廣播電視網(wǎng)絡面臨的網(wǎng)絡安全形勢日益嚴峻，業(yè)務相關技術網(wǎng)絡由相對簡單、封閉逐漸向復雜、無邊界化發(fā)展，導致面臨的安全風險和威脅越發(fā)突出。行業(yè)關鍵信息基礎設施的安全防護能力與其重要地位相比，仍然較為薄弱，難以有效應對高強度的網(wǎng)絡攻擊。云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)的發(fā)展應用，伴隨著新的安全風險，尚缺乏有效的應對手段。OTT業(yè)務屬于廣電網(wǎng)絡的增值業(yè)務，為了保證各類OTT業(yè)務安全穩(wěn)定的運行，在進行網(wǎng)絡與安全規(guī)劃的時候，既要提高網(wǎng)絡的可靠性，又要保證OTT業(yè)務的安全性。

本文探討了通過采用VRRP+HRP等技術，再通過路由規(guī)劃，可以實現(xiàn)業(yè)務上的圖1 整體網(wǎng)絡拓撲圖“主-主”模式，在滿足OTT業(yè)務可靠性的同時，滿足業(yè)務的安全性要求。同時，還要考慮廣電網(wǎng)絡的IPv6 升級改造，即符合廣電網(wǎng)絡IPv6 規(guī)模部署和推進的整體規(guī)劃，還要充分結(jié)合業(yè)務發(fā)展和用戶終端的升級情況等因素，進行綜合決策。整體拓撲圖設計如圖1 所示。可靠性設計規(guī)劃可靠性是反映網(wǎng)絡設備本身的穩(wěn)定性以及網(wǎng)絡保持業(yè)務不中斷的能力，主要包括設備級可靠性、網(wǎng)絡級可靠性和業(yè)務級可靠性三個層次。其中，業(yè)務級可靠性更多的是從業(yè)務管理的層面來要求的，要求業(yè)務不中斷。整體網(wǎng)絡可靠性在99.999%以上。在進行OTT網(wǎng)絡設計規(guī)劃時通常采用星型結(jié)構的網(wǎng)絡設計，一般考慮如下原則：將網(wǎng)絡劃分為核心層、匯聚層、接入層；每層功能清晰，架構穩(wěn)定，易于擴展和維護；將網(wǎng)絡中不同的OTT業(yè)務劃分為不同的模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進行問題定位；關鍵設備采用雙節(jié)點冗余設計、關鍵鏈路采用Trunk方式冗余備份或者負載分擔、關鍵設備的電源、主控板等關鍵部件冗余備份。安全性設計規(guī)劃OTT網(wǎng)絡應具備有效的安全控制，按業(yè)務和權限進行分區(qū)邏輯隔離，對特別重要的業(yè)務采取物理隔離。因此，OTT平臺在搭建過程中，需要兩臺數(shù)據(jù)中心級的安全網(wǎng)關，所有部件均采用全冗余技術，比如主控板、業(yè)務板及電源等，同時要支持“主-備”和“主-主”組網(wǎng)模式、端口聚合、VPN冗余、業(yè)務板負載均衡、雙主控主備倒換技術的能力，從而能夠提供高級別的安全防護能力和業(yè)務擴展能力。

