宽带综合接入服务器(BAS)

2024年5月29日发(作者：)

在传统城域网中，不同类型的用户使用不同的接入设备接入网络。这种接入手段的

多样性直接导致了城域网接入层设备的多样性，而接入层设备的多样性也直接对网络运营以

及业务安全带来了威胁，尤其是对有可运营可管理要求的电信网络提出了挑战。

在这种多接入架构下，突出的问题就是如何保障网络、用户以及业务的安全性，并为客

户提供一个统一的业务平台。综合性的宽带接入服务器(BAS)设备的引入，为解决以上问题

提供了一种可能性。

BAS定位

分析传统城域网接入层存在的问题，突出表现在安全和业务应用平台上。

这里的安全是一个广义的概念，包含网络的安全、业务的安全以及用户的安全。网络的

安全主要是确保运营网络不受到恶意的攻击，能够避免病毒引发的带宽消耗、流量资源消耗、

CPU处理能力消耗、ARP风暴等。而业务的安全则应该能够避免用户的IP地址仿冒、MAC

地址仿冒、共享账、账跨区域使用等。用户的安全就要求运营商能够为用户提供一个安全的

应用环境，以保障用户的利益，避免用户受到ARP欺骗、DHCP欺骗、PPPoE服务欺骗以

及认证报文窃听和劫持。

传统城域网多种接入层设备架构的存在，无法为运营商提供统一的业务平台，难以实现

统一的访问控制类业务、多媒体承载业务、VPN承载业务、多ISP业务以及可控组播业务，

同时地址管理也是一个难题。

在城域网中引入BAS设备作为业务控制层，业务控制层作为接入层和汇聚层之间的垫

层，能够起到承上启下的作用，同时作为城域网的安全网关和业务网关应用。

BAS设备的主要技术指标

BAS设备的分类方法较多，按照硬件架构可以分为集中式、分布式，按照容量可分为

大容量、中容量以及小容量，也可以按照实现设备分为独立BAS和内置BAS等。通常电信

级应用多使用独立的、分布式的、大中容量的BAS设备。

BAS设备所处的网络位置决定着它是一款复杂的设备，需要支持大量的协议和规范。

从协议角度看，链路层需要支持以太网协议，包括Ethernet II、IEEE802.3 LLC SNAP以及

IEEE 802.3/802.2 等从功能角度看，不同于其它网络设备，BAS设备的引入不在于业务的传

递交换，而在于实现对用户的控制和管理，它最重要的业务功能就是对用户的认证、授权和

计费，这三个功能相互关联，又各自独立。认证是识别用户的技术，它作为授权和计费的基

础，是最重要的环节，也是最容易出现纰漏的地方；而授权是对合法用户权限的授予，是对

认证的肯定，也是下一步计费的依据；准确灵活的计费手段则是保护客户和运营商的关键。

宽带接入服务器还必须具备多种方式的用户接入，支持专线方式和拨号方式的接入，并

且支持专线和拨号用户混合接入，即可以任意定义用户是采用专线方式接入还是拨号方式接

入。设备要支持PPPoE 接入功能，支持基于以太网接入和PPP接入的Portal功能，支持

WEB认证，支持802.1x认证。另外，BAS可能还需要支持组播业务、业务属性管理、多ISP

业务以及VPN业务功能。

BAS设备的AAA功能

AAA功能是BAS所有业务功能的基础。

1)对用户的认证实质上是对用户标识的认证，这就要求用户具有一个唯一且有效的用户

标识，这个标识可以是地址标识、账号或者连接端口的VLAN标识。将地址、账号同VLAN

ID标识进行绑定组合使用，可以得到全程有效的用户标识。具体实现中，可以通过在靠近

用户的交换机上使用端口VLAN，为不同的用户打上相应的VLAN ID，则VLAN ID将进化

为唯一的用户标识。利用这样的VLAN ID，BAS设备可以精确的识别每一个用户，并对用

户实施完备的控制，这就是PUPV技术。

BAS采用的经典认证技术有PPPoE认证、WEB认证以及802.1x认证，这三种认证技

术各有特点，应用场合不同，无优劣之分。其中PPPoE 成熟可靠，符合用户使用习惯，应

用范围最广；WEB认证无需客户端，适合在热点使用，但需要配置Portal服务器，设备成

本较高，且无统一规范难于互通；802.1x与PPPoE类似，需要安装客户端软件，但交换机

支持较成熟。通常，要求BAS能够同时支持以上三种通用的认证方式，以适应不同客户群

的需要。另外，还要求设备能够支持本地认证和 Radiu s 认证两种方式，并支持漫游功能，

方便同一用户账号能在不同接入点登录。

2)授权功能

授权功能是对合法用户享有权限和资源的授予，主要包括带宽、访问权限、互访权限、

服务质量以及组播权限等控制，具体看这些授权功能：

带宽：通过CAR速率限制技术实现基于用户账号的带宽控制；访问权限：需要支持基

于用户分群的访问权限控制，而不仅是传统路由器的基于地址段的ACL；互访权限：需要

支持基于用户分群的互访权限控制；QoS优先级：需要根据AAA服务器的授权对用户报文

打上合法的优先级标签(DSCP或802.1p) ；组播权限：提供可控组播功能，并能接受AAA

服务器的组播权限下发；另外，还要求BAS和AAA服务器之间能够提供动态修改用户权

限的机制，即动态权限授予。

3)计费功能

BAS和AAA服务器配合，实现用户应用的计费，要求满足以下要求：灵活的计费方式：

BAS和AAA服务器配合，提供多种灵活的计费方式，可以有效的吸引各层次的用户；精确

的应用量统计：计费技术的关键在于能够精确的统计用户对网络资源的使用量，包括：时长、

流量等原始计费信息；完善的计费保护机制：BAS和AAA的计费保护技术包括主备AAA

服务器、话单本地保存、实时计费、无响应超时切断以及无响应重传机制；计费抄送：可以

将用户的计费信息同时发送给网络资源提供方和租用方的AAA服务器。

BAS的安全/业务网关应用

结合前面的BAS业务功能，尤其是AAA功能，本节对BAS设备作为安全网关和业务

网关应用进行分析。

由底层向网络核心看，运营性网络中用户类型多种多样，运营商无法控制用户的行为，