寬帶接入服務器有很多值得學習的地方，這里我們主要介紹寬帶接入服務器中IP流量的轉(zhuǎn)發(fā)管理。寬帶接入服務器定位是在骨干網(wǎng)絡的邊緣，主要實現(xiàn)各種接入用戶的業(yè)務匯聚和流量匯聚，突出其接入方面的處理能力，希望寬帶接入服務器承擔各種各樣網(wǎng)絡功能的想法顯然是不現(xiàn)實的。因此，針對目前寬帶接入的實際需求和應用趨勢去擴展寬帶接入服務器的功能，才能更加高效地實現(xiàn)寬帶接入網(wǎng)。

1.業(yè)務選擇

業(yè)務選擇的作用就是要實現(xiàn)用戶通過一條終結(jié)到寬帶接入服務器的連接來自主地選擇后臺網(wǎng)絡運營商所提供的多種業(yè)務。一方面，各種業(yè)務的具體實現(xiàn)在技術上的側(cè)重點是不同的，對網(wǎng)絡性能要求也不盡相同。這樣，通過在寬帶接入服務器上劃分出適當?shù)臉I(yè)務模型，使之針對各種業(yè)務特點合理有序地捆綁系統(tǒng)及其網(wǎng)絡資源，在有限的資源條件下更好地實現(xiàn)各種業(yè)務。另一方面，從今后網(wǎng)絡應用的發(fā)展看，網(wǎng)絡內(nèi)容服務供應商ICP與網(wǎng)絡接入商ISP的分離是必然趨勢。

2.VPN（虛擬專用網(wǎng)絡）實現(xiàn)

虛擬專用網(wǎng)絡就是要實現(xiàn)在公共網(wǎng)絡平臺上安全高效地傳送，使網(wǎng)絡具有良好的擴展性和伸縮性。VPN技術的核心集中在數(shù)據(jù)包的加密和網(wǎng)絡傳送上。IETF已經(jīng)制訂了一些VPN技術標準，如：二層L2TP隧道技術和三層IP Sec加密技術。這兩項技術標準的頒布為VPN的應用打下了堅實的基礎。從目前VPN的實際應用上看，VPN業(yè)務多數(shù)集中在網(wǎng)絡的邊緣上實現(xiàn)，對于骨干網(wǎng)絡設備而言往往是透明的。寬帶接入服務器作為網(wǎng)絡接入和業(yè)務匯聚的角色，往往是VPN應用的最初發(fā)起端，它對VPN應用的實現(xiàn)至關重要。目前，在網(wǎng)絡第二層的VPN實現(xiàn)上，寬帶接入服務器提供L2TP隧道加密技術。一般既可以作為LAC（L2TP訪問集中器），也可以作為LNS（L2TP網(wǎng)絡服務器），組網(wǎng)應用靈活。在網(wǎng)絡第三層的VPN實現(xiàn)上，由于IP Sec是較新的協(xié)議標準，因此這種VPN的實現(xiàn)還不普及。如今只有部分的寬帶接入服務器開始支持該項功能。

3.組播支持

從全網(wǎng)位置上看，寬帶接入服務器必須支持組播，在網(wǎng)絡層上完成組播視頻流的末端分發(fā)。網(wǎng)絡主機安裝相應的組播應用程序來支持組播協(xié)議，通過主動提出組播申請，選擇所需的組播服務，以使之連接到本地支持IGMP的路由器或組播服務器上。從技術實現(xiàn)的角度上和目前實際設備對組播支持情況上看，寬帶接入服務器主要起到轉(zhuǎn)發(fā)在網(wǎng)絡終端和支持IGMP的組播服務器或路由器之間的組播流量。一般都支持IGMP第一、二版的協(xié)議標準，但是，在很大程度上僅僅是擔當IGMP代理（Proxy）或IGMP欺騙（Snooping）的角色，簡單地完成網(wǎng)絡末組播包的透明傳遞和分發(fā)，終端用戶感覺不到與實際應用時的差異。

4.IP流量的轉(zhuǎn)發(fā)管理及防火墻功能

寬帶接入服務器的IP流量轉(zhuǎn)發(fā)管理主要是根據(jù)不同用戶的實際權限向用戶提供相應的接入能力，在一定程度上完成IP防火墻的功能，實現(xiàn)內(nèi)部網(wǎng)絡安全。IP的流量轉(zhuǎn)發(fā)管理在很大程度上是與寬帶接入服務器的VPN和業(yè)務選擇相捆綁，與上層骨干邊緣路由器相配合，靈活有效地實現(xiàn)對各種業(yè)務類型的IP分離。在技術實現(xiàn)上，該功能可以通過自身IP包過濾（IP Filter），針對不同業(yè)務靈活分配IP地址段和網(wǎng)絡側(cè)NAT（網(wǎng)絡地址翻譯）來實現(xiàn)。同時，從網(wǎng)絡安全的角度出發(fā)，寬帶接入服務器還應該提供防IP攻擊和IP欺騙的功能。

對于IP過濾技術，系統(tǒng)在完成用戶接入的同時根據(jù)用戶選擇的業(yè)務類型指定相應的IP過濾策略，向不同權限的用戶進行三、四層的數(shù)據(jù)包過濾。這樣既實現(xiàn)了業(yè)務的需要，又可以有效地限制用戶的訪問權限，實現(xiàn)與相應業(yè)務的捆綁。這一功能的實現(xiàn)由寬帶接入服務器內(nèi)部獨立完成，不需要上層路由器的配合。

對于接入用戶IP地址的分配，寬帶接入服務器通過與后臺RADIUS服務器的配合，由寬帶接入服務器、后臺RADIUS服務器，甚至還可以由掛接在接入服務器上的DHCP server來實現(xiàn)用戶固定地址和動態(tài)地址的分配。在這種方式下，要實現(xiàn)IP流量轉(zhuǎn)發(fā)控制，一方面可以通過在寬帶接入服務器上對不同的IP地址段設置不同的路由轉(zhuǎn)發(fā)策略來實現(xiàn)；另一方面也可以由上層路由器通過IP包的解析，對不同的IP源、目的地址進行過濾或選路由，來限制不同用戶的接入能力。對于NAT技術的引入，一方面它可以充分利用專網(wǎng)地址，緩解公網(wǎng)IP地址資源有限的壓力。另一方面，NAT通過IP流量的單向轉(zhuǎn)發(fā)處理，實現(xiàn)用戶內(nèi)部的網(wǎng)絡安全。