Cisco 利用 802.1X、動态VLAN和DHCP技術實作方案

Cisco 利用 802.1X、動态VLAN和DHCP技術實作方案

一、前言　　　

各行各業網絡的快速發展，尤其是企業區域網路的建設發生了日新月異的變化。金融業電子商務、網上辦公、業務系統處理已 應用工作中的方方面面，但是由于區域網路大量建設、網絡接入的靈活性、開放性給企業安全管理帶來了新的課題，如何建立安全靈活的可有效防範的企業區域網路安全 擺在各企業IT管理者的面前。目前發生在各金融行業的安全事件中，大多是由于不合理的使用網絡資源、病毒傳播造成網絡擁擠、随意更改IP位址銀企網絡沖 突、移動辦公使用者随意接入等不确定因素造成，給金融行業資訊系統安全生産運作帶來了嚴峻挑戰。

　在網絡接入點控制、位址配置設定、資源管理利用、授權通路等方面，很有必要研究技術手段解決網絡接入帶來的安全隐患。本文主要在網絡接入點控制 和授權通路方面進行分析。目前區域網路身份主要采取PPPoE,WEB+Portal,EAPoL等方式，前兩種方案硬體投入大且無法有效的解決認證安全的 問題，尤其是接入點控制。IEEE 802.1X标準認證協定和動态VLAN的引入，在以太網交換機端口實作對使用者認證、授權，，以其實作技術簡單、靈活、投入收成為企業區域網路的首選。利用 802.1X和RADIUS認證伺服器的授權控制，根據使用者不同動态配置設定交換機端口VLAN屬性、ACL控制、利用DHCP配置設定IP位址實作較靈活的控 制，實作了使用者位址配置設定和一定範圍内的移動辦公需求。整套方案應用成熟，易于實作，給企業區域網路安全管理提供了一種有效的解決途徑。

　　二、技術簡介

　　1、IEEE 802.1X認證協定

它是基于C/S結構面向端口的通路控制認證協定。交換機端口有幾種狀态Block、 Listen、Learn和Forward，如果端口不配置認證，PC配置相應的位址即可通路網絡。通過對端口802.1X的配置，端口處于受控狀态 Authen和UNAuthen，在未認證狀态下，端口僅收發EAPoL等認證包資訊，不允許存取網絡，如果未配置VLAN，端口處于那個VLAN都未 知；在認證通過後，根據使用者在伺服器上的配置，端口配置設定相應特性，才可以存取網絡。這正是我們所需要的特性。

802.1X體系有三部分構成，客戶機、交換機存取裝置和認證伺服器。圖示：

Client：實作EAPoL的請求和應答，目前Win2000、WIN XP 、WIN2003、vista均内置了認證用戶端軟體，WIN98SE、Linux需要相應用戶端軟體的支援，可選用第三方的802.1X認證軟體。

交換機：認證存取點，可以選取支援認證的無線AP和支援二層以上的交換機。應注意支援的相容性，對802.1x和RFC RADIUS支援良好。盡管許多廠商都宣稱支援802.1X，存在很多相容性問題，往往引起工程實施中的難度。

認證伺服器：實作用戶端身份認證，并下發RADIUS的屬性。應選用對IETF支援良好的伺服器，常用的有CISCO ACS3.1-3.3，華為的CAMS等。

　　總之，在工程實施中，應選用對802.1X、RFC RADIUS支援相容好，注意各應用系統的軟體版本，如Windows、交換機IOS和RADIUS的版本，這是工程成功的很重要的部分。

2、動态VLAN

是指根據交換機的某個設定，将端口劃分到一個VLAN中。劃分VLAN的條件有很多，根據MAC位址（MACBase）、不同的身份認證。RFC RADIUS伺服器支援VLAN資訊屬性，可以把基于064(Tunnel-Type)，065(Tunnel-Type)，081(Tunnel- Private-Group-ID)的VLAN設定端口。所有使用者及相關資訊存于RADIUS伺服器上，可以根據使用者位址的變化調整使用者的配置，并且使用者 可以通過CISCO UCP WEB方式修改自己的密碼。

3、DHCP

動态主機配置協定DHCP(Dynamic Host Configuration Protocol) 是一個簡化主機IP位址配置設定管理的TCP/IP 标準協定，使網絡管理者可以集中管理一個網絡IP資源系統，對網絡中的IP位址進行自動配置設定。DHCP免除了管理者人為配置設定和改變IP位址的工作，減少網 絡管理的工作量。DHCP可以動态的或永久的給主機配置設定IP位址，也可以回收那些不用的或者配置設定使用時間到期的IP位址，進而這些位址可以再配置設定給其他用 戶使用。

　　三、相關要求

　　1、認證伺服器:支援IETF标準的伺服器，最好為CISCO ACS 3.0以上版本，一定要安裝在Win2000英文伺服器版本。

2、交換機支援VLAN劃分和802.1X協定，為了實作動态VLAN和多個二層交換機的Trunk接入，核心應選用三層交換機。一般規模的區域網路建議 選用CISCO3550EMI，各種交換機的IOS要選擇正确的版本，才能快速解決工程實施中的問題和異常。如CISCO IOS 12.1(14)EA1以上，華為3026E VRP 3.10R0032以上，不同的品牌的交換機不同。

