Phương án đấu nối giữa hệ thống IPTV HE của VTC
và mạng MANE VNPT DakLak - DLK
Sơ đồ đấu nối
Hình 1 mô tả sơ đồ đấu nối giữa VTC Headend và mạng MANE của VNPT DLK qua PE Router
của VTN.
Router VTC đấu nối với Router PE VTN và Router PE VTNđấu nối với PE MANE bằng:
• 2 cổng GE quang chạy theo cơ chế Link Aggregation 802.3ad
Hoặc:
• 1 cổng 10GE quang
MANE
VTC
PE
PE
PE
VTN
Hình 1: Sơ đồ đấu nối giữa VTC Headend và MANE DLK
Kết nối cung cấp dịch vụ IPTV trong mạng MANE chia làm hai phần chính:
• Kết nối đến hệ thống Headend.
• Kết nối đến các DSLAM, từ đó cung cấp dịch vụ cho thuê bao ADSL2+.
Kết nối giữa IPTV Headend và PE-MANE
Router VTC đấu nối với PE-MANE được mô tả trong Hình 2.
VTN
PE
MANE
Multicast sub -interface
Unicast sub -interface
VTC
Multicast sub -interface
Unicast sub -interface
Hình 2: Kết nối giữa VTC Headend và PE VTN

Trong mô hình này, PE-VTN có vai trò tạo một bridge domain: gồm 2 interface kết nối tới
VTC và PE-MANE, hỗ trợ IGMP và QoS, không tham gia vào phần định tuyến Multicast và
Unicast.
Kết nối vật lý từ hệ thống Router VTC đến PE – MANE có nhiệm vụ như sau:
• Đường kết nối Multicast: chạy giao thức PIM-SM và static route để định tuyến các luồng
multicast (kênh LiveTV và các luồng điều khiển) vào bảng định tuyến global của PE-
MANE.
• Đường kết nối Unicast: tạo kết nối L2VPN từ Router VTC đến IPDSLAM và STB của
khách hàng.
• Làm gateway cho các STB của khách hàng.
Kết nối giữa MANE và thuê bao ADSL2+ sử dụng dịch vụ IPTV
Toàn bộ kết nối từ uPE Router đến STB của khách hàng là kết nối Layer 2. Nhiệm vụ của uPE
router bao gồm:
• Chạy giao thức định tuyến multicast PIM-SM.
• Tạo kết nối L2-VPN từ DSLAM lên router VTC

Hình 3: Kết nối từ uPE của MANE đến thuê bao ADSL2+ sử dụng dịch vụ IPTV
Do kết nối từ uPE đến tận các STB là Bridge. Do vậy VNPT DLK phải có biện pháp giải quyết
tình trạng thông nhau giữa các DSLAM trong một Bridge domain. Có thể lựa chọn 1 trong 2 biện
pháp sau:
1. Sử dụng VLAN riêng cho mỗi DSLAM.
2. Cấu hình chặn L2 trên switch Access và switch Aggregate (ví dụ: dùng Private VLAN
hoặc L2 ACL)
uPE
Modem STB
IGMP Snooping
QoS CoS
Traffic shaping
IGMP Snooping
QoS CoS

PVC0: Routed/NAT
PVC1: Bridged

Multicast routing
L2VPN
(PIM-SM)
Modem STB

Chi tiết đấu nối
Quy hoạch địa chỉ IP được thực hiện bởi VTC.
VTN
PE
MANE
Multicast sub -interface
Unicast sub -interface
VTC
Multicast sub -interface
Unicast sub -interface
Hình 3: Kết nối VTC, PE VTN, PE – MANE
Kết nối Multicast
Kết nối VTC Router PE-VTN PE-MANE
Địa chỉ kết nối 10.144.0.1/30 Bridge interface Bridge interface 10.144.0.2/30
Định Tuyến Static route Static route
Cấu hình chi tiết:
4.1. VTC Digicom:
1. Cấu hình địa chỉ kết nối:
-Interface kết nối VTN: tạo 2 sub interface
+ Multicast IP address 10.144.0.1/30 (VLAN multicast – VLAN 99)
+ Vod sub-interface: VLAN VoD (VLAN 2450)
2. Định tuyến Unicast:

Cấu hình PE chạy giao thức định tuyến Static route đến các các router trong mạng MANE.
3. Định tuyến Multicast
Cấu hình VTC Router chạy giao thức định tuyến multicast PIM-SM với các thông số sau:
Static RP address 10.254.21.1
PIM interface Interface kết nối tới VTN, cổng nối với Streaming server.
4.2. PE - VTN:
Tạo bridge domain gồm 2 interface kết nối tới VTC và PE-MANE
Cho phép giao thức IGMP hoạt động trên 2 interface này
Hỗ trợ QoS cho lưu lượng từ VTC xuống MANE

