IPTV承载网络体系结构技术规范——中国电信

1、中国电信股份有限公司广州研究院中国电信股份有限公司广州研究院 iptv承载网体系结构技术规范承载网体系结构技术规范 目次 前言 . ii 1 规范范围 . 1 2 引用文件 . 1 3 定义与缩略语 . 1 3.1 缩略语. 3 3.2 定义. -4 4 iptv 业务模型 . 5 4.1 业务分类. 5 4.2 系统层次结构. 5 5 iptv 业务对承载网的要求 . 7 5.1 总体要求. 7 5.2 带宽要求. 7 5.3 服务质量要求. 7 5.4 组播要求. 8 5.5 可靠性要求. 8 5.6 安全性要求. 8 6 iptv 承载网网络结构 . 9 6.1 承载网总体网络结构 .

2、9 6.2 城域/汇聚组网 . 9 6.3 宽带接入网组网. 11 7 iptv 承载网实现要求 . 13 7.1 业务隔离. 13 7.2 组播实现. 13 7.3 qos 实现 . 15 7.4 用户认证和地址分配 . 16 7.5 安全性实施. 17 7.6 可靠性部署. 19 7.7 网络、用户和业务管理 . 19 i 1 iptv 承载网网络体系结构技术规范 1规范范围 本技术规范规定iptv承载网的网络体系架构，iptv业务模型、iptv业务对承载网的技术要求、 iptv业务承载网的网络结构、iptv业务承载网实现要求以及iptv承载网的设备技术要求。 2引用文件 yd/t2006

3、 2007（165） ieee802.1x rfc 2132 rfc 2475 rfc 2516 rfc 2661 rpc 2764 rfc 3031 rfc 3046 rfc 4364 iptv平台总体架构 中国电信iptv业务规范 port-based network access control vendor class identifier/vendor specific information an architecture for differentiated services a method for transmitting ppp over ethernet layer tw

4、o tunneling protocl-l2tp a framework for ip based virtual private networks multiprotocol label switching architecture dhcp relay agent information option bgp/mpls ip virtual private networks 3 3.1 术语及缩略语 术语 iptv业务 iptv业务是基于tv+stb的，在ip网络上开展的互动业务。iptv业务主要包括点播、广播、游戏、信 息服务、广播节目预订、通信服务、远程教育、音乐/卡拉ok、互动广告、

5、机顶盒上网浏览等。根据功 能操作特点，业务可分为四大类：通信服务类、流媒体服务类、游戏服务类和信息服务类。 iptv系统 iptv系统从功能平面上划分，主要包括内容制作系统、内容管理系统、流服务系统、增值业务系统、 epg服务系统、oss系统、nms系统、drm系统以及stb系统。 内容制作系统 2 内容制作系统把各种实时或非实时视音频节目源（包括各种格式的数字节目和模拟节目）按一定的 要求编码或转码，然后输入到iptv业务系统中，从而可以为终端用户提供相关服务。同时，内容制作系 统还可以将某些增值业务内容（如游戏，信息等）进行处理后引入增值业务系统中。内容制作系统中含 有drm的加密和节目权

6、限描述部分。 内容管理系统 内容管理系统负责对业务系统中的内容进行管理：按照一定的策略对媒体内容进行增加、删除、移 动、查询和编播计划安排；通过与内容制作系统、流服务系统和epg服务系统的接口协调这些系统进行 统一协同工作；对媒体内容或增值业务内容进行相关业务统计和报表生成。内容管理系统中含有drm的 密钥管理部分。 流服务系统 流服务系统主要有两个作用，流媒体内容的存储和分发，以及为用户提供直接的媒体流服务，用户 可以通过遥控器完成对媒体流的播放、暂停、快进、快退等一系列控制操作。 增值业务系统 增值业务系统主要为用户提供除了基本的流媒体服务外的其他增值业务，如互联网浏览、视频通信、 网络游

7、戏、即时消息、信息服务等。这些业务一部分可以由运营商自己提供，如视频通信；另一些业务 既可以由运营商自己提供，也可以由第三方提供。 epg服务系统 epg服务系统分为epg系统和应用服务系统。epg系统为用户提供业务服务的入口界面，通过此系统， 用户可以完成节目的浏览、节目点播和收看并可以完成一些与用户相关的自服务项目（比如查询帐户余 额，服务类型修改等）。应用服务系统负责区域内用户认证、机顶盒的合法性检查并负责为区域内用户 提供上层服务器的服务接口（查询节目价格、生成使用话单等）。 oss系统 oss系统是业务的运营支撑系统，通过此系统，运营商可以完成对用户管理,包括开户，认证与授权 等；计

8、扣费管理、定价策略管理等。oss系统中含有drm的授权部分。 nms系统 nms系统是完成对全网设备的管理，包括机顶盒和oss设备的管理。 stb系统 stb是放置在用户家中的机顶盒设备，通过与家中的电视机相连接，使用宽带网络接口，用户可以 从运营商iptv系统中获得相关服务。机顶盒系统中含有drm的解密部分。 drm系统 drm负责iptv的数字版权管理，包括内容制作时的加密与权限描述，密钥管理盒用户的权限生成与 管理，以及在机顶盒上的权限代理和解密处理。数字版权管理的主要目的是保护iptv的内容不受非法的 拷贝和使用。 家庭网关 指家庭网络接入城域网的设备，stb通过rg接入城域网。rg可

