聽風(fēng)人
目前以太網(wǎng)已經(jīng)普遍應(yīng)用于運(yùn)營(yíng)領(lǐng)域,如小區(qū)接入、校園網(wǎng)等等。但由于以太網(wǎng)本身的開放性、共享性和弱管理性。采用以太網(wǎng)接入在用戶管理和安全管理上必然存在諸多隱患。業(yè)界廠商都在尋找相應(yīng)的解決方案以適應(yīng)市場(chǎng)需求,綁定是目前普遍宣傳和被應(yīng)用的功能,如常見的端口綁定、MAC綁定、IP綁定、動(dòng)態(tài)綁定、靜態(tài)綁定等。其根本目的是要實(shí)現(xiàn)用戶的唯一性確定,從而實(shí)現(xiàn)對(duì)以太網(wǎng)用戶的管理。
一、綁定的由來
綁定的英文詞是BINDING,其含義是將兩個(gè)或多個(gè)實(shí)體強(qiáng)制性地關(guān)聯(lián)在一起。一個(gè)大家比較熟悉的例子,就是配置網(wǎng)卡時(shí),將網(wǎng)絡(luò)協(xié)議與網(wǎng)卡驅(qū)動(dòng)綁定在一起。其實(shí)在接入認(rèn)證時(shí),匹配用戶名和密碼,也是一種綁定,只有用戶名存在并且密碼匹配成功,才認(rèn)為是合法用戶。在這里,用戶名已經(jīng)可以唯一標(biāo)識(shí)某個(gè)用戶,與對(duì)應(yīng)密碼進(jìn)行一一綁定。
二、綁定的分類
從綁定的實(shí)現(xiàn)機(jī)制上,可以分為AAA(服務(wù)器)有關(guān)綁定和AAA無(wú)關(guān)綁定;從綁定的時(shí)機(jī)上,可以分為靜態(tài)綁定和動(dòng)態(tài)綁定。
AAA是用戶信息數(shù)據(jù)庫(kù),所以AAA有關(guān)綁定以用戶信息為核心,認(rèn)證時(shí)設(shè)備上傳綁定的相關(guān)屬性(端口、VLAN、MAC、IP等),AAA收到后與本地保存的用戶信息匹配。匹配成功則允許用戶上網(wǎng),否則拒絕上網(wǎng)請(qǐng)求。
AAA無(wú)關(guān)綁定完全由接入設(shè)備實(shí)現(xiàn)。接入設(shè)備(如Lanswitch)上沒有用戶信息,所以AAA無(wú)關(guān)綁定只能以端口為核心,在端口上可以配置本端口可以接入的MAC(或IP)地址列表,只有其MAC地址屬于此列表中的計(jì)算機(jī)才能夠從該端口接入網(wǎng)絡(luò)。
靜態(tài)綁定是在用戶接入網(wǎng)絡(luò)前靜態(tài)配置綁定的相關(guān)信息,用戶接入認(rèn)證時(shí),匹配這些信息,只有匹配成功才能接入。
動(dòng)態(tài)綁定的相關(guān)信息不是靜態(tài)配置的。而是接入時(shí)才動(dòng)態(tài)保存到接入設(shè)備上,接入網(wǎng)絡(luò)后不允許用戶再修改這些信息,一旦修改,則強(qiáng)制用戶下線。
AAA相關(guān)綁定一般都是靜態(tài)綁定,動(dòng)態(tài)綁定一般都是在接入設(shè)備上實(shí)現(xiàn)的。接入設(shè)備離最終用戶最近,用戶所有的認(rèn)證數(shù)據(jù)流和業(yè)務(wù)數(shù)據(jù)流都必須經(jīng)過接入設(shè)備,只有認(rèn)證數(shù)據(jù)流經(jīng)過AAA,所以接入設(shè)備可以最容易最及時(shí)發(fā)現(xiàn)相關(guān)綁定信息的變化,也方便采取強(qiáng)制用戶下線等處理措施。另外,網(wǎng)絡(luò)中AAA一般只有一臺(tái),集中管理,接入設(shè)備卻有很多,由分散的接入設(shè)備監(jiān)視用戶綁定信息的變化,可以減輕AAA的負(fù)擔(dān)。
