维护岗位认证教材（IP专业）BRAS技术与认证中国电信维护岗位认证教材编写小组编制目录第一章 宽带接入服务器原理21.1宽带接入服务器定义21.2宽带接入服务器的系统介绍31.2.1硬件设计结构31.2.2接口类型和接入方式31.2.3接入数量41.3宽带接入服务器的扩展功能41.3.1业务选择41.3.2 QoS支持51.3.3 VPN（虚拟专用网络）实现51.3.4端口批发51.3.5组播支持51.3.6 IP流量的转发管理，实现防火墙功能6第二章 设备功能原理62.1设备体系结构6第三章 PPP和MP93.1 PPP和MP简介93.1.1 PPP的引入93.1.2 PPP的简介103.1.3 PPP的基本构架103.1.4 PPP报文格式113.1.5 MP简介143.2 PPP的运行过程143.2.1 PPP的协商过程143.2.2 PPP的PAP验证协议163.2.3 PPP的CHAP验证协议193.3 PPP的报文压缩22第四章 PPPoE234.1 PPPoE简介234.1.1 PPPoE的引入234.1.2 PPPoE简介234.1.3 PPPoE的数据帧234.2 Discovery阶段244.2.1 Discovery阶段简介244.2.2 PADI数据包294.2.3 PADO数据包294.2.4 PADR数据包304.2.5 PADS数据包304.2.6 PADT数据包304.3 PPP会话阶段314.4 PPPoE注意事项314.4.1 LCP方面314.4.2安全方面324.4.3其它方面324.5 PPPoE的应用32第五章 AAA及用户管理345.1 AAA简介345.1.1 AAA的引入345.1.2 AAA的基本构架355.1.3 AAA的基本概念365.2 RADIUS协议简介365.2.1 RADIUS协议的概述365.2.2使用RADIUS协议对用户进行认证、计费的流程375.2.3 RADIUS协议的特性375.3基于域的用户管理385.3.1基于域的用户管理概述385.3.2路由器对接入用户的管理385.3.3 AAA对PPP用户的地址分配原则385.4 AAA及用户管理的应用395.4.1使用RADIUS对接入用户进行管理39第一章 宽带接入服务器原理1.1 宽带接入服务器定义宽带接入服务器（Broadband Remote Access Server,BRAS）是面向宽带网络应用的新型接入网关。它位于骨干网络的汇接层或边缘层，可以完成用户带宽的（或高速的）IP/ATM网的数据接入（目前接入手段主要基于xDSL/Cable modem/高速以太网技术/无线宽带数据接入等），实现多种业务的汇聚和转发，解决不同用户对传输容量带宽利用率的要求,为用户提供VPN服务、构建企业内部Intranet、支持ISP向用户批发业务等应用，以达到对各种宽带数据网络的综合管理。下图为宽带接入服务器的网络定位参考图。 宽带接入服务器的网络定位参考图BRAS是IP城域网骨干层中的重要设备，是联系宽带接入网和骨干网络之间的桥梁。它承担着宽带接入网络的管理工作，完成宽带IP/ATM网的数据接入，实现网络的IP接入一体化，解决宽带用户在业务上、流量上和管理上的汇聚，达到了用户终端只通过一条网络连接便可以灵活、自主、方便地选择服务网络的目的，是目前城域网汇接分配层中的核心设备。1.2 宽带接入服务器的系统介绍1.2.1硬件设计结构宽带接入服务器具有高速、高效的包转发特性，在性能上有效地解决宽带网络高性能、高负荷、高突发所带来的问题，具有至少2G以上的交换背板容量，100Kpps以上的独立包转发性能。从硬件系统结构上看，宽带接入服务器已从早期低效的集中式包处理结构向当前分布式处理结构演变，前后插板（接口板和处理板）的设计思路成为主流。采用这样的系统结构，处理模块可以直接处理来自同一槽位接口模块的用户流量，而且对于输出在同一槽位上的网络流量能够不经过系统背板和交换矩阵模块直接进行转发，从而有效减轻系统负荷。另一方面，为了理想地实现在不同槽位间的包转发，系统结构必须提供高容量、相对独立、有冗余备份能力的系统交换矩阵模块和相应容量的背板总线，保证宽带接入服务器总体性能随接口模块增加呈线性增长的态势 。1.2.2接口类型和接入方式为了实现对各种宽带接入类型的支持，宽带接入服务器提供了丰富的接口类型。如今，在用户侧方面，宽带接入服务器已经可以提供： DS3/OC3/OC12的ATM光接口,实现纯ATM接入或DSLAM（DSL的用户集中器）的接入提供100/1000M快速以太网接口,实现局域网用户和HFC用户的接入提供高密度信道化或非信道化E1/T1/DS3的帧中继接口,实现帧中继用户的接入在网络侧方面, 宽带接入服务器已经可以提供： 100/1000M快速以太网接口OC3/OC12的ATM接口 OC12的POS接口，实现流量的汇聚转发 与以往窄带拨号服务器不同的是，宽带接入服务器接入过程依托于底层（数据链路层，主要是ATM层和以太网层）对数据包的封装重组。利用底层的技术特点，不仅在接入组网方式上灵活多变，而且可以有效地捆绑上ATM和以太网自身的技术优势，实现服务质量保证。具体来说：通过RFC1490和RFC1483第二层的桥接技术，RFC1577第三层的IP路由技术，实现宽带用户的静态IP接入通过PPP Over ATM和PPP Over Ethernet实现用户的动态IP接入通过L2TP的二层VPN隧道技术，实现企业用户和小型ISP的VPN接入要求宽带接入主流的应用方向是PPP接入方式。