校园网中的接入控制

高明成

摘要：主要介绍基于交换机端口的接入控制方法及在校园网中的实现。

关键词：交换机；接入控制；校园网

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2012）35-8369-03

当前的校园网络中提供的资源日益多样化，有些资源面向全校师生，而有些重要资源仅面向教职员工或教职员工中的部分群体。如何实现对网络用户的分类接入控制，对于维护网络中资源的安全性有着重要意义。

1研究现状

网络中常见的接入控制技术，除了国内几家网络设备生产厂商自主研发的接入控制技术以外，还包括依据链路层设备端口安全特性的用户接入认证技术、有线及无线网络中依据IEEE802.1X的用户认证技术[1]、网络层设备上的IP-MAC地址绑定接入控制技术、代理服务与防火墙相结合的方法、统一身份认证技术等。各种接入控制技术的特点如下：

1）基于链路层设备端口安全特性的用户接入认证技术。此种方式主要是在链路层设备上将用户所使用终端的MAC地址与链路层设备端口绑定，达到用户接入控制的目的。但这种接入控制方式是在低层实现的，缺乏管理的灵活性，小范围内使用较为合适。由于终端在发送数据帧时并不直接从物理网卡ROM里面读取MAC地址，就存在人为修改MAC地址的可能性，因此其安全性并不高。

2）网络层网络设备上的IP-MAC地址绑定接入控制技术。此种方式主要是在网络层设备上将用户所使用终端的MAC地址和IP地址与链路层设备端口三者绑定，达到用户接入控制的目的。其能够实现较为严格的用户接入控制，安全性较高。另一方面，由于这种方式需绑定三个对象，因此缺乏管理的灵活性，用户接入日志无法审核[2]，适于小范围内应用。

3）有线及无线网络中依据IEEE802.1X的用户认证技术。使用此认证技术时，接入有线网络或无线网络的用户并不能直接使用网络资源，需要先在“认证服务器”上获得许可，才可以访问网络。IEEE802.1X的用户认证技术需三个要素即：认证申请者（终端）、认证接入设备和认证服务器。用户接入认证的功能主要在认证服务器上实现，在一定程度上弱化了网络接入设备的接入控制功能[3]。

4）代理服务与防火墙相结合的方法。代理服务器与防火墙可以实现高层协议的用户身份认证、对过往的数据进行监测、分析和访问控制操作。此种方式管理方式统一，易于实现。但其对于非法物理接入及内部攻击破坏行为无能为力。

5）统一身份认证技术。一般和数字签名技术相结合；由于使用较好的加密算法，因此这种认证技术的安全性较好；可以为校园网中的所有系统提供统一的认证机制。其缺点是不能对非法的物理接入进行很好的控制。

6）设备厂商自主研发的接入控制方法。此种方法可以根据用户提出的具体接入控制要求设计合适特定用户的接入控制方法；此种方法投资成本较高，系统兼容性易出现问题，改造难度较大。

由以上各种接入控制方法比较可知，没有任何一种接入控制方法能够很好地独自实现对网络用户的接入控制功能。基于低层网络设备端口的地址绑定加高层认证的方式不失为一种实用的解决方案。

2基于物理端口的接入控制介绍

在标准局域网中，只要用户能与网络接入控制设备相连接，就能够实现与局域网相连接并且能够访问网络资源。但对于公共网络而言，网络的管理者希望能够对用户的接入行为进行控制，因此出现了对“基于物理端口的网络接入控制”的需求。具体指能够在局域网接入控制设备端口这一级对接入的用户设备进行认证和控制。如果用户能访问网络中的资源，首先应通过网络接入设备的端口认证，否则不能访问网络中的资源，相当于物理连接被断开，以此提高物理网络接入的安全性。

在低层实现对用户的接入控制是为了让核心交换机将大部分资源应用到实现快速包交换的功能上，保证网络核心层设备能够可靠运行[4]。

3换机端口接入控制方式

在交换机端口上实现对用户的接入控制有2中方式，分别是基于交换机物理端口的用户认证方式和基于用户接入设备MAC地址的认证方式[5]。

1）基于交换机物理端口的认证方式。采用此方式时，如果一个端口连接多个接入用户，则该物理端口仅对第一个接入用户进行身份认证，只要第一个用户身份认证成功，则后续端口无需认证就可以访问网络资源；但当第一个接受认证的用户离线后，则后续其它用户会被拒绝访问网络。

