OTT 業(yè)務網(wǎng)絡與安全規(guī)劃設計

■ 安徽 王迪

編者按：OTT 業(yè)務作為廣電網(wǎng)絡重要的的增值業(yè)務，其安全穩(wěn)定運行關乎企業(yè)業(yè)務的成敗，如今OTT 業(yè)務也面臨諸多網(wǎng)絡安全威脅。本文從OTT 業(yè)務的可靠性設計規(guī)劃、安全性設計規(guī)劃以及IPv6 設計規(guī)劃方面進行了安全性探討。

廣播電視網(wǎng)絡面臨的網(wǎng)絡安全形勢日益嚴峻，業(yè)務相關技術網(wǎng)絡由相對簡單、封閉逐漸向復雜、無邊界化發(fā)展，導致面臨的安全風險和威脅越發(fā)突出。行業(yè)關鍵信息基礎設施的安全防護能力與其重要地位相比，仍然較為薄弱，難以有效應對高強度的網(wǎng)絡攻擊。云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)的發(fā)展應用，伴隨著新的安全風險，尚缺乏有效的應對手段。

OTT 業(yè)務屬于廣電網(wǎng)絡的增值業(yè)務，為了保證各類OTT 業(yè)務安全穩(wěn)定的運行，在進行網(wǎng)絡與安全規(guī)劃的時候，既要提高網(wǎng)絡的可靠性，又要保證OTT 業(yè)務的安全性。

本文探討了通過采用VRRP+HRP 等技術，再通過路由規(guī)劃，可以實現(xiàn)業(yè)務上的“主-主”模式，在滿足OTT業(yè)務可靠性的同時，滿足業(yè)務的安全性要求。同時，還要考慮廣電網(wǎng)絡的IPv6升級改造，即符合廣電網(wǎng)絡IPv6 規(guī)模部署和推進的整體規(guī)劃，還要充分結合業(yè)務發(fā)展和用戶終端的升級情況等因素，進行綜合決策。

整體拓撲圖設計如圖1所示。

圖1 整體網(wǎng)絡拓撲圖

可靠性設計規(guī)劃

可靠性是反映網(wǎng)絡設備本身的穩(wěn)定性以及網(wǎng)絡保持業(yè)務不中斷的能力，主要包括設備級可靠性、網(wǎng)絡級可靠性和業(yè)務級可靠性三個層次。其中，業(yè)務級可靠性更多的是從業(yè)務管理的層面來要求的，要求業(yè)務不中斷。整體網(wǎng)絡可靠性在99.999%以上。

在進行OTT 網(wǎng)絡設計規(guī)劃時通常采用星型結構的網(wǎng)絡設計，一般考慮如下原則：

將網(wǎng)絡劃分為核心層、匯聚層、接入層；每層功能清晰，架構穩(wěn)定，易于擴展和維護；將網(wǎng)絡中不同的OTT 業(yè)務劃分為不同的模塊，模塊內部的調整涉及范圍小，易于進行問題定位；關鍵設備采用雙節(jié)點冗余設計、關鍵鏈路采用Trunk 方式冗余備份或者負載分擔、關鍵設備的電源、主控板等關鍵部件冗余備份。

安全性設計規(guī)劃

OTT 網(wǎng)絡應具備有效的安全控制，按業(yè)務和權限進行分區(qū)邏輯隔離，對特別重要的業(yè)務采取物理隔離。

因此，OTT 平臺在搭建過程中，需要兩臺數(shù)據(jù)中心級的安全網(wǎng)關，所有部件均采用全冗余技術，比如主控板、業(yè)務板及電源等，同時要支持“主-備”和“主-主”組網(wǎng)模式、端口聚合、VPN 冗余、業(yè)務板負載均衡、雙主控主備倒換技術的能力，從而能夠提供高級別的安全防護能力和業(yè)務擴展能力。

作為安全網(wǎng)關，優(yōu)異的地址轉換性能和VPN 性能也是對OTT 業(yè)務的強大支撐。比如基于IP 的轉換、基于端口的轉換、語音多媒體等業(yè)務流量的多通道協(xié)議NAT 轉換、無數(shù)目限制的PAT 方式轉換、域內NAT 以及雙向NAT 等，以滿足各種NAT 應用場景。隨著OTT業(yè)務更多在公共網(wǎng)絡上的傳輸，擁有最佳的VPN 性能能滿足大量業(yè)務的加密傳輸要求。

比如支持4over6、6over4的VPN 技術，以保證網(wǎng)絡從IPv4-IPv6 演進過程中VPN傳輸需求。

安全網(wǎng)關如何抵抗外部威脅，提高網(wǎng)絡安全，還體現(xiàn)在入侵防御功能上，可以對系統(tǒng)漏洞、未授權自動下載、欺騙類應用軟件、廣告類軟件、異常協(xié)議、P2P 異常等多種威脅進行防護。安全網(wǎng)關還要求能實時捕獲最新的攻擊、蠕蟲及木馬等威脅，為網(wǎng)絡提供強大的防御能力。

