4.3 接入控制系统发展

本小节讨论接入控制系统的发展，主要内容如下。

•　接入控制系统部署模式的演变。

•　控制协议以及系统架构的演变。

部署模式的演变受制于需求与技术，需求牵引、技术推动，有力促进了接入控制系统的发展。

4.3.1 部署模式的演变

接入控制系统的部署模式，经历了集中模式、分散模式、集中分布模式的发展历程。

1. 集中模式

集中部署模式如图4-1所示，特点是在整个接入网的管理域中只使用一个NAS（接入服务器），所有用户都接入同一个NAS。这个NAS面对所有接入用户，这种NAS既提供接入控制服务也提供接入授权服务。

集中模式适用于早期的接入控制系统。这些早期系统通常是小型系统，用户数不多，使用强度也不高。一个NAS就可以满足并发数量不多的接入用户，也能满足这些用户并不算大的数据吞吐率。

随着互联网的高速发展，IP接入用户的数量和业务量都急剧上升，集中部署模式也越来越不能满足接入网的系统控制需求。

2. 分散模式

分散部署模式如图4-2所示，特点是在接入网的一个管理域中部署多个NAS，用户就近接入各自分区的NAS，这些NAS不能相互感知也不能相互协调。

分散模式可以认为是集中模式应急性的简单扩展。分散模式沿用集中模式中的NAS，这种NAS既提供接入控制也提供接入授权服务，多个NAS之间既不感知也无相互协调能力。

分散部署模式实质上仅仅是一种过渡的模式。面对IP接入用户急剧增加，使用集中模式中的NAS就可立即“扩容”满足上网用户数量的激增。

一个管理域中的多个NAS不能相互感知并相互协调带来了一系列缺点，首先是用户被绑定在特定NAS，用户只能通过与之绑定的特定NAS上网而不能任意选择接入位置，即使是同一管理域内也不可以。其次是管理域的中心控制能力相对较弱，接入控制权实际上由各个NAS拥有，各个NAS因此被称为接入控制分中心。

3. 集中分布式

集中分布部署模式如图4-3所示，特点是在一个管理域中部署多个直接面对接入用户的NAS提供接入控制前台服务，部署一个NAA（授权服务器）为多个NAS提供统一的授权服务。

集中分布部署模式是当前接入网的主流接入控制模式。集中分布式部署的基本特征是接入认证的控制设备（NAS）接近用户分布式部署，而对认证实施授权的设备（NAA）则远离用户集中部署。NAS直接面对用户执行认证应答、规范格式、实施准入控制等功能。NAA位于远离用户的数据中心执行认证请求的审查与历史数据的复核，最终核准用户入网申请的授权。

从用户端看，NAS是用户入网的前台服务器，NAA是支撑前台的后台服务器，前后台服务协同完成用户准入的全部任务。这种前后台协同服务模式在大型信息服务系统中（例如银行储蓄、机票订购等）应用十分成功，是现代化服务系统的主流架构。

4.3.2 控制协议的发展

部署模式的演变表面上是接入网外观的改变，其内在改变是接入控制设备功能的改变，而设备功能改变的技术支撑则是接入控制协议的改变。控制协议的演变支持了部署模式的改变，协议与模式的改变成就了接入控制架构的演变。

早期的集中模式和分散模式使用的NAS都是认证／授权合一，而且不具备与其他NAS相互感知和相互协调的能力。在这种NAS环境中，用户与NAS之间运行单一的接入认证协议。典型协议是内嵌在PPP传送协议之中的PAP和CHAP认证协议，通常包括认证应答、密钥交互、授权与准入等全套功能，其他协议无须也不能参与接入认证过程。

当前的集中分布式部署使用多个分散部署的NAS与一个中心部署的NAA。NAS直接面对用户，执行认证应答、认证参数交换、准入控制实施等前台功能。NAA则执行认证交互包括认证算法的确认、用户身份认定与接入授权等后台功能。前后台协同工作，完成接入认证的全过程。

集中分布式接入控制不再使用单一认证协议，而是使用前台协议和后台协议两类协议。用户与NAS之间运行的是前台协议，当前主流的前台协议是PPPoE和802.1X，虽然具有不同的表面外壳，但是两个协议内含的认证核心都是EAP协议。NAS与NAA之间运行的是后台协议，典型的后台协议是Radius和Diameter协议。前后台协议协同工作完成接入认证全过程。

因此，接入控制结构的发展是部署模式变化的需求牵引和控制协议演变的技术推动带来的整体性变革。

电信运营商的接入控制系统是历史最长、功能最强、系统结构最完整的接入控制系统，典型的系统包括早期的拨号接入控制系统，近期的ADSL接入控制系统和宽带接入服务器（BAS）系统，在后续章节将有进一步的讨论。