向 亮，許洪東，陳子琨，周賽應

（中國電信股份有限公司廣東分公司網絡監(jiān)控維護中心 廣州510081）

1 引言

至2011年底，中國電信寬帶用戶總數達到了7 681萬，且在繼續(xù)增多。各省分公司的認證鑒權系統通常提供了較強的IP網業(yè)務認證計費功能，包括注冊寬窄帶用戶、主叫用戶、漫游用戶、卡類用戶、VPDN用戶、無線Wi-Fi用戶等各種客戶類型的業(yè)務，提供PPP、PPPoE、DHCP+Web等主流的認證方式。隨著用戶量的進一步膨脹，IPv6業(yè)務支撐上線勢在必行。重點需要盡早對組網、業(yè)務應用、IPv6和IPv4雙業(yè)務混合支撐等幾個重點方面進行探討和研究。

2 廣東寬帶認證平臺現狀和IPv6的支撐重點

以中國電信股份有限公司廣東分公司（以下簡稱廣東電信）寬帶認證系統為例，固網認證鑒權系統可滿足千萬級規(guī)模的接入認證能力，該系統具備AAA認證、計費功能，系統支撐的寬帶用戶總量達到1 500萬戶，系統支持的各類用戶總量達到2 000萬戶。系統采用RADIUS和Diameter協議實現寬窄帶、卡類用戶、VPDN用戶、無線Wi-Fi用戶的認證計費管理。廣東電信系統采用省級集中的方式部署，采用主備認證服務、緩存認證服務等保障機制，具備高可靠性和穩(wěn)定性。

IPv6的支撐重點在于，現有的網絡設備和系統均負載在IPv4的通信協議之下。需要梳理業(yè)務實現流程，配合城域網設備進行IPv6改造，完成認證鑒權系統升級研究，使認證鑒權系統能夠在協議層面支持寬帶接入服務器等網絡關鍵網元設備，實現對IPv4/IPv6公眾客戶上網的認證鑒權、計費賬務、審計管理、業(yè)務管理和統計分析等功能的支撐。因此，需要對認證鑒權系統基礎設施和應用程序進行雙棧改造，驗證認證鑒權系統雙棧改造的關鍵技術，使認證鑒權系統能夠提供IPv6和IPv4的網絡訪問，同時應用程序可以采用IPv6和IPv4進行通信。

3 IPv6和IPv4雙棧支撐的核心內容

3.1 業(yè)務支撐

實現寬帶用戶的IPv6網絡接入，首先需要在寬帶用戶受理時，完成寬帶用戶賬號的 “普通寬帶”（IPv4 only）和“雙棧寬帶”（IPv4和IPv6）標識。如何區(qū)分普通用戶（只分配IPv4地址）和雙棧用戶（同時分配IPv4地址和IPv6地址）是業(yè)務支撐的關鍵環(huán)節(jié)。建議在業(yè)務受理端由CRM業(yè)務系統受理純IPv4用戶、IPv4/IPv6雙棧用戶的寬帶業(yè)務，通過接口向AAA系統開戶，并標識用戶業(yè)務類型為純IPv4或 者IPv4/IPv6雙 棧。開 戶 成 功 后，AAA系 統 的RADIUS服務器能夠正確識別并解析BRAS設備發(fā)送的包含IPv6特定屬性（RFC3162/RFC4818）的RADIUS報文，并調用新增的IPv6處理模塊程序完成認證、授權和計費處理流程。

IPv6和IPv4雙棧實施過程中存在一個比較大的問題，對于集中式平臺，不管采用何種方式改造實施，都可能造成對現有純IPv4用戶的業(yè)務影響，因此在系統升級部署時，必須盡可能減少對現有業(yè)務的沖擊，前期試點可考慮獨立部署。

目前仍有不少設備僅支持IPv4協議，認證系統本身傳遞報文時要確認對方的協議棧，在具體實施時可能引起混亂，因此建議系統的IPv6進程分為兩個階段進行。

·現階段以IPv4訪問為主，所傳遞的報文內容包含了所需的IPv6屬性。網絡設施還是采用IPv4的方式。

·將來設備完全對IPv6的支持成熟后，增加系統本身的IPv6化，包括系統管理、系統間報文的傳遞等。

建議采用擴展標識的方法進行IPv4/IPv6雙棧用戶的區(qū)分，在AAA系統內部對用戶關聯該擴展標識區(qū)分用戶使用的IP版本。建議不在域名上加入標志來區(qū)分，域名帶有業(yè)務含義，采用域名標志區(qū)分對系統改造大、業(yè)務易復雜化，且不利于IPv4向IPv6的過渡。

