2023年电信下一代互联网认证系统技术规范

中国电唁

CHINATELECOM

中国电信下一代互联网

认证系统技术规范

（修改稿）

中国电信股份有限公司上海研究院

二零一一年五月

目录

1编制说明.........................................1

1.1范围........................................................1

1.2引用标准...................................................1

1.3定义、术语和缩写...........................................2

1.3.1定义....................................................2

1.3.2术语和缩写..............................................2

2认证系统概述.....................................3

2.1认证系统的定位.............................................3

2.2认证系统的功能和业务组成..................................4

3认证系统对IPv6协议的支持的总述..................5

4认证授权部分对IPv6的扩充.........................6

4.1功能扩充...................................................6

4.2数据格式定义...............................................6

4.3L2TP隧道..................................................7

4.4PROXY.........................................................................................................7

4.5IPv6相关共有RADIUS属性..................................8

4.6IPv6私有属性扩展..........................................11

5计费采集部分对IPv6的扩充........................13

6认证系统用户在线信息表要求......................13

7周边系统接口....................................14

7.1与服务开通系统的接口......................................14

7.2与网络设备的接口..........................................14

7.3与计费系统的接口..........................................15

8AAA系统IPv6过渡技术支持.......................15

8.1概述.......................................................15

8.1.1IPv6过渡技术中认证与地址溯源概述......................15

8.1.2过渡技术的四种地址溯源方案............................17

8.2AAA系统溯源改造总体要求.................................18

8.3功能要求..................................................19

8.3.1静态映射表生成功能.....................................19

8.3.2动态映射关系获取功能..................................20

8.3.3地址池选择功能.........................................20

中国电信下一代互联网接入认证系统技术规范

8.4接口要求..................................................21

8.4.1与网管系统接口........................................21

8.4.2与外部溯源请求系统接口................................21

8.4.3与Log服务器接口......................................23

9性能与可靠性要求................................25

9.1AAA系统基本性能要求.....................................25

9.2可靠性要求................................................25

10附：用户认证流程................................26

10.1本地BRAS接入认证流程...................................26

10.2L2Tp隧道方式接入认证流程................................27

10.3认证系统用户在线信息维护示例.............................29

中国电信股份有限公司上海研究院

编号:

