为数字电视SMS构建高效的运营支撑网络

文档供参考，可复制、编制，期待您的好评与关注！ 为数字电视SMS构建高效的运营支撑网络吕小胜 陈 亮(泰州广播电视台网络开发中心 江苏 泰州 225300)摘 要: 数字电视SMS的运营需要一张高效的运营支撑网络，泰州数字电视SMS运营支撑网络基于MPLS VPN和Ipsec技术而构建，本文从需求分析、设计原则、建设方案等几个方面详细探讨了网络方案的实施。关键词：SMS；运营支撑；MPLS VPN；Ipsec；建设方案泰州广播电视传输网络公司数字电视平台于2005年开通运营，该平台不仅可以传输大容量的数字电视节目，还可以进行VOD、数据广播、B-mail等各种增值业务的运营，而拥有一个良好的运营支撑平台是所有业务顺利开展的核心，良好的运营支撑平台离不开一张强大的运营支撑网络。泰州广电数字电视用户管理系统（SMS）除具有数字电视SMS一般功能外，还具有其自身独特的一些功能，如：集中管理、分区管理、双重授权等。所以，如何针对泰州数字电视SMS系统的特点，为其构建一张既合身合用又兼顾成本的运营支撑网络，就成为泰州数字电视SMS高效运营的基础。一、SMS运营支撑网络需求分析泰州广电数字电视平台建设初期以单向广播为主要业务，此外，在初期还将开展少量数据广播业务。根据数字电视平台建设初期目标，本着节省投资、加快建设步伐，同时兼顾未来发展的需要，我们将SMS系统设计为两层结构：市级总前端、各下辖区县的营业维护终端。市前端包括以下设备：SMAC、SMS服务器、防火墙、报表终端、帐务中心、监控平台接口等。市前端负责全市的数据管理、应用服务器的维护、节目和用户管理、营业状况统计分析、银行分帐等。全市可以开设多个营业厅，在营业厅设置营业终端，可以通过各类专线连接到市中心的SMS主机。营业厅业务员可以在其终端商为用户进行开户、预定节目、缴费、查账、销户等。SMS系统给营业厅各业务员分配一定的权限，界定可管理的用户区域和操作使能，保证全市数据统一存储的同时，保持数据的相互独立和商业秘密。泰州广电数字电视平台除传输中央台、省市卫视、自办节目外，还与央视风云进行合作，传输央视风云节目资源。央视风云节目经过了央视风云和泰州数字电视前端的双重加密，这些数字电视节目包的授权需经过泰州SMS与央视风云SMS的双重操作，所以，泰州SMS与央视风云SMS之间将会有数据信息的交互。泰州数字电视SMS系统运营支撑网络应是一张下联各营业厅、上联市级SMS系统前端及央视风云SMS前端的网络，他对安全性、可靠性、畅通性、高速性都提出了很高的要求。在设计时我们既要考虑当前SMS的运营需求，又要考虑该网络作为各营业厅与网络公司之间综合信息传输平台的扩展性需求，今后网络建成后主要目标有：1、建立以泰州市广播电视传输网络公司为中心，下连各县市网络公司及各营业厅的交互网络。2、建立泰州市广播电视传输网络公司与央视风云传播有限公司的通信线路。3、实现泰州广电各营业厅数字电视业务及其它业务的安全正常运行。4、实现对泰州广电各营业网点的安全监控。二、网络设计原则1、设计的先进性与成熟性当今世界，通信技术和计算机技术的发展日新月异。本设计方案适应新技术发展的潮流，既兼顾了技术上的成熟性，同时也保证了系统的先进性。建立在先进的网络平台之上，技术方案具有先进性，并且节省投资。2、安全性SMS运营支撑网络主要传输数字电视用户开户、销户、授权、缴费、套餐更改等信息，用户信息需要保密，数据传输要绝对安全。我们必须针对不同的情况，采取不同的技术措施，使网络系统有足够的隔离和安全机制。3、可靠性各营业厅需向用户提供及时准确的服务，除SMS系统本身的可靠性外，SMS运营支撑网络则成为关键，它必须具有极低的故障率、较高的稳定性，网络能够长时间、不中断可靠运行。4、畅通性网络系统应有足够的带宽，除传输SMS数据外，更需考虑将来在其基础之上开发丰富的应用。5、低成本在进行网络设计时，我们在考虑以上四个方面因素的基础上，成本也是一个考虑的重要因素。网络建设要考虑实际需求、业务量、公司经济实力等情况，不能超越单项成本承受的范围。三、SMS运营支撑网络建设方案前面已经对泰州数字电视SMS运营支撑网的网络需求及设计原则作了具体分析，以下我们将对SMS运营支撑网络建设方案进行具体的讨论。泰州数字电视SMS运营支撑网络实际有两部分组成，一是连接各营业终端与市级SMS前端的城域SMS运营支撑网，二是连接市级SMS前端与央视风云SMS前端的通信线路。下面我们将对这两个部分的网络建设方案分别进行讨论。