【YD通讯标准】 IPv4 用户会话技术规范

通信标准类技术报告
YDB043—2010
IPv4用户会话技术规范
Technology Specification For IPv4 Session2010-09-27发布
中国通信标准化协会
规范性引用文件
3定义和缩略语
3.1定义
3.2缩略语，
目的和概述。
5用户会话。
会话生命周期
5.2会话类型。
5.3IP会话和IP流，
5.4IP会话侦测.
5.4.1静态IP会话侦测
5.4.2动态IP会话侦测
5.4.3PPP会话侦测
5.5IP会话恢复
5.6IP会话终止
6IP会话管理
6.1IP会话认证，授权和计费（AAA）6.2IP会话分组.
6.3IP会话监控.
6.3.1基于BFD协议的保活
6.3.2基于ARP协议的保活：
6.3.3会话群组监控。
6.4会话的流量策略
6.4.1IP流分类器，
7IP会话用户认证模式
7.1IP边缘设备对IP会话用户认证支持.附录A（资料性附录）IP会话创建和认证的用例次
YDB043—2010
YDB043—2010
本规范定义了IPv4用户会话技术规范，适用于宽带接入环境下用户建立和使用IP会话。本规范基于BBFWT-146的IPv4部分，描述了在宽带接入汇聚网中基于TR-101架构的IP用户会话和IP会话组的概念，定义了相关网元的技术规范，并对会话生命周期的各个阶段进行了描述，同时本规范还对会话恢复以及IP边缘设备的用户认证支持模式加以说明。为适应信息通信业发展对通信标准文件的需要，在信息产业部统一安排下，对于技术尚在发展中，又需要有相应的标准性文件引导其发展的领域，由中国通信标准化协会组织制定“通信标准类技术报告”，推荐有关方面参考采用。有关对本技术报告的建议和意见，向中国通信标准化协会反映。本技术报告由中国通信标准化协会提出并归口。本技术报告起草单位：华为技术有限公司本技术报告主要起草人：丁一兰。I
iiiKAoNikAca
1范围
IPv4用户会话技术规范
YDB043—2010
本规范描述了在宽带接入汇聚网中基于TR-101架构的IP用户会话和IP会话组的概念，定义了相关网元的技术规范。
IP用户会话周期包括下面一系列可能的阶段：IP用户会话的侦测和创建
一IP用户会话策略的应用和改变，包括认证授权和计费，监控，会话组等等IP用户会话的恢复和终止
对于以上的各个阶段，本规范描述了用例、机制、协议和相关的交互来保证IP用户会话的实现。另外，本规范还描述了针对IP流所需要采取的流量特殊处理。这些IP流的分类在本规范中仅限于在IP网络层和传输协议层，而更高层的如基于应用层的IP流的分类不在本规范范围之内。本规范重用了TR-59和TR-101的架构以及相关概念和术语，主要定义了家庭网关(RG)和IP边缘设备(IPedge即BNG）上的技术规范，RG和IP边缘之间使用了一系列标准的IP相关协议。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。RFC2131动态主机地址配置协议（DHCP）RFC2284PPP可扩展认证协议（EAP）RFC2684ATM适配层5承载的多协议封装（IPoEoA）RFC3046DHCP中继代理信息选项协议（DHCPoption82）RFC4014DHCP中继代理信息选项的RADIUS属性子选项BBFTR-59DSLEvolution-ArchitectureRequirementsfortheSupport of QoS-EnabledIPServicesDSL演进－支持QoS使能IP业务的架构需求BBFTR-92BroadbandRemoteAccessServer(BRAS）RequirementsDocument宽带接入服务器需求
TR-1o1Migration toEthernetBased DSLAggregation以太网为基础的DSL汇聚网的迁移BBRWT-146InternetProtocol（IP）Sessions因特网协议（IP）会话draft-ietf-bfd-base-08双向转发检测（BFD）draft-ietf-bfd-v4v6-1hop-04IPv4和IPv6的BFD3定义和缩略语