4.3. PE – MANE
1. Cấu hình địa chỉ kết nối:
-Interface kết nối VTN: tạo 2 sub interface
+ Multicast IP address 10.144.0.2/30 (VLAN multicast – VLAN 99)
+ Vod sub-interface: VLAN VoD (VLAN 2450)
2. Định tuyến Unicast:
Cấu hình PE chạy giao thức định tuyến Static route đến các Subnet VTC headend:
- 10.254.21.1/32
- 10.255.144.0/24, 10.255.145/24, 10.255.146.0/24
- Import static route vào định tuyến IS-IS để các router trong mạng MANE biết được
các subnet này
3. Định tuyến Multicast
Trên mỗi PE thuộc MANE, Cấu hình PE chạy giao thức định tuyến multicast PIM-SM với
các thông số sau:
- Static RP address 10.254.21.1
- PIM interface: Muticast sub-interface nối PE-VTN
4. Cấu hình cho VoD
Tạo kết nối L2VPN từ Unicast Sub-interface tới DSLAM kết nối vào uPE
Kết nối từ uPE đến thuê bao ADSL2+ sử dụng dịch vụ IPTV
Hình 4: Kết nối từ uPE đến thuê bao ADSL2+

1. Định tuyến Multicast
Trên mỗi uPE thuộc MANE, Cấu hình uPE chạy giao thức định tuyến multicast PIM-SM
với các thông số sau:
- Static RP address 10.254.21.1
- PIM interface: interface nối PE
2. Cấu hình cho VoD
uPE
Modem STB
IGMP Snooping
QoS CoS
Traffic shaping
IGMP Snooping
QoS CoS
PVC0: Routed/NAT
PVC1: Bridged

Multicast routing
L2VPN
(PIM-SM)
Modem STB
Tạo kết nối L2VPN từ IPDSLAM-interface tới PE - VTN
3. Cấu hình modem chạy 2 PVC
a. PVC 0: chế độ Routed/NAT, cung cấp dịch vụ Internet.
b. PVC 1: chế độ Brigde, cung cấp dịch vụ IPTV.
4. Cấu hình DSLAM 1 và 2:
Khai báo các kênh điều khiển: địa chỉ 225.21.2.1 – 225.21.2.5
Khai báo các kênh multicast: địa chỉ 225.21.3.1 – 225.21.3.5
Kết quả dự kiến
1. Máy tính (giả lập STB) nhận được địa chỉ IP cấp bởi hệ thống Headend:
a. Cắm máy tính vào cổng LAN của Modem

b. Cấu hình máy tính để nhận địa chỉ IP động
c. Sau 1 thời gian, máy tính được cấp địa chỉ 10.144.32.x/24. Trên DHCP server có
log về việc cấp phát cấu hình này.
2. Máy tính (giả lập STB) nhận được luồng Multicast phát từ hệ thống Headend:
a. Thực hiện test 1 (như trên)
b. Trên máy tính, bật Wireshark để theo dõi luồng multicast
c. Sử dụng phần mềm VLC để nhận luồng Multicast 225.21.3.1 port 1234
d. Máy tính hiển thị kênh Live tương ứng với địa chỉ Multicast trên.
e. Cấu hình VLC nhận luồng 225.21.3.2 port 1234
f. Máy tính hiển thị kênh Live tương ứng với địa chỉ Multicast trên
g. Dùng Wireshark hiển thị lưu lượng tương ứng với 2 kênh, kiểm tra thời gian
chuyển kênh
h. Kiểm tra DSCP trên gói tin UDP
i. Kiểm tra chất lượng kênh bằng mắt
Chất lượng dịch vụ
Mạng MANE phân phối dịch vụ IPTV phải đảm bảo các yêu cầu về chất lượng dịch vụ:
• Trễ end-to-end < 50 ms
• Jitter < 9ms (với buffer size là 15 KByte)
• Tỷ lệ mất gói: 0.05% cho kênh HD và 0.4% cho kênh SD và VOD
• Tỷ lệ mất gói khi chuyển kênh: 0% (cho cả HD và SD)
Do vậy, lưu lượng từ hệ thống IPTV Headend cần được mạng phân phối dịch vụ (PE-VTN và
VNPT DLK) phân loại và ưu tiên lần lượt theo thứ tự từ cao đến thấp như sau:
1. Network Control (ưu tiên cao nhất)
2. Live TV
3. VoD
4. Các lưu lượng khác (ưu tiên thấp nhất)
Các lưu lượng trên được Router của VTC đánh dấu vào trường DSCP như trong Bảng 1:
Bảng 1: Giá trị DSCP đánh dấu cho từng loại lưu lượng
Thứ
tự ưu

