vt. 使拉毛
vi. 小睡;疏忽
nap 百科內容來自於:
NAP是因特網的路由選擇層次體系中的通信交換點。每個網絡接入點都由壹個***享交換系統或者局域網組成,用來交換業務量。通達因特網主幹線的點。ISP互相連接的點。NAP可用作主要業務提供者的數據互換點。1999年初NAP和城域交換局(MAE)被統稱為公***因特網交換點(IXP)。
NAP的組成因特網NAP是因特網的路由選擇層次體系中的通信交換點。每個網絡接入點都由壹個***享交換系統或者局域網組成,用來交換業務量。骨幹網可以選擇其中任何壹個或所有的網絡接入點與其他骨幹網互聯。它通常稱為IX(因特網交換)。在美國,網絡接入點(NAP)是幾個主要的因特網互聯的點中的壹個,它把所有的網絡接入提供商都捆綁在壹起。最初的四個NAP(紐約、華盛頓特區、芝加哥和舊金山)是由NSF((美)國家科學基金會)資助並在20世紀80年代末重構因特網主幹網期間由主要幾個提供商創建的。從那以後許多NAP陸陸續續組建起來,其中包括WorldCom的“MAE West”網站所在地聖何塞,加利福尼亞和ICS網絡系統的“Big East”。在那時,NSFNET成為主要的因特網主幹網,但其他網絡也可使用或正在(或要)創建。當NSF決定使因特網商業化時,它就提議開發可在主幹網之間進行通信交換的因特網交換中心。現在,其他的因特網交換中心已經遍及全世界,它們正在繁忙的處理著大量的因特網通信負載。
NAP的運營
路由器NAP主要由路由仲裁組(Routing Arbiter,RA)、交換設備和ISP的邊界路由器組成。此外,為開展NAP的壹些其他業務,人們還可以用到網絡管理和附加服務等內容。交換設備與電信公司和服務提供商(國家或區域的)的設備相連接。公司利用NAP設備構建他們公司內部的對等網絡。多數因特網的流量是不通過NAP的,而是用對等排列和內部交換。實際上,NAP設備並不進行路由選擇。而是網絡服務提供商將路由器並置在NAP處並將這些路由器連接到交換設備中。交換設備對於NAP的可能所有其他路由器提供任意對任意的連通性。服務提供商的路由器執行所有路由選擇,但使用交換設備在位於NAP處的不同的提供商網絡接入點之間移動分組。當服務提供商對於在NAP處交換通信達成壹致時,他們就是互相對等的。對等協議定義通信交換的參數。
大多數NAP旨在供主要的網絡服務提供商使用。其他NAP可作公***使用和為本地和區域服務提供商使用。MAE(城域交換)是MCI Worldcom運營的NAP,由都市光纖環構成,光纖環與服務提供商連接,這和運行接向中央設施的連接的服務提供商是不同的。與MAE類似的NAP也由其他公司運營。
公***NAP通常處於負載過重的情況。因此壹些服務提供商就決定以稱為專用對等的協議方式直接進行互相連接。壹種方法是通過繞開NAP的交換機,直接使用專用電纜在NAP處連接它們的路由器。另壹種方法是通過使用租用線路或在地下敷設電纜的方式直接將設備連接起來。通常在服務提供商之間的地理位置距離比NAP近的情況下使用該方法。
在NSF資助創建NAP的同時,它還資助路由選擇仲裁器服務的創建,該服務以路由服務器和路由選擇仲裁器數據庫(RADB)的形式提供路由選擇協調功能。路由服務在NAP中處理路由選擇任務,而RADB生成路由服務器配置文件。RADB是壹組分布式數據庫的組成部分,這些數據庫稱為“因特網路由註冊表”,壹種以通用格式發布路由和路由選擇策略信息的公***資源庫。在RADB中,路由政策按照RIPE-181格式表示,分析軟件通過處理 RADB中的用戶數據為RS生成相應的配置文件。ISP使用存儲在任意或所有註冊表中的信息來配置其主幹網路由器,分析路由選擇策略及創建有助於這些工作的工具。
NAP 組件
客戶端計算機網絡訪問保護 (NAP) 包含多個客戶端和服務器組件。具有在所有 NAP 部署中使用的常見 NAP 組件,以及僅針對特定部署使用的組件,具體取決於 NAP 強制方法或您選擇的方法。
NAP 強制方法是與網絡訪問保護壹起使用以強制健康策略的多種網絡訪問技術中的任壹種。強制方法包括動態主機配置協議 (DHCP)、Internet 協議安全性 (IPsec)、虛擬專用網絡 (VPN)、終端服務網關 (TS Gateway) 和可擴展的身份驗證協議 (EAP),可以對由 NPS 服務器進行身份驗證的基於 802.1X 的無線和有線連接使用這些方法。
