802.1X、動態(tài)VLAN和DHCP技術(shù)在內(nèi)網(wǎng)安全管理中的綜合應(yīng)用

◆張 江 陳向飛 王世玲 水冰潔 趙思思

(1.云南省軍區(qū) 云南 650051；2.解放軍邊防314 旅 云南 663000)

1 研究背景

企業(yè)內(nèi)網(wǎng)在方便員工傳遞信息和共享資源的同時(shí)也面臨著諸如病毒擴(kuò)散、網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)擁塞等各種各樣的安全問題。在所有問題之中，安全威脅最為嚴(yán)重的莫過于企業(yè)內(nèi)網(wǎng)違規(guī)外聯(lián)互聯(lián)網(wǎng)造成的信息失泄密。對于不想花費(fèi)數(shù)十萬甚至上百萬購買商業(yè)安防系統(tǒng)的企業(yè)，如何通過技術(shù)控制，在滿足員工用網(wǎng)需要的同時(shí)又能保證內(nèi)網(wǎng)的安全，是當(dāng)前網(wǎng)絡(luò)安全管理的一個熱點(diǎn)問題。為解決這一問題，本文提出了一種采用多種軟硬件技術(shù)、兼顧便利性和安全性的綜合防范方案。該方案采用802.1X、動態(tài)VLAN和DHCP技術(shù)實(shí)現(xiàn)了對企業(yè)內(nèi)網(wǎng)安全的綜合管理和控制。

2 相關(guān)技術(shù)簡介

2.1 802.1X認(rèn)證協(xié)議

IEEE 802.1X認(rèn)證是一種功能強(qiáng)大的基于端口的接入認(rèn)證體系，它可以拒絕非認(rèn)證用戶接入網(wǎng)絡(luò)設(shè)備端口，可以有效地防范違規(guī)外聯(lián)的網(wǎng)絡(luò)及終端接入內(nèi)網(wǎng)。對于支持IEEE 802.1X協(xié)議的交換機(jī)，在終端認(rèn)證之前，所連接的交換機(jī)端口處于關(guān)閉狀態(tài)，端口僅收發(fā)EAPoL（局域網(wǎng)擴(kuò)展認(rèn)證協(xié)議）等認(rèn)證包信息，不允許終端訪問網(wǎng)絡(luò)。終端通過EAPoL 經(jīng)交換機(jī)向遠(yuǎn)程認(rèn)證服務(wù)器（RADIUS）提交認(rèn)證請求，認(rèn)證通過后，端口正常開啟，終端接入網(wǎng)絡(luò)。

2.2 動態(tài)VLAN

動態(tài)VLAN技術(shù)是指不指定某一端口屬于某個VLAN，而是根據(jù)該端口接入終端的某種特征自動將其接入某一VLAN的技術(shù)。本文所討論的安全方案之所以選用這一技術(shù)是為了實(shí)現(xiàn)企業(yè)用戶能夠靈活地接入和使用網(wǎng)絡(luò)。劃分動態(tài)VLAN的方式有很多，可以根據(jù)終端的MAC地址自動分配VLAN，可以根據(jù)終端所設(shè)置的IP地址分配VLAN，還可以根據(jù)802.1X 客戶端的登錄信息分配VLAN。本文所選取的是第三種技術(shù)，因?yàn)檫@種技術(shù)和基于MAC的VLAN 劃分相比，具有同等的安全性、更好的靈活性，配置卻更為簡單。

2.3 DHCP

動態(tài)主機(jī)配置協(xié)議DHCP(Dynamic Host Configuration Protocol)是一個用于動態(tài)分配網(wǎng)絡(luò)中各終端IP地址的協(xié)議，DHCP服務(wù)器通過維護(hù)一個既定的網(wǎng)絡(luò)IP地址段，實(shí)現(xiàn)對網(wǎng)絡(luò)中的IP地址的自動分配。采用DHCP協(xié)議的常見目的是避免由于用戶隨意變更IP地址而造成的網(wǎng)絡(luò)沖突問題，然而本文選用DHCP技術(shù)的目的并不在于此。本文之所以采用DHCP技術(shù)進(jìn)行終端地址分配，是為了解決同一網(wǎng)段終端有可能出現(xiàn)的外聯(lián)擴(kuò)散問題。設(shè)置固定IP、處于同一網(wǎng)段的內(nèi)網(wǎng)終端，如果某一終端通過USB 連接手機(jī)等方式接入互聯(lián)網(wǎng)，則該終端會在繼續(xù)持有其內(nèi)網(wǎng)IP的情況下對外聯(lián)網(wǎng)，經(jīng)特定配置后其他終端可使用該終端作為代理接入外網(wǎng)，造成整個網(wǎng)段所有終端的外聯(lián)。企業(yè)內(nèi)網(wǎng)如果采用DHCP技術(shù)來分配IP，某一終端聯(lián)網(wǎng)之后，其IP會自動變成互聯(lián)網(wǎng)臨時(shí)分配的IP，與企業(yè)內(nèi)網(wǎng)IP必然不會處于同一網(wǎng)段（根據(jù)IP地址劃分規(guī)則），從而避免了外聯(lián)范圍的擴(kuò)散。

