吴礼乐

（中国石油大学（北京）信息技术中心，北京 102249）

随着高校校园计算机网络规模的不断扩大、网络应用的不断丰富以及终端用户的不断增加，广大师生对互联网的依赖程度越来越高，网络管理工作越来越繁重，因此，高校计算机网络的安全接入管理尤为重要。采用在二层接入交换上配置MAC地址+端口的绑定策略，可以有效防止ARP病毒和网络攻击的干扰，采用在三层汇聚交换机上配置网关Web Portal重定向的认证策略，可以有效地对校园网用户上网行为进行记录日志，单一采用以上两种网络安全策略都无法很好地完整解决网络安全准入控制的问题。为了能比较全面地解决目前高校校园计算机网络存在的问题，需要在高校校园计算机网络上实施终端用户准入控制策略，对终端接入点进行计算机合法性检查和用户身份认证的双重准入控制，阻断非法终端的接入，对校园网终端用户行为进行审计和监控，确保校园校园计算机网络安全、可靠、高效地运行。近年来，通过在终端接入密集的学生宿舍区域实施MAC地址批量绑定和Portal认证的双重准入控制策略，取得了良好的成效。

1 MAC地址与交换机端口绑定技术

交换机绑定技术是一种既简单又安全的准入控制机制，通过交换机上的绑定功能，可以对端口转发的报文进行过滤控制。当端口接收到报文后查找绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。

目前交换机提供灵活的绑定策略，支持端口+MAC+IP的多元混合绑定策略。交换机端口与MAC地址的绑定，就是把交换机的某一个物理端口和下面所连接的电脑MAC地址绑定，这样即使有非法电脑偷偷地连接到这个端口上也是不能连接到局域网当中的。配置交换机端口和MAC地址绑定的好处是可以限制终端计算机可以接入哪个端口，不可以接入哪个端口。换句话说，通过配置交换机端口与MAC地址绑定的功能，可以解决非法用户修改MAC地址以适应静态ARP表的问题。使用交换机提供的端口地址过滤模式，即交换机的每一个端口只具有允许合法MAC地址的计算机通过该端口访问网络，任何来自其它非法MAC地址的计算机的访问将被拒绝，当一个未批准的MAC地址试图访问端口的时候，交换机会禁用该端口或者抛弃该MAC地址产生的报文。这样可以有效的防止ARP病毒的攻击,也有效地防止了内部网络某些人出于某些目的擅自修改自己MAC地址的行为。

2 汇聚交换机Portal重定向认证技术

三层汇聚交换机Portal认证技术是在三层vlan接口开启Portal重定向认证机制，由于不需要安装客户端软件，使用方便，在校园网的认证系统中起到重要作用。该认证技术由DHCPServer，Portal Server和 Radius Server设备配合完成，当用户未认证通过浏览器上网时，交换机强制自动重定向到Portal认证页面进行认证，只有认证通过后用户才可以使用互联网资源。通常，三层交换机Portal重定向认证的一次认证过程可以描述如下：

1)用户机器启动后，通过汇聚交换机上的DHCPServer获取到相应VLAN的DHCP池下的一个合法IP地址。

2)交换机根据该用户的IP地址、MAC地址以及所在的端口号等信息构造对应的表项信息，此时用户只能访问Portal Server，DNSServer和一些内部服务器，访问权限可以通过Portal ACL制定。

3)用户打开浏览器输入任何网址上网时，交换机Portal强制重定向到Portal Server认证页面进行认证，认证页面将用户输入的用户名、密码以及用户机器的IP地址、MAC地址等信息发送给Radius服务器。

4)Radius服务器获得用户名、密码、机器的IP地址和MAC地址之后，对用户进行合法性检查。

5)Radius服务器认证成功之后，给交换机发送认证成功报文，此时该用户就可以正常访问网关外网络。

3 MAC绑定和Portal认证的组网设计

1)总体架构设计

我校学生宿舍区域网络规模大，网络用户数量达12 000个，二层接入交换机采用的是北电425和2550T（已被AVAYA收购），三层汇聚交换机采用的是H3C 5800-32F，每栋学生楼接入交换机千兆光口上联至汇集交换机，汇聚交换机万兆上联至校园网络核心。当学生用户连接入网时，二层接入交换机端口检查该用户计算机MAC地址的合法性，如果是合法注册已交费的MAC地址，才允许计算机连接到三层汇聚交换机的DHCPServer动态获取IP地址，获取IP地址成功之后打开浏览器上网时会由汇聚交换机三层VLAN的Portal功能自动重定向到Portal+Radius服务器 （Portal服务器和Radius服务器做在同一台服务器上）进行认证，认证通过方可上网。架构设计如图1所示。

