[要約] RFC 2881は、次世代のネットワークアクセスサーバー(NAS)モデルに関する要件を定義しています。このRFCの目的は、NASの機能と性能を向上させ、ネットワークアクセスのセキュリティと信頼性を確保することです。

Network Working Group                                            D. Mitton
Request for Comments: 2881                                 Nortel Networks
Category: Informational                                         M. Beadles
                                                           SmartPipes Inc.
                                                                 July 2000
        

Network Access Server Requirements Next Generation (NASREQNG) NAS Model

ネットワークアクセスサーバー要件次世代(NasReqng)NASモデル

Status of this Memo

本文書の位置付け

This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.

このメモは、インターネットコミュニティに情報を提供します。いかなる種類のインターネット標準を指定しません。このメモの配布は無制限です。

Copyright Notice

著作権表示

Copyright (C) The Internet Society (2000). All Rights Reserved.

Copyright(c)The Internet Society(2000)。無断転載を禁じます。

Abstract

概要

This document describes the terminology and gives a model of typical Network Access Server (NAS). The purpose of this effort is to set the reference space for describing and evaluating NAS service protocols, such as RADIUS (RFCs 2865, 2866) [1], [2] and follow-on efforts like AAA Working Group, and the Diameter protocol [3]. These are protocols for carrying user service information for authentication, authorization, accounting, and auditing, between a Network Access Server which desires to authenticate its incoming calls and a shared authentication server.

このドキュメントでは、用語について説明し、典型的なネットワークアクセスサーバー(NAS)のモデルを提供します。この取り組みの目的は、RADIUS(RFCS 2865、2866)[1]、[2]、およびAAAワーキンググループのような後続の取り組み[1]、および直径プロトコル[2]などのNASサービスプロトコルを説明および評価するための参照スペースを設定することです。3]。これらは、着信コールと共有認証サーバーの認証を希望するネットワークアクセスサーバー間の認証、承認、会計、および監査のためにユーザーサービス情報を運ぶためのプロトコルです。

Table of Contents

目次

   1. INTRODUCTION...................................................2
    1.1 Scope of this Document ......................................2
    1.2 Specific Terminology ........................................3
   2. NETWORK ACCESS SYSTEM EQUIPMENT ASSUMPTIONS....................3
   3. NAS SERVICES...................................................4
   4. AUTHENTICATION, AUTHORIZATION AND ACCOUNTING (AAA) SERVERS.....5
   5. TYPICAL NAS OPERATION SEQUENCE:................................5
    5.1 Characteristics of Systems and Sessions: ....................6
    5.2 Separation of NAS and AAA server functions ..................7
    5.3 Network Management and Administrative features ..............7
   6. AUTHENTICATION METHODS.........................................8
   7. SESSION AUTHORIZATION INFORMATION..............................8
   8. IP NETWORK INTERACTION.........................................9
   9. A NAS MODEL...................................................10
        
    9.1 A Reference Model of a NAS .................................10
    9.2 Terminology ................................................11
    9.3 Analysis ...................................................13
     9.3.1 Authentication and Security .............................13
     9.3.2 Authorization and Policy ................................14
     9.3.3 Accounting and Auditing .................................14
     9.3.4 Resource Management .....................................14
     9.3.5 Virtual Private Networks (VPN's) ........................14
     9.3.6 Service Quality .........................................15
     9.3.7 Roaming .................................................15
   10. SECURITY CONSIDERATIONS......................................15
   11. REFERENCES ..................................................16
   12. ACKNOWLEDGMENTS..............................................17
   13. AUTHORS' ADDRESSES ..........................................17
   14. APPENDIX - ACRONYMS AND GLOSSARY:............................18
   15. FULL COPYRIGHT STATEMENT.....................................20
        
1. Introduction
1. はじめに

A Network Access Server is the initial entry point to a network for the majority of users of network services. It is the first device in the network to provide services to an end user, and acts as a gateway for all further services. As such, its importance to users and service providers alike is paramount. However, the concept of a Network Access Server has grown up over the years without being formally defined or analyzed [4].

ネットワークアクセスサーバーは、ネットワークサービスの大多数のユーザーのネットワークへの初期エントリポイントです。これは、エンドユーザーにサービスを提供する最初のデバイスであり、すべてのさらなるサービスのゲートウェイとして機能します。そのため、ユーザーとサービスプロバイダーにとっての重要性が最も重要です。ただし、ネットワークアクセスサーバーの概念は、正式に定義または分析されることなく、長年にわたって成長してきました[4]。

1.1 Scope of this Document
1.1 このドキュメントの範囲

There are several tradeoffs taken in this document. The purpose of this document is to describe a model for evaluating NAS service protocols. It will give examples of typical NAS hardware and software features, but these are not to be taken as hard limitations of the model, but merely illustrative of the points of discussion. An important goal of the model is to offer a framework that allows further development and expansion of capabilities in NAS implementation.

このドキュメントにはいくつかのトレードオフがあります。このドキュメントの目的は、NASサービスプロトコルを評価するためのモデルを説明することです。典型的なNASハードウェアとソフトウェアの機能の例を挙げますが、これらはモデルの厳しい制限としてではなく、単に議論のポイントを示しているだけです。モデルの重要な目標は、NAS実装における機能のさらなる開発と拡大を可能にするフレームワークを提供することです。

As with most IETF projects, the focus is on standardizing the protocol interaction between the components of the system. The documents produced will not address the following areas:

ほとんどのIETFプロジェクトと同様に、システムのコンポーネント間のプロトコル相互作用の標準化に焦点が当てられています。作成されたドキュメントは、次の領域に対処しません。

- AAA server back-end implementation is abstracted and not prescribed. The actual organization of the data in the server, its internal interfaces, and capabilities are left to the implementation.

- AAAサーバーのバックエンド実装は抽象化されており、規定されていません。サーバー内のデータの実際の組織、その内部インターフェイス、および機能は、実装に任されています。

- NAS front-end call technology is not assumed to be static. Alternate and new technology will be accommodated. The resultant protocol specifications must be flexible in design to allow for new technologies and services to be added with minimal impact on existing implementations.

- NASフロントエンドコールテクノロジーは静的であるとは想定されていません。代替技術と新しいテクノロジーが収容されます。結果のプロトコル仕様は、既存の実装への影響を最小限に抑えて新しいテクノロジーとサービスを追加できるように、設計が柔軟になりなければなりません。

1.2 Specific Terminology
1.2 特定の用語

The following terms are used in this document in this manner: A "Call" - the initiation of a network service request to the NAS. This can mean the arrival of a telephone call via a dial-in or switched telephone network connection, or the creation of a tunnel to a tunnel server which becomes a virtual NAS. A "Session" - is the NAS provided service to a specific authorized user entity.

この方法でこのドキュメントでは、次の用語が使用されています。「呼び出し」 - NASへのネットワークサービス要求の開始。これは、ダイヤルインまたは電話ネットワーク接続を切り替えた電話の到着、または仮想NASになるトンネルサーバーへのトンネルの作成を意味します。「セッション」 - は、NASが特定の認定ユーザーエンティティに提供したサービスを提供しています。

2. Network Access System Equipment Assumptions
2. ネットワークアクセスシステム機器の仮定

A typical hardware-based NAS is implemented in a constrained system. It is important that the NAS protocols don't assume unlimited resources on the part of the platform. The following are typical constraints:

典型的なハードウェアベースのNASは、制約付きシステムに実装されています。NASプロトコルがプラットフォーム側の無制限のリソースを想定しないことが重要です。以下は典型的な制約です。

- A computer system of minimal to moderate performance (example processors: Intel 386 or 486, Motorola 68000) - A moderate amount, but not large RAM (typically varies with supported # of ports 1MB to 8MB) - Some small amount of non-volatile memory, and/or way to be configured out-of-band - No assumption of a local file system or disk storage

- 最小から中程度のパフォーマンスのコンピューターシステム(例のプロセッサ:Intel 386または486、Motorola 68000) - 中程度の量ではありませんが、大きなRAMではありません(通常、サポートされているポート1MB〜8MBで異なります) - 少量の非揮発性メモリ、および/または帯域外に構成する方法 - ローカルファイルシステムまたはディスクストレージの仮定はありません

A NAS system may consist of a system of interconnected specialized processor system units. Typically they may be circuit boards (or blades) that are arrayed in a card cage (or chassis) and referred to by their position (i.e., slot number). The bus interconnection methods are typically proprietary and will not be addressed here.