3 網(wǎng)絡(luò)設(shè)計(jì)實(shí)現(xiàn)

3.1 網(wǎng)絡(luò)設(shè)計(jì)

違規(guī)外聯(lián)綜合防范方案的網(wǎng)絡(luò)體系結(jié)構(gòu)如圖1所示。整個應(yīng)用環(huán)境由內(nèi)網(wǎng)終端、交換機(jī)、DHCP服務(wù)器和RADIUS服務(wù)器組成。其中接入層和匯聚層交換機(jī)均選用華為5700 交換機(jī)，并開啟802.1X認(rèn)證功能；RADIUS服務(wù)器預(yù)裝Windows2003 操作系統(tǒng)，并添加Internet驗(yàn)證服務(wù)組件(IAS)和AD（活動目錄）組件，確保能啟用802.1x的交換機(jī)通信；DHCP服務(wù)器預(yù)裝微軟的DHCP 組件，必要時(shí)可將DHCP服務(wù)和RADIUS服務(wù)安裝于同一服務(wù)器。

3.2 認(rèn)證過程

綜合防范系統(tǒng)的安全認(rèn)證過程如圖2所示。

圖2 綜合防范系統(tǒng)認(rèn)證過程

（1）安裝802.1X協(xié)議的客戶端向所連交換機(jī)端口發(fā)送EAPOL-Start 請求幀，在交換機(jī)響應(yīng)后進(jìn)一步發(fā)送身份標(biāo)識信息。

（2）交換機(jī)將客戶端發(fā)出的身份標(biāo)識信息發(fā)送至RADIUS服務(wù)器進(jìn)行驗(yàn)證。

（3）RADIUS服務(wù)器接收到客戶端信息后，首先根據(jù)登記的用戶信息進(jìn)行認(rèn)證，若認(rèn)證通過，則將認(rèn)證結(jié)果及用戶對應(yīng)的VLAN信息發(fā)送至交換機(jī)。

（4）客戶端認(rèn)證成功后，所連端口正常打開，并成功劃分入VLAN?？蛻舳税l(fā)起DHCP 請求，交換機(jī)將請求發(fā)送至DHCP服務(wù)器。

（5）DHCP服務(wù)器為客戶端分配IP地址。

（6）終端獲取IP正常入網(wǎng)。

3.3 交換機(jī)和服務(wù)器配置

3.3.1 交換機(jī)的配置

（1）組網(wǎng)說明。

在圖1所示的網(wǎng)絡(luò)結(jié)構(gòu)中，建立3個VLAN，見表1：

所有服務(wù)器和交換機(jī)劃入VLAN100，其余終端劃入VLAN200或VLAN300。

表1 三個VLAN

（2）核心交換機(jī)設(shè)置。

核心交換機(jī)的作用在于：建立和管理所有VLAN，為服務(wù)器提供高速運(yùn)行的隔離子網(wǎng)。其關(guān)鍵配置如下：

（3）接入層交換機(jī)設(shè)置。

接入層交換機(jī)的作用在于：開啟端口的802.1X認(rèn)證功能、設(shè)置缺省域?yàn)锳D服務(wù)器所在域、開啟端口的自動分配VLAN 功能并建立和Radius服務(wù)器的互聯(lián)。

