组播技术白皮书(2)

ChinaItLab

　　3　　 组播组网结构
　　3.1单域网络组播组网
　　
　　目前，PIM-SM 协议是域内组播的公认标准。对于由一个自治域组成的网络，或者组播仅在域内进行时，仅需在网络中运行 PIM-SM 协议即可。为了增强 PIM-SM 中 RP 节点的可靠性，以及对网络中的组播流量进行分担，可在网络中选取若干 RP 点，运行 Anycast RP，达到冗余备份，负载分担的目的。
　　
　　Anycast RP 的机制概括为：多个 RP 配置一个相同的 Anycast RP 地址，这个地址使用 RP 上的一个接口（通常是逻辑接口，如 LoopBack 接口）。之后 RP 使用这个接口地址对外发布组到 RP 的映射信息。由于使用的是 Anycast RP 地址，所以组成员在加入时，会向拓扑距离最近的一个 RP 发起。在这些 RP 之间使用各自不同的地址建立 MSDP 连接，利用 MSDP 实现信源信息在所有 RP 之间的同步。Anycast RP 实际上是 MSDP 在域内的一个特殊应用。
　　
　　使用 PIM-SM 协议的单域网络组播组网如下图所示。
　　 　
　　3.2跨域组播组网
　　针对网络支持组播的能力不同，跨域组播组网可以采用下面三个方式。
　　
　　3.2.1全网支持组播组网?PIM-SM / MBGP / MSDP方案
　　如下图所示，在全网都运行 PIM-SM，域间运行 MBGP、MSDP。也就是说，域内的组播路由和组播源信息收集工作由 PIM-SM 完成，域间由 MBGP 来传播具有组播拓扑信息，MSDP 传播组播源信息。这种方案要求所有的自治域都支持 PIM-SM、MBGP和MSDP。PIM-SM / MBGP / MSDP 方案是域间组播组网较成熟的方案，UUNET、Sprint 等的跨域组播都使用这种方式组网。
　　 　
　　在PIM-SM / MBGP / MSDP 组合方案中，自治域边界路由器之间配置外部 MBGP 对等，RP 之间配置外部 MSDP 对等；自治域内部路由器之间根据需要配置内部 MBGP 对等，内部 RP 之间配置内部 MSDP 对等，运行 Anycast RP。所有的自治域都运行 PIM-SM 协议。
　　
　　3.2.2骨干不支持组播组网?PIM-SM /　隧道（MBGP&MSDP）
　　如下图所示，在骨干网不支持或不运行组播的情况下，在城域网内部运行 PIM-SM，各个城域网的 RP 节点与其他城域网 RP 节点之间通过隧道构成虚拟网络，在此虚拟网络中运行 PIM-SM、MBGP、MSDP。这种方案的优势是不要求骨干支持 PIM-SM、MBGP、MSDP，组播流量对骨干网络来说是透明的，可以避免组播报文转发对设备性能造成的影响。缺点是要求 RP 节点之间既要支持 PIM-SM，还要支持 MBGP 和 MSDP 隧道，配置和管理繁琐，对设备要求较高。
　　 　
　　3.2.3PIM-SM / 隧道（PIM-DM）
　　如下图所示，城域网内部运行 PIM-SM，各个城域网的 RP 节点与其他城域网的 RP 节点之间通过隧道构成虚拟网络，在此虚拟网络中运行 PIM-DM。这种方案的优势是不要求骨干支持 PIM- SM、MBGP 和 MSDP，组播流量对骨干网络透明，因此也不需要在骨干上保存大量的组播路由状态；缺点是 RP 节点之间运行 PIM-DM，组播流量定期扩散可能会造成骨干网的带宽浪费。
　　 　
　　4　　 组网业务管理-受控组播
　　IP 组播技术对于新的多媒体业务的开展具有重要的意义，但是，组播业务目前在运营方面还存在用户管理、业务管理等方面的问题。
　　
　　首先，组播协议中没有提供用户认证支持，用户可以随意加入一个组播组，并可以任意离开。组播源无法知道用户何时加入，何时退出，无法统计出某个时间网络上共有多少个用户在接收组播流量。组播源也缺少有效的手段有效控制组播信息在网络上传送的方向和范围。
　　
　　另外，组播协议在安全上也没有提供可靠的保证。在网络上的任何用户都可以作为组播源发送组播流量，在组播系列协议中缺乏对组播源可靠的控制，同样也无法对用户进行有效控制。在一个支持组播的网络中，存在组播节目冲突问题，也存在非法组播源传播的问题。
　　
　　因此，尽管组播技术具备开展新业务的许多优势，并且协议日臻完善，但开展组播业务还面临着组播用户认证、组播信源安全性和组播流量扩散安全性等问题。结合目前网络的特点，组播技术和应用的实际情况，华为3Com公司在完全符合标准组播协议的基础上，提出受控组播技术（包括组播信源管理、组播用户管理和组播安全控制），有效的解决了当前组播业务开展所遇到的各种问题。
