摘要:我院校园网采用H3C网络设备组建,网络构架是采用RADIUS服务器对通过交换机接入的802.1x用户实现IP动态分配、认证授权计费,并在接入层交换机上实现ARP攻击防范,实现限速等,并限制用户端代理上网。从而实现构建安全校园网络目的,该文给出祥细的配置过程,包括AAA、radius、DHCP、ARP防治,并在最后给出INODE客户端防代理漏洞,突破代理限制简单实现。达到减少学生上网费用,引起学院管理部门及H3C厂家注意的目的。
关键词:802.1x;RADIUS;iNode
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)10-2310-04
校园网中有关拓扑如下图1所示:Switch2的端口E1/0/2,与802.1X USER相连,并进行认证,switch交换机与SWITCH2、WWW、MAIL、DNS、VOD、RADIUS服务器相连,SWITCH与RADIUS使用sharepwd密码换互报文, 8016和8017认证/授权、计费端口号,SWITCH向RADIUS服务器发送的用户名携带域名;用户认证时使用332107@teach为用户名。RADIUS服务器认证成功会下发VLAN 5。实现对VLAN 5的8021x用户计费,费用实现包月制,为60元/月,单月最大上网时数为120小时,交换机Switch为VLAN5的802.1x用户自动分配IP地址,交换机SWITCH2配置arp检测并对802.1x用户限速。
2 iMC RADIUS服务器设置
1)进入iMC管理平台,选中“业务”标签,单击“接入业务/接入设备配置”菜单,进入“接入设备配置”界面,单击“增加”按钮,进入“增加接入设备”页面,然后 在“共享密钥”文本框中设置与SWITCH交互报文的认证、计费共享密钥为“sharepwd”,“认证端口”“计费端口”两个文本框分别设置端口号“8016”和“8017”作为RADIUS服务器认证与计费使用;在“业务类型”下拉列表中选择“LAN接入业务”; 在“接入设置类型”下拉列表中选择“H3C”选项;“组网方式”下拉列表选择“不启用混合组网”;在“设备列表”栏中单击“选择”或“手工增加”按钮添加接入SWITCH的IP地址为192.168.1.2;最后单击“确定”按钮完成操作。
2)选取“业务”标签,单击“计费业务/计费策略管理”菜单,进入“计费策略管理”界面,然后单击“增加”进入“计费策略配置”页面。然后在“策略名称”文本框中输入计费策略名称“teachzhanghao”,在“计费策略模板”下拉列表中选择计费策略模板为“包月类型”;在“包月基本信息”栏中设置“按时长”计费、计费周期按“月”、周期固定费用为“60元”,在“包月使用量限制”栏中设置每月允许最大上网120小时。最后单击“确定”完成计费策略相关设置。
3)选取“业务”标签页,单击“接入业务/服务配置管理”菜单,进入“服务器配置管理”页面,单击“增加”按钮,进入“增加服务配置”页面。然后在“服务名”文本框中输入“teachzu”作为服务名、在“服务后缀”文本框中输入“teach”为域名。在“计费策略”下拉列表选择为“teachzhanghao”,在“下发VLAN”文本框中下发到VLAN 5;单击“确定”按钮完成服务器配置管理操作。
4)添加802.1x用户。选中“用户”标签页,单击“接入用户视图/所有接入用户”菜单,进入“接入用户列表”页面,单击“增加”进入“增加接入用户”页面 。在“用户姓名”栏中单击“选择”或者“增加用户”按钮添加用户名“kangruifeng”;在“帐号名”和“密码”两文本框中依次输入认证帐号“332107”和密码“kang;在“接入服务”栏中选取332107用户关联的接入服务为“teachzu”;然后单击”确定“按钮完成用户帐号设置,至此iMC RADIUS服务器相关配置全部完成。
3 iMC RADIUS与iNode互动配合实现防代理功能
iMC RADIUS和iNode客户端拔号软件联动配合实现防代理功能,RADIU服务器中的针对用户客户端配置“仅限iNode客户端”及“禁用代理服务器”等下图2所示的选项时,用户使用iNode身份认证成功后,iNode会对终端进行代理检查,多网卡检测, MAC地址修改检查,IP地址动静态获取都检查,如果发现用户有代理服务器行为或多网卡,或私自静态设置IP不是动态获取IP则提示用户并强制下线。
iMC RADIUS服务器端按上述方式设置完毕后,iNode拔号客户端软件会对正在上网的用户电脑进行代理、多网卡与IP及MAC是否修改检测,它通过监听网卡收发报文来完成,如果发现某一时间内网卡收到的报文与发送的报文内容一致,则可判定该终端启用了代理服务器,iNode会主动通知用户并强制其下线。这种方案对代理行为检测准确,但当用户使用BT,电驴,pplive等点到多点连接的软件,。因为这些软件的特点就是在下载数据时还会上传同样的数据,完全符合iNode的代理检测算法,inode会误报并强制用户下线,造成误报。但最新版本的iNode客户端己基本解决了这种代理错认问题。
9 小结
因iNode采用非标准协议的802.1x认证上网,故传统的路由器代理不能使用,在构建高校安全的校园网络中,建立802.1x客户端、网络设备与RADIUS服务器联动的安全配置手段己基本成熟,h3c inode客户端非标准协议也让传统路由器代理上网无法实现,inode软件开发人员的不经意的点疏忽,让学校投入具资打造的网络失去应用的目的与效果,希望能引起学院相关部门与H3C重视,反过来说,突破代理限制意味着减少学生的上网费用,也会积发了学生的安全攻防意识,培养学生的发现问题,解决问题的能力。