Phương án đấu nối giữa hệ thống IPTV HE của VTC và mạng MANE VNPT DakLak - DLK

1. Sơ đồ đấu nối

Hình 1 mô tả sơ đồ đấu nối giữa VTC Headend và mạng MANE của VNPT DLK qua PE Router của VTN. Router VTC đấu nối với Router PE VTN và Router PE VTNđấu nối với PE MANE bằng:

2 cổng GE quang chạy theo cơ chế Link Aggregation 802.3adHoặc:

1 cổng 10GE quang

Hình 1: Sơ đồ đấu nối giữa VTC Headend và MANE DLK

Kết nối cung cấp dịch vụ IPTV trong mạng MANE chia làm hai phần chính:

Kết nối đến hệ thống Headend. Kết nối đến các DSLAM, từ đó cung cấp dịch vụ cho thuê bao ADSL2+.

2. Kết nối giữa IPTV Headend và PE-MANE

Router VTC đấu nối với PE-MANE được mô tả trong Hình 2.

Hình 2: Kết nối giữa VTC Headend và PE VTN

Trong mô hình này, PE-VTN có vai trò tạo một bridge domain: gồm 2 interface kết nối tới VTC và PE-MANE, hỗ trợ IGMP và QoS, không tham gia vào phần định tuyến Multicast và Unicast.

Kết nối vật lý từ hệ thống Router VTC đến PE – MANE có nhiệm vụ như sau:

Đường kết nối Multicast: chạy giao thức PIM-SM và static route để định tuyến các luồng multicast (kênh LiveTV và các luồng điều khiển) vào bảng định tuyến global của PE-MANE.

Đường kết nối Unicast: tạo kết nối L2VPN từ Router VTC đến IPDSLAM và STB của khách hàng.

Làm gateway cho các STB của khách hàng.

3. Kết nối giữa MANE và thuê bao ADSL2+ sử dụng dịch vụ IPTV

Toàn bộ kết nối từ uPE Router đến STB của khách hàng là kết nối Layer 2. Nhiệm vụ của uPE router bao gồm:

Chạy giao thức định tuyến multicast PIM-SM.

Tạo kết nối L2-VPN từ DSLAM lên router VTC

Hình 3: Kết nối từ uPE của MANE đến thuê bao ADSL2+ sử dụng dịch vụ IPTV

Do kết nối từ uPE đến tận các STB là Bridge. Do vậy VNPT DLK phải có biện pháp giải quyết tình trạng thông nhau giữa các DSLAM trong một Bridge domain. Có thể lựa chọn 1 trong 2 biện pháp sau:

1. Sử dụng VLAN riêng cho mỗi DSLAM.2. Cấu hình chặn L2 trên switch Access và switch Aggregate (ví dụ: dùng Private VLAN

hoặc L2 ACL)

uPE

Modem STB

IGMP SnoopingQoS CoS

Traffic shaping

IGMP SnoopingQoS CoS

PVC0: Routed/NATPVC1: Bridged

Multicast routing

L2VPN (PIM-SM)

Modem STB

4. Chi tiết đấu nối

Quy hoạch địa chỉ IP được thực hiện bởi VTC.

Hình 3: Kết nối VTC, PE VTN, PE – MANE

Kết nối Multicast

Kết nối VTC Router PE-VTN PE-MANE

Địa chỉ kết nối 10.144.0.1/30 Bridge interface Bridge interface 10.144.0.2/30

Định Tuyến Static route Static route

Cấu hình chi tiết:

4.1. VTC Digicom:1. Cấu hình địa chỉ kết nối: -Interface kết nối VTN: tạo 2 sub interface + Multicast IP address 10.144.0.1/30 (VLAN multicast – VLAN 99)+ Vod sub-interface: VLAN VoD (VLAN 2450)2. Định tuyến Unicast:Cấu hình PE chạy giao thức định tuyến Static route đến các các router trong mạng MANE.3. Định tuyến MulticastCấu hình VTC Router chạy giao thức định tuyến multicast PIM-SM với các thông số sau:

Static RP address 10.254.21.1

PIM interface Interface kết nối tới VTN, cổng nối với Streaming server.

