• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      應用AAA模版限制訪問

      2017-11-23 08:36:24
      網絡安全和信息化 2017年6期
      關鍵詞:計費域名IP地址

      AAA是 認證(Authentication)、授權(Authentication)、計費(Accounting)的縮寫, 如何安全、有效而可靠地保護網絡資源的合理使用和用戶的利益,成為所有網絡服務提供商必須要解決的問題。AAA服務就是針對這個問題,為網絡運營商提供一個對用戶進行有效管理的平臺。詳細的說AAA中對用戶的網絡認證是指對用戶身份的驗證;授權是指在用戶通過認證之后確定其可以享受的服務;計費是記錄用戶使用網絡資源情況的詳細信息,這些信息是計費的依據。

      本次我們介紹的就是為了保證網絡資源安全開展的一次網絡優(yōu)化工作。該工作具體的目標是將PPPOE撥號用戶、DHCP用戶以及IPHOST用戶進行有效隔離,為實現這一目的,筆者合理的在BRAS上使用授權模板和ACL滿足了網絡需求,接下來就介紹一下網絡實現的過程。

      為提高網絡的安全系數,重點保障大客戶專線安全,并結合本單位的網絡實際情況,計劃對PPPOE用戶和大客戶專線進行業(yè)務隔離。為了順利完成此次網絡的調整和優(yōu)化,需要簡要的介紹一下這兩個用戶的群體。其中PPPOE用戶即寬帶撥號用戶,主要是互聯(lián)網用戶,群體龐大。大客戶專線這里特指使用BRAS作為載體覆蓋的集團客戶業(yè)務,其接入方式主要有DHCP和IP-HOST兩大類。

      簡單了解完兩類用戶情況,接下來再介紹下BRAS這個載體的路由協(xié)議,為后面應用策略進行鋪墊。

      當前整臺BRAS運行BGP動態(tài)路由協(xié)議,PPPOE、DHCP以 及IP-HOST的用戶的網關均在BRAS上,這兩大類用戶群體,三種上網方式各自擁有自己的地址池。作為BGP路由的直連路由進行重分發(fā),所以三者必然能夠互相通訊。

      但是隨著兩者業(yè)務的不斷擴大,做好兩種業(yè)務的區(qū)分以及隔離限制迫在眉睫。那么如何限制兩者通訊呢?這里一說到限制,大家肯定能夠想到ACL,即訪問控制列表,那么訪問控制列表寫好后,需要綁定到那呢?這里就是本文的核心。

      通常情況下ACL會綁定到端口上,而這里需要在授權模板下進行應用ACL,文章開頭我們簡單介紹了一下授權模板的定義,它是指用戶通過認證后確定其可以享受到的服務。梳理好網絡調整的思路,接下來將對設備進行配置,首先需要配置的是ACL。由于需要定義ACL條目中的源和目的地址,所以需要使用擴展的ACL,這里的專線用戶地址段是172.24.0.0/17,而PPPOE用戶則有10.219.0.0/16、10.220.0.0/16、10.115.0.0/16和10.116.0.0/16四個B類地址段,知悉兩者的網段后具體的配置命令即:

      上面我們完成了ACL的創(chuàng)建以及條目的定義后,接下來就需要將ACL進行應用,以上我們已經談到需要將ACL應用到授權模板下。那么就先創(chuàng)建下AAA模板,具體配置命令即:

      完成AAA模板的創(chuàng)建后,因為專線用戶是DHCP和IPH0ST用戶,所以不需要認證和計費,只需要在授權模板下進行ACL應用即可。

      接下來需要將定義好的ACL應用到授權模板下,具體命令即:

      完成ACL在授權模板的應用后,下一步需要在DHCP的域名下綁定AAA模板即可,具體的配置命令即:

      最后再將該域名關聯(lián)到地址池和SAL中就可以了。其中,地址池的作用是提供IP地址下發(fā),SAL是實現子接口上來的數據進行域名關聯(lián)。

      這樣我們就實現了DHCP用戶和PPPOE用戶通訊的限制。那么如何來驗證下DHCP用戶是否已經和PPPOE用戶不通訊了呢?辦法有兩個,使用PPPOE的撥號環(huán)境對@zhihui1的DHCP用戶進行ping測試;方法二是使用命令show subscriber domain zhihui1 verbose 查看該域名下IP地址是否已經應用ACL成功。具體命令查看效果如圖1所示。

      圖1 查看@zhihui1域名下IP地址應用ACL情況

      通過圖1可以查看到@zhihui1域名下IP地址應用ACL的情況,并且可以清晰地看到箭頭指向的位置,已經表明該IP地址匹配上了VLAN500的ACL。同樣使用PPPOE撥號環(huán)境也是不能ping通DHCP用戶IP地址的。這樣就說明已經實現了PPPOE用戶和DHCP用戶的隔離限制。這里值得注意的是在對DHCP用戶進行驗證前需要將在線的用戶強制踢下線,目的是使用戶重新上線應用ACL。

      上面我們還介紹到有的專線用戶使用的是IP-HOST,即靜態(tài)地址,那么這類專線用戶如何實現和PPPOE撥號用戶限制呢?同樣的的道理也是需要綁定授權模板。具體的配置命令即:

      通過上面配置的命令大家可以看到一個授權模板綁定在靜態(tài)IP地址的后面,這個授權模板就是起到限制作用的。IPHOST用戶不需要重新上下線,綁定成功后即可應用。也可以使用PPPOE用戶ping測試,也可以使用命令show subscriber ipv4-address 172.24.4.10進行查看ACL的應用情況,經過驗證ACL是發(fā)揮作用的。這樣就實現了PPPOE、DHCP和IP-host用戶的限制訪問。

      上面我們從維護網絡安全得角度出發(fā),同時也為了提高網絡安全系數,開展了針對互聯(lián)網PPPOE用戶和專線用戶訪問的隔離限制,通過使用ACL和AAA模板的應用,有效的實現了PPPOE、DHCP和IP-host用戶的限制訪問。為維護網絡的和諧穩(wěn)定又增加了一道安全屏障,進一步增加了網絡的安全性。

      猜你喜歡
      計費域名IP地址
      出租車計費的秘密
      5G網絡獨立組網中融合計費方案的研究
      生活中的分段計費
      鐵路遠動系統(tǒng)幾種組網方式IP地址的申請和設置
      如何購買WordPress網站域名及綁定域名
      基于SNMP的IP地址管理系統(tǒng)開發(fā)與應用
      黑龍江電力(2017年1期)2017-05-17 04:25:16
      騰訊八百萬美元收購域名
      頂級域名爭奪戰(zhàn):ICANN放出1930個通用頂級域名,申請者有上千家
      網吧免費上攻防亦有道
      用統(tǒng)一身份認證解決IP地址的盜用
      吴忠市| 内黄县| 罗城| 昭平县| 黄骅市| 铜川市| 宣城市| 嘉鱼县| 镇远县| 安多县| 资讯 | 长汀县| 沅江市| 益阳市| 双桥区| 信丰县| 保亭| 南京市| 当雄县| 遵义市| 汤阴县| 上蔡县| 漳平市| 灵石县| 密山市| 南康市| 长武县| 班玛县| 宜都市| 江陵县| 高陵县| 象州县| 凤凰县| 华宁县| 新津县| 图木舒克市| 汕尾市| 肃南| 蓝山县| 松原市| 邯郸市|