Network Working Group D. Mitton
Request for Comments: 2881 Nortel Networks
Category: Informational M. Beadles
SmartPipes Inc.
July 2000
Network Access Server Requirements Next Generation (NASREQNG)
NAS Model
Status of this Memo
このメモの位置付け
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。それはどんな種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2000). All Rights Reserved.
著作権(C)インターネット協会(2000)。全著作権所有。
Abstract
抽象
This document describes the terminology and gives a model of typical Network Access Server (NAS). The purpose of this effort is to set the reference space for describing and evaluating NAS service protocols, such as RADIUS (RFCs 2865, 2866) [1], [2] and follow-on efforts like AAA Working Group, and the Diameter protocol [3]. These are protocols for carrying user service information for authentication, authorization, accounting, and auditing, between a Network Access Server which desires to authenticate its incoming calls and a shared authentication server.
この文書では、専門用語を説明し、一般的なネットワーク・アクセス・サーバ(NAS)のモデルを提供します。この取り組みの目的は、このようなRADIUS(のRFC 2865、2866年)などのNASサービスプロトコルを記述し、評価するための基準空間を設定することである[1]、[2]及び後続のAAAワーキンググループ等の努力、およびDiameterプロトコル[ 3]。これらは、その着信コールと共有認証サーバーを認証することを希望するネットワークアクセスサーバーの間で、認証、許可、アカウンティング、および監査のためのユーザサービス情報を運ぶためのプロトコルです。
Table of Contents
目次
1. INTRODUCTION...................................................2
1.1 Scope of this Document ......................................2
1.2 Specific Terminology ........................................3
2. NETWORK ACCESS SYSTEM EQUIPMENT ASSUMPTIONS....................3
3. NAS SERVICES...................................................4
4. AUTHENTICATION, AUTHORIZATION AND ACCOUNTING (AAA) SERVERS.....5
5. TYPICAL NAS OPERATION SEQUENCE:................................5
5.1 Characteristics of Systems and Sessions: ....................6
5.2 Separation of NAS and AAA server functions ..................7
5.3 Network Management and Administrative features ..............7
6. AUTHENTICATION METHODS.........................................8
7. SESSION AUTHORIZATION INFORMATION..............................8
8. IP NETWORK INTERACTION.........................................9
9. A NAS MODEL...................................................10
9.1 A Reference Model of a NAS .................................10
9.2 Terminology ................................................11
9.3 Analysis ...................................................13
9.3.1 Authentication and Security .............................13
9.3.2 Authorization and Policy ................................14
9.3.3 Accounting and Auditing .................................14
9.3.4 Resource Management .....................................14
9.3.5 Virtual Private Networks (VPN's) ........................14
9.3.6 Service Quality .........................................15
9.3.7 Roaming .................................................15
10. SECURITY CONSIDERATIONS......................................15
11. REFERENCES ..................................................16
12. ACKNOWLEDGMENTS..............................................17
13. AUTHORS' ADDRESSES ..........................................17
14. APPENDIX - ACRONYMS AND GLOSSARY:............................18
15. FULL COPYRIGHT STATEMENT.....................................20
A Network Access Server is the initial entry point to a network for the majority of users of network services. It is the first device in the network to provide services to an end user, and acts as a gateway for all further services. As such, its importance to users and service providers alike is paramount. However, the concept of a Network Access Server has grown up over the years without being formally defined or analyzed [4].
ネットワーク・アクセス・サーバは、ネットワークサービスのユーザーの大多数のためのネットワークへの最初のエントリポイントです。これは、エンドユーザにサービスを提供するために、ネットワーク内の最初のデバイスであり、全ての更なるサービスのゲートウェイとして機能します。そのため、ユーザーとサービスプロバイダへの重要性を問わず、非常に重要です。ただし、ネットワークアクセスサーバの概念が正式に定義されるか、または[4]に分析されることなく、数年かけて成長してきました。
There are several tradeoffs taken in this document. The purpose of this document is to describe a model for evaluating NAS service protocols. It will give examples of typical NAS hardware and software features, but these are not to be taken as hard limitations of the model, but merely illustrative of the points of discussion. An important goal of the model is to offer a framework that allows further development and expansion of capabilities in NAS implementation.
この文書で撮影したいくつかのトレードオフがあります。このドキュメントの目的は、NASサービスプロトコルを評価するためのモデルを記述することです。これは、一般的なNASのハードウェアとソフトウェアの機能の例を与えるだろうが、これらはモデルのハード制限として解釈されるべきではないが、議論のポイントを単に例示します。モデルの重要な目標は、さらなる発展とNASの実装における機能の拡張を可能にするフレームワークを提供することです。
As with most IETF projects, the focus is on standardizing the protocol interaction between the components of the system. The documents produced will not address the following areas:
最もIETFプロジェクトと同様に、焦点は、システムの構成要素間のプロトコル相互作用を標準化にあります。作成されたドキュメントは、以下の分野に対処しません。
- AAA server back-end implementation is abstracted and not prescribed. The actual organization of the data in the server, its internal interfaces, and capabilities are left to the implementation.
- AAAサーバのバックエンドの実装は、抽象化と規定されていません。サーバ内のデータの実際の組織は、その内部インターフェイス、および機能は実装に委ねられます。
- NAS front-end call technology is not assumed to be static. Alternate and new technology will be accommodated. The resultant protocol specifications must be flexible in design to allow for new technologies and services to be added with minimal impact on existing implementations.
- NASフロントエンドコール技術は、静的であると想定されていません。代替と新技術が適応されます。その結果、プロトコル仕様は既存の実装への影響を最小限に抑えながら、追加する新しい技術とサービスを可能にする設計に柔軟でなければなりません。
The following terms are used in this document in this manner: A "Call" - the initiation of a network service request to the NAS. This can mean the arrival of a telephone call via a dial-in or switched telephone network connection, or the creation of a tunnel to a tunnel server which becomes a virtual NAS. A "Session" - is the NAS provided service to a specific authorized user entity.
以下の用語は、このように、本書で使用されます:「コール」 - NASへのネットワークサービス要求の開始を。これは、ダイヤルイン経由で電話の着信を意味するか、電話ネットワーク接続、または仮想NASなっトンネルサーバへのトンネルの作成を切り替えることができます。 「セッション」 - NASは、特定の許可されたユーザエンティティにサービスを提供しています。
A typical hardware-based NAS is implemented in a constrained system. It is important that the NAS protocols don't assume unlimited resources on the part of the platform. The following are typical constraints:
典型的なハードウェアベースのNASは、拘束システムに実装されています。 NASプロトコルは、プラットフォームの一部に無制限のリソースを前提としないことが重要です。以下の典型的な制約です。
- A computer system of minimal to moderate performance (example processors: Intel 386 or 486, Motorola 68000) - A moderate amount, but not large RAM (typically varies with supported # of ports 1MB to 8MB) - Some small amount of non-volatile memory, and/or way to be configured out-of-band - No assumption of a local file system or disk storage
- 中程度の性能に最小限のコンピュータシステム(例えばプロセッサ:68000インテル386または486、モトローラ) - 中程度の量ではなく、大きなRAMは、(典型的には、8メガバイトのポート1メガバイトのサポート#に応じて変化する) - 不揮発性のいくつかの少量メモリ、および/またはアウトオブバンド構成する方法 - ローカルファイルシステムの仮定またはディスク・ストレージ
A NAS system may consist of a system of interconnected specialized processor system units. Typically they may be circuit boards (or blades) that are arrayed in a card cage (or chassis) and referred to by their position (i.e., slot number). The bus interconnection methods are typically proprietary and will not be addressed here.
NASシステムは、相互接続された特殊なプロセッサ・システム・ユニットのシステムからなってもよいです。典型的には、カードケージ(シャーシ)に配列し、それらの位置(即ち、スロット番号)によって参照される回路基板(又はブレード)であってもよいです。バスの相互接続方法は、典型的には独自のもので、ここで取り上げされることはありません。
A NAS is sometimes referred to as a Remote Access Server (RAS) as it typically allows remote access to a network. However, a more general picture is that of an "Edge Server", where the NAS sits on the edge of an IP network of some type, and allows dynamic access to it.
