RFC2881 日本語訳
2881 Network Access Server Requirements Next Generation (NASREQNG) NASModel. D. Mitton, M. Beadles. July 2000. (Format: TXT=45029 bytes) (Status: INFORMATIONAL)
プログラムでの自動翻訳です。
英語原文
Network Working Group D. Mitton
Request for Comments: 2881 Nortel Networks
Category: Informational M. Beadles
SmartPipes Inc.
July 2000
コメントを求めるワーキンググループD.ミットンの要求をネットワークでつないでください: 2881 ノーテルはカテゴリをネットワークでつなぎます: 情報のM.用務員SmartPipes株式会社2000年7月
Network Access Server Requirements Next Generation (NASREQNG)
NAS Model
ネットワークアクセス・サーバー要件次世代(NASREQNG)NASモデル
Status of this Memo
このMemoの状態
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。 それはどんな種類のインターネット標準も指定しません。 このメモの分配は無制限です。
Copyright Notice
版権情報
Copyright (C) The Internet Society (2000). All Rights Reserved.
Copyright(C)インターネット協会(2000)。 All rights reserved。
Abstract
要約
This document describes the terminology and gives a model of typical Network Access Server (NAS). The purpose of this effort is to set the reference space for describing and evaluating NAS service protocols, such as RADIUS (RFCs 2865, 2866) [1], [2] and follow-on efforts like AAA Working Group, and the Diameter protocol [3]. These are protocols for carrying user service information for authentication, authorization, accounting, and auditing, between a Network Access Server which desires to authenticate its incoming calls and a shared authentication server.
このドキュメントは、典型的なNetwork Access Server(NAS)を用語について説明して、モデルに与えます。 この取り組みの目的はAAA作業部会、およびDiameterプロトコル[3]のようなRADIUS(RFCs2865、2866)[1]や、[2]やフォローオン取り組みなどのNASサービスプロトコルを説明して、評価するのに基準スペースを設定することです。 これらは認証、承認、会計、および監査のためのユーザサービス情報を運ぶためのプロトコルです、かかってきた電話を認証することを望んでいるNetwork Access Serverと共有された認証サーバの間で。
Table of Contents
目次
1. INTRODUCTION...................................................2
1.1 Scope of this Document ......................................2
1.2 Specific Terminology ........................................3
2. NETWORK ACCESS SYSTEM EQUIPMENT ASSUMPTIONS....................3
3. NAS SERVICES...................................................4
4. AUTHENTICATION, AUTHORIZATION AND ACCOUNTING (AAA) SERVERS.....5
5. TYPICAL NAS OPERATION SEQUENCE:................................5
5.1 Characteristics of Systems and Sessions: ....................6
5.2 Separation of NAS and AAA server functions ..................7
5.3 Network Management and Administrative features ..............7
6. AUTHENTICATION METHODS.........................................8
7. SESSION AUTHORIZATION INFORMATION..............................8
8. IP NETWORK INTERACTION.........................................9
9. A NAS MODEL...................................................10
1. 序論…2 1.1 このDocumentの範囲…2 1.2 特定の用語…3 2. アクセスシステム設備仮定をネットワークでつないでください…3 3. NASサービス…4 4. 認証、承認、および会計(AAA)サーバ…5 5. 典型的なNAS操作は以下を配列します…5 システムとセッションの5.1の特性: ....................6 5.2 NASとAAAサーバの分離は機能します…7 5.3 ManagementとAdministrativeの特徴をネットワークでつないでください…7 6. 認証メソッド…8 7. セッション承認情報…8 8. IPネットワーク相互作用…9 9. NASはモデル化します…10
Mitton & Beadles Informational [Page 1] RFC 2881 NASreq NAS Model July 2000
[1ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
9.1 A Reference Model of a NAS .................................10
9.2 Terminology ................................................11
9.3 Analysis ...................................................13
9.3.1 Authentication and Security .............................13
9.3.2 Authorization and Policy ................................14
9.3.3 Accounting and Auditing .................................14
9.3.4 Resource Management .....................................14
9.3.5 Virtual Private Networks (VPN's) ........................14
9.3.6 Service Quality .........................................15
9.3.7 Roaming .................................................15
10. SECURITY CONSIDERATIONS......................................15
11. REFERENCES ..................................................16
12. ACKNOWLEDGMENTS..............................................17
13. AUTHORS' ADDRESSES ..........................................17
14. APPENDIX - ACRONYMS AND GLOSSARY:............................18
15. FULL COPYRIGHT STATEMENT.....................................20
9.1 NASの規範モデル…10 9.2用語…11 9.3分析…13 9.3 .1の認証とセキュリティ…13 9.3 .2の承認と方針…14 9.3 .3の会計学と会計監査学…14 9.3 .4 リソース管理…14 9.3 .5 仮想の私設のネットワーク(VPNのもの)…14 9.3 .6 品質を修理してください…15 9.3 .7 ローミング…15 10. セキュリティ問題…15 11. 参照…16 12. 承認…17 13. 作者のアドレス…17 14. 付録--頭文字語と用語集: ……18 15. 完全な著作権宣言文…20
1. Introduction
1. 序論
A Network Access Server is the initial entry point to a network for the majority of users of network services. It is the first device in the network to provide services to an end user, and acts as a gateway for all further services. As such, its importance to users and service providers alike is paramount. However, the concept of a Network Access Server has grown up over the years without being formally defined or analyzed [4].
Network Access Serverはネットワーク・サービスのユーザの大部分のネットワークへの初期のエントリー・ポイントです。 それは、エンドユーザに対するサービスを提供するネットワークにおける最初のデバイスと、ゲートウェイとしてさらなるすべてのサービスのための行為です。 そういうものとして、ユーザもサービスプロバイダーにも重要性は最高のです。 しかしながら、Network Access Serverの概念は、数年間正式に定義されないで成長するか、または[4]を分析しました。
1.1 Scope of this Document
1.1 このDocumentの範囲
There are several tradeoffs taken in this document. The purpose of this document is to describe a model for evaluating NAS service protocols. It will give examples of typical NAS hardware and software features, but these are not to be taken as hard limitations of the model, but merely illustrative of the points of discussion. An important goal of the model is to offer a framework that allows further development and expansion of capabilities in NAS implementation.
本書では取られたいくつかの見返りがあります。 このドキュメントの目的はNASサービスプロトコルを評価するためにモデルについて説明することです。 それは典型的なNASハードウェアとソフトウェア機能に関する例を出すでしょうが、これらはモデルの困難な限界として取るのではなく、議論のポイントで単に説明に役立つことになっています。 モデルの重要な目標はNAS実装における、能力のさらなる開発と拡張を許すフレームワークを提供することです。
As with most IETF projects, the focus is on standardizing the protocol interaction between the components of the system. The documents produced will not address the following areas:
ほとんどのIETFプロジェクトのように、焦点がシステムの部品の間のプロトコル相互作用を標準化するところにあります。 製作されたドキュメントは以下の領域を扱わないでしょう:
- AAA server back-end implementation is abstracted and not
prescribed. The actual organization of the data in the server, its
internal interfaces, and capabilities are left to the
implementation.
- AAAサーババックエンド実装は、抜き取られていて、定められません。 サーバ、内部のインタフェース、および能力における、データの実際の組織は実装に出られます。
Mitton & Beadles Informational [Page 2] RFC 2881 NASreq NAS Model July 2000
[2ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
- NAS front-end call technology is not assumed to be static.
Alternate and new technology will be accommodated. The resultant
protocol specifications must be flexible in design to allow for new
technologies and services to be added with minimal impact on
existing implementations.
- NASフロントエンド呼び出し技術が静的であると思われません。 代替の新しい技術は対応されるでしょう。 結果のプロトコル仕様は新技術とサービスが既存の実装に関する最小量の影響で加えられるのを許容するデザインでフレキシブルであるに違いありません。
1.2 Specific Terminology
1.2 特定の用語
The following terms are used in this document in this manner: A "Call" - the initiation of a network service request to the NAS. This can mean the arrival of a telephone call via a dial-in or switched telephone network connection, or the creation of a tunnel to a tunnel server which becomes a virtual NAS. A "Session" - is the NAS provided service to a specific authorized user entity.
次の用語は本書ではこの様に使用されます: 「呼び出し」--NASへのネットワークサービスのリクエストの開始。 これはダイヤルインの、または、切り換えられた電話ネットワーク接続、またはトンネルの作成で仮想のNASになるトンネルサーバに通話の到着を意味できます。 「セッション」--特定の認定ユーザ実体に対するサービスをNASに提供しますか?
