第1章 管理維護(hù)

802.1x認(rèn)證管理宿舍網(wǎng)

安徽財(cái)經(jīng)大學(xué)現(xiàn)代教育技術(shù)中心 吳秋兵

IEEE 802.1x解決安全認(rèn)證

最近，我校將校園網(wǎng)延伸到學(xué)生宿舍區(qū)。學(xué)生對網(wǎng)絡(luò)的使用存在極高的熱情，對網(wǎng)絡(luò)技術(shù)也有很濃厚的興趣。這種熱情和興趣一方面推動(dòng)了校園網(wǎng)絡(luò)迅速發(fā)展，另一方面也產(chǎn)生了各種極具破壞性的嘗試。在學(xué)生宿舍區(qū)網(wǎng)絡(luò)管理中，經(jīng)常發(fā)生IP地址盜用、IP地址沖突、使用代理、非法設(shè)備接入等情況。隨著用戶數(shù)的急劇增加，網(wǎng)絡(luò)的安全性問題日益突出。

由于PPPoE和Web/Portal等傳統(tǒng)認(rèn)證方式對用戶數(shù)據(jù)包煩瑣的處理，造成了網(wǎng)絡(luò)傳輸瓶頸，并且通過增加網(wǎng)絡(luò)設(shè)備來解決傳輸瓶頸勢必造成網(wǎng)絡(luò)成本的提升，因此無法滿足用戶對網(wǎng)絡(luò)安全性、高效性和低成本的要求。

IEEE 802.1x協(xié)議通過對認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)進(jìn)行優(yōu)化，有效地解決了傳統(tǒng)認(rèn)證方式帶來的問題，消除了網(wǎng)絡(luò)瓶頸，減輕了網(wǎng)絡(luò)封裝開銷，降低了建網(wǎng)成本，成為我校學(xué)生宿舍網(wǎng)絡(luò)管理的首選。

802.1x標(biāo)準(zhǔn)和Radius擴(kuò)展原理

Radius基本原理是，用戶接入NAS，NAS向Radius服務(wù)器使用Access-Request數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息。其中，用戶密碼是經(jīng)過MD5加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過網(wǎng)絡(luò)傳播。Radius服務(wù)器對用戶名和密碼的合法性進(jìn)行檢驗(yàn)，必要時(shí)可以提出一個(gè)Challenge，要求進(jìn)一步對用戶認(rèn)證，也可以對NAS進(jìn)行類似的認(rèn)證。如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作；否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問。

如果允許訪問，NAS向Radius服務(wù)器提出計(jì)費(fèi)請求Account-Request，Radius服務(wù)器響應(yīng)Account-Accept，對用戶開始計(jì)費(fèi)，同時(shí)用戶可以開始進(jìn)行自己的相關(guān)操作。

Radius具有以下特點(diǎn)：

客戶端/服務(wù)器結(jié)構(gòu)，采用共享密鑰保證網(wǎng)絡(luò)傳輸?shù)陌踩?，具有良好的可擴(kuò)展性，認(rèn)證機(jī)制靈活。圖1中詳細(xì)說明了在Radius系統(tǒng)下用戶的認(rèn)證過程：

（1）由客戶端向接入設(shè)備發(fā)送一個(gè)EAPOL-Start報(bào)文，開始802.1x認(rèn)證接入請求。

（2）接入設(shè)備收到客戶端的EAPOL-Start報(bào)文后，向客戶端發(fā)送EAP-Request/Identity報(bào)文，要求客戶端將用戶名送上來。

（3）客戶端向接入設(shè)備回應(yīng)EAP-Response/Identity報(bào)文，其中包括用戶名信息。

（4）接入設(shè)備將客戶端送上來的“用戶名”信息封裝到Radius Access-Request報(bào)文中，發(fā)送給認(rèn)證服務(wù)器。

（5）認(rèn)證服務(wù)器產(chǎn)生一個(gè)Challenge，通過接入設(shè)備將Radius Access-Challenge報(bào)文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge。