NASは、時にはそれは、典型的には、ネットワークへのリモートアクセスを可能にするようにリモートアクセスサーバ(RAS)と呼ばれます。しかし、より一般的な画像は、NASは、いくつかのタイプのIPネットワークの端に座って、それへの動的アクセスを可能にする「エッジサーバー」のことです。
Such systems typically have;
このようなシステムは、一般的に持っています。
- At least one LAN or high performance network interface (e.g., Ethernet, ATM, FR)
- 少なくとも1つのLANまたは高速ネットワークインターフェース(例えば、イーサネット、ATM、FR)
- At least one, but typically many, serial interface ports, which could be; - serial RS232 ports direct wired or wired to a modem, or - have integral hardware or software modems (V.22bis,V.32, V.34, X2, Kflex, V.90, etc.) - have direct connections to telephone network digital WAN lines (ISDN, T1, T3, NFAS, or SS7) - an aggregation of xDSL connections or PPPoe sessions [5].
- 少なくとも1つの、典型的には多くの、シリアルインタフェースポートは、することができました。 - シリアルRS232ポート直接有線またはモデムに配線、又は - 積分ハードウェアまたはソフトウェアモデム(V.22bis、V.32、V.34、X2、Kflex、V.90、等)を有する - 電話への直接接続を有しますネットワークデジタルWAN回線(ISDN、T1、T3、NFAS、またはSS7) - のxDSL接続またはPPPoEセッションの集合[5]。
However, systems may perform some of the functions of a NAS, but not have these kinds of hardware characteristics. An example would be a industry personal computer server system, that has several modem line connections. These lines will be managed like a dedicated NAS, but the system itself is a general file server. Likewise, with the development of tunneling protocols (L2F [6], ATMP [7], L2TP [8]), tunnel server systems must behave like a "virtual" NAS, where the calls come from the network tunneled sessions and not hardware ports ([11], [9], [10]).
しかし、システムは、NASの機能の一部を実行するが、ハードウェア特性のこれらの種類を有していなくてもよいです。例では、複数のモデム回線の接続があり、業界のパーソナルコンピュータ・サーバ・システム、でしょう。これらの行は、専用のNASのように管理されますが、システム自体は、一般的なファイルサーバです。同様に、トンネリングプロトコルの開発を(L2TP、[7] ATMP、[6] L2F [8])、トンネル・サーバ・システムはコールがネットワークから来る「仮想」NAS、のように動作しなければならないセッションはなく、ハードウェアポートをトンネリング([11]、[9]、[10])。
The core of what a NAS provides, are dynamic network services. What distinguishes a NAS from a typical routing system, is that these services are provided on a per-user basis, based on an authentication and the service is accounted for. This accounting may lead to policies and controls to limit appropriate usage to levels based on the availability of network bandwidth, or service agreements between the user and the provider.
NASが提供するもののコアは、動的なネットワークサービスです。どのような、典型的なルーティングシステムからNASを区別することは、これらのサービスは、認証に基づいて、ユーザーごとに提供され、サービスが計上されていることです。この会計は、ネットワーク帯域幅、またはユーザーとプロバイダ間のサービス契約の利用可能性に基づいて、レベルに適切な使用を制限するポリシーとコントロールにつながる可能性があります。
Typical services include:
典型的なサービスが含まれます:
- dial-up or direct access serial line access; Ability to access the network using a the public telephone network. - network access (SLIP, PPP, IPX, NETBEUI, ARAP); The NAS allows the caller to access the network directly. - asynchronous terminal services (Telnet, Rlogin, LAT, others); The NAS implements the network protocol on behalf of the caller, and presents a terminal interface. - dial-out connections; Ability to cause the NAS to initiate a connection over the public telephone network, typically based on the arrival of traffic to a specific network system. - callback (NAS generates call to caller); Ability to cause the NAS to reverse or initiate a network connection based on the arrival of a dial-in call. - tunneling (from access connection to remote server); The NAS transports the callers network packets over a network to a remote server using an encapsulation protocol. (L2TP [8], RADIUS support [11])
- ダイヤルアップまたは直接アクセスシリアルラインアクセス。公衆電話網を使用してネットワークにアクセスする機能。 - ネットワークアクセス(SLIP、PPP、IPX、NETBEUI、ARAP)。 NASは、呼び出し側が直接ネットワークにアクセスすることができます。 - 非同期ターミナルサービス(のTelnet、rloginの、LAT、その他)。 NASは、発信者に代わってネットワークプロトコルを実装し、端末インタフェースを提供します。 - ダイヤルアウト接続。 NASは、公衆電話網を介して接続を開始させるための能力は、通常、特定のネットワークシステムへのトラフィックの到着に基づきます。 - コールバック(NASは、発信者へのコールを生成します)。 NASがダイヤルインコールの到着に基づいてネットワーク接続を逆転または開始させるための機能。 - トンネリング(リモート・サーバへのアクセス接続から)。 NASは、カプセル化プロトコルを使用してリモートサーバにネットワークを介して発信者のネットワークパケットを搬送します。 (L2TP [8]、RADIUSサポート[11])
Because of the need to authenticate and account, and for practical reasons of implementation, NAS systems have come to depend on external server systems to implement authentication databases and accounting recording.
そのため認証する必要性や、アカウントの、および実装の実際的な理由のために、NASシステムは、認証データベースと会計記録を実装するために、外部のサーバ・システムに依存するようになってきました。
By separating these functions from the NAS equipment, they can be implemented in general purpose computer systems, that may provide better suited long term storage media, and more sophisticated database software infrastructures. Not to mention that a centralized server can allow the coordinated administration of many NAS systems as appropriate (for example a single server may service an entire POP consisting of multiple NAS systems).
NAS機器からこれらの機能を分離することで、彼らはより適し長期記憶媒体、及びより洗練されたデータベース・ソフトウェア・インフラストラクチャを提供することができるよう、汎用コンピュータ・システムに実装することができます。中央サーバは、必要に応じて多くのNASシステムの協調投与を可能にすることができることは言うまでもない(例えば、単一のサーバが複数のNASシステムからなる全体のPOPサービスを提供してもよいです)。
For ease of management, there is a strong desire to piggyback NAS authentication information with other authentication databases, so that authentication information can be managed for several services (such as OS shell login, or Web Server access) from the same provider, without creating separate passwords and accounts for the user.
認証情報が別々の作成せずに、同じプロバイダから(例えばOSのシェルログイン、またはWebサーバーのアクセスなど)いくつかのサービスのために管理できるように管理を簡単にするために、他の認証データベースとNAS認証情報をピギーバックする強い欲求があり、ユーザーのパスワードおよびアカウント。
Session activity information is stored and processed to produce accounting usage records. This is typically done with a long term (nightly, weekly or monthly) batch type process.
セッション活動情報が保存され、会計使用状況レコードを生成するために処理されます。これは通常、長期的(毎晩、毎週または毎月)バッチ式プロセスで行われます。
However, as network operations grow in sophistication, there are requirements to provide real-time monitoring of port and user status, so that the state information can be used to implement policy decisions, monitor user trends, and the ability to possibly terminate access for administrative reasons. Typically only the NAS knows the true dynamic state of a session.
