IPv6和IPv4寬帶認證系統(tǒng)雙棧支撐研究

向 亮，許洪東，陳子琨，周賽應(yīng)

（中國電信股份有限公司廣東分公司網(wǎng)絡(luò)監(jiān)控維護中心 廣州510081）

1 引言

至2011年底，中國電信寬帶用戶總數(shù)達到了7 681萬，且在繼續(xù)增多。各省分公司的認證鑒權(quán)系統(tǒng)通常提供了較強的IP網(wǎng)業(yè)務(wù)認證計費功能，包括注冊寬窄帶用戶、主叫用戶、漫游用戶、卡類用戶、VPDN用戶、無線Wi-Fi用戶等各種客戶類型的業(yè)務(wù)，提供PPP、PPPoE、DHCP+Web等主流的認證方式。隨著用戶量的進一步膨脹，IPv6業(yè)務(wù)支撐上線勢在必行。重點需要盡早對組網(wǎng)、業(yè)務(wù)應(yīng)用、IPv6和IPv4雙業(yè)務(wù)混合支撐等幾個重點方面進行探討和研究。

2 廣東寬帶認證平臺現(xiàn)狀和IPv6的支撐重點

以中國電信股份有限公司廣東分公司（以下簡稱廣東電信）寬帶認證系統(tǒng)為例，固網(wǎng)認證鑒權(quán)系統(tǒng)可滿足千萬級規(guī)模的接入認證能力，該系統(tǒng)具備AAA認證、計費功能，系統(tǒng)支撐的寬帶用戶總量達到1 500萬戶，系統(tǒng)支持的各類用戶總量達到2 000萬戶。系統(tǒng)采用RADIUS和Diameter協(xié)議實現(xiàn)寬窄帶、卡類用戶、VPDN用戶、無線Wi-Fi用戶的認證計費管理。廣東電信系統(tǒng)采用省級集中的方式部署，采用主備認證服務(wù)、緩存認證服務(wù)等保障機制，具備高可靠性和穩(wěn)定性。

IPv6的支撐重點在于，現(xiàn)有的網(wǎng)絡(luò)設(shè)備和系統(tǒng)均負載在IPv4的通信協(xié)議之下。需要梳理業(yè)務(wù)實現(xiàn)流程，配合城域網(wǎng)設(shè)備進行IPv6改造，完成認證鑒權(quán)系統(tǒng)升級研究，使認證鑒權(quán)系統(tǒng)能夠在協(xié)議層面支持寬帶接入服務(wù)器等網(wǎng)絡(luò)關(guān)鍵網(wǎng)元設(shè)備，實現(xiàn)對IPv4/IPv6公眾客戶上網(wǎng)的認證鑒權(quán)、計費賬務(wù)、審計管理、業(yè)務(wù)管理和統(tǒng)計分析等功能的支撐。因此，需要對認證鑒權(quán)系統(tǒng)基礎(chǔ)設(shè)施和應(yīng)用程序進行雙棧改造，驗證認證鑒權(quán)系統(tǒng)雙棧改造的關(guān)鍵技術(shù)，使認證鑒權(quán)系統(tǒng)能夠提供IPv6和IPv4的網(wǎng)絡(luò)訪問，同時應(yīng)用程序可以采用IPv6和IPv4進行通信。

3 IPv6和IPv4雙棧支撐的核心內(nèi)容

3.1 業(yè)務(wù)支撐

實現(xiàn)寬帶用戶的IPv6網(wǎng)絡(luò)接入，首先需要在寬帶用戶受理時，完成寬帶用戶賬號的 “普通寬帶”（IPv4 only）和“雙棧寬帶”（IPv4和IPv6）標識。如何區(qū)分普通用戶（只分配IPv4地址）和雙棧用戶（同時分配IPv4地址和IPv6地址）是業(yè)務(wù)支撐的關(guān)鍵環(huán)節(jié)。建議在業(yè)務(wù)受理端由CRM業(yè)務(wù)系統(tǒng)受理純IPv4用戶、IPv4/IPv6雙棧用戶的寬帶業(yè)務(wù)，通過接口向AAA系統(tǒng)開戶，并標識用戶業(yè)務(wù)類型為純IPv4或 者IPv4/IPv6雙 棧。開 戶 成 功 后，AAA系 統(tǒng) 的RADIUS服務(wù)器能夠正確識別并解析BRAS設(shè)備發(fā)送的包含IPv6特定屬性（RFC3162/RFC4818）的RADIUS報文，并調(diào)用新增的IPv6處理模塊程序完成認證、授權(quán)和計費處理流程。

