CIPTV业务实现模式开通方案.docx

C7609 IPTV业务实现模式开通方案 二〇〇八年五月 版本 编写人 日期 备注 V1.0 zhaozukuan 2008-05-01 V1.1 zhaozukuan 2008-05-17 根据C7609的限制，修改IPTV的业务终结模式、增加组播、VOIP的终结模式 V1.2 赵祖宽 2007-06-21 修改POP点路由的发放策略 目 录 1 当前IPTV网络现状 4 2 2008年三期本次扩容的目标 4 3 新增SR C7609路由协议 6 3.1 IGP方案 6 3.2 BGP方案 7 3.3 CDN POP点BGP方案 10 3.3.1 连接拓扑 10 3.3.2 连接方式 10 3.3.3 SR BGP实施策略 11 3.3.4 POP点接入设备BGP实施策略 11 3.4 IPTV子网MPLS VPN网络资源分配表 12 4 新增SR C7609 IPTV业务实现方式 13 4.1 IPTV点播业务 14 4.1.1 客户IP地址获得方法 14 4.1.2 点播业务流量分析 16 4.1.3 点播CDN POP节点保护 17 4.1.4 地址盗用问题 17 4.1.5 VRRP的保护 18 4.1.6 SR7609控制平面的保护-打开CoPP的功能 18 4.2 IPTV组播业务 19 4.2.1 组播业务流量分析 19 4.2.2 组播的复制过程 20 4.2.3 组播收敛时间 20 4.2.4 组播的安全性问题 21 5 SR C7609 在IPTV的业务实现 21 5.1 C7609 IPTV的三层终结 23 5.1.1 接口下的子接口终结方式 23 5.1.2 BridgeDomain+SVI的三层终结模式 24 5.2 实现VRRP的热备方式 27 5.2.1 C7609 VRRP组规划 27 5.2.2 每对SR: SR1和SR2划分 28 5.3 C7609组播的实现 30 5.4 C7609 VOIP业务的实现 32 5.5 C7609的QOS配置 35 6 C7609业务实现的模式的选择 38 1 当前IPTV网络现状 为了满足IPTV业务发展的需求，2007年上海电信建设在IPTV一期的基础上建设了IPTV商用平台二期工程。工程建成后可为上海全市15个区县的30万宽带用户提供IPTV业务，共包括67个频道的直播电视、5000个小时的VOD点播、67个频道60分钟即时时移和58个频道48小时菜单时移业务。由上海文广提供内容，上海电信提供网络。 IPTV业务子网包括8台市区SR（Cisco GSR12416）和14台郊区SR（华为ME60，已经完成了嘉定和青浦）。市区SR两两一组分别覆盖上海的东北片区、西南片区、中区片区和浦东片区；郊区SR两两一组分别覆盖各郊区局。 IPTV业务子网的市区SR采用的是Cisco的GSR12416设备，每台设备分别以10G或多根2.5G链路上连至核心层的2个节点；郊区SR采用的是华为的ME60设备，每台2台SR之间通过1根2.5G互连，每组SR中的一台通过1根2.5G上连核心出口层的控江TX，另一台通过1根2.5G上连核心出口层的康健CRS。此外，每台SR和所属片区或郊区的IPTV边缘节点互连，浦东的一对SR和IPTV核心节点互连；每台市区SR还通过10GE下连接入层设备；每台郊区SR通过GE链路下连接入层设备，通过GE链路互连城域网通道汇聚层设备。 2 2008年三期本次扩容的目标 2008年，上海电信将进一步加大宽带用户的发展力度。这些宽带用户都是IPTV的潜在用户群，预示着IPTV将有极为广泛的发展前景。同时，随着IPTV商用平台的正式运营，IPTV业务正被越来越多的用户所接受和使用，预计至2008年年底，IPTV用户数将达到60万。然而，现有的上海电信IP城域网仅能够满足30万IPTV用户业务的承载需求。为满足08年IPTV业务量增长的需求，作为承载网络的上海电信IP城域网急需进行扩容，以承载60万IPTV用户的业务流量。本次扩容的主要针对市区浦东片区、东北片区、西北片区随着IPTV用户的发展，原来的SR GSR12416通过扩容板卡已经无法满足下联用户接入的要求，因此本次扩容会在东区逸仙，东区长阳，北区大华，北区新彭浦，浦东金生，浦东沈家宅，西区古北，莘闵梅陇新扩8台SR（Cisco 7609）设备来满足IPTV业务发展的需求，同时对SR下联的交换机本次也会进行的大量的扩容以满足下联客户的接入需求。 