2023年電信下一代互聯(lián)網(wǎng)認(rèn)證系統(tǒng)技術(shù)規(guī)范_第1頁
2023年電信下一代互聯(lián)網(wǎng)認(rèn)證系統(tǒng)技術(shù)規(guī)范_第2頁
2023年電信下一代互聯(lián)網(wǎng)認(rèn)證系統(tǒng)技術(shù)規(guī)范_第3頁
2023年電信下一代互聯(lián)網(wǎng)認(rèn)證系統(tǒng)技術(shù)規(guī)范_第4頁
2023年電信下一代互聯(lián)網(wǎng)認(rèn)證系統(tǒng)技術(shù)規(guī)范_第5頁
已閱讀5頁,還剩29頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

中國電唁

CHINATELECOM

中國電信下一代互聯(lián)網(wǎng)

認(rèn)證系統(tǒng)技術(shù)規(guī)范

(修改稿)

中國電信股份有限公司上海研究院

二零一一年五月

目錄

1編制說明.........................................1

1.1范圍........................................................1

1.2引用標(biāo)準(zhǔn)...................................................1

1.3定義、術(shù)語和縮寫...........................................2

1.3.1定義....................................................2

1.3.2術(shù)語和縮寫..............................................2

2認(rèn)證系統(tǒng)概述.....................................3

2.1認(rèn)證系統(tǒng)的定位.............................................3

2.2認(rèn)證系統(tǒng)的功能和業(yè)務(wù)組成..................................4

3認(rèn)證系統(tǒng)對IPv6協(xié)議的支持的總述..................5

4認(rèn)證授權(quán)部分對IPv6的擴(kuò)充.........................6

4.1功能擴(kuò)充...................................................6

4.2數(shù)據(jù)格式定義...............................................6

4.3L2TP隧道..................................................7

4.4PROXY.........................................................................................................7

4.5IPv6相關(guān)共有RADIUS屬性..................................8

4.6IPv6私有屬性擴(kuò)展..........................................11

5計費(fèi)采集部分對IPv6的擴(kuò)充........................13

6認(rèn)證系統(tǒng)用戶在線信息表要求......................13

7周邊系統(tǒng)接口....................................14

7.1與服務(wù)開通系統(tǒng)的接口......................................14

7.2與網(wǎng)絡(luò)設(shè)備的接口..........................................14

7.3與計費(fèi)系統(tǒng)的接口..........................................15

8AAA系統(tǒng)IPv6過渡技術(shù)支持.......................15

8.1概述.......................................................15

8.1.1IPv6過渡技術(shù)中認(rèn)證與地址溯源概述......................15

8.1.2過渡技術(shù)的四種地址溯源方案............................17

8.2AAA系統(tǒng)溯源改造總體要求.................................18

8.3功能要求..................................................19

8.3.1靜態(tài)映射表生成功能.....................................19

8.3.2動態(tài)映射關(guān)系獲取功能..................................20

8.3.3地址池選擇功能.........................................20

中國電信下一代互聯(lián)網(wǎng)接入認(rèn)證系統(tǒng)技術(shù)規(guī)范

8.4接口要求..................................................21

8.4.1與網(wǎng)管系統(tǒng)接口........................................21

8.4.2與外部溯源請求系統(tǒng)接口................................21

8.4.3與Log服務(wù)器接口......................................23

9性能與可靠性要求................................25

9.1AAA系統(tǒng)基本性能要求.....................................25

9.2可靠性要求................................................25

10附:用戶認(rèn)證流程................................26

10.1本地BRAS接入認(rèn)證流程...................................26

10.2L2Tp隧道方式接入認(rèn)證流程................................27

10.3認(rèn)證系統(tǒng)用戶在線信息維護(hù)示例.............................29

中國電信股份有限公司上海研究院

編號:

時間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第1頁共34頁

1編制說明

1.1范圍

本技術(shù)規(guī)范以RFC文檔為依據(jù),針對中國電信下一代互聯(lián)網(wǎng)試點(diǎn)實(shí)際情況

和具體要求,對下一代互聯(lián)網(wǎng)IPv6城域網(wǎng)中認(rèn)證系統(tǒng)的定義、網(wǎng)絡(luò)定位、業(yè)務(wù)

支持流程等進(jìn)行了說明,對在系統(tǒng)中支持IPv6協(xié)議的功能提出了規(guī)定,包括認(rèn)

證、授權(quán)、計費(fèi)等相關(guān)部分對IPv6協(xié)議屬性支持的具體要求。

本文件不對中國電信現(xiàn)有的認(rèn)證系統(tǒng)進(jìn)行規(guī)范,僅針對下一代互聯(lián)網(wǎng)(IPv6)

