在传统城域网中,不同类型的用户使用不同的接入设备接入网络。这种接入手段的 多样性直接导致了城域网接入层设备的多样性,而接入层设备的多样性也直接对网络运 营以及业务平安带来了威胁,尤其是对有可运营可管理要求的电信网络提出了挑战。 在这种多接入架构下,突出的问题就是如何保障网络、用户以及业务的平安性,并 为客户提供一个统一的业务平台。综合性的宽带接入效劳器(BAS)设备的引入,为解决以 上问题提供了一种可能性。 BAS定位 分析传统城域网接入层存在的问题,突出表如今平安和业务应用平台上。 这里的平安是一个广义的概念,包含网络的平安、业务的平安以及用户的平安。网 络的平安主要是确保运营网络不受到恶意的攻击,可以防止病毒引发的带宽消耗、流量 资源消耗、CPU处理才能消耗、ARP风暴等。而业务的平安那么应该可以防止用户的IP地 址仿冒、MAC地址仿冒、共享账、账跨区域使用等。用户的平安就要求运营商可以为用户 提供一个平安的应用环境,以保障用户的利益,防止用户受到ARP欺骗、DHCP欺骗、PPP oE效劳欺骗以及认证报文窃听和劫持。 传统城域网多种接入层设备架构的存在,无法为运营商提供统一的业务平台,难以 实现统一的访问控制类业务、多媒体承载业务、VPN承载业务、多ISP业务以及可控组播 业务,同时地址管理也是一个难题。 在城域网中引入BAS设备作为业务控制层,业务控制层作为接入层和会聚层之间的垫 层,可以起到承上启下的作用,同时作为城域网的平安网关和业务网关应用。 BAS设备的主要技术指标 BAS设备的分类方法较多,按照硬件架构可以分为集中式、分布式,按照容量可分为 大容量、中容量以及小容量,也可以按照实现设备分为独立BAS和内置BAS等。通常电信 级应用多使用独立的、分布式的、大中容量的BAS设备。 BAS设备所处的网络位置决定着它是一款复杂的设备,需要支持大量的协议和标准。 从协议角度看,链路层需要支持以太网协议,包括Ethernet II、IEEE802.3 LLC SNAP以及IEEE 802.3/802.2 等从功能角度看,不同于其它网络设备,BAS设备的引入不在于业务的传递交换,而在于 实现对用户的控制和管理,它最重要的业务功能就是对用户的认证、授权和计费,这三 个功能互相关联,又各自独立。认证是识别用户的技术,它作为授权和计费的根底,是 最重要的环节,也是最容易出现纰漏的地方;而授权是对合法用户权限的授予,是对认 证的肯定,也是下一步计费的根据;准确灵敏的计费手段那么是保护客户和运营商的关 键。 宽带接入效劳器还必须具备多种方式的用户接入,支持专线方式和拨号方式的接入 ,并且支持专线和拨号用户混合接入,即可以任意定义用户是采用专线方式接入还是拨 号方式接入。设备要支持PPPoE 接入功能,支持基于以太网接入和PPP接入的Portal功能,支持WEB认证,支持802.1x认 证。另外,BAS可能还需要支持组播业务、业务属性管理、多ISP业务以及VPN业务功能。 BAS设备的AAA功能 AAA功能是BAS所有业务功能的根底。 1)对用户的认证本质上是对用户标识的认证,这就要求用户具有一个唯一且有效的 用户标识,这个标识可以是地址标识、账号或者连接端口的VLAN标识。将地址、账号同 VLAN ID标识进展绑定组合使用,可以得到全程有效的用户标识。详细实现中,可以通过在靠 近用户的交换机上使用端口VLAN,为不同的用户打上相应的VLAN ID,那么VLAN ID将进化为唯一的用户标识。利用这样的VLAN ID,BAS设备可以准确的识别每一个用户,并对用户施行完备的控制,这就是PUPV技术。 BAS采用的经典认证技术有PPPoE认证、WEB认证以及802.1x认证,这三种认证技术各 有特点,应用场合不同,无优劣之分。其中PPPoE 成熟可靠,符合用户使用习惯,应用范围最广;WEB认证无需客户端,适宜在热点使用, 但需要配置Portal效劳器,设备本钱较高,且无统一标准难于互通;802.1x与PPPoE类似 ,需要安装客户端软件,但交换机支持较成熟。通常,要求BAS可以同时支持以上三种通 用的认证方式,以适应不同客户群的需要。另外,还要求设备可以支持本地认证和 Radiu s 认证两种方式,并支持遨游功能,方便同一用户账号能在不同接入点登录。 2)授权功能 授权功能是对合法用户享有权限和资源的授予,主要包括带宽、访问权限、互访权 限、效劳质量以及组播权限等控制,详细看这些授权功能: 带宽:通过CAR速率限制技术实现基于用户账号的带宽控制;访问权限:需要支持基 于用户分群的访问权限控制,
