基于用戶認證控制的整合的電子政務網訪問隔離實現方法

史啟斌

摘要：玉溪電子政務網同時承載全市各級政府和國屬企業的政務網和互聯網業務，它們具有不同的網絡訪問需求。傳統通過物理端口實現業務隔離，一般需要兩條上行鏈路，且物理接口切換不便。該文提出在電子政務外網啟用不同網絡域的portal或PPPoE認證，授予接入用戶相應的訪問權限，同一時間僅能訪問一個網絡，既實現不同業務網絡的隔離，又防止兩套業務網絡的直接互通。通過統一政務網賬號，整合網絡最終達到一個物理網絡能訪問兩個邏輯隔離的網絡資源。

關鍵詞：政務網;互聯網;認證控制;邏輯隔離;集約化建設

中圖分類號：TP391? 文獻標識碼：A? ? ? 文章編號：1009-3044（2019）02-0280-05

A e-government Network Access Isolation Implementation Method Based on User Authentication Control

SHI Qi-bin

（Yuxi e-government Network Management Center， Yuxi 653100， China）

Abstract： Yuxi e-government network simultaneously carries government affairs and Internet business of all levels of government and state-owned enterprises， which have different network access requirements.Traditional business isolation via physical ports usually requires two uplink links， and physical interface switching is inconvenient.This paper proposes to employ portal or PPPoE authentication of different network domains to grant corresponding access rights to different access users which only can access one logic network at the same time. It realizes the isolation of different business networks and prevent the direct intercommunication between two business networks.Using the unified account in the government network， it finally achieves to access two logically isolated network resources in a integrated physical network.

Key words： government affairs network; Internet; authentication; logic isolation; intensification construction

1 網絡背景概述

玉溪電子政務網于2014年開始建設，2015年投入運營使用。由于電子政務外網同時承載玉溪全市各級政府和國屬企業的政務網和互聯網業務，而兩類業務又要求進行邏輯隔離，不能數據直接互通。如何通過技術手段實現隔離，同時又最大程度上不影響廣泛用戶的使用習慣，是玉溪電子政務網建網之初設計階段時就重點考慮的地方。

如圖1所示，電子政務外網橫向匯聚路由器一般會通過一條城域網專線鏈路連接每個接入單位，即一條鏈路會同時承載政務網和互聯網業務，并且一個終端同一時間不能同時訪問兩個業務。

傳統通過物理端口分別接入兩類業務確實可以實現業務的隔離，但一方面用戶使用不便，需要在兩個物理接口之間切換;另一方面，這種方式一般需要接入設備有兩條上行鏈路才能實現端到端的隔離，目前實際組網情況會限制這種方式的應用。因此，必須采用一種更為合適的技術手段來匹配目前的實際網絡情況和業務隔離需求。

2 技術手段選擇

根據國家電子政務外網技術規范和要求，互聯網和電子政務外網要求邏輯隔離，采用mpls vpn可以很好地滿足該要求。在接入路由器設備上為Internet業務和電子政務外網業務分別建立專用的子接口，同時在上行橫向匯聚設備上建立對應的子接口，并分別綁定相應的VRF接口，將兩類業務進行VPN隔離。通過專用的VRF將Internet業務和電子政務外網業務進行邏輯VPN隔離，每個VRF維護一套獨立的路由轉發表，一個VRF的報文不會進入到其他VRF中進行轉發，從而達到各VPN安全隔離的目的。

在玉溪電子政務網項目實施之前，我們就針對多個解決方案進行了驗證和對接兼容測試，最終采用了通過結合LDAP的用戶認證下發訪問權限到接入路由器網關，從而實現靈活地將用戶分配到不同業務組中，既實現了兩種業務的邏輯隔離，也達到了終端不能同時訪問兩個業務的目的。實現原理如圖2所示。

在AAA服務器上選擇基于不同Domain域名的服務模板，區分政務網和互聯網的訪問權限，客戶端認證通過后，AAA服務器根據域名下發不同的服務模板到認證設備（即接入路由器網關），從而達到業務隔離的目的。

認證流程如圖3所示。地州縣接入用戶通過認證客戶端首次發起訪問請求時，認證設備（即接入路由器網關）會彈出認證Portal頁面，用戶需要在Portal頁面上輸入相應的賬號及密碼，認證服務器設置在玉溪市級網絡運維區中進行全市統一認證，認證服務器對接LDAP服務器，和目前公文系統采用統一用戶賬號。賬號認證通過后，認證服務器會為用戶下發ACL來控制客戶訪問兩套網絡，認證通過后，如用戶勾選的是訪問政務業務，則會對其下發訪問政務網的ACL策略，用戶就會直接通過市級骨干路由器訪問政務網;如用戶勾選訪問互聯網服務，則對其下發訪問互聯網的ACL，用戶就會在骨干路由器上通過PPPOE方式認證，實現對互聯網的訪問。用戶完成認證后，僅能訪問通過認證的業務網，而不能訪問另一業務網，防止政務網外聯安全隱患發生。

