基于802.1X與RADIUS 聯(lián)動的H3C校園網配置探討

摘要：我院校園網采用H3C網絡設備組建，網絡構架是采用RADIUS服務器對通過交換機接入的802.1x用戶實現(xiàn)IP動態(tài)分配、認證授權計費，并在接入層交換機上實現(xiàn)ARP攻擊防范，實現(xiàn)限速等，并限制用戶端代理上網。從而實現(xiàn)構建安全校園網絡目的，該文給出祥細的配置過程，包括AAA、radius、DHCP、ARP防治，并在最后給出INODE客戶端防代理漏洞，突破代理限制簡單實現(xiàn)。達到減少學生上網費用，引起學院管理部門及H3C廠家注意的目的。

關鍵詞：802.1x；RADIUS；iNode

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）10-2310-04

校園網中有關拓撲如下圖1所示：Switch2的端口E1/0/2，與802.1X USER相連，并進行認證，switch交換機與SWITCH2、WWW、MAIL、DNS、VOD、RADIUS服務器相連，SWITCH與RADIUS使用sharepwd密碼換互報文， 8016和8017認證/授權、計費端口號，SWITCH向RADIUS服務器發(fā)送的用戶名攜帶域名；用戶認證時使用332107@teach為用戶名。RADIUS服務器認證成功會下發(fā)VLAN 5。實現(xiàn)對VLAN 5的8021x用戶計費，費用實現(xiàn)包月制，為60元/月，單月最大上網時數(shù)為120小時，交換機Switch為VLAN5的802.1x用戶自動分配IP地址，交換機SWITCH2配置arp檢測并對802.1x用戶限速。

2 iMC RADIUS服務器設置

1）進入iMC管理平臺，選中“業(yè)務”標簽，單擊“接入業(yè)務/接入設備配置”菜單，進入“接入設備配置”界面，單擊“增加”按鈕，進入“增加接入設備”頁面，然后 在“共享密鑰”文本框中設置與SWITCH交互報文的認證、計費共享密鑰為“sharepwd”，“認證端口”“計費端口”兩個文本框分別設置端口號“8016”和“8017”作為RADIUS服務器認證與計費使用；在“業(yè)務類型”下拉列表中選擇“LAN接入業(yè)務”； 在“接入設置類型”下拉列表中選擇“H3C”選項；“組網方式”下拉列表選擇“不啟用混合組網”；在“設備列表”欄中單擊“選擇”或“手工增加”按鈕添加接入SWITCH的IP地址為192.168.1.2；最后單擊“確定”按鈕完成操作。

2）選取“業(yè)務”標簽，單擊“計費業(yè)務/計費策略管理”菜單，進入“計費策略管理”界面，然后單擊“增加”進入“計費策略配置”頁面。然后在“策略名稱”文本框中輸入計費策略名稱“teachzhanghao”，在“計費策略模板”下拉列表中選擇計費策略模板為“包月類型”；在“包月基本信息”欄中設置“按時長”計費、計費周期按“月”、周期固定費用為“60元”，在“包月使用量限制”欄中設置每月允許最大上網120小時。最后單擊“確定”完成計費策略相關設置。

3）選取“業(yè)務”標簽頁，單擊“接入業(yè)務/服務配置管理”菜單，進入“服務器配置管理”頁面，單擊“增加”按鈕，進入“增加服務配置”頁面。然后在“服務名”文本框中輸入“teachzu”作為服務名、在“服務后綴”文本框中輸入“teach”為域名。在“計費策略”下拉列表選擇為“teachzhanghao”，在“下發(fā)VLAN”文本框中下發(fā)到VLAN 5；單擊“確定”按鈕完成服務器配置管理操作。

4）添加802.1x用戶。選中“用戶”標簽頁，單擊“接入用戶視圖/所有接入用戶”菜單，進入“接入用戶列表”頁面，單擊“增加”進入“增加接入用戶”頁面 。在“用戶姓名”欄中單擊“選擇”或者“增加用戶”按鈕添加用戶名“kangruifeng”；在“帳號名”和“密碼”兩文本框中依次輸入認證帳號“332107”和密碼“kang；在“接入服務”欄中選取332107用戶關聯(lián)的接入服務為“teachzu”；然后單擊”確定“按鈕完成用戶帳號設置，至此iMC RADIUS服務器相關配置全部完成。

3 iMC RADIUS與iNode互動配合實現(xiàn)防代理功能

iMC RADIUS和iNode客戶端拔號軟件聯(lián)動配合實現(xiàn)防代理功能，RADIU服務器中的針對用戶客戶端配置“僅限iNode客戶端”及“禁用代理服務器”等下圖2所示的選項時，用戶使用iNode身份認證成功后，iNode會對終端進行代理檢查，多網卡檢測， MAC地址修改檢查，IP地址動靜態(tài)獲取都檢查，如果發(fā)現(xiàn)用戶有代理服務器行為或多網卡，或私自靜態(tài)設置IP不是動態(tài)獲取IP則提示用戶并強制下線。

iMC RADIUS服務器端按上述方式設置完畢后，iNode拔號客戶端軟件會對正在上網的用戶電腦進行代理、多網卡與IP及MAC是否修改檢測，它通過監(jiān)聽網卡收發(fā)報文來完成，如果發(fā)現(xiàn)某一時間內網卡收到的報文與發(fā)送的報文內容一致，則可判定該終端啟用了代理服務器，iNode會主動通知用戶并強制其下線。這種方案對代理行為檢測準確，但當用戶使用BT，電驢，pplive等點到多點連接的軟件，。因為這些軟件的特點就是在下載數(shù)據(jù)時還會上傳同樣的數(shù)據(jù)，完全符合iNode的代理檢測算法，inode會誤報并強制用戶下線，造成誤報。但最新版本的iNode客戶端己基本解決了這種代理錯認問題。

9 小結

因iNode采用非標準協(xié)議的802.1x認證上網，故傳統(tǒng)的路由器代理不能使用，在構建高校安全的校園網絡中，建立802.1x客戶端、網絡設備與RADIUS服務器聯(lián)動的安全配置手段己基本成熟，h3c inode客戶端非標準協(xié)議也讓傳統(tǒng)路由器代理上網無法實現(xiàn)，inode軟件開發(fā)人員的不經意的點疏忽，讓學校投入具資打造的網絡失去應用的目的與效果，希望能引起學院相關部門與H3C重視，反過來說，突破代理限制意味著減少學生的上網費用，也會積發(fā)了學生的安全攻防意識，培養(yǎng)學生的發(fā)現(xiàn)問題，解決問題的能力。