向 亮，许洪东，陈子琨，周赛应

（中国电信股份有限公司广东分公司网络监控维护中心 广州510081）

1 引言

至2011年底，中国电信宽带用户总数达到了7 681万，且在继续增多。各省分公司的认证鉴权系统通常提供了较强的IP网业务认证计费功能，包括注册宽窄带用户、主叫用户、漫游用户、卡类用户、VPDN用户、无线Wi-Fi用户等各种客户类型的业务，提供PPP、PPPoE、DHCP+Web等主流的认证方式。随着用户量的进一步膨胀，IPv6业务支撑上线势在必行。重点需要尽早对组网、业务应用、IPv6和IPv4双业务混合支撑等几个重点方面进行探讨和研究。

2 广东宽带认证平台现状和IPv6的支撑重点

以中国电信股份有限公司广东分公司（以下简称广东电信）宽带认证系统为例，固网认证鉴权系统可满足千万级规模的接入认证能力，该系统具备AAA认证、计费功能，系统支撑的宽带用户总量达到1 500万户，系统支持的各类用户总量达到2 000万户。系统采用RADIUS和Diameter协议实现宽窄带、卡类用户、VPDN用户、无线Wi-Fi用户的认证计费管理。广东电信系统采用省级集中的方式部署，采用主备认证服务、缓存认证服务等保障机制，具备高可靠性和稳定性。

IPv6的支撑重点在于，现有的网络设备和系统均负载在IPv4的通信协议之下。需要梳理业务实现流程，配合城域网设备进行IPv6改造，完成认证鉴权系统升级研究，使认证鉴权系统能够在协议层面支持宽带接入服务器等网络关键网元设备，实现对IPv4/IPv6公众客户上网的认证鉴权、计费账务、审计管理、业务管理和统计分析等功能的支撑。因此，需要对认证鉴权系统基础设施和应用程序进行双栈改造，验证认证鉴权系统双栈改造的关键技术，使认证鉴权系统能够提供IPv6和IPv4的网络访问，同时应用程序可以采用IPv6和IPv4进行通信。

3 IPv6和IPv4双栈支撑的核心内容

3.1 业务支撑

实现宽带用户的IPv6网络接入，首先需要在宽带用户受理时，完成宽带用户账号的 “普通宽带”（IPv4 only）和“双栈宽带”（IPv4和IPv6）标识。如何区分普通用户（只分配IPv4地址）和双栈用户（同时分配IPv4地址和IPv6地址）是业务支撑的关键环节。建议在业务受理端由CRM业务系统受理纯IPv4用户、IPv4/IPv6双栈用户的宽带业务，通过接口向AAA系统开户，并标识用户业务类型为纯IPv4或 者IPv4/IPv6双 栈。开 户 成 功 后，AAA系 统 的RADIUS服务器能够正确识别并解析BRAS设备发送的包含IPv6特定属性（RFC3162/RFC4818）的RADIUS报文，并调用新增的IPv6处理模块程序完成认证、授权和计费处理流程。

IPv6和IPv4双栈实施过程中存在一个比较大的问题，对于集中式平台，不管采用何种方式改造实施，都可能造成对现有纯IPv4用户的业务影响，因此在系统升级部署时，必须尽可能减少对现有业务的冲击，前期试点可考虑独立部署。

目前仍有不少设备仅支持IPv4协议，认证系统本身传递报文时要确认对方的协议栈，在具体实施时可能引起混乱，因此建议系统的IPv6进程分为两个阶段进行。

·现阶段以IPv4访问为主，所传递的报文内容包含了所需的IPv6属性。网络设施还是采用IPv4的方式。

·将来设备完全对IPv6的支持成熟后，增加系统本身的IPv6化，包括系统管理、系统间报文的传递等。

建议采用扩展标识的方法进行IPv4/IPv6双栈用户的区分，在AAA系统内部对用户关联该扩展标识区分用户使用的IP版本。建议不在域名上加入标志来区分，域名带有业务含义，采用域名标志区分对系统改造大、业务易复杂化，且不利于IPv4向IPv6的过渡。

