广电双向网改造技术建议书

XX广电双向网改造方案技术建议书通信技术有限公司第10页,共44页XX广电双向网改造方案技术建议书目录TOC\o"1-3"第1章项目概述 61.1XX广电网络现状 61.1.1XX广电有线电视网络现状 61.2XX广电网络改造目标 71.2.1XX广电网络改造目标 71.2.2XX广电网络改造原则 8第2章XX广电城域网&双向网络改造方案 102.1概述 102.2整体方案 102.3城域网核心层 112.4城域网汇聚层 122.5EPON+EPCN方案 132.5.1技术原理 142.5.2组网方式 152.5.3方案优势 172.6总结 182.7光纤收发器+EOC方案 182.8频率规划 20第3章网络业务规划 213.1面向公众用户的多业务开展 213.1.1VOD视频点播业务 213.1.2宽带接入业务 233.1.3接入认证和地址分配 243.1.4业务域安全性控制 263.2面向大客户的多业务开展 273.2.1大客户VPN专网/专线业务 273.2.2大客户视频监控业务 303.2.3网吧或高档小区大客户FTTH业务 323.2.4全网VLAN资源规划 33第4章运营、管理解决方案 354.1可运营解决方案 354.1.1提供全业务解决方案 354.1.2精细化业务区分 374.2提供端到端的管理 384.2.1一体化整体管理方案 384.2.2头端精细化管理解决方案 39第5章工程实施 435.1EPON应用于HFC光纤网络要求 435.1.1EPON典型组网结构. 435.1.2光纤和分光器的要求 435.1.3适合线路覆盖范围要求 435.1.4光路施工中的注意事项： 44

图目录TOC\h\z\t"FigureDescription"\c图2-1XX广电双向网改造整体解决方案 11图2-2EPCN频率示意图 14图2-3EPON+EPCN解决方案 15图2-4EPCN光节点覆盖入户方案 16图2-5EPCN楼道覆盖入户方案 17图2-6光纤收发器+EOC方案 19图2-7光纤收发器与EPON联网方式对比 20图2-8XX广电频率规划频谱图 20图3-1点对点VOD点播业务流程 21图3-2宽带接入业务流程 23图3-3终端控制方式 24图3-4STB采用DHCP认证 25图3-5PC采用PPPoE认证 26图3-6QinQ业务示意图 28图3-7Martini方式的VLLVPN专网方案 29图3-8大客户视频监控示意图 32图3-9网吧或高档小区大客户FTTH业务示意图 32图4-1安全认证管理示意图 35图4-2PUPSPV(每用户每服务每VLAN)精确标识示意图 37图4-3PSPV(每服务每VLAN)精确标识示意图 38图4-4端到端的管理解决方案 39图4-5有源EOC终端<CB201>在线批量升级示意图 39图4-6终端故障诊断示意图 40图4-7有源EOC隔离故障终端 41图4-8控制PC接入数量 41图4-9通过MAC地址反向查找设备的物理位置 42图4-10多业务划分示意图 42图5-1EPON典型组网图 43

表目录TOC\h\z\t"TableDescription"\c表2-1两种方案总结对照表 18项目概述本着“坚持科发展观，坚持可持续发展战略”原则，XX广电对有线电视网络进行改造，建成双向HFC网；按照国家和重庆市总体规划，充分利用重庆有线公司数字电视系统资源，对模拟电视用户进行数字电视整体转换；有计划地开通VOD点播、宽带上网、大客户专网等增值业务。XX广电网络现状XX广电有线电视网络现状当前广电有线电视网络主要是同轴光纤混合网（HFC），从有线电视机房到小区采用光纤传输，从小区到家庭采用同轴电缆。由于以前广播电视业务都是从上到下的广播，没有从家庭终端到局端的反向信号，所以在铺设有线电视网络时，就没有考虑双向问题，只能传播从局端到家庭终端的信号。现在要开展数字电视和宽带接入等互动业务，就必须对现在的有线电视网络进行改造。目前XX广电网络为A/B两个平台，Ａ平台用于传输模拟和数字电视信号、数字视频广播、数据广播等。Ｂ平台为交互式数据平台，现主要用于开展数据专网和互联网接入、语音等业务。XX广电网络改造目标XX广电网络改造目标目前广电行业正处于全国双向互动数字电视转换的历史时期，广电运营商除了传统广播电视业务的运营外，对双向互动数字电视、宽带数据和语音通信以及面向大客户的专网专线、视频监控等多业务融合的有效支持，实现综合性全业务运营已成为业界普遍认同的趋势。国家“十一五规划”中明确提出了计算机网络、通信网络、广电网络实现“三网融合”的总体要求，逐步开展全新的双向互动数字电视业务以及丰富的增值业务，并为政府机构等大客户提供优质网络业务是广电行业面临的巨大挑战和历史机遇。考虑到本次所建网络对于XX广电的重要性，要求该网络应具备多业务承载能力，确保安全、可靠，保障业务的QoS，并且能够平滑扩展，保证未来对全县用户进行双向数字电视等业务接入的能力。