IPv6和IPv4雙棧實施過程中存在一個比較大的問題，對于集中式平臺，不管采用何種方式改造實施，都可能造成對現(xiàn)有純IPv4用戶的業(yè)務(wù)影響，因此在系統(tǒng)升級部署時，必須盡可能減少對現(xiàn)有業(yè)務(wù)的沖擊，前期試點可考慮獨立部署。

目前仍有不少設(shè)備僅支持IPv4協(xié)議，認證系統(tǒng)本身傳遞報文時要確認對方的協(xié)議棧，在具體實施時可能引起混亂，因此建議系統(tǒng)的IPv6進程分為兩個階段進行。

·現(xiàn)階段以IPv4訪問為主，所傳遞的報文內(nèi)容包含了所需的IPv6屬性。網(wǎng)絡(luò)設(shè)施還是采用IPv4的方式。

·將來設(shè)備完全對IPv6的支持成熟后，增加系統(tǒng)本身的IPv6化，包括系統(tǒng)管理、系統(tǒng)間報文的傳遞等。

建議采用擴展標識的方法進行IPv4/IPv6雙棧用戶的區(qū)分，在AAA系統(tǒng)內(nèi)部對用戶關(guān)聯(lián)該擴展標識區(qū)分用戶使用的IP版本。建議不在域名上加入標志來區(qū)分，域名帶有業(yè)務(wù)含義，采用域名標志區(qū)分對系統(tǒng)改造大、業(yè)務(wù)易復(fù)雜化，且不利于IPv4向IPv6的過渡。

對于IPv4、IPv6、IPv4/IPv6雙協(xié)議棧的使用用戶，通過判斷前端受理系統(tǒng)提供的擴展屬性，認證鑒權(quán)系統(tǒng)可以把用戶訂購的產(chǎn)品和用戶使用的協(xié)議關(guān)聯(lián)起來。在認證過程中，根據(jù)用戶訂購的產(chǎn)品可以判斷出用戶使用的協(xié)議類型，并進行相應(yīng)的認證和授權(quán)過程。對于原有的IPv4地址用戶，其流程不變；對于使用純IPv6地址的用戶，將下發(fā)IPv6地址；對于使用IPv4/IPv6雙協(xié)議棧的用戶，將同時下發(fā)IPv6和IPv4地址。

針對過往IPv6試點研究的經(jīng)驗，支持IPv6的認證鑒權(quán)系統(tǒng)研究具體可歸為以下7個方面。

·認證子系統(tǒng)增加IPv6認證支持。對于使用IPv4或者IPv4/IPv6雙協(xié)議棧的用戶，認證子系統(tǒng)需要增加對RFC定義的IPv6屬性的解釋和識別，需要把IPv6屬性加入下網(wǎng)請求中，以提供給IPDR（清單預(yù)處理程序）程序處理。

·計費子系統(tǒng)需要增加對IPv6屬性的支持。對于IPDR，需要增加對IPv6屬性的支持，填寫完整的包括IPv6字段的清單。

·業(yè)務(wù)子系統(tǒng)增加對IPv6字段的支持。對于業(yè)務(wù)子系統(tǒng)中涉及IP字段的功能，包括端口綁定、查是否在線等，需要增加IPv6字段的支持。

·增加IPv6業(yè)務(wù)發(fā)展的統(tǒng)計分析功能。

·數(shù)據(jù)庫表需要擴展字段，以支持新的IPv6字段。

·產(chǎn)品規(guī)格配置數(shù)據(jù)支持IPv6的認證授權(quán)邏輯。

·與BRAS、前端受理系統(tǒng)聯(lián)調(diào)。

3.2 系統(tǒng)支撐

認證鑒權(quán)系統(tǒng)底層基礎(chǔ)設(shè)施支撐IPv6改造，使認證鑒權(quán)系統(tǒng)能夠提供IPv6和IPv4的訪問，同時能夠通過IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)與網(wǎng)元和周邊系統(tǒng)進行通信，主要的影響點包括以下5方面。

