作者:资深网络安全顾问 冯朝明 CCIE
　　
　　摘要：对于城域网的安全,我们可以进行分层考虑,下面就对汇聚层安全来进行阐述。
　　
　　关键词：网络安全 城域网
　　
　　汇聚层负责汇集分散的接入点进行数据交换，提供流量控制和用户管理（用户识别、授权、认证、计费）功能，作为城域网的业务提供层面，它是使城域网可运营、可管理的最重要组成部分。汇聚层设备是用户管理的基本设备，也是保证城域网承载网和业务安全的基本屏障，更是保障城域网安全性能的关键。
　　
　　对汇聚层设备提出的安全建议主要归纳为以下几点：
　　
　　●调整BRAS部署策略
　　
　　进行BRAS边缘化，访问控制可以在边缘BRAS上进行，如果仍然保持集中方式，可以考虑在BRAS后部署防火墙，可以将原有BRAS访问控制功能转移到防火墙后，这样可以降低BRAS负载，及进行更细粒度的访问控制。
　　
　　限制每个VLAN下的用户数量，减少PPP建立过程中广播包的广播范围，提高网络性能， BRAS推到边缘后，VLAN ID数目受到的限制问题也得到了缓解。
　　
　　细粒度的三层访问控制在BRAS或BRAS设备后端三层设备上进行。
　　
　　●部署小容量BRAS服务器，PVLAN的划分和端口保护技术，专线用户的VLAN在城域网汇聚层终结
　　
　　进行接入侧用户相互隔离，防止IP地址被盗用或仿冒，防止用户间的相互攻击；充分利用宽带接入服务器BRAS支持802.1q的特性，来实现对不同用户的服务，缩小广播域，提高城域网的整体服务性能。在用户侧部署中小容量的BRAS服务器，可把原来的超大二层网络分成若干个小型的二层网络，降低管理的难度和复杂度。
　　
　　在若干小型网络中还可以继续划分PVLAN，PVLAN是在802.3Q　VLAN的基础之产生的，是在VLAN内进行进一步的VLAN划分，从而可以实现灵活的用户隔离方案，即把同一VLAN里的不同端口进行逻辑的隔离，从而更好的进行同一个VLAN里不同端口出入流的控制。端口保护是提供对端口进行相应的配置来实现保端口隔离，各个保护端口只允许与非保护端口进行信息交流，而各个保护端口之间的信息不能互通；一般来讲，PVLAN和端口保护技术结合使用效果会更好。
　　
　　宽带专线用户的VLAN在城域网汇聚层终结，这样可以防止用户的广播包对骨干交换机的冲击。基于LAN的专线用户，通过专线直接连到网络核心，当用户发起广播时，就会使核心网络路由表产生波动，还会影响核心网络设备的性能，所以建议在汇聚层终结，再把信息上传到网络核心。
　　
　　●用户认证机制，安全密码体系
　　
　　目前常见的用户认证机制主要可以分为两大类，一种是基于网关的验证机制，利用BRAS+AAA验证服务器完成对用户的身份验证， AAA绑定一般采用的都是静态绑定方式，而动态绑定一般是在接入设备上实现的，绑定技术的有效应用，主要用于解决帐号盗用，用户定位等问题。另外一种认证机制是将用户的数据流和控制信息分开，认证服务只需对用户的认证信息（控制信息）进行验证，通过验证后，用户数据包就不再通过认证服务器而直接由交换机处理。
　　
　　根据我们实际的情况，对于纯的DLSAM汇聚方式那部分网络，可以采用第一种基于网关的验证机制，利用BRAS+AAA验证服务器完成对用户的身份验证，所有拨号用户都首先进行拨号与 BRAS进行连接，从BRAS获得动态分配给的IP地址，并从AAA服务器获得用户名验证信息，从而完成通讯。
　　
　　对于具有支持IEEE802.1X认证机制的二层以太交换机部分，我们采用第二种基于IEEE802.1X的认证机制，IEEE802.1X认证机制是把用户的认证和交换机端口激活联系在一起，交换机要求用户提供有关的用户名和口令信息，通过了认证，端口就激活，实现正常访问，否则断开。
　　
　　通过上述认证机制可以实现基于用户的访问权限控制、计费和服务类型控制，而不是基于每个站点内的所有用户计费。
　　
　　用户接入网络的密码验证，包括加强口令、多层密码设置等访问控制手段，口令必须进行MD5加密，长度和复杂性必须符合规定，还要设置多层密码，层层设防。
　　
　　●IP地址、MAC地址、用户名及卡号绑定
　　
　　IP地址、MAC地址、用户名及卡号绑定能够准确定位用户，并可提供追查恶意用户的。
　　
　　对于纯DLSAM拨号用户可实现MAC、端口和用户名绑定，将不同VLAN内对应用户的MAC地址送到BRAS，再由BRAS将其送到AAA服务器，实现与用户名和MAC的绑定。进而防止个人用户的帐号、密码被盗用，也可确定出用户上网的位置，如果用户名和密码被盗，通过这一方式可以确定偷盗者的上网地点和时间，为问题的解决提供重要线索。
　　
　　针对专线用户，是纯粹的固定IP网络，我们可以采取多种手段来对其进行安全管理，管理功能必须依靠三层网络设备，多数BRAS可将用户的IP地址、MAC、用户名、端口、卡号一起绑定或有选择的绑定，限制用户对IP地址的随意修改，增强了网络的安全性。
　　
　　●访问控制列表（ACL），IP地址数量及连接数的限制
　　
　　我们可以在路由器中创建ACL列表，采用多种过滤规则来对目标网络进行的保护，可以针对于不同服务、不同协议和MAC地址进行访问控制。
　　
　　网络设备上进行设置，来限制基于不同协议的过多的连接数或IP地址数，例如：限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP连接数等，有效防止DOS、DDOS攻击。
　　
　　●流量整形、拥塞控制、队列调度及CAR等QOS保障
　　
　　在网络设备上对用户接入的业务流进行匹配，对相应用户业务流按照约定的速率进行带宽限制，通过入口或出口的CAR和流量整形进行调整，保证重要业务流的带宽；进行拥塞设置，当流量超过缓存值时，路由器入口处就将该流量超过阀值的数据包丢弃，同时告诉数据源端的TCP应用减少窗口尺寸。
　　
　　对于支持VC Shaping的BRAS设备来说还可以针接入用户的发送数据频率来进行控制；对不同的应用进行不同的队列优先级分配，当网络拥挤时，保证重要数据优先通过，从而实现队列调度。
　　
　　●安全日志管理，流量监控
　　
　　保证网络设备具备审计信息发送、查询、统计等功能；进行设备日志的配置，记录和观察网络的运行情况，来进行信息跟踪。
　　
　　对网络的拓扑、设备、流量、等进行深入的分析，找出对网络影响最大的因素或找出网络流量、用户及业务增长的规律，在网络出现故障或者是在网络即将出现瓶颈之前给出科学的预测，对网络进行优化、升级、或改造，以满足不断增长的用户和业务的需求。
　　
　　通过流量监控，可以从上网行为上很容易辨认（比如非包月用户长时间在线等），相应可以采用流量计费方式和资费政策使盗用的行为不能有效。
　　
　　个人信息：
　　姓名：冯朝明
　　英文名字:Mars.Feng
　　专业认证: CCIE
　　性别：男
　　职业：资深网络安全顾问
　　电子信箱：mycisco@263.net