ネットワーク運用を洗練して成長するにつれてしかし、おそらく管理のためのアクセスを終了させる能力がある状態情報は、政策決定を実装し、ユーザーの動向を監視するために使用することができるように、ポートおよびユーザステータスのリアルタイムモニタリングを提供するための要件があり、理由。通常、唯一のNASは、セッションの真の動的な状態を知っています。
The following details a typical NAS operational sequence:
以下は、一般的なNASの動作シーケンスの詳細を示します。
- Call arrival on port or network - Port: - auto-detect (or not) type of call - CLI/SLIP: prompt for username and password (if security set) - PPP: engage LCP, Authentication - Request authentication from AAA server - if okay, proceed to service - may challenge - may ask for password change/update
- ポートまたはネットワーク上の着信 - ポート: - コールの自動検出(またはしない)タイプ - CLI / SLIP:ユーザ名とパスワードのプロンプト(もしセキュリティセット) - PPP:LCP、認証従事 - AAAサーバからのリクエストの認証を - 大丈夫ならば、サービスに進ん - 忌避することができる - パスワード変更/更新を求めることができます
- Network: - activate internal protocol server (telnet, ftp) - engage protocol's authentication technique - confirm authentication information with AAA server
- ネットワーク: - 内部プロトコル・サーバ(TELNET、FTP)を活性化 - プロトコルの認証技術を従事 - AAAサーバで認証情報を確認します
- Call Management Services - Information from the telephone system or gateway controller arrives indicating that a call has been received - The AAA server is consulted using the information supplied by the telephone system (typically Called or Calling number information) - The server indicates whether to respond to the call by answering it, or by returning a busy to the caller. - The server may also need to allocate a port to receive a call, and route it accordingly.
- コール管理サービス - 電話システムまたはゲートウェイコントローラからの情報は、呼を受信した旨を示す到着 - AAAサーバが電話システム(典型的に呼び出さ又は呼び出し番号情報)によって供給された情報を使用して参照される - サーバーが応答するかどうかを示しますそれに答えることで、コールに、または呼び出し元に忙しいを返すこともできます。 - サーバは、呼を受信するためにポートを割り当てる必要があり、それに応じてルートをしてもよいです。
- Dial-out - packet destination matches outbound route pre-configured - find profile information to setup call - Request information from AAA server for call details
- ダイヤルアウト - セットアップコールにプロファイル情報を見つける - - パケットの宛先は、発信ルート事前設定と一致するコールの詳細については、AAAサーバからの情報を求めます
- VPN/Tunneling (compulsory) - authentication server identifies user as remote - tunnel protocol is invoked to a remote server - authentication information may be forwarded to remote AAA server - if successful, the local link is given a remote identity
- VPN /トンネリング(強制) - トンネルプロトコルリモートサーバに呼び出される - - リモートのように、認証サーバは、ユーザを識別する認証情報は、リモートAAAサーバに転送することができる - 成功した場合、ローカルリンクは、リモート識別与えられます。
- Multi-link aggregation - after a new call is authenticated by the AAA server, if MP options are present, then other bundles with the same identifying information is searched for - bundle searches are performed across multiple systems - join calls that match authentication and originator identities as one network addressable data source with a single network IP address
- マルチリンクアグリゲーション - 新しいコールがAAAサーバによって認証された後にMPオプションが存在する場合、同一の識別情報と、他のバンドルが検索される - バンドル検索は、複数のシステムで実行される - 認証と発信元と一致コールに参加します単一のネットワークIPアドレスを持つネットワーク・アドレスのデータソースとしてのアイデンティティ
- Hardwired (non-interactive) services - permanent WAN connections (Frame Relay or PSVCs) - permanent serial connections (printers)
- ハードワイヤード(非対話型)のサービス - 永久的なWAN接続(フレームリレーやPSVCs) - 永久的なシリアル接続(プリンタ)
Sessions must have a user identifier and authenticator to complete the authentication process. Accounting starts from time of call or service, though finer details are allowed. At the end of service, the call may be disconnected or allow re-authentication for additional services.
セッションは、認証プロセスを完了するために、ユーザ識別子と認証を持っている必要があります。細かい詳細が許可されているものの会計は、通話やサービスの時から始まります。サービスの終了時に、通話が切断されたり、追加のサービスのために再認証が可能。
Some systems allow decisions on call handling to be made based on telephone system information provided before the call is answered (e.g., caller id or destination number). In such systems, calls may be busied-out or non-answered if system resources are not ready or available.
いくつかのシステムは、呼び出しの前に設けられた電話システムの情報に基づいて行われるべき呼処理上の決定が(例えば、発呼者IDまたは宛先番号)応答されることを可能にします。このようなシステムでは、呼び出しは、ビジーアウトしてもよいし、システムリソースの準備ができてか利用できない場合は非答えました。
Authorization to run services are supplied and applied after authentication. A NAS may abort call if session authorization information disagrees with call characteristics. Some system resources may be controlled by server driven policies
サービスを実行するための権限が供給され、認証後に適用されます。セッション認証情報は、コールの特性と一致しない場合、NASは、コールを中止することがあります。いくつかのシステムリソースは、サーバー駆動の方針によって制御することができます
Accounting messages are sent to the accounting server when service begins, and ends, and possibly periodically during service delivery. Accounting is not necessarily a real-time service, the NAS may be queue and batch send event records.
サービスは、サービス提供時に、おそらく定期的に開始され、終了したときにアカウンティングメッセージをアカウンティングサーバに送信されます。会計は必ずしもリアルタイムサービスではありません、NASは、キューとバッチがイベント・レコードを送るかもしれません。
As a distributed system, there is a separation of roles between the NAS and the Server:
分散システムとして、NASとサーバとの間の役割の分離があります。
- Server provides authentication services; checks passwords (static or dynamic) - Server databases may be organized in any way (only protocol specified) - Server may use external systems to authenticate (including OS user databases, token cards, one-time-lists, proxy or other means) - Server provides authorization information to NAS - The process of providing a service may lead to requests for additional information - Service authorization may require real-time enforcement (services may be based on Time of Day, or variable cost debits) - Session accounting information is tallied by the NAS and reported to server
- サーバーは認証サービスを提供します。チェックパスワード(静的または動的) - Serverデータベースがどのような方法で編成することができる(唯一のプロトコルが指定された) - Serverは(OSのユーザーデータベース、トークンカード、ワンタイム・リスト、プロキシまたはその他の手段を含む)を認証するために外部システムを使用することができます - サーバーがNASに認証情報を提供 - サービスを提供するプロセスは、追加情報の要求につながる可能性 - サービスの認可は、リアルタイムの執行が必要な場合があります(サービスは、時刻、または変動費借方に基づいていてもよい) - セッション会計情報を集計していますNASによると、サーバに報告
The NAS system is presumed to have a method of configuration that allows it to know it's identity and network parameters at boot time. Likewise, this configuration information is typically managed using the standard management protocols (e.g., SNMP). This would include the configuration of the parameters necessary to contact the AAA server itself. The purpose of the AAA server is not to provide network management for the NAS, but to authorize and characterize the individual services for the users. Therefore any feature that can be user specific is open to supply from the AAA server.
NASシステムは、それがブート時にアイデンティティとネットワークパラメータを知っていることを可能にする設定の方法を持っていると推定されます。同様に、この構成情報は、典型的には、標準の管理プロトコル(例えば、SNMP)を使用して管理されています。これは、AAAサーバ自体に連絡するために必要なパラメータの設定が含まれます。 AAAサーバの目的は、NASのネットワーク管理を提供するが、ユーザーのために、個々のサービスを認可し、特徴づけることではありません。従って、ユーザ特定することができる任意の特徴は、AAAサーバから供給するように開放されています。
The system may have other operational services that are used to run and control the NAS. Some users that have _Administrative_ privileges may have access to system configuration tools, or services that affect the operation and configuration of the system (e.g., loading boot images, internal file system access, etc..) Access to these facilities may also be authenticated by the AAA server (provided it is configured and reachable!) and levels of access authorization may be provided.
システムは、NASを実行し、制御するために使用されている他の運用サービスを有することができます。 _Administrative_権限を持っている一部のユーザーは、システム・コンフィギュレーション・ツール、または(例えば、ブートイメージ、内部ファイルシステムへのアクセスなど。ロード)これらの施設へのアクセスもによって認証することができるシステムの操作や設定に影響を与えるサービスへのアクセスを有することができますAAAサーバ(それが設定され、到達可能である提供!)とアクセス権限のレベルが提供されてもよいです。
A NAS system typically supports a number of authentication systems. For async terminal users, these may be a simple as a prompt and input. For network datalink users, such as PPP, several different authentication methods will be supported (PAP, CHAP [12], MS-CHAP [13]). Some of these may actually be protocols in and of themselves (EAP [14] [15], and Kerberos).