3 實現原理

此次在玉溪電子政務使用的是portal認證方式，Portal認證支持PAP/CHAP/EAP三種方式，此次采用的是PAP方式，客戶端可以采用認證客戶端或網頁方式，支持快速認證。認證設備需要配置RADIUS，此次的RADIUS服務器為第三方的oracle數據庫。新建的認證服務器在對接第三方數據的時候，具備較好的兼容性，根據我方的需求進行了定制開發。

1）接入時段控制。如圖4所示，用戶通過認證接入網絡以后，認證服務器可以很好地對用戶行為進行管理，對賬號配置靈活的接入時段，終端用戶認證時，如果認證時間不在接入時段內，則認證被拒絕，超過設置的時間后，認證服務器會強制用戶下線。

2）下發ACL。如圖5所示，認證服務器可以對應賬號下發ACL規則，有手工輸入、列表選擇和接入ACL列表三種方式，手工輸入：認證服務器下發ACL號給接入設備（該ACL需要提前在設備上配置好），由接入設備動態將該ACL作用于終端用戶，終端用戶下線后設備釋放該ACL，取消該ACL對終端用戶的控制。

3）用戶管理。已認證通過的賬號可以顯示在在線用戶列表中，并支持消息下發、強制下線、清除在線信息、定制顯示界面等功能，能提供常用的計算機安全檢查、遠程桌面連接、加入黑名單、資產詳細信息等功能的快捷入口顯示，認證服務器中所有已加入黑名單的賬號管理員可以手工將賬號解除黑名單狀態。

4 配置實例

4.1 VRF配置

VRF配置規劃的主要內容有互聯網VPN隧道的建立，設備互聯子接口的配置與其IP地址的劃分，路由策略與MSR26-17配置等。

4.1.1 SR8808配置

1）vpn? instance的配置：

ip vpn-instance vpn-internet

route-distinguisher 1：1

vpn-target 1：1 import-extcommunity

vpn-target 1：1 export-extcommunity

2）子接口的配置：

interface GigabitEthernet0/0.10

ip binding vpn-instance vpn-internet

ip address x.x.x.x（IP） xx.x.x（mask）

vlan-type dot1q vid 10

3）SR8808與SR8808X互連的子接口IP地址暫規劃如下，接口主IP地址沿用原有：

SR8808：59.216.0.253/30

SR8808X：59.216.0.254/30

4）為vpn-instance配置靜態路由：

ip route-static vpn-instance vpn-internet 0.0.0.0 0.0.0.0 （互聯網出口下一跳地址） description to Internet

4.1.2 MSR 36-17配置

1）電子政務網的DHCP服務配置：

dhcp server ip-pool 1

network 10.10.10.0 mask 255.255.255.0

gateway-list 10.10.10.1

dns-list 59.216.1.14 59.216.1.10

2）互聯網撥號的虛接口模板配置

domain system

ip pool 1 10.10.20.2 10.10.20.254

interface Virtual-Template0

ppp authentication-mode chap domain system

ppp ipcp dns 公網dns服務器地址

remote address pool 1

ip address 10.10.20.1 255.255.255.0

local-user 撥號用戶

password cipher 撥號密碼

service-type ppp

3）ACL配置

acl number 3002

rule 0 permit ip source 10.10.10.0 0.0.0.255

acl number 3003

rule 0 permit ip source 10.10.20.0 0.0.0.255

4）接口和子接口配置

interface GigabitEthernet0/16

port link-mode route

description to ZhengWuWang

nat outbound 3002 address-group 1

ip address 原已分配的設備IP地址 255.255.255.252

#

interface GigabitEthernet0/16.10

description to Internet

vlan-type dot1q vid 10

nat outbound 3003 address-group 2

ip address 需新規劃的子接口IP地址 255.255.255.252

5）靜態路由配置

ip route-static 0.0.0.0 0.0.0.0 互聯網子接口地址 description to Internet

ip route-static 59.216.0.0 255.255.0.0 電子政務接口IP地址 description to ZhengWuWang

ip route-static 59.255.0.0 255.255.0.0電子政務接口IP地址description to ZhengWuWang

ip route-static 172.16.0.0 255.248.0.0電子政務接口IP地址description to ZhengWuWang

ip route-static 172.21.0.0 255.255.0.0電子政務接口IP地址description to ZhengWuWang

4.2 接入路由器3600上的配置PORTAL認證

#

portal server myportal ip 59.216.1.34 key simple h3c url http：//59.216.1.34：8080/portal

//配置portal認證服務器 名稱為 myportal 秘鑰為 h3c? 配置portal web 服務器的URL為 http：//59.216.1.34：8080/portal

