在传统城域网中,不同类型的用户使用不同的接入设备接入网络。这种接入手段的多样性直接导致了城域网接入层设备的多样性,而接入层设备的多样性也直接对网络运营以及业务安全带来了威胁,尤其是对有可运营可管理要求的电信网络提出了挑战。 在这种多接入架构下,突出的问题就是如何保障网络、用户以及业务的安全性,并为客户提供一个统一的业务平台。综合性的宽带接入服务器(BAS)设备的引入,为解决以上问题提供了一种可能性。 BAS 定位 分析传统城域网接入层存在的问题,突出表现在安全和业务应用平台上。 这里的安全是一个广义的概念,包含网络的安全、业务的安全以及用户的安全。网络的安全主要是确保运营网络不受到恶意的攻击,能够避免病毒引发的带宽消耗、流量资源消耗、CPU 处理能力消耗、ARP 风暴等。而业务的安全则应该能够避免用户的IP 地址仿冒、MAC地址仿冒、共享账、账跨区域使用等。用户的安全就要求运营商能够为用户提供一个安全的应用环境,以保障用户的利益,避免用户受到 ARP 欺骗、DHCP 欺骗、PPPoE 服务欺骗以及认证报文窃听和劫持。 传统城域网多种接入层设备架构的存在,无法为运营商提供统一的业务平台,难以实现统一的访问控制类业务、多媒体承载业务、VPN 承载业务、多ISP 业务以及可控组播业务,同时地址管理也是一个难题。 在城域网中引入BAS 设备作为业务控制层,业务控制层作为接入层和汇聚层之间的垫层,能够起到承上启下的作用,同时作为城域网的安全网关和业务网关应用。 BAS 设备的主要技术指标 BAS 设备的分类方法较多,按照硬件架构可以分为集中式、分布式,按照容量可分为大容量、中容量以及小容量,也可以按照实现设备分为独立 BAS 和内置 BAS 等。通常电信级应用多使用独立的、分布式的、大中容量的BAS 设备。 BAS 设备所处的网络位置决定着它是一款复杂的设备,需要支持大量的协议和规范。从协议角度看,链路层需要支持以太网协议,包括 Ethernet II、IEEE802.3 LLC SNAP 以及IEEE 802.3/802.2 等从功能角度看,不同于其它网络设备,BAS 设备的引入不在于业务的传递交换,而在于实现对用户的控制和管理,它最重要的业务功能就是对用户的认证、授权和计费,这三个功能相互关联,又各自独立。认证是识别用户的技术,它作为授权和计费的基础,是最重要的环节,也是最容易出现纰漏的地方;而授权是对合法用户权限的授予,是对认证的肯定,也是下一步计费的依据;准确灵活...
