基于MAC批量绑定与Portal认证的双重准入控制的设计及应用.pdfVIP

第 23卷 第 5期 电子设计工程 2015年 3月 V01．23 No．5 ElectronicDesignEngineering Mar．2015 基于MAC批量绑定与Portal认证的双重准入控制 的设计及应用 吴礼 乐 (中国石油大学(北京)信息技术 中心 ，北京 102249) 摘要 ：针对高校校 园计算机 网络的网络安全和准入控制 ，通过在二层交换机上配置 MAC地址+端 口的批量绑定和在三 层交换机上启动 网关 Portal重定向认证 的双重准入控制 ，有效地控制 了非法用户的接入 ，防止 了ARP病毒的入侵 ，实 现 了校 园宿舍 区域 网络终端用户的安全准入控 制。本文 以北 电和华三的设备配置为例介 绍了具体的设计和配置。 关键词 ：MAC；批量绑定 ；Portal认证 ；准入控制 ；ARP 中图分类号 ：TN915．08 文献标识码 ：A 文章编号 ：1674—6236(2015)05—0044—03 DesignandapplicationofdoubleaccesscontrolbasedonMAC batchbindingand Portalauthentication WU Li—l0 (InformationTechnologyCenter,ChinaUne~ti@ofPetrolium，Beoing102249，China) Abstract：Pointedatthesecurityandaccesscontrolonuniversitycampuscomputernetwork，throughbatchbindingofMAC addressandportinthetwolayerswitchandPortalredirectauthenticationinthethreelayerswitch,itcancontroltheaccessof unauthorizedusers,preventtheinvasionoftheARPvirus,realizethesecurityaccesscontrolonnetworkterminalusersofcampus dormXhisarticleequipmentsconfigurationtoNortelandH3Casanexampletointroducetheconcretedesignandconfiguration． Keywords：MAC；batchbinding；Portalauthentication；accesscontrol；ARP 随着高校校园计算机网络规模 的不断扩大 、网络应用的 过滤控制。当端 口接收到报文后查找绑定表项，如果报文 中 不断丰富以及终端用户的不断增加 ，广大师生对互联网的依 的特征项与绑定表项 中记录 的特征项 匹配 ，则端 口转发该报 赖程度越来越高，网络管理工作越来越繁重 ，因此 ，高校计算 文 ．否则做丢弃处理。 机 网络的安全接入管理尤为重要 。采用在二层接入交换上配 目前交换机提供灵活的绑定策略．支持端 口+MAC+IP的多 置 MAC地址+端VI的绑定策略 ，可 以有效防止 ARP病毒和 网 元混合绑定策略。交换机端 口与 MAC地址的绑定，就是把交 络攻击 的干扰 ．采用在三层汇 聚交换机上配置 网关 Web 换机 的某一个物理端 口和下面所连接的电脑 MAC地址绑定 ， Portal重定 向的认证策略 ，可以有效地对校园网用户上 网行为 这样 即使有非法电脑偷偷地连接到这个端 口上也是不能连接 进行记录 日志 ．单一采用 以上两种网络安全策 略都无法很好