摘 要：隨著IPTV業(yè)務在城域網(wǎng)上部署和發(fā)展，引入了新的安全風險，文章對這些風險進行了綜合分析，提出了IPTV承載網(wǎng)安全加固建議。

關鍵詞：IPOE；認證方式；新業(yè)務；PPPOE；DHCP

1 背景

隨著城域網(wǎng)寬帶業(yè)務的發(fā)展，可運營、可管理的網(wǎng)絡建設理念已經(jīng)深入人心。采用動態(tài)IP地址，每用戶帶寬控制的PPPOE設備已經(jīng)成為電信運營商主要的接入方式。隨著IP網(wǎng)上新業(yè)務的迅速發(fā)展，人們產(chǎn)生了所有智能設備聯(lián)網(wǎng)的需求、移動高速上網(wǎng)的需求、有保障可控視頻的需求。隨著提供業(yè)務的多樣化，用戶認證方式作為可運營、可管理的核心，受到包括運營商、制造商的密切關注。目前核心認證技術主要包括IPOE和PPPOE，兩種應用都比較成熟，并在當前的網(wǎng)絡建設中獲得大規(guī)模商用。下面首先對這兩種認證方式進行全面的分析比較，然后提出多業(yè)務承載對于認證技術的需求，最后討論IPOE認證技術在部署時需要注意的地方。

2 PPPOE與IPOE比較

PPPOE相關標準則是在1999年的RFC2516-A MethOd fOr Transmitting PPP Over Ethernet （PPPOE）中明確定義的[1]。PPPOE認證的不足之處在于認證機制比較復雜，對設備處理性能、內(nèi)存資源需求較高；需要在用戶終端上安裝客戶端程序；組播支持方面，采用PPPOE方式認證時，組播復制點只能選擇在BRAS設備上。

IPOE認證的推出是在2006年，不需要在用戶終端上安裝任何客戶端程序，不需要輸入用戶名和密碼，非常適合新型網(wǎng)絡設備。由于省去了PPP封裝和多余的交互過程，IPOE具備以下諸多優(yōu)勢：（1）數(shù)據(jù)傳遞上減少了多余的字節(jié)，提高了網(wǎng)絡傳輸效率；（2）使直播節(jié)目復制可以從SR/BRAS下移到接入設備上，緩解接入設備的上聯(lián)流量壓力；（3）采用DHCP方式建立會話，無論是會話建立的過程還是會話的維持都非常簡捷，更加適合大容量的用戶接入；（4）IPOE實際上是一種無連接的用戶會話接入方式，非常適合于像NGN電話、視頻監(jiān)控等需要24小時長接在線的業(yè)務；（5）采用DHCP方式建立會話，合理設置租期，可以實現(xiàn)在SR設備故障、割接、意外重啟后的快速用戶恢復。

3 運營商新業(yè)務對于認證方式的選擇

目前，運營商對于寬帶用戶開展的業(yè)務包括寬帶撥號上網(wǎng)業(yè)務、WLAN業(yè)務、IPTV業(yè)務以及融合視頻OTT業(yè)務。從原則上講，可以采用單一的IPOE方式提供三網(wǎng)融合業(yè)務的綜合接入。但考慮到目前上網(wǎng)業(yè)務已經(jīng)普遍采用PPPOE方式，而PPPOE的局限性更多體現(xiàn)在IPTV等新興業(yè)務上，因此，在三網(wǎng)融合的業(yè)務接入構架中，上網(wǎng)業(yè)務保留PPPOE的接入方式，其它業(yè)務采用IPOE方式的混合接入模式。

對于WLAN業(yè)務，由于很多用戶終端是智能手機，沒有內(nèi)置PPPOE軟件，只能使用DHCP方式。

對于IPTV業(yè)務，考慮到網(wǎng)絡設備投資的經(jīng)濟性，組播復制點越靠近用戶越好，因此DHCP方式更適合。

對于家庭網(wǎng)關等終端管理，要求用戶端設備零配置，用戶端設備上電后就能與管理平臺通信，再由管理平臺下發(fā)配置信息，不需認證計費，DHCP更經(jīng)濟合理。