因此，本项目建设的网络应具备如下特点：具备强大的处理能力、业务能力及平滑演进能力：IP数据网必须具备承载互动数字电视业务及Internet类业务所需的性能、各种特性及业务能力（如QinQ（VlanStacking）、MPLSL3/L2VPN、QoS、安全特性、ACL、IPv6等），同时应具备强大的业务演进及扩展能力，对于新特性、新业务的提供，可通过软件升级的方式提供，最大限度地保护现网投资，满足可持续发展的要求。特别注意，对于VPN专线，要求从核心层面到各节点全线支持，能够部署端到端的隧道，便于多业务承载；QoS方面，要求端到端的支持层次化QoS，便于根据不同的业务属性部署不同的保障策略。严格保证增值类业务（VPN、VoD及互动电视等）的QoS：IP数据网应启动QoS策略，对各类业务进行差分服务，能够为所承载的各类业务（包括媒体流及信令流等）按需提供QoS保证（EF、AF）。严格保证数据平面的安全性：保证增值类业务及Internet类业务在网络中传送时的可靠性、完整性和保密性。严格达到骨干网络99.999%的可靠性要求：网络设备本身必须达到99.999%的可靠性要求，整个网络也应达到电信级网络99.999%的要求。可运营、可管理：IP数据网必须具有完善的流量统计与监测、故障定位、故障排查等功能，为网络日常维护管理、网络优化提供依据；同时应提供VPN、QoS等策略部署工具，简化管理、降低维护成本。通过上述目标的实现，最终将本次建设的网络打造成可运营、可管理、安全可靠、具备多业务承载能力IP精品数据网。XX广电网络改造原则高起点、高标准、高质量、严要求为前提，设计系统为可控制、能管理、可营运双向HFC网络系统。满足数字电视双向互动业务、数据及语音增值业务。HFC网络带宽建设为860MHz带宽。向下传输的频率为87-860MHz，上行信号频率为5-65MHz。统一规划，分步实施。第一步是2009年完成主城区双向网改造，开通互动点播等增值业务；第二步是2010年完成各场镇网络改造，条件成熟的区域开通互动点播等增值业务；为尽量保护现有投资，提高资金利用率，原则上只进行光缆改造，尽量细化光节点，工程建设分阶段施工。为达到高起点、可持续发展的目标要求，在网络设计构建中，应始终坚持以下建网原则：高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中应选用已规模商用的高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。标准开放性支持国际上通用标准的网络协议（如TCP/IP）、国际标准的大型的动态路由协议（如BGP、ISIS）等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。QoS对于所承载的每种业务，要能够按需提供QoS；对于VoD等实时业务，要能够提供类似于传统PSTN网络的服务质量，这样才能作为承载增值类业务的IP骨干网络。IPv6为了保证未来网络的平滑扩展以及多业务的支持能力，要求整个骨干网络设备全线支持IPv6。安全性通过设备机制及组网方案提高网络整体的安全性，对于所承载的各种增值类业务，要能提供类似于传统专线一样的安全性。灵活性及可扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。可管理性对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，未来通过升级应具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。

XX广电城域网&双向网络改造方案概述根据我县有线电视网络及用户分布现状，计划采用EPON+EOC技术进行网络改造最为经济、适用。采用总前端、分前端、主干光纤网、HFC接入网的网络形式，对用户进行全面覆盖。有线电视网络最终将建设成为宽带、交互、可运营、可管理的多功能综合信息网。初步规划在小区采用有源EoC入户方式，灵活接入终端用户。EPON接入是一种非常成熟的双向通信技术，是建设广电互动电视平台的理想选择。由于入户线路的重新改造可能会存在多方面的阻力，难以实施，EPON+EOC方案采用同轴以太技术，充分利用原有CATV网络资源，将数据信号和广播电视信号混合在一根同轴电缆上，单线入户，实现简单。在有源EoC调制技术产品的选择上通过和重庆市规划设计院的沟通、外出考察的情况来看，低频EOC由于具有广覆盖、高带宽、易运维特点，更适合于XX广电的实际网络情况，所以此次双向网改造计划采用低频EOC技术。由于此次双向网改造涉及到XX城区用户的网络改造，而原有的城域网已经无法满足目前网络改造的需要，所以在本次网络改造时也要对原有的城域网进行相应的升级。整体方案本次双向网络改造的拓扑结构如图所示。XX广电双向网改造整体解决方案城域网核心层城域网核心作为城域网骨干，其主要功能有以下三点：IP数据包在城域网高速转发。提供高带宽的城域网出口，上行至市干网、互联网出口提供商城域网。