NASシステムは、相互接続された特殊なプロセッサシステムユニットのシステムで構成されている場合があります。通常、それらは、カードケージ(またはシャーシ)に配置され、その位置(つまりスロット番号)で言及される回路基板(またはブレード)である場合があります。バスの相互接続方法は通常独自であり、ここでは対処されません。

A NAS is sometimes referred to as a Remote Access Server (RAS) as it typically allows remote access to a network. However, a more general picture is that of an "Edge Server", where the NAS sits on the edge of an IP network of some type, and allows dynamic access to it.

NASは、通常、ネットワークへのリモートアクセスを許可するため、リモートアクセスサーバー(RAS)と呼ばれることがあります。ただし、より一般的な画像は、「エッジサーバー」の写真であり、NASが何らかのタイプのIPネットワークの端に座って、動的にアクセスできるようになります。

Such systems typically have;

そのようなシステムは通常、;

- At least one LAN or high performance network interface (e.g., Ethernet, ATM, FR)

- 少なくとも1つのLANまたは高性能ネットワークインターフェイス(Ethernet、ATM、FRなど)

- At least one, but typically many, serial interface ports, which could be; - serial RS232 ports direct wired or wired to a modem, or - have integral hardware or software modems (V.22bis,V.32, V.34, X2, Kflex, V.90, etc.) - have direct connections to telephone network digital WAN lines (ISDN, T1, T3, NFAS, or SS7) - an aggregation of xDSL connections or PPPoe sessions [5].

- 少なくとも1つは、しかし多くのシリアルインターフェイスポートがあります。 - シリアルRS232ポートは、モデムに直接配線または有線で配線されています。または、積分ハードウェアまたはソフトウェアモデム(v.22bis、v.32、v.34、x2、kflex、v.90など) - 電話への直接接続がありますネットワークデジタルWANライン(ISDN、T1、T3、NFA、またはSS7) - XDSL接続またはPPPOEセッションの集約[5]。

However, systems may perform some of the functions of a NAS, but not have these kinds of hardware characteristics. An example would be a industry personal computer server system, that has several modem line connections. These lines will be managed like a dedicated NAS, but the system itself is a general file server. Likewise, with the development of tunneling protocols (L2F [6], ATMP [7], L2TP [8]), tunnel server systems must behave like a "virtual" NAS, where the calls come from the network tunneled sessions and not hardware ports ([11], [9], [10]).

ただし、システムはNASの機能の一部を実行する場合がありますが、これらの種類のハードウェア特性はありません。例は、いくつかのモデムライン接続を備えた業界のパーソナルコンピューターサーバーシステムです。これらの行は専用のNASのように管理されますが、システム自体は一般的なファイルサーバーです。同様に、トンネリングプロトコル(L2F [6]、ATMP [7]、L2TP [8])の開発により、トンネルサーバーシステムは「仮想」NASのように動作する必要があります。ここでは、コールはネットワークトンネリングセッションからのコールがハードウェアポートではなく、([11]、[9]、[10])。

3. NAS Services
3. NASサービス

The core of what a NAS provides, are dynamic network services. What distinguishes a NAS from a typical routing system, is that these services are provided on a per-user basis, based on an authentication and the service is accounted for. This accounting may lead to policies and controls to limit appropriate usage to levels based on the availability of network bandwidth, or service agreements between the user and the provider.

NASが提供するものの中核は、動的なネットワークサービスです。NASを典型的なルーティングシステムと区別するのは、これらのサービスが認証に基づいてユーザーごとに提供され、サービスが考慮されることです。この会計は、ネットワーク帯域幅の可用性、またはユーザーとプロバイダー間のサービス契約に基づいて、適切な使用法をレベルに制限するポリシーと管理につながる可能性があります。

Typical services include:

典型的なサービスには次のものがあります。

- dial-up or direct access serial line access; Ability to access the network using a the public telephone network. - network access (SLIP, PPP, IPX, NETBEUI, ARAP); The NAS allows the caller to access the network directly. - asynchronous terminal services (Telnet, Rlogin, LAT, others); The NAS implements the network protocol on behalf of the caller, and presents a terminal interface. - dial-out connections; Ability to cause the NAS to initiate a connection over the public telephone network, typically based on the arrival of traffic to a specific network system. - callback (NAS generates call to caller); Ability to cause the NAS to reverse or initiate a network connection based on the arrival of a dial-in call. - tunneling (from access connection to remote server); The NAS transports the callers network packets over a network to a remote server using an encapsulation protocol. (L2TP [8], RADIUS support [11])

- ダイヤルアップまたは直接アクセスシリアルラインアクセス。公衆電話ネットワークを使用してネットワークにアクセスする能力。 - ネットワークアクセス(スリップ、PPP、IPX、NetBeui、ARAP);NASにより、発信者はネットワークに直接アクセスできます。 - 非同期末端サービス(Telnet、rlogin、lat、その他);NASは、発信者に代わってネットワークプロトコルを実装し、端末インターフェイスを提示します。 - 接続をダイヤルします。通常、特定のネットワークシステムへのトラフィックの到着に基づいて、NASが公衆電話ネットワーク上の接続を開始する能力。-Callback(NASは発信者への呼び出しを生成します);ダイヤルインコールの到着に基づいて、NASがネットワーク接続を逆転または開始する能力。 - トンネリング(アクセス接続からリモートサーバーへ);NASは、カプセル化プロトコルを使用して、ネットワークを介してネットワークを介してリモートサーバーに輸送します。(L2TP [8]、半径サポート[11])

4. Authentication, Authorization and Accounting (AAA) Servers
4. 認証、承認、会計(AAA)サーバー

Because of the need to authenticate and account, and for practical reasons of implementation, NAS systems have come to depend on external server systems to implement authentication databases and accounting recording.

認証とアカウントの必要性、および実装の実際的な理由により、NASシステムは、認証データベースと会計記録を実装するために外部サーバーシステムに依存するようになりました。

By separating these functions from the NAS equipment, they can be implemented in general purpose computer systems, that may provide better suited long term storage media, and more sophisticated database software infrastructures. Not to mention that a centralized server can allow the coordinated administration of many NAS systems as appropriate (for example a single server may service an entire POP consisting of multiple NAS systems).

これらの機能をNAS機器から分離することにより、一般的なコンピューターシステムに実装できます。これらは、より適切な長期ストレージメディア、およびより洗練されたデータベースソフトウェアインフラストラクチャを提供する可能性があります。言うまでもなく、集中サーバーは、必要に応じて多くのNASシステムの調整された管理を可能にすることができることは言うまでもありません(たとえば、単一のサーバーは、複数のNASシステムで構成されるPOP全体にサービスを提供する場合があります)。

For ease of management, there is a strong desire to piggyback NAS authentication information with other authentication databases, so that authentication information can be managed for several services (such as OS shell login, or Web Server access) from the same provider, without creating separate passwords and accounts for the user.

管理を容易にするために、他の認証データベースでNAS認証情報をピギーバックしたいという強い欲求があります。そのため、別個のプロバイダーからのいくつかのサービス(OSシェルログインやWebサーバーアクセスなど)に対して認証情報を管理できます。ユーザーのパスワードとアカウント。

Session activity information is stored and processed to produce accounting usage records. This is typically done with a long term (nightly, weekly or monthly) batch type process.

セッションアクティビティ情報は、会計使用記録を作成するために保存および処理されます。これは通常、長期(毎晩、毎月、または毎月)バッチタイププロセスで行われます。

However, as network operations grow in sophistication, there are requirements to provide real-time monitoring of port and user status, so that the state information can be used to implement policy decisions, monitor user trends, and the ability to possibly terminate access for administrative reasons. Typically only the NAS knows the true dynamic state of a session.