技術(shù)中涉及到的用戶接入認(rèn)證系統(tǒng)進(jìn)行規(guī)范。本技術(shù)規(guī)范適用于中國電信認(rèn)證系

統(tǒng)支持IPv6功能的研制開發(fā)工作。

在本規(guī)范中:

(I)必須:表示該條目是本規(guī)范必須。違反這樣的要求是原則性錯誤。

(2)必須實(shí)現(xiàn):表示該要求必須實(shí)現(xiàn),但不要求缺省使能。

(3)不允許(不可以):表示該條目絕對禁止。

(4)應(yīng)當(dāng)(建議):表示在某些特定條件下存在忽視該條目的理由,但是忽視或

違反該條目時必須仔細(xì)衡量。

(5)應(yīng)當(dāng)(建議)實(shí)現(xiàn):與應(yīng)當(dāng)(建議)類似,實(shí)現(xiàn)時不必要缺省使能。

(6)不應(yīng)當(dāng)(不建議):表示在某些特定條件存在所描述行為可接受或有效的理

由,但實(shí)現(xiàn)該行為時必須仔細(xì)衡量。

(7)可以:表示該條目確實(shí)可選。

1.2引用標(biāo)準(zhǔn)

下列標(biāo)準(zhǔn)包含的條文,通過在本標(biāo)準(zhǔn)中引用而構(gòu)成為本標(biāo)準(zhǔn)的條文。本標(biāo)準(zhǔn)

出版時,所示版本均為有效。所有標(biāo)準(zhǔn)都會被修訂,使用本標(biāo)準(zhǔn)的各方應(yīng)探討,

使用下列標(biāo)準(zhǔn)最新版本的可能性。

RFC2865/2318RADIUS協(xié)議(認(rèn)證)

RFC2866/2319RADIUS協(xié)議(計費(fèi))

第1頁共34頁

編號:

時間:2021年x月x日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第2頁共34頁

RFC2867RADIUS協(xié)議(隧道協(xié)議的計費(fèi))

RFC2868RADIUS協(xié)議(隧道協(xié)議的認(rèn)證)

RFC2869RADII'S協(xié)議擴(kuò)展

RFC3162RADIUS和IPv6

RFC3575IANA對RADIUS的考慮

RFC5176/3576RADII-S動態(tài)認(rèn)證擴(kuò)展

RFC3579RADIUS支持可擴(kuò)展的認(rèn)證協(xié)議(EAP)

RFC4818RADIUS屬性一Delegated-IPv6-Prefix

RFC5080一般RADIUS執(zhí)行問題和建議

1.3定義、術(shù)語和縮寫

1.3.1定義

認(rèn)證系統(tǒng):為IP網(wǎng)絡(luò)中的接入用戶提供認(rèn)證、授權(quán)、和計費(fèi)服務(wù)的系統(tǒng)。

1.3.2術(shù)語和縮寫

AAAAuthentication,Authorization&Accounting(認(rèn)證、授權(quán)和計費(fèi))

BRASBroadbandRemoteAccessServer(寬帶接入服務(wù)器)

CHAPChallenge-handshakeAuthenticationProtocol(握手認(rèn)證協(xié)議)

DHCPDynamicHostConfigurationProtocol(動態(tài)主機(jī)配置協(xié)議)

DSLAMDigitalSubscriberLineAccessMultiplexer(數(shù)字用戶線接入復(fù)用落)

IPoEIPoverEthernet

IPv6InternetProtocolVersion6(互聯(lián)網(wǎng)協(xié)議第6版)

IPv6CPIPControlProtocol(IPv6控制協(xié)議)

L2TPLayer2TunnellingProtocol(第二層隧道協(xié)議)

LACL2TPAccessConcentrator(L2TP訪問集中器)

LANLocalAreaNetwork(局域網(wǎng))

第2頁共34頁

編號:

易間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第3頁共34頁

LCPLinkControlProtocol(鏈路控制協(xié)議)

LNSL2TPNetworkServer(L2TP網(wǎng)絡(luò)服務(wù)器)

MACMediaAccessControl(介質(zhì)訪問控制)

MIBManagementInformationBase(管理信息庫)

NAT-PTNetworkAddressTranslate+ProtocolTranslation(網(wǎng)絡(luò)地址翻譯/協(xié)議翻譯)

PAPPasswordAuthenticationProtocol(密碼認(rèn)證協(xié)議)

PPPoEPPPOverEthernet

RADIUSRemoteAuthorizationDialInUserService(遠(yuǎn)程認(rèn)證撥號用戶服務(wù))