4.2. PE - VTN:Tạo bridge domain gồm 2 interface kết nối tới VTC và PE-MANECho phép giao thức IGMP hoạt động trên 2 interface nàyHỗ trợ QoS cho lưu lượng từ VTC xuống MANE

4.3. PE – MANE1. Cấu hình địa chỉ kết nối: -Interface kết nối VTN: tạo 2 sub interface + Multicast IP address 10.144.0.2/30 (VLAN multicast – VLAN 99)+ Vod sub-interface: VLAN VoD (VLAN 2450)2. Định tuyến Unicast:Cấu hình PE chạy giao thức định tuyến Static route đến các Subnet VTC headend:

- 10.254.21.1/32- 10.255.144.0/24, 10.255.145/24, 10.255.146.0/24- Import static route vào định tuyến IS-IS để các router trong mạng MANE biết

được các subnet này3. Định tuyến Multicast

Trên mỗi PE thuộc MANE, Cấu hình PE chạy giao thức định tuyến multicast PIM-SM với các thông số sau:

- Static RP address 10.254.21.1- PIM interface: Muticast sub-interface nối PE-VTN

4. Cấu hình cho VoDTạo kết nối L2VPN từ Unicast Sub-interface tới DSLAM kết nối vào uPE

5. Kết nối từ uPE đến thuê bao ADSL2+ sử dụng dịch vụ IPTV

Hình 4: Kết nối từ uPE đến thuê bao ADSL2+

1. Định tuyến MulticastTrên mỗi uPE thuộc MANE, Cấu hình uPE chạy giao thức định tuyến multicast PIM-SM với các thông số sau:

- Static RP address 10.254.21.1- PIM interface: interface nối PE

2. Cấu hình cho VoD

uPE

Modem STB

IGMP SnoopingQoS CoS

Traffic shaping

IGMP SnoopingQoS CoS

PVC0: Routed/NATPVC1: Bridged

Multicast routing

L2VPN (PIM-SM)

Modem STB

Tạo kết nối L2VPN từ IPDSLAM-interface tới PE - VTN

3. Cấu hình modem chạy 2 PVCa. PVC 0: chế độ Routed/NAT, cung cấp dịch vụ Internet.b. PVC 1: chế độ Brigde, cung cấp dịch vụ IPTV.

4. Cấu hình DSLAM 1 và 2: Khai báo các kênh điều khiển: địa chỉ 225.21.2.1 – 225.21.2.5 Khai báo các kênh multicast: địa chỉ 225.21.3.1 – 225.21.3.5

6. Kết quả dự kiến

1. Máy tính (giả lập STB) nhận được địa chỉ IP cấp bởi hệ thống Headend:a. Cắm máy tính vào cổng LAN của Modemb. Cấu hình máy tính để nhận địa chỉ IP độngc. Sau 1 thời gian, máy tính được cấp địa chỉ 10.144.32.x/24. Trên DHCP server có

log về việc cấp phát cấu hình này.2. Máy tính (giả lập STB) nhận được luồng Multicast phát từ hệ thống Headend:

a. Thực hiện test 1 (như trên)b. Trên máy tính, bật Wireshark để theo dõi luồng multicastc. Sử dụng phần mềm VLC để nhận luồng Multicast 225.21.3.1 port 1234d. Máy tính hiển thị kênh Live tương ứng với địa chỉ Multicast trên.e. Cấu hình VLC nhận luồng 225.21.3.2 port 1234f. Máy tính hiển thị kênh Live tương ứng với địa chỉ Multicast trêng. Dùng Wireshark hiển thị lưu lượng tương ứng với 2 kênh, kiểm tra thời gian

chuyển kênhh. Kiểm tra DSCP trên gói tin UDPi. Kiểm tra chất lượng kênh bằng mắt

7. Chất lượng dịch vụ

Mạng MANE phân phối dịch vụ IPTV phải đảm bảo các yêu cầu về chất lượng dịch vụ: Trễ end-to-end < 50 ms Jitter < 9ms (với buffer size là 15 KByte) Tỷ lệ mất gói: 0.05% cho kênh HD và 0.4% cho kênh SD và VOD Tỷ lệ mất gói khi chuyển kênh: 0% (cho cả HD và SD)

Do vậy, lưu lượng từ hệ thống IPTV Headend cần được mạng phân phối dịch vụ (PE-VTN và VNPT DLK) phân loại và ưu tiên lần lượt theo thứ tự từ cao đến thấp như sau:

1. Network Control (ưu tiên cao nhất)2. Live TV3. VoD4. Các lưu lượng khác (ưu tiên thấp nhất)

Các lưu lượng trên được Router của VTC đánh dấu vào trường DSCP như trong Bảng 1:

Bảng 1: Giá trị DSCP đánh dấu cho từng loại lưu lượng

Thứ tự ưu tiên

Loại lưu lượng Tên trường DSCP Giá trị DSCP

1 Network Control Network control 1100002 Live TV EF (Expedited Forwarding) 101110

3 VoDAF41 (Assured Forwarding, Drop Probability low)

100010

4 Các lưu lượng khác BE (Best Effort) 000000

Router PE-VTN và mạng MANE của VNPT DLK có nhiệm vụ đọc trường DSCP và chuyển tiếp lưu lượng IPTV trong mạng phân phối theo đúng thứ tự ưu tiên như trên.

