终端准入--DHCP准入实施方案.doc

1、DHCP准入解决方案陈涛 扣扣1204673254 0510-81018135一、需求背景1.1、为什么要用DHCP准入？内网的大多主机是通过DHCP方式获取IP, 但目前存在如下的一些问题:1、 终端主机通过DHCP方式接入网络没法对应到人;2、 终端主机接入内网没法强制安装合规软件;3、 有些终端主机私自乱设IP，私改IP/MAC地址，与核心设备发生地址冲突；4、 外来主机随意接入网络，不能区分访客与员工的访问权限；5、 内网访问日志无法审计到人；这些问题在DHCP的网络环境通过DHCP准入方式可以得到有效的解决。1.2、什么样的网络环境需要DHCP准入？1、对DHCP的网络环境, 管理要

2、求具有安全性和规范性；2、无线网络的环境，要求接入终端必须准入控制；3、大型网络管理比较分散，没法采用手动分配固定IP，但要求入网主机必须准入控制；4、一些网络环境，外来访客比较多的情况，要求入网主机实名上网；二、解决方案2.1、DHCP准入工作原理1、普通DHCP的工作原理DHCP是BOOTP的扩展，是基于C/S模式的，它提供了一种动态指定IP地址和配置参数的机制。这主要用于大型网络环境和配置比较困难的地方。DHCP服务器自动为客户机指定IP地址，它的配置参数使得网络上的计算机通信变得方便而容易实现了。DHCP使IP地址的可以租用，对于许多拥有许多台计算机的大型网络来说，每台计算机拥有一个I

3、P地址有时候可能是不必要的。租期从1分钟到100年不定，当租期到了的时候，服务器可以把这个IP地址分配给别的机器使用。客户也可以请求使用自己喜欢的网络地址及相应的配置参数。2、宝界DHCP准入原理 准入系统可以在各接口上广播域分别启动各自的DHCP服务；DHCP服务有两个地址池，分为工作网段DHCP和访客网段DHCP二种，终端主机首先获取访客DHCP服务分配的IP地址，经过实名认证及准入认证通过后，再次通过工作DHCP服务分配授权的内网IP地址。终端主机先获取到准入分配的访客网段的IP，网关指向准入设备, 并且获取的IP有租用时间，设置得很短，（如60s），在这个时间段内打开IE时, 准入会让

4、其跳转认证网页，通过实名/证书认证及内网管理软件等合规认证后，下一个租用周期准入设备会让这个主机获取到工作网段的IP，这时主机的网关指向到三层网关，不再指向准入网关。如该主机在隔离网段第一个租用时间没有完成认证过程，准入会再提示认证，直到认证成功。2.2、DHCP准入部署拓朴图网络拓朴结构网络拓朴说明：1、终端准入设备是旁路方式接在核心交换机上, 由于准入设备是多接口的，对于网段数不多的网络，可以一个接口管理一个VLAN，各网段分别接入准入设备的不同接口，各自进行准入控制。2、对于多VLAN的，可以采用核心交换机的TRUNK口接准入设备的一个接口，这样可以一个准入接口可以管理多个VLAN。实现

5、每个VLAN的准入控制。3、准入与核心交换机通过TELNET/SSH方式联动。4、汇聚层或接入层交换机启用DHCP Snooping +IP SOURCE GURARD或 DAI，DHCP Snooping有效防止网络中的非法DHCP服务。IP SOURCE GURARD或 DAI功能有效解决终端主机私自设置IP， 同时解决了内网中固定IP的服务器, 直接在交换机上建立合法的绑定表。2.3、启用DHCP准入，外来终端入网认证流程演示终端准入认证流程1、接入主机可以设置成固定IP地址或DHCP动态获得IP地址，一般建议服务器或特权主机设定为固定IP地址，其他主机动态分配IP地址。2、对于固定IP

6、地址的主机，系统检查其MAC地址、IP地址、主机名、网卡类型、对应交换机端口等信息，如果是非法主机，系统将阻止其入网。此类主机一般无需实名认证，或健康检查。3、对于固定IP地址的主机如果需要进行实名认证或桌面准入，需将接入终端的网关指向准入设备的接口地址。4、对于DHCP动态获取IP地址的主机，首先系统会临时分配一个隔离网段IP地址，允许它访问隔离网段服务器（例如：杀毒服务器、补丁服务器、实名认证服务器等）5、系统如果启动了实名认证模块，接入主机获取动态IP地址后，打开IE浏览器访问外网时，系统会自动推送实名认证网页，要求其输入管理员分配的用户名及密码，如果身份认证未通过，系统将不会分配内网I