4 部署IPOE時需要關注的幾個問題

一是VLAN規(guī)劃。由于IPOE方式不再使用用戶名/口令來識別用戶及其業(yè)務類型，因此，用戶接入的VLAN規(guī)劃就非常重要。通過VLAN的劃分，可以有效隔離不同用戶和不同業(yè)務之間的流量，防止未授權的訪問。目前至少要規(guī)劃上網(wǎng)VLAN、視頻（IPTV）VLAN、HGU終端管理VLAN，還要預留VOIP的VLAN。

二是業(yè)務網(wǎng)關設備選擇。運營商現(xiàn)網(wǎng)BRAS設備已經(jīng)承載了大量的寬帶用戶，并且城域網(wǎng)上沒有部署QOS策略，是通過輕載的方式來保證視頻業(yè)務的質(zhì)量。同時考慮到BRAS設備單板處理能力、整機處理能力、LICENSE等情況，選擇SR作為IPTV業(yè)務網(wǎng)關。現(xiàn)階段，HGU的量還比較小，由BRAS作為終端管理的業(yè)務網(wǎng)關。當HGU數(shù)量逐步增多時，還需根據(jù)情況再進行調(diào)整。

三是DHCP server選擇。現(xiàn)網(wǎng)的大部分BRAS/SR設備也支持作DHCP server功能，是選擇網(wǎng)絡設備作DHCP server的分布式部署還是用專用服務器的集中式部署？由于DHCP服務器上參數(shù)很多，因為IPTV平臺擴容、業(yè)務變化等引起的參數(shù)修改較為頻繁，目前適合于集中式的部署，待DHCP技術及業(yè)務穩(wěn)定后，后續(xù)可以考慮分布式部署。

四是不同業(yè)務的DHCP server是否能夠合設。運營商最初的DHCP服務器是為家庭網(wǎng)關管理平臺服務的，用戶數(shù)很少，后來開展IPTV業(yè)務，由于開始是實驗性質(zhì)的，用戶數(shù)也很少，再后來又增加了WLAN業(yè)務，開始也是免費試用。因此三種業(yè)務最初共用了一套DHCP系統(tǒng)。隨著用戶數(shù)量的增加，服務器壓力越來越大，參數(shù)調(diào)整需要考慮的因素也多，因此后來根據(jù)業(yè)務的不同進行了分離，分別建設了DHCP系統(tǒng)。

五是租期T的選擇。對于不通的業(yè)務，考慮節(jié)省投資、節(jié)省IP地址，需要設置不同的租期。對于WLAN業(yè)務，主要考慮WLAN業(yè)務使用的公網(wǎng)IP，目前公網(wǎng)IP地址已經(jīng)非常緊張，而WLAN用戶數(shù)并不多，DHCP服務器壓力也不大，租期設置較短；對于IPTV業(yè)務，使用私網(wǎng)IP地址并且用戶數(shù)多DHCP服務器壓力大，租期應設置較長；對于家庭網(wǎng)關或HGU管理平臺，使用私網(wǎng)地址、用戶數(shù)量大、重要性較低、服務器數(shù)量少可減少投資，可將租期設置的更長。

六是DHCP服務器的組網(wǎng)方式，目前主要是通過四層進行負載分擔還是通過anycast方式進行負載分擔。四層負載分擔方式一般由于DHCP服務器有多臺，四層下面還要帶二層；為了安全性，四層上面還要加2臺防火墻。這種方式一是投資大，增加了防火墻（2臺）、四層（2臺）、二層交換機（2臺）的投資，二是增加了故障點及故障率。建議采用anycast方式。

5 結束語

本文簡要介紹了運營商新業(yè)務開展現(xiàn)狀和IPOE技術的應用。隨著IPTV、OTT、WLAN業(yè)務的快速發(fā)展，用戶數(shù)量快速增長，故障量也日益增多，而DHCP系統(tǒng)作為這些新業(yè)務流程的首要環(huán)節(jié)—IP地址的分配，系統(tǒng)的穩(wěn)定運行起著至關重要的作用，因此對DHCP的工作流程及協(xié)議分析的了解，有助于故障的預防、故障發(fā)生后的快速定位、迅速恢復，為用戶提供滿意的服務。

參考文獻

[1]RFC2516-A Method for Transmitting PPP Over Ethernet （PPPoE）.

[2]RFC 1541 Dynamic Host Configuration Protocol.

[3]RFC 2132-DHCP Options and BOOTP Vendor Extensions.

作者簡介：程學武，男，籍貫：天津，碩士，就職于中國聯(lián)通網(wǎng)絡公司天津市分公司設備維護中心，工程師。