tiên
Loại lưu lượng Tên trường DSCP Giá trị DSCP
1 Network Control Network control 110000
2 Live TV EF (Expedited Forwarding) 101110
3 VoD
AF41 (Assured Forwarding, Drop Probability
low)
100010
4 Các lưu lượng khác BE (Best Effort) 000000
Router PE-VTN và mạng MANE của VNPT DLK có nhiệm vụ đọc trường DSCP và chuyển tiếp
lưu lượng IPTV trong mạng phân phối theo đúng thứ tự ưu tiên như trên.
Quy hoạch địa chỉ IP
Các STB thuộc thuê bao ADSL2+/FTTX đấu nối vào cùng một Router uPE của VNPT DLK sẽ
được cấp địa chỉ trong một subnet (dựa trên trường Option 82 trong bản tin DHCP Request gửi lên
Headend). Dải địa chỉ cấp cho STB được quy hoạch theo Bảng 2.
Bảng 2: Quy hoạch địa chỉ IP cấp cho STB
Thiết bị Subnet Địa chỉ Gateway Địa chỉ STB
PE1 10.144.32.0/19 10.144.32.1 10.144.32.2 ÷ 10.144.63.254
PE2 10.144.64.0/19 10.144.64.1 10.144.64.2 ÷ 10.144.95.254
PE3 10.144.96.0/19 10.144.96.1 10.144.96.2 ÷ 10.144.127.254
PE4 10.144.128.0/19 10.144.128.1 10.144.128.2 ÷ 10.144.159.254
PE5 10.144.160.0/19 10.144.160.1 10.144.160.2 ÷ 10.144.191.254
PE6 10.144.192.0/19 10.144.192.1 10.144.192.2 ÷ 10.144.223.254
PE7 10.144.224.0/19 10.144.224.1 10.144.224.2 ÷ 10.144.255.254
Ngoài ra, toàn bộ DSLAM cung cấp dịch vụ IPTV cần khai báo địa chỉ các kênh Multicast phát ra
từ hệ thống VTC Headend.
Bảng 3: Dải địa chỉ Multicast của VTC Headend
Luồng Multicast Địa chỉ
Luồng điều khiển STB 225.21.2.1 ÷ 225.21.2.5
Kênh LiveTV 225.21.3.1 ÷ 225.21.3.100

239.1.1.1 ÷ 239.1.1.254
5. An ninh trong hệ thống mạng cung cấp dịch vụ IPTV
Các thành phần trong hệ thống mạng cung cấp dịch vụ IPTV
Hệ thống mạng cung cấp dịch vụ IPTV chính là phần mạng phân phối kết nối trực tiếp với khách
hàng. Trong Hình 5, phần mạng phân phối chính là từ thiết bị PE Router đến modem của khách
hàng.
MANE
Access
Switch
PE PE
DSLAM
ModemVTC
Router
Layer 3 Layer 2
Hình 5: Mô hình mạng cung cấp dịch vụ IPTV
Vấn đề đảm bảo an ninh cho phần mạng phân phối là hết sức quan trọng.
Các nguy cơ tấn công
Do phần mạng phân phối có nhiệm vụ cung cấp kết nối Layer 2 (Từ Modem khách hàng đến PE
Router), cần có các biện pháp ngăn chặn các tấn công ở Layer 2. Các kiểu tấn công dạng này là:
• Làm tràn bảng định tuyến của Switch: Gửi gói tin từ rất nhiều Source MAC khác nhau
khiến Switch không thể học được tất cả các địa chỉ MAC này. Khi Switch không thể sử dụng
thông tin trong bảng định tuyến, nó bắt buộc phải quảng bá gói tin trên tất cả các cổng. Do
vậy, luồng lưu lượng trên Switch bị ảnh hưởng, gói tin được gửi đến tất cả các host trên vùng
mạng. Ngoài việc làm tăng lưu lượng trên mạng, kẻ tấn công còn có thể lấy được các gói tin
gửi đến host khác.
• Lắp đặt các DHCP Server không hợp lệ: Giả danh server DHCP hợp lệ trên mạng LAN để
cấp phát thông tin cấu hình động cho STB. Thông tin cấu hình này sẽ ảnh hưởng đến khả
năng kết nối dịch vụ của STB (Ví dụ như sai địa chỉ Gateway, không có thông tin về luồng
Boot, v.v…). Bằng cách lấy địa chỉ của chính mình làm địa chỉ Gateway mặc định, kẻ tấn
công còn có thể lấy được thông tin gửi từ/đến STB.

