高明成

摘要：主要介紹基于交換機端口的接入控制方法及在校園網(wǎng)中的實現(xiàn)。

關鍵詞：交換機；接入控制；校園網(wǎng)

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2012）35-8369-03

當前的校園網(wǎng)絡中提供的資源日益多樣化，有些資源面向全校師生，而有些重要資源僅面向教職員工或教職員工中的部分群體。如何實現(xiàn)對網(wǎng)絡用戶的分類接入控制，對于維護網(wǎng)絡中資源的安全性有著重要意義。

1研究現(xiàn)狀

網(wǎng)絡中常見的接入控制技術，除了國內(nèi)幾家網(wǎng)絡設備生產(chǎn)廠商自主研發(fā)的接入控制技術以外，還包括依據(jù)鏈路層設備端口安全特性的用戶接入認證技術、有線及無線網(wǎng)絡中依據(jù)IEEE802.1X的用戶認證技術[1]、網(wǎng)絡層設備上的IP-MAC地址綁定接入控制技術、代理服務與防火墻相結合的方法、統(tǒng)一身份認證技術等。各種接入控制技術的特點如下：

1）基于鏈路層設備端口安全特性的用戶接入認證技術。此種方式主要是在鏈路層設備上將用戶所使用終端的MAC地址與鏈路層設備端口綁定，達到用戶接入控制的目的。但這種接入控制方式是在低層實現(xiàn)的，缺乏管理的靈活性，小范圍內(nèi)使用較為合適。由于終端在發(fā)送數(shù)據(jù)幀時并不直接從物理網(wǎng)卡ROM里面讀取MAC地址，就存在人為修改MAC地址的可能性，因此其安全性并不高。

2）網(wǎng)絡層網(wǎng)絡設備上的IP-MAC地址綁定接入控制技術。此種方式主要是在網(wǎng)絡層設備上將用戶所使用終端的MAC地址和IP地址與鏈路層設備端口三者綁定，達到用戶接入控制的目的。其能夠?qū)崿F(xiàn)較為嚴格的用戶接入控制，安全性較高。另一方面，由于這種方式需綁定三個對象，因此缺乏管理的靈活性，用戶接入日志無法審核[2]，適于小范圍內(nèi)應用。

3）有線及無線網(wǎng)絡中依據(jù)IEEE802.1X的用戶認證技術。使用此認證技術時，接入有線網(wǎng)絡或無線網(wǎng)絡的用戶并不能直接使用網(wǎng)絡資源，需要先在“認證服務器”上獲得許可，才可以訪問網(wǎng)絡。IEEE802.1X的用戶認證技術需三個要素即：認證申請者（終端）、認證接入設備和認證服務器。用戶接入認證的功能主要在認證服務器上實現(xiàn)，在一定程度上弱化了網(wǎng)絡接入設備的接入控制功能[3]。

4）代理服務與防火墻相結合的方法。代理服務器與防火墻可以實現(xiàn)高層協(xié)議的用戶身份認證、對過往的數(shù)據(jù)進行監(jiān)測、分析和訪問控制操作。此種方式管理方式統(tǒng)一，易于實現(xiàn)。但其對于非法物理接入及內(nèi)部攻擊破壞行為無能為力。

5）統(tǒng)一身份認證技術。一般和數(shù)字簽名技術相結合；由于使用較好的加密算法，因此這種認證技術的安全性較好；可以為校園網(wǎng)中的所有系統(tǒng)提供統(tǒng)一的認證機制。其缺點是不能對非法的物理接入進行很好的控制。

6）設備廠商自主研發(fā)的接入控制方法。此種方法可以根據(jù)用戶提出的具體接入控制要求設計合適特定用戶的接入控制方法；此種方法投資成本較高，系統(tǒng)兼容性易出現(xiàn)問題，改造難度較大。

由以上各種接入控制方法比較可知，沒有任何一種接入控制方法能夠很好地獨自實現(xiàn)對網(wǎng)絡用戶的接入控制功能?；诘蛯泳W(wǎng)絡設備端口的地址綁定加高層認證的方式不失為一種實用的解決方案。

2基于物理端口的接入控制介紹

在標準局域網(wǎng)中，只要用戶能與網(wǎng)絡接入控制設備相連接，就能夠?qū)崿F(xiàn)與局域網(wǎng)相連接并且能夠訪問網(wǎng)絡資源。但對于公共網(wǎng)絡而言，網(wǎng)絡的管理者希望能夠?qū)τ脩舻慕尤胄袨檫M行控制，因此出現(xiàn)了對“基于物理端口的網(wǎng)絡接入控制”的需求。具體指能夠在局域網(wǎng)接入控制設備端口這一級對接入的用戶設備進行認證和控制。如果用戶能訪問網(wǎng)絡中的資源，首先應通過網(wǎng)絡接入設備的端口認證，否則不能訪問網(wǎng)絡中的資源，相當于物理連接被斷開，以此提高物理網(wǎng)絡接入的安全性。

在低層實現(xiàn)對用戶的接入控制是為了讓核心交換機將大部分資源應用到實現(xiàn)快速包交換的功能上，保證網(wǎng)絡核心層設備能夠可靠運行[4]。

3換機端口接入控制方式

在交換機端口上實現(xiàn)對用戶的接入控制有2中方式，分別是基于交換機物理端口的用戶認證方式和基于用戶接入設備MAC地址的認證方式[5]。

1）基于交換機物理端口的認證方式。采用此方式時，如果一個端口連接多個接入用戶，則該物理端口僅對第一個接入用戶進行身份認證，只要第一個用戶身份認證成功，則后續(xù)端口無需認證就可以訪問網(wǎng)絡資源；但當?shù)谝粋€接受認證的用戶離線后，則后續(xù)其它用戶會被拒絕訪問網(wǎng)絡。

