第1章 管理维护
802.1x认证管理宿舍网
安徽财经大学现代教育技术中心 吴秋兵
IEEE 802.1x解决安全认证
最近,我校将校园网延伸到学生宿舍区。学生对网络的使用存在极高的热情,对网络技术也有很浓厚的兴趣。这种热情和兴趣一方面推动了校园网络迅速发展,另一方面也产生了各种极具破坏性的尝试。在学生宿舍区网络管理中,经常发生IP地址盗用、IP地址冲突、使用代理、非法设备接入等情况。随着用户数的急剧增加,网络的安全性问题日益突出。
由于PPPoE和Web/Portal等传统认证方式对用户数据包烦琐的处理,造成了网络传输瓶颈,并且通过增加网络设备来解决传输瓶颈势必造成网络成本的提升,因此无法满足用户对网络安全性、高效性和低成本的要求。
IEEE 802.1x协议通过对认证方式和认证体系结构进行优化,有效地解决了传统认证方式带来的问题,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本,成为我校学生宿舍网络管理的首选。
802.1x标准和Radius扩展原理
Radius基本原理是,用户接入NAS,NAS向Radius服务器使用Access-Request数据包提交用户信息,包括用户名、密码等相关信息。其中,用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播。Radius服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证。如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作;否则返回Access-Reject数据包,拒绝用户访问。
如果允许访问,NAS向Radius服务器提出计费请求Account-Request,Radius服务器响应Account-Accept,对用户开始计费,同时用户可以开始进行自己的相关操作。
Radius具有以下特点:
客户端/服务器结构,采用共享密钥保证网络传输的安全性,具有良好的可扩展性,认证机制灵活。图1中详细说明了在Radius系统下用户的认证过程:
(1)由客户端向接入设备发送一个EAPOL-Start报文,开始802.1x认证接入请求。
(2)接入设备收到客户端的EAPOL-Start报文后,向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来。
(3)客户端向接入设备回应EAP-Response/Identity报文,其中包括用户名信息。
(4)接入设备将客户端送上来的“用户名”信息封装到Radius Access-Request报文中,发送给认证服务器。
图1 Radius系统下用户认证过程
(5)认证服务器产生一个Challenge,通过接入设备将Radius Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge。
(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证。
(7)客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenge-Pass- Word,在EAP-Response/MD5-Challenge回应给接入设备。
(8)接入设备将Challenge、Chanllenge Password和用户名一起送到Radius服务器,进行认证。
(9)Radius服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。若认证成功,则携带协商参数及用户的相关业务属性给用户授权;若认证失败,则流程到此结束。
(10)如果认证通过后,用户通过标准的DHCP获取规划的IP地址。
(11)如果认证通过后,接入设备发起计费开始请求给Radius用户认证服务器。
(12)Radius服务器回应计费开始,请求开始报文,用户上线完毕。
系统网络体系结构设计
我校原来用两台Cisco 7609作为东西校区核心,并采用双万兆互连,由东校的7609 连至联想网御的防火墙,通过教育网、电信和网通上Internet。我校原有亿邮的计费网关,用户采用静态分配IP地址,但面对学生区管理中频繁出现的IP地址盗用、IP地址冲突、使用代理、非法设备接入等问题,该计费方案有些无能为力。因此,我校对学生区采用了安全、高效、基于802.1x协议的Sam认证计费系统,并通过DHCP对学生区的IP地址进行动态分配。
为此,我校新加了两台Cisco 6509,分别作为东西校区学生宿舍的核心汇聚,用锐捷的5750 作为每栋学生宿舍楼的楼宇汇聚,用锐捷的2126作为接入设备。东西校区的6509分别通过千兆光纤与7609 和各楼宇汇聚交换机相连。而各楼宇汇聚通过千兆光纤跟各楼层的接入交换机相连,并在东校区核心Cisco 7609连接了一台服务器和一台SamDHCP服务器,作为学生区的认证计费和动态IP地址分配(如图2所示)。
图2 网络拓扑图
架设校园宿舍网
硬件平台
鉴于Cisco 6509路由的健壮性较好,物理设计充分考虑冗余可靠性,并且在用户面前很透明,有NetFlow和大量MIB及监控手段,因此我校核心汇聚新加了两台Cisco 6509。楼宇交换机选用锐捷5750,它是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代万兆机架式多层交换机。
楼层接入交换机选用锐捷2126。RG-S2126S是一款全线速可堆叠千兆智能交换机,提供智能的流分类和完善的服务质量(QoS)及组播管理特性,并可以实施灵活多样的ACL访问控制。可通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理。并且2126 具有极高的性价比。我校28栋学生宿舍需要大量的接入设备,考虑多方因素,RG2126是我校接入层设备的首选。
