中国电信下一代互联网认证系统技术规范

1、纟彳囲电信CHINA TELECOM中国电信下一代互联网认证系统技术规范（修改稿）中国电信股份有限公司上海研究院二零一一年五月目 录1 编制说明11.1 范围11.2 引用标准11.3 定义、术语和缩写21.3.1 定义21.3.2 术语和缩写22 认证系统概述32.1 认证系统的定位32.2 认证系统的功能和业务组成43 认证系统对IPv6协议的支持的总述54 认证授权部分对IPv6的扩充64.1 功能扩充64.2 数据格式定义64.3 L2TP 隧道74.4 PROXY74.5 IPv6相关共有 RADIUS属性 84.6 IPv6私有属性扩展125 计费采集部分对IPv6的扩充136 认

2、证系统用户在线信息表要求 137 周边系统接口 147.1 与服务开通系统的接口 147.2 与网络设备的接口 147.3 与计费系统的接口 158 AAA系统IPv6过渡技术支持 158.1 概述158.1.1 IPv6过渡技术中认证与地址溯源概述 158.1.2 过渡技术的四种地址溯源方案 178.2 AAA系统溯源改造总体要求188.3 功能要求198.3.1 静态映射表生成功能 198.3.2 动态映射关系获取功能208.3.3 地址池选择功能208.4接口要求21841与网管系统接口 218.4.2 与外部溯源请求系统接口 218.4.3 与Log服务器接口 239 性能与可靠性要求

3、249.1 AAA系统基本性能要求249.2 可靠性要求2510 附：用户认证流程 2510.1 本地BRAS接入认证流程 2510.2 L2TP隧道方式接入认证流程2710.3 认证系统用户在线信息维护示例291编制说明1.1范围本技术规范以RFC文档为依据，针对中国电信下一代互联网试点实际情况 和具体要求，对下一代互联网IPv6城域网中认证系统的定义、网络定位、业务 支持流程等进行了说明，对在系统中支持 IPv6协议的功能提出了规定，包括认 证、授权、计费等相关部分对IPv6协议属性支持的具体要求。本文件不对中国电信现有的认证系统进行规范， 仅针对下一代互联网（IPv6） 技术中涉及到的用

4、户接入认证系统进行规范。 本技术规范适用于中国电信认证系 统支持IPv6功能的研制开发工作。在本规范中：（1）必须：表示该条目是本规范必须。违反这样的要求是原则性错误。（2）必须实现：表示该要求必须实现，但不要求缺省使能。（3）不允许（不可以）：表示该条目绝对禁止。（4）应当（建议）：表示在某些特定条件下存在忽视该条目的理由，但是忽视或 违反该条目时必须仔细衡量。（5）应当（建议）实现：与应当（建议）类似，实现时不必要缺省使能。（6）不应当（不建议）：表示在某些特定条件存在所描述行为可接受或有效的理 由，但实现该行为时必须仔细衡量。（7）可以：表示该条目确实可选。1.2引用标准下列标准包含的条

5、文，通过在本标准中引用而构成为本标准的条文。本标准 出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨， 使用下列标准最新版本的可能性。RFC 2865/2318RADIUS*议（认证）RFC 2866/2319RADIUS*议（计费）RFC 2867RADIUS*议（隧道协议的计费）RFC 2868RADIUS*议（隧道协议的认证）RFC 2869RADIUS*议扩展RFC 3162RADIU餉 IPv6RFC 3575IANA对RADIUS勺考虑RFC 5176/3576RADIUS动态认证扩展RFC 3579RADIUS支持可扩展的认证协议（EAPRFC 4818RAD

6、IUS属性Delegated-IPv6-PrefixRFC 5080一般RADIUS执行问题和建议1.3定义、术语和缩写1.3.1定义认证系统：为IP网络中的接入用户提供认证、授权、和计费服务的系统1.3.2术语和缩写AAAAuthentication, Authorization & Accounting （认证、授权和计费）BRASBroadband Remote Access Server （宽带接入服务器）CHAPChallenge-handshake Authentication Protocol （握手认证协议）DHCPDyn amic Host Con figuration Pr

