第1章 管理維護

802.1x認證管理宿舍網(wǎng)

安徽財經(jīng)大學現(xiàn)代教育技術(shù)中心 吳秋兵

IEEE 802.1x解決安全認證

最近，我校將校園網(wǎng)延伸到學生宿舍區(qū)。學生對網(wǎng)絡(luò)的使用存在極高的熱情，對網(wǎng)絡(luò)技術(shù)也有很濃厚的興趣。這種熱情和興趣一方面推動了校園網(wǎng)絡(luò)迅速發(fā)展，另一方面也產(chǎn)生了各種極具破壞性的嘗試。在學生宿舍區(qū)網(wǎng)絡(luò)管理中，經(jīng)常發(fā)生IP地址盜用、IP地址沖突、使用代理、非法設(shè)備接入等情況。隨著用戶數(shù)的急劇增加，網(wǎng)絡(luò)的安全性問題日益突出。

由于PPPoE和Web/Portal等傳統(tǒng)認證方式對用戶數(shù)據(jù)包煩瑣的處理，造成了網(wǎng)絡(luò)傳輸瓶頸，并且通過增加網(wǎng)絡(luò)設(shè)備來解決傳輸瓶頸勢必造成網(wǎng)絡(luò)成本的提升，因此無法滿足用戶對網(wǎng)絡(luò)安全性、高效性和低成本的要求。

IEEE 802.1x協(xié)議通過對認證方式和認證體系結(jié)構(gòu)進行優(yōu)化，有效地解決了傳統(tǒng)認證方式帶來的問題，消除了網(wǎng)絡(luò)瓶頸，減輕了網(wǎng)絡(luò)封裝開銷，降低了建網(wǎng)成本，成為我校學生宿舍網(wǎng)絡(luò)管理的首選。

802.1x標準和Radius擴展原理

Radius基本原理是，用戶接入NAS，NAS向Radius服務器使用Access-Request數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息。其中，用戶密碼是經(jīng)過MD5加密的，雙方使用共享密鑰，這個密鑰不經(jīng)過網(wǎng)絡(luò)傳播。Radius服務器對用戶名和密碼的合法性進行檢驗，必要時可以提出一個Challenge，要求進一步對用戶認證，也可以對NAS進行類似的認證。如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進行下一步工作；否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問。

如果允許訪問，NAS向Radius服務器提出計費請求Account-Request，Radius服務器響應Account-Accept，對用戶開始計費，同時用戶可以開始進行自己的相關(guān)操作。

Radius具有以下特點：

客戶端/服務器結(jié)構(gòu)，采用共享密鑰保證網(wǎng)絡(luò)傳輸?shù)陌踩裕哂辛己玫目蓴U展性，認證機制靈活。圖1中詳細說明了在Radius系統(tǒng)下用戶的認證過程：

（1）由客戶端向接入設(shè)備發(fā)送一個EAPOL-Start報文，開始802.1x認證接入請求。

（2）接入設(shè)備收到客戶端的EAPOL-Start報文后，向客戶端發(fā)送EAP-Request/Identity報文，要求客戶端將用戶名送上來。

（3）客戶端向接入設(shè)備回應EAP-Response/Identity報文，其中包括用戶名信息。

（4）接入設(shè)備將客戶端送上來的“用戶名”信息封裝到Radius Access-Request報文中，發(fā)送給認證服務器。

（5）認證服務器產(chǎn)生一個Challenge，通過接入設(shè)備將Radius Access-Challenge報文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge。

（6）接入設(shè)備通過EAP-Request/MD5-Challenge發(fā)送給客戶端，要求客戶端進行認證。

（7）客戶端收到EAP-Request/MD5-Challenge報文后，將密碼和Challenge做MD5算法后的Challenge-Pass- Word，在EAP-Response/MD5-Challenge回應給接入設(shè)備。

（8）接入設(shè)備將Challenge、Chanllenge Password和用戶名一起送到Radius服務器，進行認證。

（9）Radius服務器根據(jù)用戶信息，做MD5算法，判斷用戶是否合法，然后回應認證成功/失敗報文到接入設(shè)備。若認證成功，則攜帶協(xié)商參數(shù)及用戶的相關(guān)業(yè)務屬性給用戶授權(quán)；若認證失敗，則流程到此結(jié)束。

