第11章用户接入管理体系
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
接入用户必须接受管理,同时享有一定的授权 服务
用户接入管理体系
用户接入管理是面向用户的,是管理用户接入过 程的
用户接入管理目前还不能统一为单一的系统结构 用户接入管理系统,包括系统需求都还处于发展
变化之中
11.2 接入管理功能
用户接入管理功能
核心功能
(核心+扩展)功能
AAA: Authentication :认证 Authorization :授权 Accounting :记账
特殊场合,NAS 可能同时集成接入控制与认证授权管理功能
11.4 接入管理系统结构
用户 接入 管理 结构
分散 控制与管理
集中 控制与管理
分布控制与 集中管理
分散控制与管理结构
接入
用户
NAS
NAS
接入
用户
NAS集成了控 制与管理实体
NAS
接入用户
若干个用户固定或非固定接入到某NAS 每个NAS只负责存储所接入用户的信息,并仅控制和管理所接
总之,以AAA为中心的用户接入管理还在发展中, 功能在不断的增强和丰富。
11.3 接入管理模型
申请者 Supplicant
认证
认证者
控制 Authenticator
接入用户实体
向认证者发出接 入认证信息
得到授权后,才 能访问网络
接入控制实体
向认证服务器转发 用户认证信息
根据授权信息实施 对用户的接入控制
11.6 小结
用户接入管理是接入网管理的首要任务 用户接入管理的核心功能是AAA 用户接入管理的模型由3个实体组成
接入用户实体(接入client) 接入控制实体(接入server/AAA client) 接入管理实体(AAA server)
目前常用的用户接入管理结构
集中/分布管理结构,适合多种接入技术
用户接入管理
管理对象
面向接入用户的 管理 管理的是用户的 接入过程
接入网管理最重要的是针对用户接入进行管理
为什么要对用户进行接入管理?
接入网是一种独立的运营网络 实现用户接入管理是接入网的首要任务 运营商是接入网运营的主体,实现
对用户的接入控制和管理 为用户提供服务 记账、记费并收取费用
AAA + QoS + 安全
用户接入管理功能仍在丰富和发展中 AAA管理目前仍然是最核心的功能
AAA管理
Authentication
认证
验证接入用户身份的合法性 如用户名、密码的核对与鉴别
Authorization
授权
根据认证结果授予用户相应接入权限 授予:全部、部分接入权限 拒绝接入
xDSL接入控制与管理系统
xDSL
宽带接入服 运行PPPOE协议
Modem PPPOE连接 务器BRAS
PPPOE虚拟 拨号
用户线
IP网络
AAA协议
xDSLAM
AAA服务器
在接入站点上运行PPPOE协议 接入站点与BRAS之间建立PPPOE 虚拟连接 BRAS为每个接入用户分配唯一的虚拟连接标识(ID)
基于802.1X端口控制的接入控制与管理
接入控 制设备
802.1X 协议客户端
802.1X 服务器端
交换机
交换机 以太网
AAA协议 交换机 AAA协议
IP网络
AAA 服务器
在交换机接入端口上进行接入控制
各交换机端口分布控制、 AAA服务器集中认证管理 构成完整的接入控制系统
适合于802网络的接入控制
的结构与特点
本章教学提纲
11.1 概述 11.2 接入管理功能 11.3 接入管理模型 11.4 接入管理系统结构 11.5 接入管理系统 11.6 小结
11.1 概述
接入网管理的内容
接入网管理
网络系统管理
管理对象
管理功能
网络元素和 网络系统 (如设备、 模块等)
配故安性账 置障全能务 管管管管管 理理理理理
接入站点通过认证后,由BRAS为其分配IP地址
基于 PPP0E的以太用户接入控制与管理
PPPoE协议 虚拟拨号 以太网 交换机
PPPoE 服务器
IP网络
以太网
AAA协议
AAA 服务器
在以太网上运行PPP协议 每个以太网站点与 PPPOE服务器之间似建立一条虚拟通道 每个虚拟通道具有唯一标识以区分不同的虚拟连接 通过PPPOE可以实现对以太接入的单个用户进行接入控制
Accounting
记账
记录用户对网络资源的使用情况
如访问时间、流量等,为计费、监 测等服务
目前,实现AAA 的典型协议是 RADIUS ( Remote Authentication Dial In User Service)
QoS管理
QoS管理