2. Network Access System Equipment Assumptions
2. ネットワークアクセスシステム設備仮定
A typical hardware-based NAS is implemented in a constrained system. It is important that the NAS protocols don't assume unlimited resources on the part of the platform. The following are typical constraints:
典型的なハードウェアベースのNASは制約つきシステムで実装されます。 NASプロトコルがプラットホーム側で無制限なリソースを仮定しないのは、重要です。 ↓これは典型的な規制です:
- A computer system of minimal to moderate performance
(example processors: Intel 386 or 486, Motorola 68000)
- A moderate amount, but not large RAM (typically varies with
supported # of ports 1MB to 8MB)
- Some small amount of non-volatile memory, and/or way to be
configured out-of-band
- No assumption of a local file system or disk storage
- 性能(例のプロセッサ: インテル386か486、モトローラ68000)を加減するためには最小量のコンピュータ・システム--大きいRAMではなく、適度の量(サポートされることで1MBから8MBのポートの#、を通常変える)--いくらかの少量の非揮発性メモリー、そして/または、バンドの外で構成されるべき方法--ローカルファイルシステムかディスクストレージの仮定がありません。
A NAS system may consist of a system of interconnected specialized processor system units. Typically they may be circuit boards (or blades) that are arrayed in a card cage (or chassis) and referred to by their position (i.e., slot number). The bus interconnection methods are typically proprietary and will not be addressed here.
NASシステムはインタコネクトされた専門化しているプロセッサシステムユニットのシステムから成るかもしれません。 それらは通常、カードの檻(または、筐体)の中に整列させられて、それらの位置(すなわち、スロット番号)によって言及される回路ボードであるかもしれません(または、ブレード)。 バスインタコネクトメソッドは、通常独占であり、ここで扱われないでしょう。
A NAS is sometimes referred to as a Remote Access Server (RAS) as it typically allows remote access to a network. However, a more general picture is that of an "Edge Server", where the NAS sits on the edge of an IP network of some type, and allows dynamic access to it.
ネットワークに遠隔アクセスを通常許容するとき、NASは時々Remote Access Server(RAS)と呼ばれます。 しかしながら、より一般的な画像は「エッジサーバ」のものです、NASがタイプのIPネットワークの縁に座っていて、それに動的呼出しを許容するところで。
Such systems typically have;
そのようなシステムは通常そうします。
- At least one LAN or high performance network interface (e.g.,
Ethernet, ATM, FR)
- 少なくとも1つのLANか高性能ネットワーク・インターフェース(例えば、イーサネット、気圧、FR)
Mitton & Beadles Informational [Page 3] RFC 2881 NASreq NAS Model July 2000
[3ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
- At least one, but typically many, serial interface ports, which
could be;
- serial RS232 ports direct wired or wired to a modem, or
- have integral hardware or software modems (V.22bis,V.32, V.34,
X2, Kflex, V.90, etc.)
- have direct connections to telephone network digital WAN lines
(ISDN, T1, T3, NFAS, or SS7)
- an aggregation of xDSL connections or PPPoe sessions [5].
- 少なくとも1、しかし、通常多くそうすることができたシリアルインタフェースポート、いてください。 - または、RS232ポートが指示するシリーズがモデムに配線したか、または配線された、--不可欠のハードウェアかソフトモデム(V.22bis、V.32、V.34、X2、Kflex、V.90など)を持ってください - 電話網のデジタルWAN系列(ISDN、T1、T3、NFAS、またはSS7)にはダイレクト接続があってください--xDSL接続かPPPoeセッション[5]の集合。
However, systems may perform some of the functions of a NAS, but not have these kinds of hardware characteristics. An example would be a industry personal computer server system, that has several modem line connections. These lines will be managed like a dedicated NAS, but the system itself is a general file server. Likewise, with the development of tunneling protocols (L2F [6], ATMP [7], L2TP [8]), tunnel server systems must behave like a "virtual" NAS, where the calls come from the network tunneled sessions and not hardware ports ([11], [9], [10]).
しかしながら、システムには、NASの機能のいくつかを実行しますが、これらの種類のハードウェアの特性がないかもしれません。 例が産業パーソナルコンピュータサーバシステムであるだろう、それには、いくつかのモデム回線接続があります。 これらの系列が専用NASのように管理されますが、システム自体が一般的なファイルサーバーである、同様なトンネリングプロトコルの開発、(L2F[6]、ATMP[7]、L2TP[8])、トンネルサーバシステムは「仮想」のNASのように反応しなければならなくて、呼び出しが来るところでネットワークから、ハードウェアポート([11]ではなく、セッションがトンネルを堀っていました、[9]、[10])。
3. NAS Services
3. NASサービス
The core of what a NAS provides, are dynamic network services. What distinguishes a NAS from a typical routing system, is that these services are provided on a per-user basis, based on an authentication and the service is accounted for. This accounting may lead to policies and controls to limit appropriate usage to levels based on the availability of network bandwidth, or service agreements between the user and the provider.
NASが提供するものに関するコアはダイナミックなネットワーク・サービスです。 認証に基づいて、典型的なルーティングシステムとNASを区別することは1ユーザあたり1個のベースでこれらのサービスを提供するということです、そして、サービスは説明されます。 この会計は、適切な用法をネットワーク回線容量の有用性、またはユーザとプロバイダーとのサービス契約に基づくレベルに制限するために方針とコントロールにつながるかもしれません。
Typical services include:
典型的なサービスは:
- dial-up or direct access serial line access; Ability to access the
network using a the public telephone network.
- network access (SLIP, PPP, IPX, NETBEUI, ARAP); The NAS allows the
caller to access the network directly.
- asynchronous terminal services (Telnet, Rlogin, LAT, others); The
NAS implements the network protocol on behalf of the caller, and
presents a terminal interface.
- dial-out connections; Ability to cause the NAS to initiate a
connection over the public telephone network, typically based on the
arrival of traffic to a specific network system.
- callback (NAS generates call to caller); Ability to cause the NAS to
reverse or initiate a network connection based on the arrival of a
dial-in call.
- tunneling (from access connection to remote server); The NAS
transports the callers network packets over a network to a remote
server using an encapsulation protocol. (L2TP [8], RADIUS support
[11])
- ダイヤルアップか直接アクセスシリアル・ラインアクセス。 公衆のaがネットワークに電話をするネットワーク使用にアクセスする能力。 - アクセス(SLIP、PPP、IPX、NETBEUI、ARAP)をネットワークでつないでください。 NASは訪問者をネットワークに直接アクセスさせます。 - 非同期なターミナルサービス(telnet、Rlogin、LAT、他のもの)。 NASは訪問者を代表してネットワーク・プロトコルを実装して、端末のインタフェースを提示します。 - ダイヤルアウト接続。 NASが公共の電話網の上と通常トラフィックの到着に基づいて特定のネットワーク・システムに接続を開始することを引き起こす能力。 - コールバック(NASは訪問者に呼び出しを生成します)。 NASがネットワーク接続を逆にするか、または開始することを引き起こす能力はダイヤルインの呼び出しの到着を基礎づけました。 - トンネリング(アクセス接続からリモートサーバまでの)。 NASは、訪問者のためにネットワークの上でカプセル化プロトコルを使用することでネットワークパケットをリモートサーバに輸送します。 (L2TP[8]、RADIUSサポート[11])
Mitton & Beadles Informational [Page 4] RFC 2881 NASreq NAS Model July 2000
[4ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
4. Authentication, Authorization and Accounting (AAA) Servers
4. 認証、承認、および会計(AAA)サーバ
Because of the need to authenticate and account, and for practical reasons of implementation, NAS systems have come to depend on external server systems to implement authentication databases and accounting recording.
認証して、説明する必要性のため実装の実際的な理由ので、NASシステムは認証データベースと会計が録音であると実装するために外部のサーバシステムによるようになりました。
By separating these functions from the NAS equipment, they can be implemented in general purpose computer systems, that may provide better suited long term storage media, and more sophisticated database software infrastructures. Not to mention that a centralized server can allow the coordinated administration of many NAS systems as appropriate (for example a single server may service an entire POP consisting of multiple NAS systems).
NAS設備とこれらの機能を切り離すことによって、彼らは実装されて、一般に、コンピュータ・システムを目標としてください、とそれがより一層合った長期記憶媒体、および、より洗練されたデータベースソフトインフラを前提とするかもしれないということであるかもしれません。 それについて言及しないように、集結されたサーバは適宜多くのNASシステムの連携管理を許容できます(例えば、ただ一つのサーバは複数のNASシステムから成る全体のPOPを調整するかもしれません)。
For ease of management, there is a strong desire to piggyback NAS authentication information with other authentication databases, so that authentication information can be managed for several services (such as OS shell login, or Web Server access) from the same provider, without creating separate passwords and accounts for the user.
管理の容易さのために、他の認証データベースでNAS認証情報を背負う強い願望があります、いくつかのサービス(OSシェルログイン、またはウェブServerアクセスなどの)のために同じプロバイダーから認証情報に対処できるように、ユーザのために別々のパスワードとアカウントを作成しないで。
Session activity information is stored and processed to produce accounting usage records. This is typically done with a long term (nightly, weekly or monthly) batch type process.
セッション活動情報は、会計慣行記録を作り出すために保存されて、処理されます。 これは長期で通常された(連夜の、または、毎週の、または、毎月の)バッチ型プロセスです。
However, as network operations grow in sophistication, there are requirements to provide real-time monitoring of port and user status, so that the state information can be used to implement policy decisions, monitor user trends, and the ability to possibly terminate access for administrative reasons. Typically only the NAS knows the true dynamic state of a session.