3.1定义
下列定义适用于规范。
HiiKAoNiKAca
YDB043—2010
舌Session
一个逻辑结构，表示一个提供给用户设备终端网络连接服务，关联到用户数据和控制面策略。会话可以动态创建和撤销。
IPSession
IP会话
一个会话，其数据面分类器由至少一个IP源地址和目的地址分类器组成。3.1.3
IP流IPFIow
由一个5元组IP参数流分类器定义，一个IP流是应用在会话上的流量策略的分类要素。3.1.4
流分类FlowClassify
采用一定的规则来识别符合某类特征的报文。3.1.5
流分类器FlowClassifier
在网络设备上，对报文流进行分类的一组规则的集合。3.1.6
会话保活SessionKeepalive
用来维护设备间的会话不被超时关闭的机制，例如周期性发送探测报文。3.1.7
IP边缘设备IPEdge device
服务提供商控制的设备，能管理IP会话。3.1.8
计费记录 Accounting Record
描述从会话结构中所收集信息的概要。IP边缘设备可以根据其计费策略在会话开始、结束和会话存在过程中的中间每隔一段时间创建计费记录。每个计费记录包括一个标识符，将这个计费记录唯一地匹配于生成它的会话。
3.2缩略语
下列缩略语适用于本规范，
Authentication，AuthorizationandAccounting认证授权计费Access Controller
Access Node
AddressResolutionProtocol
Authentication Server
接入控制器
接入节点
地址解析协议
认证服务器
iKAONiKAca
RADIUS
4目的和概述
Bi-directionalForwardingDetectionBroadband Network Gateway
Broadband Access Server
Customer Premise Equipment
Differentiated Services Code PointDigital Subscriber Line
ExtensibleAuthenticationProtocolGlobal User ID
Internet Protocol
IP over Ethernet
Local Area Network
Layer 2 Control Protocol
Media Access Control
Network Address Translation
PANA Authentication Agent
PANA Client PANA
双向转发检测
宽带网关
宽带接入服务器
用户侧设备
区分业务码点
YDB043—2010
数据用户业务线路
可扩展认证协议
全局用户标识
互联网协议
以太网承载的IP
局域网
第二层控制协议
媒体访问控制
网络地址翻译
PANA认证代理
客户端
接入网认证信息承载协议
Protocol forCarryingAuthenticationforNetwork Access
Password Authentication ProtocolPersonal Computer
Point-to-Point Protocol
PPP overATM
PPP over Ethernet
Public Switched Telephone NetworkRemoteAuthenticationDialInUserService密码认证协议
个人电脑
点对点协议
ATM承载的PPP
以太网承载的PPP
公共交换电话网
远端拨入用户认证服务
本规范的目的是为了定义适用于宽带接入环境下，IP用户会话及IP流的分类相关的基本概念，并且包活IP会话的认证以及管理方法，用于帮助网络运营商提供一套更广泛的可控制和可计量的IP业务，本规范的呈现形式是列举了各个网元的基本规范，用来确保整体功能的完整实现和制造商之间的互操作性。