QoS(Quality of Services):与业务需求相关的网络性能 QoS管理:提供QoS 保证的一些相关技术
是目前通常使用的接入管理结构
11.5 接入管理系统
自从运营商开始提供互联网接入服务,就产生 了接入管理系统
接入网的发展催生了多种具体的接入管理系统 典型的接入管理系统案例如下
拨号接入管理系统 xDSL 接入管理系统 以太网的接入管理系统
基于PPPOE的 接入控制和管理 基于IEEE 802.1X的接入控制和管理
集中/分布管理结构
接
入
用 户
NAS AN AAA/c
AAA/s
接入设备同 时也是NAS
AAA/c NAS
AAA/s: AAA server AAA/c: AAA client
所有用户的管理信息预先输入到AAA/s 所有用户由AAA/s进行集中管理 用户的接入控制由各NAS根据AAA/s的命令完成 AAA/s集中管理与NAS分布执行控制相结合 适合于大网、多种接入方式的网
对授权用户分配IP 地址、NAT等
仲裁
认证服务器
管理 Authenticator
Server
接入管理实体
验证用户信息 根据认证结果发送
授百度文库信息(通过或 不通过)
不同时期不同文献,应用中的名称可能有: NAS — Network Access Server BAS — Broadband Access Server BRAS — Broadband Remote Access Server
AAA标准对功能的扩展
新的AAA标准,增加了
审计(Audit) 监管(Administration)功能 构成了5A系统 Audit(审计)(注意与记帐的区别) 记录用户接入的关键活动和对重要资源的使用,供事后的
安全分析用
Administration(监管) 以监管为中心,全面组织对用户接入的监督管理
拨号接入控制与管理系统
话带
拨号接入 运行PPP协议
Modem
服务器
PPP连接
IP网络
运行PPP协议
PSTN
拨号
AAA协议
AAA服务器
PSTN:Public Switched Telephone Network
在接入站点上运行PPP协议 接入站点与 接入服务器之间建立点到点的PPP 连接
接入用户通过认证后,由拨号接入服务器为其分配IP地址
AAA服务器 实际应用中,最典型 的是RADIUS服务器
11.3 接入管理模型
申请者
认证
认证者
仲裁
Supplicant 控制 Authenticator 管理
认证服务器 Authenticator
Server
接入
接入 AAA
client 用户
接入链路协议 server client
AAA
用户接入认证协议 NAS 用户接入管理协议 server
全
管
理
1 网络资源的访问控制
资源的
访问 控制
2
服务资源的访问控制
措施:结合AAA管理中的授权管理共
同实现
AAA标准的发展 IETF发布了多个RFC文档:
RFC 2903 Generic AAA Architecture
RFC 2904 AAA Authorization Framework
AN的QoS管理
接入时协商并传递用户对QoS的要求 在接入段提供QoS保证:如时延、时延抖动、带宽等 为用户端到端全程QoS提供支持
注意:QoS管理与AAA管理协同,完成对接入段的管理
安全管理
1 认证信息和授权信息的安全性
信息的
安全 传递
2
高层数据信息的安全性
AN 安
措施:可以通过对信息加密来实现
RFC 2905 AAA Authorization Application Examples
RFC 2906 AAA Authorization Requirements
RFC 2989 Criteria for Evaluating AAA Protocols for Network Access
入的这些用户
各NAS独立,彼此不交流信息,用户信息不能共享 不适合大网
集中控制与管理结构
接
入
用 户
接入
AN
中心接
设备
入控制
与管理
设备
所有用户的接入控制与管理由一个中心管理设备完成 中心控制设备预先输入所有用户的管理信息 每个用户必须与中心设备建立逻辑连接以便管理 中心设备性能要求高,单点故障问题,必须备份 适合较大的网
接入网技术
第11章 用户接入管理体系
1
本章教学重点与要求
教学重点
用户接入管理的核心功能:AAA 管理 接入管理的系统结构:分散、集中、集中/分布 典型的接入管理系统
教学要求