ただし、ネットワークの操作が高度に成長するにつれて、ポートとユーザーのステータスのリアルタイム監視を提供する要件があります。そのため、状態情報を使用してポリシー決定を実装し、ユーザーの動向を監視し、管理者のアクセスを終了する可能性のある能力があります。理由。通常、NASのみがセッションの真の動的状態を知っています。

5. Typical NAS Operation Sequence:

5. 典型的なNAS操作シーケンス:

The following details a typical NAS operational sequence:

次の詳細は、典型的なNAS運用シーケンスです。

- Call arrival on port or network - Port: - auto-detect (or not) type of call - CLI/SLIP: prompt for username and password (if security set) - PPP: engage LCP, Authentication - Request authentication from AAA server - if okay, proceed to service - may challenge - may ask for password change/update

- コールポートまたはネットワークへの到着-PORT: - Auto -Detect(または違う)の呼び出しタイプ - CLI/スリップ:ユーザー名とパスワードのプロンプト(セキュリティセットの場合) - PPP:Engage LCP、認証 - AAAサーバーから認証をリクエスト - さて、サービスに進む - チャレンジ - パスワードの変更/更新を要求することができます

- Network: - activate internal protocol server (telnet, ftp) - engage protocol's authentication technique - confirm authentication information with AAA server

- ネットワーク: - 内部プロトコルサーバー(Telnet、FTP)のアクティブ化 - プロトコルの認証手法をエンゲージする - AAAサーバーで認証情報を確認する

- Call Management Services - Information from the telephone system or gateway controller arrives indicating that a call has been received - The AAA server is consulted using the information supplied by the telephone system (typically Called or Calling number information) - The server indicates whether to respond to the call by answering it, or by returning a busy to the caller. - The server may also need to allocate a port to receive a call, and route it accordingly.

- 通話管理サービス - 電話システムまたはゲートウェイコントローラーからの情報が到着し、通話が受信されたことを示します - AAAサーバーは、電話システムが提供する情報(通常は呼び出されるか、番号情報を呼び出す)を使用して相談されます - サーバーは、に応答するかどうかを示しますそれに答えることによって、または忙しい人を呼び出し元に返すことによる呼び出し。 - サーバーは、通話を受信するためにポートを割り当て、それに応じてルーティングする必要がある場合があります。

- Dial-out - packet destination matches outbound route pre-configured - find profile information to setup call - Request information from AAA server for call details

- ダイヤルアウト - パケット宛先マッチングアウトバウンドルート事前構成 - コールのセットアップのプロファイル情報を見つける - コールの詳細についてはAAAサーバーから情報をリクエストする

- VPN/Tunneling (compulsory) - authentication server identifies user as remote - tunnel protocol is invoked to a remote server - authentication information may be forwarded to remote AAA server - if successful, the local link is given a remote identity

- VPN/Tunneling(Compururedory) - 認証サーバーユーザーをリモートとして識別する - トンネルプロトコルがリモートサーバーに呼び出されます - 認証情報はリモートAAAサーバーに転送される場合があります - 成功すると、ローカルリンクにリモートリンクが与えられます

- Multi-link aggregation - after a new call is authenticated by the AAA server, if MP options are present, then other bundles with the same identifying information is searched for - bundle searches are performed across multiple systems - join calls that match authentication and originator identities as one network addressable data source with a single network IP address

- マルチリンクの集約 - AAAサーバーによって新しい呼び出しが認証された後、MPオプションが存在する場合、同じ識別情報を持つ他のバンドルが検索されます - バンドル検索は複数のシステムで実行されます - 認証とオリジネーターのアイデンティティと一致する呼び出しに参加します単一のネットワークIPアドレスを備えた1つのネットワークアドレス指定可能なデータソースとして

- Hardwired (non-interactive) services - permanent WAN connections (Frame Relay or PSVCs) - permanent serial connections (printers)

- ハードワイヤード(非対話型)サービス - 永久WAN接続(フレームリレーまたはPSVC) - 永続的なシリアル接続(プリンター)

5.1 Characteristics of Systems and Sessions:

5.1 システムとセッションの特性:

Sessions must have a user identifier and authenticator to complete the authentication process. Accounting starts from time of call or service, though finer details are allowed. At the end of service, the call may be disconnected or allow re-authentication for additional services.

セッションには、認証プロセスを完了するには、ユーザー識別子と認証器が必要です。会計は、通話やサービスの時点から始まりますが、詳細は許可されています。サービスの終了時に、通話が切断されるか、追加サービスの再認証を許可する場合があります。

Some systems allow decisions on call handling to be made based on telephone system information provided before the call is answered (e.g., caller id or destination number). In such systems, calls may be busied-out or non-answered if system resources are not ready or available.

一部のシステムでは、通話に応答する前に提供される電話システム情報(発信者IDや宛先番号など)に基づいて、コール処理に関する決定を下すことができます。このようなシステムでは、システムリソースが準備ができていないか利用可能でない場合、通話は忙しくしたり、無制限にしたりする場合があります。

Authorization to run services are supplied and applied after authentication. A NAS may abort call if session authorization information disagrees with call characteristics. Some system resources may be controlled by server driven policies

サービスを実行する許可は、認証後に提供および適用されます。NASは、セッション承認情報が呼び出し特性に同意しない場合、通話を中止することができます。一部のシステムリソースは、サーバー駆動型ポリシーによって制御される場合があります

Accounting messages are sent to the accounting server when service begins, and ends, and possibly periodically during service delivery. Accounting is not necessarily a real-time service, the NAS may be queue and batch send event records.

会計メッセージは、サービスが開始され、終了し、場合によっては定期的にサービス提供中に会計サーバーに送信されます。会計は必ずしもリアルタイムのサービスではありません。NASはキューであり、バッチ送信イベントレコードです。

5.2 Separation of NAS and AAA server functions
5.2 NASおよびAAAサーバーの分離

As a distributed system, there is a separation of roles between the NAS and the Server:

分散システムとして、NASとサーバーの間に役割の分離があります。

- Server provides authentication services; checks passwords (static or dynamic) - Server databases may be organized in any way (only protocol specified) - Server may use external systems to authenticate (including OS user databases, token cards, one-time-lists, proxy or other means) - Server provides authorization information to NAS - The process of providing a service may lead to requests for additional information - Service authorization may require real-time enforcement (services may be based on Time of Day, or variable cost debits) - Session accounting information is tallied by the NAS and reported to server

- サーバーは認証サービスを提供します。パスワードをチェック(静的または動的) - サーバーデータベースは、あらゆる方法で編成される場合があります(指定されたプロトコルのみ) - サーバーは外部システムを使用して認証することができます(OSユーザーデータベース、トークンカード、1回限りのリスト、プロキシまたはその他の手段を含む) - サーバーはNASに承認情報を提供する - サービスを提供するプロセスは追加情報のリクエストにつながる可能性があります - サービス承認はリアルタイムの執行を必要とする場合があります(サービスは時間の時間、または変動コストデビットに基づいている場合があります) - セッション会計情報は調整されますNASによって、サーバーに報告されます

5.3 Network Management and Administrative features
5.3 ネットワーク管理と管理機能

The NAS system is presumed to have a method of configuration that allows it to know it's identity and network parameters at boot time. Likewise, this configuration information is typically managed using the standard management protocols (e.g., SNMP). This would include the configuration of the parameters necessary to contact the AAA server itself. The purpose of the AAA server is not to provide network management for the NAS, but to authorize and characterize the individual services for the users. Therefore any feature that can be user specific is open to supply from the AAA server.

NASシステムは、ブート時間にIDとネットワークパラメーターであることを知ることができる構成方法があると推定されています。同様に、この構成情報は通常、標準の管理プロトコル(SNMPなど)を使用して管理されます。これには、AAAサーバー自体に連絡するために必要なパラメーターの構成が含まれます。AAAサーバーの目的は、NASにネットワーク管理を提供することではなく、ユーザーの個々のサービスを承認および特性化することです。したがって、ユーザー固有の機能は、AAAサーバーから提供される可能性があります。

The system may have other operational services that are used to run and control the NAS. Some users that have _Administrative_ privileges may have access to system configuration tools, or services that affect the operation and configuration of the system (e.g., loading boot images, internal file system access, etc..) Access to these facilities may also be authenticated by the AAA server (provided it is configured and reachable!) and levels of access authorization may be provided.

