1、802.1X、動態VLAN和DHCP技術在校園網中的應用摘要：本文首先針對學校現階段需要解決的一系列問題找到使用 802.1x、動態vlan和dhcp技術的實施方案，結合校園網絡中的實 際應用對于該方案得以應用，詳細介紹交換機和dhcp的具體配置。關鍵詞：802.1x動態vlan dhcp服務器ip地址中圖分類號:tp393文獻標識碼：a文章編號：1007-9416 (2012) 11-0097-021、研究背景隨著高校教育信息化的快速推進和發展，校園網的規模也日益擴 大，需求也越來越復雜。校園網在發揮著重要信息傳遞、資源共享 和方便教學作用的同時，也面臨各種樣的問題。目前等待校園網解 決的問

2、題中，大多是由于沒有靈活的vlan技術出現不合理使用網 絡資源、病毒傳播而造成網絡擁塞；由于沒有動態ip地址策略出 現隨意更改ip而造成網絡沖突；由于許多教師需要移動教學、科 研和學生需要移動學習、娛樂而要求網絡接入的靈活性、開放性而 帶來了新的矛盾組成。為了滿足師生員工對校園網新的需求，合理 有效的利用ip地址，配置動態vlan、不設置冗余繁多的用戶認證 賬號成為了一個急需解決的問題。為了解決上述出現的問題，學校校園網采用802.1x、動態vlan和dhcp的技術。該技術利用802.1x和radius認證服務器的授權 控制實現靈活機動的域認證，根據同一個用戶登陸賬號后綴域不 同，實現動態分配

3、交換機端口 vlan屬性享用靈活的上網策略和安 全設置，利用交換機中的dhcp中繼功能轉入固定的dhcp服務器從 而實現了用戶ip動態分配，滿足現階段的移動辦公需求。2、相關技術簡介802.1x認證協議ieee 802. 1x是ieee為了解決基于端口的接入控制而定義的標 準，被稱為基于端口的訪問控制協議1。它由三部分構成：客戶 端 supplicant system、認證者系統 authenticator system、認 證服務系統authentication serversystem。通過對認證系統即交 換機的端口 802.1x配置，端口處于受控狀態 authen和unauthen。 在

4、認證通過前，通道的狀態為unauthen，此時只能通過eapol的 802.1x認證報文；認證通過時，通道的狀態切換為authen，此時 從遠端認證服務器可以傳遞來用戶的信息，比如vlan、car參數、 優先級、用戶的訪問控制列表等等；認證通過后，用戶的流量就將 接受上述參數的監管，可以通過dhcp中繼客戶端獲取ip。動態 vlan動態vlan技術是交換機根據某個設定，將用戶自動劃分到某個 vlan。劃分動態vlan的條件很多，即根據mac地址和不同的身份 認證等。ieee 802.1x認證基于用戶的vlan，則是根據交換機各 端口所連的計算機上當前登錄的用戶，來決定該端口屬于哪個 vlan。

5、2登陸的用戶使用同一登陸帳號加上不同的后綴來實現動 態vlan，從而減少冗余的帳號。dhcp動態主機配置協議 dhcp (dynamic host configuration protocol)是一個簡化主機ip地址分配管理的tcp/ip標準協議，使網絡管理員可以集中管理一個網絡ip資源系統，對網絡中 的ip地址進行自動分配。dhcp中繼提供轉發功能給不能通過路由 器的dhcp廣播報文，使dhcp服務器能夠為不在其物理子網的dhcp 客戶端提供相應的服務。dhcp中繼收到dhcp客戶端發來的請求報 文后，把收到該報文的地址填人報文再轉發，使dhcp服務器根據 收到的報文中的地址就可以確定需要分配的ip地址。33、可行的實施技術方案我校校園網以h3c設備為主：匯聚交換機為e5500、接入層交換 機為e528。服務器為基于windows的radius認證服務器和搭建 linux系統的dhcp服務器。具體結構件圖1。下面以我校的校園網認證體系為例介紹802. 1x、動態vlan和 dhcp技術在校園網中的應用，這種方式可以在現有設備的基礎上提 供一種高效經濟的接入控制。具體見圖2。vlan劃分有很多，現以辦公、教學和實驗用途等用途