BRAS系统及其发展
BAS/BRAS系统是 (Broadband Access Server/Broadband Remote Access Server)的英文缩写,中文译名:宽带接入服务器/宽带远程接入服务器。
宽带接入服务器(BAS)是一种设置在网络汇聚层的用户接入服务设备,可以智能化地实现用户的汇聚、认证、计费等服务,还可以根据用户的需要,方便地提供多种IP增值业务。宽带接入服务器是面向宽带网络应用的新型接入网关,它位于骨干网的边缘层,可以完成用户带宽的IP/ATM网的数据接入(接入手段主要基于xDSL/Cable Modem/高速以太网技术(LAN)/无线宽带数据接入(WLAN)等),实现商业楼宇及小区住户的宽带上网、基于IPSec(IP Security Protocol)的IPVPN服务、构建企业内部Intranet、支持ISP向用户批发业务等应用。
宽带接入服务器主要完成两方面功能,一是网络承载功能:负责处理用户的PPPoE(Point-to-Point Potocol Over Ethernet,是一种以太网上传送PPP会话的方式)连接、汇聚用户的流量功能;二是控制实现功能:与认证系统、计费系统和客户管理系统及服务策略控制系统相配合实现用户接入的认证、计费和管理功能。
BRAS(Broadband Remote Access Server,宽带远程接入服务器)是用来完成各种宽带接入方式的宽带网络用户的接入、认证、计费、控制、管理的网络设备,是宽带网络可运营、可管理的基石。什么是IP BRAS?采取高端路由器IP内核架构,拥有超过50G的大容量交换矩阵,IP Packet方式的无阻塞交换,在I/O接口板可运行非IP协议,主要运行IP协议系统软件的电信级BRAS,可称为IP BRAS。BRAS自1999年开始应用,其演进的形态有明显的三个阶段:
第一代:ATM内核BRAS
第一代BRAS主要是用来将ADSL用户接入IP网络发展起来的,由于ATM及其延伸技术ADSL的计费能力非常弱,不得以叠加了BRAS这样的网关计费设备,用户通过PPPoA或PPPoE的模拟窄带拨号方式进行时长或流量等计费方式,ADSL用户到Internet均需要通过BRAS这个ATM-IP网关。后来,由于LAN接入的用户也无法进行计费和管理,只好采用和ADSL类似的PPPoE方式通过BRAS进行用户认证计费,再路由至Internet。在宽带用户数量较少的发展初期,BRAS集中放置,既解决了计费难题,又高效地分配了少而珍贵的公网IP地址,在应用中,大家还发现这一方式能有效地防止部分攻击,保护核心骨干网络,所以这种组网方式迅速成为“组网宝典”,一直保留了下来。
1999~2001年时主流宽带网络设备是ATM交换机,ADSL DSLAM也仅仅提供ATM类型的端口,造成第一代BRAS均采取ATM内核的方式。随着2001年ATM国际标准化的主要组织ITU向IP标准的全面转向,同时IP以其应用业务种类多、价格低廉迅速占领了桌面,并成功由100M以太网升格到1000M以太网,路由器也迅速研发出622M和2.5G POS接口,高速端口不再是ATM一统天下。而第一代ATM BRAS每端口单价昂贵,很难出高速率和高密度的GE/POS端口,不便于扩容,只能采取网关或旁挂式组网,同时也容易造成单点故障、易出现转发瓶颈,虽然大家对此是既爱又恨,这些ATM BRAS却直接推动了第二代盒式IP BRAS的大量使用。
第二代:盒式IP BRAS
2002~2003年,不少运营商出于成本和技术发展的考虑,在2002年就开始停止扩容ATM网,一些新兴运营商历史上又根本没有建立过ATM网,又能从容地选择性价比更高的LAN和IP DSLAM这样的纯IP接入方式,建设重点就自然转向发展IP城域网,随即管理计费的BRAS设备要求变得端口类型单一(只需要FE/GE)、性价比高的BRAS。部分BRAS厂家于是在为ATM BRAS扩充新研发的GE/FE单板时(采取IP over ATM方式),自然地也将该单板改造成盒式BRAS设备,以满足这部分运营商的需求。
然而,运维部门、技术决策部门在2004年均发现自己的宽带网络中,BRAS已经仿佛变成了“万金油”,网络的不同层面都会出现BRAS的身影,BRAS原先的高效管理和共享IP POOL的集中管理优势,已经被城域内十几台甚至数十台大大小小、功能性能差异巨大的BRAS分割得四分五裂。电信专家们更是深刻地认识到现网的ATM BRAS、盒式IP BRAS不支持组播、不支持MPLS/MPLS VPN、路由和转发能力弱、上行带宽不足、QoS和流量控制功能弱、ACL防病毒攻击能力弱、不支持IPv6等,给网络发展带来了制约和潜在的瓶颈,这些因素,或许在不久的将来,造成难以控制的局面。
第三代:机架式IP BRAS(大容量万兆IP BRAS)
