广电IP网络概述及安全优化
2011-12-13张路汪非天津泰达有线电视网络有限公司天津300456
张路 汪非 (天津泰达有线电视网络有限公司 天津300456)
广电IP网络概述及安全优化
张路 汪非 (天津泰达有线电视网络有限公司 天津300456)
泰达有线电视网络有限公司作为网络运营主体,在建网初期就将有线电视网络定位在可提供多业务支撑的综合信息网。概述了泰达有线电视IP系统构成、现状,提出IP骨干网的整体安全优化方案。
IP 骨干网 广电
1 IP网络系统概述
经过3年左右的建设,泰达有线电视网络已逐步完善,涵盖了整个开发区,并实现了开发区和开发区西区、中新生态城的互联,在整个开发区形成了一个主干1 000 M带宽的传输网络体系。整个骨干网已实现 WWW、DNS、WEBMAIL、FTP、VOD点播系统、BOSS计费系统、办公自动化系统(OA)、用户上网和企业VPN接入等网络服务。泰达有线电视数字网已完成建立在数字电视及宽带业务平台之上的交互数字电视平台,可以提供VOD、IP电话、银联在线缴费、信息浏览、游戏、电视购物、股票等业务。交互电视可以有效利用泰达有线电视网络有限公司在网运行的Cable Modem资源,引导用户从宽带业务进入交互电视业务。同时,双向机顶盒作为一个重要的接入资源,又能够把互联网接入业务引入用户家庭,从而为数据业务和电视业务的组合营销创造更大的发展空间。泰达有线电视网络有限公司已经实现同时运营数字电视业务、数据业务和其他增值业务,并具备了向市场提供IP语音服务的能力,这正是电信业务融入广电业务的一种理想状态。
图1 网络拓扑图
2 IP系统现状
2.1 骨干网的网络结构及设备
根据开发区用户区域特征,泰达有线电视网络有限公司将整个开发区分为5个主要节点:A节点为主节点,负责Internet接入,VoD系统接入,计费系统接入,也负责部分个人用户的接入;B和C两个节点主要承载个人用户,其中大部分为宽带接入和视频点播的业务;D和E两个节点主要承载企业用户,基本以数据传输为主。
各个节点之间都是使用两条千兆光纤组成的channel相连,形成一个环网。由于A、B、C 3个节点是使用VOD的主要节点,流量较大,所以A节点分别与B、C节点之间有一条万兆的链路相连,提供高效的数据转发。
目前泰达有线电视网络有限公司骨干光纤网共配置一个核心前端4个分前端,网络拓扑如图1。
此次项目选择的骨干路由器为Cisco7600系列路由器。配置如下:A前端,双SUP720G引擎Cisco7609路由器一台;B前端,SUP32G引擎Cisco7604路由器一台;C前端,SUP32G引擎Cisco7604路由器一台;D前端,SUP32G引擎Cisco7604路由器一台;E前端,SUP32G引擎Cisco7604路由器一台。
2.2 路由协议的选择
开放式最短路径优先(Open Shortest Path First,OSPF)协议作为一个开放性的协议,在大多数厂商的产品中都能够支持。这也为以后升级扩展奠定了基础。OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点。
OSPF路由器之间使用链路状态通告(LSA)来交换各自的链路状态信息,并把获得的信息存储在链路状态数据库中。各OSPF路由器独立使用SPF算法计算到各个目的地址的路由。
OSPF协议支持分层路由方式,这使得它的扩展能力远远超过RIP协议。当OSPF网络扩展到100、500甚至上千个路由器时,路由器的链路状态数据库将记录成千上万条链路信息。为了使路由器的运行更快速、更经济、占用的资源更少,网络工程师们通常按功能、结构和需要把OSPF网络分割成若干个区域,并将这些区域和主干区域根据功能和需要相互连接,从而达到分层的目的。
OSPF的特性:使用了区域的概念,支持无类路由,完全支持超网,可变长子网等无类特性,支持较大型的网络,收敛速度快,使用组播地址来进行信息互通,支持使用多条路径的效率更高的等价负载均衡,安全性高。
目前所有骨干路由器都在一个骨干区域area 0内。
泰达有线电视网络有限公司IP骨干网是开放式的网络,所以我们需要在OSPF中配置加密认证,防止外界攻击IP骨干网的OSPF。为防止因监听而导致的认证口令泄露的情况,我们采用OSPF中的MD5加密认证方式。
同时,考虑到以后系统的扩容开发,可能会连接一些除Cisco以外的厂商的设备,不能很好的支持OSPF认证或是MD5加密认证方式,我们采用OSPF链路认证方式,没有采用OSPF区域认证方式。
3 IP骨干网的整体安全优化
考虑到IP骨干网承载着多种业务的接入,安全方面的问题便逐渐显现出来,既要保证各种业务流畅的运营,也要考虑到几种业务互不干扰;既要满足各种接入方式的实现,还要保障自身系统的安全性。
网络运营的主要两种业务分别是VOD视频点播以及宽带上网,针对VOD点播,骨干路由器A到B,和A到C各有一条10 GE的光链路,根据不同前端用户的点播请求,利用策略路由将回应用户的视频流指向这两条10 GE链路,也可以说这两条10 GE链路是专门提供视频点播推流的。另外,VOD用户与宽带用户获取的IP地址也不是一个网段的,这样在CMTS头端设备上将两个业务直接区分开。针对VOD点播的特点,它只需要访问特定的几个网段和特定的端口,这样可以针对这些VOD用户的IP地址实施严密的访问控制,以免用户端私接设备对系统造成安全隐患。宽带用户只需要访问Internet就可以了。由此对于这些IP端的用户对VOD系统的访问就可以控制起来了。
在主要业务运行的同时,也有一些增值业务,VOIP和VPN等等。对于VOIP来讲,应该是本网优先级最高的,这样从用户端设备划分好vlan,在CMTS设备区分出来数据流,打上标记,将其优先级提上来,保证用户语音通话的质量。
4 结论
可见IP网络在当今网络时代的确是不可或缺的,IP网络的优势随处可见,快速部署,完善的安全管理,对于数据流的控制相对自由,这样在IP网络中我们可以实现多种多样的业务综合运营。■
2011-05-09
