BRAS原理

BRAS原理

第一章宽带接入服务器原理

1.1 宽带接入服务器定义

宽带接入服务器（Broadband Remote Access Server,BRAS）是面向宽带网络应用的新型接入网关。它位于骨干网络的汇接层或边缘层，可以完成用户带宽的（或高速的）IP/ATM网的数据接入（目前接入手段主要基于xDSL/Cable modem/高速以太网技术/无线宽带数据接入等），实现多种业务的汇聚和转发，解决不同用户对传输容量﹑带宽利用率的要求,为用户提供VPN服务、构建企业内部Intranet、支持ISP向用户批发业务等应用，以达到对各种宽带数据网络的综合管理。

图1－1为宽带接入服务器的网络定位参考图。

BRAS是IP城域网骨干层中的重要设备，是联系宽带接入网和骨干网络之间的桥梁。它

承担着宽带接入网络的管理工作，完成宽带IP/ATM网的数据接入，实现网络的IP接入一

体化，解决宽带用户在业务上、流量上和管理上的汇聚，达到了用户终端只通过一条网络连

接便可以灵活、自主、方便地选择服务网络的目的，是目前城域网汇接／分配层中的核心设

备。

1.2.2 接口类型和接入方式

为了实现对各种宽带接入类型的支持，宽带接入服务器提供了丰富的接口类型。如今，在用户侧方面，宽带接入服务器已经可以提供：

DS3/OC3/OC12的ATM光接口,实现纯ATM接入或DSLAM（DSL的用户集中器）的接入

提供100/1000M快速以太网接口,实现局域网用户和HFC用户的接入

提供高密度信道化或非信道化E1/T1/DS3的帧中继接口,实现帧中继用户的接入

在网络侧方面, 宽带接入服务器已经可以提供：

100/1000M快速以太网接口

OC3/OC12的ATM接口

OC12的POS接口，实现流量的汇聚转发

与以往窄带拨号服务器不同的是，宽带接入服务器接入过程依托于底层（数据链路层，主要是ATM层和以太网层）对数据包的封装重组。利用底层的技术特点，不仅在接入组网方式上灵活多变，而且可以有效地捆绑上ATM和以太网自身的技术优势，实现服务质量保证。具体来说：

通过RFC1490和RFC1483第二层的桥接技术，RFC1577第三层的IP路由技术，实现宽带用户的静态IP接入

通过PPP Over A TM和PPP Over Ethernet实现用户的动态IP接入

通过L2TP的二层VPN隧道技术，实现企业用户和小型ISP的VPN接入要求

宽带接入主流的应用方向是PPP接入方式。而在PPP接入技术中，由于PPPOE可以适用于多种接入网络，应用灵活，易于实现业务选择，同时又保护目前用户的已有投资。

1.2.3 接入数量

由于以往拨号接入服务器采用TDM技术，系统通过每一个DS0时隙接收来自PSTN网络的数据，系统的最大接入数就是系统可以终结的DS0时隙数，也就是系统可以集成的最大Modem数。这种基于时隙交换的技术，要想扩大系统接入数量在一定程度上只能通过扩大系统的集成度来实现，具有相当的局限性。在宽带网络中，宽带接入服务器由接口处理模块直接完成对各种协议栈的封装重组处理，比如：PPPOE或PPPOA的呼叫。由于ASIC（专用集成电路）技术的引入，系统包处理能力显著提高，接入实现的时长大大降低（通常要求小于5秒，包括RADIUS认证时间）；系统各处理模块的合理配合使得系统更加稳定，而且能够很好地完成对多用户并发接入情况的调度处理。目前，一台中等规模的宽带接入服务器应能支持8000个以上的并发PPP（包括PPPOA和PPPOE）呼叫，大型的宽带接入服务器可以实现100K个呼叫接入。

1.3 宽带接入服务器的扩展功能

1.3.1 业务选择

目前主要采用两种模式：由终端直接进行业务选择模式和统一通过后台服务选择网关模式。

终端直接进行业务选择模式：首先是通过拨号软件由用户进行业务选择，然后利用远端RADIUS服务器对用户进行业务授权确认，最后激活接入服务器内部相应的业务模型实现业务的指向。但是，采用这种业务选择方式，终端用户无法直观地、全面地获知宽带接入服务器提供的各种业务类型，增加了终端用户的实际操作，具有一定的局限性。另一方面，用户要实现业务间的切换必须重新进行虚拟拨号，实现上也不方便。

