《用户接入控制体系与架构研讨.ppt》由会员分享,可在线阅读,更多相关《用户接入控制体系与架构研讨.ppt(27页珍藏版)》请在金锄头文库上搜索。
1、lxm,本资料来源,lxm,接入网技术,第11章 用户接入控制体系与架构,lxm,本章教学重点与要求,教学重点 用户接入控制的核心功能:AAA 接入控制系统模式:集中、分散、集中/分布 IP接入控制系统的三实体模型,三平面综合模型 典型的IP接入控制系统 教学要求 掌握AAA的概念与含义 掌握集中/分布式接入控制结构的特点 掌握IP接入网三实体控制模型,三平面综合模型 掌握PPPOE 和IEEE 802.1X接入控制系统与特点,lxm,本章教学提纲,11.1 概述 11.2 接入控制功能 11.3 接入控制系统发展 11.4 接入控制模型 11.5 接入控制系统 11.6 小结,lxm,11.
2、1 概述,系统管理与接入控制,网络元素和网络系统(如设备、模块等),管理对象,管理功能,配置管理,故障管理,性能管理,安全管理,账务管理,控制对象,面向接入用户的控制 控制的是用户的接入过程,接入控制最重要的是针对用户接入进行控制,lxm,为什么要对用户进行接入控制?,接入网是一种独立的运营网络 实现用户接入控制是接入网的首要任务 运营商是接入网运营的主体,实现 对用户的接入控制和管理 为用户提供服务 记账、记费并收取费用 接入用户必须接受管理,同时享有一定的授权服务,lxm,11.1 概述,本章:IP接入网接入的控制架构 系统结构:在控制平面、实现IP接入功能 三大平面的关注 控制平面:重点
3、关注 包括:功能细分、参考模型、关键技术、典型应用 传送平面:偶有讨论 例如:传送通道与控制通道的独立性 管理平面:基本不涉及 典型IP网管,接入网仅涉及各台被管设备,lxm,11.2 接入控制功能,用户接入控制功能,AAA: Authentication :认证 Authorization :授权 Accounting :记账,AAA + QoS + 安全,用户接入控制功能仍在丰富和发展中 AAA管理目前仍然是最核心的功能,lxm,AAA管理,验证接入用户身份的合法性 如用户名、密码的核对与鉴别,根据认证结果授予用户相应接入权限 授予:全部、部分接入权限 拒绝接入,Authenticatio
4、n 认证,记录用户对网络资源的使用情况 如访问时间、流量等,为计费、监测等服务,Authorization 授权,Accounting 记账,目前,实现AAA 的典型协议是 RADIUS ( Remote Authentication Dial In User Service),lxm,QoS管理,注意:QoS管理与AAA管理协同,完成对接入段的管理,lxm,安全管理,AN 安 全 管 理,信息的安全 传递,资源的访问 控制,措施:可以通过对信息加密来实现,措施:结合AAA管理中的授权管理共 同实现,lxm,AAA标准对功能的扩展,新的AAA标准,增加了 审计(Audit) 监管(Admini
5、stration)功能 构成了5A系统 Audit(审计)(注意与记帐的区别) 记录用户接入的关键活动和对重要资源的使用,供事后的安全分析用 Administration(监管) 以监管为中心,全面组织对用户接入的监督管理 总之,以AAA为中心的用户接入控制还在发展中,功能在不断的增强和丰富。,lxm,11.3 接入控制系统发展,系统部署模式的发展 集中模式 分散模式 集中分布式 接入控制协议的发展,lxm,集中控制模式,全网使用一个接入服务器(NAS) 所有用户通过网络进入同一个NAS 适用于早期接入 用户数不多、使用强度不高 中心设备性能要求高,单点故障问题,lxm,分散控制模式,全网部署