BGP路由及策略控制。一般采用的设备是高性能路由器，对此在该项目中路由器的要求如下：高性能：交换容量不小于700Gbps，所有接口均要线速，具备10GE(万兆以太网)、2.5GPOS端口的线速转发能力。包转发率需达到500Mpps，全面支持OSPF、BGP等路由协议。MPLSVPN：支持MPLSL2/L3VPN；支持Martini和Komppella方式；支持OPTION1/2/3跨域方式；VPLS支持BGP方式和LDP方式，支持H-VPLS；支持组播VPN；支持MPLSVPN网管。支持不少于4KVRF，支持分布式组播VPN。可靠性：要求具备50ms链路故障保护能力，支持BFD、基于IP和MPLSVPN流量的FRR、PE快速切换、快速IGP路由收敛、GR/NSF等等。（备注：BFD可以提供30ms的故障感知能力，FRR可以提供50ms的故障倒换，PE快速切换提供200ms的故障切换）QOS服务质量：具备良好的QoS性能，硬件队列数目不少于8个。支持IP/MPLSDIFFSERV技术，提供实时业务的低时延保证，提供关键业务的带宽保证，板卡缓存时间大于200ms。（备注：故障倒换时间采用电信级技术后可以控制在200ms以内，板卡提供大于200ms的缓存，满足可靠性需求，不丢包。）需采用四平面分离和三引擎转发体系架构（即NP业务引擎、QoS引擎和表检索引擎），实现万兆NP平台和Crossbar无阻塞交换技术完美融合，满足对于业务处理性能和容量的要求。必须采用专用的NAT业务版以避免对主控板处理能力的影响，NAT建链速率不小于20万/秒，并发连接数不小于200万。需采用专用的OAM引擎保证业务的高可靠性，实现30ms的故障检测和20ms的业务切换，保证业务不中断。检测平面与控制平面、转发平面相互独立、互不影响。所有关键部件必须1＋1冗余备份（包括电源、主控板）。支持热插拔、热补丁等功能。需支持内置QoS引擎实现精细化业务控制，支持层次化QoS（H-QoS），可以实现基于类、用户及用户业务的三级调度机制，H-Qos和MPLSTE配合可以实现按隧道、按业务进行带宽预留和调度。XX广电双向网的核心层计划规划一台高端路由器。处于初期建设成本的考虑，先考虑利用原有的NE40E，等未来业务增多的情况下，再增加相应的路由设备。城域网汇聚层汇聚层直接面对用户接入层，主要负责接入层至核心层的IP数据包汇聚转发，避免大量的接入层设备流量直接冲击城域网核心层设备。流量汇聚，将城域网流量进行收敛。汇聚的同时保证QoS的拥塞调度；具有业务汇聚的功能，大多数业务的应用和管理在此层完成。比如BRAS设备对Internet业务的认证，管理，VPN业务的MPLS封装等等。此处的设备可以是路由器，也可以是交换机。出于成本方面的考虑，建议此处使用交换机。对于汇聚层核心交换机设备的要求如下：整机最大交换容量>=700G包转发速率>=400Mpps所有板卡配置分布式线速转发支持MPLSVPN，支持VRF-Lite特性，可以做为MCE设备使用；支持三层的MPLSVPN和二层的MPLSVPN（Martini、Kompella），可扩展支持VPLS技术；支持MPLSOAM特性，方便用户的管理和维护。支持IPv4/IPv6双协议栈,支持多种6to4隧道技术，支持IPv4/IPv6的组播技术，可提供完善的IPv4/IPv6解决方案有源无源一体化，为了节省建设成本及降低故障节点，要求汇聚核心交换机具有EPON板卡扩展能力，每块OLT板卡可提供不少于16个PON口。XX广电数据城域网的汇聚层为一台高端三层核心交换机S7506E，设备配置双主控双电源，由于该设备是整个XX广电的核心汇聚设备，在未来还要担负起乡镇节点的接入，所以一定要有良好的业务扩展能力，提供6个业务板槽位。对于后续核心网的扩容，可以采用通过业务板卡进行接入能力的扩容。EPON+EPCN方案EPON+LAN需要重新铺设线路，工程量大，初期投资大，并不适合XX广电双向网改造的实际情况。为了能够充分利用广电现有HFC网络，充分利用入户同缆资源，保护广电原有投资，快速、简单、低成本的完成双向改造，H3C提出了EPON+EPCN的双向改造方案。EPCN技术是H3C针对广电网络现状开发的拥有自主知识产权的有源EoC调制技术，把点到多点的同轴分配网络作为物理层传输介质，适用于星型，树型等任意拓扑结构。本方案最大的特点就是对现有网络的改动工作量少，便于对终端用户的管理和线路的维护，非常适合对小区的改造。技术原理频率分布广播电视信号频率是80-1000MHz，EPCN将数据信号调制到2－30MHz频率，然后将CATV信号和调制后的数据信号混合传输，下行方向传输CATV和数据信号，上行方向传输数据信号，为双向数字电视平台提供回传通道。频率分布如下图所示：EPCN频率示意图调制方式EPCN采用正交频分复用(OrthogonalFrequencyDivisionMultiplexing,OFDM)，基本思想是将高速的数据流分配到多个相互正交的子载波上同时传输，具有抗频率选择性衰减和窄带干扰能力强，对脉冲噪声和信道快衰落有较强的抵抗力的优点。