2)MAC批量绑定设计

学生宿舍接入交换机全部采用北电425和2550T，每天需要对注册交费用户或者变更网卡用户的计算机MAC地址进行端口绑定，但由于接入交换机及网络用户量庞大，在每台交换机上依靠telnet命令行或图形界面手动输入MAC绑定配置变得不现实，不仅工作量大而且极容易出错，为了解决这个问题，基于JAVA+SNMP开发了中国石油大学网络管理系统来实现北电交换机MAC批量绑定的功能，此绑定程序只需选择交换机端口号与MAC地址对应表文件（.txt文本文件）即可实现一键式导入全校学生计算机用户的MAC地址端口绑定的操作。通过交费系统导出交换机端口号与MAC地址对应表，表文件每行对应一个交换机端口和一个计算机MAC地址。导出交换机端口号与MAC地址对应表如图2所示。

图1 总体架构Fig.1 Overall architecture

图2 导出端口+MAC对应表Fig.2 Export port+MACtable

一键式批量导入MAC地址绑定如图3所示。

图3 MAC批量绑定Fig.3 MACbatch binding

3)Portal认证设计

采用H3C 5800作为学生宿舍区域汇聚层三层网关，每栋楼宇客户端通过网关DHCP Server获取到对应VLAN的IP地址之后，此时还无法访问网关外网络，只允许访问Portal服务器的认证页面和DNS服务器，当客户端打开浏览器输入任何网址上网时网关Portal功能会强制自动重定向到已建立好的Portal服务器认证页面进行认证，客户端输入用户名和密码进行认证成功之后才可访问网络，实现了客户端Portal安全准入认证。命令行实现如下：

//Radius和Portal服务器IP地址是192.168.1.1，连接口令均为123321

//DNSIP地址为10.200.1.1

//建立一个radius scheme为rs1

radius scheme rs1

primary authentication 192.168.1.1

primary accounting 192.168.1.1

key authentication 123321

key accounting 123321

user-name-format without-domain

//建立一个domain为dm1

domain dm1

authentication portal radius-scheme rs1

authorization portal radius-scheme rs1

accounting portal radius-scheme rs1

//应用dm1到默认域

domain default enable dm1

//建立一个portal重定向名为ps

portal server ps ip 192.168.1.1 key 123321 url http://192.168.1.1/portal.html

//添加域名服务器为免认证

portal free -rule 1 destination ip 10.200.1.1 mask 255.255.255.255

//在vlan 2三层接口下启用Portal重定向认证

interface vlan-interface 2

portal server portal_server method direct

4 结束语

针对校园网络的网络安全和准入控制问题，中国石油大学在学生宿舍区域使用了MAC批量绑定和Portal认证的双重准入控制方案，该方案已经应用了多年，有效解决当前校园网络中存在的安全、应用问题，为学生提供一个安全、高效的网络平台，事实证明此方案切实有效。

[1]黄荣.基于802.1x和Web Portal认证技术的校园网用户端点准入控制系统的设计及应用[J].福州大学学报：自然科学版，2008，36（5）:673-676.HUANG Rong.Design and applications of campus network user terminal access control system based on 802.1x and Web portal authentication techniques[J].Journal of Fuzhou University：Natural Science Edition，2008，36（5）:673-676.

[2]胡光民，柯立新.校园网络安全与准入身份认证[J].上海海洋大学学报，2010，19（2）:271-274.HU Guang-ming，KE Li-xin.Campus network security and accessauthentication[J].Journal of Shanghai Ocean University，2010，19（2）:271-274.

[3]李兴国，雷若寒.利用准入控制实现校园网的安全管理[J].微计算机信息，2008，24（12）:47-48,53.LI Xing-guo，LEI Ruo-han.Implement security management of campus network by admission control[J].Control&Auto，2008，24（12）:47-48,53.

[4]张鸿波，任志刚，肖静.MAC地址与交换机端口绑定方法的实践[J].中国数字医学，2007，2（7）:53-55.ZHANG Hong-bo，REN Zhi-gang，XIAO Jing.MAC Address and switch port binding method and practice[J].China Digital Medicine，2007，2（7）:53-55.

[5]白洁，徐金云，干陈明.使用绑定技术实现校园网ARP病毒的防治[J].科技传播，2011（1）:167-174.BAI Jie，XU Jin-yun，GAN Chen-ming.Use the bind techniques to realize campus network ARP the prevention and control of the virus[J].Public Communicationof Science&Technology，2011（1）:167,174.

[6]H3C White paper[EB/OL].http://www.h3c.com.cn/Service/Document_Center/Switches/Catalog/S5800/S5800/,2014.