基于MAC實現動態VLAN

■

隨著網絡的不斷擴大，交換機技術的不斷進步，網絡管理員在布局時更愿意選擇可網管交換機，然后在可網管交換機上應用VLAN。所謂的VLAN(virtu-al Local Area Network)，就是可以不考慮用戶的物理位置，而根據功能，應用等因素將用戶從邏輯上劃分為一個個功能相對的工作組，同一個VLAN中的成員都共享廣播，形成一個廣播域，而不同VLAN之間廣播信息是相互隔離的，這樣，將整個網絡分隔成多個不同的廣播域(VLAN)，而在VLAN技術的實現中，動態VLAN又明顯地受用戶喜愛。

我院局域網是一個擁有1000個以上的客戶端的大型網絡，在對我院網絡進行動態VLAN改造以前，接入交換機各端口是用最傳統的方式對不同部門的計算機配置以不同的靜態VLAN，這樣做的不足之處有如下幾點：

1、在實現對接入交換機各端口VLAN的正確配置之前，網絡管理員必須先做出一個冗長的、復雜的各部門所屬辦公區域的網絡信息點和跳接的交換機端口之間的對應表，才能根據這個表格來對交換機端口的VLAN進行配置，工作量很大之外，還有一些暫時沒有分配其所屬部門的區域，這些區域里的網絡信息點所對應的交換機端口就無法配置。

2、不方便實現對外來的計算機接入到院網絡的接入準入控制。試想，隨意一臺本不屬于我院網絡里的外來計算機，只需要用一根網線接在墻上的某個信息點，就可以實現進入到院的辦公用網絡里，從網絡安全的角度看，明顯是一個很大的安全隱患，必須對此加以管控。

3、在員工的辦公地點變化時，尤其是部門整體改變辦公地點時，隨之而來的是大量員工的計算機接入的網絡信息點的變化，由于網絡信息點對應的交換機上的端口的VLAN是靜態的，這往往會導致其接入到了屬于其它VLAN的端口上。這時候就需要網絡管理員在交換機上去手工的修改端口VLAN，才能使這些計算機重新接入到正確的VLAN里來。由于必須重新統計哪些端口改為哪個VLAN，這個過程不僅耗時，更糟糕的是，還可能由于統計上的錯誤造成端口VLAN配置里的一些錯誤，這必將對正常的工作產生影響。

為了解決以上問題，我院對局域網內的所有接入交換機的接入端口VLAN采取了基于MAC認證來動態分配VLAN的改造。具體做法是：

1、首先，通過資產部門對我院在用的計算機進行一次完整統計，建立一個數據表格，明確計算機使用人，計算機固定資產登記卡號，計算機所屬部門和計算機網卡的MAC地址的對應關系；

2、增加一個RADIUS認證服務器，并在RADIUS服務器里把各個接入交換機配置為該RADIUS服務器的RADIUS客戶端，在我院的案例里使用的是思科的ACS系統，然后把資產部門統計上來的各個MAC地址錄入為ACS的用戶；

3、修改接入交換機的配置，把每臺接入交換機設置為RADIUS客戶端，并把RADIUS服務器指向ACS，同時把各個接入端口配置為基于MAC地址認證的動態VLAN端口，網絡結構如圖1。

這樣做有以下優點：

1、員工原有的使用習慣沒有改變，不需要在每次開機的時候手工去輸入用戶名和密碼來驗證用戶身份；

2、未登記網卡MAC地址的計算機只能處于guest-vlan里，而對于guest-vlan可以單獨配置一系列的網絡安全策略，大大增加了院生產網絡的安全性；

3、不用再關注各個部門所在的區域的網絡信息點情況，所有接入交換機可以做一次性統一配置；

4、各個部門的員工的辦公地點發生改變以致計算機的網絡接入點隨之改變時，無需修改交換機配置，每臺計算機不論接入在院局域網的哪個信息點上都不會改變計算機所屬VLAN；

圖1 有線網絡示意圖

5、網絡管理員可以方便的把某臺計算機從一個VLAN改到另一個VLAN；

6、認證只和網卡的MAC地址有關，和計算機的種類及操作系統無關，認證過程不需人工干預，對于如網絡打印機、網絡掃描儀等無法手工輸入用戶名和密碼去做認證的設備一樣可以實現動態VLAN的管理。