3.3.2服務(wù)器的配置

（1）AD服務(wù)器（活動目錄服務(wù)器）的設(shè)置。

正常運(yùn)行IAS服務(wù)需要AD服務(wù)的支持，本例中AD服務(wù)與IAS服務(wù)裝在同一臺服務(wù)器。在AD服務(wù)器中建立名為VLAN200、VLAN300的兩個用戶組，在兩個用戶組下分別建立test200、test300兩個用戶賬號，如圖3所示。

test200和test300 用戶的遠(yuǎn)程訪問權(quán)限均需做以下設(shè)置（圖4）。

（2）RADIUS服務(wù)器的設(shè)置。

為實(shí)現(xiàn)接入層交換機(jī)和RADIUS服務(wù)器的聯(lián)動控制，需要在Windows IAS中創(chuàng)建客戶端交換機(jī)，地址為接入層交換機(jī)的管理接口地址（圖5）。

圖3 在活動目錄服務(wù)器中添加用戶組和賬戶

圖4 AD 用戶的遠(yuǎn)程訪問權(quán)限

圖5 將接入層交換機(jī)加入RADIUS 客戶端

在Windows IAS中，新建兩個遠(yuǎn)程訪問策略VLAN200和VLAN300，在創(chuàng)建策略時(shí)選擇“允許全時(shí)段接入”并將策略和對應(yīng)的同名活動目錄進(jìn)行匹配（圖6）。

圖6 新建遠(yuǎn)程訪問策略

遠(yuǎn)程策略添加后，選擇編輯配置文件，身份驗(yàn)證選項(xiàng)選取“加密身份驗(yàn)證(CHAP)后和交換機(jī)的驗(yàn)證方式保持一致（圖7）。

圖7 選擇CHAP 身份驗(yàn)證

在編輯撥入策略高級選項(xiàng)中，添加以下信息：Tunnel-Type=VLAN，Tunnel-Medium-Type=802，Tunnel-Pvt-Group-ID=200。上述屬性值的作用是：在客戶端認(rèn)證成功后，對客戶端所連交換機(jī)下發(fā)VLAN200的信息，交換機(jī)根據(jù)該信息將對應(yīng)端口自動加入VLAN200，從而實(shí)現(xiàn)了動態(tài)VLAN（圖8）。

圖8 添加高級連接屬性

（3）DHCP服務(wù)器的設(shè)置（略）。

4 結(jié)語

采用802.1X、動態(tài)VLAN和DHCP技術(shù)的企業(yè)內(nèi)網(wǎng)安全綜合管理方案主要有以下幾個方面的優(yōu)勢：

（1）提供局域網(wǎng)級別的終端入網(wǎng)認(rèn)證。目前絕大多數(shù)企業(yè)內(nèi)網(wǎng)對于局域網(wǎng)的入網(wǎng)都沒有提供或是考慮安全認(rèn)證手段，這樣會導(dǎo)致只要能夠物理接觸到企業(yè)內(nèi)網(wǎng)端口的設(shè)備都可以自然而然地接入企業(yè)內(nèi)網(wǎng)，這樣的安全風(fēng)險(xiǎn)是不可想象的。

（2）避免了“直連路由”造成的企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的直接外聯(lián)?！爸边B路由”是指企業(yè)員工為了上網(wǎng)方便，私自將企業(yè)內(nèi)網(wǎng)交換機(jī)連入互聯(lián)網(wǎng)路由器造成的兩網(wǎng)直接連接，在所有違規(guī)外聯(lián)的方式中，“直連路由”造成的危害是最為嚴(yán)重的。本方案由于采用802.1X對內(nèi)網(wǎng)端口進(jìn)行認(rèn)證，即使內(nèi)網(wǎng)端口直接連接到互聯(lián)網(wǎng)端口也不會造成兩網(wǎng)的數(shù)據(jù)交換。

（3）組網(wǎng)靈活、使用方便。采用傳統(tǒng)的IP-MAC和端口的三重綁定也可以達(dá)到較高的端口安全性，然而這樣的方式難以適用于辦公室布局變動、人員調(diào)整等情況造成的網(wǎng)絡(luò)變化。本文所選用的綜合方案既具備了IP-MAC 綁定的安全性，又具備了猶如無線組網(wǎng)一般的靈活性，用戶可以接入不同房間不同交換機(jī)的端口，根據(jù)自己的認(rèn)證信息入網(wǎng)。

（4）成本低廉、性價(jià)比高。本方案采用的認(rèn)證服務(wù)、AD服務(wù)和DHCP服務(wù)全部選用了微軟自帶的免費(fèi)服務(wù)組件，和動輒數(shù)十萬上百萬的違規(guī)外聯(lián)防護(hù)系統(tǒng)相比，成本無疑是極其低廉的。