SNMPSimpleNetworkManagementProtocol(簡單網(wǎng)絡(luò)管理協(xié)議)

TCPTransmissionControlProtocol(傳輸控制協(xié)議)

UDPUserDatagramProiocol(用戶數(shù)據(jù)報協(xié),議)

VPNVirtualPrivateNetwork(虛擬專用網(wǎng))

DS-LiteDualstack-Lite

NAT444Natworkaddresstranslate444

2認(rèn)證系統(tǒng)概述

2.1認(rèn)證系統(tǒng)的定位

在中國電信IP城域網(wǎng)中,認(rèn)證/計費(fèi)服務(wù)器一般處于城域骨干網(wǎng)的核心層,

通過網(wǎng)絡(luò)與接入網(wǎng)關(guān)的認(rèn)證端口建立IP連接,為用戶接入網(wǎng)絡(luò)提供認(rèn)證、授權(quán)、

和計費(fèi)服務(wù)。

典型的網(wǎng)絡(luò)拓?fù)淙鐖D1所示:

第3頁共34頁

編號:

時間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第4頁共34頁

2.2認(rèn)證系統(tǒng)的功能和業(yè)務(wù)組成

認(rèn)證系統(tǒng)主要功能為;提供用戶接入中國電信IP網(wǎng)絡(luò)時,對用戶的身份的

驗(yàn)證,包括用戶帳號與密碼的匹配關(guān)系,用戶接入的線路認(rèn)證、用戶接入的次數(shù)

驗(yàn)證等;在用戶通過身份認(rèn)證之后,為用戶的當(dāng)前接入配置適當(dāng)?shù)臋?quán)限,包括用

戶接入的帶寬等模板信息;在用戶上線過程中和下線之后記錄用戶使用的計費(fèi)原

始信息,并生成原始話單。

同時,認(rèn)證系統(tǒng)需要在用戶上線過程中維持用戶在線信息表,并可對其它系

統(tǒng)提供查詢接口。

認(rèn)證系統(tǒng)組成:中國電信IP網(wǎng)認(rèn)證系統(tǒng)由認(rèn)證服務(wù)器、業(yè)務(wù)邏輯處理服務(wù)

器和數(shù)據(jù)庫服務(wù)器、接口服務(wù)器組成,各組成部分的功能描述如下:

認(rèn)證服務(wù)器:完成認(rèn)證Radius協(xié)議/Diameter協(xié)議的解析,以及相關(guān)協(xié)議流

程的支持;

第4頁共34頁

編號:

時間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第5頁共34頁

業(yè)務(wù)邏輯處理服務(wù)器:完成用戶接入身份的驗(yàn)證,授權(quán)功能的實(shí)現(xiàn)和計費(fèi)信

息的采集,并實(shí)現(xiàn)用戶在線信息的維護(hù);

數(shù)據(jù)庫服務(wù)器:存儲用戶的信息,包括身份信息、業(yè)務(wù)信息及其它相關(guān)信息;

接口服務(wù)器:實(shí)現(xiàn)認(rèn)證系統(tǒng)與其它周邊系統(tǒng)的接口,例如:開戶接口。

3認(rèn)證系統(tǒng)對IPv6協(xié)議的支持的總述

本文件不對中國電信現(xiàn)有的認(rèn)證系統(tǒng)進(jìn)行規(guī)范,僅針對認(rèn)證系統(tǒng)對下一代互

聯(lián)網(wǎng)(IPv6)的支持進(jìn)行規(guī)范。在1P認(rèn)證系統(tǒng)中擴(kuò)充對IPv6協(xié)議的支持,主要

包括2方面的內(nèi)容:

(1)IP認(rèn)證系統(tǒng)中對用戶提供IPv6服務(wù)時,所增加的相關(guān)屬性、統(tǒng)計等;

(2)IP認(rèn)證系統(tǒng)本身的IPv6化,包括系統(tǒng)本身支持IPv6協(xié)議棧,各服務(wù)

器之間,及Client/Server之間傳遞的報文也用IPv6協(xié)議傳送。

鑒于目前大部分設(shè)備都只支持IPv4協(xié)議,認(rèn)證系統(tǒng)本身傳遞報文時要確認(rèn)

對方的協(xié)議棧,在具體實(shí)施時可能引起混亂,因此建議系統(tǒng)的IPv6進(jìn)程分為2

階段進(jìn)行。

(1)現(xiàn)階段以IPv4訪問為主,所傳遞的報文內(nèi)容包含了所需的IPv6屬性。

(2)將來對IPv6的支持成熟后,增加系統(tǒng)本身的IPv6化,包括系統(tǒng)管理、

系統(tǒng)間報文的傳遞等內(nèi)容。

要求認(rèn)證系統(tǒng)必須支持RFC3162所規(guī)定的6個RADIUS屬性和RFC4818

規(guī)定的1個屬性,以支持對IPv6的認(rèn)證和授權(quán)。

系統(tǒng)必須區(qū)分|普通IPv4用戶、純IPv6用戶及雙棧用戶不同用戶采用由IT批注[SYI]:6種用戶,公網(wǎng)、私網(wǎng)、雙棧、飛?

