2024年5月7日发(作者:)
《有线电视技术》 2019年第8期 总第356期
聚焦
·桂广网技专栏·
运营商
基于多规则Option60-Mapping实现
机顶盒网络准入及安全加固的方案
刘荣毅 王沛 戴翰 广西广播电视信息网络股份有限公司
孟振江 广西广播电视信息网络股份有限公司河池分公司
摘要:广西广电网络IP数据网是全省统一的多业务数据网络,本文简要描述了现有的网络架构,分析了双向
机顶盒网络接入流程,详细介绍了多规则Option60-Mapping基本原理,以及具体实现机顶盒网络准入和安全加固的
方案,并通过测试验证了方案的可行性。
关键词:FTTH 双向机顶盒 多规则Option60-Mapping 网络准入 安全加固
1 引言
随着广西广电网络公司“广电云”
村村通户户用项目的深入推进,FTTH
逐步成为现阶段新用户和新业务发展
的主要接入方式。目前,在FTTH网
络中,双向机顶盒通过ONU接入IP
数据网络,与业务平台进行数据交互,
实现增值业务拓展,已成为了重要的
基础业务接入网络模型。因此,在满
足双向机顶盒业务多样化的同时,如
何加快双向机顶盒的网络准入,提高
双向机顶盒的网络安全性,是技术部
门面临的重要课题。
广西广电网络公司根据业务发
展和终端安全性的需要,充分利用
IP数据网系统资源和设备能力,对
FTTH网络中机顶盒接入,优化了系
统配置,根据双向机顶盒DHCP过程
中Option60字段的特殊性,提出在
IP城域网核心BRAS系统中采用多规
则Option60-Mapping功能,完成对双
向机顶盒的网络识别、准入和安全加
固的解决方案。该方案的特点是充分
发挥现有网络资源和系统能力,在不
增加网络和系统成本的前提下,满足
FTTH网络机顶盒多业务接入独立性,
保证机顶盒接入网络的可靠性和安全
性。
一般分为两个阶段。
(1)双向机顶盒接入网络,会采
用DHCP客户端的方式申请IP地址,
DHCP服务器接收到机顶盒请求信息
2 网络架构
广西广电网络公司IP数据网城域
网分为业务控制层、汇接层及接入层。
其中,业务控制层BRAS系统提供
PPPoE接入、IPoE接入、集团专线接入、
组播、MPLS二层/三层VPN、VPN组
播、路由协议、BFD、FRR、FC等业
务控制功能。BRAS系统采用双上联的
方式与核心路由器CR进行互联,同时
下联至接入层FTTH头端设备OLT,
并通过对不同的二层网络封装VLAN
的数据包进行VLAN,从而实现对各业
务的区分、流量引导及QoS初步处理。
双向机顶盒则通过ONU接入制网络并
以PUPSPV的QinQ方式进行数据包的
二层封装,网络拓扑图如图1所示。
后,根据地址池设置,动态分配IP地
址、网关及DNS等地址属性。
(2)当双向机顶盒获取IP地址
后,网络连通,开始发送携带机顶盒
信息的数据报文进行双向业务平台认
证。
通过分析双向机顶盒接入网络过
程可知,接入网络方式存在两方面的
3 双向机顶盒接入网络数据
流程分析
双向机顶盒接入网络数据流程,
图1 网络拓扑图
83
聚焦
·桂广网技专栏·
运营商
图2 Option60报文格式
图3 DHCP数据报文
网络安全隐患及风险。
报文中的一个选项字段,是对DHCP协
当机顶盒接入网络时,DHCP服
议的扩展,可表示为供应商类别标识。
务器即分配IP地址,存在其他非法终
在DHCP过程中,DHCP客户端发送供
端不停申请IP地址恶意消耗地址池地
应商的类别标识和配置信息,由DHCP
址,导致正常的机顶盒无法获取IP地
服务器进行解析,识别供应商为客户端
址的风险。
定义的特殊标识信息,可以有效地进行
尽管FTTH网络采用了PUPSPV的
终端类型的识别。RFC规定Option60报
QinQ方式进行数据包的二层封装,双
向机顶盒无法完全与其他业务终端、服
文字段长度和格式,具体Option60报文
务器进行网络隔离,导致机顶盒直接暴
格式如图2所示。
露于网络,存在机顶盒遭受DDoS等网
多规则Option60-Mapping功能指
络攻击。因此,在双向机顶盒接入网络
的是BRAS系统在识别接入终端DHCP
时,系统应采取两方面措施避免网络安
Discover数据报文时所携带的Option60
全隐患及风险:申请IP地址时,DHCP
字段,将该字段字符作为关键字映射至
服务器应对终端进行初步的识别,确认
BRAS系统中可判别的网络准入条件,
终端类型后再分配地址,从而达到网络
如账号/密码、域名等。BRAS系统通
准入的目的;系统为双向机顶盒分配
过多规则Option60-Mapping功能,将
IP地址的同时,应对其网络部署访问
接入终端Option60字段与预设值进行
控制策略,实施安全加固。