5用户会话
会话的一般概念是，用于描述和一个给定用户相关联的所有通信流量，不管是何种接入类型或接入技术。会话一旦创建，可以看作是一个网络边缘到用户的专用接口。创建的会话提供了用户策略的供应环境，用户策略与接入方法无关，用于接入一个网络服务。一个一般会话由一组参数标识，这些参数直接从用户数据面、物理设备接口或控制面信息或者以上的综合而得到。每个一般会话和这样一个用户身份参数集关联，并称为具有一个生命周期。本文中的“用户”又可称为“订户”（subscriber），为简单起见，下文统一称为“用户”5.1会话生命周期
HiiKAoNiKAca
YDB043—2010
一个一般会话生命周期可以由如下几个阶段组成：一会话侦测和创建
一一决定并执行适用的会话策略（包括认证）一会话的恢复和终止
上面的各个阶段中，会话策略的决定和执行阶段可以伴随其他阶段进行，例如会话创建过程中可以进行认证、授权。这些阶段将在下面分章节描述，以便了解上述IP会话的会话周期的意义和机制。通常会话是由某个数据面或控制面的事件来发起创建的，这个事件必须符合一个预先确定的初始化方法，即初始化事件。例如，对IP边缘设备来说，初始化事件可以是收到一个特定的报文，并且网元能从中得到创建一个用户会话所需的足够信息。会话开始和创建阶段通常伴随着一些会话开始策略的执行，认证是其中之一。这些策略的目的在于，以会话创建过程中得到的参数、会话策略的执行情况以及计费条件为基础，评估接入权限。一旦会话创建，为保持对用户网络连接性的精确监控，要运行针对监控会话连接性的策略，并在控制面或数据面事件指示会话不再延续的时候终止会话，例如，会话的流量超过定量配额或达到固定超时时间，或者当用户断开连接等情况下，终止会话。另外还有一种情况是，由于某些特殊原因（如用户短期故障下线）或者运营商的需求，用户会话会在特定事件或者策略指导下进入禁用状态，但是会话的各项参数仍然被保留。在这种情况，该用户会话可以被特定事件重新激活，从而恢复用户会话。在会话生存期间，也可以通过会话以外的控制面或策略面事件或者二者的共同操作来改变会话状态或相关策略。服务提供商事件可以造成这种改变，例如操作员干预或用户流量达到配额。会话创建、监控和特定改变事件之后采取的预先确定动作构成用户会话策略。这些策略分成几类专用策略：控制策略，处理来自控制协议和会话相关过程的事件：流量策略，处理用户发送/接收的流量。流量策略要求用一种方法对服从策略规则的流量进行分类，通常所说的“流”的概念可以用于这种分类。每个会话还需要有某种方法进行恢复或者终止，从而在适当的时候重置或者消除用户的上下文和策略。这可以通过数据或控制平面上由用户策略/终止规则所支配的动作来做到。不过，如何通过不同的会话保活机制来定义IP会话终止的规则，会有一定的困难。一方面，保活协议的失败能表明会话终正的合理性，而另一方面，由于会话又和控制协议比如DHCP耦合在一起，所以只要该控制协议的状态处于有效，那么即便保活失败，会话应该仍然持续。这两种观点事实上都是合理的，可以应用于不同的IP会话使用实例。5.2会话类型
在宽带环境下，用户IP地址可以静态分配或动态地通过DHCP分配。用户IP地址在识别IP会话参数中担任重要部分，所以IP会话创建阶段需要考虑这些分配机制。因此，基于地址获取方法和会话的总体用途，定义出IP会话的两种类型。固定会话：特定业务，通常提供给商业终端客户，要求一个固定的IP地址和一个总是连接的IP会话，以便连续地允许外部成员或系统拥有到终端客户的连接性。这类固定IP会话某种程度上类似一条虚拟租用线路，除了最初的会话初始操作以外，没有终端用户上线/下线（登入/登出）操作或动作。