システムには、NASの実行と制御に使用される他の運用サービスがあります。_administrative_特権を持つ一部のユーザーは、システムの構成ツール、またはシステムの操作と構成に影響を与えるサービス(たとえば、ブートイメージ、内部ファイルシステムアクセスなど)にアクセスできる場合があります。AAAサーバー(設定されて到達可能です!)とアクセス許可のレベルが提供される場合があります。

6. Authentication Methods
6. 認証方法

A NAS system typically supports a number of authentication systems. For async terminal users, these may be a simple as a prompt and input. For network datalink users, such as PPP, several different authentication methods will be supported (PAP, CHAP [12], MS-CHAP [13]). Some of these may actually be protocols in and of themselves (EAP [14] [15], and Kerberos).

NASシステムは通常、多くの認証システムをサポートします。ASYNCターミナルユーザーの場合、これらはプロンプトと入力のように簡単な場合があります。PPPなどのネットワークデータリンクユーザーの場合、いくつかの異なる認証方法がサポートされます(PAP、Chap [12]、MS-Chap [13])。これらのいくつかは、実際にはそれ自体のプロトコルである可能性があります(EAP [14] [15]、およびKerberos)。

Additionally, the content of the authentication exchanges may not be straightforward. Hard token cards, such as the Safeword and SecurId, systems may generate one-time passphrases that must be validated against a proprietary server. In the case of multi-link support, it may be necessary to remember a session token or certificate for the later authentication of additional links.

さらに、認証交換のコンテンツは簡単ではない場合があります。SafewordやSecuridなどのハードトークンカードは、独自のサーバーに対して検証する必要がある1回限りのパスフレーズを生成する場合があります。マルチリンクサポートの場合、追加のリンクを後で認証するためにセッショントークンまたは証明書を覚えておく必要がある場合があります。

In the cases of VPN and compulsory tunneling services, typically a Network Access Identifier (RFC 2486 [16]) is presented by the user. This NAI is parsed into a destination network identifier either by the NAS or by the AAA server. The authentication information will typically not be validated locally, but by a AAA service at the remote end of the tunnel service.

VPNおよび強制トンネリングサービスの場合、通常、ユーザーがネットワークアクセス識別子(RFC 2486 [16])が提示します。このNAIは、NASまたはAAAサーバーによって宛先ネットワーク識別子に解析されます。認証情報は通常、ローカルではなく、トンネルサービスのリモートエンドでのAAAサービスによって検証されます。

7. Session Authorization Information
7. セッション認証情報

Once a user has been authenticated, there are a number of individual bits of information that the network management may wish to configure and authorize for the given user or class of users.

ユーザーが認証されると、ネットワーク管理が指定されたユーザーまたはクラスのユーザーを設定および承認したいという個々の情報が多数あります。

Typical examples include:

典型的な例は次のとおりです。

For async terminal users:

Asyncターミナルユーザーの場合:

- banners - custom prompts - menus - CLI macros - which could be used for: shortcuts, compound commands, restrictive scripts

- バナー - カスタムプロンプト -メニュー - CLIマクロ - 使用できるCLIマクロ:ショートカット、複合コマンド、制限スクリプト

For network users:

ネットワークユーザーの場合:

- addresses, and routes - callback instructions - packet and activity filters - network server addresses - host server addresses

- アドレス、ルート - コールバックの手順 - パケットとアクティビティフィルター - ネットワークサーバーアドレス - ホストサーバーアドレス

Some services may require dynamic allocation of resources. Information about the resources required may not be known during the authentication phase, it may come up later. (e.g., IP Addresses for multi-link bundles) It's also possible that the authorization will change over the time of the session. To provide these there has to be a division of responsibility between the NAS and the AAA server, or a cooperation using a stateful service.

一部のサービスでは、リソースの動的な割り当てが必要になる場合があります。必要なリソースに関する情報は、認証フェーズ中にわからない場合があり、後で上がる可能性があります。(たとえば、マルチリンクバンドルのIPアドレス)セッションの時期に承認が変更される可能性もあります。これらを提供するには、NASとAAAサーバーの間に責任の分割、またはステートフルサービスを使用した協力が必要です。

Such services include:

このようなサービスには次のものがあります。

- IP Address management - Concurrent login limitations - Tunnel usage limitations - Real-time account expirations - Call management policies

- IPアドレス管理 - 同時ログイン制限 - トンネルの使用制限 - リアルタイムアカウントの満了 - コール管理ポリシー

In the process of resolving resource information, it may be required that a certain level of service be supplied, and if not available, the request refused, or corrective action taken.

リソース情報を解決する過程で、特定のレベルのサービスが提供されることが必要になる場合があり、利用できない場合は、リクエストが拒否され、是正措置が講じられています。

8. IP Network Interaction
8. IPネットワークインタラクション

As the NAS participates in the IP network, it interacts with the routing mechanisms of the network itself. These interactions may also be controlled on a per-user/session basis.

NASがIPネットワークに参加すると、ネットワーク自体のルーティングメカニズムと相互作用します。これらの相互作用は、ユーザー/セッションごとに制御することもできます。

For example, some input streams may be directed to specific hosts other than the default gateway for the destination subnet. In order to control services within the network provider's infrastructure, some types of packets may be discarded (filtered) before entering the network. These filters could be applied based on examination of destination address and port number. Anti-spoofing packet controls may be applied to disallow traffic sourced from addresses other than what was assigned to the port.

たとえば、一部の入力ストリームは、宛先サブネットのデフォルトゲートウェイ以外の特定のホストに向けられる場合があります。ネットワークプロバイダーのインフラストラクチャ内のサービスを制御するために、ネットワークに入る前に、いくつかのタイプのパケットを破棄(フィルタリング)する場合があります。これらのフィルターは、宛先アドレスとポート番号の調査に基づいて適用できます。ポートに割り当てられたもの以外の住所から供給されたトラフィックを許可するために、スプーフィング防止パケットコントロールを適用することができます。

A NAS may also be an edge router system, and apply Quality of Service (QoS) policies to the packets. This makes it a QOS Policy Enforcement Point [19], [17]. It may learn QOS and other network policies for the user via the AAA service.

NASはエッジルーターシステムであり、パケットにサービス品質(QOS)ポリシーを適用することもできます。これにより、QoSポリシー執行ポイント[19]、[17]になります。AAAサービスを介してユーザーのQoSおよびその他のネットワークポリシーを学習できます。

9. A NAS Model
9. NASモデル

So far we have looked at examples of things that NASes do. The following attempts to define a NAS model that captures the fundamentals of NAS structure to better categorize how it interacts with other network components.

これまでのところ、Nasesが行うことの例を見てきました。NAS構造の基礎をキャプチャするNASモデルを定義する以下の試みは、他のネットワークコンポーネントとどのように相互作用するかをよりよく分類します。

A Network Access Server is a device which sits on the edge of a network, and provides access to services on that network in a controlled fashion, based on the identity of the user of the network services in question and on the policy of the provider of these services. For the purposes of this document, a Network Access Server is defined primarily as a device which accepts multiple point-to-point [18] links on one set of interfaces, providing access to a routed network or networks on another set of interfaces.

ネットワークアクセスサーバーは、ネットワークの端にあるデバイスであり、問題のネットワークサービスのユーザーのIDとのプロバイダーのポリシーに基づいて、そのネットワーク上のサービスへのアクセスを制御された方法で提供します。これらのサービス。このドキュメントの目的のために、ネットワークアクセスサーバーは、主に1つのインターフェイスのセットに複数のポイントツーポイント[18]リンクを受け入れるデバイスとして定義され、別のインターフェイスのセットでルーティングされたネットワークまたはネットワークへのアクセスを提供します。

Note that there are many things that a Network Access Server is not. A NAS is not simply a router, although it will typically include routing functionality in it's interface to the network. A NAS is not necessarily a dial access server, although dial access is one common means of network access, and brings its own particular set of requirements to NAS's.

ネットワークアクセスサーバーがそうではないことがたくさんあることに注意してください。NASは単なるルーターではありませんが、通常、ネットワークへのインターフェースにルーティング機能を含めます。NASは必ずしもダイヤルアクセスサーバーではありませんが、ダイヤルアクセスはネットワークアクセスの一般的な手段の1つであり、NASに独自の特定の要件をもたらします。

A NAS is the first device in the IP network to provide services to an end user, and acts as a gateway for all further services. It is the point at which users are authenticated, access policy is enforced, network services are authorized, network usage is audited, and resource consumption is tracked. That is, a NAS often acts as the policy enforcement point for network AAAA (authentication, authorization, accounting, and auditing) services. A NAS is typically the first place in a network where security measures and policy may be implemented.