SR设备 Cisco 7609 下联HW 7810 上联TX/CRS 接本地CDN POP 备注 东区逸仙 10GE×4 2.5G POS*2 10GE×4 东区长阳 10GE×4 2.5G POS*2 10GE×4 北区大华 10GE×6 2.5G POS*2 10GE×4 北区新彭浦 10GE×6 2.5G POS*2 10GE×4 浦东金生 10GE×4 2.5G POS*4 10GE×4 浦东沈家宅 10GE×4 2.5G POS*4 10GE×4 西区古北 10GE×8 2.5G POS*4 10GE×4 莘闵梅陇 10GE×8 2.5G POS*4 10GE×4 3 新增SR C7609路由协议 3.1 IGP方案 域内路由协议（IGP）在城域网中起着连通骨干、选径和自动迂回的作用。IGP通过计算每条路径的权值来寻找最佳路径。IGP并不承载用户路由。本次项目采用ISIS作为IGP。 所有核心层和业务路由设备均运行在ISIS的Level-2骨干区域，使用全网统一分配的NET ID，ISIS 涵盖网络中所有核心设备，汇聚出口设备的Loopback 端口和链路端口；核心路由器的上联接口、业务路由器的下联接口和设备的Loopback 端口设置为Passive模式；链路Metric 模式设置为Wide 模式，并且按照统一设计Metric设定规范来设定链路的Metric值，全网通过ISIS的Metric值引导流量流向。 ISIS参数表： 规范项目 规范设置 备注 ISIS Interface下的ip MTU 4500 POS口上联　 is-type level-2 Metric 3000 wide-mtrics参数 打开 TE配置需要启动新类型的 TLVs passive-interface Loopback0 是 　 passive-interface Loopback1 是 用于PE的标签过滤，分离IPV4和VPN路由 新增SR C7609 NET区域规划和老区域SR保持一致 SR设备 Cisco 7609 ISIS 区域ID 备注 东区逸仙 86.6506.0103 东区长阳 86.6506.0103 北区大华 86.6506.0103 北区新彭浦 86.6506.0103 浦东金生 86.6506.0104 浦东沈家宅 86.6506.0104 西区古北 86.6506.0102 莘闵梅陇 86.6506.0102 NET地址采用以下格式 NET地址采用以下格式：86.6506.Area ID.System-ID.00，区域号请见上表。 System-ID：采用每台设备本身的Loopback0地址，用十进制形式，每字节用3个十进制位表示，不足3位的在之前用0补足。如武宁GSR12416 loopback0为：124.75.0.5；其NET地址：86.6506.0101.1240.7500.0005.00，其System-ID为：1240.7500.0005。 3.2 BGP方案 IP城域网两台核心路由器和所有业务路由器参与BGP路由协议；两台核心路由器与业务路由器之间运行iBGP；同时两台核心设备作为BGP IPv4 RR，这两台BGP RR属于同一个RR Cluster，所有业务路由器作为RR客户端；两台核心路由器分别向业务路由器通告BGP默认路由，不向其它网络通告BGP默认路由仅向出口层通告内部用户路由，同时核心路由器从出口层学习完整Internet路由表，业务路由器不承载Internet路由表，上海电信内所有用户路由均由BGP协议进行承载。 IPv4的用户路由均由BGP协议进行承载，如下图所示： B平面内VPN用户路由的承载通过MP-iBGP，可支持VPNV4路由。新增SR C7609与IPV4的RR 核心控江TX，康健CRS建立iBGP邻居关系，用于承载IPV4Internet路由，与VPNV4 RR控江C7206；康健C7206建立MP－iBGP邻居关系，用于承载VPN的路由。 3.3 CDN POP点BGP方案 3.3.1 连接拓扑 针对这部分只连接B平面的IPTV POP点，我们将采用2*10GE口字形拓扑的方式进行。如下图所是： POP点出口设备采用两台HW8512/7810设备，使用口字形拓扑连接城域网的一对SR核心设备（设备为：7609或ME60）。 3.3.2 连接方式 SR设备与华为8512/7810之间打开两个VLAN通道，一个通道工作在2层使用VLAN 51作为组播通道。SR使用静态推送方式，将目前所有的组播频道推送到IPTV POP点。然后通过华为交换机启用跨VLAN组播工作模式为缓冲服务器提供组播流。 POP点点播流缓冲与回放功能通过HW8512/7810与SR之间连路的另一个通道，工作与3层接口进行通行，与目前工作方式相同。 3.3.3 SR BGP实施策略 l SR和CE之间建立EBGP关系，采用互联地址作为邻居地址，SR按照和CE之间的接口数量建立邻居关系。 l SR打开maximum-paths功能，如果路由是来自同一个邻居AS，SR就会使用多条路径，最多可以采用8条路径。 l 按照区域的划分，每个区域的两个SR都会设置不同的COMMUNITY参数区分不同区域的路由。 