用户接入管理体系.pptx

1 111.1 概述概述为什么需要对用户进行接入管理？为什么需要对用户进行接入管理？主要原因：主要原因：n接入网已发展成一个相对独立的网络接入网已发展成一个相对独立的网络n用户希望运营商提供良好的、安全的服务用户希望运营商提供良好的、安全的服务n运营商希望用户是合法的用户运营商希望用户是合法的用户n运营商要维护网络并按需提供服务运营商要维护网络并按需提供服务n用户接入到网络需要交费用户接入到网络需要交费接入网技术接入网技术2 2接入网技术接入网技术11.1 概述概述n ISO/OSI为网络管理定义了系统管理的五大功能为网络管理定义了系统管理的五大功能域域n故障管理故障管理（fault management）n配置管理（配置管理（configuration management）n安全管理（安全管理（security management）n性能管理（性能管理（performance management）n帐务管理（帐务管理（accounting management）n前四项是前四项是针对网络元素（网元）和网络系统的管理针对网络元素（网元）和网络系统的管理n帐务管理是针对用户的管理帐务管理是针对用户的管理注意：注意：接入网管理最重要的是针对用户接入进行管理接入网管理最重要的是针对用户接入进行管理3 3接入网技术接入网技术用户接入管理体系用户接入管理体系n用户接入管理是面向用户的用户接入管理是面向用户的n主要管理用户接入过程主要管理用户接入过程n目前用户接入管理还不能统一为单一的系统目前用户接入管理还不能统一为单一的系统结构结构n由于历史原因，曾经有多种模式由于历史原因，曾经有多种模式n用户接入管理系统，系统需求仍在发展变化中用户接入管理系统，系统需求仍在发展变化中4 4接入网技术接入网技术11.2 接入管理功能接入管理功能n用户接入管理功能用户接入管理功能n长期以来集中在长期以来集中在AAA管理管理n发展成基于以发展成基于以AAA管理为核心的管理为核心的QoS管理和安全管理和安全管理管理注意：注意：n目前用户接入管理正处于丰富和演进之中目前用户接入管理正处于丰富和演进之中n但用户接入的但用户接入的AAA功能仍是接入管理的核心功能功能仍是接入管理的核心功能5 5接入网技术接入网技术AAA管理管理nAAA是用户接入管理的核心功能是用户接入管理的核心功能 nAAA功能的含义功能的含义nAuthentication（认证）：确认用户接入时声（认证）：确认用户接入时声称的身份称的身份nAuthorization（授权）：根据认证结果授予（授权）：根据认证结果授予用户接入的相应权限用户接入的相应权限nAccounting（记帐）：记录用户对网络资源（记帐）：记录用户对网络资源的使用情况，为计费、审计等服务的使用情况，为计费、审计等服务n目前，典型目前，典型AAA协议主要是协议主要是RADIUS协议协议6 6接入网技术接入网技术QoS管理管理QoS（Quality of Services）是指与业务需）是指与业务需求相关的网络性能，以及提供求相关的网络性能，以及提供QoS保证的一保证的一些技术些技术n接入网中的接入网中的QoS管理管理n接入时传递用户对接入时传递用户对QoS的要求的要求n接入段提供接入段提供QoS保证保证n用户端到端全程用户端到端全程QoS提供支持提供支持nQoS管理可以与管理可以与AAA管理协同、在用户接入时提管理协同、在用户接入时提供保证。供保证。7 7接入网技术接入网技术安全管理安全管理n用户接入的安全管理两方面用户接入的安全管理两方面n数据信息的安全传送数据信息的安全传送n网络资源的访问控制网络资源的访问控制n此外：协议记录用户行为以便安全审计此外：协议记录用户行为以便安全审计n数据信息安全数据信息安全n认证信息和授权信息安全性认证信息和授权信息安全性n高层数据信息的安全性高层数据信息的安全性n资源访问控制资源访问控制n包括网络资源和服务资源包括网络资源和服务资源n主要结合主要结合AAA管理中的授权管理共同实现。管理中的授权管理共同实现。