基于多虛擬網關技術的新型準入系統探究*

梁 良, 朱貝貝,丁菊玲

（1.國網江西省電力公司信息通信分公司，330043；2.江西科益高新技術有限公司，330000；3.江西財經大學信息管理學院，330077）

基于多虛擬網關技術的新型準入系統探究*

梁 良1, 朱貝貝2,丁菊玲3

（1.國網江西省電力公司信息通信分公司，330043；2.江西科益高新技術有限公司，330000；3.江西財經大學信息管理學院，330077）

針對各類復雜網絡，混合型準入部署和多種接入控制的問題，本文采用多虛擬網關的準入控制技術,提出一種新型的準入控制系統。該系統在不改變網絡結構前提下,通過端口自主切換、動態VLAN模式以及不同網段數據包交換，實現了適應多種網絡設備及終端設備識別和錨定的功能，進而達到精確端口級別準入控制的目的。

多虛擬網關；動態VLAN；端口級別；準入系統

0 引言

在信息化建設全面展開的今天，企事業單位和政務部門對信息化的要求逐年，經過多年的網絡建設，已逐步形成了一個完整的網絡，對于安全準入系統的靈活性、復雜度的要求隨之變高。網絡越來越復雜，終端接入方式也越來越多，網絡中存在著各種各樣的新老網絡設備，存在各種復雜的網絡結構。因此，如何做到靈活控制、安全接入，在多種接入方式并存的環境下，很好的滿足及適應客戶網絡的復雜性是準入研究必須解決的難題。

本文基于多虛擬網關技術，提出一種新型準入系統，能夠從準入多樣化角度有效解決復雜網絡和混合型網絡準入部署難題。所謂多樣性是指網絡適配層協議多樣性、應用支撐層服務多樣性、業務功能多樣性以及解決方案行業多樣性。該系統從網絡層面，改變報文信息，從外部接入層面對設備進行認真，并且不改變接入產品自身的新能，從而實現“靈活終端、網絡不變”的目的，并且支持多種接入方式，很好的滿足及適應了客戶網絡的復雜性，進而實現精確端口級別安全準入的目的。

1 問題描述

現如今網絡設備層出不窮，伴隨著客戶的網絡結構也越來越復雜，各式各樣的廠家也在不斷地開發新產品。網絡監管的問題也顯露出來，特別是準入設備將面臨前所未有的挑戰，如何適應網絡適配層協議多樣性、應用支撐層服務多樣性、業務功能多樣性以及解決方案行業多樣性成為了安全準入設備的關鍵：

傳統的基于802.1x協議的準入控制方案存在眾多缺點，所有的802.1x平臺都要求用戶安裝入網客戶端，安裝客戶端的這個過程由于缺乏引導入網的支持，即使是合法用戶也無法被輔助入網進行正常的工作，設備無法有效地分清接入用戶的身份，很難做到事后責任審計；非桌面型ip設備也無法安裝客戶端入網。總之，采用客戶端模式的802.1x平臺無法進行web準入系統認證；

大部分產品方案都要求對網絡設備進行升級，如交換機、VPN、無線AP等升級為能夠支持802.1x協議的網絡設備，然后才能實現網絡準入的控制。其原因主要是設備硬件固化了應用程序，需要客戶滿足其特殊的網絡需求才可正常入網，客戶往往只能被動的接受而不能自主靈活的控制接入設備。在很大程度上給用戶造成了不必要的麻煩。

對于大部分廠商而言，標準的802.1x協議也無法解決端口下私接hub、無線路由器的情況。即使準入設備設有用戶管理、邊界保護、以及來賓認證、外部認證等功能。任然容易導致hub下某一臺設備通過認證打開交換機端口后，同一hub廣播域的所有設備均無需認證就直接入網，使得準入認證，大大降低了準入設備的效率。除此之外，非本單位電腦隨意接入網絡的給網絡安全帶來了漏洞和潛在風險。