l 针对同一IPTV客户网段，两个SR为一组，分为主备关系。使用VRRP协议，设置只有在主用接口链路出现故障，备用SR接口采用转发从用户端的数据。主备SR分别将IPTV子接口网段在MP-BGP进程中发布，并针对该网段设置本区域的COMMUNITY参数和本地优先级属性Origin参数为200，备用接口的本地优先级属性为100，对于主用SR的网段加上本地优先级属性为200IGP的起源属性。当SR将本区域IPTV网段发布给对端POP点接入设备时，会根据COMMUNITY参数将其他区域的IPTV网段过滤掉。比如说东区POP点就只能接收东区IPTV网段，其他区域的网段会被SR过滤。 l 针对同一IPTV客户网段，使用VRRP协议，设置只有在主用接口链路出现故障，备用SR接口采用转发从用户端的数据。主用SR将IPTV网段分发给POP点接入设备时，设置主用SR1的路由的MED设置为100，备用SR2的路由的MED设置为200，使用路由起源属性为IGP。对于被发布的该IPTV网段，备用SR也会将该路由发送给POP点，备用SR将IPTV网段分发给POP点接入设备时，由于没有修改过路由起源属性，因此他的路由起源属性为Incomplete，由于主备SR发出路由起源属性的不同优先选择，主用的SR为该路由的主用路径。对于其他区域的路由都设置为300。同时设置从SR1的路由属性的Community1，从SR2通告的路由为Community2。，SR1向CDN POP点通告的时候过滤带Community2的路由，反之SR2向CDN通告路由的时候，过滤从Community2的路由。 l SR将IPTV核心的路由分发给CE。 3.3.4 POP点接入设备BGP实施策略 l CE和SR之间建立EBGP关系，采用互联地址作为邻居地址，CE按照和SR之间的接口数量建立邻居关系。 l CE打开maximum-paths功能，如果路由是来自同一个邻居AS，CE就会使用多条路径，最多可以采用8条路径。 l 两个CE之间建立IBGP关系。 l 每个区域的IPTV POP点只接收本区域的IPTV客户网段路由。由上端SR实现本需求。 l 针对同一IPTV客户网段路由，两个CE设备会将主SR作为主用路径。由于其中一台CE没有和主SR直连，转发给IPTV客户的流量会穿越两台CE之间的链路。由上端SR实现本需求。 l CE设备接收IPTV核心点路由。 3.4 IPTV子网MPLS VPN网络资源分配表 MPLS VPN体系结构中，与MP-BGP VPN相关的号码资源主要包括：路由识别（RD，Route Distinguisher）、路由目标（RT，Routing Target）以及VRF名称。 路由识别区分符英文表示为:Route Distinguisher,简称为RD。 路由目标英文表示为:Route Target，间称为RT.其包括Export(导出)和Import（导入）策略。 VRF为VPN Routing/Forwarding，就是为每个VPN定义自己的名字，该名字的命名规则应该遵循让人一看就明白的原则。 上海电信MPLS VPN网络上述三个号码资源分配遵循以下规则： Ø VRF命名规则： 三层VRF命名格式：vrf3-name，其中vrf3为固定字符串，用来标识三层vrf实例。name则描述VPN用户具体有意义的名字。 二层VRF命名格式：vrf2-name，其中vrf2为固定字符串，用来表示二层vrf实例。name则描述VPN用户具体有意义的名字。 上海城域网优化平面IPTV子网中，使用的的vrf如下： VRF名 用途 RD RT 备注 vrf3-iptv IPTV VPN 65060:12001 65060:1200100 包括CDN网络、点播业务 vrf3-VOIP-ITMS VOIP 65060:12003 65060:1200300 vrf3-dslam DSLAM 65060:12032 65060:1203200 DLSAM管理 4 新增SR C7609 IPTV业务实现方式 C7609 IPTV的目标方案一和当前GSR12416实现IPTV的方式完全一致，Switch 7810通过Trunk的方式上联SR（C7609）上，承载用户的IPTV中点播和组播的业务，通过DHCP +DHCP Option 82的方式接入。Switch 7810通过QinQ的方式连接到BAS上，BAS承载用户普通的上网流量，通过PPPoE的方式接入。 单播（点播/STB信息请求）流量情况： 1、 STB启动后通过DHCP获得 私有IP地址。 2、 STB发送单播流量到GSR。STB的default gateway在MPLS VPN VRF（点播/STB信息请求）中。 3、 C7609通过MPLS VPN把数据包发向点播服务器。