版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
中國電唁
CHINATELECOM
中國電信下一代互聯(lián)網(wǎng)
認(rèn)證系統(tǒng)技術(shù)規(guī)范
(修改稿)
中國電信股份有限公司上海研究院
二零一一年五月
目錄
1編制說明.........................................1
1.1范圍........................................................1
1.2引用標(biāo)準(zhǔn)...................................................1
1.3定義、術(shù)語和縮寫...........................................2
1.3.1定義....................................................2
1.3.2術(shù)語和縮寫..............................................2
2認(rèn)證系統(tǒng)概述.....................................3
2.1認(rèn)證系統(tǒng)的定位.............................................3
2.2認(rèn)證系統(tǒng)的功能和業(yè)務(wù)組成..................................4
3認(rèn)證系統(tǒng)對IPv6協(xié)議的支持的總述..................5
4認(rèn)證授權(quán)部分對IPv6的擴(kuò)充.........................6
4.1功能擴(kuò)充...................................................6
4.2數(shù)據(jù)格式定義...............................................6
4.3L2TP隧道..................................................7
4.4PROXY.........................................................................................................7
4.5IPv6相關(guān)共有RADIUS屬性..................................8
4.6IPv6私有屬性擴(kuò)展..........................................11
5計費(fèi)采集部分對IPv6的擴(kuò)充........................13
6認(rèn)證系統(tǒng)用戶在線信息表要求......................13
7周邊系統(tǒng)接口....................................14
7.1與服務(wù)開通系統(tǒng)的接口......................................14
7.2與網(wǎng)絡(luò)設(shè)備的接口..........................................14
7.3與計費(fèi)系統(tǒng)的接口..........................................15
8AAA系統(tǒng)IPv6過渡技術(shù)支持.......................15
8.1概述.......................................................15
8.1.1IPv6過渡技術(shù)中認(rèn)證與地址溯源概述......................15
8.1.2過渡技術(shù)的四種地址溯源方案............................17
8.2AAA系統(tǒng)溯源改造總體要求.................................18
8.3功能要求..................................................19
8.3.1靜態(tài)映射表生成功能.....................................19
8.3.2動態(tài)映射關(guān)系獲取功能..................................20
8.3.3地址池選擇功能.........................................20
中國電信下一代互聯(lián)網(wǎng)接入認(rèn)證系統(tǒng)技術(shù)規(guī)范
8.4接口要求..................................................21
8.4.1與網(wǎng)管系統(tǒng)接口........................................21
8.4.2與外部溯源請求系統(tǒng)接口................................21
8.4.3與Log服務(wù)器接口......................................23
9性能與可靠性要求................................25
9.1AAA系統(tǒng)基本性能要求.....................................25
9.2可靠性要求................................................25
