中国联通宿迁市分公司 江苏宿迁 223800
摘要:组播技术实现了网络中点到多点的高效数据传送,它能够有效地节约网络带宽、降低网络负载,所以在IPTV、实时数据传送和多媒体会议等诸多方面都有广泛的应用。本节简要介绍如何构建更安全可靠的IPTV组播网络。
关键词:IPTV;组播;安全
1可能出现的安全可靠性因素
IP组播网络可能出现的不可靠因素主要有RR的安全性、组播源的安全性、DR的安全性、网络协议收敛速度、外来的安全性风险等。
2网络优化方案
2.1解决RP的安全可靠性问题
2.1.1静态单个RP方案
PIM-SM模式下默认静态RP只能配置1个。这种结构是最简单的、风险性也是最大的。一旦RP故障,整个域会全阻。对运营网络来说,这种方案是不可取的。
2.1.2静态多个RP方案
PIM-SM模式下也可配置多个静态RP。这里多个RP必须分别负责不同的组播组,不能互为备份。这种方案是以多台RP分担了单台RP的工作量,降低了因业务量大造成的RP故障风险。但某个RP故障,其负责的部分组播组还是会出现阻断。但故障影响的范围减少了。
2.1.3动态多个RP方案
PIM-SM模式支持配置多个动态RP。动态RP通过配置多个C-RP和C-BSR,从C-BSR中选举出BSR,再从C-RP中选举产生RP。BSR:收集C-RP信息,帮助选举RP。这样当某个RP故障时,可以选举出其他的C-RP继任为RP。这种方案解决了单个RP引起大范围故障的问题。但这种方案下同时只有一个RP在工作,可能造成单台RP业务负荷较大,无法实现RP间的负载分担,设备利用率低。
2.1.4 Anycast RP方案
Anycast RP是在PIM-SM模式下利用MSDP协议实现的。RP可以配置为静态,也可配置为动态。出于减少设备负荷的考虑,建议使用静态方式。以静态为例,在同一PIM-SM域内设置多个具有相同地址的RP,在这些RP之间通过建立MSDP对等体的方式共享组播数据源信息,由于接收者DR和数据源DR分别会选择距离自己最近的RP,因此保证多台RP到前两者的开销值相同,就可以实现RP的负荷分担和互为冗余备份。
2.1.5 Anycast RP方案的实现
一般情况下,由于城域网的2台CR配置比较高,同时到所有DR都有多条等价路由,比较适合作为RP来使用。配置方法:2台CR原有的Loopback0地址互相建立MSDP对等体关系,实现互相交换组播源信息。2台CR各新加1个Loopback1地址作为RP地址(要保证一样),将这个接口地址发布并配置pim sm。在所有PIM-SM路由器上配置这个RP地址为静态RP。
.png)
2.2解决组播源的安全可靠性问题
2.2.1组播源可能存在的方式
组播源S和组播源DR安装于同一位置点、组播源S 为2台TV_Relay服务器、组播源DR为2台S9312三层交换机、组播源S和组播源DR都采用双机热备方式,虚拟为一台使用,降低了故障发生的几率。由于安装在同一地点,不可避免存在着有可能因为电源、线路原因造成双机同时故障的可能性。
2.2.2城域网AS内设置2个组播源的方案
为提高安全性可以考虑新增一套组播源S和组播源DR,组播源DR和RP间采用口字形连接方式,通过合理配置开销值,使每台RP就近选取组播源,实现业务分担。如考虑节省投资,可以将原有双机热备取消,分离后独立为2套使用。需考虑新增位置点的电源容量,及2个位置点间的传输资源。分离方案投资较少,但需考虑割接过程中的故障风险。
.png)
2.2.3跨AS设置冗余组播源的方案
