宽带综合接入服务器

1、在传统城域网中，不同类型的用户使用不同的接入设备接入网络。这种接入手段的 多样性直接导致了城域网接入层设备的多样性，而接入层设备的多样性也直接对网络运营以 及业务安全带来了威胁，尤其是对有可运营可管理要求的电信网络提出了挑战。在这种多接入架构下，突出的问题就是如何保障网络、用户以及业务的安全性，并为客 户提供一个统一的业务平台。综合性的宽带接入服务器(BAS)设备的引入，为解决以上问题 提供了一种可能性。BAS定位分析传统城域网接入层存在的问题，突出表现在安全和业务应用平台上。这里的安全是一个广义的概念，包含网络的安全、业务的安全以及用户的安全。网络的 安全主要是确保运营网络不受到恶意的攻击，

2、能够避免病毒引发的带宽消耗、流量资源消耗、 CPU处理能力消耗、ARP风暴等。而业务的安全则应该能够避免用户的IP地址仿冒、MAC 地址仿冒、共享账、账跨区域使用等。用户的安全就要求运营商能够为用户提供一个安全的 应用环境，以保障用户的利益，避免用户受到ARP欺骗、DHCP欺骗、PPPoE服务欺骗以 及认证报文窃听和劫持。传统城域网多种接入层设备架构的存在，无法为运营商提供统一的业务平台，难以实现 统一的访问控制类业务、多媒体承载业务、VPN承载业务、多ISP业务以及可控组播业务， 同时地址管理也是一个难题。在城域网中引入BAS设备作为业务控制层，业务控制层作为接入层和汇聚层之间的垫 层，能够

3、起到承上启下的作用，同时作为城域网的安全网关和业务网关应用。BAS设备的主要技术指标BAS设备的分类方法较多，按照硬件架构可以分为集中式、分布式，按照容量可分为 大容量、中容量以及小容量，也可以按照实现设备分为独直3人$和内置BAS等。通常电信 级应用多使用独立的、分布式的、大中容量的BAS设备。BAS设备所处的网络位置决定着它是一款复杂的设备，需要支持大量的协议和规范。 从协议角度看，链路层需要支持以太网协议，包括Ethernet II IEEE802.3 LLC SNAP以及 IEEE 802.3/802.2等从功能角度看，不同于其它网络设备，BAS设备的引入不在于业务的传 递交换，而在于

4、实现对用户的控制和管理，它最重要的业务功能就是对用户的认证、授权和 计费，这三个功能相互关联，又各自独立。认证是识别用户的技术，它作为授权和计费的基 础，是最重要的环节，也是最容易出现纰漏的地方；而授权是对合法用户权限的授予，是对 认证的肯定，也是下一步计费的依据；准确灵活的计费手段则是保护客户和运营商的关键。宽带接入服务器还必须具备多种方式的用户接入，支持专线方式和拨号方式的接入，并 且支持专线和拨号用户混合接入，即可以任意定义用户是采用专线方式接入还是拨号方式接 入。设备要支持PPPoE接入功能，支持基于以太网接入和PPP接入的Portal功能，支持 WEB认证，支持802.1x认证。另外

5、，BAS可能还需要支持组播业务、业务属性管理、多ISP 业务以及VPN业务功能。BAS设备的AAA功能AAA功能是BAS所有业务功能的基础。1）对用户的认证实质上是对用户标识的认证，这就要求用户具有一个唯一且有效的用户 标识，这个标识可以是地址标识、账号或者连接端口的VLAN标识。将地址、账号同VLAN ID标识进行绑定组合使用，可以得到全程有效的用户标识。具体实现中，可以通过在靠近 用户的交换机上使用端口 VLAN，为不同的用户打上相应的VLAN ID，则VLAN ID将进化 为唯一的用户标识。利用这样的VLAN ID，BAS设备可以精确的识别每一个用户，并对用 户实施完备的控制，这就是PU

6、PV技术。BAS采用的经典认证技术有PPPoE认证、WEB认证以及802.1x认证，这三种认证技 术各有特点，应用场合不同，无优劣之分。其中PPPoE成熟可靠，符合用户使用习惯，应 用范围最广；WEB认证无需客户端，适合在热点使用，但需要配置Portal服务器，设备成 本较高，且无统一规范难于互通；802.1x与PPPoE类似，需要安装客户端软件，但交换机 支持较成熟。通常，要求BAS能够同时支持以上三种通用的认证方式，以适应不同客户群 的需要。另外，还要求设备能够支持本地认证和Radiu s认证两种方式，并支持漫游功能， 方便同一用户账号能在不同接入点登录。2）授权功能授权功能是对合法用户享

