廣播電視網(wǎng)絡(luò)多業(yè)務(wù)多系統(tǒng)隔離和維護(hù)

姜強(qiáng)華

摘 要 隨著廣播電視網(wǎng)絡(luò)不停的發(fā)展，網(wǎng)絡(luò)內(nèi)多業(yè)務(wù)多系統(tǒng)并存的現(xiàn)象越來越普及，為有效保障業(yè)務(wù)運(yùn)行，提高安全等級(jí)，避免不同業(yè)務(wù)之間的干擾而造成網(wǎng)絡(luò)安全故障，廣播電視承載網(wǎng)絡(luò)內(nèi)使用VPN-INSTANCE做業(yè)務(wù)隔離。本文介紹VPN-INSTANCE在廣播電視網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)隔離與作用。

關(guān)鍵詞 廣播電視網(wǎng)絡(luò)；承載網(wǎng)絡(luò)；安全；業(yè)務(wù)隔離

中圖分類號(hào) G2 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2017）189-0031-01

隨著廣播電視網(wǎng)絡(luò)的日益發(fā)展，網(wǎng)絡(luò)內(nèi)部多業(yè)務(wù)多系統(tǒng)并存的現(xiàn)象越來越普遍，單純運(yùn)用傳統(tǒng)路由器很難完成局域網(wǎng)中不同業(yè)務(wù)的完整隔離。LAN中業(yè)務(wù)隔離的傳統(tǒng)辦法有兩種：應(yīng)用VLAN隔離業(yè)務(wù)，將用戶劃分在一個(gè)獨(dú)立的VLAN中或者應(yīng)用CE設(shè)備隔離業(yè)務(wù)，為每個(gè)用戶部署一個(gè)獨(dú)立的CE路由器。這些業(yè)務(wù)應(yīng)用在廣電業(yè)務(wù)中有許多能通過VLAN隔離，一旦涉及到多業(yè)務(wù)應(yīng)用就需要多CE路由器就會(huì)對(duì)廣電網(wǎng)絡(luò)來說大量資金投入，這些投入既需要大量金錢投入，又需求更多的網(wǎng)絡(luò)管理工作和用戶站點(diǎn)部署。如何把錢花在刀刃上成為一個(gè)讓人頭疼的問題，既要減少設(shè)備投入，又要業(yè)務(wù)安全隔離互補(bǔ)干擾。在這里筆者給大家介紹一下VPN-INSTANCE在廣電承載網(wǎng)絡(luò)中的應(yīng)用與維護(hù)。

1 Vpn實(shí)例在廣電網(wǎng)絡(luò)中的作用

廣電網(wǎng)絡(luò)近幾年發(fā)展迅猛，接入網(wǎng)設(shè)備從WiFi、cmts、pon、eoc或者ipqam等設(shè)備五花八門，終端設(shè)備有pc、pad、stb等業(yè)務(wù)類型復(fù)雜多樣。相對(duì)應(yīng)的核心網(wǎng)絡(luò)在對(duì)前端接入設(shè)備只是分配ipv4的地址，完成設(shè)備的互聯(lián)互通。當(dāng)核心網(wǎng)絡(luò)發(fā)展到一定程度負(fù)責(zé)維護(hù)網(wǎng)絡(luò)的人員就會(huì)發(fā)現(xiàn)，在核心網(wǎng)絡(luò)層上各個(gè)ipv4的地址都是在同一個(gè)動(dòng)態(tài)地址路由轉(zhuǎn)發(fā)表里面，或ospf發(fā)布、或靜態(tài)路由插入。假設(shè)說一個(gè)用戶從上網(wǎng)終端設(shè)備獲取到dhcp分配的ipv4地址后，不用pppoe撥號(hào)就能ping通自己機(jī)頂盒ipv4地址，或者其他人獲得的ipv4終端地址。其互聯(lián)互通的特性必將導(dǎo)致安全方面的問題，如果發(fā)生病毒、入侵等安全事件，廣電網(wǎng)絡(luò)就會(huì)完全暴露在攻擊中。筆者認(rèn)為廣電網(wǎng)絡(luò)中的用戶所使用的大量應(yīng)用會(huì)存在某些不穩(wěn)定的因素，與其要求客戶端的安全，不如在核心設(shè)備一側(cè)將業(yè)務(wù)隔離。

