构建安全可靠的园区网络

医学信息２００７年７月第２０卷第７期Ｍｅｄｉｃａｌ　Ｉｎｆｏｒｍａｔｉｏｎ．Ｊｕ１．２００７．Ｖｏ１．２０．Ｎｏ．７　４　２解决了中文期刊资源收藏不全的问题　目前每个图书馆都面临着书刊价格上调与经费紧张的　护人员在医疗、教学、查房时不受空间、时间的限制，足不出　科就能随时查阅所需的资料。　问题，期刊资源采购受到影响。医院信息服务系统解决了中　文期刊资源收藏不全的问题，它包括了１９９４以来的３０００余　种中文期刊原文。　４　３解决了医护人员时间紧、工作忙无暇光顾图书馆的问题　信息资源通过我院局域网传输到各个科室和病区，使医　４　４为各级、各类人员提供信息服务　该数据库覆盖管理、情报、预防、信息、医技等各个专业　的信息，为各级、各类人员提供信息服务，对医院管理水平和　服务水平的提高起到重要的作用。　编辑／任鸿兰　构建安全可靠的园区网络　许卫中，张毅，许浩，高东怀　（第四军医大学网络中心，陕西西安７１００３２）　摘要：本文通过对ＩＥＥＥ　８０２．１ｘ认证技术和ＶＬＡＮ划分的介绍．分析利用８０２．１ｘ和Ｖ－ＬＡＮ构建园区网用户网络身份认证系统　的优缺点，得出８０２．１ｘ认证技术＋Ⅵ．ＡＮ＋ＤＨｃＰ的园区网构建模式具有安全、可靠、方便控制管理等特性，它将是构建安全可　靠园区网络的首选方式。　关键词：认证技术：８０２．１ｘ；ＶＬＡＮ；ＤＨＣＰ　Ｃｏｎｓｔｒｕｃｔｉｏｎ　Ａ　Ｓａｆｅ　ａｎｄ　Ｒｅｌｉａｂｌｅ　Ｃａｍｐｕｓ　Ｎｅｔｗｏｒｋ　ＸＵ　Ｗｅｉ－ｚｈｏｎｇ，ＺＨＡＮＧ　Ｙｉ，ＸＵ　Ｈａｏ，ＧＡＯ　Ｄｏｎｇ－ｈｕａｉ　（Ｎｅｔｗｏｒｋ　Ｃｅｎｔｒｅ　ｏｆ　ｔｈｅ　４　Ｍｉｌｉｔａｒｙ　Ｕｎｉｖｅｒｓｉｔｙ，ｘｉ＇ａｎ　７　１００３２，Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ：Ｔｈｒｏｕｇｈ　ｔｈｅ　ｎｔｉｒｏｄｕｃｉｔｏｎ　ｏｆ　ｈｅ　ｔａｕｔｈｅｎｔｉｃａｔｅｄ　ｔｅｃｈｎｏｌｏｇｙ　ｏｆ　ＩＥＥＥ　８０２．１ｘ　ａｎｄ　ｈｅ　ｔｄｉｖｉｓｉｏｎ　ｏｆ　ＶＬＡＮ，ｔｈｒｏｕｇｈ　ｔｈｅ　ａｎａｌｙｓｓｉ　ｏｆ　ｈｅ　ａｄｖａｔｎｔａｇｅｓ　ａｎｄ　ｄｉｓａｄｖａｎｔａｇｅｓ　ｏｆ　ｈｅ　ｉｔｄｅｎｔｉｔｙ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ｓｙｓｔｅｍ　ｏｆ　ｔｈｅ　ｕｓｅｒｓ　ｏｆ　ｈｅ　ｃａｍｐｕｓ　ｎｅｔｗｏｒｋ　ｂｙ　ｕｔｔｉｌｉｚｉｎｇ　８０２．１ｘ　ａｎｄ　ＶＬＡＮ，ｔｈｅ　ａｕｔｈｏｒｓ　ｒｅａｃｈ　ｔｈｅ　ｃｏｎｃｌｕｓｉｏｎ　ｔｈａｔ　ｔｈｅ　ｃｏｎｓｔｒｕｃｔｉｏｎ　ｍｏｄｅｌ　ｏｆ　ｃａｍｐｕｓ　ｎｅｔｗｏｒｋ，ｔｈｅ　ａｕｔｈｅｎｔｉｃａｔｅｄ　ｔｅｃｈｎｏｌｏｇｙ　８０２．１ｘ＋　ＶＬＡＮ＋ＤＨＣＰ，ｉｓ　ｓｅｃｕｒｅ，ｒｅｌｉａｂｌｅ　ａｎｄ　ｅａｓｙ　ｔＯ　ｃｏｎｔｒｏｌ　ａｎｄ　ｍａｎａｇｅ．