7、有权限和资源的授予，主要包括带宽、访问权限、互访权限、 服务质量以及组播权限等控制，具体看这些授权功能：带宽：通过CAR速率限制技术实现基于用户账号的带宽控制；访问权限：需要支持基 于用户分群的访问权限控制，而不仅是传统路由器的基于地址段的ACL；互访权限：需要 支持基于用户分群的互访权限控制；QoS优先级：需要根据AAA服务器的授权对用户报文 打上合法的优先级标签（DSCP或802.1p）；组播权限：提供可控组播功能，并能接受AAA 服务器的组播权限下发；另外，还要求BAS和AAA服务器之间能够提供动态修改用户权 限的机制，即动态权限授予。3）计费功能BAS和AAA服务器配合，实现用户应用的

8、计费，要求满足以下要求：灵活的计费方式： BAS和AAA服务器配合，提供多种灵活的计费方式，可以有效的吸引各层次的用户；精确 的应用量统计：计费技术的关键在于能够精确的统计用户对网络资源的使用量，包括：时长、 流量等原始计费信息；完善的计费保护机制：BAS和AAA的计费保护技术包括主备AAA 服务器、话单本地保存、实时计费、无响应超时切断以及无响应重传机制；计费抄送：可以 将用户的计费信息同时发送给网络资源提供方和租用方的AAA服务器。BAS的安全/业务网关应用结合前面的BAS业务功能，尤其是AAA功能，本节对BAS设备作为安全网关和业务 网关应用进行分析。由底层向网络核心看，运营性网络中用户

9、类型多种多样，运营商无法控制用户的行为，必须同时考虑用户自身的安全性以及防止用户对网络可能的破坏行为;网络的核心汇聚层依 赖于传统的企业网架构，设备本身抵御攻击能力弱，尤其是使用三层交换机构建的网络，实 践证明是难以抵挡各种DOS攻击；而业务层面的安全决定着能否保障业务正常开展，包括 识别用户并准确根据业务使用量向用户收费。BAS设备作为接入和核心网络之间的控制层 面引入，可以实现不可信赖的用户和脆弱的网络间的隔离，通过BAS强化安全性的安全网 关隔离，有可能保障用户的安全、网络设备、网络资源的安全和业务的安全。对于用户的安全，可以在BAS上使用物理端口、帐号7密码、应用量的绑定来实现。其 中

10、物理端口信息可以限制用户的接入地点，可有效防范账号的分时共享；帐号/密码则可以 限制用户的可接入账号，可有效防范黑账号使用，方便计费管理；对应用量的控制可有效防 范私接，并限制用户可接入的计算机数，防止NAT、Proxy形式的黑网吧非法使用。对于网络资源的保护，则主要通过BAS设备的自身控制功能，实现对地址资源、会话 资源、带宽资源以及连接资源进行保护。实现多媒体承载业务时，要求BAS能够对呼叫控 制过程进行监控，能够识别通用多媒体呼叫协议H.323/H.248/MGCP；并对呼叫进行动态控 制，为合法的呼叫动态打开逻辑通道，拒绝未经GK或SoftX许可的呼叫；还要管理终端的 地址，支持NAT

11、/PAT的终端地址和公网地址+端口的静态映射。另外，在实现有QoS保障 的实时媒体业务时，要求BAS提供带宽控制和报文优先级设置功能。无论使用什么接入方式，实现什么业务，一套灵活、完善的地址管理机制对于网络的运 营者而言都是尤为重要的。使用BAS设备提供的地址管理机制相当灵活，可以使用BAS设 备内置的DHCP Server，也可以使用外置的DHCP Server，还可以使用BAS内置的地址池。 第一种方法BAS分布式的管理地址，确保了地址管理的可靠性；第二种方法通过BAS的隔 离，可以有效保护集中式DHCP Server的安全性；第三种方案可以使用不连续的地址池，可 以有效的提高地址利用率。

12、目前，该类型设备的技术实现相对已经比较成熟，但对于不同应用场合，还有必要进一 步分析客户的特殊需求，提供具有针对性的解决方案。总而言之，只有从最终客户的实际需 求出发，结合其消费特点构建相应的业务运营模式，才能更好地推动宽带业务的全方位发展， 实现快速赢利。文章转载自网管之家： HYPERLINK /plus/view.php2aidT1116 /plus/view.php2aidT1116BRAS目录简介解释功能编辑本段简介英文缩写：BRAS (Broadband Remote Access Server)中文译名：宽带远程接入服务器分类：电信设备编辑本段解释宽带接入服务器(Broadban

13、d Remote Access Server,简称BRAS)是面向宽带网络 应用的新型接入网关，它位于骨干网的边缘层，可以完成用户带宽的 IP/ATM网的数 据接入(目前接入手段主要基于xDSL/Cable Modem/高速以太网技术(LAN)/无线宽 带数据接入(WLAN)等)，实现商业楼宇及小区住户的宽带上网、 基于IPSec(IP Security Protocol)的IP VPN服务、构建企业内部Intranet、支持ISP向用户批发业务等应用。编辑本段功能宽带接入服务器(BRAS)主要完成两方面功能，一是网络承载功能：负责终结 用户的 PPPoE (Point-to-Point Po