2）基于MAC地址的认证方式。采用此方式时，即使多个用户连接到交换机的一个物理端口上，交换机仍需对每个用户进行单独的接入认证，当某个用户离线时并不会影响到其它用户使用网络资源。

上面提到的802.1x在端口上进行用户接入控制时，其默认控制方式为基于MAC地址的认证方式。

4口绑定技术及其配置

传统的以太网技术并不对用户接入的位置进行控制。用户计算机接到网络中任意交换机的任意端口，都能够实现网络资源的访问，这使网络管理员无法对用户的位置进行监控，对网络安全控制是不利的。

通过“MAC+IP+端口”绑定功能，可以实现设备对转发报文的过滤控制，提高网络安全性。配置端口绑定后，只有指定MAC和IP的计算机才能在端口上收发报文、访问网络资源[6]。

进行“MAC+IP+端口”绑定配置后，当端口接收到报文时，会查看报文中的源MAC、源IP地址与交换机上配置的静态表项是否一致。操作结果如下：

1）如果报文中的源MAC、源IP地址与所设定的MAC、IP相同，所连端口将转发该报文。

2）如果报文中的源MAC、源IP地址中的任一个与配置不同，端口都将丢弃该报文。

在交换机上配置“MAC+IP+端口”绑定时，需要注意绑定是针对端口的，一个端口被绑定后，仅仅只是这个端口被限制了，对于其它端口是不受该绑定影响的。

在端口视图下配置静态绑定表项，命令如下：

User-bindip-addressip-address[mac-addressmac-address]

配置静态绑定表项时，如果只绑定了IP地址，则交换机只检查报文的源IP地址，不检查源MAC地址；如果同时绑定了IP与MAC，则二者都检查。

校园网络拓扑如图1，校园网中配置实例如下：

首先：将用户设备的MAC地址与交换机对应端口进行绑定。

[SW4]port-securityenable #开启端口安全功能

[SW4]interfaceGigabitEthernet1/0/1

#端口为例说明接入控制功能

[SW4-GigabitEthernet1/0/1]descriptionsushe7#接口描述说明

[SW4-GigabitEthernet1/0/1]port-securitymax-mac-count255

#该端口能够允许接入的用户的最大数为255

[SW4-GigabitEthernet1/0/1]port-securityport-modeautolearn

#开启端口MAC地址自主学习功能

[SW4-GigabitEthernet1/0/1]port-securitymac-addresssecurity001a.92c2.a410vlan1

#将该端口学习到的用户MAC地址绑定到vlan1上

其次：配置ACL将用户设备IP地址和交换机相应端口绑定。

在SW4上配置：禁止学生公寓区域主机到信息中心的访问。

[SW4]aclnumber3000

[SW4-acl-adv-3000]ruledenyipsource10.10.0.00.0.0.255destination10.1.1.0 0.0.0.255

#禁止学生公寓区域主机到信息中心的访问

[SW4-acl-adv-3000]rulepermitipsourceanydestinationany

[SW4-acl-adv-3000]quit

[SW4]int e1/0/1

[SW4-ethernet1/0/1]packet-filter3000outbound

[SW4-ethernet1/0/1]quit

[SW4]int e1/0/2

[SW4-ethernet1/0/2]packet-filter3000outbound

[SW4-ethernet1/0/2]quit

至此，实现将用户设备IP地址、MAC地址、交换机端口和vlan的绑定，完成了在低层设备接口上的用户接入控制。结合高层统一的身份认证技术即可以实现物理网络的接入控制和逻辑接入控制的目的，从而保证网络在物理上和逻辑上的安全性。

本方案配置简单，管理方便，便于适应后期网络规模的变动。

接入控制有多种功能组合方式，各有优缺点，在实际应用中应结合单位网络自身的特点选取合适的策略。

参考文献：

[1]杜淼鑫.于SNMP的网络接入控制研究[J].硅谷，2011（18）：109.

[2]谭罗生.换机端口安全特性助力网络接入控制[J].FinancialTechnologyTime，2011（7）：62.

[3]ShanJialing.ApplicationResearchofAALinAggregate-port[J].Computer&DigitalEngineering，2011（2）.

[4]陈利，永彬，马建国，等.基于端口的网络访问控制应用模式[J].计算机工程，2009（16）.

[5]杭州华三通信技术有限公司.路由交换技术第一卷（下册）[M].北京：清华大学出版社，2011：187.

[6]胡煜娜，刘志勇.宽带用户端口绑定技术方案分析与探讨[J].ModernScience，2010（20）.