基于MAC批量綁定與Portal認證的雙重準入控制的設計及應用

吳禮樂

（中國石油大學（北京）信息技術中心，北京 102249）

隨著高校校園計算機網絡規模的不斷擴大、網絡應用的不斷豐富以及終端用戶的不斷增加，廣大師生對互聯網的依賴程度越來越高，網絡管理工作越來越繁重，因此，高校計算機網絡的安全接入管理尤為重要。采用在二層接入交換上配置MAC地址+端口的綁定策略，可以有效防止ARP病毒和網絡攻擊的干擾，采用在三層匯聚交換機上配置網關Web Portal重定向的認證策略，可以有效地對校園網用戶上網行為進行記錄日志，單一采用以上兩種網絡安全策略都無法很好地完整解決網絡安全準入控制的問題。為了能比較全面地解決目前高校校園計算機網絡存在的問題，需要在高校校園計算機網絡上實施終端用戶準入控制策略，對終端接入點進行計算機合法性檢查和用戶身份認證的雙重準入控制，阻斷非法終端的接入，對校園網終端用戶行為進行審計和監控，確保校園校園計算機網絡安全、可靠、高效地運行。近年來，通過在終端接入密集的學生宿舍區域實施MAC地址批量綁定和Portal認證的雙重準入控制策略，取得了良好的成效。

1 MAC地址與交換機端口綁定技術

交換機綁定技術是一種既簡單又安全的準入控制機制，通過交換機上的綁定功能，可以對端口轉發的報文進行過濾控制。當端口接收到報文后查找綁定表項，如果報文中的特征項與綁定表項中記錄的特征項匹配，則端口轉發該報文，否則做丟棄處理。

目前交換機提供靈活的綁定策略，支持端口+MAC+IP的多元混合綁定策略。交換機端口與MAC地址的綁定，就是把交換機的某一個物理端口和下面所連接的電腦MAC地址綁定，這樣即使有非法電腦偷偷地連接到這個端口上也是不能連接到局域網當中的。配置交換機端口和MAC地址綁定的好處是可以限制終端計算機可以接入哪個端口，不可以接入哪個端口。換句話說，通過配置交換機端口與MAC地址綁定的功能，可以解決非法用戶修改MAC地址以適應靜態ARP表的問題。使用交換機提供的端口地址過濾模式，即交換機的每一個端口只具有允許合法MAC地址的計算機通過該端口訪問網絡，任何來自其它非法MAC地址的計算機的訪問將被拒絕，當一個未批準的MAC地址試圖訪問端口的時候，交換機會禁用該端口或者拋棄該MAC地址產生的報文。這樣可以有效的防止ARP病毒的攻擊,也有效地防止了內部網絡某些人出于某些目的擅自修改自己MAC地址的行為。

2 匯聚交換機Portal重定向認證技術

三層匯聚交換機Portal認證技術是在三層vlan接口開啟Portal重定向認證機制，由于不需要安裝客戶端軟件，使用方便，在校園網的認證系統中起到重要作用。該認證技術由DHCPServer，Portal Server和 Radius Server設備配合完成，當用戶未認證通過瀏覽器上網時，交換機強制自動重定向到Portal認證頁面進行認證，只有認證通過后用戶才可以使用互聯網資源。通常，三層交換機Portal重定向認證的一次認證過程可以描述如下：

1)用戶機器啟動后，通過匯聚交換機上的DHCPServer獲取到相應VLAN的DHCP池下的一個合法IP地址。

2)交換機根據該用戶的IP地址、MAC地址以及所在的端口號等信息構造對應的表項信息，此時用戶只能訪問Portal Server，DNSServer和一些內部服務器，訪問權限可以通過Portal ACL制定。

3)用戶打開瀏覽器輸入任何網址上網時，交換機Portal強制重定向到Portal Server認證頁面進行認證，認證頁面將用戶輸入的用戶名、密碼以及用戶機器的IP地址、MAC地址等信息發送給Radius服務器。

4)Radius服務器獲得用戶名、密碼、機器的IP地址和MAC地址之后，對用戶進行合法性檢查。

5)Radius服務器認證成功之后，給交換機發送認證成功報文，此時該用戶就可以正常訪問網關外網絡。

3 MAC綁定和Portal認證的組網設計

1)總體架構設計

我校學生宿舍區域網絡規模大，網絡用戶數量達12 000個，二層接入交換機采用的是北電425和2550T（已被AVAYA收購），三層匯聚交換機采用的是H3C 5800-32F，每棟學生樓接入交換機千兆光口上聯至匯集交換機，匯聚交換機萬兆上聯至校園網絡核心。當學生用戶連接入網時，二層接入交換機端口檢查該用戶計算機MAC地址的合法性，如果是合法注冊已交費的MAC地址，才允許計算機連接到三層匯聚交換機的DHCPServer動態獲取IP地址，獲取IP地址成功之后打開瀏覽器上網時會由匯聚交換機三層VLAN的Portal功能自動重定向到Portal+Radius服務器 （Portal服務器和Radius服務器做在同一臺服務器上）進行認證，認證通過方可上網。架構設計如圖1所示。