支撐系統(tǒng)在開戶或修改用戶信息時設(shè)置用戶屬性標(biāo)識的方式實(shí)現(xiàn),該屬性標(biāo)識由

IT支撐系統(tǒng)在開戶或賬戶修改時隨接口指令傳送給認(rèn)證系統(tǒng),認(rèn)證系統(tǒng)將該標(biāo)

識存放在用戶信息數(shù)據(jù)庫中,在用戶接入認(rèn)證時通過該字段判斷用戶是IPv4用

戶或雙棧用戶或純IPv6用戶。

用戶帳號名可以采用任何符合中國電信帳號規(guī)范的帳號形式,帳號后綴可以

根據(jù)業(yè)務(wù)需要定義任意形式的后綴,供特殊業(yè)務(wù)(如:VPDN)或帳號漫游使用

(如:WLAN性國漫游)。_一一[批注32]:屬于漫游一

第5頁共34頁

編號:

時間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第6頁共34頁

4認(rèn)證授權(quán)部分對IPv6的擴(kuò)充

4.1功能擴(kuò)充

為支持對IPv6用戶的認(rèn)證、授權(quán),系統(tǒng)必須支持以下功能。

認(rèn)證系統(tǒng)在用戶業(yè)務(wù)屬性中增加標(biāo)識支持IPv6功能,識別用戶是IPv4單棧、

雙?;騃Pv6單棧接入。

認(rèn)證系統(tǒng)必須對用戶加以區(qū)分,標(biāo)識用戶為普通IPv4用戶、純IPv6用戶、

及雙棧用戶。

服務(wù)開通系統(tǒng)為IPv6用戶(或雙棧用戶)開戶后,將IPv6的用戶信息傳送

給認(rèn)證系統(tǒng)。認(rèn)證系統(tǒng)必須能接收和識別IPv6用戶信息。

認(rèn)證系統(tǒng)必須擴(kuò)充RADIUS屬性,支持RFC3162所規(guī)定的6個RADIUS

屬性和RFC4818規(guī)定的1個屬性。

認(rèn)證方式,應(yīng)支持PAP、CHAP等認(rèn)證方式。

在用戶認(rèn)證完成,用戶上線過程中需要記錄用戶的在線信息,其中包括用戶

的IPv6地址。需要支持在用戶上線過程中接入服務(wù)器產(chǎn)生的中間計費(fèi)包中的

IPv6相關(guān)信息,如用戶IPv6地址和當(dāng)前IPv6使用的流量等。

在用戶下線時,記錄用戶的下線時間,并支持在用戶下線計費(fèi)包中的IPv6

相關(guān)Radius屬性,如用戶IPv6地址、用戶IPv6使用流量等。

考慮到用戶的使用習(xí)慣,用戶登錄時如果沒帶域名做如下處理:雙棧用戶如

果沒帶域名登錄,按普通IPv4用戶處理;純IPv6用戶登錄時沒寫域名,按用戶一--[批注[SY訃給用戶分配何種地址?依據(jù)什么?

名錯誤處理。其他寫錯域名時,按與VPN用戶同等處理。

4.2數(shù)據(jù)格式定義

為支持IPv6功能,認(rèn)證服務(wù)器需要增加相關(guān)的數(shù)據(jù)類型,主要包括以下數(shù)

據(jù)類型,但不限于這幾種類型。

(1)IPv6地址(IPv6Address):IPv6地址為128比特以16字節(jié)數(shù)據(jù)格

第6頁共34頁

編號:

時間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第7頁共34頁

式表不。

(2)IPv6地址前綴(IPv6Prefix):IPv6地址前綴由2部分組成。第一部分

為地址前綴(Prefix),數(shù)據(jù)形式為0—128比特,以16字節(jié)表示,第二部分為前

綴的長度(Length),格式為1字節(jié),取值范圍為0—128。

(3)IPv6接口ID(IPv6InterfaceID):64比特,以8字節(jié)數(shù)據(jù)格式表示。

(4)1P用戶類型:標(biāo)志用戶的IP類型,有普通IPv4用戶、雙棧用戶、純IPv6

用戶3種類型。格式規(guī)定為1字節(jié),取值定義:()為普通用戶,1為雙棧用戶,2

為純IPv6用戶。

4.3L2Tp隧道

在VPN企業(yè)用戶表中定義支持IPv6功能BRAS的域名,地址,隧道密碼

等參數(shù)。當(dāng)需要支持雙棧或純IPv6的用戶在不支持IPv6的BRAS設(shè)備接入網(wǎng)