NASシステムは、典型的には、認証システムの数をサポートしています。非同期端末ユーザのために、これらは迅速かつ入力として単純であってもよいです。 PPPなどのネットワークデータリンクユーザーのために、いくつかの異なる認証方法がサポートされる(PAP、CHAP [12]、MS-CHAP [13])。これらのいくつかは、実際には(EAP [14] [15]、およびKerberos)で、それ自体のプロトコルであってもよいです。
Additionally, the content of the authentication exchanges may not be straightforward. Hard token cards, such as the Safeword and SecurId, systems may generate one-time passphrases that must be validated against a proprietary server. In the case of multi-link support, it may be necessary to remember a session token or certificate for the later authentication of additional links.
また、認証交換の内容は簡単ではないかもしれません。このようにSafeWordとSecurIDなどのハードトークンカードは、システムは、独自のサーバーに対して検証されなければならないワンタイムパスフレーズを生成することがあります。マルチリンクのサポートの場合は、追加のリンクの後の認証のためのセッショントークンまたは証明書を覚えておく必要があるかもしれません。
In the cases of VPN and compulsory tunneling services, typically a Network Access Identifier (RFC 2486 [16]) is presented by the user. This NAI is parsed into a destination network identifier either by the NAS or by the AAA server. The authentication information will typically not be validated locally, but by a AAA service at the remote end of the tunnel service.
VPNと強制トンネリングサービスの場合には、典型的には、ネットワークアクセス識別子(RFC 2486 [16])は、ユーザによって提示されています。このNAIは、NASによって、またはAAAサーバのいずれかによって、宛先ネットワーク識別子に解析されます。認証情報は、典型的には、局所的に検証されたが、トンネルサービスのリモート側のAAAサービスによってされることはありません。
Once a user has been authenticated, there are a number of individual bits of information that the network management may wish to configure and authorize for the given user or class of users.
ユーザが認証された後、ネットワーク管理はユーザーの特定のユーザーまたはクラス用に設定し、承認することを望むかもしれない情報の個々のビットの数があります。
Typical examples include:
典型的な例は次のとおりです。
For async terminal users:
非同期端末ユーザの場合:
- banners - custom prompts - menus - CLI macros - which could be used for: shortcuts, compound commands, restrictive scripts
- バナー - カスタムプロンプト - メニュー - CLIマクロ - を使用することができる:ショートカット、化合物のコマンド、制限スクリプト
For network users:
ネットワークユーザーの場合:
- addresses, and routes - callback instructions - packet and activity filters - network server addresses - host server addresses
- アドレス、およびルート - コールバック命令 - パケットと活動フィルタ - ネットワーク・サーバ・アドレス - ホストサーバのアドレス
Some services may require dynamic allocation of resources. Information about the resources required may not be known during the authentication phase, it may come up later. (e.g., IP Addresses for multi-link bundles) It's also possible that the authorization will change over the time of the session. To provide these there has to be a division of responsibility between the NAS and the AAA server, or a cooperation using a stateful service.
一部のサービスでは、リソースの動的な割り当てが必要な場合があります。認証フェーズ知られていない可能性が必要なリソースに関する情報は、それが後で出てくることがあります。 (例えば、マルチリンクバンドルのIPアドレス)ことも可能だ許可はセッションの時間の経過とともに変化すること。これらを提供するために、NASとAAAサーバ、またはステートフルなサービスを使用して協力間の責任分担が存在しなければなりません。
Such services include:
このようなサービスが含まれます:
- IP Address management
- Concurrent login limitations
- Tunnel usage limitations
- Real-time account expirations
- Call management policies
In the process of resolving resource information, it may be required that a certain level of service be supplied, and if not available, the request refused, or corrective action taken.
リソース情報を解決するプロセスでは、サービスの特定のレベルを供給することが必要になることがあり、そして利用可能でない場合、要求は拒否、または是正措置がとら。
As the NAS participates in the IP network, it interacts with the routing mechanisms of the network itself. These interactions may also be controlled on a per-user/session basis.
NASは、IPネットワークに参加するように、ネットワーク自体のルーティングメカニズムと相互作用します。これらの相互作用はまた、ユーザごと/セッションに基づいて制御することができます。
For example, some input streams may be directed to specific hosts other than the default gateway for the destination subnet. In order to control services within the network provider's infrastructure, some types of packets may be discarded (filtered) before entering the network. These filters could be applied based on examination of destination address and port number. Anti-spoofing packet controls may be applied to disallow traffic sourced from addresses other than what was assigned to the port.
例えば、いくつかの入力ストリームは、宛先サブネットのデフォルトゲートウェイ以外の特定のホストに向けられてもよいです。ネットワークプロバイダのインフラストラクチャ内のサービスを制御するために、パケットの種類によっては、ネットワークに入る前に(濾過)を廃棄することができます。これらのフィルタは、宛先アドレスとポート番号の調査に基づいて適用することができます。アンチスプーフィングパケットコントロールは、ポートに割り当てられたもの以外のアドレスから発信トラフィックを許可しないように適用することができます。
A NAS may also be an edge router system, and apply Quality of Service (QoS) policies to the packets. This makes it a QOS Policy Enforcement Point [19], [17]. It may learn QOS and other network policies for the user via the AAA service.
NASはまた、エッジルータシステムであること、およびパケットにサービスの品質(QoS)ポリシーを適用することができます。これは、QOSポリシー実行ポイント[19]、[17]になります。これは、AAAサービスを介して利用者のためのQoSおよびその他のネットワークポリシーを学習することがあります。
So far we have looked at examples of things that NASes do. The following attempts to define a NAS model that captures the fundamentals of NAS structure to better categorize how it interacts with other network components.
これまでのところ、私たちはNASのは、物事の例を見てきました。次の試みは、より良い、それが他のネットワークコンポーネントと対話する方法を分類するためにNAS構造の基礎を捕捉NASモデルを定義します。
A Network Access Server is a device which sits on the edge of a network, and provides access to services on that network in a controlled fashion, based on the identity of the user of the network services in question and on the policy of the provider of these services. For the purposes of this document, a Network Access Server is defined primarily as a device which accepts multiple point-to-point [18] links on one set of interfaces, providing access to a routed network or networks on another set of interfaces.
ネットワーク・アクセス・サーバは、ネットワークの端に座っているデバイスであり、問題のネットワークサービスの利用者の身元にとのプロバイダのポリシーに基づいて、制御された方法でそのネットワーク上のサービスへのアクセスを提供しますこれらのサービスを提供しています。本文書の目的のために、ネットワーク・アクセス・サーバは、主インターフェースの別のセットにルーティングされたネットワークまたはネットワークへのアクセスを提供するインターフェースの一組上の複数のポイントツーポイント[18]のリンクを、受け入れるデバイスとして定義されます。
Note that there are many things that a Network Access Server is not. A NAS is not simply a router, although it will typically include routing functionality in it's interface to the network. A NAS is not necessarily a dial access server, although dial access is one common means of network access, and brings its own particular set of requirements to NAS's.
ネットワークアクセスサーバーがないことを多くのものがあることに注意してください。それは一般的に、それがネットワークへのインタフェースです内のルーティング機能が含まれますが、NASは、単にルータではありません。ダイヤルアクセスは、ネットワークアクセスの一つの共通の手段であり、NASのための要件の独自の特定のセットをもたらしますが、NASは、必ずしもダイヤルアクセスサーバではありません。
A NAS is the first device in the IP network to provide services to an end user, and acts as a gateway for all further services. It is the point at which users are authenticated, access policy is enforced, network services are authorized, network usage is audited, and resource consumption is tracked. That is, a NAS often acts as the policy enforcement point for network AAAA (authentication, authorization, accounting, and auditing) services. A NAS is typically the first place in a network where security measures and policy may be implemented.