后台服务选择网关模式：用户通过PPP或DHCP方式接入并动态得到IP地址后，被强制访问与宽带接入服务器直连的服务选择网关。在用户终端一般可以通过Web的交互式界面得到可选择业务的相关信息，填入相应的用户数据后，通过远端RADIUS对申请进入这一业务的用户进行授权认证，然后根据业务的不同对用户实行必要的IP覆盖，最后仍然是通过激活接入服务器内部相应的业务模型实现业务的选择。

其实，这两种选择模式的实现内核基本趋于一致，业务选择的核心都是在宽带接入服务器实现，差别仅仅在用户接口形式上。但是，从运营的实际需要出发，采用后台服务选择网关模式不仅大大提高了接入用户操作的透明度，减少了用户终端的配置过程，而且可以起到业务门户的作用，为下一步的服务扩展提供空间。

1.3.2 QoS支持

前面所述，宽带接入服务器支持ATM和FR接入。显而易见，通过ATM或FR自身的QoS实现机理就可以很好地解决用户的QoS问题。但是不要忘记，在宽带接入服务器中除了ATM和FR接入外，还有各种类型的纯IP接入。对于这一类型的接入流量，可以利用IP 报头的服务类型标记（ToS）字段。通过业务发起侧对IP包打上相应的ToS标记，在接入服务器内部进行相应的流量映射或业务映射，区分各种流量等级，实现网络的QoS。

1.3.3 VPN（虚拟专用网络）实现

目前，在网络第二层的VPN实现上，宽带接入服务器提供L2TP隧道加密技术。它一般既可以作为LAC（L2TP访问集中器），也可以作为LNS（L2TP网络服务器），组网应用灵活。在网络第三层的VPN实现上，由于IPSec是较新的协议标准，因此这种VPN的实现还不普及。如今只有部分的宽带接入服务器开始支持该项功能。

1.3.4 端口批发

在宽带接入服务器中可以通过划分VLAN或创建虚拟路由器（Virtual Router）的方式来实现。这些技术的实现，在本质上都是将系统进行子资源划分，在每一个子系统中独立完成网络二、三层的相应功能，完成端口批发业务。其实，站在VPN的角度上看，我们也可以认

为端口批发业务是实现VPN应用的另一途径，且应用灵活方便。

1.3.5 组播支持

宽带接入服务器必须支持组播，在网络层上完成组播视频流的末端分发。网络主机安装相应的组播应用程序来支持组播协议，通过主动提出组播申请，选择所需的组播服务，以使之连接到本地支持IGMP的路由器或组播服务器上。宽带接入服务器主要起到转发在网络终端和支持IGMP的组播服务器或路由器之间的组播流量。第一、二版的协议标准，但是在很大程度上仅仅是扮演着IGMP代理（Proxy）或IGMP欺骗（Snooping）的角色，简单地完成网络末端组播包的透明传递和分发，终端用户感觉不到与实际应用时的不同。为了进一步提高宽带接入服务器组播应用的灵活性，一些设备厂商在实际的产品中已经开始对组播路由协议（如：PIM，DVMRP等）的支持。

1.3.6 IP流量的转发管理，实现防火墙功能

宽带接入服务器的IP流量转发管理主要是根据不同用户的实际权限向用户提供相应的接入能力，在一定程度上完成IP防火墙的功能，实现内部网络安全。IP的流量转发管理在很大程度上是与宽带接入服务器的VPN和业务选择相捆绑，与上层骨干边缘路由器相配合，灵活有效地实现对各种业务类型的IP分离。在技术实现上，该功能可以通过自身IP包过滤（IP Filter），针对不同业务灵活分配IP地址段和网络侧NAT（网络地址翻译）来实现。同时，从网络安全的角度出发，宽带接入服务器还应该提供防IP攻击和IP欺骗的功能。

