终端准入--DHCP准入实施方案.doc

《终端准入--DHCP准入实施方案.doc》由会员分享，可在线阅读，更多相关《终端准入--DHCP准入实施方案.doc（21页珍藏版）》请在咨信网上搜索。

DHCP准入解决方案 陈涛 扣扣1204673254 0510-81018135 一、需求背景 1.1、为什么要用DHCP准入？ 内网的大多主机是通过DHCP方式获取IP, 但目前存在如下的一些问题: 1、 终端主机通过DHCP方式接入网络没法对应到人; 2、 终端主机接入内网没法强制安装合规软件; 3、 有些终端主机私自乱设IP，私改IP/MAC地址，与核心设备发生地址冲突； 4、 外来主机随意接入网络，不能区分访客与员工的访问权限； 5、 内网访问日志无法审计到人； 这些问题在DHCP的网络环境通过DHCP准入方式可以得到有效的解决。 1.2、什么样的网络环境需要DHCP准入？ 1、对DHCP的网络环境, 管理要求具有安全性和规范性； 2、无线网络的环境，要求接入终端必须准入控制； 3、大型网络管理比较分散，没法采用手动分配固定IP，但要求入网主机必须准入控制； 4、一些网络环境，外来访客比较多的情况，要求入网主机实名上网； 二、解决方案 2.1、DHCP准入工作原理 1、普通DHCP的工作原理 DHCP是BOOTP的扩展，是基于C/S模式的，它提供了一种动态指定IP地址和配置参数的机制。这主要用于大型网络环境和配置比较困难的地方。DHCP服务器自动为客户机指定IP地址，它的配置参数使得网络上的计算机通信变得方便而容易实现了。DHCP使IP地址的可以租用，对于许多拥有许多台计算机的大型网络来说，每台计算机拥有一个IP地址有时候可能是不必要的。租期从1分钟到100年不定，当租期到了的时候，服务器可以把这个IP地址分配给别的机器使用。客户也可以请求使用自己喜欢的网络地址及相应的配置参数。 2、宝界DHCP准入原理 准入系统可以在各接口上广播域分别启动各自的DHCP服务； DHCP服务有两个地址池，分为工作网段DHCP和访客网段DHCP二种，终端主机首先获取访客DHCP服务分配的IP地址，经过实名认证及准入认证通过后，再次通过工作DHCP服务分配授权的内网IP地址。 终端主机先获取到准入分配的访客网段的IP，网关指向准入设备, 并且获取的IP有租用时间，设置得很短，（如60s），在这个时间段内打开IE时, 准入会让其跳转认证网页，通过实名/证书认证及内网管理软件等合规认证后，下一个租用周期准入设备会让这个主机获取到工作网段的IP，这时主机的网关指向到三层网关，不再指向准入网关。 如该主机在隔离网段第一个租用时间没有完成认证过程，准入会再提示认证，直到认证成功。 2.2、DHCP准入部署拓朴图 网络拓朴结构 网络拓朴说明： 1、终端准入设备是旁路方式接在核心交换机上, 由于准入设备是多接口的，对于网段数不多的网络，可以一个接口管理一个VLAN，各网段分别接入准入设备的不同接口，各自进行准入控制。 2、对于多VLAN的，可以采用核心交换机的TRUNK口接准入设备的一个接口，这样可以一个准入接口可以管理多个VLAN。实现每个VLAN的准入控制。 3、准入与核心交换机通过TELNET/SSH方式联动。 4、汇聚层或接入层交换机启用DHCP Snooping +IP SOURCE GURARD或 DAI，DHCP Snooping有效防止网络中的非法DHCP服务。IP SOURCE GURARD或 DAI功能有效解决终端主机私自设置IP， 同时解决了内网中固定IP的服务器, 直接在交换机上建立合法的绑定表。 2.3、启用DHCP准入，外来终端入网认证流程演示 终端准入认证流程 1、接入主机可以设置成固定IP地址或DHCP动态获得IP地址，一般建议服务器或特权主机设定为固定IP地址，其他主机动态分配IP地址。 2、对于固定IP地址的主机，系统检查其MAC地址、IP地址、主机名、网卡类型、对应交换机端口等信息，如果是非法主机，系统将阻止其入网。此类主机一般无需实名认证，或健康检查。 3、对于固定IP地址的主机如果需要进行实名认证或桌面准入，需将接入终端的网关指向准入设备的接口地址。 4、对于DHCP动态获取IP地址的主机，首先系统会临时分配一个隔离网段IP地址，允许它访问隔离网段服务器（例如：杀毒服务器、补丁服务器、实名认证服务器等） 5、系统如果启动了实名认证模块，接入主机获取动态IP地址后，打开IE浏览器访问外网时，系统会自动推送实名认证网页，要求其输入管理员分配的用户名及密码，如果身份认证未通过，系统将不会分配内网IP地址，接入终端也无法访问内网任何资源。