絡(luò)時,可以動態(tài)或靜態(tài)提供L2Tp隧道接入支持IPv6的LNS設(shè)備參數(shù),為用戶

建立IPv6的PPPoE連接。認(rèn)證系統(tǒng)需要支持LNS參數(shù)的列表,以實(shí)現(xiàn)負(fù)載均

衡或其它功能。

認(rèn)證流程中,在RADIUS屬性解析中增加相關(guān)IPv6屬性解析。根據(jù)IPV6

地址生成IPV6格式的地址字符串以及根據(jù)IPv6地址字符串生成IPV6地址。

用戶通過隧道上網(wǎng)時,在LAC和LNS中都會發(fā)送計費(fèi)賬單,需要排除LAC

的賬單。

4.4PROXY

一般PROXYRADIUS同時具有PROXY和SERVER的角色,因此要求

PROXYRADIUS必須具有和RADIUS服務(wù)器相同的功能。

能把從接入服務(wù)器發(fā)送的帶有IPv6相關(guān)屬性的報文轉(zhuǎn)發(fā)到RADIUS服務(wù)器。

能把RADIUS服務(wù)器回應(yīng)的帶有IPv6屬性的報文轉(zhuǎn)發(fā)給接入服務(wù)器。

PROXY不允許過濾任何IPv6相關(guān)的Radius屬性。

接入服務(wù)器與PROXY之間的傳送協(xié)議可采用IPv4或IPv6,PROXY與

RADIUS服務(wù)器之間的傳送協(xié)議也可采用IPv4或IPv6,二段傳送協(xié)議是獨(dú)立的,

并不要求兩者保持一致。

第7頁共34頁

編號:

易間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第8頁共34頁

4.5IPv6相關(guān)公共RADIUS屬性

認(rèn)證系統(tǒng)必須擴(kuò)充RADIUS屬性,支持RFC3162所規(guī)定的6個RADIUS

屬性和RFC4818規(guī)定的1個屬性。

1、NAS-IPv6-AddresSo屬性號95,報文長度18,Address為16字節(jié)IPv6

地址,是請求認(rèn)證的用戶所使用的接入服務(wù)器的IPv6地址。是由接入服務(wù)器在

Access-Request報文中發(fā)送給RADIUS服務(wù)器的。其報文格式如下:

0123

01234567890123456789012345678901

TypeLengthAddress

Address(續(xù)

Address(續(xù))

Address(續(xù))

Address(續(xù))

2、Framed-lnterface-ldo屬性號96,報文長度10,Interface-Id為8字節(jié)

IPv6接口ID,是IPV6CP協(xié)商后的接口ID,用以指示為用戶配置的IPv6接口

IDo該屬性可用于Access-Accept報文中。如果該ID在IPv6cp過程中已協(xié)商

成功,則由接入服務(wù)器通過Access-Request報文發(fā)送給RADIUS服務(wù)器,

RADIUS應(yīng)采用該接口ID值。其報文格式如下:

0123

01234567890123456789012345678901

TypeLengthInterface-Id

Interface-Id(續(xù))

Interface-Id(續(xù))

3、Framed-IPv6-PrefiXo屬性號97,報文長度4—20,Reserved固定為0,

Prefix-Length按比特為單位指示Prefix的長度。Prefix為0—128比特的IPv6

地址前綴,超出Prefix-Length以外的比特位用0填充。該屬性可用于

第8頁共34頁

編號:

時間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第9頁共34頁

Access-Accept報文中,并且可出現(xiàn)多次。該屬性可用于Access-Request報文

中,請求RADIUS服務(wù)器采用該前綴值,RADIUS服務(wù)器可以認(rèn)同采用該值,

但不是必須使用該值。不必發(fā)送帶有相同前綴的Framed-IPv6-Route屬性。其

報文格式如下:

0123

01234567890123456789012345678901

Prefix-Lengt

TypeLengthReserved

h

Prefix

Prefix(續(xù))

Prefix(續(xù))

Prefix(續(xù))