承前所述，宽带接入服务器主要是为了适应当前各种DSL接入应用要求，尤其是ADSL 接入。从全网来看，宽带接入服务器既是全网接入业务的单一汇聚点，又是用户业务流量的统一转发点。如今，以光通信为代表的新一轮数据骨干网络和接入网络迅猛发展，这对宽带接入服务器在各方面都提出了更高的要求。宽带接入服务器在性能上的提高集中表现在接入处理能力方面、交换容量方面和接口带宽、密度方面。从各厂商的发展计划上看，下一代大型宽带接入服务器的系统性能要求达到：

交换容量至少40G；

同时支持的PPP呼叫数目达到20K；

可配置用户数达到100K；

独立包转发能力达到1Mpps以上。

2.1 设备体系结构

BRAS设备基本系统模块组成

1. 系统内部组成

包括交换网络/时钟模块（主要包括交换网络单元和线路时钟单元）、线路接口及处理模块

（主要包括FE/GE、ATM 和POS 等种类端口）、主控模块、业务处理模块、高速背板，

整个系统的内部功能模块组成与相互关系框图如下图所示：

从图中可以看到，交换网络单元采用双平面结构，两交换平面同时工作，所有与交换网络单元连接的功能模块（主控模块、线路接口模块、业务处理模块）同时输出两路待交换的定长数据包上交换网络的两个平面，经交换网络交换后的数据包分别送往相应功能模块，由该功能模块的板上逻辑决定采用哪个平面的输入数据。

BRAS设备逻辑上具体可以分为如下几个部分：

交换网络/时钟模块

主控模块

线路接口及处理模块

业务处理模块

高速背板模块

各模块具体功能如下：

交换网络/时钟模块

交换网络/时钟模块包含了交换网络和时钟两个子模块，共同集成于NET 板中，主要完成定长数据包交换和向系统提供同步的线路时钟，其中交换网络单元采用双平面结构，线路时钟单元采用主从同步的双平面方式工作。整机一般需要配置两块NET 板，以双平面形式工作，两块NET 板各自接收同样的输入并各自分别输出结果，接收该信号的单板根据当前状况或系统需要对两工作平面输出的信号进行选择，以获得更良好的信号保证。

主控模块

模块完成系统配置、状态监视、计费代理、检测功能、倒换控制、呼叫处理和路由协议处理等功能。

线路接口及处理模块

包含输入/输出接口单元（I/O）和线路处理单元两部分。线路接口及处理模块提供基本的业务处理能力，IP 业务流业务的接入，并带有分布转发功能，此外还可处理PPPoE、PPPoA、IPoA、VLAN 等业务流，分为LPUx（包括LPUA、LPUB、LPUC 和LPUD）和LPUH 两种，LPUx 提供纯粹的线路接口及处理功能，LPUH 还能提供基本BAS 功能。线路接口模块分为ATM 线路接口模块与帧线路接口模块两种：ATM 线路接口模块主要提供各种ATM 特性接口和ATM 业务引擎，完成ATM物理层和ATM 层的主要功能，并根据链路信息对用户数据流进行处理和排队工作。帧线路接口模块主要负责IP 业务的接入，具有分布转发功能，并向用户提供各种物理层和二层接口。线路接口模块由I/O 扣板提供，通过选择不同的扣板，可以配置上不同的接口，如FE 接口、GE 接口、ATM 接口、POS 接口。

业务处理模块

业务处理板可以加载不同的软件来分别完成BAS、PORTAL 和NAT 功能，处理能力强大。业务处理相对接口数据，属于资源共享或分布式业务处理，当采用资源共享方式时，相对接口的数据处理就可动态分配，线路接口升级灵活。

