淺談綁定之應(yīng)用

聽風(fēng)人

目前以太網(wǎng)已經(jīng)普遍應(yīng)用于運(yùn)營(yíng)領(lǐng)域，如小區(qū)接入、校園網(wǎng)等等。但由于以太網(wǎng)本身的開放性、共享性和弱管理性。采用以太網(wǎng)接入在用戶管理和安全管理上必然存在諸多隱患。業(yè)界廠商都在尋找相應(yīng)的解決方案以適應(yīng)市場(chǎng)需求，綁定是目前普遍宣傳和被應(yīng)用的功能，如常見的端口綁定、MAC綁定、IP綁定、動(dòng)態(tài)綁定、靜態(tài)綁定等。其根本目的是要實(shí)現(xiàn)用戶的唯一性確定，從而實(shí)現(xiàn)對(duì)以太網(wǎng)用戶的管理。

一、綁定的由來

綁定的英文詞是BINDING，其含義是將兩個(gè)或多個(gè)實(shí)體強(qiáng)制性地關(guān)聯(lián)在一起。一個(gè)大家比較熟悉的例子，就是配置網(wǎng)卡時(shí)，將網(wǎng)絡(luò)協(xié)議與網(wǎng)卡驅(qū)動(dòng)綁定在一起。其實(shí)在接入認(rèn)證時(shí)，匹配用戶名和密碼，也是一種綁定，只有用戶名存在并且密碼匹配成功，才認(rèn)為是合法用戶。在這里，用戶名已經(jīng)可以唯一標(biāo)識(shí)某個(gè)用戶，與對(duì)應(yīng)密碼進(jìn)行一一綁定。

二、綁定的分類

從綁定的實(shí)現(xiàn)機(jī)制上，可以分為AAA(服務(wù)器)有關(guān)綁定和AAA無(wú)關(guān)綁定；從綁定的時(shí)機(jī)上，可以分為靜態(tài)綁定和動(dòng)態(tài)綁定。

AAA是用戶信息數(shù)據(jù)庫(kù)，所以AAA有關(guān)綁定以用戶信息為核心，認(rèn)證時(shí)設(shè)備上傳綁定的相關(guān)屬性(端口、VLAN、MAC、IP等)，AAA收到后與本地保存的用戶信息匹配。匹配成功則允許用戶上網(wǎng)，否則拒絕上網(wǎng)請(qǐng)求。

AAA無(wú)關(guān)綁定完全由接入設(shè)備實(shí)現(xiàn)。接入設(shè)備(如Lanswitch)上沒有用戶信息，所以AAA無(wú)關(guān)綁定只能以端口為核心，在端口上可以配置本端口可以接入的MAC(或IP)地址列表，只有其MAC地址屬于此列表中的計(jì)算機(jī)才能夠從該端口接入網(wǎng)絡(luò)。

靜態(tài)綁定是在用戶接入網(wǎng)絡(luò)前靜態(tài)配置綁定的相關(guān)信息，用戶接入認(rèn)證時(shí)，匹配這些信息，只有匹配成功才能接入。

動(dòng)態(tài)綁定的相關(guān)信息不是靜態(tài)配置的。而是接入時(shí)才動(dòng)態(tài)保存到接入設(shè)備上，接入網(wǎng)絡(luò)后不允許用戶再修改這些信息，一旦修改，則強(qiáng)制用戶下線。

AAA相關(guān)綁定一般都是靜態(tài)綁定，動(dòng)態(tài)綁定一般都是在接入設(shè)備上實(shí)現(xiàn)的。接入設(shè)備離最終用戶最近，用戶所有的認(rèn)證數(shù)據(jù)流和業(yè)務(wù)數(shù)據(jù)流都必須經(jīng)過接入設(shè)備，只有認(rèn)證數(shù)據(jù)流經(jīng)過AAA，所以接入設(shè)備可以最容易最及時(shí)發(fā)現(xiàn)相關(guān)綁定信息的變化，也方便采取強(qiáng)制用戶下線等處理措施。另外，網(wǎng)絡(luò)中AAA一般只有一臺(tái)，集中管理，接入設(shè)備卻有很多，由分散的接入設(shè)備監(jiān)視用戶綁定信息的變化，可以減輕AAA的負(fù)擔(dān)。

