802.1X认证配合Option 82管理校园网接入权限

赵锴

德州职业技术学院 山东德州 253034

802.1X认证配合Option 82管理校园网接入权限

赵锴

德州职业技术学院 山东德州 253034

目前针对校园网认证管理使用最多的技术就是802.1X认证。但是使用静态IP地址管理给校园网管理带来很大的麻烦。传统的DHCP协议可实现动态IP地址分配却无法实现接入用户的权限分配，在网络中找到安全性与易用性的平衡点成了一个重要的目标。结合802.1X和Option 82技术，构建一个权限清晰的校园网。

802.1X；DHCP；Option 82；校园网

Author’s address Dezhou Vocational and Technical Col lege, Dezhou, Shandong, China 253034

1 前言

经过近几年不断的校园网网络升级建设，德州职业技术学院已经完成清晰的三层网络结构，并顺利应用了802.1X认证[1]。在使用过程中，笔者感觉802.1X对于用户接入校园网要求过为严格，学院经常进行的学术交流由于非本单位用户没有账号无法正常使用校园网。为了解决未认证用户能访问校园网但是只有认证用户能访问互联网的问题，同时为了保证校园网的安全和易用性的要求，在校园网中使用集成Option 82的DHCP技术，在应用中取得较好的效果。

2 相关技术说明

2.1 技术简介

DHCP是一个处于应用层的客户/服务器协议[1]，是BOOTP协议的扩展。其增加了自动分配网络地址、重用释放的网络地址的功能以及一些安全机制的附加信息。当DHCP客户端在网络上启动时，它将主动寻找一台DHCP服务器并获得它的TCP/IP配置信息。Opt ion 82是为了增强DHCP服务器的安全性，改善IP地址配置策略而提出的一种DHCP选项。IEEE 802.1X被称为基于端口的访问控制协议，该协议在利用IEEE 802 LAN优势的基础上提供了对连接到局域网的设备或用户进行认证和授权，从而达到阻止非法用户未经认证就对网络资源进行访问的目的。

2.2 工作过程

根据RFC3046的定义，中继设备进行DHCP re l ay时，可以通过添加一个Op t i on的方式来详细地标明DHCP客户端的一些网络信息，从而使DHCP服务器可以根据更精确的信息给用户分配不同权限的IP，根据RFC3046的定义，所使用Op t ion选项的选项号为82，故也被称作Op t ion 82。如果DHCP中继代理（一般为交换机）支持Opt ion 82，DHCP客户端通过DHCP中继代理从DHCP服务器获取IP地址要经历发现、提供、选择和确认等阶段。

1）客户端执行802.1X认证。认证过程中，Radius服务器把用户权限下发给交换机[2]。

2）认证后，客户端程序发出DHCP请求。交换机中继用户的DHCP请求，但它在向DHCP服务器转发时，把认证端口的Vlan ID以及Radius服务器下发的“用户权限”信息组成Circui t ID一起转发给DHCP服务器。Circuit ID格式如图1所示，其中Pr ivi l iage和Vid字段各占两个字节。

3）DHCP Server根据认证端口的VlanID和“用户权限”信息，寻找对应的DHCP地址池，并分配该地址池中的IP，通过DHCP_Of fer报文分配给认证用户。

4）交换机收到DHCP_Of fer报文后，将DHCP_Of fer报文进行广播。

图1

图2

5）DHCP客户端选择IP地址。如果有多台DHCP服务器向该客户端发来DHCP_Of fer报文，客户端只接受第一个收到的DHCP_Of fer报文，然后以广播方式向各DHCP服务器回应DHCP_Request报文，该信息中包含向所选定的DHCP服务器请求IP地址的内容。

6）DHCP服务器确认所提供IP地址是否被使用。当DHCP服务器收到DHCP客户端回答的DHCP_Request报文后，便向客户端发送包含它所提供的IP地址和其他设置的DHCP_ACK确认报文。

在整个过程中，用户获得哪个池中的IP地址是由端口Vlan ID及Radius服务器下发的“用户权限”值来决定的。在校园网部署中一般定义用户未认证时获取到的IP地址段为低权限网段，用户认证后获取的IP段为高权限网段。不同用户IP段对应不同的访问权限，通过在核心交换机上设置控制列表来实现。

3 校园网应用示例拓扑说明（图2）

本校园网使用锐捷的SAM作为802.1X服务器。接入交换机上做基于Option 82的802.1X认证，vlan10中的用户，缺省获得172.16.10.0/24网段的地址，认证后获得10.0.10.0/24网段的地址（SAM中权限值设置为10）；v lan20中的用户，缺省获得172.16.20.0/24网段的地址，认证后获取10.0.20.0/24网段的地址（SAM中权限值设置为20）[3]。

其中在汇聚交换机上应用ACL（控制列表），允许10.0.10.0/24和10.0.20.0/24段访问应用服务器地址段10.0.0.0/24，而不允许临时用户的172.16.20.0/24和172.16.10.0/24访问，以提高校园网服务器的安全性。

其中汇聚交换机为RG-S5750，接入交换机为RGS2628。相关锐捷交换机配置参数请参阅锐捷官方文档。

4 配置过程

4.1 DHCP服务器的配置

DHCP服务器可以使用任何支持Option 82的DHCP服务器，建议使用Linux。

5 结束语

传统的校园网具有开放的特性，任何用户只要联接到交换机上，就可以通过交换机进入网络，缺乏一种有效的用户身份认证手段。虽然802.1X认证解决了校园网的准入问题，但是无法灵活地制定非认证用户对网络的访问权限。802.1X结合Option 82技术，可以方便地对认证和非认证用户制定相匹配的网络访问权限，有助于隔离来自校园内部的安全威胁，并方便临时访问者接入互联网和访问部分校园网。

[1]802.1X-2004-Por t Based Network AccessControl[EB/OL].ht tp://www.ieee802.org/1/pages/802.1x-2004.html.

[2]聂武超,张彦兴.802.lx认证技术分析[N].华为技术报,2004-1-9.

[3]谢波.基于IEEE802.1X协议应用研究[D].重庆:重庆大学,2005.

Design and Implementation of Security Network based on 802.1X and Option 82//

Zhao Kai

The most use of cur rent campus network authentication and management technology is 802.1X certi fication. But using a static IP address management for campus network management brought a lot of trouble. But the DHCP protocol can’t achieve a user access permissions. How to found the network safety and ease use of the equi librium point became an impor tant goal. In this paper, combine 802.1X and Option 82 technology to const ruct a permission to clear the campus network.

802.1X; DHCP; Option 82; security network

一、部分征稿选题

TP393.18

B

1671-489X(2012)18-0105-03

10.3969 /j.issn.1671-489X.2012.18.105

作者：赵锴，讲师，工程硕士，网络规划师，从事计算机网络集成管理类教学。