的源地址、组播地址、带宽等必要信息，在与组播源直接相连的边缘交换机上配置ACL，完成长期性的授权，直到组播提供者终止组播业务后取消授权。 同时在接入层及网络出口设备上，配置在缺省情况下禁止转发接收的IPv6组播报文，使只有符合组播ACL配置的组播流量才能够被转发。这样就限制了在一个园区网内部，只能使用被授权的组播流量。1.3组播接收者控制对组播接收者的控制，主要是在网络边缘设备上对终端用户的组播接收权限进行控制。这是一个动态的过程，在用户使用组播前由网管服务器动态下发到网络边缘设备上。同时结合用户认证技术，当一个用户接入网络时，首先需要经过802.1X认证，确认身份后，结合组播控制服务器，对特定用户的组播权限进行实时控制。使用User-Profile技术对用户的组播权限进行下发。User-Profile提供一个配置模板，用户可以根据不同的应用场景进行配置，比如CAR策略和QoS策略等。在设备上配置的组播权限是包含在User-Profile中的，当用户上线时，通过网管服务器下发对应的User-Profile，对用户的组播权限进行动态授权。一个组播用户在网络中获得组播权限的过程如如图3所示：图3 可控组播技术简介1当用户接入网络时，进行802.1X认证，确定用户身份。2用户通过认证后，根据在服务器侧针对此用户设置的组播用户控制权限，向接入层交换机下发与此用户相对应的组播控制权限，并以User-Profile为表现形式。3当用户需要接收组播流量时，发送MLD成员关系报告报文。当MLD报文经过接入交换机时，接入交换机通过比较针对此用户的User-Profile所包含的过滤信息，将已经授权的组播加入报文发送到上游MLD路由器。如果用户的MLD通告报文中的组播组未被授权，则接入交换机丢弃此MLD报文，阻止未被授权的组播流发送给终端用户。4用户下线后，在接入设备上将已经下发的用户User-Profile删除。可控组播技术通常与MLD Snooping结合使用，这样能够在接入层基于每个用户的MAC地址，做到对用户的组播权限的动态控制。1.4用户组播权限部署及计费在用户管理服务器上，用户的组播权限以套餐的形式表示，即把多个组播组定义为一个组播套餐，组播套餐使用一个User-Profile标识。当用户进行802.1X认证时，User-Profile会随认证结果动态的下发到接入设备上。当用户需要使用组播服务时，管理员在用户申请的服务中配置好User-Profile即可。对组播用户的计费可以使用原有的计费系统。针对使用单播包月计费的用户，通过添加组播的费率即可实现对组播用户的计费；针对使用按时长计费的用户，可以按照限时包月策略，即单播与组播在一个月内有相同的使用时长，在这部分时长的使用中，按照包月计费处理，超过的部分采用一定的费率进行按时长收费，通过这些计费策略可以灵活的控制单播与组播的费率，方便计费。1.5典型应用部署场景图4 可控组播的典型部署 使用静态组播授权的方式对组播源进行控制，在园区网的出口及接入层的位置对校外及校内的非法组播源进行过滤。 在H3C iMC上配置用户的组播权限，在用户进行身份认证后对用户的组播权限进行动态下发，达到控制组播用户接入权限的目的。 结合H3C iMC的计费组件对用户进行计费，在计费策略的选择上如前文所述，根据不同的要求，可以选择包月计费或按时长计费。此方案的配置与部署后，通过组播权限控制交换机、网络管理服务器的配合，实现了可控组播的整体功能，对园区网的组播能够进行必要的控制。在对组播源的控制方面，能够同时控制园区内部以及外部的组播源发送的组播信息。在对组播接收者的控制方面，通过将用户的