1、接入网技术接入网技术第第11章章 用户接入管理体系用户接入管理体系 本章教学重点与要求本章教学重点与要求n教学重点教学重点n用户接入管理的核心功能:用户接入管理的核心功能:AAA 管理管理n接入管理的系统结构:分散、集中、集中接入管理的系统结构:分散、集中、集中/分布分布n典型的接入管理系统典型的接入管理系统n教学要求教学要求n掌握掌握AAA的概念与含义的概念与含义n掌握集中掌握集中/分布式接入管理结构的特点分布式接入管理结构的特点n掌握基于掌握基于PPPOE 和和IEEE 802.1X接入管理系统接入管理系统的结构与特点的结构与特点本章教学提纲本章教学提纲n11.1 概述概述n11.2 接入
2、管理功能接入管理功能n11.3 接入管理模型接入管理模型n11.4 接入管理系统结构接入管理系统结构n11.5 接入管理系统接入管理系统n11.6 小结小结11.1 概述概述n 接入网管理的内容接入网管理的内容网络系统管理接入网管理接入网管理用户接入管理用户接入管理网络元素和网络系统(如设备、模块等)网络元素和网络系统(如设备、模块等)管理对象管理对象管理功能管理功能配置管理配置管理故障管理故障管理性能管理性能管理安全管理安全管理账务管理账务管理管理对象管理对象面向接入用户的管理面向接入用户的管理管理的是用户的接入过程管理的是用户的接入过程n接入网管理最重要的是针对用户接入进行管理接入网管理最
3、重要的是针对用户接入进行管理为什么要对用户进行接入管理?为什么要对用户进行接入管理?n接入网是一种独立的运营网络接入网是一种独立的运营网络n实现用户接入管理是接入网的首要任务实现用户接入管理是接入网的首要任务n运营商是接入网运营的主体,实现运营商是接入网运营的主体,实现n对用户的接入控制和管理对用户的接入控制和管理n为用户提供服务为用户提供服务n记账、记费并收取费用记账、记费并收取费用n接入用户必须接受管理,同时享有一定的授权接入用户必须接受管理,同时享有一定的授权服务服务11.2 接入管理功能接入管理功能n用户接入管理功能用户接入管理功能AAA: Authentication :认证:认证
4、Authorization :授权:授权Accounting :记账:记账核心功能核心功能(核心(核心+扩展)功能扩展)功能AAA + QoS + 安全安全n用户接入管理功能仍在丰富和发展中用户接入管理功能仍在丰富和发展中nAAA管理目前仍然是最核心的功能管理目前仍然是最核心的功能AAA管理管理l验证接入用户身份的合法性验证接入用户身份的合法性l如用户名、密码的核对与鉴别如用户名、密码的核对与鉴别l根据认证结果授予用户相应接入权限根据认证结果授予用户相应接入权限l授予:全部、部分接入权限授予:全部、部分接入权限l拒绝接入拒绝接入Authentication认证认证l记录用户对网络资源的使用情况
5、记录用户对网络资源的使用情况l如访问时间、流量等,为计费、监如访问时间、流量等,为计费、监测等服务测等服务Authorization授权授权Accounting记账记账目前,实现目前,实现AAA 的典型协议是的典型协议是 RADIUS( Remote Authentication Dial In User Service) QoS管理管理nQoS(Quality of Services):与业务需求相关的网络性能):与业务需求相关的网络性能nQoS管理:提供管理:提供QoS 保证的一些相关技术保证的一些相关技术QoSQoS管理管理n接入时传递用户对接入时传递用户对QoS的要求的要求n在接入段提
6、供在接入段提供QoS保证:保证:如时延、带宽等如时延、带宽等n为用户端到端全程为用户端到端全程QoS提供支持提供支持ANAN的的QoSQoS管理管理注意:注意:QoS管理与管理与AAA管理协同,完成对接入段的管理管理协同,完成对接入段的管理安全管理安全管理AN安安全全管管理理信息的安全信息的安全 传递传递资源的访问资源的访问 控制控制 高层数据信息的安全性高层数据信息的安全性2 认证信息和授权信息的安全性认证信息和授权信息的安全性1 服务资源的访问控制服务资源的访问控制2 网络资源的访问控制网络资源的访问控制1 措施:可以通过对信息加密来实现措施:可以通过对信息加密来实现 措施:措施:结合结合