7、otocol （动态主机配置协议）DSLAMDigital Subscriber Line Access Multiplexer （数字用户线接入复用器）IPoEIP over Ether netIPv6In ternet Protocol Versio n 6 （互联网协议第 6 版）IPv6CPIP Control Protocol （IPv6 控制协议）L2TPLayer 2 Tunn elli ng Protocol （第二层隧道协议）LACL2TP Access Concentrator （L2TP 访问集中器）LANLocal Area Network （局域网）LCPLink C

8、ontrol Protocol （链路控制协议）LNSL2TP Network Server （L2TP 网络服务器）MAC Media Access Control （介质访问控制）MIBMan ageme nt In formatio n Base （管理信息库）NAT-PT Network Address Tran slate + Protocol Tran slation（网络地址翻译 / 协议翻译）PAPPassword Authentication Protocol （密码认证协议）PPPoEPPP Over EthernetRADIUS Remote Authorization

9、Dial In User Service （远程认证拨号用户服务）SNMP Simple Network Management Protocol （简单网络管理协议）TCPTransmission Control Protocol （传输控制协议）UDP User Datagram Protocol （用户数据报协议）VPN Virtual Private Network （虚拟专用网）DS-Lite Dual stack-LiteNAT444 Natwork address tran slate 4442认证系统概述2.1认证系统的定位在中国电信IP城域网中，认证/计费服务器一般处于城域骨干

10、网的核心层，通过网络与接入网关的认证端口建立 IP连接，为用户接入网络提供认证、授权、 和计费服务。典型的网络拓扑如图1所示：互联网谕于刚业务按人 BRAS K.业奔路由詩提入闵园区交换枫按入展IDSLAM喽道交换机家庭网亦庭阿萸IPv4/Pvt rrl|h| |LD ipvvipv6客户轼i-E!(r 丄容户端Pv4/lPv6客户輯图1、认证系统在网络中的定位2.2认证系统的功能和业务组成认证系统主要功能为：提供用户接入中国电信IP网络时，对用户的身份的验证，包括用户帐号与密码的匹配关系，用户接入的线路认证、用户接入的次数验证等；在用户通过身份认证之后，为用户的当前接入配置适当的权限，包括用

11、 户接入的带宽等模板信息；在用户上线过程中和下线之后记录用户使用的计费原 始信息，并生成原始话单。同时，认证系统需要在用户上线过程中维持用户在线信息表，并可对其它系统提供查询接口。认证系统组成：中国电信IP网认证系统由认证服务器、业务逻辑处理服务 器和数据库服务器、接口服务器组成，各组成部分的功能描述如下：认证服务器：完成认证 Radius协议/Diameter协议的解析,以及相关协议流 程的支持；业务逻辑处理服务器：完成用户接入身份的验证，授权功能的实现和计费信 息的采集，并实现用户在线信息的维护；数据库服务器：存储用户的信息，包括身份信息、业务信息及其它相关信息；接口服务器：实现认证系统与

12、其它周边系统的接口，例如：开户接口。3认证系统对IPv6协议的支持的总述本文件不对中国电信现有的认证系统进行规范， 仅针对认证系统对下一代互 联网（IPv6）的支持进行规范。在IP认证系统中扩充对IPv6协议的支持，主要 包括2方面的内容：（1） IP认证系统中对用户提供IPv6服务时，所增加的相关属性、统计等；（2）IP认证系统本身的IPv6化，包括系统本身支持IPv6协议栈，各服务 器之间，及Client/Server之间传递的报文也用IPv6协议传送。鉴于目前大部分设备都只支持IPv4协议，认证系统本身传递报文时要确认 对方的协议栈，在具体实施时可能引起混乱，因此建议系统的IPv6进程分

13、为2阶段进行。（1） 现阶段以IPv4访问为主，所传递的报文内容包含了所需的IPv6属性。（2）将来对IPv6的支持成熟后，增加系统本身的IPv6化，包括系统管理、 系统间报文的传递等内容。要求认证系统必须支持 RFC 3162所规定的6个RADIUS属性和RFC4818 规定的1个属性，以支持对IPv6的认证和授权。系统必须区分普通IPv4用户、纯IPv6用户及双栈用户，不同用户采用由IT 支撑系统在开户或修改用户信息时设置用户属性标识的方式实现，该属性标识由IT支撑系统在开户或账户修改时随接口指令传送给认证系统，认证系统将该标 识存放在用户信息数据库中，在用户接入认证时通过该字段判断用户是