　　
　　4.1组播信源管理
　　信源管理是指在组播流进入骨干网络前，组播业务控制设备应负责区分合法和非法媒体服务器，转发合法的组播信息流，阻断非法的组播信息流。
　　
　　在网络规模比较大的情况下，手工配置信源管理信息的工作将变得非常复杂，阻碍网络的发展。为了解决上述问题，华为3Com公司采用 QUIDWAY 业务管理平台实现组播信源管理，如下图所示。采用 QUIDWAY 业务管理方式，可以很容易完成信源管理配置，增加和删除信源控制表项，保证整个网络表项的一致性。实现了信源的控制后，弥补了由于组播协议自身缺点带来的非法媒体服务器对网络带宽的占用，保证了骨干网络的安全和稳定性。
　　 　
　　4.2组播用户管理
　　组播业务管理的另一个内容是用户管理。
　　
　　标准组播协议没有考虑用户的管理，而且从目前组播应用的情况看，在很多组播业务运营（包括国内外目前正在运行或测试的组播业务）中，用户管理仍未得到很好的解决。组播业务作为一项增值业务，对用户进行控制管理是必不可少的。
　　
　　整体上讲，组播业务的用户管理可以分为两大类：一、用户已经接收到组播数据，但必须通过认证后才能“看到”相应的组播内容；二、用户必须先通过认证才能接收和“看到”相应的组播内容。
　　
　　第一类用户管理的实现对中间设备的要求比较低，中间设备只需支持标准的组播协议，保证用户收到组播数据，其它工作都由客户端软件完成，即基于客户端软件实现组播用户管理。基于软件模式的组播用户控制了实现上比较简单，虽然可以控制到具体用户，但是以网络带宽被占用为代价（没有权限的用户也会收到组播流量），也不利于组播的统一管理。
　　
　　第二类用户管理目前的解决方式是，控制到二层交换机的接口或 VLAN，通过 802.1X 协议来实现。二层设备首先根据 802.1X 对用户的组播权限进行验证，如果验证通过，则二层设备接收用户的 IGMP 加入/离开的信息，并建立相应的转发表项，允许用户接收组播流量。否则，丢弃用户的 IGMP 报文，禁止用户接收组播流量。
　　
　　为了进一步提高对用户的权限控制，在上述验证通过后，QUIDWAY 业务管理平台可以为该用户建立组播访问规则表项，用户只能访问授权的组播服务。当用户加入某个组播组，二层设备首先到 QUIDWAY 业务管理平台进行用户的业务认证。如果认证通过，二层设备生成到用户的组播通道；否则禁止用户加入。
　　
　　二层设备与 QUIDWAY 业务管理系统结合起来，可以在全网范围内进行组播用户认证和授权。
　　 　
　　4.3组播安全控制
　　在标准的组播中，接收者可以加入任意的组播组，也就是说，组播树的分枝是不可控的，信源不了解组播树的范围与方向，安全性较低。为了实现对一些较重要的信息的保护，需要控制其扩散范围，华为3Com的静态组播树方案就是为了满足此需求而提出的。静态组播树就是组播树事先配置，控制组播树的范围与方向，不接收其他动态的组播成员的加入，这样能使组播信源的报文在规定的范围内扩散，如下图所示。通过配置静态组播树，可以满足高价值用户的安全需求。
　　
　　5　　 结论
　　随着宽带化成为建设信息高速网络架构的重点，许多城市的城域网接入到核心各个部分都实现了宽带化，架构了以 IP 为基础的无阻塞数据承载平台。
　　
　　网络的宽带化不仅是为了让人们在宽阔的信息高速公路上更顺畅地进行交流，而且人们越来越希望宽带网络带来更直观更丰富的多媒体信息表现。组播技术为多媒体业务的开展提供了传送技术的基础。
　　
　　组播技术涵盖了从地址方案、成员管理、路由和安全等各个方面，其中组播地址的分配方式、域间组播路由以及组播安全等仍是研究的热点。从目前的情况看，组成员管理普遍采用 IGMPv2；PIM-SM 因其良好的扩展性和从共享树向信源树转换的能力而成为域内组播路由的首选协议；域间路由技术现阶段普遍采用 PIM-SM / MBGP / MSDP 协议组合的方案，为了适应运营商不同的组网需求，我们还提出了其它方案可供选择。
　　
　　组播技术可以提供包括流媒体、视频会议在内的各种宽带增值业务，但业务的顺利开展还依赖于有效的业务管理、监控及安全控制。结合在业务运营管理方面的理解和经验积累，华为3Com公司提供不断完善的可运营可管理的受控组播解决方案。作为组播国标制定的主要承担单位，我们将继续致力于推动组播技术的发展，以及组播业务的普及和功能的完善。