2 安全準入認證過程

為了實現對終端接入設備的管理，將準入系統旁路的部署在核心交換機旁邊，通過接入交換機，做到精確到端口級別的準入，安全準入的認證過程如下所述：

首先，終端設備接入到網絡中，通過瀏覽器訪問網站。

其次，準入系統強制將頁面推送到準入設備虛擬的認證頁面（即劃入虛擬的VLANID）進行身份驗證以及安全檢查。

最后，認證完成后，準入系統通過多虛擬網關技術將驗證通過的終端VLAN劃分到安全的VLAN中，實現入網功能，而未通過認證的設備不允許上網。

3 準入控制過程技術原理分析

多虛擬網關技術是在基于IP的網絡上建立多種虛擬網關動態切換機制的方法。多虛擬網關技術的工作原理，即采用虛擬網關技術實現多個不同網關網絡設備數據實現二層網絡直接交換，克服了二層網絡不同VLAN不能通信的難題，降低了網絡架構的復雜度，使得相同子網段設備雖然處于不同VLAN中，同樣可以實現不在三層路由基礎上仍能相互通訊的功能。如此以來無論網絡設備的技術協議如何都不影響接入認證的效果，只需要設置IP信息，通過多虛擬網關的切換在網絡層來實現準入的控制，大大提高了準入設備的靈活性,與此同時，在多虛擬網關技術切換VLAN的過程中，系統可以引導進入認證頁面，解決了非桌管客戶端無法進行WEB認證的弊端。從安裝的角度來看，減少了網絡管理員巨大的工作量。

為了解決相同子網在不同VLAN之間進行通訊的問題，特別對IEEE 802.1Q的Trunk報文進行大量研究，分析得出了修改VLAN TAG的方法，使得準入系統可以林火實現VLAN切換，使得不同VLAN之間可以進行路由和通訊。以下是報文修改的原理示意:

普通的以太網報文的格式為：

根據IEEE 802.1Q的要求，帶標簽的報文格式為：

其中TAG的格式為：

其中的TAG就是通常所說的VLAN ID，在進行VLAN路由的時候修改TAG字段值來進行報文操作。入網設備和交換機的鏈路方式采用TRUNK模式，其報文的封包格式為802.1Q，所以交換機在發回報文的時候會加上802.1Q的TAG字段，VLAN路由設備根據系統設置的VLAN路由信息和其他配置的一些相關安全策略等信息，對報文的TAG進行相應的修改，并通過TRUNK鏈路發回給交換機，完成VLAN之間路由通訊的工作。

4 準入控制過程分析

為了實現對終端接入設備的管理，將準入系統旁路的部署在核心交換機旁邊，通過接入交換機，做到精確到端口級別的準入。

首先，需要把各種接入管理設備添加的準入系統中，通過輸入管理IP和SNMP信息來實現對接入設備的管理。然后，給交換機的各個端口設置VLAN，并在后面配置VLAN映射關系，即每一個被管理的VLAN都要在這指定一個認證VLAN,并且要在交換機上添加此認證VLAN，比如VLAN10，20要指定認證前VLAN999；VLAN30，40要指定認證前VLAN 130并在交換機上的端口上添加VLAN999，130即可。帶有不同VLANID的設備都會被強制推送到虛擬的準入認證網頁上，結合準入系統認證網頁，實現對終端用戶的審核和檢測目的，即每個入網設備接入相應接口后訪問數據是，首先收到準入系統認證網頁，對其合法性進行認證，如果為合法用戶則可以通過多虛擬網關技術，進行動態VLAN切換，切換到預先配置好的映射VLAN中，獲取正確的VLAN信息，就可以正常上網了，如果非法用戶，則可以控制不允許其進入網絡。

圖2 準入控制實現過程圖

圖1 安全準入認證過程

基于多虛擬網關技術準入控制具體實現過程如2所示：

地址192.168.0.62/24的設備IP-01(VLAN 20)和地址192.168.100.6/25的設備IP-02(VLAN 30)想要接入的網絡中。

1)首先將選定接入交換機的端口G1/1、G1/3分別加入到VLAN110、130，當IP-01、IP-02分別接到交換機中，由于VLANID不同設備不允許正常上網。

2)IP-01發起一個正常的ARP廣播請求，該報文會被交換機獲取到，其報文格式是一個帶有VLAN20的普通報文格式。

3)根據準入系統的映射關系， G1/1 VLAN 20 VLAN999，（VLAN30同理）用戶電腦用VLAN999訪問網絡中資源，數據通過trunk到達準入設備。CISCO交換機獲取到該報文之后，立即發送MAC-notification的SNMP trap給準入設備，這個trap信息里包括設備IP-01的MAC地址和到端口號信息。即會發送一個VLAN 999中進行ARP請求的廣播，這個時候會發送一個帶TAG（VLAN ID = 999）的報文給準入設備。

4)準入設備收到MAC-notification trap后，準入設備先查詢發送此Trap的端口號G1/2，然后判斷端口G1/2是否被管理，如果是，準入設備會判斷其中的MAC是否是已經檢查通過的電腦的，如果已檢查過，將其VLAN標簽改為20，并且引導其訪問準入系統認證頁面。如果沒有檢查過，準入設備會根據VLAN映射表，準入設備會通過SNMP Write將端口G1/2切換到999。并返回一個VLAN 999的頁面給用戶，讓用戶安檢和認證。