动态会话：在典型的家庭业务中，终端用户使用明确的登入/登出，发起到网络提供商的会话连接。接着，网络提供商对终端用户进行动态认证和授权，并分发合适的用户策略。这种会话类型可以模型化为动态IP会话，类似传统的PPP会话，动态配置实现。参照TR-59和TR-101的架构，IP会话通常在BRAS或者BNG上提供。本规范使用IP边缘设备这个术语指代BRAS或BNG这个位置的具体设备。5.3IP会话和IP流
HiiKAoNiKAca
YDB043—2010
将一般会话概念扩展到IP协议领域即产生了IP会话的概念。IP会话表示一个用户的IP流量，该流量和用户的IP地址等参数相关联。IP会话是网络提供商和用户IP端点间的连接及资源的一个抽象表达，并且充许对IP会话进行策略应用
如前面提到的，流量策略要求一个通过“流”定义的流分类机制。在IP会话中，就是通过5元组的IP流分类机制来定义IP流。
从上述的概述可以得到，一个基本的IP边缘设备功能需求如下：IP边缘设备须能支持IP用户会话并且须支持IP流分类的流量策略的配置。5.4IP会话侦测
本节讲述用户会话的侦测机制。运营商使用的架构可能是仅为IP、仅为PPP或是IP与PPP混合接入的模式。下面将PPP和IP会话对网元的功能需求分别列出，以便于适应接入模式的灵活性。用户会话的概念独立于处理用户流量的物理接口类型，但需要在连接P边缘设备到汇聚网的物理和逻辑接口上支持适当的会话侦测机制。特别当用户会话流量是通过DSL的汇聚网到达IP边缘设备时，这个接口相当于TR-92和TR-101架构中的V参考点。IP边缘设备需要在下面的协议栈支持IP用户会话侦测，必要时也要支持PPP用户会话侦测：-IPo802.1ad此内容来自标准下载网
—PPPoEo802.1ad
—IPo802.1Q
—PPPoEo802.1Q
IPoverRFC2684bridged
IPoverRFC2684routed
用802.1ad承载IP会话
用802.1ad承载PPPoE会话
用802.1Q承载IP会话
用802.1Q承载PPPoE会话
用RFC2684所述桥接模式承载IP会话用RFC2684所述路由模式承载IP会话—PPPoEoverRFC2684bridged用RFC2684所述桥接模式承载PPPoE会话PPPoA
ATM承载的PPP会话
另外，为了处理个别用户可同时使用PPPoE和IPoE两种协议（例如PPPoE用于因特网接入，IPoE用于机顶盒连接）这种情况下的混合的协议部署，IP边缘设备要在给定接口上同时支持两种协议。5.4.1静态IP会话侦测
拥有绑定在逻辑接口上并且不与其它用户共享的静态IP配置的用户，可以通过对应逻辑接口的静态IP会话来描述。当逻辑接口和用户之间是1：1关系时就是这种情况。这种情况下，操作员配置IP用户会话的动作视为IP会话开始事件。IP边缘设备须支持在专用逻辑接口上配置永久或静态IP用户会话。5.4.2动态IP会话侦测
IP本身没有能在用户传送数据包之前发信号通知会话开始的控制协议。在特定条件下，例如IP边缘作为DHCP中继/客户端，即将到来的IP会话由相关协议事件提前通知，但有时做不到这样，例如当用户使用的是静态IP地址的时候。因此，要为动态IP会话定义一个可当作“生命第一个信号”的事件并决定之后的处理，这个事件要允许后续进行策略应用，下面的事件可以用于定义“生命第一信号”或IP会话的开始：一IP边缘设备收到的一个DHCPDISCOVER或者DHCPREQUEST包。当满足以下条件时，这个事件标志着一个新IP会话的开始：
IP边缘设备也就是IP会话连接端点设备是用于客户IP地址分配的DHCP中继或服务器·客户配置成使用DHCP
·该消息是从客户端收到的第一个DHCP消息5
HiiKAoNiKAca
YDB043—2010