2)MAC批量綁定設計

學生宿舍接入交換機全部采用北電425和2550T，每天需要對注冊交費用戶或者變更網卡用戶的計算機MAC地址進行端口綁定，但由于接入交換機及網絡用戶量龐大，在每臺交換機上依靠telnet命令行或圖形界面手動輸入MAC綁定配置變得不現實，不僅工作量大而且極容易出錯，為了解決這個問題，基于JAVA+SNMP開發了中國石油大學網絡管理系統來實現北電交換機MAC批量綁定的功能，此綁定程序只需選擇交換機端口號與MAC地址對應表文件（.txt文本文件）即可實現一鍵式導入全校學生計算機用戶的MAC地址端口綁定的操作。通過交費系統導出交換機端口號與MAC地址對應表，表文件每行對應一個交換機端口和一個計算機MAC地址。導出交換機端口號與MAC地址對應表如圖2所示。

圖1 總體架構Fig.1 Overall architecture

圖2 導出端口+MAC對應表Fig.2 Export port+MACtable

一鍵式批量導入MAC地址綁定如圖3所示。

圖3 MAC批量綁定Fig.3 MACbatch binding

3)Portal認證設計

采用H3C 5800作為學生宿舍區域匯聚層三層網關，每棟樓宇客戶端通過網關DHCP Server獲取到對應VLAN的IP地址之后，此時還無法訪問網關外網絡，只允許訪問Portal服務器的認證頁面和DNS服務器，當客戶端打開瀏覽器輸入任何網址上網時網關Portal功能會強制自動重定向到已建立好的Portal服務器認證頁面進行認證，客戶端輸入用戶名和密碼進行認證成功之后才可訪問網絡，實現了客戶端Portal安全準入認證。命令行實現如下：

//Radius和Portal服務器IP地址是192.168.1.1，連接口令均為123321

//DNSIP地址為10.200.1.1

//建立一個radius scheme為rs1

radius scheme rs1

primary authentication 192.168.1.1

primary accounting 192.168.1.1

key authentication 123321

key accounting 123321

user-name-format without-domain

//建立一個domain為dm1

domain dm1

authentication portal radius-scheme rs1

authorization portal radius-scheme rs1

accounting portal radius-scheme rs1

//應用dm1到默認域

domain default enable dm1

//建立一個portal重定向名為ps

portal server ps ip 192.168.1.1 key 123321 url http://192.168.1.1/portal.html

//添加域名服務器為免認證

portal free -rule 1 destination ip 10.200.1.1 mask 255.255.255.255

//在vlan 2三層接口下啟用Portal重定向認證

interface vlan-interface 2

portal server portal_server method direct

4 結束語

針對校園網絡的網絡安全和準入控制問題，中國石油大學在學生宿舍區域使用了MAC批量綁定和Portal認證的雙重準入控制方案，該方案已經應用了多年，有效解決當前校園網絡中存在的安全、應用問題，為學生提供一個安全、高效的網絡平臺，事實證明此方案切實有效。

[1]黃榮.基于802.1x和Web Portal認證技術的校園網用戶端點準入控制系統的設計及應用[J].福州大學學報：自然科學版，2008，36（5）:673-676.HUANG Rong.Design and applications of campus network user terminal access control system based on 802.1x and Web portal authentication techniques[J].Journal of Fuzhou University：Natural Science Edition，2008，36（5）:673-676.

[2]胡光民，柯立新.校園網絡安全與準入身份認證[J].上海海洋大學學報，2010，19（2）:271-274.HU Guang-ming，KE Li-xin.Campus network security and accessauthentication[J].Journal of Shanghai Ocean University，2010，19（2）:271-274.

[3]李興國，雷若寒.利用準入控制實現校園網的安全管理[J].微計算機信息，2008，24（12）:47-48,53.LI Xing-guo，LEI Ruo-han.Implement security management of campus network by admission control[J].Control&Auto，2008，24（12）:47-48,53.

[4]張鴻波，任志剛，肖靜.MAC地址與交換機端口綁定方法的實踐[J].中國數字醫學，2007，2（7）:53-55.ZHANG Hong-bo，REN Zhi-gang，XIAO Jing.MAC Address and switch port binding method and practice[J].China Digital Medicine，2007，2（7）:53-55.

[5]白潔，徐金云，干陳明.使用綁定技術實現校園網ARP病毒的防治[J].科技傳播，2011（1）:167-174.BAI Jie，XU Jin-yun，GAN Chen-ming.Use the bind techniques to realize campus network ARP the prevention and control of the virus[J].Public Communicationof Science&Technology，2011（1）:167,174.

[6]H3C White paper[EB/OL].http://www.h3c.com.cn/Service/Document_Center/Switches/Catalog/S5800/S5800/,2014.