基于8021X和DHCP的安全网络设计与实现.pdfVIP

!!!!△!!!!!!!!!!i垫!!!鱼墨基． 基于802．1X和DHCP的安全网络设计与实现 阙凌燕陈利跃顾伟敏 *E电力*度通镕十☆，*Ⅱ杭州310007) 摘要：奉文提女7通过802IX进行授权控制．利用DHCP分配IT地址，是活控制月，地址分配 的安空目蟮设计方案，在对802lX，DHCP技术夼绍的基础上，详自描述7镕安垒网蝽方案的目蝽 结构、岳全体系特性震认证过程。 是基于C／S结构面向端口的访问控制认证饰议．作 1概况 为二层协议不需要达到三层从而去除了冗余昂贵的多 随着电力网路的快速发展，尤其是电力局域嗣建 业务网关设备，有效降低了建网成率l通过组播实 设的日新月异，电力行业网上办公、网上业务处理已 现，有效解决了其他认证佛议突出的广播同题；它实 应用于日常工作的方方面面。电力局域网的大量建 现了认证流与业务流的彻底分离，从而更易于开展多 设、应用，在网络接^的灵活性、开放性上给电力企 业务，能有效保证同络安全。 业安全管理带来了新的课题，目前发生最多的安全事 2．2动态主机配置协议DHCP Protoc01) 件．太多是由于用户不合理的使用网络资源、随意更 DHCP(DynamicH瞅Contiguration 改IP地址造成网络冲突、移动办公随意接人等不确 是一十简化主机口地址分配管理的TCP／IP标准佛 定因素造成。因此建立安全灵括可有效防范的电力企 议，它作用于OSI基准模型的应用层，是C／S结构， 业安全同络成为电力lT管理者面临的重要挑战，电 在服务器端可根据阿络环境设置可用的lP地址．在 力1T管理者在网络建设中需要实现网络接人的灵活 作用域范围内，DHCP服务器把IP地址及相关的选 性，开放性，能对接人进行有效认证，对用户进行有 项设置传送给发出请求的客户端，而客户端在其 效管理。建立安垒的有教防范，杜绝不合理使用网络 TCP／IP属性中只需将口地址设置成“自动获取砰 资源、随意更改1P地址造成网络冲突、用户随意接 地址”，就会从服务器断自动收到合法的IP地址、 人等。构建一个安全高效的同络，需要根据同络实际 TCP／IP的配置参数及IP地址租用的时同长度等信 息。DHCP使阿络管理员可以集中管理一个网培IP 情况(如安全区域的划分，部署不同的m与MAC 资源系统，对网络中的m地址进行自动分配，免除 地址的管理策略)有效地管理IP地址和MAC地址， 克分考虑网络接人点控制，地址分配，资源管理利 了管理员人为分配和改变IP地址的工作，减少网络 用、授权访问等同厝．采用台理技术手段解决网络接 管理的工作量．DHCP可以动态的或永九的给主机分 人带来的安全隐患， 配IP地址，也可咀同收那些不用的或者分配使用时 针对上述网络建设需求，本文提出了基于 间到期的口地址．从而这些地址可以再分配给其他 用户使用。 802．1X和DHCP的安全网络设计方寰，该方案采用 802 lX和RADIUS认证服务器的授权控制，根据用 3网络设计实现 户不同动态分配交换机端口VLAN属性、ACL控 制，利用