一IP边缘设备接收到的一个IP报文，这个报文的源IP地址与已经建立的会话不相关在没有DHCP机制的情况下，一个新的IP会话可以通过IP边缘接收一个用户源IP地址与已经建立的会话不相关的IP报文的方法来侦测。附录A描述了会话创建及其后的授权策略的用例。如果一个IP用户会话不是显式的通过配置明确地绑定在一个专门逻辑接口上，那么IP用户会话流量就可以被一或多个逻辑接口接收，从而允许运营商进行会话和实际接口的分离。进一步，在会话由DHCP发起的情况下，IP边缘设备有必要侦测与会话相关的DHCP租约状态，并在周期性DHCP续租过程中更新租约信息。另外，在会话由DHCP发起的情况下，通过DHCP服务器得到的DHCP租约不会覆盖AAA服务器在会话开始或后续更新时提供的会话生命周期参数（例如RADIUSSession-Timeout）。根据上述内容，针对不同网元的规范如下所述当收到唯一性用户发起的DHCPDISCOVER报文时，IP边缘设备须支持用户IP会话的创建。当收到源IP地址与已建立会话不相关的IP报文时，IP边缘设备须支持用户IP会话的创建。IP边缘设备须支持基于接口配置的IP会话创建。创建方法包括上述2种，即DHCP方法和非DHCP的方法。其中，非DHCP方法的源地址须可以配置为在某一段允许的地址范围内。IP边缘设备须遵守BBFTR-92规范的第5节列出的IP地址管理、RADIUS、地址池等相关需求。IP边缘设备须能创建与IP会话相关的地址所对应的合法路由或转发表表项。IP边缘设备须支持通过检查DHCP消息的方法来更新IP会话的租约时间。IP边缘设备须支持在DHCP租期期间维护DHCP发起的IP会话的配置。5.4.3PPP会话侦测
侦测PPP会话的机制为人所熟知，并已归纳为TR-92和TR-101中描述的特性。PPP会话主要直接依赖PPP和PPPoE协议。
IP边缘设备须按照BBFTR-92的4.4章节支持PPP会话侦测和建立。5.5IP会话恢复
用户会话在某些情况下会被出乎意料的中断，比如用户突然非正常下线后又上线，三层或二层连接由于未知原因中断。这些临时的中断并不是由于IP会话的时效到期造成的。这些中断会引起会话保活机制的失败。运营商可以出于自已的策略考虑，在保活失败的时候选择终止原IP会话或者仍保留原会话直至租约/会话时长到期。
为进一步说明会话恢复在会话生存周期中的含义，引入如下简单的状态图来描述会话生存周期中的主要状态：
图1会话状态示意图
如图1所示，会话的主要状态为激活或者禁用，这些状态可以在一定的触发条件下转化。比如，会话侦测和创建后进入激活状态，当监控动作检测到三层连接失败，如端口流量的断，则会话将从激活6
HiiKAoNiKAca
YDB043—2010
状态进入禁用状态；当会话处于禁用状态时，监控动作检测到三层连接已恢复，则会话重新回到激活状态：若会话处于激活状态，当用户DHCP租约到期或者用户发出DHCPRELEASE报文时，会话终止；若会话处于禁用状态情况下，用户租约到期或在一段可配置的时间内用户没有再次激活该会话，会话终止。会话终止后，用户被视为下线。会话从禁用状态通过某些条件触发回到激活状态，这个过程是会话恢复。下面的事件可以看作是IP会话恢复的信号：-IP边缘设备收到的一个DHCPDISCOVER或者DHCPREQUEST报文。当满足以下条件时，这个事件标志着一个IP会话的恢复：
·报文发自一个已建立IP会话的客户端·该会话目前处于禁用状态
这个用例对应于由DHCP创建的会话进行会话恢复且该会话恢复由客户端触发。由于IP边缘设备存储了相关联的原IP会话的会话信息，IP边缘设备接收到DHCP客户端发送的报文后根据预设策略（比如基于MAC和option82的线路信息）进行认证，认证成功后恢复原会话并将原会话信息和参数（比如租约信息）下发给用户。在接收到恢复的请求时，IP边缘设备也可以选择终止原会话从而发起一个新的IP会话创建。IP边缘设备收到的一个非DHCP的IP报文。当满足以下条件时，这个事件标志着一个IP会话的恢复：
·报文的源IP地址与某已建立的会话相关·该会话目前处于禁用状态
如果相关联的原会话起初不是由DHCP创建的，会话的恢复只需要将会话的状态设为使能即可，并保留原来的参数设置（比如带宽分配等）。这个用例对应于不是由DHCP创建的会话进行会话恢复。如果相关联的原会话起初是由DHCP创建的，那么IP边缘设备向用户终端发送DHCP更新消息以触发用户终端开始上线的恢复流程的协商。这个用例对应于由DHCP创建的会话进行会话恢复且该会话恢复由IF边缘设备触发。