10附:用戶認(rèn)證流程................................26
10.1本地BRAS接入認(rèn)證流程...................................26
10.2L2Tp隧道方式接入認(rèn)證流程................................27
10.3認(rèn)證系統(tǒng)用戶在線信息維護(hù)示例.............................29
中國電信股份有限公司上海研究院
編號:
時間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第1頁共34頁
1編制說明
1.1范圍
本技術(shù)規(guī)范以RFC文檔為依據(jù),針對中國電信下一代互聯(lián)網(wǎng)試點(diǎn)實(shí)際情況
和具體要求,對下一代互聯(lián)網(wǎng)IPv6城域網(wǎng)中認(rèn)證系統(tǒng)的定義、網(wǎng)絡(luò)定位、業(yè)務(wù)
支持流程等進(jìn)行了說明,對在系統(tǒng)中支持IPv6協(xié)議的功能提出了規(guī)定,包括認(rèn)
證、授權(quán)、計費(fèi)等相關(guān)部分對IPv6協(xié)議屬性支持的具體要求。
本文件不對中國電信現(xiàn)有的認(rèn)證系統(tǒng)進(jìn)行規(guī)范,僅針對下一代互聯(lián)網(wǎng)(IPv6)
技術(shù)中涉及到的用戶接入認(rèn)證系統(tǒng)進(jìn)行規(guī)范。本技術(shù)規(guī)范適用于中國電信認(rèn)證系
統(tǒng)支持IPv6功能的研制開發(fā)工作。
在本規(guī)范中:
(I)必須:表示該條目是本規(guī)范必須。違反這樣的要求是原則性錯誤。
(2)必須實(shí)現(xiàn):表示該要求必須實(shí)現(xiàn),但不要求缺省使能。
(3)不允許(不可以):表示該條目絕對禁止。
(4)應(yīng)當(dāng)(建議):表示在某些特定條件下存在忽視該條目的理由,但是忽視或
違反該條目時必須仔細(xì)衡量。
(5)應(yīng)當(dāng)(建議)實(shí)現(xiàn):與應(yīng)當(dāng)(建議)類似,實(shí)現(xiàn)時不必要缺省使能。
(6)不應(yīng)當(dāng)(不建議):表示在某些特定條件存在所描述行為可接受或有效的理
由,但實(shí)現(xiàn)該行為時必須仔細(xì)衡量。
(7)可以:表示該條目確實(shí)可選。
1.2引用標(biāo)準(zhǔn)
下列標(biāo)準(zhǔn)包含的條文,通過在本標(biāo)準(zhǔn)中引用而構(gòu)成為本標(biāo)準(zhǔn)的條文。本標(biāo)準(zhǔn)
出版時,所示版本均為有效。所有標(biāo)準(zhǔn)都會被修訂,使用本標(biāo)準(zhǔn)的各方應(yīng)探討,
使用下列標(biāo)準(zhǔn)最新版本的可能性。
RFC2865/2318RADIUS協(xié)議(認(rèn)證)
RFC2866/2319RADIUS協(xié)議(計費(fèi))
第1頁共34頁
編號:
時間:2021年x月x日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第2頁共34頁
RFC2867RADIUS協(xié)議(隧道協(xié)議的計費(fèi))
RFC2868RADIUS協(xié)議(隧道協(xié)議的認(rèn)證)
RFC2869RADII'S協(xié)議擴(kuò)展
RFC3162RADIUS和IPv6
RFC3575IANA對RADIUS的考慮
RFC5176/3576RADII-S動態(tài)認(rèn)證擴(kuò)展
RFC3579RADIUS支持可擴(kuò)展的認(rèn)證協(xié)議(EAP)
RFC4818RADIUS屬性一Delegated-IPv6-Prefix
RFC5080一般RADIUS執(zhí)行問題和建議
1.3定義、術(shù)語和縮寫
1.3.1定義
認(rèn)證系統(tǒng):為IP網(wǎng)絡(luò)中的接入用戶提供認(rèn)證、授權(quán)、和計費(fèi)服務(wù)的系統(tǒng)。
1.3.2術(shù)語和縮寫
AAAAuthentication,Authorization&Accounting(認(rèn)證、授權(quán)和計費(fèi))
BRASBroadbandRemoteAccessServer(寬帶接入服務(wù)器)
CHAPChallenge-handshakeAuthenticationProtocol(握手認(rèn)證協(xié)議)
DHCPDynamicHostConfigurationProtocol(動態(tài)主機(jī)配置協(xié)議)
DSLAMDigitalSubscriberLineAccessMultiplexer(數(shù)字用戶線接入復(fù)用落)
IPoEIPoverEthernet
IPv6InternetProtocolVersion6(互聯(lián)網(wǎng)協(xié)議第6版)
IPv6CPIPControlProtocol(IPv6控制協(xié)議)
L2TPLayer2TunnellingProtocol(第二層隧道協(xié)議)
LACL2TPAccessConcentrator(L2TP訪問集中器)
LANLocalAreaNetwork(局域網(wǎng))
第2頁共34頁
編號:
易間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第3頁共34頁