14、tocol Over Ethernet,是一种以太网上传送 PPP 会话的方式)连接、汇聚用户的流量功能；二是控制实现功能：与认证系统、计费系统和客户管理系统及服务策略控制系统相配合实现用户接入的认证、计费和管理功能；一种面向宽带网络应用的新型接入网关。它是宽带接入网的骨干网之间的桥梁， 提供基本的接入手段和宽带接入网的管理功能。它位于网络的边缘，提供宽带接入服 务、实现多种业务的汇聚与转发，能满足不同用户对传输容量和带宽利用率的要求， 因此是宽带用户接入的核心设备。目前国内高校局域网中也有采用bras服务的高校，例如南京市东南大学，东南大 学提供两种bras接入服务，a帐号每月免费流量20G

15、，b帐号每月免费流量2G。 前段时间，南京大学也采用了 bras接入服务，每月免费流量1G，超过1G的部分， 价格为6元/G，上网收费之高居全国高校之首。目前南京大学已经开始调整网络收费， 仿效兄弟学校采用按时收费，每月前 30小时免费，超过30小时部分，按每小时0.20 元计费，每月20元封顶。高校采用BRAS已经成为一种趋势。发展阶段BRAS （Broadband Remote Access Server，宽带远程接入服务器）是用来完成各 种宽带接入方式的宽带网络用户的接入、认证、计费、控制、管理的网络设备，是宽 带网络可运营、可管理的基石。什么是 IP BRAS ？采取高端路由器IP内核

16、架构，拥 有超过50G的大容量交换矩阵，IP Packet方式的无阻塞交换，在I/O接口板可运行非 IP协议，主要运行IP协议系统软件的电信级BRAS，可称为IP BRAS。 BRAS自 1999年开始应用，其演进的形态有明显的三个阶段：第一代：ATM内核BRAS第一代BRAS主要是用来将ADSL用户接入IP网络发展起来的，由于ATM及其 延伸技术ADSL的计费能力非常弱，不得以叠加了 BRAS这样的网关计费设备，用户 通过PPPoA或PPPoE的模拟窄带拨号方式进行时长或流量等计费方式，ADSL用户到Internet均需要通过BRAS这个ATM-IP网关。后来，由于LAN接入的用户也无法 进

17、行计费和管理，只好采用和 ADSL类似的PPPoE方式通过BRAS进行用户认证计 费，再路由至Internet。在宽带用户数量较少的发展初期，BRAS集中放置，既解决了 计费难题，又高效地分配了少而珍贵的公网IP地址，在应用中，大家还发现这一方式能有效地防止部分攻击，保护核心骨干网络，所以这种组网方式迅速成为“组网宝典”，一直保留了下来。19992001年时主流宽带网络设备是 ATM交换机，ADSL DSLAM也仅仅提供 ATM类型的端口，造成第一代BRAS均采取ATM内核的方式。随着2001年ATM国 际标准化的主要组织ITU向IP标准的全面转向，同时IP以其应用业务种类多、价格 低廉迅速占

18、领了桌面，并成功由100M以太网升格到1000M以太网，路由器也迅谏研 发出622M和2.5G POS接口，高速端口不再是 ATM 一统天下。而第一代 ATM BRAS 每端口单价昂贵，很难出高速率和高密度的GE/POS端口，不便于扩容，只能采取网关或旁挂式组网，同时也容易造成单点故障、易出现转发瓶颈，虽然大家对此是既爱 又恨，这些ATM BRAS却直接推动了第二代盒式IP BRAS的大量使用。第二代：盒式IP BRAS20022003年，不少运营商出于成本和技术发展的考虑，在2002年就开始停止扩容ATM网，一些新兴运营商历史上又根本没有建立过 ATM网，又能从容地选择性 价比更高的LAN和

19、IP DSLAM这样的纯IP接入方式，建设重点就自然转向发展 IP 城域网，随即管理计费的BRAS设备要求变得端口类型单一（只需要 FE/GE ）、性价 比高的BRAS。部分BRAS厂家于是在为ATM BRAS扩充新研发的GE/FE单板时（采 取IP over ATM方式），自然地也将该单板改造成盒式 BRAS设备，以满足这部分运 营商的需求。然而，运维部门、技术决策部门在 2004年均发现自己的宽带网络中，BRAS已 经仿佛变成了 “万金油”，网络的不同层面都会出现 BRAS的身影，BRAS原先的高效 管理和共享IP POOL的集中管理优势，已经被城域内十几台甚至数十台大大小小、 功 能性能差异巨大的BRAS分割得四分五裂。电信专家们更是深刻地认识到现网的 ATM BRAS、盒式IP BRAS不支持组播、不支持 MPLS/MPLS VPN、路由和转发能力弱、上行带宽不足、QoS和流量控制功能弱、ACL防病毒攻击能力弱、不支持IPv6等， 给网络发展带来了制约和潜在的瓶颈，这些因素，或许在不久的将来，造成难以控制 的局面。第三代：机架式IP BRAS （大容量万兆IP BRAS）自2004年开始，中国电信运营商已经有针对性地对 BR