2024年4月17日发(作者：手机google地球破解版)

第39卷 第10期

2021年 10月

中图分类号:TP393.1

数字技术与应用

Digital Technology &Application

文献标识码:A

Vol.39 No.10

October 2021

2021年第 10 期

文章编号:1007-9416(2021)10-0043-03

DOI:10.19695/12-1369.2021.10.14

IP地址分配和用户权限控制的部署与优化

暨南大学网络与教育技术中心　陈国良　郑松奕

在校园网络中,为了网络管理和安全的需求,需要给

不同类型的用户配置不同的访问权限。管理员可以根据

不同用户权限来分配不同用户IP区间,对不同权限用户

进行源IP地址策略路由,从而达到对上网权限的控制。基

于DHCP协议的Option82网络权限管理方案可部署于需

动态分配网络参数的区域,利用DHCP协议的82号选项,

对不同接入点不同权限的同户进行定位,让DHCP服务

器根据不同定位的用户分配相应的网络参数,实现根据

IP地址对用户权限控制。针对开源系统稳定性不足的问

题,根据冗余设计理念,利用双机故障切换技术,将该方

案整体系统可用性提高到99.99%。

如IP、掩码、网关、DNS等必要的信息,同时根据网络管理

员的部署,可能同时交互相关的附加信息,即DHCP

Option信息。DHCP报文中含有一个或多个Option,该

Option在DHCP报文中为可变长的字段,Option中包含了

租约信息、报文类型等

[1]

。Option82又称为中继代理信息

选项(Relay Agent Information Option),是DHCP报

文中Option内容的一部分。

2 DHCP部署

DHCP服务器种类繁多,各有优缺点。Windows服务

器自带的DHCP软件有较直观易用的用户界面;ISC-

DHCPD是开源软件并安装于Linux、Unix操作系统有较

好的安全性;商业软件兼顾友好的用户界面与高可用,但

价格昂贵

[2]

。

2.1 DHCP双机部署

许多研究表明,ISC-DHCPD能很好地应用Option82

作判断后分配相应的网络参数,不少网络管理部门都成

功应用过此方案,取得了一定的成效,但方案中存在

DHCP服务器闪单点故障,实验证明可以采用Failover协

议保障DHCP服务高可用。

DHCP故障转移是一种机制,其中两个DHCP服务

器都配置为管理相同的地址池,以便它们可以共享该池

的分配租约的负载,并在网络中断的情况下为彼此提供

备份

[3]

。

2.2 系统高可用优化

配置Failover能避免单点故障风险,当一台服务器出

现故障,另一台服务器可以接管业务,给管理员预留了处

理故障的时间,但仍然不能成为一套健壮的系统,仍有一

定的改进空间。以下阐述采用自我监控、自我重启的方式

0 引言

.. All Rights Reserved.

互联网作为基础设施,在现代生活中发挥着重要的作

用。在高校,信息化和数字化早已渗透到学校教学、科研、

管理,数字化校园为学校教学和科研提供有力支持。随着

用户数量的不断增加,以及新技术的发展(如IPv6),给网

络管理带来新的挑战。在以往网络管理中,用户大多采用

固定IP地址的方法,对于用户而言,面临固定IP地址配置

比较复杂,IPv4地址枯竭问题,而且通常不能进行区域迁

移。为了简化用户网络接入的配置工作,提高网络管理效

率,当前大多采用DHCP方法来进行用户地址分配。

1 DHCP说明

DHCP(Dynamic Host Configuration Protocol)主

要用来动态提供配置参数给网络上的主机,是基于

BOOTP(BOOTstrap Protocol)的,它能使接入网络的设

备即插即用,无需人工干预即可实现网络参数的自动配

置。当有线网络设备插入网线或无线网络设备连上无线

网络后,首先通过该协议自动与DHCP服务器协商获取

收稿日期:2021-07-06

作者简介:陈国良(1984—),男,广东清远人,硕士,研究方向:网络管理、通信技术。

43

第 39 卷 数字技术与应用

图1 DHCP服务Stu10aCernet地址池统计图

Fig.1 Statistics of the DHCP service Stu10aCernet address pool

图2 DHCP程序重启日志截图

Fig.2 Screenshot of DHCP program

restart log

解决进程崩溃的办法。

每次ISC-DHCPD程序运行都会将当

.. All Rights Reserved.