4、Login-IPv6-Host0屬性號98,報文長度18,Address為16字節(jié)IPv6

地址,是允許訪問服務(wù)器的主機(jī)的IPv6地址。當(dāng)包含Login-Service屬性時,指

示用以連接用戶的系統(tǒng)。該屬性可用于Access-Accept報文中,也可用于

Access-Request報文中,請求接入服務(wù)器希望連接的主機(jī),RADIUS服務(wù)器可

以認(rèn)同采用該值,但不是必須使用該值。其報文格式如下:

0123

01234567890123456789012345678901

TypeLengthAddress

Address(續(xù)

Address(續(xù))

Address(續(xù))

Address(續(xù))

其中,Address為全1時,接入服務(wù)器應(yīng)允許用戶選擇連接的地址或用戶名。

Address為全。時,由接入服務(wù)器選擇連接到用戶的主機(jī)。其他值為接入服務(wù)器

連接的用戶的地址。

第9頁共34頁

編號:

易間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第1。頁共34頁

5、Framed-1Pv6-Routeo屬性號99,報文長度大于3,Text字段表明IPv6

的路由信息。該屬性提供了在接入服務(wù)器上配置的路由信息,該屬性用于

Access-Accept報文中,并且可出現(xiàn)多次。報文格式如下:

012

012345678901234567890123

TypeLengthText...

其中,Text為1或多個字節(jié),其內(nèi)容與實(shí)現(xiàn)相關(guān),是一個可識別的字符串,

而且不能影響協(xié)議的正常運(yùn)行。對IPv6路由,其形式應(yīng)包含目標(biāo)地址前綴、一

個斜線(/)后跟十進(jìn)制的前綴長度、一個空格、網(wǎng)關(guān)地址、一個空格、一或多

個metrico

6、Framed-IPv6-PooL屬性號100,報文長度大于3,Sthng字段表明接

入服務(wù)器給用戶分配的IPv6地址前綴的前綴池的名字。如果接入服務(wù)器不支持

多個前綴池,則忽略該屬性。其報文格式如下:

012

012345678901234567890123

TypeLengthString...

7、Delegated-IPv6-PrefiXo屬性號123,報文長度4—20,Reserved固定

為0,Prefix-Length按比特為單位指示授權(quán)的IPv6前綴的長度。本屬性用于用

戶為其用戶網(wǎng)絡(luò)分配IPv6地址所用的IPv6地址前綴。該屬性可用于

Access-Accept報文中,并且可出現(xiàn)多次。該屬性可用于Access-Request報文

中,請求RADIUS服務(wù)器采用該前綴值,RADIUS服務(wù)器可以認(rèn)同采用該值,

但不是必須使用該值。其報文格式如下:

0123

01234567890123456789012345678901

Prefix-Lengt

TypeLengthReserved

h

Prefix

第10頁共34頁

編號:

時間:2021年x月x日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第11頁共34頁

Prefix(續(xù))

Prefix(續(xù))

Prefix(續(xù))

Prefix為0—128比特的IPv6地址前綴,超出Prefix-Length以外的比特位

用0填充。

表1列出了以上屬性可能在哪種報文中出現(xiàn)的情況:

表1、IPv6相關(guān)Radius屬性列表

RequestAcceptRejectChallengeAccounting#Attribute

Request

0-10000-195NAS-IPv6-Address

0-10-100o-l96Framed-Interface-Id

0+0+000+97Framed-1Pv6-Prefix

0+0+000+98Login-IPv6-Host

00+000+99Framed-IPv6-Route

0o-l00o-l100Framed-IPv6-Poo1

0+0+000+123Delegated-IPv6-Prefix

上表中各條目的含義如下:

0該屬性不出現(xiàn);

0+可出現(xiàn)0到多個該屬性的條目;

0-1可出現(xiàn)?;?個該屬性的條目;

1該屬性出現(xiàn)1次;

1+可出現(xiàn)1到多個該屬性的條目。

4.6IPv6私有屬性擴(kuò)展

中國電信Radius私有屬性(Vendor屬性26)擴(kuò)展如表2所示:

表2、Radius私有屬性擴(kuò)展[表|批注[SY4]:無廠家支持

第"頁共34頁

編號:

時間:2021年x月x日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第12頁共34頁

子屬性

子屬性名最大長度類型說明備注

中國電信Vendor擴(kuò)展:Vendor-ID標(biāo)志為20942

目前有6種定義:

0—公網(wǎng)IPv4用

戶;

指明1----私網(wǎng)IPv4用

用戶戶;

USER-ADDRESS-TInteg接入2——公網(wǎng)雙棧用

1204

YPEer的地戶;

址類3----私網(wǎng)雙棧用

型戶;

4----DS-Lite用

戶;