Ｉｔ　ｗｉｌｌ　ｂｅ　ｏｎｅ　ｏｆ　ｔｈｅ　ｍｏｓｔ　ｓｃｉｅｎｔｉｉｃ　ｍｏｄｅｌｆｓ　ｆｏｒ　ｓｄｅｃｔｉｏｎ　ｉｎ　ｃｏｎ－　ｓｔｒｕｃｔｉｎｇ　ａ　ｓａｆｅ　ａｎｄ　ｒｅｌｉａｂｌｅ　ｃａｍｐｕｓ　ｎｅｔｗｏｒｋ．　Ｋｅｙ　ｗｏｒｄｓ：ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ｔｅｃｈｎｏｌｏｇｙ；８０２．１ｘ；ＶＬＡＮ；ＤＨＣＰ　１引言　认证体系结构进行优化，不但可以有效限制非法用户、ＩＰ地　址盗用等方面的问题，而且解决了传统ＰＰＰｏＥ和Ｗｅｂ／Ｐｏｒｔａｌ　认证方式带来的网络瓶颈和高成本问题；ＶＬＡＮ的划分即可　以有效解网络病毒的影响，又可以提高网络系统的可靠性和　安全性。因此，在ＶＬＡＮ划分的基础上，使用ＩＥＥＥ　８０２．Ｉｘ协　议配合ＤＨＣＰ服务构建校园网络就成为当前校园网建设的　一随着网络技术的飞速发展，网络用户的数量急剧增加，　各种网络应用系统也逐渐普及，这就使得网络的安全性、高　效性及其可靠性问题Ｅｔ益突出，如何构建一个安全可靠的园　区网络，就成为当前网络发展中面临的一个重要问题。　原始的直接接人方式存在ＩＰ地址盗用、非法用户、网络　病毒泛滥等多种问题；传统认证方式对校园网中大数量数据　包繁琐的处理造成了网络传输瓶颈，通过增加其他网络设备　来解决传输瓶颈的问题又势必造成网络成本的提升，这些均　无法满足校园网对网络安全性、高效性和可靠性的要求。　８０２．Ｉｘ协议的应用和ＶＬＡＮ的划分却可以很好的满足　校园网络在这些方面的需求。８０２．Ｉｘ协议通过对认证方式和　收稿日期：２００７—０４—２３　个热点。　２　ＩＥＥＥ　８０２．１ｘ工作机制　２．１　８０２．１ｘ认证系统结构【　１　ＩＥＥＥ　８０２．Ｉｘ协议又名基于端口的访问控制协议（Ｐｏｒｔ　Ｂａｓｅｄ　Ｎｅｔｗｏｒｋ　Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ　Ｐｒｏｔｏｃｏ１），是由（美）电气与电子工程师　协会提出，并且完成标准化的一个符合ＩＥＥＥ　８０２协议集的　维普资讯 http://www.cqvip.com

医学信息２００７年７月第２Ｏ卷第７期Ｍｅｄｉｃａｌ　Ｉｎｆｏｒｍａｔｉｏｎ．Ｊｕ！．２００７．Ｖｏ１．２０．Ｎｏ．７　局域网接入控制协议。它能够在利用ＩＥＥＥ　８０２局域网优势　的ＶＬＡＮ；其他两种划分方法的代价较大，一般不常使用。　３．２　ＶＬＡＮ的特点　的基础上提供一种对连接到局域网的用户进行认证和授权　的手段，达到了接受合法用户接入，保护网络安全的目的。　ＩＥＥＥ　８０２．１ｘ协议的体系结构包括三个重要的部分闭：①Ｓｕｐ—　ｐｌｉｅａｎｔ　Ｓｙｓｔｅｍ用户接入设备；＠）Ａｕｔｈｅｎｔｉｃａｔｏｒ　Ｓｙｓｔｅｍ接入控　划分ＶＬＡＮ最主要的目的就是方便网络的管理、提高网　络的灵活性、安全性、可靠性。ＶＬＡＮ的特点具体如下：①在同　一ＶＬＡＮ中的用户可以像在同一ＬＡＮ上一样通信，实现了　制单元；③Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｓｅｒｖｅｒ　Ｓｙｓｔｅｍ认证服务器。　