基于MAC地址認證的動態VLAN工作流程是這樣的：

1、在接入交換機的端口通過認證之前，這個端口屬于我們定義的guest-vlan，當這個guest-vlan端口收到來自某個MAC地址的數據包時（通常是一個DHCP discover廣播包），其所在的交換機向指定的RADIUS服務器發送AAA認證請求包，認證用的是UDP端口1812，報文里包括AAA的密鑰，和等待認證的用戶名和密碼，其中，用戶名和密碼均為小寫的沒有分隔符的該MAC地址，如112233aabbcc。

2、RADIUS服務器將該用戶信息與users 數據庫信息進行對比分析，如果認證成功，則將用戶的權限信息以認證響應包（access-accept）發送給RADIUS客戶端（這里指的是接入交換機）；如果認證失敗，則返回access-reject 響應包。

3、接入交換機如果收到的響應包是access-accept，則把要求認證的端口VLAN從guest-vlan轉變成響應包里所包含的VLAN ID信息的VLAN；如果收到的響應包是access-reject，該 端 口 VLAN保持guest-vlan不變，且在設定的時間段內再次收到來自該MAC地址的數據包時不再發起認證。

4、一旦端口狀態變為斷開連接，該端口上的認證立即失效，并回到guest-vlan狀態

由于基于MAC地址的AAA認證只用到了AAA的一小部分功能，AAA工作流程的具體細節這里不作過多論述。

相關設備的具體配置

配置RADIUS服務器

我院使用的RADIUS服務器是思科的CSACS-1121，ACS中安裝的軟件版本是5.2.0.26，由于不同的RADIUS服務器的具體配置方法不盡相同，但配置的關鍵步驟是一樣的，這里就以此環境用截圖的方式簡要說明ACS里所做的配置。

定義ACS的網絡配置，配置的IP地址既是后面接入交換機發送認證請求的目的IP，也是ACS本身的管理IP。如圖2所示。

把每一臺接入交換機定義為 AAA Clients，在我院的案例里，每個樓層的接入交換機為一個堆疊，邏輯上每個堆疊是一個交換機，如圖3所示。

同時為每個AAA Clients配置AAA認證使用的協議端口和共享密鑰，如圖4所示。

把每一個VLAN分別定義為一個Identity Group，在 這 里，每 個Identity Group的名稱用的是VLAN名，而描述用的是VLAN所對應的實際部門名稱，如圖5所示。

建立認證策略，為每一個Identity Group定義認證通過后賦予的VLAN ID，需要注意的是，思科的ACS里默認的Tag是用T:1，但是如果接入交換機不是思科的，而是其它別的品牌時，會要求Tag用T:0，好在當我們就設置為T:0時思科的交換機也可正常認證，如圖6、圖7所示。

圖2 定義ACS的網絡配置

圖3 定義交換機

圖4 配置共享密鑰

圖5 描述VLAN

圖6 建立認證策略

如圖8所示，調用認證策略。為每個MAC地址定義所屬VLAN，在這里，每個MAC地址就是一個user，user的用戶名和密碼均為小寫的、沒有分隔符的MAC地址，定義MAC地址所屬VLAN在這里就是配置user所屬的Identity Group，而在每個 user的描述里記錄了該MAC地址在資產部門登記的計算機使用人和固定資產卡號，這樣做的好處是，以后可以方便的通過檢索user的描述來通過使用人姓名或固定資產卡號查詢到對應的MAC地址及其所屬VLAN，如圖 9、10所示。

配置匯聚交換機

在匯聚交換機上把所有連接接入交換機的端口配置為trunk，并允許所有在ACS中定義了的各個VLAN通過。

配置接入交換機

把各個接入交換機到匯聚交換機的上聯口配置為trunk，并允許所有在ACS中定義了的各個VLAN通過。

我院的接入交換機使用的是思科的2960系列交換機,在這里就以思科2960為例來介紹基于MAC地址的動態VLAN的配置方法。

首先進行全局配置：

aaa new-model（啟 用AAA，使用全局配置命令）

aaa authentication login default local(在用telnet登錄本地的接入交換機時，不去找RADIUS做認證，而是做交換機本地的用戶名認證。這是為了防止在無法和RADIUS服務器通訊時造成不能登錄到交換機里做配置)

