802.1X认证配合Option,82管理校园网接入权限:802.1X
时间:2019-03-31 03:19:03 来源:柠檬阅读网 本文已影响 人 
摘 要 目前针对校园网认证管理使用最多的技术就是802.1X认证。但是使用静态IP地址管理给校园网管理带来很大的麻烦。传统的DHCP协议可实现动态IP地址分配却无法实现接入用户的权限分配,在网络中找到安全性与易用性的平衡点成了一个重要的目标。结合802.1X和Option 82技术,构建一个权限清晰的校园网。
关键词 802.1X;DHCP;Option 82;校园网
中图分类号:TP393.18 文献标识码:B 文章编号:1671-489X(2012)18-0105-03
1 前言
经过近几年不断的校园网网络升级建设,德州职业技术学院已经完成清晰的三层网络结构,并顺利应用了802.1X认证[1]。在使用过程中,笔者感觉802.1X对于用户接入校园网要求过为严格,学院经常进行的学术交流由于非本单位用户没有账号无法正常使用校园网。为了解决未认证用户能访问校园网但是只有认证用户能访问互联网的问题,同时为了保证校园网的安全和易用性的要求,在校园网中使用集成Option 82的DHCP技术,在应用中取得较好的效果。
2 相关技术说明
2.1 技术简介
DHCP是一个处于应用层的客户/服务器协议[1],是BOOTP协议的扩展。其增加了自动分配网络地址、重用释放的网络地址的功能以及一些安全机制的附加信息。当DHCP客户端在网络上启动时,它将主动寻找一台DHCP服务器并获得它的TCP/IP配置信息。Option 82是为了增强DHCP服务器的安全性,改善IP地址配置策略而提出的一种DHCP选项。IEEE 802.1X被称为基于端口的访问控制协议,该协议在利用IEEE 802 LAN优势的基础上提供了对连接到局域网的设备或用户进行认证和授权,从而达到阻止非法用户未经认证就对网络资源进行访问的目的。
2.2 工作过程
根据RFC3046的定义,中继设备进行DHCP relay时,可以通过添加一个Option的方式来详细地标明DHCP客户端的一些网络信息,从而使DHCP服务器可以根据更精确的信息给用户分配不同权限的IP,根据RFC3046的定义,所使用Option选项的选项号为82,故也被称作Option 82。如果DHCP中继代理(一般为交换机)支持Option 82,DHCP客户端通过DHCP中继代理从DHCP服务器获取IP地址要经历发现、提供、选择和确认等阶段。
1)客户端执行802.1X认证。认证过程中,Radius服务器把用户权限下发给交换机[2]。
2)认证后,客户端程序发出DHCP请求。交换机中继用户的DHCP请求,但它在向DHCP服务器转发时,把认证端口的VlanID以及Radius服务器下发的“用户权限”信息组成Circuit ID一起转发给DHCP服务器。Circuit ID格式如图1所示,其中Priviliage和Vid字段各占两个字节。
3)DHCP Server根据认证端口的VlanID和“用户权限”信息,寻找对应的DHCP地址池,并分配该地址池中的IP,通过DHCP_Offer报文分配给认证用户。
4)交换机收到DHCP_Offer报文后,将DHCP_Offer报文进行广播。
5)DHCP客户端选择IP地址。如果有多台DHCP服务器向该客户端发来DHCP_Offer报文,客户端只接受第一个收到的DHCP_Offer报文,然后以广播方式向各DHCP服务器回应DHCP_Request报文,该信息中包含向所选定的DHCP服务器请求IP地址的内容。
6)DHCP服务器确认所提供IP地址是否被使用。当DHCP服务器收到DHCP客户端回答的DHCP_Request报文后,便向客户端发送包含它所提供的IP地址和其他设置的DHCP_ACK确认报文。
在整个过程中,用户获得哪个池中的IP地址是由端口VlanID及Radius服务器下发的“用户权限”值来决定的。在校园网部署中一般定义用户未认证时获取到的IP地址段为低权限网段,用户认证后获取的IP段为高权限网段。不同用户IP段对应不同的访问权限,通过在核心交换机上设置控制列表来实现。
3 校园网应用示例拓扑说明(图2)
本校园网使用锐捷的SAM作为802.1X服务器。接入交换机上做基于Option 82的802.1X认证,vlan10中的用户,缺省获得172.16.10.0/24网段的地址,认证后获得10.0.10.0/24网段的地址(SAM中权限值设置为10);vlan20中的用户,缺省获得172.16.20.0/24网段的地址,认证后获取10.0.20.0/24网段的地址(SAM中权限值设置为20)[3]。
其中在汇聚交换机上应用ACL(控制列表),允许10.0.10.0/24和10.0.20.0/24段访问应用服务器地址段10.0.0.0/24,而不允许临时用户的172.16.20.0/24和172.16.10.0/24访问,以提高校园网服务器的安全性。
其中汇聚交换机为RG-S5750,接入交换机为RG-S2628。相关锐捷交换机配置参数请参阅锐捷官方文档。
4 配置过程
4.1 DHCP服务器的配置
DHCP服务器可以使用任何支持Option 82的DHCP服务器,建议使用Linux。
ddns-update-style ad-hoc; #动态dns服务
default-lease-time 2400; #缺省的租期时间,单位秒
max-lease-time 3600; #最大的租期时间
option subnet-mask 255.255.255.0; #子网掩码设置
option domain-name-servers 202.102.134.68; #域名服务器
class "nvlan10"
#vlan10用户非认证时匹配,此时用户权限为0
{ match if option agent.circuit-id = 00:00:00:0a;
#前2字节匹配SAM中权限值,为0表示不认证时匹配;后2字节匹配vlan ID
#十六进制0a即为十进制10}
class "nvlan20"
#vlan20用户非认证时匹配,此时用户权限为0
{ match if option agent.circuit-id = 00:00:00:14;}
class "vlan10"
#vlan10用户认证时匹配,此时用户权限为10
{ match if option agent.circuit-id = 00:0a:00:0a;}
class "vlan20"
#vlan20用户认证时匹配,此时用户权限为20
{ match if option agent.circuit-id = 00:14:00:14;}
shared-network subnet
#需包含DHCP中继、DHCP服务器的配置
