寬帶接入服務(wù)器有很多值得學(xué)習(xí)的地方，這里我們主要介紹寬帶接入服務(wù)器中IP流量的轉(zhuǎn)發(fā)管理。寬帶接入服務(wù)器定位是在骨干網(wǎng)絡(luò)的邊緣，主要實(shí)現(xiàn)各種接入用戶的業(yè)務(wù)匯聚和流量匯聚，突出其接入方面的處理能力，希望寬帶接入服務(wù)器承擔(dān)各種各樣網(wǎng)絡(luò)功能的想法顯然是不現(xiàn)實(shí)的。因此，針對(duì)目前寬帶接入的實(shí)際需求和應(yīng)用趨勢(shì)去擴(kuò)展寬帶接入服務(wù)器的功能，才能更加高效地實(shí)現(xiàn)寬帶接入網(wǎng)。

1.業(yè)務(wù)選擇

業(yè)務(wù)選擇的作用就是要實(shí)現(xiàn)用戶通過一條終結(jié)到寬帶接入服務(wù)器的連接來自主地選擇后臺(tái)網(wǎng)絡(luò)運(yùn)營(yíng)商所提供的多種業(yè)務(wù)。一方面，各種業(yè)務(wù)的具體實(shí)現(xiàn)在技術(shù)上的側(cè)重點(diǎn)是不同的，對(duì)網(wǎng)絡(luò)性能要求也不盡相同。這樣，通過在寬帶接入服務(wù)器上劃分出適當(dāng)?shù)臉I(yè)務(wù)模型，使之針對(duì)各種業(yè)務(wù)特點(diǎn)合理有序地捆綁系統(tǒng)及其網(wǎng)絡(luò)資源，在有限的資源條件下更好地實(shí)現(xiàn)各種業(yè)務(wù)。另一方面，從今后網(wǎng)絡(luò)應(yīng)用的發(fā)展看，網(wǎng)絡(luò)內(nèi)容服務(wù)供應(yīng)商ICP與網(wǎng)絡(luò)接入商ISP的分離是必然趨勢(shì)。

2.VPN（虛擬專用網(wǎng)絡(luò)）實(shí)現(xiàn)

虛擬專用網(wǎng)絡(luò)就是要實(shí)現(xiàn)在公共網(wǎng)絡(luò)平臺(tái)上安全高效地傳送，使網(wǎng)絡(luò)具有良好的擴(kuò)展性和伸縮性。VPN技術(shù)的核心集中在數(shù)據(jù)包的加密和網(wǎng)絡(luò)傳送上。IETF已經(jīng)制訂了一些VPN技術(shù)標(biāo)準(zhǔn)，如：二層L2TP隧道技術(shù)和三層IP Sec加密技術(shù)。這兩項(xiàng)技術(shù)標(biāo)準(zhǔn)的頒布為VPN的應(yīng)用打下了堅(jiān)實(shí)的基礎(chǔ)。從目前VPN的實(shí)際應(yīng)用上看，VPN業(yè)務(wù)多數(shù)集中在網(wǎng)絡(luò)的邊緣上實(shí)現(xiàn)，對(duì)于骨干網(wǎng)絡(luò)設(shè)備而言往往是透明的。寬帶接入服務(wù)器作為網(wǎng)絡(luò)接入和業(yè)務(wù)匯聚的角色，往往是VPN應(yīng)用的最初發(fā)起端，它對(duì)VPN應(yīng)用的實(shí)現(xiàn)至關(guān)重要。目前，在網(wǎng)絡(luò)第二層的VPN實(shí)現(xiàn)上，寬帶接入服務(wù)器提供L2TP隧道加密技術(shù)。一般既可以作為L(zhǎng)AC（L2TP訪問集中器），也可以作為L(zhǎng)NS（L2TP網(wǎng)絡(luò)服務(wù)器），組網(wǎng)應(yīng)用靈活。在網(wǎng)絡(luò)第三層的VPN實(shí)現(xiàn)上，由于IP Sec是較新的協(xié)議標(biāo)準(zhǔn)，因此這種VPN的實(shí)現(xiàn)還不普及。如今只有部分的寬帶接入服務(wù)器開始支持該項(xiàng)功能。