しかしながら、ネットワーク操作が洗練で成長するとき、管理理由で、ポートと使用者の地位のリアルタイム追跡を提供するという要件が、政策決定、モニターユーザ傾向、およびことによるとアクセスを終える能力を実装するのに州の情報を使用できるようにあります。 通常、NASだけがセッションの真の力関係状態を知っています。
5. Typical NAS Operation Sequence:
5. 典型的なNAS操作系列:
The following details a typical NAS operational sequence:
以下は典型的なNAS操作順序を詳しく述べます:
- Call arrival on port or network
- Port:
- auto-detect (or not) type of call
- CLI/SLIP: prompt for username and password (if security
set)
- PPP: engage LCP, Authentication
- Request authentication from AAA server
- if okay, proceed to service
- may challenge
- may ask for password change/update
- ポートかネットワークで到着に電話をしてください--以下を移植してください。 - 自動、検出、呼び出しの(or not)タイプ--、CLI/SLIP: ユーザ名のためのプロンプトとパスワード(セキュリティがセットしたなら)--、PPP: LCPを噛み合わせてください、Authentication--AAAサーバから認証を要求してください--オーケーであるなら、サービスに続いてください--挑戦するかもしれません--パスワード変化/最新版を求めるかもしれません。
Mitton & Beadles Informational [Page 5] RFC 2881 NASreq NAS Model July 2000
[5ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
- Network:
- activate internal protocol server (telnet, ftp)
- engage protocol's authentication technique
- confirm authentication information with AAA server
- 以下をネットワークでつないでください。 - 内部のプロトコルサーバ(telnet、ftp)を活性化してください--プロトコルの認証のテクニックを従事させてください--AAAサーバで認証情報を確認してください。
- Call Management Services
- Information from the telephone system or gateway controller
arrives indicating that a call has been received
- The AAA server is consulted using the information supplied by
the telephone system (typically Called or Calling number
information)
- The server indicates whether to respond to the call by
answering it, or by returning a busy to the caller.
- The server may also need to allocate a port to receive a
call, and route it accordingly.
- Management Servicesに電話をしてください--呼び出しが受けられたのを示しながら、電話かゲートウェイコントローラからの情報は到着します--電話(通常CalledかCalling数の情報)によって提供された情報を使用することでAAAサーバは相談されます--サーバは、それに答えるか、または訪問者にとって、忙しい戻っているaで呼び出しに応じるかどうかを示します。 - また、サーバは、呼び出しを受けて、それに従って、それを発送するのにポートを割り当てる必要があるかもしれません。
- Dial-out
- packet destination matches outbound route pre-configured
- find profile information to setup call
- Request information from AAA server for call details
- ダイヤルアウト(外国行きのルートがあらかじめ設定したパケット目的地マッチ)は呼び出しをセットアップするためにプロフィール情報を見つけます--呼び出しの詳細のためにAAAサーバから情報を要求してください。
- VPN/Tunneling (compulsory)
- authentication server identifies user as remote
- tunnel protocol is invoked to a remote server
- authentication information may be forwarded to remote AAA
server
- if successful, the local link is given a remote identity
- VPN/トンネリング(強制的な)--認証サーバは、ユーザがリモートであると認識します--トンネルプロトコルはリモートサーバへ呼び出されます--リモートAAAサーバに認証情報を転送するかもしれません--うまくいくなら、リモートアイデンティティを地方のリンクに与えます。
- Multi-link aggregation
- after a new call is authenticated by the AAA server, if MP
options are present, then other bundles with the same
identifying information is searched for
- bundle searches are performed across multiple systems
- join calls that match authentication and originator
identities as one network addressable data source with a
single network IP address
- マルチリンク・アグリゲーション--新しい呼び出しがAAAサーバによって認証された後に、MPオプションが存在しているなら、同じ身元が分かる情報がある他のバンドルは捜し求められます--バンドル検索は複数のシステムの向こう側に実行されます--認証に合ってください。そうすれば、1としての創始者のアイデンティティがただ一つのネットワークIPアドレスでアドレス可能なデータ送信端末をネットワークでつなぐという要求に参加してください。
- Hardwired (non-interactive) services
- permanent WAN connections (Frame Relay or PSVCs)
- permanent serial connections (printers)
- 組み込まれている(非対話的な)サービス--永久的なWAN接続(フレームRelayかPSVCs)--永久的な連続の接続(プリンタ)
5.1 Characteristics of Systems and Sessions:
システムとセッションの5.1の特性:
Sessions must have a user identifier and authenticator to complete the authentication process. Accounting starts from time of call or service, though finer details are allowed. At the end of service, the call may be disconnected or allow re-authentication for additional services.
セッションには、認証過程を完成するユーザ識別子と固有識別文字がなければなりません。 より詳しい詳細は許容されていますが、会計は呼び出しであるかサービスの時間から始めます。 サービスの終わりに、呼び出しは、切断されるか、または追加サービスのための再認証を許すかもしれません。
Mitton & Beadles Informational [Page 6] RFC 2881 NASreq NAS Model July 2000
[6ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
Some systems allow decisions on call handling to be made based on telephone system information provided before the call is answered (e.g., caller id or destination number). In such systems, calls may be busied-out or non-answered if system resources are not ready or available.
いくつかのシステムで、呼び出し取り扱いの決定は呼び出しが答えられる前に提供された電話情報(例えば、訪問者イドか目的地番号)に基づいてします。 そのようなシステムで、システム資源が準備ができないで、また利用可能でないなら、呼び出しは、忙しくされて出るか非答えられるかもしれません。
Authorization to run services are supplied and applied after authentication. A NAS may abort call if session authorization information disagrees with call characteristics. Some system resources may be controlled by server driven policies
サービスを実行する承認は、供給されて認証の後に適用されています。 セッション承認情報が呼び出しの特性と意見を異にするなら、NASは呼び出しを中止するかもしれません。 いくつかのシステム資源がサーバ駆動の方針で制御されるかもしれません。
Accounting messages are sent to the accounting server when service begins, and ends, and possibly periodically during service delivery. Accounting is not necessarily a real-time service, the NAS may be queue and batch send event records.
サービス配送の間、ことによると定期的にサービスが始まって、終わる会計サーバに会計メッセージを送ります。 会計は必ずリアルタイムのサービスであるというわけではありません、そして、NASは待ち行列であるかもしれません、そして、バッチはイベント記録を送ります。
5.2 Separation of NAS and AAA server functions
5.2 NASとAAAサーバ機能の分離
As a distributed system, there is a separation of roles between the NAS and the Server:
分散システムとして、NASとServerの間には、役割の分離があります:
- Server provides authentication services; checks passwords
(static or dynamic)
- Server databases may be organized in any way (only protocol
specified)
- Server may use external systems to authenticate (including OS
user databases, token cards, one-time-lists, proxy or other
means)
- Server provides authorization information to NAS
- The process of providing a service may lead to requests for
additional information
- Service authorization may require real-time enforcement
(services may be based on Time of Day, or variable cost
debits)
- Session accounting information is tallied by the NAS and
reported to server
- サーバは認証サービスを提供します。 サーバデータベースは何らかの方法で組織化されるかもしれません(プロトコルだけが指定しました)--サーバが認証する外的システムを使用するかもしれないという(OSユーザデータベース、トークン・カード、1回のリスト、プロキシまたは他の手段を含んでいて)サーバが承認情報を提供するパスワード(静的であるかダイナミックな)をチェックします; NAS--サービスを提供するプロセスは追加情報に関する要求に通じるかもしれません--サービス承認はリアルタイムの実施を必要とするかもしれません(サービスはデーのTime、または変動費借り方に基づくかもしれません)--セッション課金情報は、NASによって記録されて、サーバに報告されます。
5.3 Network Management and Administrative features
5.3 ネットワークManagementとAdministrativeの特徴
The NAS system is presumed to have a method of configuration that allows it to know it's identity and network parameters at boot time. Likewise, this configuration information is typically managed using the standard management protocols (e.g., SNMP). This would include the configuration of the parameters necessary to contact the AAA server itself. The purpose of the AAA server is not to provide network management for the NAS, but to authorize and characterize the individual services for the users. Therefore any feature that can be user specific is open to supply from the AAA server.
それがブート時間におけるアイデンティティと回路パラメータであることを知ることができる構成のメソッドはあえてNASシステムが持たれています。 同様に、この設定情報は、標準の管理プロトコル(例えば、SNMP)を使用することで通常管理されます。 これはAAAサーバ自体に連絡するのに必要なパラメタの構成を含んでいるでしょう。 AAAサーバの目的は、ネットワークマネージメントをNASに供給するのではなく、ユーザのために個々のサービスを認可して、特徴付けることです。 したがって、どんなユーザ特有である場合がある特徴も、AAAサーバから供給するために開いています。
Mitton & Beadles Informational [Page 7] RFC 2881 NASreq NAS Model July 2000
[7ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
The system may have other operational services that are used to run and control the NAS. Some users that have _Administrative_ privileges may have access to system configuration tools, or services that affect the operation and configuration of the system (e.g., loading boot images, internal file system access, etc..) Access to these facilities may also be authenticated by the AAA server (provided it is configured and reachable!) and levels of access authorization may be provided.