进行点播。 为了能正常访问点播服务器，C7609需要把用户的私有IP网段通告给点播服务器所在的网络。 由于点播的流量有可能穿越城域网。因此需要通过MPLS VPN把 B平面的和点播服务器互联。 组播流量情况： 1、STB发送IGMP请求。 2、当DSLAM收到STB发过来的IGMP join信息。 3、DSLAM截获这个join信息。并把这个IGMP报文通过组播VLAN 3001发送到HW7810上。 4、C7609静态推送组播流到DSLAM。 5、组播源通过C76096->HW7810 发送到DSLAM上。 6、DSLAM通过转发到相应的用户PVC上。用户收到IPTV节目。 4.1 IPTV点播业务 4.1.1 客户IP地址获得方法 客户通过DHCP的方式来获取IP地址。对于DSLAM用户都可以通过DHCP的方式来获得。DSLAM接入见下面示意图： DSLAM设备： Ø 家庭网关设备通过双PVC连接DSLAM设备。所有的STB在同一个VLAN中（同一个DSLAM）。对于7810而言每一个DSLAM在一个VLAN（IPTV业务部分）。 Ø 在DSLAM上每个到STB的PVC之间互相隔离。二层广播不能在DSLAM之间互通。 Ø 使用Option82 对用户进行可溯性检测。所有的PC（上网业务）在不同的VLAN中。 Ø 使用DHCP snooping + ARP inspection进行用户IP地址盗用的控制。 Ø STB上联到DSLAM的PVC的带宽 小于 2*一个IPTV频道流消耗的带宽，防止一个PVC下接入两个STB。 Ø 使用组播VLAN减小上层设备的复制量，并且实现组播和单播的隔离。 汇聚交换机（Huawei7810）： Ø 使用Select QinQ 技术对用户的上网流量和IPTV流量进行分流。 Ø 使用DHCP snooping + ARP inspection进行用户IP地址盗用的控制。 Ø 实现对IPTV的QoS功能。 SR（C7609）： Ø 建议采用Cisco7609上面的Loki板卡上开启封装和终结灵活QinQ，这样可以统一用户的QoS和策略的管理点。如下图所示： Ø 使用IP DHCP relay转发用户的DHCP请求，给用户分配地址。并且需要做DHCP Snooping的工作。 Ø 使用PIM协议作为组播路由协议。 Ø 点播通过MPLS VPN(RFC 2547)承载 Ø 实现对IPTV的QoS功能。 4.1.2 点播业务流量分析 具体如下图 4.1.3 点播CDN POP节点保护 对于点播业务，CDN和IPTV子网每个SR设备都有单独链路互联。每个CDN POP节点进入IPTV子网的MPLS VPN（点播业务）中。点播业务和CDN 运行动态路由协议。当其中一个CDN POP节点出现问题是，点播业务通过动态路由方式自动寻找可用的链路访问CDN网络。 4.1.4 地址盗用问题 目前IP地址盗用行为非常常见，许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份。IP地址的盗用行为侵害了网络正常用户的权益，并且给网络安全、网络的正常运行带来了巨大的负面影响。 目前使用如下方式来防止地址的盗用： 一、对非法DHCP Server进行控制。在DSLAM上开启DHCP snooping。对 DHCP snooping untrust 端口不转发DHCP discover报文。防止用户接入DHCP Server。 二、对于用户手动配置IP的情况下，DSLAM上需要开启DHCP snooping的功能。如果用户没有通过DHCP 的方式来获得IP地址，在DSLAM上将不会记录IP地址和端口的对应关系。默认情况下端口的IGMP 处于disable状态。同时打开src-mac and des-mac的有效性检测。只有在DHCP snooping datebase出现的MAC才能被转发。为了防止黑客的恶意攻击需要在DSLAM端口下打开对单位时间内ARP request、DHCP discover包的数量进行限制。对每个端口能学的MAC数量进行限制，防止MAC地址表泛洪。 三、在业务层面，通过对点播的片源进行认证。使非法用户即使在获得点播URL后也无法收看。 四、通过DHCP中的Option 60 and Option 82对用户分配地址，当STB的Option 60 和定义符合上海电信的规范时才给STB分配IP地址。 4.1.5 VRRP的保护 IPTV用户上行到SR，可以通过HSRP/VRRP的保护，实现到当主用SR用下联汇聚交换机的链路发生故障是，可以通过HSRP/VRRP协议自动将IPTV客户端的的网关地址切换到另外一个备用的SR的接口上，这样的保护可以切换速度是很快的，对用户来说感知度是很小的。 