9、以是简单的二层设备、三层设备或二/ 三层混合设备，也可以是复杂的、支持应用层协议和内网穿越的网关。 接入节点 指dslam、lan或ftth等接入设备。an一般是二层设备，但可感知部分三层业务。 宽带网关 指bras和sr等ip边缘路由器。bng是接入网用户流量的汇聚点，是二层网络和三层网络的分界点。 视频业务网关 指iptv业务系统接入城域ip网的路由器。 家庭网络 3 在用户家庭里互联各种用户终端的、并通过rg接入城域网的网络，iptv终端（stb）即位于家庭网 络里。 接入环路：位于an和rg之间的物理链路。 以太汇聚网：位于an和bng之间的汇聚网络。承载iptv业务的城域汇聚网必须是

10、基于以太的传送网 络，为边缘的an和bng等设备提供标准以太接口，并在核心提供以太帧转送服务。 接入网：位于rg和bng之间的网络，包括上述的接入环路、an和以太汇聚网。接入网一般是二层网 络，但可感知部分三层业务。 城域ip网：位于bng和nsp/asp（网络服务提供商/应用服务提供商）之间的网络，在dsl论坛里称为 区域宽带网络（regional broadband network）。在iptv承载网里，就是指bng和vg之间的网络。 可控组播与组播控制/复制点 iptv承载网需要对传统internet组播功能进行优化改进，使之能够适应iptv业务的运营，支持可运 营、可管理的组播技术。可

11、控组播包括对组播用户、组播源、组播组的控制，包括完备的、可扩展的计 费手段和对组播网络的监控、管理手段。 iptv可控组播业务实施中，业务/网络管理系统根据用户的频道定购信息，通过标准的接口将对用 户的控制信息发送到组播业务的控制设备上（简称控制点，包括bras、sr、dslam、l2 switch等）。 组播控制点根据组播用户组信息，控制组播业务的复制设备实现组播报文的复制分发，仅向iptv 合法用户转发组播报文（简称复制点，包括bras、sr、dslam、l2 switch等）。 注：组播控制点和复制点可以是同一设备，也可能是不同的设备。 3.2缩略语 aaa adsl an ap bng

12、 bras bss cdn dhcp diffserv drm dscp dslam epg fttb idc igmp iptv autentication authority and accounting 认证、授权与计费 asymmetric digital subscriber line非对称数字用户线路 access node 接入节点 access point接入点 broadband network gateway 宽带接入网关 broadband network access server 宽带接入服务器 business support system 业务支撑系统 conte

13、nt distribution network 内容分发网络 dynamic host configuration protocol 动态主机配置协议 differentiated services 差分服务 data right management 数字版权管理 differentiated service code point 差分服务代码点 digital subscriber line access module 数字用户线接入模块 electronic program gui 电子节目单 fiber to the building 光纤到大楼 international data

14、center 数据中心 internet group management protocol 互联网组管理协议 interent protocol television 互联网电视 yd/t 2006 4 l2tp lan mac mbgp mpls nvod nms oss pim-dm pim-sm layer two tunneling protocol 二层隧道协议 local area network 局域网 media access control 媒体访问控制 multi-protocol boarder gate protocol 多协议边界网关协议 multiple prot

15、ocol label switching 多协议标签交换 near vedio on demanding 准视频点播业务 network managemeant system 网络管理系统 operation support system 运维支撑系统 protocol independence multicast density mode 协议无关组播密集模式 protocol independence multicast sparse mode 协议无关组播稀疏模式 ppppoint to point protocol 点到点协议 pppoe qos rg rp rpr sms sr st

16、b tstv vdn vdsl vg vlan vod vpls vpn wlan ppp over ethernet 以太网承载ppp协议 quality of service 服务质量 residential gateway 家庭网关 rendezvous point 会聚点 resilent packet ring 弹性分组环 service management system 业务管理系统 service router 业务路由器 set top box 机顶盒 time shifted television 时移电视 vedio distribution network视频分发网络

17、very-high-speed digital subscriber line 高速数字用户线路 vedio gateway 视频业务网关 virtual local area network 虚拟局域网 vedio on demanding 视频点播业务 virtual private lan service 虚拟专用局域网业务 virtual private network虚拟专用网 wireless local area network无线局域网 4 4.1 iptv 业务模型 业务分类 根据中国电信iptv业务规范定义，iptv业务包括点播、广播、游戏、信息服务、节目预订、通 信服务、

18、远程教育、音乐/卡拉ok、互动广告、机顶盒上网浏览等。根据功能操作特点，业务可分为四 大类：通信服务类、流媒体服务类、游戏服务类和信息服务类。 1、通信服务类 通信服务类包括语音、视频通信和短信。iptv视频通信基于公众视讯业务提供，并由公众视讯网向 用户提供集视频、音频和数据于一体的服务。iptv机顶盒仅作为公众视讯业务的一个终端，iptv用户通 过互联网接入公众视讯网，使用公众视讯网提供的各种功能。 2、流媒体服务类 流媒体服务类包括点对点播放和点对多点流媒体服务。 点播、广播节目预定、远程教育、音乐/卡拉ok是用户按需要进行音视频流播放，是一种点对点的 播放方式。iptv点对点播放业务基