對于IPv4、IPv6、IPv4/IPv6雙協議棧的使用用戶，通過判斷前端受理系統提供的擴展屬性，認證鑒權系統可以把用戶訂購的產品和用戶使用的協議關聯起來。在認證過程中，根據用戶訂購的產品可以判斷出用戶使用的協議類型，并進行相應的認證和授權過程。對于原有的IPv4地址用戶，其流程不變；對于使用純IPv6地址的用戶，將下發(fā)IPv6地址；對于使用IPv4/IPv6雙協議棧的用戶，將同時下發(fā)IPv6和IPv4地址。

針對過往IPv6試點研究的經驗，支持IPv6的認證鑒權系統研究具體可歸為以下7個方面。

·認證子系統增加IPv6認證支持。對于使用IPv4或者IPv4/IPv6雙協議棧的用戶，認證子系統需要增加對RFC定義的IPv6屬性的解釋和識別，需要把IPv6屬性加入下網請求中，以提供給IPDR（清單預處理程序）程序處理。

·計費子系統需要增加對IPv6屬性的支持。對于IPDR，需要增加對IPv6屬性的支持，填寫完整的包括IPv6字段的清單。

·業(yè)務子系統增加對IPv6字段的支持。對于業(yè)務子系統中涉及IP字段的功能，包括端口綁定、查是否在線等，需要增加IPv6字段的支持。

·增加IPv6業(yè)務發(fā)展的統計分析功能。

·數據庫表需要擴展字段，以支持新的IPv6字段。

·產品規(guī)格配置數據支持IPv6的認證授權邏輯。

·與BRAS、前端受理系統聯調。

3.2 系統支撐

認證鑒權系統底層基礎設施支撐IPv6改造，使認證鑒權系統能夠提供IPv6和IPv4的訪問，同時能夠通過IPv4網絡和IPv6網絡與網元和周邊系統進行通信，主要的影響點包括以下5方面。

（1）OS升級

將不能支持IPv6的操作系統版本，升級采用適合的操作系統版本，使認證鑒權系統的底層OS能夠支持IPv6。

（2）中間件軟件升級

對不能支持IPv6的中間件軟件進行升級替代，使認證鑒權系統使用的中間件軟件能夠提供IPv6服務。

（3）數據庫軟件升級

對不能支持IPv6的數據庫軟件版本進行升級改造，使認證鑒權系統使用的數據庫能夠提供IPv6服務。

（4）組網網絡設備升級

對不能支持IPv6的網絡設備進行升級或替換，使認證鑒權系統使用的網絡設備能夠支持IPv6。

（5）應用程序升級改造

對涉及網絡接口調用的程序和接口進行功能擴展、升級或改造，使應用程序能夠在IPv6網絡中正常提供服務。

4 具體研究內容

如圖1所示，認證鑒權系統一般包括應用層、中間層、基礎設施層。應用層通過接口層的系統框架管理模塊調用各個底層通信模塊，中間層將數據分組后交給操作系統。操作系統按照封裝要求形成IPv4/IPv6數據分組，通過網絡發(fā)送到目標服務器。目標服務器將數據逐層解分組后使應用得到所需的數據內容。

（1）RADIUS

RADIUS需要對字典擴充新的屬性，支持RFC 3162所規(guī)定的6個RADIUS屬性，并增加識別邏輯。下面是這6個屬性的定義和解釋。

①NAS-IPv6-Address

屬性號95，報文長度18，Address為16 byte IPv6地址，是請求認證的用戶所使用的接入服務器的IPv6地址。

②Framed-Interface-ID

屬性號96，報文長度10，Interface-ID為8 byte IPv6接口ID，是IPv6CP協商后的接口ID，用以指示為用戶配置的IPv6接口ID。

圖1 系統架構

③Framed-IPv6-Prefix

屬 性 號97，報 文 長 度4～20，Reserved固 定 為0，Prefix-Length按比特為單位指示Prefix的長度。Prefix為0～128 bit的IPv6地址前綴，超出Prefix-Length以外的比特位用0填充。

