趙鍇

德州職業(yè)技術(shù)學(xué)院 山東德州 253034

802.1X認(rèn)證配合Option 82管理校園網(wǎng)接入權(quán)限

趙鍇

德州職業(yè)技術(shù)學(xué)院 山東德州 253034

目前針對校園網(wǎng)認(rèn)證管理使用最多的技術(shù)就是802.1X認(rèn)證。但是使用靜態(tài)IP地址管理給校園網(wǎng)管理帶來很大的麻煩。傳統(tǒng)的DHCP協(xié)議可實(shí)現(xiàn)動態(tài)IP地址分配卻無法實(shí)現(xiàn)接入用戶的權(quán)限分配，在網(wǎng)絡(luò)中找到安全性與易用性的平衡點(diǎn)成了一個重要的目標(biāo)。結(jié)合802.1X和Option 82技術(shù)，構(gòu)建一個權(quán)限清晰的校園網(wǎng)。

802.1X；DHCP；Option 82；校園網(wǎng)

Author’s address Dezhou Vocational and Technical Col lege, Dezhou, Shandong, China 253034

1 前言

經(jīng)過近幾年不斷的校園網(wǎng)網(wǎng)絡(luò)升級建設(shè)，德州職業(yè)技術(shù)學(xué)院已經(jīng)完成清晰的三層網(wǎng)絡(luò)結(jié)構(gòu)，并順利應(yīng)用了802.1X認(rèn)證[1]。在使用過程中，筆者感覺802.1X對于用戶接入校園網(wǎng)要求過為嚴(yán)格，學(xué)院經(jīng)常進(jìn)行的學(xué)術(shù)交流由于非本單位用戶沒有賬號無法正常使用校園網(wǎng)。為了解決未認(rèn)證用戶能訪問校園網(wǎng)但是只有認(rèn)證用戶能訪問互聯(lián)網(wǎng)的問題，同時為了保證校園網(wǎng)的安全和易用性的要求，在校園網(wǎng)中使用集成Option 82的DHCP技術(shù)，在應(yīng)用中取得較好的效果。

2 相關(guān)技術(shù)說明

2.1 技術(shù)簡介

DHCP是一個處于應(yīng)用層的客戶/服務(wù)器協(xié)議[1]，是BOOTP協(xié)議的擴(kuò)展。其增加了自動分配網(wǎng)絡(luò)地址、重用釋放的網(wǎng)絡(luò)地址的功能以及一些安全機(jī)制的附加信息。當(dāng)DHCP客戶端在網(wǎng)絡(luò)上啟動時，它將主動尋找一臺DHCP服務(wù)器并獲得它的TCP/IP配置信息。Opt ion 82是為了增強(qiáng)DHCP服務(wù)器的安全性，改善IP地址配置策略而提出的一種DHCP選項(xiàng)。IEEE 802.1X被稱為基于端口的訪問控制協(xié)議，該協(xié)議在利用IEEE 802 LAN優(yōu)勢的基礎(chǔ)上提供了對連接到局域網(wǎng)的設(shè)備或用戶進(jìn)行認(rèn)證和授權(quán)，從而達(dá)到阻止非法用戶未經(jīng)認(rèn)證就對網(wǎng)絡(luò)資源進(jìn)行訪問的目的。

2.2 工作過程

根據(jù)RFC3046的定義，中繼設(shè)備進(jìn)行DHCP re l ay時，可以通過添加一個Op t i on的方式來詳細(xì)地標(biāo)明DHCP客戶端的一些網(wǎng)絡(luò)信息，從而使DHCP服務(wù)器可以根據(jù)更精確的信息給用戶分配不同權(quán)限的IP，根據(jù)RFC3046的定義，所使用Op t ion選項(xiàng)的選項(xiàng)號為82，故也被稱作Op t ion 82。如果DHCP中繼代理（一般為交換機(jī)）支持Opt ion 82，DHCP客戶端通過DHCP中繼代理從DHCP服務(wù)器獲取IP地址要經(jīng)歷發(fā)現(xiàn)、提供、選擇和確認(rèn)等階段。

1）客戶端執(zhí)行802.1X認(rèn)證。認(rèn)證過程中，Radius服務(wù)器把用戶權(quán)限下發(fā)給交換機(jī)[2]。

2）認(rèn)證后，客戶端程序發(fā)出DHCP請求。交換機(jī)中繼用戶的DHCP請求，但它在向DHCP服務(wù)器轉(zhuǎn)發(fā)時，把認(rèn)證端口的Vlan ID以及Radius服務(wù)器下發(fā)的“用戶權(quán)限”信息組成Circui t ID一起轉(zhuǎn)發(fā)給DHCP服務(wù)器。Circuit ID格式如圖1所示，其中Pr ivi l iage和Vid字段各占兩個字節(jié)。

3）DHCP Server根據(jù)認(rèn)證端口的VlanID和“用戶權(quán)限”信息，尋找對應(yīng)的DHCP地址池，并分配該地址池中的IP，通過DHCP_Of fer報文分配給認(rèn)證用戶。

