標籤: 暫無標籤

NAP是網際網路的路由選擇層次體系中的通信交換點。每個網路接入點都由一個共享交換系統或者區域網組成,用來交換業務量。通達網際網路主幹線的點。ISP互相連接的點。NAP可用作主要業務提供者的數據互換點。1999年初NAP和城域交換局(MAE)被統稱為公共網際網路交換點(IXP)。

NAPNAP
NAP是網際網路的路由選擇層次體系中的通信交換點。每個網路接入點都由一個共享交換系統或者區域網組成,用來交換業務量。通達網際網路主幹線的點。ISP互相連接的點。NAP可用作主要業務提供者的數據互換點。1999年初NAP和城域交換局(MAE)被統稱為公共網際網路交換點(IXP)。

1 NAP -NAP的組成

NAP網際網路
NAP是網際網路的路由選擇層次體系中的通信交換點。每個網路接入點都由一個共享交換系統或者區域網組成,用來交換業務量。骨幹網可以選擇其中任何一個或所有的網路接入點與其他骨幹網互聯。它通常稱為IX(網際網路交換)。在美國,網路接入點(NAP)是幾個主要的網際網路互聯的點中的一個,它把所有的網路接入提供商都捆綁在一起。最初的四個NAP(紐約、華盛頓特區、芝加哥和舊金山)是由NSF((美)國家科學基金會)資助並在20世紀80年代末重構網際網路主幹網期間由主要幾個提供商創建的。從那以後許多NAP陸陸續續組建起來,其中包括WorldCom的「MAE West」網站所在地聖何塞,加利福尼亞和ICS網路系統的「Big East」。在那時,NSFNET成為主要的網際網路主幹網,但其他網路也可使用或正在(或要)創建。當NSF決定使網際網路商業化時,它就提議開發可在主幹網之間進行通信交換的網際網路交換中心。現在,其他的網際網路交換中心已經遍及全世界,它們正在繁忙的處理著大量的網際網路通信負載。

2 NAP -NAP的運營

NAP路由器
NAP主要由路由仲裁組(Routing Arbiter,RA)、交換設備和ISP的邊界路由器組成。此外,為開展NAP的一些其他業務,人們還可以用到網路管理和附加服務等內容。交換設備與電信公司和服務提供商(國家或區域的)的設備相連接。公司利用NAP設備構建他們公司內部的對等網路。多數網際網路的流量是不通過NAP的,而是用對等排列和內部交換。實際上,NAP設備並不進行路由選擇。而是網路服務提供商將路由器並置在NAP處並將這些路由器連接到交換設備中。交換設備對於NAP的可能所有其他路由器提供任意對任意的連通性。服務提供商的路由器執行所有路由選擇,但使用交換設備在位於NAP處的不同的提供商網路接入點之間移動分組。當服務提供商對於在NAP處交換通信達成一致時,他們就是互相對等的。對等協議定義通信交換的參數。

 大多數NAP旨在供主要的網路服務提供商使用。其他NAP可作公共使用和為本地和區域服務提供商使用。MAE(城域交換)是MCI Worldcom運營的NAP,由都市光纖環構成,光纖環與服務提供商連接,這和運行接向中央設施的連接的服務提供商是不同的。與MAE類似的NAP也由其他公司運營。

公共NAP通常處於負載過重的情況。因此一些服務提供商就決定以稱為專用對等的協議方式直接進行互相連接。一種方法是通過繞開NAP的交換機,直接使用專用電纜在NAP處連接它們的路由器。另一種方法是通過使用租用線路或在地下敷設電纜的方式直接將設備連接起來。通常在服務提供商之間的地理位置距離比NAP近的情況下使用該方法。

 在NSF資助創建NAP的同時,它還資助路由選擇仲裁器服務的創建,該服務以路由伺服器和路由選擇仲裁器資料庫(RADB)的形式提供路由選擇協調功能。路由服務在NAP中處理路由選擇任務,而RADB生成路由伺服器配置文件。RADB是一組分散式資料庫的組成部分,這些資料庫稱為「網際網路路由註冊表」,一種以通用格式發布路由和路由選擇策略信息的公共資源庫。在RADB中,路由政策按照RIPE-181格式表示,分析軟體通過處理 RADB中的用戶數據為RS生成相應的配置文件。ISP使用存儲在任意或所有註冊表中的信息來配置其主幹網路由器,分析路由選擇策略及創建有助於這些工作的工具。

3 NAP -NAP 組件

NAP客戶端計算機
網路訪問保護 (NAP) 包含多個客戶端和伺服器組件。具有在所有 NAP 部署中使用的常見 NAP 組件,以及僅針對特定部署使用的組件,具體取決於 NAP 強制方法或您選擇的方法。

NAP 強制方法是與網路訪問保護一起使用以強制健康策略的多種網路訪問技術中的任一種。強制方法包括動態主機配置協議 (DHCP)、Internet 協議安全性 (IPsec)、虛擬專用網路 (VPN)、終端服務網關 (TS Gateway) 和可擴展的身份驗證協議 (EAP),可以對由 NPS 伺服器進行身份驗證的基於 802.1X 的無線和有線連接使用這些方法。