7、AAAAAA管理中的授权管理共管理中的授权管理共 同实现同实现AAA标准的发展标准的发展nIETF发布了多个发布了多个RFC文档:文档:nRFC 2903 Generic AAA ArchitecturenRFC 2904 AAA Authorization FrameworknRFC 2905 AAA Authorization Application ExamplesnRFC 2906 AAA Authorization RequirementsnRFC 2989 Criteria for Evaluating AAA Protocols for Network AccessAAA标准对功
8、能的扩展标准对功能的扩展n新的新的AAA标准,增加了标准,增加了n审计(审计(Audit)n监管(监管(Administration)功能)功能n构成了构成了5A系统系统nAudit(审计)(审计)(注意与记帐的区别)(注意与记帐的区别)n记录用户接入的关键活动和对重要资源的使用,供事后的记录用户接入的关键活动和对重要资源的使用,供事后的安全分析用安全分析用nAdministration(监管)(监管)n以监管为中心,全面组织对用户接入的监督管理以监管为中心,全面组织对用户接入的监督管理n总之,以总之,以AAA为中心的用户接入管理还在发展中,为中心的用户接入管理还在发展中,功能在不断的增强和丰
9、富。功能在不断的增强和丰富。11.3 接入管理模型接入管理模型接入用户实体接入用户实体n 向认证者发出接向认证者发出接 入认证信息入认证信息n 得到授权后,才得到授权后,才 能访问网络能访问网络接入控制实体接入控制实体n 向认证服务器转发向认证服务器转发 用户认证信息用户认证信息n 根据授权信息实施根据授权信息实施 对用户的接入控制对用户的接入控制 n 对授权用户分配对授权用户分配IPIP 地址、地址、NATNAT等等接入管理实体接入管理实体n 验证用户信息验证用户信息n 根据认证结果发送根据认证结果发送 授权信息授权信息(通过或(通过或 不通过)不通过)不同时期不同文献,应用中的名称可能有:
10、不同时期不同文献,应用中的名称可能有:NAS Network Access ServerBAS Broadband Access ServerBRAS Broadband Remote Access ServerAAA服务器服务器实际应用中,最典型实际应用中,最典型的是的是RADIUS服务器服务器NASAAA server用户用户接入接入 client接入接入 serverAAA client用户接入认证协议用户接入认证协议用户接入管理协议用户接入管理协议 11.3 接入管理模型接入管理模型接入链路协议接入链路协议特殊场合,特殊场合,NAS 可能同时集成接入控制与认证授权管理功能可能同时集成接
11、入控制与认证授权管理功能11.4 接入管理系统结构接入管理系统结构用户用户接入接入管理管理结构结构分散分散 控制与管理控制与管理集中集中 控制与管理控制与管理分布控制与集中管理分布控制与集中管理分散控制与管理结构分散控制与管理结构NAS若干个用户固定或非固定接入到某若干个用户固定或非固定接入到某NASNAS每个每个NASNAS只负责存储所接入用户的信息,并仅控制和管理所接只负责存储所接入用户的信息,并仅控制和管理所接入的这些用户入的这些用户各各NASNAS独立,彼此不交流信息,用户信息不能共享独立,彼此不交流信息,用户信息不能共享适合大网适合大网NASNAS接入接入用户用户接入接入用户用户接入
12、用户接入用户NAS集成了控集成了控制与管理实体制与管理实体集中控制与管理结构集中控制与管理结构所有用户的接入控制与管理由一个中心管理设备完成所有用户的接入控制与管理由一个中心管理设备完成中心控制设备预先输入所有用户的管理信息中心控制设备预先输入所有用户的管理信息每个用户必须与中心设备建立逻辑连接以便管理每个用户必须与中心设备建立逻辑连接以便管理中心设备性能要求高,单点故障问题,必须备份中心设备性能要求高,单点故障问题,必须备份适合较小的网适合较小的网接入接入设备设备中心接中心接入控制入控制与管理与管理设备设备AN接接入入用用户户集中集中/分布管理结构分布管理结构所有用户的管理信息预先输入到所有
