一、前言
各行各业网络的快速发展,尤其是企业局域网的建设发生了日新月异的变化。金融业电子商务、网上办公、业务系统处理已 应用工作中的方方面面,但是由于局域网大量建设、网络接入的灵活性、开放性给企业安全管理带来了新的课题,如何建立安全灵活的可有效防范的企业局域网安全 摆在各企业IT管理者的面前。目前发生在各金融行业的安全事件中,大多是由于不合理的使用网络资源、病毒传播造成网络拥挤、随意更改IP地址银企网络冲 突、移动办公用户随意接入等不确定因素造成,给金融行业信息系统安全生产运行带来了严峻挑战。
在网络接入点控制、地址分配、资源管理利用、授权访问等方面,很有必要研究技术手段解决网络接入带来的安全隐患。本文主要在网络接入点控制 和授权访问方面进行分析。目前局域网身份主要采取PPPoE,WEB+Portal,EAPoL等方式,前两种方案硬件投入大且无法有效的解决认证安全的 问题,尤其是接入点控制。IEEE 802.1X标准认证协议和动态VLAN的引入,在以太网交换机端口实现对用户认证、授权,,以其实现技术简单、灵活、投入收成为企业局域网的首选。利用 802.1X和RADIUS认证服务器的授权控制,根据用户不同动态分配交换机端口VLAN属性、ACL控制、利用DHCP分配IP地址实现较灵活的控 制,实现了用户地址分配和一定范围内的移动办公需求。整套方案应用成熟,易于实现,给企业局域网安全管理提供了一种有效的解决途径。
二、技术简介
1、IEEE 802.1X认证协议
它是基于C/S结构面向端口的访问控制认证协议。交换机端口有几种状态Block、 Listen、Learn和Forward,如果端口不配置认证,PC配置相应的地址即可访问网络。通过对端口802.1X的配置,端口处于受控状态 Authen和UNAuthen,在未认证状态下,端口仅收发EAPoL等认证包信息,不允许存取网络,如果未配置VLAN,端口处于那个VLAN都未 知;在认证通过后,根据用户在服务器上的配置,端口分配相应特性,才可以存取网络。这正是我们所需要的特性。
802.1X体系有三部分构成,客户机、交换机存取设备和认证服务器。图示:
Client:实现EAPoL的请求和应答,目前Win2000、WIN XP 、WIN2003、vista均内置了认证客户端软件,WIN98SE、Linux需要相应客户端软件的支持,可选用第三方的802.1X认证软件。
交换机:认证存取点,可以选取支持认证的无线AP和支持二层以上的交换机。应注意支持的兼容性,对802.1x和RFC RADIUS支持良好。尽管许多厂商都宣称支持802.1X,存在很多兼容性问题,往往引起工程实施中的难度。
认证服务器:实现客户端身份认证,并下发RADIUS的属性。应选用对IETF支持良好的服务器,常用的有CISCO ACS3.1-3.3,华为的CAMS等。
总之,在工程实施中,应选用对802.1X、RFC RADIUS支持兼容好,注意各应用系统的软件版本,如Windows、交换机IOS和RADIUS的版本,这是工程成功的很重要的部分。
2、动态VLAN
是指根据交换机的某个设定,将端口划分到一个VLAN中。划分VLAN的条件有很多,根据MAC地址(MACBase)、不同的身份认证。RFC RADIUS服务器支持VLAN信息属性,可以把基于064(Tunnel-Type),065(Tunnel-Type),081(Tunnel- Private-Group-ID)的VLAN设定端口。所有用户及相关信息存于RADIUS服务器上,可以根据用户地址的变化调整用户的配置,并且用户 可以通过CISCO UCP WEB方式修改自己的密码。
3、DHCP
动态主机配置协议DHCP(Dynamic Host Configuration Protocol) 是一个简化主机IP地址分配管理的TCP/IP 标准协议,使网络管理员可以集中管理一个网络IP资源系统,对网络中的IP地址进行自动分配。DHCP免除了管理员人为分配和改变IP地址的工作,减少网 络管理的工作量。DHCP可以动态的或永久的给主机分配IP地址,也可以回收那些不用的或者分配使用时间到期的IP地址,从而这些地址可以再分配给其他用 户使用。
三、相关要求
1、认证服务器:支持IETF标准的服务器,最好为CISCO ACS 3.0以上版本,一定要安装在Win2000英文服务器版本。
2、交换机支持VLAN划分和802.1X协议,为了实现动态VLAN和多个二层交换机的Trunk接入,核心应选用三层交换机。一般规模的局域网建议 选用CISCO3550EMI,各种交换机的IOS要选择正确的版本,才能快速解决工程实施中的问题和异常。如CISCO IOS 12.1(14)EA1以上,华为3026E VRP 3.10R0032以上,不同的品牌的交换机不同。
3、客户端操作系统比较常用的Windws,Linux等。Win 2000SP4,Win XP,Win2003、vista均内置了对802.1X的支持,Win98、Linux需要客户端软件的支持。比较常见的802.1X客户端有华为、港湾等。
四、解决方案
1、方案要点
一台CISCO 3550,IOS 12.1.(14)EA1,三台华为3026E,VRP3.10R0032在3550上划分4个VLAN,见下表:
VLAN Id IP地址 掩码 网路地址
100 10.1.0.254 255.255.255.0 10.1.0.0
110 10.1.10.254 255.255.255.0 10.1.10.0
120 10.1.20.2254 255.255.255.0 10.1.20.0
