第11章 用户接入管理体系要点课件.ppt

AccNet 2023/1/22,接入网技术,第11章 用户接入管理体系,AccNet 2023/1/22,本章教学重点与要求,教学重点用户接入管理的核心功能：AAA 管理接入管理的系统结构：分散、集中、集中/分布典型的接入管理系统教学要求掌握AAA的概念与含义掌握集中/分布式接入管理结构的特点掌握基于PPPOE 和IEEE 802.1X接入管理系统的结构与特点,AccNet 2023/1/22,本章教学提纲,11.1 概述11.2 接入管理功能11.3 接入管理模型11.4 接入管理系统结构11.5 接入管理系统11.6 小结,AccNet 2023/1/22,11.1 概述,接入网管理的内容,网络元素和网络系统（如设备、模块等）,管理对象,管理功能,配置管理,故障管理,性能管理,安全管理,账务管理,管理对象,面向接入用户的管理管理的是用户的接入过程,接入网管理最重要的是针对用户接入进行管理,AccNet 2023/1/22,为什么要对用户进行接入管理？,接入网是一种独立的运营网络实现用户接入管理是接入网的首要任务运营商是接入网运营的主体，实现对用户的接入控制和管理为用户提供服务记账、记费并收取费用接入用户必须接受管理，同时享有一定的授权服务,AccNet 2023/1/22,11.2 接入管理功能,用户接入管理功能,AAA：Authentication：认证 Authorization：授权Accounting：记账,AAA+QoS+安全,用户接入管理功能仍在丰富和发展中AAA管理目前仍然是最核心的功能,AccNet 2023/1/22,AAA管理,验证接入用户身份的合法性如用户名、密码的核对与鉴别,根据认证结果授予用户相应接入权限授予：全部、部分接入权限拒绝接入,Authentication认证,记录用户对网络资源的使用情况如访问时间、流量等，为计费、监测等服务,Authorization授权,Accounting记账,目前，实现AAA 的典型协议是 RADIUS（Remote Authentication Dial In User Service）,AccNet 2023/1/22,QoS管理,注意：QoS管理与AAA管理协同，完成对接入段的管理,AccNet 2023/1/22,安全管理,AN安全管理,信息的安全 传递,资源的访问 控制,措施：可以通过对信息加密来实现,措施：结合AAA管理中的授权管理共 同实现,AccNet 2023/1/22,AAA标准的发展,IETF发布了多个RFC文档：RFC 2903 Generic AAA ArchitectureRFC 2904 AAA Authorization FrameworkRFC 2905 AAA Authorization Application ExamplesRFC 2906 AAA Authorization RequirementsRFC 2989 Criteria for Evaluating AAA Protocols for Network Access,AccNet 2023/1/22,AAA标准对功能的扩展,新的AAA标准，增加了审计（Audit）监管（Administration）功能构成了5A系统Audit（审计）（注意与记帐的区别）记录用户接入的关键活动和对重要资源的使用，供事后的安全分析用Administration（监管）以监管为中心，全面组织对用户接入的监督管理总之，以AAA为中心的用户接入管理还在发展中，功能在不断的增强和丰富。,AccNet 2023/1/22,11.3 接入管理模型,申请者Supplicant,认证者Authenticator,认证服务器AuthenticatorServer,认证控制,仲裁管理,不同时期不同文献，应用中的名称可能有：NAS Network Access ServerBAS Broadband Access ServerBRAS Broadband Remote Access Server,AAA服务器实际应用中，最典型的是RADIUS服务器,AccNet 2023/1/22,NAS,AAA server,用户,接入 client,接入 server,AAA client,用户接入认证协议,用户接入管理协议,11.3 