组网方式EPON+EPCN方案如图所示：EPON+EPCN解决方案本方案中，OLT设备（带EPON业务板的S7500E交换机）可放置于广电小区中心机房。OLT上行连接城区网设备，ONU设备应用于放置于小区或者楼道，OLT与ONU之间通过无源分光器以点对多点方式连接。EPCN系统由头端（CC600E/CC602）、终端（CB201E/CB203）、同轴分配网等部分组成。头端与ONU放置在一起，将以太网数据调制，并与CATV信号混合，在楼道同轴分配网中传送。终端实现解调功能，将以太网数据信号与CATV信号分离，数据信号通过网口链接PC，实现上网功能。针对不同应用场景，有两种入户方式：光节点覆盖方式：如图2-5所示。EPCN头端和ONU放置在小区光节点位置。业务开通初期，开通率比较低，为了降低成本，把EPCN头端和ONU放置在光节点位置，完成对小区的广覆盖，从而快速完成双向改造。随着业务开展，可以在光节点位置增加EPCN头端，为用户提供高带宽。EPCN光节点覆盖入户方案楼道覆盖方式：如图2-6所示。EPCN头端和ONU放置在楼道位置。随着业务推广深入，业开通率逐步提高，终端接入越来越密集，头端放置在光节点位置已不能满足用户带宽接入需求，可把EPCN头端和ONU放置在楼头，完成对楼道的密集覆盖，为用户提供高带宽。EPCN楼道覆盖入户方案方案优势覆盖范围广EPCN头端放在光节点处，到终端的传输距离可达1km，头端可接入253台终端用户，形成广覆盖。头端到终端可过两级放大器。对放大器改造无源，只需简单跨接低通旁路器即可。高带宽H3C的EPCN，物理层速率可达200Mbps，MAC层带宽可以达到100Mbps。而且采用的Qos机制可以保证用户增加情况下的负载均衡，可以支持点播和上网业务。且随终端用户的增加，可增加EPCN头端，为用户提供高带宽接入。运营维护简单每户带宽可限速，提供精细带宽管理；终端用户间二层隔离；黑白名单功能提供严格终端用户接入控制；全网统一网管，可以管理EPON、EPCN头端、EPCN终端。并能从EPCN头端获取丰富的线路检测参数，评价线路质量，方便用户维护线路。可靠性高EPCN头端和终端都内置分离滤波器，实现掉电旁路，放大器改造也是无源，这样即使头端和终端掉电，也不影响CATV信号下传。总结改造方案EPON+EPCNEPON+LAN优势短期内实现大范围覆盖，完成批量用户的群体双向改造多业务支撑能力强改造工作量小业务支撑好入户带宽高劣势共享带宽，随用户数量增加需增加头端设备时间成本和隐形成本高初期开通率低时单位成本高适用环境旧小区优选方案新建小区优选方案两种方案总结对照表光纤收发器+EOC方案由于XX广电整体光缆资源相对丰富，在个别分散的光节点覆盖上可采用光纤收发器配合EOC进行双向网改造，方案如下图所示：光纤收发器+EOC方案 采用光纤收发器+EOC的方式的优势在于结构简单，仅进行物理光电信号转换，不对传输信号进行改变和封装，点对点的结构避免了点对多点复杂的上行同步、控制等技术，成本低廉。 但也应该看到采用光纤收发器方式在少量使用时虽然方便简单，但大规模使用时对机房、资源等有要求，且使网络结构更为复杂，且增加了故障节点。难以统一管理，在网管、维护方面会带来极大的压力，在管理性和便利性上无法与EPON技术相比。更重要的是点对点的传输方式对光纤资源的浪费非常严重。对比如下图所示：光纤收发器与EPON联网方式对比所以小部分可采用光纤收发器方式进行双向网改造，主要还是以EPON改造方式为主。频率规划频谱图说明如下：XX广电频率规划频谱图5-65MHz为数据通道、65-87MHz为隔离带、87-108MHz传FM、108-550MHz传37套模拟电视频道，今后改为全数字电视后空余频率留着它用。其中108—114MHz设备网管下行频率，550-860MHz用于VOIP、VOP、高清等业务之用。网络业务规划面向公众用户的多业务开展XX广电在完成了广电双向改造之后，必然需要面向公众用户开展家庭宽带上网、互动数字电视两种业务，未来需要扩展支持VOIP业务，达到三网融合全业务运营。多业务的运营涉及到多业务流量在网络上的识别、区分和不同处理。VOD视频点播业务点对点VOD点播业务流程IPQAM方式的点对点双向VOD点播业务流程可以概括如下：STB设备发起DHCP认证请求，通过S7500E设备启动DHCPRELAY功能，并启用Option82（也可在ONU上启用），添加报文端口信息，这样一来，DHCP服务器就可以根据S7500E的端口信息分配特定网段的IP地址。三层转发请求报文到SMS平台的DHCP认证服务器集群进行身份认证并获取特定网段内网IP地址（区别于PC上网获取的网段地址，业务域IP地址分配的原则是――按业务不同、地域不同分配不同内部IP网段）。注意公众用户的VOD信令流量报文在经过ONU设备时添加VLAN标签，通过S7500E时添加外层VLAN标签。