（10）如果認證通過后，用戶通過標準的DHCP獲取規(guī)劃的IP地址。

（11）如果認證通過后，接入設(shè)備發(fā)起計費開始請求給Radius用戶認證服務器。

（12）Radius服務器回應計費開始，請求開始報文，用戶上線完畢。

系統(tǒng)網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計

我校原來用兩臺Cisco 7609作為東西校區(qū)核心，并采用雙萬兆互連，由東校的7609 連至聯(lián)想網(wǎng)御的防火墻，通過教育網(wǎng)、電信和網(wǎng)通上Internet。我校原有億郵的計費網(wǎng)關(guān)，用戶采用靜態(tài)分配IP地址，但面對學生區(qū)管理中頻繁出現(xiàn)的IP地址盜用、IP地址沖突、使用代理、非法設(shè)備接入等問題，該計費方案有些無能為力。因此，我校對學生區(qū)采用了安全、高效、基于802.1x協(xié)議的Sam認證計費系統(tǒng)，并通過DHCP對學生區(qū)的IP地址進行動態(tài)分配。

為此，我校新加了兩臺Cisco 6509，分別作為東西校區(qū)學生宿舍的核心匯聚，用銳捷的5750 作為每棟學生宿舍樓的樓宇匯聚，用銳捷的2126作為接入設(shè)備。東西校區(qū)的6509分別通過千兆光纖與7609 和各樓宇匯聚交換機相連。而各樓宇匯聚通過千兆光纖跟各樓層的接入交換機相連，并在東校區(qū)核心Cisco 7609連接了一臺服務器和一臺SamDHCP服務器，作為學生區(qū)的認證計費和動態(tài)IP地址分配（如圖2所示）。

架設(shè)校園宿舍網(wǎng)

硬件平臺

鑒于Cisco 6509路由的健壯性較好，物理設(shè)計充分考慮冗余可靠性，并且在用戶面前很透明，有NetFlow和大量MIB及監(jiān)控手段，因此我校核心匯聚新加了兩臺Cisco 6509。樓宇交換機選用銳捷5750，它是銳捷網(wǎng)絡(luò)推出的融合了高性能、高安全、多智能、易用性的新一代萬兆機架式多層交換機。

樓層接入交換機選用銳捷2126。RG-S2126S是一款全線速可堆疊千兆智能交換機，提供智能的流分類和完善的服務質(zhì)量（QoS）及組播管理特性，并可以實施靈活多樣的ACL訪問控制。可通過SNMP、Telnet、Web和Console口等多種方式提供豐富的管理。并且2126 具有極高的性價比。我校28棟學生宿舍需要大量的接入設(shè)備，考慮多方因素，RG2126是我校接入層設(shè)備的首選。

Sam認證計費服務器和DHCP服務器選用兩臺曙光A620r-F。曙光天闊A620r-F型服務器系統(tǒng)，配以最新推出的nVidia nMCP55 Professional和NEC uPD720400芯片組，集成雙通道千兆網(wǎng)卡控制器、SATA RAID控制器、SCSI控制器、IDE控制器，ATI ES1000圖形控制器。nVidia nMCP55 Professional芯片組支持兩個PCI-E X8接口（x8速率）的擴展，提供4Gbps的高速帶寬，為高端的擴展提供了便利。nVidia nMCP55 Professional芯片組支持SATA RAID功能，提供了人性化的RAID管理界面，集成USB 2.0高速接口。AMD64位皓龍2000系列處理器集成DDRII內(nèi)存控制器，最高可提供21.33GBps的內(nèi)存帶寬。在存儲方面支持6個熱插拔SCSI硬盤，最大1.8TB內(nèi)部存儲空間。該服務器的配置完全滿足我校學生的認證計費要求，并為以后的升級留有余地。

數(shù)據(jù)庫平臺

在Windows 2000 Server系統(tǒng)平臺的基礎(chǔ)上，架設(shè)SQL Server 2000數(shù)據(jù)庫服務器。數(shù)據(jù)庫中建立了大量數(shù)據(jù)表用來記錄、保存用戶的詳細信息，以及用戶使用和費用情況。數(shù)據(jù)庫中有接入控制表、賬務流水表、上網(wǎng)記錄及費用、賬號模塊表、接入控制屬性表、賬號相關(guān)聯(lián)服務表、用戶卡批次信息表、充值卡信息表、充值卡表、充值卡收入登賬表、充值卡批次信息表、系統(tǒng)配置表、黑名單、管理員表、接入交換機表、用戶在線表、繳費提示條件表、用戶繳費記錄表、操作權(quán)限列表、計費冊列表、注冊用戶表、用戶表、服務屬性列表。

下面就以表T_ ACCTRECORD（上網(wǎng)記錄及費用表）舉例說明，該表詳細記錄了用戶上網(wǎng)的詳細信息（如表1所示）。

系統(tǒng)功能實現(xiàn)