2 Vpn實(shí)例極簡配置與技術(shù)細(xì)節(jié)

Vpn-instance（vpn實(shí)例：俗稱虛擬化技術(shù)中的一虛多技術(shù)窮人版）在bgp＼Mpls vpn中，不同的vpn之間路由隔離經(jīng)過vpn-instance完成。Pe（匯聚層設(shè)備）為每個(gè)直接的站點(diǎn)樹立并維護(hù)獨(dú)立的vpn-instance。Vpn-instance包含獨(dú)立的路由表和轉(zhuǎn)發(fā)表。使用vpn-instance可以在一臺(tái)路由器上虛擬出多臺(tái)獨(dú)立邏輯的路由器，從而實(shí)現(xiàn)廣電網(wǎng)絡(luò)IP三層網(wǎng)絡(luò)路由隔離。這一功能可以在廣電網(wǎng)絡(luò)環(huán)境中得到應(yīng)用，將不同的業(yè)務(wù)分配到不同的vpn-instance中直到外網(wǎng)防火墻、bars等終結(jié)地址設(shè)備。完成從業(yè)務(wù)終端到核心一整條鏈路的業(yè)務(wù)二、三層隔離。

#

ip vpn-instance ipvpn （生成vpn-instance實(shí)例）

ipv4-family （生成采用ipv4）

route-distinguisher xxxx：xxx （生成路由標(biāo)識(shí)符）

vpn-target xxxx：xxx export-extcommunity （vpn實(shí)例輸出標(biāo)簽）

vpn-target xxxx：xxx import-extcommunity （vpn實(shí)例輸入標(biāo)簽）

#

interface Vlanif xxxx （三層VLAN接口xxxx）

ip binding vpn-instance ipvpn （綁定vpn實(shí)例）

ip address xxx.xxx.xxx.xxx 255.255.255.252

ospf xxx vpn-instance ipvpn （vpn實(shí)例中發(fā)布o(jì)spf）

import-route static （允許靜態(tài)地址插入）

area 0.0.0.0

network xxx.xxx.xxx.xxx xxx.xxx.xxx.0

network xxx.xxx.xxx.xxx 255.255.255.252

ip route-static vpn-instance ipvpn xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx

（vpn實(shí)例中靜態(tài)路由）

3 Vpn-instance案例

正常情況下數(shù)據(jù)互不干擾，各自運(yùn)行。

發(fā)生網(wǎng)絡(luò)攻擊時(shí)候的數(shù)據(jù)走向：

圖1

由于dhcp分配的地址所屬各自業(yè)務(wù)都在同一張ospf網(wǎng)絡(luò)內(nèi)，理論上都是互聯(lián)互通的，黑客攻擊可以通過ddos、arp等方式攻擊網(wǎng)絡(luò)。如圖所示：area102許多用戶獲取不到正確的IP地址，area100網(wǎng)絡(luò)arp攻擊訪問不了出口網(wǎng)絡(luò)。由于網(wǎng)絡(luò)的聯(lián)通性，很難查找到攻擊源在哪里，只能通過故障現(xiàn)象發(fā)現(xiàn)某一區(qū)域有用戶故障，從而導(dǎo)致業(yè)務(wù)處理時(shí)間延長。

運(yùn)行vpn-instance后每臺(tái)邏輯上的路由器都具有自己的路由表與轉(zhuǎn)發(fā)表，完成不同vpn-instance間的IP地址通信。綁定在vpn-instance下的端口轉(zhuǎn)發(fā)與其一致的報(bào)文的對(duì)端設(shè)備通信，當(dāng)發(fā)生不同接口報(bào)文接錯(cuò)時(shí)，則該路徑被視為故障鏈路。筆者還認(rèn)為vpn-instance虛擬化技術(shù)能將一臺(tái)物理路由器虛擬成多臺(tái)邏輯路由器，從而減少設(shè)備數(shù)量，簡化網(wǎng)絡(luò)管理，減少運(yùn)維人員成本。

4 結(jié)論

雖然vpn-instance能實(shí)現(xiàn)虛擬化技術(shù)，網(wǎng)絡(luò)三層隔離。但并不是所有的設(shè)備都支持該功能。并且一個(gè)ospf進(jìn)程只能屬于一個(gè)vpn-instance，一個(gè)vpn-instance下可以存在多個(gè)ospf進(jìn)程，但在多ospf進(jìn)程下會(huì)導(dǎo)致動(dòng)態(tài)路由環(huán)路的情況

發(fā)生。

參考文獻(xiàn)

[1]李濤，胡世欣.有線電視接入網(wǎng)絡(luò)雙向改造技術(shù)探討[J].產(chǎn)業(yè)與科技論壇，2011（16）.

[2]李衛(wèi)國，郎坤.NGB內(nèi)容分發(fā)網(wǎng)絡(luò)技術(shù)研究[J].中國有線電視，2013（1）.