14、IPv4用户或双栈用户或纯IPv6用户。用户帐号名可以采用任何符合中国电信帐号规范的帐号形式，帐号后缀可以根据业务需要定义任意形式的后缀，供特殊业务（如：VPDN ）或帐号漫游使用（如：WLAN全国漫游）。4认证授权部分对IPv6的扩充4.1功能扩充为支持对IPv6用户的认证、授权，系统必须支持以下功能。认证系统在用户业务属性中增加标识支持IPv6功能，识别用户是IPv4单栈、 双栈或IPv6单栈接入。认证系统必须对用户加以区分，标识用户为普通IPv4用户、纯IPv6用户、及双栈用户。服务开通系统为IPv6用户(或双栈用户)开户后，将IPv6的用户信息传送 给认证系统。认证系统必须能接收和识别

15、IPv6用户信息。认证系统必须扩充RADIUS属性，支持RFC 3162所规定的6个RADIUS 属性和RFC4818规定的1个属性。认证方式，应支持PAP、CHAP等认证方式。在用户认证完成，用户上线过程中需要记录用户的在线信息，其中包括用户的IPv6地址。需要支持在用户上线过程中接入服务器产生的中间计费包中的 IPv6相关信息，如用户IPv6地址和当前IPv6使用的流量等。在用户下线时，记录用户的下线时间，并支持在用户下线计费包中的IPv6相关Radius属性，如用户IPv6地址、用户IPv6使用流量等。考虑到用户的使用习惯，用户登录时如果没带域名做如下处理： 双栈用户如 果没带域名登录，

16、按普通IPv4用户处理；纯IPv6用户登录时没写域名，按用户 名错误处理。其他写错域名时，按与 VPN用户同等处理。4.2数据格式定义为支持IPv6功能，认证服务器需要增加相关的数据类型，主要包括以下数 据类型，但不限于这几种类型。(1)IPv6地址(IPv6 Address): IPv6地址为128比特以16字节数据格 式表示。(2)IPv6地址前缀(IPv6 Prefix)： IPv6地址前缀由2部分组成。第一部分 为地址前缀(Prefix),数据形式为0128比特，以16字节表示，第二部分为前 缀的长度(Length),格式为1字节，取值范围为0 128。(3) IPv6接口 ID (I

17、Pv6 In terface ID): 64比特，以8字节数据格式表示。(4) IP用户类型：标志用户的IP类型，有普通IPv4用户、双栈用户、纯IPv6 用户3种类型。格式规定为1字节，取值定义：0为普通用户，1为双栈用户，2 为纯IPv6用户。4.3 L2TP 隧道在VPN企业用户表中定义支持IPv6功能BRAS的域名，地址，隧道密码 等参数。当需要支持双栈或纯IPv6的用户在不支持IPv6的BRAS设备接入网 络时，可以动态或静态提供L2TP隧道接入支持IPv6的LNS设备参数，为用户 建立IPv6的PPPoE连接。认证系统需要支持LNS参数的列表，以实现负载均 衡或其它功能。认证流程中

18、，在RADIUS属性解析中增加相关IPv6属性解析。根据IPV6 地址生成IPV6格式的地址字符串以及根据IPv6地址字符串生成IPV6地址。用户通过隧道上网时，在LAC和LNS中都会发送计费账单，需要排除LAC 的账单。4.4 PROXY一般PROXY RADIUS同时具有PROXY和SERVER的角色，因此要求 PROXY RADIUS必须具有和RADIUS服务器相同的功能。能把从接入服务器发送的带有IPv6相关属性的报文转发到RADIUS服务 器。能把RADIUS服务器回应的带有IPv6属性的报文转发给接入服务器。PROXY不允许过滤任何IPv6相关的Radius属性。接入服务器与PRO

19、XY之间的传送协议可采用IPv4或IPv6，PROXY与 RADIUS服务器之间的传送协议也可采用IPv4或IPv6，二段传送协议是独立的， 并不要求两者保持一致。4.5 IPv6相关公共 RADIUS属性认证系统必须扩充RADIUS属性，支持RFC 3162所规定的6个RADIUS 属性和RFC4818规定的1个属性。1、NAS-IPv6-Address。属性号 95，报文长度 18，Address 为 16 字节 IPv6 地址，是请求认证的用户所使用的接入服务器的IPv6地址。是由接入服务器在Access-Request报文中发送给RADIUS服务器的。其报文格式如下：01230 1 2

