摘要：我院校園網(wǎng)采用H3C網(wǎng)絡(luò)設(shè)備組建，網(wǎng)絡(luò)構(gòu)架是采用RADIUS服務(wù)器對通過交換機(jī)接入的802.1x用戶實現(xiàn)IP動態(tài)分配、認(rèn)證授權(quán)計費，并在接入層交換機(jī)上實現(xiàn)ARP攻擊防范，實現(xiàn)限速等，并限制用戶端代理上網(wǎng)。從而實現(xiàn)構(gòu)建安全校園網(wǎng)絡(luò)目的，該文給出祥細(xì)的配置過程，包括AAA、radius、DHCP、ARP防治，并在最后給出INODE客戶端防代理漏洞，突破代理限制簡單實現(xiàn)。達(dá)到減少學(xué)生上網(wǎng)費用，引起學(xué)院管理部門及H3C廠家注意的目的。

關(guān)鍵詞：802.1x；RADIUS；iNode

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）10-2310-04

校園網(wǎng)中有關(guān)拓?fù)淙缦聢D1所示：Switch2的端口E1/0/2，與802.1X USER相連，并進(jìn)行認(rèn)證，switch交換機(jī)與SWITCH2、WWW、MAIL、DNS、VOD、RADIUS服務(wù)器相連，SWITCH與RADIUS使用sharepwd密碼換互報文， 8016和8017認(rèn)證/授權(quán)、計費端口號，SWITCH向RADIUS服務(wù)器發(fā)送的用戶名攜帶域名；用戶認(rèn)證時使用332107@teach為用戶名。RADIUS服務(wù)器認(rèn)證成功會下發(fā)VLAN 5。實現(xiàn)對VLAN 5的8021x用戶計費，費用實現(xiàn)包月制，為60元/月，單月最大上網(wǎng)時數(shù)為120小時，交換機(jī)Switch為VLAN5的802.1x用戶自動分配IP地址，交換機(jī)SWITCH2配置arp檢測并對802.1x用戶限速。

2 iMC RADIUS服務(wù)器設(shè)置

1）進(jìn)入iMC管理平臺，選中“業(yè)務(wù)”標(biāo)簽，單擊“接入業(yè)務(wù)/接入設(shè)備配置”菜單，進(jìn)入“接入設(shè)備配置”界面，單擊“增加”按鈕，進(jìn)入“增加接入設(shè)備”頁面，然后 在“共享密鑰”文本框中設(shè)置與SWITCH交互報文的認(rèn)證、計費共享密鑰為“sharepwd”，“認(rèn)證端口”“計費端口”兩個文本框分別設(shè)置端口號“8016”和“8017”作為RADIUS服務(wù)器認(rèn)證與計費使用；在“業(yè)務(wù)類型”下拉列表中選擇“LAN接入業(yè)務(wù)”； 在“接入設(shè)置類型”下拉列表中選擇“H3C”選項；“組網(wǎng)方式”下拉列表選擇“不啟用混合組網(wǎng)”；在“設(shè)備列表”欄中單擊“選擇”或“手工增加”按鈕添加接入SWITCH的IP地址為192.168.1.2；最后單擊“確定”按鈕完成操作。

2）選取“業(yè)務(wù)”標(biāo)簽，單擊“計費業(yè)務(wù)/計費策略管理”菜單，進(jìn)入“計費策略管理”界面，然后單擊“增加”進(jìn)入“計費策略配置”頁面。然后在“策略名稱”文本框中輸入計費策略名稱“teachzhanghao”，在“計費策略模板”下拉列表中選擇計費策略模板為“包月類型”；在“包月基本信息”欄中設(shè)置“按時長”計費、計費周期按“月”、周期固定費用為“60元”，在“包月使用量限制”欄中設(shè)置每月允許最大上網(wǎng)120小時。最后單擊“確定”完成計費策略相關(guān)設(shè)置。