三、綁定的應(yīng)用模式
除了常用的用戶名與密碼綁定外,可以用于綁定的屬性主要有:端口、VLAN、MAC地址和IP地址。這些屬性的特性不同。其綁定的應(yīng)用模式也有較大差別。
1IP地址綁定
(1)解釋
按照前邊的定義標(biāo)準(zhǔn),IP地址綁定可以分為AAA有關(guān)IP地址綁定、AAA無(wú)關(guān)IP地址綁定、IP地址靜態(tài)綁定和IP地址動(dòng)態(tài)綁定。
AAA有關(guān)IP地址綁定:在AAA上保存用戶固定分配的IP地址,用戶認(rèn)證時(shí),接入設(shè)備上傳用戶機(jī)器靜態(tài)配置的IP地址,AAA將設(shè)備上傳IP地址與本地保存IP地址比較,只有相等才允許接入。
AAA無(wú)關(guān)IP地址綁定:在接入設(shè)備上配置某個(gè)端口只能允許哪些IP地址接入,一個(gè)端口可以對(duì)應(yīng)一個(gè)IP地址,也可以對(duì)應(yīng)多個(gè),用戶訪問網(wǎng)絡(luò)時(shí),只有源,IP地址在允許的范圍內(nèi),才可以接入。
IP地址靜態(tài)綁定:接入網(wǎng)絡(luò)時(shí)檢查用戶的IP地址是否合法。
IP地址動(dòng)態(tài)綁定:用戶上網(wǎng)過程中。如更改了自己的IP地址,接入設(shè)備能夠獲取到,并禁止用戶繼續(xù)上網(wǎng)。
(2)應(yīng)用
教育網(wǎng)中,學(xué)生經(jīng)常改變自己的IP地址,學(xué)校里IP地址沖突的問題比較嚴(yán)重。各學(xué)校網(wǎng)絡(luò)中心承受的壓力很大,迫切需要限制學(xué)生不能隨便更改IP地址。可以采用以下方法做到用戶名和IP地址的一一對(duì)應(yīng),解決IP地址問題。
如有DHCPServer。可以使用IP地址動(dòng)態(tài)綁定。限制用戶上網(wǎng)過程中更改IP地址。此時(shí)需要接入設(shè)備限制用戶只能通過DHCP獲取IP地址。靜態(tài)配置的IP地址無(wú)效。如沒有DHCPServer。可以使用AAA有關(guān)IP地址綁定和IP地址動(dòng)態(tài)綁定相結(jié)合方式,限制用戶只能使用固定IP地址接入,接入后不允許用戶再修改IP地址。通過DHCPServer分配IP地址時(shí),一般都可以為某個(gè)MAC地址分配固定的IP地址,再與AAA有關(guān)MAC地址綁定配合,變相地做到了用戶和IP地址的一一對(duì)應(yīng)。
2、MAC地址綁定
(1)解釋
與IP地址綁定類似,MAC地址綁定也可以分為AAA有關(guān)MAC地址綁定和AAA無(wú)關(guān)MAC地址綁定;MAC地址靜態(tài)綁定和MAC地址動(dòng)態(tài)綁定。
由于修改了MAC地址之后,必須重新啟動(dòng)網(wǎng)卡才能有效,重新啟動(dòng)網(wǎng)卡就意味著重新認(rèn)證。所以MAC地址動(dòng)態(tài)綁定意義不大。
(2)應(yīng)用
AAA有關(guān)MAC地址綁定在政務(wù)網(wǎng)或園區(qū)網(wǎng)中應(yīng)用比較多,將用戶名與機(jī)器網(wǎng)卡的MAC地址綁定起來,限制用戶只能在固定的機(jī)器上上網(wǎng),主要是為了安全和防止賬號(hào)盜用。但由于MAC地址也是可以修改的。所以這個(gè)方法還存在一些漏洞的。
3端口綁定
(1)解釋
