通过CNR管理HFC网络

刘洋

（太原有线电视网络公司，山西太原030012）

通过CNR管理HFC网络

刘洋

（太原有线电视网络公司，山西太原030012）

在三网融合的背景下，广电系统的市场被不断蚕食，市场竞争的压力也在不断增大，而拥有一个可控的优质网络，才是在这种劣势环境中的安身之本。CNR+CMTS的模式是更贴近于广电现状的方案，更加符合广电人的实际需要。

三网融合；CNR+CMTS；广电

引言

在现有的广电行业中，网络的部署大部分以HFC网为主，虽然部分广电已经在网络中部署了光纤加同轴的网络，但CNR+CM的管理模式以及DOCSIC中关于QOS的管理，对于用户体验的保证依然值得借鉴。

1　CMTSProvision系统简介

在DOCSIS标准中规定了CMTS业务的Provision流程，作为CMTS/CM接入网络的运营管理系统，Provision系统需要支持以下业务进程：

1）为CM和各类CPE提供DHCP服务；

2）为CM提供Config－File的TFTP下载服务；

3）为CM进行认证和业务细分（用户组识别）。

各广电运营商由于对于业务要求的不同，所以对于Provision系统的需求也会有所差异，不过，以下几个部分基本上是所有CMTSProvision系统都需要包含的：

1）Provision Server（CNR）；

2）外部数据库（LDAP）；

3）外部数据库和BOSS系统接口。

2　CISCO Provision Server——CNR介绍

CNR——Cisco Network Registrar是一个使用动态主机配置协议DHCP的动态IP地址管理系统，它为预定策略（如CoS）网络中的PC机和其他设备分配IP地址。CNR从基于所请求的设备及策略的身份和型号的地址池中取出有效的IP地址来进行分配。例如，CNR能够辨别已注册设备、未注册设备和已经分配特殊CoS的已注册设备。

CNR提供用户稳定的IP结构，客户配置和预备线缆调制解调器的自动网络服务。由于具有综合其它网络结构软件和商业应用的唯一特性，CNR使企业和服务提供商用户操作网络的费用下降。

CNR也提供通过编程和脚本的定制而能够浏览个别DHCP选项的扩展，确定基于选项内容的设备身份和型号，并分配设备给预先确定的类别和组。使用这些扩展，你能够确定PC机和线缆调制解调器的不同并从不同的地址池分配IP地址给它们。

2.1CNR的性能

1）可升级，支持动态DNS的多进程DNS服务，增加的区域传输和通报。

2）支持BOOTP的全性能DHCP服务，动态BOOTP，多引导，用户等级和路由器第二地址。

3）使用DHCPSafe Failover协议的冗余DHCP业务，在该协议在单点失败时，除去DHCP服务，避免了较早Safe Failover协议中所发现的地址分配完全相同的问题。

2.2CNR的优点

CNR包括广泛的独特和标准的性能，该性能在竞争性产品和公共域软件上给用户带来许多好处。最大的好处是稳定了IP结构，自动网络服务和策略网络的预备。

2.2.1稳定的IP结构

第一个关键的好处是带领CNR发展的策略。这个策略保持DNS、DHCP和IP地址管理不独立于操作系统，因而自带应用软件，更适合于大型网络结构。因此，CNR的第一关键好处是DNS/DHCP应用。以下所描述的这些关键特性的公共目的是使DNS/DHCP结合于整个网络结构，并使用户注册、服务提供和策略网络等服务能够实现。

CNR是基于注册结构、执行DNS和DHCP服务应用的先进框架。结构保证每种服务都是多进程的，确保多处理器系统的可伸缩性。结构包括内部运行时间数据库，该数据库规定了性能、数据完整、有效的磁盘和存储器的利用，在网络管理上没有复杂的数据库管理任务结构也确保交叉平台功能的一致。

2.2.2CNR设计结构给CISCO用户提供众多的好处

所有服务都使用了现代发展技术，提供可伸缩性、可靠性、灵活性和特性。而竞争产品依赖于公共域或第三者服务软件，它们的发展过程不可控制，新性能的时间线不可预知。

CNR中的运行时间允许DNS和DHCP服务有效地使用内存，在磁盘上存储像DNS缓存表这样的数据。BIND在启动时使用文本文件，但以后就完全基于内存。BIND消耗了增长的物理内存数量，当内存耗尽时，BIND求助于操作系统的内存分页功能，这会导致BIND性能和服务器上的每种应用严重降级。

CNR是市场上第一具备大多数DNS和DHCP标准并具有帮助用户解决商务问题的独特和创新性能的产品。包括DNS动态升级协议（RFC2136）、带宽保持DNS增加的区域传输协议（RFC 1995）和独特的解决异常事件和分区隐匿性能。