匹配,区分双向机顶盒和非法终端,并
4 多规则Option60-Mapping
针对不同的业务终端类型,加载不同的
基本原理
配置策略,从而实现用户识别、业务分
类、地址分配,以及QoS等用户网络
在DHCP协议中,Option60是DHCP
准入和安全加固。
84
《有线电视技术》 2019年第8期 总第356期
5 设计方案
5.1 获取机顶盒Option60字段
信息
双向机顶盒作为用户连接电视
与外部信号源的家庭终端设备,通过
双向网络,可为用户提供交互式数
字化数据业务服务。要区分双向机顶
盒和非法终端,首先需要获取到机顶
盒的Option60字段信息。将双向机
顶盒采用RJ45接口联入网络,并设
置以DHCP方式获取网络IP地址。
通过网络设备镜像工具抓取机顶盒发
送的DHCP Discover数据报文可知,
Option60字段携带的参数前面字段为
固定字符,如udhcp,以此可作为机
顶盒终端类型识别符。DHCP数据报
文如图3所示。
5.2 机顶盒识别和网络准入
5.2.1 Option60-Mapping域名方式
在BRAS系统中,AAA对用户的
管理是通过业务域来实现的,业务域
是用户管理的最小单位,通过业务域,
可对管理用户的认证、计费、授权、
IP地址池、带宽和QoS等方案进行配
置,域名即业务域的名称。
Option60-Mapping域名方式具体
实现主要包含以下四个步骤。
(1)业务域中用户管理方案的配
置,区分双向机顶盒和非法终端进入
相应业务域的管理用户方案和上下线
流程。
(2)BRAS系统配置的多规则
Option60-Mapping功能,将接入终端
Option60字段映射为IPoE认证域名,
识别机顶盒终端。
(3)通过域名匹配的双向机顶盒
数据包,在Option60字符串中选择域
名分割符@后面的所有字符串做域名,
可进入相应的域内完成IP地址分配、
《有线电视技术》 2019年第8期 总第356期
聚焦
认证、计费、授权和QoS等上线流程(3)通过账号名和密码匹配的双
并生成控制表项。
向机顶盒数据包,调用服务接入控制列
(4)未通过域名匹配的其他终端,
表,将匹配认证账号名转入相应的域
则进入缺省域完成禁止分配IP地址、
内,完成IP地址分配、认证、计费、
上线抑制等下线处理流程。
授权和QoS等上线流程并生成控制表
5.2.2 Option60-Mapping账号名和
项。
密码方式
Option60-Mapping账号名和密码
(4)未通过匹配的终端,则进入
方式具体实现主要包括以下四个步骤。
缺省域完成下线处理流程。
(1)业务域中用户管理方案的配
5.3 安全加固
置,区分双向机顶盒和非法终端进入
在BRAS系统中,用户组为不同
相应业务域的管理用户方案和上下线
业务域中管理用户的分组,同时用户
流程。
组也是访问控制列表的控制条件。如
(2)BRAS系统使用多规则
果需要控制业务域内用户的访问权限,
Option60-Mapping功能将接入终端
可通过用户组关联对应QoS策略,并
Option60字段映射为IPoE认证账号名
加载至用户域中,从而实现用户访问
和密码,识别机顶盒终端。
控制。双向机顶盒接入网络准入后,
图4 机顶盒终端表项
图5 非机顶盒终端表项
·桂广网技专栏·
运营商
BRAS系统可通过用户组对业务域内的
机顶盒,关联并加载对应的安全策略,
为域内的接入机顶盒终端提供相应的
安全访问控制功能,避免机顶盒遭受
恶意网络攻击,保证机顶盒网络接入
的安全性。
6 方案验证测试
BRAS系统配置完成,通过FTTH
网络接入机顶盒和非机顶盒终端后,
在BRAS系统中查看接入终端表项,
结果如图4、图5所示。
图4、图5测试结果表明,BRAS
系统通过多规则Option60-Mapping功
能可识别机顶盒和其他类型的用户终
端,从而快速实现用户网络准入;机
顶盒终端表项关联了用户组安全策略,
为终端提供了网络安全访问控制,在
PC终端上使用Ping机顶盒连通性,
也证明了这一点。
7 结论
本文提出基于多规则Option60-
Mapping的方案,充分发挥了现有系统
资源和业务能力,提高了业务网络的
安全性,降低了运营成本,简化了业
务开通流程和后续运行维护节点,保
障了业务的快速部署和实施,实现了
FTTH接入方式用户机顶盒终端的网络
准入和安全加固。目前,逐步已在广
西广电网络公司范围内应用于FTTH
网络中双向机顶盒业务。
参考文献
[1]蔡峰,李晓东.泰州广电DHCP Client业
务地址区分的研究与实现[J].有线电视技术,
2011(10).
[2]王晓龙,成瑞芳.基于IPOE实现IPTV业
务控制[J].科技创新与应用,2013(20).
CATV
85
发布评论