4.1.6 SR7609控制平面的保护-打开CoPP的功能 即便是最强韧的软件和硬件架构也有可能遭遇 DoS 攻击，致使恶意流量淹没整个网络基础设施，造成网络瘫痪。为了阻止这类威胁和伪装成特定类型控制数据包的攻击直捣网络核心，Cisco IOS 软件提供了监管功能，对目的地为控制层面处理器的流量进行限速。这个名为控制层面监管的特性能识别特定类型的流量，然后按规定的门限值限制这些流量或者完全禁止其穿过网络。控制层面监管（CoPP） 能够控制到管理CPU的流量，保证网络的稳定性、可用性和可预测性能。 例如防范ICMP攻击的。 Router(config)# access-list 101 permit icmp any any echo Router(config)# class-map match-any icmp_class Router(config-cmap)# match access-group 101 Router(config-cmap)# exit Router(config)# policy-map icmp_policer Router(config-pmap)# class icmp_class Router(config-pmap-c)# police 96000 16000 conform-action transmit exceed-action policed-dscp-transmit drop Router(config-pmap-c)# exit Router(config-pmap)# exit Router(config)# control-plane Router(config-cp)# service-policy input icmp_policer 4.2 IPTV组播业务 4.2.1 组播业务流量分析 C7609 不承载公众用户上网流量。使用DHCP方式接入用户。 在C7609上通过静态推送组播的方式把组播流静态的推送到DSLAM 上。 具体如下图： 4.2.2 组播的复制过程 对于过渡方案L3终结在C7609上。在C7609上使用VLAN 51，单层VLAN连接到Switch 7810上。 在DSLAM上开启 IGMP Proxy，以及组播VLAN的功能。组播的加入的步骤如下： 1、当DSLAM收到STB发过来的IGMP join信息。 2、DSLAM截获这个join信息。并把这个IGMP报文通过组播VLAN51发送到7810上。 3、Switch 7810上开启了IGMP snooping，收到IGMP信息后，记录需要向下转发的端口，并且继续通过VLAN 51向上转发IGMP 报文。 4、组播源通过C7609->HW7810 发送到DSLAM上。 5、DSLAM通过MVR复制组播到相应的用户PVC上。用户收到IPTV节目。 6、在DSLAM 上开启IGMP proxy。减小IGMP的并发数量。 7、SR C7609静态将所有组播节目源，推送到DSLAM。 4.2.3 组播收敛时间 在采用组播路由承载IPTV直播时，组播收敛时间是一个较为突出的问题，需要进行深入的分析和测试验证。 主要包括以下收敛时间： （1） PIM keep alive时间：hello time 30秒，hold time 90秒。 （2） RP收敛时间：采用Auto-RP模式时，RP的收敛时间最少为3秒；使用anycast RP，RP的收敛时间和IGP收敛时间相等。 （3） 组播建立后，RPT会自动切换到SPT，RP故障不影响已经开始的组播流量，只对RP故障期间的最后一跳路由器的RP注册有影响。 （4） 当DR失效时，在3倍的查询时间后即可检测出来。可以通过调整接口下的ip pim query-interval <seconds>来调整DR切换时间，可调范围为1~65535，单位为秒或毫秒。默认情况下是3秒切换成功，在12.0(22)S中可以调整到毫秒级别，建议根据实际测试结果调整最优数值。  （5） DR失效且另外一台SR成为DR后，马上发起PIM JOIN。如果核心路由器SPT/RPT已经建立，流量马上引到SR。如果核心路由器未建立SPT/RPT，需逐跳向RP JOIN，时间较长。静态组播组方式会保证核心路由器一定会保持SPT，收敛时间最短。 4.2.4 组播的安全性问题 （1） 在RP上对组播源、组播组进行过滤，限制非法组播源和组播组，缺省DENY 所有组播源和组播组，根据业务需求逐步开启在路由器的对外端口上对服务的组播组进行过滤，限制非法组播组，缺省DENY 所有的组播组，根据业务需求逐步开启RP 对接收到、发送出的SA 消息进行过滤，只接受来自MSDP Peer 的SA 消息，设置组播边界，与其他网络相连的端口设置组播边界，DENY 所有的组播组，过滤组播源，限制该端口上的发送和接收组播流量。 （2） 在RP上对组播源进行控制，控制某个频道只能来自某个指定的源地址，对来自其它源地址的组播报文一律过滤。 （3） 对组播接收端口，可以通过 RPF 反向路径检查，过滤来自非法路径的组播报文。 （4） 如果启用了MSDP，为防止欺骗，在MSDP Peer 之间使用MD5 的认证。 （5） 通过对TTL的设置，控制组播的广播半径。 本章节从IPTV的业务模式实现方式介绍了，C7609在上海电信优化平面实现IPTV业务组播和点播的实现方式和GSR12416是基本一致。区别再于组播和点播下联到用户端的方式存在一定的差异。 5 SR C7609 在IPTV的业务实现 对于本次扩容采用新的SR C7609，由于C7609具备GSR12416没有的一些特殊功能，因此在本次SR C7609的扩容中，我们可以采取以下的方式来实现IPTV的业务。对于组播的业务C7609和GSR12416的实现方式都一样，没有什么本质的区别。主要是点播的实现方式上，为了对方式二做一个比较充分的说明。首先针对上海电信优化平面GSR12416和C7609在实现优化平面IPTV业务的各个方面进行以下比较。 项目 C7609 GSR12416 命令方式 备注 ISIS协议 一样 一样 一致 BGP协议 一样 一样 一致 MP－IBGP协议 一样 一样 一致 PE－CE的BGP方式 一样 一样 一致 MPLS VPN 业务的实现方式 一样 一样 一致 组播的实现方式 一样 一样 一致 QinQ的终结/VLAN聚合 支持 不支持 C7609可以实现和GSR一样的子接口方式和SVI＋VLAN方式的三层终结 IP ARP的数量 目前128K 50K HSRP组的支持 1024个 255个 组的GSR才用冷备方式、C7609可以考虑热备方式 层次化QOS的支持 支持 不支持 以后部署 支持的队列 一块Loki 32k 整机较少 以后部署 通过以上比较，可以了解到GSR12416和C7609在各种路由协议的功能的实现上是一致的，命令方式也基本项目。没有太多的出入。只是C7609配置了Loki业务板卡之后在灵活QinQ，VLAN聚合、层次化QOS，视频流量优化的等功能上是GSR12416所不具备的。 同时C7609 IP 的数量ARP和HSRP组的数量的增加，也显示出C7609对当前优化平面的IPTV业务具有更好的支持。 具体的GSR12416和C7609的性能参数和业务功能的参数可以见Cisco7609 SR业务路由器与现网GSR12416的性能和业务的互通性说明.doc 5.1 C7609 IPTV的三层终结 5.1.1 接口下的子接口终结方式 interface GigabitEthernet1/1/0.3001 encapsulation dot1Q 3001 ip vrf forwarding vrf3-IPTV ip address 10.186.183.254 255.255.248.0 interface GigabitEthernet1/1/0.3002 encapsulation dot1Q 3002 ip vrf forwarding vrf3-IPTV ip address 10.186.191.254 255.255.248.0 interface GigabitEthernet1/1/0.3003 encapsulation dot1Q 3003 ip vrf forwarding vrf3-IPTV ip address 10.186.199.254 255.255.248.0 这种使用子接口来终结保持了与现网GSR一致的配置模式，但是他也存在和GSR一样的一些不好的地方： 由于子接口过多，配置文件过长，可对性不好。 由于子接口过多，实现IPTV客户端网段的热备需要的很多VRRP/HSRP的组。 C7609上的子接口方式进行IPTV的点播VLAN终结，由于C7609子接口方式占用的是全局的VLAN资源，因此需要对每个接口下的用户点播VLAN重新规划，保证各个点播VLAN之间不重复。 5.1.2 BridgeDomain+SVI的三层终结模式 interface GigabitEthernet1/0/5 service instance 1 ethernet encapsulation dot1q 3001 rewrite ingress tag pop 1 symmetric bridge-domain 3001 split-horizon ! service instance 2 ethernet encapsulation dot1q 3002 rewrite ingress tag pop 1 symmetric bridge-domain 3001 split-horizon ! service instance 3 ethernet encapsulation dot1q 3003 rewrite ingress tag pop 1 symmetric bridge-domain 3001 split-horizon ! interface vlan 3001 ip vrf forwarding vrf3-IPTV ip address 10.186.127.254 255.255.128.0 1、BridgeDomain+SVI的三层终结模式下用户VLAN隔离割接： 这种方式终结IPTV用户的点播VLAN，我们注意到点播VLAN的广播域现在扩大到，如果用户之间二层不能实现隔离，广播流量很大的时候对网络的稳定性是一个很大的问题。