对于IPv4、IPv6、IPv4/IPv6双协议栈的使用用户，通过判断前端受理系统提供的扩展属性，认证鉴权系统可以把用户订购的产品和用户使用的协议关联起来。在认证过程中，根据用户订购的产品可以判断出用户使用的协议类型，并进行相应的认证和授权过程。对于原有的IPv4地址用户，其流程不变；对于使用纯IPv6地址的用户，将下发IPv6地址；对于使用IPv4/IPv6双协议栈的用户，将同时下发IPv6和IPv4地址。

针对过往IPv6试点研究的经验，支持IPv6的认证鉴权系统研究具体可归为以下7个方面。

·认证子系统增加IPv6认证支持。对于使用IPv4或者IPv4/IPv6双协议栈的用户，认证子系统需要增加对RFC定义的IPv6属性的解释和识别，需要把IPv6属性加入下网请求中，以提供给IPDR（清单预处理程序）程序处理。

·计费子系统需要增加对IPv6属性的支持。对于IPDR，需要增加对IPv6属性的支持，填写完整的包括IPv6字段的清单。

·业务子系统增加对IPv6字段的支持。对于业务子系统中涉及IP字段的功能，包括端口绑定、查是否在线等，需要增加IPv6字段的支持。

·增加IPv6业务发展的统计分析功能。

·数据库表需要扩展字段，以支持新的IPv6字段。

·产品规格配置数据支持IPv6的认证授权逻辑。

·与BRAS、前端受理系统联调。

3.2 系统支撑

认证鉴权系统底层基础设施支撑IPv6改造，使认证鉴权系统能够提供IPv6和IPv4的访问，同时能够通过IPv4网络和IPv6网络与网元和周边系统进行通信，主要的影响点包括以下5方面。

（1）OS升级

将不能支持IPv6的操作系统版本，升级采用适合的操作系统版本，使认证鉴权系统的底层OS能够支持IPv6。

（2）中间件软件升级

对不能支持IPv6的中间件软件进行升级替代，使认证鉴权系统使用的中间件软件能够提供IPv6服务。

（3）数据库软件升级

对不能支持IPv6的数据库软件版本进行升级改造，使认证鉴权系统使用的数据库能够提供IPv6服务。

（4）组网网络设备升级

对不能支持IPv6的网络设备进行升级或替换，使认证鉴权系统使用的网络设备能够支持IPv6。

（5）应用程序升级改造

对涉及网络接口调用的程序和接口进行功能扩展、升级或改造，使应用程序能够在IPv6网络中正常提供服务。

4 具体研究内容

如图1所示，认证鉴权系统一般包括应用层、中间层、基础设施层。应用层通过接口层的系统框架管理模块调用各个底层通信模块，中间层将数据分组后交给操作系统。操作系统按照封装要求形成IPv4/IPv6数据分组，通过网络发送到目标服务器。目标服务器将数据逐层解分组后使应用得到所需的数据内容。

（1）RADIUS

RADIUS需要对字典扩充新的属性，支持RFC 3162所规定的6个RADIUS属性，并增加识别逻辑。下面是这6个属性的定义和解释。

①NAS-IPv6-Address

属性号95，报文长度18，Address为16 byte IPv6地址，是请求认证的用户所使用的接入服务器的IPv6地址。

②Framed-Interface-ID

属性号96，报文长度10，Interface-ID为8 byte IPv6接口ID，是IPv6CP协商后的接口ID，用以指示为用户配置的IPv6接口ID。

图1 系统架构

③Framed-IPv6-Prefix

属 性 号97，报 文 长 度4～20，Reserved固 定 为0，Prefix-Length按比特为单位指示Prefix的长度。Prefix为0～128 bit的IPv6地址前缀，超出Prefix-Length以外的比特位用0填充。