LCPLinkControlProtocol(鏈路控制協(xié)議)
LNSL2TPNetworkServer(L2TP網(wǎng)絡(luò)服務(wù)器)
MACMediaAccessControl(介質(zhì)訪問控制)
MIBManagementInformationBase(管理信息庫)
NAT-PTNetworkAddressTranslate+ProtocolTranslation(網(wǎng)絡(luò)地址翻譯/協(xié)議翻譯)
PAPPasswordAuthenticationProtocol(密碼認(rèn)證協(xié)議)
PPPoEPPPOverEthernet
RADIUSRemoteAuthorizationDialInUserService(遠(yuǎn)程認(rèn)證撥號用戶服務(wù))
SNMPSimpleNetworkManagementProtocol(簡單網(wǎng)絡(luò)管理協(xié)議)
TCPTransmissionControlProtocol(傳輸控制協(xié)議)
UDPUserDatagramProiocol(用戶數(shù)據(jù)報協(xié),議)
VPNVirtualPrivateNetwork(虛擬專用網(wǎng))
DS-LiteDualstack-Lite
NAT444Natworkaddresstranslate444
2認(rèn)證系統(tǒng)概述
2.1認(rèn)證系統(tǒng)的定位
在中國電信IP城域網(wǎng)中,認(rèn)證/計費(fèi)服務(wù)器一般處于城域骨干網(wǎng)的核心層,
通過網(wǎng)絡(luò)與接入網(wǎng)關(guān)的認(rèn)證端口建立IP連接,為用戶接入網(wǎng)絡(luò)提供認(rèn)證、授權(quán)、
和計費(fèi)服務(wù)。
典型的網(wǎng)絡(luò)拓?fù)淙鐖D1所示:
第3頁共34頁
編號:
時間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第4頁共34頁
2.2認(rèn)證系統(tǒng)的功能和業(yè)務(wù)組成
認(rèn)證系統(tǒng)主要功能為;提供用戶接入中國電信IP網(wǎng)絡(luò)時,對用戶的身份的
驗(yàn)證,包括用戶帳號與密碼的匹配關(guān)系,用戶接入的線路認(rèn)證、用戶接入的次數(shù)
驗(yàn)證等;在用戶通過身份認(rèn)證之后,為用戶的當(dāng)前接入配置適當(dāng)?shù)臋?quán)限,包括用
戶接入的帶寬等模板信息;在用戶上線過程中和下線之后記錄用戶使用的計費(fèi)原
始信息,并生成原始話單。
同時,認(rèn)證系統(tǒng)需要在用戶上線過程中維持用戶在線信息表,并可對其它系
統(tǒng)提供查詢接口。
認(rèn)證系統(tǒng)組成:中國電信IP網(wǎng)認(rèn)證系統(tǒng)由認(rèn)證服務(wù)器、業(yè)務(wù)邏輯處理服務(wù)
器和數(shù)據(jù)庫服務(wù)器、接口服務(wù)器組成,各組成部分的功能描述如下:
認(rèn)證服務(wù)器:完成認(rèn)證Radius協(xié)議/Diameter協(xié)議的解析,以及相關(guān)協(xié)議流
程的支持;
第4頁共34頁
編號:
時間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第5頁共34頁
業(yè)務(wù)邏輯處理服務(wù)器:完成用戶接入身份的驗(yàn)證,授權(quán)功能的實(shí)現(xiàn)和計費(fèi)信
息的采集,并實(shí)現(xiàn)用戶在線信息的維護(hù);
數(shù)據(jù)庫服務(wù)器:存儲用戶的信息,包括身份信息、業(yè)務(wù)信息及其它相關(guān)信息;
接口服務(wù)器:實(shí)現(xiàn)認(rèn)證系統(tǒng)與其它周邊系統(tǒng)的接口,例如:開戶接口。
3認(rèn)證系統(tǒng)對IPv6協(xié)議的支持的總述
本文件不對中國電信現(xiàn)有的認(rèn)證系統(tǒng)進(jìn)行規(guī)范,僅針對認(rèn)證系統(tǒng)對下一代互
聯(lián)網(wǎng)(IPv6)的支持進(jìn)行規(guī)范。在1P認(rèn)證系統(tǒng)中擴(kuò)充對IPv6協(xié)議的支持,主要
包括2方面的內(nèi)容:
(1)IP認(rèn)證系統(tǒng)中對用戶提供IPv6服務(wù)時,所增加的相關(guān)屬性、統(tǒng)計等;
(2)IP認(rèn)證系統(tǒng)本身的IPv6化,包括系統(tǒng)本身支持IPv6協(xié)議棧,各服務(wù)
器之間,及Client/Server之間傳遞的報文也用IPv6協(xié)議傳送。
鑒于目前大部分設(shè)備都只支持IPv4協(xié)議,認(rèn)證系統(tǒng)本身傳遞報文時要確認(rèn)
對方的協(xié)議棧,在具體實(shí)施時可能引起混亂,因此建議系統(tǒng)的IPv6進(jìn)程分為2
階段進(jìn)行。
(1)現(xiàn)階段以IPv4訪問為主,所傳遞的報文內(nèi)容包含了所需的IPv6屬性。
(2)將來對IPv6的支持成熟后,增加系統(tǒng)本身的IPv6化,包括系統(tǒng)管理、
系統(tǒng)間報文的傳遞等內(nèi)容。
要求認(rèn)證系統(tǒng)必須支持RFC3162所規(guī)定的6個RADIUS屬性和RFC4818
規(guī)定的1個屬性,以支持對IPv6的認(rèn)證和授權(quán)。
系統(tǒng)必須區(qū)分|普通IPv4用戶、純IPv6用戶及雙棧用戶不同用戶采用由IT批注[SYI]:6種用戶,公網(wǎng)、私網(wǎng)、雙棧、飛?