19、于内容传送网提供，节目内容应推送到靠近用户的网络端，机顶盒通 过宽带网就近访问内容传送网节点，以提高业务的服务质量。 广播是节目源同时向多个用户主动推送相同音视频流的服务，是一种点对多点播放方式。iptv广播 业务适合采用组播方式向用户提供服务。节目内容通过cdn或数据网络推送到向用户服务的组播服务器， 再通过组播方式向用户提供。 3、游戏服务类 游戏服务类包括单机游戏和联网游戏。业务发展初期，单机游戏以按场景下载然后分段分关使用的 游戏为主，暂时不发展其他单机游戏。联网游戏要求能通过宽带网络同游戏服务器或其他客户互动。 4、信息服务类 信息服务类包括信息服务、互动广告和机顶盒上网浏览等。对于

20、机顶盒上网浏览服务，初期必须提 供用于机顶盒连接的客服网站。 4.2系统层次结构 结合iptv业务开展目标以及ip网络现状，实现iptv业务的系统划分为以下四个层次：支撑层、业务 层、承载层和终端层，层次结构如图1所示。 支撑层 运营支撑 应用服务 增值业务 网络管理 电子节目单 流媒体服务 承载控制子层（资源接纳控制） 承载层 家庭网络（含机顶盒） 数字版权 内容制作 内容管理 业务层 承载层 宽带 接入网 图 1 iptv 系统层次结构 5 6 支撑层：支撑层为iptv平台提供运营支撑，是iptv平台的运营支撑系统。支撑层包括用户管理、运 营商管理、认证授权、帐务管理、系统设备管理和数字版

21、权管理等模块。 业务层：业务层为iptv平台提供业务应用服务。iptv系统可以提供基本业务，如vod点播、直播节 目等，也可以提供各种扩展业务，如可视电话、网络游戏和网络邮件等。不同的业务有不同的业务管理 逻辑，业务层为这些业务的开展提供支持环境。对于基于流的相关业务，需要提供节目编码处理、节目 加密、媒体存储和分发等相关支持。 承载层：承载层实现各种iptv业务从终端层到具体业务层的网络承载服务，是承载iptv业务的ip 网络，通常包括宽带ip骨干网络，城域网络和宽带接入网络。根据业务层边缘节点所处网络位置的不同， 承载层网络范围可包括骨干网、城域网和宽带接入网三层，或仅包括城域网和宽带接入

22、网两层。iptv 业务对于承载网络的要求主要有：带宽方面的要求；服务质量的要求，对于可视电话、游戏等双向交互 式业务，要求网络的抖动和延时要小；对于经过压缩编码后的视频码流，其比特的前后相关性较高，因 此需要网络的丢包率要低；组播支持的要求，对于直播节目，因为接收的用户会比较多，这就要求承载 网络最好能支持组播。此外，为了防止对系统的恶意攻击，造成系统业务不能正常工作，网络需要有较 高的安全性，和统一的ip地址规划方案等。 终端层：iptv用户使用机顶盒，通过adsl、lan、wlan、gepon等宽带接入方式接入，在电视 机上实现iptv业务。终端包括多种形式，如stb和pc机等。 7 5

23、5.1 iptv 业务对承载网的要求 总体要求 为实现iptv业务的承载，iptv承载网从功能上应支持各种业务的用户接入、用户认证、内容传送、 服务质量保障、安全性保障以及可靠性保障，并满足业务所需的带宽要求、服务质量要求、组播要求、 可靠性要求以及安全性要求。 5.2带宽要求 iptv业务对承载网的带宽要求主要体现在iptv视频流媒体业务上。 根据iptv编码技术要求，iptv视频流媒体业务可选采用mpeg4、h.264和avs编码标准。一个标 清视频业务流，采用mpeg-4 asp编码后的数据速率通常约为1.21.5mbps；采用h.264编码后的数据速率 约为1m bps；采用avs编码

24、后的数据速率约为11.5mbps。结合业务传输、协议封装开销（约为2030 ）、信令流及网络流量波动需求的考虑，要求iptv承载网必须满足下列网络带宽要求： 用户接入的下行网络带宽至少应达到2mbps（视频点播/直播）； 用户接入的上行网络带宽至少应达到384kbps（视频会议速率）； 承载网络应提供对带宽的可控管理功能； 承载网络容量应根据上述用户下行带宽要求进行规划，并充分考虑用户规模和分布，及业 务长时间在线等各项因素的影响。 iptv业务特性决定了用户使用业务时长时间在线，且长时间占用网络带宽。因此，以上的带宽需求 不是峰值速率，而是平均速率。 另外，由于高清电视等业务的需求，部分用户