如果身份认证通过，并且系统没有启动健康检查模块，接入主机将获取管理员分配的内网合法IP地址，根据【隔离】安全策略来确定接入终端访问内网应用服务器资源的权限。 6、系统如果启动了健康检查/桌面管理模块，接入主机实名认证通过后，系统在其打开IE浏览器访问外网时，会自动推送健康检查/桌面管理客户端下载网页，当其安装完健康检查/桌面管理客户端后，接入主机将获取管理员分配的内网合法IP地址，根据【隔离】安全策略来确定接入终端访问内网应用服务器资源的权限。 7、系统运行过程中，将自动收集当前限制主机、允许主机、离线主机、在线主机列表，每台主机当前使用MAC地址、IP地址、组名/主机名、部门/用户名、接入交换机及端口号、接入时间等信息，管理员可实时查看到对应交换机上接入主机的信息，并可手动/自动关闭其端口，完全隔离非法主机。 2.4、DHCP准入设置与工作流程 2.4.1、DHCP准入基本参数设置 【启用DHCP准入】 ：此复选框为DHCP准入总开关，相关网段是否启用准入，还需要在LAN接口属性中设置启用准入。 2.4.2 DHCP服务配置 在主界面分类树区，选择【网段】栏，在所有节点下选择要配置的网段对象，点击鼠标右键选择菜单【网段属性】设置如下【员工DHCP】及【访客DHCP】策略: 启用DHCP服务：用来禁用或允许本网段DHCP服务。 系统主动扫描监控的网段对应的接口地址 DHCP服务配置 DHCP服务分配指定的IP地址 DHCP分配用户指定的IP地址 2.4.3 隔离网段安全策略配置 隔离网段：接入终端用户以DHCP动态获取IP地址方式接入网络，系统首先判断接入终端是否属于已经定义的白名单节点，如果是，则分配固定IP地址。如果不是，并且系统选项中“验证通过后DHCP可以给客户端分配空闲的工作地址”为打勾状态，接入终端通过实名认证及桌面准入认证后，则系统为此接入终端分配员工DHCP地址范围内的IP地址。如果系统选项中“验证通过后DHCP可以给客户端分配空闲的工作地址”为不打勾状态，接入终端通过实名认证及桌面准入认证，则接入终端保持访客户DHCP服务分配的IP地址不变，此时，我们把此状态的终端叫做进入“隔离网段”的接入终端。 对于未定义节点的用户，如果此处不打勾，系统将不为接入终端分配内网IP 1、隔离网段访问设置 1、此处为空时，隔离网段用户可访问任意网络主机，包括互联网网站。 2、此处增加了指定IP地址或IP地址段，则隔离网段用户只能访问指定的IP地址或IP地址段的主机 此处增加了指定IP地址或IP地址段，则隔离网段用户不能访问指定的IP地址或IP地址段的主机 注：这里定义的是一台主机或一个子网，允许隔离网段主机访问。 子网掩码为255.255.255.255表示一台主机, 子网掩码为255.255.255.0表示一个C类网段，其他类型网段可自定义。 注：这里是定义的是一个地址段的主机不允许访问。 2、访问控制列表 序号越小策略越优先执行，及序列号小的策略已经阻止的数据包，即使后面的策略放过，也无法通过；序列号小的策略已经通过的数据包，即使后面的策略阻止，也无法通过 2.4.4、DHCP准入实名认证结合，解决私改IP、MAC的问题 对本内段启用 实名认证 接入主机先分配到宝界准入控制系统指定的隔离网段： 打开IE，自动跳转到实名认证、CA证书验证页面： 如果需要实名认证的，选择实名登录，输入网管分配的实名用户帐号登录 如果需要CA证书验证，选择相应的证书验证菜单选项，USB口插上分配到的 CA证书。如该主机是第一次使用CA，需要安装相应的CA证书驱动，已安装过驱动的主机可以直接验证。 至此，实名认证或CA证书验证通过后，该主机已能分配到工作网段，可以正常访问内网。 2.4.5、DHCP准入与强制安装第三方安全软件结合，将安全防护延伸至终端 对本内段启用 桌面准入(第三方安全软件) 第三方安全软件以北信源为例： 接入主机先分配到宝界准入控制系统指定的隔离网段： 没有安装北信源客户端的自动跳转到提示安装界面 北信源客户端安装注册认证 至此，安装北信源客户端成功后，该主机已能分配到工作网段，可以正常访问内网。 2.5、与DHCP准入相关交换机相关配置 在DHCP的网络环境中，为确保网络中的提供DHCP服务的合法服务器是唯一的，防止内网中存在其他DHCP服务； 在接入层交换机上做DHCP Snooping +IP SOURCE GURARD或 DAI功能, 可阻止内网中其他非法DHCP服务，以及非法主机私自以静态IP方式接入网络。 