システムには、NASを実行して、制御するのに利用される他の操作上のサービスがあるかもしれません。 _Administrative_特権を持っているユーザの中にはシステム(例えば、ローディングブーツイメージ、内部のファイルシステムアクセスなど)の操作と構成に影響するシステム構成ツール、またはサービスに近づく手段を持っている人もいるかもしれません。 また、AAAサーバでこれらの施設へのアクセスを認証するかもしれません、そして、(それが構成されていて届くなら!)アクセス認可のレベルを提供するかもしれません。
6. Authentication Methods
6. 認証方法
A NAS system typically supports a number of authentication systems. For async terminal users, these may be a simple as a prompt and input. For network datalink users, such as PPP, several different authentication methods will be supported (PAP, CHAP [12], MS-CHAP [13]). Some of these may actually be protocols in and of themselves (EAP [14] [15], and Kerberos).
NASシステムは多くの認証システムを通常サポートします。async端末ユーザにとって、これらはプロンプトと入力として簡単なaであるかもしれません。 PPPなどのネットワークデータリンクユーザに関して、いくつかの異なった認証方法がサポートされるでしょう。(PAP、CHAP[12]、さん-CHAP[13])。 これらのいくつかが実際に自分たちと自分たち(EAP[14][15]、およびケルベロス)のプロトコルであるかもしれません。
Additionally, the content of the authentication exchanges may not be straightforward. Hard token cards, such as the Safeword and SecurId, systems may generate one-time passphrases that must be validated against a proprietary server. In the case of multi-link support, it may be necessary to remember a session token or certificate for the later authentication of additional links.
さらに、認証交換の内容は簡単でないかもしれません。 SafewordやSecurId、システムなどの固いトークン・カードは独占サーバに対して有効にしなければならない1回のパスフレーズを生成するかもしれません。マルチリンクサポートの場合では、追加リンクの後の認証のためのセッショントークンか証明書を覚えているのが必要であるかもしれません。
In the cases of VPN and compulsory tunneling services, typically a Network Access Identifier (RFC 2486 [16]) is presented by the user. This NAI is parsed into a destination network identifier either by the NAS or by the AAA server. The authentication information will typically not be validated locally, but by a AAA service at the remote end of the tunnel service.
VPNに関するケースと強制的なトンネリングサービス、通常Network Access Identifier、(RFC2486[16])はユーザによって提示されます。 このNAIはNASかAAAサーバによって送信先ネットワーク識別子に分析されます。局所的に通常有効にされませんが、認証情報はトンネルサービスのリモートエンドにおけるAAAサービスでそうするでしょう。
7. Session Authorization Information
7. セッション承認情報
Once a user has been authenticated, there are a number of individual bits of information that the network management may wish to configure and authorize for the given user or class of users.
ユーザがいったん認証されると、与えられたユーザかクラスのユーザのために構成して、認可するネットワークマネージメントが願われるかもしれないという情報の多くの個々のビットがあります。
Typical examples include:
典型的な例は:
For async terminal users:
async端末ユーザのために:
- banners
- custom prompts
- menus
- CLI macros - which could be used for: shortcuts, compound
commands, restrictive scripts
- バナー--カスタムプロンプト--メニュー--CLIマクロ--以下にどれを使用できますか? 近道、複合コマンド、制限しているスクリプト
Mitton & Beadles Informational [Page 8] RFC 2881 NASreq NAS Model July 2000
[8ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
For network users:
ネットワーク利用者のために:
- addresses, and routes
- callback instructions
- packet and activity filters
- network server addresses
- host server addresses
- アドレス、およびルート--コールバック指示--パケットと活動フィルタ--ネットワークサーバアドレス--ホストサーバアドレス
Some services may require dynamic allocation of resources. Information about the resources required may not be known during the authentication phase, it may come up later. (e.g., IP Addresses for multi-link bundles) It's also possible that the authorization will change over the time of the session. To provide these there has to be a division of responsibility between the NAS and the AAA server, or a cooperation using a stateful service.
いくつかのサービスがリソースの動的割当てを必要とするかもしれません。 必要であるリソースに関する情報は認証段階の間、知られていないかもしれなくて、それは後で来るかもしれません。 (例えば、マルチリンクバンドルのためのIP Addresses) また、承認がセッションの時間変化するのも、可能です。 これらをそこに提供するのは、NASとAAAサーバの間の責任の分担、またはstatefulサービスを利用する協力でなければなりません。
Such services include:
そのようなサービスは:
- IP Address management
- Concurrent login limitations
- Tunnel usage limitations
- Real-time account expirations
- Call management policies
- IP Address管理--同時発生のログイン制限--用法制限にトンネルを堀ります--リアルタイムのアカウント満期--管理を方針と呼んでください。
In the process of resolving resource information, it may be required that a certain level of service be supplied, and if not available, the request refused, or corrective action taken.
取られたリソース情報、あるレベルのサービスが供給されるのが必要であったかもしれなく、そうでなければ、利用可能であることで、要求が拒否したと決議するか、または修正措置の途中に。
8. IP Network Interaction
8. IPネットワーク相互作用
As the NAS participates in the IP network, it interacts with the routing mechanisms of the network itself. These interactions may also be controlled on a per-user/session basis.
NASがIPネットワークに参加するとき、それはネットワーク自体のルーティングメカニズムと対話します。 また、これらの相互作用はユーザ/セッションベースで制御されるかもしれません。
For example, some input streams may be directed to specific hosts other than the default gateway for the destination subnet. In order to control services within the network provider's infrastructure, some types of packets may be discarded (filtered) before entering the network. These filters could be applied based on examination of destination address and port number. Anti-spoofing packet controls may be applied to disallow traffic sourced from addresses other than what was assigned to the port.
例えば、いくつかの入力ストリームが目的地サブネットのためのデフォルトゲートウェイ以外の特定のホストに向けられるかもしれません。 ネットワーク内の提供者のインフラストラクチャの中でサービスを制御するために、ネットワークに入る前に、何人かのタイプのパケットは捨てられるかもしれません(フィルターにかけられます)。 送付先アドレスとポートナンバーの試験に基づいてこれらのフィルタを適用できました。 反スプーフィングパケットコントロールは、割り当てられたことを除いたアドレスからポートまで出典を明示されたトラフィックを禁じるために適用されるかもしれません。
A NAS may also be an edge router system, and apply Quality of Service (QoS) policies to the packets. This makes it a QOS Policy Enforcement Point [19], [17]. It may learn QOS and other network policies for the user via the AAA service.
NASはまた、縁のルータシステムであり、Service(QoS)方針のQualityをパケットに適用するかもしれません。 これはそれをQOS Policy Enforcement Point[19]、[17]にします。 それはユーザのためにAAAサービスでQOSと他のネットワーク方針を学ぶかもしれません。
Mitton & Beadles Informational [Page 9] RFC 2881 NASreq NAS Model July 2000
[9ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
9. A NAS Model
9. NASモデル
So far we have looked at examples of things that NASes do. The following attempts to define a NAS model that captures the fundamentals of NAS structure to better categorize how it interacts with other network components.
今までのところ、私たちはNASesがすることに関する例を見ました。 NAS構造の原理をより良いとして得るNASモデルを定義する以下の試みはそれがどう他のネットワーク要素と対話するかを分類します。
A Network Access Server is a device which sits on the edge of a network, and provides access to services on that network in a controlled fashion, based on the identity of the user of the network services in question and on the policy of the provider of these services. For the purposes of this document, a Network Access Server is defined primarily as a device which accepts multiple point-to- point [18] links on one set of interfaces, providing access to a routed network or networks on another set of interfaces.
Network Access Serverは管理された方法によるそのネットワーク、および問題のネットワーク・サービスのユーザのアイデンティティに基づいたこれらのサービスのプロバイダーの方針でネットワークの縁に座っていて、サービスへのアクセスを提供するデバイスです。 このドキュメントの目的のために、Network Access Serverは主としてデバイスと定義されます(インタフェースの1セットの複数のポイントからポイント[18]リンクを受け入れます)、もう1セットのインタフェースで発送されたネットワークかネットワークへのアクセスを提供して。
Note that there are many things that a Network Access Server is not. A NAS is not simply a router, although it will typically include routing functionality in it's interface to the network. A NAS is not necessarily a dial access server, although dial access is one common means of network access, and brings its own particular set of requirements to NAS's.