NASは、エンドユーザにサービスを提供するIPネットワーク内の最初のデバイスであり、全ての更なるサービスのゲートウェイとして機能します。これは、ネットワークの使用が監査され、ネットワークサービスが許可され、アクセスポリシーが適用され、ユーザーが認証された時点で、リソース消費が追跡されます。これは、NASは、多くの場合、ネットワークAAAA(認証、許可、アカウンティング、および監査)サービスのためのポリシー施行ポイントとして動作する、です。 NASは、典型的には、セキュリティ対策とポリシーを実装することができるネットワークに最初の場所です。
For reference in the following discussion, a diagram of a NAS, its dependencies, and its interfaces is given below. This diagram is intended as an abstraction of a NAS as a reference model, and is not intended to represent any particular NAS implementation.
以下の説明において参考のために、NAS、その依存関係、およびそのインターフェースの図を以下に示します。この図は、基準モデルとしてNASの抽象化として意図され、そして任意の特定のNASの実装を表すことを意図するものではありません。
Users
v v v v v v v
| | PSTN | |
| | or | |
|encapsulated
+-----------------+
| (Modems) |
+-----------------+
| | | | | | |
+--+----------------------------+
| | |
|N | Client Interface |
| | |
|A +----------Routing ----------+
| | |
|S | Network Interface |
| | |
+--+----------------------------+
/ | \
/ | \
/ | \
/ | \
POLICY MANAGEMENT/ | \ DEVICE MANAGEMENT
+---------------+ | +-------------------+
| Authentication| _/^\_ |Device Provisioning|
+---------------+ _/ \_ +-------------------+
| Authorization | _/ \_ |Device Monitoring |
+---------------+ _/ \_ +-------------------+
| Accounting | / The \
+---------------+ \_ Network(s) _/
| Auditing | \_ _/
+---------------+ \_ _/
\_ _/
\_/
Following is a description of the modules and interfaces in the reference model for a NAS given above:
以下は、上記で与えられたNASのための参照モデルのモジュールとインタフェースの説明です。
Client Interfaces - A NAS has one or more client interfaces, which provide the interface to the end users who are requesting network access. Users may connect to these client interfaces via modems over a PSTN, or via tunnels over a data network. Two broad classes of NAS's may be defined, based on the nature of the incoming client interfaces, as follows. Note that a single NAS device may serve in both classes:
クライアントインタフェース - NASは、ネットワークアクセスを要求しているエンドユーザーへのインタフェースを提供する1つのまたは複数のクライアント・インタフェースを持っています。ユーザは、PSTN上のモデムを介してこれらのクライアントインターフェイスに接続、またはデータ・ネットワークを介してトンネルを介してもよいです。次のようにNASの2つの大きなクラスは、着信クライアント・インタフェースの性質に基づいて定義することができます。単一のNASデバイスは、両方のクラスに役立つことができることに注意してください。
Dial Access Servers - A Dial Access Server is a NAS whose client interfaces consist of modems, either local or remote, which are attached to a PSTN.
アクセスサーバにダイヤル - ダイヤルアクセスサーバは、そのクライアントインターフェースPSTNに接続されているローカルまたはリモートモデム、で構成NASあります。
Tunnel Servers - A Tunnel Server is a NAS whose client interfaces consists of tunneling endpoints in a protocol such as L2TP
トンネルサーバー - トンネルサーバは、クライアントインターフェイス例えばL2TPなどのプロトコルにトンネルエンドポイントから成るNASあります
Network Interfaces - A NAS has one or more network interfaces, which connect to the networks to which access is being granted.
ネットワークインターフェース - NASは、アクセスが許可されたネットワークに接続する1つの以上のネットワークインタフェースを有します。
Routing - If the network to which access is being granted is a routed network, then a NAS will typically include routing functionality.
ルーティング - アクセスするためのネットワークが付与されている場合は、ルーティングされたネットワークであり、その後、NASは、一般的なルーティング機能が含まれます。
Policy Management Interface - A NAS provides an interface which allows access to network services to be managed on a per-user basis. This interface may be a configuration file, a graphical user interface, an API, or a protocol such as RADIUS, Diameter, or COPS [19]. This interface provides a mechanism for granular resource management and policy enforcement.
ポリシー管理インタフェース - NASはネットワークサービスへのアクセスをユーザごとに管理することを可能にするインターフェースを提供します。このインターフェイスは、構成ファイル、例えばRADIUS、直径、またはCOPS [19]などのグラフィカル・ユーザ・インタフェース、API、またはプロトコルであってもよいです。このインタフェースは、粒状のリソース管理とポリシー適用のためのメカニズムを提供します。
Authentication - Authentication refers to the confirmation that a user who is requesting services is a valid user of the network services requested. Authentication is accomplished via the presentation of an identity and credentials. Examples of types of credentials are passwords, one-time tokens, digital certificates, and phone numbers (calling/called).
認証 - 認証は、サービスを要求しているユーザが、要求されたネットワークサービスの正当な利用者であることの確認を指します。認証は、IDと認証情報の提示を介して達成されます。資格情報の種類の例としては、パスワード、ワンタイムトークン、デジタル証明書、および電話番号(被呼/発呼)です。
Authorization - Authorization refers to the granting of specific types of service (including "no service") to a user, based on their authentication, what services they are requesting, and the current system state. Authorization may be based on restrictions, for example time-of-day restrictions, or physical location restrictions, or restrictions against multiple logins by the same user. Authorization determines the nature of the service which is granted to a user. Examples of types of service include, but are not limited to: IP address filtering, address assignment, route assignment, QoS/differential services, bandwidth control/traffic management, compulsory tunneling to a specific endpoint, and encryption.
認証 - 認可は、その認証に基づいてユーザーに、彼らが要求しているものをサービス、および現在のシステム状態(「なしサービス」を含まない)サービスの特定の種類の付与を指します。許可は、例えば時刻制限、または物理的な場所の制約、または同じユーザによる複数のログインに対する制限のために、制約に基づくことができます。認可は、ユーザーに付与されるサービスの性質を決定します。サービスの種類の例としては、これらに限定されない:IPアドレスフィルタリング、アドレス割り当て、ルート割り当て、QoSの/差動サービス、帯域幅制御/トラフィック管理、特定のエンドポイントに強制的トンネリング、および暗号化。
Accounting - Accounting refers to the tracking of the consumption of NAS resources by users. This information may be used for management, planning, billing, or other purposes. Real-time accounting refers to accounting information that is delivered concurrently with the consumption of the resources. Batch accounting refers to accounting information that is saved until it is delivered at a later time. Typical information that is gathered in accounting is the identity of the user, the nature of the service delivered, when the service began, and when it ended.
会計 - 会計は、ユーザーによるNASリソースの消費量の追跡を指します。この情報は、管理、企画、課金、または他の目的のために使用することができます。リアルタイムの会計処理は、資源の消費と同時に配信される会計情報を参照します。バッチ会計は、それが後の時間に配信されるまで保存される会計情報を参照します。会計に収集された典型的な情報は、ユーザのアイデンティティ、サービスが始まったとき、提供されるサービスの性質上、いつそれが終了しています。
Auditing - Auditing refers to the tracking of activity by users. As opposed to accounting, where the purpose is to track consumption of resources, the purpose of auditing is to determine the nature of a user's network activity. Examples of auditing information include the identity of the user, the nature of the services used, what hosts were accessed when, what protocols were used, etc.
監査 - 監査は、ユーザによるアクティビティのトラッキングを指します。目的は、リソースの消費を追跡することで、会計、とは対照的に、監査の目的は、ユーザのネットワーク活動の性質を決定することです。監査情報の例は、どのようなプロトコルが、等を使用した場合、アクセスされたものをホストユーザの身元、使用されるサービスの性質を含みます
AAAA Server - An AAAA Server is a server or servers that provide authentication, authorization, accounting, and auditing services. These may be co-located with the NAS, or more typically, are located on a separate server and communicate with the NAS's User Management Interface via an AAAA protocol. The four AAAA functions may be located on a single server, or may be broken up among multiple servers.
