ipv6中的可控组播技术

1、ipv6系列（九）：ipv6中的可控组播技术文/乔肖桜 组播是指在ip网络中将数据包发送到某个确定的节点集合（即组播组）。其基本思想是： 源主机（即组播源）只发送一份数据，其目的地址为组播组地址；组播组中的所有接收者都 可收到同样的数据拷贝，并只冇组播组内的主机可以接收该数据。组播技术有效地解决了单点发送、多点接收的问题，实现了 ip网络中点到多点的高效数据 传送，能够人量节约网络带宽、降低网络负载。在组播技术带来诸多优点的同时，也存在着 不可控的问题。首先，组播用户可以随意加入和退出一个组播组，而网络管理者却无法控制 用八加入和退出组播组，从而无法控制组播用八的合法性；其次，在组播网络中，管

2、理者同 样无法对纽播源进行控制，从而使非法纽播源在纽播网络屮进行传播成为町能。因此，在部署组播网络吋，需要对组播源、组播接收者进行相应的控制，这样才能够保证组 播数据由可信的源进行发送，并且由可信及可控的接收者进行接收，实现合理的组播流量转 发，从而满足组播业务运营的需耍。1 pv6中可控组播技术介绍对于ipv6的可控组播技术而言，在实现屮首先要符合组播路由协议（pim）、纟f1播组管理协议 （mld）等基本纽播协议的要求。在此基础之上，建立ipv6可控组播的技术模型，确定在一 个可控组播的部署环境中，対组播源及组播接收者的控制。在ipv6可控组播技术应当能够提供以下功能： 对组播源严格控制，

3、阻止未被授权的组播流的发送。 对组播接收者严格控制，阻止未授权用户组播流量的获取。 对用八身份控制，能够针对用八的身份进行组播组的授权。 组播控制权限能够根据用户的在线情况实时下发，避免设备的压力过大。 抑制二层组播报文，使其无法在接入层泛滥。 与现有的认证计费系统配合，达到平滑升级的目的。 在现有的设备上平滑升级支持ipv6可控组播功能在ipv6的组播环境中，组播的组管理协议和组播路由协议在原理上没有发生变化，为了适 应ipv6报文的特点，相关协议进行了-些适配性的修改。同吋，ipv6的组播地址与对应的 组播mac地址发生了一些变化，同ipv4的组播相比，ipv6组播的ip地址与组播的mac

4、 的对应关系不存在32比1的问题，这样在ipv6网络屮，ipv6的纽播地址分配会更加合理。 因此，在ipv6的可控组播屮，需要对这些变化进行处理，才能够实现可控组播的功能。如上所述，在ipv6的可控组播涉及到的技术主要有：组播源控制，组播组控制。同时，当 ipv6网络中开启组播业务吋，要考虑到组播地址的分配问题。下而将对ipv6网络中可控组 播所涉及的技术及可控组播的实现过程进行分析。1.1 ipv6的组播地址同ipv4组播一样，在ipv6中，使用组播组地址来确定一个组播组的接收者，接收者接收ipv6 组播时，必须耍知道ipv6的纽播纽地址，这样通过mld协议的管理，接收者才能够获取 ipv6

5、的组播流。ipv6的组播组地址格式如图1所示：71115图 i ipv6组播地址格式最高的8个bit为oxff,标识此地址为组播地址。接着的4个bit为flag位，在flag位的最 高位为0； r bit表示是否是内嵌rp的组播地址；p bit表示组播地址是否是基于单播前缀生成的；tbit表示组播地址是永久分配的还是临时分配的。可以看出，flag根据一个组播地 址的功能、生成方式等属性进行了标识。其余的bit为group id,用于在组播地址中用来标 识一个组播组。ipv6组播mac地址的高16位为0x3333,低32位为ipv6组播地址的低32位。图2为ipv6 组播地址ff1e:f30e:

6、101的mac地址映射举例。128-tm ipv6 addressff1e i 00000000000000000000f30e0101 |“|32b<ts| :43-bft mac address3333f30e0101 16 txt macaddress prefix图2 ipv6组播mac地址如图2所示，ipv6的组播mac地址为将128 bit的ipv6组播地址的低32bit： f30e0101直接映射到了 mac地址的低32bit中。在ipv6的组播部署屮，市于组地址范围扩人，相应的纽地址分配上更加方便。由于在ipv6 的1p地址向mac地址的映射过程中，町以直接将后32bit

