寬帶綜合接入服務器(BAS)

在傳統(tǒng)城域網(wǎng)中，不同類型的用戶使用不同的接入設備接入網(wǎng)絡。這種接入手段的

多樣性直接導致了城域網(wǎng)接入層設備的多樣性，而接入層設備的多樣性也直接對網(wǎng)絡運營以

及業(yè)務安全帶來了威脅，尤其是對有可運營可管理要求的電信網(wǎng)絡提出了挑戰(zhàn)。

在這種多接入架構下，突出的問題就是如何保障網(wǎng)絡、用戶以及業(yè)務的安全性，并為客

戶提供一個統(tǒng)一的業(yè)務平臺。綜合性的寬帶接入服務器(BAS)設備的引入，為解決以上問題

提供了一種可能性。

BAS定位

分析傳統(tǒng)城域網(wǎng)接入層存在的問題，突出表現(xiàn)在安全和業(yè)務應用平臺上。

這里的安全是一個廣義的概念，包含網(wǎng)絡的安全、業(yè)務的安全以及用戶的安全。網(wǎng)絡的

安全主要是確保運營網(wǎng)絡不受到惡意的攻擊，能夠避免病毒引發(fā)的帶寬消耗、流量資源消耗、

CPU處理能力消耗、ARP風暴等。而業(yè)務的安全則應該能夠避免用戶的IP地址仿冒、MAC

地址仿冒、共享賬、賬跨區(qū)域使用等。用戶的安全就要求運營商能夠為用戶提供一個安全的

應用環(huán)境，以保障用戶的利益，避免用戶受到ARP欺騙、DHCP欺騙、PPPoE服務欺騙以

及認證報文竊聽和劫持。

傳統(tǒng)城域網(wǎng)多種接入層設備架構的存在，無法為運營商提供統(tǒng)一的業(yè)務平臺，難以實現(xiàn)

