應用AAA模版限制訪問

AAA是 認證（Authentication）、授權（Authentication）、計費（Accounting）的縮寫， 如何安全、有效而可靠地保護網絡資源的合理使用和用戶的利益，成為所有網絡服務提供商必須要解決的問題。AAA服務就是針對這個問題，為網絡運營商提供一個對用戶進行有效管理的平臺。詳細的說AAA中對用戶的網絡認證是指對用戶身份的驗證；授權是指在用戶通過認證之后確定其可以享受的服務；計費是記錄用戶使用網絡資源情況的詳細信息，這些信息是計費的依據。

本次我們介紹的就是為了保證網絡資源安全開展的一次網絡優化工作。該工作具體的目標是將PPPOE撥號用戶、DHCP用戶以及IPHOST用戶進行有效隔離，為實現這一目的，筆者合理的在BRAS上使用授權模板和ACL滿足了網絡需求，接下來就介紹一下網絡實現的過程。

為提高網絡的安全系數，重點保障大客戶專線安全，并結合本單位的網絡實際情況，計劃對PPPOE用戶和大客戶專線進行業務隔離。為了順利完成此次網絡的調整和優化，需要簡要的介紹一下這兩個用戶的群體。其中PPPOE用戶即寬帶撥號用戶，主要是互聯網用戶，群體龐大。大客戶專線這里特指使用BRAS作為載體覆蓋的集團客戶業務，其接入方式主要有DHCP和IP-HOST兩大類。

簡單了解完兩類用戶情況，接下來再介紹下BRAS這個載體的路由協議，為后面應用策略進行鋪墊。

當前整臺BRAS運行BGP動態路由協議，PPPOE、DHCP以 及IP-HOST的用戶的網關均在BRAS上，這兩大類用戶群體，三種上網方式各自擁有自己的地址池。作為BGP路由的直連路由進行重分發，所以三者必然能夠互相通訊。

但是隨著兩者業務的不斷擴大，做好兩種業務的區分以及隔離限制迫在眉睫。那么如何限制兩者通訊呢？這里一說到限制，大家肯定能夠想到ACL，即訪問控制列表，那么訪問控制列表寫好后，需要綁定到那呢？這里就是本文的核心。

通常情況下ACL會綁定到端口上，而這里需要在授權模板下進行應用ACL，文章開頭我們簡單介紹了一下授權模板的定義，它是指用戶通過認證后確定其可以享受到的服務。梳理好網絡調整的思路，接下來將對設備進行配置，首先需要配置的是ACL。由于需要定義ACL條目中的源和目的地址，所以需要使用擴展的ACL，這里的專線用戶地址段是172.24.0.0/17,而PPPOE用戶則有10.219.0.0/16、10.220.0.0/16、10.115.0.0/16和10.116.0.0/16四個B類地址段，知悉兩者的網段后具體的配置命令即：

上面我們完成了ACL的創建以及條目的定義后，接下來就需要將ACL進行應用，以上我們已經談到需要將ACL應用到授權模板下。那么就先創建下AAA模板，具體配置命令即：

完成AAA模板的創建后，因為專線用戶是DHCP和IPH0ST用戶，所以不需要認證和計費，只需要在授權模板下進行ACL應用即可。

接下來需要將定義好的ACL應用到授權模板下，具體命令即：

完成ACL在授權模板的應用后，下一步需要在DHCP的域名下綁定AAA模板即可，具體的配置命令即：

最后再將該域名關聯到地址池和SAL中就可以了。其中，地址池的作用是提供IP地址下發，SAL是實現子接口上來的數據進行域名關聯。

這樣我們就實現了DHCP用戶和PPPOE用戶通訊的限制。那么如何來驗證下DHCP用戶是否已經和PPPOE用戶不通訊了呢？辦法有兩個，使用PPPOE的撥號環境對@zhihui1的DHCP用戶進行ping測試；方法二是使用命令show subscriber domain zhihui1 verbose 查看該域名下IP地址是否已經應用ACL成功。具體命令查看效果如圖1所示。

圖1 查看@zhihui1域名下IP地址應用ACL情況

通過圖1可以查看到@zhihui1域名下IP地址應用ACL的情況，并且可以清晰地看到箭頭指向的位置，已經表明該IP地址匹配上了VLAN500的ACL。同樣使用PPPOE撥號環境也是不能ping通DHCP用戶IP地址的。這樣就說明已經實現了PPPOE用戶和DHCP用戶的隔離限制。這里值得注意的是在對DHCP用戶進行驗證前需要將在線的用戶強制踢下線，目的是使用戶重新上線應用ACL。

上面我們還介紹到有的專線用戶使用的是IP-HOST，即靜態地址，那么這類專線用戶如何實現和PPPOE撥號用戶限制呢？同樣的的道理也是需要綁定授權模板。具體的配置命令即：

通過上面配置的命令大家可以看到一個授權模板綁定在靜態IP地址的后面，這個授權模板就是起到限制作用的。IPHOST用戶不需要重新上下線，綁定成功后即可應用。也可以使用PPPOE用戶ping測試，也可以使用命令show subscriber ipv4-address 172.24.4.10進行查看ACL的應用情況，經過驗證ACL是發揮作用的。這樣就實現了PPPOE、DHCP和IP-host用戶的限制訪問。

上面我們從維護網絡安全得角度出發，同時也為了提高網絡安全系數，開展了針對互聯網PPPOE用戶和專線用戶訪問的隔離限制，通過使用ACL和AAA模板的應用，有效的實現了PPPOE、DHCP和IP-host用戶的限制訪問。為維護網絡的和諧穩定又增加了一道安全屏障，進一步增加了網絡的安全性。