引言：筆者單位的Radius系統(tǒng)承擔著寬帶用戶計費和認證等重要責任，它的安全不容忽視。本文就如何實現(xiàn)Radius和強推服務器的共存，并實現(xiàn)強推功能等問題展開討論。最終通過使用路由和包過濾策略具體實現(xiàn)了網絡需求。

面對互聯(lián)網和內部網絡的復雜環(huán)境，網絡的安全越來越受到運維人員的重視。筆者單位的Radius系統(tǒng)承擔著寬帶用戶計費和認證等重要責任，它的安全不容忽視。為更好的服務用戶，提高其上網體驗。計劃實現(xiàn)寬帶到期提醒。針對該功能的實現(xiàn)并考慮到Radius設備安全，本文就如何實現(xiàn)Radius和強推服務器的共存，并實現(xiàn)強推功能等問題展開討論。最終通過使用路由和包過濾策略具體實現(xiàn)了網絡需求。

強推服務器主要來解決用戶到期提醒的問題，其工作原理是用戶到期后可以正常撥號，但不同的是Radius會回復BRAS信息，該用戶已經到期。根據(jù)這個信息BRAS會將該到期用戶正常上網行為限制。而且利用服務器Web強推功能，在用戶瀏覽網頁的時候，會強制轉到一個服務器設置好的頁面，在該頁面上會出現(xiàn)用戶到期等相關內容。接下來依據(jù)其原理根據(jù)網絡拓撲結構進行服務器和硬件服務器的部署。具體的網絡拓撲結構如圖1所示。

圖1 網絡拓撲結構

圖1中可以看到強推服務器計劃部署在新增硬件防火墻的內側，和強推服務器并列的還有Radius服務器集群。當前要實現(xiàn)的網絡需求是互聯(lián)網用戶能正常訪問強推服務器，但是不能訪問Radius服務器；同時Radius還要和BRAS通訊。得知這一具體的網絡需求，接下來計劃使用路由來實現(xiàn)寬帶用戶和強推服務器、Radius和BRAS的通訊。具體的配置分別在核心路由器和防火墻上實現(xiàn)。兩臺核心路由器上配置命令即：

//在核心路由器1上設置靜態(tài)路由,并定義出接口和下一跳IP地址

ip route 10.253.141.0 255.255.255.224 gei-0/3/0/17 172.28.0.54

//在核心路由器2上設置靜態(tài)路由,并定義出接口和下一跳IP地址

以上完成了在兩臺核心路由器端口互聯(lián)地址和靜態(tài)路由的設置。緊接著在核心路由器BGP路由中重分發(fā)靜態(tài)和直連路由即可，然后將Radius服務器的網關設置在防火墻上，最后在防火墻上設置兩條等價的默認路由指向核心路由器就可以以實現(xiàn)BRAS和Radius的正常通信。當然在這里防火墻端口以及Radius集群使用交換機的配置命令就不再一一介紹。

圖2 防火墻包過濾配置示意圖

回到文章開頭的網絡需求，引進用戶到期提醒強推功能后，用戶強推是以Web的形式體現(xiàn)，用戶可以根據(jù)強推服務器的地址進而攻擊Radius系統(tǒng)，從而威脅到網絡的安全性，這就是需要在Radius系統(tǒng)與用戶、強推服務器之間新增一臺防火墻的重要原因，防火墻主要滿足以下三點要求：一是強推服務器只與寬帶用戶通訊，而且強推服務器使用虛擬機實現(xiàn)，方便用戶攻擊后通過鏡像快速恢復強推功能；二是核心路由器與Radius之間互相通訊；三是只有網管人員方可登錄Radius系統(tǒng)。剛才在核心路由器和防火墻上進行靜態(tài)路由的配置，可以實現(xiàn)互聯(lián)網用戶和強推服務 器、Radius和 BRAS的通訊，這樣雖然實現(xiàn)了網絡需求，但是為了保障Radius服務的安全，這就需要配置策略來拒絕互聯(lián)網用戶訪問Radius的請求，這里就需要使用到包過濾技術。

包過濾技術主要是通過在網絡層截獲網絡數(shù)據(jù)包，再根據(jù)防火墻的規(guī)則表來檢測攻擊行為，并通過在網絡層對數(shù)據(jù)包進行分析、選擇。通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議類型等因素或它們的組合來確定是否允許該數(shù)據(jù)包通過。下面就開始在防火墻上進行包過濾的配置，具體的配置如圖2所示。

通過圖2可以看到定義的發(fā)起方源IP即寬帶用戶，發(fā)起方目的IP即Radius服務器地址，執(zhí)行的動作是丟棄，然后啟用該策略即可。該策略的作用是將寬帶用戶訪問Radius服務器的請求執(zhí)行丟棄動作，從而在一定程度上提高了Radius服務器集群的安全性。完成該包過濾策略的設置后，緊接著刪除防火墻設置的指向兩臺核心路由器的默認路由，取而代之的是增加明細路由回執(zhí)至核心路由器，這里明細路由的目的地址包括互聯(lián)網用 戶、BRAS的 Loopback地址以及運維人員網管IP地址，這樣再結合防火墻上配置的包過濾策略一起使用就可以實現(xiàn)網絡的需求。完成這一系列配置后，在使用寬帶用戶上網環(huán)境來訪問Radius服務器結果是不能成功的，而訪問強推服務器是沒有問題的。這樣就實現(xiàn)了寬帶用戶可以訪問強推服務器，但是拒絕其訪問Radius服務器的請求，同時還嚴格限制了訪問Radius服務器的群體的三項網絡需求。

總結

綜上所述，通過對網絡需求的分析，根據(jù)現(xiàn)有網絡狀況因地制宜的增加硬件防火墻來實現(xiàn)需求，在此過程中首先使用路由將網絡進行聯(lián)通，然后使用包過濾策略進行限制，從而達到了網絡的需求。也在一定程度上提高了核心服務器集群的安全系數(shù)。