1、基于IPv6地址测量的下一代互联网管控系统目录底层数据采集多端口分流系统流量阀值与时间分段IPV6前缀压缩与流量聚合底层数据采集接入网业务控制方法主干网流量IP层分析下一代互联网管控系统目录接入网业务控制方法支持IPV4环境下可扩展IPV6接入的业务控制方法纯IPV6环境下IPV4到IPV6过渡双栈接入控制支持IPV6多地址接入的业务控制方法底层数据采集接入网业务控制方法主干网流量IP层分析下一代互联网管控系统目录主干网流量IP层分析互联口基于标识的流量IP统计分析系统基于多节点流量数据去重的大流量独立IP分析底层数据采集接入网业务控制方法主干网流量IP层分析下一代互联网管控系统目录下一代互联

2、网管控系统根据IP地址追溯用户身份主流PC和移动认证客户端有线和无线实名制关防底层数据采集接入网业务控制方法主干网流量IP层分析下一代互联网管控系统底层数据采集多端口分流系统-预处理刀片自动切换流量阀值-IP地址对之间的流量采集IPV6前缀压缩及流量聚合底层数据采集多端口分流系统多端口流量采集自动切换的分流系统，将流量处理划分为“采集态”和“需求态”。“采集态”表示流量处理服务器可以接受任何数据流“需求态”表示流量处理服务器能够且只能够接受符合当前分流规则的数据流，比如：固定IP地址段流量采集；某个时间段流量采集等。自动切换体现在分流系统可以根据当前流量情况，自动在“采集态”和“需求态”来回切

3、换，提高采集性能减少采集丢包。底层数据采集多端口分流系统底层分流实现方案包括：cisco路由器+OVS交换机+SDN交换机。在二三设备上定制分流策略，实现方法包括自主研发的策略程序，及标准的分流配置方法。底层数据采集OVS+SDN交换机底层数据采集OVS配置说明底层数据采集OVS配置说明底层数据采集和分析流量阀值与时间分段流量异常自动预警，用于对每天整体流量波动超过范围做预警并加入到采集列表。所述范围为管理员设定，预警方式为邮件通知。白名单自动管理，用于白名单内容系统自动添加和删除。其中添加功能，在数据流量过滤过程中，当有新的ip地址对的流量超过阀值的时候，把此条记录当做新记录加入白名单。其中

4、删除功能，在记录相关流量最后一次超过阀值的时间到现在的时间差超过系统设定的存储时间的时候，系统会自动删除白名单。底层数据采集和分析流量阀值与时间分段底层数据采集和分析IPV6前缀压缩及流量聚合判断IPv6 地址的网络前缀的长度是否为 128 比特。如果是，则将 IPv6 地址存储在第一存储区域中；否则，将IPv6 地址存储在第二存储区域中。其中，将IPv6地址存储在第一存储区域中的步骤包括：对IPv6地址进行散列运算并存储到第一存储区域中，第一存储区域具有由散列结构和红黑树 rbtree 结构形成的混合结构。第二存储区域具有变步长多分支 trie树结构。底层数据采集和分析IPV6前缀压缩及流量

5、聚合在主节点（网关节点）添加部署IPV6流量聚合系统，根据IPV6地址的8个字段构建流量存储树。接入网业务控制方法支持IPV4环境下可扩展IPV6接入的业务控制方法纯IPV6环境下IPV4到IPV6过渡双栈接入控制支持IPV6多地址接入的业务控制方法接入网业务控制与管控支持IPV4环境下可扩展IPV6接入的业务控制方法可扩展当用户向 NAS 网关请求接入时，NAS网关将用户的标识信息以 RADIUS 协议的形式发送给 RADIUS服务器进行身份验证；当 RADIUS服务器根据RADIUS授权数据库中所存储的信息，验证用户身份成功时，将与用户的接入服务类型相对应的Configuration-To

6、ken属性值以RADIUS协议的形式返回给 NAS 网关；NAS 网关根据 RADIUS 服务器返回的 Configuration-Token 属性值，决定是否为此用户开放IPv6服务。接入网业务控制与管控支持IPV4环境下可扩展IPV6接入的业务控制方法可扩展接入网业务控制与管控纯IPV6环境下IPV4/IPV6接入控制场景CERID本地用户CERID漫游用户场景2场景3场景1场景2-跳转到校园网场景4场景4中央WebPortal服务器中央SOA绿色通道服务器本地WebPortal服务器本地网关SOA服务器场景4本地接入控制网关场景1场景2场景4非CERID用户本地已有WebPortal服务

7、器本地CERIDAAA服务器场景5本地网关SOA服务器场景5场景5场景1场景2本地已有AAA服务器场景5802.1X接入交换机含（Web1X认证页面）场景6场景6接入网业务控制与管控纯IPV6环境下IPV4/IPV6双栈接入控制接收来自中央登录服务器的、请求联网的漫游用户的全网唯一身份标识和该漫游用户使用的客户端的IP地址；根据客户端的IP地址，利用地址匹配算法，确定该 IP 地址的所属地区；根据 IP 地址所属地区，获得所属地区的可用本地自由账号，并将所获得的可用本地自由账号分配给漫游用户，所述本地自由账号是 IP 地址所属地区中分配的可供漫游用户使用的、能够通过本地网关接入主干网的用户资源