#

portal free-rule 1 source ip 10.0.3.5 mask 255.255.255.255 destination ip any

portal free-rule 2 source ip any destination ip 59.216.1.34 mask 255.255.255.255

portal free-rule 3 source ip 59.216.1.34 mask 255.255.255.255 destination ip any

portal free-rule 4 source ip any destination ip 114.114.114.0 mask 255.255.255.0

portal free-rule 5 source ip any destination ip 59.216.1.14 mask 255.255.255.255

portal free-rule 6 source ip any destination ip 59.216.1.10 mask 255.255.255.255

#

//配置允許在未認證的情況下PC端可以訪問的一些地址段，比如portal服務器地址59.216.1.34 DNS地址59.216.1.14 59.216.1.10 114.114.114.114 等。

#

acl number 3000

description TO_NW

rule 0 permit ip destination 59.216.0.0 0.0.255.255

rule 5 permit ip destination 59.255.0.0 0.0.255.255

rule 10 permit ip destination 172.0.0.0 0.255.255.255

rule 15 deny ip

acl number 3001

description TO_WW

rule 0 permit ip destination 59.216.1.34 0

rule 1 deny ip destination 59.216.0.0 0.0.255.255

rule 5 deny ip destination 59.255.0.0 0.0.255.255

rule 10 deny ip destination 172.0.0.0 0.255.255.255

rule 15 permit ip

#

//配置ACL

#

radius scheme imc? ? ?//創建名為imc的RADIUS方案

server-type extended

primary authentication 59.216.1.34

primary accounting 59.216.1.34

key authentication simple h3c //配置認證計費服務器地址及其共享密鑰

key accounting simple h3c

nas-ip 172.21.255.181? ? ? //本臺2600的地址

#

#

domain both

authentication portal radius-scheme imc

authorization portal radius-scheme imc

accounting portal radius-scheme imc

access-limit disable

state active

idle-cut disable

self-service-url disable

domain portal

authentication portal radius-scheme imc

authorization portal radius-scheme imc

accounting portal radius-scheme imc

access-limit disable

state active

idle-cut disable

self-service-url disable

domain yndzzw

authentication portal radius-scheme imc

authorization portal radius-scheme imc

accounting portal radius-scheme imc

access-limit disable

state active

idle-cut disable

self-service-url disable

#? ? //配置相應業務的認證域

#

interface GigabitEthernet0/2? ? //端口配置（以固定IP為例）

port link-mode route

ip address 10.100.78.1 255.255.255.128 sub

portal server myportal method layer3? // 配置可跨三層方式的portal認證 認證服務器名為 myportal

portal nas-ip 172.21.255.181? ? ? ?//配置本地服務器地址，即接入路由器的地址。

#

4.3 網管IMC上的配置

（1）添加設備

在“用戶-接入策略管理-接入設備管理-接入設備配置”中添加接入路由器的設備信息。

注：認證端口和計費端口都為默認端口，共享密鑰和接入路由器中配置的一直為：h3c。

已經在設備列表中存在的設備，點擊選擇菜單選擇即可，沒有在設備列表中的要手工添加。

（2）PORTAL服務管理配置

點擊“用戶-接入策略管理-portal服務管理”按照向導完成配置。

IP地址組配置中，添加地址段。

注：若一臺設備有多段地址段的應該建立多個IP 地址組。

配置設備

配置端口組信息

注：a、認證方式為PAP，心跳間隔和超時時間不為0即可;b、若一臺設備有多段地址段的，應該配置多個端口組。

5 結束語

通過基于Portal形式的用戶認證來下發接入用戶的訪問權限，既實現不同業務網絡的隔離，又防止兩套業務網絡的直接互通。這種技術手段非常靈活，并且具備無限擴展性，即使有更多的業務系統或定制化的業務有類似需求，都可以通過相同方案進行設置和實現，而且操作簡單便捷。同時，認證服務器可以和LDAP、第三方數據庫對接，可以在政務網內統一賬號，便于管理和維護。

堅持集約化建設原則，通過這種網絡認證技術，實現政務外網和互聯網的不同網絡訪問，在電子政務外網啟用portal或PPPoE認證（不同網絡域），認證通過后才可以訪問政務外網或互聯網，同一時間僅能訪問一個網絡，整合網絡最終達到一個物理網絡能訪問兩個邏輯隔離網絡資源。

玉溪市電子政務外網現已通過通過整合網絡、集約化建設、基于認證控制等，實現網絡隔離和網絡安全管理，有近2萬的用戶使用互聯網和政務外網，大大節約財政資金，為將來信息資源共享、業務融合打下堅實的網絡基礎。

參考文獻：

[1] 國家電子政務外網標準 GW0101-2014國家電子政務外網信息安全標準體系框架

[2] 國家電子政務外網標準 GW0204-2014國家電子政務外網安全管理系統技術要求與接口規范

[3] H3C SR8800 萬兆核心路由器 典型配置案例-R3725-6W100

[4] H3C MSR 系列路由器 配置指導（V7）-6W103

[5] H3C智能管理中心 用戶手冊-5PW123

[6] 黃榮.基于802.1x和web portal認證技術的校園網用戶端點準入控制系統的設計及應用[J].福州大學學報：自然科學版，2008，36（5）：673-676.