（1）OS升級

將不能支持IPv6的操作系統(tǒng)版本，升級采用適合的操作系統(tǒng)版本，使認證鑒權(quán)系統(tǒng)的底層OS能夠支持IPv6。

（2）中間件軟件升級

對不能支持IPv6的中間件軟件進行升級替代，使認證鑒權(quán)系統(tǒng)使用的中間件軟件能夠提供IPv6服務(wù)。

（3）數(shù)據(jù)庫軟件升級

對不能支持IPv6的數(shù)據(jù)庫軟件版本進行升級改造，使認證鑒權(quán)系統(tǒng)使用的數(shù)據(jù)庫能夠提供IPv6服務(wù)。

（4）組網(wǎng)網(wǎng)絡(luò)設(shè)備升級

對不能支持IPv6的網(wǎng)絡(luò)設(shè)備進行升級或替換，使認證鑒權(quán)系統(tǒng)使用的網(wǎng)絡(luò)設(shè)備能夠支持IPv6。

（5）應(yīng)用程序升級改造

對涉及網(wǎng)絡(luò)接口調(diào)用的程序和接口進行功能擴展、升級或改造，使應(yīng)用程序能夠在IPv6網(wǎng)絡(luò)中正常提供服務(wù)。

4 具體研究內(nèi)容

如圖1所示，認證鑒權(quán)系統(tǒng)一般包括應(yīng)用層、中間層、基礎(chǔ)設(shè)施層。應(yīng)用層通過接口層的系統(tǒng)框架管理模塊調(diào)用各個底層通信模塊，中間層將數(shù)據(jù)分組后交給操作系統(tǒng)。操作系統(tǒng)按照封裝要求形成IPv4/IPv6數(shù)據(jù)分組，通過網(wǎng)絡(luò)發(fā)送到目標服務(wù)器。目標服務(wù)器將數(shù)據(jù)逐層解分組后使應(yīng)用得到所需的數(shù)據(jù)內(nèi)容。

（1）RADIUS

RADIUS需要對字典擴充新的屬性，支持RFC 3162所規(guī)定的6個RADIUS屬性，并增加識別邏輯。下面是這6個屬性的定義和解釋。

①NAS-IPv6-Address

屬性號95，報文長度18，Address為16 byte IPv6地址，是請求認證的用戶所使用的接入服務(wù)器的IPv6地址。

②Framed-Interface-ID

屬性號96，報文長度10，Interface-ID為8 byte IPv6接口ID，是IPv6CP協(xié)商后的接口ID，用以指示為用戶配置的IPv6接口ID。

圖1 系統(tǒng)架構(gòu)

③Framed-IPv6-Prefix

屬 性 號97，報 文 長 度4～20，Reserved固 定 為0，Prefix-Length按比特為單位指示Prefix的長度。Prefix為0～128 bit的IPv6地址前綴，超出Prefix-Length以外的比特位用0填充。

④Login-IPv6-Host

屬 性 號98，報 文 長 度18，Address為16 byte IPv6地址，是允許訪問服務(wù)器的主機的IPv6地址。當(dāng)包含Login-Service屬性時，指示用以連接用戶的系統(tǒng)。

⑤Framed-IPv6-Route

屬性號99，報文長度大于3，text字段表明IPv6的路由信息。該屬性提供了在接入服務(wù)器上配置的路由信息。

⑥Framed-IPv6-Pool

屬性號100，報文長度大于3，String字段表明接入服務(wù)器給用戶分配的IPv6地址前綴的前綴池的名字。

RADIUS增加對新增6個屬性的轉(zhuǎn)換處理邏輯，前端RADIUS識別出這些屬性后，按照系統(tǒng)內(nèi)部的通信協(xié)議轉(zhuǎn)換成內(nèi)部認證屬性提供給后端服務(wù)器進行認證流程。

（2）業(yè)務(wù)認證服務(wù)

增加IPv6屬性的支持；增加對IPv6屬性比較的邏輯，根據(jù)用戶擴展屬性標識，區(qū)分出IPv4、IPv6或者IPv4/IPv6雙協(xié)議棧的用戶；增加IPv6地址池。

（3）在線服務(wù)