CNR也是市场上第一家具有DHCP安全FAILOVER协议的“安全”版本的产品。早期的FAILOVER协议在网络失败导致分区时允许重复的IP地址分配。CISCO工程师设计并实现了增强的防止重复地址分配的FAILOVER协议。增强的FAILOVER协议是因特网工程任务组（IETF）致力于DHCPFAILOVER标准化的基础。

2.3自动网络服务

CNR允许网络管理者使网络服务自动化象IP地址管理，客户配置和线缆调制解调器预备。在上千和上万设备的大型动态网络中，移动、增加和改变都可能导致差错并且消费昂贵。有了CNR灵活的DHCP服务，网络结构应用过程就能够自动和完整。

2.4策略网络的预备

Cisco保证策略网络将允许网络管理者展开服务质量（QoS）和基于应用和用户通过智能网络的安全策略。今天，网络设备（交换机、路由器和防火墙）都实施了QoS和IP地址安全策略。

用户身份、IP地址、介质访问层MAC和网络策略之间的映射是必须的。目前，CNR可以提供MAC地址和IP地址之间的映射，并与支持用户ID和 MAC地址之间映射的其他应用结合在一起。将来，这些CoS和目录服务能力将与Cisco保证策略网络结合以使基于用户的网络策略能够实现。CNR完成CABLE环境中的DHCP SERVER，TFTP SERVER, TOD server，成为CABLE环境下的核心支撑配置服务器。

3　以某广电Provision系统部署规划为例

3.1总体部署架构

某广电规划以某市为首，在整个城市部署CMTS接入网，所以Provision系统的部署必须要切合CMTS的部署结构。

部署的原则如下：

CNR以地市为单位，采取分布式部署。

CNR进行功能性分组，面向不同的终端类型。

CNR采取Failover热备份，提高可用性。

LDAP部署根据BOSS部署结构来定，以在市区集中部署为主。

3.2CNR功能性分组部署

CNR的功能性分组部署是以终端类型为基础的。某广电是以成为多业务运营商（MSO）为目的来建网的，所以，网内必然存在多种终端设备来支撑不同的业务。主要的终端设备有以下几种：Cable Modem、用户PC、双向机顶盒、MTA/EMTA。

从Provision的角度上来讲，各种终端的进程是不相同的，如果我们把所有种类终端的Provision都集中到一台Provision Server上，那么在设备性能、后台认证等方面，都是不利的，所以建议，将不同的终端，指向到不同的Provision Server上。

从目前**广电规划的业务来看，我们需要将CNR在功能上分为CM、PC、STB三个组。

多终端的Provision指向主要依靠CMTS来完成。UBR系列CMTS所有的IOS都可以区分CM和CPE（Host）的DHCPDiscovery。最新的IOS已经可以支持区分普通PC，MTA，STB的DHCPDiscovery。

对于STB的区分，需要在机顶盒的DHCP DISCOVER及DHCPREQUEST的消息包中，加入option60，内容为“openCable2.0:xxxxxxx”的NVTASCII字符串（不以NULL结尾），其中，“openCable2.0”用于标识机顶盒（与普通CPE相区别），“:xxxxxxx”由厂商自己具体实现，可用于标识厂商。

3.3CNR高可靠性（Failover）部署

CNR是支持DHCP安全FAILOVER协议的“安全”版本的产品。早期的FAILOVER协议在网络失败导致分区时允许重复的IP地址分配。CISCO设计并实现了增强的防止重复地址分配的FAILOVER协议。增强的FAILOVER协议是因特网工程任务组（IETF）致力于DHCPFAILOVER标准化的基础。

Failover帮助CNR提高可用性，将两台CNR建成一个组，一条主用一台备用，两台将通过心跳协议保持，当备用CNR发现主用CNR无法正常工作的时候，可以改变自己的状态为主用。

需要注意的是，主要和备用CNR的IP地址分布是不同的，我们可以通过百分比来决定一个IP地址池内的地址，有多少配置在主用，多少配置在备用。这样作的好处是，一旦备用CNR接手服务的时候，绝对不会发生重复发送IP地址，造成地址冲突的情况。

3.4CNR各地市部署规划

每个地市都需要部署一个CNR组。通过上面两节的分析，一个CNR组从功能上要分为CM、PC和STB，而每一个功能的CNR为了高可用性，需要部署主备两台，这样一个CNR组就需要6台CNR服务器组。

一个CNR服务器组可以按照用户接入量的规划，服务5万的终端。如果发生用户量暴增，需要扩容，可以采用平行扩容的结构，对发生性能瓶颈的CNR扩容。如果用户量比较大，可以在初期的规划中就部署4组CNR，按照市区的不同的区域进行部署。