7、P地址，接入终端也无法访问内网任何资源。如果身份认证通过，并且系统没有启动健康检查模块，接入主机将获取管理员分配的内网合法IP地址，根据【隔离】安全策略来确定接入终端访问内网应用服务器资源的权限。6、系统如果启动了健康检查/桌面管理模块，接入主机实名认证通过后，系统在其打开IE浏览器访问外网时，会自动推送健康检查/桌面管理客户端下载网页，当其安装完健康检查/桌面管理客户端后，接入主机将获取管理员分配的内网合法IP地址，根据【隔离】安全策略来确定接入终端访问内网应用服务器资源的权限。7、系统运行过程中，将自动收集当前限制主机、允许主机、离线主机、在线主机列表，每台主机当前使用MAC地址、IP地址

8、、组名/主机名、部门/用户名、接入交换机及端口号、接入时间等信息，管理员可实时查看到对应交换机上接入主机的信息，并可手动/自动关闭其端口，完全隔离非法主机。2.4、DHCP准入设置与工作流程2.4.1、DHCP准入基本参数设置【启用DHCP准入】 ：此复选框为DHCP准入总开关，相关网段是否启用准入，还需要在LAN接口属性中设置启用准入。2.4.2 DHCP服务配置在主界面分类树区，选择【网段】栏，在所有节点下选择要配置的网段对象，点击鼠标右键选择菜单【网段属性】设置如下【员工DHCP】及【访客DHCP】策略:启用DHCP服务：用来禁用或允许本网段DHCP服务。 系统主动扫描监控的网段对应的接

9、口地址DHCP服务配置DHCP服务分配指定的IP地址 DHCP分配用户指定的IP地址2.4.3 隔离网段安全策略配置隔离网段：接入终端用户以DHCP动态获取IP地址方式接入网络，系统首先判断接入终端是否属于已经定义的白名单节点，如果是，则分配固定IP地址。如果不是，并且系统选项中“验证通过后DHCP可以给客户端分配空闲的工作地址”为打勾状态，接入终端通过实名认证及桌面准入认证后，则系统为此接入终端分配员工DHCP地址范围内的IP地址。如果系统选项中“验证通过后DHCP可以给客户端分配空闲的工作地址”为不打勾状态，接入终端通过实名认证及桌面准入认证，则接入终端保持访客户DHCP服务分配的IP地址

10、不变，此时，我们把此状态的终端叫做进入“隔离网段”的接入终端。 对于未定义节点的用户，如果此处不打勾，系统将不为接入终端分配内网IP1、隔离网段访问设置1、此处为空时，隔离网段用户可访问任意网络主机，包括互联网网站。2、此处增加了指定IP地址或IP地址段，则隔离网段用户只能访问指定的IP地址或IP地址段的主机此处增加了指定IP地址或IP地址段，则隔离网段用户不能访问指定的IP地址或IP地址段的主机注：这里定义的是一台主机或一个子网，允许隔离网段主机访问。子网掩码为255.255.255.255表示一台主机, 子网掩码为255.255.255.0表示一个C类网段，其他类型网段可自定义。注：这里是

11、定义的是一个地址段的主机不允许访问。2、访问控制列表序号越小策略越优先执行，及序列号小的策略已经阻止的数据包，即使后面的策略放过，也无法通过；序列号小的策略已经通过的数据包，即使后面的策略阻止，也无法通过2.4.4、DHCP准入实名认证结合，解决私改IP、MAC的问题对本内段启用实名认证接入主机先分配到宝界准入控制系统指定的隔离网段：打开IE，自动跳转到实名认证、CA证书验证页面：如果需要实名认证的，选择实名登录，输入网管分配的实名用户帐号登录如果需要CA证书验证，选择相应的证书验证菜单选项，USB口插上分配到的CA证书。如该主机是第一次使用CA，需要安装相应的CA证书驱动，已安装过驱动的主机

12、可以直接验证。 至此，实名认证或CA证书验证通过后，该主机已能分配到工作网段，可以正常访问内网。 2.4.5、DHCP准入与强制安装第三方安全软件结合，将安全防护延伸至终端对本内段启用桌面准入(第三方安全软件)第三方安全软件以北信源为例：接入主机先分配到宝界准入控制系统指定的隔离网段：没有安装北信源客户端的自动跳转到提示安装界面北信源客户端安装注册认证至此，安装北信源客户端成功后，该主机已能分配到工作网段，可以正常访问内网。 2.5、与DHCP准入相关交换机相关配置在DHCP的网络环境中，为确保网络中的提供DHCP服务的合法服务器是唯一的，防止内网中存在其他DHCP服务； 在接入层交换机上做D