4）交換機(jī)收到DHCP_Of fer報文后，將DHCP_Of fer報文進(jìn)行廣播。

圖1

圖2

5）DHCP客戶端選擇IP地址。如果有多臺DHCP服務(wù)器向該客戶端發(fā)來DHCP_Of fer報文，客戶端只接受第一個收到的DHCP_Of fer報文，然后以廣播方式向各DHCP服務(wù)器回應(yīng)DHCP_Request報文，該信息中包含向所選定的DHCP服務(wù)器請求IP地址的內(nèi)容。

6）DHCP服務(wù)器確認(rèn)所提供IP地址是否被使用。當(dāng)DHCP服務(wù)器收到DHCP客戶端回答的DHCP_Request報文后，便向客戶端發(fā)送包含它所提供的IP地址和其他設(shè)置的DHCP_ACK確認(rèn)報文。

在整個過程中，用戶獲得哪個池中的IP地址是由端口Vlan ID及Radius服務(wù)器下發(fā)的“用戶權(quán)限”值來決定的。在校園網(wǎng)部署中一般定義用戶未認(rèn)證時獲取到的IP地址段為低權(quán)限網(wǎng)段，用戶認(rèn)證后獲取的IP段為高權(quán)限網(wǎng)段。不同用戶IP段對應(yīng)不同的訪問權(quán)限，通過在核心交換機(jī)上設(shè)置控制列表來實(shí)現(xiàn)。

3 校園網(wǎng)應(yīng)用示例拓?fù)湔f明（圖2）

本校園網(wǎng)使用銳捷的SAM作為802.1X服務(wù)器。接入交換機(jī)上做基于Option 82的802.1X認(rèn)證，vlan10中的用戶，缺省獲得172.16.10.0/24網(wǎng)段的地址，認(rèn)證后獲得10.0.10.0/24網(wǎng)段的地址（SAM中權(quán)限值設(shè)置為10）；v lan20中的用戶，缺省獲得172.16.20.0/24網(wǎng)段的地址，認(rèn)證后獲取10.0.20.0/24網(wǎng)段的地址（SAM中權(quán)限值設(shè)置為20）[3]。

其中在匯聚交換機(jī)上應(yīng)用ACL（控制列表），允許10.0.10.0/24和10.0.20.0/24段訪問應(yīng)用服務(wù)器地址段10.0.0.0/24，而不允許臨時用戶的172.16.20.0/24和172.16.10.0/24訪問，以提高校園網(wǎng)服務(wù)器的安全性。

其中匯聚交換機(jī)為RG-S5750，接入交換機(jī)為RGS2628。相關(guān)銳捷交換機(jī)配置參數(shù)請參閱銳捷官方文檔。

4 配置過程

4.1 DHCP服務(wù)器的配置

DHCP服務(wù)器可以使用任何支持Option 82的DHCP服務(wù)器，建議使用Linux。

5 結(jié)束語

傳統(tǒng)的校園網(wǎng)具有開放的特性，任何用戶只要聯(lián)接到交換機(jī)上，就可以通過交換機(jī)進(jìn)入網(wǎng)絡(luò)，缺乏一種有效的用戶身份認(rèn)證手段。雖然802.1X認(rèn)證解決了校園網(wǎng)的準(zhǔn)入問題，但是無法靈活地制定非認(rèn)證用戶對網(wǎng)絡(luò)的訪問權(quán)限。802.1X結(jié)合Option 82技術(shù)，可以方便地對認(rèn)證和非認(rèn)證用戶制定相匹配的網(wǎng)絡(luò)訪問權(quán)限，有助于隔離來自校園內(nèi)部的安全威脅，并方便臨時訪問者接入互聯(lián)網(wǎng)和訪問部分校園網(wǎng)。

[1]802.1X-2004-Por t Based Network AccessControl[EB/OL].ht tp://www.ieee802.org/1/pages/802.1x-2004.html.

[2]聶武超,張彥興.802.lx認(rèn)證技術(shù)分析[N].華為技術(shù)報,2004-1-9.

[3]謝波.基于IEEE802.1X協(xié)議應(yīng)用研究[D].重慶:重慶大學(xué),2005.

Design and Implementation of Security Network based on 802.1X and Option 82//

Zhao Kai

The most use of cur rent campus network authentication and management technology is 802.1X certi fication. But using a static IP address management for campus network management brought a lot of trouble. But the DHCP protocol can’t achieve a user access permissions. How to found the network safety and ease use of the equi librium point became an impor tant goal. In this paper, combine 802.1X and Option 82 technology to const ruct a permission to clear the campus network.

802.1X; DHCP; Option 82; security network

一、部分征稿選題

TP393.18

B

1671-489X(2012)18-0105-03

10.3969 /j.issn.1671-489X.2012.18.105

作者：趙鍇，講師，工程碩士，網(wǎng)絡(luò)規(guī)劃師，從事計算機(jī)網(wǎng)絡(luò)集成管理類教學(xué)。