程 燁，王 潔，謝 磊

（1.華信郵電咨詢設(shè)計(jì)研究院有限公司 杭州310014；2.中國電信股份有限公司浙江分公司 杭州310001）

1 引言

國際及區(qū)域IP地址分配組織IANA、APNIC的可分配IPv4公有地址在2011年已經(jīng)分配完畢，國內(nèi)運(yùn)營商及分支機(jī)構(gòu)IPv4公有地址預(yù)計(jì)將在2012年底開始陸續(xù)使用殆盡。為了保證業(yè)務(wù)可持續(xù)發(fā)展，運(yùn)營商將根據(jù)不同的場景在IP城域網(wǎng)內(nèi)部署IPv4向IPv6的演進(jìn)方案，如DS-Lite、NAT444等，相應(yīng)城域網(wǎng)內(nèi)用戶側(cè)IPv6、IPv4私有、IPv4公有地址可能同時并存，是否能夠提供有效、合規(guī)的用戶溯源解決方案將是相關(guān)方案落地以及IPv6商用與否的關(guān)鍵。

本文將結(jié)合監(jiān)管當(dāng)局及運(yùn)營商溯源要求，對運(yùn)營商IP城域網(wǎng)內(nèi)3類主流溯源方案及部署方式進(jìn)行探討。

2 溯源需求及運(yùn)營商用戶溯源現(xiàn)狀

2.1 溯源簡介

溯源通常是指尋找網(wǎng)絡(luò)事件發(fā)起者的相關(guān)信息，通常用于網(wǎng)絡(luò)攻擊、非法內(nèi)容傳播時對發(fā)起者的查找，將溯源追蹤信息關(guān)聯(lián)到管理實(shí)體的注冊信息，從而定位到具體人或單位。

（1）政府溯源需求

國家頒布相關(guān)政策要求針對惡意攻擊行為（DDoS)、互聯(lián)網(wǎng)非法、庸俗內(nèi)容的傳播進(jìn)行監(jiān)控，如國務(wù)院及相關(guān)部門相繼公布了《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)IP地址備案管理辦法》等監(jiān)管法規(guī)。

（2）運(yùn)營商溯源需求

運(yùn)營商在應(yīng)對DDoS攻擊及非法內(nèi)容的傳播等事件上遭受著較大的公眾輿論壓力和政策監(jiān)管壓力，需具備相應(yīng)的技術(shù)、管理等手段對其進(jìn)行及時的發(fā)現(xiàn)和準(zhǔn)確詳細(xì)的分析，并提供相應(yīng)的原始記錄信息來分析、取證和定位最終攻擊、傳播的來源。此外，運(yùn)營商還可通過用戶溯源來滿足用戶行為分析、增值業(yè)務(wù)開放等的運(yùn)營需求。

綜上所述，溯源主要分為基于網(wǎng)絡(luò)安全應(yīng)對的溯源和基于監(jiān)管運(yùn)營需求的溯源兩大類，前者可以通過引入IP溯源技術(shù)（包括入方向過濾、數(shù)據(jù)分組標(biāo)記、iTrace、日志記錄及鏈路測試等）以及部署DDoS攻擊溯源系統(tǒng)、信息內(nèi)容安全系統(tǒng)等安全類平臺予以應(yīng)對；后者則需要通過改造業(yè)務(wù)控制層設(shè)備及AAA、網(wǎng)管等系統(tǒng)或引入log日志系統(tǒng)等對用戶實(shí)現(xiàn)精確溯源，本文聚焦于后者，關(guān)注基于監(jiān)管運(yùn)營需求的溯源方案的實(shí)現(xiàn)及部署。

2.2 運(yùn)營商用戶溯源實(shí)現(xiàn)

對于IP城域網(wǎng)內(nèi)用戶溯源，國家信息安全監(jiān)管要求較為明確，即要求實(shí)時或準(zhǔn)實(shí)時根據(jù)指定的IP地址（如訪問非法網(wǎng)站等的IP）來追溯相應(yīng)的用戶信息，一般可以由運(yùn)營商側(cè)相應(yīng)的認(rèn)證計(jì)費(fèi)后臺系統(tǒng)通過鏡像或分光將相應(yīng)的用戶信息數(shù)據(jù)分組（如賬戶、源IP地址等）導(dǎo)出至監(jiān)管當(dāng)局后臺關(guān)聯(lián)分析，以實(shí)現(xiàn)互聯(lián)網(wǎng)管控追溯。對于運(yùn)營商側(cè)用戶溯源具體實(shí)現(xiàn)而言，則涉及IP城域網(wǎng)各層面設(shè)備及認(rèn)證計(jì)費(fèi)后臺系統(tǒng)的聯(lián)動協(xié)同，從而能夠?qū)崿F(xiàn)用戶的溯源。