三、綁定的應(yīng)用模式

除了常用的用戶名與密碼綁定外，可以用于綁定的屬性主要有：端口、VLAN、MAC地址和IP地址。這些屬性的特性不同。其綁定的應(yīng)用模式也有較大差別。

1IP地址綁定

(1)解釋

按照前邊的定義標(biāo)準(zhǔn)，IP地址綁定可以分為AAA有關(guān)IP地址綁定、AAA無(wú)關(guān)IP地址綁定、IP地址靜態(tài)綁定和IP地址動(dòng)態(tài)綁定。

AAA有關(guān)IP地址綁定：在AAA上保存用戶固定分配的IP地址，用戶認(rèn)證時(shí)，接入設(shè)備上傳用戶機(jī)器靜態(tài)配置的IP地址，AAA將設(shè)備上傳IP地址與本地保存IP地址比較，只有相等才允許接入。

AAA無(wú)關(guān)IP地址綁定：在接入設(shè)備上配置某個(gè)端口只能允許哪些IP地址接入，一個(gè)端口可以對(duì)應(yīng)一個(gè)IP地址，也可以對(duì)應(yīng)多個(gè)，用戶訪問網(wǎng)絡(luò)時(shí)，只有源，IP地址在允許的范圍內(nèi)，才可以接入。

IP地址靜態(tài)綁定：接入網(wǎng)絡(luò)時(shí)檢查用戶的IP地址是否合法。

IP地址動(dòng)態(tài)綁定：用戶上網(wǎng)過程中。如更改了自己的IP地址，接入設(shè)備能夠獲取到，并禁止用戶繼續(xù)上網(wǎng)。

(2)應(yīng)用

教育網(wǎng)中，學(xué)生經(jīng)常改變自己的IP地址，學(xué)校里IP地址沖突的問題比較嚴(yán)重。各學(xué)校網(wǎng)絡(luò)中心承受的壓力很大，迫切需要限制學(xué)生不能隨便更改IP地址。可以采用以下方法做到用戶名和IP地址的一一對(duì)應(yīng)，解決IP地址問題。

如有DHCPServer。可以使用IP地址動(dòng)態(tài)綁定。限制用戶上網(wǎng)過程中更改IP地址。此時(shí)需要接入設(shè)備限制用戶只能通過DHCP獲取IP地址。靜態(tài)配置的IP地址無(wú)效。如沒有DHCPServer。可以使用AAA有關(guān)IP地址綁定和IP地址動(dòng)態(tài)綁定相結(jié)合方式，限制用戶只能使用固定IP地址接入，接入后不允許用戶再修改IP地址。通過DHCPServer分配IP地址時(shí)，一般都可以為某個(gè)MAC地址分配固定的IP地址，再與AAA有關(guān)MAC地址綁定配合，變相地做到了用戶和IP地址的一一對(duì)應(yīng)。

2、MAC地址綁定

(1)解釋

與IP地址綁定類似，MAC地址綁定也可以分為AAA有關(guān)MAC地址綁定和AAA無(wú)關(guān)MAC地址綁定；MAC地址靜態(tài)綁定和MAC地址動(dòng)態(tài)綁定。

由于修改了MAC地址之后，必須重新啟動(dòng)網(wǎng)卡才能有效，重新啟動(dòng)網(wǎng)卡就意味著重新認(rèn)證。所以MAC地址動(dòng)態(tài)綁定意義不大。

(2)應(yīng)用

AAA有關(guān)MAC地址綁定在政務(wù)網(wǎng)或園區(qū)網(wǎng)中應(yīng)用比較多，將用戶名與機(jī)器網(wǎng)卡的MAC地址綁定起來，限制用戶只能在固定的機(jī)器上上網(wǎng)，主要是為了安全和防止賬號(hào)盜用。但由于MAC地址也是可以修改的。所以這個(gè)方法還存在一些漏洞的。