VOD业务信令流量在S7500E设备上做二层终结，三层转发到出口路由器。获得合法地址后通过VOD点播业务平台的EPG服务器获取节目表单EPG文件；用户根据节目表单文件点击选择相应节目，机顶盒发送相应节目请求信令到VOD业务平台；VOD业务平台直接从中心流媒体服务器选择相应媒体数据下发到与S7500E互连的IPQAM设备上。同时也可采用更优化的措施――VOD业务平台首先检查靠近用户的边缘媒体分发服务器ES的目录，看是否有相应的节目数据。如果有（命中），则由ES响应此次点播请求，数据通过本地的IPQAM调制后通过HFC广播下发到STB设备；如果没有（没命中），则VOD调用流媒体分发中心服务器CS的相应节目数据，下发到该ES上，并通过单播形式传送到相应的S7500E上，通过IPQAM调制后经HFC到达用户STB。在此方案中，为了能够及时相应大规模用户对某些热门节目的高并发率点播响应，建议在S7500E上旁挂部署分布式流媒体分发服务器ES设备，比如H3C的IX1500系列IP存储设备。对于用户手动对STB设备配置IP地址进行VOD非法点播的行为，可以通过S7500E的DHCPRelay功能对申请了IP地址的STB设备进行MAC和IP的绑定来实现用户识别。当客户端通过DHCP中继（即DHCPRELAY）从DHCP服务器获取到IP地址时，DHCP中继可以自动记录客户端IP地址与MAC地址的绑定关系，生成DHCP中继的动态用户地址表项。为了防止非法主机静态配置一个IP地址并访问其他网络，设备支持DHCP中继的地址匹配检查功能。接口上使能该功能后，如果在DHCP中继的用户地址表中（包括DHCP中继动态记录的表项以及手工配置的用户地址表项）没有与主机IP地址和主机MAC地址匹配的表项，则该主机将不能通过DHCP中继访问外部网络。而对于网络中某些用户私自设立伪DHCP服务器，引导正常用户获取假IP地址的行为，也可通过S7500E的DHCP来进行控制。如果网络中有私自架设的DHCP服务器，当客户端申请IP地址时，这台DHCP服务器就会与DHCP客户端进行交互，导致客户端获得错误的IP地址，这种私设的DHCP服务器称为伪DHCP服务器。在DHCP中继上使能伪DHCP服务器检测功能后，当DHCP中继接收到siaddr字段（为客户端分配IP地址的服务器IP地址）不为0的DHCP报文时，DHCP中继会记录报文中siaddr字段的值及接收到报文的接口信息，以便管理员及时发现并处理伪DHCP服务器。采用IP下行方式进行VOD点播原理类似，在这里就不在赘述了。宽带接入业务宽带接入业务流程宽带接入业务流程可以概括如下：PC设备通过PPPOE向认证授权计费中心的BRAS发起认证请求，通过PPPoE报文发送用户名和密码信息。BRAS通过Radius协议将用户信息发送给联网的Radius认证/授权/计费服务器（或者以集群方式部署以适应大规模用户的接入请求），Radius服务器认证通过后授权分配相应内部动态IP地址。BRAS再发起计费开始请求，Radius服务器开始计费（按时计费方式）。获得合法地址后，用户PC以动态IP地址通过PPPOE线路接入认证授权计费中心的BRAS设备，BRAS与出口路由器以三层路由方式互连，并进行NAT转换，将用户业务流量转发到出口；用户下行流量以反向方式转发。接入认证和地址分配终端控制方式STB的网络接入认证与IP地址分配方案很多，但可以分为两大类：一类是STB和上网终端（PC）采用不同的认证方式；另外一类是STB和PC采用相同的认证方式。我们推荐采用第一种方式：STB采用DHCP分配地址，PC通过PPPoE分配地址，STB采用私网IP地址，PC采用公网IP地址或者分配与STB不同网段的私网地址段，通过在BRAS或ISP网络内进行NAT转换访问互联网。STB的DHCP报文中可携带Vendor和ServiceOption（DHCPOption60），BRAS可根据Option60将用户的DHCP请求relay到不同的DHCP服务器，实现根据业务的不同分配不同的IP地址；也可以由DHCP服务器根据Option60为用户终端（例如区分STB和IAD）分配不同的地址。DHCPOption60扩展字段的使用必须要有用户端的IAD和STB设备的该特性支持，在终端发送DHCP认证初始报文时添加多客户端类别标识字段的参数，以有效区分IAD、STB等非PC智能终端。另外可以通过DHCPOption82功能。Option82称为中继代理信息选项，该选项记录了DHCP客户端的位置信息。DHCP中继接收到DHCP客户端发送给DHCP服务器的请求报文后，在该报文中添加Option82，并转发给DHCP服务器。管理员可以从Option82中获得DHCP客户端的位置信息，以便定位DHCP客户端，实现对客户端的安全和计费等控制。支持Option82的服务器还可以根据该选项的信息制订IP地址和其他参数的分配策略，提供更加灵活的地址分配方案。