浅析电信IPTV测试中应用的新技术.docx
- 文档编号:11625330
- 上传时间:2023-06-01
- 格式:DOCX
- 页数:15
- 大小:123.13KB
浅析电信IPTV测试中应用的新技术.docx
《浅析电信IPTV测试中应用的新技术.docx》由会员分享,可在线阅读,更多相关《浅析电信IPTV测试中应用的新技术.docx(15页珍藏版)》请在冰点文库上搜索。
浅析电信IPTV测试中应用的新技术
产品名称Productname
密级Confidentialitylevel
QuidwayS8500
内部公开
产品版本Productversion
Total16pages共16页
V100R002
浅析电信IPTV测试中应用的新技术
(仅供内部参考)
Forinternaluseonly
拟制:
Preparedby
庞宁
日期:
Date
2005-11-09
审核:
Reviewedby
日期:
Date
yyyy-mm-dd
审核:
Reviewedby
日期:
Date
yyyy-mm-dd
批准:
Grantedby
日期:
Date
yyyy-mm-dd
华为3Com技术有限公司
Huawei-3ComTechnologiesCo.,Ltd.
版权所有XX
Allrightsreserved
修订记录Revisionrecord
日期
Date
修订版本Revisionversion
修改描述
changeDescription
作者
Author
2005-11-09
1.00
初稿
庞宁
目录TableofContents
1前言:
4
2灵活QinQ技术:
4
2.1S8500实现灵活QinQ的两种方式:
4
2.2配置实战:
4
2.2.1通过ACL方式实现:
5
2.2.2通过VLANVPN方式实现:
6
3VLAN内端口隔离功能:
7
3.1配置实战:
7
4VLANtranslation功能:
9
4.1配置实战:
9
5VLAN限速功能:
11
5.1配置实战:
11
6二层的DHCPSNOOPING功能:
12
6.1三层的DHCPSNOOPING功能:
12
6.2二层的DHCPSNOOPING功能:
13
6.3配置实战:
14
7后记:
15
1前言:
随着IPTV业务在全国热火朝天的展开,一些以前我们闻所未闻的新技术开始渐渐浮出水面。
本文将从灵活QinQ、VLAN内端口隔离、VLANtranslation、vlan限速、二层DHCPSNOOPING等五个方面向大家介绍,并增加了配置实战。
希望能够给广大的测试人员、用户服务人员和对外开局测试人员以参考。
2灵活QinQ技术:
说起电信IPTV测试,最伟大发明莫过于灵活QinQ技术了。
有关它的由来和技术细节我就不过多说了,有兴趣的同学可以看一下附件一。
我这里要着重的讲一下我们85高端交换机实现灵活QinQ的两种方式。
2.1S8500实现灵活QinQ的两种方式:
目前85实现灵活QinQ的方式有两种:
第一种方式是通过匹配ACL规则来实现的。
匹配了一定的ACL规则的报文将被nested一层新的外层VLAN。
而没有匹配到规则的报文将直接被转发出去。
第二种方式是VLAN-VPN端口来实现的。
众所周知,在端口上使能VLANVPN,只是使端口具有了普通的QinQ功能。
目前在85新的版本中,已经可以根据内层VLANmodify外层VLAN了。
当然两种实现方式各有利弊,例如使用第一种方式MAC地址学习将有问题,使用第二种方式透传的报文不能上三层等等,详细的比较结果见附件二。
2.2配置实战:
如下组网中,要求85把VLAN101-200的报文封装外层TAG1001,VLAN201-300的报文封装外层TAG1002,对于VLAN301的报文不封装外层TAG直接向上透传。
2.2.1通过ACL方式实现:
1、配置一个ACL规则:
aclnumber4001
rule0permitingress101to200egressany
rule1permitingress201to300egressany
rule2permitingress301egressany
2、在入端口上下发:
interfaceGigabitEthernet2/1/1
portlink-typehybrid
porthybridvlan101to301tagged
porthybridvlan110011002untagged
traffic-redirectinboundlink-group4001rule0system-index1nested-vlan1001
traffic-redirectinboundlink-group4001rule1system-index2nested-vlan1002
#让私网vlan101到200的用户封装上公网vlan1001
#让私网vlan201到300的用户封装上公网vlan1002
#让私网vlan301的报文不做任何操作直接进行透传
#在这个端口上配置vlan1001和1002为untag,主要是为了让下行的流量在出这个端口时能剥去外层公网VLAN,从而使私网VLAN还原。
3、在出端口上做如下配置:
interfaceGigabitEthernet2/1/2
portlink-typetrunk