NASは、エンドユーザーにサービスを提供するIPネットワークの最初のデバイスであり、すべてのさらなるサービスのゲートウェイとして機能します。これは、ユーザーが認証され、アクセスポリシーが実施され、ネットワークサービスが承認され、ネットワークの使用が監査され、リソースの消費が追跡されるポイントです。つまり、NASはしばしば、ネットワークAAAA(認証、承認、会計、監査)サービスのポリシー執行ポイントとして機能します。NASは通常、セキュリティ対策とポリシーが実装されるネットワークの最初の場所です。

9.1 A Reference Model of a NAS
9.1 NASの参照モデル

For reference in the following discussion, a diagram of a NAS, its dependencies, and its interfaces is given below. This diagram is intended as an abstraction of a NAS as a reference model, and is not intended to represent any particular NAS implementation.

次の説明で参照するために、NAS、その依存関係、およびそのインターフェイスの図を以下に示します。この図は、参照モデルとしてのNASの抽象化として意図されており、特定のNAS実装を表すことを目的としていません。

                               Users
                             v v v v v v v
                             | | PSTN  | |
                             | |  or   | |
                             |encapsulated
                          +-----------------+
                          |    (Modems)     |
                          +-----------------+
                             | | | | | | |
                   +--+----------------------------+
                   |  |                            |
                   |N |     Client Interface       |
                   |  |                            |
                   |A +----------Routing ----------+
                   |  |                            |
                   |S |    Network Interface       |
                   |  |                            |
                   +--+----------------------------+
                           /      |     \
                          /       |      \
                         /        |       \
                        /         |        \
      POLICY MANAGEMENT/          |         \  DEVICE MANAGEMENT
      +---------------+           |          +-------------------+
      | Authentication|         _/^\_        |Device Provisioning|
      +---------------+       _/     \_      +-------------------+
      | Authorization |     _/         \_    |Device Monitoring  |
      +---------------+   _/             \_  +-------------------+
      | Accounting    |  /       The       \
      +---------------+  \_   Network(s)  _/
      | Auditing      |    \_           _/
      +---------------+      \_       _/
                               \_   _/
                                 \_/
        
9.2 Terminology
9.2 用語

Following is a description of the modules and interfaces in the reference model for a NAS given above:

以下は、上記のNASの参照モデルのモジュールとインターフェイスの説明です。

Client Interfaces - A NAS has one or more client interfaces, which provide the interface to the end users who are requesting network access. Users may connect to these client interfaces via modems over a PSTN, or via tunnels over a data network. Two broad classes of NAS's may be defined, based on the nature of the incoming client interfaces, as follows. Note that a single NAS device may serve in both classes:

クライアントインターフェイス - NASには1つ以上のクライアントインターフェイスがあり、ネットワークアクセスを要求しているエンドユーザーにインターフェイスを提供します。ユーザーは、PSTNを介したモデムを介して、またはデータネットワーク上のトンネルを介してこれらのクライアントインターフェイスに接続できます。次のように、着信クライアントインターフェイスの性質に基づいて、NASの2つの広範なクラスを定義できます。単一のNASデバイスが両方のクラスで提供できることに注意してください。

Dial Access Servers - A Dial Access Server is a NAS whose client interfaces consist of modems, either local or remote, which are attached to a PSTN.

ダイヤルアクセスサーバー - ダイヤルアクセスサーバーは、クライアントインターフェイスがPSTNに接続されたローカルまたはリモートのモデムで構成されるNASです。

Tunnel Servers - A Tunnel Server is a NAS whose client interfaces consists of tunneling endpoints in a protocol such as L2TP

トンネルサーバー - トンネルサーバーは、クライアントインターフェイスがL2TPなどのプロトコルのトンネルエンドポイントで構成されるNASです

Network Interfaces - A NAS has one or more network interfaces, which connect to the networks to which access is being granted.

ネットワークインターフェイス - NASには1つ以上のネットワークインターフェイスがあり、アクセスが許可されているネットワークに接続します。

Routing - If the network to which access is being granted is a routed network, then a NAS will typically include routing functionality.

ルーティング - アクセスが許可されているネットワークがルーティングネットワークである場合、NASには通常、ルーティング機能が含まれます。

Policy Management Interface - A NAS provides an interface which allows access to network services to be managed on a per-user basis. This interface may be a configuration file, a graphical user interface, an API, or a protocol such as RADIUS, Diameter, or COPS [19]. This interface provides a mechanism for granular resource management and policy enforcement.

ポリシー管理インターフェイス-NASは、ユーザーごとにネットワークサービスへのアクセスを管理できるインターフェイスを提供します。このインターフェイスは、構成ファイル、グラフィカルユーザーインターフェイス、API、またはRADIUS、直径、COPなどのプロトコルである場合があります[19]。このインターフェイスは、粒状のリソース管理と政策執行のメカニズムを提供します。

Authentication - Authentication refers to the confirmation that a user who is requesting services is a valid user of the network services requested. Authentication is accomplished via the presentation of an identity and credentials. Examples of types of credentials are passwords, one-time tokens, digital certificates, and phone numbers (calling/called).

認証 - 認証とは、サービスを要求しているユーザーが要求されたネットワークサービスの有効なユーザーであることの確認を指します。認証は、アイデンティティと資格情報の提示によって達成されます。資格情報の種類の例は、パスワード、1回限りのトークン、デジタル証明書、電話番号(呼び出し/呼び出し)です。

Authorization - Authorization refers to the granting of specific types of service (including "no service") to a user, based on their authentication, what services they are requesting, and the current system state. Authorization may be based on restrictions, for example time-of-day restrictions, or physical location restrictions, or restrictions against multiple logins by the same user. Authorization determines the nature of the service which is granted to a user. Examples of types of service include, but are not limited to: IP address filtering, address assignment, route assignment, QoS/differential services, bandwidth control/traffic management, compulsory tunneling to a specific endpoint, and encryption.

承認 - 承認とは、認証、要求しているサービス、および現在のシステム状態に基づいて、ユーザーへの特定の種類のサービス(「サービスなし」を含む)の付与を指します。承認は、制限、たとえば時間の制限、物理的な場所の制限、または同じユーザーによる複数のログインに対する制限に基づいている場合があります。承認は、ユーザーに付与されるサービスの性質を決定します。サービスのタイプの例には、IPアドレスフィルタリング、アドレス割り当て、ルート割り当て、QOS/微分サービス、帯域幅制御/トラフィック管理、特定のエンドポイントへの強制トンネリング、および暗号化が含まれますが、これらに限定されません。

Accounting - Accounting refers to the tracking of the consumption of NAS resources by users. This information may be used for management, planning, billing, or other purposes. Real-time accounting refers to accounting information that is delivered concurrently with the consumption of the resources. Batch accounting refers to accounting information that is saved until it is delivered at a later time. Typical information that is gathered in accounting is the identity of the user, the nature of the service delivered, when the service began, and when it ended.

会計 - 会計とは、ユーザーによるNASリソースの消費の追跡を指します。この情報は、管理、計画、請求、またはその他の目的に使用できます。リアルタイムの会計とは、リソースの消費と同時に提供される会計情報を指します。Batch Accountingとは、後で配信されるまで保存される会計情報を指します。会計で収集される典型的な情報は、ユーザーの身元、提供されたサービスの性質、サービスが始まったとき、それが終了したときです。

Auditing - Auditing refers to the tracking of activity by users. As opposed to accounting, where the purpose is to track consumption of resources, the purpose of auditing is to determine the nature of a user's network activity. Examples of auditing information include the identity of the user, the nature of the services used, what hosts were accessed when, what protocols were used, etc.

監査 - 監査とは、ユーザーによるアクティビティの追跡を指します。リソースの消費を追跡する目的である会計とは対照的に、監査の目的は、ユーザーのネットワークアクティビティの性質を決定することです。監査情報の例には、ユーザーの身元、使用されるサービスの性質、ホストがいつアクセスされたか、使用されたプロトコルなどが含まれます。

AAAA Server - An AAAA Server is a server or servers that provide authentication, authorization, accounting, and auditing services. These may be co-located with the NAS, or more typically, are located on a separate server and communicate with the NAS's User Management Interface via an AAAA protocol. The four AAAA functions may be located on a single server, or may be broken up among multiple servers.