5—純IPv6用戶

該字段包含映射時

間,公網(wǎng)地址、起

始端口號、終止端

存放口號、用戶地址,

各種各字段采用“;”分

CGN地割。

USER-ADDRESS-LStrin

121253址轉(zhuǎn)例舉格式為:

0Gg

換日映射時間

志信(YY/MM/DD/HH/MM

息/SS);公網(wǎng)地址

(IPv4地址);起

始端口號;終止端

口號;用戶地址(可

第12頁共34頁

編號:

時間:2021年x月x日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第13頁共34頁

以是IPv4或IPv6

地址)

5計費(fèi)采集部分對IPv6的擴(kuò)充

計費(fèi)采集部分與認(rèn)證授權(quán)部分相同。服務(wù)開通系統(tǒng)為IPv6用戶(或雙棧用

戶)開戶后,將IPv6的用戶信息傳送給計費(fèi)采集系統(tǒng)。該系統(tǒng)必須能接收和識

別IPv6用戶信息。

計費(fèi)采集系統(tǒng)必須對用戶加以區(qū)分,標(biāo)識用戶為普通IPv4用戶、純IPv6用

戶、及雙棧用戶。

當(dāng)用戶發(fā)起呼叫連接時,計費(fèi)采集系統(tǒng)必須能識別是不同類型的用戶。

原始話單在本地處理時,應(yīng)區(qū)分不同類型的的用戶標(biāo)識。

傳遞給計費(fèi)系統(tǒng)的詳單應(yīng)區(qū)分不同類型的用戶標(biāo)識。

用戶通過隧道上網(wǎng)時,在LAC和LNS中都會發(fā)送計費(fèi)賬單,需要排除LAC

的賬單。

6認(rèn)證系統(tǒng)用戶在線信息表要求

認(rèn)證系統(tǒng)必須在用戶接入時判斷用戶的接入類型(如純公網(wǎng)IPv4、私網(wǎng)IPv4、

公網(wǎng)雙棧、私網(wǎng)雙棧、DS-Lite,純IPv6),并在用戶在線信息表中記錄用戶上線

的IP地址。用戶在線IP地址可以由接入服務(wù)器發(fā)送的上線包、中間計費(fèi)包、或

下線包中的相關(guān)IP地址屬性提?。↖Pv6地址為:Framed-IPv6-Prefix、

Framed-Interface-id屬性組合而成;IPv4地址為:FramedTP-Address屬性攜

帶)。其中,IPv6地址由前綴和接口地址合成完整的IPv6地址;IPv4地址直接

第13頁共34頁

編號:

易間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第14頁共34頁

從Radius屬性中提取。

7周邊系統(tǒng)接口

認(rèn)證系統(tǒng)擴(kuò)充支持IPv6后,與其他系統(tǒng)之間接口也要有相應(yīng)的擴(kuò)充,相關(guān)

系統(tǒng)主要包括:服務(wù)開通系統(tǒng)、網(wǎng)絡(luò)設(shè)備、計費(fèi)系統(tǒng)等。其接口關(guān)系圖如圖2

所示:

7.1與服務(wù)開通系統(tǒng)的接口.批注[SY5]:各地廠家不一樣,需進(jìn)行協(xié)商

IPv6用戶或雙棧用戶在服務(wù)開通系統(tǒng)開戶后,需要把相關(guān)的用戶名和接入

業(yè)務(wù)標(biāo)識傳遞給認(rèn)證系統(tǒng),包括認(rèn)證、計費(fèi)部分。

7.2與網(wǎng)絡(luò)設(shè)備的接口

認(rèn)證系統(tǒng)與網(wǎng)絡(luò)設(shè)備的接口主要是與接入服務(wù)器的接口。

認(rèn)證系統(tǒng)必須能識別接入用戶本地的接入服務(wù)器是否支持IPv6接入,根據(jù)

不同情況進(jìn)行相應(yīng)的處理。

第14頁共34頁

編號:

時間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第15頁共34頁

接入服務(wù)器與認(rèn)證服務(wù)器之間傳送的RUDIUS報文(包括認(rèn)證包、上線計

費(fèi)包、中間計費(fèi)包和下線計費(fèi)包),必須增加支持RFC3162和RFC4818所規(guī)定

的RADIUS屬性。

7.3與計費(fèi)系統(tǒng)的接口

計費(fèi)采集系統(tǒng)與計費(fèi)系統(tǒng)之間的接口必須擴(kuò)充,以支持對IPv6用戶或雙棧

用戶的標(biāo)識。支持在原始話單中傳送用戶IPv6地址信息和IPv6使用的流量信息。

在傳送原始單時,原始話單中必須區(qū)分公網(wǎng)IPv4用戶、私網(wǎng)IPv4用戶、公網(wǎng)雙

棧用戶、私網(wǎng)雙棧用戶、純IPv6用戶、及DS-Ute用戶。

8AAA系統(tǒng)IPv6過渡技術(shù)支持

8.1概述

8.1.1IPv6過渡技術(shù)中認(rèn)證與地址溯源概述

中國電信認(rèn)證/計費(fèi)系統(tǒng)(AAA)位于城域網(wǎng)核心,承擔(dān)用戶的接入認(rèn)證和產(chǎn)