Network Access Serverがそうでない多くのものがあることに注意してください。 NASが単にルータでない、機能性を発送するのを通常含むでしょうが、それはネットワークへのインタフェースです。 NASは必ずダイヤルアクセス・サーバーであるというわけではありません、ダイヤルアクセスが、ネットワークアクセスの1つの一般的な手段であり、それ自身の特定のセットの要件をNASのものにもたらしますが。
A NAS is the first device in the IP network to provide services to an end user, and acts as a gateway for all further services. It is the point at which users are authenticated, access policy is enforced, network services are authorized, network usage is audited, and resource consumption is tracked. That is, a NAS often acts as the policy enforcement point for network AAAA (authentication, authorization, accounting, and auditing) services. A NAS is typically the first place in a network where security measures and policy may be implemented.
NASはエンドユーザに対するサービスを提供するIPネットワークにおける最初のデバイスと、ゲートウェイとしてさらなるすべてのサービスのための行為です。 それはユーザが認証されるポイントです、そして、アクセス方針は励行されます、そして、ネットワーク・サービスは認可されています、そして、ネットワーク用法は監査されます、そして、リソース消費は追跡されます。 すなわち、NASはネットワークAAAA(認証、承認、会計、および監査)サービスのための方針実施ポイントとしてしばしば機能します。 通常、NASは安全策と政策が実施されるかもしれないネットワークで1位です。
9.1 A Reference Model of a NAS
9.1 NASの規範モデル
For reference in the following discussion, a diagram of a NAS, its dependencies, and its interfaces is given below. This diagram is intended as an abstraction of a NAS as a reference model, and is not intended to represent any particular NAS implementation.
以下の議論における参照において、NAS、依存、およびそのインタフェースのダイヤグラムを以下に与えます。 このダイヤグラムは、規範モデルとしてのNASの抽象化として意図して、どんな特定のNAS実装も表すことを意図しません。
Mitton & Beadles Informational [Page 10] RFC 2881 NASreq NAS Model July 2000
[10ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
Users
v v v v v v v
| | PSTN | |
| | or | |
|encapsulated
+-----------------+
| (Modems) |
+-----------------+
| | | | | | |
+--+----------------------------+
| | |
|N | Client Interface |
| | |
|A +----------Routing ----------+
| | |
|S | Network Interface |
| | |
+--+----------------------------+
/ | \
/ | \
/ | \
/ | \
POLICY MANAGEMENT/ | \ DEVICE MANAGEMENT
+---------------+ | +-------------------+
| Authentication| _/^\_ |Device Provisioning|
+---------------+ _/ \_ +-------------------+
| Authorization | _/ \_ |Device Monitoring |
+---------------+ _/ \_ +-------------------+
| Accounting | / The \
+---------------+ \_ Network(s) _/
| Auditing | \_ _/
+---------------+ \_ _/
\_ _/
\_/
ユーザv v v対v v v| | PSTN| | | | または| | |+であるとカプセル化されます。-----------------+ | (モデム) | +-----------------+ | | | | | | | +--+----------------------------+ | | | |N| クライアントインタフェース| | | | |+----------ルート設定----------+ | | | |S| ネットワーク・インターフェース| | | | +--+----------------------------+ / | \ / | \ / | \ / | \政策管理/| \デバイス管理+---------------+ | +-------------------+ | 認証| _/^\_ |デバイスの食糧を供給すること| +---------------+ _/ \_ +-------------------+ | 承認| _/ \_ |デバイスモニター| +---------------+ _/ \_ +-------------------+ | 会計| /は\+です。---------------+ \_ Network(s) _/ | 監査| \_ _/ +---------------+ \_ _/ \_ _/ \_/
9.2 Terminology
9.2 用語
Following is a description of the modules and interfaces in the reference model for a NAS given above:
以下に、以下の上に与えられたNASの規範モデルにおける、モジュールとインタフェースの記述があります。
Client Interfaces - A NAS has one or more client interfaces, which
provide the interface to the end users who are requesting network
access. Users may connect to these client interfaces via modems
over a PSTN, or via tunnels over a data network. Two broad
classes of NAS's may be defined, based on the nature of the
incoming client interfaces, as follows. Note that a single NAS
device may serve in both classes:
クライアントInterfaces--NASには、1つ以上のクライアントインタフェースがあります。(インタフェースはネットワークアクセサリーを要求しているエンドユーザにインタフェースを提供します)。 ユーザはPSTNの上のモデムを通して、または、データ網の上のトンネルを通ってこれらのクライアントインタフェースに接続するかもしれません。 NASの2つの広いクラスが入って来るクライアントインタフェースの自然に基づいて以下の通り定義されるかもしれません。 単一のNASデバイスが両方のクラスに役立つかもしれないことに注意してください:
Mitton & Beadles Informational [Page 11] RFC 2881 NASreq NAS Model July 2000
[11ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
Dial Access Servers - A Dial Access Server is a NAS whose client
interfaces consist of modems, either local or remote, which are
attached to a PSTN.
Access Serversにダイヤルしてください--Dial Access ServerはクライアントインタフェースがPSTNに取り付けられる地方の、または、リモートなモデムから成るNASです。
Tunnel Servers - A Tunnel Server is a NAS whose client interfaces
consists of tunneling endpoints in a protocol such as L2TP
トンネルServers--Tunnel ServerはクライアントインタフェースがL2TPなどのプロトコルのトンネリング終点から成るNASです。
Network Interfaces - A NAS has one or more network interfaces, which
connect to the networks to which access is being granted.
ネットワークInterfaces--NASには、1つ以上のネットワーク・インターフェースがあります。(ネットワーク・インターフェースはアクセスが承諾されているネットワークに接続します)。
Routing - If the network to which access is being granted is a routed
network, then a NAS will typically include routing functionality.
ルート設定--アクセスが承諾されているネットワークが発送されたネットワークであるなら、NASは、機能性を発送するのを通常含むでしょう。
Policy Management Interface - A NAS provides an interface which
allows access to network services to be managed on a per-user
basis. This interface may be a configuration file, a graphical
user interface, an API, or a protocol such as RADIUS, Diameter, or
COPS [19]. This interface provides a mechanism for granular
resource management and policy enforcement.
方針Management Interface--NASはネットワーク・サービスへのアクセスが1ユーザあたり1個のベースで管理されるのを許容するインタフェースを提供します。 このインタフェースは、RADIUS、Diameter、またはCOPS[19]などの構成ファイル、グラフィカルユーザーインターフェース、API、またはプロトコルであるかもしれません。 このインタフェースは粒状の資源管理と方針実施にメカニズムを提供します。
Authentication - Authentication refers to the confirmation that a
user who is requesting services is a valid user of the network
services requested. Authentication is accomplished via the
presentation of an identity and credentials. Examples of types of
credentials are passwords, one-time tokens, digital certificates,
and phone numbers (calling/called).
認証--認証は確認へのサービスがサービスが要求したネットワークの正規ユーザーであるよう要求しているそのaユーザを参照します。 認証はアイデンティティと資格証明書のプレゼンテーションで実行されます。 資格証明書のタイプに関する例は、パスワードと、1回のトークンと、デジタル証明書と、電話番号(呼ぶか、または呼ばれる)です。
Authorization - Authorization refers to the granting of specific
types of service (including "no service") to a user, based on
their authentication, what services they are requesting, and the
current system state. Authorization may be based on restrictions,
for example time-of-day restrictions, or physical location
restrictions, or restrictions against multiple logins by the same
user. Authorization determines the nature of the service which is
granted to a user. Examples of types of service include, but are
not limited to: IP address filtering, address assignment, route
assignment, QoS/differential services, bandwidth control/traffic
management, compulsory tunneling to a specific endpoint, and
encryption.
承認--承認は特定のタイプのサービスの認可(「サービスがありません」を含んでいる)についてユーザに言及します、彼らの認証、それらがどんなサービスを要求しているか、そして、および現在のシステム状態に基づいて。 同じユーザの承認は制限、例えば、時刻制限、物理的な位置の制限、または複数のログインに対する制限に基づいているかもしれません。 承認は承諾されるユーザのサービスの本質を決定します。 含んでいますが、サービスのタイプに関する例は制限されません: IPアドレスフィルタリング、アドレス課題は課題、QoS/特異なサービス、帯域幅コントロール/輸送管理、強制的なトンネリングを特定の終点、および暗号化に発送します。
Accounting - Accounting refers to the tracking of the consumption of
NAS resources by users. This information may be used for
management, planning, billing, or other purposes. Real-time
accounting refers to accounting information that is delivered
concurrently with the consumption of the resources. Batch
accounting refers to accounting information that is saved until it
会計--会計はユーザによるNASリソースの消費の追跡について言及します。 この情報は管理、計画、支払い、または他の目的に使用されるかもしれません。 リアルタイムの会計は同時にリソースの消費によって提供される課金情報を示します。 バッチ会計はそれまで保存される課金情報を示します。
Mitton & Beadles Informational [Page 12] RFC 2881 NASreq NAS Model July 2000
[12ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
is delivered at a later time. Typical information that is
gathered in accounting is the identity of the user, the nature of
the service delivered, when the service began, and when it ended.