8、。接入网业务控制与管控纯IPV6环境下IPV4/IPV6双栈过渡接入控制接入控制网关典型部署场景：接入网业务控制与管控支持IPV6多地址接入的业务控制由于IPv6地址生成方式的多样性，往往一台机器会拥有多个不同的IPv6地址，而在RADIUS协议中，并没有提供对IPv6多地址接入的支持。而且，在现有技术中，尚不存在对具有多个不同的IPv6地址的接入请求进行接入控制的机制，最新的RFC协议文档中也只提供了对单 IPv6 接入的理论支持。因此，通过对 RADIUS 协议进行扩展，实现了 IPv6 多地址接入。接入网业务控制与管控支持IPV6多地址接入的业务控制在接入控制网关处，接收包含用户信息和多

9、个 IPv6 地址的接入请求，通过将多个 IPv6地址进行拼接而形成 RADIUS 认证请求，并将该 RADIUS 认证请求发送至 RADIUS 认证服务器；以及在 RADIUS认证服务器处，接收并解析 RADIUS 认证请求以获得 RADIUS 认证请求中包含的多个IPv6地址，对用户信息和每一个IPv6地址进行认证和授权，并向接入控制网关返回 RADIUS 认证结果。如果 RADIUS 认证结果指示用户信息认证通过，则接入控制网关根据RADIUS 认证结果为多个 IPv6 地址开通相应的访问权限。将多个 IPv6 地址拼接后保存在 RADIUS 认证请求的 Called-Station-I

10、d属性字段中。RADIUS 协议利用 FreeRadius 库来实现。接入网业务控制与管控支持IPV6多地址接入的业务控制另一个方面，提供了一种支持 IPv6 多地址接入的接入控制网关，包括：地址拼接单元，被配置为：接收包含用户信息和多个IPv6地址的接入请求，通过将多个IPv6地址进行拼接而形成RADIUS认证请求，并将该RADIUS认证请求发送至RADIUS认证服务器；以及结果处理单元，被配置为：接收并处理来自RADIUS认证服务器的RADIUS认证结果。接入网业务控制与管控支持IPV6多地址接入的业务控制部署流程图主干网大流量IP层分析互联口基于标识的流量IP统计分析基于多节点流量数据去

11、重的大流量独立IP分析主干网大流量IP层分析基于标识的流量统计分析系统成功展示-绕圈流量：主干网大流量IP层分析基于标识的流量统计分析-地址对主干网大流量IP层分析基于标识的流量统计分析-地址块主干网大流量IP层分析基于标识的流量统计分析-地址下钻主干网大流量IP层分析基于标识的流量统计分析-URL主干网大流量IP层分析基于多节点流量数据去重的大流量独立IP分析-子域名下钻主干网大流量IP层分析基于多节点流量数据去重的大流量独立IP分析-域名IP下钻主干网大流量IP层分析基于多节点流量数据去重的大流量独立IP分析-解析IP下钻下一代互联网管控系统根据IP地址追溯用户身份主流PC和移动认证客户端

12、有线和无线网络实名制关防下一代互联网管控系统根据IP地址追溯用户身份SAVI及IPv6身份认证技术实现了无线场景下的源地址认证，提升了SAVI的可用性，增加了对主机移动场景的支持，提升了SAVI的灵活性，增加了用户身份与真实源地址的绑定，提升了网络行为的可溯源性。域内源地址验证技术统一了网络设备的安全管控接口、可优化过滤计算，提升了管控的效率，加强了对网络动态性的感知，提升了源地址验证的准确性。域间源地址验证技术增加了对伪造流量的实时监控，提升了域间管控的可控性。增加了地址前缀的细粒度保护，提升了域间管控的灵活性。下一代互联网管控系统根据IP地址追溯用户身份典型部署方式：CNGI-CERNET

13、2非非SAVI子网子网域内域内源地址验证源地址验证SAVI子网子网路由器路由器接入子网接入子网源地址验证源地址验证校园网校园网校园网真实地址校园网真实地址验证管理系统验证管理系统路由器路由器数数据据库库域内域内SAVASAVICNGI-CERNET2非非SAVI子网子网域内域内源地址验证源地址验证SAVI子网子网出口路由器出口路由器路由器路由器接入子网接入子网源地址验证源地址验证校园网校园网A A校园网真实地址校园网真实地址验证管理系统验证管理系统路由器路由器数数据据库库域内域内SAVASAVI校园网校园网出口路由器出口路由器校园网校园网B B域内域内源地址验证源地址验证域间域间SAVA域间域间源地址验证源地址验证域间域间SAVA下一代互联网管控系统WINDOWS、LINUX和MASOS和EID联网客户端下一代互联网管控系统实名制关防总体架构与示意图校园网校园网黑白名单DPI技术省节点省节点核心节点地址分配与网站报备Eduroam6+用户实名制学术专网客户端GFW校园网准入准出288技术网络实名制控制学术专网服务端支持IPv6访问的Web站点目录服务IP发展态势监测系统电商平台提供IPv6升级改造服务谢 谢！