根据上述内容，针对不同网元的规范如下所述：当收到用户发起的DHCPDISCOVER或DHCPREQUEST报文时，如果已有相关联IP会话并且该会话处于禁用状态，IP边缘设备须支持用户IP会话的恢复。进行会话恢复时，IP边缘设备须根据预设策略对DHCF客户端进行认证，认证成功后恢复客户端的IP会话。当收到源IP地址与已建立会话相关的非DHCP的IP报文时，如果已有相关联IP会话并且该会话处于禁用状态，IP边缘设备须支持用户IP会话的恢复。当收到源IP地址与已建立会话相关的IP报文时，如果已有相关联IP会话并且该会话处于禁用状态，IP边缘设备须支持向客户端发送DHCP更新报文来指示用户终端开始上线的配置。5.6IP会话终止
IP会话的终止和IP会话的特性密切相关，比如，会话的侦测和创建方法，保活机制，动态或是较静态的会话特性。下列的几个方法可以触发IP会话的终止：DHCP租约到期或者接收到用户端发出的DHCPRELEASE报文当会话是用DHCP的方法来创建的时候，会话终止也是由DHCP租约过期的各种事件来标志的。一会话保活协议失败
这点将会在会话监控章节(6.3章)详细说明。一命令性的会话终止
这个方法指的是IP边缘处理一个自动生成或者由操作员发出的会话终止命令。这种命令可能是用户策略下的时长或流量配额用完触发，也可能是用户动作产生，比如用户通过网络入口页面进行登出，或者是操作员的动作产生。工P边缘接收到这种IP会话的接入提示信息时，会做出相应的中断会话的处理。7
YDB0432010
IP边缘将IP会话终止原因填充到DHCP消息的选项字段中，将该消息发送至用户终端来指示终端进行会话终止。
接口的下层结构终止
如果用户会话或会话组所依赖的某种下层结构出现故障，比如链路中断，那么会话或会话组可以被终止或者被暂时处于禁用状态。根据以上所述，可以得到下列规范：当收到来自DHCP客户端的DHCPRELEASE报文时，IP边缘设备须终止相应的IP会话。当侦测到会话连接的配置IP地址租约到期时，IP边缘设备须终止相应的IP会话连接。当侦测到会话连接的配置IP地址续租失败时，IP边缘设备须终止相应的IP会话连接。当IP边缘设备作为DHCP服务器时，须遵从RFC2131。IP边缘设备接收到IP会话终止原因的提示信息后，将会话终止原因填充到IP会话控制信令消息中，例如填充到DHCP相应选项字段：发送至用户终端当侦测到二层或者三层连接中断的时候，IP边缘须支持终止相关IP会话或会话组的配置，或者将相关IP会话或会话组设置为禁用。6IP会话管理
相关的数据平面和控制平面事件确定了会话的生命周期，这些事件也会触发对会话的相应管理。本节介绍了实现IP会话管理所需要的机制。IP边缘设备须能够对每个会话分别按配置进行管理，包括认证、授权、计费和IP地址管理；须能够由会话控制平面时间来触发会话监控。IP边缘设备须支持根据会话的使用环境来配置和进行IP流量管理。6.1IP会话认证，授权和计费（AAA）为了鉴别用户身份，决定用户的访问权限，请求或触发会话参数的下发，会话的管理可以混合使用各种会话侦测机制。
AAA流程通常是通过RadiuSAAA协议来进行认证、计费、授权，但也可以扩展为支持其他AAA协议，如Diameter。
IP会话的现状是缺少一种机制去获取用户凭证信息来进行完整的认证。这种情况通常出现在不需要对单个用户进行认证而只需要授权的业务。为了能够收集到用户凭证信息，需要建立一个IP会话用户认证模型，这点将在第7章中详细讨论。服务提供商会对未完全识别身份的用户开放业务，比如依据用户线路号来提供业务，这种情况可以直接使用用来触发会话建立的报文中的会话标识符。在这里，IP会话可以使用如下一条或多条的标识符策略：
1）DHCPDISCOVER报文或ACK报文中包含的DHCP选项（如Option82中的Circuit-id/Remote-id或者Option-6o的Vendorclass-id2）DHCP报文中包含的源MAC地址3）报文的源IP地址
