其实,宽带接入服务器的功能远非如此。在具体的网络实现上,宽带接入服务器改变原先窄带拨号服务器组网单一、接入单一、功能单一的限制,紧跟宽带接入的实际需求和发展趋势,在功能上迅速扩充。另一方面,宽带接入服务器定位是在骨干网络的边缘,主要实现各种接入用户的业务汇聚和流量汇聚,应着重突出其接入方面的处理能力,希望宽带接入服务器承担各种各样网络功能的想法显然是不现实的。因此,针对目前宽带接入的实际需求和应用趋势去扩展宽带接入服务器的功能,才能更加高效地实现宽带接入。下面就宽带接入服务器主要的扩展功能做一个系统的介绍。
1.业务选择
顾名思义,该项功能的作用就是要实现:用户通过一条终结到宽带接入服务器的连接来自主地选择后台网络运营商所提供的多种业务。一方面,各种业务的具体实现在技术上的侧重点是不同的,它对网络性能要求也不尽相同。这样,通过在网络业务的汇聚端——宽带接入服务器上划分出适当的业务模型,使之针对各种业务特点合理有序地捆绑系统及其网络资源,在有限的资源条件下更好的实现各种业务。另一方面,从今后网络应用的发展上看,网络内容服务供应商ICP与网络接入商ISP的分离是必然的趋势。在接入汇聚侧,ISP必须将用户选择的业务流转发到相应的ICP中去,同时在ISP网络上要严格保证对各种业务的隔离,也就是对ICP的隔离。因此,通过宽带接入服务器对接入用户实现业务选择是必然的应用要求。在具体实现上,各厂商设备各有千秋,但是基本采用以下两种模式:由终端直接进行业务选择模式和统一通过后台服务选择网关(Service Selection Gateway)模式。
由终端直接进行业务选择,如今一些宽带接入方式已经引入了业务选择的概念,要求用户在拨号前选择相应的业务,如目前广泛使用的PPPOE拨号接入。对于没有提供这一功能的接入方式,如PPPOA,可以通过用户名的结构化域名模式(@模式)来激活接入服务器相应的业务模型。总之,这种业务选择方式首先是通过拨号软件由用户进行业务选择,然后利用远端RADIUS服务器对用户进行业务授权确认,最后激活接入服务器内部相应的业务模型实现业务的指向。但是,采用这种业务选择方式,终端用户无法直观地、全面地获知宽带接入服务器提供的各种业务类型,增加了终端用户的实际操作,具有一定的局限性。另一方面,用户要实现业务间的切换必须重新进行虚拟拨号,实现上也不方便。
采用后台服务选择网关模式,用户通过PPP或DHCP方式接入并动态得到IP地址后,被强制访问与宽带接入服务器直连的服务选择网关。在用户终端一般可以通过Web的交互式界面得到可选择业务的相关信息,填入相应的用户数据后,通过远端RADIUS对申请进入这一业务的用户进行授权认证,然后根据业务的不同对用户实行必要的IP覆盖,最后仍然是通过激活接入服务器内部相应的业务模型实现业务的选择。从功能上讲,我们可以认为后台的服务选择网关(SSG)是一台具有Web Server功能,同时提供功能强大的业务管理与用户管理的服务器。它通过后台数据库,定义各种用户的业务范围和操作权限。
其实,这两种选择模式的实现内核基本趋于一致,业务选择的核心都是在宽带接入服务器实现,差别仅仅在用户接口形式上。但是,从运营的实际需要出发,采用SSG服务选择网关模式不仅大大提高了接入用户操作的透明度,减少了用户终端的配置过程,而且可以起到业务门户的作用,为下一步的服务扩展提供空间。对于运营商来讲,这确实是一种理想的业务选择运营模式,已经成为今后业务选择的发展方向。
2.QoS支持