為滿足網(wǎng)絡向IPv6 的平滑演進，保證業(yè)務的穩(wěn)定運行，安全網(wǎng)關需要支持隨著IPv4 地址的枯竭，網(wǎng)絡能向IPv6 平滑演進，并確保業(yè)務穩(wěn)定運行。安全網(wǎng)關還要具有NAT44、NAT64 等多種過渡功能，為未來的網(wǎng)絡演進及業(yè)務過渡提供高效、靈活和放心的解決辦法。

IPv6 設計規(guī)劃

根據(jù)《廣播電視媒體網(wǎng)站IPv6 改造實施指南(2018)》下達的廣播電視媒體網(wǎng)站IPv6 改造實施的總體目標，確定過渡技術的選擇和各網(wǎng)絡設備對過渡技術的支持情況，規(guī)劃原則：

在不影響現(xiàn)網(wǎng)業(yè)務的基礎上完成用戶發(fā)展指標，降低網(wǎng)絡風險；

IPv6 改造順序應按照“承載環(huán)境先行，業(yè)務接入隨后，網(wǎng)管安全支撐按需”的原則進行；

IP 承載網(wǎng)是提供IPv6端到端連接的根本，需要先行改造支持IPv6；

業(yè)務網(wǎng)、各類接入網(wǎng)是發(fā)展IPv6 用戶的關鍵，應在承載具備條件的基礎上逐步改造，支持IPv4/IPv6 雙棧方式；

網(wǎng)管系統(tǒng)、支撐平臺等應根據(jù)網(wǎng)絡、業(yè)務的升級步驟按需改造，相關接口仍采用IPv4 協(xié)議，接口內部相關字段支持IPv6 地址；

從IPv4-only 向IPv6-only 演進還需要遵循兩個原則：

首要原則是“不影響現(xiàn)網(wǎng)業(yè)務(IPv4/1Pv6) 的正常運行”。IPv4 設備上部署IPv6 協(xié)議或者雙棧設備關閉IPv4 協(xié)議和服務時，用戶應該感知不到基礎網(wǎng)絡升級到IPv4/IPv6 雙棧或者從雙棧到IPv6-only 的變化。次要原則是“兼容現(xiàn)有終端設備，不能強制用戶升級或者更換自己的終端設備，如PC、平板電腦和機頂盒等”。

對于OTT 業(yè)務網(wǎng)絡，可以建設為IPv4 和IPv6 雙棧網(wǎng)絡，或者建設IPv6-only 網(wǎng)絡。如果直接規(guī)劃或建設成IPv6-only 網(wǎng)絡，那么針對目前IPv4 流量占比相對較高的情形，就需要考慮IPv4 網(wǎng)絡和IPv6 網(wǎng)絡互通場景，考慮IPv4 客戶訪問IPv6 服務場景，IPV6 的客戶訪問IPv4服務場景，通過IPv4 網(wǎng)絡連接兩個IPv6-only 網(wǎng)絡場景等。

對于現(xiàn)有的OTT 業(yè)務網(wǎng)絡，不可能對所有不支持IPv6 的設備進行更換，所以對支持IPv6 的設備直接開啟IPv6 功能，同時運行IPv4和IPv6 協(xié)議棧，實現(xiàn)雙棧。

OTT 業(yè)務系統(tǒng)在廣電城域網(wǎng)中實際部署的過程中，為了保證業(yè)務系統(tǒng)的穩(wěn)定性、安全性以及未來IPv6 升級改造中的擴展性，可以通過在OTT 業(yè)務的互聯(lián)網(wǎng)出口處部署兩臺高性能的安全網(wǎng)關。這兩臺安全網(wǎng)關可以通過“主-主”或者“主-備”的模式運行，將不同的OTT業(yè)務通過劃分不同的DMZ 區(qū)進行隔離，然后根據(jù)不同OTT業(yè)務實際的運行流量，在安全網(wǎng)關上進行系統(tǒng)資源的重新分配，其中包括CPU、內存等。

在DMZ 區(qū)之間、Intranet區(qū)、Extranet 區(qū)等不同的安全區(qū)之間，通過安全網(wǎng)關的安全策略進行訪問控制，精確到協(xié)議和端口號，嚴格控制合法流量的流入和流出。通過安全網(wǎng)關的NAT 功能，實現(xiàn)私網(wǎng)地址向公網(wǎng)地址，公網(wǎng)地址向私網(wǎng)地址的互相訪問。

同時，要求安全網(wǎng)關已經(jīng)實際配置IPv6 功能，給未來的NAT46、NAT64 等業(yè)務留下充足的擴展空間。