为减少城域网的投资,在城域网视频源负荷不高时,可以考虑在省网新增1套组播源作为所有市级组播源的备份。通过配置跨域的MSDP对等体,省RP将省组播源的(S2,G)信息传递给市RP。市RP将获取到(S1,G),(S2,G)2组信息,其中S1距离近作为主用,S2距离远作为备用。S1和S2上的组播组G要完全一致。在配置MSDP对等体时,需同时配置MBGP组播协议对等体。为进一步减少投资,在城域网视频源负荷不高时,可以考虑在城域网组播源之间互为备份。
.png)
.png)
2.3解决接收者DR的安全可靠性问题
2.3.1在接收者侧设置多个DR
接受者DR实际是用户接入的BRAS设备。如果城域网部分区域配置了主备双BRAS的单播接入方案,可以在此基础上设置双DR的组播解决方案。具体实现方法是,在双DR的下行口上使用相同的组播VLAN,并启用PIM SM协议即可。DR间将通过PIM协议选举出当前的DR,选举规则:首先看DR优先级,其次看接口IP,大的当选。
2.3.2接收者有多个备选DR时配置切换延迟
多台备选的接收者DR处于同一共享网段时,通过DR选举选出其中一台DR为当前的接收者DR,负责接收者的组播数据转发。如果出现新的备选DR上线,而且被选举为DR,原来的DR将变为非DR,默认情况下非DR将立刻停止组播数据的转发,但由于此时新DR的组播数据还未到达,会出现短暂的组播数据断流。在相关接口上配置DR切换延迟后,当某个DR变为非DR时,该接口在延迟时间内会继续转发组播数据。该非DR在延迟期间内一旦新DR转发的组播数据,将立刻停止转发组播数据,从而保证不会出现重复数据流的现象。
部署方法:在DR的下行口上配置。pim timer dr-switch-delay X:X为延迟时间。
2.4解决网络协议收敛速度问题
2.4.1利用BFD配置PIM网络快速收敛
BFD(Bidirectional Forwarding Detection)是一个用于连通性检测的通用协议,其检测原理是在两个设备间建立BFD会话,并周期性互相发送BFD检测报文,如果一方在检测周期内没有收到BFD检测报文,则认为设备间路径发生故障。相比PIM协议本身的秒级别的慢Hello机制,BFD能够提供毫秒级的快速检测机制,实现故障快速发现、路径快速切换和路由快速收敛。BFD for PIM能够在毫秒级内检测PIM邻居间的链路状态,快速重新构建组播路径树。部署方法:在配置了PIM SM协议的端口上配置。pim bfd enable:启用BFD for PIM pim bfd min-tx-interval X min-rx-interval Y detect-multiplie Z:X、Y为发送和接受时间间隔,Z为检测次数,以上参数链路两端保持一致。
2.5防止外来的安全性风险
2.5.1安全性配置
源地址过滤:通过配置ACL,组播设备只转发源地址属于过滤规则范围内的组播报文。
组播组地址过滤:通过配置ACL,组播设备只转发组播组地址属于过滤规则范围内的组播报文。组播源注册报文过滤:通过配置ACL,RP只接受和规则匹配的注册报文,防止非法注册报文攻击。PIM邻居过滤:为了防止与其它未知设备建立PIM邻居,特别是阻止未知设备成为DR,接口只与符合过滤规则的地址建立邻居关系。用户过滤:通过建立用户设备MAC地址白名单的方式,只接受白名单中设备发起的组播组加入请求,从而防止非法用户的加入。
避免非必要配置:DR设备与接收者之间使用的是IGMP协议,正常情况下无需使能PIM协议,避免因恶意主机模拟发送PIM Hello报文,有可能导致的DR设备故障。
参考文献:
[1] 华为组播技术资料、宿迁联通城域网优化方案
作者简介:
郭鹏程,性别:男;出生年月:1977.09;毕业日期:2002.7;毕业院校:重庆邮电学院;学历:大学本科;工作单位:中国联通宿迁市分公司;当前职务:主管;当前职称:工程师(中级)。