华为技术有限公司IPTV业务解决方案2IPTV承载网整体方案BRAS城域网DSLAM上网RTUL2上网STBHGSTB城域CSESES汇聚交换机、组播交换机DCHPServer上网认证IPTV认证上网采用PPPoE认证IPTV采用DHCP认证SR采用DSLAM作为组播控制点和复制点可采用组播交换机或末端交换机作为组播控制点和复制点•可采用PPPoE或DHCP认证•初期可采用BAS做组播复制•控制力更强,安全性更好•QOS保障好•汇聚交换机需要双上行•SR分担对BAS的要求和压力•IPTV只能采用DHCP认证•需保障IPTV业务安全IPTV采用PPPoE认证上网采用PPPoE认证BRASQinQQinQS8500S6500/S8500S3000/S2000EI3IPTV电信测试总体方案DSLAM上网RTUSTBIPTV采用DHCP认证PC上网采用PPPoE认证QinQ终结S8500SRBRASDCHP+ServerInternetVOD服务器BTV前端IP城域网QinQ。。。DSLAM4关键技术S8500支持灵活的QinQ:用户上网(PC)业务打QinQ标记,外层vlan标识DSLAM,内层vlan标识用户;IPTV业务(STB)vlan在S8500做三层终结;IPTV业务VLAN方案:每一台DLSAM的STB用户划分到同一个VLAN,采用同一个IP网关地址;S8500作为DHCPRelay设备:将STB的DHCP请求单播传至DHCP+Server,由DHCP+Server进行用户合法性的检查,若通过认证则分配STB合法的IP地址;S8500防止静态IP假冒:DHCP+Server进行回应时,由S8500进行IP+MAC的绑定,杜绝非法用户进行私设IP地址盗用网络资源5宽带接入网家庭网络接入网骨干网TVSTBRTUPC1:STB启动后发DHCP请求PC采用PPPOE认证(user@data)InternetVPNDHCPServer3:根据DHCPOPTION82选项确定用户是否合法,合法则分配IP地址VideoVPNDSLAM/L2BRAS2:将用户的位置信息(端口/PVC/VLAN等)增加到DHCP82选项4:igmp组加入;igmp-snooping功能;防止用户私自设置静态IPSTB终端零配置,符合电视用户使用习惯,业务逻辑顺畅,扩展性较好BAS无需处理IPTV业务,负荷低;用户管理/控制能力较弱,需要DSLAM/L2设备支持DHCPOption82,需要部署DHCPServer(支持DHCPOption82),并进行策略控制扩展。STB接入认证—DHCPS850061.多业务终端配置多条PVC/VLAN与不同业务接入的端口绑定,实现PSPT;2.多业务终端根据端口对应的业务保证语音/视讯业务优先转发,同时配置802.1P优先级标记,从而实现PSPT(PerServicePerTunnel);3.多业务终端同时解决了家庭多个业务终端的接入问题。STB宽带上网视频电话MTSIPDSLAMAccessNetworkSWITCHSTB宽带上网视频电话MTSAolynk系列•多PVC与端口绑定有效支持业务隔离•优先级队列调度能力Aolynk系列•VLAN有效支持业务隔离•优先级队列调度能力引入家庭网关设备TS1505L替代HUB:一个100M上行口,4个10/100M下行口引入家庭网关设备DR814Q替代RTU:一个ADSL2+上行口,4个10/100M下行口PVC1PVC2PVC3VLAN1VLAN2VLAN3多业务家庭网络-PSPT实现接入层高品质PSPT(PerServicePerTunnel)7大客户专线接入解决方案BRASSTBHG城域CSESPC上网QinQS8500楼宇或园区接入交换机InternetDCHPServer大客户接入8同城VPN互访业务实现BRAS城域网HGL2上网STBHGSTB城域CSESESBRASQinQQinQS8500S8500S3000/S2000EIDCHPServerS3000/S2000EI上网VPNAVPNA9重要业务和VIP用户的QOS保证•正常情况下,网络下行流量往往远大于上行流量;•当上网业务和IPTV业务发生拥塞时,将默认优先保证IPTV的流量;•不仅能根据接入交换机区分出重要用户,还能够根据DSLAM进行区分;•便于网络向VOIP网络升级上网业务S8500组播业务上网业务S8500VIP上网业务10IPTV组网的安全性考虑如何防止不同DSLAM上相同私网VLAN的用户之间互访?答:由于不同的DSLAM的上网用户接入到85后分配的公网VLANID不同,因而它们不会实现二层互通。由于同一DSLAM上的IPTV用户均采用相同VLAN上行至85,如何防止这些STB之间互通?答:在DSLAM上有一个称为smartvlan的东东,将组播VLAN设置为smartvlan就可以防止在同一VLAN的STB之间互通。11IPTV组网的安全性考虑如何防止不同DSLAM上的STB之间互通?答:由于smartvlan只在同一台DSLAM上使用才有意义,这样不同DSLAM上的STB就有可能互通。我们可以在85上配置VLAN内端口隔离功能,这样同一个VLAN内两个下行端口将不容许互通,它们只能和上行端口互通。如何防止用户私设静态IP,收看IPTV?答:在85上具有DHCP安全检查机制,只有通过DHCP申请的IP地址才能学到ARP,静态配置IP的用户的ARP请求将会被丢弃。12IPTV组网的安全性考虑由于DHCP的安全性较弱,如何防止STB用户恶意申请IP地址将IP地址池耗尽?答:可以在DSLAM连接STB的端口上将MAC地址数量限制为1个。此外在85上也具有端口MAC地址限制功能。超过MAC地址数量限制的报文将不容许被转发。如何防止用户收看未经授权的组播频道?答:在电信IPTV组网中,有些组播频道是不授权给一般用户收看的。在DSLAM上可以根据PVC或端口号来设置用户收看组播频道的范围。13IPTV组网的安全性考虑直接通过宽带接入到85的用户,如何防止他们私自假设组播服务器?答:一般的,电信测自行设置的组播频道是可知的,我们可以在85或DSLAM上设置范围只让用户收看这些组播组的节目。但是如果私自架设的组播服务器的组播也是这个范围的组播组怎么办,非法的节目流将冲击正常的节目流。我们可以在85上配置PIMsource-policy,这样只有通过到RP注册的组播流可以下来,其他非法组播流将被过滤。14IPTV测试中出现的新应用•Vlan内端口隔离:DSLAM8505BRASVlan10011002302DSLAMVlan101-300,301SRMutiserverVlan101-300,30115IPTV测试中出现的新应用•VLANtranslation功能:Vlan1008505-18505-2公司AVlan10/100Vlan1008505-3Vlan20/100城市A城市B分公司A16IPTV测试中出现的新应用•基于VLAN的限速功能:可以针对某项业务或某个VPN实现QACL操作,这往往是端口QACL实现不了的。AVlan20100MBVlan20100MCVlan2050M8505-117IPTV会聚交换机还应具备的测试项作为一台处于会聚层的IPTV交换机,它还应具备下列功能: