AAA是 認證(Authentication)、授權(Authentication)、計費(Accounting)的縮寫, 如何安全、有效而可靠地保護網絡資源的合理使用和用戶的利益,成為所有網絡服務提供商必須要解決的問題。AAA服務就是針對這個問題,為網絡運營商提供一個對用戶進行有效管理的平臺。詳細的說AAA中對用戶的網絡認證是指對用戶身份的驗證;授權是指在用戶通過認證之后確定其可以享受的服務;計費是記錄用戶使用網絡資源情況的詳細信息,這些信息是計費的依據。
本次我們介紹的就是為了保證網絡資源安全開展的一次網絡優(yōu)化工作。該工作具體的目標是將PPPOE撥號用戶、DHCP用戶以及IPHOST用戶進行有效隔離,為實現這一目的,筆者合理的在BRAS上使用授權模板和ACL滿足了網絡需求,接下來就介紹一下網絡實現的過程。
為提高網絡的安全系數,重點保障大客戶專線安全,并結合本單位的網絡實際情況,計劃對PPPOE用戶和大客戶專線進行業(yè)務隔離。為了順利完成此次網絡的調整和優(yōu)化,需要簡要的介紹一下這兩個用戶的群體。其中PPPOE用戶即寬帶撥號用戶,主要是互聯(lián)網用戶,群體龐大。大客戶專線這里特指使用BRAS作為載體覆蓋的集團客戶業(yè)務,其接入方式主要有DHCP和IP-HOST兩大類。
簡單了解完兩類用戶情況,接下來再介紹下BRAS這個載體的路由協(xié)議,為后面應用策略進行鋪墊。
當前整臺BRAS運行BGP動態(tài)路由協(xié)議,PPPOE、DHCP以 及IP-HOST的用戶的網關均在BRAS上,這兩大類用戶群體,三種上網方式各自擁有自己的地址池。作為BGP路由的直連路由進行重分發(fā),所以三者必然能夠互相通訊。
但是隨著兩者業(yè)務的不斷擴大,做好兩種業(yè)務的區(qū)分以及隔離限制迫在眉睫。那么如何限制兩者通訊呢?這里一說到限制,大家肯定能夠想到ACL,即訪問控制列表,那么訪問控制列表寫好后,需要綁定到那呢?這里就是本文的核心。
通常情況下ACL會綁定到端口上,而這里需要在授權模板下進行應用ACL,文章開頭我們簡單介紹了一下授權模板的定義,它是指用戶通過認證后確定其可以享受到的服務。梳理好網絡調整的思路,接下來將對設備進行配置,首先需要配置的是ACL。由于需要定義ACL條目中的源和目的地址,所以需要使用擴展的ACL,這里的專線用戶地址段是172.24.0.0/17,而PPPOE用戶則有10.219.0.0/16、10.220.0.0/16、10.115.0.0/16和10.116.0.0/16四個B類地址段,知悉兩者的網段后具體的配置命令即:
上面我們完成了ACL的創(chuàng)建以及條目的定義后,接下來就需要將ACL進行應用,以上我們已經談到需要將ACL應用到授權模板下。那么就先創(chuàng)建下AAA模板,具體配置命令即:
完成AAA模板的創(chuàng)建后,因為專線用戶是DHCP和IPH0ST用戶,所以不需要認證和計費,只需要在授權模板下進行ACL應用即可。
接下來需要將定義好的ACL應用到授權模板下,具體命令即:
完成ACL在授權模板的應用后,下一步需要在DHCP的域名下綁定AAA模板即可,具體的配置命令即:
最后再將該域名關聯(lián)到地址池和SAL中就可以了。其中,地址池的作用是提供IP地址下發(fā),SAL是實現子接口上來的數據進行域名關聯(lián)。
這樣我們就實現了DHCP用戶和PPPOE用戶通訊的限制。那么如何來驗證下DHCP用戶是否已經和PPPOE用戶不通訊了呢?辦法有兩個,使用PPPOE的撥號環(huán)境對@zhihui1的DHCP用戶進行ping測試;方法二是使用命令show subscriber domain zhihui1 verbose 查看該域名下IP地址是否已經應用ACL成功。具體命令查看效果如圖1所示。
圖1 查看@zhihui1域名下IP地址應用ACL情況
通過圖1可以查看到@zhihui1域名下IP地址應用ACL的情況,并且可以清晰地看到箭頭指向的位置,已經表明該IP地址匹配上了VLAN500的ACL。同樣使用PPPOE撥號環(huán)境也是不能ping通DHCP用戶IP地址的。這樣就說明已經實現了PPPOE用戶和DHCP用戶的隔離限制。這里值得注意的是在對DHCP用戶進行驗證前需要將在線的用戶強制踢下線,目的是使用戶重新上線應用ACL。
上面我們還介紹到有的專線用戶使用的是IP-HOST,即靜態(tài)地址,那么這類專線用戶如何實現和PPPOE撥號用戶限制呢?同樣的的道理也是需要綁定授權模板。具體的配置命令即:
通過上面配置的命令大家可以看到一個授權模板綁定在靜態(tài)IP地址的后面,這個授權模板就是起到限制作用的。IPHOST用戶不需要重新上下線,綁定成功后即可應用。也可以使用PPPOE用戶ping測試,也可以使用命令show subscriber ipv4-address 172.24.4.10進行查看ACL的應用情況,經過驗證ACL是發(fā)揮作用的。這樣就實現了PPPOE、DHCP和IP-host用戶的限制訪問。
上面我們從維護網絡安全得角度出發(fā),同時也為了提高網絡安全系數,開展了針對互聯(lián)網PPPOE用戶和專線用戶訪問的隔離限制,通過使用ACL和AAA模板的應用,有效的實現了PPPOE、DHCP和IP-host用戶的限制訪問。為維護網絡的和諧穩(wěn)定又增加了一道安全屏障,進一步增加了網絡的安全性。