Sam认证计费服务器和DHCP服务器选用两台曙光A620r-F。曙光天阔A620r-F型服务器系统,配以最新推出的nVidia nMCP55 Professional和NEC uPD720400芯片组,集成双通道千兆网卡控制器、SATA RAID控制器、SCSI控制器、IDE控制器,ATI ES1000图形控制器。nVidia nMCP55 Professional芯片组支持两个PCI-E X8接口(x8速率)的扩展,提供4Gbps的高速带宽,为高端的扩展提供了便利。nVidia nMCP55 Professional芯片组支持SATA RAID功能,提供了人性化的RAID管理界面,集成USB 2.0高速接口。AMD64位皓龙2000系列处理器集成DDRII内存控制器,最高可提供21.33GBps的内存带宽。在存储方面支持6个热插拔SCSI硬盘,最大1.8TB内部存储空间。该服务器的配置完全满足我校学生的认证计费要求,并为以后的升级留有余地。
数据库平台
在Windows 2000 Server系统平台的基础上,架设SQL Server 2000数据库服务器。数据库中建立了大量数据表用来记录、保存用户的详细信息,以及用户使用和费用情况。数据库中有接入控制表、账务流水表、上网记录及费用、账号模块表、接入控制属性表、账号相关联服务表、用户卡批次信息表、充值卡信息表、充值卡表、充值卡收入登账表、充值卡批次信息表、系统配置表、黑名单、管理员表、接入交换机表、用户在线表、缴费提示条件表、用户缴费记录表、操作权限列表、计费册列表、注册用户表、用户表、服务属性列表。
下面就以表T_ ACCTRECORD(上网记录及费用表)举例说明,该表详细记录了用户上网的详细信息(如表1所示)。
表1 上网记录及费用表
系统功能实现
我校原有网络基础是将东西校区的Cisco 7609采用Trunk互连,并在东校区的Cisco 7609采用三层VLAV交换,校园网的所有用户流量都流向东校区的Cisco 7609进行路由选择。由于学生大多都玩局域网游戏、局域网共享及基于P2P的下载等,这些将会产生巨大的网络流量,从而对东校区Cisco 7609是一个很大的压力。因而,我校又重新规划了网络体系结构,在核心层、楼宇汇聚层启用OSPF路由,将局域网内部的流量控制在汇聚层,从而减轻学生上网所产生的流量对校园网出口核心交换机的压力。而对于计费认证,则主要在接入层交换机RG2126上进行。
RG2126配置:
hostname 1#SSL-2F-1/S2126S
vlan 1
(创建VLAV1、VLAN 501)
vlan 501
radius-server host 10.10.200.100
(设置Radius Server IP地址)
aaa authentication dot1x
(启用802.1x认证功能)
aaa accounting server 10.10.200.100
(设置记账服务器的IP地址)
aaa accounting
(记账)
aaa accounting update
(配置记账更新功能)
enable secret level 1 5 +TYC,tZ[Q-ZD+S(\X2YG1X)s-S5UH.Y*T
(配置交换机的Telnet密码)
enable secret level 15 5 +TY1u_;CQ-Z8U0<DX2Ytj9=G-S5U7R:>H
(配置交换机的特权密码)
port-security arp-check
(开启交换机ARP报文检查功能)
service dhcp
(交换机开启DHCPRELAY功能)
ip helper-address 10.10.200.200
(设置DHCP服务器的IP地址)
interface fastEthernet 0/1
switchport access vlan 501
(将交换机的端口划到VLAN 501中)
dot1x port-control auto
(将此端口设置成受控端口)
interface gigabitEthernet 1/1
switchport mode trunk
(将交换机端口配置成Trunk模式)
interface vlan 501
no shutdown
ip address 10.10.101.1255.255.255.0
(配置交换机的管理地址)
dot1x client-probe enable
(打开客户端在线探测功能)
dot1x probe-timer alive 250
(配置交换机的Alive Interval,单位为秒)
aaa authorization ip-auth-mode dhcp-server
(配置IP授权模式为DHCP-Server模式)
radius-server key star
(设置Radius Server认证密码)
ip default-gateway 10.10.101.254
snmp-server community public ro
(配置交换机SNMP管理)
end
经验总结
通过一段时间的实际运行,可以看到:
(1)由于采用了DHCP动态分配IP地址,没有出现一例学生抱怨IP地址冲突、IP地址被盗用的情况。同时,Sam认证计费的实施,也杜绝了部分学生使用代理和接入非法设备,如交换机路由器的情况。
(2)通过一段时间观察发现,即使在晚上学生上网高峰段,也没有出现一例因认证服务器繁忙而无法认证,或由于网络繁忙而通信失败的情况。
(3)近期,网络中出现的ARP病毒干扰,让网络管理人员大为头疼。但学生公寓网络至今没有一例因为ARP病毒而导致学生无法上网的情况发生,这是因为我们在学校的学生公寓的接入层交换机(锐捷2126)启用了ARP报文检查功能。
虽然利用IEEE 802.1x认证技术能够比较好地解决现阶段校园网所面临的一系列安全问题,增强了网络的可控性和安全性,但正如大家所共知的,任何一项技术都不可能解决目前所面临的所有问题。因此,仅仅依靠802.1x这项技术来解决用户身份认证和应用终端所面临的所有安全问题是不现实的。只有将多项技术和相关的管理规定有机结合起来,采用全局化、智能化的安全体系来替代陈旧、孤立的安防措施,才能构建一个真正安全、可靠的网络环境。