应用AAA模版限制访问
2017-11-23
AAA是 认证(Authentication)、授权(Authentication)、计费(Accounting)的缩写, 如何安全、有效而可靠地保护网络资源的合理使用和用户的利益,成为所有网络服务提供商必须要解决的问题。AAA服务就是针对这个问题,为网络运营商提供一个对用户进行有效管理的平台。详细的说AAA中对用户的网络认证是指对用户身份的验证;授权是指在用户通过认证之后确定其可以享受的服务;计费是记录用户使用网络资源情况的详细信息,这些信息是计费的依据。
本次我们介绍的就是为了保证网络资源安全开展的一次网络优化工作。该工作具体的目标是将PPPOE拨号用户、DHCP用户以及IPHOST用户进行有效隔离,为实现这一目的,笔者合理的在BRAS上使用授权模板和ACL满足了网络需求,接下来就介绍一下网络实现的过程。
为提高网络的安全系数,重点保障大客户专线安全,并结合本单位的网络实际情况,计划对PPPOE用户和大客户专线进行业务隔离。为了顺利完成此次网络的调整和优化,需要简要的介绍一下这两个用户的群体。其中PPPOE用户即宽带拨号用户,主要是互联网用户,群体庞大。大客户专线这里特指使用BRAS作为载体覆盖的集团客户业务,其接入方式主要有DHCP和IP-HOST两大类。
简单了解完两类用户情况,接下来再介绍下BRAS这个载体的路由协议,为后面应用策略进行铺垫。
当前整台BRAS运行BGP动态路由协议,PPPOE、DHCP以 及IP-HOST的用户的网关均在BRAS上,这两大类用户群体,三种上网方式各自拥有自己的地址池。作为BGP路由的直连路由进行重分发,所以三者必然能够互相通讯。
但是随着两者业务的不断扩大,做好两种业务的区分以及隔离限制迫在眉睫。那么如何限制两者通讯呢?这里一说到限制,大家肯定能够想到ACL,即访问控制列表,那么访问控制列表写好后,需要绑定到那呢?这里就是本文的核心。
通常情况下ACL会绑定到端口上,而这里需要在授权模板下进行应用ACL,文章开头我们简单介绍了一下授权模板的定义,它是指用户通过认证后确定其可以享受到的服务。梳理好网络调整的思路,接下来将对设备进行配置,首先需要配置的是ACL。由于需要定义ACL条目中的源和目的地址,所以需要使用扩展的ACL,这里的专线用户地址段是172.24.0.0/17,而PPPOE用户则有10.219.0.0/16、10.220.0.0/16、10.115.0.0/16和10.116.0.0/16四个B类地址段,知悉两者的网段后具体的配置命令即:
上面我们完成了ACL的创建以及条目的定义后,接下来就需要将ACL进行应用,以上我们已经谈到需要将ACL应用到授权模板下。那么就先创建下AAA模板,具体配置命令即:
完成AAA模板的创建后,因为专线用户是DHCP和IPH0ST用户,所以不需要认证和计费,只需要在授权模板下进行ACL应用即可。
接下来需要将定义好的ACL应用到授权模板下,具体命令即:
完成ACL在授权模板的应用后,下一步需要在DHCP的域名下绑定AAA模板即可,具体的配置命令即:
最后再将该域名关联到地址池和SAL中就可以了。其中,地址池的作用是提供IP地址下发,SAL是实现子接口上来的数据进行域名关联。
这样我们就实现了DHCP用户和PPPOE用户通讯的限制。那么如何来验证下DHCP用户是否已经和PPPOE用户不通讯了呢?办法有两个,使用PPPOE的拨号环境对@zhihui1的DHCP用户进行ping测试;方法二是使用命令show subscriber domain zhihui1 verbose 查看该域名下IP地址是否已经应用ACL成功。具体命令查看效果如图1所示。
图1 查看@zhihui1域名下IP地址应用ACL情况
通过图1可以查看到@zhihui1域名下IP地址应用ACL的情况,并且可以清晰地看到箭头指向的位置,已经表明该IP地址匹配上了VLAN500的ACL。同样使用PPPOE拨号环境也是不能ping通DHCP用户IP地址的。这样就说明已经实现了PPPOE用户和DHCP用户的隔离限制。这里值得注意的是在对DHCP用户进行验证前需要将在线的用户强制踢下线,目的是使用户重新上线应用ACL。
上面我们还介绍到有的专线用户使用的是IP-HOST,即静态地址,那么这类专线用户如何实现和PPPOE拨号用户限制呢?同样的的道理也是需要绑定授权模板。具体的配置命令即:
通过上面配置的命令大家可以看到一个授权模板绑定在静态IP地址的后面,这个授权模板就是起到限制作用的。IPHOST用户不需要重新上下线,绑定成功后即可应用。也可以使用PPPOE用户ping测试,也可以使用命令show subscriber ipv4-address 172.24.4.10进行查看ACL的应用情况,经过验证ACL是发挥作用的。这样就实现了PPPOE、DHCP和IP-host用户的限制访问。
上面我们从维护网络安全得角度出发,同时也为了提高网络安全系数,开展了针对互联网PPPOE用户和专线用户访问的隔离限制,通过使用ACL和AAA模板的应用,有效的实现了PPPOE、DHCP和IP-host用户的限制访问。为维护网络的和谐稳定又增加了一道安全屏障,进一步增加了网络的安全性。