支撐系統(tǒng)在開戶或修改用戶信息時設(shè)置用戶屬性標(biāo)識的方式實(shí)現(xiàn),該屬性標(biāo)識由
IT支撐系統(tǒng)在開戶或賬戶修改時隨接口指令傳送給認(rèn)證系統(tǒng),認(rèn)證系統(tǒng)將該標(biāo)
識存放在用戶信息數(shù)據(jù)庫中,在用戶接入認(rèn)證時通過該字段判斷用戶是IPv4用
戶或雙棧用戶或純IPv6用戶。
用戶帳號名可以采用任何符合中國電信帳號規(guī)范的帳號形式,帳號后綴可以
根據(jù)業(yè)務(wù)需要定義任意形式的后綴,供特殊業(yè)務(wù)(如:VPDN)或帳號漫游使用
(如:WLAN性國漫游)。_一一[批注32]:屬于漫游一
第5頁共34頁
編號:
時間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第6頁共34頁
4認(rèn)證授權(quán)部分對IPv6的擴(kuò)充
4.1功能擴(kuò)充
為支持對IPv6用戶的認(rèn)證、授權(quán),系統(tǒng)必須支持以下功能。
認(rèn)證系統(tǒng)在用戶業(yè)務(wù)屬性中增加標(biāo)識支持IPv6功能,識別用戶是IPv4單棧、
雙?;騃Pv6單棧接入。
認(rèn)證系統(tǒng)必須對用戶加以區(qū)分,標(biāo)識用戶為普通IPv4用戶、純IPv6用戶、
及雙棧用戶。
服務(wù)開通系統(tǒng)為IPv6用戶(或雙棧用戶)開戶后,將IPv6的用戶信息傳送
給認(rèn)證系統(tǒng)。認(rèn)證系統(tǒng)必須能接收和識別IPv6用戶信息。
認(rèn)證系統(tǒng)必須擴(kuò)充RADIUS屬性,支持RFC3162所規(guī)定的6個RADIUS
屬性和RFC4818規(guī)定的1個屬性。
認(rèn)證方式,應(yīng)支持PAP、CHAP等認(rèn)證方式。
在用戶認(rèn)證完成,用戶上線過程中需要記錄用戶的在線信息,其中包括用戶
的IPv6地址。需要支持在用戶上線過程中接入服務(wù)器產(chǎn)生的中間計費(fèi)包中的
IPv6相關(guān)信息,如用戶IPv6地址和當(dāng)前IPv6使用的流量等。
在用戶下線時,記錄用戶的下線時間,并支持在用戶下線計費(fèi)包中的IPv6
相關(guān)Radius屬性,如用戶IPv6地址、用戶IPv6使用流量等。
考慮到用戶的使用習(xí)慣,用戶登錄時如果沒帶域名做如下處理:雙棧用戶如
果沒帶域名登錄,按普通IPv4用戶處理;純IPv6用戶登錄時沒寫域名,按用戶一--[批注[SY訃給用戶分配何種地址?依據(jù)什么?
名錯誤處理。其他寫錯域名時,按與VPN用戶同等處理。
4.2數(shù)據(jù)格式定義
為支持IPv6功能,認(rèn)證服務(wù)器需要增加相關(guān)的數(shù)據(jù)類型,主要包括以下數(shù)
據(jù)類型,但不限于這幾種類型。
(1)IPv6地址(IPv6Address):IPv6地址為128比特以16字節(jié)數(shù)據(jù)格
第6頁共34頁
編號:
時間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第7頁共34頁
式表不。
(2)IPv6地址前綴(IPv6Prefix):IPv6地址前綴由2部分組成。第一部分
為地址前綴(Prefix),數(shù)據(jù)形式為0—128比特,以16字節(jié)表示,第二部分為前
綴的長度(Length),格式為1字節(jié),取值范圍為0—128。
(3)IPv6接口ID(IPv6InterfaceID):64比特,以8字節(jié)數(shù)據(jù)格式表示。
(4)1P用戶類型:標(biāo)志用戶的IP類型,有普通IPv4用戶、雙棧用戶、純IPv6
用戶3種類型。格式規(guī)定為1字節(jié),取值定義:()為普通用戶,1為雙棧用戶,2
為純IPv6用戶。
4.3L2Tp隧道
在VPN企業(yè)用戶表中定義支持IPv6功能BRAS的域名,地址,隧道密碼
等參數(shù)。當(dāng)需要支持雙棧或純IPv6的用戶在不支持IPv6的BRAS設(shè)備接入網(wǎng)
絡(luò)時,可以動態(tài)或靜態(tài)提供L2Tp隧道接入支持IPv6的LNS設(shè)備參數(shù),為用戶
建立IPv6的PPPoE連接。認(rèn)證系統(tǒng)需要支持LNS參數(shù)的列表,以實(shí)現(xiàn)負(fù)載均
衡或其它功能。
認(rèn)證流程中,在RADIUS屬性解析中增加相關(guān)IPv6屬性解析。根據(jù)IPV6
地址生成IPV6格式的地址字符串以及根據(jù)IPv6地址字符串生成IPV6地址。
用戶通過隧道上網(wǎng)時,在LAC和LNS中都會發(fā)送計費(fèi)賬單,需要排除LAC
的賬單。
4.4PROXY
一般PROXYRADIUS同時具有PROXY和SERVER的角色,因此要求
PROXYRADIUS必須具有和RADIUS服務(wù)器相同的功能。