我校原有網(wǎng)絡(luò)基礎(chǔ)是將東西校區(qū)的Cisco 7609采用Trunk互連，并在東校區(qū)的Cisco 7609采用三層VLAV交換，校園網(wǎng)的所有用戶流量都流向東校區(qū)的Cisco 7609進行路由選擇。由于學生大多都玩局域網(wǎng)游戲、局域網(wǎng)共享及基于P2P的下載等，這些將會產(chǎn)生巨大的網(wǎng)絡(luò)流量，從而對東校區(qū)Cisco 7609是一個很大的壓力。因而，我校又重新規(guī)劃了網(wǎng)絡(luò)體系結(jié)構(gòu)，在核心層、樓宇匯聚層啟用OSPF路由，將局域網(wǎng)內(nèi)部的流量控制在匯聚層，從而減輕學生上網(wǎng)所產(chǎn)生的流量對校園網(wǎng)出口核心交換機的壓力。而對于計費認證，則主要在接入層交換機RG2126上進行。

RG2126配置：

hostname 1#SSL-2F-1/S2126S

vlan 1

（創(chuàng)建VLAV1、VLAN 501）

vlan 501

radius-server host 10.10.200.100

（設(shè)置Radius Server IP地址）

aaa authentication dot1x

（啟用802.1x認證功能）

aaa accounting server 10.10.200.100

（設(shè)置記賬服務器的IP地址）

aaa accounting

（記賬）

aaa accounting update

（配置記賬更新功能）

enable secret level 1 5 +TYC,tZ[Q-ZD+S(\X2YG1X)s-S5UH.Y*T

（配置交換機的Telnet密碼）

enable secret level 15 5 +TY1u_；CQ-Z8U0<DX2Ytj9=G-S5U7R：>H

（配置交換機的特權(quán)密碼）

port-security arp-check

（開啟交換機ARP報文檢查功能）

service dhcp

（交換機開啟DHCPRELAY功能）

ip helper-address 10.10.200.200

（設(shè)置DHCP服務器的IP地址）

interface fastEthernet 0/1

switchport access vlan 501

（將交換機的端口劃到VLAN 501中）

dot1x port-control auto

（將此端口設(shè)置成受控端口）

interface gigabitEthernet 1/1

switchport mode trunk

（將交換機端口配置成Trunk模式）

interface vlan 501

no shutdown

ip address 10.10.101.1255.255.255.0

（配置交換機的管理地址）

dot1x client-probe enable

（打開客戶端在線探測功能）

dot1x probe-timer alive 250

（配置交換機的Alive Interval，單位為秒）

aaa authorization ip-auth-mode dhcp-server

（配置IP授權(quán)模式為DHCP-Server模式）

radius-server key star

（設(shè)置Radius Server認證密碼）

ip default-gateway 10.10.101.254

snmp-server community public ro

（配置交換機SNMP管理）

end

經(jīng)驗總結(jié)

通過一段時間的實際運行，可以看到：

（1）由于采用了DHCP動態(tài)分配IP地址，沒有出現(xiàn)一例學生抱怨IP地址沖突、IP地址被盜用的情況。同時，Sam認證計費的實施，也杜絕了部分學生使用代理和接入非法設(shè)備，如交換機路由器的情況。

（2）通過一段時間觀察發(fā)現(xiàn)，即使在晚上學生上網(wǎng)高峰段，也沒有出現(xiàn)一例因認證服務器繁忙而無法認證，或由于網(wǎng)絡(luò)繁忙而通信失敗的情況。

（3）近期，網(wǎng)絡(luò)中出現(xiàn)的ARP病毒干擾，讓網(wǎng)絡(luò)管理人員大為頭疼。但學生公寓網(wǎng)絡(luò)至今沒有一例因為ARP病毒而導致學生無法上網(wǎng)的情況發(fā)生，這是因為我們在學校的學生公寓的接入層交換機（銳捷2126）啟用了ARP報文檢查功能。

雖然利用IEEE 802.1x認證技術(shù)能夠比較好地解決現(xiàn)階段校園網(wǎng)所面臨的一系列安全問題，增強了網(wǎng)絡(luò)的可控性和安全性，但正如大家所共知的，任何一項技術(shù)都不可能解決目前所面臨的所有問題。因此，僅僅依靠802.1x這項技術(shù)來解決用戶身份認證和應用終端所面臨的所有安全問題是不現(xiàn)實的。只有將多項技術(shù)和相關(guān)的管理規(guī)定有機結(jié)合起來，采用全局化、智能化的安全體系來替代陳舊、孤立的安防措施，才能構(gòu)建一個真正安全、可靠的網(wǎng)絡(luò)環(huán)境。