25、需求带宽甚至可达8m。若iptv支持高清电视业务，则 要求用户接入的下行网络带宽应达到8mbps。 5.3服务质量要求 iptv业务包括多种类型的业务，由于其不同的业务特性，这些业务对承载网提出了差异化的服务质 量要求，包括对承载网的时延、抖动、丢包率以及错误率等指标的要求。 视频流媒体业务有两种提供方式，一种是单播方式的视频点播，另一种是组播方式的视频直播。视 频点播是非交互式的流媒体应用，对实时性的要求不高，可通过设置缓存来降低对时延的敏感度。视频 直播对实时性要求较高，对传送时延的敏感度高。 音频电话、可视电话和视频会议业务对网络服务质量要求较高，可参照voip指标进行要求。 游戏业务也

26、是一种双向交互式数据业务，由本身业务特性（如操作指令的响应时间）决定对网络服 务质量要求较高。 综合以上业务需求，参照相关标准，要求iptv承载网端到端服务质量满足下表： 表 1 iptv 业务服务质量要求 业务类型 视频直播 视频点播 音频电话 可视电话 视频会议 游戏 时延 1s 3s 150ms 150ms 150ms 200ms 抖动 1s 1s 50ms 50ms 50ms n/a 丢包率 0.1% 0.1% 0.1% 0.1% 0.1% n/a 错误率 0.01% 0.01% 0.01% 0.01% 0.01% n/a 5.4 5.5 5.6 组播要求 iptv直播视频业务适合采用

27、组播方式向用户提供，iptv承载网全网应提供对组播的支持。 具体对应到承载网的各个层次，iptv承载网应满足下列要求： 骨干网应支持pim-sm组播路由协议。若跨域实现iptv业务，还应支持跨域组播，包括 mp-bgp、msdp协议； 城域网应支持pim-sm组播路由协议和igmp组成员管理协议； 接入网设备应支持igmp snooping/proxy，实现可控组播； 实现组播源、集合点（rp）的冗余备份功能。 可靠性要求 为保证用户连续、不中断的使用iptv业务，iptv承载网应保障网络传送的可靠性。 iptv承载网在可靠性上应满足以下要求： 承载网网络故障发生时，保障视频流媒体业务不中断，

28、承载网应在1s的时间内进行恢复； 承载网网络故障发生时，保障音频电话/视频电话/视频会议业务不中断，承载网应在1s 的时间内进行恢复； 直播视频业务中，为获得与传统电视一致的用户体验，在节目切换时，频道切换时间应1s； 对业务关键设备，如组播源和集合点（rp），实施高可靠保障。确保单节点出现故障时， 应该能够迅速切换到备份节点，以保证业务的可靠性。 安全性要求 iptv承载网不仅应保障iptv承载网的自身安全，还应提供对iptv业务网安全的保障。 iptv承载网与internet直接相连，应抵御各种来自外界的安全风险，保障自身的安全性。iptv承载 网自身安全性包括以下层面： 保障数据平面安全

29、，提供机制限定用户流量行为，抵御来自攻击者对数据平面的恶意攻击； 保障控制平面安全，对路由分发、标签分配对等体建立信任关系认证，防止路由泄漏、资 源耗尽攻击以及转发路径的欺骗等； 保障管理平面安全，防止配置信息的泄漏、未授权的入侵以及对管理系统的拒绝服务攻击。 iptv承载网保障业务网的安全性，包括以下层面： 保证业务系统cs、es、sms、epg等业务系统的安全性，防止非法入侵； 用户只能有限制的访问节目epg和提供流媒体的cs及其cache（es）； 要保证用户pc或stb的安全性，防止非法用户的入侵； 防止非法iptv用户对iptv资源的访问。 8 6 6.1 iptv 承载网网络结构

30、承载网总体网络结构 端到端iptv承载网应包括三个层次，即骨干网、城域网和宽带接入网。其逻辑分层模型如图2所示： 图 2 iptv 承载网网络结构 对各个层次的功能要求如下： 1、骨干网 骨干网负责流媒体业务在全国范围内的分发和管理，基于cdn、运营支撑网、业务网等，实现具体 业务的相关承载和控制。由于目前iptv业务是否在全国范围开展尚无定论，本标准暂不考虑iptv承载网 的骨干网部分。 2、城域/汇聚网 城域/汇聚网包括从业务接入控制点设备至骨干网边缘节点间的相关网络和设备，主要实现iptv业 务从骨干网到接入网之间的网络承载，负责流媒体业务在省市范围内的分发和管理。 根据边缘节点所处网络

31、位置的不同，网络范围可包含省干网和城域网两级网络，或仅包含城域网一 级网络。城域网/汇聚要充分考虑对iptv业务的承载能力，可以采用原有网络平面或单独构建视频专网， 通过采用ip新技术更好地支撑iptv业务。 3、宽带接入网 宽带接入网指从用户机顶盒、终端到业务接入控制点之间的相关网络及设备，主要实现iptv业务的 接入。 宽带接入网可以利用原有宽带接入网络改造实现接入，也可以根据需要新建物理或逻辑网络。目前 接入网主要包括dslam和lan宽带用户，需要针对不同的业务进行隔离，保障iptv业务的各项要求。 6.2城域/汇聚组网 iptv承载网负责将源端网络的iptv业务数据经过传送网络送达接