統(tǒng)一的訪問控制類業(yè)務、多媒體承載業(yè)務、VPN承載業(yè)務、多ISP業(yè)務以及可控組播業(yè)務，

同時地址管理也是一個難題。

在城域網(wǎng)中引入BAS設備作為業(yè)務控制層，業(yè)務控制層作為接入層和匯聚層之間的墊

層，能夠起到承上啟下的作用，同時作為城域網(wǎng)的安全網(wǎng)關和業(yè)務網(wǎng)關應用。

BAS設備的主要技術指標

BAS設備的分類方法較多，按照硬件架構可以分為集中式、分布式，按照容量可分為

大容量、中容量以及小容量，也可以按照實現(xiàn)設備分為獨立BAS和內(nèi)置BAS等。通常電信

級應用多使用獨立的、分布式的、大中容量的BAS設備。

BAS設備所處的網(wǎng)絡位置決定著它是一款復雜的設備，需要支持大量的協(xié)議和規(guī)范。

從協(xié)議角度看，鏈路層需要支持以太網(wǎng)協(xié)議，包括Ethernet II、IEEE802.3 LLC SNAP以及

IEEE 802.3/802.2 等從功能角度看，不同于其它網(wǎng)絡設備，BAS設備的引入不在于業(yè)務的傳

遞交換，而在于實現(xiàn)對用戶的控制和管理，它最重要的業(yè)務功能就是對用戶的認證、授權和

計費，這三個功能相互關聯(lián)，又各自獨立。認證是識別用戶的技術，它作為授權和計費的基

礎，是最重要的環(huán)節(jié)，也是最容易出現(xiàn)紕漏的地方；而授權是對合法用戶權限的授予，是對

認證的肯定，也是下一步計費的依據(jù)；準確靈活的計費手段則是保護客戶和運營商的關鍵。

寬帶接入服務器還必須具備多種方式的用戶接入，支持專線方式和撥號方式的接入，并

且支持專線和撥號用戶混合接入，即可以任意定義用戶是采用專線方式接入還是撥號方式接

入。設備要支持PPPoE 接入功能，支持基于以太網(wǎng)接入和PPP接入的Portal功能，支持

WEB認證，支持802.1x認證。另外，BAS可能還需要支持組播業(yè)務、業(yè)務屬性管理、多ISP

業(yè)務以及VPN業(yè)務功能。

BAS設備的AAA功能

AAA功能是BAS所有業(yè)務功能的基礎。

1)對用戶的認證實質(zhì)上是對用戶標識的認證，這就要求用戶具有一個唯一且有效的用戶

標識，這個標識可以是地址標識、賬號或者連接端口的VLAN標識。將地址、賬號同VLAN

ID標識進行綁定組合使用，可以得到全程有效的用戶標識。具體實現(xiàn)中，可以通過在靠近

用戶的交換機上使用端口VLAN，為不同的用戶打上相應的VLAN ID，則VLAN ID將進化

為唯一的用戶標識。利用這樣的VLAN ID，BAS設備可以精確的識別每一個用戶，并對用

戶實施完備的控制，這就是PUPV技術。

BAS采用的經(jīng)典認證技術有PPPoE認證、WEB認證以及802.1x認證，這三種認證技

術各有特點，應用場合不同，無優(yōu)劣之分。其中PPPoE 成熟可靠，符合用戶使用習慣，應

用范圍最廣；WEB認證無需客戶端，適合在熱點使用，但需要配置Portal服務器，設備成

本較高，且無統(tǒng)一規(guī)范難于互通；802.1x與PPPoE類似，需要安裝客戶端軟件，但交換機

支持較成熟。通常，要求BAS能夠同時支持以上三種通用的認證方式，以適應不同客戶群

的需要。另外，還要求設備能夠支持本地認證和 Radiu s 認證兩種方式，并支持漫游功能，

方便同一用戶賬號能在不同接入點登錄。

2)授權功能

授權功能是對合法用戶享有權限和資源的授予，主要包括帶寬、訪問權限、互訪權限、

服務質(zhì)量以及組播權限等控制，具體看這些授權功能：

帶寬：通過CAR速率限制技術實現(xiàn)基于用戶賬號的帶寬控制；訪問權限：需要支持基

于用戶分群的訪問權限控制，而不僅是傳統(tǒng)路由器的基于地址段的ACL；互訪權限：需要

支持基于用戶分群的互訪權限控制；QoS優(yōu)先級：需要根據(jù)AAA服務器的授權對用戶報文

打上合法的優(yōu)先級標簽(DSCP或802.1p) ；組播權限：提供可控組播功能，并能接受AAA

服務器的組播權限下發(fā)；另外，還要求BAS和AAA服務器之間能夠提供動態(tài)修改用戶權

限的機制，即動態(tài)權限授予。

3)計費功能

BAS和AAA服務器配合，實現(xiàn)用戶應用的計費，要求滿足以下要求：靈活的計費方式：

BAS和AAA服務器配合，提供多種靈活的計費方式，可以有效的吸引各層次的用戶；精確

的應用量統(tǒng)計：計費技術的關鍵在于能夠精確的統(tǒng)計用戶對網(wǎng)絡資源的使用量，包括：時長、

流量等原始計費信息；完善的計費保護機制：BAS和AAA的計費保護技術包括主備AAA

服務器、話單本地保存、實時計費、無響應超時切斷以及無響應重傳機制；計費抄送：可以

將用戶的計費信息同時發(fā)送給網(wǎng)絡資源提供方和租用方的AAA服務器。

BAS的安全/業(yè)務網(wǎng)關應用

結合前面的BAS業(yè)務功能，尤其是AAA功能，本節(jié)對BAS設備作為安全網(wǎng)關和業(yè)務

網(wǎng)關應用進行分析。

由底層向網(wǎng)絡核心看，運營性網(wǎng)絡中用戶類型多種多樣，運營商無法控制用戶的行為，

必須同時考慮用戶自身的安全性以及防止用戶對網(wǎng)絡可能的破壞行為；網(wǎng)絡的核心匯聚層依

賴于傳統(tǒng)的企業(yè)網(wǎng)架構，設備本身抵御攻擊能力弱，尤其是使用三層交換機構建的網(wǎng)絡，實

踐證明是難以抵擋各種DOS攻擊；而業(yè)務層面的安全決定著能否保障業(yè)務正常開展，包括

識別用戶并準確根據(jù)業(yè)務使用量向用戶收費。BAS設備作為接入和核心網(wǎng)絡之間的控制層

面引入，可以實現(xiàn)不可信賴的用戶和脆弱的網(wǎng)絡間的隔離，通過BAS強化安全性的安全網(wǎng)