④Login-IPv6-Host

屬 性 號98，報 文 長 度18，Address為16 byte IPv6地址，是允許訪問服務器的主機的IPv6地址。當包含Login-Service屬性時，指示用以連接用戶的系統。

⑤Framed-IPv6-Route

屬性號99，報文長度大于3，text字段表明IPv6的路由信息。該屬性提供了在接入服務器上配置的路由信息。

⑥Framed-IPv6-Pool

屬性號100，報文長度大于3，String字段表明接入服務器給用戶分配的IPv6地址前綴的前綴池的名字。

RADIUS增加對新增6個屬性的轉換處理邏輯，前端RADIUS識別出這些屬性后，按照系統內部的通信協議轉換成內部認證屬性提供給后端服務器進行認證流程。

（2）業(yè)務認證服務

增加IPv6屬性的支持；增加對IPv6屬性比較的邏輯，根據用戶擴展屬性標識，區(qū)分出IPv4、IPv6或者IPv4/IPv6雙協議棧的用戶；增加IPv6地址池。

（3）在線服務

用戶在線信息數據結構中增加IPv6字段，根據IP字段查找用戶信息的功能，要支持IPv6的IP地址格式。

（4）預付費處理服務

對用戶加以區(qū)分，標識用戶為普通IPv4用戶、純IPv6用戶及雙棧用戶；當用戶發(fā)起呼叫連接時，識別出不同類型的用戶；擴展對IPv6字段屬性的解釋支持，報文解析擴充兼容IPv4/IPv6，在清單字段中增加IPv6地址字段；報文轉發(fā)增加IPv6相關屬性。

（5）清單處理服務

①清單采集服務

計費采集系統對用戶加以區(qū)分，標識用戶為普通IPv4用戶、純IPv6用戶及雙棧用戶。當用戶發(fā)起呼叫連接時，計費采集系統識別出不同類型的用戶；原始清單在本地處理時，區(qū)分不同類型的用戶標識；增加對IPv6字段屬性的解釋支持，報文解析擴充兼容IPv4/IPv6，在清單字段中增加IPv6地址字段，清單去重、清單拆分匹配支持IPv6地址。

②清單入庫服務

擴充兼容IPv4/IPv6，將生成的支持IPv4/IPv6的清單文件導入數據倉庫，作為查詢、統計、綁定的數據源。

（6）在線計費協議（OCP）處理服務

①修改地址格式

根據與OCS系統協商所采用的通信協議對協議報文中所出現的IP地址格式進行區(qū)分，判斷是32 bit（IPv4）還是128 bit（IPv6）的地址。并根據所使用的IP地址類型標識地址AVP的頭兩個8位組的值，地址AVP的頭兩個8位組為AddressType，其包含一個在IANA的“地址簇號碼”中定義的地址簇。AddressType用來區(qū)別剩下8位組的內容和格式。

涉及的交互命令請求包括DWR/DWA、CER/CEA、CCR/CCA。

③增加對IPv6字段屬性的解釋支持

在清單字段中增加IPv6地址字段。

（7）內存數據管理服務

相應地更改在內存中管理的涉及IP地址數據的表定義描述文件，以適應在關系數據中對IPv6地址的描述。

（8）業(yè)務管理服務

主要包括開銷戶管理、在線管理、查詢管理、故障處理、異步隊列等多個模塊。

5 結束語

本文提出的IPv4與IPv6雙棧支撐研究結果，是廣東電信省網絡監(jiān)控維護中心結合實際工作經驗及實驗環(huán)境實踐驗證所得出的結論，對于目前集團安排組織的廣東電信IPv6業(yè)務試點工作有很大的參考意義和實際價值。對于類似廣東電信這樣典型的固網AAA接入認證系統改造，從業(yè)務管理、基本認證協議、清單采集及業(yè)務流程規(guī)范的制度都提出了詳細的措施，符合對今后IPv6和IPv4雙棧業(yè)務支撐的建設思路，同時也能夠為CDMA網AAA系統、行業(yè)應用AAA接入認證系統的改造提供借鑒經驗。

1 姚遠.基于IPv6校園網的過渡技術研究與實現.武漢理工大學碩士學位論文，2009

2 雷震洲.下一代服務與IPv6.現代電信科技,2004(1):2～4

3 王莉.基于IPv6網絡技術的文獻信息服務平臺的實現及關鍵技術.現代圖書情報技術,2005,21(8):32～36