32、入网络，并由接入网络完成到用户 的传输和控制。现有城域网主要承担internet接入以及其它单播业务的承载，在此基础上实现iptv承载 网主要有两种模型：集成模式和分离模式。 1、集成模式 9 在集成模式的组网情况中，iptv承载网与internet网络重合，无分界点，承载所有的单播/组播iptv 业务。iptv业务和internet业务同时由宽带城域网络承载，在现有城域网中建设vdn，由vdn将iptv节目 内容（包括点播类、直播类）预分发到边缘流媒体服务器，再推送到接入网。 这种方式的组网方案如图3所示： internet业务/iptv业务 流媒体 服务器 源端 服务器 业务接入 控制点

33、接入网 汇聚设备 宽带接入网 城域/汇聚网络 图 3 集成模式组网 2、分离模式 在分离模式的组网情况中，iptv承载网与internet网络物理上分开，iptv业务使用新建的iptv承载 网单独传送，两种业务在业务接入控制点上融合。 将internet接入网络与iptv业务传送网络分开，有助于保证iptv业务的服务质量，解决原有 internet网络承载iptv业务带来的诸多问题：带宽不足、缺乏组播支持、缺乏qos保证、处理能力不足 等。对iptv业务单独组建传送网，便于网络规划和建设，该iptv业务网实现网络的无阻塞设计，根据流 量规划合理布置带宽，通过mpls/vpn建立逻辑隔离的业务承

34、载网络，通过ds-te为iptv流量建立有带宽 保证的通道，并进行流量优化，基于diffserv模型进行流量分类、流量调度和流量管理。vpn技术保证 了iptv承载网与其它业务承载网隔离，保证网络安全，而且作为承载网发展演进的趋势网络，实现专网 一网多平面，一个物理网络变为不同逻辑网络承载不同的业务。组网方案如图4所示： iptv/ 其它电信级数据业务 流媒体服务器源端 服务器 业务 路由器 接入网 汇聚设备 宽带接入网 业务接入 控制点 internet业务 城域/汇聚网络 图 4 分离模式组网 10 分离模式组网方案可以基于多种设备提供不同的组网方案，运营商可以根据实际需要、实际的规模 选

35、择路由器、交换机以及mstp等设备实现合适的组网方案。 6.3宽带接入网组网 接入网 汇聚设备 宽带接入网 业务接入 控制点 iptv宽带接入网络是从城域网络到用户侧的网络，是iptv业务与用户宽带上网业务融合的网络，为 用户接入iptv业务提供可靠传输通道，主要由接入路由器、以太网交换机、dslam和modem等设备组成， 共同负责将iptv业务流，从城域网传到用户终端设备，同时包括参与业务权限的控制，业务统计等功能。 接入网支持adsl/adsl2+/vdsl（pppoe/专线）、lan（pppoe/dhcp/专线）、wlan等。为直播业务更高效 的使用带宽资源，接入网应支持二层和三层组播

36、技术。按照业务接入控制点的不同，iptv宽带接入网可 分为两种业务接入模式：单边缘模式和多边缘模式。 1、单边缘模式 单边缘业务接入模式是指用户的宽带上网和iptv业务共用相同的接入控制点-bras，pc使用pppoe 方式接入bras，iptv既可以采用pppoe方式，也可以使用dhcp/专线的方式接入bras，当使用pppoe方式 时，可以利用不同的域名或不同的pvc/vlan来区分接入是来自机顶盒，还是来自pc；当采用dhcp方式时， 可以利用机顶盒的mac地址和dhcp option60控制对机顶盒分配地址。组网方案如图5所示： iptv业务 internet业务 图 5 单边缘业务接

37、入组网 2、多边缘模式 多边缘业务接入模式是指宽带上网业务和iptv业务分别由专用的业务接入控制点提供，宽带上网业 务仍由原有的bras作为控制点，iptv业务则使用iptv业务路由器作为控制点，stb采用dhcp/专线接入方 式，iptv业务路由器支持dhcp relay和qinq终结能力。组网方案如图6所示： 接入网 汇聚设备 宽带接入网 业务 路由器 iptv业务 internet业务 业务接入 控制点 图 6 多边缘业务接入组网 按照用户接入二层虚拟通道方式的不同，用户接入可分为单通道接入和多通道接入两种方式。单通 道接入是指宽带上网业务和iptv业务共用相同二层虚拟通道，采用单pvc

38、、单c-vlan进行接入；多通道 接入是指宽带上网业务和iptv业务承载于不同的二层虚拟通道，采用多pvc、多c-vlan进行接入。 11 12 iptv承载组网方案应考虑iptv和宽带业务融合组网问题，需考虑iptv点播、直播业务和现有的宽带 上网三种业务，在宽带接入网和接入控制点上的共同承载和业务提供。因此iptv承载网方案应支持用户 单/多通道接入、单/多边缘业务接入方式的组合应用，支持以下组网模式： 用户单通道接入单边缘业务接入； 用户单通道接入多边缘业务接入； 用户多通道接入单边缘业务接入； 用户多通道接入多边缘业务接入。 7 7.1 iptv 承载网实现要求 业务隔离 iptv业务