能把從接入服務(wù)器發(fā)送的帶有IPv6相關(guān)屬性的報文轉(zhuǎn)發(fā)到RADIUS服務(wù)器。
能把RADIUS服務(wù)器回應(yīng)的帶有IPv6屬性的報文轉(zhuǎn)發(fā)給接入服務(wù)器。
PROXY不允許過濾任何IPv6相關(guān)的Radius屬性。
接入服務(wù)器與PROXY之間的傳送協(xié)議可采用IPv4或IPv6,PROXY與
RADIUS服務(wù)器之間的傳送協(xié)議也可采用IPv4或IPv6,二段傳送協(xié)議是獨(dú)立的,
并不要求兩者保持一致。
第7頁共34頁
編號:
易間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第8頁共34頁
4.5IPv6相關(guān)公共RADIUS屬性
認(rèn)證系統(tǒng)必須擴(kuò)充RADIUS屬性,支持RFC3162所規(guī)定的6個RADIUS
屬性和RFC4818規(guī)定的1個屬性。
1、NAS-IPv6-AddresSo屬性號95,報文長度18,Address為16字節(jié)IPv6
地址,是請求認(rèn)證的用戶所使用的接入服務(wù)器的IPv6地址。是由接入服務(wù)器在
Access-Request報文中發(fā)送給RADIUS服務(wù)器的。其報文格式如下:
0123
01234567890123456789012345678901
TypeLengthAddress
Address(續(xù)
Address(續(xù))
Address(續(xù))
Address(續(xù))
2、Framed-lnterface-ldo屬性號96,報文長度10,Interface-Id為8字節(jié)
IPv6接口ID,是IPV6CP協(xié)商后的接口ID,用以指示為用戶配置的IPv6接口
IDo該屬性可用于Access-Accept報文中。如果該ID在IPv6cp過程中已協(xié)商
成功,則由接入服務(wù)器通過Access-Request報文發(fā)送給RADIUS服務(wù)器,
RADIUS應(yīng)采用該接口ID值。其報文格式如下:
0123
01234567890123456789012345678901
TypeLengthInterface-Id
Interface-Id(續(xù))
Interface-Id(續(xù))
3、Framed-IPv6-PrefiXo屬性號97,報文長度4—20,Reserved固定為0,
Prefix-Length按比特為單位指示Prefix的長度。Prefix為0—128比特的IPv6
地址前綴,超出Prefix-Length以外的比特位用0填充。該屬性可用于
第8頁共34頁
編號:
時間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第9頁共34頁
Access-Accept報文中,并且可出現(xiàn)多次。該屬性可用于Access-Request報文
中,請求RADIUS服務(wù)器采用該前綴值,RADIUS服務(wù)器可以認(rèn)同采用該值,
但不是必須使用該值。不必發(fā)送帶有相同前綴的Framed-IPv6-Route屬性。其
報文格式如下:
0123
01234567890123456789012345678901
Prefix-Lengt
TypeLengthReserved
h
Prefix
Prefix(續(xù))
Prefix(續(xù))
Prefix(續(xù))
4、Login-IPv6-Host0屬性號98,報文長度18,Address為16字節(jié)IPv6
地址,是允許訪問服務(wù)器的主機(jī)的IPv6地址。當(dāng)包含Login-Service屬性時,指
示用以連接用戶的系統(tǒng)。該屬性可用于Access-Accept報文中,也可用于
Access-Request報文中,請求接入服務(wù)器希望連接的主機(jī),RADIUS服務(wù)器可
以認(rèn)同采用該值,但不是必須使用該值。其報文格式如下:
0123
01234567890123456789012345678901
TypeLengthAddress
Address(續(xù)
Address(續(xù))
Address(續(xù))
Address(續(xù))
其中,Address為全1時,接入服務(wù)器應(yīng)允許用戶選擇連接的地址或用戶名。
Address為全。時,由接入服務(wù)器選擇連接到用戶的主機(jī)。其他值為接入服務(wù)器
連接的用戶的地址。
第9頁共34頁
編號:
易間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第1。頁共34頁
5、Framed-1Pv6-Routeo屬性號99,報文長度大于3,Text字段表明IPv6
的路由信息。該屬性提供了在接入服務(wù)器上配置的路由信息,該屬性用于
Access-Accept報文中,并且可出現(xiàn)多次。報文格式如下:
012
012345678901234567890123
TypeLengthText...