後で、提供されます。 会計で集められる典型的な情報がユーザのアイデンティティである、サービスの本質は配送されました、サービスが始まって、終わったとき。
Auditing - Auditing refers to the tracking of activity by users. As
opposed to accounting, where the purpose is to track consumption
of resources, the purpose of auditing is to determine the nature
of a user's network activity. Examples of auditing information
include the identity of the user, the nature of the services used,
what hosts were accessed when, what protocols were used, etc.
監査--監査はユーザによる活動の追跡について言及します。 会計と対照的に、監査の目的はユーザのネットワーク活動の本質を決定することです。そこでは、目的はリソースの消費を追跡することです。 監査の情報に関する例は使用されていた状態でユーザのアイデンティティ、利用されたサービス、どんなホストがアクセスされて、いつ、どんなプロトコルがあったかということであったかに関する自然を含んでいますなど。
AAAA Server - An AAAA Server is a server or servers that provide
authentication, authorization, accounting, and auditing services.
These may be co-located with the NAS, or more typically, are
located on a separate server and communicate with the NAS's User
Management Interface via an AAAA protocol. The four AAAA
functions may be located on a single server, or may be broken up
among multiple servers.
AAAA Server--AAAA Serverは認証、承認、会計、および監査のサービスを提供するサーバかサーバです。 これらは、NASと共に、より典型的に共同位置していて、別々のサーバに位置していて、AAAAプロトコルでNASのUser Management Interfaceとコミュニケートするかもしれません。 4つのAAAA機能が、ただ一つのサーバに位置しているか、または複数のサーバの中で終えられるかもしれません。
Device Management Interface - A NAS is a network device which is
owned, operated, and managed by some entity. This interface
provides a means for this entity to operate and manage the NAS.
This interface may be a configuration file, a graphical user
interface, an API, or a protocol such as SNMP [20].
デバイスManagement Interface--NASは何らかの実体によって所有されて、操作されて、管理されるネットワークデバイスです。 このインタフェースはこの実体がNASを操作して、管理する手段を提供します。 このインタフェースは、SNMP[20]などの構成ファイル、グラフィカルユーザーインターフェース、API、またはプロトコルであるかもしれません。
Device Monitoring - Device monitoring refers to the tracking of
status, activity, and usage of the NAS as a network device.
デバイスMonitoring--デバイスモニターはNASの状態、活動、および使用法の追跡についてネットワークデバイスに言及します。
Device Provisioning - Device provisioning refers to the
configurations, settings, and control of the NAS as a network
device.
デバイスProvisioning--デバイスの食糧を供給するのはNASの構成、設定、およびコントロールをネットワークデバイスと呼びます。
9.3 Analysis
9.3 分析
Following is an analysis of the functions of a NAS using the reference model above:
以下に、以下の上にNASの機能の分析が、規範モデルを使用することであります。
9.3.1 Authentication and Security
9.3.1 認証とセキュリティ
NAS's serve as the first point of authentication for network users, providing security to user sessions. This security is typically performed by checking credentials such as a PPP PAP user name/password pair or a PPP CHAP user name and challenge/response, but may be extended to authentication via telephone number information, digital certificates, or biometrics. NAS's also may authenticate themselves to users. Since a NAS may be shared among multiple administrative entities, authentication may actually be performed via a back-end proxy, referral, or brokering process.
ユーザセッションまでセキュリティを提供するネットワーク利用者のための認証の最初のポイントとしてのNASのサーブ。 このセキュリティは、電話番号情報、デジタル証明書、または生体認証で認証に広げられるかもしれないのを除いて、PPP PAPユーザ名前/パスワード組かPPP CHAPユーザ名や挑戦/応答などの資格証明書をチェックすることによって、通常実行されます。 また、NASのものはユーザに自分たちを認証するかもしれません。 NASが複数の管理実体の中で共有されるかもしれないので、バックエンドプロキシ、紹介、またはプロセスを仲介することを通して認証は実際に実行されるかもしれません。
Mitton & Beadles Informational [Page 13] RFC 2881 NASreq NAS Model July 2000
[13ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
In addition to user security, NAS's may themselves be operated as secure devices. This may include secure methods of management and monitoring, use of IP Security [21] and even participation in a Public Key Infrastructure.
ユーザセキュリティに加えてNASのものがそうするかもしれない、自分たち、安全なデバイスとして、操作されてください。 これは公開鍵暗号基盤に管理とモニターの安全なメソッド、IP Security[21]と参加のさえ使用を含むかもしれません。
9.3.2 Authorization and Policy
9.3.2 承認と方針
NAS's are the first point of authorization for usage of network resources, and NAS's serve as policy enforcement points for the services that they deliver to users. NAS's may provision these services to users in a statically or dynamically configured fashion. Resource management can be performed at a NAS by granting specific types of service based on the current network state. In the case of shared operation, NAS policy may be determined based on the policy of multiple end systems.
NASのものは、ネットワーク資源の使用法のための承認の最初のポイントと、方針実施ポイントとしてそれらがユーザに提供するサービスのためのNASのサーブです。 NASのものはこれらが静的かダイナミックに構成されたファッションでユーザに修理する支給がそうするかもしれません。 NASで現在のネットワーク状態に基づく特定のタイプのサービスを承諾することによって、資源管理を実行できます。 共有された操作の場合では、複数のエンドシステムの方針に基づいてNAS方針は決定しているかもしれません。
9.3.3 Accounting and Auditing
9.3.3 会計学と会計監査学
Since NAS services are consumable resources, usage information must often be collected for the purposes of soft policy management, reporting, planning, and accounting. A dynamic, real-time view of NAS usage is often required for network auditing purposes. Since a NAS may be shared among multiple administrative entities, usage information must often be delivered to multiple endpoints. Accounting is performed using such protocols as RADIUS [2].
NASサービスが消費可能資源であるので、柔らかい政策管理、報告、計画、および会計の目的のためにしばしば用法情報を集めなければなりません。 NAS用法のダイナミックで、リアルタイムの視点が目的を監査するネットワークにしばしば必要です。 NASが複数の管理実体の中で共有されるかもしれないので、しばしば用法情報を複数の終点に提供しなければなりません。 会計は、RADIUS[2]のようなプロトコルを使用することで実行されます。
9.3.4 Resource Management
9.3.4 資源管理
NAS's deliver resources to users, often in a dynamic fashion. Examples of the types of resources doled out by NAS's are IP addresses, network names and name server identities, tunnels, and PSTN resources such as phone lines and numbers. Note that NAS's may be operated in a outsourcing model, where multiple entities are competing for the same resources.
NASのものはしばしばダイナミックなファッションでリソースをユーザに提供します。 NASのものによって分け与えられたリソースのタイプに関する例は、電話回線や数などのIPアドレスと、ネットワーク名と、ネームサーバのアイデンティティと、トンネルと、PSTNリソースです。 NASのものがアウトソーシングモデルで操作されるかもしれないことに注意してください。(そこでは、複数の実体が同じリソースを競争しています)。
9.3.5 Virtual Private Networks (VPN's)
9.3.5 仮想私設網(VPNのもの)
NAS's often participate in VPN's, and may serve as the means by which VPN's are implemented. Examples of the use of NAS's in VPN's are: Dial Access Servers that build compulsory tunnels, Dial Access Servers that provide services to voluntary tunnelers, and Tunnel Servers that provide tunnel termination services. NAS's may simultaneously provide VPN and public network services to different users, based on policy and user identity.
NASのものは、しばしばVPNのものに参加して、VPNのものが実装される手段として機能するかもしれません。 VPNのものにおけるNASのものの使用に関する例は以下の通りです。 強制的なトンネルを建設するAccess Servers、自発的のtunnelersに対するサービスを提供するDial Access Servers、およびトンネル終了サービスを提供するTunnel Serversにダイヤルしてください。 NASのものは同時に、方針とユーザのアイデンティティに基づいて異なったユーザに対するサービスをVPNと公衆通信回線に供給するかもしれません。
Mitton & Beadles Informational [Page 14] RFC 2881 NASreq NAS Model July 2000
[14ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
9.3.6 Service Quality
9.3.6 サービス品質
A NAS may delivery different qualities, types, or levels of service to different users based on policy and identity. NAS's may perform bandwidth management, allow differential speeds or methods of access, or even participate in provisioned or signaled Quality of Service (QoS) networks.
NASは方針とアイデンティティに基づく異なったユーザに対する配送の異なった品質、タイプ、またはレベルのサービスがそうするかもしれません。 NASのものは、帯域幅管理を実行するか、特異な速度かアクセスのメソッドを許容するか、またはService(QoS)ネットワークの食糧を供給されたか合図されたQualityに参加さえするかもしれません。
9.3.7 Roaming
9.3.7 ローミング
NAS's are often operated in a shared or outsourced manner, or a NAS operator may enter into agreements with other service providers to grant access to users from these providers (roaming operations). NAS's often are operated as part of a global network. All these imply that a NAS often provides services to users from multiple administrative domains simultaneously. The features of NAS's may therefore be driven by requirements of roaming [22].
