Блокировка доступа к IPTV

[mlevel]

Здравствуйте. Хотим внедрить в нашей локальной сети сервис IPTV, таким образом, что би каждий абонент сети, заплатив определенную плату, мог смотреть ТВ-канали на ПК. Как можно блокировать мультикаст поток тем пользователям, которие не заплатили, и разблокировать тем, которие заплатили? Комутатори поддерживают multicast, MVR, IGMP. Сеть 1GB, в основном оптика.

[creator]

Нужно просто не давать подписку на ключ карты доступа этого пользователя.

[UglyAdmin]

Там нет карт доступа, нет STB, вообще ничего нет - IPTV планируется в качестве игрушки для админов и показателя собственной крутости, а не для зарабатывния денег. Чтобы убедить руководство потратиться на серверы и т.п. - пущена байка о том, что юзеры будут за это платить. :)

[SmokerMan]

Там нет карт доступа, нет STB, вообще ничего нет - IPTV планируется в качестве игрушки для админов и показателя собственной крутости, а не для зарабатывния денег. Чтобы убедить руководство потратиться на серверы и т.п. - пущена байка о том, что юзеры будут за это платить. :)

Да вот мало кто это понимает.... :-)

[SmalleR]

Варианты:

 

- шифрование потоков с выдачей ключей доступа заплатившим клиентам.

- IPTV на отдельный порт, с последующей блокировкой тем, кто не заплатил.

 

P.S.

Не обращай внимания на стёб "отцов".

Все они (почти) были домушниками и начинали с мыльниц.

Теперь прозрели и мускают пузыри ;)

Уважаю таких за зрелость, но не за "мудрость".

 

Давайте по делу, без "религии".

[cmhungry]

deny igmp host user

в аксесс-листе на ближайшем л3, если не используется MVR

[UglyAdmin]

Дак и механизм добавления/удаления порта в MVR-группу должен быть...

[cmhungry]

Дак и механизм добавления/удаления порта в MVR-группу должен быть...

в случае с MVR л3 получит джойн не от ипа юзера, а от фейкового ипа свитча доступа - и не будет знать, какой юзер запросил группу

[RusBiT]

А вариант с VLAN'ом не выйдет?

[cmhungry]

А вариант с VLAN'ом не выйдет?

коллега поправил - с MVR не на длинке - может выйти

длинк в случае ISM-vlan жестко меняет адрес запросившего

[mlevel]

VLAN только на отдельний свитч даем. На домах, стоят свитчи Л2, Л3 только центральний.

[ingress]

А вариант с VLAN'ом не выйдет?

коллега поправил - с MVR не на длинке - может выйти

длинк в случае ISM-vlan жестко меняет адрес запросившего

ну и в чём проблема? кому мона смотреть добавляем в мембер порты, кому нельзя не добавляем.

пакетирование через igmp profile.

какая разница кто присылает igmp запрос?

[Magnum72]

Там нет карт доступа, нет STB, вообще ничего нет - IPTV планируется в качестве игрушки для админов и показателя собственной крутости, а не для зарабатывния денег. Чтобы убедить руководство потратиться на серверы и т.п. - пущена байка о том, что юзеры будут за это платить. :)

Ну на коммутаторах типа Dlink DES3526 можно настроить Limited Multicast Address на портах с которых юзера могут смотреть,

на некоторых устройствах есть такое IGMP Autorization (тупо не добавляет подписчика в группу если ему не разрешено на основании 802.1x)

 

Дак и механизм добавления/удаления порта в MVR-группу должен быть...

в случае с MVR л3 получит джойн не от ипа юзера, а от фейкового ипа свитча доступа - и не будет знать, какой юзер запросил группу

или от ближайшего Querier'a

[mlevel]

Давайте по порядку. Центральний свитч - Л3, магистральние - Л2(Длинк), на абонентах(Л2 - Вектор).

[rover-lt]

Здравствуйте. Хотим внедрить в нашей локальной сети сервис IPTV, таким образом, что би каждий абонент сети, заплатив определенную плату, мог смотреть ТВ-канали на ПК. Как можно блокировать мультикаст поток тем пользователям, которие не заплатили, и разблокировать тем, которие заплатили? Комутатори поддерживают multicast, MVR, IGMP. Сеть 1GB, в основном оптика.

блокировать запросы (join) от пользователя на источнике мультикаста - дешево, сердито и действенно.

[UglyAdmin]

блокировать запросы (join) от пользователя на источнике мультикаста - дешево, сердито и действенно.

А запросы от пользователя доходят до источника при IGMP Snooping'е???

[SmalleR]

Запрос join к источнику вообще никакого отношения не имеет.

[tipok]

проблема ещё в том - как быть если наш клиент "продвинутый гик", и будет ретранслировать канал соседям (не мультикастом)??

 

[ingress]

проблема ещё в том - как быть если наш клиент "продвинутый гик", и будет ретранслировать канал соседям (не мультикастом)??

можно ограничить: 1 группу на порт, включить Immediate Leave и зарубить TTL

от дураков поможет :)

 

[vIv]

http://forum.nag.ru/forum/index.php?showtopic=47094

[tipok]

можно ограничить: 1 группу на порт, включить Immediate Leave и зарубить TTL

И как это поможет ограничить доступ?

Человек запускает VLC:

vlc udp://@<тв_канал> --sout '#std{access=http,mux=ps,dst=:8000}'

А второй запустит:

vlc http://<адрес_первого>:8000'

 

Я полагаю, что рейт-лимит на порту до 4Мбит может помочь, но пользователи от такого будут, мягко говоря - не в восторге.

Edited February 14, 2009 by tipok

[BSI_KSK]

Не так давно тестировали такую идею.

PPPoE и Mikrotik.

Абонент подключается по PPPoE. На микротике скриптом создается PIM интерфейс для этого PPPoE. И получает мультик.

Проблема в том что это не катит в случае с домашним роутером. На всех протестированых моделях IGMP proxy и UDPXY настроены c WAN интерфейсом в качестве апстрим. А нам нужно сделать PPPoE. НА SNR-ах пробовали поправить конфиг IGMP proxy. Работает. Но это не вариант. Нужно править прошивку.

[pppoetest]

Варианты:

 

- шифрование потоков с выдачей ключей доступа заплатившим клиентам.

- IPTV на отдельный порт, с последующей блокировкой тем, кто не заплатил.

Нахрена? igmp аутентификация + фрирадиус

 

Но в любом случае это игрушки, деньги на этом не заработать. Имхо.

[Bushi]

http://ru.wikipedia.org/wiki/IGMP_Radius_Authentication

В наговских свичах и по-моему в длинках есть такая функция.

[zedsh]

У нас на D-link'ах оно работало, но не на всех оно работает стабильно. У вас настолько большая сеть, что уже есть потребность в мультикасте? Почему бы не сделать это юникастом?