掌握AAA的概念与含义 掌握集中/分布式接入管理结构的特点 掌握基于PPPOE 和IEEE 802.1X接入管理系统
用户接入管理体系
用户接入管理是面向用户的,是管理用户接入过 程的
用户接入管理目前还不能统一为单一的系统结构 用户接入管理系统,包括系统需求都还处于发展
变化之中
11.2 接入管理功能
用户接入管理功能
核心功能
(核心+扩展)功能
AAA: Authentication :认证 Authorization :授权 Accounting :记账
特殊场合,NAS 可能同时集成接入控制与认证授权管理功能
11.4 接入管理系统结构
用户 接入 管理 结构
分散 控制与管理
集中 控制与管理
分布控制与 集中管理
分散控制与管理结构
接入
用户
NAS
NAS
接入
用户
NAS集成了控 制与管理实体
NAS
接入用户
若干个用户固定或非固定接入到某NAS 每个NAS只负责存储所接入用户的信息,并仅控制和管理所接
总之,以AAA为中心的用户接入管理还在发展中, 功能在不断的增强和丰富。
11.3 接入管理模型
申请者 Supplicant
认证
认证者
控制 Authenticator
接入用户实体
向认证者发出接 入认证信息
得到授权后,才 能访问网络
接入控制实体
向认证服务器转发 用户认证信息
根据授权信息实施 对用户的接入控制
11.6 小结
用户接入管理是接入网管理的首要任务 用户接入管理的核心功能是AAA 用户接入管理的模型由3个实体组成
接入用户实体(接入client) 接入控制实体(接入server/AAA client) 接入管理实体(AAA server)
目前常用的用户接入管理结构
集中/分布管理结构,适合多种接入技术
用户接入管理
管理对象
面向接入用户的 管理 管理的是用户的 接入过程
接入网管理最重要的是针对用户接入进行管理
为什么要对用户进行接入管理?
接入网是一种独立的运营网络 实现用户接入管理是接入网的首要任务 运营商是接入网运营的主体,实现
对用户的接入控制和管理 为用户提供服务 记账、记费并收取费用
AAA + QoS + 安全
用户接入管理功能仍在丰富和发展中 AAA管理目前仍然是最核心的功能
AAA管理
Authentication
认证
验证接入用户身份的合法性 如用户名、密码的核对与鉴别
Authorization
授权
根据认证结果授予用户相应接入权限 授予:全部、部分接入权限 拒绝接入
xDSL接入控制与管理系统
xDSL
宽带接入服 运行PPPOE协议
Modem PPPOE连接 务器BRAS
PPPOE虚拟 拨号
用户线
IP网络
AAA协议
xDSLAM
AAA服务器
在接入站点上运行PPPOE协议 接入站点与BRAS之间建立PPPOE 虚拟连接 BRAS为每个接入用户分配唯一的虚拟连接标识(ID)
基于802.1X端口控制的接入控制与管理
接入控 制设备
802.1X 协议客户端
802.1X 服务器端
交换机
交换机 以太网
AAA协议 交换机 AAA协议
IP网络
AAA 服务器
在交换机接入端口上进行接入控制
各交换机端口分布控制、 AAA服务器集中认证管理 构成完整的接入控制系统
适合于802网络的接入控制
的结构与特点
本章教学提纲
11.1 概述 11.2 接入管理功能 11.3 接入管理模型 11.4 接入管理系统结构 11.5 接入管理系统 11.6 小结
11.1 概述
接入网管理的内容
接入网管理
网络系统管理
管理对象
管理功能
网络元素和 网络系统 (如设备、 模块等)
配故安性账 置障全能务 管管管管管 理理理理理
接入站点通过认证后,由BRAS为其分配IP地址
基于 PPP0E的以太用户接入控制与管理
PPPoE协议 虚拟拨号 以太网 交换机
PPPoE 服务器
IP网络
以太网
AAA协议
AAA 服务器
在以太网上运行PPP协议 每个以太网站点与 PPPOE服务器之间似建立一条虚拟通道 每个虚拟通道具有唯一标识以区分不同的虚拟连接 通过PPPOE可以实现对以太接入的单个用户进行接入控制
Accounting
记账
记录用户对网络资源的使用情况
如访问时间、流量等,为计费、监 测等服务
目前,实现AAA 的典型协议是 RADIUS ( Remote Authentication Dial In User Service)
QoS管理
QoS管理
QoS(Quality of Services):与业务需求相关的网络性能 QoS管理:提供QoS 保证的一些相关技术