以某運(yùn)營商IP城域網(wǎng)內(nèi)用戶溯源為例，簡單說明實(shí)現(xiàn)過程。

首先，寬帶接入設(shè)備（DSLAM、交換機(jī)、PON等）基于用戶和業(yè)務(wù)分別標(biāo)識PVC、VLAN及SVLAN，由直掛業(yè)務(wù)控制點(diǎn)的交換機(jī)最終標(biāo)識VLAN（專線用戶）或SVLAN（公眾用戶），BRAS識別并提取雙層VLAN信息，以統(tǒng)一的NAS-PORT-ID屬性通過RADIUS屬性報文向RADIUS服務(wù)上報端口信息（包 括 NAS_IP、port、sub port、port_type、SVLAN ID-VLAN ID等），BRAS與 AAA、CRM等配合實(shí)現(xiàn)對接入用戶的精確化綁定。

其次，AAA形成并保存用戶數(shù)據(jù)表(含IP地址、賬號等信息)，溯源查詢系統(tǒng)基于公有IPv4源地址對AAA發(fā)起查詢，由AAA負(fù)責(zé)查找IPv4源地址和對應(yīng)的用戶ID，從而實(shí)現(xiàn)用戶溯源。

以上主要為固網(wǎng)分配公有IPv4地址的用戶溯源實(shí)現(xiàn)的簡介，對于移動網(wǎng)分配私有IPv4地址的用戶則一般由運(yùn)營商自行建設(shè)日志系統(tǒng)（記錄并保存私、公有IP地址、賬號等關(guān)聯(lián)信息表）來實(shí)現(xiàn)用戶溯源，本文不再贅述。

2.3 IPv6背景下溯源面臨的挑戰(zhàn)

2011年底，我國政府明確了未來發(fā)展下一代互聯(lián)網(wǎng)的路線圖和主要目標(biāo)，提出2013年底開展IPv6小規(guī)模商用試點(diǎn)，2014年至2015年開展大規(guī)模部署和商用。這一利好消息極大推動IPv6產(chǎn)業(yè)鏈的成長與發(fā)展，運(yùn)營商IPv6試點(diǎn)及商用進(jìn)程得到進(jìn)一步提速。

隨著運(yùn)營商IP城域網(wǎng)主流IPv6演進(jìn)方案，如DS-Lite、NAT444等的部署，由于不同方案的關(guān)鍵網(wǎng)元如CGN、AFTR等設(shè)備形態(tài)的多樣性及部署層面的差異、用戶側(cè)地址種類復(fù)雜 （IPv4私有地址、IPv4公有地址、IPv6地址）等因素，用戶溯源難度加大?，F(xiàn)有溯源方案暫只能支持溯源至某用戶IPv4公有地址、某一對多私有地址用戶接入網(wǎng)關(guān)側(cè)WAN端口的IPv4公有地址，不能很好地實(shí)現(xiàn)IPv6背景下各類IP地址、端口號與用戶賬號等信息的關(guān)聯(lián)綁定，不足以支撐“精確溯源、落地至戶”的監(jiān)管要求，亟需基于技術(shù)演進(jìn)及方案部署實(shí)際考慮引入合適的溯源方案，保證基于IPv6下一代互聯(lián)網(wǎng)發(fā)展初期就進(jìn)入合規(guī)有序的發(fā)展軌道。

3 運(yùn)營商用戶溯源方案

基于溯源網(wǎng)元組成、溯源流程及機(jī)制的差異，目前運(yùn)營商IP城域網(wǎng)中主要存在Syslog方案、RADIUS動態(tài)上報方案、靜態(tài)映射關(guān)系算法方案3類溯源解決方案。