AAAAサーバ - AAAA Serverは、認証、許可、アカウンティング、および監査サービスを提供するサーバーまたはサーバーです。これらは、NASと同じ場所に配置することができる、またはより典型的には、AAAAプロトコルを介してNASのユーザ管理インタフェースと通信する別のサーバ上に位置しています。 4つのAAAAの機能は、単一のサーバ上に配置してもよいし、複数のサーバ間で分割することができます。
Device Management Interface - A NAS is a network device which is owned, operated, and managed by some entity. This interface provides a means for this entity to operate and manage the NAS. This interface may be a configuration file, a graphical user interface, an API, or a protocol such as SNMP [20].
デバイス管理インターフェイス - NASは、所有運営、およびいくつかのエンティティによって管理されているネットワーク機器です。このインタフェースは、NASを運用および管理するには、このエンティティのための手段を提供します。このインタフェースは、SNMP [20]のようにコンフィギュレーションファイル、グラフィカル・ユーザ・インタフェース、API、またはプロトコルであってもよいです。
Device Monitoring - Device monitoring refers to the tracking of status, activity, and usage of the NAS as a network device.
デバイスモニタリング - デバイスのモニタリングは、状態、活動、およびネットワークデバイスとしてNASの使用の追跡を指します。
Device Provisioning - Device provisioning refers to the configurations, settings, and control of the NAS as a network device.
デバイスプロビジョニング - デバイスのプロビジョニングは、ネットワークデバイスとして構成、設定、およびNASの制御を指します。
Following is an analysis of the functions of a NAS using the reference model above:
以下は、上記の参照モデルを使用してNASの機能の分析です。
NAS's serve as the first point of authentication for network users, providing security to user sessions. This security is typically performed by checking credentials such as a PPP PAP user name/password pair or a PPP CHAP user name and challenge/response, but may be extended to authentication via telephone number information, digital certificates, or biometrics. NAS's also may authenticate themselves to users. Since a NAS may be shared among multiple administrative entities, authentication may actually be performed via a back-end proxy, referral, or brokering process.
NAS年代には、ユーザセッションにセキュリティを提供する、ネットワークユーザの認証の最初のポイントとして機能します。このセキュリティは、通常、PPP PAPユーザ名/パスワードのペアまたはPPP CHAPのユーザー名とチャレンジ/レスポンスなどの資格情報を確認することで行われますが、電話番号情報、デジタル証明書、またはバイオメトリクスによる認証に拡張することができます。 NAS年代は、ユーザーに自分自身を認証することができます。 NASは、複数の管理エンティティ間で共有することができるので、認証が実際にバックエンドプロキシ、照会、または仲介プロセスを介して行われてもよいです。
In addition to user security, NAS's may themselves be operated as secure devices. This may include secure methods of management and monitoring, use of IP Security [21] and even participation in a Public Key Infrastructure.
ユーザーのセキュリティに加えて、NASの自体が安全なデバイスとして動作させることができます。これは、公開鍵インフラストラクチャでの管理と監視、IPセキュリティ[21]、さらには参加の使用の安全な方法を含むことができます。
NAS's are the first point of authorization for usage of network resources, and NAS's serve as policy enforcement points for the services that they deliver to users. NAS's may provision these services to users in a statically or dynamically configured fashion. Resource management can be performed at a NAS by granting specific types of service based on the current network state. In the case of shared operation, NAS policy may be determined based on the policy of multiple end systems.
NAS年代には、ネットワークリソースの使用の認可の最初のポイントであり、NAS用のは、彼らがユーザーに提供するサービスのためのポリシー適用ポイントとして機能します。 NASの5月の提供静的または動的に構成された形でユーザーにこれらのサービスを提供しています。リソース管理は、現在のネットワーク状態に基づいて、サービスの特定のタイプを付与することにより、NASで行うことができます。共有動作の場合、NASポリシーは、複数のエンドシステムのポリシーに基づいて決定することができます。
Since NAS services are consumable resources, usage information must often be collected for the purposes of soft policy management, reporting, planning, and accounting. A dynamic, real-time view of NAS usage is often required for network auditing purposes. Since a NAS may be shared among multiple administrative entities, usage information must often be delivered to multiple endpoints. Accounting is performed using such protocols as RADIUS [2].
NASサービスが消耗資源であるので、使用情報は、多くの場合、ソフトポリシー管理、レポート作成、プランニング、および会計の目的のために収集する必要があります。 NASの使用の動的なリアルタイムビューは、多くの場合、ネットワークの監査目的のために必要とされます。 NASは、複数の管理エンティティ間で共有することができるので、使用情報は、多くの場合、複数のエンドポイントに送達されなければなりません。アカウンティングは、RADIUSのようなプロトコルを使用して行われる[2]。
NAS's deliver resources to users, often in a dynamic fashion. Examples of the types of resources doled out by NAS's are IP addresses, network names and name server identities, tunnels, and PSTN resources such as phone lines and numbers. Note that NAS's may be operated in a outsourcing model, where multiple entities are competing for the same resources.
NAS年代には、多くの場合、動的な方法で、ユーザーにリソースを提供します。 NAS年代によってdoledリソースのタイプの例としては、電話回線や数字などのIPアドレス、ネットワーク名とネームサーバのID、トンネル、およびPSTNのリソースがあります。 NASさんは、複数のエンティティが同じリソースに対して競合しているアウトソーシングモデルで動作させることができることに注意してください。
NAS's often participate in VPN's, and may serve as the means by which VPN's are implemented. Examples of the use of NAS's in VPN's are: Dial Access Servers that build compulsory tunnels, Dial Access Servers that provide services to voluntary tunnelers, and Tunnel Servers that provide tunnel termination services. NAS's may simultaneously provide VPN and public network services to different users, based on policy and user identity.
NAS年代には、多くの場合、VPNの参加、およびVPNのが実装される手段として機能することができます。 VPNの中のNASの使用の例は、自主的なtunnelers、およびトンネル終端サービスを提供するトンネルサーバにサービスを提供するアクセス・サーバーをダイヤル、強制的なトンネルを構築するアクセス・サーバーをダイヤルします。 NASさんは、同時にポリシーとユーザーIDに基づいて、異なるユーザにVPNや公共ネットワークサービスを提供することができます。
A NAS may delivery different qualities, types, or levels of service to different users based on policy and identity. NAS's may perform bandwidth management, allow differential speeds or methods of access, or even participate in provisioned or signaled Quality of Service (QoS) networks.
NASかもしれ配達異なる品質、種類、またはポリシーおよびアイデンティティに基づいて、異なるユーザへのサービスのレベル。 NAS年代には、帯域幅管理を行うアクセスの差動速度やメソッドを許可する、あるいはプロビジョニングやサービス品質(QoS)のネットワークを合図に参加することができます。
NAS's are often operated in a shared or outsourced manner, or a NAS operator may enter into agreements with other service providers to grant access to users from these providers (roaming operations). NAS's often are operated as part of a global network. All these imply that a NAS often provides services to users from multiple administrative domains simultaneously. The features of NAS's may therefore be driven by requirements of roaming [22].
NAS年代には、多くの場合、共有や外部委託の方法で操作されている、またはNASのオペレータは、これらのプロバイダ(ローミング事業)からのユーザーにアクセスを許可するために、他のサービスプロバイダと契約を締結することがあります。 NAS年代には、多くの場合、グローバルネットワークの一部として運営されています。これらはすべて、NASは、多くの場合、同時に複数の管理ドメインからのユーザーにサービスを提供することを示唆しています。 NASのの特徴は、従って、ローミングの要件[22]によって駆動することができます。
This document describes a model not a particular solution.