NASのものが共有されたか社外調達された方法でしばしば操作されるか、またはNASオペレータは、これらのプロバイダー(ローミング操作)からユーザへのアクセスを承諾するために他のサービスプロバイダーとの協定に入るかもしれません。 NASのものは世界的なネットワークの一部としてしばしば操作されます。 これらは、NASが同時に複数の管理ドメインからユーザに対するサービスをしばしば提供するのを含意します。 したがって、NASの特徴はローミング[22]の要件によって動かされるかもしれません。
10. Security Considerations
10. セキュリティ問題
This document describes a model not a particular solution.
このドキュメントは特殊解ではなく、モデルについて説明します。
As mentioned in section 9.3.1 and elsewhere, NAS'es are concerned about the security of several aspects of their operation, including:
セクション9.3.1とほかの場所に言及されるように、NAS'esは彼らの操作、包含のいくつかの局面のセキュリティに関して心配しています:
- Providing sufficiently robust authentication techniques as
required by network policies,
- NAS authentication of configured authentication server(s),
- Server ability to authenticate configured clients,
- Hiding of the authentication information from network snooping
to protect from attacks and provide user privacy,
- Protecting the integrity of message exchanges from attacks
such as; replay, or man-in-the middle,
- Inability of other hosts to interfere with services authorized
to NAS, or gain unauthorized services,
- Inability of other hosts to probe or guess at authentication
information.
- Protection of NAS system configuration and administration from
unauthorized users
- Protection of the network from illegal packets sourced by
accessing connections
- テクニックが必要に応じて方針--構成された認証サーバのNAS認証--攻撃から交換処理の保全を保護しながら構成されたクライアント(攻撃から保護して、ユーザプライバシーを提供するネットワーク詮索からの認証情報の隠れること)を認証するサーバ能力をネットワークでつなぐ十分体力を要している認証を提供します。 再生、中の配置、中央--他のホストがサービスを妨げることができないことは権限のないサービスをNAS、または利得に認可しました--他のホストが認証情報を調べることができないか、推測できないこと。 - 権限のないユーザからのNASシステム構成と管理の保護--接続にアクセスすることによって出典を明示された不法なパケットからのネットワークの保護
Mitton & Beadles Informational [Page 15] RFC 2881 NASreq NAS Model July 2000
[15ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
11. References
11. 参照
[1] Rigney, C., Willens, S., Rubens, A. and W. Simpson, "Remote
Authentication Dial In User Service (RADIUS)", RFC 2865, June
2000.
[1]RigneyとC.とウィレンスとS.とルーベン、A.とW.シンプソン、「ユーザサービス(半径)におけるリモート認証ダイヤル」RFC2865(2000年6月)。
[2] Rigney, C., "RADIUS Accounting", RFC 2866, June 2000.
[2]Rigney、C.、「半径会計」、RFC2866、2000年6月。
[3] Calhoun, P., "Diameter Base Protocol", Work in Progress.
[3] カルフーン、P.、「直径基地のプロトコル」が進行中で働いています。
[4] Zorn, G., "Yet Another Authentication Protocol (YAAP)", Work in
Progress.
[4] ゾルン、G.、「しかし、別の認証プロトコル(YAAP)」が進行中で働いています。
[5] Mamakos, L., Lidl, K., Evarts, K., Carrel, D., Simone, D. and R.
Wheeler, "A Method for Transmitting PPP Over Ethernet (PPPoE)",
RFC 2516, February 1999.
[5]MamakosとL.とLidlとK.とエバーツとK.と個人閲覧室とD.とシモンとD.とR.ウィーラー、「イーサネット(PPPoE)の上にpppを伝えるためのメソッド」、RFC2516、1999年2月。
[6] Valencia, A., Littlewood, M. and T. Kolar, "Cisco Layer Two
Forwarding (Protocol) L2F", RFC 2341, May 1998.
[6] バレンシア、A.、リトルウッド、M.、およびT.コラール(「コクチマス層Twoの推進(プロトコル)L2F」、RFC2341)は1998がそうするかもしれません。
[7] Hamzeh, K., "Ascend Tunnel Management Protocol - ATMP", RFC
2107, February 1997.
[7]Hamzeh、K.、「トンネル管理プロトコルを昇ってください--ATMP」、RFC2107、2月1997日
[8] Valencia, A., Townsley, W., Rubens, A., Pall, G., Zorn, G., and
B. Palter, "Layer Two Tunneling Protocol (L2TP)", RFC 2661,
August 1999.
[8] バレンシア、A.、Townsley、W.、ルーベン、A.、祭服、G.、ゾルン、G.、およびB.はあしらわれます、「層Twoはプロトコル(L2TP)にトンネルを堀っ」て、RFC2661、1999年8月。
[9] Zorn, G., Leifer, D., Rubens, A., Shriver, J. and M. Holdrege,
"RADIUS Attributes for Tunnel Protocol Support", RFC 2868, June
2000.
[9]ゾルン、G.、ライファー、D.、ルーベン、A.、シュライバー、J.、およびM.Holdrege、「トンネルへの半径属性はサポートについて議定書の中で述べます」、RFC2868、2000年6月。
[10] Zorn, G., Aboba, B. and D. Mitton, "RADIUS Accounting
Modifications for Tunnel Protocol Support", RFC 2867, June 2000.
[10] ゾルンとG.とAbobaとB.とD.ミットン、「トンネルプロトコルサポートのための半径会計変更」、RFC2867、2000年6月。
[11] Aboba, B. and G. Zorn, "Implementation of PPTP/L2TP Compulsory
Tunneling via RADIUS", RFC 2809, April 2000.
[11]AbobaとB.とG.ゾルン、「RADIUSを通したPPTP/L2TPコンパルソリーTunnelingの実装」、RFC2809、2000年4月。
[12] Simpson, W., "PPP Challenge Handshake Authentication Protocol
(CHAP)", RFC 1994, August 1996.
[12] シンプソン、W.、「pppチャレンジハンドシェイク式認証プロトコル(やつ)」、RFC1994、1996年8月。
[13] Zorn, G. and S. Cobb, "Microsoft PPP CHAP Extensions", RFC 2433,
March 1998.
[13] ゾルンとG.とS.コッブ、「マイクロソフトpppやつ拡大」、RFC2433、1998年3月。
[14] Blunk, L. and J. Vollbrecht, "PPP Extensible Authentication
Protocol (EAP)", RFC 2284, March 1998.
[14]BlunkとL.と1998年のJ.Vollbrecht、「ppp拡張認証プロトコル(EAP)」、RFC2284行進。
[15] Calhoun, et al., "Extensible Authentication Protocol Support in
RADIUS", Work in Progress.
[15] カルフーン、他、「半径における拡張認証プロトコルサポート」、ProgressのWork。
Mitton & Beadles Informational [Page 16] RFC 2881 NASreq NAS Model July 2000
[16ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
[16] Aboba, B. and M. Beadles, "The Network Access Identifier", RFC
2486, January 1999.
[16]AbobaとB.とM.用務員、「ネットワークアクセス識別子」、RFC2486、1999年1月。
[17] Braden, R., Zhang, L., Berson, S., Herzog, S. and S. Jamin,
"Resource ReSerVation Protocol (RSVP) Version 1 Functional
Specification", RFC 2205, September 1997.
[17] ブレーデンとR.とチャンとL.とBersonとS.とハーツォグとS.とS.ジャマン、「資源予約プロトコル(RSVP)バージョン1の機能的な仕様」、RFC2205、1997年9月。
[18] Simpson, W., Editor, "The Point-to-Point Protocol (PPP)", STD
51, RFC 1661, July 1994.
[18] シンプソン、W.、エディタ、「二地点間プロトコル(ppp)」、STD51、RFC1661、1994年7月。
[19] Boyle, J., Cohen, R., Durham, D., Herzog, S., Raja, R. and A.
Sastry. "The COPS (Common Open Policy Service) Protocol", RFC
2748, January 2000.
[19]ボイル、J.、コーエン、R.、ダラム、D.、ハーツォグ、S.、王侯、R.、およびA.Sastry。 「巡査(一般的なオープンポリシーサービス)は議定書を作る」RFC2748、2000年1月。
[20] Case, J., Fedor, M., Schoffstall, M. and J. Davin. "A Simple
Network Management Protocol (SNMP)", STD 15, RFC 1157, May 1990.
[20] ケース、J.、ヒョードル、M.、Schoffstall、M.、およびJ.デーヴィン。 「簡単なネットワーク管理プロトコル(SNMP)」(STD15、RFC1157)は1990がそうするかもしれません。
[21] Atkinson, R. and S. Kent, "Security Architecture for the
Internet Protocol", RFC 2401, November 1998.
[21] アトキンソンとR.とS.ケント、「インターネットプロトコルのためのセキュリティー体系」、RFC2401、1998年11月。
[22] Aboba, Zorn, "Dialup Roaming Requirements", Work in Progress.
[22] ゾルン、「ダイアルアップローミング要件」というAbobaは進行中で働いています。
12. Acknowledgments
12. 承認
This document is a synthesis of my earlier draft and Mark Beadles' NAS Reference Model draft.