而在PPP接入技术中，由于PPPOE可以适用于多种接入网络，应用灵活，易于实现业务选择，同时又保护目前用户的已有投资。 1.2.3接入数量由于以往拨号接入服务器采用TDM技术，系统通过每一个DS0时隙接收来自PSTN网络的数据，系统的最大接入数就是系统可以终结的DS0时隙数，也就是系统可以集成的最大Modem数。这种基于时隙交换的技术，要想扩大系统接入数量在一定程度上只能通过扩大系统的集成度来实现，具有相当的局限性。在宽带网络中，宽带接入服务器由接口处理模块直接完成对各种协议栈的封装重组处理，比如：PPPOE或PPPOA的呼叫。由于ASIC（专用集成电路）技术的引入，系统包处理能力显著提高，接入实现的时长大大降低（通常要求小于5秒，包括RADIUS认证时间）；系统各处理模块的合理配合使得系统更加稳定，而且能够很好地完成对多用户并发接入情况的调度处理。目前，一台中等规模的宽带接入服务器应能支持8000个以上的并发PPP（包括PPPOA和PPPOE）呼叫，大型的宽带接入服务器可以实现100K个呼叫接入。1.3 宽带接入服务器的扩展功能1.3.1业务选择目前主要采用两种模式：由终端直接进行业务选择模式和统一通过后台服务选择网关模式。终端直接进行业务选择模式：首先是通过拨号软件由用户进行业务选择，然后利用远端RADIUS服务器对用户进行业务授权确认，最后激活接入服务器内部相应的业务模型实现业务的指向。但是，采用这种业务选择方式，终端用户无法直观地、全面地获知宽带接入服务器提供的各种业务类型，增加了终端用户的实际操作，具有一定的局限性。另一方面，用户要实现业务间的切换必须重新进行虚拟拨号，实现上也不方便。后台服务选择网关模式：用户通过PPP或DHCP方式接入并动态得到IP地址后，被强制访问与宽带接入服务器直连的服务选择网关。在用户终端一般可以通过Web的交互式界面得到可选择业务的相关信息，填入相应的用户数据后，通过远端RADIUS对申请进入这一业务的用户进行授权认证，然后根据业务的不同对用户实行必要的IP覆盖，最后仍然是通过激活接入服务器内部相应的业务模型实现业务的选择。其实，这两种选择模式的实现内核基本趋于一致，业务选择的核心都是在宽带接入服务器实现，差别仅仅在用户接口形式上。但是，从运营的实际需要出发，采用后台服务选择网关模式不仅大大提高了接入用户操作的透明度，减少了用户终端的配置过程，而且可以起到业务门户的作用，为下一步的服务扩展提供空间。1.3.2 QoS支持前面所述，宽带接入服务器支持ATM和FR接入。显而易见，通过ATM或FR自身的QoS实现机理就可以很好地解决用户的QoS问题。但是不要忘记，在宽带接入服务器中除了ATM和FR接入外，还有各种类型的纯IP接入。对于这一类型的接入流量，可以利用IP报头的服务类型标记（ToS）字段。通过业务发起侧对IP包打上相应的ToS标记，在接入服务器内部进行相应的流量映射或业务映射，区分各种流量等级，实现网络的QoS。1.3.3 VPN（虚拟专用网络）实现目前，在网络第二层的VPN实现上，宽带接入服务器提供L2TP隧道加密技术。它一般既可以作为LAC（L2TP访问集中器），也可以作为LNS（L2TP网络服务器），组网应用灵活。在网络第三层的VPN实现上，由于IPSec是较新的协议标准，因此这种VPN的实现还不普及。如今只有部分的宽带接入服务器开始支持该项功能。1.3.4端口批发在宽带接入服务器中可以通过划分VLAN或创建虚拟路由器（Virtual Router）的方式来实现。这些技术的实现，在本质上都是将系统进行子资源划分，在每一个子系统中独立完成网络二、三层的相应功能，完成端口批发业务。其实，站在VPN的角度上看，我们也可以认为端口批发业务是实现VPN应用的另一途径，且应用灵活方便。1.3.5组播支持宽带接入服务器必须支持组播，在网络层上完成组播视频流的末端分发。网络主机安装相应的组播应用程序来支持组播协议，通过主动提出组播申请，选择所需的组播服务，以使之连接到本地支持IGMP的路由器或组播服务器上。宽带接入服务器主要起到转发在网络终端和支持IGMP的组播服务器或路由器之间的组播流量。第一、二版的协议标准，但是在很大程度上仅仅是扮演着IGMP代理（Proxy）或IGMP欺骗（Snooping）的角色，简单地完成网络末端组播包的透明传递和分发，终端用户感觉不到与实际应用时的不同。为了进一步提高宽带接入服务器组播应用的灵活性，一些设备厂商在实际的产品中已经开始对组播路由协议（如：PIM，DVMRP等）的支持。1.3.6 IP流量的转发管理，实现防火墙功能宽带接入服务器的IP流量转发管理主要是根据不同用户的实际权限向用户提供相应的接入能力，在一定程度上完成IP防火墙的功能，实现内部网络安全。IP的流量转发管理在很大程度上是与宽带接入服务器的VPN和业务选择相捆绑，与上层骨干边缘路由器相配合，灵活有效地实现对各种业务类型的IP分离。在技术实现上，该功能可以通过自身IP包过滤（IP Filter），针对不同业务灵活分配IP地址段和网络侧NAT（网络地址翻译）来实现。同时，从网络安全的角度出发，宽带接入服务器还应该提供防IP攻击和IP欺骗的功能。承前所述，宽带接入服务器主要是为了适应当前各种DSL接入应用要求，尤其是ADSL接入。从全网来看，宽带接入服务器既是全网接入业务的单一汇聚点，又是用户业务流量的统一转发点。如今，以光通信为代表