20、 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1TypeLen gthAddressAddress （续）Address （续）Address （续）Address （续）2、Framed-Inteface-ld。属性号 96，报文长度 10，Interface-Id 为 8 字节IPv6接口 ID，是IPv6CP协商后的接口 ID，用以指示为用户配置的IPv6接口ID。该属性可用于 Access-Accept报文中。如果该ID在IPv6CP过程中已协商 成功，则由接入服务器通过 Access-Request报文发送给 RAD

21、IUS服务器， RADIUS应采用该接口 ID值。其报文格式如下：01230 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1TypeLen gthIn terface-IdInterface-Id （续）Interface-Id （续）3、Framed-IPv6-Prefix 。属性号 97,报文长度 4-20, Reserved 固定为 0, Prefix-Length 按比特为单位指示 Prefix的长度。Prefix为0 128比特的IPv6 地址前缀，超出Prefix-Length以外的比特位用0填充。该属性可

22、用于 Access-Accept报文中，并且可出现多次。该属性可用于Access-Request报文中，请求RADIUS服务器采用该前缀值，RADIUS服务器可以认同采用该值， 但不是必须使用该值。不必发送带有相同前缀的Framed-IPv6-Route属性。其报文格式如下：01230 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1TypeLen gthReservedPrefix-Le ngt hPrefixPrefix （续）Prefix （续）Prefix （续）4、Login-IPv6-Host。属性号 98，

23、报文长度 18，Address 为 16 字节 IPv6 地址，是允许访问服务器的主机的IPv6地址。当包含Login-Service属性时，指 示用以连接用户的系统。该属性可用于Access-Accept报文中，也可用于Access-Request报文中，请求接入服务器希望连接的主机，RADIUS服务器可 以认同采用该值，但不是必须使用该值。其报文格式如下：01230 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1TypeLen gthAddressAddress （续）Address （续）Address （续）A

24、ddress （续）其中Address为全1时，接入服务器应允许用户选择连接的地址或用户名。Address为全0时，由接入服务器选择连接到用户的主机。其他值为接入服务器连接的用户的地址。5、Framed-IPv6-Route。属性号99，报文长度大于3, Text字段表明IPv6的路由信息。该属性提供了在接入服务器上配置的路由信息，该属性用于Access-Accept报文中，并且可出现多次。报文格式如下:0 1 20 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3TypeLen gthText 其中，Text为1或多个字节，其内容与实现相关，是一个可

25、识别的字符串, 而且不能影响协议的正常运行。对IPv6路由，其形式应包含目标地址前缀、- 个斜线（/）后跟十进制的前缀长度、一个空格、网关地址、一个空格、一或多 个 metric。6、Framed-IPv6-Pool。属性号100，报文长度大于3，String字段表明接 入服务器给用户分配的IPv6地址前缀的前缀池的名字。如果接入服务器不支持 多个前缀池，则忽略该属性。其报文格式如下：0 1 20 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3TypeLengthString 7、Delegated-IPv6-Prefix。属性号 123，报文长度

26、4 - 20，Reserved 固定为0，Prefix-Length按比特为单位指示授权的IPv6前缀的长度。本属性用于用 户为其用户网络分配IPv6地址所用的IPv6地址前缀。该属性可用于 Access-Accept报文中，并且可出现多次。该属性可用于Access-Request报文中，请求RADIUS服务器采用该前缀值，RADIUS服务器可以认同采用该值， 但不是必须使用该值。其报文格式如下：0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1TypeLen gthReservedPrefix-Le ngt hPre

27、fixPrefix （续）Prefix （续）Prefix （续）Prefix为0 128比特的IPv6地址前缀，超出 Prefix-Length以外的比特位用0填充。表1列出了以上属性可能在哪种报文中出现的情况:表1、IPv6相关Radius属性列表RequestAcceptRejectChalle ngeAcco untingRequest# Attribute0-10000-195 NAS-IPv6-Address0-10-1000-196 Framed-I nterface-ld0+0+000+97 Framed-IPv6-Prefix0+0+000+98 Logi n-IPv6-Ho