porttrunkpermitvlan30110011002
2.2.2通过VLANVPN方式实现:
1、配置一个ACL规则:
aclnumber4002
rule0permits-tag-vlan201to300ingressanyegressany
rule1permits-tag-vlan301ingressanyegressany
2、定义一个基于s-tag-vlan和vlanid的流模板:
flow-templateuser-definedslot2vlanids-tag-vlan
3、在入端口上做如下配置:
interfaceGigabitEthernet2/1/3
portaccessvlan1001#在这里我们先指定这个端口属于一个外层VLAN
vlan-vpnenable
flow-templateuser-defined
traffic-redirectinboundlink-group4002rule0modified-vlan1002
#让内层tag为201-300的报文外层tag修改为1002(实际上报文一进来就封装了外层vlan1001,这里是将外层1001修改为1002)
traffic-redirectinboundlink-group4002rule1modified-vlan301
#让内层vlan301的报文再封装一层tag301,注意此时需要将上行端口的PVID设置为301才能保证出去的报文不带tag。
其实此处也可以是其他的vlan,只要保证出端口容许这个vlan通过,且PVID等于它即可。
4、在出端口上做如下配置:
interfaceGigabitEthernet2/1/4
portlink-typetrunk
porttrunkpermitvlan1001to1002301
porttrunkpvidvlan301#保证内层tag为301的报文出去不带tag
3VLAN内端口隔离功能:
顾名思义,VLAN内端口隔离就是让同一VLAN内两个端口不容许互访。
你可能纳闷了,既然是在同一VLAN内又不让互访,干嘛还要让它们在一个VLAN里呀。
你还先别急,网上还真有这种应用:
例如在如上的组网图中,不同的DSLAM都要使用VLAN301作为组播VLAN。
出于网络安全方面的考虑,局方只希望不同DSLAM之间vlan301用户都去访问组播服务器,而并不希望他们之间可以互访。
这种情况通过传统的ACL是没有办法实现的,目前85可以通过VLAN端口隔离功能来达到这样的效果。
3.1配置实战:
实现端口隔离一般要分三个步骤:
1、全局配置一个端口隔离组。
2、在VLAN视图下,使能该VLAN的端口隔离属性。
3、在端口视图下,使下行端口成为端口隔离组中的普通成员。
4、在端口视图下,使上行端口成为端口隔离组中的uplink端口。
以上面的图示为例,配置如下:
1、全局配置一个端口隔离组:
[85_1]port-isolategroup1
2、在vlan视图下,使能该VLAN的端口隔离属性:
[85_1-vlan301]isolate-user-vlanenable
3、在端口视图下,使两个下行端口g2/1/1和g2/1/2成为端口隔离组中的普通成员:
interfaceGigabitEthernet2/1/1
portlink-typehybrid
porthybridvlan101to301tagged
porthybridvlan110011002untagged
port-isolategroup1
traffic-redirectinboundlink-group4001rule0system-index1nested-vlan1001
traffic-redirectinboundlink-group4001rule1system-index2nested-vlan1002
interfaceGigabitEthernet2/1/2
portlink-typehybrid
porthybridvlan101to301tagged
porthybridvlan110011002untagged
port-isolategroup1
traffic-redirectinboundlink-group4001rule0system-index1nested-vlan1001
traffic-redirectinboundlink-group4001rule1system-index2nested-vlan1002
4、在端口视图下,使上行端口g2/1/4成为端口隔离组中的uplink端口:
interfaceGigabitEthernet2/1/4
portlink-typetrunk
porttrunkpermitvlan1001to1002301
port-isolateuplink-portgroup1
(VLANVPN方式实现QinQ方式的配置与此类似,此处不在赘述)
4VLANtranslation功能:
我们知道QinQ最原始的作用还是去实现VPN的效果。
但是这样的代价是整个运营商网络都必须建立在二层网络上,且在公网上需要始终给用户分配相同的一个VLAN。
但是不同的城市之间运营商的VLAN划分往往是不同的。
例如城市A给公司A分配的公网VLAN是10,但是在城市B中VLAN10的已经分配给别人了。
那该怎么办呢?