（6）接入設(shè)備通過EAP-Request/MD5-Challenge發(fā)送給客戶端，要求客戶端進(jìn)行認(rèn)證。

（7）客戶端收到EAP-Request/MD5-Challenge報(bào)文后，將密碼和Challenge做MD5算法后的Challenge-Pass- Word，在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備。

（8）接入設(shè)備將Challenge、Chanllenge Password和用戶名一起送到Radius服務(wù)器，進(jìn)行認(rèn)證。

（9）Radius服務(wù)器根據(jù)用戶信息，做MD5算法，判斷用戶是否合法，然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入設(shè)備。若認(rèn)證成功，則攜帶協(xié)商參數(shù)及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)；若認(rèn)證失敗，則流程到此結(jié)束。

（10）如果認(rèn)證通過后，用戶通過標(biāo)準(zhǔn)的DHCP獲取規(guī)劃的IP地址。

（11）如果認(rèn)證通過后，接入設(shè)備發(fā)起計(jì)費(fèi)開始請求給Radius用戶認(rèn)證服務(wù)器。

（12）Radius服務(wù)器回應(yīng)計(jì)費(fèi)開始，請求開始報(bào)文，用戶上線完畢。

系統(tǒng)網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計(jì)

我校原來用兩臺Cisco 7609作為東西校區(qū)核心，并采用雙萬兆互連，由東校的7609 連至聯(lián)想網(wǎng)御的防火墻，通過教育網(wǎng)、電信和網(wǎng)通上Internet。我校原有億郵的計(jì)費(fèi)網(wǎng)關(guān)，用戶采用靜態(tài)分配IP地址，但面對學(xué)生區(qū)管理中頻繁出現(xiàn)的IP地址盜用、IP地址沖突、使用代理、非法設(shè)備接入等問題，該計(jì)費(fèi)方案有些無能為力。因此，我校對學(xué)生區(qū)采用了安全、高效、基于802.1x協(xié)議的Sam認(rèn)證計(jì)費(fèi)系統(tǒng)，并通過DHCP對學(xué)生區(qū)的IP地址進(jìn)行動(dòng)態(tài)分配。

為此，我校新加了兩臺Cisco 6509，分別作為東西校區(qū)學(xué)生宿舍的核心匯聚，用銳捷的5750 作為每棟學(xué)生宿舍樓的樓宇匯聚，用銳捷的2126作為接入設(shè)備。東西校區(qū)的6509分別通過千兆光纖與7609 和各樓宇匯聚交換機(jī)相連。而各樓宇匯聚通過千兆光纖跟各樓層的接入交換機(jī)相連，并在東校區(qū)核心Cisco 7609連接了一臺服務(wù)器和一臺SamDHCP服務(wù)器，作為學(xué)生區(qū)的認(rèn)證計(jì)費(fèi)和動(dòng)態(tài)IP地址分配（如圖2所示）。

架設(shè)校園宿舍網(wǎng)

硬件平臺

鑒于Cisco 6509路由的健壯性較好，物理設(shè)計(jì)充分考慮冗余可靠性，并且在用戶面前很透明，有NetFlow和大量MIB及監(jiān)控手段，因此我校核心匯聚新加了兩臺Cisco 6509。樓宇交換機(jī)選用銳捷5750，它是銳捷網(wǎng)絡(luò)推出的融合了高性能、高安全、多智能、易用性的新一代萬兆機(jī)架式多層交換機(jī)。

樓層接入交換機(jī)選用銳捷2126。RG-S2126S是一款全線速可堆疊千兆智能交換機(jī)，提供智能的流分類和完善的服務(wù)質(zhì)量（QoS）及組播管理特性，并可以實(shí)施靈活多樣的ACL訪問控制?？赏ㄟ^SNMP、Telnet、Web和Console口等多種方式提供豐富的管理。并且2126 具有極高的性價(jià)比。我校28棟學(xué)生宿舍需要大量的接入設(shè)備，考慮多方因素，RG2126是我校接入層設(shè)備的首選。

