第10章 接入管理体系.pptVIP

　　　　　引　言 为什么需要对用户进行接入管理？ 主要基于以下原因： 接入网已发展成一个相对独立的网络 用户希望运营商提供良好的、安全的服务 运营商希望用户是合法的用户 运营商要维护网络并按需提供服务 用户接入到网络需要交费 用户接入管理的需求与内容 AAA是核心（身份认证、授权、记帐） 接入网络的QoS 用户信息的安全与审计 用户接入管理体系－管理策略 什么是用户管理的策略？ 　用户接入管理的策略：是指根据用户接入需求所进行的接入管理规划和决策 具体的管理策略包括 用户接入管理体系－管理功能(1/2) 用户接入管理三大功能 AAA管理 QoS管理 安全管理 AAA管理 认证　Authentication　 授权　Authorization　 记帐　Accounting 用户接入管理体系－管理功能（2/2） 　　　　　AAA管理功能 认证 　对用户身份进行鉴别，即判别用户身份的合法性 授权 根据认证结果，决定为用户提供的接入服务和网络资源 可能的授权 不提供（拒绝接入） 部分提供（如允许接入内网，不允许接入外网） 完全提供 记帐 记录用户对网络资源的使用情况（时间、资源、流量等） 记帐的目的是为了记费和监测用户的情况 用户接入认证与管理模型 用户接入管理体系－管理结构（1/5） 四种用户接入管理结构 分散 分布 集中 集中/分布 用户接入管理体系－管理结构（2/5） 　　　　　　分散管理结构 用户接入管理体系－管理结构（3/5） 　　　　　　分布管理结构 用户接入管理体系－管理结构（4/5） 　　　　　集中管理结构 用户接入管理体系－管理结构（5/5） 　　　　　集中/分布管理结构 用户接入链路协议 PPP协议 PPP0E协议 用户接入链路协议– PPP（1/6） 概念　 Point-to-Point Protocol 点到点的协议 目前使用的版本: RFC 1661 协议作用范围 点到点的链路上(逻辑链路) 功能 实现点到点链路的两个节点之间: 数据链路的建立与拆除 链路质量检测 身份认证 网络层协议协商与配置(如IP协议的IP的地址等) 两个子协议：LCP 与 NCPs　 用户接入链路协议– PPP(2/6) 链路控制协议LCP：Link Control Protocol 链路建立 链路参数协商（如MRU等）与配置 是否认证或认证协议协商 链路拆除等 网络层控制协议NCP：Network Control Protocol 不同的网络层协议可复用在同一PPP链路上 PPP为不同的网络层设计了相应的NCP 如对应IP协议的NCP为IPCP 对应IPX协议的NCP为IPXCP 不同的NCP处理不同网络层特殊要求（如IP地址分配等） 同一个PPP连接下可开启多个NCP 用户接入链路协议– PPP(3/6) PPP的协议的封装格式 与HDLC格式相似，但不完全同 用户接入链路协议– PPP(4/6) PPP的协议操作过程 ５个阶段及各阶段转换图 用户接入链路协议– PPP(5/6) 死亡阶段 物理层未准备好、PPP的初始阶段 链路建立阶段，由LCP完成 建立请求、协商MRU、认证协议、链路质量监测协议 认证阶段,由LCP完成 可选项，对用户身份的鉴别。是否选或选择何种认证协议在建立连接阶段协商 网络层协议阶段，由NCP完成 对网络层协议进行配置，如网络层地址（IP地址）分配 链路终止阶段,由LCP完成 可以在任何时候终止链路，链路的正常终止由LCP分组完成，一个NCP的关闭不一定引起链路的关闭 用户接入链路协议– PPP(6/6) PPP的协议的应用 （p10-22，图10-12） 话带Modem拨号接入 主干网的ROUTER之间 用户接入链路协议– PPPOE(1/5) 概念　 PPP Over Ethernet 以太网的点到点的协议 目前使用的版本: RFC 2516 PPPOE的引入 PPP只适应点到点链路的接入控制 点到多点链路PPP仍然适应吗？否! PPPOE可以实现对点到多点链路的接入控制 PPPOE的功能 对以太网上每个用户与NAS之间建立一条PPP会话通道 每一条PPP会话通道有唯一的连接标识 实现对太网上每个用户进行单独的管理 用户接入链路协议– PPPOE(2/5) 接入模型 图中：接入桥接设备可为：交换机、ADSL Modem 接入集中器可为：PPPOE服务器、DSLAM 用户接入链路协议– PPPOE(3/5) 协议封装格式 PPPOE协议封装在以太帧中（以太帧的载荷） 用户接入链路协议– PPPOE(4/5) 协议的操作分为两个阶段：PPPOE发现与PPP会话 发现阶段（P10-25图10-15） 主机广播一个PPPOE有效发