别着急,采用VLANtranslation功能就能解决这个难题。
例如在如下的网络中,只需要城市B的8505-2交换机将外层VLAN改为20,处在B城市分公司A就能正常的和公司总部通讯了。
4.1配置实战:
以上图为例,此处只列出8502-2的相关配置:
1、首先配置一个针对内层tag为100的ACL规则:
[85_1-acl-link-4003]disth
aclnumber4003
rule0permits-tag-vlan100ingressanyegressany
2、配置一个针对内层VLAN的流模板:
[85_1]flow-templateuser-definedslot2vlanids-tag-vlan
3、在端口上下发流模板,并根据内层tag修改外层tag:
[85_1-GigabitEthernet2/1/2]disth
interfaceGigabitEthernet2/1/2
portlink-typetrunk
porttrunkpermitvlan1020#要求这个端口容许新修改过的VLAN通过
flow-templateuser-defined
traffic-redirectinboundlink-group4003rule0system-index2modified-vlan20
4、在出端口上容许translation过的VLAN通过:
[85_1-GigabitEthernet2/1/5]disth
interfaceGigabitEthernet2/1/5
portlink-typetrunk
porttrunkpermitvlan20
5
VLAN限速功能:
目前,我们所做的大多数QACL动作都是在端口上下发的。
而VLAN限速功能是在具体某个VLAN上下发的。
那么它是如何应用的呢?
首先来看如下的组网图:
A和B端口都打入100MVLAN20的流量,要求能够针对VLAN做限速,使C端口出来的流量降为50M。
如果根据端口限速,似乎实现不了。
有的同学说可以将A和B端口都针对VLAN20限速成25M,那么出去的流量不就是50M了吗。
但是如果将A或者B的流量停掉一个,此时C端口收到的流量就只有25M了。
显然这种方法也不能够满足局方的要求。
这种情况下,就要求交换机必须支持基于VLAN的限速了。
5.1配置实战:
85目前已经可以根据VLAN来进行限速了,以上面的图示为例:
1、配置一个ACL规则:
[85_1]acln2001
[85_1-acl-basic-2001]rulepermitsourceany
2、在VLAN模式下配置vlan限速:
[85_1-vlan20]traffic-limitinboundip-group200150000100001000050000
3、此时在所有容许VLAN20通过的端口上都会有这样一条ACL规则:
[85_1]discuintg3/1/3
interfaceGigabitEthernet3/1/3
portaccessvlan20
portcan-accessvlan-aclvlan20
6二层的DHCPSNOOPING功能:
DHCPSNOOPING功能就是我们俗称DHCP的静态地址安全检测功能。
它能有效的防止用户私设静态IP地址访问网络资源。
在理解基于二层的DHCPSNOOPING功能之前,我们先来了解一下基于三层的DHCPSNOOPING功能实现。
6.1三层的DHCPSNOOPING功能:
如上组网图,PC上网是通过PPPOE方式到BRAS获取地址,但是绝大多数的机顶盒还是采用DHCP来获取地址的。
如果用户私自将机顶盒换成PC,并配置静态IP地址就有可能长期免费观看电视节目,并且还有可能对现有的网络造成安全威胁,这在电信运营中是不容许的。
目前85实现静态地址安全检查的机理是这样的:
1、85上使能DHCPRELAY且使能DHCP安全检查功能;
2、STB开机后与DHCPSERVER进行多次交互后,DHCPSEVER发DHCPACK报文给STB分配IP地址。
3、该DHCPACK报文上送至85CPU,85将分配的IP和MAC对应关系提取出来添加到DHCP合法表项中。
4、STB获取到地址后,发送ARP请求网关MAC。
由于网关是85的虚接口IP,85将此ARP中的MAC和IP与DHCP合法表项中的MAC和IP进行比较。
如果表项中存在该MAC和IP,85就会回ARP响应,STB就可以正常接收IPTV流量了。
5、如果用户私设静态IP地址,由于发送的ARP中的MAC和IP的对应关系在85的安全表项中不存在,因而该ARP请求会被85丢弃。
那么此非法用户将不能正常访问网络。
通过这种方式85能有效的防止用户私设静态IP访问网络资源,但这种方式的一个特点是STB的业务必须要在85上终结二层才行,也就是说STB的网关必须要在85上才能够实现。
如果用户的网络中85只是以二层的身份出现该怎么办呢?