Sam認(rèn)證計(jì)費(fèi)服務(wù)器和DHCP服務(wù)器選用兩臺曙光A620r-F。曙光天闊A620r-F型服務(wù)器系統(tǒng)，配以最新推出的nVidia nMCP55 Professional和NEC uPD720400芯片組，集成雙通道千兆網(wǎng)卡控制器、SATA RAID控制器、SCSI控制器、IDE控制器，ATI ES1000圖形控制器。nVidia nMCP55 Professional芯片組支持兩個(gè)PCI-E X8接口（x8速率）的擴(kuò)展，提供4Gbps的高速帶寬，為高端的擴(kuò)展提供了便利。nVidia nMCP55 Professional芯片組支持SATA RAID功能，提供了人性化的RAID管理界面，集成USB 2.0高速接口。AMD64位皓龍2000系列處理器集成DDRII內(nèi)存控制器，最高可提供21.33GBps的內(nèi)存帶寬。在存儲(chǔ)方面支持6個(gè)熱插拔SCSI硬盤，最大1.8TB內(nèi)部存儲(chǔ)空間。該服務(wù)器的配置完全滿足我校學(xué)生的認(rèn)證計(jì)費(fèi)要求，并為以后的升級留有余地。

數(shù)據(jù)庫平臺

在Windows 2000 Server系統(tǒng)平臺的基礎(chǔ)上，架設(shè)SQL Server 2000數(shù)據(jù)庫服務(wù)器。數(shù)據(jù)庫中建立了大量數(shù)據(jù)表用來記錄、保存用戶的詳細(xì)信息，以及用戶使用和費(fèi)用情況。數(shù)據(jù)庫中有接入控制表、賬務(wù)流水表、上網(wǎng)記錄及費(fèi)用、賬號模塊表、接入控制屬性表、賬號相關(guān)聯(lián)服務(wù)表、用戶卡批次信息表、充值卡信息表、充值卡表、充值卡收入登賬表、充值卡批次信息表、系統(tǒng)配置表、黑名單、管理員表、接入交換機(jī)表、用戶在線表、繳費(fèi)提示條件表、用戶繳費(fèi)記錄表、操作權(quán)限列表、計(jì)費(fèi)冊列表、注冊用戶表、用戶表、服務(wù)屬性列表。

下面就以表T_ ACCTRECORD（上網(wǎng)記錄及費(fèi)用表）舉例說明，該表詳細(xì)記錄了用戶上網(wǎng)的詳細(xì)信息（如表1所示）。

系統(tǒng)功能實(shí)現(xiàn)

我校原有網(wǎng)絡(luò)基礎(chǔ)是將東西校區(qū)的Cisco 7609采用Trunk互連，并在東校區(qū)的Cisco 7609采用三層VLAV交換，校園網(wǎng)的所有用戶流量都流向東校區(qū)的Cisco 7609進(jìn)行路由選擇。由于學(xué)生大多都玩局域網(wǎng)游戲、局域網(wǎng)共享及基于P2P的下載等，這些將會(huì)產(chǎn)生巨大的網(wǎng)絡(luò)流量，從而對東校區(qū)Cisco 7609是一個(gè)很大的壓力。因而，我校又重新規(guī)劃了網(wǎng)絡(luò)體系結(jié)構(gòu)，在核心層、樓宇匯聚層啟用OSPF路由，將局域網(wǎng)內(nèi)部的流量控制在匯聚層，從而減輕學(xué)生上網(wǎng)所產(chǎn)生的流量對校園網(wǎng)出口核心交換機(jī)的壓力。而對于計(jì)費(fèi)認(rèn)證，則主要在接入層交換機(jī)RG2126上進(jìn)行。