3.1 方案一：Syslog日志方案

該方案日志系統(tǒng)可分為日志采集處理模塊和查詢模塊（可合一或者分別獨(dú)立設(shè)置），通過Syslog協(xié)議（端口號514）承載NAT444/AFTR網(wǎng)關(guān)設(shè)備吐出的標(biāo)準(zhǔn)log日志信息 （可由用戶每次接入或下線的session觸發(fā)），在Syslog服務(wù)器上保存公私有地址、端口號等信息的映射關(guān)系表，AAA中保存IPv4公有地址、IPv6地址等信息記錄表，若查詢IPv6地址，可直接查詢AAA獲得；若查詢IPv4公有地址，則AAA首先發(fā)起向Syslog服務(wù)器的請求，查詢IPv4源地址、源端口與IPv6源地址的對應(yīng)關(guān)系，再在AAA本地查找與IPv6源地址對應(yīng)的用戶ID，完成溯源。其中BRAS及AAA應(yīng)支持IPv6相關(guān)RADIUS屬性的拓展，NAT444/AFTR網(wǎng)關(guān)設(shè)備應(yīng)支持標(biāo)準(zhǔn)Syslog日志的生成。用戶溯源方案如圖1所示。

該方案適用性較好，在運(yùn)營商網(wǎng)絡(luò)上已有類似方案部署（解決IPv4私有地址用戶溯源問題），需新增日志服務(wù)器（一般獨(dú)立設(shè)置，與AAA及AFTR相關(guān)設(shè)備配合共同實(shí)現(xiàn)用戶溯源），但不需要對網(wǎng)管系統(tǒng)進(jìn)行改造，相應(yīng)的溯源流程基本不變。

以部署DS-Lite過渡技術(shù)方案（B4為DS-Lite硬終端或軟終端模塊；AFTR為DS-Lite網(wǎng)關(guān)設(shè)備，可以板卡內(nèi)嵌或獨(dú)立設(shè)備旁掛在城域網(wǎng)設(shè)備上）的IP城域網(wǎng)為例，相應(yīng)的用戶溯源交互流程如圖2所示。

其他方案的溯源交互流程與上類似，主要在于交互的網(wǎng)元、交互的內(nèi)容有所差異，不再贅述。

3.2 方案二：RADIUS動態(tài)上報方案

該方案主要通過BRAS與AAA 系統(tǒng)的RADIUS協(xié)議交互在AAA形成統(tǒng)一的地址映射表 （記錄在線用戶信息，包括賬號、私有IPv4地址、公有IPv4地址+端口塊、IPv6地址等），其中BRAS需通過改造支持RADIUS屬性拓展（增加相關(guān)IPv6屬性）來完成用戶地址映射信息的上報，AAA需改造支持Radius屬性拓展及映射表增加新屬性字段，同時升級與業(yè)務(wù)平臺的查詢接口，以便實(shí)現(xiàn)在線查詢及離線查詢。RADIUS動態(tài)上報方案如圖3所示。

RADIUS屬性拓展至少包括兩部分。

第一部分：支持RFC 3162和RFC 4818規(guī)定的7個IPv6 屬 性 ， 如 N AS-IPv6-Address、Framed-Interface-Id、Framed-IPv6-Prefix、Login-IPv6-Host、Framed-IPv6-Route、Framed-IPv6-Pool、Delegated-IPv6-Prefix。

第二部分：補(bǔ)充若干運(yùn)營相關(guān)的屬性，即增加能夠區(qū)分主機(jī)用戶或家庭網(wǎng)絡(luò)用戶的用戶屬性（通過認(rèn)證判斷后下發(fā)給BRAS，以便相應(yīng)分配不同類型的地址）、區(qū)分流量類型的流量屬性（判斷IPv4或IPv6流量，以便分別計(jì)費(fèi)）等。

該方案中較適合采用BRAS插卡 （NAT444或AFTR板卡）分布式部署的城域網(wǎng)，日志服務(wù)器及網(wǎng)管服務(wù)器無須增加或改造，相應(yīng)的溯源流程基本不變。

3.3 方案三：靜態(tài)映射關(guān)系算法方案

該方案主要是針對NAT444/AFTR網(wǎng)關(guān) （BRAS/CR插板、獨(dú)立設(shè)備）、AAA及網(wǎng)管進(jìn)行算法定制化開發(fā)，通過網(wǎng)管下發(fā)算法至相應(yīng)網(wǎng)關(guān)、AAA服務(wù)器等，由各網(wǎng)元基于各自預(yù)先配置的算法參數(shù) （包括私有IPv4地址范圍、公有IPv4地址范圍、端口塊大小、端口范圍、網(wǎng)關(guān)設(shè)備ID等）進(jìn)行本地計(jì)算生成相應(yīng)的IP地址、端口號等的映射關(guān)系。各網(wǎng)元改造要求如下。

·NAT444/AFTR網(wǎng)關(guān)應(yīng)改造支持基于用戶/Session的端口塊分配及標(biāo)準(zhǔn)日志輸出，支持算法計(jì)算（根據(jù)預(yù)先配置或Telenet協(xié)議遠(yuǎn)程下發(fā)的地址信息參數(shù)，計(jì)算公、私有地址映射關(guān)系，預(yù)留NAT資源）。