高速背板模块

提供了各单板高速信号线和控制线的互联通道。

2.2 设备操作和维护

2.2.1 配置环境搭建

BRAS设备支持用户进行本地与远程配置，配置环境的搭建可通过console 口、MODEM 拨号、telnet 几种方法实现。

通过配置口（console）搭建本地配置环境

通过串口和MODEM 搭建远程配置环境

通过Telnet 搭建远程配置环境

2.2.2 系统配置

终端服务配置

Telnet 终端服务种类

Telnet 协议在TCP/IP 协议族中属于应用层协议，通过网络提供远程登录和虚拟终端功能。ISN8850 提供Telnet 服务包括：

Telnet Server 服务，用户在微机上可以运行Telnet 客户端程序登录到设备上，对设备进行配置管理。

Telnet Client 服务，用户在微机上通过终端仿真程序或Telnet 程序建立与设备的连接

后，可以输入Telnet 命令再登录其它设备，对其进行配置管理。

Telnet server 配置

1. 配置Ethernet 接口地址

2. 建立地址访问列表

3. 将telnet 服务与建立地址访问列表绑定

4. 为对telnet 用户进行AAA 认证而配置ISP 以及认证方式

5. 为telnet 用户绑定ISP 域名

6. 设置telnet 用户登录时使用AAA 认证方式

7. 配置要telnet 到设备上来的管理用户帐号

8. 配置telnet 用户登录后，执行enable 命令，要输入的密码以及将进入的特权级别配置文件管理配置

查看设备的当前配置和起始配置

修改和保存当前配置

选择系统重启的配置文件

选择系统重启不从配置文件进行恢复

显示系统配置恢复使用的文件名

备份配置文件到备用MPU

备份配置文件到控制台

设备管理配置

槽位配置

交换网络单元配置

单板倒换

主控板手工主备切换

显示主控板备份倒换相关信息

网板的倒换

显示网板倒换信息

时钟参考源配置

查看设备运行状态

SNMP配置

SNMP 的配置任务有：

设置团体名（Community Name）

设置管理员的标识及联系方法（sysContact）

允许或禁止发送Trap

设置Trap 目标主机的地址

设置设备的位置（sysLocation）

设置设备的名称(sysName)

允许或禁止发送Authentication Trap

绑定访问列表

2.2.3 业务配置

PPP配置

PPP 的基本配置任务包括：

配置接口封装的链路层协议为PPP

配置PPP 验证方式及用户名、用户口令

配置PPP 的AAA 验证及计费参数

PPP 的高级配置任务包括：

配置PPP 协商参数

说明：PPP 基本配置任务，是在ISN8850 上运行PPP 必须完成的配置，而高级配置任务是用户根据自己的需要进行的可选配置。

配置接口封装的链路层协议为PPP

在VT 配置模式下，可配置接口封装的链路层协议为PPP：

配置接口封装的链路层协议为PPP

接口缺省封装的链路层协议即为PPP。

配置PPP 验证方式及用户名、用户口令

本地和对端之间支持CHAP 和PAP 两种验证方式，以下将根据不同的验证方向和验证方法分别介绍需要的配置步骤。

1. 配置PAP 验证方式

配置本地以PAP 方式验证对端

配置方法是：先在本端全局配置模式下配置本地用户列表，对端就用此用户名和密码接收验证。然后本端在VT 接口模式下启动PAP 验证。

2. 配置CHAP 验证方式

配置本地以CHAP 方式验证对端

配置方法是：先在全局配置模式下在本地用户列表中加入用户名和密码，此用户名和密码是被验证方专门配置的主机名和密码。然后在VT 接口模式下启动CHAP 验证，并配置本地名称。

将对端用户名和密码加入本地用户列表

配置本地验证对端（方式为CHAP）

取消配置的PPP 验证方法，即不进行PPP 验证

配置本地名称

删除配置的本地名称

配置PPP 的AAA 验证及计费参数

本地验证是用命令配置的本地用户进行验证；RADIUS 服务器验证是用RADIUS 服务器上的用户数据库进行验证。具体配置命令见下表。

配置PPP 协商参数

可以配置的PPP 协商参数包括：

协商超时时间间隔，在PPP 协商过程中，如果在这个时间间隔内没有收到对端的应答报文，则PPP 将会重发前一次发送的报文。缺省超时时间间隔标准为10秒，可选范围为1 秒到10 秒。

