AAA是 認(rèn)證（Authentication）、授權(quán)（Authentication）、計(jì)費(fèi)（Accounting）的縮寫， 如何安全、有效而可靠地保護(hù)網(wǎng)絡(luò)資源的合理使用和用戶的利益，成為所有網(wǎng)絡(luò)服務(wù)提供商必須要解決的問(wèn)題。AAA服務(wù)就是針對(duì)這個(gè)問(wèn)題，為網(wǎng)絡(luò)運(yùn)營(yíng)商提供一個(gè)對(duì)用戶進(jìn)行有效管理的平臺(tái)。詳細(xì)的說(shuō)AAA中對(duì)用戶的網(wǎng)絡(luò)認(rèn)證是指對(duì)用戶身份的驗(yàn)證；授權(quán)是指在用戶通過(guò)認(rèn)證之后確定其可以享受的服務(wù)；計(jì)費(fèi)是記錄用戶使用網(wǎng)絡(luò)資源情況的詳細(xì)信息，這些信息是計(jì)費(fèi)的依據(jù)。

本次我們介紹的就是為了保證網(wǎng)絡(luò)資源安全開展的一次網(wǎng)絡(luò)優(yōu)化工作。該工作具體的目標(biāo)是將PPPOE撥號(hào)用戶、DHCP用戶以及IPHOST用戶進(jìn)行有效隔離，為實(shí)現(xiàn)這一目的，筆者合理的在BRAS上使用授權(quán)模板和ACL滿足了網(wǎng)絡(luò)需求，接下來(lái)就介紹一下網(wǎng)絡(luò)實(shí)現(xiàn)的過(guò)程。

為提高網(wǎng)絡(luò)的安全系數(shù)，重點(diǎn)保障大客戶專線安全，并結(jié)合本單位的網(wǎng)絡(luò)實(shí)際情況，計(jì)劃對(duì)PPPOE用戶和大客戶專線進(jìn)行業(yè)務(wù)隔離。為了順利完成此次網(wǎng)絡(luò)的調(diào)整和優(yōu)化，需要簡(jiǎn)要的介紹一下這兩個(gè)用戶的群體。其中PPPOE用戶即寬帶撥號(hào)用戶，主要是互聯(lián)網(wǎng)用戶，群體龐大。大客戶專線這里特指使用BRAS作為載體覆蓋的集團(tuán)客戶業(yè)務(wù)，其接入方式主要有DHCP和IP-HOST兩大類。

簡(jiǎn)單了解完兩類用戶情況，接下來(lái)再介紹下BRAS這個(gè)載體的路由協(xié)議，為后面應(yīng)用策略進(jìn)行鋪墊。

當(dāng)前整臺(tái)BRAS運(yùn)行BGP動(dòng)態(tài)路由協(xié)議，PPPOE、DHCP以 及IP-HOST的用戶的網(wǎng)關(guān)均在BRAS上，這兩大類用戶群體，三種上網(wǎng)方式各自擁有自己的地址池。作為BGP路由的直連路由進(jìn)行重分發(fā)，所以三者必然能夠互相通訊。

但是隨著兩者業(yè)務(wù)的不斷擴(kuò)大，做好兩種業(yè)務(wù)的區(qū)分以及隔離限制迫在眉睫。那么如何限制兩者通訊呢？這里一說(shuō)到限制，大家肯定能夠想到ACL，即訪問(wèn)控制列表，那么訪問(wèn)控制列表寫好后，需要綁定到那呢？這里就是本文的核心。

通常情況下ACL會(huì)綁定到端口上，而這里需要在授權(quán)模板下進(jìn)行應(yīng)用ACL，文章開頭我們簡(jiǎn)單介紹了一下授權(quán)模板的定義，它是指用戶通過(guò)認(rèn)證后確定其可以享受到的服務(wù)。梳理好網(wǎng)絡(luò)調(diào)整的思路，接下來(lái)將對(duì)設(shè)備進(jìn)行配置，首先需要配置的是ACL。由于需要定義ACL條目中的源和目的地址，所以需要使用擴(kuò)展的ACL，這里的專線用戶地址段是172.24.0.0/17,而PPPOE用戶則有10.219.0.0/16、10.220.0.0/16、10.115.0.0/16和10.116.0.0/16四個(gè)B類地址段，知悉兩者的網(wǎng)段后具體的配置命令即：

上面我們完成了ACL的創(chuàng)建以及條目的定義后，接下來(lái)就需要將ACL進(jìn)行應(yīng)用，以上我們已經(jīng)談到需要將ACL應(yīng)用到授權(quán)模板下。那么就先創(chuàng)建下AAA模板，具體配置命令即：

完成AAA模板的創(chuàng)建后，因?yàn)閷＞€用戶是DHCP和IPH0ST用戶，所以不需要認(rèn)證和計(jì)費(fèi)，只需要在授權(quán)模板下進(jìn)行ACL應(yīng)用即可。

接下來(lái)需要將定義好的ACL應(yīng)用到授權(quán)模板下，具體命令即：

完成ACL在授權(quán)模板的應(yīng)用后，下一步需要在DHCP的域名下綁定AAA模板即可，具體的配置命令即：

最后再將該域名關(guān)聯(lián)到地址池和SAL中就可以了。其中，地址池的作用是提供IP地址下發(fā)，SAL是實(shí)現(xiàn)子接口上來(lái)的數(shù)據(jù)進(jìn)行域名關(guān)聯(lián)。

這樣我們就實(shí)現(xiàn)了DHCP用戶和PPPOE用戶通訊的限制。那么如何來(lái)驗(yàn)證下DHCP用戶是否已經(jīng)和PPPOE用戶不通訊了呢？辦法有兩個(gè)，使用PPPOE的撥號(hào)環(huán)境對(duì)@zhihui1的DHCP用戶進(jìn)行ping測(cè)試；方法二是使用命令show subscriber domain zhihui1 verbose 查看該域名下IP地址是否已經(jīng)應(yīng)用ACL成功。具體命令查看效果如圖1所示。

圖1 查看@zhihui1域名下IP地址應(yīng)用ACL情況

通過(guò)圖1可以查看到@zhihui1域名下IP地址應(yīng)用ACL的情況，并且可以清晰地看到箭頭指向的位置，已經(jīng)表明該IP地址匹配上了VLAN500的ACL。同樣使用PPPOE撥號(hào)環(huán)境也是不能ping通DHCP用戶IP地址的。這樣就說(shuō)明已經(jīng)實(shí)現(xiàn)了PPPOE用戶和DHCP用戶的隔離限制。這里值得注意的是在對(duì)DHCP用戶進(jìn)行驗(yàn)證前需要將在線的用戶強(qiáng)制踢下線，目的是使用戶重新上線應(yīng)用ACL。

上面我們還介紹到有的專線用戶使用的是IP-HOST，即靜態(tài)地址，那么這類專線用戶如何實(shí)現(xiàn)和PPPOE撥號(hào)用戶限制呢？同樣的的道理也是需要綁定授權(quán)模板。具體的配置命令即：

通過(guò)上面配置的命令大家可以看到一個(gè)授權(quán)模板綁定在靜態(tài)IP地址的后面，這個(gè)授權(quán)模板就是起到限制作用的。IPHOST用戶不需要重新上下線，綁定成功后即可應(yīng)用。也可以使用PPPOE用戶ping測(cè)試，也可以使用命令show subscriber ipv4-address 172.24.4.10進(jìn)行查看ACL的應(yīng)用情況，經(jīng)過(guò)驗(yàn)證ACL是發(fā)揮作用的。這樣就實(shí)現(xiàn)了PPPOE、DHCP和IP-host用戶的限制訪問(wèn)。

上面我們從維護(hù)網(wǎng)絡(luò)安全得角度出發(fā)，同時(shí)也為了提高網(wǎng)絡(luò)安全系數(shù)，開展了針對(duì)互聯(lián)網(wǎng)PPPOE用戶和專線用戶訪問(wèn)的隔離限制，通過(guò)使用ACL和AAA模板的應(yīng)用，有效的實(shí)現(xiàn)了PPPOE、DHCP和IP-host用戶的限制訪問(wèn)。為維護(hù)網(wǎng)絡(luò)的和諧穩(wěn)定又增加了一道安全屏障，進(jìn)一步增加了網(wǎng)絡(luò)的安全性。