常見 NAP 組件
常見 NAP 組件包括客戶端和服務器組件,由所有 NAP 強制方法使用。
客戶端組件
可使用 NAP 的客戶端是已安裝 NAP 組件的計算機,可以通過向網絡策略服務器 (NPS) 發送健康聲明 (SoH) 驗證其健康狀態。
以下是 NAP 基礎結構的可使用 NAP 的客戶端計算機組件。
健康聲明 (SoH) 壹種聲明其健康狀態的來自客戶端計算機的聲明。系統健康代理 (SHA) 創建健康聲明 (SoH) 並將這些聲明發送到 NPS 服務器上相應的系統健康驗證程序 (SHV)。
系統健康代理 (SHA) 壹種組件,該組件檢查客戶端計算機的狀態以確定由 SHA 監視的設置是否為最新且已正確配置。例如,Windows 安全健康代理 (WSHA) 可以監視 Windows 防火墻,檢查防病毒軟件是否已安裝、啟用和更新,反間諜軟件是否已安裝、啟用和更新,以及 Microsoft 更新服務是否已啟用,且計算機是否擁有來自 Microsoft 更新服務的最新安全更新。還可能存在提供其他功能的可從其他公司獲得的 SHA(以及相應的系統健康驗證程序)。
NAP 代理 壹種收集和管理健康信息的客戶端服務。處理來自各種系統健康代理的健康聲明,並將客戶端健康狀況報告給 NAP 管理服務器。
強制客戶端 與網絡訪問技術集成的客戶端軟件,如 DHCP、VPN 和 IPsec。若要使用 NAP,必須在客戶端計算機上安裝和啟用至少壹個 NAP 強制客戶端。單個 NAP 強制客戶端是特定於強制方法的,並在以下部分進行說明。NAP 強制客戶端請求訪問網絡、與提供網絡訪問的 NAP 服務器(如 NAP 服務器)交流客戶端計算機的健康狀態,並與 NAP 客戶端體系結構的其他組件交流客戶端計算機的受限狀態。
服務器組件
以下是 NAP 基礎結構的服務器組件。
更新服務器 承載 NAP 代理可用於使不兼容的客戶端計算機具有兼容性的更新。例如,更新服務器可以承載防病毒簽名。如果健康策略要求 NAP 客戶端計算機安裝最新的防病毒定義,則用於承載防病毒簽名的防病毒 SHA、防病毒 SHV、防病毒策略服務器,以及更新服務器通力協作以更新不兼容的計算機。
系統健康驗證程序 (SHV) 服務器軟件對應於 SHA。客戶端上的每個 SHA 在 NPS 中都具有相應的 SHV。NPS 使用 SHV 來驗證由客戶端計算機上其相應 SHA 進行的健康聲明。
SHA 和 SHV 相互匹配,連同相應的策略服務器(由 SHV 用於確定系統健康的當前條件),以及可能的更新服務器。SHV 還可以檢測到尚未接收 SoH(如 SHA 從未安裝或者已損壞或刪除的情況)。如果 SoH 不滿足已定義的策略,則 SHV 會將健康聲明響應 (SoHR) 消息發送到 SHA。壹個網絡可能具有多種 SHV。如果情況如此,則 NPS 服務器必須調整所有 SHV 中的輸出,確定是否限制不兼容計算機的訪問。這要求為環境定義健康策略以及評估 SHV 交互的不同方式時仔細進行計劃。Windows 安全健康驗證程序 (WSHV) 可以驗證來自客戶端計算機上的 WSHA 的 SoH。還可能存在提供其他功能的可從其他公司獲得的 SHA(以及相應的 SHA)。
健康策略 通過配置單個 SHV 並將其添加到健康策略,然後配置策略條件而創建的規則。然後當您將健康策略添加到網絡策略的設置時,這些策略由 NPS 實施和強制。
健康聲明響應 (SoHR) 驗證 SoH。如果客戶端計算機不兼容,則 SoHR 包含客戶端上 SHA 用於使客戶端計算機配置符合健康策略的補充說明。每種類型的 SoH 存儲有關系統健康狀態的各種信息,SoHR 消息存儲有關如何與 NPS 中配置的健康策略要求兼容的各種信息。
特定於強制方法的組件
以下是 NAP 基礎結構的特定於強制方法的組件。
強制技術 可配置用於強制 NAP 策略的五種網絡訪問技術之壹。
強制服務器 NAP 服務器上的壹種組件,通常與 NAP 強制客戶端匹配,根據其健康符合性限制客戶端計算機的網絡訪問。存在多種 NAP 強制服務器:壹種用於 DHCP 地址配置,壹種用於 VPN 連接,壹種用於 IPsec 保護的通信,壹種用於終端服務網關(TS 網關),壹種用於可擴展的身份驗證協議 (EAP),您可以將其用於由 NPS 服務器進行身份驗證的基於 802.1X 的連接。