8 8接入网技术接入网技术AAA标准的发展标准的发展nIETF发布了多个发布了多个RFC文档：文档：nRFC 2903 Generic AAA ArchitecturenRFC 2904 AAA Authorization FrameworknRFC 2905 AAA Authorization Application ExamplesnRFC 2906 AAA Authorization RequirementsnRFC 2989 Criteria for Evaluating AAA Protocols for Network Access9 9接入网技术接入网技术AAA标准对功能的扩展标准对功能的扩展n新的新的AAA标准，增加了标准，增加了n审计（审计（Audit）n监管（监管（Administration）功能）功能n构成了构成了5A系统系统nAudit（审计）（审计）（注意与记帐的区别）（注意与记帐的区别）n记录用户接入的关键活动和对重要资源的使用，供事后的记录用户接入的关键活动和对重要资源的使用，供事后的安全分析用安全分析用nAdministration（监管）（监管）n以监管为中心，全面组织对用户接入的监督管理以监管为中心，全面组织对用户接入的监督管理n总之，以总之，以AAA为中心的用户接入管理还在发展中，为中心的用户接入管理还在发展中，功能在不断的增强和丰富。功能在不断的增强和丰富。1010接入网技术接入网技术11.3 接入管理系统的发展接入管理系统的发展n在发展中，接入管理系统形成了两种主要模式在发展中，接入管理系统形成了两种主要模式nPPPOE接入结构接入结构n802.1X接入结构接入结构nPPPOE一种典型的集中接入控制模式一种典型的集中接入控制模式n历史最长、功能最强、系统结构最完整历史最长、功能最强、系统结构最完整n是电信运营商的最爱是电信运营商的最爱n典型的系统如：典型的系统如：n拨号接入管理系统拨号接入管理系统nADSL接入管理系统接入管理系统n宽带接入服务器宽带接入服务器BRASn802.1X一种典型的集中一种典型的集中/分布接入控制模式分布接入控制模式n专为专为802网络（现只剩网络（现只剩802.3和和802.11）作接入控制）作接入控制n目前园区网、校园网用户接入控制的首选目前园区网、校园网用户接入控制的首选1111接入网技术接入网技术11.4 接入管理系统结构接入管理系统结构n用户接入管理结构用户接入管理结构n分散分散n集中集中n集中集中/分布（当前主要形式）分布（当前主要形式）n集中分布式接入管理结构采用：集中分布式接入管理结构采用：分布控制、集中认证的机制管理用户的接入分布控制、集中认证的机制管理用户的接入1212接入网技术接入网技术集中集中/分布管理结构分布管理结构所有用户的管理信息预先输入到所有用户的管理信息预先输入到AAA/sAAA/s所有用户的管理由所有用户的管理由AAA/sAAA/s完成完成用户的接入控制由各用户的接入控制由各NASNAS根据根据AAA/sAAA/s的命令完成的命令完成AAA/sAAA/s集中管理与集中管理与NASNAS分布执行相结合分布执行相结合适合于大网、多种接入方式的网适合于大网、多种接入方式的网ANAAA/sAAA/c NAS接入设备同接入设备同时也是时也是NASNAS AAA/cAAA/s:AAA serverAAA/c:AAA client1313接入网技术接入网技术11.5 接入管理基本协议接入管理基本协议n参与用户接入管理的协议主要分为三个层次参与用户接入管理的协议主要分为三个层次n接入链路协议接入链路协议n例如：例如：PPP、PPPOE、802.3等等n接入认证接入认证/控制协议控制协议n例如：认证协议例如：认证协议PAP、CHAP等等n例如：控制协议例如：控制协议802.1Xn接入管理协议接入管理协议 n例如：例如：RADIUS用户用户接入认证接入认证/控制协议控制协议接入链路协议接入链路协议BAS接入管理协议接入管理协议AAA服务器服务器1414接入网技术接入网技术NAS、BAS、BRASn用户接入控制服务器用户接入控制服务器nNAS Network Access ServernBAS Broadband Access ServernBRAS Broadband Remote Access Servern根据不同时期的标准文献，接入控制服务器名称有根据不同时期的标准文献，接入控制服务器名称有所不同所不同n功能均是对用户接入进行控制管理功能均是对用户接入进行控制管理n本课程忽略三者之间的细节差异，将它们等同处理本课程忽略三者之间的细节差异，将它们等同处理1515接入网技术接入网技术11.6 知识点小结知识点小结要求掌握：要求掌握：n用户接入管理系统的管理对象用户接入管理系统的管理对象 n用户接入管理系统的主要功能用户接入管理系统的主要功能n用户接入管理结构的类型、目前通常使用的用户接入管理结构的类型、目前通常使用的结构及特点结构及特点n参与用户接入管理的协议参与用户接入管理的协议