39、的承载应该与其它业务进行隔离，隔离方式可以基于专用的物理网络，也可以基于多业务 承载网的一个或多个逻辑网络进行隔离。如果采用逻辑隔离，城域网应支持ip vpn技术，包括bgp/mpls vpn。宽带接入网部分的虚拟网络隔离技术应支持vlan、pvc或vpls。 7.1.1基于业务隔离 iptv承载网应支持基于业务的隔离，在与非iptv业务隔离的同时，还应支持iptv组播业务与单播业 务的隔离承载。基于业务的隔离如图7所示： 图 7 基于业务的隔离 7.1.2基于用户隔离 iptv承载网还应支持基于用户的隔离，即将接入节点上的不同用户进行隔离。基于用户的隔离如图 8所示： 图 8 基于用户的隔离

40、 7.2组播实现 直播业务是iptv业务的基本业务形式之一，应采用组播技术在ip承载网络上传送。直播节目内容推 送到iptv承载网后，由组播源通过组播发送到业务接入控制点，再由业务接入控制点通过宽带接入网提 供给用户。 以业务接入控制点为分界点，iptv承载网的城域/汇聚网部分应支持ip组播路由（包括pim-sm、 pim-ssm协议）；宽带接入网部分应支持二层组播用户管理功能（如igmp snooping、igmp proxy）；而 业务接入控制点应支持组播用户管理和相应的组播路由功能。iptv承载网组播要求如图9所示： 13 图 9 iptv 承载网组播功能 7.2.1网元要求 iptv承

41、载网的直播业务中，对各网元的组播要求如下： 路由器：应支持组播路由协议pim-sm/pim-ssm，建立组播转发路径。跨域时还应支持mbgp、 msdp和pim-sm协议。 业务控制点：应支持组播路由协议pim-sm/pim-ssm，建立组播转发路径。还应支持igmp 协议。应具备控制用户加入组播组的权限控制功能，仅对有权限的用户转发igmp消息或复 制组播流，丢弃无权限用户的igmp消息。接入节点的组播权限控制表可静态配置或动态查 询，对于动态查询到的组播权限，并可缓存查询结果。应丢弃所有无用户请求加入的组播 流量。应可以设置组播组的源端口，丢弃所有不是从组播组的源端口流入的组播流和接收的

42、组播查询报文。 汇聚节点：应支持igmp proxy或snooping功能，能够根据stb的igmp report消息决定是向 上转发组播请求还是在本地复制组播流。 接入节点：应支持igmp proxy或snooping功能，能够根据stb的igmp report消息决定是向 上转发组播请求还是在本地复制组播流。还应从用户端口分离出igmp消息转发到上行的组 播vlan里，能把下行组播vlan中的btv流复制到合适的用户端口。还应具备控制用户加入 组播组的权限控制功能，仅对有权限的用户转发igmp消息或复制组播流，丢弃无权限用户 的igmp消息。接入节点的组播权限控制表可静态配置或动态查询，对

43、于动态查询到的组播 权限，并可缓存查询结果。应丢弃所有无用户请求加入的组播流量。应可以设置组播组的源 端口，丢弃所有不是从组播组的源端口流入的组播流和接收的组播查询报文。 家庭网关：应支持igmp proxy或snooping功能，能够根据stb的igmp report消息决定是向 上转发组播请求还是在本地复制组播流。 7.2.2城域/汇聚网组播 城域网在自治域内运行pim-sm/pim-ssm协议，建立组播转发路径。 如果iptv承载网需要考虑跨域组播，则iptv承载网还应支持mbgp、msdp和pim-sm协议的组合。各个 自治域内运行pim-sm协议，交互域内组播路由信息，收集域内组播源

44、信息；域间通过不同自治域asbr 之间建立mp-bgp对等体，传播组播拓扑信息；域间通过不同自治域rp点之间建立的msdp对等体，相互交 换组播源消息。 城域/汇聚承载网络应支持anycast rp功能。 城域/汇聚承载网络应支持组播vpn功能。 7.2.3宽带接入网组播 宽带接入层应支持igmp、igmp snooping和igmp proxy协议，负责向上层网络传递用户的组播加入/ 离开请求信息。当用户需要观看特定频道时，用户侧的stb发起igmp的加入报文，连接用户的接入节点 运行igmp snooping或igmp proxy协议，逐级把igmp的报文传递到城域网骨干层边缘，边缘设备根

45、据收 到的igmp报文向城域网内的rp发出pim的加入报文，从rp接收组播流量然后通过igmp的通过路径下发到 用户端。 为了减少对业务接入控制点处理igmp报文的负担，同时具备igmp snooping和igmp proxy的接入节 点应优先运行igmp proxy。 7.2.4 14 可控组播 iptv承载网应提供可运营、可管理的可控组播方案，应支持对组播用户、组播源、组播组的控制， 支持可扩展的计费手段和对组播网络的监控管理手段。 iptv承载网应支持在不同的组播复制点实现最终用户的组播复制，包括： 业务接入控制点复制（bras/sr） 二层接入节点复制（dslam/l2 switch）

