引言： 在三网融合加速推进和4K产业链趋于成熟的形势下，各电信运营商都在积极探索新的IPTV业务运营模式。以甘肃电信为例，为丰富节目内容并且形成竞争格局，先后引入了多家服务提供商(以下简称SP)向用户提供视听业务，若继续沿用原有SP直接互连IPTV平台的方式，在路由控制、网络可靠性和维护便捷性方面都将出现问题。

在三网融合加速推进和4K产业链趋于成熟的形势下，各电信运营商都在积极探索新的IPTV业务运营模式。

以甘肃电信为例，为丰富节目内容并且形成竞争格局，先后引入了多家服务提供商(以下简称SP)向用户提供视听业务，若继续沿用原有SP直接互连IPTV平台的方式，在路由控制、网络可靠性和维护便捷性方面都将出现问题。为此，公司新购两台S9306交换机，采用OPSF多进程和路由策略技术，实现了各SP与IPTV平台的按需互通、各SP不可互通的需求，形成了自动负载分担和冗余备份的格局；同时新购两台Secpath M9000 防火墙，采用SCF集群技术虚拟为一台防火墙，既简化了防火墙配置，又实现了负荷分担，满足了多SP对接IPTV平台的经济性、灵活性和安全性需求。

原有SP与IPTV平台网络互连情况及问题

图1 单SP接入IPTV平台网络拓扑

SP负责提供节目源，IPTV平台负责实现节目内容的分发、存储、播放及用户的管理。各SP一般都有自己的EPG，供用户浏览检索节目，此外各个SP大都通过总部向驻地下发EPG和影视节目，SP驻地要将影视节目的工单信息传给当地播出管理机构进行审核，审核通过后由IPTV平台根据工单信息从SP驻地获取媒体文件和描述信息，再由IPTV平台向点播用户进行播放。甘肃电信此前采用了两个厂商的IPTV平台，分别服务于不同地域的用户。

可以看出，SP有总部与驻地互通、驻地与当地播出管理机构、驻地与两个IPTV平台和IPTV用户进行数据交换的需求，而各个SP之间并无通信需求。在只有一家SP时，采用专线电路方式和静态路由方式实现与相关各方的连接和互通。

这种组网方式在只有一家SP对接IPTV平台时是可行的，但当引入多家SP时将面临以下问题：一是每个SP都要铺设或占用到相关系统的传输链路，加剧了原本紧张的光纤资源；二是播出管理机构、IPTV 平台的两台负荷分担的交换机针对内部的服务器启用了VRRP，采用静态路由实现链路保护和路由控制时比较复杂，且容易造成故障；三是一些规模较小的SP对总部与驻地之间昂贵的专线电路租费望而却步，单独采购防火墙也存在配置管理不统一的问题，有较大的安全风险。

IPTV内容汇聚网络规划设计

1.物理拓扑设计

新增两台S9306设备定位为IPTV内容汇聚平台，与IPTV平台、播出管理机构等形成口字型拓扑；各个SP驻地就近以裸纤直连的方式与两台S9306形成口字型连接，实现各个SP经过S9306与相关系统作对接传输工单信息和内容流入。

图2 IPTV内容汇聚网络拓扑设计

新增两台EUDEMON1000E防火墙采用集群模式形成一台虚拟防火墙，向上连通IP城域网省中心节点，向下以口字型对接两台S9306交换机，在公网环境下利用防火墙安全策略实现各个SP驻地与总部传输节目信息和省内IPTV用户访问SP的EPG的通信需求。为便于维护，在设备互连时保持接口占用一致性，如两台S9306的Gi4/0/1分别连接CP1的两台交换机的Gi0/1口；为增强两台设备互连带宽，在两台S9306之间采用e-trunk链路捆绑技术扩展带宽，划分子接口为各个SP、播出管理机构和IPTV平台形成逻辑上的独立的备用链路。新的网络拓扑示见图2。

2.IP地址规划

为SP规划16个C的私网IP地址10.x.240.0/20，对大型SP分配半个C的私网IP地址，对小型SP分配1/4个C的IP地址。为便于各SP的网络平滑扩展，要求各SP用从起始IP地址开始预留32个IP地址用于网络设备管理IP地址、链路互连等用途，对剩余IP地址按照服务器功能划分网段，并使用VRRP协议在各SP的交换机与服务器之间形成冗余保护。从IP城域网申请一个C的公网IP地址，对各个SP驻地需要与外部通信的服务器进行IP地址NAT映射，并设置严格的白名单策略控制外部网络对SP驻地服务器的访问。