28、st00+000+99 Framed-IPv6-Route00-1000-1100 Framed-IPv6-Pool0+0+000+123 Delegated-IPv6-Prefix上表中各条目的含义如下0 该属性不出现；0+可出现0到多个该属性的条目; 0-1可出现0或1个该属性的条目;1该属性出现1次；1+可出现1到多个该属性的条目。4.6 IPv6私有属性扩展中国电信Radius私有属性（Ven dor属性26）扩展如表2所示:表2、Radius私有属性扩展表子属性名子属性号最大长度类型说明备注中国电信 Ven dor扩展：Ven dor-ID标志为20942目前有6种定义：0-公网IP

29、v4用户；指明1-私网IPv4用用户户；USER-ADDRESSTIn teg接入2-公网双栈用1204YPEer的地户；址类3-私网双栈用型户；4-DS-Lite 用户；5-纯IPv6用户该字段包含映射时存放间，公网地址、起各种始端口号、终止端CGN地口号、用户地址，USER-ADDRESSLStrin121253址转各字段采用“；”分OGg换日害叽志信例举格式为：息映射时间(YY/MM/DD/HH/M/SS）；公网地址（IPv4地址）；起 始端口号；终止端 口号；用户地址（可 以是IPv4或IPv6 地址）5计费采集部分对IPv6的扩充计费采集部分与认证授权部分相同。服务开通系统为IPv6

30、用户（或双栈用户）开户后，将IPv6的用户信息传送给计费采集系统。该系统必须能接收和识 别IPv6用户信息。计费采集系统必须对用户加以区分， 标识用户为普通IPv4用户、纯IPv6用 户、及双栈用户。当用户发起呼叫连接时，计费采集系统必须能识别是不同类型的用户 原始话单在本地处理时，应区分不同类型的的用户标识。传递给计费系统的详单应区分不同类型的用户标识。用户通过隧道上网时，在LAC和LNS中都会发送计费账单，需要排除LAC 的账单。6认证系统用户在线信息表要求认证系统必须在用户接入时判断用户的接入类型（如纯公网IPv4、私网IPv4、 公网双栈、私网双栈、DS-Lite、纯IPv6），并在用

31、户在线信息表中记录用户上线 的IP地址。用户在线IP地址可以由接入服务器发送的上线包、中间计费包、或下 线包中的相关IP 地址属 性提取（IPv6 地址为：Framed-IPv6-Prefix、 Framed-Interface-ld 属性组合而成；IPv4 地址为：Framed-IP-Address 属性携 带）。其中，IPv6地址由前缀和接口地址合成完整的 IPv6地址；IPv4地址直接 从Radius属性中提取。7周边系统接口认证系统扩充支持IPv6后，与其他系统之间接口也要有相应的扩充，相关系统主要包括：服务开通系统、网络设备、计费系统等。其接口关系图如图2所示：7.1与服务开通系统的

32、接口IPv6用户或双栈用户在服务开通系统开户后，需要把相关的用户名和接入 业务标识传递给认证系统，包括认证、计费部分。7.2与网络设备的接口认证系统与网络设备的接口主要是与接入服务器的接口。认证系统必须能识别接入用户本地的接入服务器是否支持IPv6接入，根据 不同情况进行相应的处理。接入服务器与认证服务器之间传送的 RUDIUS报文（包括认证包、上线计 费包、中间计费包和下线计费包），必须增加支持RFC3162和RFC4818所规定 的RADIUS属性。7.3与计费系统的接口计费采集系统与计费系统之间的接口必须扩充，以支持对 IPv6用户或双栈 用户的标识。支持在原始话单中传送用户IPv6地址

33、信息和IPv6使用的流量信息。 在传送原始单时，原始话单中必须区分公网IPv4用户、私网IPv4用户、公网双 栈用户、私网双栈用户、纯IPv6用户、及DS-Lite用户。8 AAA系统IPv6过渡技术支持8.1概述&1.1 IPv6过渡技术中认证与地址溯源概述中国电信认证/计费系统（AAA位于城域网核心，承担用户的接入认证和产 生计费原始信息（话单）。同时，通过AAA系统可以提供用户地址的溯源、反查 等功能。传统IPv4网络认证与地址溯源流程如图 3所示：用户PC一用户拨号接入（PPPoE LCP 接入认证请求Radius Access RequestAAA系统应用平台 （有溯源需求）返回拨号