流量控制配置

不同用户的上网需求是各不相同的，即使是同一用户在不同的应用中，其对上网带宽的需求也不尽相同。

系统的流量控制是通过系统CAR 功能来实现的，其特性主要包括：

支持基于用户和基于端口的上下行流量控制。

基于用户的流量控制是指用户可以根据自己的需要进行动态带宽选择，基于端口的流量控制包括基于逻辑端口和基于物理端口的流量控制，例如VLAN、FE/GE 和PVC。

流量控制的最小带宽为128k，流量控制的最大带宽为100M，流量控制的粒度为64k。支持用户的突发流量。

流量控制误差不超过5%。

对处于过分流量的报文处理直接丢弃。

动态带宽选择

一般的动态带宽选择是通过CAR（Committed Acess Rate，预定的接入速率）功能来实现的。在通过WEB 认证以前，用户访问任何外部网站的主页，都将返回PortalServer 的主页面；用户在提交用户名和密码的时候，可以自行选择服务质量，相关参数主要有：

上行：上行基本速率、上行平均速率、上行峰值速率；

下行：下行基本速率、下行平均速率、下行峰值速率。

IP协议配置

1 IP 地址的配置

配置主机名和对应的IP 地址

取消主机名和对应的IP 地址

配置接口主IP 地址

配置接口从IP 地址

删除接口IP 地址

2 静态ARP 的配置

ARP 即地址解析协议，主要用于从IP 地址到以太网MAC 地址的解析。一般情况下，ARP 动态执行并自动寻求IP 地址到以太网MAC 地址的解析，无需管理员的介入。

3 DHCP 配置

DHCP 配置任务列表通常如下：

配置DHCP 服务器

显示DHCP 服务器配置

进入接口配置模式配置接口的DHCP 服务器

取消接口的DHCP 服务器功能

删除接口下DHCP SERVER IP 地址

显示DHCP 服务器配置

AAA及RADIUS协议配置

使能禁止AAA在全局配置模式下，可以用此命令配置PPP 的验证方法表或恢复该方法表的默认值。

在配置验证方法表时，至少需要指定一种验证方法，如果指定多种验证方法，则在进行PPP 验证时，首先采用method1，如果发生验证错误（如无法与RADIUS 服务器建立通信连接等错误），再采用method2，依次类推；但如果在采用某种方法验证失败后（即为非法访问），则不再采用其后方法而终止验证。另外none 方法只有放在最后才有意义。

对于3 种方法的一些组合由于没有意义，配置时被禁止，下面是被允许的5种组合： aaa authentication ppp default none

aaa authentication ppp default local

aaa authentication ppp default radius

aaa authentication ppp default radius none

aaa authentication ppp default radius local

可以配置多个PPP 的验证方法表，用于不同端口。

RADIUS 验证过程示例：

用户lst 要求得到某些服务（如PPP、Telnet 和FTP 等），对用户lst 进行RADIUS 验证过程如下：

lst 通过拨号进入NAS。

NAS 按配置好的验证方式（如PPP 的PAP 或CHAP 等）要求lst 输入用户名、密码等信息。

lst 端出现输入提示，用户按提示输入用户名和密码。NAS 得到这些信息后，将其传给相应验证或计费的服务器。

NAS 根据服务器的响应来决定用户是否可以获得他所要求的服务。

在全局配置模式下，可以用此命令配置允许或禁止AAA 的本地优先验证。

本地优先验证

不使用本地优先验证

一般缺省为不使用本地优先验证

打开计费选择开关

关闭计费选择开关

全局配置模式下的计费选择开关配置对所有非指定RADIUS 服务器或服务器组的计费均起作用。

第三章PPPOE原理及应用

3.1 PPPoE协议概述

3.1.1 PPPoE的工作原理

PPPoE(PPP over Ethernet)是在以太网上建立PPP连接，由于以太网技术十分成熟且使用广泛，而PPP协议在传统的拨号上网应用中显示出良好的可扩展性和优质的管理控制机制，二者结合而成的PPPoE协议得到了宽带接入运营商的认可并广为采用。

PPPoE建立过程可以分为Discovery阶段和PPP会话阶段。Discovery阶段是一个无状态的阶段，该阶段主要是选择接入服务器，确定所要建立的PPP会话标识符Session ID，同

