IP地址分配和用戶權(quán)限控制的部署與優(yōu)化

暨南大學(xué)網(wǎng)絡(luò)與教育技術(shù)中心 陳國(guó)良 鄭松奕

在校園網(wǎng)絡(luò)中,為了網(wǎng)絡(luò)管理和安全的需求,需要給不同類型的用戶配置不同的訪問權(quán)限。管理員可以根據(jù)不同用戶權(quán)限來分配不同用戶IP區(qū)間,對(duì)不同權(quán)限用戶進(jìn)行源IP地址策略路由,從而達(dá)到對(duì)上網(wǎng)權(quán)限的控制?；贒HCP協(xié)議的Option82網(wǎng)絡(luò)權(quán)限管理方案可部署于需動(dòng)態(tài)分配網(wǎng)絡(luò)參數(shù)的區(qū)域,利用DHCP協(xié)議的82號(hào)選項(xiàng),對(duì)不同接入點(diǎn)不同權(quán)限的同戶進(jìn)行定位,讓DHCP服務(wù)器根據(jù)不同定位的用戶分配相應(yīng)的網(wǎng)絡(luò)參數(shù),實(shí)現(xiàn)根據(jù)IP地址對(duì)用戶權(quán)限控制。針對(duì)開源系統(tǒng)穩(wěn)定性不足的問題,根據(jù)冗余設(shè)計(jì)理念,利用雙機(jī)故障切換技術(shù),將該方案整體系統(tǒng)可用性提高到99.99%。

0 引言

互聯(lián)網(wǎng)作為基礎(chǔ)設(shè)施,在現(xiàn)代生活中發(fā)揮著重要的作用。在高校,信息化和數(shù)字化早已滲透到學(xué)校教學(xué)、科研、管理,數(shù)字化校園為學(xué)校教學(xué)和科研提供有力支持。隨著用戶數(shù)量的不斷增加,以及新技術(shù)的發(fā)展(如IPv6),給網(wǎng)絡(luò)管理帶來新的挑戰(zhàn)。在以往網(wǎng)絡(luò)管理中,用戶大多采用固定IP地址的方法,對(duì)于用戶而言,面臨固定IP地址配置比較復(fù)雜,IPv4地址枯竭問題,而且通常不能進(jìn)行區(qū)域遷移。為了簡(jiǎn)化用戶網(wǎng)絡(luò)接入的配置工作,提高網(wǎng)絡(luò)管理效率,當(dāng)前大多采用DHCP方法來進(jìn)行用戶地址分配。

1 DHCP說明

DHCP(Dynamic Host Configuration Protocol)主要用來動(dòng)態(tài)提供配置參數(shù)給網(wǎng)絡(luò)上的主機(jī),是基于BOOTP(BOOTstrap Protocol)的,它能使接入網(wǎng)絡(luò)的設(shè)備即插即用,無需人工干預(yù)即可實(shí)現(xiàn)網(wǎng)絡(luò)參數(shù)的自動(dòng)配置。當(dāng)有線網(wǎng)絡(luò)設(shè)備插入網(wǎng)線或無線網(wǎng)絡(luò)設(shè)備連上無線網(wǎng)絡(luò)后,首先通過該協(xié)議自動(dòng)與DHCP服務(wù)器協(xié)商獲取如IP、掩碼、網(wǎng)關(guān)、DNS等必要的信息,同時(shí)根據(jù)網(wǎng)絡(luò)管理員的部署,可能同時(shí)交互相關(guān)的附加信息,即DHCP Option信息。DHCP報(bào)文中含有一個(gè)或多個(gè)Option,該Option在DHCP報(bào)文中為可變長(zhǎng)的字段,Option中包含了租約信息、報(bào)文類型等[1]。Option82又稱為中繼代理信息選項(xiàng)(Relay Agent Information Option),是DHCP報(bào)文中Option內(nèi)容的一部分。

2 DHCP部署

DHCP服務(wù)器種類繁多,各有優(yōu)缺點(diǎn)。Windows服務(wù)器自帶的DHCP軟件有較直觀易用的用戶界面;ISCDHCPD是開源軟件并安裝于Linux、Unix操作系統(tǒng)有較好的安全性;商業(yè)軟件兼顧友好的用戶界面與高可用,但價(jià)格昂貴[2]。

2.1 DHCP雙機(jī)部署

許多研究表明,ISC-DHCPD能很好地應(yīng)用Option82作判斷后分配相應(yīng)的網(wǎng)絡(luò)參數(shù),不少網(wǎng)絡(luò)管理部門都成功應(yīng)用過此方案,取得了一定的成效,但方案中存在DHCP服務(wù)器閃單點(diǎn)故障,實(shí)驗(yàn)證明可以采用Failover協(xié)議保障DHCP服務(wù)高可用。

DHCP故障轉(zhuǎn)移是一種機(jī)制,其中兩個(gè)DHCP服務(wù)器都配置為管理相同的地址池,以便它們可以共享該池的分配租約的負(fù)載,并在網(wǎng)絡(luò)中斷的情況下為彼此提供備份[3]。

2.2 系統(tǒng)高可用優(yōu)化

配置Failover能避免單點(diǎn)故障風(fēng)險(xiǎn),當(dāng)一臺(tái)服務(wù)器出現(xiàn)故障,另一臺(tái)服務(wù)器可以接管業(yè)務(wù),給管理員預(yù)留了處理故障的時(shí)間,但仍然不能成為一套健壯的系統(tǒng),仍有一定的改進(jìn)空間。以下闡述采用自我監(jiān)控、自我重啟的方式解決進(jìn)程崩潰的辦法。

