廣電網(wǎng)絡(luò)DHCPV6綜合認(rèn)證管理平臺(tái)建設(shè)方案

摘 要：本文介紹了一套可在核心網(wǎng)絡(luò)上部署的IPV6地址管理平臺(tái)的建設(shè)方案，實(shí)現(xiàn)IPV6動(dòng)態(tài)地址分配、認(rèn)證管理以及業(yè)務(wù)狀態(tài)監(jiān)控。

關(guān)鍵詞：DHCPV6 IPV6 數(shù)據(jù)網(wǎng)絡(luò)

1項(xiàng)目背景

按國(guó)家總體三網(wǎng)融合要求，廣電雙向網(wǎng)絡(luò)已經(jīng)具備了開展電信增值業(yè)務(wù)的前提和政策條件。但I(xiàn)PV4地址資源限制，無(wú)法廣泛的開展物聯(lián)網(wǎng)大數(shù)據(jù)等新業(yè)務(wù)，在寬帶普遍服務(wù)上也存在諸多限制，因此迫切需要海量的可發(fā)布的公有IP地址資源，并尋求與各大基礎(chǔ)電信運(yùn)營(yíng)商的互聯(lián)互通，真正能夠全面提供基于有線電視網(wǎng)絡(luò)開展的各類增值電信業(yè)務(wù)。所以建設(shè)基于IPv6技術(shù)的雙向下一代廣播電視網(wǎng)絡(luò)（數(shù)據(jù)網(wǎng)絡(luò)）勢(shì)在必行。

2方案總體目標(biāo)

2.1DHCPv6平臺(tái)軟件通用性要求

1）軟件需符合計(jì)算機(jī)軟件開發(fā)規(guī)范 GB 8566-88

2）軟件架構(gòu)設(shè)計(jì)具有先進(jìn)性，并采用模塊化結(jié)構(gòu)，能滿足正常運(yùn)行所需的管理、運(yùn)營(yíng)、維護(hù)等，并提供歷史操作記錄

3）系統(tǒng)具有友好的操作界面

4）系統(tǒng)支持B/S架構(gòu)，具備良好的擴(kuò)展性

5）所有核心功能具有自主知識(shí)產(chǎn)權(quán)，能夠提供全程的二次開發(fā)能力

6）兼容性及升級(jí)：不同時(shí)期軟件版本能向下兼容，軟件版本易于升級(jí)，且在升級(jí)的過(guò)程中不影響網(wǎng)絡(luò)的性能與運(yùn)行

7）系統(tǒng)支持虛擬化：能向虛擬化平臺(tái)安全穩(wěn)定遷移（系統(tǒng)、軟件、授權(quán)）提供技術(shù)支持及服務(wù)

8）系統(tǒng)服務(wù)支持跨平臺(tái)運(yùn)行（Windows，Unix和Linux）

2.2功能性要求

1）支持無(wú)狀態(tài)DHCPV6服務(wù)

2）支持有狀態(tài)IPV6地址/前綴自動(dòng)分配

3）支持自然順序分配或者按照EUI-64方式分配IPV6地址

4）支持靜態(tài)綁定前綴和靜態(tài)綁定地址

5）支持DHCPV6 Relay報(bào)文轉(zhuǎn)發(fā)

6）支持沖突地址檢測(cè)和規(guī)避

7）支持快速回復(fù)（Rapid Commit）選項(xiàng)

8）支持服務(wù)器ALLOW-HINT功能，響應(yīng)客戶端的地址建議值

9）支持廠家信息Vendor specific、Vendor Specific Information選項(xiàng)

10）支持DNS服務(wù)器地址（DNS recursive name server）、域名列表（Domain search list）和其他選項(xiàng)

11）支持DHCPV6中繼代理功能

12）支持DHCPV6前綴代理功能

13）支持IPV6通用前綴配置

14）根據(jù)DHCPV6 OPTION16等 屬性、MAC地址、DHCPV6 OPTION 屬性+MAC組合進(jìn)行地址/前綴授權(quán)

15）根據(jù)不同授權(quán)進(jìn)行分配相應(yīng)權(quán)限的IPv6地址/前綴

16）靈活配置相關(guān)邏輯的地址/前綴分配策略

17）完善的地址管理能力、完善的統(tǒng)計(jì)功能

18）分布式部署與熱切備

19）風(fēng)險(xiǎn)防范機(jī)制

3技術(shù)方案簡(jiǎn)述

3.1系統(tǒng)結(jié)構(gòu)

需建設(shè)以下模塊：

1）DHCPV6協(xié)議模塊：完成DHCPV6 協(xié)議的解釋，負(fù)責(zé)解析用戶終端或者邊緣路由器發(fā)送到系統(tǒng)的DHCPV6 消息，將消息含義轉(zhuǎn)發(fā)給系統(tǒng)其它模塊（如地址分配模塊），由其它模塊解釋并處理消息，然后DHCPV6 模塊將系統(tǒng)處理的結(jié)果轉(zhuǎn)化為終端可以識(shí)別的DHCPV6 包轉(zhuǎn)發(fā)給用戶。