3.組播支持

從全網(wǎng)位置上看，寬帶接入服務(wù)器必須支持組播，在網(wǎng)絡(luò)層上完成組播視頻流的末端分發(fā)。網(wǎng)絡(luò)主機(jī)安裝相應(yīng)的組播應(yīng)用程序來支持組播協(xié)議，通過主動(dòng)提出組播申請(qǐng)，選擇所需的組播服務(wù)，以使之連接到本地支持IGMP的路由器或組播服務(wù)器上。從技術(shù)實(shí)現(xiàn)的角度上和目前實(shí)際設(shè)備對(duì)組播支持情況上看，寬帶接入服務(wù)器主要起到轉(zhuǎn)發(fā)在網(wǎng)絡(luò)終端和支持IGMP的組播服務(wù)器或路由器之間的組播流量。一般都支持IGMP第一、二版的協(xié)議標(biāo)準(zhǔn)，但是，在很大程度上僅僅是擔(dān)當(dāng)IGMP代理（Proxy）或IGMP欺騙（Snooping）的角色，簡(jiǎn)單地完成網(wǎng)絡(luò)末組播包的透明傳遞和分發(fā)，終端用戶感覺不到與實(shí)際應(yīng)用時(shí)的差異。

4.IP流量的轉(zhuǎn)發(fā)管理及防火墻功能

寬帶接入服務(wù)器的IP流量轉(zhuǎn)發(fā)管理主要是根據(jù)不同用戶的實(shí)際權(quán)限向用戶提供相應(yīng)的接入能力，在一定程度上完成IP防火墻的功能，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)安全。IP的流量轉(zhuǎn)發(fā)管理在很大程度上是與寬帶接入服務(wù)器的VPN和業(yè)務(wù)選擇相捆綁，與上層骨干邊緣路由器相配合，靈活有效地實(shí)現(xiàn)對(duì)各種業(yè)務(wù)類型的IP分離。在技術(shù)實(shí)現(xiàn)上，該功能可以通過自身IP包過濾（IP Filter），針對(duì)不同業(yè)務(wù)靈活分配IP地址段和網(wǎng)絡(luò)側(cè)NAT（網(wǎng)絡(luò)地址翻譯）來實(shí)現(xiàn)。同時(shí)，從網(wǎng)絡(luò)安全的角度出發(fā)，寬帶接入服務(wù)器還應(yīng)該提供防IP攻擊和IP欺騙的功能。

對(duì)于IP過濾技術(shù)，系統(tǒng)在完成用戶接入的同時(shí)根據(jù)用戶選擇的業(yè)務(wù)類型指定相應(yīng)的IP過濾策略，向不同權(quán)限的用戶進(jìn)行三、四層的數(shù)據(jù)包過濾。這樣既實(shí)現(xiàn)了業(yè)務(wù)的需要，又可以有效地限制用戶的訪問權(quán)限，實(shí)現(xiàn)與相應(yīng)業(yè)務(wù)的捆綁。這一功能的實(shí)現(xiàn)由寬帶接入服務(wù)器內(nèi)部獨(dú)立完成，不需要上層路由器的配合。

對(duì)于接入用戶IP地址的分配，寬帶接入服務(wù)器通過與后臺(tái)RADIUS服務(wù)器的配合，由寬帶接入服務(wù)器、后臺(tái)RADIUS服務(wù)器，甚至還可以由掛接在接入服務(wù)器上的DHCP server來實(shí)現(xiàn)用戶固定地址和動(dòng)態(tài)地址的分配。在這種方式下，要實(shí)現(xiàn)IP流量轉(zhuǎn)發(fā)控制，一方面可以通過在寬帶接入服務(wù)器上對(duì)不同的IP地址段設(shè)置不同的路由轉(zhuǎn)發(fā)策略來實(shí)現(xiàn)；另一方面也可以由上層路由器通過IP包的解析，對(duì)不同的IP源、目的地址進(jìn)行過濾或選路由，來限制不同用戶的接入能力。對(duì)于NAT技術(shù)的引入，一方面它可以充分利用專網(wǎng)地址，緩解公網(wǎng)IP地址資源有限的壓力。另一方面，NAT通過IP流量的單向轉(zhuǎn)發(fā)處理，實(shí)現(xiàn)用戶內(nèi)部的網(wǎng)絡(luò)安全。