作為安全網(wǎng)關，優(yōu)異的地址轉(zhuǎn)換性能和VPN性能也是對OTT業(yè)務的強大支撐。比如基于IP的轉(zhuǎn)換、基于端口的轉(zhuǎn)換、語音多媒體等業(yè)務流量的多通道協(xié)議NAT轉(zhuǎn)換、無數(shù)目限制的PAT方式轉(zhuǎn)換、域內(nèi)NAT以及雙向NAT等，以滿足各種NAT應用場景。隨著OTT業(yè)務更多在公共網(wǎng)絡上的傳輸，擁有最佳的VPN性能能滿足大量業(yè)務的加密傳輸要求。比如支持4over6 、6over4 的VPN技術，以保證網(wǎng)絡從IPv4-IPv6 演進過程中VPN傳輸需求。安全網(wǎng)關如何抵抗外部威脅，提高網(wǎng)絡安全，還體現(xiàn)在入侵防御功能上，可以對系統(tǒng)漏洞、未授權自動下載、欺騙類應用軟件、廣告類軟件、異常協(xié)議、P2P異常等多種威脅進行防護。安全網(wǎng)關還要求能實時捕獲最新的攻擊、蠕蟲及木馬等威脅，為網(wǎng)絡提供強大的防御能力。為滿足網(wǎng)絡向IPv6 的平滑演進，保證業(yè)務的穩(wěn)定運行，安全網(wǎng)關需要支持隨著IPv4 地址的枯竭，網(wǎng)絡能向IPv6 平滑演進，并確保業(yè)務穩(wěn)定運行。安全網(wǎng)關還要具有NAT44 、NAT64 等多種過渡功能，為未來的網(wǎng)絡演進及業(yè)務過渡提供高效、靈活和放心的解決辦法。IPv6 設計規(guī)劃根據(jù)《廣播電視媒體網(wǎng)站IPv6 改造實施指南(2018)》下達的廣播電視媒體網(wǎng)站IPv6 改造實施的總體目標，確定過渡技術的選擇和各網(wǎng)絡設備對過渡技術的支持情況，規(guī)劃原則：在不影響現(xiàn)網(wǎng)業(yè)務的基礎上完成用戶發(fā)展指標，降低網(wǎng)絡風險；IPv6 改造順序應按照“承載環(huán)境先行，業(yè)務接入隨后，網(wǎng)管安全支撐按需”的原則進行；IP承載網(wǎng)是提供IPv6 端到端連接的根本，需要先行改造支持IPv6 ；業(yè)務網(wǎng)、各類接入網(wǎng)是發(fā)展IPv6 用戶的關鍵，應在承載具備條件的基礎上逐步改造，支持IPv4/IPv6 雙棧方式；網(wǎng)管系統(tǒng)、支撐平臺等應根據(jù)網(wǎng)絡、業(yè)務的升級步驟按需改造，相關接口仍采用IPv4 協(xié)議，接口內(nèi)部相關字段支持IPv6 地址；從IPv4-only向IPv6-only演進還需要遵循兩個原則：首要原則是“不影響現(xiàn)網(wǎng)業(yè)務(IPv4/1Pv6)的正常運行”。IPv4 設備上部署IPv6 協(xié)議或者雙棧設備關閉IPv4 協(xié)議和服務時，用戶應該感知不到基礎網(wǎng)絡升級到IPv4/IPv6 雙棧或者從雙棧到IPv6-only的變化。次要原則是“兼容現(xiàn)有終端設備，不能強制用戶升級或者更換自己的終端設備，如PC、平板電腦和機頂盒等”。

對于OTT業(yè)務網(wǎng)絡，可以建設為IPv4 和IPv6 雙棧網(wǎng)絡，或者建設IPv6-only網(wǎng)絡。如果直接規(guī)劃或建設成IPv6-only網(wǎng)絡，那么針對目前IPv4 流量占比相對較高的情形，就需要考慮IPv4 網(wǎng)絡和IPv6 網(wǎng)絡互通場景，考慮IPv4 客戶訪問IPv6 服務場景，IPV6 的客戶訪問IPv4 服務場景，通過IPv4 網(wǎng)絡連接兩個IPv6-only網(wǎng)絡場景等。對于現(xiàn)有的OTT業(yè)務網(wǎng)絡，不可能對所有不支持IPv6 的設備進行更換，所以對支持IPv6 的設備直接開啟IPv6 功能，同時運行IPv4 和IPv6 協(xié)議棧，實現(xiàn)雙棧。OTT業(yè)務系統(tǒng)在廣電城域網(wǎng)中實際部署的過程中，為了保證業(yè)務系統(tǒng)的穩(wěn)定性、安全性以及未來IPv6 升級改造中的擴展性，可以通過在OTT業(yè)務的互聯(lián)網(wǎng)出口處部署兩臺高性能的安全網(wǎng)關。這兩臺安全網(wǎng)關可以通過“主-主”或者“主-備”的模式運行，將不同的OTT業(yè)務通過劃分不同的DMZ區(qū)進行隔離，然后根據(jù)不同OTT業(yè)務實際的運行流量，在安全網(wǎng)關上進行系統(tǒng)資源的重新分配，其中包括CPU、內(nèi)存等。在DMZ區(qū)之間、Intranet區(qū)、Extranet區(qū)等不同的安全區(qū)之間，通過安全網(wǎng)關的安全策略進行訪問控制，精確到協(xié)議和端口號，嚴格控制合法流量的流入和流出。通過安全網(wǎng)關的NAT功能，實現(xiàn)私網(wǎng)地址向公網(wǎng)地址，公網(wǎng)地址向私網(wǎng)地址的互相訪問。同時，要求安全網(wǎng)關已經(jīng)實際配置IPv6 功能，給未來的NAT46 、NAT64 等業(yè)務留下充足的擴展空間。