时获得对方点到点的连接信息；PPP会话阶段执行标准的PPP过程。

一个典型的Discovery阶段包括以下4个步骤：

(1)主机首先主动发送广播包PADI寻找接入服务器，PADI必须至少包含一个服务名称类型的TAG，以表明主机所要求提供的服务。

(2)接入服务器收到包后如果可以提供主机要求

(3)主机在回应PADO的接入服务器中选择一个合适的，并发送PADR告知接入服务器，PADR中必须声明向接入服务器请求的服务种类。

(4)接入服务器收到PADR包后开始为用户分配一个唯一的会话标识符Session ID，启动PPP状态机以准备开始PPP会话，并发送一个会话确认包PADS。

主机收到PADS后，双方进入PPP会话阶段。在会话阶段，PPPoE的以太网类域设置为0x8864，CODE为0x00，Session ID必须是Discovery阶段所分配的值。

PPP会话阶段主要是LCP、认证、NCP 3个协议的协商过程，LCP阶段主要完成建立、配置和检测数据链路连接，认证协议类型由LCP协商(CHAP或者PAP)，NCP是一个协议族，用于配置不同的网络层协议，常用的是IP控制协议(IPCP)，它负责配置用户的IP和DNS等工作。

PADT包是会话中止包，它可以由会话双方的任意一方发起，但必须是会话建立之后才有效。

3.1.2 PPPoE的特点

PPPoE不仅有以太网的快速简便的特点，同时还有PPP的强大功能，任何能被PPP封装的协议都可以通过PPPoE传输，此外还有如下特点：

(1)PPPoE很容易检查到用户下线，可通过一个PPP会话的建立和释放对用户进行基于时长或流量的统计，计费方式灵活方便。

(2)PPPoE可以提供动态IP地址分配方式，用户无需任何配置，网管维护简单，无需添加设备就可解决IP地址短缺问题，同时根据分配的IP地址，可以很好地定位用户在本网内的活动。

(3)用户通过免费的PPPoE客户端软件(如EnterNet)，输入用户名和密码就可以上网，跟传统的拨号上网差不多，最大程度地延续了用户的习惯，从运营商的角度来看，PPPoE对其现

存的网络结构进行变更也很小。

DSLAM是ADSL汇聚设备，其内核采用ATM或IP但上联口为以太网口，BAS是局端实现PPPoE功能的接入服务器，它终结由用户侧发起的PPPoE进程。下行的以太帧从IP城域网经路由器送到BAS，被加上PPPoE的头后送到DSLAM封装成AAL5帧，经过交叉模块发送到ADSL Modem，由其完成AAL5帧重组并解出以太帧发送到客户端，客户端从PPPoE包中取出IP数据包。

上行的PPPoE包在ADSL Modem中封装成AAL5帧，由ATM信元传输到局端的DSLAM，DSLAM负责终结A TM，重新组合出PPPoE包，并通过设好的PVC(永久虚电路)传送到BAS 处理。

从上面可以看出，PPPoE将PPP承载到以太网之上，实质是在共享介质的网络上提供一条逻辑上的点到点链路，对用户而言，在DSLAM和ADSL Modem之间的ATM传输是透明的，如果将中间的DSLAM和ADSL Modem换成有线电视的接入设备,就是典型的HFC接入，BAS对PPPoE包的处理方式不变。

3.1.3 PPPoE在BAS上的实现

PPPoE拨号软件在应用中已经很成熟(Windows XP中自带)，下面重点讨论PPPoE在接入服务器BAS中的实现方式。

(1)PPPoE的效率

从PPPoE协议模型可以看出，BAS汇聚了用户的所有数据流，它必须将每一个PPPoE 包都拆开检查处理，这在很大程度上是沿袭了传统的PPP处理的方式，虽然有很好的安全性，但一旦用户很多，数据包数量很大，解封装速度就需要很快，BAS很大的精力花在检测用户的数据包上，容易形成接入的“瓶颈”。