aaa authentication dot1x default group radius local（aaa 通過802.1x使用RADIUS認證服務，并使用交換機本地的用戶名去認證，在本案例里，交換機本地的用戶名和密碼同為端口上學習到的MAC地址）

a a a a u t h o r i z a t i o n network default group radius local（aaa通 過 RADIUS授權給網絡，使用的是交換機本地的數據庫，換言之，RADIUS返回的VLAN ID一定要是交換機里已經定義了的VLAN ID）

dot1x system-authcontrol（全局啟用802.1x認證）

圖7 建立認證策略

圖8 調用認證策略

圖9 查詢MAC地址和VLAN

圖10 查詢MAC地址和VLAN

圖11 認證過程

radius-server host a.b.c.d auth-port 1812 acct-port 1813 key cisco（指定RADIUS服務器的IP地址為a.b.c.d、認證端口為1812、授權端口為1813、安全密鑰為cisco）

然后是為需要配置為動態VLAN的端口開啟802.1x認證：

switchport mode access（交換機端口模式為access）

authentication event noresponse action authorize vlan 250（如果認證不能通過則該端口放入VLAN 250，這里的VLAN 250為guestvlan的VLAN ID）

authentication portcontrol auto（設置端口的802.1x狀態為auto，這里的auto狀態指的是端口可以通過使用802.1x來完成在認證狀態和未認證狀態之間的切換）

authentication periodic（開啟端口的802.1x重認證）

mab eap（配置端口的802.1x認證由交換機使用MAC地址作為客戶端身份標記，把MAC地址作為用戶名和密碼發送給RADIUS服務器）

dot1x pae authenticator（開啟端口上的dot1x認證功能）

dot1x timeout tx-period 4（設置交換機在啟動802.1x功能的端口上發送認證請求的間隔為4秒，如不設置，默認值為30秒）

dot1x timeout supptimeout 4（設定認證超時定時器的時長為4秒，如不設置，默認值為30秒）

通過以上配置我們就可以在ACS和接入交換機里看到如下認證成功的日志了。

在接入交換機里看到如下認證過程，顯示MAC地址74d4.3586.eaa9已通過認證：

在ACS里看到如下認證過程，其中綠色的記錄表示認證通過，深色的記錄表示認證未通過：，如圖11。

同時，要指出的是，基于MAC地址實現動態VLAN也有一些不可回避的缺點，具體如下：

1、必須有資產部門的配合

新購的計算機必須要登記網卡的MAC地址才能通過認證，報廢的計算機也需要資產部門通知IT部門在RADIUS服務器里手工刪除該計算機的MAC地址，如某臺計算機從一個部門轉入到另一個部門時，則需要網絡管理員在RADIUS服務器里修改該計算機的相關信息。

2、接入交換機學習到的MAC地址過多

由于每臺接入交換機到匯聚交換機的上聯端口上都要允許所有部門所屬VLAN的數據通過，每個VLAN的廣播數據包都將會到達所有的接入交換機，這在客觀上造成了每臺接入交換機都可能通過上聯端口學習到其他所有部門的所有計算機的MAC地址，這導致各個接入交換機的MAC地址表變得很龐大，而一般來說，接入交換機可支持的MAC地址數是有限的4096。如果網絡中的計算機數量突破了這個數量，就必須考慮對接入交換機做分組處理，每組交換機之間采用三層路由的方式通訊而不能用二層透傳的方式，各個部門所屬VLAN的ID在不同交換機組中為不同的VLAN ID，并為每組交換機分別部署一臺RADIUS服務器。這是另外的話題了，這里不做詳細討論了。

3、有時終端機不能通過DHCP獲得正確的IP地址

這是由于有時同時發起的認證請求過多，以至于認證過程延遲造成的，這種情況往往出現在早上剛到達上班時間的時候，由于這個時間段開機的計算機比較多，因而造成各個接入交換機發起的認證請求過多，以至接入交換機發起認證請求延遲或RADIUS服務器應答響應延遲。遇到這種情況的時候，通常的解決辦法是把網卡禁用然后再啟用，或者把網卡上的網線拔下再插上，通過這樣的動作可以讓交換機的這個端口重新發起認證。

