技術領域

本發明屬于IP（互聯網協議）領域，尤其涉及實現用戶數據實時同步的方法和系統。

背景技術

在公有IPv4（互聯網協議版本4）地址逐漸耗盡的情況下，運營商只能通過給用戶分配私有IPv4地址，或者IPv6（互聯網協議版本6）地址來完成用戶的網絡接入。

考慮到目前絕大部分的互聯網內容還都是基于IPv4，在給用戶分配這樣的地址后，運營商還需要考慮如何通過部署NAT（Network Address Translation，網絡地址轉換）設備來實現私有IPv4地址或者IPv6地址到公有IPv4地址的轉換。

一般情況下，運營商會把CGN（Carrier Grade NAT，電信級網絡地址轉換）設備集中部署在城域網出口。為了對網絡流量進行深入的分析和控制，運營商還會在城域網出口集中部署DPI（Deep Packet Inspection，深度包檢測）設備。DPI設備可根據用戶帳號以及用戶上線時AAA（認證、授權和計費）服務器發給DPI設備的帳號與IP地址的對應關系，提前下發針對該用戶的流量分析和控制策略。

在集中式CGN設備引入之前，AAA服務器分配給用戶的源地址，與DPI設備看到的數據流源地址是一一對應的，這樣就可以實現DPI設備分析、控制策略與用戶上下線過程的實時同步；而在引入集中式CGN設備后，AAA服務器下發給用戶的是私有IPv4地址，或者是IPv6地址，但DPI設備看到的是經CGN設備轉換后的公有IPv4地址，如何將用戶帳號與經CGN設備轉換后的公有IPv4地址對應起來就成了一個必須要解決的問題。

目前針對該問題的解決方案，是在CGN設備收到用戶發起的數據流，創建相應的NAT映射表項后，由CGN設備向一個Syslog Server進行映射表上報，之后再由Syslog Server向DPI設備上報，這樣DPI設備就可以根據用戶帳號、用戶私有IPv4地址或用戶IPv6地址、CGN映射后地址間的對應關系進行正確的策略執行。

上述方案中映射表的建立是由用戶數據流觸發，無法實現用戶數據實時同步。所有這一切都會影響后續流量分析和控制效果的準確性。即，會造成DPI設備所下發的用戶分析與控制策略執行的滯后；另外，對應映射表的刪除只能由CGN設備的老化時間決定，也會造成對應策略撤銷的滯后。

發明內容

鑒于以上，本發明提出實現用戶數據實時同步的方法和系統。

根據本發明一方面，提出實現用戶數據實時同步的系統，包括：

認證、授權和計費（AAA）服務器，配置于接收用戶的認證信息，包括用戶賬號和密碼，并在認證成功后，通過信令接口向部署在城域網出口的電信級網絡地址轉換（CGN）設備發送該用戶的私有互聯網協議版本4（IPv4）地址或公有互聯網協議版本6（IPv6）地址、以及源傳輸控制協議（TCP）/用戶數據報協議（UDP）端口；接收CGN設備發送的映射表，并向深度包檢測（DPI）設備發送用戶帳號與公有IPv4地址的對應關系；

CGN設備，配置于形成映射表，該映射表包括用戶私有IPv4地址或者公有IPv6地址、源TCP/UDP端口、經CGN設備映射后的公有IPv4地址、以及映射后的TCP/UDP端口，并向AAA服務器返回該映射表；

DPI設備，配置于接收并保存AAA服務器發送的用戶帳號與公有IPv4地址的對應關系。

在本發明的一實施例中，所述實現用戶數據實時同步的系統，包括：DPI設備下發針對公有IPv4地址、端口以及協議的控制策略。

在本發明的一實施例中，所述實現用戶數據實時同步的系統，包括：AAA服務器通知DPI設備用戶已正常下線；AAA服務器通過信令接口向CGN設備發送撤銷掉對應的映射表的通知，在該撤銷通知中包括私有IPv4地址或者公有IPv6地址。

在本發明的一實施例中，所述實現用戶數據實時同步的系統，包括：AAA服務器通知DPI設備撤銷針對該映射后公有IPv4地址的控制策略。

在本發明的一實施例中，所述實現用戶數據實時同步的系統，包括：AAA服務器與CGN設備之間的信令接口通過TCP或者UDP協議來承載。

根據本發明另一方面，還提出實現用戶數據實時同步的方法，包括：

AAA服務器接收用戶的認證信息，包括用戶賬號和密碼；

在認證成功后，AAA服務器通過信令接口向部署在城域網出口的CGN設備發送該用戶的私有IPv4地址或公有IPv6地址、以及源TCP/UDP端口；