生計費(fèi)原始信息(話單)。同時,通過AAA系統(tǒng)可以提供用戶地址的溯源、反查

等功能。傳統(tǒng)IPv4網(wǎng)絡(luò)認(rèn)證與地址溯源流程如圖3所示:

第15頁共34頁

編號:

時間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第16頁共34頁

圖3、IPv4網(wǎng)絡(luò)認(rèn)證與地址溯源流程

由于IPv6過渡技術(shù)中采用了地址轉(zhuǎn)換技術(shù)。因此,需要AAA系統(tǒng)能夠提供

用戶上網(wǎng)過程中,地址轉(zhuǎn)換前后的對應(yīng)關(guān)系,保證用戶地址可以溯源。用戶地址

溯源分為兩種,第一種為在線用戶地址溯源,要求在用戶在線狀態(tài)下,根據(jù)公網(wǎng)

IPv4、IPv6地址和端口信息反查用戶的帳號信息;第二種為離線用戶地址溯源,

要求系統(tǒng)能夠保存一定時間內(nèi)的用戶上網(wǎng)信息和用戶地址轉(zhuǎn)換日志信息,提供反

查用戶歷史上網(wǎng)信息的功能。

地址轉(zhuǎn)換網(wǎng)關(guān)是完成過渡技術(shù)中地址轉(zhuǎn)換的關(guān)鍵設(shè)備,在網(wǎng)絡(luò)中地址轉(zhuǎn)換網(wǎng)

關(guān)可以采用集中部署在城域網(wǎng)核心或分布式部署在業(yè)務(wù)接入點(diǎn)的BRAS/SR設(shè)備

上。集中式部署與分布式部署的認(rèn)證和地址溯源流程沒有差異。其認(rèn)證和地址溯

源總體流程如圖4所示:

第16頁共34頁

編號:

易間:2021年X月X日書山有路勤為徑,學(xué)海無涯苦作舟頁碼:第17頁共34頁

—用戶接入撥號PPPoELCPf

認(rèn)證請求

(RadiusAccessRequest)

_認(rèn)證成功_

(RadiusAccept)

私網(wǎng)IPM地址或

?公網(wǎng)IPv6協(xié)商(IPCP)

上線計費(fèi)包(攜帶用戶端地址

'IPv4私網(wǎng)〃Pv6公網(wǎng))

成在線

態(tài)

表項(xiàng)

地址溯源請求

(含轉(zhuǎn)換后地址和端口)一

重點(diǎn)

改造

地轉(zhuǎn)換

模塊

關(guān)

查詢

——返回用戶帳號信息一?

圖4、過渡技術(shù)場景認(rèn)證與地址溯源總體流程

由于過渡技術(shù)中存在地址轉(zhuǎn)換的過程,因此AAA系統(tǒng)需要進(jìn)行在線狀態(tài)表

項(xiàng)和地址轉(zhuǎn)換關(guān)系查詢的改造。同時,根據(jù)過渡技術(shù)部署方案的不同,AAA系

統(tǒng)還必須在采用固定地址、端口映射的方式卜維護(hù)私有地址與公有地址和端口映

射關(guān)系表,以及在動態(tài)映射部署方式下,通過AAA或Log服務(wù)器查詢動態(tài)地址

和端口映射關(guān)系的接口。

8.1.2過渡技術(shù)的四種地址溯源方案

過渡技術(shù)部署方案有地址、端口固定映射部署方式和地址、端口動態(tài)映射部

署方式兩種,針對這兩種部署方案,有四種地址溯源方案。方案一;庶用由CGN

設(shè)備在建立端口映射關(guān)系恬,發(fā)送syslog日志信息的方式,將端口/端口段映射1f批注[SY6]:集中式

關(guān)系發(fā)送到日志服務(wù)器,AAA系統(tǒng)在接收溯源請求后,通過syslog服務(wù)器查詢

到動態(tài)地址映射關(guān)系,從而完成地址溯源;方案二:CGN設(shè)備通過Radius報文

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論