自2004年开始,中国电信运营商已经有针对性地对BRAS使用提出了规范要求,BRAS设备厂家更是基于对IP网络大容量、少节点、广覆盖的理解和应用需求,设计出了第三代IP BRAS。其普遍设计思路是——采用IP内核架构,接入侧(或下行端口)接口类型丰富,能终结各种基于不同技术的接入方式,识别出承载于其上的IP Packet。主要运行IP协议系统软件的电信级BRAS。IP BRAS完全抛弃了传统BRAS的ATM内核设计方式,大幅度突破ATM内核BRAS容量难以超过50G的瓶颈限制。处理性能在大容量的交换矩阵和业界最新、处理能力更强的NP芯片的合力推动下,既能提供ATM BRAS那样丰富的接口类型,又能提供ATM BRAS无法企及的高密度端口,甚至实现高速率的10G端口。特别是在网络适应发展能力上,第三代IP BRAS已经和城域网边缘路由器的功能和性能不相上下,可对上层的Internet、3G、NGN、企业专网和IPv6的数据进行高效的承载和线速转发。
IP BRAS有更好的性价比,组网可以比集中的网关式ATM BRAS更靠近用户,但不会直接与用户连接,中间会有若干的L2汇聚设备,并可通过自身的环状网或其他保护技术实现大容量BRAS的N+1网络安全备份。机架式的第三代IP BRAS非常容易实现性能扩展,高密度/高速率的端口,能实现比第一代ATM BRAS、第二代盒式IP BRAS更多数量的用户接入,还能保障用户数倍于第一、二代BRAS的带宽,典型的例子是可以基本不增加成本的情况下,保障每用户的4Mbps以上带宽。
BRAS工作过程
用户通过特定的方式申请并接入网络,常见的接入方式有拨号接入、静态IP接入、动态DHCP接入以及与VPN相关的一些较复杂接入方式,这里仅介绍前三种方式。
拨号接入方式的工作过程如下:
用户在计算机上采用拨号软件,向BRAS发出接入申请。
BRAS收到用户的申请后,匹配账户属性,决定此用户的认证和计费方式。
BRAS根据认证和授权的结果,决定是否给用户分配地址和相应的用户属性。
用户上线后,BRAS通知后台服务器计费开始,并检测用户是否在线。
用户下线后,BRAS回收用户地址,并告知后台服务器计费结束。
静态IP接入的工作过程如下:
BRAS设备上配置好一些准备用于用户静态接入的参数。
用户终端手动配置自己的IP地址和DNS等信息。
用户终端和BRAS相互学习对方的信息(如ARP)。
BRAS转发用户的数据报文。
动态DHCP接入的工作过程如下:
用户终端设置为自动获取地址和DNS。
用户通过DHCP获取地址和DNS:
BRAS做DHCP服务器时,为用户分配IP地址和DNS,并转发用户数据报文。
BRAS做DHCP中继时,用户IP地址和DNS由DHCP服务器分配,BRAS作为用户的网管,转发用户数据报文。
BRAS拦截用户上网的第一个TCP报文,并重定向到认证页面。
用户在认证页面上填写用户名和密码等信息,进行AAA服务器认证。
AAA服务器返回认证通过的授权信息,BRAS设备对用户进行相应的用户策略控制;保证按照授权策略进行正常上网。
PPPOE、Web+Portal、802.1x 常见三种认证方式对比
认证 技术是AAA(认证 ,授权, 计费)的初始步骤,AAA一般包括用户 终端、AAAClient、AAA Server和计费软件四个环节。用户 终端与AAA Client之间的通信方式 通常称为"认证方式 "。目前的主要技术有以下三种:PPPoE、Web+Portal、IEEE802.1x。三种方式有其产 生的背景原因和技术特点,以下对这三种主要认证技术作一个简要的分析:
1.PPPOE
1998年后期问世的以太网上点对点协议 (PPP over Ethernet)技术是由Redback 网络公司、客户端软件开发商RouterWare公司以及Worldcom子公司UUNET Technologies公司在IETF RFC制的基础上联合开发的。主要目的是把最经济的局域网技术、以太网和点对点协议 的可扩展性及管理控制功能结合在一起。它使服务提供商在通过数字用户 线、电缆调制解调器或无线连接等方式,提供支持多用户的宽带接入服务时更加简便易行。
通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议的主要功能,包括采用各种灵活的方式管理用户。
PPPoE(Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。
PPPoE的建立 需要两个阶段,分别是搜寻阶段(Discovery stage)和点对点对话阶段(PPP Session stage)。当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端的以太网MAC地址,并建立一个PPPoE的对话号 (SESSION_ID)。
在PPP协议定义 了一个端对端的关系时,搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。在网络拓扑中,主机 能与之通信的可能有不只一个网络设备。在搜寻阶段,主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成,主机和网络设备将拥有能够建立 PPPoE的所有信息。
搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立,主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。
优点:
*是传统PSTN窄带拨号接入技术在以太网接入技术的延伸
*和原有窄带网络用户接入认证体系一致
*最终用户相对比较容易接收
缺点:
*PPP协议和Ethernet技术本质上存在差异,PPP协议需要被再次封装到以太帧中,所以封装效率很低
*PPPoE在发现阶段会产生大量的广播流量,对网络性能产生很大的影响
*组播业务开展困难,而视频业务大部分是基于组播的
*需要运营商提供客户终端软件,维护工作量过大
*PPPoE认证一般需要外置BAS,认证完成后,业务数据流也必须经过BAS设备,容易造成单点瓶颈和故障,而且该设备通常非常昂贵。
2.Web+Portal
Portal认证的基本过程是:客户机首先通过DHCP协议获取到IP地址(也可以使用静态IP地址),但是客户使用获取到的IP地址并不能登上 Internet,在认证通过前只能访问特定的IP地址,这个地址通常是PORTAL服务器的IP地址。采用Portal认证的接入设备必须具备这个能 力。一般通过修改接入设备的访问控制表(ACL)可以做到。
用户登录到Portal Server后,可以浏览上面的内容,比如广告、新闻等免费信息,同时用户还可以在网页上输入用户名和密码,它们会被WEB客户端应用程序传给 Portal Server,再由Portal Server与NAS之间交互来实现用户的认证。
Portal Server在获得用户的用户名和密码外,还会得到用户的IP地址,以它为索引来标识用户。然后Portal Server 与NAS之间用Portal协议直接通信,而NAS又与RADIUS 服务器直接通信完成用户的认证和上线过程。因为安全问题,通常支持安全性较强的CHAP式认证。
优点:
*不需要特殊的客户端软件,降低网络维护工作量
*l可以提供Portal等业务认证
缺点:
*WEB承载在7层协议上,对于设备的要求较高,建网成本高;
*用户连接性差,不容易检测用户离线,基于时间的计费较难实现;
*易用性不够好,用户在访问网络前,不管是 TELNET、FTP还是其它业务,必须使用浏览器进行WEB认证;
*IP地址的分配在用户认证前,如果用户不是上网用户,则会造成地址的浪费,而且不便于多ISP的支持。
*认证前后业务流和数据流无法区分。
3.802.1x
优点:
*802.1x协议为二层协议,不需要到达三层,而且接入层交换机无需支持802.1q的VLAN,对设备的整体性能要求不高,可以有效降低建网成本。
*通过组播实现,解决其他认证协议广播问题,对组播业务的支持性好。业务报文直接承载在正常的二层报文上;用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求
缺点:
*需要特定客户端软件
*网络现有楼道交换机的问题:由于802.1x是比较新的二层协议,要求楼道交换机支持认证报文透传或完成认证过程,因此在全面采用该协议的过程中,存在对已经在网上的用户交换机的升级处理问题;
*IP地址分配和 网络安全问题:802.1x协议是一个2层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,需要继续解决用户IP地 址分配、三层网络安全等问题,因此,单靠以太网交换机+802.1x,无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题;
*计费问题:802.1x协议可以根据用户完成认证和离线间的时间进行时长计费,不能对流量进行统计,因此无法开展基于流量的计费或满足用户永远在线的要求。
三种认证技术比较:
认证方式 |
WEB/PORTAL |
PPPOE |
802.1x |
标准程度 |
厂家私有 |
RFC2516 |
IEEE标准 |
封装开销 |
小 |
较大 |
小 |
接入控制方式 |
设备端口 |
用户 |
用户 |
IP地址 |
认证前分配 |
认证后分配 |
认证后分配 |
多播支持 |
好 |
差 |
好 |
VLAN数目要求 |
多 |
无 |
无 |
支持多ISP |
较差 |
好 |
好 |
客户端软件 |
不需要 |
需要 |
需要 |
设备支持 |
厂家私有 |
业界设备 |
业界设备 |
用户连接性 |
差 |
好 |
好 |
对设备的要求 |
高(全程VLAN) |
较高(BAS) |
低 |
综上所述,由于802.1 x认证的突出优点就是实现简单、认证效率高、安全可靠。无需多业务网管设备,就能保证IP网络的无逢相连。同时消除了网络认证计费瓶颈的单点故障。在二层网络上实现用户认证,大大降低了整个网络的建网成本,目前基于802.1x的认证技术在校园网络应用非常普遍。
https://baike.baidu.com/item/BRAS
https://www.cnblogs.com/sun3596209/articles/3219699.html