暨南大學網(wǎng)絡與教育技術中心 陳國良 鄭松奕

在校園網(wǎng)絡中,為了網(wǎng)絡管理和安全的需求,需要給不同類型的用戶配置不同的訪問權限。管理員可以根據(jù)不同用戶權限來分配不同用戶IP區(qū)間,對不同權限用戶進行源IP地址策略路由,從而達到對上網(wǎng)權限的控制?；贒HCP協(xié)議的Option82網(wǎng)絡權限管理方案可部署于需動態(tài)分配網(wǎng)絡參數(shù)的區(qū)域,利用DHCP協(xié)議的82號選項,對不同接入點不同權限的同戶進行定位,讓DHCP服務器根據(jù)不同定位的用戶分配相應的網(wǎng)絡參數(shù),實現(xiàn)根據(jù)IP地址對用戶權限控制。針對開源系統(tǒng)穩(wěn)定性不足的問題,根據(jù)冗余設計理念,利用雙機故障切換技術,將該方案整體系統(tǒng)可用性提高到99.99%。

0 引言

互聯(lián)網(wǎng)作為基礎設施,在現(xiàn)代生活中發(fā)揮著重要的作用。在高校,信息化和數(shù)字化早已滲透到學校教學、科研、管理,數(shù)字化校園為學校教學和科研提供有力支持。隨著用戶數(shù)量的不斷增加,以及新技術的發(fā)展(如IPv6),給網(wǎng)絡管理帶來新的挑戰(zhàn)。在以往網(wǎng)絡管理中,用戶大多采用固定IP地址的方法,對于用戶而言,面臨固定IP地址配置比較復雜,IPv4地址枯竭問題,而且通常不能進行區(qū)域遷移。為了簡化用戶網(wǎng)絡接入的配置工作,提高網(wǎng)絡管理效率,當前大多采用DHCP方法來進行用戶地址分配。

1 DHCP說明

DHCP(Dynamic Host Configuration Protocol)主要用來動態(tài)提供配置參數(shù)給網(wǎng)絡上的主機,是基于BOOTP(BOOTstrap Protocol)的,它能使接入網(wǎng)絡的設備即插即用,無需人工干預即可實現(xiàn)網(wǎng)絡參數(shù)的自動配置。當有線網(wǎng)絡設備插入網(wǎng)線或無線網(wǎng)絡設備連上無線網(wǎng)絡后,首先通過該協(xié)議自動與DHCP服務器協(xié)商獲取如IP、掩碼、網(wǎng)關、DNS等必要的信息,同時根據(jù)網(wǎng)絡管理員的部署,可能同時交互相關的附加信息,即DHCP Option信息。DHCP報文中含有一個或多個Option,該Option在DHCP報文中為可變長的字段,Option中包含了租約信息、報文類型等[1]。Option82又稱為中繼代理信息選項(Relay Agent Information Option),是DHCP報文中Option內(nèi)容的一部分。

2 DHCP部署

DHCP服務器種類繁多,各有優(yōu)缺點。Windows服務器自帶的DHCP軟件有較直觀易用的用戶界面;ISCDHCPD是開源軟件并安裝于Linux、Unix操作系統(tǒng)有較好的安全性;商業(yè)軟件兼顧友好的用戶界面與高可用,但價格昂貴[2]。

2.1 DHCP雙機部署

許多研究表明,ISC-DHCPD能很好地應用Option82作判斷后分配相應的網(wǎng)絡參數(shù),不少網(wǎng)絡管理部門都成功應用過此方案,取得了一定的成效,但方案中存在DHCP服務器閃單點故障,實驗證明可以采用Failover協(xié)議保障DHCP服務高可用。

DHCP故障轉(zhuǎn)移是一種機制,其中兩個DHCP服務器都配置為管理相同的地址池,以便它們可以共享該池的分配租約的負載,并在網(wǎng)絡中斷的情況下為彼此提供備份[3]。

2.2 系統(tǒng)高可用優(yōu)化

配置Failover能避免單點故障風險,當一臺服務器出現(xiàn)故障,另一臺服務器可以接管業(yè)務,給管理員預留了處理故障的時間,但仍然不能成為一套健壯的系統(tǒng),仍有一定的改進空間。以下闡述采用自我監(jiān)控、自我重啟的方式解決進程崩潰的辦法。

每次ISC-DHCPD程序運行都會將當前進程號更新到PID文件中,編寫監(jiān)控腳本比對PID,即可探測出ISC-DHCPD程序是否在運行狀態(tài)中,如否則重啟程序,并記錄到日志文件[4]。

