51Testing软件测试论坛

标题: 关于电信个人网关的一些分析 [打印本页]

作者: enzoroi 时间: 2011-1-12 17:53
标题: 关于电信个人网关的一些分析
我这几天一直在尝试各种链接epon + ont + lan + iptv的架设组合。（epon为光猫之上行到局

端的以太网。ont为光猫，纯桥接。lan是自己的路由器或者电信的e8-c上行网关。iptv为数字电

视机顶盒）
看来iptv直接连接光猫（ont）是无法看iptv的。
iptv有2层认证，一个是iptv机顶盒内置了一个iptv的核对账号，它通过dhcp桥接获取了自己的IP。

而且iptv的账号是和电信的个人网关路由器的MAC地址捆绑的。没有电信个人网关路由器的硬件

认证，iptv账号是无法接通的。
我尝试过设置iptv机顶盒用lan模式（原本默认是dhcp模式，且预置了一个iptv的核对账号），

iptv机顶盒连接自己的路由器的lan口，自己的路由器的wan口连接光猫。打开iptv，可以通过

iptv用户验证（每个月开八次，不满八次认证，要交费），但是没有实际的节目数据流。这是因

为iptv机顶盒的mac地址不是被绑定的那个个人网关的mac地址。况且自己的路由器没有映射iptv端口，自己的路由器的wan口无法直接桥接给iptv机顶盒。iptv机顶盒属于下一层网络。iptv和光猫上行的iptv服务器不属于同一层的以太网。局端交换机无法将iptv信号传达到iptv机顶盒。

目前要看iptv，又想用自己的路由器进行DMZ，upnp，端口映射等操作(进行BT端口映射，电驴获取High ID)。貌似电信个人网关目前默认开放了uphp功能。但是那网关的运算速度太差了。稳定性也不及自己的路由器。只能用交换机了。

不太主张刷第三方固件进电信的个人网关路由器。

附上我在别的论坛写的东西。就可以知道刷第三方固件可能要遇到的风险了。很有可能电信会通

过中间件平台进行一个tro69的验证，并且在预留的flash空间内再写点加密的证书文件。那时候

刷第三方固件的路由器都要完蛋了。当然，那时候自己的路由器也不能用了。

刚上网翻阅了中国电信EPON上行e8-C终端技术规范书(100428)，了解了电信个人网关的大致工作

流程。看来内设的后门还是蛮多的，不排除TR069端口之外还有别的其他后门端口。这里就不方便说

了。
内置芯片上都预留了空间给电信局的中间层应用平台，通过ITMS局端可以远程FTP中间层应用程

序。这个设备的操作系统是基于Linux kernel 2.6的。中间层应用程序会在第一次发起HTTP请求

的时候核对tr069端口权限，如果端口不开放，则会限制网络连接。（电信是内置了这样的逻辑

关系的，至于他是不是用，何时头脑发热想起来用，都是未知的。）中间层还具有外网网址过滤

功能。等于又多了个官方防火墙。（至于开启不开启，这个决定权也是在电信局手上的。）这么

说吧，电信局发起一个e8-c项目，合作厂商必须按照（100428）技术规范文件的内容定制硬件设

备，然后局方预留了最高权限的远程控制，并将这远程控制的权限和用户信息验证做了捆绑。就

好比要做一扇防盗门，要求在防盗锁内预留一个放机关的地方，这个机关和钥匙的权限在门以外

，而门内的用户是没有权限更换钥匙和改造锁的结构的。
钥匙和机关结构都在别人手里，接下来的事情我就不说了。（貌似是预留了远端控制摄像头功能

的，对用户可以方便监控家中情况，对黑客那就……）
本想用ttl线烧openwrt进固件，但是IPTV验证蛮麻烦的。很多用户现在用的是自己的路由器，很

有可能有一天电信要求强制进行硬件验证，虽然现在只是光猫的MAC地址绑定，哪天个人网关也

要MAC地址绑定，那就糟糕了。个人路由器就要全嗝屁了！

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)