在网络设备上（如S7500E）给用户的DHCP报文打上Option82标记，指示用户的物理位置；这样在DHCPServer上可根据Option82判断DHCP请求的合法性，保证地址分配的安全性。并做到不同S7500E的EPON端口下的STB分配给特定网段的IP地址。上网终端（PC）通过PPPoE上网，通过BRAS和Radius服务器认证和分配IP地址。这样STB和上网终端分配不同的地址空间，在城域网存在视频网络和Internet两个相对独立的网络。STB采用DHCP认证PC采用PPPoE认证业务域安全性控制XX广电双向网改造过后未来要进行多种公众业务的承载，所以要在网络的二层和三层进行业务域的安全隔离，确保各个业务域的安全性，比如不能允许各个用户之间二层互通，防止病毒以广播方式扩散；防止用户PC终端防止中心流媒体服务器资源；防止用户利用PC通过DHCP获取地址访问Internet；防止用户STB设备访问Internet等。在H3C的整个网络方案中已经就这些风险给出了解决方案。网络二层隔离的解决方案大致可以描述以下：对于二级机房分前端以下，首先有源EoC头端下所有客户端设备二层隔离，确保不能二层互通；ONU的各个下行端口之间设置二层隔离，不允许不同端口下的用户终端二层互通；S7500E同一个EPON端口下的ONU设置二层隔离，不允许同一个EPON端口下的用户二层互通；设置S7500E的各个EPON端口二层隔离，不允许同一台S7500E下的用户二层互通；二级机房到中心机房的的S7500E设备之间如果是二层互连，则设置中心机房的S7500E的每个下行互联端口之间二层隔离，这样就实现不同二级机房下的用户无法二层互通；如果二级机房到中心机房的S7500E设备是三层互联，则就不存在二层互通的问题。对于不同的用户业务类型分配不同的VLAN，二层网络通过QinQ的方式进行业务流量的精细化隔离和识别。通过以上方案即可实现二层网络的相互隔离，确保了互动VOD点播业务域和宽带接入业务域在二层网络的隔离，保证了网络安全性。对于三层网络的隔离和安全性解决方案则可描述如下：通过前面描述的宽带接入业务终端PC和互动VOD点播业务终端STB设备分别采用不同认证方式（分别为PPPoE和DHCP）和地址分配方式，可以分配不同的IP地址域。然后在三层网络上通过访问控制策略的设定即可保证两个不同业务域的IP地址段终端无法互访，也就确保了PC无法访问VOD互动点播的媒体资源；在出口路由器通过访问控制策略或路由策略限制STB设备所在IP地址网段的外网访问。面向大客户的多业务开展针对政府机构、金融机构、企事业单位和网吧等大客户，XX广电可以基于该双向网为他们提供多种业务，比如多种VPN专网/专线业务、视频监控业务、网吧、高档小区光纤到户专线业务等等。大客户VPN专网/专线业务本网络方案支持全网开展针对机构客户的二层、三层VPN专网/专线业务，并可根据用户需要选择多种VPN专网技术。二层VPN专网技术包括：QinQVPN、VLL（martini、Kompella）VPN，后期还可扩展支持VPLSVPN；三层VPN专网技术为MPLSBGPVPN。IP城域网的汇聚设备S7506E即可完成针对家庭用户的EPON接入，同时还可以通过引擎主控板或者专用的MPLSVPN板卡提供MPLSL2/L3VPN，并且S7500E所有业务板卡均支持QinQVPN。S75E可以作为MCE、PE和P设备，同时支持MPLSOAM，可以通过网管方式对全网的MPLSVPN资源进行统一管理。QinQVPN专网/专线业务QinQ业务示意图QinQVPN的部署方式是在PE设备S7500E上面，重新为机构用户VPN1、VPN2分配一个公网VLAN，AB侧可以相同，也可以不同，用以标识本地用户，然后在公网VLAN时间建立VLANCHANNEL隧道，进而屏蔽用户自身所规划的VLAN，并突破VLAN数量限制，且为用户在统一的物理网络上提供了二层逻辑专网。QinQVPN专网/专线的部署非常简便，前端业务受理后，登记机构客户的地理位置分部，然后将工单提交给后台网管平台，通过H3CiMC统一网管平台配置各个机房的S7500E端口VLAN资源即可开通VPN专网业务。并且可根据S7500E的VLANACL策略功能，为不同的QinQVPN线路分配不同的带宽，提供QoS保障。QinQVPN适合密集节点模式的二层专网互连组网需求。VLLVPN专网/专线业务Martini方式的VLLVPN专网方案MPLSVLLVPN可以采用Martini和Kompella两种方式实现，S7500E全面支持两种方式。MPLSVLLVPN技术本身实现的是点到点的VPN专线，对于有多个分支机构的大客户，可以采用分支机构全连接的VLLVPN线路构建全网连同的VPN专网。在本组网方案中，S75E作为城域网的PE设备，大客户网络出口路由器（比如H3CMSR系列多业务路由器）或交换机作为CE设备，完成整个业务的接入。在Martini方式中，运营商网络的PE设备只需要保存少量的VC标签和LSP的映射信息，P设备不需要处理任何二层VPN信息，所以扩展性好。