IPTV业务隔离技术

       由于IPTV业务的特殊性，IPTV业务的承载应该与其他业务隔离。可以采用专用的物理网络来隔离，也可以采用承载网的一个或多个逻辑网络进行隔离。如果采用逻辑隔离，城域网应支持IP VPN技术；宽带接入网的网络隔离应支持VLAN、PVC或VPLS。

       VPN技术实现了IPTV承载网与其他业务承载网隔离，保证网络安全，而且作为承载网发展演逬的趋势，一个物理网络可以承载不同的业务。目前主流的VPN技术包括：BGP/MPLS IP VPN、Virtual   Router VPN、IPSec VPN.VPLSVPNJPLSVPN、VPWSVPN以及VLAN。除VLAN由IEEE定义以外，其余均由IETF定义。其中BGP/MPL SIP VPN,Virtual RouterVPN和IPSec VPN属于三层VPN技术；VPLS VPN、IPLS VPN、VPWS VPN和VLAN属于二层VPN技术。

       BGP/MPLSIPVPN在IETFRFC2547中定义。PE路由器为每个VPN维护一个独立的转发环境和一个独立的转发表（VRF）。每个VRF都必须与一个和PE相连的站点相关联。PE路由器之间使用MBGP建立iBGP会话连接，分发VPN路由信息。iBGP会话宣告的VPN路由信息中带有和VRF相关的路由区分符（RD）以及路由目标（RT）„RD标识路由地址前缀，使不同VPN站点的地址空间可以重叠。RT控制路由条目到VRF的导入，即VRF只导入带有特定RT值的路由条目。PE路由器之间交换VPN路由信息的同时，为这些VPN路由分配一个MPLS标签。

       PE和CE之间通过可以BGP/RIPv2/OSPF等协议交换路由信息，也可以使用静态路由配置。CE的路由对等实体是与其相连的PE,而不是另外一个CE设备，因此VPN不同站点的设备并不直接交换路由信息。在使用BGP在CE与PE之间交换路由信息时，要求CE和PE属于不同的自治域。CE发出的数据到达PE后，在PE首先为这些数询标记一个从iBGP会话获得的标签。这些数据在骨干网上传送时，釆用通过IGP协议建立的LSP进行转发。

       Virtual Router VPN是一种基于PE设备的三层VPN技术：PE路由器为每个VPN维护一个虚拟路由器，一个PE上可以配置多个虚拟路由器。虚拟路由器（VR）仿真物理路由器的全部功能，包括对物理路由器进行配置、操作、计费以及维护的工具和手段。属于同一个的VPN所有VR使用相同的VPN-ID进行身份标识。VPN上的每个VR都独立运行路由协议的一个实例并维护一张路由转发表，在VR之间以及VR与CE设备之间交换VPN路由信息（VR与CE之间可指定静态路由）。VR±可以运行任何一种现有的路由协议，并且不需要对这些路由协议进行任何扩展或修改。VR之间通过配置二层链路或配置IP或MPLS隧道实现互联。由于VR与VR使用隧道连接，因此VR之间的路由协议与VR所依赖的物理骨干网上运行的路由协议相互独立，并且骨干网上的P路由器不需要保存VPN及VR的信息。同一个PE上的多个VR可以共享同一个骨干VR,通过骨干VR连接他们在其他PE上的对等VR,这避免了在PE之间为每VPN或每VR的建立对等连接。另外，来自于不同VPN的流量也可以汇聚到同一个骨干VR上。

       IPSecVPN是一种基于CE设备的三层VPN技术。基于CE的VPN模型和基于PE的VPN模型的主要区别在于：在基于PE的VPN模型中，PE完成VPN相关的功能，CE不关心正在处理的流量是否归属于某个VPN；在基于CE的VPN模型中，VPN的信息只存在于CE设备，VPN的所有相关操作都在CE±完成，且PE设备不关心当前正在处理的流量是否归属于某个VPN。多个CE设备之间通过IPSec隧道互联。对于CE上的路由进程来说这些IPSec隧道就是一个点到点链路链接。每个CE设备上维护了一个或多个IP¬SecVPN隧道端点。VPN各个站点之间通过这些IPSec隧道分发VPN路由信息并进行数据传送。

       VPLS/IPLSVPN是点到多点的二层VPN技术:VPLS提供了通过包交换网络（如IP网）将多个局域网互联的功能，并使这些通过该方式互联的局域网的行为与同一个局域网的行为相同。PE的功能和二个二层交换机类似，通过检查来自CE的数据帧的目的MAC地址来决定如何对该帧进行转发。CE设备使用LAN接口与一个虚拟骨干网相连。对于CE设备，这个虚拟骨干网就是一组PE（仿真）二层交换机以及一个使用隧道技术建立在IP骨干网上的仿真局域网。对于PE设备，这个仿真局域网就和一个真实的局域网相同。IPLS是VPLS的功能子集，二者的不同点在于IPLS假定CE设备必须是主机/路由器，而不是交换机；IPLS支持ICMP和ARP等，但不支持不含IP包的其他二层数据包UPLS要求同时支持IPv4和IPv6o