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第1页共34页

1编制说明

1.1范围

本技术规范以RFC文档为依据，针对中国电信下一代互联网试点实际情况

和具体要求，对下一代互联网IPv6城域网中认证系统的定义、网络定位、业务

支持流程等进行了说明，对在系统中支持IPv6协议的功能提出了规定，包括认

证、授权、计费等相关部分对IPv6协议属性支持的具体要求。

本文件不对中国电信现有的认证系统进行规范,仅针对下一代互联网（IPv6）

技术中涉及到的用户接入认证系统进行规范。本技术规范适用于中国电信认证系

统支持IPv6功能的研制开发工作。

在本规范中：

（I）必须：表示该条目是本规范必须。违反这样的要求是原则性错误。

（2）必须实现：表示该要求必须实现，但不要求缺省使能。

（3）不允许（不可以）：表示该条目绝对禁止。

（4）应当（建议）：表示在某些特定条件下存在忽视该条目的理由，但是忽视或

违反该条目时必须仔细衡量。

（5）应当（建议）实现：与应当（建议）类似，实现时不必要缺省使能。

（6）不应当（不建议）：表示在某些特定条件存在所描述行为可接受或有效的理

由，但实现该行为时必须仔细衡量。

（7）可以：表示该条目确实可选。

1.2引用标准

下列标准包含的条文，通过在本标准中引用而构成为本标准的条文。本标准

出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨，

使用下列标准最新版本的可能性。

RFC2865/2318RADIUS协议（认证）

RFC2866/2319RADIUS协议（计费）

第1页共34页

编号：

时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第2页共34页

RFC2867RADIUS协议（隧道协议的计费）

RFC2868RADIUS协议（隧道协议的认证）

RFC2869RADII'S协议扩展

RFC3162RADIUS和IPv6

RFC3575IANA对RADIUS的考虑

RFC5176/3576RADII-S动态认证扩展

RFC3579RADIUS支持可扩展的认证协议（EAP）

RFC4818RADIUS属性一Delegated-IPv6-Prefix

RFC5080一般RADIUS执行问题和建议

1.3定义、术语和缩写

1.3.1定义

认证系统：为IP网络中的接入用户提供认证、授权、和计费服务的系统。

1.3.2术语和缩写

AAAAuthentication,Authorization&Accounting（认证、授权和计费）

BRASBroadbandRemoteAccessServer（宽带接入服务器）

CHAPChallenge-handshakeAuthenticationProtocol（握手认证协议）

DHCPDynamicHostConfigurationProtocol（动态主机配置协议）

DSLAMDigitalSubscriberLineAccessMultiplexer（数字用户线接入复用落）

IPoEIPoverEthernet

IPv6InternetProtocolVersion6（互联网协议第6版）

IPv6CPIPControlProtocol（IPv6控制协议）

L2TPLayer2TunnellingProtocol（第二层隧道协议）

LACL2TPAccessConcentrator（L2TP访问集中器）

LANLocalAreaNetwork（局域网）

第2页共34页

编号：

易间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第3页共34页

LCPLinkControlProtocol（链路控制协议）

LNSL2TPNetworkServer（L2TP网络服务器）

MACMediaAccessControl（介质访问控制）

MIBManagementInformationBase（管理信息库）

NAT-PTNetworkAddressTranslate+ProtocolTranslation（网络地址翻译/协议翻译）

PAPPasswordAuthenticationProtocol（密码认证协议）

PPPoEPPPOverEthernet

RADIUSRemoteAuthorizationDialInUserService（远程认证拨号用户服务）

SNMPSimpleNetworkManagementProtocol（简单网络管理协议）

TCPTransmissionControlProtocol（传输控制协议）

UDPUserDatagramProiocol（用户数据报协,议）

VPNVirtualPrivateNetwork（虚拟专用网）

DS-LiteDualstack-Lite

NAT444Natworkaddresstranslate444

2认证系统概述

2.1认证系统的定位

在中国电信IP城域网中，认证/计费服务器一般处于城域骨干网的核心层,

通过网络与接入网关的认证端口建立IP连接，为用户接入网络提供认证、授权、

和计费服务。

典型的网络拓扑如图1所示：

第3页共34页

编号:

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第4页共34页

2.2认证系统的功能和业务组成

认证系统主要功能为；提供用户接入中国电信IP网络时，对用户的身份的

验证，包括用户帐号与密码的匹配关系，用户接入的线路认证、用户接入的次数

验证等；在用户通过身份认证之后，为用户的当前接入配置适当的权限，包括用

户接入的带宽等模板信息；在用户上线过程中和下线之后记录用户使用的计费原

始信息，并生成原始话单。

同时，认证系统需要在用户上线过程中维持用户在线信息表，并可对其它系

统提供查询接口。

认证系统组成：中国电信IP网认证系统由认证服务器、业务逻辑处理服务

器和数据库服务器、接口服务器组成，各组成部分的功能描述如下：

认证服务器：完成认证Radius协议/Diameter协议的解析，以及相关协议流

程的支持;

第4页共34页

编号:

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第5页共34页

业务逻辑处理服务器：完成用户接入身份的验证，授权功能的实现和计费信

息的采集，并实现用户在线信息的维护；

数据库服务器:存储用户的信息，包括身份信息、业务信息及其它相关信息；

接口服务器：实现认证系统与其它周边系统的接口，例如：开户接口。

3认证系统对IPv6协议的支持的总述

本文件不对中国电信现有的认证系统进行规范，仅针对认证系统对下一代互

联网（IPv6）的支持进行规范。在1P认证系统中扩充对IPv6协议的支持，主要

包括2方面的内容：

（1）IP认证系统中对用户提供IPv6服务时，所增加的相关属性、统计等；

（2）IP认证系统本身的IPv6化，包括系统本身支持IPv6协议栈，各服务

器之间，及Client/Server之间传递的报文也用IPv6协议传送。

鉴于目前大部分设备都只支持IPv4协议，认证系统本身传递报文时要确认

对方的协议栈，在具体实施时可能引起混乱，因此建议系统的IPv6进程分为2

阶段进行。

（1）现阶段以IPv4访问为主,所传递的报文内容包含了所需的IPv6属性。

（2）将来对IPv6的支持成熟后，增加系统本身的IPv6化，包括系统管理、

系统间报文的传递等内容。

要求认证系统必须支持RFC3162所规定的6个RADIUS属性和RFC4818

规定的1个属性，以支持对IPv6的认证和授权。

系统必须区分|普通IPv4用户、纯IPv6用户及双栈用户不同用户采用由IT批注［SYI］：6种用户，公网、私网、双栈、飞?

