Cisco 利用 802.1X,动态VLAN和DHCP技术实现方案

一、前言　　　

各行各业网络的快速发展，尤其是企业局域网的建设发生了日新月异的变化。金融业电子商务、网上办公、业务系统处理已 应用工作中的方方面面，但是由于局域网大量建设、网络接入的灵活性、开放性给企业安全管理带来了新的课题，如何建立安全灵活的可有效防范的企业局域网安全 摆在各企业IT管理者的面前。目前发生在各金融行业的安全事件中，大多是由于不合理的使用网络资源、病毒传播造成网络拥挤、随意更改IP地址银企网络冲 突、移动办公用户随意接入等不确定因素造成，给金融行业信息系统安全生产运行带来了严峻挑战。

　　在网络接入点控制、地址分配、资源管理利用、授权访问等方面，很有必要研究技术手段解决网络接入带来的安全隐患。本文主要在网络接入点控制 和授权访问方面进行分析。目前局域网身份主要采取PPPoE,WEB+Portal,EAPoL等方式，前两种方案硬件投入大且无法有效的解决认证安全的 问题，尤其是接入点控制。IEEE 802.1X标准认证协议和动态VLAN的引入，在以太网交换机端口实现对用户认证、授权，，以其实现技术简单、灵活、投入收成为企业局域网的首选。利用 802.1X和RADIUS认证服务器的授权控制，根据用户不同动态分配交换机端口VLAN属性、ACL控制、利用DHCP分配IP地址实现较灵活的控 制，实现了用户地址分配和一定范围内的移动办公需求。整套方案应用成熟，易于实现，给企业局域网安全管理提供了一种有效的解决途径。

　　二、技术简介

　　1、IEEE 802.1X认证协议

它是基于C/S结构面向端口的访问控制认证协议。交换机端口有几种状态Block、 Listen、Learn和Forward，如果端口不配置认证，PC配置相应的地址即可访问网络。通过对端口802.1X的配置，端口处于受控状态 Authen和UNAuthen，在未认证状态下，端口仅收发EAPoL等认证包信息，不允许存取网络，如果未配置VLAN，端口处于那个VLAN都未 知；在认证通过后，根据用户在服务器上的配置，端口分配相应特性，才可以存取网络。这正是我们所需要的特性。

802.1X体系有三部分构成，客户机、交换机存取设备和认证服务器。图示：

Client：实现EAPoL的请求和应答，目前Win2000、WIN XP 、WIN2003、vista均内置了认证客户端软件，WIN98SE、Linux需要相应客户端软件的支持，可选用第三方的802.1X认证软件。

交换机：认证存取点，可以选取支持认证的无线AP和支持二层以上的交换机。应注意支持的兼容性，对802.1x和RFC RADIUS支持良好。尽管许多厂商都宣称支持802.1X，存在很多兼容性问题，往往引起工程实施中的难度。

认证服务器：实现客户端身份认证，并下发RADIUS的属性。应选用对IETF支持良好的服务器，常用的有CISCO ACS3.1-3.3，华为的CAMS等。

　　总之，在工程实施中，应选用对802.1X、RFC RADIUS支持兼容好，注意各应用系统的软件版本，如Windows、交换机IOS和RADIUS的版本，这是工程成功的很重要的部分。

2、动态VLAN

是指根据交换机的某个设定，将端口划分到一个VLAN中。划分VLAN的条件有很多，根据MAC地址（MACBase）、不同的身份认证。RFC RADIUS服务器支持VLAN信息属性，可以把基于064(Tunnel-Type)，065(Tunnel-Type)，081(Tunnel- Private-Group-ID)的VLAN设定端口。所有用户及相关信息存于RADIUS服务器上，可以根据用户地址的变化调整用户的配置，并且用户 可以通过CISCO UCP WEB方式修改自己的密码。

3、DHCP

动态主机配置协议DHCP(Dynamic Host Configuration Protocol) 是一个简化主机IP地址分配管理的TCP/IP 标准协议，使网络管理员可以集中管理一个网络IP资源系统，对网络中的IP地址进行自动分配。DHCP免除了管理员人为分配和改变IP地址的工作，减少网 络管理的工作量。DHCP可以动态的或永久的给主机分配IP地址，也可以回收那些不用的或者分配使用时间到期的IP地址，从而这些地址可以再分配给其他用 户使用。

　　三、相关要求

　　1、认证服务器:支持IETF标准的服务器，最好为CISCO ACS 3.0以上版本，一定要安装在Win2000英文服务器版本。

2、交换机支持VLAN划分和802.1X协议，为了实现动态VLAN和多个二层交换机的Trunk接入，核心应选用三层交换机。一般规模的局域网建议 选用CISCO3550EMI，各种交换机的IOS要选择正确的版本，才能快速解决工程实施中的问题和异常。如CISCO IOS 12.1(14)EA1以上，华为3026E VRP 3.10R0032以上，不同的品牌的交换机不同。

　　3、客户端操作系统比较常用的Windws，Linux等。Win 2000SP4，Win XP，Win2003、vista均内置了对802.1X的支持，Win98、Linux需要客户端软件的支持。比较常见的802.1X客户端有华为、港湾等。

　　四、解决方案

　　1、方案要点

一台CISCO 3550,IOS 12.1.(14)EA1,三台华为3026E，VRP3.10R0032在3550上划分4个VLAN，见下表：

VLAN Id　　IP地址　　　　　　掩码　　　　　网路地址

100　　10.1.0.254　　　255.255.255.0　　10.1.0.0

110　　10.1.10.254　　　255.255.255.0　　10.1.10.0

120　　10.1.20.2254　　255.255.255.0　　10.1.20.0

130　　10.1.30.254　　　255.255.255.0　　10.1.30.0