       VPWSVPN是一种点到点的二层VPN技术。在VPWS中，CE设备对于用户私有网络来说，表现为一组点到点的虚拟电路。这些虚拟电路是建立在包交换网络上的虚拟链接。虚拟电路的两端分别是一个CE设备。VPWS对数据帧的转发与帧的内容无关。通过CE设备发送到虚拟电路上的数据帧被虚拟电路另一端的CE设备接收。

       VLAN在IEEE802.lq中定义。VLAN技术通过在以太网帧结构中添加标签，将局域网中的流量进行分割。二层交换机对单播、组播以及广播数据的转发仅在同一个VLAN之内进行。VLAN之间的流量因此而受到限制。VLAN技术方便了对主机组（如组成员的加入、退出等）的管理。属于同一组的主机在同一个VLAN中相互通信的方式与这些主机在同一个局域网中相互通信的方式相同。

       将因特网接入网络与IPTV业务传送网络分开，有助于保证IPTV业务的服务质量，解决原有因特网承载IPTV业务带来的带宽不足、缺乏组播支持、缺乏QoS保证、处理能力不足等问题。IPTV业务隔离方式有两种：一是基于业务的隔离；二是基于用户的隔离。IPTV承载网必须支持业务的隔离，在与其他业务隔离的同时，还应支持IPTV组播与单播业务的承载隔离。对用户的隔离主要是在接入节点上进行的。IPTV承载网将内容数据经过传送网送到接入网，并由接入网络完成数据的传输和控制。目前城域网已经实现了因特网接入以及已有的单播业务的承载，要在此基础上承载IPTV业务，主要有两种模型：集成模式和分离模式。

      在集成模式的情况下，IPTV业务和因特网业务同时由宽带城域网络承载，在现有城域网上叠加IPTV内容分发网络，由分发网络将IPTV内容（包括点播类、直播类）预分发到边缘流媒体服务器，再推送到接入网。

       在分离模式的组网情况中-IPTV承载网与因特网物理上分开JPTV业务使用专有的IPTV传送网，两种网络的业务在业务接入控制点上融合。分离模式组网方案可以基于多种设备提供不同的组网方案，运营商可以根据实际需要、实际的规模选择路由器、交换机以及MSTP等设备实现合适的组网方案。对IPTV业务单独组建传送网，便于网络规划和设计，通过MPLS/VPN实现业务的逻辑隔离，并进行流量优化、流量分类、流量管理和调度。

       IPTV宽带接入网络是从城域网络到用户侧的网络,IPTV业务与上网业务在这里融合，主要由接入路由器、以太网交换机、DSLAM和调制解调器等设备组成，负责将各种宽带业务从城域网传送到用户终端设备，同时实现业务权限的控制、业务统计等功能。接入网应支持二层和三层组播技术，以提供组播业务，节省网络带宽。当用户同时使用IPTV业务和宽带上网业务时，用户的STB与PC分别占用不同的PVC,比如STB使用PVC1向DHCP服务器发出接入认证请求；PC使用PVC2向BRAS发出PPPoE接入认证请求。对于ATM-DSLAM,PVC1和PVC2穿透ATM网，分别终结在SR(业务路由器)和BRAS上;对于IP-DSLAM,PVC1和PVC2均终结在IP-DSLAM上,IP-DSLAM将PVC1和PVC2分别映射到VLAN1和VLAN2,VLAN1和VLAN2分别终结在SR和BRAS上。对于STB接入认证，DSLAM转发用户的DHCP(Option60)接入认证，并追加Option82；SR转发用户DHCP(Option60+Option82)认证请求到DHCP服务器,DHCP服务器结合RADIUS服务器完成用户接入认证过程。对于STB业务层认证，由STB向OSS系统发起业务层认证，经过DSLAM和SR到OSS,OSS系统完成业务层认证及权限分配。对于PC接入层认证，PPPoE请求穿越DSLAM到达BRAS,BRAS结合RADIUS服务器完成用户的认证过程。

       按照业务接入控制点的不同，IPTV业务接入网可分为两种接入模式：单边缘模式和多边缘模式。

1. 单边缘模式

       单边缘业务接入模式是指用户上网和IPTV业务采用同一个接入控制点(比如BRAS)。PC使用PPPoE方式接入BRAS.IPTV既可以采用PPPoE方式，也可以使用DHCP/专线的方式接入BRAS；当使用PPPoE方式时，可以利用不同的域名或不同的PVC/VLAN来区分机顶盒和PC的接入；当釆用DHCP方式时，可以利用机顶盒的MAC地址和DHCPOption60参数对机顶盒分配地址，如图7-11所示。