是目前通常使用的接入管理结构
11.5 接入管理系统
自从运营商开始提供互联网接入服务,就产生 了接入管理系统
接入网的发展催生了多种具体的接入管理系统 典型的接入管理系统案例如下
拨号接入管理系统 xDSL 接入管理系统 以太网的接入管理系统
基于PPPOE的 接入控制和管理 基于IEEE 802.1X的接入控制和管理
集中/分布管理结构
接
入
用 户
NAS AN AAA/c
AAA/s
接入设备同 时也是NAS
AAA/c NAS
AAA/s: AAA server AAA/c: AAA client
所有用户的管理信息预先输入到AAA/s 所有用户由AAA/s进行集中管理 用户的接入控制由各NAS根据AAA/s的命令完成 AAA/s集中管理与NAS分布执行控制相结合 适合于大网、多种接入方式的网
对授权用户分配IP 地址、NAT等
仲裁
认证服务器
管理 Authenticator
Server
接入管理实体
验证用户信息 根据认证结果发送
授百度文库信息(通过或 不通过)
不同时期不同文献,应用中的名称可能有: NAS — Network Access Server BAS — Broadband Access Server BRAS — Broadband Remote Access Server
AAA标准对功能的扩展
新的AAA标准,增加了
审计(Audit) 监管(Administration)功能 构成了5A系统 Audit(审计)(注意与记帐的区别) 记录用户接入的关键活动和对重要资源的使用,供事后的
安全分析用
Administration(监管) 以监管为中心,全面组织对用户接入的监督管理
拨号接入控制与管理系统
话带
拨号接入 运行PPP协议
Modem
服务器
PPP连接
IP网络
运行PPP协议
PSTN
拨号
AAA协议
AAA服务器
PSTN:Public Switched Telephone Network
在接入站点上运行PPP协议 接入站点与 接入服务器之间建立点到点的PPP 连接
接入用户通过认证后,由拨号接入服务器为其分配IP地址
AAA服务器 实际应用中,最典型 的是RADIUS服务器
11.3 接入管理模型
申请者
认证
认证者
仲裁
Supplicant 控制 Authenticator 管理
认证服务器 Authenticator
Server
接入
接入 AAA
client 用户
接入链路协议 server client
AAA
用户接入认证协议 NAS 用户接入管理协议 server
全
管
理
1 网络资源的访问控制
资源的
访问 控制
2
服务资源的访问控制
措施:结合AAA管理中的授权管理共
同实现
AAA标准的发展 IETF发布了多个RFC文档:
RFC 2903 Generic AAA Architecture
RFC 2904 AAA Authorization Framework
AN的QoS管理
接入时协商并传递用户对QoS的要求 在接入段提供QoS保证:如时延、时延抖动、带宽等 为用户端到端全程QoS提供支持
注意:QoS管理与AAA管理协同,完成对接入段的管理
安全管理
1 认证信息和授权信息的安全性
信息的
安全 传递
2
高层数据信息的安全性
AN 安
措施:可以通过对信息加密来实现
RFC 2905 AAA Authorization Application Examples
RFC 2906 AAA Authorization Requirements
RFC 2989 Criteria for Evaluating AAA Protocols for Network Access
入的这些用户
各NAS独立,彼此不交流信息,用户信息不能共享 不适合大网
集中控制与管理结构
接
入
用 户
接入
AN
中心接
设备
入控制
与管理
设备
所有用户的接入控制与管理由一个中心管理设备完成 中心控制设备预先输入所有用户的管理信息 每个用户必须与中心设备建立逻辑连接以便管理 中心设备性能要求高,单点故障问题,必须备份 适合较大的网
接入网技术
第11章 用户接入管理体系
1
本章教学重点与要求
教学重点
用户接入管理的核心功能:AAA 管理 接入管理的系统结构:分散、集中、集中/分布 典型的接入管理系统
教学要求
掌握AAA的概念与含义 掌握集中/分布式接入管理结构的特点 掌握基于PPPOE 和IEEE 802.1X接入管理系统