为此，在BAS的硬件结构上可以采用分布式网络处理器(NP)和ASIC芯片设计。网络处理器是专门针对电信网络设备而开发的专用处理器，它有一套专门的指令集，用于处理电信网络的各种协议和业务，可以大大提高设备的处理能力。同时，ASIC芯片转发数据包时接近硬件的转发性能，远非CPU软件方式可比，采用这种方式将PPPoE数据流的处理与转发分开，工作效率大大提高。此外在软件系统结构上还应该与其他技术相结合，更好地发挥PPPoE的性能。

(2)PPPoE与VLAN的结合

VLAN即虚拟局域网，是一种通过将局域网内的设备逻辑地划分成一个个不同的网段，从而实现虚拟工作组的技术。划分VLAN的目的，一是提高网络安全性，不同VLAN的数据不能自由交流，需要接受第三层的检验；二是隔离广播信息，划分VLAN后，广播域缩小，有利于改善网络性能，能够将广播风暴控制在一个VLAN内部。

PPPoE是一个客户端/服务器协议，客户端需要发送PADI包寻找BAS，因此它必须同BAS在同一个广播式的二层网络内，与VLAN的结合很好地解决了这方面的安全隐患。此外通过将不同业务类型的用户分配到不同的VLAN处理，可以灵活地开展业务，加快处理流程，当然VLAN的规划必须在二层设备和BAS之间统一协调。

BAS收到上行的PPPoE包后，首先判别VLAN ID的所属类别，如果是普通的拨号用户，则确定是Discovery阶段还是会话阶段的数据包，并严格按照PPPoE协议处理。在会话阶段，根据不同的用户类型从不同的地址池中向用户分配IP地址，地址池由上层网管配置。如果是已经通过认证的用户的数据包，则根据该用户的服务类型处理，比如，如果是本地认证的拨号用户，且对方也申请有同样的功能，则直接由本地转发。

如果是专线用户，则不用经过PPPoE复杂的认证过程，直接根据用户的VLAN ID便可进入专线用户处理流程，接入速度大大提高。此外为了统一网管，在BAS与其他设备之间需要通信，这些数据包是内部数据包，也可根据VLAN ID来辨别。

对于下行数据，由于BAS负责分配和解析用户的IP，兼有网关的功能，它收到数据包的目的IP是用户的，因此以IP为索引查找用户的信息比根据MAC要方便得多，这一点与普通的交换机有所不同，具体过程跟上行处理差不多。

(3)PPPoE对多业务选择的支持

多业务选择指的是用户通过一条终结到BAS的PPP连接来自主地选择后台网络运营商所提供的多种业务。之所以要支持多业务的选择，一方面是因为各种业务的具体实现在技术上的侧重点是不同的，对网络性能的要求也不尽相同，以前采取的固定分配的方式非常不便；另一方面，从网络应用的发展看，网络内容服务供应商ICP与网络接入商ISP的分离是必然趋势，在接入汇聚侧，ISP必须严格保证将用户选择的业务流转发到相应的ICP中去。

目前采用的方法是用户先在PPPoE拨号软件中选择相应的业务，然后对用户进行业务授权确认，最后激活BAS内部相应的处理模块。但是采用这种方式，用户只能知道业务的名字，无法直观地、全面地获知BAS提供的各种业务类型，特别是在新业务的开展上十分困难，有很大的局限性。

因此可以将BAS与后台业务选择网关及RADIUS服务器相配合，采取先认证后选择业务的方式，具体操作如下：

主机发送PADI寻找BAS，PADI中包含一个服务名类型的TAG，它的值为空，表示该用户可以接受任何类型的服务。

BAS收到包后回送PADO，PADO中包含所有可以提供的服务的TAG，同时，还包含一个服务名为General的TAG。

主机发送PADR。用户选择已知的服务名，也可以选择General服务。

BAS收到PADR包后为用户分配资源，并开始PPP协商过程。在PPP过程中，BAS 将用户输入的账号和密码等信息送到RADIUS服务器上认证。

通过认证的用户，享受BAS提供的该项服务，但如果选择的是General，则被强制访问与BAS直连的服务选择网关。后台的服务选择网关是一台具有Web Server功能的服务器，用户可以通过Web的交互式界面得到可选择业务的相关信息(包括费用、带宽等)，同时显示该用户账号对应的信息。