2）基于MAC地址的認證方式。采用此方式時，即使多個用戶連接到交換機的一個物理端口上，交換機仍需對每個用戶進行單獨的接入認證，當某個用戶離線時并不會影響到其它用戶使用網(wǎng)絡資源。

上面提到的802.1x在端口上進行用戶接入控制時，其默認控制方式為基于MAC地址的認證方式。

4口綁定技術及其配置

傳統(tǒng)的以太網(wǎng)技術并不對用戶接入的位置進行控制。用戶計算機接到網(wǎng)絡中任意交換機的任意端口，都能夠?qū)崿F(xiàn)網(wǎng)絡資源的訪問，這使網(wǎng)絡管理員無法對用戶的位置進行監(jiān)控，對網(wǎng)絡安全控制是不利的。

通過“MAC+IP+端口”綁定功能，可以實現(xiàn)設備對轉發(fā)報文的過濾控制，提高網(wǎng)絡安全性。配置端口綁定后，只有指定MAC和IP的計算機才能在端口上收發(fā)報文、訪問網(wǎng)絡資源[6]。

進行“MAC+IP+端口”綁定配置后，當端口接收到報文時，會查看報文中的源MAC、源IP地址與交換機上配置的靜態(tài)表項是否一致。操作結果如下：

1）如果報文中的源MAC、源IP地址與所設定的MAC、IP相同，所連端口將轉發(fā)該報文。

2）如果報文中的源MAC、源IP地址中的任一個與配置不同，端口都將丟棄該報文。

在交換機上配置“MAC+IP+端口”綁定時，需要注意綁定是針對端口的，一個端口被綁定后，僅僅只是這個端口被限制了，對于其它端口是不受該綁定影響的。

在端口視圖下配置靜態(tài)綁定表項，命令如下：

User-bindip-addressip-address[mac-addressmac-address]

配置靜態(tài)綁定表項時，如果只綁定了IP地址，則交換機只檢查報文的源IP地址，不檢查源MAC地址；如果同時綁定了IP與MAC，則二者都檢查。

校園網(wǎng)絡拓撲如圖1，校園網(wǎng)中配置實例如下：

首先：將用戶設備的MAC地址與交換機對應端口進行綁定。

[SW4]port-securityenable #開啟端口安全功能

[SW4]interfaceGigabitEthernet1/0/1

#端口為例說明接入控制功能

[SW4-GigabitEthernet1/0/1]descriptionsushe7#接口描述說明

[SW4-GigabitEthernet1/0/1]port-securitymax-mac-count255

#該端口能夠允許接入的用戶的最大數(shù)為255

[SW4-GigabitEthernet1/0/1]port-securityport-modeautolearn

#開啟端口MAC地址自主學習功能

[SW4-GigabitEthernet1/0/1]port-securitymac-addresssecurity001a.92c2.a410vlan1

#將該端口學習到的用戶MAC地址綁定到vlan1上

其次：配置ACL將用戶設備IP地址和交換機相應端口綁定。

在SW4上配置：禁止學生公寓區(qū)域主機到信息中心的訪問。

[SW4]aclnumber3000

[SW4-acl-adv-3000]ruledenyipsource10.10.0.00.0.0.255destination10.1.1.0 0.0.0.255

#禁止學生公寓區(qū)域主機到信息中心的訪問

[SW4-acl-adv-3000]rulepermitipsourceanydestinationany

[SW4-acl-adv-3000]quit

[SW4]int e1/0/1

[SW4-ethernet1/0/1]packet-filter3000outbound

[SW4-ethernet1/0/1]quit

[SW4]int e1/0/2

[SW4-ethernet1/0/2]packet-filter3000outbound

[SW4-ethernet1/0/2]quit

至此，實現(xiàn)將用戶設備IP地址、MAC地址、交換機端口和vlan的綁定，完成了在低層設備接口上的用戶接入控制。結合高層統(tǒng)一的身份認證技術即可以實現(xiàn)物理網(wǎng)絡的接入控制和邏輯接入控制的目的，從而保證網(wǎng)絡在物理上和邏輯上的安全性。

本方案配置簡單，管理方便，便于適應后期網(wǎng)絡規(guī)模的變動。

接入控制有多種功能組合方式，各有優(yōu)缺點，在實際應用中應結合單位網(wǎng)絡自身的特點選取合適的策略。

參考文獻：

[1]杜淼鑫.于SNMP的網(wǎng)絡接入控制研究[J].硅谷，2011（18）：109.

[2]譚羅生.換機端口安全特性助力網(wǎng)絡接入控制[J].FinancialTechnologyTime，2011（7）：62.

[3]ShanJialing.ApplicationResearchofAALinAggregate-port[J].Computer&DigitalEngineering，2011（2）.

[4]陳利，永彬，馬建國，等.基于端口的網(wǎng)絡訪問控制應用模式[J].計算機工程，2009（16）.

[5]杭州華三通信技術有限公司.路由交換技術第一卷（下冊）[M].北京：清華大學出版社，2011：187.

[6]胡煜娜，劉志勇.寬帶用戶端口綁定技術方案分析與探討[J].ModernScience，2010（20）.