宽带综合接入服务器(BAS).docVIP

在传统城域网中，不同类型的用户使用不同的接入设备接入网络。这种接入手段的多样性直接导致了城域网接入层设备的多样性，而接入层设备的多样性也直接对网络运营以及业务安全带来了威胁，尤其是对有可运营可管理要求的电信网络提出了挑战。 　　 　　在这种多接入架构下，突出的问题就是如何保障网络、用户以及业务的安全性，并为客户提供一个统一的业务平台。综合性的宽带接入服务器(BAS)设备的引入，为解决以上问题提供了一种可能性。 　　 　　BAS定位 　　分析传统城域网接入层存在的问题，突出表现在安全和业务应用平台上。 　　 　　这里的安全是一个广义的概念，包含网络的安全、业务的安全以及用户的安全。网络的安全主要是确保运营网络不受到恶意的攻击，能够避免病毒引发的带宽消耗、流量资源消耗、CPU处理能力消耗、ARP风暴等。而业务的安全则应该能够避免用户的IP地址仿冒、MAC地址仿冒、共享账、账跨区域使用等。用户的安全就要求运营商能够为用户提供一个安全的应用环境，以保障用户的利益，避免用户受到ARP欺骗、DHCP欺骗、PPPoE服务欺骗以及认证报文窃听和劫持。 　　 　　传统城域网多种接入层设备架构的存在，无法为运营商提供统一的业务平台，难以实现统一的访问控制类业务、多媒体承载业务、VPN承载业务、多ISP业务以及可控组播业务，同时地址管理也是一个难题。 　　 　　在城域网中引入BAS设备作为业务控制层，业务控制层作为接入层和汇聚层之间的垫层，能够起到承上启下的作用，同时作为城域网的安全网关和业务网关应用。 　　 　　BAS设备的主要技术指标 　　BAS设备的分类方法较多，按照硬件架构可以分为集中式、分布式，按照容量可分为大容量、中容量以及小容量，也可以按照实现设备分为独立BAS和内置BAS等。通常电信级应用多使用独立的、分布式的、大中容量的BAS设备。 　　 　　BAS设备所处的网络位置决定着它是一款复杂的设备，需要支持大量的协议和规范。从协议角度看，链路层需要支持以太网协议，包括Ethernet II、IEEE802.3 LLC SNAP以及IEEE 802.3/802.2 等从功能角度看，不同于其它网络设备，BAS设备的引入不在于业务的传递交换，而在于实现对用户的控制和管理，它最重要的业务功能就是对用户的认证、授权和计费，这三个功能相互关联，又各自独立。认证是识别用户的技术，它作为授权和计费的基础，是最重要的环节，也是最容易出现纰漏的地方；而授权是对合法用户权限的授予，是对认证的肯定，也是下一步计费的依据；准确灵活的计费手段则是保护客户和运营商的关键。 　　 　　宽带接入服务器还必须具备多种方式的用户接入，支持专线方式和拨号方式的接入，并且支持专线和拨号用户混合接入，即可以任意定义用户是采用专线方式接入还是拨号方式接入。设备要支持PPPoE 接入功能，支持基于以太网接入和PPP接入的Portal功能，支持WEB认证，支持802.1x认证。另外，BAS可能还需要支持组播业务、业务属性管理、多ISP业务以及VPN业务功能。 　　 　　BAS设备的AAA功能 　　AAA功能是BAS所有业务功能的基础。 　　 　　1)对用户的认证实质上是对用户标识的认证，这就要求用户具有一个唯一且有效的用户标识，这个标识可以是地址标识、账号或者连接端口的VLAN标识。将地址、账号同VLAN ID标识进行绑定组合使用，可以得到全程有效的用户标识。具体实现中，可以通过在靠近用户的交换机上使用端口VLAN，为不同的用户打上相应的VLAN ID，则VLAN ID将进化为唯一的用户标识。利用这样的VLAN ID，BAS设备可以精确的识别每一个用户，并对用户实施完备的控制，这就是PUPV技术。 　　 　　BAS采用的经典认证技术有PPPoE认证、WEB认证以及802.1x认证，这三种认证技术各有特点，应用场合不同，无优劣之分。其中PPPoE 成熟可靠，符合用户使用习惯，应用范围最广；WEB认证无需客户端，适合在热点使用，但需要配置Portal服务器，设备成本较高，且无统一规范难于互通；802.1x与PPPoE类似，需要安装客户端软件，但交换机支持较成熟。通常，要求BAS能够同时支持以上三种通用的认证方式，以适应不同客户群的需要。另外，还要求设备能够支持本地认证和 Radiu s 认证两种方式，并支持漫游功能，方便同一用户账号能在不同接入点登录。 　　 　　2)授权功能 　　 　　授权功能是对合法用户享有权限和资源的授予，主要包括带宽、访问权限、互访权限、服务质量以及组播权限等控制，具体看这些授权功能： 　　 　　带宽：通过CAR速率限制技术实现基于用户账号的带宽控制；访问权限：需要支持基于用户分群的访问权限控制，而不仅是传统路由器的基于地址段的ACL；互访权限：需要支持基于用户分群