RG2126配置：

hostname 1#SSL-2F-1/S2126S

vlan 1

（創(chuàng)建VLAV1、VLAN 501）

vlan 501

radius-server host 10.10.200.100

（設(shè)置Radius Server IP地址）

aaa authentication dot1x

（啟用802.1x認(rèn)證功能）

aaa accounting server 10.10.200.100

（設(shè)置記賬服務(wù)器的IP地址）

aaa accounting

（記賬）

aaa accounting update

（配置記賬更新功能）

enable secret level 1 5 +TYC,tZ[Q-ZD+S(\X2YG1X)s-S5UH.Y*T

（配置交換機(jī)的Telnet密碼）

enable secret level 15 5 +TY1u_；CQ-Z8U0<DX2Ytj9=G-S5U7R：>H

（配置交換機(jī)的特權(quán)密碼）

port-security arp-check

（開啟交換機(jī)ARP報(bào)文檢查功能）

service dhcp

（交換機(jī)開啟DHCPRELAY功能）

ip helper-address 10.10.200.200

（設(shè)置DHCP服務(wù)器的IP地址）

interface fastEthernet 0/1

switchport access vlan 501

（將交換機(jī)的端口劃到VLAN 501中）

dot1x port-control auto

（將此端口設(shè)置成受控端口）

interface gigabitEthernet 1/1

switchport mode trunk

（將交換機(jī)端口配置成Trunk模式）

interface vlan 501

no shutdown

ip address 10.10.101.1255.255.255.0

（配置交換機(jī)的管理地址）

dot1x client-probe enable

（打開客戶端在線探測功能）

dot1x probe-timer alive 250

（配置交換機(jī)的Alive Interval，單位為秒）

aaa authorization ip-auth-mode dhcp-server

（配置IP授權(quán)模式為DHCP-Server模式）

radius-server key star

（設(shè)置Radius Server認(rèn)證密碼）

ip default-gateway 10.10.101.254

snmp-server community public ro

（配置交換機(jī)SNMP管理）

end

經(jīng)驗(yàn)總結(jié)

通過一段時(shí)間的實(shí)際運(yùn)行，可以看到：

（1）由于采用了DHCP動(dòng)態(tài)分配IP地址，沒有出現(xiàn)一例學(xué)生抱怨IP地址沖突、IP地址被盜用的情況。同時(shí)，Sam認(rèn)證計(jì)費(fèi)的實(shí)施，也杜絕了部分學(xué)生使用代理和接入非法設(shè)備，如交換機(jī)路由器的情況。

（2）通過一段時(shí)間觀察發(fā)現(xiàn)，即使在晚上學(xué)生上網(wǎng)高峰段，也沒有出現(xiàn)一例因認(rèn)證服務(wù)器繁忙而無法認(rèn)證，或由于網(wǎng)絡(luò)繁忙而通信失敗的情況。

（3）近期，網(wǎng)絡(luò)中出現(xiàn)的ARP病毒干擾，讓網(wǎng)絡(luò)管理人員大為頭疼。但學(xué)生公寓網(wǎng)絡(luò)至今沒有一例因?yàn)锳RP病毒而導(dǎo)致學(xué)生無法上網(wǎng)的情況發(fā)生，這是因?yàn)槲覀冊趯W(xué)校的學(xué)生公寓的接入層交換機(jī)（銳捷2126）啟用了ARP報(bào)文檢查功能。

雖然利用IEEE 802.1x認(rèn)證技術(shù)能夠比較好地解決現(xiàn)階段校園網(wǎng)所面臨的一系列安全問題，增強(qiáng)了網(wǎng)絡(luò)的可控性和安全性，但正如大家所共知的，任何一項(xiàng)技術(shù)都不可能解決目前所面臨的所有問題。因此，僅僅依靠802.1x這項(xiàng)技術(shù)來解決用戶身份認(rèn)證和應(yīng)用終端所面臨的所有安全問題是不現(xiàn)實(shí)的。只有將多項(xiàng)技術(shù)和相關(guān)的管理規(guī)定有機(jī)結(jié)合起來，采用全局化、智能化的安全體系來替代陳舊、孤立的安防措施，才能構(gòu)建一個(gè)真正安全、可靠的網(wǎng)絡(luò)環(huán)境。