AAAAサーバー-AAAAサーバーは、認証、承認、会計、監査サービスを提供するサーバーまたはサーバーです。これらはNASと共同で開催される場合があります。または、より一般的には、別のサーバーに配置され、AAAAプロトコルを介してNASのユーザー管理インターフェイスと通信します。4つのAAAA関数は、単一のサーバーに配置されている場合があるか、複数のサーバー間で分割されている場合があります。

Device Management Interface - A NAS is a network device which is owned, operated, and managed by some entity. This interface provides a means for this entity to operate and manage the NAS. This interface may be a configuration file, a graphical user interface, an API, or a protocol such as SNMP [20].

デバイス管理インターフェイス-NASは、一部のエンティティが所有、運用、管理するネットワークデバイスです。このインターフェイスは、このエンティティがNASを運用および管理する手段を提供します。このインターフェイスは、構成ファイル、グラフィカルユーザーインターフェイス、API、またはSNMPなどのプロトコルである場合があります[20]。

Device Monitoring - Device monitoring refers to the tracking of status, activity, and usage of the NAS as a network device.

デバイスの監視 - デバイスの監視とは、ネットワークデバイスとしてのNASのステータス、アクティビティ、および使用の追跡を指します。

Device Provisioning - Device provisioning refers to the configurations, settings, and control of the NAS as a network device.

デバイスプロビジョニング - デバイスプロビジョニングとは、ネットワークデバイスとしてのNASの構成、設定、および制御を指します。

9.3 Analysis
9.3 分析

Following is an analysis of the functions of a NAS using the reference model above:

以下は、上記の参照モデルを使用したNASの機能の分析です。

9.3.1 Authentication and Security
9.3.1 認証とセキュリティ

NAS's serve as the first point of authentication for network users, providing security to user sessions. This security is typically performed by checking credentials such as a PPP PAP user name/password pair or a PPP CHAP user name and challenge/response, but may be extended to authentication via telephone number information, digital certificates, or biometrics. NAS's also may authenticate themselves to users. Since a NAS may be shared among multiple administrative entities, authentication may actually be performed via a back-end proxy, referral, or brokering process.

NASは、ネットワークユーザーの認証の最初のポイントとして機能し、ユーザーセッションにセキュリティを提供します。このセキュリティは通常、PPP PAPユーザー名/パスワードペアまたはPPP Chapユーザー名と課題/応答などの資格情報をチェックすることで実行されますが、電話番号情報、デジタル証明書、または生体認証を介して認証に拡張される場合があります。NASは、ユーザーに自分自身を認証する場合もあります。NASは複数の管理エンティティ間で共有される可能性があるため、実際にはバックエンドプロキシ、紹介、またはブローカープロセスを介して認証が実行される場合があります。

In addition to user security, NAS's may themselves be operated as secure devices. This may include secure methods of management and monitoring, use of IP Security [21] and even participation in a Public Key Infrastructure.

ユーザーセキュリティに加えて、NAS自体が安全なデバイスとして操作される場合があります。これには、管理と監視の安全な方法、IPセキュリティの使用[21]、さらには公開キーインフラストラクチャへの参加が含まれる場合があります。

9.3.2 Authorization and Policy
9.3.2 承認とポリシー

NAS's are the first point of authorization for usage of network resources, and NAS's serve as policy enforcement points for the services that they deliver to users. NAS's may provision these services to users in a statically or dynamically configured fashion. Resource management can be performed at a NAS by granting specific types of service based on the current network state. In the case of shared operation, NAS policy may be determined based on the policy of multiple end systems.

NASは、ネットワークリソースを使用するための許可の最初のポイントであり、NASはユーザーに提供するサービスのポリシー執行ポイントとして機能します。NASは、これらのサービスを静的または動的に構成されたファッションでユーザーに提供することができます。リソース管理は、現在のネットワーク状態に基づいて特定の種類のサービスを付与することにより、NASで実行できます。共有操作の場合、NASポリシーは、複数のエンドシステムのポリシーに基づいて決定される場合があります。

9.3.3 Accounting and Auditing
9.3.3 会計と監査

Since NAS services are consumable resources, usage information must often be collected for the purposes of soft policy management, reporting, planning, and accounting. A dynamic, real-time view of NAS usage is often required for network auditing purposes. Since a NAS may be shared among multiple administrative entities, usage information must often be delivered to multiple endpoints. Accounting is performed using such protocols as RADIUS [2].

NASサービスは消費可能なリソースであるため、ソフトポリシー管理、報告、計画、および会計の目的で使用情報を収集する必要があることがよくあります。ネットワーク監査目的では、NASの使用状況の動的でリアルタイムのビューが必要になることがよくあります。NASは複数の管理エンティティ間で共有される可能性があるため、多くの場合、使用情報を複数のエンドポイントに配信する必要があります。会計は、そのようなProtocolsなどのプロトコルを使用して実行されます[2]。

9.3.4 Resource Management
9.3.4 資源管理

NAS's deliver resources to users, often in a dynamic fashion. Examples of the types of resources doled out by NAS's are IP addresses, network names and name server identities, tunnels, and PSTN resources such as phone lines and numbers. Note that NAS's may be operated in a outsourcing model, where multiple entities are competing for the same resources.

NASは、多くの場合、ダイナミックな方法でユーザーにリソースを提供します。NASのリソースの種類の例は、IPアドレス、ネットワーク名、名前サーバーのアイデンティティ、トンネル、電話回線や番号などのPSTNリソースです。NASは、複数のエンティティが同じリソースを競合しているアウトソーシングモデルで運用される場合があることに注意してください。

9.3.5 Virtual Private Networks (VPN's)
9.3.5 仮想プライベートネットワーク(VPN)

NAS's often participate in VPN's, and may serve as the means by which VPN's are implemented. Examples of the use of NAS's in VPN's are: Dial Access Servers that build compulsory tunnels, Dial Access Servers that provide services to voluntary tunnelers, and Tunnel Servers that provide tunnel termination services. NAS's may simultaneously provide VPN and public network services to different users, based on policy and user identity.

NASはしばしばVPNに参加しており、VPNが実装される手段として機能する可能性があります。VPNでのNASの使用の例は次のとおりです。ダイヤルアクセスサーバーは、強制トンネルを構築するサーバー、自発的トンネラーにサービスを提供するアクセスサーバー、トンネル終端サービスを提供するトンネルサーバーをダイヤルします。NASは、ポリシーとユーザーのアイデンティティに基づいて、異なるユーザーにVPNとパブリックネットワークサービスを同時に提供する場合があります。

9.3.6 Service Quality
9.3.6 サービスの質

A NAS may delivery different qualities, types, or levels of service to different users based on policy and identity. NAS's may perform bandwidth management, allow differential speeds or methods of access, or even participate in provisioned or signaled Quality of Service (QoS) networks.

NASは、ポリシーとアイデンティティに基づいて、異なるユーザーに異なる品質、タイプ、またはサービスレベルを提供する場合があります。NASは、帯域幅管理を実行したり、アクセスの速度や方法を差し引いたり、プロビジョニングされたサービス品質(QOS)ネットワークに参加したりすることもあります。

9.3.7 Roaming
9.3.7 ローミング

NAS's are often operated in a shared or outsourced manner, or a NAS operator may enter into agreements with other service providers to grant access to users from these providers (roaming operations). NAS's often are operated as part of a global network. All these imply that a NAS often provides services to users from multiple administrative domains simultaneously. The features of NAS's may therefore be driven by requirements of roaming [22].

NASは多くの場合、共有または外部委託された方法で運営されます。または、NASオペレーターは、これらのプロバイダーからユーザーへのアクセスを付与するために他のサービスプロバイダーと契約を結びます(ローミングオペレーション)。NASは、多くの場合、グローバルネットワークの一部として運営されています。これらはすべて、NASが多くの場合、複数の管理ドメインのユーザーに同時にサービスを提供することを意味します。したがって、NASの特徴は、ローミングの要件によって推進される可能性があります[22]。

10. Security Considerations
10. セキュリティに関する考慮事項

This document describes a model not a particular solution.