其中,Text為1或多個字節(jié),其內(nèi)容與實(shí)現(xiàn)相關(guān),是一個可識別的字符串,
而且不能影響協(xié)議的正常運(yùn)行。對IPv6路由,其形式應(yīng)包含目標(biāo)地址前綴、一
個斜線(/)后跟十進(jìn)制的前綴長度、一個空格、網(wǎng)關(guān)地址、一個空格、一或多
個metrico
6、Framed-IPv6-PooL屬性號100,報文長度大于3,Sthng字段表明接
入服務(wù)器給用戶分配的IPv6地址前綴的前綴池的名字。如果接入服務(wù)器不支持
多個前綴池,則忽略該屬性。其報文格式如下:
012
012345678901234567890123
TypeLengthString...
7、Delegated-IPv6-PrefiXo屬性號123,報文長度4—20,Reserved固定
為0,Prefix-Length按比特為單位指示授權(quán)的IPv6前綴的長度。本屬性用于用
戶為其用戶網(wǎng)絡(luò)分配IPv6地址所用的IPv6地址前綴。該屬性可用于
Access-Accept報文中,并且可出現(xiàn)多次。該屬性可用于Access-Request報文
中,請求RADIUS服務(wù)器采用該前綴值,RADIUS服務(wù)器可以認(rèn)同采用該值,
但不是必須使用該值。其報文格式如下:
0123
01234567890123456789012345678901
Prefix-Lengt
TypeLengthReserved
h
Prefix
第10頁共34頁
編號:
時間:2021年x月x日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第11頁共34頁
Prefix(續(xù))
Prefix(續(xù))
Prefix(續(xù))
Prefix為0—128比特的IPv6地址前綴,超出Prefix-Length以外的比特位
用0填充。
表1列出了以上屬性可能在哪種報文中出現(xiàn)的情況:
表1、IPv6相關(guān)Radius屬性列表
RequestAcceptRejectChallengeAccounting#Attribute
Request
0-10000-195NAS-IPv6-Address
0-10-100o-l96Framed-Interface-Id
0+0+000+97Framed-1Pv6-Prefix
0+0+000+98Login-IPv6-Host
00+000+99Framed-IPv6-Route
0o-l00o-l100Framed-IPv6-Poo1
0+0+000+123Delegated-IPv6-Prefix
上表中各條目的含義如下:
0該屬性不出現(xiàn);
0+可出現(xiàn)0到多個該屬性的條目;
0-1可出現(xiàn)?;?個該屬性的條目;
1該屬性出現(xiàn)1次;
1+可出現(xiàn)1到多個該屬性的條目。
4.6IPv6私有屬性擴(kuò)展
中國電信Radius私有屬性(Vendor屬性26)擴(kuò)展如表2所示:
表2、Radius私有屬性擴(kuò)展[表|批注[SY4]:無廠家支持
第"頁共34頁
編號:
時間:2021年x月x日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第12頁共34頁
子屬性
子屬性名最大長度類型說明備注
號
中國電信Vendor擴(kuò)展:Vendor-ID標(biāo)志為20942
目前有6種定義:
0—公網(wǎng)IPv4用
戶;
指明1----私網(wǎng)IPv4用
用戶戶;
USER-ADDRESS-TInteg接入2——公網(wǎng)雙棧用
1204
YPEer的地戶;
址類3----私網(wǎng)雙棧用
型戶;
4----DS-Lite用
戶;
5—純IPv6用戶
該字段包含映射時
間,公網(wǎng)地址、起
始端口號、終止端
存放口號、用戶地址,
各種各字段采用“;”分
CGN地割。
USER-ADDRESS-LStrin
121253址轉(zhuǎn)例舉格式為:
0Gg
換日映射時間
志信(YY/MM/DD/HH/MM
息/SS);公網(wǎng)地址
(IPv4地址);起
始端口號;終止端
口號;用戶地址(可
第12頁共34頁
編號:
時間:2021年x月x日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第13頁共34頁
以是IPv4或IPv6
地址)
5計費(fèi)采集部分對IPv6的擴(kuò)充
計費(fèi)采集部分與認(rèn)證授權(quán)部分相同。服務(wù)開通系統(tǒng)為IPv6用戶(或雙棧用