我们可以采取以下两种措施来控制： （1） 在DSLAM上，对每个用户之间进行二层的隔离，所以即便使用模式二的方式，每个DSLAM下的IPTV用户都在一个VLAN里面，这些用户之间二层也是不能实现互通的。这个功能在已经是开启的。 （2） 在C7609上对桥接组的每个服务实例打开水平分割功能 service instance 2 ethernet encapsulation dot1q 3002 rewrite ingress tag pop 1 symmetric bridge-domain 3001 split-horizon ! service instance 3 ethernet encapsulation dot1q 3003 rewrite ingress tag pop 1 symmetric bridge-domain 3001 split-horizon interface vlan 3001 ip vrf forwarding vrf3-IPTV ip address 10.186.127.254 255.255.128.0 上面两个实例通过bridge-domain 3001，我们可以实现3002，3003两个下接的VLAN的用户都能和10.186.127.254进行通信，但是他们之间的二层是隔离的，不能相互访问的。 注：Cisco C7609在进行三层汇聚终结的模式只能将一个接口下的60 VLAN进行汇聚终结，比如单层1～60的VLAN可以在C7609进行汇聚终结到一个全局的SVI接口下，双层100：1～100：60 C7609当作60个VLAN处理，也是只能将100：1～100：60终结到一个SVI接口下，因此C7609通过BridgeDomain+SVI的终结方式只能采用通过S7810透传单层VLAN到C7609的方式进行三层终结； 1、 BridgeDomain+SVI终结模式下全局VLAN的重新规划 采用BridgeDomain+SVI的方式SVI所占用的VLAN是C7609的全局VLAN，它的范围是1～4094，其中还有些保留VLAN（1001～1020）不能使用，三层的物理接口也会占用一些VLAN为内部使用。子接口三层终结模式下使用的VLAN是接口范围的本地VLAN，因此每个接口下的3001~4000是可以重复使用的。但是对于 我们需要重新规划全局VLAN的使用。为了保持与上海电信VLAN规划一致，在每个C7609下全局VLAN的规划从3001～3200；规划按每个C7609下联的端口开始规划，每个端口对应一段VLAN： 端口 组播VLAN 组播SVI VLAN 点播VLAN SVI VLAN VOIP VLAN SVI VLAN Ten 3/0/0 51 51 3001～3024 3001 2001～2024 2001 Ten 3/0/1 51 52 3001～3024 3021 2001～2024 2021 Ten 3/0/2 51 53 3001～3024 3041 2001～2024 2041 Ten 3/0/3 51 54 3001～3024 3061 2001～2024 2061 Ten 4/0/0 51 55 3001～3024 3081 2001～2024 2081 Ten 4/0/1 51 56 3001～3024 3101 2001～2024 2101 Ten 4/0/2 51 57 3001～3024 3121 2001～2024 2121 Ten 4/0/3 51 58 3001～3024 3141 2001～2024 2141 Ten 7/0/0 51 59 3001～3024 3161 2001～2024 2161 Ten 7/0/1 51 60 3001～3024 3181 2001～2024 2181 Ten 7/0/2 51 61 3001～3024 3201 2001～2024 2201 Ten 7/0/3 51 62 3001～3024 3221 2001～2024 2221 Ten 8/0/0 51 63 3001～3024 3241 200