1、 只有交换机上信任的口的DHCP server才有效，其他的DHCP服务无效。 2、 在交换机上建立一张DHCP的主机列表。 3、 静态的IP通过手动直接在交换机做绑定。 2.5.1、交换机DHCP SNOOPING功能 一种DHCP安全特性，通过监听DHCP流量，来建立和维护一个DHCP Snooping Binding Database/Table,并且过滤untrusted DHCP消息。连接在交换机上的所有PC都配置为动态获取IP地址，PC作为DHCP客户端通过广播发送DHCP请求，DHCP服务器将含有IP地址信息的DHCP回复通过单播的方式发送给DHCP客户端，交换机从DHCP报文中提取关键信息（包括IP地址，MAC地址，vlan号，端口号，租期等），并把这些信息保存到 DHCP 监听绑定表中。 DHCP Snooping就像是运行在untrusted hosts与DHCP SERVER之间的一个firewall一样。使用DHCP Snooping可以将连接到end user的untrusted interfaces与连接到DHCP SERVER或其它switch的trusted interfaces区别开来。DHCP Snooping的一个主要作用是确保DHCP Server的合法性，对不合法的DHCP Server进行隔离。 2.5.2、交换机IPSG/DAI功能 IP源防护(IP Source Guard，简称IPSG）：在华三、华为、锐捷等厂家的交换机内部有一个IP源绑定表（IP Source Binding Table）作为每个端口接受到的数据包的检测标准，只有在两种情况下，交换机会转发数据，其余数据包将被交换机做丢弃处理： ü 所接收到的IP包满足IP源绑定表中Port/IP/MAC的对应关系 ü 所接收到的是DHCP数据包 IP源绑定表可以由用户在交换机上静态添加，或者由交换机从DHCP监听绑定表（DHCP Snooping Binding Table）自动学习获得。 静态配置是一种简单而固定的方式，但灵活性很差，因此建议用户最好结合DHCP Snooping技术使用IP Source Guard，由DHCP监听绑定表生成IP源绑定表。 Dynamic ARP Inspection (DAI)：在思科交换机上提供IP地址和MAC地址的绑定， 并动态建立这种绑定关系。DAI 以 DHCP Snooping绑定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态添加绑定实现。DAI根据绑定表来检查mac地址和ip地址的合法性。DAI对于dhcp-snooping的绑定表中关于端口部分，是不做检测的;同时对于已存在于绑定表中的mac和ip对应关系的主机，不管是dhcp获得，还是静态指定，只要符合这个表就可以了。如果表中没有就阻塞相应流量。ARP inspection只用来检测arp请求的，防止非法的ARP请求，对其他请求不进行检查，如果要检查其他请求，需要使用IP Source Guard。利用这个方法，将会使得静态指定IP的机器无法访问网络,防止用户任意修改IP地址，造成地址冲突的问题；另外DAI还可以解决ARP欺骗和中间人攻击。 三、 常见问题 3.1 DHCP准入的优缺点？ 答：DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。 3.2 DHCP准入实施过程中有那些注意点？ 答： 原有的DHCP服务改由准入设备提供, 交换机启用DHCP SNOOPING, +IP SOURCE GURARD或 DAI功能, 可阻止非法主机以静态IP方式接入网络。 3.3 接入终端在隔离网段打开浏览器不能弹出身份认证网页？ 答：检查如下的配置: 1、DHCP参数中DNS有无配置 2、准入设备的缺省网关有无配置 3、隔离策略，是否允许隔离网段访问浏览器打开的主机对应的IP地址。 3.4 市场上有那些常见的其他DHCP准入产品？各自的优缺点？ 答：ACK, 盈高。DHCP准入控制与现有网络兼容性较好。但一般厂家的DHCP准入控制采用DHCP服务器与DHCP准入控制装置分离的控制方法，实施较难。宝界DHCP准入采用一体化DHCP准入控制，能够很好地解决普通DHCP准入控制的问题。