• Gửi thông tin ARP giả mạo (ARP Spoofing): Gửi bản tin ARP (ARP Reply hoặc Gratutious
ARP) với địa chỉ MAC của máy thực hiện tấn công và địa chỉ IP của máy khác. Khi đó, toàn
bộ lưu lượng gửi tới địa chỉ IP trên sẽ thực sự được chuyển đến máy thực hiện tấn công.
• Thay đổi thông tin trong CSDL DHCP Snooping: Tạo host với địa chỉ MAC giả giống với
địa chỉ MAC của máy khác. Khi host với MAC giả yêu cầu DHCP, bảng DHCP snooping sẽ
bị thay đổi theo. Khi đó, các bản tin ARP từ máy hợp lệ sẽ bị chặn.
• Gửi quá nhiều yêu cầu DHCP (DHCP Starvation): Máy thực hiện tấn công gửi yêu cầu
DHCP từ các địa chỉ MAC giả mạo khiến cho máy chủ DHCP không thể xử lý các yêu cầu từ
các máy hợp lệ. Toàn bộ dải địa chỉ của Server bị dùng hết nên máy chủ DHCP không còn địa
chỉ để cấp cho các máy khác.
• Tấn công từ chối dịch vụ: Máy tính trong mạng LAN phía thuê bao thực hiện gửi rất nhiều
lưu lượng lên phía Head-end hoặc đến các thuê bao khác trong mạng, làm treo STB hoặc tê
liệt Switch L3.
Các cơ chế ngăn chặn tấn công
Phần mạng phân phối là mạng của VNPT DLK. Do vậy, các cơ chế ngăn chặn được VNPT DLK
thực hiện trên các thiết bị mạng bao gồm:
• Đặt ACL lớp 2: Chỉ cho phép các thiết bị sử dụng dải địa chỉ MAC của Amino, WNC và
các nhà cung cấp STB khác (Khi triển khai STB của hãng trên mạng) kết nối với hệ thống.
DSLAM sẽ tự động chặn các gói tin có địa chỉ MAC nguồn nằm ngoài các dải địa chỉ trên.
Nếu cần ngăn chặn chặt hơn, có thể cấu hình DSLAM để chỉ cho phép gói có địa chỉ MAC
nguồn là địa chỉ của (các) STB của khách hàng đó.
• Giới hạn số lượng địa chỉ MAC học trên cổng: hạn chế số địa chỉ MAC tối đa trong bảng
định tuyến cho một (Hay một số) cổng vật lý.
• DHCP Snooping: Giám sát việc trao đổi các bản tin DHCP trên hệ thống, xây dựng CSDL
liên kết địa chỉ MAC (của DHCP Client) và địa chỉ IP (do DHCP Server cấp).
• Dynamic ARP inspection (DAI): Sử dụng CSDL liên kết của DHCP snooping để ngăn chặn
các bản tin ARP không hợp lệ (bản tin có cặp địa chỉ MAC/IP không tồn tại trong CSDL).
• Private VLAN: Đảm bảo các cổng khách hàng trên một hoặc nhiều Switch được cấu hình
Private VLAN không kết nối trực tiếp được với nhau.
• Private VLAN Edge: Đảm bảo các cổng khách hàng trên một Switch không kết nối trực

tiếp được với nhau.
Các kiểu tấn công và cơ chế ngăn chặn được VNPT DLKtrên các thiết bị mạng cụ thể theo Bảng
4:
Bảng 4: Các kiểu tấn công Layer 2 và cơ chế ngăn chặn
STT Kiểu tấn công DSLAM và MSAN Switch FTTH
Access
Switch
PE
Router
1
Làm tràn bảng định
tuyến của Switch
Đặt Layer 2 ACL (allow
STB MAC, deny all)
Đặt Layer 2 ACL (allow
STB MAC, deny all)
None None
2
Lắp đặt các DHCP
Server không hợp
lệ
Port Isolation DHCP Snooping None None
3
Giả mạo thông tin
ARP (ARP
Spoofing)
DHCP Snooping &
Dynamic ARP
Inspection
DHCP Snooping &

Dynamic ARP
Inspection
None None
4
Thay đổi thông tin
trong CSDL DHCP
Snooping
Đặt Layer 2 ACL (allow
STB MAC, deny all)
Đặt Layer 2 ACL (allow
STB MAC, deny all)
None None
5
Gửi quá nhiều yêu
cầu DHCP (DHCP
Starvation)
Đặt Layer 2 ACL
Giới hạn số lượng địa
chỉ MAC trên cổng thuê
bao & Đặt Layer 2 ACL
None None
6
Tấn công ngang
hàng
Port isolation Private VLAN None None
7
Tấn công từ chối
dịch vụ
Sử dụng cơ chế riêng
của DSLAM. E.g., Anti-

DoS của Huawei
Giới hạn lưu lượng
hướng lên
None None