6、多个NAS,用户分区就近接入 集中模式的简单扩展,缺点为: 用户不能改变接入位置 中心控制能力较弱,lxm,集中分布式,分布接入控制、集中认证授权 当前的系统主流 也是现代化服务系统的主流架构,lxm,电信运营商的接入控制系统结构,主要采用集中式,或相对集中式 特点 历史最长、功能最强、系统结构最完整 运营商的典型接入控制系统 拨号接入控制系统 ADSL接入控制系统 宽带接入服务器BRAS,lxm,11.4 接入控制系统模型,接入控制基本模型 RSA模型:NAR/ NAS/ NAA 三实体:申请者/服务者/授权者Requestor/Server/Authority 提供网络接入控制的前后台服务
7、,NAR,NAS,NAA,前台协议 前台信道,后台协议 后台信道,向服务者发出 接 入认证信息 得到授权后才能访问网络,向授权者转发申请者认证信息 根据授权信息实施对申请者的接入控制 对授权用户分配IP地址、NAT等,验证申请者信息 根据认证结果发送授权信息(通过或不通过),lxm,11.4 接入控制系统模型,IP接入的综合模型 三平面模型的综合,全面呈现三大功能 系统管理功能弱化 便于功能之间的关联性分析,如信道的独立性,lxm,11.4 接入控制系统模型,RSA模型中: 通信信道互连各实体形成一个协同整体 三平面上的信道通常称为 数据通道、管理通道、控制通道 信道的独立性 三信道位于不同平
8、面、因而相互独立 L2信道还是L3信道?(注意是逻辑信道) 前台信道通常是短距离的L2信道 后台信道可以是长距离的L3信道,lxm,11.4 接入控制系统模型,协议协同与NAS模型 RSA模型是一个前后台服务器协同工作的模型 用户面对NAS,NAA为NAS提供强大的后台支撑 前后台服务器协作、共同完成用户的接入控制 NAS模型深入的表示了前后台的协同关系,前台协议 服务器端,前后台协议 转换,后台协议 客户机端,前台信道,后台信道,NAS,NAR,NAA,前台协议客户端,前台协议,后台协议,后台协议服务器端,lxm,11.4 接入控制系统模型,NAS模型与协议环境 NAS面临前台协议和后台协议
9、两个环境 前后台协议均采用了C/S模式 前台协议:用户与NAS之间 典型协议:PPPoE、IEEE 802.1X NAS是服务器端,为用户提供接入控制服务 后台协议:NAS与NAA之间 典型协议:Radius NAS是客户端,请求NAA为认证提供授权,lxm,11.4 接入控制系统模型,本地授权和远端授权 NAS和NAA是逻辑独立两个实体 位于同一物理设备:本地授权 位于不同的物理设备:远端授权 授权位置与部署模式 本地授权:集中部署和分散部署中可用 远端授权:集中分布式部署之必需 NAA与NAS的逻辑独立 接入控制系统的发展趋势,后期协议均支持 适用于大型、多接入控制系统,lxm,11.5
10、接入控制协议环境,协议环境: 前台协议、后台协议、前后台协同 前台协议:NAS与接入用户间 前台协议的核心:EAP协议 可扩展认证协议:内核可扩展、外壳多封装 EAP的外壳封装: 典型协议:PPPoE和802.1X,适用环境不一样 EAP内核承载的认证算法 初期:PAP和CHAP 当前:几乎所有算法,如DES、RSA、AES、MD5、 后台协议:NAS与NAA间,主要是RADIUS 前后台协同:RFC 3579、RFC3580、,lxm,11.5 接入控制PPPoE环境,协议环境 前台协议: EAP over PPPoE 后台协议:Radius 典型场景:传统电信运营商 用户接入相对集中:例如ADSL接入 部署模式可以是分散式:用户接入无需移动 系统特点:控制粒度十分细,控制开销始终极大 控制通道与用户数据通道隔离程度最弱,lxm,11.5 接入控制802.1X环境,协议环境 前台协议:EAP over 802.1X 后台协议:Radius 典型场景:新运营商 用户接入相对分散:例如以太网接入 部署模式:集中分布式 系统特点:控制粒度较粗,仅在认证期存在控制开销 控制通道与用户数据通道隔离程度最好,lxm,11.6 小结,本章从总体上讨论:接入控制系统 系统概念 系统功能 系统结构的发展 参考模型 典型协议环境,