前进程号更新到PID文件中,编写监控脚本

比对PID,即可探测出ISC-DHCPD程序是

否在运行状态中,如否则重启程序,并记录

到日志文件

[4]

。

监控与重启核心程序:

open(pid_f,$pid_file) || die ("Could

not open file");

$line=;

chomp $line;

$pid_num = $line;

close(pid_f);

system ("ps -x | grep /dhcpd/sbin/dhcpd >

$status_file") && printf "Can not run ps command!

n";

open(pid_f,$status_file) || die ("Could not open

file");

while ($line=){

chomp $line;

$cmd_line = $line;

44

图3 认证与DHCP分配网络参数流程图

Fig.3 Flow chart of authentication and DHCP allocation

of network parameters

if ( index($cmd_line,$cmd_dhcpd) > 0 ) {

$pid_num=0;

}

}

close(pid_f);

if ( $pid_num > 0 ) {

system ("echo $date restarting >> $fail_log");

system ("$run_filen") && die "Can not run

SH!n";

system ("echo $date restarted >> $fail_log");

}

改进后的DHCP服务运行效果如图1所示:

程序重启日志如图2所示:

上述数据表明,业务连续,监控程序实现了系统自愈,

陈国良 郑松奕:IP地址分配和用户权限控制的部署与优化

2021年第 10 期

改进方法取得良好的成效。

3 网络部署

3.1 大型网络中继部署

大型网络中实现DHCP配置网络参数,需要进行

DHCP中继,结合接入控制需要,选取在接入交换机中进

行用户认证与DHCP中继。原理如图3所示:

3.2 网络设备配置

接入交换机须支持DHCP Option82和802.1X认证,

认证系统须支持下发用户权限参数。802.1X认证和

DHCP Option82完美的结合起来,实现管理员可以控制

哪一类802.1X认证用户可以分配哪一类的IP地址,从而

精确地进行IP地址管理

[5]

。在认证系统配置“用户权限”参

数,用户认证成功后,交换机把认证系统下发的“用户权

限”参数和用户接入的Vlan ID信息作为Option82的

“Circuit ID”子选项信息传给DHCP Server,以便DHCP

Server能根据不同的“用户权限”参数按相应的配置策略

分配不同类型的IP,对不同权限用户进行源IP地址策略

路由和配置相应ACL实现对其上网权限的控制

[6]

。

交换机配置DHCP中继与Failover核心命令如下:

service dhcp

ip helper-address 192.168.8.2

ip helper-address 192.168.8.3

ip dhcp relay check server-id

ip dhcp relay information option dot1x

交换机配置接口vlan与认证核心命令如下:

interface FastEthernet 0/1

switchport access vlan 1100

ip access-group virus-firewall in

dot1x port-control auto

其中增加了防止私设DHCP服务器的配置:

ip access-list extended virus-firewall

deny udp any eq bootps any

permit ip any any

3.3 用户权限控制

通过认证系统记录的用户权限分配不同的网络参数,

进而控制用户访问权限。简述如下:

(1)未认证用户分配172.18.0.0/16地址块的网络参

数,只能访问用户自助服务平台,用于查看设置说明、下

载认证客户端、办理网络业务以及网络报障等。(2)A类用

户分配172.16.0.0/16地址块的网络参数,用于无限制互

联网资源访问。(3)B类用户分配172.24.0.0/16地址块的

网络参数,用于纯教学科研资源的访问,便于对特定群体

的网络行为管理。

经实验验证并在生产环境稳定运行数年,系统运行情

况良好。

4 结语

部署方案实现了不同权限的用户分配到对应的网络

参数,集中管理两万多用户的网络参数动态配置,减轻了

网络管理员的IP地址管理工作。通过优化,极大提升了系

统高可用性。

随着移动通信的发展,网络亦从有线走向无线,基于

权限的分配亦希望能用于无线网络,需要无线AP或无线

交换机的支持,这需要进一步的研究与探索。

引用

[1] Alexander S,Droms Options and BOOTP Vendor

Extensions[M].RFC2132,1997:3.

[2] Droms c Host Configuration Protocol [M].

RFC2131,1997:3.

[3] Patrick Relay Agent Information Option [M].

RFC3046,2001:1.

[4] International Federation of Library Association and

of Persons:national usages for entry

in catalogues[M].3rd :IFLA International Of-

fice for UBC,1997.

[5] 孙力芾,李生红.DHCP及Option82安全机制的原理与实现

[J].信息技术,2005(8):29-32.

[6] Setting Up DHCP Failover:A Basic Overview.[EB/OL][2012-

05-06]./article/AA-00502/0/A-Basic-

.

45

.. All Rights Reserved.