13、HCP Snooping +IP SOURCE GURARD或 DAI功能, 可阻止内网中其他非法DHCP服务，以及非法主机私自以静态IP方式接入网络。1、 只有交换机上信任的口的DHCP server才有效，其他的DHCP服务无效。2、 在交换机上建立一张DHCP的主机列表。3、 静态的IP通过手动直接在交换机做绑定。2.5.1、交换机DHCP SNOOPING功能一种DHCP安全特性，通过监听DHCP流量，来建立和维护一个DHCP Snooping Binding Database/Table,并且过滤untrusted DHCP消息。连接在交换机上的所有PC都配置为动态获取IP地址，PC

14、作为DHCP客户端通过广播发送DHCP请求，DHCP服务器将含有IP地址信息的DHCP回复通过单播的方式发送给DHCP客户端，交换机从DHCP报文中提取关键信息（包括IP地址，MAC地址，vlan号，端口号，租期等），并把这些信息保存到 DHCP 监听绑定表中。DHCP Snooping就像是运行在untrusted hosts与DHCP SERVER之间的一个firewall一样。使用DHCP Snooping可以将连接到end user的untrusted interfaces与连接到DHCP SERVER或其它switch的trusted interfaces区别开来。DHCP Snoo

15、ping的一个主要作用是确保DHCP Server的合法性，对不合法的DHCP Server进行隔离。2.5.2、交换机IPSG/DAI功能IP源防护(IP Source Guard，简称IPSG）：在华三、华为、锐捷等厂家的交换机内部有一个IP源绑定表（IP Source Binding Table）作为每个端口接受到的数据包的检测标准，只有在两种情况下，交换机会转发数据，其余数据包将被交换机做丢弃处理： 所接收到的IP包满足IP源绑定表中Port/IP/MAC的对应关系 所接收到的是DHCP数据包IP源绑定表可以由用户在交换机上静态添加，或者由交换机从DHCP监听绑定表（DHCP Snoo

16、ping Binding Table）自动学习获得。 静态配置是一种简单而固定的方式，但灵活性很差，因此建议用户最好结合DHCP Snooping技术使用IP Source Guard，由DHCP监听绑定表生成IP源绑定表。Dynamic ARP Inspection (DAI)：在思科交换机上提供IP地址和MAC地址的绑定， 并动态建立这种绑定关系。DAI 以 DHCP Snooping绑定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态添加绑定实现。DAI根据绑定表来检查mac地址和ip地址的合法性。DAI对于dhcp-snooping的绑定表中关于端口部分，是不做检测的;同时对

17、于已存在于绑定表中的mac和ip对应关系的主机，不管是dhcp获得，还是静态指定，只要符合这个表就可以了。如果表中没有就阻塞相应流量。ARP inspection只用来检测arp请求的，防止非法的ARP请求，对其他请求不进行检查，如果要检查其他请求，需要使用IP Source Guard。利用这个方法，将会使得静态指定IP的机器无法访问网络,防止用户任意修改IP地址，造成地址冲突的问题；另外DAI还可以解决ARP欺骗和中间人攻击。三、 常见问题3.1 DHCP准入的优缺点？答：DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。3.2 DHCP准入实施过程中有那些

18、注意点？答： 原有的DHCP服务改由准入设备提供, 交换机启用DHCP SNOOPING, +IP SOURCE GURARD或 DAI功能, 可阻止非法主机以静态IP方式接入网络。3.3 接入终端在隔离网段打开浏览器不能弹出身份认证网页？答：检查如下的配置:1、DHCP参数中DNS有无配置2、准入设备的缺省网关有无配置3、隔离策略，是否允许隔离网段访问浏览器打开的主机对应的IP地址。3.4 市场上有那些常见的其他DHCP准入产品？各自的优缺点？答：ACK, 盈高。DHCP准入控制与现有网络兼容性较好。但一般厂家的DHCP准入控制采用DHCP服务器与DHCP准入控制装置分离的控制方法，实施较难。宝界DHCP准入采用一体化DHCP准入控制，能够很好地解决普通DHCP准入控制的问题。