8. Quy hoạch địa chỉ IP

Các STB thuộc thuê bao ADSL2+/FTTX đấu nối vào cùng một Router uPE của VNPT DLK sẽ được cấp địa chỉ trong một subnet (dựa trên trường Option 82 trong bản tin DHCP Request gửi lên Headend). Dải địa chỉ cấp cho STB được quy hoạch theo Bảng 2.

Bảng 2: Quy hoạch địa chỉ IP cấp cho STB

Thiết bị Subnet Địa chỉ Gateway Địa chỉ STB

PE1 10.144.32.0/19 10.144.32.1 10.144.32.2 ÷ 10.144.63.254

PE2 10.144.64.0/19 10.144.64.1 10.144.64.2 ÷ 10.144.95.254

PE3 10.144.96.0/19 10.144.96.1 10.144.96.2 ÷ 10.144.127.254

PE4 10.144.128.0/19 10.144.128.1 10.144.128.2 ÷ 10.144.159.254

PE5 10.144.160.0/19 10.144.160.1 10.144.160.2 ÷ 10.144.191.254

PE6 10.144.192.0/19 10.144.192.1 10.144.192.2 ÷ 10.144.223.254

PE7 10.144.224.0/19 10.144.224.1 10.144.224.2 ÷ 10.144.255.254

Ngoài ra, toàn bộ DSLAM cung cấp dịch vụ IPTV cần khai báo địa chỉ các kênh Multicast phát ra từ hệ thống VTC Headend.

Bảng 3: Dải địa chỉ Multicast của VTC Headend

Luồng Multicast Địa chỉ

Luồng điều khiển STB 225.21.2.1 ÷ 225.21.2.5

Kênh LiveTV 225.21.3.1 ÷ 225.21.3.100

239.1.1.1 ÷ 239.1.1.254

9. An ninh trong hệ thống mạng cung cấp dịch vụ IPTV

7.1. Các thành phần trong hệ thống mạng cung cấp dịch vụ IPTV

Hệ thống mạng cung cấp dịch vụ IPTV chính là phần mạng phân phối kết nối trực tiếp với khách hàng. Trong Hình 5, phần mạng phân phối chính là từ thiết bị PE Router đến modem của khách hàng.

MANE

Access Switch

PE PE DSLAM ModemVTC Router

Layer 3 Layer 2

Hình 5: Mô hình mạng cung cấp dịch vụ IPTV

Vấn đề đảm bảo an ninh cho phần mạng phân phối là hết sức quan trọng.

7.2. Các nguy cơ tấn công

Do phần mạng phân phối có nhiệm vụ cung cấp kết nối Layer 2 (Từ Modem khách hàng đến PE Router), cần có các biện pháp ngăn chặn các tấn công ở Layer 2. Các kiểu tấn công dạng này là:

Làm tràn bảng định tuyến của Switch: Gửi gói tin từ rất nhiều Source MAC khác nhau khiến Switch không thể học được tất cả các địa chỉ MAC này. Khi Switch không thể sử dụng thông tin trong bảng định tuyến, nó bắt buộc phải quảng bá gói tin trên tất cả các cổng. Do vậy, luồng lưu lượng trên Switch bị ảnh hưởng, gói tin được gửi đến tất cả các host trên vùng mạng. Ngoài việc làm tăng lưu lượng trên mạng, kẻ tấn công còn có thể lấy được các gói tin gửi đến host khác.

Lắp đặt các DHCP Server không hợp lệ: Giả danh server DHCP hợp lệ trên mạng LAN để cấp phát thông tin cấu hình động cho STB. Thông tin cấu hình này sẽ ảnh hưởng đến khả năng kết nối dịch vụ của STB (Ví dụ như sai địa chỉ Gateway, không có thông tin về luồng Boot, v.v…). Bằng cách lấy địa chỉ của chính mình làm địa chỉ Gateway mặc định, kẻ tấn công còn có thể lấy được thông tin gửi từ/đến STB.