QoS问题一直是包交换网络所关注的焦点问题之一,尤其是在IP网络中。如今的宽带网络,尤其是在骨干网,主要采用点对点传输的组网方式,在很大程度上是通过高带宽来换取QoS。但是,对于宽带接入服务器而言,它承担着各种业务的汇聚,而且上连带宽毕竟有限,一味地通过高带宽来实现QoS显然是不现实的。这样,在接入侧QoS功能的实现就显得尤其重要。前面所述,宽带接入服务器支持ATM和FR接入。显而易见,通过ATM或FR自身的QoS实现机理就可以很好地解决用户的QoS问题。但是不要忘记,在宽带接入服务器中除了ATM和FR接入外,还有各种类型的纯IP接入。对于这一类型的接入流量,可以利用IP报头的服务类型标记(ToS)字段。通过业务发起侧对IP包打上相应的ToS标记,在接入服务器内部进行相应的流量映射或业务映射,区分各种流量等级,实现网络的QoS。
3.VPN(虚拟专用网络)实现
据在公共网络平台上安全高效地传送,使网络具有良好的扩展性和伸缩性。VPN技术的核心集中在数据包的加密和网络传送上。如今,IETF已经制订了一些VPN技术标准,如:二层L2TP隧道技术和三层IPSec加密技术。这两项技术标准的颁布为VPN的应用打下了坚实的基础。从目前VPN的实际应用上看,VPN业务多数集中在网络的边缘上实现,对于骨干网络设备而言往往是透明的。宽带接入服务器作为网络接入和业务汇聚的角色,往往是VPN应用的最初发起端,它对VPN应用的实现至关重要。目前,在网络第二层的VPN实现上,宽带接入服务器提供L2TP隧道加密技术。它一般既可以作为LAC(L2TP 访问集中器),也可以作为LNS(L2TP网络服务器),组网应用灵活。在网络第三层的VPN实现上,由于IPSec是较新的协议标准,因此这种VPN的实现还不普及。如今只有部分的宽带接入服务器开始支持该项功能。
4.端口批发
由于业务扩展的需要,端口租赁也将是今后宽带接入应用的趋势。尤其是企业类的集团用户,他们通过在接入侧端口租赁和带宽租赁可以迅速地实现自身网络建设,节省网络建设所需的大量投资。对于这类应用的需求,在宽带接入服务器中可以通过划分VLAN或创建虚拟路由器(Virtual Router)的方式来实现。这些技术的实现,在本质上都是将系统进行子资源划分,在每一个子系统中独立完成网络二、三层的相应功能,完成端口批发业务。其实,站在VPN的角度上看,我们也可以认为端口批发业务是实现VPN应用的另一途径,且应用灵活方便。
5.组播支持
从全网位置上看,宽带接入服务器必须支持组播,在网络层上完成组播视频流的末端分发。网络主机安装相应的组播应用程序来支持组播协议,通过主动提出组播申请,选择所需的组播服务,以使之连接到本地支持IGMP的路由器或组播服务器上。从技术实现的角度上和目前实际设备对组播支持情况上看,宽带接入服务器主要起到转发在网络终端和支持IGMP的组播服务器或路由器之间的组播流量。它一般都支持IGMP 第一、二版的协议标准,但是在很大程度上仅仅是扮演着IGMP代理(Proxy)或IGMP欺骗(Snooping)的角色,简单地完成网络末端组播包的透明传递和分发,终端用户感觉不到与实际应用时的不同。为了进一步提高宽带接入服务器组播应用的灵活性,一些设备厂商在实际的产品中已经开始对组播路由协议(如:PIM,DVMRP等)的支持。
6.IP流量的转发管理,实现防火墙功能
宽带接入服务器的IP流量转发管理主要是根据不同用户的实际权限向用户提供相应的接入能力,在一定程度上完成IP防火墙的功能,实现内部网络安全。 IP的流量转发管理在很大程度上是与宽带接入服务器的VPN和业务选择相捆绑,与上层骨干边缘路由器相配合,灵活有效地实现对各种业务类型的IP分离。在技术实现上,该功能可以通过自身IP包过滤(IP Filter),针对不同业务灵活分配IP地址段和网络侧NAT(网络地址翻译)来实现。同时,从网络安全的角度出发,宽带接入服务器还应该提供防IP攻击和IP欺骗的功能。