此外，当需要新增一条虚链路时，只要在相关的两端PE设备上各配置一条单向虚链路即可，不影响网络的运行。Martini方式配置相对比较复杂，不适合大规模应用，但比较灵活。Kompella方式适合大型企业使用。其站点较大，路由数目多，接入方式比较单一，要求站点到站点的QoS，自身具备较强的网络管理能力。另外，针对单一地点机构众多的大客户专线接入需求，还可以直接在局方部署S75E设备，作为MCE使用，单台设备可以分配给多个大客户部门作为CE设备使用，节省投资。机构客户出口网关或路由器作为CE设备，其流量在二层汇聚网上分配特定VLAN标识二层透传到中心机房部署的RRPP主节点S7500E设备（作为三层MPLSVPN）的PE设备，在PE上针对不同大客户分支机构分配VRF，以三层MPLSVPN的方式在三层核心网转发。大客户流量从RRPP主节点的S7500E设备出来后，重新以特定VLAN封装，转发到用户CE设备。在每台作为PE设备的S7500E上，可选配置冗余的Salience－VI-Turbo高端引擎，支持集中式的MPLSVPN流量转发，还可选择配置专门的分布式MPLSVPN处理业务板卡，从而可以以低成本支持大规模的MPLSVPN业务部署。三层MPLSVPN适合为分支机构分部于全市各个节点的大客户开展专网业务，甚至对于城域网外存在分支机构的专线互连需求，也可以通过MPLSVPN的跨域互连来解决。大客户视频监控业务处于维护治安的需要，目前政府公安部门、大型院校、企业工厂、高档住宅小区、大型场馆会所都有很大的视频监控需求，XX广电通过起完善的广电双向网网也可为各种大客户提供该业务。H3C可以在S7500E的EPON线路上无缝承载先进的运营商大客户IVSIP智能视频监控系统。大客户视频监控示意图网吧或高档小区大客户FTTH业务针对网吧大客户的宽带线路接入业务，EPON具有高带宽、线路覆盖距离远且有效节省光纤资源的优势，相比电信的ADSL专线更有优势，可以很轻易完成密集的网吧大客户宽带线路接入。网吧或高档小区大客户FTTH业务示意图本城域网方案在接入层面基于EPON技术，其高带宽、高可靠、完善QoS、完善网管机制等特点注定其在家庭用户和大客户增值业务的承载上具有优势。全网VLAN资源规划为了在二层网络上进行精细化多用户多业务运营，并有效杜绝二层网络存在的较大网络安全隐患问题，比如业务流量滥用、网络攻击行为泛滥等。方案对公众用户的宽带接入业务、VOD点播业务通过采用PUPSPV（peruserperservicepervlan）的方式进行全网的VLAN规划，对公众用户的业务流量进行精细化的区分和管理。并对机构客户在二层网络内采用特定VLAN封装转发。具体而言，首先是用户的PC和STB流量在经过家庭网关设备是对数据包添加第一层VLAN标签，在特定小区范围内，该内层标签对于所有用户都是不同的，由此区分小区内不同用户的宽带、VOD信令业务流量。小区内的有源EoC头端和ONU设备透传该业务流量，不对内层VLAN进行处理。上行到达二级机房的S7500E的OLT口后，根据内层VLAN标签的不同添加不同的外层VLAN标签，外层标签标识用户所作的地理位置和业务类型信息（比如所属小区编号）。宽带业务流量携带2层VLAN信息通过RRPP环转发到BRAS进行二层终结。而VOD点播信令流量在中心机房的RRPP主节点S7500E上二层终结后再三层转发到出口路由器。而机构客户的MPLSVPN业务流量从CE到S7500E的PE设备之间采用VLAN封装，需要为机构客户的专网业务分配特定VLAN段。除了一部分内层VLAN资源（比如下面举例的VLAN1－300和用于内部网络管理的VLAN资源），其余每个二级汇聚点的内层VLAN是可以自由分配的。且这些内层VLAN资源是可以在S7500E的EPON端口下重复使用的（除VLAN1－300，它在一个RRPP环内相当于被用作外层VLAN）。对于一个二级汇聚点下的内层VLAN可以举例如下规划：内层VLAN段VLAN数量用途VLAN1-300300大客户二层专线互连VLAN301-18001500用于宽带接入业务流量的内层VLAN封装，满足1500个PC终端的接入VLAN1801-33001500用于VOD点播业务流量的内层VLAN封装，满足1500个STB终端的接入VLAN3301-4094预留或用于内部网络管理当带有内层VLAN的数据包到达EPON端口时，根据其内层VLAN段的不同封装不同的外层VLAN。外层VLAN资源可以在不同的RRPP二层环内重复使用。对于一个RRPP二层环内的外层VLAN资源可举例如下规划：外层VLAN段VLAN数量用途VLAN1-300300不能再分配，已经被用于本RRPP环内的大客户专网互连VLAN301-18001500用于分配给本RRPP环内的不同S7500E汇聚节点使用，用于标识不同地理位置（比如小区编号）内的宽带接入业务流量VLAN1801-33001500用于分配给本RRPP环内的不同S7500E汇聚节点使用，用于标识不同地理位置（比如小区编号）内的VoD流量（信令流和媒体流）VLAN3301-4094793预留或用于内部网络管理当中心机房的RRPP环主节点S7500E接收到外层VLAN为301－1800段内的数据包时，二层转发到认证授权计费中心的BRAS；当接收到外层VLAN为1801－3300段内的数据包时二层终结，三层转发到出口路由器。