34、成功（含IPCP地址协商）上线计费包 （含用户动态IP地址）用户身份 认证生成在线 状态表项认证成功响应Radius Response用户上线过程地址溯源/反查请求（含IP地址信息）返回查询结果（用户帐号信息）图3、IPv4网络认证与地址溯源流程由于IPv6过渡技术中采用了地址转换技术。因此，需要AAA系统能够提供用户上网过程中，地址转换前后的对应关系，保证用户地址可以溯源。用户地址 溯源分为两种，第一种为在线用户地址溯源， 要求在用户在线状态下，根据公网IPv4、IPv6地址和端口信息反查用户的帐号信息；第二种为离线用户地址溯源， 要求系统能够保存一定时间内的用户上网信息和用户地址转换日志信

35、息，提供反查用户历史上网信息的功能。地址转换网关是完成过渡技术中地址转换的关键设备，在网络中地址转换网关可以采用集中部署在城域网核心或分布式部署在业务接入点的BRAS/SR设备上。集中式部署与分布式部署的认证和地址溯源流程没有差异。其认证和地址溯源总体流程如图4所示：城域网络CRBRAS用户PCLSN（集中式）LSN （分布式）用户接入拨号PPPoE LCjAAA系 统应用平台 （有溯源需求）私网IPv4地址或公网IPv6协商（IPCP）认证请求(Radius Access Request ) 认证成功-(Radius Accept)-上线计费包（携带用户端地址IPv4私网/IPv6公网）生成

36、在线状态表项地址溯源请求* （含转换后地址和端口）地址转换关系查询返回用户帐号信息一重点 改造 模块图4、过渡技术场景认证与地址溯源总体流程由于过渡技术中存在地址转换的过程，因此 AAA系统需要进行在线状态表 项和地址转换关系查询的改造。同时，根据过渡技术部署方案的不同，AAA系统还必须在采用固定地址、端口映射的方式下维护私有地址与公有地址和端口映 射关系表，以及在动态映射部署方式下，通过 AAA或Log服务器查询动态地址 和端口映射关系的接口。&12过渡技术的四种地址溯源方案过渡技术部署方案有地址、端口固定映射部署方式和地址、 端口动态映射部 署方式两种，针对这两种部署方案，有四种地址溯源方

37、案。方案一：采用由CGN 设备在建立端口映射关系后，发送 syslog日志信息的方式，将端口 /端口段映射 关系发送到日志服务器，AAA系统在接收溯源请求后，通过syslog服务器查询 到动态地址映射关系，从而完成地址溯源；方案二：CGN设备通过Radius报文 方式将用户的动态端口映射关系上报到 AAA系统，由AAA系统记录到用户在线信息表和原始话单中，当AAA系统接收到溯源请求后，直接查询在线用户信息 表或原始话单，返回溯源结果；方案三：CGN设备采用Radius报文方式将用户 动态端口映射关系上报到Log服务器，AAA系统在接收溯源请求后，通过syslog 服务器查询动态地址映射关系，完

38、成地址溯源；方案四：AAA与CGN通过网管系统下发参数，并执行相同的端口映射生成算法。在地址溯源过程中，CGN与AAA系统之间不需要传递映射关系，直接实现对地址的溯源。AAA系统必须根据实际部署需要选择支持上述方案 1、2、3、4中的一种或 多种地址溯源技术。8.2 AAA系统溯源改造总体要求AAA系统由认证服务器、数据库、接口服务器组成，改造后的总体架构如 图5所示。CGN统TAAA系统网管务器外部系统数据库服务器图5、AAA系统改造总体架构溯源服务器 （新增）Radius/syslog 接口 （可改造）系接口接口服务器在下一代互联网过渡技术应用场景中， 应当增加地址溯源服务器设备，该设 备

39、具有以下功能:可以实现与网管系统接口，获取地址、端口映射关系。可以实现根据网管指令创建、保存、维护地址、端口映射关系表;可以实现用户在线地址溯源功能和离线地址溯源功能；应当增加Log服务器设备，用以接受、解析、保存由CGN设备上报的用户动态端口映射关系，该接口的协议必须根据溯源需求在 Radius协议和syslog协议之间选择支持8.3功能要求&3.1静态映射表生成功能AAA系统可以支持静态映射表保存用户地址映射关系的功能。在选择使用该功能时，AAA系统必须提供地址、端口固定映射关系表的创建、维护、重置功能。地址、端口固定映射关系表用来保存用户主机获得的私有IP地址与各种过渡技术转换后的公网地