4）报文的入接口标识，如VCI/VPI在某些情况下，报文的源MAC地址是一种有用的标识符，但对于IP报文，最好把报文的源MAC地址视作是上述1、2、3的补充。源MAC地址和IP地址绑定是应有的安全机制的一个部分，如TR-101章节5.7所述。
YDB043—2010
上述方法表明一个IP会话有可能使用多个标识符，所以更好的方式是使用与用户的接入方式无关的标识符，比如，用户全局ID（GlobalUserID-GUID）。GUID可以用于AAA消息，来传递其他一些信息，如端口号及其它有用信息。
如果使用DHCP进行地址分配和侦测会话建立，需要一些额外考虑：-IP边缘设备需要有DHCPrelay、proxy、或server的功能一IP边缘设备需要监控DHCP协商过程。当地址分配后，IP边缘设备能对IP和ARP转发表项进行维护。同样的，IP与MAC地址也需要在IP边缘设备上进行绑定，来防止spoof攻击、服务窃取攻击和DoS攻击。
一一在三层批发场景下，为支持不同IP地址段分配，IP边缘设备需要支持为每个会话指定地址池或将DHCP消息直接转到特定DHCP服务器的机制。一IP边缘设备需要保留DHCP租期信息，这和IP会话的状态密切相关。一DHCP租期时间需要与AAA服务器提供的会话超时时间（sessiontimeout）同步，来避免会话连接长时间丢失，特别是当在本地网关和IP边缘设备间没有保活协议运行的情况下。对于静态IP地址的用户，创建IP会话时，IP边缘设备也必须能根据用户权限维护IP转发表项并能够对IP地址和源MAc地址进行绑定来防止spoof攻击，hijack攻击和Dos攻击，当一个会话认证成功并完成授权，IP边缘设备应该能够获取用户会话策略。相反的，如果IP会话没有通过认证和授权，IP边缘设备应该对会话对应的流应用默认策略或默认网络服务。当会话认证超时，IP边缘设备应立即终止会话，防止遭到flood攻击。IP会话流的计费可以使用通行的开始/中间更新/结束的AAA机制来完成。IP边缘设备在Radius授权的情况下须支持可配置的基于策略的机制。IP边缘设备须能够终止在可以配置的时间内认证未通过的会话，IP边缘设备应具备DHCPRelay或Proxy的功能。IP边缘设备须支持根据AAA认证授权过程中RadiuS服务器返回的信息，将DHCPDISCOVER报文转发到Radius指定的DHCP服务器上。
IP边缘设备须支持可以配置的会话标识，并应该支持下面所列的标识符的混合：DHCPDISCOVER报文中，Option82字段中的Circuit-id或/和Remote-idDHCPDISCOVER报文中的Option60字段—DHCPDISCOVER报文中的源MAC地址字段一报文的源IP地址
一报文的源MAC地址
IP边缘设备须能够使用上述规范-26中的标识符来触发IP会话的认证授权。对于使用DHCP建立的会话，IP边缘设备须能够根据会话认证和授权所返回的信息，在特定地址池中为一个会话分配地址。另外，IP边缘设备须支持根据认证和授权所返回的参数，将DHCPREQUEST报文转发给特定DHCP服务器。
对于使用DHCP建立的会话，IP边缘设备须支持能在DHCP续约前重新向AAA服务器请求授权的配置。IP边缘设备应该支持为会话指定一个全局用户标识（GUID）来用于认证授权。这个GUID在会话周期内一直存在，并且也可以为外部系统所知。IP边缘设备应该支持通过某种方式在AAA数据库中查找IP流分类标识的方法，并在会话认证/授权阶段，使用该IP流分类标识来进行针对会话的流量管理的应用。IP边缘节点须根据控制层面事件，如AAA服务器消息，触发对用户权限进行动态管理IP边缘节点须能够用作动态授权服务器。IP边缘设备须支持IP和PPP会话的Radiusstart/stop/interim计费。9
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。