{ subnet 10.0.10.0 netmask 255.255.255.0 { }
subnet 172.16.10.0 netmask 255.255.255.0 { }
subnet 10.0.20.0 netmask 255.255.255.0 { }
subnet 172.16.20.0 netmask 255.255.255.0 { }
pool{
range 10.0.10.2 10.0.10.253; #IP地址范围
allow members of "vlan10";
#vlan10权限10时分配
option routers 10.0.10.1; #本网段的网关
}
pool{
range 10.0.20.2 10.0.20.253;
allow members of "vlan20";
#vlan20权限20时分配
option routers 10.0.20.1;
}
pool{
range 172.16.10.2 172.16.10.253;
allow members of "nvlan10";
#vlan10权限0时分配
option routers 172.16.10.1;
}
pool{
range 172.16.20.2 172.16.20.253;
allow members of "nvlan20";
#vlan20权限0时分配
option routers 172.16.20.1;
}
}
4.2 汇聚交换机SW-HJ的配置
//启动DHCP中继功能
SW-HJ(config)#service dhcp
SW-HJ(config)#ip forward-protocol udp bootps
//配置交换机vlan10的ip地址(需要设置主ip和从ip)并配置DHCP服务器IP地址
SW-HJ(config)#interface vlan 10
SW-HJ(config-if)#ip address 10.0.10.1 255.255.255.0
SW-HJ(config-if)#ip address 172.16.10.1 255.255.255.0 secondary
SW-HJ(config-if)#ip helper-address 192.168.26.148
//配置vlan20
SW-HJ(config)#int vlan 20
SW-HJ(config-if)#ip address 172.16.20.1 255.255.255.0 sec
SW-HJ(config-if)#ip address 172.16.20.1 255.255.255.0 secondary
SW-HJ(config-if)#ip helper-address 192.168.26.148
//允许多有IP访问SAM和DHCP服务器,但不许权限为0的vlan10和vlan20访问服务器。//同时允许所有用户访问除服务器外的其他地址,包括internet。
//在vlan10 和vlan20上的in方向应用ACL,也可以单端口应用
SW-HJ(config)#access-list 100 permit ip any host 192.168.26.148
SW-HJ(config)#access-list 100 permit ip any host 192.168.9.18
SW-HJ(config)#access-list 100 deny ip 172.16.10.0 0.0.0.255 10.0.0.0 0.0.0.255
SW-HJ(config)#access-list 100 deny ip 172.16.20.0 0.0.0.255 10.0.0.0 0.0.0.255
SW-HJ(config)#access-list 100 permit ip any any
SW-HJ(config)#interface vlan 10 SW-HJ(config-if)#ip access-group 100 in
SW-HJ(config)#int vlan 20
SW-HJ(config-if)#ip access-group 100 in
4.3 接入交换机的配置
//指定Radius Server IP并打开AAA认证
SW-JR(config)#radius-server host 192.168.9.18
SW-JR(config)#aaa authentication dot1x default enable
//启用DHCP中继并指定DHCP服务器地址,指定Option 82是基于802.1X的
SW-JR(config)#service dhcp
SW-JR(config)#ip helper-address 192.168.26.146
SW-JR(config)#ip dhcp relay information option dot1x
//配置交换机端口1-10属于vla10,受802.1X控制
SW-JR(config)#interface range fa0/1–10
SW-JR(config-if-range)#switchport access vlan 10
SW-JR(config-if-range)#dot1x port-control auto
//配置交换机端口11-22属于vla20,受802.1X控制
SW-JR(config)#interface range fa0/11–22
SW-JR(config-if-range)#switchport access vlan 20
SW-JR(config-if-range)#dot1x port-control auto
//设置认证授权模式和radius服务器公钥
SW-JR(config)#aaa authorization ip-auth-mode dhcp-server
SW-JR(config)#radius-server key aaa
5 结束语
传统的校园网具有开放的特性,任何用户只要联接到交换机上,就可以通过交换机进入网络,缺乏一种有效的用户身份认证手段。虽然802.1X认证解决了校园网的准入问题,但是无法灵活地制定非认证用户对网络的访问权限。802.1X结合Option 82技术,可以方便地对认证和非认证用户制定相匹配的网络访问权限,有助于隔离来自校园内部的安全威胁,并方便临时访问者接入互联网和访问部分校园网。
参考文献
[1]802.1X-2004-Port Based Network AccessControl[EB/OL].http://www.省略/1/pages/802.1x-2004.html.
[2]聂武超,张彦兴.802.lx认证技术分析[N].华为技术报,2004-1-9.
[3]谢波.基于IEEE802.1X协议应用研究[D].重庆:重庆大学,2005.