關隔離，有可能保障用戶的安全、網(wǎng)絡設備、網(wǎng)絡資源的安全和業(yè)務的安全。

對于用戶的安全，可以在BAS上使用物理端口、帳號/密碼、應用量的綁定來實現(xiàn)。其

中物理端口信息可以限制用戶的接入地點，可有效防范賬號的分時共享；帳號/密碼則可以

限制用戶的可接入賬號，可有效防范黑賬號使用，方便計費管理；對應用量的控制可有效防

范私接，并限制用戶可接入的計算機數(shù)，防止NAT、Proxy形式的黑網(wǎng)吧非法使用。

對于網(wǎng)絡資源的保護，則主要通過BAS設備的自身控制功能，實現(xiàn)對地址資源、會話

資源、帶寬資源以及連接資源進行保護。實現(xiàn)多媒體承載業(yè)務時，要求BAS能夠?qū)艚锌?/span>

制過程進行監(jiān)控，能夠識別通用多媒體呼叫協(xié)議H.323/H.248/MGCP；并對呼叫進行動態(tài)控

制，為合法的呼叫動態(tài)打開邏輯通道，拒絕未經(jīng)GK或SoftX許可的呼叫；還要管理終端的

地址，支持NAT/PAT的終端地址和公網(wǎng)地址+端口的靜態(tài)映射。另外，在實現(xiàn)有QoS保障

的實時媒體業(yè)務時，要求BAS提供帶寬控制和報文優(yōu)先級設置功能。

無論使用什么接入方式，實現(xiàn)什么業(yè)務，一套靈活、完善的地址管理機制對于網(wǎng)絡的運

營者而言都是尤為重要的。使用BAS設備提供的地址管理機制相當靈活，可以使用BAS設

備內(nèi)置的DHCP Server，也可以使用外置的DHCP Server，還可以使用BAS內(nèi)置的地址池。

第一種方法BAS分布式的管理地址，確保了地址管理的可靠性；第二種方法通過BAS的隔

離，可以有效保護集中式DHCP Server的安全性；第三種方案可以使用不連續(xù)的地址池，可

以有效的提高地址利用率。

目前，該類型設備的技術實現(xiàn)相對已經(jīng)比較成熟，但對于不同應用場合，還有必要進一

步分析客戶的特殊需求，提供具有針對性的解決方案。總而言之，只有從最終客戶的實際需

求出發(fā)，結合其消費特點構建相應的業(yè)務運營模式，才能更好地推動寬帶業(yè)務的全方位發(fā)展，

實現(xiàn)快速贏利。

文章轉載自網(wǎng)管之家：/plus/?aid=11116

BRAS

目錄

簡介

解 釋

功能

編輯本段簡介

英文縮寫: BRAS (Broadband Remote Access Server)

中文譯名: 寬帶遠程接入服務器

分 類: 電信設備

編輯本段解 釋

寬帶接入服務器（Broadband Remote Access Server,簡稱BRAS）是面向?qū)拵ЬW(wǎng)絡

應用的新型接入網(wǎng)關，它位于骨干網(wǎng)的邊緣層，可以完成用戶帶寬的IP/ATM網(wǎng)的數(shù)