　　3、用戶端作業系統比較常用的Windws，Linux等。Win 2000SP4，Win XP，Win2003、vista均内置了對802.1X的支援，Win98、Linux需要用戶端軟體的支援。比較常見的802.1X用戶端有華為、港灣等。

　　四、解決方案

　　1、方案要點

一台CISCO 3550,IOS 12.1.(14)EA1,三台華為3026E，VRP3.10R0032在3550上劃分4個VLAN，見下表：

VLAN Id　　IP位址　　　　　　掩碼　　　　　網路位址

100　　10.1.0.254　　　255.255.255.0　　10.1.0.0

110　　10.1.10.254　　　255.255.255.0　　10.1.10.0

120　　10.1.20.2254　　255.255.255.0　　10.1.20.0

130　　10.1.30.254　　　255.255.255.0　　10.1.30.0

　　　三台華為3026E的位址配置在Vlan100上，分别為10.1.0.251，10.1.0.252，10.1.0.253。交換機和 ACS的MD Key統一設定為newman。ACS 3.3伺服器屬于VLAN100的位址，位址為10.1.0.250。DHCP用Win 2000Server内置的DHCP伺服器。802.1X用華為V2.20-0231版、港灣的用戶端軟體。

　　2、ACS3.3安裝配置要點

安裝Win2000 Server英文版，ACS 3.3按預設IETF選項安裝，配置

　　　(1)增加Server配置中的AAA Server和Client

AAA Server：10.1.0.250

AAA Client：10.1.0.251,10.1.0.252,10.1.0.253,10.0.254

　　　(2)配置RADIUS的Interface，支援064,065,081屬性

　　　(3)配置全局屬性System Blobal支援EAP-MD5 Challege認證封包

　　　(4)修改組屬性

組名　　064　　065　　081　　　其他預設

group100　　Vlan　　802　　100　　　可選

group110　　Vlan　　802　　110　　　如時間等

group120　　Vlan　　802　　120

group130　　Vlan　　802　　130

　　　(5)RADIUS伺服器增加4個使用者

使用者名　　所屬組　　其他屬性

User100　　Group100　　可選

User110　　Group110　　如session等

User120　　Group120

User130　　Group130

　　3、DHCP安裝配置要點

安裝Win2000的DHCP服務，配置如表所示的四個作用域，其他可選預設選項

用域　　　位址範圍　　　　　　　　掩碼　　　　　　　　網關

Vlan100　10.1.0.1-10.1.0.249　　　　255.255.255.0　　　10.1.0.254

Vlan110　10.1.10.1-10.1.10.249　　　255.255.255.0　　　10.1.10.254

Vlan120　10.1.20.1-10.1.20.249　　　255.255.255.0　　　10.1.20.254

Vlan130　10.1.30.1-10.1.30.249　　　255.255.255.0　　　10.1.30.254

　　4、CISCO3550配置

定義AAA

aaa new-model配置通過RADIUS認證

aaa authen dot1x default group radius

aaa author network default radius

dot1x system-auth-control 啟用802.1X

radius-server host 10.1.0.250 key newman 指定認證伺服器

radius-server vsa seng authentication可以接受VSA資訊

int vlan100定義Vlan接口及位址、DHCP伺服器位址

ip addr 10.1.0.254 255.255.255.0

int vlan110

ip addr 10.1.10.254 255.255.255.0

ip help-address 10.1.0.250

int vlan120

ip addr 10.1.20.254 255.255.255.0

int vlan 130

ip addr 10.1.30.254 255.255.255.0

ip routing 啟用路由功能

service dhcp啟用DHCP服務

int f0/1 一端口示例,啟用802.1X認證

switchport mode access

dot1x port-control auto

spanning-tree portfast

這樣當接入F0/1的PC通過使用者user100的認證，将配置設定vlan100和10.1.0.0的網絡位址，使用者user110的認證，将配置設定vlan110和10.1.10.0的網絡位址，其他類同。

　　　5、華為3026E配置

radius scheme system定義radius scheme

server-type stand 定義伺服器的标準為IETF模式

primary authen 10.1.0.250 定義認證伺服器

primary accounting 127.0.0.1 1646如果需要計費配置相應伺服器位址

accounting optinal 必選項

keu authen newman Md key的值

user-name-format without-domain傳輸使用者名為标準，不添加域

domain system

radius-scheme system 指定domain為system

access-limit disable

state active

vlan-assignment string指定華為接受的vlan号為字元串模式

domain default enable system指定系統的預設domain為system

local-server nas-ip 127.0.0.1 key newman指定AAAclient位址，用于AAA伺服器認證

dot1x 啟用全局的802.1X協定

dot1x authen eap 指定認證模式為eap-md5

vlan 100定義可以傳輸的VLAN

int e0/1 一端口的示例,啟用認證協定

dot1x