（一）城域SMS支撑网的建设这部分网络建设目标为实现各种营业终端对市级SMS系统核心服务器的访问与数据交互，在网络设计过程中我们充分借助泰州广电宽带网这一先进的网络平台，采用当今业界最为流行的技术，构建了一张高带宽、高安全性、高可靠性的网络。1、泰州广电宽带网及MPLS VPN简介泰州广播电视传输网络提供的链路采用简单化、层次化网络设计原则，采用业界最先进的60Gbps的电信运营级的IP骨干路由交换机Cisco12012为核心，构造了最高速的“新一代电信网络 ”。图1：泰州广电宽带网骨干拓扑图在泰州广电宽带IP网络中,市到县的主干、市区主干、各县城区主干均采用DPT环的架构，形成各城区的核心（见图1）。外围各节点作为网络汇聚点,主要负责终结各种网络接入,如局域网接入,专线接入等。DPT技术特有的IPS机制可以保证整个网络的链路故障可以在50ms内自愈。泰州广电宽带网支持MPLS VPN。MPLS (多协议标记交换) 交换技术是一种新型的IP交换技术， MPLS是融合了ATM及宽带IP特点的新型IP交换方式。在基于MPLS的VPN中，服务提供商为每个VPN分配了一个标识符，称作路由标识符(RD)，这个标识符在服务提供商的网络中是独一无二的。转发表中包括一个独一无二的地址，叫作VPN-IP地址，是由RD和用户的IP地址连接形成。VPN-IP地址在网络中是独一无二的，地址表存储在转发表中。MPLS VPN的基本工作方式是采用三层技术，每一个VPN具有独自的VPN-ID，每一个VPN的用户只能与自己VPN网络中的成员进行通信，而也只有VPN的成员才能有权进入该VPN。（如图2所示）VPN1VPN2VPN1VPN1VPN2图2：VPN工作示意图2、基于泰州广电宽带网构建城域SMS支撑网络之前我们已经对泰州广电宽带网作了简单介绍，对MPLS VPN技术也有了一定的了解，在构建SMS运营支撑网络的过程中，我们将采用MPLS VPN这一先进的技术，构建一张投入低、性能优异的网络。网络拓扑结构如图3所示：图3：城域SMS运营支撑网络拓扑图一张MPLS VPN的网络建设，首先必须对网络进行合理的规划，在规划中以下几点必须加以考虑：各营业网点选择接入PE路由器（广电核心网边界路由器）时，应遵循就近接入的原则。网络在满足需求基础上成本投入最低化。接入线路类型上，我们对距离接入机房不超过100米的营业厅直接采用网线（五类线）接入，其它则采用光纤接入。各营业网点接入PE路由器有两种方式，一种是各营业厅配置客户端路由器（CE），CE内接营业厅局域网，外接PE路由器；一种是各营业厅营业终端经交换机直接接入PE路由器，各营业终端的网关即为PE路由器的接口地址。SMS虚拟专网基于泰州广电宽带网而建立，所以采取后一种方式，我们可以在确保安全的基础上，大幅降低成本。数字电视SMS虚拟专用网络的vrf名称和RD号必须唯一，且vrf名称便于识别。在进行地址规划时要考虑目前地址分配情况、当前和将来发展的需要。在进行数字电视平台建设过程中，数字电视前端CA（条件加密）、SMS、EPG（节目信息指南）等各部分设备、服务器地址都有统一的规划，不能随便更改，规划过程中，我们充分考虑到这种情况，SMS市级前端服务器使用既有地址。营业厅地址，虽然当前营业机较少，但考虑业务的发展及业务种类的增多，我们规划各营业厅为28位的地址段（16个地址）。具体规划如下表（以图3为例）：vrf名称DTV-SMSRD号64512:5921接入点名称接入点地址段接入PE路由器PE接口地址泰州SMS服务器172.30.1.4/28GSR172.30.1.4营业网点A172.29.0.1-172.29.0.13/28C75XH_A172.29.0.14营业网点B172.29.0.17-172.29.0.29/28C72JJ_B172.29.0.30乡镇营业厅1172.29.0.33-172.29.0.45/28C72001172.29.0.46经过合理规划，后面的工作则变得较为简单，在相应的施工和路由器配置后，SMS虚拟专用网络很快就能搭建完成。网络建成后市级SMS前端能达到100M的接入速度，各营业网点达到10M的接入速度，除满足营业数据的传输外，更能满足视频传输或其它一些业务的需求，具有良好的扩展性。由于采用MPLS VPN技术，SMS专用网络与其它用户完全隔离，具有高度的安全性。（二）建立泰州SMS到央视风云SMS通信线路泰州到北京距离遥远，如租用2M专线或其它DDN线路代价昂贵。经过比较我们采用Ipsec（IP SECURITY）方式建立虚拟专线。1、Ipsec技术IPsec 是一种建立在 Internet 协议 (IP) 层之上的协议。 它能够让两个或更多主机以安全的方式来通讯。