接入管理模型,申请者Supplicant,认证者Authenticator,认证服务器AuthenticatorServer,认证控制,仲裁管理,接入链路协议,特殊场合，NAS 可能同时集成接入控制与认证授权管理功能,AccNet 2023/1/22,11.4 接入管理系统结构,用户接入管理结构,分散 控制与管理,集中 控制与管理,分布控制与集中管理,AccNet 2023/1/22,分散控制与管理结构,NAS,若干个用户固定或非固定接入到某NAS每个NAS只负责存储所接入用户的信息，并仅控制和管理所接入的这些用户各NAS独立，彼此不交流信息，用户信息不能共享适合大网,NAS,NAS,接入用户,接入用户,接入用户,NAS集成了控制与管理实体,AccNet 2023/1/22,集中控制与管理结构,所有用户的接入控制与管理由一个中心管理设备完成中心控制设备预先输入所有用户的管理信息每个用户必须与中心设备建立逻辑连接以便管理中心设备性能要求高，单点故障问题，必须备份适合较小的网,接入设备,中心接入控制与管理设备,AN,接入用户,AccNet 2023/1/22,集中/分布管理结构,所有用户的管理信息预先输入到AAA/s所有用户由AAA/s进行集中管理用户的接入控制由各NAS根据AAA/s的命令完成AAA/s集中管理与NAS分布执行控制相结合适合于大网、多种接入方式的网是目前通常使用的接入管理结构,AN,AAA/s,接入设备同时也是NAS,AAA/s:AAA serverAAA/c:AAA client,接入用户,AccNet 2023/1/22,11.5 接入管理系统,自从运营商开始提供互联网接入服务，就产生了接入管理系统电信运营商的接入控制系统结构主要采用集中式，或相对集中式特点历史最长、功能最强、系统结构最完整典型的接入管理系统案例如下拨号接入管理系统xDSL 接入管理系统以太网的接入管理系统基于PPPOE的 接入控制和管理基于IEEE 802.1X的接入控制和管理,AccNet 2023/1/22,拨号接入控制与管理系统,PSTN：Public Switched Telephone Network,拨号接入服务器,AAA服务器,话带Modem,IP网络,在接入站点上运行PPP协议接入站点与 接入服务器之间建立点到点的PPP 连接接入用户通过认证后，由拨号接入服务器为其分配IP地址,运行PPP协议拨号,运行PPP协议,PPP连接,AccNet 2023/1/22,xDSL接入控制与管理系统,宽带接入服务器BRAS,AAA服务器,xDSLModem,IP网络,在接入站点上运行PPPOE协议接入站点与BRAS之间建立PPPOE 虚拟连接BRAS为每个接入用户分配唯一的虚拟连接标识(ID)接入站点通过认证后，由BRAS为其分配IP地址,运行PPPOE协议,PPPOE连接,用户线,PPPOE虚拟拨号,xDSLAM,AccNet 2023/1/22,在以太网上运行PPP协议每个以太网站点与 PPPOE服务器之间似建立一条虚拟通道每个虚拟通道具有唯一标识以区分不同的虚拟连接通过PPPOE可以实现对以太接入的单个用户进行接入控制,基于 PPP0E的以太用户接入控制与管理,以太网,以太网交换机,PPPoE协议虚拟拨号,PPPoE服务器,AAA 服务器,IP网络,AAA协议,AccNet 2023/1/22,在交换机接入端口上进行接入控制各交换机端口分布控制、AAA服务器集中认证管理构成完整的接入控制系统适合于802网络的接入控制,基于802.1X端口控制的接入控制与管理,以太网,交换机,802.1X协议客户端,AAA服务器,AAA协议,802.1X 服务器端,交换机,IP网络,交换机,AAA协议,接入控制设备,AccNet 2023/1/22,PPPOE和802.1X接入控制特点,PPPOE控制粒度十分细控制开销始终极大，贯穿接入期始终802.1X控制粒度较粗控制开销相当小，仅在认证期存在控制开销,AccNet 2023/1/22,11.6 小结,用户接入管理是接入网管理的首要任务用户接入管理的核心功能是AAA用户接入管理的模型由3个实体组成接入用户实体(接入client)接入控制实体(接入server/AAA client)接入管理实体(AAA server)目前常用的用户接入管理结构集中/分布管理结构，适合多种接入技术,