NAP是
因特网的
路由选择层次体系中的通信交换点。每个
网络接入点都由一个共享交换系统或者局域网组成,用来交换业务量。通达因特网主干线的点。ISP互相连接的点。NAP可用作主要业务提供者的数据互换点。1999年初NAP和城域交换局(MAE)被统称为公共因特网交换点(IXP)。
名词解释
NAP(network access point 网络接入点)是
因特网的路由选择层次体系中的通信交换点。每个网络接入点都由一个共享交换系统或者局域网组成,用来交换业务量。
骨干网可以选择其中任何一个或所有的网络接入点与其他骨干网互联。它通常称为IX(因特网交换)。在美国,
网络接入点(NAP)是几个主要的因特网互联的点中的一个,它把所有的网络接入提供商都捆绑在一起。最初的四个NAP(纽约、
华盛顿特区、
芝加哥和
旧金山)是由NSF((美)
国家科学基金会)资助并在20世纪80年代末重构因特网
主干网期间由主要几个提供商创建的。从那以后许多NAP陆陆续续组建起来,其中包括WorldCom的“
MAEWest”网站所在地
圣何塞,加利福尼亚和ICS网络系统的“Big East”。NAP动态允许管理员限制计算机网络访问一些系统健康规则。
作用
在那时,NSFNET成为主要的
因特网主干网,但其他网络也可使用或正在(或要)创建。当NSF决定使
因特网商业化时,它就提议开发可在
主干网之间进行通信交换的因特网交换中心。其他的因特网交换中心已经遍及全世界,它们正在繁忙的处理着大量的因特网通信负载。
用例
NAP主要由
路由仲裁组(Routing Arbiter,RA)、交换设备和ISP的
边界路由器组成。此外,为开展NAP的一些其他业务,人们还可以用到网络管理和附加服务等内容。交换设备与电信公司和服务提供商(国家或区域的)的设备相连接。公司利用NAP设备构建他们公司内部的
对等网络。多数
因特网的流量是不通过NAP的,而是用对等排列和内部交换。实际上,NAP设备并不进行
路由选择。而是网络服务提供商将
路由器并置在NAP处并将这些路由器连接到交换设备中。交换设备对于NAP的可能所有其他路由器提供任意对任意的连通性。服务提供商的路由器执行所有路由选择,但使用交换设备在位于NAP处的不同的提供商网络接入点之间移动分组。当服务提供商对于在NAP处交换通信达成一致时,他们就是互相对等的。对等协议定义通信交换的参数。大多数NAP旨在供主要的网络服务提供商使用。其他NAP可作公共使用和为本地和区域服务提供商使用。
MAE(城域交换)是MCI Worldcom运营的NAP,由都市光纤环构成,光纤环与服务提供商连接,这和运行接向中央设施的连接的服务提供商是不同的。与MAE类似的NAP也由其他公司运营。
公共NAP通常处于负载过重的情况。因此一些服务提供商就决定以称为专用对等的协议方式直接进行互相连接。一种方法是通过绕开NAP的交换机,直接使用专用电缆在NAP处连接它们的
路由器。另一种方法是通过使用
租用线路或在地下敷设电缆的方式直接将设备连接起来。通常在服务提供商之间的地理位置距离比NAP近的情况下使用该方法。
在NSF资助创建NAP的同时,它还资助路由选择仲裁器服务的创建,该服务以路由服务器和路由选择仲
裁器数据库(RADB)的形式提供
路由选择协调功能。路由服务在NAP中处理路由选择任务,而RADB生成路由服务器配置文件。RADB是一组
分布式数据库的组成部分,这些数据库称为“因特网路由注册表”,一种以通用格式发布路由和
路由选择策略信息的公共资源库。在RADB中,路由政策按照RIPE-181格式表示,分析软件通过处理 RADB中的用户数据为RS生成相应的配置文件。ISP使用存储在任意或所有注册表中的信息来配置其
主干网路由器,分析路由选择策略及创建有助于这些工作的工具。
NAP的设计目标,并不是要保护私有网络,使之免受有害用户的攻击。其设计目标在于帮助管理员维护私有网络中计算机的系统健康。NAP可以与控制网络访问的认证和授权机制(如使用IEEE 802.1X控制无线网络访问)联合使用。
操作系统的NAP
网络访问控制(Network Access Protection, NAP)是Windows Server 2008 操作系统中内置的的安全策略执行平台。
每一个连接到本地网络的计算机都具有潜在的威胁。因为用户无法的得知是否每台计算机中都安装了Windows最新的安全补丁、是否被安装了间谍软件、是否设置了适当的防火墙。所以一台计算机出现了问题,整个网络都将处于危险之中。为了保护网络的安全,就必须制定一个安全策略,让计算机要连接本地网络的时候得到策略的允许。
原理
网络访问保护(NAP) 包含多个客户端和服务器组件。具有在所有 NAP 部署中使用的常见 NAP 组件,以及仅针对特定部署使用的组件,具体取决于 NAP 强制方法或您选择的方法。NAP提供了一种方法,有三个独立的部分:
健康状态验证:可以确认和验证任何连接到网络的计算机系统
健康策略兼容性:提供资源,使得计算机能够满足健康要求
限制访问:对不满足健康策略的计算机,或无法更新以满足要求的计算机,限制其对网络资源的访问
NAP的设计目标,并不是要保护私有网络,使之免受有害用户的攻击。其设计目标在于帮助管理员维护私有网络中计算机的系统健康。NAP可以与控制网络访问的认证和授权机制(如使用IEEE 802.1X控制
无线网络访问)联合使用。NAP(
网络访问保护)不是为专用网络上的用户验证设计的,因此应与认证和和授权功能协同使用。高级
安全特性包括AD(
活动目录)用户和组,同时也包括通过嵌入式管理单元和命令行使用的远程客户端配置。
NAP强制方法
NAP 强制方法是与网络访问保护一起使用以强制健康策略的多种网络访问技术中的任何一种。强制方法包括
动态主机配置协议(DHCP)、Internet 协议安全性 (IPsec)、
虚拟专用网络(VPN)、终端服务网关(TS Gateway) 和可扩展的
身份验证协议(EAP),可以对由 NPS 服务器进行身份验证的基于 802.1X 的无线和有线连接使用这些方法。
常见 NAP 组件包括客户端和服务器组件,由所有 NAP 强制方法使用。