戶)開戶后,將IPv6的用戶信息傳送給計費(fèi)采集系統(tǒng)。該系統(tǒng)必須能接收和識
別IPv6用戶信息。
計費(fèi)采集系統(tǒng)必須對用戶加以區(qū)分,標(biāo)識用戶為普通IPv4用戶、純IPv6用
戶、及雙棧用戶。
當(dāng)用戶發(fā)起呼叫連接時,計費(fèi)采集系統(tǒng)必須能識別是不同類型的用戶。
原始話單在本地處理時,應(yīng)區(qū)分不同類型的的用戶標(biāo)識。
傳遞給計費(fèi)系統(tǒng)的詳單應(yīng)區(qū)分不同類型的用戶標(biāo)識。
用戶通過隧道上網(wǎng)時,在LAC和LNS中都會發(fā)送計費(fèi)賬單,需要排除LAC
的賬單。
6認(rèn)證系統(tǒng)用戶在線信息表要求
認(rèn)證系統(tǒng)必須在用戶接入時判斷用戶的接入類型(如純公網(wǎng)IPv4、私網(wǎng)IPv4、
公網(wǎng)雙棧、私網(wǎng)雙棧、DS-Lite,純IPv6),并在用戶在線信息表中記錄用戶上線
的IP地址。用戶在線IP地址可以由接入服務(wù)器發(fā)送的上線包、中間計費(fèi)包、或
下線包中的相關(guān)IP地址屬性提?。↖Pv6地址為:Framed-IPv6-Prefix、
Framed-Interface-id屬性組合而成;IPv4地址為:FramedTP-Address屬性攜
帶)。其中,IPv6地址由前綴和接口地址合成完整的IPv6地址;IPv4地址直接
第13頁共34頁
編號:
易間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第14頁共34頁
從Radius屬性中提取。
7周邊系統(tǒng)接口
認(rèn)證系統(tǒng)擴(kuò)充支持IPv6后,與其他系統(tǒng)之間接口也要有相應(yīng)的擴(kuò)充,相關(guān)
系統(tǒng)主要包括:服務(wù)開通系統(tǒng)、網(wǎng)絡(luò)設(shè)備、計費(fèi)系統(tǒng)等。其接口關(guān)系圖如圖2
所示:
7.1與服務(wù)開通系統(tǒng)的接口.批注[SY5]:各地廠家不一樣,需進(jìn)行協(xié)商
IPv6用戶或雙棧用戶在服務(wù)開通系統(tǒng)開戶后,需要把相關(guān)的用戶名和接入
業(yè)務(wù)標(biāo)識傳遞給認(rèn)證系統(tǒng),包括認(rèn)證、計費(fèi)部分。
7.2與網(wǎng)絡(luò)設(shè)備的接口
認(rèn)證系統(tǒng)與網(wǎng)絡(luò)設(shè)備的接口主要是與接入服務(wù)器的接口。
認(rèn)證系統(tǒng)必須能識別接入用戶本地的接入服務(wù)器是否支持IPv6接入,根據(jù)
不同情況進(jìn)行相應(yīng)的處理。
第14頁共34頁
編號:
時間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第15頁共34頁
接入服務(wù)器與認(rèn)證服務(wù)器之間傳送的RUDIUS報文(包括認(rèn)證包、上線計
費(fèi)包、中間計費(fèi)包和下線計費(fèi)包),必須增加支持RFC3162和RFC4818所規(guī)定
的RADIUS屬性。
7.3與計費(fèi)系統(tǒng)的接口
計費(fèi)采集系統(tǒng)與計費(fèi)系統(tǒng)之間的接口必須擴(kuò)充,以支持對IPv6用戶或雙棧
用戶的標(biāo)識。支持在原始話單中傳送用戶IPv6地址信息和IPv6使用的流量信息。
在傳送原始單時,原始話單中必須區(qū)分公網(wǎng)IPv4用戶、私網(wǎng)IPv4用戶、公網(wǎng)雙
棧用戶、私網(wǎng)雙棧用戶、純IPv6用戶、及DS-Ute用戶。
8AAA系統(tǒng)IPv6過渡技術(shù)支持
8.1概述
8.1.1IPv6過渡技術(shù)中認(rèn)證與地址溯源概述
中國電信認(rèn)證/計費(fèi)系統(tǒng)(AAA)位于城域網(wǎng)核心,承擔(dān)用戶的接入認(rèn)證和產(chǎn)
生計費(fèi)原始信息(話單)。同時,通過AAA系統(tǒng)可以提供用戶地址的溯源、反查
等功能。傳統(tǒng)IPv4網(wǎng)絡(luò)認(rèn)證與地址溯源流程如圖3所示:
第15頁共34頁
編號:
時間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第16頁共34頁
圖3、IPv4網(wǎng)絡(luò)認(rèn)證與地址溯源流程
由于IPv6過渡技術(shù)中采用了地址轉(zhuǎn)換技術(shù)。因此,需要AAA系統(tǒng)能夠提供