このドキュメントは、特定のソリューションではないモデルについて説明しています。

As mentioned in section 9.3.1 and elsewhere, NAS'es are concerned about the security of several aspects of their operation, including:

セクション9.3.1およびその他の場所で述べたように、NAS'esは、次のことを含む、運用のいくつかの側面のセキュリティを懸念しています。

- Providing sufficiently robust authentication techniques as required by network policies, - NAS authentication of configured authentication server(s), - Server ability to authenticate configured clients, - Hiding of the authentication information from network snooping to protect from attacks and provide user privacy, - Protecting the integrity of message exchanges from attacks such as; replay, or man-in-the middle, - Inability of other hosts to interfere with services authorized to NAS, or gain unauthorized services, - Inability of other hosts to probe or guess at authentication information. - Protection of NAS system configuration and administration from unauthorized users - Protection of the network from illegal packets sourced by accessing connections

- ネットワークポリシーで必要な十分に堅牢な認証手法、-NAS構成された認証サーバーの認証、 - 構成されたクライアントを認証するサーバー機能、攻撃から保護し、ユーザープライバシーを提供するためにネットワークスヌーピングからの認証情報の隠蔽、 - 保護 - 次のような攻撃からのメッセージ交換の整合性。リプレイ、またはマンインザミドル - 他のホストがNASに承認されたサービスを妨害したり、不正なサービスを獲得したりすることができない - 他のホストが認証情報を調査または推測できないこと。 - 不正なユーザーからのNASシステムの構成と管理の保護 - 接続にアクセスすることで供給された違法なパケットからのネットワークの保護

11. References
11. 参考文献

[1] Rigney, C., Willens, S., Rubens, A. and W. Simpson, "Remote Authentication Dial In User Service (RADIUS)", RFC 2865, June 2000.

[1] Rigney、C.、Willens、S.、Rubens、A。and W. Simpson、「リモート認証ダイヤルインユーザーサービス(RADIUS)」、RFC 2865、2000年6月。

[2] Rigney, C., "RADIUS Accounting", RFC 2866, June 2000.

[2] Rigney、C。、「Radius Accounting」、RFC 2866、2000年6月。

[3] Calhoun, P., "Diameter Base Protocol", Work in Progress.

[3] Calhoun、P。、「直径ベースプロトコル」、進行中の作業。

[4] Zorn, G., "Yet Another Authentication Protocol (YAAP)", Work in Progress.

[4] Zorn、G。、「さらに別の認証プロトコル(YAAP)」、進行中の作業。

[5] Mamakos, L., Lidl, K., Evarts, K., Carrel, D., Simone, D. and R. Wheeler, "A Method for Transmitting PPP Over Ethernet (PPPoE)", RFC 2516, February 1999.

[5] Mamakos、L.、Lidl、K.、Evarts、K.、Carrel、D.、Simone、D。、およびR. Wheeler、「PPPを超える(PPPOE)を送信する方法」、RFC 2516、1999年2月。

[6] Valencia, A., Littlewood, M. and T. Kolar, "Cisco Layer Two Forwarding (Protocol) L2F", RFC 2341, May 1998.

[6] Valencia、A.、Littlewood、M。and T. Kolar、「Cisco Layer Two Forwarding(Protocol)L2F」、RFC 2341、1998年5月。

[7] Hamzeh, K., "Ascend Tunnel Management Protocol - ATMP", RFC 2107, February 1997.

[7] Hamzeh、K。、「Ascend Tunnel Management Protocol -ATMP」、RFC 2107、1997年2月。

[8] Valencia, A., Townsley, W., Rubens, A., Pall, G., Zorn, G., and B. Palter, "Layer Two Tunneling Protocol (L2TP)", RFC 2661, August 1999.

[8] Valencia、A.、Townsley、W.、Rubens、A.、Pall、G.、Zorn、G。、およびB. Palter、「レイヤー2トンネリングプロトコル(L2TP)」、RFC 2661、1999年8月。

[9] Zorn, G., Leifer, D., Rubens, A., Shriver, J. and M. Holdrege, "RADIUS Attributes for Tunnel Protocol Support", RFC 2868, June 2000.

[9] Zorn、G.、Leifer、D.、Rubens、A.、Shriver、J。、およびM. Holdrege、「トンネルプロトコルサポートの半径属性」、RFC 2868、2000年6月。

[10] Zorn, G., Aboba, B. and D. Mitton, "RADIUS Accounting Modifications for Tunnel Protocol Support", RFC 2867, June 2000.

[10] Zorn、G.、Aboba、B。、およびD. Mitton、「トンネルプロトコルサポートのための半径会計変更」、RFC 2867、2000年6月。

[11] Aboba, B. and G. Zorn, "Implementation of PPTP/L2TP Compulsory Tunneling via RADIUS", RFC 2809, April 2000.

[11] Aboba、B。およびG. Zorn、「RADIUSを介したPPTP/L2TP強制トンネルの実装」、RFC 2809、2000年4月。

[12] Simpson, W., "PPP Challenge Handshake Authentication Protocol (CHAP)", RFC 1994, August 1996.

[12] シンプソン、W。、「PPPチャレンジハンドシェイク認証プロトコル(CHAP)」、RFC 1994、1996年8月。

[13] Zorn, G. and S. Cobb, "Microsoft PPP CHAP Extensions", RFC 2433, March 1998.

[13] Zorn、G。およびS. Cobb、「Microsoft PPP Chap Extensions」、RFC 2433、1998年3月。

[14] Blunk, L. and J. Vollbrecht, "PPP Extensible Authentication Protocol (EAP)", RFC 2284, March 1998.

[14] Blunk、L。およびJ. Vollbrecht、「PPP拡張可能な認証プロトコル(EAP)」、RFC 2284、1998年3月。

[15] Calhoun, et al., "Extensible Authentication Protocol Support in RADIUS", Work in Progress.

[15] Calhoun、et al。、「RADIUSにおける拡張可能な認証プロトコルのサポート」、進行中の作業。

[16] Aboba, B. and M. Beadles, "The Network Access Identifier", RFC 2486, January 1999.

[16] Aboba、B。およびM. Beadles、「ネットワークアクセス識別子」、RFC 2486、1999年1月。

[17] Braden, R., Zhang, L., Berson, S., Herzog, S. and S. Jamin, "Resource ReSerVation Protocol (RSVP) Version 1 Functional Specification", RFC 2205, September 1997.

[17] Braden、R.、Zhang、L.、Berson、S.、Herzog、S。、およびS. Jamin、「リソース予約プロトコル(RSVP)バージョン1機能仕様」、RFC 2205、1997年9月。

[18] Simpson, W., Editor, "The Point-to-Point Protocol (PPP)", STD 51, RFC 1661, July 1994.

[18] シンプソン、W。、編集者、「ポイントツーポイントプロトコル(PPP)」、STD 51、RFC 1661、1994年7月。

[19] Boyle, J., Cohen, R., Durham, D., Herzog, S., Raja, R. and A. Sastry. "The COPS (Common Open Policy Service) Protocol", RFC 2748, January 2000.

[19] Boyle、J.、Cohen、R.、Durham、D.、Herzog、S.、Raja、R。、A。Sastry。「The Cops(Common Open Policy Service)Protocol」、RFC 2748、2000年1月。

[20] Case, J., Fedor, M., Schoffstall, M. and J. Davin. "A Simple Network Management Protocol (SNMP)", STD 15, RFC 1157, May 1990.

[20] Case、J.、Fedor、M.、Schoffstall、M。およびJ. Davin。「シンプルなネットワーク管理プロトコル(SNMP)」、STD 15、RFC 1157、1990年5月。

[21] Atkinson, R. and S. Kent, "Security Architecture for the Internet Protocol", RFC 2401, November 1998.

[21] Atkinson、R。およびS. Kent、「インターネットプロトコルのセキュリティアーキテクチャ」、RFC 2401、1998年11月。

[22] Aboba, Zorn, "Dialup Roaming Requirements", Work in Progress.

[22] Aboba、Zorn、「Dialup Roaming Recomations」、進行中の作業。

12. Acknowledgments
12. 謝辞

This document is a synthesis of my earlier draft and Mark Beadles' NAS Reference Model draft.