この文書では、モデルではない、特定のソリューションについて説明します。
As mentioned in section 9.3.1 and elsewhere, NAS'es are concerned about the security of several aspects of their operation, including:
セクション9.3.1、他の場所で述べたように、NAS'esはその動作、を含むのいくつかの側面のセキュリティを懸念しています:
- Providing sufficiently robust authentication techniques as required by network policies, - NAS authentication of configured authentication server(s), - Server ability to authenticate configured clients, - Hiding of the authentication information from network snooping to protect from attacks and provide user privacy, - Protecting the integrity of message exchanges from attacks such as; replay, or man-in-the middle, - Inability of other hosts to interfere with services authorized to NAS, or gain unauthorized services, - Inability of other hosts to probe or guess at authentication information. - Protection of NAS system configuration and administration from unauthorized users - Protection of the network from illegal packets sourced by accessing connections
設定されている認証サーバ(群)のNAS認証、 - - 構成されたクライアントを認証するサーバーの能力は、 - 攻撃から保護し、ユーザーのプライバシーを提供するために、スヌープネットワークからの認証情報の非表示、 - ネットワークポリシーによって要求されるよう十分に強固な認証技術を提供 - このような攻撃からメッセージ交換の整合性を保護します。リプレイ、またはのman-in-途中、 - NASに認可サービスに干渉し、または不正なサービスを得るために他のホストのできないこと、 - プローブまたは認証情報を推測するために他のホストのできないこと。接続にアクセスすることにより、ソースと違法パケットからのネットワークの保護 - - 権限のないユーザーからのNASシステム構成と管理の保護
[1] Rigney, C., Willens, S., Rubens, A. and W. Simpson, "Remote Authentication Dial In User Service (RADIUS)", RFC 2865, June 2000.
[1] Rigney、C.、ウィレンス、S.、ルーベン、A.およびW.シンプソン、RFC 2865、2000年6月 "ユーザーサービス(RADIUS)においてリモート認証ダイヤル"。
[2] Rigney, C., "RADIUS Accounting", RFC 2866, June 2000.
[2] Rigney、C.、 "RADIUSアカウンティング"、RFC 2866、2000年6月。
[3] Calhoun, P., "Diameter Base Protocol", Work in Progress.
[3]カルフーン、P.、 "直径ベースプロトコル"、ProgressのWork。
[4] Zorn, G., "Yet Another Authentication Protocol (YAAP)", Work in Progress.
[4]ゾルン、G.、 "もう一つの認証プロトコル(YAAP)"、ProgressのWork。
[5] Mamakos, L., Lidl, K., Evarts, K., Carrel, D., Simone, D. and R. Wheeler, "A Method for Transmitting PPP Over Ethernet (PPPoE)", RFC 2516, February 1999.
[5] Mamakos、L.、Lidlの、K.、Evarts、K.、カレル、D.、シモン、D.およびR.ウィーラー、 "PPPオーバーイーサネット(PPPoEを)送信するための方法"、RFC 2516、1999年2月。
[6] Valencia, A., Littlewood, M. and T. Kolar, "Cisco Layer Two Forwarding (Protocol) L2F", RFC 2341, May 1998.
[6]バレンシア、A.、リトルウッド、M.とT.コーラール、 "シスコレイヤ二フォワーディング(プロトコル)L2F"、RFC 2341、1998年5月を。
[7] Hamzeh, K., "Ascend Tunnel Management Protocol - ATMP", RFC 2107, February 1997.
[7] Hamzeh、K.、 "アセンドトンネル管理プロトコル - ATMP"、RFC 2107、1997年2月。
[8] Valencia, A., Townsley, W., Rubens, A., Pall, G., Zorn, G., and B. Palter, "Layer Two Tunneling Protocol (L2TP)", RFC 2661, August 1999.
[8]バレンシア、A.、Townsley、W.、ルーベンス、A.、ポール、G.、ゾルン、G.、およびB. Palter、 "レイヤ2トンネリングプロトコル(L2TP)"、RFC 2661、1999年8月。
[9] Zorn, G., Leifer, D., Rubens, A., Shriver, J. and M. Holdrege, "RADIUS Attributes for Tunnel Protocol Support", RFC 2868, June 2000.
[9]ゾルン、G.、Leifer、D.、ルーベンス、A.、シュライバー、J.とM.ホールドレッジを、2000年6月、RFC 2868 "RADIUSは、トンネルプロトコルサポートのための属性"。
[10] Zorn, G., Aboba, B. and D. Mitton, "RADIUS Accounting Modifications for Tunnel Protocol Support", RFC 2867, June 2000.
[10]ソーン、G.、Aboba、B.とD.ミトン、 "トンネルプロトコルサポートのためのRADIUSアカウンティングの変更"、RFC 2867、2000年6月。
[11] Aboba, B. and G. Zorn, "Implementation of PPTP/L2TP Compulsory Tunneling via RADIUS", RFC 2809, April 2000.
[11] Aboba、B.およびG.ゾルン、 "RADIUSを介してPPTP / L2TP強制トンネリングの実装"、RFC 2809、2000年4月。
[12] Simpson, W., "PPP Challenge Handshake Authentication Protocol (CHAP)", RFC 1994, August 1996.
[12]シンプソン、W.、 "PPPチャレンジハンドシェイク認証プロトコル(CHAP)"、RFC 1994、1996年8月。
[13] Zorn, G. and S. Cobb, "Microsoft PPP CHAP Extensions", RFC 2433, March 1998.
[13]ソーン、G.とS.コブ、 "マイクロソフトPPP CHAP拡張機能"、RFC 2433、1998年3月。
[14] Blunk, L. and J. Vollbrecht, "PPP Extensible Authentication Protocol (EAP)", RFC 2284, March 1998.
[14]ブルンク、L.及びJ. Vollbrecht、 "PPP拡張認証プロトコル(EAP)"、RFC 2284、1998年3月。
[15] Calhoun, et al., "Extensible Authentication Protocol Support in RADIUS", Work in Progress.
[15]カルフーンら、 "RADIUSで拡張認証プロトコルサポート"、ProgressのWork。
[16] Aboba, B. and M. Beadles, "The Network Access Identifier", RFC 2486, January 1999.
[16] Aboba、B.及びM. Beadles、 "ネットワークアクセス識別子"、RFC 2486、1999年1月。
[17] Braden, R., Zhang, L., Berson, S., Herzog, S. and S. Jamin, "Resource ReSerVation Protocol (RSVP) Version 1 Functional Specification", RFC 2205, September 1997.
[17]ブレーデン、R.、チャン、L.、Berson氏、S.、ハーツォグ、S.、およびS.ヤミン、 "リソース予約プロトコル(RSVP)バージョン1機能仕様"、RFC 2205、1997年9月。
[18] Simpson, W., Editor, "The Point-to-Point Protocol (PPP)", STD 51, RFC 1661, July 1994.
[18]シンプソン、W.、エディタ、 "ポイントツーポイントプロトコル(PPP)"、STD 51、RFC 1661、1994年7月。
[19] Boyle, J., Cohen, R., Durham, D., Herzog, S., Raja, R. and A. Sastry. "The COPS (Common Open Policy Service) Protocol", RFC 2748, January 2000.
[19]ボイル、J.、コーエン、R.、ダラム、D.、ヘルツォーク、S.、ラージャ、R.およびA. Sastry。 "COPS(コモンオープンポリシーサービス)プロトコル"、RFC 2748、2000年1月。
[20] Case, J., Fedor, M., Schoffstall, M. and J. Davin. "A Simple Network Management Protocol (SNMP)", STD 15, RFC 1157, May 1990.
[20]ケース、J.、ヒョードル、M.、Schoffstall、M.、およびJ.デーヴィン。 "簡易ネットワーク管理プロトコル(SNMP)"、STD 15、RFC 1157、1990年5月。
[21] Atkinson, R. and S. Kent, "Security Architecture for the Internet Protocol", RFC 2401, November 1998.
[21]アトキンソン、R.とS.ケント、 "インターネットプロトコルのためのセキュリティー体系"、RFC 2401、1998年11月。
[22] Aboba, Zorn, "Dialup Roaming Requirements", Work in Progress.
[22] Aboba、ゾルン、 "ダイヤルアップローミング要件"、ProgressのWork。
This document is a synthesis of my earlier draft and Mark Beadles' NAS Reference Model draft.
