吳禮樂

（中國石油大學（北京）信息技術中心，北京 102249）

隨著高校校園計算機網(wǎng)絡規(guī)模的不斷擴大、網(wǎng)絡應用的不斷豐富以及終端用戶的不斷增加，廣大師生對互聯(lián)網(wǎng)的依賴程度越來越高，網(wǎng)絡管理工作越來越繁重，因此，高校計算機網(wǎng)絡的安全接入管理尤為重要。采用在二層接入交換上配置MAC地址+端口的綁定策略，可以有效防止ARP病毒和網(wǎng)絡攻擊的干擾，采用在三層匯聚交換機上配置網(wǎng)關Web Portal重定向的認證策略，可以有效地對校園網(wǎng)用戶上網(wǎng)行為進行記錄日志，單一采用以上兩種網(wǎng)絡安全策略都無法很好地完整解決網(wǎng)絡安全準入控制的問題。為了能比較全面地解決目前高校校園計算機網(wǎng)絡存在的問題，需要在高校校園計算機網(wǎng)絡上實施終端用戶準入控制策略，對終端接入點進行計算機合法性檢查和用戶身份認證的雙重準入控制，阻斷非法終端的接入，對校園網(wǎng)終端用戶行為進行審計和監(jiān)控，確保校園校園計算機網(wǎng)絡安全、可靠、高效地運行。近年來，通過在終端接入密集的學生宿舍區(qū)域?qū)嵤㎝AC地址批量綁定和Portal認證的雙重準入控制策略，取得了良好的成效。

1 MAC地址與交換機端口綁定技術

交換機綁定技術是一種既簡單又安全的準入控制機制，通過交換機上的綁定功能，可以對端口轉(zhuǎn)發(fā)的報文進行過濾控制。當端口接收到報文后查找綁定表項，如果報文中的特征項與綁定表項中記錄的特征項匹配，則端口轉(zhuǎn)發(fā)該報文，否則做丟棄處理。

目前交換機提供靈活的綁定策略，支持端口+MAC+IP的多元混合綁定策略。交換機端口與MAC地址的綁定，就是把交換機的某一個物理端口和下面所連接的電腦MAC地址綁定，這樣即使有非法電腦偷偷地連接到這個端口上也是不能連接到局域網(wǎng)當中的。配置交換機端口和MAC地址綁定的好處是可以限制終端計算機可以接入哪個端口，不可以接入哪個端口。換句話說，通過配置交換機端口與MAC地址綁定的功能，可以解決非法用戶修改MAC地址以適應靜態(tài)ARP表的問題。使用交換機提供的端口地址過濾模式，即交換機的每一個端口只具有允許合法MAC地址的計算機通過該端口訪問網(wǎng)絡，任何來自其它非法MAC地址的計算機的訪問將被拒絕，當一個未批準的MAC地址試圖訪問端口的時候，交換機會禁用該端口或者拋棄該MAC地址產(chǎn)生的報文。這樣可以有效的防止ARP病毒的攻擊,也有效地防止了內(nèi)部網(wǎng)絡某些人出于某些目的擅自修改自己MAC地址的行為。

2 匯聚交換機Portal重定向認證技術

三層匯聚交換機Portal認證技術是在三層vlan接口開啟Portal重定向認證機制，由于不需要安裝客戶端軟件，使用方便，在校園網(wǎng)的認證系統(tǒng)中起到重要作用。該認證技術由DHCPServer，Portal Server和 Radius Server設備配合完成，當用戶未認證通過瀏覽器上網(wǎng)時，交換機強制自動重定向到Portal認證頁面進行認證，只有認證通過后用戶才可以使用互聯(lián)網(wǎng)資源。通常，三層交換機Portal重定向認證的一次認證過程可以描述如下：

1)用戶機器啟動后，通過匯聚交換機上的DHCPServer獲取到相應VLAN的DHCP池下的一個合法IP地址。

2)交換機根據(jù)該用戶的IP地址、MAC地址以及所在的端口號等信息構(gòu)造對應的表項信息，此時用戶只能訪問Portal Server，DNSServer和一些內(nèi)部服務器，訪問權限可以通過Portal ACL制定。

3)用戶打開瀏覽器輸入任何網(wǎng)址上網(wǎng)時，交換機Portal強制重定向到Portal Server認證頁面進行認證，認證頁面將用戶輸入的用戶名、密碼以及用戶機器的IP地址、MAC地址等信息發(fā)送給Radius服務器。

4)Radius服務器獲得用戶名、密碼、機器的IP地址和MAC地址之后，對用戶進行合法性檢查。

5)Radius服務器認證成功之后，給交換機發(fā)送認證成功報文，此時該用戶就可以正常訪問網(wǎng)關外網(wǎng)絡。

3 MAC綁定和Portal認證的組網(wǎng)設計

1)總體架構(gòu)設計

我校學生宿舍區(qū)域網(wǎng)絡規(guī)模大，網(wǎng)絡用戶數(shù)量達12 000個，二層接入交換機采用的是北電425和2550T（已被AVAYA收購），三層匯聚交換機采用的是H3C 5800-32F，每棟學生樓接入交換機千兆光口上聯(lián)至匯集交換機，匯聚交換機萬兆上聯(lián)至校園網(wǎng)絡核心。當學生用戶連接入網(wǎng)時，二層接入交換機端口檢查該用戶計算機MAC地址的合法性，如果是合法注冊已交費的MAC地址，才允許計算機連接到三層匯聚交換機的DHCPServer動態(tài)獲取IP地址，獲取IP地址成功之后打開瀏覽器上網(wǎng)時會由匯聚交換機三層VLAN的Portal功能自動重定向到Portal+Radius服務器 （Portal服務器和Radius服務器做在同一臺服務器上）進行認證，認證通過方可上網(wǎng)。架構(gòu)設計如圖1所示。