このドキュメントは、私の以前のドラフトとマークビードルズのNASリファレンスモデルドラフトの統合です。

13. Authors' Addresses
13. 著者のアドレス

David Mitton Nortel Networks 880 Technology Park Drive Billerica, MA 01821

David Mitton Nortel Networks 880 Technology Park Drive Billerica、MA 01821

Phone: 978-288-4570 EMail: dmitton@nortelnetworks.com

電話:978-288-4570メール:dmitton@nortelnetworks.com

Mark Beadles SmartPipes Inc. 545 Metro Place South Suite 100 Dublin, OH 43017

Mark Beadles SmartPipes Inc. 545 Metro Place South Suite 100 Dublin、OH 43017

Phone: 614-327-8046 EMail: mbeadles@smartpipes.com

電話:614-327-8046メール:mbeadles@smartpipes.com

14. Appendix - Acronyms and Glossary:

14. 付録 - 頭字語と用語集:

AAA - Authentication, Authorization, Accounting, The three primary services required by a NAS server or protocol.

AAA-認証、承認、会計、NASサーバーまたはプロトコルが必要とする3つの主要なサービス。

NAS - Network Access Server, a system that provides access to a network. In some cases also know as a RAS, Remote Access Server.

NAS -Network Access Server、ネットワークへのアクセスを提供するシステム。場合によっては、RAS、リモートアクセスサーバーとしても知られています。

CLI - Command Line Interface, an interface to a command line service for use with an common asynchronous terminal facility.

CLI-コマンドラインインターフェイス、一般的な非同期端子施設で使用するコマンドラインサービスへのインターフェイス。

SLIP - Serial Line Internet Protocol, an IP-only serial datalink, predecessor to PPP.

スリップ - シリアルラインインターネットプロトコル、IPのみのシリアルデータリンク、PPPの前身。

PPP - Point-to-Point Protocol; a serial datalink level protocol that supports IP as well as other network protocols. PPP has three major states of operation: LCP - Link layer Control Protocol, Authentication, of which there are several types (PAP, CHAP, EAP), and NCP - Network layer Control Protocol, which negotiates the network layer parameters for each of the protocols in use.

PPP-ポイントツーポイントプロトコル。IPおよびその他のネットワークプロトコルをサポートするシリアルデータリンクレベルプロトコル。PPPには3つの主要な動作状態があります。LCP-リンクレイヤー制御プロトコル、認証、その中にはいくつかのタイプ(PAP、CHAP、EAP)、およびNCP-ネットワークレイヤー制御プロトコルがあります。使用中で。

IPX - Novell's NetWare transport protocol

IPX -Novellのネットウェアトランスポートプロトコル

NETBEUI - A Microsoft/IBM LAN protocol used by Microsoft file services and the NETBIOS applications programming interface.

NetBeui -Microsoft File ServicesおよびNetBios Applicationsプログラミングインターフェイスで使用されるMicrosoft/IBM LANプロトコル。

ARAP - AppleTalk Remote Access Protocol

ARAP -AppleTalkリモートアクセスプロトコル

LAT - Local Area Transport; a Digital Equipment Corp. LAN protocol for terminal services.

LAT-ローカルエリア輸送;ターミナルサービス用のDigital Equipment Corp. LANプロトコル。

PPPoe - PPP over Ethernet; a protocol that forwards PPP frames on an LAN infrastructure. Often used to aggregate PPP streams at a common server bank.

pppoe -ppp over Ethernet;LANインフラストラクチャにPPPフレームを転送するプロトコル。よくあるサーバーバンクでPPPストリームを集約するためによく使用されます。

VPN - Virtual Private Network; a term for networks that appear to be private to the user by the use of tunneling techniques.

VPN-仮想プライベートネットワーク。トンネリング技術を使用することにより、ユーザーにとってプライベートであると思われるネットワークの用語。

FR - Frame Relay, a synchronous WAN protocol and telephone network intraconnect service.

FR-フレームリレー、同期WANプロトコルおよび電話ネットワーク内部接続サービス。

PSVC - Permanent Switched Virtual Circuit - a service which delivers an virtual permanent circuit by a switched network.

PSVC-永久切り替え仮想回路 - スイッチネットワークによって仮想永久回路を提供するサービス。

PSTN - Public Switched Telephone Network ISDN - Integrated Services Digital Network, a telephone network facility for transmitting digital and analog information over a digital network connection. A NAS may have the ability to receive the information from the telephone network in digital form.

PSTN-公開された電話ネットワークISDN-統合サービスデジタルネットワーク、デジタルネットワーク接続を介してデジタル情報とアナログ情報を送信するための電話ネットワーク施設。NASには、電話ネットワークからデジタル形式で情報を受け取ることができます。

ISP - Internet Service Provider; a provider of Internet access (also Network Service Provider, NSP).

ISP-インターネットサービスプロバイダー。インターネットアクセスのプロバイダー(ネットワークサービスプロバイダー、NSPも)。

BRI - Basic Rate Interface; a digital telephone interface.

BRI-基本レートインターフェイス。デジタル電話インターフェイス。

PRI - Primary Rate Interface; a digital telephone interface of 64K bits per second.

PRI-プライマリレートインターフェイス。毎秒64Kビットのデジタル電話インターフェイス。

T1 - A digital telephone interface which provides 24-36 channels of PRI data and one control channel (2.048 Mbps).

T1- PRIデータと1つの制御チャネル(2.048 Mbps)の24〜36チャネルを提供するデジタル電話インターフェイス。

T3 - A digital telephone interface which provides 28 T1 services. Signalling control for the entire connection is provided on a dedicated in-band channel.

T3- 28のT1サービスを提供するデジタル電話インターフェイス。接続全体の信号制御は、専用のインバンドチャネルで提供されます。

NFAS - Non-Facility Associated Signaling, a telephone network protocol/service for providing call information on a separate wire connection from the call itself. Used with multiple T1 or T3 connections.

NFAS-非ファシリティ関連シグナル伝達、コール自体から個別のワイヤ接続に関するコール情報を提供するための電話ネットワークプロトコル/サービス。複数のT1またはT3接続で使用されます。

SS7 - A telephone network protocol for communicating call supervision information on a separate data network from the voice network.

SS7-音声ネットワークから個別のデータネットワーク上の通話監督情報を通信するための電話ネットワークプロトコル。

POP - Point Of Presence; a geographic location of equipment and interconnection to the network. An ISP typically manages all equipment in a single POP in a similar manner.

ポップ - 存在点;機器の地理的位置とネットワークへの相互接続。ISPは通常、同様の方法ですべての機器を単一のポップで管理します。

VSA - Vendor Specific Attributes; RADIUS attributes defined by vendors using the provision of attribute 26.

VSA-ベンダー固有の属性。属性26の提供を使用したベンダーによって定義された半径属性。

15. 完全な著作権声明

Copyright (C) The Internet Society (2000). All Rights Reserved.

Copyright(c)The Internet Society(2000)。無断転載を禁じます。

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.

このドキュメントと翻訳は他の人にコピーされて提供される場合があります。また、それについてコメントまたは説明する派生作品、またはその実装を支援することは、いかなる種類の制限なしに、準備、コピー、公開、および部分的に配布される場合があります。、上記の著作権通知とこの段落がそのようなすべてのコピーとデリバティブ作品に含まれている場合。ただし、このドキュメント自体は、インターネット協会や他のインターネット組織への著作権通知や参照を削除するなど、いかなる方法でも変更できない場合があります。インターネット標準プロセスに従うか、英語以外の言語に翻訳するために必要な場合に従う必要があります。

The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.

上記の限られた許可は永続的であり、インターネット社会またはその後継者または譲受人によって取り消されることはありません。

This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

この文書と本書に含まれる情報は、「現状」に基づいて提供されており、インターネット社会とインターネットエンジニアリングタスクフォースは、ここにある情報の使用が行われないという保証を含むがこれらに限定されないすべての保証を否認します。特定の目的に対する商品性または適合性の権利または黙示的な保証を侵害します。

Acknowledgement

謝辞

Funding for the RFC Editor function is currently provided by the Internet Society.

RFCエディター機能の資金は現在、インターネット協会によって提供されています。