CNR支持Regional Server，即建立一个统一的CNR管理组（RICServer），这个CNR组不提供业务服务，是专为网管运维人员统一配置和管理部署在不同地域的CNR服务器组的。如果某广电的运维部门统一在市区，那么可以部署一套RICServer,以方便运维和网管。

3.5LDAP部署

作为CNR的外置数据库，LDAP的部署应该和BOSS系统的设计关联起来。LDAP也应该部署多台，同一功能的LDAP间可以用failover进行同步，保证各台LDAP间的数据统一。如果BOSS的数据库集中部署在市区，那么，LDAP也建议集中部署在同一位置。

如果BOSS的数据库分部在各个地市，那么LDAP也可一分布式部署，不过这样的部署，不利用管理，不建议这样部署。

CNR可以设定和多个LDAP组进行连接，不同的LDAP组将按照设定的优先级排序。即，假定有CNR－X，CNR－Y以及LDAP－A，LDAP－B，CNRX可以设定LDAP－A为高优先级，LDAP－B为低优先级，在两个LDAP组都工作正常的情况下，优先使用LDAP－A，当LDAP无法工作时，CNR－X将使用LDAP－B。而CNR－Y的设置则相反。

这样的部署，即保证CNR和LDAP之间连接的高可用性，又利用交叉设计，对于不同LDAP服务器进行负载均衡。

3.6LDAP和BOSS的数据接口

LDAP是一种标准的数据结构，目前比较通用的是SUNONEDirectory Server或者Open LDAP。

SUNONEDirectory Server支持SDK for JAVA的API，通过这样的API，BOSS可以建立和LDAP的数据接口，实现向往数据业务的同步和查询。

3.7地址分配策略

DOCSIS接入系统中，Cable Modem以及各类CPE（PC，STB，IAD等）都是需要获得IP地址的。

对于CableModem，由于在实际数据传输中，作为一个二层的桥接设备，其IP地址只是作为管理使用，所以建议分配私网地址。

对于IAD和STB，这样的由运营商管理的终端，其业务主要由运营商内部的应用服务提供，所以一般也是使用私网地址。

对于用户PC，用户的PC主要使用来Internet上网的，对于较大型的运营商，一般使用公网IP，也不排除一些规模较小的运营商使用私网地址，然后在出口的地方使用NAT/PAT进行地址转换。

4　基于Provision系统的认证

4.1CableModem认证

利用Provision系统结合用户数据库进行Cable Modem的认证。

由于CableModem都是由运营商管理的，较常用的认证方式是利用Cable Modem的MAC地址来进行用户合法认证。

只需要在用户信息数据库中调整用户的Cable Modem所在用户组信息，就可以将用户放到不同的服务类别中。无法查询到用户组信息的Cable Modem，即被认为非法CM，无法获得合法的地址，或者合法的策略。

除了查询的进程，同时Provision系统还需要将CM的整个上线情况同步到LDAP，且进一步同步到BOSS系统中，方便查询用户信息，和排除故障。

整个查询和同步的步骤如：

1）BOSS向LDAP同步用户信息。

2）CM向CNR发起DHCP请求。

3）CNR提取CM DHCP请求（主要是MAC地址），向LDAP发起用户查询（认证）。

4）LDAP查询到用户信息后，返回给CNR。

5）CNR将用户的认证情况（IP、策略）通过DHCP响应，发给CM。

6）LDAP同时将CM上线信息发送给BOSS系统。

4.2STB认证

双向机顶盒是由运营商控制的终端，所以对于STB的Provision，也需要进行认证，以防止非法的机顶盒拿到IP地址和策略。

STB的认证进程和CM类似，需要CNR向LDAP发起查询，获得响应以后，发送IP地址和策略给STB。

4.3增强的认证功能

在国内的一些已经使用的双向机顶盒运营商环境中，已经发现有改写STBMAC地址，冒充合法的STB，从而获得IP地址，并且盗取服务的现象出现。这对双向视频业务带来了很大的安全隐患。

由于对于双向视频业务的CA，在整个业内，目前还没有一个标准或者行业用法，所以，对于这样的现象，我们将采取Provision系统的增强认证功能，来尽量避免这样盗用服务的情况出现。

4.4STB和CM的绑定认证

对于STB在Provision系统中的认证，我们建议，除了基本的MAC地址以外，我们应该还对STB所连接的CM共同认证，即，每个STB的MAC都和运营商规定的CM（同时发送给用户的）的MAC相关联，这样，即使STB的MAC信息被用户盗用，但是，如果提供的CM的MAC不能匹配，盗用的STB仍然无法获得合法的IP和策略。

