华为IPTV测试方案.ppt

IPTV业务解决方案 华为技术有限公司 IPTV承载网整体方案 IPTV电信测试总体方案 关键技术 S8500支持灵活的QinQ:用户上网（PC）业务打QinQ标记，外层vlan标识DSLAM，内层vlan标识用户；IPTV业务(STB)vlan在S8500做三层终结； IPTV业务VLAN方案：每一台DLSAM的STB用户划分到同一个VLAN，采用同一个IP网关地址； S8500作为DHCP Relay设备:将STB的DHCP请求单播传至DHCP+ Server，由DHCP+ Server进行用户合法性的检查，若通过认证则分配STB合法的IP地址； S8500防止静态IP假冒：DHCP+ Server进行回应时，由 S8500进行IP+MAC的绑定，杜绝非法用户进行私设IP地址盗用网络资源 多业务家庭网络－PSPT实现接入层高品质 大客户专线接入解决方案 同城VPN互访业务实现 重要业务和VIP用户的QOS保证 正常情况下，网络下行流量往往远大于上行流量； 当上网业务和IPTV业务发生拥塞时，将默认优先保证IPTV的流量； 不仅能根据接入交换机区分出重要用户，还能够根据DSLAM进行区分； 便于网络向VOIP网络升级 IPTV组网的安全性考虑 如何防止不同DSLAM上相同私网VLAN的用户之间互访？ 答：由于不同的DSLAM的上网用户接入到85后分配的公网VLAN ID不 同，因而它们不会实现二层互通。 由于同一DSLAM上的IPTV用户均采用相同VLAN上行至85，如何防止这些STB之间互通？ 答：在DSLAM上有一个称为smart vlan的东东，将组播VLAN设置为smart vlan就可以防止在同一VLAN的STB之间互通。 IPTV组网的安全性考虑 如何防止不同DSLAM上的STB之间互通？ 答：由于smart vlan只在同一台DSLAM上使用才有意义，这样不同DSLAM上的STB就有可能互通。我们可以在85上配置VLAN内端口隔离功能，这样同一个VLAN内两个下行端口将不容许互通，它们只能和上行端口互通。 如何防止用户私设静态IP，收看IPTV？ 答：在85上具有DHCP安全检查机制，只有通过DHCP申请的IP地址才能学到ARP，静态配置IP的用户的ARP请求将会被丢弃。 IPTV组网的安全性考虑 由于DHCP的安全性较弱，如何防止STB用户恶意申请IP地址将IP地址池耗尽？ 答：可以在DSLAM连接STB的端口上将MAC地址数量限制为1个。此外在85上也具有端口MAC地址限制功能。超过MAC地址数量限制的报文将不容许被转发。 如何防止用户收看未经授权的组播频道？ 答：在电信IPTV组网中，有些组播频道是不授权给一般用户收看的。在DSLAM上可以根据PVC或端口号来设置用户收看组播频道的范围。 IPTV组网的安全性考虑 直接通过宽带接入到85的用户，如何防止他们私自假设组播服务器？ 答 ：一般的，电信测自行设置的组播频道是可知的，我们可以在85或DSLAM上设置范围只让用户收看这些组播组的节目。但是如果私自架设的组播服务器的组播也是这个范围的组播组怎么办，非法的节目流将冲击正常的节目流。我们可以在85上配置PIM source-policy，这样只有通过到RP注册的组播流可以下来，其他非法组播流将被过滤。 IPTV测试中出现的新应用 Vlan内端口隔离： IPTV测试中出现的新应用 VLAN translation功能： IPTV测试中出现的新应用 基于VLAN的限速功能： 可以针对某项业务或某个VPN实现QACL操作，这往往是端口QACL实现不了的。 IPTV会聚交换机还应具备的测试项 作为一台处于会聚层的IPTV交换机，它还应具备下列功能: * BRAS 城域网 DSLAM 上网 RTU L2 上网 STB HG STB 城域CS ES ES 汇聚交换机、组播交换机 DCHP Server 上网认证 IPTV认证 上网采用PPPoE认证 IPTV采用DHCP认证 SR 采用DSLAM作为组播控制点和复制点 可采用组播交换机或末端交换机作为组播控制点和复制点 可采用PPPoE或DHCP认证 初期可采用BAS做组播复制 控制力更强，安全性更好 QOS保障好 汇聚交换机需要双上行 SR分担对BAS的要求和压力 IPTV只能采用DHCP认证 需保障IPTV业务安全 IPTV采用PPPoE认证 上网采用PPPoE认证 BRAS QinQ QinQ S8500 S6500/S8500 S300