監(jiān)控與重啟核心程序:

改進后的DHCP服務運行效果如圖1所示:

圖1 DHCP服務Stu10aCernet地址池統(tǒng)計圖Fig.1 Statistics of the DHCP service Stu10aCernet address pool

程序重啟日志如圖2所示:

圖2 DHCP程序重啟日志截圖Fig.2 Screenshot of DHCP program restart log

上述數(shù)據(jù)表明,業(yè)務連續(xù),監(jiān)控程序?qū)崿F(xiàn)了系統(tǒng)自愈,改進方法取得良好的成效。

3 網(wǎng)絡部署

3.1 大型網(wǎng)絡中繼部署

大型網(wǎng)絡中實現(xiàn)DHCP配置網(wǎng)絡參數(shù),需要進行DHCP中繼,結(jié)合接入控制需要,選取在接入交換機中進行用戶認證與DHCP中繼。原理如圖3所示:

圖3 認證與DHCP分配網(wǎng)絡參數(shù)流程圖Fig.3 Flow chart of authentication and DHCP allocation of network parameters

3.2 網(wǎng)絡設備配置

接入交換機須支持DHCP Option82和802.1X認證,認證系統(tǒng)須支持下發(fā)用戶權限參數(shù)。802.1X認證和DHCP Option82完美的結(jié)合起來,實現(xiàn)管理員可以控制哪一類802.1X認證用戶可以分配哪一類的IP地址,從而精確地進行IP地址管理[5]。在認證系統(tǒng)配置“用戶權限”參數(shù),用戶認證成功后,交換機把認證系統(tǒng)下發(fā)的“用戶權限”參數(shù)和用戶接入的Vlan ID信息作為Option82的“Circuit ID”子選項信息傳給DHCP Server,以便DHCP Server能根據(jù)不同的“用戶權限”參數(shù)按相應的配置策略分配不同類型的IP,對不同權限用戶進行源IP地址策略路由和配置相應ACL實現(xiàn)對其上網(wǎng)權限的控制[6]。

交換機配置DHCP中繼與Failover核心命令如下:

3.3 用戶權限控制

通過認證系統(tǒng)記錄的用戶權限分配不同的網(wǎng)絡參數(shù),進而控制用戶訪問權限。簡述如下:

(1)未認證用戶分配172.18.0.0/16地址塊的網(wǎng)絡參數(shù),只能訪問用戶自助服務平臺,用于查看設置說明、下載認證客戶端、辦理網(wǎng)絡業(yè)務以及網(wǎng)絡報障等。(2)A類用戶分配172.16.0.0/16地址塊的網(wǎng)絡參數(shù),用于無限制互聯(lián)網(wǎng)資源訪問。(3)B類用戶分配172.24.0.0/16地址塊的網(wǎng)絡參數(shù),用于純教學科研資源的訪問,便于對特定群體的網(wǎng)絡行為管理。

經(jīng)實驗驗證并在生產(chǎn)環(huán)境穩(wěn)定運行數(shù)年,系統(tǒng)運行情況良好。

4 結(jié)語

部署方案實現(xiàn)了不同權限的用戶分配到對應的網(wǎng)絡參數(shù),集中管理兩萬多用戶的網(wǎng)絡參數(shù)動態(tài)配置,減輕了網(wǎng)絡管理員的IP地址管理工作。通過優(yōu)化,極大提升了系統(tǒng)高可用性。

隨著移動通信的發(fā)展,網(wǎng)絡亦從有線走向無線,基于權限的分配亦希望能用于無線網(wǎng)絡,需要無線AP或無線交換機的支持,這需要進一步的研究與探索。

引用

[1] Alexander S,Droms R.DHCP Options and BOOTP Vendor Extensions[M].RFC2132,1997:3.

[2] Droms R.Dynamic Host Configuration Protocol [M].RFC2131,1997:3.

[3] Patrick M.DHCP Relay Agent Information Option [M].RFC3046,2001:1.

[4] International Federation of Library Association and Institutions.Names of Persons:national usages for entry in catalogues[M].3rd ed.London:IFLA International Office for UBC,1997.

[5] 孫力芾,李生紅.DHCP及Option82安全機制的原理與實現(xiàn)[J].信息技術,2005(8):29-32.

[6] Setting Up DHCP Failover:A Basic Overview.[EB/OL][2012-05-06].https://kb.isc.org/article/AA-00502/0/A-Basic-Guide-to-Configuring-DHCP-Failover.html.