  图7-11     业务隔离及多业务映射

2. 多边缘模式

        多边缘业务接入模式是指上网业务和IPTV业务采用不同的业务接入控制点。上网业务仍用BRAS作为控制点，而IPTV业务则使用IPTV业务路由器作为控制点，STB采用DHCP/专线接入方式,IPTV业务路由器支持DHCPRelay能力。按照用户接入二层虚拟通道方式的不同，用户接入可分为单通道接入和多通道接入两种方式。单通道接入是指宽带上网业务和IPTV业务共用相同二层虚拟通道，釆用单PVC、单C-VLAN进行接入；多通道接入是指宽带上网业务和IPTV业务承载于不同的二层虚拟通道，采用多PVC、多C-VLAN进行接入。考虑到未来的网络融合和业务融合的需要，在组网时需要兼顾组播、点播业务和其他业务，并且在业务接入点上实现业务的分离和映射。下面以DSLAM为例来介绍单边缘和多边缘两种模式下的业务映射关系。

       在单边缘模式下,DSLAM依赖于单一的边缘设备提供所有类型的业务。在多边缘模式下,DSLAM应能够区分并承载不同的业务与网络中部署的多种业务边缘设备互联。例如，BRAS处理普通的互联网业务，而用新的业务路由器(DHCP)处理视频(如IPTV)和语音业务。

       (1) DSLAM支持多PVC映射多业务VLAN

       DSLAM设备每个DSL端口支持多PVC,不同PVC发送的数据业务流分别采用不同的PVC承载；DSLAM上完成PVC到VLAN的映射，不同PVC的业务流分别映射到不同的业务VLAN,对应图7-11中的S-VLAN1和S-VLAN2,在VLAN Stacking应用模式下,S-VLAN用于标识业务-C-VLAN用于标识用户。不同用户的业务流采用不同的C-VLAN标识,对应图7-11的C-VLAN1,C-VLAN2；组播和IGMP报文可选釆用S-VLAN承载，对应图7-11的S-VLAN3,实现跨VLAN组播。

     （2）单/无PVC根据Ether-Type映射多业务VLAN

       DSLAM应支持每个DSL端口采用单PVC（或无PVC的包接口）承载不同的业务;DSLAM应支持根据报文的Ether-Type实现将PPPoE和IPoE报文映射到不同的业务VLAN,对应图7-11的S-VLAN1和SVLAN2（即不同用户的相同业务映射到同一业务VLAN）；组播和IGMP报文可选采用S-VLAN承载，对应图7-11的S-VLAN3,实现跨VLAN组播。

     （3） 单/无PVC根据VLAN-ID映射多业务VLAN

       DSLAM应支持每个DSL端口采用单PVC（或无PVC的包接口）承载不同的业务；DSLAM应支持根据报文的VLANID实现将业务报文映射到不同的业务VLAN,对应图7-11的S-VLAN1和S-VLAN2（即不同用户的相同业务映射到同一业务VLAN）,在VLANStacking应用模式下,S-VLAN用于标识业务,C-VLAN用于标识用户。DSLAM上完成VLANID到S-VLAN的映射，不同PVC的业务流分别映射到不同的S-VLAN,对应图7-11的S-VLAN1和S-VLAN2,不同用户的业务流釆用不同的C-VLAN标识，对应图7-11的C-VLAN1,C-VLAN2；DSLAM设备应支持VLAN替换功能，即将用户报文中的VLANID替换成所配置的C-VLANID；组播和IGMP报文可选采用S-VLAN承载，对应图7-11的S-VLANM,实现跨VLAN组播。

     （4） 单/无PVC根据.Ip PriorityTag映射多业务VLAN

       DSLAM设备应支持每个DSL端口釆用单PVC（或无PVC的包接口）承载不同的业务；DSLAM设备应支持根据报文的.IpPriorityTag将业务报文映射到不同的业务VLAN,对应图7-11的S-VLAN1和S-VLAN2（即不同用户的相同业务映射到同一业务VLAN）,在VLANStacking应用模式下,S-VLAN用于标识业务,C-VLAN用于标识用户。DSLAM上完成.IpPriorityTag到S-VLAN的映射，不同VC的业务流分别映射到不同的S-VLAN,对应图7-11的S-VLAN1和S-VLAN2,不同用户的业务流釆用不同的C-VLAN标识，对应图7-11的C-VLAN1,C-VLAN2；组播和IGMP报文可选采用S-VLAN承载，对应图7-11的S-VLAN3,实现跨VLAN组播。