802.1X、动态VLAN和DHCP技术在校园网中的应用

摘要：本文首先针对学校现阶段需要解决的一系列问题找到使用802.1X、动态VLAN和DHCP技术的实施方案，结合校园网络中的实际应用对于该方案得以应用，详细介绍交换机和DHCP的具体配置。

关键词：802.1x 动态VLAN DHCP服务器 IP地址

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2012）11-0097-02

1、研究背景

随着高校教育信息化的快速推进和发展，校园网的规模也日益扩大，需求也越来越复杂。校园网在发挥着重要信息传递、资源共享和方便教学作用的同时，也面临各种样的问题。目前等待校园网解决的问题中，大多是由于没有灵活的VLAN技术出现不合理使用网络资源、病毒传播而造成网络拥塞；由于没有动态IP地址策略出现随意更改IP而造成网络冲突；由于许多教师需要移动教学、科研和学生需要移动学习、娱乐而要求网络接入的灵活性、开放性而带来了新的矛盾组成。为了满足师生员工对校园网新的需求，合理有效的利用IP地址，配置动态VLAN、不设置冗余繁多的用户认证账号成为了一个急需解决的问题。

为了解决上述出现的问题，学校校园网采用802.1x、动态VLAN和DHCP的技术。该技术利用　802.1X和RADIUS认证服务器的授权控制实现灵活机动的域认证，根据同一个用户登陆账号后缀域不同，实现动态分配交换机端口VLAN属性享用灵活的上网策略和安全设置，利用交换机中的DHCP中继功能转入固定的DHCP服务器从而实现了用户IP动态分配，满足现阶段的移动办公需求。

2、相关技术简介

2.1　802.1X认证协议

IEEE　802．1x是IEEE为了解决基于端口的接入控制而定义的标准，被称为基于端口的访问控制协议[1]。它由三部分构成：客户端Supplicant　System、认证者系统Authenticator　System、认证服务系统Authentication　ServerSystem。通过对认证系统即交换机的端口802.1X配置，端口处于受控状态　Authen和UNAuthen。在认证通过前，通道的状态为UNAuthen，此时只能通过EAPOL的802.1X认证报文；认证通过时，通道的状态切换为Authen，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等；认证通过后，用户的流量就将接受上述参数的监管，可以通过DHCP中继客户端获取IP。

2.2　动态VLAN

动态VLAN技术是交换机根据某个设定，将用户自动划分到某个VLAN。划分动态VLAN的条件很多，即根据MAC地址和不同的身份认证等。IEEE　802.1x认证基于用户的VLAN，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。[2]登陆的用户使用同一登陆帐号加上不同的后缀来实现动态VLAN，从而减少冗余的帐号。

2.3　DHCP

动态主机配置协议DHCP（Dynamic　Host　Configuration　Protocol）　是一个简化主机IP地址分配管理的TCP/IP　标准协议，使网络管理员可以集中管理一个网络IP资源系统，对网络中的IP地址进行自动分配。DHCP中继提供转发功能给不能通过路由器的DHCP广播报文，使DHCP服务器能够为不在其物理子网的DHCP客户端提供相应的服务。DHCP中继收到DHCP客户端发来的请求报文后，把收到该报文的地址填人报文再转发，使DHCP服务器根据收到的报文中的地址就可以确定需要分配的IP地址。[3]

3、可行的实施技术方案

我校校园网以H3C设备为主：汇聚交换机为E5500、接入层交换机为E528。服务器为基于WINDOWS的radius认证服务器和搭建Linux系统的DHCP服务器。具体结构件图1。

下面以我校的校园网认证体系为例介绍802．1x、动态VLAN和DHCP技术在校园网中的应用，这种方式可以在现有设备的基础上提供一种高效经济的接入控制。具体见图2。

VLAN划分有很多，现以办公、教学和实验用途等用途划分，见表格1。

表1　规划

4、交换机和服务器配置

4.1　交换机配置