④Login-IPv6-Host

属 性 号98，报 文 长 度18，Address为16 byte IPv6地址，是允许访问服务器的主机的IPv6地址。当包含Login-Service属性时，指示用以连接用户的系统。

⑤Framed-IPv6-Route

属性号99，报文长度大于3，text字段表明IPv6的路由信息。该属性提供了在接入服务器上配置的路由信息。

⑥Framed-IPv6-Pool

属性号100，报文长度大于3，String字段表明接入服务器给用户分配的IPv6地址前缀的前缀池的名字。

RADIUS增加对新增6个属性的转换处理逻辑，前端RADIUS识别出这些属性后，按照系统内部的通信协议转换成内部认证属性提供给后端服务器进行认证流程。

（2）业务认证服务

增加IPv6属性的支持；增加对IPv6属性比较的逻辑，根据用户扩展属性标识，区分出IPv4、IPv6或者IPv4/IPv6双协议栈的用户；增加IPv6地址池。

（3）在线服务

用户在线信息数据结构中增加IPv6字段，根据IP字段查找用户信息的功能，要支持IPv6的IP地址格式。

（4）预付费处理服务

对用户加以区分，标识用户为普通IPv4用户、纯IPv6用户及双栈用户；当用户发起呼叫连接时，识别出不同类型的用户；扩展对IPv6字段属性的解释支持，报文解析扩充兼容IPv4/IPv6，在清单字段中增加IPv6地址字段；报文转发增加IPv6相关属性。

（5）清单处理服务

①清单采集服务

计费采集系统对用户加以区分，标识用户为普通IPv4用户、纯IPv6用户及双栈用户。当用户发起呼叫连接时，计费采集系统识别出不同类型的用户；原始清单在本地处理时，区分不同类型的用户标识；增加对IPv6字段属性的解释支持，报文解析扩充兼容IPv4/IPv6，在清单字段中增加IPv6地址字段，清单去重、清单拆分匹配支持IPv6地址。

②清单入库服务

扩充兼容IPv4/IPv6，将生成的支持IPv4/IPv6的清单文件导入数据仓库，作为查询、统计、绑定的数据源。

（6）在线计费协议（OCP）处理服务

①修改地址格式

根据与OCS系统协商所采用的通信协议对协议报文中所出现的IP地址格式进行区分，判断是32 bit（IPv4）还是128 bit（IPv6）的地址。并根据所使用的IP地址类型标识地址AVP的头两个8位组的值，地址AVP的头两个8位组为AddressType，其包含一个在IANA的“地址簇号码”中定义的地址簇。AddressType用来区别剩下8位组的内容和格式。

涉及的交互命令请求包括DWR/DWA、CER/CEA、CCR/CCA。

③增加对IPv6字段属性的解释支持

在清单字段中增加IPv6地址字段。

（7）内存数据管理服务

相应地更改在内存中管理的涉及IP地址数据的表定义描述文件，以适应在关系数据中对IPv6地址的描述。

（8）业务管理服务

主要包括开销户管理、在线管理、查询管理、故障处理、异步队列等多个模块。

5 结束语

本文提出的IPv4与IPv6双栈支撑研究结果，是广东电信省网络监控维护中心结合实际工作经验及实验环境实践验证所得出的结论，对于目前集团安排组织的广东电信IPv6业务试点工作有很大的参考意义和实际价值。对于类似广东电信这样典型的固网AAA接入认证系统改造，从业务管理、基本认证协议、清单采集及业务流程规范的制度都提出了详细的措施，符合对今后IPv6和IPv4双栈业务支撑的建设思路，同时也能够为CDMA网AAA系统、行业应用AAA接入认证系统的改造提供借鉴经验。

1 姚远.基于IPv6校园网的过渡技术研究与实现.武汉理工大学硕士学位论文，2009

2 雷震洲.下一代服务与IPv6.现代电信科技,2004(1):2～4

3 王莉.基于IPv6网络技术的文献信息服务平台的实现及关键技术.现代图书情报技术,2005,21(8):32～36