據(jù)接入（目前接入手段主要基于xDSL/Cable Modem/高速以太網(wǎng)技術（LAN）/無線寬

帶數(shù)據(jù)接入(WLAN)等），實現(xiàn)商業(yè)樓宇及小區(qū)住戶的寬帶上網(wǎng)、基于IPSec（IP Security

Protocol）的IP VPN服務、構建企業(yè)內(nèi)部Intranet、支持ISP向用戶批發(fā)業(yè)務等應用。

編輯本段功能

寬帶接入服務器（BRAS）主要完成兩方面功能，一是網(wǎng)絡承載功能：負責終結

用戶的PPPoE（Point-to-Point Potocol Over Ethernet,是一種以太網(wǎng)上傳送PPP會話的

方式）連接、匯聚用戶的流量功能；二是控制實現(xiàn)功能：與認證系統(tǒng)、計費系統(tǒng)和客

戶管理系統(tǒng)及服務策略控制系統(tǒng)相配合實現(xiàn)用戶接入的認證、計費和管理功能；

一種面向?qū)拵ЬW(wǎng)絡應用的新型接入網(wǎng)關。它是寬帶接入網(wǎng)的骨干網(wǎng)之間的橋梁，

提供基本的接入手段和寬帶接入網(wǎng)的管理功能。它位于網(wǎng)絡的邊緣，提供寬帶接入服

務、實現(xiàn)多種業(yè)務的匯聚與轉發(fā)，能滿足不同用戶對傳輸容量和帶寬利用率的要求，

因此是寬帶用戶接入的核心設備。

目前國內(nèi)高校局域網(wǎng)中也有采用bras服務的高校，例如南京市東南大學，東南大

學提供兩種bras接入服務，@a帳號每月免費流量20G，@b帳號每月免費流量2G。

前段時間，南京大學也采用了bras接入服務，每月免費流量1G，超過1G的部分，

價格為6元/G，上網(wǎng)收費之高居全國高校之首。目前南京大學已經(jīng)開始調(diào)整網(wǎng)絡收費，

仿效兄弟學校采用按時收費，每月前30小時免費，超過30小時部分，按每小時0.20

元計費，每月20元封頂。高校采用BRAS已經(jīng)成為一種趨勢。

發(fā)展階段

BRAS（Broadband Remote Access Server，寬帶遠程接入服務器）是用來完成各

種寬帶接入方式的寬帶網(wǎng)絡用戶的接入、認證、計費、控制、管理的網(wǎng)絡設備，是寬

帶網(wǎng)絡可運營、可管理的基石。什么是IP BRAS？采取高端路由器IP內(nèi)核架構，擁

有超過50G的大容量交換矩陣，IP Packet方式的無阻塞交換，在I/O接口板可運行非

IP協(xié)議，主要運行IP協(xié)議系統(tǒng)軟件的電信級BRAS，可稱為IP BRAS。 BRAS自

1999年開始應用，其演進的形態(tài)有明顯的三個階段：

ATMBRAS

第一代：內(nèi)核

第一代BRAS主要是用來將ADSL用戶接入IP網(wǎng)絡發(fā)展起來的，由于ATM及其

延伸技術ADSL的計費能力非常弱，不得以疊加了BRAS這樣的網(wǎng)關計費設備，用戶

通過PPPoA或PPPoE的模擬窄帶撥號方式進行時長或流量等計費方式，ADSL用戶

到Internet均需要通過BRAS這個ATM-IP網(wǎng)關。后來，由于LAN接入的用戶也無法

進行計費和管理，只好采用和ADSL類似的PPPoE方式通過BRAS進行用戶認證計

費，再路由至Internet。在寬帶用戶數(shù)量較少的發(fā)展初期，BRAS集中放置，既解決了

計費難題，又高效地分配了少而珍貴的公網(wǎng)IP地址，在應用中，大家還發(fā)現(xiàn)這一方

式能有效地防止部分攻擊，保護核心骨干網(wǎng)絡，所以這種組網(wǎng)方式迅速成為“組網(wǎng)寶

典”，一直保留了下來。

1999～2001年時主流寬帶網(wǎng)絡設備是ATM交換機，ADSL DSLAM也僅僅提供

ATM類型的端口，造成第一代BRAS均采取ATM內(nèi)核的方式。隨著2001年ATM國

際標準化的主要組織ITU向IP標準的全面轉向，同時IP以其應用業(yè)務種類多、價格

低廉迅速占領了桌面，并成功由100M以太網(wǎng)升格到1000M以太網(wǎng)，路由器也迅速研

發(fā)出622M和2.5G POS接口，高速端口不再是ATM一統(tǒng)天下。而第一代ATM BRAS

每端口單價昂貴，很難出高速率和高密度的GE/POS端口，不便于擴容，只能采取網(wǎng)

