城域网IPTV组播安全部署讲述.pdf

数据通信技术与应用 城域网IPTV组播安全部署 城域网IPTV组播安全部署 城城域域网网IIPPTTVV组组播播安安全全部部署署 冯 峰 （大连联通、116000） 摘 要：当前，IPTV 平台技术和业务模式已经成熟。而EPON技术的成熟和部署，使普通住宅用户的高带 宽接入成为可能。为缓解视频流带宽需求压力，电信运营商在城域网开通组播承载 IPTV 业务中的直播节 目。单播城域网安全已经被充分研究和部署。与单播不同，组播网络中源和加入主机的行为会直接影响组 播路由表，未实施安全部署的组播网络存在很多隐患。本文深入研究了城域网内组播的安全隐患并提出部 署方案。 关键词：城域网 IPTV 组播安全 1．城域网组播承载IPTV部署概况 IPTV的点播业务由单播视频流承载，直播节目由组播流承载，城域网组播采用PIM稀 疏模式，RP部署采用静态或BSR技术。SR下联OLT，用户机顶盒利用DHCP获得IP地址， 与SR运行IGMPV2协议切换组播节目频道。组播域内所有路由器运行PIM2协议，结合IGP 单播路由表构建组播路由表。传统的ADSL目前也承载部分IPTV业务，但由于ADSL接入速 率的限制，难以在ADSL上开展高清视频业务，PPPOE组播流复制点在BAS,IGMP报文也被封 装在PPPOE内发给每一ADSL接入设备，BAS设备负担较重。目前运营商大力推进“光进铜 退”，DSLAM设备逐渐被EPON设备取代。本文研究的用户接入方式为EPON方式。 2.RP安全 组播稀疏模式下RP非常重要，与源直接相连的PIM路由器接收到第一个组播报文后马 上向RP注册（S,G）信息，与用户设备直连的PIM路由器在收到IGMP报告报文时向RP的方 向发送JOIN报文请求组播流，并在接收到第一个组播报文后切换到源树。如果RP障碍，整 个组播域是不能正常工作的。 稀疏模式下的组播域中只能有一个RP，为解决RP的冗余问题，IETF开发了BSR协议。 CISCO开发了AUTO-RP协议，这两个协议都可以动态选择RP，当主RP失效时，其他候选RP 中优先级最高的可以被选为主RP。由于城域网都是异构网络，只有CISCO设备支持AUTO-RP 协议，所以不能部署在组播网络中，但要避免用户设备发送AUTO-RP报文干扰CISCO设备。 MSDP协议本来是为解决不同PIM域间组播互通而开发的（S,G）通告协议，我们也可以利用 MSDP协议在一个组播域内利用RP的ANYCAST方式构建冗余的静态RP。BSR选举的主用RP 失效时，备用RP被选为主用RP的收敛时间长。而采用MSDP方式，主备RP切换的时间就是 IGP收敛时间。我们建议在城域网内采用MSDP的RP冗余方式。 组播网络中，如果不加限制，用户设备也可以运行BSR和AUTO-RP，导致合法RP失效。 我们建议采用MSDP配置冗余RP，SR上与用户直连的接口部署BSR边界，并过滤AUTO-RP 数据通信技术与应用 报文，所有PIM路由器配置采用覆盖（OVERRIDE）方式配置RP。在RP上配置注册过滤，只 允许合法节目源单播地址和合法组播地址注册到RP。 SSM组播域中不需要RP，用户设备发送组播流请求时也指定节目源的单播地址，这个方 式需要用户设备同直连PIM路由器间运行IGMPV3协议，但目前大多的用户机顶盒设备不支 持IGMPV3，可以采用在SR路由器上运行SSM代理在网络中实现SSM，城域网通常为异构网 络，一些厂家的设备不支持SSM代理，不建议采用。稀疏模式下的双向组播技术，RP地址 只是组播流转发的方向，无需注册过程。当前的IPTV组播网络，为加快用户频道切换速度， 提升用户感知，通常采用末端OLT设备预加入组播组的工作方式，即使没有用户请求组播频 道，也将组播流引到OLT设备，在这样的网络中可以采用稀疏模式下的双向组播方式取消 RP需求。 3.组播节目源安全 不加限制的组播网络，用户也可以发出组播流。如果用户发出的组播流与正常节目流的 组播地址和UDP端口都相同，会干扰正常视频的播放，通