46、 出于节约承载网带宽资源考虑，本标准推荐iptv承载网方案支持二层接入节点复制。 iptv承载网应支持不同的组播控制与复制的方案结合，包括： 业务接入控制点控制，并复制 二层接入节点控制，并复制 业务接入控制点控制，二层接入节点复制 由于组播控制点与复制点不在同一设备上，同时目前没有标准的协议进行交互。本标准不推荐使用 业务接入控制点控制，二层接入节点复制的模式。 7.2.5频道快速切换 iptv承载网应支持igmp快速加入/离开组播组功能。 iptv承载网应支持动态加入组播组和静态加入组播组。在静态组播组中，如果组下没有用户，应丢 弃组播报文。 7.3 qos 实现 iptv承载网的qos主

47、要反映在带宽、时延、抖动、丢包率、故障恢复时间等参数上，其中网络的故 障恢复参见7.7节。iptv承载网的qos机制主要是区分服务，通过城域/汇聚网和宽带接入网的分层考虑 来实现。 iptv承载网总体上应保持轻载，对不同业务流实现分类的流量控制和差异化转发；对btv业务静态 分配带宽，btv业务流直接下发到接入节点；对vod业务进行动态接纳控制，保证承载网不发生过载。 7.3.1城域网 qos 城域网应支持diffserv差分服务机制。在城域网中，所有用户的所有业务流应按照话音、iptv（包 括组播和单播）、数据等聚合为少数几种业务类。为避免瞬时和局部过载，城域网网总体上应保持轻载。 若城域网

48、部署mpls vpn技术，则城域网还应支持mpls exp差分服务机制。 业务接入控制点上应支持二层802.1p到dscp/exp的映射功能。 7.3.2宽带接入网 qos 宽带接入网采用每用户、每业务流独立的qos管理机制，对业务分类的依据主要是二层802.1p信息 （如果以太汇聚层采用vpls组网，还可以依据二层、三层和四层包头信息的任意组合进行分类，如 802.1p、802.1q、ip源和目的地址、tcp/udp端口信息等）。 以太汇聚层对上下行流量的qos处理是不同的，在以太汇聚层以上是城域网，以太汇聚层对上行流 量应该统一成dscp；在以太汇聚层以下是接入网络，以太汇聚层对下行流量应

49、该统一成802.1p优先级标 记。 以太汇聚层可选执行层次化qos机制，对每用户、每业务流分别排队、调度和整形，每用户每业务 流的带宽控制、业务统计和业务策略分别针对独立的用户业务队列进行。 7.3.3接入节点 qos 接入节点应支持802.1p。根据接入节点采用的vlan隔离模式，应支持： 基于用户隔离：应实现不同用户业务的隔离，并管理全局的组播业务； 基于业务隔离：至少应隔离iptv组播业务、iptv单播业务、话音、数据4种业务。 接入节点的业务分类、优先级标记、排队和调度基于802.1p的设置。 7.3.4业务接纳控制 对于vod业务，承载网应支持接纳控制策略，在宽带接入网出现带宽不足时

50、，拒绝用户的vod业务请 求，保证接入网不会出现带宽资源不足而影响用户的vod的图像质量。 15 对于btv等组播业务，承载网也可以通过接纳控制机制来保证组播流所需的带宽，用户侧的stb向网 络控制系统发起igmp加入组播业务的请求，接纳控制策略的资源接纳控制系统检查网络控制系统是否已 经为用户申请了网络资源预留，如果已经为用户申请了网络资源预留，则组播复制功能实体向用户转发 相应的组播业务流。同时接入层还可以通过接入控制点给业务流所标识的802.1p进行按优先级调度控 制，保证优先级iptv业务优先转发及其qos。 7.4用户认证和地址分配 iptv用户必须通过用户认证和业务认证才能使用业务

51、。其中用户认证由aaa功能执行，业务认证由 业务系统执行。aaa功能可位于不同网元上，如业务接入控制点或以太汇聚节点上。 iptv用户认证应支持基于pppoe和dhcp的认证模式，下面以业务控制点为例，规定用户认证的过程。 7.4.1基于 pppoe 的用户认证 基于pppoe的用户认证过程如图10所示： 机顶盒业务接入控制点radius服务器 pppoe discovery lcp pap/chap pap/chap/addr ipcp accounting stop 图 10 基于 pppoe 的用户认证 stb开机后自动启动pppoe进程，在stb中已经预先存入了用户名和密码，基于ppp

52、oe用户认证的具体 过程如下： 1. 2. 3. 4. 5. 6. 7.4.2 在pppoe discovery阶段，stb发送查询报文，业务接入控制点响应该查询报文，经过两次 交互后，接入控制点和stb获得了对方的mac地址，建立pppoe会话； stb和接入控制点通过lcp协商链路层参数，包括认证方式、链路最大传送单元、魔术字等； lcp协商过程后，进行pap或chap认证过程，stb把用户名和密码发送到接入控制点进行认证； 如果是pap，接入控制点把用户名和密码转发到radius服务器进行认证；如果是chap，经过 challenge传送，以及md5 hash之后传送给服务器，认证通过后

53、接入控制点获得动态ip地址； 接入控制点通过ipcp协议把获得的动态ip地址分配给stb，stb pppoe认证及地址配置完毕； 在pppoe会话中，接入控制点进行ppp心跳检测，如连续几次未收到stb的响应，就断开ppp 会话，并终止计费。 基于 dhcp 的用户认证 基于dhcp的用户认证过程如图11所示： 16 17 机顶盒 业务接入 控制点 dhcp 服务器 接入节点 radius 服务器 dhcp discovery dhcp discovery/ option 82&60 radius access request radius access recept dhcp discove

