陆 兴
(广西广电新媒体有限公司,广西 南宁 530022)
交互式网络电视(IPTV)直播网络系统是IPTV集成播控平台与直播相关的所有网络的总称,包括直播信号的接入、编码、切换、监控及收录等模块网络。在信源组成上,当前广西IPTV 集成播控平台主要由中央集成播控总平台、广西广电网络提供主要频道的主备路信号,广西广播电视台提供本地频道信号。所有信号接入到IPTV 直播网络系统后,经过切换器保障处理后传送到运营商传输网络。同时,IPTV 集成播控平台内部存在对直播信号的使用需求,如监控、收录、转码供手机网站播出等,IPTV 直播网络系统除了需要考虑满足相关部门对直播频道可用率的要求之外,还保障内部直播信号使用需求系统能正常获取到直播信号。
在直播信号传输方面,广西IPTV 集成播控平台直播网络系统采用组播技术进行直播频道信号传输,满足灵活多样的直播业务需求以及相关部门的安全播出工作要求[1]。
在IPTV 发展前期,各地IPTV 集成播控平台基本采用如下两种方案搭建IPTV 直播网络系统。方案一,在直播交换机中将组播流虚拟局域网(Virtual Local Area Network,VLAN)透传到需要使用直播流设备互联交换机上,通过组播VLAN 复制或者PIM技术将组播传送到需要使用直播信号设备上,如信号监控设备、编转码设备以及收录设备等。方案二是将上述需要使用直播信号设备直接接入到直播交换机,直接提取直播交换机中的组播信号。这两种方案均存在较大的安全隐患,方案一可导致直播交换机的广播域延伸到其他网络设备,同时增加了广播域接入设备数量,方案二则增加了直播交换机广播域接入设备数量。两种方案均容易出现广播风暴或者设备组播地址配置错误干扰,大大增加了现网直播频道的播出安全风险。在播出安全为核心的广电行业,如此大的安全播出风险是无法接受的。
广西IPTV 集成播控平台在原有IPTV 直播网络系统设计模式基础上,引入了点播与直播分离的组网方式、单纤单向物理组播单向传输、全二层交换机设计、利用ACL 技术实现组播单向传播、全组播、强推等设计思路,很好地解决了上述两个方案存在的问题,适应新形势,在保证高安全的同时,满足了灵活多样的直播信号使用需求[2]。
IPTV 集成播控平台主要由直播和点播两个系统组成。点播系统需要与多个外部系统通信,安全风险偏高,而直播系统相对独立,只有直播相关系统需要与其对接,安全风险偏低,且直播系统保障等级最高。基于两个业务的保障级别不同,考虑到其相互独立性,在组网方式上,广西IPTV 集成播控平台采用点播与直播分离的设计方式,在架构上完成网络物理隔离。在直播业务流向上,所有直播信源直接汇聚到直播交换机,传送到切换后回到直播交换机,然后再由直播交换机传送到运营商传输网络、监控、编转码、收录等平台,全程在直播交换机中完成。同时,在物理保障方面,所有接入信源专线均为主备接入,输出信号专线也为主备接入,整个直播网络系统设备和专线均为冗余设计,确保任一设备或专线故障秒级切换,不影响直播信号传输,满足相关部门的安全播出要求[3]。
为满足直播频道的超高安全播出要求,广西IPTV 集成播控平台IPTV 直播网络系统在使用点播与直播分离的组网方式的同时,还采用了全二层组播的直播交换机设计思路。正常情况下,网络设备通信均通过传输控制协议(Transmission Control Protocol,TCP)完成,通过三次握手,完成业务通信。但该通信属于双向通信,存在一定风险。考虑到直播交换机只存在直播信号相关业务,业务间无TCP通信需求,当前仅剩下对交换机的设备管理和监控需要使用到TCP 协议通信。调研发现,交换机带外管理接口与交换机业务流量出于不同交换层面,相互隔离,同时外管理接口可完成交换机设备管理和监控需求,最后决定直播交换机只在带外管理接口上启用IP 地址,满足管理和监控通信需求,同时在带外管理接口上配置访问控制列表(Access Control Lists,ACL),只允许指定IP 通过该接口进行设备管理和监控通信[4]。
