8021X、動(dòng)態(tài)VLAN和DHCP技術(shù)在校園網(wǎng)中的應(yīng)用

1、802.1X、動(dòng)態(tài)VLAN和DHCP技術(shù)在校園網(wǎng)中的應(yīng)用摘要：本文首先針對(duì)學(xué)?，F(xiàn)階段需要解決的一系列問題找到使用 802.1x、動(dòng)態(tài)vlan和dhcp技術(shù)的實(shí)施方案，結(jié)合校園網(wǎng)絡(luò)中的實(shí) 際應(yīng)用對(duì)于該方案得以應(yīng)用，詳細(xì)介紹交換機(jī)和dhcp的具體配置。關(guān)鍵詞：802.1x動(dòng)態(tài)vlan dhcp服務(wù)器ip地址中圖分類號(hào):tp393文獻(xiàn)標(biāo)識(shí)碼：a文章編號(hào)：1007-9416 (2012) 11-0097-021、研究背景隨著高校教育信息化的快速推進(jìn)和發(fā)展，校園網(wǎng)的規(guī)模也日益擴(kuò) 大，需求也越來越復(fù)雜。校園網(wǎng)在發(fā)揮著重要信息傳遞、資源共享 和方便教學(xué)作用的同時(shí)，也面臨各種樣的問題。目前等待校園網(wǎng)解 決的問

2、題中，大多是由于沒有靈活的vlan技術(shù)出現(xiàn)不合理使用網(wǎng) 絡(luò)資源、病毒傳播而造成網(wǎng)絡(luò)擁塞；由于沒有動(dòng)態(tài)ip地址策略出 現(xiàn)隨意更改ip而造成網(wǎng)絡(luò)沖突；由于許多教師需要移動(dòng)教學(xué)、科 研和學(xué)生需要移動(dòng)學(xué)習(xí)、娛樂而要求網(wǎng)絡(luò)接入的靈活性、開放性而 帶來了新的矛盾組成。為了滿足師生員工對(duì)校園網(wǎng)新的需求，合理 有效的利用ip地址，配置動(dòng)態(tài)vlan、不設(shè)置冗余繁多的用戶認(rèn)證 賬號(hào)成為了一個(gè)急需解決的問題。為了解決上述出現(xiàn)的問題，學(xué)校校園網(wǎng)采用802.1x、動(dòng)態(tài)vlan和dhcp的技術(shù)。該技術(shù)利用802.1x和radius認(rèn)證服務(wù)器的授權(quán) 控制實(shí)現(xiàn)靈活機(jī)動(dòng)的域認(rèn)證，根據(jù)同一個(gè)用戶登陸賬號(hào)后綴域不 同，實(shí)現(xiàn)動(dòng)態(tài)分配

3、交換機(jī)端口 vlan屬性享用靈活的上網(wǎng)策略和安 全設(shè)置，利用交換機(jī)中的dhcp中繼功能轉(zhuǎn)入固定的dhcp服務(wù)器從 而實(shí)現(xiàn)了用戶ip動(dòng)態(tài)分配，滿足現(xiàn)階段的移動(dòng)辦公需求。2、相關(guān)技術(shù)簡(jiǎn)介802.1x認(rèn)證協(xié)議ieee 802. 1x是ieee為了解決基于端口的接入控制而定義的標(biāo) 準(zhǔn)，被稱為基于端口的訪問控制協(xié)議1。它由三部分構(gòu)成：客戶 端 supplicant system、認(rèn)證者系統(tǒng) authenticator system、認(rèn) 證服務(wù)系統(tǒng)authentication serversystem。通過對(duì)認(rèn)證系統(tǒng)即交 換機(jī)的端口 802.1x配置，端口處于受控狀態(tài) authen和unauthen。 在

4、認(rèn)證通過前，通道的狀態(tài)為unauthen，此時(shí)只能通過eapol的 802.1x認(rèn)證報(bào)文；認(rèn)證通過時(shí)，通道的狀態(tài)切換為authen，此時(shí) 從遠(yuǎn)端認(rèn)證服務(wù)器可以傳遞來用戶的信息，比如vlan、car參數(shù)、 優(yōu)先級(jí)、用戶的訪問控制列表等等；認(rèn)證通過后，用戶的流量就將 接受上述參數(shù)的監(jiān)管，可以通過dhcp中繼客戶端獲取ip。動(dòng)態(tài) vlan動(dòng)態(tài)vlan技術(shù)是交換機(jī)根據(jù)某個(gè)設(shè)定，將用戶自動(dòng)劃分到某個(gè) vlan。劃分動(dòng)態(tài)vlan的條件很多，即根據(jù)mac地址和不同的身份 認(rèn)證等。ieee 802.1x認(rèn)證基于用戶的vlan，則是根據(jù)交換機(jī)各 端口所連的計(jì)算機(jī)上當(dāng)前登錄的用戶，來決定該端口屬于哪個(gè) vlan。

5、2登陸的用戶使用同一登陸帳號(hào)加上不同的后綴來實(shí)現(xiàn)動(dòng) 態(tài)vlan，從而減少冗余的帳號(hào)。dhcp動(dòng)態(tài)主機(jī)配置協(xié)議 dhcp (dynamic host configuration protocol)是一個(gè)簡(jiǎn)化主機(jī)ip地址分配管理的tcp/ip標(biāo)準(zhǔn)協(xié)議，使網(wǎng)絡(luò)管理員可以集中管理一個(gè)網(wǎng)絡(luò)ip資源系統(tǒng)，對(duì)網(wǎng)絡(luò)中 的ip地址進(jìn)行自動(dòng)分配。dhcp中繼提供轉(zhuǎn)發(fā)功能給不能通過路由 器的dhcp廣播報(bào)文，使dhcp服務(wù)器能夠?yàn)椴辉谄湮锢碜泳W(wǎng)的dhcp 客戶端提供相應(yīng)的服務(wù)。dhcp中繼收到dhcp客戶端發(fā)來的請(qǐng)求報(bào) 文后，把收到該報(bào)文的地址填人報(bào)文再轉(zhuǎn)發(fā)，使dhcp服務(wù)器根據(jù) 收到的報(bào)文中的地址就可以確定需要分配的ip地址。33、可行的實(shí)施技術(shù)方案我校校園網(wǎng)以h3c設(shè)備為主：匯聚交換機(jī)為e5500、接入層交換 機(jī)為e528。服務(wù)器為基于windows的radius認(rèn)證服務(wù)器和搭建 linux系統(tǒng)的dhcp服務(wù)器。具體結(jié)構(gòu)件圖1。下面以我校的校園網(wǎng)認(rèn)證體系為例介紹802. 1x、動(dòng)態(tài)vlan和 dhcp技術(shù)在校園網(wǎng)中的應(yīng)用，這種方式可以在現(xiàn)有設(shè)備的基礎(chǔ)上提 供一種高效經(jīng)濟(jì)的接入控制。具體見圖2。vlan劃分有很多，現(xiàn)以辦公、教學(xué)和實(shí)驗(yàn)用途等用途