运营、管理解决方案可运营解决方案提供全业务解决方案广电数字电视改造主要目标是运营，提升ARPU值，H3C数字电视解决方案可为用户提供可运营可管理的一体化解决方案。安全认证管理解决方案H3CS7500E系列OLT产品可以为用户提供强认证的解决方案，S7500E系列、ET系列产品可以支持基于802.1X等的认证管理协议，其解决方案如下所示：安全认证管理示意图S7500E支持的802.1X认证提供强大的用户终端认证解决方案，解决终端用户的管理问题。交换路由、安全、EPON一机多平面S7500E提供路由交换、安全、EPON一机多平面，终端用户的需求有两大层面：对数字电视业务及宽带上网业务的需求；路由层面：S7500E支持GERPR、OSPF、ECMP、RSTP等基于链路安全、稳定的保护协议确保线路的稳定性；S7500E支持丰富的三层特性，支持DHCPServer及DHCPrelay特性，DHCPServer特性可以满足终端用户的IP地址获取直接从S7500E上获取，而用户无需再增加一台单独的PC来做，对于已有DHCPServer服务器的用户可以将S7500E上的DHCPServer功能作为备用DHCPSever从而提高网络的可靠性与安全性；DHCPrelay可以实现对于终端用户的IP地址获取集中化的需求，将一台OLT下的用户IP地址的获取统一Relay至中心网管平台的DHCPServer服务器上，便于网关人员对于IP地址的集中管理。交换层面：支持二层、三层线速交换能力，S7500E采用Crossbar的体系架构，满足终端用户的高速宽带业务的需求。终端用户的IP地址管理在数字电视改造过程当中普遍面临的问题，如：采用动态IP地址获取的方式时，许多用户采用私配静态IP地址的方式或动态IP地址获取后更改为静态，S7500E支持DHCPSnooping与DHCPSecurity可实现对于终端用户的IP地址获取方式的管理，如果终端用户采用的是静态IP地址的方式则S7500E可强制其下线，不允许接入；动态IP地址获取方式同样会存在私设DHCPServer的问题，如：其中一个用户设置了私设的DHCPServer，则对同一个VLAN内的用户进行广播，导致其他用户获得假IP地址，从而无法正常的上网，S7500E支持DHCPSnooping可以实现对于终端用户的DHCP获取源的指定，对非法的DHCPServer进行屏蔽，确保用户正常上网。安全层面：随着终端的宽带用户的逐步增加，网管人员将面临越来越多的安全问题的处理，如：基于MAC地址的攻击、病毒、MAC地址盗用、IP地址盗用等一系列的问题，S7500E可扩展支持内置的防火墙模块，可以实现DOS攻击、MAC地址盗用等一系列的安全问题，进一步确保终端用户的安全，同时大量减轻网管人员的工作压力。EPON层面：随着数字电视业务的开展逐步扩大，越来越多的用户将逐步进行数字电视的改造，这样需要对于原有设备进行扩容，S7500E充分考虑到逐步增加的数字电视用户对于设备带来的压力，其可提供高达16端口OLT端口/单板，完全满足广电快速业务发展对设备高性能的要求。精细化业务区分强大的灵活QinQ解决方案S7500E支持灵活QinQ解决方案采用双层VLAN标签表标识的方式可以实现数字电视全网的Qos业务的保障，如下图所示：PUPSPV(每用户每服务每VLAN)精确标识解决方案PUPSPV(每用户每服务每VLAN)精确标识示意图 每个用户的每种业务都有相应的VLAN标识（图中用户1的PC、数字电视、IP电话三种业务分别对应于Vlan1－3），内层tag代表用户在小区中的精确位置以及业务类型；业务控制点处VLAN的含义，外层TAG代表用户所在的小区； 采用PUPSPV方式的解决方案使得整体的管理更加精细化：基于QinQ实现用户业务、位置的精确标识，有利于实现精细化管理与运营的要求；精细化管理的情况下，可以有效的防止用户帐户共享，盗用等资费流失的发生。PSPVVLAN解决方案（每业务每VLAN）PSPV(每服务每VLAN)精确标识示意图 PSPVVLAN解决方案（每业务每VLAN）的解决方案采用每种业务一个VLAN的解决方案，上图中PC宽带业务被划分到VLAN1当中，语音业务被划分在VLAN2中，流媒体业务被划分在VLAN3中，业务区分如下：业务类型优先级PC宽带业务银牌服务流媒体业务金牌服务VOIP语音业务白金服务不同业务携带的Tag标识，通过S7500E时，S7500针对不同VLAN的tag标识对应不同的Qos等级，这样进一步确保重要业务不受影响。提供端到端的管理一体化整体管理方案H3C提供从OLT（S7500E）ONU（ET254-L，S3100）、有