このドキュメントは私の以前の草稿とマークBeadlesのNAS Reference Model草稿の統合です。
13. Authors' Addresses
13. 作者のアドレス
David Mitton Nortel Networks 880 Technology Park Drive Billerica, MA 01821
Driveビルリカ、デヴィッドミットンノーテルネットワーク880技術Park MA 01821
Phone: 978-288-4570 EMail: dmitton@nortelnetworks.com
以下に電話をしてください。 978-288-4570 メールしてください: dmitton@nortelnetworks.com
Mark Beadles SmartPipes Inc. 545 Metro Place South Suite 100 Dublin, OH 43017
ダブリン、マーク用務員SmartPipes Inc.545の地下鉄の場所の南Suite100OH 43017
Phone: 614-327-8046 EMail: mbeadles@smartpipes.com
以下に電話をしてください。 614-327-8046 メールしてください: mbeadles@smartpipes.com
Mitton & Beadles Informational [Page 17] RFC 2881 NASreq NAS Model July 2000
[17ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
14. Appendix - Acronyms and Glossary:
14. 付録--頭文字語と用語集:
AAA - Authentication, Authorization, Accounting, The three primary services required by a NAS server or protocol.
AAA--認証、Authorization、Accounting、3つの一次業務がNASサーバかプロトコルが必要です。
NAS - Network Access Server, a system that provides access to a network. In some cases also know as a RAS, Remote Access Server.
NAS--Access Server、ネットワークへのアクセスを提供するシステムをネットワークでつないでください。 Remote Access Server、いくつかの場合また、RASとして、知ってください。
CLI - Command Line Interface, an interface to a command line service for use with an common asynchronous terminal facility.
CLI--一般的な非同期な端末の施設で使用のためのコマンドラインサービスに線Interface、インタフェースを命令してください。
SLIP - Serial Line Internet Protocol, an IP-only serial datalink, predecessor to PPP.
SLIP--シリアル回線インターネット・プロトコル、IPだけの連続のデータリンク、PPPへの前任者。
PPP - Point-to-Point Protocol; a serial datalink level protocol that supports IP as well as other network protocols. PPP has three major states of operation: LCP - Link layer Control Protocol, Authentication, of which there are several types (PAP, CHAP, EAP), and NCP - Network layer Control Protocol, which negotiates the network layer parameters for each of the protocols in use.
ppp--二地点間プロトコル。 他のネットワーク・プロトコルと同様にIPをサポートするデータリンクの連続のレベルプロトコル。 PPPには、操作の3つの主要な州があります: LCP--LinkはControlプロトコル、Authentication(PAP、CHAP、EAP)、およびNCPを層にします--ネットワーク層Controlプロトコル(それぞれのプロトコルのためのネットワーク層パラメタを使用中に交渉するもの)。そこには、いくつかのタイプがあります。
IPX - Novell's NetWare transport protocol
IPX--ノベルのNetWareトランスポート・プロトコル
NETBEUI - A Microsoft/IBM LAN protocol used by Microsoft file services and the NETBIOS applications programming interface.
NETBEUI--マイクロソフトファイルサービスで使用されるマイクロソフト/IBM LANプロトコルとNETBIOSアプリケーションソフトのプログラミングは連結します。
ARAP - AppleTalk Remote Access Protocol
アラップ--AppleTalk遠隔アクセスプロトコル
LAT - Local Area Transport; a Digital Equipment Corp. LAN protocol for terminal services.
LAT--局部輸送。 ターミナルサービスのためのディジタル・イクイップメント社LANプロトコル。
PPPoe - PPP over Ethernet; a protocol that forwards PPP frames on an LAN infrastructure. Often used to aggregate PPP streams at a common server bank.
PPPoe(イーサネットの上のppp) PPPを進めるプロトコルはLANインフラストラクチャで縁どられます。 一般的なサーバ銀行でPPPストリームに集めるのにおいてしばしば使用されています。
VPN - Virtual Private Network; a term for networks that appear to be private to the user by the use of tunneling techniques.
VPN--仮想私設網。 ユーザにとってトンネリングのテクニックの使用で個人的であるように見えるネットワークのための用語。
FR - Frame Relay, a synchronous WAN protocol and telephone network intraconnect service.
FR--Relay、同期WANプロトコル、および電話網intraconnectサービスを縁どってください。
PSVC - Permanent Switched Virtual Circuit - a service which delivers an virtual permanent circuit by a switched network.
PSVC--永久的なSwitched Virtual Circuit--交換網で仮想の永久的な回路を提供するサービス。
PSTN - Public Switched Telephone Network
PSTN--公衆電話交換網
Mitton & Beadles Informational [Page 18] RFC 2881 NASreq NAS Model July 2000
[18ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
ISDN - Integrated Services Digital Network, a telephone network facility for transmitting digital and analog information over a digital network connection. A NAS may have the ability to receive the information from the telephone network in digital form.
ISDN--統合Services Digital Network(デジタルでアナログの情報をディジタル通信網接続の上に伝えるための電話網施設)。 NASには、電話網からデジタル方式で知らせを聞く能力があるかもしれません。
ISP - Internet Service Provider; a provider of Internet access (also Network Service Provider, NSP).
ISP--インターネットサービスプロバイダ。 インターネット・アクセス(Network Service Providerも、NSP)のプロバイダー。
BRI - Basic Rate Interface; a digital telephone interface.
BRI--基本料金インタフェース。 デジタル電話機インタフェース。
PRI - Primary Rate Interface; a digital telephone interface of 64K bits per second.
PRI--1次群速度インタフェース。 64Kのbpsのデジタル電話機インタフェース。
T1 - A digital telephone interface which provides 24-36 channels of PRI data and one control channel (2.048 Mbps).
T1--24-36 PRIデータのチャンネルを提供するデジタル電話機インタフェースと1個の制御チャンネル(2.048Mbps)。
T3 - A digital telephone interface which provides 28 T1 services. Signalling control for the entire connection is provided on a dedicated in-band channel.
T3--28のT1サービスを提供するデジタル電話機インタフェース。 バンドのひたむきなチャンネルで全体の接続のための合図コントロールを提供します。
NFAS - Non-Facility Associated Signaling, a telephone network protocol/service for providing call information on a separate wire connection from the call itself. Used with multiple T1 or T3 connections.
NFAS--非施設Associated Signaling(呼び出し自体から別々の結線の呼び出し情報を提供するための電話網プロトコル/サービス)。 複数のT1かT3接続と共に使用されています。
SS7 - A telephone network protocol for communicating call supervision information on a separate data network from the voice network.
SS7--声のネットワークから別々のデータ網の呼び出し指揮情報を伝えるための電話ネットワーク・プロトコル。
POP - Point Of Presence; a geographic location of equipment and interconnection to the network. An ISP typically manages all equipment in a single POP in a similar manner.
飛び出してください--存在のポイント ネットワークとの設備とインタコネクトの地理的な位置。 ISPは同じように単一のPOPでのすべての設備を通常管理します。
VSA - Vendor Specific Attributes; RADIUS attributes defined by vendors using the provision of attribute 26.
VSA--ベンダーの特定の属性。 属性26の支給を使用することでベンダーによって定義されたRADIUS属性。
Mitton & Beadles Informational [Page 19] RFC 2881 NASreq NAS Model July 2000
[19ページ]RFC2881NASreq NASモデル2000年7月の情報のミットンと用務員
15. Full Copyright Statement
15. 完全な著作権宣言文
Copyright (C) The Internet Society (2000). All Rights Reserved.
Copyright(C)インターネット協会(2000)。 All rights reserved。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
それに関するこのドキュメントと翻訳は、コピーして、それが批評するか、またはそうでなければわかる他のもの、および派生している作品に提供するか、または準備されているかもしれなくて、コピーされて、発行されて、全体か一部分配された実装を助けるかもしれません、どんな種類の制限なしでも、上の版権情報とこのパラグラフがそのようなすべてのコピーと派生している作品の上に含まれていれば。 しかしながら、このドキュメント自体は何らかの方法で変更されないかもしれません、インターネット協会か他のインターネット組織の版権情報か参照を取り除くのなどように、それを英語以外の言語に翻訳するのが著作権のための手順がインターネットStandardsプロセスで定義したどのケースに従わなければならないか、必要に応じてさもなければ、インターネット標準を開発する目的に必要であるのを除いて。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上に承諾された限られた許容は、永久であり、インターネット協会、後継者または案配によって取り消されないでしょう。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとそして、「そのままで」という基礎とインターネットの振興発展を目的とする組織に、インターネット・エンジニアリング・タスク・フォースが速達の、または、暗示しているすべての保証を放棄するかどうかというここにことであり、他を含んでいて、含まれて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるという情報か市場性か特定目的への適合性のどんな黙示的な保証。
Acknowledgement
承認
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。
Mitton & Beadles Informational [Page 20]
ミットンと用務員、情報[20ページ]
一覧
スポンサーリンク