支撑系统在开户或修改用户信息时设置用户属性标识的方式实现，该属性标识由

IT支撑系统在开户或账户修改时随接口指令传送给认证系统，认证系统将该标

识存放在用户信息数据库中，在用户接入认证时通过该字段判断用户是IPv4用

户或双栈用户或纯IPv6用户。

用户帐号名可以采用任何符合中国电信帐号规范的帐号形式，帐号后缀可以

根据业务需要定义任意形式的后缀，供特殊业务（如：VPDN）或帐号漫游使用

（如：WLAN性国漫游）。_一一［批注32］：属于漫游一

第5页共34页

编号:

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第6页共34页

4认证授权部分对IPv6的扩充

4.1功能扩充

为支持对IPv6用户的认证、授权，系统必须支持以下功能。

认证系统在用户业务属性中增加标识支持IPv6功能，识别用户是IPv4单栈、

双栈或IPv6单栈接入。

认证系统必须对用户加以区分，标识用户为普通IPv4用户、纯IPv6用户、

及双栈用户。

服务开通系统为IPv6用户(或双栈用户)开户后，将IPv6的用户信息传送

给认证系统。认证系统必须能接收和识别IPv6用户信息。

认证系统必须扩充RADIUS属性，支持RFC3162所规定的6个RADIUS

属性和RFC4818规定的1个属性。

认证方式，应支持PAP、CHAP等认证方式。

在用户认证完成，用户上线过程中需要记录用户的在线信息，其中包括用户

的IPv6地址。需要支持在用户上线过程中接入服务器产生的中间计费包中的

IPv6相关信息，如用户IPv6地址和当前IPv6使用的流量等。

在用户下线时，记录用户的下线时间，并支持在用户下线计费包中的IPv6

相关Radius属性，如用户IPv6地址、用户IPv6使用流量等。

考虑到用户的使用习惯，用户登录时如果没带域名做如下处理：双栈用户如

果没带域名登录，按普通IPv4用户处理；纯IPv6用户登录时没写域名，按用户一--［批注［SY讣给用户分配何种地址？依据什么？

名错误处理。其他写错域名时，按与VPN用户同等处理。

4.2数据格式定义

为支持IPv6功能，认证服务器需要增加相关的数据类型，主要包括以下数

据类型，但不限于这几种类型。

(1)IPv6地址(IPv6Address)：IPv6地址为128比特以16字节数据格

第6页共34页

编号:

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第7页共34页

式表不。

(2)IPv6地址前缀(IPv6Prefix)：IPv6地址前缀由2部分组成。第一部分

为地址前缀(Prefix),数据形式为0—128比特，以16字节表示，第二部分为前

缀的长度(Length),格式为1字节，取值范围为0—128。

(3)IPv6接口ID(IPv6InterfaceID)：64比特，以8字节数据格式表示。

(4)1P用户类型：标志用户的IP类型，有普通IPv4用户、双栈用户、纯IPv6

用户3种类型。格式规定为1字节，取值定义：()为普通用户，1为双栈用户，2

为纯IPv6用户。

4.3L2Tp隧道

在VPN企业用户表中定义支持IPv6功能BRAS的域名，地址，隧道密码

等参数。当需要支持双栈或纯IPv6的用户在不支持IPv6的BRAS设备接入网

络时，可以动态或静态提供L2Tp隧道接入支持IPv6的LNS设备参数，为用户

建立IPv6的PPPoE连接。认证系统需要支持LNS参数的列表，以实现负载均

衡或其它功能。

认证流程中，在RADIUS属性解析中增加相关IPv6属性解析。根据IPV6

地址生成IPV6格式的地址字符串以及根据IPv6地址字符串生成IPV6地址。

用户通过隧道上网时，在LAC和LNS中都会发送计费账单，需要排除LAC

的账单。

4.4PROXY

一般PROXYRADIUS同时具有PROXY和SERVER的角色，因此要求

PROXYRADIUS必须具有和RADIUS服务器相同的功能。

能把从接入服务器发送的带有IPv6相关属性的报文转发到RADIUS服务器。

能把RADIUS服务器回应的带有IPv6属性的报文转发给接入服务器。

PROXY不允许过滤任何IPv6相关的Radius属性。

接入服务器与PROXY之间的传送协议可采用IPv4或IPv6,PROXY与

RADIUS服务器之间的传送协议也可采用IPv4或IPv6,二段传送协议是独立的，

并不要求两者保持一致。

第7页共34页

编号：

易间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第8页共34页

4.5IPv6相关公共RADIUS属性

认证系统必须扩充RADIUS属性，支持RFC3162所规定的6个RADIUS

属性和RFC4818规定的1个属性。

1、NAS-IPv6-AddresSo属性号95,报文长度18,Address为16字节IPv6

地址，是请求认证的用户所使用的接入服务器的IPv6地址。是由接入服务器在

Access-Request报文中发送给RADIUS服务器的。其报文格式如下：

0123

01234567890123456789012345678901

TypeLengthAddress

Address（续

Address（续）

Address（续）

Address（续）

2、Framed-lnterface-ldo属性号96,报文长度10,Interface-Id为8字节

IPv6接口ID,是IPV6CP协商后的接口ID,用以指示为用户配置的IPv6接口

IDo该属性可用于Access-Accept报文中。如果该ID在IPv6cp过程中已协商

成功，则由接入服务器通过Access-Request报文发送给RADIUS服务器，

RADIUS应采用该接口ID值。其报文格式如下：

0123

01234567890123456789012345678901

TypeLengthInterface-Id

Interface-Id（续）

Interface-Id（续）

3、Framed-IPv6-PrefiXo属性号97,报文长度4—20,Reserved固定为0,

Prefix-Length按比特为单位指示Prefix的长度。Prefix为0—128比特的IPv6

地址前缀，超出Prefix-Length以外的比特位用0填充。该属性可用于

第8页共34页

编号:

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第9页共34页

Access-Accept报文中，并且可出现多次。该属性可用于Access-Request报文

中，请求RADIUS服务器采用该前缀值，RADIUS服务器可以认同采用该值，

但不是必须使用该值。不必发送带有相同前缀的Framed-IPv6-Route属性。其

报文格式如下：

0123

01234567890123456789012345678901

Prefix-Lengt

TypeLengthReserved

h

Prefix

Prefix（续）

Prefix（续）

Prefix（续）

4、Login-IPv6-Host0属性号98,报文长度18,Address为16字节IPv6

地址，是允许访问服务器的主机的IPv6地址。当包含Login-Service属性时，指

示用以连接用户的系统。该属性可用于Access-Accept报文中，也可用于

Access-Request报文中，请求接入服务器希望连接的主机，RADIUS服务器可

以认同采用该值，但不是必须使用该值。其报文格式如下：

0123

01234567890123456789012345678901

TypeLengthAddress

Address（续

Address（续）

Address（续）

Address（续）

其中,Address为全1时,接入服务器应允许用户选择连接的地址或用户名。

Address为全。时，由接入服务器选择连接到用户的主机。其他值为接入服务器

连接的用户的地址。

第9页共34页

编号：

易间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第1。页共34页

5、Framed-1Pv6-Routeo属性号99,报文长度大于3,Text字段表明IPv6

的路由信息。该属性提供了在接入服务器上配置的路由信息，该属性用于

Access-Accept报文中，并且可出现多次。报文格式如下：

012

012345678901234567890123

TypeLengthText...

其中，Text为1或多个字节，其内容与实现相关，是一个可识别的字符串，

而且不能影响协议的正常运行。对IPv6路由，其形式应包含目标地址前缀、一

个斜线（/）后跟十进制的前缀长度、一个空格、网关地址、一个空格、一或多

个metrico

6、Framed-IPv6-PooL属性号100,报文长度大于3,Sthng字段表明接

入服务器给用户分配的IPv6地址前缀的前缀池的名字。如果接入服务器不支持

多个前缀池，则忽略该属性。其报文格式如下：

012

012345678901234567890123

TypeLengthString...