IPsec 既可以用来直接加密主机之间的网络通讯 (也就是 传输模式)； 也可以用来在两个子网之间建造 “虚拟隧道” 用于两个网络之间的安全通讯 (也就是 隧道模式)。 后一种更多的被称为是 虚拟专用网 (VPN)。IPSec提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据：认证：可以确定所接受的数据与所发送的数据是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。数据完整：保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。机密性：使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。对于VPN来说，认证和加密都是必需的，因为只有双重安全措施才能确保未经授权的用户不能进入VPN，同时，Internet上的窃听者无法读取VPN上传输的信息。IPSec策略包括一系列规则，规则具有根据IP数据流的类型以及源和目的地址为通信触发安全协商的能力，这一过程也称为IP包过滤。应用包过滤技术，可以精确地定义哪些IP数据流需要受保护，哪些数据流需要被拦截，哪些则可以绕过IPSec应用（即无须受保护）。一个过滤器由以下几个参数决定：IP包的源和目的地址；包所使用的传输协议类型；TCP和UDP协议的源和目的端口号。一个过滤器对应于一种特定类型的数据流。 过滤器动作为需要受保护的IP通信设置安全需求，这些安全需求包括安全算法，安全协议和使用的密钥属性等等。2、Ipsec虚拟专线的建立在本方案中，我们采用Ipsec隧道模式来建立泰州广电网络传输公司与央视风云传播有限公司间的虚拟专网。泰州广电网络公司和央视风云分别有一台Ipsec路由器接入互联网，两台路由器们协同地工作来确保对等设备之间的数据机密性、数据完整性以及数据认证。央视风云传播有限公司对各地地址有统一的规划，其中泰州分配的私有地址段为192.168.152.144/25，其中Ipsec路由器内网接口地址为192.168.152.158，而泰州数字电视平台建设过程中规划SMS服务器使用的地址为172.30.1.4/28。为解决这一矛盾，我们在泰州Ipsec路由器与SMS市级前端局域网间加一NAT（地址转换）路由器，将泰州SMS服务器地址172.30.1.4静态转换成192.168.152.146，从而实现泰州SMS服务器与央视风云SMS服务器间的安全通信。网络连接示意见图4：图4：泰州广电-央视风云SMS联网图虚拟专线建立后，可以实现泰州SMS与央视风云SMS间数据的安全、可靠传输，数据传输的工作流程如下：泰州广电SMS服务器（主机甲）成一个IP包，目的地址是央视风云公司的SMS主机（主机乙）。这个包从起始主机被发送到主机甲的网络边缘NAT路由器，源地址被转换成192.168.152.146，然后数据包被发送到Ipsec路由器（甲）。Ipsec路由器（甲）把所有出去的包过滤，发现这个包需要进行IPSec的处理，Ipsec路由器（甲）就进行IPSec的处理，并把网包打包，添加外层IP包头。 这个外层包头的源地址是Ipsec路由器（甲）外网口地址221.130.76.11，而目的地址是主机乙的网络边缘的Ipsec路由器（乙）外网口地址202.108.104.186。现在这个包被传送到Ipsec路由器（乙），中途的路由器只检查外层的IP包头。Ipsec路由器（乙）会把外层IP包头除掉，把IP内层发送到主机乙去。三、结束语数字电视用户管理系统（SMS）是数字电视平台建设及业务开展中不可缺少的关键系统，与运营商的运营密切相关，SMS运营支撑网络是SMS系统顺利运行的重要支撑。泰州广电在为SMS系统构建运营支撑网络的过程中，从技术的先进性、网络的前瞻性和成本等方面综合考虑，充分利用泰州广电宽带网这一先进的网络平台，采用MPLS VPN和Ipsec等业界成熟的技术，搭建了一张高可靠性、高带宽、投资少的虚拟专用网络。泰州广电数字电视SMS系统及其运营支撑网络的建成必将促进泰州数字电视业务及其增值业务的开展和市场推广，有力推动有线电视数字化的发展。参考文献1华为技术有限公司.inVideo iSiManager 系统营业终端.China:Huawei Press,2004.2赵思远.VPN虚拟专用网络J.视听界,2003,113(9):6263.3Michael Wynston.Csico Enterprise Management SolutionsM.USA: Cisco Press , 2001.发表于有线电视技术2006年 第11期（总第203期）7 / 7