應用AAA模版限制訪問

AAA是 認證（Authentication）、授權（Authentication）、計費（Accounting）的縮寫， 如何安全、有效而可靠地保護網絡資源的合理使用和用戶的利益，成為所有網絡服務提供商必須要解決的問題。AAA服務就是針對這個問題，為網絡運營商提供一個對用戶進行有效管理的平臺。詳細的說AAA中對用戶的網絡認證是指對用戶身份的驗證；授權是指在用戶通過認證之后確定其可以享受的服務；計費是記錄用戶使用網絡資源情況的詳細信息，這些信息是計費的依據。

本次我們介紹的就是為了保證網絡資源安全開展的一次網絡優(yōu)化工作。該工作具體的目標是將PPPOE撥號用戶、DHCP用戶以及IPHOST用戶進行有效隔離，為實現這一目的，筆者合理的在BRAS上使用授權模板和ACL滿足了網絡需求，接下來就介紹一下網絡實現的過程。

為提高網絡的安全系數，重點保障大客戶專線安全，并結合本單位的網絡實際情況，計劃對PPPOE用戶和大客戶專線進行業(yè)務隔離。為了順利完成此次網絡的調整和優(yōu)化，需要簡要的介紹一下這兩個用戶的群體。其中PPPOE用戶即寬帶撥號用戶，主要是互聯(lián)網用戶，群體龐大。大客戶專線這里特指使用BRAS作為載體覆蓋的集團客戶業(yè)務，其接入方式主要有DHCP和IP-HOST兩大類。

簡單了解完兩類用戶情況，接下來再介紹下BRAS這個載體的路由協(xié)議，為后面應用策略進行鋪墊。

當前整臺BRAS運行BGP動態(tài)路由協(xié)議，PPPOE、DHCP以 及IP-HOST的用戶的網關均在BRAS上，這兩大類用戶群體，三種上網方式各自擁有自己的地址池。作為BGP路由的直連路由進行重分發(fā)，所以三者必然能夠互相通訊。

但是隨著兩者業(yè)務的不斷擴大，做好兩種業(yè)務的區(qū)分以及隔離限制迫在眉睫。那么如何限制兩者通訊呢？這里一說到限制，大家肯定能夠想到ACL，即訪問控制列表，那么訪問控制列表寫好后，需要綁定到那呢？這里就是本文的核心。

通常情況下ACL會綁定到端口上，而這里需要在授權模板下進行應用ACL，文章開頭我們簡單介紹了一下授權模板的定義，它是指用戶通過認證后確定其可以享受到的服務。梳理好網絡調整的思路，接下來將對設備進行配置，首先需要配置的是ACL。由于需要定義ACL條目中的源和目的地址，所以需要使用擴展的ACL，這里的專線用戶地址段是172.24.0.0/17,而PPPOE用戶則有10.219.0.0/16、10.220.0.0/16、10.115.0.0/16和10.116.0.0/16四個B類地址段，知悉兩者的網段后具體的配置命令即：

上面我們完成了ACL的創(chuàng)建以及條目的定義后，接下來就需要將ACL進行應用，以上我們已經談到需要將ACL應用到授權模板下。那么就先創(chuàng)建下AAA模板，具體配置命令即：

完成AAA模板的創(chuàng)建后，因為專線用戶是DHCP和IPH0ST用戶，所以不需要認證和計費，只需要在授權模板下進行ACL應用即可。

接下來需要將定義好的ACL應用到授權模板下，具體命令即：

完成ACL在授權模板的應用后，下一步需要在DHCP的域名下綁定AAA模板即可，具體的配置命令即：

最后再將該域名關聯(lián)到地址池和SAL中就可以了。其中，地址池的作用是提供IP地址下發(fā)，SAL是實現子接口上來的數據進行域名關聯(lián)。

這樣我們就實現了DHCP用戶和PPPOE用戶通訊的限制。那么如何來驗證下DHCP用戶是否已經和PPPOE用戶不通訊了呢？辦法有兩個，使用PPPOE的撥號環(huán)境對@zhihui1的DHCP用戶進行ping測試；方法二是使用命令show subscriber domain zhihui1 verbose 查看該域名下IP地址是否已經應用ACL成功。具體命令查看效果如圖1所示。

圖1 查看@zhihui1域名下IP地址應用ACL情況

通過圖1可以查看到@zhihui1域名下IP地址應用ACL的情況，并且可以清晰地看到箭頭指向的位置，已經表明該IP地址匹配上了VLAN500的ACL。同樣使用PPPOE撥號環(huán)境也是不能ping通DHCP用戶IP地址的。這樣就說明已經實現了PPPOE用戶和DHCP用戶的隔離限制。這里值得注意的是在對DHCP用戶進行驗證前需要將在線的用戶強制踢下線，目的是使用戶重新上線應用ACL。

上面我們還介紹到有的專線用戶使用的是IP-HOST，即靜態(tài)地址，那么這類專線用戶如何實現和PPPOE撥號用戶限制呢？同樣的的道理也是需要綁定授權模板。具體的配置命令即：

通過上面配置的命令大家可以看到一個授權模板綁定在靜態(tài)IP地址的后面，這個授權模板就是起到限制作用的。IPHOST用戶不需要重新上下線，綁定成功后即可應用。也可以使用PPPOE用戶ping測試，也可以使用命令show subscriber ipv4-address 172.24.4.10進行查看ACL的應用情況，經過驗證ACL是發(fā)揮作用的。這樣就實現了PPPOE、DHCP和IP-host用戶的限制訪問。

上面我們從維護網絡安全得角度出發(fā)，同時也為了提高網絡安全系數，開展了針對互聯(lián)網PPPOE用戶和專線用戶訪問的隔離限制，通過使用ACL和AAA模板的應用，有效的實現了PPPOE、DHCP和IP-host用戶的限制訪問。為維護網絡的和諧穩(wěn)定又增加了一道安全屏障，進一步增加了網絡的安全性。