每次ISC-DHCPD程序運(yùn)行都會(huì)將當(dāng)前進(jìn)程號(hào)更新到PID文件中,編寫監(jiān)控腳本比對(duì)PID,即可探測(cè)出ISC-DHCPD程序是否在運(yùn)行狀態(tài)中,如否則重啟程序,并記錄到日志文件[4]。

監(jiān)控與重啟核心程序:

改進(jìn)后的DHCP服務(wù)運(yùn)行效果如圖1所示:

圖1 DHCP服務(wù)Stu10aCernet地址池統(tǒng)計(jì)圖Fig.1 Statistics of the DHCP service Stu10aCernet address pool

程序重啟日志如圖2所示:

圖2 DHCP程序重啟日志截圖Fig.2 Screenshot of DHCP program restart log

上述數(shù)據(jù)表明,業(yè)務(wù)連續(xù),監(jiān)控程序?qū)崿F(xiàn)了系統(tǒng)自愈,改進(jìn)方法取得良好的成效。

3 網(wǎng)絡(luò)部署

3.1 大型網(wǎng)絡(luò)中繼部署

大型網(wǎng)絡(luò)中實(shí)現(xiàn)DHCP配置網(wǎng)絡(luò)參數(shù),需要進(jìn)行DHCP中繼,結(jié)合接入控制需要,選取在接入交換機(jī)中進(jìn)行用戶認(rèn)證與DHCP中繼。原理如圖3所示:

圖3 認(rèn)證與DHCP分配網(wǎng)絡(luò)參數(shù)流程圖Fig.3 Flow chart of authentication and DHCP allocation of network parameters

3.2 網(wǎng)絡(luò)設(shè)備配置

接入交換機(jī)須支持DHCP Option82和802.1X認(rèn)證,認(rèn)證系統(tǒng)須支持下發(fā)用戶權(quán)限參數(shù)。802.1X認(rèn)證和DHCP Option82完美的結(jié)合起來,實(shí)現(xiàn)管理員可以控制哪一類802.1X認(rèn)證用戶可以分配哪一類的IP地址,從而精確地進(jìn)行IP地址管理[5]。在認(rèn)證系統(tǒng)配置“用戶權(quán)限”參數(shù),用戶認(rèn)證成功后,交換機(jī)把認(rèn)證系統(tǒng)下發(fā)的“用戶權(quán)限”參數(shù)和用戶接入的Vlan ID信息作為Option82的“Circuit ID”子選項(xiàng)信息傳給DHCP Server,以便DHCP Server能根據(jù)不同的“用戶權(quán)限”參數(shù)按相應(yīng)的配置策略分配不同類型的IP,對(duì)不同權(quán)限用戶進(jìn)行源IP地址策略路由和配置相應(yīng)ACL實(shí)現(xiàn)對(duì)其上網(wǎng)權(quán)限的控制[6]。

交換機(jī)配置DHCP中繼與Failover核心命令如下:

3.3 用戶權(quán)限控制

通過認(rèn)證系統(tǒng)記錄的用戶權(quán)限分配不同的網(wǎng)絡(luò)參數(shù),進(jìn)而控制用戶訪問權(quán)限。簡(jiǎn)述如下:

(1)未認(rèn)證用戶分配172.18.0.0/16地址塊的網(wǎng)絡(luò)參數(shù),只能訪問用戶自助服務(wù)平臺(tái),用于查看設(shè)置說明、下載認(rèn)證客戶端、辦理網(wǎng)絡(luò)業(yè)務(wù)以及網(wǎng)絡(luò)報(bào)障等。(2)A類用戶分配172.16.0.0/16地址塊的網(wǎng)絡(luò)參數(shù),用于無限制互聯(lián)網(wǎng)資源訪問。(3)B類用戶分配172.24.0.0/16地址塊的網(wǎng)絡(luò)參數(shù),用于純教學(xué)科研資源的訪問,便于對(duì)特定群體的網(wǎng)絡(luò)行為管理。

經(jīng)實(shí)驗(yàn)驗(yàn)證并在生產(chǎn)環(huán)境穩(wěn)定運(yùn)行數(shù)年,系統(tǒng)運(yùn)行情況良好。

4 結(jié)語(yǔ)

部署方案實(shí)現(xiàn)了不同權(quán)限的用戶分配到對(duì)應(yīng)的網(wǎng)絡(luò)參數(shù),集中管理兩萬多用戶的網(wǎng)絡(luò)參數(shù)動(dòng)態(tài)配置,減輕了網(wǎng)絡(luò)管理員的IP地址管理工作。通過優(yōu)化,極大提升了系統(tǒng)高可用性。

隨著移動(dòng)通信的發(fā)展,網(wǎng)絡(luò)亦從有線走向無線,基于權(quán)限的分配亦希望能用于無線網(wǎng)絡(luò),需要無線AP或無線交換機(jī)的支持,這需要進(jìn)一步的研究與探索。

引用

[1] Alexander S,Droms R.DHCP Options and BOOTP Vendor Extensions[M].RFC2132,1997:3.

[2] Droms R.Dynamic Host Configuration Protocol [M].RFC2131,1997:3.

[3] Patrick M.DHCP Relay Agent Information Option [M].RFC3046,2001:1.

[4] International Federation of Library Association and Institutions.Names of Persons:national usages for entry in catalogues[M].3rd ed.London:IFLA International Office for UBC,1997.

[5] 孫力芾,李生紅.DHCP及Option82安全機(jī)制的原理與實(shí)現(xiàn)[J].信息技術(shù),2005(8):29-32.

[6] Setting Up DHCP Failover:A Basic Overview.[EB/OL][2012-05-06].https://kb.isc.org/article/AA-00502/0/A-Basic-Guide-to-Configuring-DHCP-Failover.html.