宽带组播业务安全性优化策略
曹宇
（中国电信股份有限公司张家口分公司河北张家口075000）
学术论坛
摘要：本文介绍了在宽带接入网中通过DHCP方式部暑IPOE组据IPTV业务，从中规范相关设备的相关接术、配置及要求，提高了组据网络安全性。
关键调：组据网络安全中图分类号：TN915
文献标识码：A
文章编号：1007-9416(2011)08-0231-01
引言：随着电信宽带网络扩大，城域网中承载了大量新业务，尤其是IPTV业务的发展，一个安全高效的IP承载网持目以待，现就宽
带接人网组播安全性规划阐述如下： 1、组播网络拓扑
搞施做入周管端城入
Paa
2、规划需求
随着IPTV用户的增多，基于PPPOE在BAS上复制组播方式，大量消耗BAS的会话资源，因此就需对IPTV业务进行调整，把组播复制点由原来的SR/BAS下放到IPDSLAM.园区交换机和OLT,每个 IPDSLAM节点或一个OLT接人一个组播VLAN一个子接口，网关设置在SR/BAS，实现每节点每组播VLAN，组播业务通过IPV4承载，并启用IPTVMPLS-VPN承载IPTV单播业务，由此对组播业务规划及安全性具体规划如下：
2.1DHCP服务器规划
(1)至少2台DHCP服务器做为主备，使用PC机安装linux系统并自带的DHCP服务器软件，并把一个节点或子接口规划的IP 地址段平分在两台服务器上做为DHCP地址池使用，当一台故障时自动启用另一台。(2)在服务器上启用对终端option60字符串的认证，当终端申请IP地址时携带的设备标示字符串和服务器上配置的相同才分配给该终端IP地址，防止DHCP地址池耗尽，(3)服务器保存对每个终端分配地址的详细信息，提高对终端的管理、故障分析处理及IP地址集中管理。(4)可选实施DHCP+认证。
2.2SR/BAS规划万方数据
(1)启用IPDHCPrelay转发用户的DHCP请求，给用户分配 IP，提高维护性。(2)启用IP+MAC绑定功能，防止非法用户自行配置IP地址使用。(3)启用伪服务器检测功能，防止非法私设DHCP服务器。（4）启用防止IP地址重复分配功能。（5)配置主备DHCP SERVERIP地址，提高安全可靠性。
2.3一级汇聚交换机/OLT规划
(1)以一级汇聚交换机或OLT为单元，一个上行口1个组播 VLAN.根据一级交换机下挂二级交换机的数量把该组播VLAN映射到不同二级汇聚交换机的组据VLAN，OLT直接做为复制点进行组播复制。(2)开启DHCPsnooping，对DHCP snoopinguntrust 端口不转发DHCPdiscover报文，防止用户接人DHCPServer，结合ARPinspection进行用户IP地址资用的控制。(3)对接入端口广播报文进行3%带宽限速。
2.4二级汇聚交换机需求
(1)以二级汇聚交换机为单元，一台1个组播VLAN，根据二级交换机下挂IPDSLAM或园区交换机的数量把该组播VLAN映射到不同接人组掘VLAN.实现-个复制点一个组播VLAN，复制点内端口隔离，达到每用户隔离，安全性非常强。(2)开启DHCPsnooping，对DHCP snoopinguntrust端口不转发DHCPdiscover报文，防止用户接人DHCPServer，结合ARPinspection进行用户IP地址资用的控制。(3）对接入端口广播报文进行3%带宽限速。
2.5IPDSLAM规划
(1)启用端口间隔离，（2)启用IGMPPROXY和跨VLAN组播复制。(3)每个端口限值5个MAC地址。(4)端口下打开对单位时间内 ARP request、DHCP discover、IGMP join/leave包的数量进行限
制。
2.6园区交换机需求
(1)楼道交换机接人端口间隔离，防止共享VLAN的互通和广
播风暴。(2)做为组播复制点启用IGMPproxy和跨VLAN组播复制，启用对组播IGMP请求的安全控制。（3)对接人端口广播报文进行3%带宽限速。（4)启用DHCPsnooping，对DHCPsnooping untrust端口不转发DHCPdiscover报文，防止用户接人DHCP Server。
2.7接道交换机需求
(1)用户接人端口间隔离，防止共享VLAN的互通和广播风暴。(2)在楼道交换机上对每个端口进行最多5个MAC地址数量限制。(3)对接入端口广播报文进行3%带宽限速。(4)端口下打开对单位时间内ARPrequest，DHCPdiscover，IGMPjoin/leave包的数量进行限制。
2.8ONU需求
(1)用户接人端口间隔离，防止共享VLAN的互通和广播风暴。(2)在楼道交换机上对每个端口进行最多5个MAC地址数量限制(3)对接人端口广播报文进行3%带宽限速。(4)端口下打开对单位时间内ARPrequest，DHCPdiscover，IGMPjoin/leave包的数量进行限制。
综上所述，按以上规划后的组播业务网络将是一个安全、可靠，灵活的网络，体现了带宽最节约原则和用户之间安全隔离的理念。