3.路由协议规划

OSPF router-id采用S9306和M9000设备的loopback IP，统一配置为area 0，各OSPF接口启用MD5加密，加密字符串由我公司统一确定,在S9306上对每个方向的系统启用一个OPSF进程进行对接，各OSPF进程关联S9306的外联链路接口网段及S9306上互连子接口的网段，各SP交换机的OSPF进程关联外联S9306链路的接口网段、互联VLAN接口的IP地址网段和相应的业务网段IP地址段，对每个SP系统形成口字型ospf闭环。规划SP与S9306互连链路的cost为1000，两台S9306互连链路的cost为2000,SP内部两台交换机互连cost为15000。IPTV平台、播出管理机构及M9000防火墙都做类似OPSF协议配置。

4.安全管理规划

在路由引入时实行路由白名单控制，由M9006向交换机引入各个SP总部和省内IPTV用户的明细路由，由S9306通过路由策略将相关进程的明细路由通过路由策略引入到SP所在的进程，或者将SP的路由引入到播出管理机构或IPTV平台，实现灵活可控的按需互通策略，避免诸如各个SP互通的可能性。各个SP和IPTV平台、播出管理机构在交换机上实施严格的ACL白名单策略，进一步提高各个系统的安全性。删除S9306和M9000上缺省的用户名和密码，统一新建专用的本地应急管理员帐号，设置telnet ACL仅允许网管中心登陆设备；将设备纳入4A堡垒机系统实现维护操作的集中认证、授权和记帐功能。开启SNMP V2协议并设置SNMP的团体字和ACL列表，仅允许网管中心对设备进行SNMP轮询。

主要部署过程

1.S9306上OSPF协议及路由策略设置过程示意，以某个SP举例如下，其它类似。同时，考虑到在网业务安全，特对相关IP地址中的第2位的值用x进行了代替。

首先，在S9306-1上设置互连SP1的接口IP地址并配置cost。其次，在S9306-1上设置互连S9306-2的子接口IP地址并配置cost。然后，在S9306-1上设置要引入到SP1的路由前缀和路由策略。最后，在S9306-1上针对SP1配置OSPF协议并将相关各系统的明细路由引入该SP。

同理，在完成S9306-2的相关协议配置后，SP1与S9306之间将建立起ospf邻居，并且能够收到两个IPTV平台、播出管理机构的明细路由。由于OSPF闭环根据cost值优先选出直连链路作为主用路由装入路由表，并将经过互连链路再到对方的 链路作为次优路由，一旦主用路由由于链路失效，备用路由即时生效，实现无间断传输。

2.在M9006防火墙上完成相关IP地址映射和安全策略设置，实现可信外部IP地址段与SP驻地相关服务器的按需互通。由于防火墙为集群模式，设备已经通过集群协议完成了大部分双机配置工作，只需按照单台防火墙完成相关安全策略设置即可。这里以其中某个SP的一个需要与外界通信的服务器为从例，演示主要配置过程，省略了诸如对接S9306的OSPF协议配置等。

首先，设置服务器的内网IP地址。其次，对允许访问该服务器的端口进行设置，这里开放了与总部通信的特殊端口和SSH端口，也开放了PING测试，便于调测过程中进行测试。

然后，设置策略，将该服务器的IP地址与开放的服务端口进行关联。接着，在M9006的上联接口处进行NAT映射，使外部网络可通过外部IP地址访问到内网中的服务器。这里将M9006上联口定义为非信任区。下面将M9006互连S9306的接口定义为名为IPTV_SP的区域。然后设置域间策略，允许内部服务器访问任意外网，最后设置域间策略，仅允许外部网络访问符合前述定义的安全策略的服务器的相应端口。

效果验证

IPTV内容源汇聚网络建成后，在对S9306交换机和防火墙断开任意链路或任意一台设备的情况下，各SP驻地与相关系统的通信完全正常；同时在各个SP之间尝试连通性，确认无法互通，该网络功能达到预期，性能良好，为IPTV业务运营奠定了坚实基础。