端口的相關(guān)信息包含接入設(shè)備的IP地址和端口號(hào)。
設(shè)備IP和端口號(hào)對(duì)最終用戶都是不可見的,最終用戶也無(wú)法修改端口信息,用戶更換端口后,一般都需要重新認(rèn)證,所以端口動(dòng)態(tài)綁定的意義不大。由于AAA無(wú)關(guān)綁定是以端口為核心了,所以AAA無(wú)關(guān)端口綁定也沒有意義。
有意義的端口綁定主要是AAA有關(guān)端口綁定和端口靜態(tài)綁定。
(2)應(yīng)用
AAA有關(guān)端口綁定主要用于政務(wù)網(wǎng)、園區(qū)網(wǎng)和運(yùn)營(yíng)商網(wǎng)絡(luò),從而限制用戶只能在特定的端口上接入。
4VLAN綁定
(1)解釋
與端口綁定類似,VLAN相關(guān)信息也配置在接入設(shè)備上,最終用戶無(wú)法修改,所以,VLAN動(dòng)態(tài)綁定意義不大。對(duì)于AAA無(wú)關(guān)VLAN綁定,如只將端口與VLANID綁定在一起,那么如果用戶自己連一個(gè)HUB,就會(huì)出現(xiàn)一旦此HUB上的一個(gè)用戶認(rèn)證通過,其他用戶也可以上網(wǎng)的情況,造成網(wǎng)絡(luò)接入不可控,所以一般不會(huì)單獨(dú)使用AAA無(wú)關(guān)的VLAN綁定。
常用的VLAN綁定是AAA有關(guān)VLAN綁定和VLAN靜態(tài)綁定。
(2)應(yīng)用
如網(wǎng)絡(luò)接入采用二層結(jié)構(gòu),上層是三層交換機(jī),下層是二層交換機(jī),認(rèn)證點(diǎn)在三層交換機(jī)上,這種情況下,僅靠端口綁定只能限制用戶所屬的三層交換機(jī)端口,限制范圍太大,無(wú)法限制用戶所屬的二層交換機(jī)端口。
使用AAA有關(guān)VLAN綁定和VLAN靜態(tài)綁定就可以解決這個(gè)問題。
分別為二層交換機(jī)的每個(gè)下行端口各自設(shè)置不同的VLANID,二層交換機(jī)上行端口設(shè)置為VLAN透?jìng)?,就產(chǎn)生了一個(gè)三層交換機(jī)端口對(duì)應(yīng)多個(gè)VLANID的情況,每
個(gè)VLANID對(duì)應(yīng)一個(gè)二層交換機(jī)的端口。用戶認(rèn)證時(shí),三層交換機(jī)將VLAN信息上傳到AAA,AAA與預(yù)先設(shè)置的信息匹配,根據(jù)匹配成功與否決定是否允許用戶接入。
此外,用戶認(rèn)證時(shí),可以由AAA將用戶所屬的VLANID隨認(rèn)證響應(yīng)報(bào)文下發(fā)到接入設(shè)備,這是另外一個(gè)角度的功能。雖然無(wú)法限制用戶只能通過特定的二層交換機(jī)端口上網(wǎng)。但是可以限制用戶無(wú)論從那個(gè)端口接入,使用的都是用一個(gè)VLANID。這樣做的意義在于,一般的DHCPServer都可以根據(jù)VLAN劃分地址池,用戶無(wú)論在哪個(gè)位置上網(wǎng),都會(huì)從相同的地址池中分配IP地址。出口路由器上可以根據(jù)源IP地址制定相應(yīng)的訪問權(quán)限。綜合所有這些,變相地實(shí)現(xiàn)了在出口路由器上根據(jù)用戶名制定訪問權(quán)限的功能。
5其它說明
