802.1X認證配合Option 82管理校園網(wǎng)接入權(quán)限

趙鍇

德州職業(yè)技術(shù)學(xué)院 山東德州 253034

802.1X認證配合Option 82管理校園網(wǎng)接入權(quán)限

趙鍇

德州職業(yè)技術(shù)學(xué)院 山東德州 253034

目前針對校園網(wǎng)認證管理使用最多的技術(shù)就是802.1X認證。但是使用靜態(tài)IP地址管理給校園網(wǎng)管理帶來很大的麻煩。傳統(tǒng)的DHCP協(xié)議可實現(xiàn)動態(tài)IP地址分配卻無法實現(xiàn)接入用戶的權(quán)限分配，在網(wǎng)絡(luò)中找到安全性與易用性的平衡點成了一個重要的目標。結(jié)合802.1X和Option 82技術(shù)，構(gòu)建一個權(quán)限清晰的校園網(wǎng)。

802.1X；DHCP；Option 82；校園網(wǎng)

Author’s address Dezhou Vocational and Technical Col lege, Dezhou, Shandong, China 253034

1 前言

經(jīng)過近幾年不斷的校園網(wǎng)網(wǎng)絡(luò)升級建設(shè)，德州職業(yè)技術(shù)學(xué)院已經(jīng)完成清晰的三層網(wǎng)絡(luò)結(jié)構(gòu)，并順利應(yīng)用了802.1X認證[1]。在使用過程中，筆者感覺802.1X對于用戶接入校園網(wǎng)要求過為嚴格，學(xué)院經(jīng)常進行的學(xué)術(shù)交流由于非本單位用戶沒有賬號無法正常使用校園網(wǎng)。為了解決未認證用戶能訪問校園網(wǎng)但是只有認證用戶能訪問互聯(lián)網(wǎng)的問題，同時為了保證校園網(wǎng)的安全和易用性的要求，在校園網(wǎng)中使用集成Option 82的DHCP技術(shù)，在應(yīng)用中取得較好的效果。

2 相關(guān)技術(shù)說明

2.1 技術(shù)簡介

DHCP是一個處于應(yīng)用層的客戶/服務(wù)器協(xié)議[1]，是BOOTP協(xié)議的擴展。其增加了自動分配網(wǎng)絡(luò)地址、重用釋放的網(wǎng)絡(luò)地址的功能以及一些安全機制的附加信息。當(dāng)DHCP客戶端在網(wǎng)絡(luò)上啟動時，它將主動尋找一臺DHCP服務(wù)器并獲得它的TCP/IP配置信息。Opt ion 82是為了增強DHCP服務(wù)器的安全性，改善IP地址配置策略而提出的一種DHCP選項。IEEE 802.1X被稱為基于端口的訪問控制協(xié)議，該協(xié)議在利用IEEE 802 LAN優(yōu)勢的基礎(chǔ)上提供了對連接到局域網(wǎng)的設(shè)備或用戶進行認證和授權(quán)，從而達到阻止非法用戶未經(jīng)認證就對網(wǎng)絡(luò)資源進行訪問的目的。

2.2 工作過程

根據(jù)RFC3046的定義，中繼設(shè)備進行DHCP re l ay時，可以通過添加一個Op t i on的方式來詳細地標明DHCP客戶端的一些網(wǎng)絡(luò)信息，從而使DHCP服務(wù)器可以根據(jù)更精確的信息給用戶分配不同權(quán)限的IP，根據(jù)RFC3046的定義，所使用Op t ion選項的選項號為82，故也被稱作Op t ion 82。如果DHCP中繼代理（一般為交換機）支持Opt ion 82，DHCP客戶端通過DHCP中繼代理從DHCP服務(wù)器獲取IP地址要經(jīng)歷發(fā)現(xiàn)、提供、選擇和確認等階段。

1）客戶端執(zhí)行802.1X認證。認證過程中，Radius服務(wù)器把用戶權(quán)限下發(fā)給交換機[2]。

2）認證后，客戶端程序發(fā)出DHCP請求。交換機中繼用戶的DHCP請求，但它在向DHCP服務(wù)器轉(zhuǎn)發(fā)時，把認證端口的Vlan ID以及Radius服務(wù)器下發(fā)的“用戶權(quán)限”信息組成Circui t ID一起轉(zhuǎn)發(fā)給DHCP服務(wù)器。Circuit ID格式如圖1所示，其中Pr ivi l iage和Vid字段各占兩個字節(jié)。

3）DHCP Server根據(jù)認證端口的VlanID和“用戶權(quán)限”信息，尋找對應(yīng)的DHCP地址池，并分配該地址池中的IP，通過DHCP_Of fer報文分配給認證用戶。