54、ry/option dhcp offer dhcp offer dhcp request dhcp acknowledge radius accouting 图 11 基于 dhcp 的用户认证 基于dhcp用户认证的具体过程如下： 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 用户stb发出dhcp discover消息； 接入节点在dhcp discover消息里插入dhcp option 82（包含物理线路号信息）和option 60 （包含业务类型和终端类型信息）字段，然后再把修改过的dhcp discover消息转发到后面 的业务接入控制点； 业务接入控制点检测到这是

55、一个新用户，为该用户创建ip会话上下文，此时ip地址还未获 得配置。业务控制点为该ip会话创建一个radius接入请求消息，并向radius服务器发送 radius请求消息； 如果通过radius服务器的认证，radius服务器将向控制点回复接受接入消息，同时传送与 该用户的ip会话有关的业务策略。控制点接收到接受接入消息，该ip会话获得授权，执行 该ip会话的业务策略，包括qos参数配置和安全策略； 控制点向后面的dhcp服务器转发dhcp discover消息； dhcp服务器接收到dhcp discover消息后，回应以dhcp offer消息； 业务控制点接收到dhcp offer消息

56、，中继转发到stb。业务控制点把获得的ip地址与已建立 的ip会话相关联，完成该ip会话的全部配置。后续的针对该用户的所有动态策略都将针对 此ip会话进行操作。在ip会话过程中，业务控制点不断进行ip会话的心跳检测，如果几次 未得到stb的响应，就断开ip会话，释放资源，终止计费； 用户stb接收到dhcp offer消息，响应以dhcp request消息； dhcp 服 务 器 收 到 dhcp request 消 息 后 ， 响 应 以 dhcp acknowledge 消 息 。 stb 收 到 dhcp acknowledge，完成dhcp配置过程； 业务控制点对该ip会话进行统计，

57、并把统计参数发送给radius服务器用于后台的统计计费。 7.5 7.5.1 安全性实施 承载网安全性 18 ip网络主要存在拒绝服务、侦听、伪装、修改数据、非授权接入、事后否认等六类主要的安全威胁， 常见的安全攻击行为有ip欺骗、重放攻击、反射攻击、中间人攻击、拒绝服务攻击、分片攻击、网络侦 听、应用层攻击等。 ip承载网应实施以下安全措施： 对所有网络实体进行严格的认证和授权； 对所有网络资源分级设置访问权限； 对所有地址实施urpf过滤； 在每个用户会话期间，接入网应对用户的身份标识、ip地址、mac地址和物理线路（信道） 号进行绑定，对不同用户的数据流量应进行虚电路级别的隔离，阻止用户

58、之间任何未经授 权的直接通信，并实现网上任何数据包的可溯源性。隔离每个用户每个业务流能够使用的 带宽，控制每个用户的广播流量，杜绝用户之间的互相干扰； 为网络的管理平面和控制平面设置安全的传输通道，包括用物理专网或逻辑专网来传输网 管和控制数据，并启用安全的加密认证机制。隔离不同来源的控制数据的带宽，保证不同 来源的控制数据得到公平对待，防止对控制平面的拒绝服务攻击。管理数据和控制数据应 得到优先处理。在数据平面过滤恶意的、非法的和畸形的流量，防止拒绝服务攻击； 对关键设备采用热备份，提高网络在攻击下的恢复能力和可用性； 日常执行严格的安全维护措施，包括关闭所有无关的服务端口，及时安装软件补丁

59、，定期 进行病毒扫描和系统安全漏洞扫描，定期做入侵检测和防火墙的规则更新，详细记录安全 日志，并定期作安全审计，定期更改密码等。 尽管组播技术具备开展新业务的许多优势，并且协议日趋完善，但开展组播业务还面临着组播用户 认证、组播源安全和组播流量扩散安全性的问题。ip承载网应实施以下组播安全措施： 组播源管理：在组播流进入骨干网络前，组播业务控制设备应负责区分合法和非法媒体服 务器，可以在rp上对组播源的合法性进行检查，如果发现来自未经授权的组播源的注册报 文，可以拒绝接收发送过来的单播注册报文，因此下游用户就可以避免接收到非法的组播 节目。为防止非法用户将组播源接入到组播网络中，可以在边缘设备

60、上配置组播源组过滤 策略，只有属于合法范围的组播源的数据才进行处理。这样既可以对组播报文的组地址进 行过滤，也可以对组播报文的源组地址进行过滤。在业务控制节点上，设置组播组的源端 口，当接收到组播流时，判断组播流是否有用户申请以及接收组播流的端口是否是组播组 的源端口，若是，则转发组播流至用户，若不是，则丢弃所述组播流，这样可以防止非法 流量的转发；当收到组播查询报文时，判断接收端口是否是组播组的源端口，若是，则响 应该组播查询报文，若不是，则丢弃所述组播查询报文，防止组播组成员信息的泄漏。 组播流量扩散安全性：在标准的组播中，接收者可以加入任意的组播组，也就是说，组播 树的分枝是不可控的，信