3）選取“業(yè)務(wù)”標(biāo)簽頁，單擊“接入業(yè)務(wù)/服務(wù)配置管理”菜單，進(jìn)入“服務(wù)器配置管理”頁面，單擊“增加”按鈕，進(jìn)入“增加服務(wù)配置”頁面。然后在“服務(wù)名”文本框中輸入“teachzu”作為服務(wù)名、在“服務(wù)后綴”文本框中輸入“teach”為域名。在“計費策略”下拉列表選擇為“teachzhanghao”，在“下發(fā)VLAN”文本框中下發(fā)到VLAN 5；單擊“確定”按鈕完成服務(wù)器配置管理操作。

4）添加802.1x用戶。選中“用戶”標(biāo)簽頁，單擊“接入用戶視圖/所有接入用戶”菜單，進(jìn)入“接入用戶列表”頁面，單擊“增加”進(jìn)入“增加接入用戶”頁面 。在“用戶姓名”欄中單擊“選擇”或者“增加用戶”按鈕添加用戶名“kangruifeng”；在“帳號名”和“密碼”兩文本框中依次輸入認(rèn)證帳號“332107”和密碼“kang；在“接入服務(wù)”欄中選取332107用戶關(guān)聯(lián)的接入服務(wù)為“teachzu”；然后單擊”確定“按鈕完成用戶帳號設(shè)置，至此iMC RADIUS服務(wù)器相關(guān)配置全部完成。

3 iMC RADIUS與iNode互動配合實現(xiàn)防代理功能

iMC RADIUS和iNode客戶端拔號軟件聯(lián)動配合實現(xiàn)防代理功能，RADIU服務(wù)器中的針對用戶客戶端配置“僅限iNode客戶端”及“禁用代理服務(wù)器”等下圖2所示的選項時，用戶使用iNode身份認(rèn)證成功后，iNode會對終端進(jìn)行代理檢查，多網(wǎng)卡檢測， MAC地址修改檢查，IP地址動靜態(tài)獲取都檢查，如果發(fā)現(xiàn)用戶有代理服務(wù)器行為或多網(wǎng)卡，或私自靜態(tài)設(shè)置IP不是動態(tài)獲取IP則提示用戶并強(qiáng)制下線。

iMC RADIUS服務(wù)器端按上述方式設(shè)置完畢后，iNode拔號客戶端軟件會對正在上網(wǎng)的用戶電腦進(jìn)行代理、多網(wǎng)卡與IP及MAC是否修改檢測，它通過監(jiān)聽網(wǎng)卡收發(fā)報文來完成，如果發(fā)現(xiàn)某一時間內(nèi)網(wǎng)卡收到的報文與發(fā)送的報文內(nèi)容一致，則可判定該終端啟用了代理服務(wù)器，iNode會主動通知用戶并強(qiáng)制其下線。這種方案對代理行為檢測準(zhǔn)確，但當(dāng)用戶使用BT，電驢，pplive等點到多點連接的軟件，。因為這些軟件的特點就是在下載數(shù)據(jù)時還會上傳同樣的數(shù)據(jù)，完全符合iNode的代理檢測算法，inode會誤報并強(qiáng)制用戶下線，造成誤報。但最新版本的iNode客戶端己基本解決了這種代理錯認(rèn)問題。

9 小結(jié)

因iNode采用非標(biāo)準(zhǔn)協(xié)議的802.1x認(rèn)證上網(wǎng)，故傳統(tǒng)的路由器代理不能使用，在構(gòu)建高校安全的校園網(wǎng)絡(luò)中，建立802.1x客戶端、網(wǎng)絡(luò)設(shè)備與RADIUS服務(wù)器聯(lián)動的安全配置手段己基本成熟，h3c inode客戶端非標(biāo)準(zhǔn)協(xié)議也讓傳統(tǒng)路由器代理上網(wǎng)無法實現(xiàn)，inode軟件開發(fā)人員的不經(jīng)意的點疏忽，讓學(xué)校投入具資打造的網(wǎng)絡(luò)失去應(yīng)用的目的與效果，希望能引起學(xué)院相關(guān)部門與H3C重視，反過來說，突破代理限制意味著減少學(xué)生的上網(wǎng)費用，也會積發(fā)了學(xué)生的安全攻防意識，培養(yǎng)學(xué)生的發(fā)現(xiàn)問題，解決問題的能力。