Gửi thông tin ARP giả mạo (ARP Spoofing): Gửi bản tin ARP (ARP Reply hoặc Gratutious ARP) với địa chỉ MAC của máy thực hiện tấn công và địa chỉ IP của máy khác. Khi đó, toàn bộ lưu lượng gửi tới địa chỉ IP trên sẽ thực sự được chuyển đến máy thực hiện tấn công.

Thay đổi thông tin trong CSDL DHCP Snooping: Tạo host với địa chỉ MAC giả giống với địa chỉ MAC của máy khác. Khi host với MAC giả yêu cầu DHCP, bảng DHCP snooping sẽ bị thay đổi theo. Khi đó, các bản tin ARP từ máy hợp lệ sẽ bị chặn.

Gửi quá nhiều yêu cầu DHCP (DHCP Starvation): Máy thực hiện tấn công gửi yêu cầu DHCP từ các địa chỉ MAC giả mạo khiến cho máy chủ DHCP không thể xử lý các yêu cầu từ các máy hợp lệ. Toàn bộ dải địa chỉ của Server bị dùng hết nên máy chủ DHCP không còn địa chỉ để cấp cho các máy khác.

Tấn công từ chối dịch vụ: Máy tính trong mạng LAN phía thuê bao thực hiện gửi rất nhiều lưu lượng lên phía Head-end hoặc đến các thuê bao khác trong mạng, làm treo STB hoặc tê liệt Switch L3.

7.3. Các cơ chế ngăn chặn tấn công

Phần mạng phân phối là mạng của VNPT DLK. Do vậy, các cơ chế ngăn chặn được VNPT DLK thực hiện trên các thiết bị mạng bao gồm:

Đặt ACL lớp 2: Chỉ cho phép các thiết bị sử dụng dải địa chỉ MAC của Amino, WNC và các nhà cung cấp STB khác (Khi triển khai STB của hãng trên mạng) kết nối với hệ thống. DSLAM sẽ tự động chặn các gói tin có địa chỉ MAC nguồn nằm ngoài các dải địa chỉ trên. Nếu cần ngăn chặn chặt hơn, có thể cấu hình DSLAM để chỉ cho phép gói có địa chỉ MAC nguồn là địa chỉ của (các) STB của khách hàng đó.

Giới hạn số lượng địa chỉ MAC học trên cổng: hạn chế số địa chỉ MAC tối đa trong bảng định tuyến cho một (Hay một số) cổng vật lý.

DHCP Snooping: Giám sát việc trao đổi các bản tin DHCP trên hệ thống, xây dựng CSDL liên kết địa chỉ MAC (của DHCP Client) và địa chỉ IP (do DHCP Server cấp).

Dynamic ARP inspection (DAI): Sử dụng CSDL liên kết của DHCP snooping để ngăn chặn các bản tin ARP không hợp lệ (bản tin có cặp địa chỉ MAC/IP không tồn tại trong CSDL).

Private VLAN: Đảm bảo các cổng khách hàng trên một hoặc nhiều Switch được cấu hình Private VLAN không kết nối trực tiếp được với nhau.

Private VLAN Edge: Đảm bảo các cổng khách hàng trên một Switch không kết nối trực tiếp được với nhau.

Các kiểu tấn công và cơ chế ngăn chặn được VNPT DLKtrên các thiết bị mạng cụ thể theo Bảng4:

Bảng 4: Các kiểu tấn công Layer 2 và cơ chế ngăn chặn

STT Kiểu tấn công DSLAM và MSAN Switch FTTHAccess Switch

PE Router

1 Làm tràn bảng định tuyến của Switch

Đặt Layer 2 ACL (allow STB MAC, deny all)

Đặt Layer 2 ACL (allow STB MAC, deny all)

None None

2Lắp đặt các DHCP Server không hợp lệ

Port Isolation DHCP Snooping None None

3Giả mạo thông tin ARP (ARP Spoofing)

DHCP Snooping & Dynamic ARP Inspection

DHCP Snooping & Dynamic ARP Inspection

None None

4Thay đổi thông tin trong CSDL DHCP Snooping

Đặt Layer 2 ACL (allow STB MAC, deny all)

Đặt Layer 2 ACL (allow STB MAC, deny all)

None None

5 Gửi quá nhiều yêu cầu DHCP (DHCP

Đặt Layer 2 ACL Giới hạn số lượng địa chỉ MAC trên cổng thuê

None None

Starvation) bao & Đặt Layer 2 ACL

6 Tấn công ngang hàng

Port isolation Private VLAN None None

7 Tấn công từ chối dịch vụ

Sử dụng cơ chế riêng của DSLAM. E.g., Anti-DoS của Huawei

Giới hạn lưu lượng hướng lên

None None