7、Delegated-IPv6-PrefiXo属性号123,报文长度4—20,Reserved固定

为0,Prefix-Length按比特为单位指示授权的IPv6前缀的长度。本属性用于用

户为其用户网络分配IPv6地址所用的IPv6地址前缀。该属性可用于

Access-Accept报文中，并且可出现多次。该属性可用于Access-Request报文

中，请求RADIUS服务器采用该前缀值，RADIUS服务器可以认同采用该值，

但不是必须使用该值。其报文格式如下：

0123

01234567890123456789012345678901

Prefix-Lengt

TypeLengthReserved

h

Prefix

第10页共34页

编号：

时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第11页共34页

Prefix（续）

Prefix（续）

Prefix（续）

Prefix为0—128比特的IPv6地址前缀，超出Prefix-Length以外的比特位

用0填充。

表1列出了以上属性可能在哪种报文中出现的情况:

表1、IPv6相关Radius属性列表

RequestAcceptRejectChallengeAccounting#Attribute

Request

0-10000-195NAS-IPv6-Address

0-10-100o-l96Framed-Interface-Id

0+0+000+97Framed-1Pv6-Prefix

0+0+000+98Login-IPv6-Host

00+000+99Framed-IPv6-Route

0o-l00o-l100Framed-IPv6-Poo1

0+0+000+123Delegated-IPv6-Prefix

上表中各条目的含义如下:

0该属性不出现；

0+可出现0到多个该属性的条目；

0-1可出现。或1个该属性的条目；

1该属性出现1次；

1+可出现1到多个该属性的条目。

4.6IPv6私有属性扩展

中国电信Radius私有属性（Vendor属性26）扩展如表2所示:

表2、Radius私有属性扩展［表|批注［SY4］:无厂家支持

第"页共34页

编号：

时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第12页共34页

子属性

子属性名最大长度类型说明备注

号

中国电信Vendor扩展:Vendor-ID标志为20942

目前有6种定义：

0—公网IPv4用

户；

指明1----私网IPv4用

用户户；

USER-ADDRESS-TInteg接入2——公网双栈用

1204

YPEer的地户；

址类3----私网双栈用

型户；

4----DS-Lite用

户；

5—纯IPv6用户

该字段包含映射时

间，公网地址、起

始端口号、终止端

存放口号、用户地址，

各种各字段采用“；”分

CGN地割。

USER-ADDRESS-LStrin

121253址转例举格式为：

0Gg

换日映射时间

志信（YY/MM/DD/HH/MM

息/SS）；公网地址

（IPv4地址）；起

始端口号；终止端

口号;用户地址（可

第12页共34页

编号：

时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第13页共34页

以是IPv4或IPv6

地址）

5计费采集部分对IPv6的扩充

计费采集部分与认证授权部分相同。服务开通系统为IPv6用户（或双栈用

户）开户后，将IPv6的用户信息传送给计费采集系统。该系统必须能接收和识

别IPv6用户信息。

计费采集系统必须对用户加以区分，标识用户为普通IPv4用户、纯IPv6用

户、及双栈用户。

当用户发起呼叫连接时，计费采集系统必须能识别是不同类型的用户。

原始话单在本地处理时，应区分不同类型的的用户标识。

传递给计费系统的详单应区分不同类型的用户标识。

用户通过隧道上网时，在LAC和LNS中都会发送计费账单，需要排除LAC

的账单。

6认证系统用户在线信息表要求

认证系统必须在用户接入时判断用户的接入类型（如纯公网IPv4、私网IPv4、

公网双栈、私网双栈、DS-Lite,纯IPv6）,并在用户在线信息表中记录用户上线

的IP地址。用户在线IP地址可以由接入服务器发送的上线包、中间计费包、或

下线包中的相关IP地址属性提取（IPv6地址为：Framed-IPv6-Prefix、

Framed-Interface-id属性组合而成；IPv4地址为：FramedTP-Address属性携

带）。其中，IPv6地址由前缀和接口地址合成完整的IPv6地址；IPv4地址直接

第13页共34页

编号：

易间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第14页共34页

从Radius属性中提取。

7周边系统接口

认证系统扩充支持IPv6后，与其他系统之间接口也要有相应的扩充，相关

系统主要包括：服务开通系统、网络设备、计费系统等。其接口关系图如图2

所示：

7.1与服务开通系统的接口.批注[SY5]:各地厂家不一样，需进行协商

IPv6用户或双栈用户在服务开通系统开户后，需要把相关的用户名和接入

业务标识传递给认证系统，包括认证、计费部分。

7.2与网络设备的接口

认证系统与网络设备的接口主要是与接入服务器的接口。

认证系统必须能识别接入用户本地的接入服务器是否支持IPv6接入，根据

不同情况进行相应的处理。

第14页共34页

编号:

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第15页共34页

接入服务器与认证服务器之间传送的RUDIUS报文（包括认证包、上线计

费包、中间计费包和下线计费包），必须增加支持RFC3162和RFC4818所规定

的RADIUS属性。

7.3与计费系统的接口

计费采集系统与计费系统之间的接口必须扩充，以支持对IPv6用户或双栈

用户的标识。支持在原始话单中传送用户IPv6地址信息和IPv6使用的流量信息。

在传送原始单时，原始话单中必须区分公网IPv4用户、私网IPv4用户、公网双

栈用户、私网双栈用户、纯IPv6用户、及DS-Ute用户。

8AAA系统IPv6过渡技术支持

8.1概述

8.1.1IPv6过渡技术中认证与地址溯源概述

中国电信认证/计费系统（AAA）位于城域网核心，承担用户的接入认证和产

生计费原始信息（话单）。同时，通过AAA系统可以提供用户地址的溯源、反查

等功能。传统IPv4网络认证与地址溯源流程如图3所示：

第15页共34页

编号:

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第16页共34页

图3、IPv4网络认证与地址溯源流程

由于IPv6过渡技术中采用了地址转换技术。因此，需要AAA系统能够提供

用户上网过程中，地址转换前后的对应关系，保证用户地址可以溯源。用户地址

溯源分为两种，第一种为在线用户地址溯源，要求在用户在线状态下，根据公网

IPv4、IPv6地址和端口信息反查用户的帐号信息；第二种为离线用户地址溯源，

要求系统能够保存一定时间内的用户上网信息和用户地址转换日志信息，提供反

查用户历史上网信息的功能。

地址转换网关是完成过渡技术中地址转换的关键设备，在网络中地址转换网

关可以采用集中部署在城域网核心或分布式部署在业务接入点的BRAS/SR设备

上。集中式部署与分布式部署的认证和地址溯源流程没有差异。其认证和地址溯

源总体流程如图4所示：

第16页共34页

编号：

易间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第17页共34页

—用户接入拨号PPPoELCPf

认证请求

(RadiusAccessRequest)

_认证成功_

(RadiusAccept)

私网IPM地址或

•公网IPv6协商（IPCP）

上线计费包（携带用户端地址

'IPv4私网〃Pv6公网）

生

成在线

状

态

表项

地址溯源请求

（含转换后地址和端口）一

重点

改造

址

地转换

模块

系

关

查询

——返回用户帐号信息一►

图4、过渡技术场景认证与地址溯源总体流程

由于过渡技术中存在地址转换的过程，因此AAA系统需要进行在线状态表

项和地址转换关系查询的改造。同时，根据过渡技术部署方案的不同，AAA系

统还必须在采用固定地址、端口映射的方式卜维护私有地址与公有地址和端口映

射关系表，以及在动态映射部署方式下，通过AAA或Log服务器查询动态地址

和端口映射关系的接口。

8.1.2过渡技术的四种地址溯源方案

过渡技术部署方案有地址、端口固定映射部署方式和地址、端口动态映射部

署方式两种，针对这两种部署方案，有四种地址溯源方案。方案一；庶用由CGN

设备在建立端口映射关系恬，发送syslog日志信息的方式，将端口/端口段映射1f批注［SY6］：集中式

关系发送到日志服务器，AAA系统在接收溯源请求后，通过syslog服务器查询

到动态地址映射关系，从而完成地址溯源；方案二：CGN设备通过Radius报文