2）地址分配模塊：ADDRESSASSIGN，負(fù)責(zé)處理DHCP模塊委派的任務(wù)，對(duì)ip地址資源的分配、釋放、查詢等工作。

3）認(rèn)證模塊：AUTHENT，管理用戶的權(quán)限信息。 用戶經(jīng)過(guò)身份認(rèn)證（例如：用戶端口綁定認(rèn)證）后，DHCPV6根據(jù)計(jì)費(fèi)系統(tǒng)的認(rèn)證授權(quán)信息，更新該用戶在認(rèn)證模塊中的權(quán)限信息。當(dāng)用戶斷開接入后，該用戶在認(rèn)證模塊中的權(quán)限信息也會(huì)進(jìn)行更新。授權(quán)模塊根據(jù)該模塊中的權(quán)限信息確定分配何種權(quán)限的IP地址給用戶。

4）時(shí)長(zhǎng)采集模塊：TC，采集用戶登錄成功后到下網(wǎng)的過(guò)程中準(zhǔn)確的記錄用戶使用服務(wù)的時(shí)長(zhǎng)，并傳給計(jì)費(fèi)平臺(tái)。

5）地址集中管理模塊：RM，負(fù)責(zé)IP地址資源的初始化和更新。它把實(shí)際的網(wǎng)絡(luò)三層設(shè)備（路由器或交換機(jī)）映射為一個(gè)三層的數(shù)據(jù)集合保存在數(shù)據(jù)庫(kù)和/或內(nèi)存中，供DHCPV6 SERVER的其它模塊使用。

6）數(shù)據(jù)庫(kù)管理模塊：DM，采用JDO的方式可以適配不同的數(shù)據(jù)庫(kù)。

7）接口：提供統(tǒng)一的第三方系統(tǒng)接口，包括：RADIUS、JMX和SOAP三種不同類型的接口，方便對(duì)接不同的業(yè)務(wù)系統(tǒng)。

3.2負(fù)載均衡

系統(tǒng)建成模塊級(jí)的管理和部署，可以在不同服務(wù)器上部署不同的業(yè)務(wù)模塊，也可以在同一服務(wù)器上部署所有模塊。系統(tǒng)前后端模塊均提供負(fù)載均衡和容錯(cuò)功能，可以通過(guò)第三方四層交換機(jī)和系統(tǒng)自身提供的軟四層，完成系統(tǒng)的負(fù)載均衡。系統(tǒng)的模塊或者服務(wù)器發(fā)生故障時(shí)，可以依據(jù)負(fù)載均衡的調(diào)度實(shí)現(xiàn)多機(jī)多模塊的熱切互備，極大的提高了系統(tǒng)的安全性與穩(wěn)定性。

3.3異常處理機(jī)制

隊(duì)列機(jī)制：對(duì)于DHCPV6請(qǐng)求保存到請(qǐng)求隊(duì)列中，隊(duì)列長(zhǎng)度可根據(jù)并發(fā)用戶規(guī)模進(jìn)行調(diào)整。對(duì)溢出隊(duì)列的DHCPV6請(qǐng)求予以拋棄，保證DHCPV6服務(wù)器的負(fù)載壓力。

3.4大容量用戶管理能力

服務(wù)器端各模塊有良好的冗余備份功能，支持分布式的冗余備份體系結(jié)構(gòu)，可在線橫向添加并行模塊?？梢钥匆?jiàn)系統(tǒng)在提供負(fù)載均衡的情況下，采用集群的方式可以完成1000萬(wàn)以上用戶的管理和地址分配，同時(shí)提供高性能的用戶地址分配能力，可以達(dá)到單臺(tái)機(jī)器完成3000用戶/S的地址分配能力。

對(duì)系統(tǒng)的動(dòng)態(tài)調(diào)整（比如在線升級(jí)、增加、刪除或重啟一功能模塊）不影響系統(tǒng)的正常運(yùn)行。

3.5系統(tǒng)平滑擴(kuò)容

服務(wù)器端各模塊有良好的冗余備份功能，支持分布式的冗余備份體系結(jié)構(gòu)，在系統(tǒng)擴(kuò)容時(shí)，只要事先完成好部署和規(guī)劃，對(duì)于新增的服務(wù)器可以直接上線，對(duì)用戶的使用沒(méi)有任何影響。

4總結(jié)與展望

本文首先對(duì)DHCPV6地址分配過(guò)程進(jìn)行了簡(jiǎn)要介紹，同時(shí)對(duì)系統(tǒng)的通用性和功能性方面分別提出設(shè)計(jì)要求，通過(guò)多業(yè)務(wù)模塊部署來(lái)實(shí)現(xiàn)負(fù)載均衡、大容量用戶管理、系統(tǒng)平滑擴(kuò)容等功能，實(shí)現(xiàn)業(yè)務(wù)需求。

建設(shè)基于IPV6協(xié)議的雙向數(shù)據(jù)網(wǎng)是可行的，也是必要的，因此在IPV4向IPV6的一個(gè)過(guò)渡時(shí)期，DHCPV6是不可或缺的，即便是在將來(lái)，DHCPV6仍將發(fā)揮重要作用。

作者簡(jiǎn)介：尹琪壹（1992.6-），男，黑龍江省哈爾濱市人，本科，黑龍江廣播電視網(wǎng)絡(luò)股份有限公司 技術(shù)發(fā)展中心 職員。