Netinfo S ecurity /2005.1
55
随
着教育信息化的不断深入,校园网的建设已经非常广泛,而且规模和投资也在不断的扩大,但在广大师生尤其是大学里的师生在使用校园
网的过程中,发现IP地址冲突的现象极其严重。
图1:一般校园网结构图
对于大学校园网来说,一般是一个楼宇一个网段,而且也是一个管理单元,该楼宇内的网络由楼宇所在的院系负责,根据楼宇的大小,存在着两种组网形式,如上图所示的楼宇1和楼宇2,在楼宇1中,一个房间对应一个或多个三层交换端口,而在楼宇2中,一个房间对应一个或多个二层交换端口,我们要做的就是一个房间内的终端只能用固定的几个IP地址,也就是一个交换机(二层或三层)端口绑定多个IP地址,根据技术手段的不同,一般存在着以下几种方法。
通过访问管理功能实现
现在,有些三层交换机提供了访问管理功能,该功能可以直
接控制某个端口可以被哪些IP地址访问,该功能只有把该三层交换机当成网关的情况下才能发挥作用,而且,依然会出现地址冲突的现象,只不过在非法端口使用的用户将无法进行跨网段访问,下面以华为3526为例,具体配置过程如下:
[S3526]am enable[S3526]interface vlan 1
[S3526-Vlan-interface1]ip add 192.168.0.1 255.255.255.0
#该命令使192.168.0.1成为与该交换机相连的计算机的网关[S3526]interface eth 0/10
[S3526-Ethernet0/10]am ip-pool 192.168.0.2 192.168.0.10 192.168.0.15 #该命令保证只有其中的三个地址能够通过该端口进行跨网段访问
通过访问列表实现
最初的访问列表只能在第三层发挥作用,现在随着技术的不断发展,访问列表也可以在第二层发挥作用了,现在某些交换机可以对三层地址和二层地址的访问列表进行与运算,从而达到端口IP地址绑定的目的,下面以华为3526E为例,具体配置过程如下:
[S3526E]acl num 10
#定义基本访问列表
[S3526E-acl-basic-10]rule 0 deny source any
[S3526E-acl-basic-10]rule 1 permit source 192.168.0.2 0
#允许192.168.0.2访问,如果有多个,可以多定义几条规则[S3526E]acl num 210
#定义二层访问列表
[S3526E-acl-link-210]rule 0 deny ingress interface e0/10 egress any[S3526E-acl-link-210]rule 1 permit ingress interface e0/10 egress any[S3526E]packet-filter ip-group 10 rule 0 link-group 210 rule 0
#首先禁止所有计算机访问
[S3526E]packet-filter ip-group 10 rule 1 link-group 210 rule 1
#允许某个固定的IP访问
这样一来,就在不起用三层转发功能的情况下实现了IP地址
与交换机端口的绑定,上面的配置只允许一个地址通过,只要用户需要,我们可能设置多条规则并使用多条packet-filter命令来允
交换机端口与IP地址的绑定
北京师范大学信息科学学院
傅骞
Netinfo S ecurity /2005.1
56应用技术
许多个IP地址通过同一端口。
地址冲突的现象依然存在,只是非法使用的用户将无法使用网络。
华为3526交换机
通过802.1x实现
上面这两种方法由于只能在三层交换机上实现,当多个房间共用一个端口,一般的二层交换机都提供了基于802.1x的端口认证功能,我们可以在该功能的帮助下实现IP地址与二层交换机端口的绑定。
802.1x体系结构
IEEE 802.1x标准(以下简称802.1x)的主要内容是基于端口的网络接入控制(Port Based Network Access Control)协议,它的提出起源于IEEE 802.11标准--无线局域网用户接入协议标准,其最初目的主要是解决无线局域网用户的接入认证问题,但由于它的原理对于所有符合IEEE 802标准的局域网具有普适性,因此后来它在有线局域网中也得到了广泛的应用。
使用802.1x的系统为典型的C/S(Client/Server)体系结构,包括三个实体,分别为:Supplicant System(接入系统)、Authentica-tor System(认证系统)以及Authentication Server System(认证服务器系统)。
局域网接入控制设备(交换机)需要提供802.1x的认证系统(Authenticator System)部分;用户侧的设备如计算机等需要安装802.1x的客户端(Supplicant)软件;802.1x的认证服务器系统(Authentication Server System)则一般驻留在运营商的AAA中心。
Authenticator与Authentication Server间通过EAP(Extensible Authen-tication Protocol,可扩展认证协议)帧交换信息,Supplicant与Authenticator间则以802.1x所定义的EAPoL(EAP over LANs,局域网上的EAP)帧交换信息,EAP帧中封装了认证数据,该认证数据将被封装在其它AAA上层协议(如RADIUS)的报文中以穿越复杂的网络到达Authentication Server。
Authenticator的端口又分为两种:非受控端口(UncontrolledPort)和受控端口(Controlled Port)。
非受控端口始终处于双向连通状态,用户接入设备可以随时通过这些端口访问网络资源以获得服务;受控端口只有在用户接入设备通过认证后才处于连通状态,才允许用户通过其进一步访问网络资源。
图2:802.1x体系结构
802.1x认证过程
对于静态分配IP的计算机来说,802.1x的认证过程:1.用户通过802.1X客户端软件向交换机发起请求,交换机收到请求会向客户端发送响应包并要求用户提供合法的用户名和密码;
2.客户端收到交换机的响应后,会提供用户名和密码给交换机。
由于此时客户端还没有通过认证,因此交换机只开通未授控的逻辑端口。
交换机通过EAP协议将认证信息转发到RadiusServer上进行认证;
3.如果认证通过,则802.1X系统的受控逻辑端口打开;否则,用户依然不能上网。
4.交换机会通过定期的检测来保证链路的激活状态以及用户的合法性。
现在的很多交换机不但支持标准的802.1x协议,还做了一定的扩展,如要求上传用户的IP地址等,这样一来,我们就可以根据该信息来判断用户IP地址的合法性了,当然,对于只支持标准802.1x协议的交换机来说,我们也可用通过专用客户端的方法来实现端口的IP地址的绑定的。
当然,并不是所有的交换机都支持带IP地址的认证的,对于这种交换机,在只要求IP和端口绑定的情况下,可以通过专用的802.1x客户端实现,该客户端在计算机启动的同时读取并通过标准的802.1x协议发送用户的地址信息,如把IP地址放在用户名部分,如果认证通过则用户可以连接网络,该程序作为系统进程驻留在内存在,以对交换机的定时认证做出响应。
三种方法优缺点对比。