用户接入设备：一般为用户终端系统，该终端系统通常需　逻辑工作组。提高网络系统的灵活性。②禁止各ＶＬＡＮ之间　的广播包的传播，提高网络系统的可靠性。③一个ＶＬＡＮ的　要安装一个客户端软件，通过该客户端软件启动ＩＥＥＥ　８０２．　１ｘ协议的认证过程。由于接入层设备与客户端通过ＥＡＰＯＬ　协议进行通信，因此客户端必须支持ＥＡＰＯＬ协议。　接入控制单元：通常为支持ＩＥＥＥ　８０２．Ｉｘ协议的网络设　备，在以太网系统中是指认证交换机。认证交换机的端口分　为非授权端口和授权端口两种模式。非授权端口始终处于双　向连通状态，主要用来传递ＥＡＰＯＬ协议帧，保证Ｓｕｐｐｌｉｃａｎｔ　始终可以传送或接收认证；授权端口只有在认证通过后才打　开，用于传递网络资源和服务。其主要作用是通过非授权端　口完成用户认证信息的上传、下达工作，并根据认证的结果　打开或关闭授权端口，是客户与人证服务器之间的认证代　理。　认证服务器：典型的为ＲＡＤＩＵＳ服务器，该服务器可以存　储用户的有关认证信息。其主要功能是通过检验客户端发送　来的身份标识（用户名和口令）来判别用户是否有权使用网　络系统提供的网络服务，并根据认证结果向交换机发出打开　或保持端口关闭的状态。　２．２　８０２．１ｘ系统特点　８０２．１ｘ认证方式的控制与交换相分离，一旦认证通过，　所有的业务流量就和认证系统分开，有效的解决了网络瓶颈　问题；其次，８０２．Ｉｘ协议为二层协议，不需要到达三层，对设　备的整体性能要求不高，可以有效降低建网成本，业务报文　直接承载在正常的二层报文上；再次，用户通过认证，参数设　置完成后，交换机对网络流量不做过多的干预，业务流和认　证流实现分离，对后续的数据包处理没有特殊要求，较好地　实现了合理成本下的”可运营，可管理”。　３　ＶＬＡＮ概念　３．１　ＶＬＡＮ的划分　ＶＬＡＮ就是虚拟局域网，ＶＬＡＮ的划分办法就是将交换　机的以太网口根据不同的规则划分为若干分组，使得处于同　一分组的用户可以象在同—个局域网内一样进行通信。在当　前ＶＬＡＮ划分中，成员的定义一般可以分为４种：①根据端　口划分ＶＬＡＮ；②根据ＭＡＣ地址划分ＶＬＡＮ；③根据网络层　划分ＶＬＡＮ；＠ＩＰ组播组作为ＶＬＡＮ。　其中，根据端口划分ＶＬＡＮ是最常用也是最简便的划分　方法；而根据ＭＡＣ地址划分ＶＬＡＮ归根到底就是基于用户　数据包不会发送到另一个ＶＬＡＮ，提高网络系统的安全性。　４安全可靠网络的实现圈　图１是采用港湾网络公司的ｕＨａｍｍｅｒ２０２４Ｅ、ＦｈｘＨａｍ—　ｍｅｒ５２１０和ＦｌｅｘＨａｍｍｅｒ５６１０Ｅ等设备的网络建设方案。其中　ｕＨａｍｍｅｒ２０２４Ｅ、ＦｌｅｘＨａｍｍｅｒ５２１０均为支持８０２．Ｉｘ协议的交　换机设备，同时也支持８０２．１ｑ的标准ＶＬＡＮ协议。ＦｌｅｘＨａｍ—　ｍｅｒ５６１０Ｅ具有１２个ＧＢＩＣ槽位，最大可扩展为１２个千兆连　接，具有较高的端口密度。可以满足一个较大校区的汇聚要　求。在此解决方案中，所有的认证都是在接入设备（ｕｎ￣－　ｍｅｒ２０２４Ｅ）采用分布式认证，这样既提高了认证效率，同时也　减轻了上层交换机的负担。　４．