40、址及端口的映射关系，例如：以图6为例，用户使用分配的私网地址作为源地址访问Web网站，LSN设备根据地址转换表中预先设定的转换关 系，将源地址转换成指定的公网地址和规定的端口。 为了保证通过公网地址和端 口能够反查用户私网地址，做到用户地址溯源，要求 AAA系统中也必须维护与LSN设备上相同的映射关系表。用户PCWe站点BRASLSN源:: 10001目的：00 : 80源：: 11500目的：00 : 80网关地址转换表源地址公网地址端口号端1000111000

41、110011200012001130001300114000转换前源:: 10001目的：00 : 80转换后源：: 11500目的：00 : 80图&地址转换示例AAA系统映射关系表 必须包含以下表项：源地址表项：记录分配给用户的终端地址，可以是单个私有IP地址或一个地址段，可以是IPv4私网地址,也可以是分配给用户端设备的IPv6 公网地址；公网地址表项：记录对应私网地址的公网地址

42、；端口号表项：记录对应私网地址的一段端口号，端口号范围必须支持调 整，默认端口号范围为1000个。AAA系统映射关系表 可选支持表项：网关设备地址：记录该地址转换对应关系驻留的LSN设备IP地址；用户采用的过渡技术种类编号：标识该私有地址段使用的过渡技术种类，如 NAT444 DS-Lite 等。AAA系统溯源服务器必须提供网管接口，接收网管的地址表生成相关指令， 生成映射表；必须提供对部分表项（可以是一条或多条）的增加、修改、删除、 检索等功能；必须提供对整表的备份（导出）、恢复（导入）、删除等功能。AAA系统可以支持从网管接收一个算法及其相应参数，并自动生成该表的所有表项。&3.2动态映射

43、关系获取功能AAA系统可以支持Radius协议上报的方式从CGN设备获取用户地址/端口 动态映射关系，该映射关系上报可以通过 Radius协议的上线计费包、中间计费 包、下线计费包携带私有属性的方式实现，私有属性的定义详见表2。AAA系统可以与Log日志服务器交互获取日志服务器上保存的用户地址端 口映射关系，AAA系统与Log日志服务器可以米用Web Serice方式，报文格式 可以采用XML方式。8.3.3地址池选择功能在接入网关设备上维护有公网地址池和私网地址池，给用户分配地址时可以 通过给用户分配私网地址并启用地址转换方式接入用户，也可以直接给用户分配 公网地址。AAA系统可以支持根据用

44、户帐号相关业务信息，通过扩展Radius属 性（第26号属性，见表2）支持控制网关设备分配用户的地址类型。AAA系统可根据业务要求，选择实现该功能。8.4接口要求&4.1与网管系统接口与网管系统接口主要实现与网管系统的交互， 获取并维护地址、端口映射关 系表。接口规范参见 过渡技术的网管技术规范。8.4.2与外部溯源请求系统接口溯源接口提供外部系统（有溯源需求的系统）与AAA系统溯源服务器的交互 接口，实现用户的在线和离线溯源功能。在线溯源接口采用指令方式进行交互， 接口指令可以采用如下的格式：交互指令由UDP协议封装，并采用XML文本格式记录指令：XML标记定义如表3所示：表3、用户溯源接口

45、 XML标记定义表标记含义特定取值定义备注 标记整个指令 v/cmd_head指令头信息含指令时间戳、收/发端标识、指令类型等 指令时间戳vfrom 指令发端IP地址 指令收端IP地址 v/cmd_type指令类型查询请求：UserAcquire ；查询请求/查询响应查询响应：UserAcquireRes指令体IP地址可以是IPv4或IPv6地址。可以在 查询请求中出现， 表示公网地址；也 可以在查询响应 中出现标识用户 地址 端口 用户帐号信息在线地址溯源示例如下:1）、查询请求指令：vtimeXXXX:XX:XX vfromXXX.XXX.XXX.XXX XXX.XXX.XXX.XXX U

46、serAcquireXXX.XXX.XXX.XXXXXXXX2）、查询响应结果：vtimeXXXX:XX:XX vfromXXX.XXX.XXX.XXX XXX.XXX.XXX.XXX UserAcquireRes v/cmd_headXXX.XXX.XXX.XXXXXXXXXXXXX离线溯源接口采用文件方式，外部溯源平台可以将溯源指令编辑于文本文件 中，并通过FTP方式上传到AAA系统的地址溯源服务器指定目录， 地址溯源服务 器提供相应的执行指令，在系统中进行查询，并将查询结果以文本文件方式存放 到指定的目录中，外部系统可以通过FTP方式将结果文件取出。&4.3与Log服务器接口与Log服务