用戶上網(wǎng)過程中,地址轉(zhuǎn)換前后的對應(yīng)關(guān)系,保證用戶地址可以溯源。用戶地址
溯源分為兩種,第一種為在線用戶地址溯源,要求在用戶在線狀態(tài)下,根據(jù)公網(wǎng)
IPv4、IPv6地址和端口信息反查用戶的帳號信息;第二種為離線用戶地址溯源,
要求系統(tǒng)能夠保存一定時間內(nèi)的用戶上網(wǎng)信息和用戶地址轉(zhuǎn)換日志信息,提供反
查用戶歷史上網(wǎng)信息的功能。
地址轉(zhuǎn)換網(wǎng)關(guān)是完成過渡技術(shù)中地址轉(zhuǎn)換的關(guān)鍵設(shè)備,在網(wǎng)絡(luò)中地址轉(zhuǎn)換網(wǎng)
關(guān)可以采用集中部署在城域網(wǎng)核心或分布式部署在業(yè)務(wù)接入點(diǎn)的BRAS/SR設(shè)備
上。集中式部署與分布式部署的認(rèn)證和地址溯源流程沒有差異。其認(rèn)證和地址溯
源總體流程如圖4所示:
第16頁共34頁
編號:
易間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第17頁共34頁
—用戶接入撥號PPPoELCPf
認(rèn)證請求
(RadiusAccessRequest)
_認(rèn)證成功_
(RadiusAccept)
私網(wǎng)IPM地址或
?公網(wǎng)IPv6協(xié)商(IPCP)
上線計費(fèi)包(攜帶用戶端地址
'IPv4私網(wǎng)〃Pv6公網(wǎng))
生
成在線
狀
態(tài)
表項(xiàng)
地址溯源請求
(含轉(zhuǎn)換后地址和端口)一
重點(diǎn)
改造
址
地轉(zhuǎn)換
模塊
系
關(guān)
查詢
——返回用戶帳號信息一?
圖4、過渡技術(shù)場景認(rèn)證與地址溯源總體流程
由于過渡技術(shù)中存在地址轉(zhuǎn)換的過程,因此AAA系統(tǒng)需要進(jìn)行在線狀態(tài)表
項(xiàng)和地址轉(zhuǎn)換關(guān)系查詢的改造。同時,根據(jù)過渡技術(shù)部署方案的不同,AAA系
統(tǒng)還必須在采用固定地址、端口映射的方式卜維護(hù)私有地址與公有地址和端口映
射關(guān)系表,以及在動態(tài)映射部署方式下,通過AAA或Log服務(wù)器查詢動態(tài)地址
和端口映射關(guān)系的接口。
8.1.2過渡技術(shù)的四種地址溯源方案
過渡技術(shù)部署方案有地址、端口固定映射部署方式和地址、端口動態(tài)映射部
署方式兩種,針對這兩種部署方案,有四種地址溯源方案。方案一;庶用由CGN
設(shè)備在建立端口映射關(guān)系恬,發(fā)送syslog日志信息的方式,將端口/端口段映射1f批注[SY6]:集中式
關(guān)系發(fā)送到日志服務(wù)器,AAA系統(tǒng)在接收溯源請求后,通過syslog服務(wù)器查詢
到動態(tài)地址映射關(guān)系,從而完成地址溯源;方案二:CGN設(shè)備通過Radius報文
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 應(yīng)試書寫規(guī)范課程設(shè)計
- 小學(xué)打氣筒課程設(shè)計
- 山東華宇工學(xué)院《社區(qū)治理》2023-2024學(xué)年第一學(xué)期期末試卷
- 山東工業(yè)職業(yè)學(xué)院《教師基本技能訓(xùn)練》2023-2024學(xué)年第一學(xué)期期末試卷
- 2022暑假網(wǎng)絡(luò)銷售實(shí)習(xí)報告總結(jié)和格式范文3000字
- 中班種植花生課程設(shè)計
- 家電產(chǎn)品能效等級檢測考核試卷
- 塑料制品的安全使用與安全檢驗(yàn)考核試卷
- 折疊洗衣機(jī)的課程設(shè)計
- 小學(xué)生語文分段課程設(shè)計
- 剛曉觀所緣緣論略講
- 安全生產(chǎn)目標(biāo)實(shí)施計劃表
- DB31∕T 1038-2017 生態(tài)公益林主要造林樹種苗木質(zhì)量分級
- 主動脈夾層概述ppt課件(PPT 57頁)
- 《西游記》“一站到底”(51-100回)
- 《現(xiàn)代大學(xué)英語精讀1》第二課
- Keilc51常用庫函數(shù)匯總參考
- 小學(xué)數(shù)學(xué)無紙化評價:一年級數(shù)學(xué)游園活動總結(jié)
- SAP生產(chǎn)計劃概念及實(shí)施流程
- IPC77117721電子組件的返工維修和修改教程課件
- 工廠安全用電培訓(xùn)PPT
評論
0/150
提交評論