１　ＶＬＡＮ的划分　为了方便网络使用和管理，所有交换设备都采用双　ＶＬＡＮ的划分方法：管理ＶＬＡＮ和用户ＶＬＡＮ。管理ＶＬＡＮ中　包含网络上的所有设备，这样对于网络管理员来说，设备的　可管理性以及管理的简便性就得到了很大的提高；而用户　ＶＬＡＮ则根据使用的需要对交换设备进行划分，确保用户的　分类的一致性。具体划分如下：　①只创建一个网络设备管理ＶＬＡＮ，即包含所有用于认　维普资讯 http://www.cqvip.com

息学ｌ　医学信息２００７年７月第２０卷第７期Ｍｅｄｉｃａｌ　Ｉｌｌ￡ｍａｔｉｏｎ．Ｊｕ１．２ＯＯ７．Ｖｏ１．２０．Ｎｏ．７　证系统中的交换设备的子网，给该ＶＬＡＮ打上标记，设备管　理ＶＬＡＮ的ＩＰ地址使用内部ＩＰ地址，如１９２．１６８．１２．１。②每　个汇聚设备（ＦｉｅｘＨａｍｍｅｒ５２１０）创建一个用户ＶＬＡＮ。该ＶＬＡＮ　使用教育网分配的公网ＩＰ地址，与ＤＨＣＰ服务器配合，给该　ＶＬＡＮ的用户分配相应地址段的ＩＰ地址。　４．２安全防护　①在汇聚设备和接入设备上配置端口隔离，减小用户之　间的相互影响。②在汇聚设备上配置访问控制，禁止用户发　送ＩＣＭＰ报文，禁止常见的漏洞端口，如１３５、４４４、６９端口。　４．３特别设置　当前８０２．１ｘ认证系统的应用已经比较广泛，各互联网厂　商也都推出了解决方案，８０２．１ｘ认证系统本身存在的问题也　日益突出，如客户端的特有化、用户私网等问题造成的影响　也越来越大，对网络的可靠性、稳定性造成了较大的影响，为　了解决８０２．１ｘ认证系统中的漏洞，采取以下保护措施：①接　入交换机设置标识字段，使用户只能使用固定的客户端，这　样可以提高网络的安全性。港湾ｕＨａｍｍｅｒ２０２４Ｅ交换机配置　有ｓｕｐｐ—ｓｅｃｒｅｔ选项，可以保证所有用户只能使用港湾公司提　供的客户端。②在用户客户端上作相应设置，达到限制用户　私网的效果。由西安信利网络安全有限公司提供的港湾客户　端具有检测双网卡的功能，可以防止用户使用代理服务器介　入非法用户，解决非法用户问题。③在认证服务器端侦听用　户端发送的认证报文，判断用户是否配置为动态获得ＩＩ）地　址，防止用户ＩＰ地址使用的混乱。④用户第一次登陆后，认　证系统记录该用户的ＭＡＣ地址、ＮＡＳ　ＩＰ、ＮＡＳ端口等基本信　息，在此后的登陆中对该用户的使用帐号、口令、ＭＡＣ地址、　ＮＡＳ　ＩＰ、ＮＡＳ端口的共同认证，使一个帐号只能在固定位置　的固定计算机上使用，解决了用户帐号和密码的盗用问题。　４４交换机部分配置　认证交换机上的主要配置（以港湾的ｕＨａｍｍｅｒ２０２４Ｅ为　例１：　ｃｏｎｆｉｇ　ｉｐａｄｄｒｅｓｓ　１９２．１６８．０．１／２４　ｃｏｎｆｉｇ　ｂａｓｅｌｅｖｅｌ　０　ｃｒｅａｔｅ　ｖｌａｎ　ｍａｎａｇｅ　ｔａｇ　１００　ｃｏｎｆｉｇ　ｖｌａｎ　ｍａｎａｇｅ　ａｄｄ　ｐｏｒｔ　１　ｔａｇｇｅｄ　ｃｒｅａｔｅ　ｖｌａｎ　ｕｓｅｒｔａｇ　１　ｃｏｎｆｉｇ　ｖｌａｎ　ｕｓｅｒ　ａｄｄ　ｐｏｒｔ　１，２‘‘‘２４　ｕｎｔａｇｇｅｄ　ｃｏｎｆｉｇ　ｄｏｔｌｘ　ｓｕｐｐ－ｓｅｃｒｅｔ　ｃａｍｐｕｓ　！