2)MAC批量綁定設計

學生宿舍接入交換機全部采用北電425和2550T，每天需要對注冊交費用戶或者變更網(wǎng)卡用戶的計算機MAC地址進行端口綁定，但由于接入交換機及網(wǎng)絡用戶量龐大，在每臺交換機上依靠telnet命令行或圖形界面手動輸入MAC綁定配置變得不現(xiàn)實，不僅工作量大而且極容易出錯，為了解決這個問題，基于JAVA+SNMP開發(fā)了中國石油大學網(wǎng)絡管理系統(tǒng)來實現(xiàn)北電交換機MAC批量綁定的功能，此綁定程序只需選擇交換機端口號與MAC地址對應表文件（.txt文本文件）即可實現(xiàn)一鍵式導入全校學生計算機用戶的MAC地址端口綁定的操作。通過交費系統(tǒng)導出交換機端口號與MAC地址對應表，表文件每行對應一個交換機端口和一個計算機MAC地址。導出交換機端口號與MAC地址對應表如圖2所示。

圖1 總體架構(gòu)Fig.1 Overall architecture

圖2 導出端口+MAC對應表Fig.2 Export port+MACtable

一鍵式批量導入MAC地址綁定如圖3所示。

圖3 MAC批量綁定Fig.3 MACbatch binding

3)Portal認證設計

采用H3C 5800作為學生宿舍區(qū)域匯聚層三層網(wǎng)關，每棟樓宇客戶端通過網(wǎng)關DHCP Server獲取到對應VLAN的IP地址之后，此時還無法訪問網(wǎng)關外網(wǎng)絡，只允許訪問Portal服務器的認證頁面和DNS服務器，當客戶端打開瀏覽器輸入任何網(wǎng)址上網(wǎng)時網(wǎng)關Portal功能會強制自動重定向到已建立好的Portal服務器認證頁面進行認證，客戶端輸入用戶名和密碼進行認證成功之后才可訪問網(wǎng)絡，實現(xiàn)了客戶端Portal安全準入認證。命令行實現(xiàn)如下：

//Radius和Portal服務器IP地址是192.168.1.1，連接口令均為123321

//DNSIP地址為10.200.1.1

//建立一個radius scheme為rs1

radius scheme rs1

primary authentication 192.168.1.1

primary accounting 192.168.1.1

key authentication 123321

key accounting 123321

user-name-format without-domain

//建立一個domain為dm1

domain dm1

authentication portal radius-scheme rs1

authorization portal radius-scheme rs1

accounting portal radius-scheme rs1

//應用dm1到默認域

domain default enable dm1

//建立一個portal重定向名為ps

portal server ps ip 192.168.1.1 key 123321 url http://192.168.1.1/portal.html

//添加域名服務器為免認證

portal free -rule 1 destination ip 10.200.1.1 mask 255.255.255.255

//在vlan 2三層接口下啟用Portal重定向認證

interface vlan-interface 2

portal server portal_server method direct

4 結(jié)束語

針對校園網(wǎng)絡的網(wǎng)絡安全和準入控制問題，中國石油大學在學生宿舍區(qū)域使用了MAC批量綁定和Portal認證的雙重準入控制方案，該方案已經(jīng)應用了多年，有效解決當前校園網(wǎng)絡中存在的安全、應用問題，為學生提供一個安全、高效的網(wǎng)絡平臺，事實證明此方案切實有效。

[1]黃榮.基于802.1x和Web Portal認證技術的校園網(wǎng)用戶端點準入控制系統(tǒng)的設計及應用[J].福州大學學報：自然科學版，2008，36（5）:673-676.HUANG Rong.Design and applications of campus network user terminal access control system based on 802.1x and Web portal authentication techniques[J].Journal of Fuzhou University：Natural Science Edition，2008，36（5）:673-676.

[2]胡光民，柯立新.校園網(wǎng)絡安全與準入身份認證[J].上海海洋大學學報，2010，19（2）:271-274.HU Guang-ming，KE Li-xin.Campus network security and accessauthentication[J].Journal of Shanghai Ocean University，2010，19（2）:271-274.

[3]李興國，雷若寒.利用準入控制實現(xiàn)校園網(wǎng)的安全管理[J].微計算機信息，2008，24（12）:47-48,53.LI Xing-guo，LEI Ruo-han.Implement security management of campus network by admission control[J].Control&Auto，2008，24（12）:47-48,53.

[4]張鴻波，任志剛，肖靜.MAC地址與交換機端口綁定方法的實踐[J].中國數(shù)字醫(yī)學，2007，2（7）:53-55.ZHANG Hong-bo，REN Zhi-gang，XIAO Jing.MAC Address and switch port binding method and practice[J].China Digital Medicine，2007，2（7）:53-55.

[5]白潔，徐金云，干陳明.使用綁定技術實現(xiàn)校園網(wǎng)ARP病毒的防治[J].科技傳播，2011（1）:167-174.BAI Jie，XU Jin-yun，GAN Chen-ming.Use the bind techniques to realize campus network ARP the prevention and control of the virus[J].Public Communicationof Science&Technology，2011（1）:167,174.

[6]H3C White paper[EB/OL].http://www.h3c.com.cn/Service/Document_Center/Switches/Catalog/S5800/S5800/,2014.