關或旁掛式組網(wǎng)，同時也容易造成單點故障、易出現(xiàn)轉發(fā)瓶頸，雖然大家對此是既愛

又恨，這些ATM BRAS卻直接推動了第二代盒式IP BRAS的大量使用。

IP BRAS

第二代：盒式

2002～2003年，不少運營商出于成本和技術發(fā)展的考慮，在2002年就開始停止

擴容ATM網(wǎng)，一些新興運營商歷史上又根本沒有建立過ATM網(wǎng)，又能從容地選擇性

價比更高的LAN和IP DSLAM這樣的純IP接入方式，建設重點就自然轉向發(fā)展IP

城域網(wǎng)，隨即管理計費的BRAS設備要求變得端口類型單一（只需要FE/GE）、性價

比高的BRAS。部分BRAS廠家于是在為ATM BRAS擴充新研發(fā)的GE/FE單板時（采

取IP over ATM方式），自然地也將該單板改造成盒式BRAS設備，以滿足這部分運

營商的需求。

然而，運維部門、技術決策部門在2004年均發(fā)現(xiàn)自己的寬帶網(wǎng)絡中，BRAS已

經(jīng)仿佛變成了“萬金油”，網(wǎng)絡的不同層面都會出現(xiàn)BRAS的身影，BRAS原先的高效

管理和共享IP POOL的集中管理優(yōu)勢，已經(jīng)被城域內(nèi)十幾臺甚至數(shù)十臺大大小小、功

能性能差異巨大的BRAS分割得四分五裂。電信專家們更是深刻地認識到現(xiàn)網(wǎng)的ATM

BRAS、盒式IP BRAS不支持組播、不支持MPLS/MPLS VPN、路由和轉發(fā)能力弱、

上行帶寬不足、QoS和流量控制功能弱、ACL防病毒攻擊能力弱、不支持IPv6等，

給網(wǎng)絡發(fā)展帶來了制約和潛在的瓶頸，這些因素，或許在不久的將來，造成難以控制

的局面。

IP BRASIP BRAS

第三代：機架式（大容量萬兆）

自2004年開始，中國電信運營商已經(jīng)有針對性地對BRAS使用提出了規(guī)范要求，

BRAS設備廠家更是基于對IP網(wǎng)絡大容量、少節(jié)點、廣覆蓋的理解和應用需求，設計

出了第三代IP BRAS。其普遍設計思路是——采用IP內(nèi)核架構，接入側（或下行端

口）接口類型豐富，能終結各種基于不同技術的接入方式，識別出承載于其上的IP

Packet。主要運行IP協(xié)議系統(tǒng)軟件的電信級BRAS。IP BRAS完全拋棄了傳統(tǒng)BRAS

的ATM內(nèi)核設計方式，大幅度突破ATM內(nèi)核BRAS容量難以超過50G的瓶頸限制。

處理性能在大容量的交換矩陣和業(yè)界最新、處理能力更強的NP芯片的合力推動下，

既能提供ATM BRAS那樣豐富的接口類型，又能提供ATM BRAS無法企及的高密度

端口，甚至實現(xiàn)高速率的10G端口。特別是在網(wǎng)絡適應發(fā)展能力上，第三代IP BRAS

已經(jīng)和城域網(wǎng)邊緣路由器的功能和性能不相上下，可對上層的Internet、3G、NGN、

企業(yè)專網(wǎng)和IPv6的數(shù)據(jù)進行高效的承載和線速轉發(fā)。

IP BRAS有更好的性價比，組網(wǎng)可以比集中的網(wǎng)關式ATM BRAS更靠近用戶，

但不會直接與用戶連接，中間會有若干的L2匯聚設備，并可通過自身的環(huán)狀網(wǎng)或其

他保護技術實現(xiàn)大容量BRAS的N+1網(wǎng)絡安全備份。機架式的第三代IP BRAS非常

容易實現(xiàn)性能擴展，高密度/高速率的端口，能實現(xiàn)比第一代ATM BRAS、第二代盒

式IP BRAS更多數(shù)量的用戶接入，還能保障用戶數(shù)倍于第一、二代BRAS的帶寬，

典型的例子是可以基本不增加成本的情況下，保障每用戶的4Mbps以上帶寬。