点播与直播分离的组网方式保证了IPTV 集成播控平台在架构上安全可靠,但是在业务需求上,存在多个需要使用到直播信号的业务系统,同时部分外部信源接入专线是点播和直播合在一根线传输,需要分离点播后再把直播传输到直播交换机。上述需求都要求直播交换机具备与外部进行直播信号交互的能力。因此,在当前架构设计基础上,需要新增直播交换机与点播网络交换机互联线,满足分离点播后直播信号由该专线传送到直播交换机,同时,直播交换机信号由该专线传送到点播网络,以备其他系统使用。新增该专线后,直播交换机将面临原有IPTV 直播网络系统的广播域扩大以及接入设备增多问题,大大增加了直播频道安全播出风险。为了解决该问题,广西IPTV 集成播控平台IPTV 直播网络系统特引入组播单向传输技术。
目前,组播单向传输技术物理上采用华为交换机光接口板单纤单向授权功能,逻辑控制上使用ACL 控制技术。正常情况下,交换机光口同时存在收发光才能正常启用,完成网络通信工作,但是收光和发光意味着双向通信,要物理上满足组播单向传输就需要实现交换机光口在只有单一方向的光时也能正常启用。通过与网络设备厂家沟通以及内部技术讨论,最后确定使用华为交换机光接口板中的单纤单向功能。该功能启用后,接口板上的光接口可配置实现仅有自带发光前提下启用接口通信功能。业务上,该功能的启用意味着交换机光口可以只发送数据出去,而不接收外部进来的任何信息。如果是TCP 类协议业务,此功能会导致业务无法正常通信,因为该类协议都需要双向交互完成通信。但是直播信号使用的是组播技术传播,组播协议可配置成强推模式,将直播信号推到指定组播地址和端口上,用户只需要知道地址和端口即可拉到直播流,无需与推流设备通信[5]。
单纤单向功能启用后,安全上满足有关部门对直播频道安全要求,但是组播协议默认是强推模式,即所有进入VLAN 的组播都会强制推送到配置有该VLAN 的所有接口上,即使设备只需要一个组播流,VLAN 中的所有组播流也会强推到该设备接入到VLAN 的物理接口,导致带宽浪费,同时存在带宽不足影响直播稳定性的风险。针对此问题,广西IPTV集成播控平台对网中组播配置进行了优化,开启组播监听模式,停用强推功能。组播监听模式开启后,需要主动拉流或者手动在需要组播流接口上面配置强拉指定组播流方能获取到直播信号,以此满足按需拉流的目的,在解决带宽浪费及直播风险的同时,达到所有分发直播流安全可控的效果,实现直播流最小权限分发原则。
单纤单向技术仅能在光接口板上通过购买授权的方式激活,实现物理上的组播流单向传出传输,在实际使用过程中,有不少通过以太网电口接入网络从而获取组播流的场景,在这种情况下,就无法依靠光口的单纤单向功能实现组播流单向传输,保证现网频道的播出安全。这时就需要使用交换机通用的ACL 技术,通过逻辑控制实现组播流单向传输控制。ACL 技术属于逻辑控制技术,对比单纤单向的物理方式,虽然安全性上偏差,但是在业务使用便利性方面优势明显。单纤单向仅能实现输出的单向传输,ACL 技术可以实现输入单向传输、输出单向传输,另外还能实现输入输出同时控制。
通过在专线接口处入方向先配置只允许接收的指定组播地址ACL,同时配置所有方向配置禁止所有IP 协议流量ACL,实现组播输入单向传输;在专线接口处出方向先配置只允许放行的指定组播地址ACL,同时配置所有方向配置禁止所有IP 协议流量ACL,实现组播输出单向传输;在专线接口入方向配置只允许接收的指定组播地址ACL,同时在出方向配置只允许放行的指定组播地址ACL,实现对组播的输入和输出同时控制,解决解决带宽浪费及广播域扩大风险,保证了直播频道播出安全[6]。
上述3 种组播控制模式使用的场景是不一样的。组播输入单向传输控制模式主要用于满足直播交换机外设备将组播流输送到直播交换机的需求,保障直播交换机能正常接收指定组播的同时与外部实现逻辑网络隔离;组播输出单向传输控制模式主要用于直播交换机将组播输送给外部直播信号使用平台,如运营商、监控、编转码等平台,保障按需输出组播到各平台的同时,直播交换机与各平台网络实现逻辑隔离;组播输入输出同时控制模式主要针对部分需要使用组播信号同时又向直播交换机提供组播信号的业务平台,如编转码系统,实现直播交换机与其保持网络逻辑隔离,确保直播交换机业务安全稳定运行,保障直播频道播出安全。
广西IPTV 集成播控平台直播网络系统适应新形势需求,在满足各类业务需求的同时,IPTV 直播频道可用率及安全防护水平完全达到相关部门的安全播出要求。截止目前,直播频道业务未出现任何安全播出事故,为广西广播电视行业安全播出工作交出了一份优秀的答卷。