用户选择相应的业务，同时服务选择网关会定义各种用户的业务范围和操作权限。

服务选择网关激活接入服务器内部相应的业务模型实现该业务。以上方式是严格按照PPPoE协议执行的，与当前流行的拨号软件完全兼容，如果用户对其他的业务根本不感兴趣而对已申请的业务非常熟悉，也不影响用户的习惯。

从BAS的角度考虑，PPPoE的操作流程也没有什么改变，只是多添了一种服务类型而已。如果运营商当前没有服务选择网关，可以通过网管配置，在对PADI包的回应时不包含General服务就可以了。

对于运营商来说，采用以上方式不仅大大提高了接入用户操作的透明度，还可以起到业务门户的作用，为下一步的服务扩展提供空间，而且从宽带接入网以后发展的趋势来看，按需分配与业务类型相应的带宽和QoS是必然的，PPPoE的这种业务选择运营模式是今后业务选择的发展方向。

(4) PPPoE对组播的支持

PPPoE本身是一个点到点的协议，每一个用户与BAS之间都有一条PPP的链接，用户与BAS之间是通过这条链路经二层设备以单播的形式传输数据。但是随着网上视频业务的不断发展，人们对带宽的需求越来越大，PPPoE对组播的支持显得非常重要。PPPoE所支持的组播协议通常指的是二层组播协议IGMP proxy或IGMP Snooping，采取的基本方法是对每个组播数据包分组传送，下面分析这两种协议的实现方式。

IGMP Snooping

IGMP Snooping是靠侦听用户与路由器之间通信的IGMP报文维护组播地址和VLAN 的对应表的对应关系，它将同一组播组的活动成员映射为一个VLAN，在收到组播数据包后，仅向该组播组所对应的VLAN成员转发。主要操作流程如下：

(1)主机与BAS进行PPPoE协商，通过PPPoE认证。

(2)主机向路由器发送IGMP成员报告包，BAS监听到该包，并从PPPoE数据包中得到组播组的地址，将该用户添加到对应的VLAN，如果该用户是组播组的第一个用户，则为这个组播组产生一个组播条目，并将该报文转发至上层路由器以更新组播路由表。

(3)BAS收到路由器的组播数据报文时，根据组播MAC地址和组播IP地址的对应关系，找到对应的VLAN，然后将数据包封装成PPPoE的会话包，向VLAN内的成员转发。

(4)当收到来自主机的申请离开组播组的包时，BAS把收到该包的端口从相应的VLAN 中删除，若该用户是组播组最后一个用户(此时VLAN为空)，则把该VLAN删除，并把该包内容通过上行端口转发出去。IGMP Snooping的规则比较简单，下行方向透传查询包，上行方向根据需要转发加入或离开包，但要求BAS必须有3层提取功能，它对于主机和路由器是透明的。

IGMP Proxy

IGMP Proxy是靠拦截用户和路由器之间的IGMP报文建立组播表，Proxy设备的上联端口执行主机的角色，下联端口执行路由器的角色。

下面是简要流程：

(1)主机与BAS进行PPPoE协商，通过PPPoE认证。

(2)上联端口执行主机的角色，响应来自路由器的查询，当新增用户组或者某组最后一个用户退出时，主动发送成员报告包或者离开包。

(3)下行方向的业务包按照组播表进行转发。

(4)下联端口执行路由器的角色，完全按照IGMP V2中规定的机制执行，包括查询者选举机制，定期发送通用查询信息，收到离开包时发送特定查询等。IGMP Proxy在两个端口分别实现不同的功能，工作量相对较大，其优点是当网络中没有路由器时，IGMP Proxy设备可以起到查询者的作用，而且如果要扩展组播路由功能，Proxy比Snooping方便。考虑到BAS复制PPPoE多播数据对底层设备造成的巨大压力，而且当前的交换机和部分DSLAM(尤其是以IP为内核的DSLAM)已经开始支持二层组播,所以从发展的角度看采用IGMP Proxy更好一些。

备注：《BRAS基本原理》中仅仅介绍了相关设备模块配置的基本原理，具体配置步骤和配置命令，根据具体设备的不同也有所不同