47、器接口，实现从Log服务器获取用户动态地址/端口映射关系， 其接口可以采用 Web Serice接口方式，其传递的信息采用 XML格式。可以选 用表4的接口定义：标记含义特定取值定义备注 标记整个指令指令头信息含指令时间戳、收/发端标识、指令类型等 指令时间戳 指令发端IP地址 指令收端IP地址 v/cmd_type指令类型查询请求：UserAcquire ；查询响应：UserAcquireRes查询请求/查询响应 v/cmd_body指令体 v/IP_address公网IP地址可以是IPv4或IPv6地址。可以在 查询请求中出现， 表示公网地址；也 可以在查询响应 中出现标识用户 地址 端口

48、用户使用的端口号用户私有地址信息分配给用户的私有IP地址9性能与可靠性要求9.1 AAA系统基本性能要求AAA支持的地址端口映射表容量指标要求， 是指AAA系统能够维护的地址端 口最大数量。要求AAA系统提供的映射表容量不小于 1000000表项，同时可以通 过扩展相应软件、硬件，实现表项的扩展。AAA系统过渡技术支持认证、计费包并发处理能力，指用户通过各种过渡技术接入时，AAA系统每秒能够处理的认证、计费请求数。要求单台AAA认证/计费服务器每秒并发认证、计费请求数不小于1000个/S。AAA系统在线用户信息溯源，单台地址溯源服务器必须支持每秒并发1000次的用户地址溯源请求，单次地址溯源处

49、理小于1msAAA系统离线用户信息溯源，必须支持保存所有用户上下线记录3个月。9.2可靠性要求系统必须达到或超过99.999%的可用性。无故障连续工作时间系统的无故障工作时间：MTBF10万小时。故障恢复时间系统故障恢复时间 30 mins。要求设备具有高可靠性和高稳定性。主处理器，主存，电源和管理接口等系统主要部件应具有热备份冗余。线路卡要求1:1备份。卡片式系统必须支持热插拔功能。10附：用户认证流程10.1本地BRAS接入认证流程在本地BRAS支持IPv6接入的条件下，用户从 PC机直接拨号，使用支持IPv6的拨号软件，发起IPv6拨号过程。（1）从PC机开始PPPoE发现过程，查找能够

50、提供 PPPoE服务的BRAS；（2） PC机收到BRAS的响应后，开始LCP建立请求，由BRAS返回确认；（3）由PC机发起LCP认证请求，可以是 PAP或CHAP认证；（4） BRAS收到认证请求后，发送到RADIUS进行用户认证，RADIUS认证通过后，返回确认消息，并在其中携带IPv6相关属性，其中可以包括：Framed-IPv6-PrefixFramed-I nterface-ldFramed-IPv6-Route(5) BRAS收到RADIUS的认证确认消息后，向PC机发送确认信息；(6) 从PC机发起正常的PPP-IPCPV4请求过程；(7) 从PC机发起IPCPv6请求，由BR

51、AS响应，建立IPv6的连接；(8) PC机发起ICMPv6 RS请求IPv6无状态地址配置，由BRAS发送ICMPv6 RA，带回IPv6地址前缀(可选)。同时将0比特置位(0比特用来指示IPv6的DHCP服务器地址需要通过 DHCP过程获得)；如果此处BRAS 没有下发IPv6地址前缀，则应指示用户通过以下的 DHCP过程获取IPv6 地址前缀；(9) 从PC机发起一个DHCPv6请求，由BRAS进行响应，为PC机发送地址 前缀(可选，如果上面步骤没有发送)、前缀长度、DNS服务器地址，及 有效时间(仅VISTA ICS使能时或RFC 4241客户端时有效)；此时由BRAS 作为 DHCPv6 SERVER，或外接 DHCPv6 SERVER，由 BRAS 做 DHCP RELAY ；(10) 至此，拨号过程完成，用户可正常连接到网络，传送IPv6报文。RADIUSPC机：PPP IPCPv6 过程f1LCP建立过程卜1PPP认证请求|1 RADIUS请求和响应，进行 PPP认证，BRASPPPoE发现过程并携带IPv6属性PPP认证响应PPP IP