基于DHCP的 校园网准入及无感知方案研究 作者 王道佳 马严 黄小红 北京邮电大学网络技术研究院
内容目录 01 背景 02 DHCP 准入 03 无感知 认证 04 实现效果
背景 针对问题: 提出思路: 传统认证系统的准入认证限制较大 802.1x等技术有硬件要求 Portal认证存在认证漏洞 基于DHCP的网络特性,利用其实现准入方案 从DHCP中提取数据形成接口,实现无感知认证
架构设计 DHCP模块 认证模块 网关 系统的基本网络结构上: 网络准入系统 DHCP模块 未认证 临时IP 认证过后发出指令更换IP 已认证 有效IP 认证模块 网关 通知放行 账号信息 系统的基本网络结构上: Web Portal认证服务和DHCP服务起在一台服务器上,合称为DHCP准入设备 其包含DHCP模块和认证模块 接入层交换机配置对应的隔离网段的网关地址和DHCP中继 用户均接入到接入层交换机上
模块解析 网络准入系统 1) 用户设备发起DHCP DISCOVER; 准入时序图 1) 用户设备发起DHCP DISCOVER; 2) DHCP检测当前MAC是否认证,如果未认证转至步骤3,已认证则转至步骤7; 3) 发出DHCP OFFER消息,分配一个认证前地址段的IP地址。 4) 用户重定向至准入部分Web的认证页 5) 认证失败,系统不响应;若认证成功,通知DHCP模块,将此IP和MAC的用户标记为已认证。 6) 30秒后客户端发起续约请求,此时若用户未认证则继续分配原认证前地址,并维持1分钟租约;若已认证转至步骤7 7) DHCP将分配认证后的地址给用户 1)用户设备接入网络,配置为DHCP,设备发起DHCP DISCOVER; 2)DHCP模块查询本地认证数据库,检测当前的MAC是否已认证,如果未认证转至步骤3,已认证则转至步骤7; 3)DHCP模块回复请求,发出DHCP OFFER消息,分配一个认证前地址段的IP地址,并将其网关地址指向准入设备,其地址租约仅为1分钟,同时将该IP和MAC记录。 4)用户侧接收到地址后,发出DHCP REQUEST消息。用户打开浏览器发起任何访问时都会被重定向至准入部分Web的认证页 5)若认证失败,系统不响应,用户下次请求地址时依然会分得认证前地址;若认证成功,则认证模块通知DHCP模块,将此IP和MAC的用户标记为已认证。 6)由用户侧的地址租期非常短,在50%时间也就是30秒后客户端发起续约请求,此时若用户未认证则继续分配原认证前地址,并维持1分钟租约;若已认证转至步骤7 7)用户已认证,DHCP将分配认证后的地址给用户,并设置其正常的租约时长和网关地址,以保证用户能正常上网。
模块解析 网络准入系统-无感知 特点: 无感知认证在网络认证中指的是,用户在第一次输入自己的认证信息之后,由网络中的DHCP准入系统记住该设备无感知可同时支持IPv4和IPv6 用户所在网络可以跨越三层 过程: 首次认证时,同前所述的DHCP准入方法一样。在认证通过后,DHCP模块记录下该用户的特征信息(MAC、Vendor Class identifier 及终端 fingerprint),以作为无感知认证的基础。 后续认证时,当用户接入请求分配IP地址时,DHCP模块查询本地数据库发现存在该用户的无感知记录,则直接将正常的认证后IP地址分配给该用户,使其拿到IP的同时就已通过了认证。
方案验证 环境: 环境由两台二层交换机,一台三层交换机,一个无线交换机,3台PC,1部移动终端和1台笔记本电脑组成。 配置: DHCP侧配置两个地址段: 隔离网段,如172.16.1.0/24, 正常网段,如10.10.1.0/24。 在用户侧的接入三层交换机上配置两个网关地址,让用户使用两个地址时都能够正常通过,同时配置策略172.16.1.0/24的地址只能访问认证模块。 测试环境图 实际效果
Thank You