6.2二层的DHCPSNOOPING功能:
在如上组网中,85与SR之间为二层连接,STB要通过SR路由器来上三层。
如果按照以前的处理方式,虽然85能够将静态配置IP的ARP进行丢弃,但是由于85与SR之间是二层,ARP请求还是会透传到SR上的。
这样如果SR没有相应的安全机制,非法用户就可以正常访问网络资源了。
目前85实现二层DHCPSNOOPING功能的机理是这样的:
1、85和SR都要起三层虚接口,85与DHCPSERVER之间的路由是通的。
2、85上开启DHCPRELAY功能,并使能DHCP安全检查。
3、在85上配置三条ACL规则,前两条是容许DHCP的协议报文通过,最后一条是禁止所有的IP报文通过。
最后将这三条规则依次下发到DSLAM到85的入端口上。
4、STB开机后自动发送DHCP请求报文,由于端口上容许DHCP的协议报文通过,因而几次交互后,DHCPSEVER会发DHCPACK报文给STB分配IP地址。
5、该DHCPACK报文上送至85CPU,85将分配的IP和MAC对应关系添加到DHCP合法表项中。
同时它会自动生成一条permit该IP和MAC的ACL规则,并且它还会自动添加在入端口的禁止所有IP报文通过的ACL规则之前。
6、这样,这个端口就只容许通过合法的STB的ARP或IP报文通过了。
#有的同学一定会问,在入端口上下发禁止所有IP报文通过的规则,那普通上网的用户怎么办呀?
呵呵,由于普通上网用户报文全是PPPOE报文,一直到BASE之前它们都不是真正意义上的IP报文了。
因此这些报文是可以通过入端口的。
6.3配置实战:
以上面的组网图为例:
1、配置三条ACL规则:
[85_1-acl-adv-3000]disth
aclnumber3000
rule0permitudpdestination-porteqbootpc
rule1permitudpdestination-porteqbootps
rule2denyip
#rule0和rule1表示容许DHCP的协议报文通过(UDP的目的端口号为67和68)
2、将这些规则在入端口上进行下发(注意下发的次序):
interfaceGigabitEthernet2/1/1
portlink-typehybrid
porthybridvlan101to301tagged
porthybridvlan110011002untagged
traffic-redirectinboundlink-group4001rule0system-index1nested-vlan1001
traffic-redirectinboundlink-group4001rule1system-index2nested-vlan1002
packet-filterinboundip-group3000rule0system-index4
packet-filterinboundip-group3000rule1system-index5
packet-filterinboundip-group3000rule2system-index6
三、配置DHCP的相关参数:
[85_1]dhcpenable
[85_1]discuintvlan301
interfaceVlan-interface301
ipaddress31.1.1.1255.255.255.0
iprelayaddress222.18.10.254
dhcpselectrelay
dhcprelaysecurityaddress-checkenable
#需要注意的是这种组网应用是中国电信最近才提出来的,所以这种配置只是在对外测试版本上才能生效。
目前该特性正在加紧开发,相信不久就有专门的命令行来支持该特性了。
7后记:
不久的将来,IPTV业务将如雨后春笋般在我国迅速发展。
可喜的是我们公司已经看到了IPTV业务所孕育的巨大商机,并采取了许多行之有效的措施。
作为一名对外测试测试工程师,我只希望能快速的将用户的需求反馈给研发,并著以文章,以飨大家。
附件一:
附件二:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 浅析 电信 IPTV 测试 应用 新技术