对于IP过滤技术,系统在完成用户接入的同时根据用户选择的业务类型指定相应的IP过滤策略,向不同权限的用户进行三、四层的数据包过滤。这样既实现了业务的需要,又可以有效地限制用户的访问权限,实现与相应业务的捆绑。这一功能的实现由宽带接入服务器内部独立完成,不需要上层路由器的配合。对于接入用户IP地址的分配,宽带接入服务器通过与后台RADIUS服务器的配合,由宽带接入服务器,后台RADIUS服务器,甚至还可以由挂接在接入服务器上的DHCP server来实现用户固定地址和动态地址的分配。在这种方式下要实现IP流量转发控制,一方面可以通过在宽带接入服务器上对不同的IP地址段设置不同的路由转发策略来实现;另一方面也可以由上层路由器通过IP包的解析,对不同的IP源、目的地址进行过滤或路由,来限制不同用户的接入能力。
对于NAT技术的引入,一方面它可以充分利用私网地址,缓解公网IP地址资源有限的压力。另一方面,NAT通过IP流量的单向转发处理,实现用户内部的网络安全。宽带接入服务器提供非IP业务向IP业务的转换。从IP网络安全方面考虑,IP防火墙功能的实现集中在网络的边缘。因此,它提供必要的防 IP攻击和IP欺骗的功能对于整个IP网络安全来讲是十分重要的。可以说,IP防火墙功能的提高是网络应用对宽带接入服务器的实际要求。同时,由于SSG 具有强大的用户管理功能且交互式界面良好,将IP防火墙功能与SSG集成具有很好的实际应用前景。
宽带接入服务器组网应用的补充
承前所述,宽带接入服务器主要是为了适应当前各种DSL接入应用要求,尤其是ADSL接入。目前ADSL接入都是基于ATM网络平台,是ATM的 ADSL。但是,目前的网络架构以纯IP网居多且规模较大。同时,对于ATM技术的争论仍是业界讨论的焦点。ATM网络的进一步扩大有一定的困难,实现 ADSL直接IP接入的要求有现实意义。另一方面,随着接入侧接入网设备集成度的提高,在一个上连的接入网络单元(如DSLAM),往往能够挂接成百上千个实际用户。对于这样的网络分布和如此多的单点上连用户,将宽带接入服务器由集中式接入转为分散接入,也是一种理想的选择。甚至可以在接入侧将其与边缘接入设备直接集成,直接接入网络的IP一体化。这种组网方案不仅有利于宽带接入服务器自身设备的简化,易于实现用户的QoS,而且将接入用户数据IP化后直接汇聚入边缘路由器,易于完成与现有IP网络的融合,还节省了在网络接入侧和边缘侧的网络传输设备和传输通道。应该说,这样的宽带接入服务器价格便宜,设计简单,往往捆绑作为接入设备的一部分直接使用。但功能上来讲相对简单,网络的伸缩性和扩展性较差。采用这种组网方案对于接入业务单一的网络来讲是可行的,但用于业务复杂的网络就显得有些力不从心。从目前实际的业务导向上,高速上网成为目前宽带接入网的主流业务,业务类型单一而且附加业务较少,在这样的现状下采用分散接入有一定的优势。
从全网来看,宽带接入服务器既是全网接入业务的单一汇聚点,又是用户业务流量的统一转发点。在这个特殊的网络点,如果它能与其他专用网络设备实现联合组网应用,能够大大提高网络总体性能和用户的实际接入速度,取得事半功倍的效果。可以想象,对于Internet业务将宽带接入服务器直接挂接在专用 Cache和四层交换机上。这样,对于用户频繁访问的信息就可以通过四层交换机过滤直接从专用Cache上高速获取,从而直接旁路了大量的用户数据流,减少许多重复的、不必要的网络流量,大大降低了骨干网络负荷,提高了网络的利用率,具有很高的应用价值。
同时从IP发展趋势上看,由于多协议标签交换(MPLS)的引入可以平滑地实现网络升级,易于实现IP的服务质量保证和VPN应用。这些方面的应用与目前其他技术相比具有无法比拟的优势。MPLS已经成为业界对下一代IP发展方向的共识,宽带接入服务器对它的支持已是必然的选择。总之,目前宽带接入服务器正处于初期大规模推广应用阶段。随着宽带网络建设的深入,它具有十分广阔的发展前景。