随着高速骨干网的不断完善，尤其是各地宽带城域网的普及，电信和因特网网络服务供应商在多住所单元(MDU/MTU)领域以及中小企业领域面临的新机遇，对流量的监控，尤其是访问控制、接入控制以及安全控制日益重要。而提供一个高性能的宽带接入路由器，在网络的边界高效的控制网络流量和端用户的行为，尽管无法实现全局的QoS，却不失为一种优化所管理的IP网络的有效方法。 本文分析了路由器的发展趋势，认为新一代宽带接入路由器的设计要求就是支持更多更先进的流量控制能力、更好的安全性能以及更加灵活的扩展机制，因为越靠近端用户的路由器越应当从网络应用的角度而非分组转发的角度设计。当基于第一代路由器体系设计宽带接入路由器时，路由器操作系统软件最为重要。文章总结了对IP网络QoS要求的理解，关注最近的QoS策略网络的概念，提出QoS主要是一个策略问题而不是一个机制问题，接入路由器可以提供实现QoS策略的机制。将“策略”和“机制”分离有利于实现统一的QoS。但是全局QoS的实现仍然是个难题，我们使用隐式业务带宽接纳控制模型来改善局部QoS。模型把园区网络连接分为非弹性业务连接和弹性业务连接，假设园区可以获得有保障的租赁带宽，利用管理手段和自适应带宽分配算法优化对租赁带宽的使用。该模型在实际项目中得到应用。文章还总结了对网络安全的认识，初步提出了安全路由器模型，由于网络安全的复杂性，以及对安全路由器在整个安全系统中的地位认识不足，这个模型需要进一步的考虑。 我们启动Linux改造计划来适应宽带接入路由器操作系统的发展要求。第二章在分析Linux分组转发过程的基础上分析了连接的概念，研究了连接的相关问题，给出了对标准Linux内核连接模块的增强实现。我们基于连接来加速转发过程以及实现隐式接纳控制。第四章总结了分组分类的搜索算法，当必须软件实现而且需要支持频繁的动态更新时，元组空间搜索算法性能最好。我们还分析了标准Linux内核连接的鉴别和防火墙规则搜索算法的缺点，基于元组的概念给出了这两个问题的改进设计。