130 10.1.30.254 255.255.255.0 10.1.30.0
三台华为3026E的地址配置在Vlan100上,分别为10.1.0.251,10.1.0.252,10.1.0.253。交换机和 ACS的MD Key统一设定为newman。ACS 3.3服务器属于VLAN100的地址,地址为10.1.0.250。DHCP用Win 2000Server内置的DHCP服务器。802.1X用华为V2.20-0231版、港湾的客户端软件。
2、ACS3.3安装配置要点
安装Win2000 Server英文版,ACS 3.3按默认IETF选项安装,配置
(1)增加Server配置中的AAA Server和Client
AAA Server:10.1.0.250
AAA Client:10.1.0.251,10.1.0.252,10.1.0.253,10.0.254
(2)配置RADIUS的Interface,支持064,065,081属性
(3)配置全局属性System Blobal支持EAP-MD5 Challege认证报文
(4)修改组属性
组名 064 065 081 其他默认
group100 Vlan 802 100 可选
group110 Vlan 802 110 如时间等
group120 Vlan 802 120
group130 Vlan 802 130
(5)RADIUS服务器增加4个用户
用户名 所属组 其他属性
User100 Group100 可选
User110 Group110 如session等
User120 Group120
User130 Group130
3、DHCP安装配置要点
安装Win2000的DHCP服务,配置如表所示的四个作用域,其他可选默认选项
用域 地址范围 掩码 网关
Vlan100 10.1.0.1-10.1.0.249 255.255.255.0 10.1.0.254
Vlan110 10.1.10.1-10.1.10.249 255.255.255.0 10.1.10.254
Vlan120 10.1.20.1-10.1.20.249 255.255.255.0 10.1.20.254
Vlan130 10.1.30.1-10.1.30.249 255.255.255.0 10.1.30.254
4、CISCO3550配置
定义AAA
aaa new-model配置通过RADIUS认证
aaa authen dot1x default group radius
aaa author network default radius
dot1x system-auth-control 启用802.1X
radius-server host 10.1.0.250 key newman 指定认证服务器
radius-server vsa seng authentication可以接受VSA信息
int vlan100定义Vlan接口及地址、DHCP服务器地址
ip addr 10.1.0.254 255.255.255.0
int vlan110
ip addr 10.1.10.254 255.255.255.0
ip help-address 10.1.0.250
int vlan120
ip addr 10.1.20.254 255.255.255.0
ip help-address 10.1.0.250
int vlan 130
ip addr 10.1.30.254 255.255.255.0
ip help-address 10.1.0.250
ip routing 启用路由功能
service dhcp启用DHCP服务
int f0/1 一端口示例,启用802.1X认证
switchport mode access
dot1x port-control auto
spanning-tree portfast
这样当接入F0/1的PC通过用户user100的认证,将分配vlan100和10.1.0.0的网络地址,用户user110的认证,将分配vlan110和10.1.10.0的网络地址,其他类同。
5、华为3026E配置
radius scheme system定义radius scheme
server-type stand 定义服务器的标准为IETF模式
primary authen 10.1.0.250 定义认证服务器
primary accounting 127.0.0.1 1646如果需要计费配置相应服务器地址
accounting optinal 必选项
keu authen newman Md key的值
user-name-format without-domain传输用户名为标准,不添加域
domain system
radius-scheme system 指定domain为system
access-limit disable
state active
vlan-assignment string指定华为接受的vlan号为字符串模式
domain default enable system指定系统的默认domain为system
local-server nas-ip 127.0.0.1 key newman指定AAAclient地址,用于AAA服务器认证
dot1x 启用全局的802.1X协议
dot1x authen eap 指定认证模式为eap-md5
vlan 100定义可以传输的VLAN
int e0/1 一端口的示例,启用认证协议
dot1x