ＲＡＤＩＵＳ　ｃｌｉｅｎｔ　ｃｏｎｆｉｇ　ｒａｄｉｕｓ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ａｄｄ—ｓｅｒｖｅｒ　ｉｄ　０　ｓｅｒｖｅｒ—ｉｐ　１９２．１６８．３２．１　ｃｌｉｅｎｔ－ｉｐ　１９２．１６　８．０．１　ｕｄｐ－ｐｏｒｔ　１８１２　ｒａｄｉｕｓ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ｃｏｎｆｉｇ－ｓｅｒｖｅｒ　ｉｄ　０　ｓｈａｒｅｄ－ｓｅｃｒｅｔ　ｔｅｓｔ　汇聚交换机（ＦｌｅｘＨａｍｍｅｒ５２１０）￣的主要配置：　ｃｒｅａｔｅ　ｖｌａｎ　ｍａｎａｇｅ　ｃｏｎｆｉｇ　ｖｌａｎ　ｍａｎａｇｅ　ｔａｇ　１００　ｃｏｎｆｉｇ　ｖｌａｎ　ｍａｎａｇｅ　ｉｐａｄｄｒｅｓｓ　１９２．１６８．０．　２５４／２４　ｃｏｎｆｉｇ　ｖｌａｎ　ｍａｎａｇｅ　ａｄｄ　ｐｏｒｔ　１…２５　ｔａｇｇｅｄ　ｃｒｅａｔｅ　ｖｌｎａ　ｓｏｕｔｈ　ｃｏｎｆｉｇ　ｖｌａｎ　ｓｏｕｔｈ　ｉｐａｄｄｒｅ￣２０２．２００．　．　２５４，２４　ｃｒｅａｔｅ　ｖｌａｎ　ｓｕｂ１　ｃｏｎｆｉｇ　ｖｌａｎ　ｓｕｂｌ　ａｄｄ　ｐｏｒｔ　１　ｕｎｔａｇｇｅｄ　ｃｏｎｆｉｇ　ｖｌａｎ　ｓｏｕｔｈ　ａｄｄ　ｓｕｂｖｌａｎ　ｓｕｂｌ　ｓｅｒｖｉｃｅ　ａｃｌ　ｅｎａｂｌｅ　ｃｒｅａｔｅ　ａｃｌ　ｐｉｎｇｌ　ｉｃｍｐ　ＤＩＰ　ａｎｙ　ＳＩＰ　ａｎｙ　ｔｙｐｅ　ａｎｙ　ｃｏｄｅ　ａｎｙ　ｄｅｎｙ　ｏｐｒｔｓａｎｙ　ｐｒｅｃｅｄｅｎｅ　１　ｃｒｅａｔｅ　ａｃｌ　ｔｃｐ＿＿ｐｏｒｔ１　ｔｃｐ　ＤＩＰ　ａｎｙ　ｉｐ－ｐｏｒｔ　４　ＳＩＰ　ａｎｙ　ｉｐ－ｐｏｒｔ　ｎａｙ　ｄｅｎｙ　ｐｏｒｔｓ　ａｎ　ｐｒｅｃｅｄｅｎｃｅ　１　ＤＨＣＰ　ｒｍｙ　ｃｏｎｔｉｇ　ｃｏｎｆｉｇ　ｄｈｃｐｒ　ｌｉｓｔｅｎ　ａｄｄ　ｓｏｕｔｈ　ｃｏ，￣ｇ　ｄｈｃｐｒ　ｔａｒｇｅｔｉｐ　ａｄｄ　１９２．１６８．３２．１　ｉｄ　１　５结论　ＩＥＥＥ　８０２．１ｘ标准定义了局域网用户访问控制机制．保证　了用户的合法性；通过ＶＬＡＮ的划分使得网络系统的运行更　加稳定、可靠，网络的管理更加便捷；再配合动态地址分配服　务ＯＨＣＰ），就可以在很大程度上提高ＩＩ）地址的利用率，解决　校园网络中非法用户、ＩＩ）地址盗用、网络病毒泛滥等一系列　现存问题’将校园网络构建成为一个安全、稳定的可靠网络。　参考文献：　【１］ＩＥＥＥ　Ｓｔａｎｄａｒｄ　８０２．１ｘ一２００１一Ｓｔａｎｄａｒｄ　ｆｏｒＰｏｒｔ　ｂａｓｅｄ　Ｎｅｔ　２　ｗｏｒｋ　ａｃｃｅｓｓＣｏｎｔｒｏｌ【ｓ】．２００１—２ＯＯ６．　［２］ＫｗａｎＰ．Ｗｈｉｔｅ　ｐａｐｅｒ：８０２．１ｘ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ＆ｅｘｔｅｔｍｉｂｌｅ　ａｒｔ２ｔｈｅｎ－　ｔｉｃａｔｉｏｎ　ｐｍｔｏｃｏｌ［Ｚ］．２００３—０３．　【３］ｈｔｔｐ：／／ｗｗｗ．ｈａｒｂｏｕｒｎｅｔｗｏｒｋｓ．ＯＤｍ／ｄｏｗｎ／ｔｅｅｈ／８０２１ｘＶｌＯ．ｄｏｅ．　编辑，任鸿兰