7、的组地址信息映射到mac地址 中，因此在进行ipv6的组地址分配时，能够避免在ipv4组播中组播组地址与组播mac地 址的多对一的情况出现。12组播源控制对组播源的控制，将保证只有已屮请且被授权的组播源才能发送组播数据进入网络，其实质 是对网络屮组播节目的控制，只有被授权的节目才能够在网络中传输。在一个组播业务被发布z前，组播的提供者必须向园区网的管理者中请，管理者经过対组播 业务的评审后，确定用于组播源发送的相关参数，包括组播源地址，组播组地址，所用带宽 等必要信息。当组播业务的提供者将组播流量发送到网络中后，需要捉供给组播接收者接收 纽播数据的方式，可以采用web网页的方式进行纽播业务的发

8、布。对组播源的控制方法如下： 采用静态授权的方式，即根据管理者为组播源分配的源地址、组播地址、带宽等必 耍信息，在与组播源直接相连的边缘交换机上配置acl,完成长期性的授权，直到组 播提供者终止组播业务后取消授权。 同时在接入层及网络出口设备上，配置在缺省情况下禁止转发接收的ipv6组播报 文，使只有符合组播acl配置的组播流量才能够被转发。这样就限制了在一个园区网 内部，只能使川被授权的纽播流量。13组播接收者控制对组播接收者的控制，主要是在网络边缘设备上対终端用八的组播接收权限进行控制。这是 一个动态的过程，在用户使用组播前由网管服务器动态下发到网络边缘设备上。同时结合用户认证技术，当一个

9、用八接入网络时，首先需要经过802.1x认证，确认身份后, 结合组播控制服务器，对特定川户的组播权限进行实时控制。使用user-profile技术对用户的纟r播权限进行下发。use.profile提供一个配置模板，用户可 以根据不同的应用场景进行配置，比如car策略和qos策略等。在设备上配置的组播权限 是包含在user-profile中的，当用八上线时，通过网管服务器下发对应的user-profile,对用 八的组播权限进行动态授权。个纽播用户在网络屮获得组播权限的过程如如图3所示：卩目海夕份认il及用 户皆理震勞:s组橋枚假控制交検机图3可控组播技术简介1. 当用户接入网络时，进行802.

10、1x认证，确定用户身份。2. 用八通过认证后，根据在服务器侧针対此用户设置的组播用八控制权限，向接入层交换 机下发与此用户相对应的组播控制权限,并以user-profile为表现形式。3. 当用八需要接收组播流量时，发送mld成员关系报告报文。当mld报文经过接入交 换机时，接入交换机通过比较针对此用户的user-profile所包含的过滤信息，将己经授权的 组播加入报文发送到上游mld路由器。如果用户的mld通告报文中的组播组未被授权， 则接入交换机丢弃此mld报文，阻止未被授权的组播流发送给终端用户。4. 用户下线后，在接入设备上将已经下发的用户user-profile删除。可控组播技术通

11、常与mld snooping结合使用，这样能够在接入层棊于每个用户的mac地 址，做到对用八的组播权限的动态控制。14用户组播权限部署及计费在用户管理服务器上，用户的纽播权限以套餐的形式表示，即把多个纽播纽定义为一个纽播 套餐，组播套餐使用一个user-profile标识。当用户进行802.ix认证时，user-profile会随 认证结果动态的下发到接入设备上。当用八需要使用组播服务时，管理员在用户申请的服务 中配置好user-profile即可。对组播川户的计费可以使用原冇的计费系统。针对使用单播包刀计费的用户，通过添加组播 的费率即可实现对组播用户的计费；针对使用按时长计费的用户，可以按

12、照限时包月策略, 即单播与组播在一个月内有相同的使用时长，在这部分时长的使用屮，按照包月计费处理, 超过的部分采用一定的费率进行按时长收费，通过这些计费策略可以灵活的控制单播与组播 的费率，方便计费。15典型应用部署场景图4可控组播的典型部署 使用静态组播授权的方式对组播源进行控制，在园区网的出口及接入层的位置对校 外及校内的非法组播源进行过滤。 在h3c imc上配置用户的组播权限，在用户进行身份认证后対用户的组播权限进行 动态下发，达到控制组播用户接入权限的冃的。 结合h3c imc的计费组件对用户进行计费，在计费策略的选择上如前文所述，根据 不同的要求，可以选择包月计费或按时长计费。此方案的配置与部署后，通过纽播权限控制交换机、网络管理服务器的配合，实现了可控纽 播的整体功能，对园区网的纽播能够进行必要的控制。在对组播源的控制方而，能够同时控制园区内部以及外部的组播源发送的组播信息。在对组播接收者的控制方面