常見 NAP 組件
常見 NAP 組件包括客戶端和伺服器組件,由所有 NAP 強制方法使用。

客戶端組件
可使用 NAP 的客戶端是已安裝 NAP 組件的計算機,可以通過向網路策略伺服器 (NPS) 發送健康聲明 (SoH) 驗證其健康狀態。

以下是 NAP 基礎結構的可使用 NAP 的客戶端計算機組件。

健康聲明 (SoH)  一種聲明其健康狀態的來自客戶端計算機的聲明。系統健康代理 (SHA) 創建健康聲明 (SoH) 並將這些聲明發送到 NPS 伺服器上相應的系統健康驗證程序 (SHV)。

系統健康代理 (SHA)  一種組件,該組件檢查客戶端計算機的狀態以確定由 SHA 監視的設置是否為最新且已正確配置。例如,Windows 安全健康代理 (WSHA) 可以監視 Windows 防火牆,檢查防病毒軟體是否已安裝、啟用和更新,反間諜軟體是否已安裝、啟用和更新,以及 Microsoft 更新服務是否已啟用,且計算機是否擁有來自 Microsoft 更新服務的最新安全更新。還可能存在提供其他功能的可從其他公司獲得的 SHA(以及相應的系統健康驗證程序)。

NAP 代理  一種收集和管理健康信息的客戶端服務。處理來自各種系統健康代理的健康聲明,並將客戶端健康狀況報告給 NAP 管理伺服器。

強制客戶端  與網路訪問技術集成的客戶端軟體,如 DHCP、VPN 和 IPsec。若要使用 NAP,必須在客戶端計算機上安裝和啟用至少一個 NAP 強制客戶端。單個 NAP 強制客戶端是特定於強制方法的,並在以下部分進行說明。NAP 強制客戶端請求訪問網路、與提供網路訪問的 NAP 伺服器(如 NAP 伺服器)交流客戶端計算機的健康狀態,並與 NAP 客戶端體系結構的其他組件交流客戶端計算機的受限狀態。

伺服器組件
以下是 NAP 基礎結構的伺服器組件。

更新伺服器 承載 NAP 代理可用於使不兼容的客戶端計算機具有兼容性的更新。例如,更新伺服器可以承載防病毒簽名。如果健康策略要求 NAP 客戶端計算機安裝最新的防病毒定義,則用於承載防病毒簽名的防病毒 SHA、防病毒 SHV、防病毒策略伺服器,以及更新伺服器通力協作以更新不兼容的計算機。

系統健康驗證程序 (SHV) 伺服器軟體對應於 SHA。客戶端上的每個 SHA 在 NPS 中都具有相應的 SHV。NPS 使用 SHV 來驗證由客戶端計算機上其相應 SHA 進行的健康聲明。

SHA 和 SHV 相互匹配,連同相應的策略伺服器(由 SHV 用於確定系統健康的當前條件),以及可能的更新伺服器。SHV 還可以檢測到尚未接收 SoH(如 SHA 從未安裝或者已損壞或刪除的情況)。如果 SoH 不滿足已定義的策略,則 SHV 會將健康聲明響應 (SoHR) 消息發送到 SHA。一個網路可能具有多種 SHV。如果情況如此,則 NPS 伺服器必須調整所有 SHV 中的輸出,確定是否限制不兼容計算機的訪問。這要求為環境定義健康策略以及評估 SHV 交互的不同方式時仔細進行計劃。Windows 安全健康驗證程序 (WSHV) 可以驗證來自客戶端計算機上的 WSHA 的 SoH。還可能存在提供其他功能的可從其他公司獲得的 SHA(以及相應的 SHA)。

健康策略  通過配置單個 SHV 並將其添加到健康策略,然後配置策略條件而創建的規則。然後當您將健康策略添加到網路策略的設置時,這些策略由 NPS 實施和強制。

健康聲明響應 (SoHR)  驗證 SoH。如果客戶端計算機不兼容,則 SoHR 包含客戶端上 SHA 用於使客戶端計算機配置符合健康策略的補充說明。每種類型的 SoH 存儲有關係統健康狀態的各種信息,SoHR 消息存儲有關如何與 NPS 中配置的健康策略要求兼容的各種信息。

特定於強制方法的組件
以下是 NAP 基礎結構的特定於強制方法的組件。

強制技術 可配置用於強制 NAP 策略的五種網路訪問技術之一。

強制伺服器 NAP 伺服器上的一種組件,通常與 NAP 強制客戶端匹配,根據其健康符合性限制客戶端計算機的網路訪問。存在多種 NAP 強制伺服器:一種用於 DHCP 地址配置,一種用於 VPN 連接,一種用於 IPsec 保護的通信,一種用於終端服務網關(TS 網關),一種用於可擴展的身份驗證協議 (EAP),您可以將其用於由 NPS 伺服器進行身份驗證的基於 802.1X 的連接。

4 NAP -相關詞條

強制伺服器健康聲明響應安全健康驗證程序
客戶端計算機防病毒策略伺服器NAP 強制客戶端
Windows 防火牆虛擬專用網路終端服務網關



5 NAP -相關資料

[1] 賽迪網 http://comm.ccidnet.com/art/1961/20041014/165448_1.html
[2] 中電網 http://baike.eccn.com/eewiki/index.php/%E7%BD%91%E7%BB%9C%E6%8E%A5%E5%85%A5%E7%82%B9

上一篇[緩存溢出]    下一篇 [導管內乳頭狀瘤]

相關評論

同義詞:暫無同義詞