4、RADIUS認證服務器是個單一故障點

如果RADIUS服務器出現故障不能正常工作的話，勢必造成所有的動態VLAN端口的計算機都處于guest-vlan，這將是災難性的后果，因此必須做好RADIUS服務器的數據備份工作和備機服務準備工作。

5、MAC地址是可以偽造的

盡管每塊網卡的MAC地址是唯一的，但在實際應用中，交換機端口上學習到的MAC地址卻未必就是真實的網卡MAC地址，這是由于我們可以在操作系統里手工的修改網卡工作時使用的MAC地址，而只有在不手工修改MAC地址的情況下，操作系統才會采用網卡自身真實的MAC地址來工作。在以MAC地址作為網絡準入認證的環境里，竊取到了一個可以通過驗證的MAC地址就等于竊取到了網絡準入的權力，這確實是這個解決方案里一個不可回避的缺陷。不過，如果網絡中同時有兩個相同的MAC地址在工作的話，這兩個相同MAC地址的計算機的網絡通訊都會出現不同程度的丟包現象，被盜用MAC地址的用戶會很快發現問題并反應給IT部門，而網絡管理員可以通過查看交換機端口的MAC地址列表很快找到竊取別人MAC地址的計算機的所在位置。

6、增加了接入交換機的負擔，影響到其它一些功能

在我院的案例里，如果對所有VLAN都開啟DHCP snooping的話，會直接導致各個接入交換機端口的認證失效而需要重新認證，而認證通過不久就又會再次失效，反復如此，使得網絡通訊變得極不穩定。所有廠家的接入交換機手冊里都沒有提及端口認證和DHCP snooping之間是否有什么沖突，實測的結果是，在所有端口都采用動態VLAN的情況下，每臺交換機上只對一或兩個VLAN開啟DHCP snooping是沒影響的，再多就會出問題。

7、不主動發數據包的設備不能通過認證

個別的設備接入網絡后始終不能通過認證，經檢查發現是由于這些設備不能主動向外發送數據包，而只能被動的響應，例如一些門禁的讀卡器，網卡不能設置為DHCP，只能手工配置靜態IP地址，這使得交換機端口上的認證不能被觸發。對于個別這樣的設備，只能無奈的回歸到為其配置靜態VLAN，好在這樣的情況很少。

還有一個有趣的現象值得一提。

當接入交換機品牌是安奈特的交換機時，如果在一個動態VLAN的端口上再接一個不可網管的小交換機，這個小交換機上分別接入兩個分屬不同VLAN的MAC地址的設備，這個時候會發現這兩個MAC地址都可以通過認證，而此時在這個動態VLAN的端口上兩個VLAN的數據同時都可以在這個端口做交換，這個端口同時屬于兩個VLAN了。不過，需要注意的是，不推薦這樣的做法。在實際應用中發現，如果在同一個配置了動態VLAN的端口上學習到了多個MAC地址，這時雖然每個MAC地址都可以分別通過認證，但此時這個端口的認證會變得很不穩定，時常會出現認證失效的現象。再者，由于接入交換機的動態VLAN端口一般會配置有spanningtree的portfast和BPDU guard，一旦端口上接的小交換機發送了BPDU包會導致這個端口被阻斷，一個比較可行的辦法是，在每個接入端口上配置port-security，讓每個接入端口只學習一個MAC地址。關于spanning-tree的話題可以另行參考相關的其它文章。

而當接入交換機是思科時，同樣是在一個802.1x端口上同時接入兩個分屬不同VLAN的MAC地址的設備，在默認情況下，思科交換機只讓在該端口上先學習到的那個MAC地址正常通過認證，并只對此來自此MAC地址的數據包做轉發，而另外的那個MAC地址無法被交換機學習到，因而不能正常通訊。如一定要讓多個MAC地址能在同一個dot1x端口上工作，就需要在此端口上加這樣一條配置：dot1x host-mode multi-host。

思科交換機此時的認證方法是僅由最先學習到的那個MAC地址發起認證，如認證成功，則此端口上的所有MAC地址都將處于該MAC地址所屬的VLAN，如認證失敗，則此端口進入guestvlan。而當成功認證的那個MAC地址離開該端口后，該端口將被置入guest-vlan，能否再次通過認證就要看之后最先學習到的MAC地址了。這樣的做法漏洞很明顯，并不值得采用。