OTT业务网络与安全规划设计探讨

广播电视网络面临的网络安全形势日益严峻，业务相关技术网络由相对简单、封闭逐渐向复杂、无边界化发展，导致面临的安全风险和威胁越发突出。行业关键信息基础设施的安全防护能力与其重要地位相比，仍然较为薄弱，难以有效应对高强度的网络攻击。云计算、大数据、移动互联网的发展应用，伴随着新的安全风险，尚缺乏有效的应对手段。OTT业务属于广电网络的增值业务，为了保证各类OTT业务安全稳定的运行，在进行网络与安全规划的时候，既要提高网络的可靠性，又要保证OTT业务的安全性。

本文探讨了通过采用VRRP+HRP等技术，再通过路由规划，可以实现业务上的图1 整体网络拓扑图“主-主”模式，在满足OTT业务可靠性的同时，满足业务的安全性要求。同时，还要考虑广电网络的IPv6 升级改造，即符合广电网络IPv6 规模部署和推进的整体规划，还要充分结合业务发展和用户终端的升级情况等因素，进行综合决策。整体拓扑图设计如图1 所示。可靠性设计规划可靠性是反映网络设备本身的稳定性以及网络保持业务不中断的能力，主要包括设备级可靠性、网络级可靠性和业务级可靠性三个层次。其中，业务级可靠性更多的是从业务管理的层面来要求的，要求业务不中断。整体网络可靠性在99.999%以上。在进行OTT网络设计规划时通常采用星型结构的网络设计，一般考虑如下原则：将网络划分为核心层、汇聚层、接入层；每层功能清晰，架构稳定，易于扩展和维护；将网络中不同的OTT业务划分为不同的模块，模块内部的调整涉及范围小，易于进行问题定位；关键设备采用双节点冗余设计、关键链路采用Trunk方式冗余备份或者负载分担、关键设备的电源、主控板等关键部件冗余备份。安全性设计规划OTT网络应具备有效的安全控制，按业务和权限进行分区逻辑隔离，对特别重要的业务采取物理隔离。因此，OTT平台在搭建过程中，需要两台数据中心级的安全网关，所有部件均采用全冗余技术，比如主控板、业务板及电源等，同时要支持“主-备”和“主-主”组网模式、端口聚合、VPN冗余、业务板负载均衡、双主控主备倒换技术的能力，从而能够提供高级别的安全防护能力和业务扩展能力。

作为安全网关，优异的地址转换性能和VPN性能也是对OTT业务的强大支撑。比如基于IP的转换、基于端口的转换、语音多媒体等业务流量的多通道协议NAT转换、无数目限制的PAT方式转换、域内NAT以及双向NAT等，以满足各种NAT应用场景。随着OTT业务更多在公共网络上的传输，拥有最佳的VPN性能能满足大量业务的加密传输要求。比如支持4over6 、6over4 的VPN技术，以保证网络从IPv4-IPv6 演进过程中VPN传输需求。安全网关如何抵抗外部威胁，提高网络安全，还体现在入侵防御功能上，可以对系统漏洞、未授权自动下载、欺骗类应用软件、广告类软件、异常协议、P2P异常等多种威胁进行防护。安全网关还要求能实时捕获最新的攻击、蠕虫及木马等威胁，为网络提供强大的防御能力。为满足网络向IPv6 的平滑演进，保证业务的稳定运行，安全网关需要支持随着IPv4 地址的枯竭，网络能向IPv6 平滑演进，并确保业务稳定运行。安全网关还要具有NAT44 、NAT64 等多种过渡功能，为未来的网络演进及业务过渡提供高效、灵活和放心的解决办法。IPv6 设计规划根据《广播电视媒体网站IPv6 改造实施指南(2018)》下达的广播电视媒体网站IPv6 改造实施的总体目标，确定过渡技术的选择和各网络设备对过渡技术的支持情况，规划原则：在不影响现网业务的基础上完成用户发展指标，降低网络风险；IPv6 改造顺序应按照“承载环境先行，业务接入随后，网管安全支撑按需”的原则进行；IP承载网是提供IPv6 端到端连接的根本，需要先行改造支持IPv6 ；业务网、各类接入网是发展IPv6 用户的关键，应在承载具备条件的基础上逐步改造，支持IPv4/IPv6 双栈方式；网管系统、支撑平台等应根据网络、业务的升级步骤按需改造，相关接口仍采用IPv4 协议，接口内部相关字段支持IPv6 地址；从IPv4-only向IPv6-only演进还需要遵循两个原则：首要原则是“不影响现网业务(IPv4/1Pv6)的正常运行”。IPv4 设备上部署IPv6 协议或者双栈设备关闭IPv4 协议和服务时，用户应该感知不到基础网络升级到IPv4/IPv6 双栈或者从双栈到IPv6-only的变化。次要原则是“兼容现有终端设备，不能强制用户升级或者更换自己的终端设备，如PC、平板电脑和机顶盒等”。

对于OTT业务网络，可以建设为IPv4 和IPv6 双栈网络，或者建设IPv6-only网络。如果直接规划或建设成IPv6-only网络，那么针对目前IPv4 流量占比相对较高的情形，就需要考虑IPv4 网络和IPv6 网络互通场景，考虑IPv4 客户访问IPv6 服务场景，IPV6 的客户访问IPv4 服务场景，通过IPv4 网络连接两个IPv6-only网络场景等。对于现有的OTT业务网络，不可能对所有不支持IPv6 的设备进行更换，所以对支持IPv6 的设备直接开启IPv6 功能，同时运行IPv4 和IPv6 协议栈，实现双栈。OTT业务系统在广电城域网中实际部署的过程中，为了保证业务系统的稳定性、安全性以及未来IPv6 升级改造中的扩展性，可以通过在OTT业务的互联网出口处部署两台高性能的安全网关。这两台安全网关可以通过“主-主”或者“主-备”的模式运行，将不同的OTT业务通过划分不同的DMZ区进行隔离，然后根据不同OTT业务实际的运行流量，在安全网关上进行系统资源的重新分配，其中包括CPU、内存等。在DMZ区之间、Intranet区、Extranet区等不同的安全区之间，通过安全网关的安全策略进行访问控制，精确到协议和端口号，严格控制合法流量的流入和流出。通过安全网关的NAT功能，实现私网地址向公网地址，公网地址向私网地址的互相访问。同时，要求安全网关已经实际配置IPv6 功能，给未来的NAT46 、NAT64 等业务留下充足的扩展空间。