·BRAS應(yīng)改造支持算法計(jì)算（僅限于BRAS插板部署方式，若NAT444采用集中式部署B(yǎng)RAS無需改造）。

·AAA需要增加維護(hù)NAT設(shè)備的地址信息參數(shù)表和實(shí)時計(jì)算映射關(guān)系兩項(xiàng)功能，提供相應(yīng)的查詢接口。

·IP網(wǎng)管應(yīng)改造支持算法安全可靠 （具有算法校驗(yàn)機(jī)制）下發(fā)配置或配置腳本。

靜態(tài)映射關(guān)系算法方案如圖4所示。該方案適用性較廣，不需新增日志服務(wù)器，但需要相應(yīng)網(wǎng)元（如網(wǎng)關(guān)、AAA、網(wǎng)管等）設(shè)備做相應(yīng)的改造升級支持定制化的算法，相應(yīng)的溯源流程基本不變。

4 IPv6背景下用戶溯源方案選擇及建議

4.1 主要溯源方案比較

3類溯源方案比較見表1。

表1 IP城域網(wǎng)用戶溯源主要方案比較

綜上所述，Syslog日志方案適應(yīng)度較好，但涉及新增Syslog網(wǎng)元相應(yīng)的網(wǎng)絡(luò)架構(gòu)需要聯(lián)動調(diào)整，主要難點(diǎn)在于日志系統(tǒng)自身的可靠性及相對復(fù)雜的溯源流程，對于IPv4和IPv6地址用戶的溯源流程有所差異，需要AAA聯(lián)動Syslog系統(tǒng)相關(guān)信息來完成溯源；RADIUS動態(tài)上報方案與現(xiàn)網(wǎng)溯源較為類似，主要難點(diǎn)在于現(xiàn)網(wǎng)BRAS及AAA對于RADIUS擴(kuò)展屬性的支持；靜態(tài)映射關(guān)系算法方案能夠適應(yīng)各類NAT444網(wǎng)關(guān)不同部署的IP城域網(wǎng)，可滿足近遠(yuǎn)期各類場景的要求，主要難點(diǎn)在于算法是否科學(xué)合理及設(shè)備、系統(tǒng)對于算法的支持能力，在算法可靠性、廠商支持度、維護(hù)復(fù)雜度等方面還有不確定性。

4.2 溯源方案部署建議

盡管IP城域網(wǎng)向IPv6演進(jìn)存在不同的方案，但溯源方案與演進(jìn)方案為松耦合關(guān)系，不同的演進(jìn)方案可以選擇同一溯源解決方案，也可采用不同的溯源解決方案。

選擇及部署溯源方案的關(guān)注點(diǎn)可以從方案自身的成熟度、IT特別是AAA等支撐系統(tǒng)的改造難度、部署的難易度等方面來考慮。

基于對3種溯源解決方案的對比分析，在運(yùn)營商IPv6小規(guī)模商用階段建議優(yōu)先考慮開發(fā)周期短、對IT改造要求較小，能夠快速在現(xiàn)網(wǎng)部署的Syslog日志方案，后續(xù)隨著RADIUS擴(kuò)展協(xié)議、靜態(tài)映射算法等的成熟以及廠商相應(yīng)設(shè)備的支持可結(jié)合各地IP城域網(wǎng)的實(shí)際情況引入和部署。

5 結(jié)束語

隨著國家政策層面下一代互聯(lián)網(wǎng)發(fā)展政策的明確，國內(nèi)各大運(yùn)營商IPv6試點(diǎn)及商用進(jìn)程開始加速，各類演進(jìn)技術(shù)如NAT444/DS-Lite等方案的落地取決于用戶溯源方案可行與否，為此在相應(yīng)方案選擇和部署中務(wù)必注意用戶溯源涉及相關(guān)設(shè)備、系統(tǒng)的銜接配合，初期可結(jié)合設(shè)備成熟度選擇易于部署、滿足監(jiān)管基本要求的溯源解決方案，后續(xù)可隨著技術(shù)成熟、監(jiān)管政策明晰逐步進(jìn)行優(yōu)化調(diào)整和改造。

相信在較好解決IPv6背景下運(yùn)營商用戶溯源的問題后，基于IPv6的下一代互聯(lián)網(wǎng)將迎來快速、健康發(fā)展的春天。