关键的步骤如下：

1）提取STB的DHCPDiscovery中的MAC地址信息。

2）提取STB的DHCPDiscovery中的Option82中的Remote ID（CM的MAC地址信息）。

3）合并STB的MAC和CM的MAC，到LDAP进行组类别查询。

4）根据LDAP返回的组类别信息，判定机顶盒是否为合法。

需要注意的是，由于CNR向LDAP提交的认证信息中将STB的MAC和CM的MAC合并，所以BOSS系统向LDAP写入的机顶盒信息的时候，也需要将两个MAC地址合并写入。

5　BPI+

在STB和CM的MAC合并进行认证的情况下，只是修改STB的MAC已经无法盗取服务，但是我们不能排除同时修改STB和CM的MAC的情况出现，这样，我们就需要BPI＋。

5.1BPI+的物理定位

BPI＋是定义在DOCSIS1.1标准中的安全措施，主要是为了防止修改CM的MAC地址来盗取或者监听服务。

BPI＋的具体防护思路是，所有支持BPI＋的CM都需要在生产时就植入由CableLabs提供的一份证书（欧美标不同），而CMTS上也会安装相应的证书。当CM和CMTS进行数据传递的时候，植入的证书和CM的MAC地址将会产生一个密钥，数据在传递到对端的时候，对于进行MD5的加密，而解密就需要这个密钥。私改MAC地址的CM，由于无法产生同样的密钥，所以无法解密合法的流量信息，也就避免了业务被盗用。

BPI＋的实施要求：

1）CM必须通过DOCSIS1.1以上认证，并植入CableLabs提供的证书。

2）CMTS必须通过DOCSIS1.1以上认证，并安装CableLabs提供的证书。

3）在给CM的Config－file中，激活BPI＋。

5.2CM的物理定位

一般的CM认证由于采取的认证依据只是CM的MAC地址，所以一个合法的CM可以在网内所有的CMTS下进行漫游，这对用CM来实现多业务（个人数据业务，企业数据业务，视频业务），也是个安全隐患。

将CM进行物理定位，即，每个CM都只能在限定的物理范围内（映射到CMTS的一个三层端口）上线。CM的物理定位也是通过Provision系统的增强认证功能来实现。

实现方式如:

1）提取CM的DHCPDiscovery中的MAC地址信息。

2）提取CM的DHCPDiscovery中的Giaddr（CMTS的三层地址信息）。

3）合并CM的MAC和Giaddr，到LDAP进行组类别查询。

4）根据LDAP返回的组类别信息，判定CM是否为合法。

需要注意的是，由于CNR向LDAP提交的认证信息中将CM的MAC和Giaddr合并，所以BOSS系统向LDAP写入的机顶盒信息的时候，也需要将两个信息合并写入。

6　BOSS系统建议

广电宽带业务运营因其与电信运营十分相似，建议采用比较成熟的三户实体模型，“三户模型”是各省移动、网通公司等传统运营商遵循的实体逻辑模型，三户即客户、用户和帐户，它来源于ETom的模型。近些年来，三户模型已经在电信行业成为建设运营支撑系统普遍运用的模型，三户模型也是根据营销模型转向“以客户为中心”理念而产生的结果，客户的需求成为支撑系统信息模型不断趋于完善的主要驱动力。与客户这个实体概念关联最为紧密的概念就是用户和帐户，这三者之间的关系应该是一个相互关联但又是独立的三个实体，这种关联只是一个归属和映射的关系，而三个实体本身是相互独立的，分别是体现完全不同的几个域的信息，客户是体现了社会域的信息，用户体现了业务域的信息，帐户体现的是资金域的信息。对比广电与电信行业的业务特点，分析各自的运营规则，“三户模型”同时也是广电数据业务运营支撑系统的最佳选择之一。

（编辑：刘楠）

CNR M anagement Through HFC Network

Liu Yang
(Taiyuan Cable Television Network Co.,Ltd.,Taiyuan Shanxi030012)

In the context of triple play,radio and television systems market has been continuously eroded.The pressure of market competition is also increasing.A controllable network quality is the foundation for its developmentunder such environment.CNR+CMTS model is more close to the current situation of radio and television programs,and more in line with the actual needs of radio and television.

triple play;CNR+CMTS;radio and television

TN943

A

2095-0748(2016)21-0096-05

10.16525/j.cnki.14-1362/n.2016.21.43

2016-10-10

刘洋（1986—），男，辽宁建平人，本科，现就职于太原有线电视网络公司，助理工程师，研究方向：三网融合。