13、用户的管理信息预先输入到AAA/sAAA/s所有用户由所有用户由AAA/sAAA/s进行集中管理进行集中管理用户的接入控制由各用户的接入控制由各NASNAS根据根据AAA/sAAA/s的命令完成的命令完成AAA/sAAA/s集中管理与集中管理与NASNAS分布执行控制相结合分布执行控制相结合适合于大网、多种接入方式的网适合于大网、多种接入方式的网是目前通常使用的接入管理结构是目前通常使用的接入管理结构ANAAA/sAAA/c NAS接入设备同接入设备同时也是时也是NASNAS AAA/cAAA/s: AAA serverAAA/c: AAA client接接入入用用户户11.5 接入管理系统接
14、入管理系统n自从运营商开始提供互联网接入服务,就产生了接自从运营商开始提供互联网接入服务,就产生了接入管理系统入管理系统n电信运营商的接入控制系统结构电信运营商的接入控制系统结构n主要采用集中式,或相对集中式主要采用集中式,或相对集中式n特点特点n历史最长、功能最强、系统结构最完整历史最长、功能最强、系统结构最完整n典型的接入管理系统案例如下典型的接入管理系统案例如下n拨号接入管理系统拨号接入管理系统nxDSL 接入管理系统接入管理系统n以太网的接入管理系统以太网的接入管理系统n基于基于PPPOE的的 接入控制和管理接入控制和管理n基于基于IEEE 802.1X的接入控制和管理的接入控制和管理
15、拨号接入控制与管理系统拨号接入控制与管理系统PSTN:Public Switched Telephone NetworkPSTN拨号接入拨号接入服务器服务器AAA服务器服务器话带话带ModemIP网络网络n在接入站点上运行在接入站点上运行PPP协议协议n接入站点与接入站点与 接入服务器之间建立点到点的接入服务器之间建立点到点的PPP 连接连接n接入用户通过认证后接入用户通过认证后,由拨号接入服务器为其分配由拨号接入服务器为其分配IP地址地址xDSL接入控制与管理系统接入控制与管理系统宽带接入服宽带接入服务器务器BRASAAA服务器服务器xDSLModemIP网络网络n在接入站点上运行在接入站点
16、上运行PPPOE协议协议n接入站点与接入站点与BRAS之间建立之间建立PPPOE 虚拟连接虚拟连接nBRAS为每个接入用户分配唯一的虚拟连接标识为每个接入用户分配唯一的虚拟连接标识(ID)n接入站点通过认证后,由接入站点通过认证后,由BRAS为其分配为其分配IP地址地址xDSLAMn在以太网上运行在以太网上运行PPP协议协议n每个以太网站点与每个以太网站点与 PPPOE服务器之间似建立一条虚拟通道服务器之间似建立一条虚拟通道n每个虚拟通道具有唯一标识以区分不同的虚拟连接每个虚拟通道具有唯一标识以区分不同的虚拟连接n通过通过PPPOE可以实现对以太接入的单个用户进行接入控制可以实现对以太接入的单
17、个用户进行接入控制基于基于 PPP0E的以太用户接入控制与管理的以太用户接入控制与管理IP网络网络n在交换机接入端口上进行接入控制在交换机接入端口上进行接入控制n各交换机端口分布控制、各交换机端口分布控制、 AAA服务器集中认证管理服务器集中认证管理n构成完整的接入控制系统构成完整的接入控制系统n适合于适合于802网络的接入控制网络的接入控制基于基于802.1X端口控制的接入控制与管理端口控制的接入控制与管理交换机交换机交换机交换机IP网络网络交换机交换机接入控接入控制设备制设备PPPOE和和802.1X接入控制特点接入控制特点nPPPOEn控制粒度十分细控制粒度十分细n控制开销始终极大,贯穿
18、接入期始终控制开销始终极大,贯穿接入期始终n802.1Xn控制粒度较粗控制粒度较粗n控制开销相当小,仅在认证期存在控制开销控制开销相当小,仅在认证期存在控制开销11.6 小结小结n用户接入管理是接入网管理的首要任务用户接入管理是接入网管理的首要任务n用户接入管理的核心功能是用户接入管理的核心功能是AAAn用户接入管理的模型由用户接入管理的模型由3个实体组成个实体组成n接入用户实体接入用户实体(接入接入client)n接入控制实体接入控制实体(接入接入server/AAA client)n接入管理实体接入管理实体(AAA server)n目前常用的用户接入管理结构目前常用的用户接入管理结构n集中集中/分布管理结构,适合多种接入技术分布管理结构,适合多种接入技术