5)準入設備接收到交換機發送過來的帶TAG報文，根據企業的安全策略判讀是否要進行切換，對于不進行切換的報文直接丟棄，對于要進行切換的查詢本設備的VLAN路由映射關系，將報文的TAG修改為20，然后發送交換機給核心交換機。

6)核心交換機接收到帶TAG的報文，發現其屬于VLAN 20，是一個ARP廣播報文，則所有的端口都發送出去該報文，同時屬于VLAN20設備連接的端口也會有一份轉發的報文。此過程就完成了報文的請求。

7)核心交換機接收到ARP應答之后，在VLAN20查找本身的MAC地址/端口對應表，發現目的MAC地址處于和VLAN路由設備對應的物理接口上，則將該ARP應答報文增加TAG（VLAN id=20）轉發準入設備。

8)準入設備接收到交換機發送過來的帶TAG報文，按照步驟3的反向流程進行操作，查找VLAN20路由，將TAG修改為999，然后發送給接入交換機。

9)此時,設備A的VLAN已經從20切換到了999，當用戶打開網頁的時候,只有準入設備會收到相應的請求報文，并把打開的網頁推送到向到準入系統認證頁面。

10)認證頁面開始做安全檢查，如果檢查通過了，準入設備就通過SNMP Write將端口G1/2的VLAN切換到20，并記錄一下電腦的MAC信息。

11)檢查通過的電腦可以正常上網了。

圖3 準入報文應答工作原理圖

5 結論

基于多虛擬網關技術的準入系統可以控制的VLAN內路由，可以使得不符合安全要求的計算機不能進入正常的工作環境，能夠通過VLAN的切換來實現準入控制，接入設備可以通過不同VLAN間的訪問來直接登錄到平臺的準入系統認證頁面，因此不需要額外的客戶端來發送認證數據包，這樣就實現了無客戶端的準入控制。

不同接入設備在通過管理員審核并檢查合規后將切換回正常的工作VLAN，從而可以正常訪問內部資源，認證通過后端口仍能對端口接入進行控制，可以根據接入角色的不同進行基于目的地址、目的端口或協議的細粒度權限控制，對于未知設備、不合規設備、未通過審核設備均將依據其安全屬性被分配到不同的VLAN，從而實現了更細致的權限控制，避免了重要資源泄密的可能。

針對當前各企事業單位內網IP管理控制的急迫性，該新型準入系統通過統一的管理和控制，實現了應用系統的操作員和管理員與IP地址的分配與管理的統一。實現了在物理層面的關斷、開啟功效。滿足等級保護對網絡邊界、終端防護的相應要求。用戶的管理實現落實到人、責任到人。同時提供更高效、更智能的網絡準入防護體系。從多個方面實現了準入控制的目的。

[1] 魏振偉,顧乃杰,彭建章,張穎楠.一種基于網絡地址轉換的LVS數據轉發模式[J].計算機系統應用,2013,22(9):18-24,35.

[2] 董建鋒,周小平,賈磊雷.實現相同子網不同VLAN之間通訊的物理模塊設計[J].信息網絡安全,2012,03:88-90.

[3] 於時才,武俊喜,魏泰.一種多VLAN交換的物理拓撲發現算法[J]. 蘭州理工大學學報,2012,05:102-105.

[4] 李丹程,馬東琳,韓春燕,劉益先.面向Trunk技術的網絡拓撲發現算法研究[J].小型微型計算機系統,2012,11:2435-2441.

ANew Access System Research Based On Multiple Virtual Gateway Technology

Liang Liang1,Zhu Beibei2,Ding Juling3
（1.Jiangxi Electric Power Company Information Communication,State Grid Corp.of China，330043; 2.Jiang Keyi high-technology co., LTD,330000; 3.School of Information Technology,Jiangxi University of Finance and Economics，330077）

Aiming at all kinds of complex networks,hybrid deployment and a variety of access control problem,this paper uses the virtual gateway access control technology,put forward a new kind of access control system.Through the port independent switch,dynamic VLAN model and different network segment packet switching mode.The function ofidentification and anchor of various network equipments and terminal equipments without changing the network structureare realized.Finally,the purpose of accurate port level access control is achieved.

Multiple Virtual Gateway;Dynamic VLAN;Port Level;Access System