この文書では、私の以前のドラフトとマークBeadles' NAS参照モデル案の合成です。
David Mitton Nortel Networks 880 Technology Park Drive Billerica, MA 01821
デヴィッド・ミトンNortel Networksの880テクノロジーパークドライブビレリカ、MA 01821
Phone: 978-288-4570 EMail: dmitton@nortelnetworks.com
電話:978-288-4570 Eメール:dmitton@nortelnetworks.com
Mark Beadles SmartPipes Inc. 545 Metro Place South Suite 100 Dublin, OH 43017
マークBeadles SmartPipes Inc.の545メトロ・プレイス南スイート100ダブリン、OH 43017
Phone: 614-327-8046 EMail: mbeadles@smartpipes.com
電話:614-327-8046 Eメール:mbeadles@smartpipes.com
AAA - Authentication, Authorization, Accounting, The three primary services required by a NAS server or protocol.
AAA - 認証、許可、アカウンティング、NASサーバまたはプロトコルによって必要な3つの主要なサービス。
NAS - Network Access Server, a system that provides access to a network. In some cases also know as a RAS, Remote Access Server.
NAS - ネットワークアクセスサーバ、ネットワークへのアクセスを提供するシステム。いくつかのケースでも、RAS、リモートアクセスサーバーとして知っています。
CLI - Command Line Interface, an interface to a command line service for use with an common asynchronous terminal facility.
CLI - コマンドラインインターフェイス、共通の非同期ターミナル施設で使用するためのコマンド・ライン・サービスへのインタフェース。
SLIP - Serial Line Internet Protocol, an IP-only serial datalink, predecessor to PPP.
SLIP - シリアルラインインターネットプロトコル、IP専用のシリアルデータリンク、PPPの前身。
PPP - Point-to-Point Protocol; a serial datalink level protocol that supports IP as well as other network protocols. PPP has three major states of operation: LCP - Link layer Control Protocol, Authentication, of which there are several types (PAP, CHAP, EAP), and NCP - Network layer Control Protocol, which negotiates the network layer parameters for each of the protocols in use.
PPP - ポイントツーポイントプロトコル。 IPだけでなく、他のネットワーク・プロトコルをサポートし、シリアルデータリンクレベルのプロトコル。 - いくつかのタイプ(PAP、CHAP、EAP)があるそのリンク層制御プロトコル、認証、およびNCP - ネットワーク層制御プロトコル、プロトコルのそれぞれについてネットワーク層パラメータをネゴシエートするLCP:PPPは、動作の三つの主要な状態を有します使用中で。
IPX - Novell's NetWare transport protocol
IPX - NovellのNetWareのトランスポートプロトコル
NETBEUI - A Microsoft/IBM LAN protocol used by Microsoft file services and the NETBIOS applications programming interface.
NETBEUI - MicrosoftのファイルサービスとNETBIOSアプリケーション・プログラミング・インターフェースによって使用されるMicrosoft / IBM LANプロトコル。
ARAP - AppleTalk Remote Access Protocol
ARAP - のAppleTalkリモートアクセスプロトコル
LAT - Local Area Transport; a Digital Equipment Corp. LAN protocol for terminal services.
LAT - ローカルエリア交通;ターミナルサービス用のディジタル・イクイップメント・コーポレーションLANプロトコル。
PPPoe - PPP over Ethernet; a protocol that forwards PPP frames on an LAN infrastructure. Often used to aggregate PPP streams at a common server bank.
PPPOE - イーサネット上のPPP。 LANインフラストラクチャ上のPPPフレームを転送するプロトコル。多くの場合、一般的なサーバーの銀行でPPPストリームを集約するために使用。
VPN - Virtual Private Network; a term for networks that appear to be private to the user by the use of tunneling techniques.
VPN - 仮想プライベートネットワーク。トンネリング技術を使用して、ユーザーにプライベートのように見えるネットワークのための用語。
FR - Frame Relay, a synchronous WAN protocol and telephone network intraconnect service.
FR - リレー、同期WANプロトコルと電話ネットワーク内部接続サービスフレーム。
PSVC - Permanent Switched Virtual Circuit - a service which delivers an virtual permanent circuit by a switched network.
PSVC - パーマネントバーチャルサーキットスイッチ - スイッチドネットワークで仮想永久的な回路を提供するサービスを。
PSTN - Public Switched Telephone Network
PSTN - 公衆交換電話網
ISDN - Integrated Services Digital Network, a telephone network facility for transmitting digital and analog information over a digital network connection. A NAS may have the ability to receive the information from the telephone network in digital form.
ISDN - 総合デジタル通信網、デジタルネットワーク接続を介してデジタルおよびアナログ情報を送信するための電話ネットワーク機能。 NASは、デジタル形式で電話ネットワークから情報を受信する能力を有していてもよいです。
ISP - Internet Service Provider; a provider of Internet access (also Network Service Provider, NSP).
ISP - インターネットサービスプロバイダ。インターネットのプロバイダー(また、ネットワークサービスプロバイダ、NSP)。
BRI - Basic Rate Interface; a digital telephone interface.
BRI - 基本速度インターフェイス。デジタル電話インターフェイス。
PRI - Primary Rate Interface; a digital telephone interface of 64K bits per second.
PRI - 一次群速度インターフェイス。毎秒64Kビットのデジタル電話インタフェース。
T1 - A digital telephone interface which provides 24-36 channels of PRI data and one control channel (2.048 Mbps).
T1 - PRIデータと一つの制御チャネル(2.048 Mbps)の24-36のチャネルを提供し、デジタル電話インタフェース。
T3 - A digital telephone interface which provides 28 T1 services. Signalling control for the entire connection is provided on a dedicated in-band channel.
T3 - 28のT1サービスを提供するデジタル電話インタフェース。全体の接続のための制御シグナリングは、専用帯域内チャネル上に設けられています。
NFAS - Non-Facility Associated Signaling, a telephone network protocol/service for providing call information on a separate wire connection from the call itself. Used with multiple T1 or T3 connections.
NFAS - 非機能関連シグナリング、コール自体とは別個の配線接続に呼情報を提供するための電話網のプロトコル/サービス。複数のT1またはT3接続で使用。
SS7 - A telephone network protocol for communicating call supervision information on a separate data network from the voice network.
SS7 - 音声ネットワークから別のデータネットワーク上の呼管理情報を通信するための電話ネットワークプロトコル。
POP - Point Of Presence; a geographic location of equipment and interconnection to the network. An ISP typically manages all equipment in a single POP in a similar manner.
POP - 存在のポイント。ネットワークの機器との相互接続の地理的位置。 ISPは通常、同様の方法で、単一のPOPですべての機器を管理します。
VSA - Vendor Specific Attributes; RADIUS attributes defined by vendors using the provision of attribute 26.
VSA - ベンダー固有の属性。属性26の提供を使用して、ベンダーによって定義されたRADIUS属性。
Copyright (C) The Internet Society (2000). All Rights Reserved.
著作権(C)インターネット協会(2000)。全著作権所有。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
この文書とその翻訳は、コピーして他の人に提供し、それ以外についてはコメントまたは派生物は、いかなる種類の制限もなく、全体的にまたは部分的に、準備コピーし、公表して配布することができることを説明したり、その実装を支援することができます、上記の著作権表示とこの段落は、すべてのそのようなコピーや派生物に含まれていることを条件とします。しかし、この文書自体は著作権のための手順はで定義されている場合には、インターネット標準を開発するために必要なものを除き、インターネットソサエティもしくは他のインターネット関連団体に著作権情報や参照を取り除くなど、どのような方法で変更されないかもしれませんインターネット標準化プロセスが続く、または英語以外の言語に翻訳するために、必要に応じなければなりません。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上記の制限は永久で、インターネット学会やその後継者や譲渡者によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とインターネットソサエティおよびインターネットエンジニアリングタスクフォースはすべての保証を否認し、明示または黙示、その情報の利用がない任意の保証を含むがこれらに限定されない「として、」上に設けられています特定の目的への権利または商品性または適合性の黙示の保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。