4）交換機收到DHCP_Of fer報文后，將DHCP_Of fer報文進行廣播。

圖1

圖2

5）DHCP客戶端選擇IP地址。如果有多臺DHCP服務(wù)器向該客戶端發(fā)來DHCP_Of fer報文，客戶端只接受第一個收到的DHCP_Of fer報文，然后以廣播方式向各DHCP服務(wù)器回應(yīng)DHCP_Request報文，該信息中包含向所選定的DHCP服務(wù)器請求IP地址的內(nèi)容。

6）DHCP服務(wù)器確認所提供IP地址是否被使用。當(dāng)DHCP服務(wù)器收到DHCP客戶端回答的DHCP_Request報文后，便向客戶端發(fā)送包含它所提供的IP地址和其他設(shè)置的DHCP_ACK確認報文。

在整個過程中，用戶獲得哪個池中的IP地址是由端口Vlan ID及Radius服務(wù)器下發(fā)的“用戶權(quán)限”值來決定的。在校園網(wǎng)部署中一般定義用戶未認證時獲取到的IP地址段為低權(quán)限網(wǎng)段，用戶認證后獲取的IP段為高權(quán)限網(wǎng)段。不同用戶IP段對應(yīng)不同的訪問權(quán)限，通過在核心交換機上設(shè)置控制列表來實現(xiàn)。

3 校園網(wǎng)應(yīng)用示例拓撲說明（圖2）

本校園網(wǎng)使用銳捷的SAM作為802.1X服務(wù)器。接入交換機上做基于Option 82的802.1X認證，vlan10中的用戶，缺省獲得172.16.10.0/24網(wǎng)段的地址，認證后獲得10.0.10.0/24網(wǎng)段的地址（SAM中權(quán)限值設(shè)置為10）；v lan20中的用戶，缺省獲得172.16.20.0/24網(wǎng)段的地址，認證后獲取10.0.20.0/24網(wǎng)段的地址（SAM中權(quán)限值設(shè)置為20）[3]。

其中在匯聚交換機上應(yīng)用ACL（控制列表），允許10.0.10.0/24和10.0.20.0/24段訪問應(yīng)用服務(wù)器地址段10.0.0.0/24，而不允許臨時用戶的172.16.20.0/24和172.16.10.0/24訪問，以提高校園網(wǎng)服務(wù)器的安全性。

其中匯聚交換機為RG-S5750，接入交換機為RGS2628。相關(guān)銳捷交換機配置參數(shù)請參閱銳捷官方文檔。

4 配置過程

4.1 DHCP服務(wù)器的配置

DHCP服務(wù)器可以使用任何支持Option 82的DHCP服務(wù)器，建議使用Linux。

5 結(jié)束語

傳統(tǒng)的校園網(wǎng)具有開放的特性，任何用戶只要聯(lián)接到交換機上，就可以通過交換機進入網(wǎng)絡(luò)，缺乏一種有效的用戶身份認證手段。雖然802.1X認證解決了校園網(wǎng)的準入問題，但是無法靈活地制定非認證用戶對網(wǎng)絡(luò)的訪問權(quán)限。802.1X結(jié)合Option 82技術(shù)，可以方便地對認證和非認證用戶制定相匹配的網(wǎng)絡(luò)訪問權(quán)限，有助于隔離來自校園內(nèi)部的安全威脅，并方便臨時訪問者接入互聯(lián)網(wǎng)和訪問部分校園網(wǎng)。

[1]802.1X-2004-Por t Based Network AccessControl[EB/OL].ht tp://www.ieee802.org/1/pages/802.1x-2004.html.

[2]聶武超,張彥興.802.lx認證技術(shù)分析[N].華為技術(shù)報,2004-1-9.

[3]謝波.基于IEEE802.1X協(xié)議應(yīng)用研究[D].重慶:重慶大學(xué),2005.

Design and Implementation of Security Network based on 802.1X and Option 82//

Zhao Kai

The most use of cur rent campus network authentication and management technology is 802.1X certi fication. But using a static IP address management for campus network management brought a lot of trouble. But the DHCP protocol can’t achieve a user access permissions. How to found the network safety and ease use of the equi librium point became an impor tant goal. In this paper, combine 802.1X and Option 82 technology to const ruct a permission to clear the campus network.

802.1X; DHCP; Option 82; security network

一、部分征稿選題

TP393.18

B

1671-489X(2012)18-0105-03

10.3969 /j.issn.1671-489X.2012.18.105

作者：趙鍇，講師，工程碩士，網(wǎng)絡(luò)規(guī)劃師，從事計算機網(wǎng)絡(luò)集成管理類教學(xué)。