enzoroi 发表于 2011-1-12 17:53:42

关于电信个人网关的一些分析

我这几天一直在尝试各种链接epon + ont + lan + iptv的架设组合。(epon为光猫之上行到局

端的以太网。ont为光猫,纯桥接。lan是自己的路由器或者电信的e8-c上行网关。iptv为数字电

视机顶盒)
看来iptv直接连接光猫(ont)是无法看iptv的。
iptv有2层认证,一个是iptv机顶盒内置了一个iptv的核对账号,它通过dhcp桥接获取了自己的IP。

而且iptv的账号是和电信的个人网关路由器的MAC地址捆绑的。没有电信个人网关路由器的硬件

认证,iptv账号是无法接通的。
我尝试过设置iptv机顶盒用lan模式(原本默认是dhcp模式,且预置了一个iptv的核对账号),

iptv机顶盒连接自己的路由器的lan口,自己的路由器的wan口连接光猫。打开iptv,可以通过

iptv用户验证(每个月开八次,不满八次认证,要交费),但是没有实际的节目数据流。这是因

为iptv机顶盒的mac地址不是被绑定的那个个人网关的mac地址。况且自己的路由器没有映射iptv端口,自己的路由器的wan口无法直接桥接给iptv机顶盒。iptv机顶盒属于下一层网络。iptv和光猫上行的iptv服务器不属于同一层的以太网。局端交换机无法将iptv信号传达到iptv机顶盒。

目前要看iptv,又想用自己的路由器进行DMZ,upnp,端口映射等操作(进行BT端口映射,电驴获取High ID)。貌似电信个人网关目前默认开放了uphp功能。但是那网关的运算速度太差了。稳定性也不及自己的路由器。只能用交换机了。

不太主张刷第三方固件进电信的个人网关路由器。

附上我在别的论坛写的东西。就可以知道刷第三方固件可能要遇到的风险了。很有可能电信会通

过中间件平台进行一个tro69的验证,并且在预留的flash空间内再写点加密的证书文件。那时候

刷第三方固件的路由器都要完蛋了。当然,那时候自己的路由器也不能用了。

刚上网翻阅了中国电信EPON上行e8-C终端技术规范书(100428),了解了电信个人网关的大致工作

流程。看来内设的后门还是蛮多的,不排除TR069端口之外还有别的其他后门端口。这里就不方便说

了。
内置芯片上都预留了空间给电信局的中间层应用平台,通过ITMS局端可以远程FTP中间层应用程

序。这个设备的操作系统是基于Linux kernel 2.6的。中间层应用程序会在第一次发起HTTP请求

的时候核对tr069端口权限,如果端口不开放,则会限制网络连接。(电信是内置了这样的逻辑

关系的,至于他是不是用,何时头脑发热想起来用,都是未知的。)中间层还具有外网网址过滤

功能。等于又多了个官方防火墙。(至于开启不开启,这个决定权也是在电信局手上的。)这么

说吧,电信局发起一个e8-c项目,合作厂商必须按照(100428)技术规范文件的内容定制硬件设

备,然后局方预留了最高权限的远程控制,并将这远程控制的权限和用户信息验证做了捆绑。就

好比要做一扇防盗门,要求在防盗锁内预留一个放机关的地方,这个机关和钥匙的权限在门以外

,而门内的用户是没有权限更换钥匙和改造锁的结构的。
钥匙和机关结构都在别人手里,接下来的事情我就不说了。(貌似是预留了远端控制摄像头功能

的,对用户可以方便监控家中情况,对黑客那就……)
本想用ttl线烧openwrt进固件,但是IPTV验证蛮麻烦的。很多用户现在用的是自己的路由器,很

有可能有一天电信要求强制进行硬件验证,虽然现在只是光猫的MAC地址绑定,哪天个人网关也

要MAC地址绑定,那就糟糕了。个人路由器就要全嗝屁了!
页: [1]
查看完整版本: 关于电信个人网关的一些分析