標(biāo)準(zhǔn)的802.1x認(rèn)證,只能控制接入端口的打開和關(guān)閉,如某個(gè)端口下掛了一個(gè)HUB,則只要HUB上有一個(gè)用戶認(rèn)證通過,該端口就處于打開狀態(tài),此HUB下的其他用戶也都可以上網(wǎng)。為了解決這個(gè)問題,出現(xiàn)了基于MAC地址的認(rèn)證,某個(gè)用戶認(rèn)證通過后,接入設(shè)備就將此用戶的MAC地址記錄下來,接入設(shè)備只允許所記錄MAC地址發(fā)送的報(bào)文通過。其他MAC地址的報(bào)文一律拒絕。
為了提高安全性,接入設(shè)備除了記錄用戶的MAC地址外,還記錄了用戶的IP地址、VLANID等,收到的報(bào)文中,只要MAC地址、IP地址和VLANID任何一個(gè)與接入設(shè)備上保存的信息匹配不上,就不允許此報(bào)文通過。有的場(chǎng)合,也將這種方式稱為接入設(shè)備的“MAC地址+IP地址+VLANID”綁定功能。功能上與前邊的AAA無(wú)關(guān)的動(dòng)態(tài)綁定比較類似,只是用途和目的不同。
四、業(yè)界廠商產(chǎn)品對(duì)綁定的支持
以上的常用綁定功能業(yè)界廠商都普遍支持,一些廠商還進(jìn)行了更有特色的功能開發(fā),如華為提供的以下增強(qiáng)功能:
1綁定信息自學(xué)習(xí)
(1)MAC地址自動(dòng)學(xué)習(xí)
配置AAA相關(guān)MAC地址綁定功能時(shí),MAC很長(zhǎng),難以記憶,輸入時(shí)也經(jīng)常出錯(cuò),一旦MAC地址輸入錯(cuò)誤,就會(huì)造成用戶無(wú)法上網(wǎng),大大增加了AAA系統(tǒng)管理員的工作量。CAMS實(shí)現(xiàn)了MAC地址自動(dòng)學(xué)習(xí)功能,可以學(xué)習(xí)用戶第一次上網(wǎng)的MAC地址,并自動(dòng)與用戶綁定,既減少了工作量,又不會(huì)出錯(cuò)。以后用戶MAC地址變更時(shí),系統(tǒng)管理員將用戶綁定的MAC地址清空,CAMS會(huì)再次自動(dòng)學(xué)習(xí)用戶MAC地址。
(2)IP地址自動(dòng)學(xué)習(xí)
與MAC地址自動(dòng)學(xué)習(xí)類似。
2一對(duì)多綁定
(1)IP地址一對(duì)多綁定
用戶可以綁定不止一個(gè)IP地址。而是可以綁定一個(gè)連續(xù)的地址段。這個(gè)功能主要應(yīng)用于校園網(wǎng)中,一個(gè)教研室一般都會(huì)分配一個(gè)連續(xù)的地址段,教研室的每個(gè)用戶都可以自由使用該地址段中的任何一個(gè)IP地址。教研室內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和IP地址經(jīng)常變化。將用戶和教研室的整個(gè)地址段綁定后,可以由各教研室自己分配和管理內(nèi)部IP地址,既不會(huì)因教研室內(nèi)部IP地址分配問題影響整個(gè)校園網(wǎng)的正常運(yùn)轉(zhuǎn),又可以大大減少AAA系統(tǒng)管理員的工作量。
(2)端口一對(duì)多綁定
與IP地址一對(duì)多綁定類似,也存在端口一對(duì)多綁定的問題。CAMS將端口信息分成以下幾個(gè)部分:接入設(shè)備IP地址-槽號(hào)-子槽號(hào)-端口號(hào)-VLANID,這幾個(gè)部分按照范圍由廣到窄的順序。任何一個(gè)部分都可以使用通配符,表示不限制具體數(shù)值。比如:端口號(hào)部分輸入通配符,就表示將用戶綁定在某臺(tái)交換機(jī)下的某個(gè)槽號(hào)的某個(gè)子槽號(hào)的所有端口上,可以從其中的任何一個(gè)端口接入。