用戶在線信息數(shù)據(jù)結(jié)構(gòu)中增加IPv6字段，根據(jù)IP字段查找用戶信息的功能，要支持IPv6的IP地址格式。

（4）預(yù)付費處理服務(wù)

對用戶加以區(qū)分，標識用戶為普通IPv4用戶、純IPv6用戶及雙棧用戶；當(dāng)用戶發(fā)起呼叫連接時，識別出不同類型的用戶；擴展對IPv6字段屬性的解釋支持，報文解析擴充兼容IPv4/IPv6，在清單字段中增加IPv6地址字段；報文轉(zhuǎn)發(fā)增加IPv6相關(guān)屬性。

（5）清單處理服務(wù)

①清單采集服務(wù)

計費采集系統(tǒng)對用戶加以區(qū)分，標識用戶為普通IPv4用戶、純IPv6用戶及雙棧用戶。當(dāng)用戶發(fā)起呼叫連接時，計費采集系統(tǒng)識別出不同類型的用戶；原始清單在本地處理時，區(qū)分不同類型的用戶標識；增加對IPv6字段屬性的解釋支持，報文解析擴充兼容IPv4/IPv6，在清單字段中增加IPv6地址字段，清單去重、清單拆分匹配支持IPv6地址。

②清單入庫服務(wù)

擴充兼容IPv4/IPv6，將生成的支持IPv4/IPv6的清單文件導(dǎo)入數(shù)據(jù)倉庫，作為查詢、統(tǒng)計、綁定的數(shù)據(jù)源。

（6）在線計費協(xié)議（OCP）處理服務(wù)

①修改地址格式

根據(jù)與OCS系統(tǒng)協(xié)商所采用的通信協(xié)議對協(xié)議報文中所出現(xiàn)的IP地址格式進行區(qū)分，判斷是32 bit（IPv4）還是128 bit（IPv6）的地址。并根據(jù)所使用的IP地址類型標識地址AVP的頭兩個8位組的值，地址AVP的頭兩個8位組為AddressType，其包含一個在IANA的“地址簇號碼”中定義的地址簇。AddressType用來區(qū)別剩下8位組的內(nèi)容和格式。

涉及的交互命令請求包括DWR/DWA、CER/CEA、CCR/CCA。

③增加對IPv6字段屬性的解釋支持

在清單字段中增加IPv6地址字段。

（7）內(nèi)存數(shù)據(jù)管理服務(wù)

相應(yīng)地更改在內(nèi)存中管理的涉及IP地址數(shù)據(jù)的表定義描述文件，以適應(yīng)在關(guān)系數(shù)據(jù)中對IPv6地址的描述。

（8）業(yè)務(wù)管理服務(wù)

主要包括開銷戶管理、在線管理、查詢管理、故障處理、異步隊列等多個模塊。

5 結(jié)束語

本文提出的IPv4與IPv6雙棧支撐研究結(jié)果，是廣東電信省網(wǎng)絡(luò)監(jiān)控維護中心結(jié)合實際工作經(jīng)驗及實驗環(huán)境實踐驗證所得出的結(jié)論，對于目前集團安排組織的廣東電信IPv6業(yè)務(wù)試點工作有很大的參考意義和實際價值。對于類似廣東電信這樣典型的固網(wǎng)AAA接入認證系統(tǒng)改造，從業(yè)務(wù)管理、基本認證協(xié)議、清單采集及業(yè)務(wù)流程規(guī)范的制度都提出了詳細的措施，符合對今后IPv6和IPv4雙棧業(yè)務(wù)支撐的建設(shè)思路，同時也能夠為CDMA網(wǎng)AAA系統(tǒng)、行業(yè)應(yīng)用AAA接入認證系統(tǒng)的改造提供借鑒經(jīng)驗。

1 姚遠.基于IPv6校園網(wǎng)的過渡技術(shù)研究與實現(xiàn).武漢理工大學(xué)碩士學(xué)位論文，2009

2 雷震洲.下一代服務(wù)與IPv6.現(xiàn)代電信科技,2004(1):2～4

3 王莉.基于IPv6網(wǎng)絡(luò)技術(shù)的文獻信息服務(wù)平臺的實現(xiàn)及關(guān)鍵技術(shù).現(xiàn)代圖書情報技術(shù),2005,21(8):32～36