3端口綁定

(1)解釋

端口的相關(guān)信息包含接入設(shè)備的IP地址和端口號(hào)。

設(shè)備IP和端口號(hào)對(duì)最終用戶都是不可見的，最終用戶也無(wú)法修改端口信息，用戶更換端口后，一般都需要重新認(rèn)證，所以端口動(dòng)態(tài)綁定的意義不大。由于AAA無(wú)關(guān)綁定是以端口為核心了，所以AAA無(wú)關(guān)端口綁定也沒有意義。

有意義的端口綁定主要是AAA有關(guān)端口綁定和端口靜態(tài)綁定。

(2)應(yīng)用

AAA有關(guān)端口綁定主要用于政務(wù)網(wǎng)、園區(qū)網(wǎng)和運(yùn)營(yíng)商網(wǎng)絡(luò)，從而限制用戶只能在特定的端口上接入。

4VLAN綁定

(1)解釋

與端口綁定類似，VLAN相關(guān)信息也配置在接入設(shè)備上，最終用戶無(wú)法修改，所以，VLAN動(dòng)態(tài)綁定意義不大。對(duì)于AAA無(wú)關(guān)VLAN綁定，如只將端口與VLANID綁定在一起，那么如果用戶自己連一個(gè)HUB，就會(huì)出現(xiàn)一旦此HUB上的一個(gè)用戶認(rèn)證通過，其他用戶也可以上網(wǎng)的情況，造成網(wǎng)絡(luò)接入不可控，所以一般不會(huì)單獨(dú)使用AAA無(wú)關(guān)的VLAN綁定。

常用的VLAN綁定是AAA有關(guān)VLAN綁定和VLAN靜態(tài)綁定。

(2)應(yīng)用

如網(wǎng)絡(luò)接入采用二層結(jié)構(gòu)，上層是三層交換機(jī)，下層是二層交換機(jī)，認(rèn)證點(diǎn)在三層交換機(jī)上，這種情況下，僅靠端口綁定只能限制用戶所屬的三層交換機(jī)端口，限制范圍太大，無(wú)法限制用戶所屬的二層交換機(jī)端口。

使用AAA有關(guān)VLAN綁定和VLAN靜態(tài)綁定就可以解決這個(gè)問題。

分別為二層交換機(jī)的每個(gè)下行端口各自設(shè)置不同的VLANID，二層交換機(jī)上行端口設(shè)置為VLAN透?jìng)?，就產(chǎn)生了一個(gè)三層交換機(jī)端口對(duì)應(yīng)多個(gè)VLANID的情況，每

個(gè)VLANID對(duì)應(yīng)一個(gè)二層交換機(jī)的端口。用戶認(rèn)證時(shí)，三層交換機(jī)將VLAN信息上傳到AAA，AAA與預(yù)先設(shè)置的信息匹配，根據(jù)匹配成功與否決定是否允許用戶接入。

此外，用戶認(rèn)證時(shí)，可以由AAA將用戶所屬的VLANID隨認(rèn)證響應(yīng)報(bào)文下發(fā)到接入設(shè)備，這是另外一個(gè)角度的功能。雖然無(wú)法限制用戶只能通過特定的二層交換機(jī)端口上網(wǎng)。但是可以限制用戶無(wú)論從那個(gè)端口接入，使用的都是用一個(gè)VLANID。這樣做的意義在于，一般的DHCPServer都可以根據(jù)VLAN劃分地址池，用戶無(wú)論在哪個(gè)位置上網(wǎng)，都會(huì)從相同的地址池中分配IP地址。出口路由器上可以根據(jù)源IP地址制定相應(yīng)的訪問權(quán)限。綜合所有這些，變相地實(shí)現(xiàn)了在出口路由器上根據(jù)用戶名制定訪問權(quán)限的功能。

5其它說明

標(biāo)準(zhǔn)的802.1x認(rèn)證，只能控制接入端口的打開和關(guān)閉，如某個(gè)端口下掛了一個(gè)HUB，則只要HUB上有一個(gè)用戶認(rèn)證通過，該端口就處于打開狀態(tài)，此HUB下的其他用戶也都可以上網(wǎng)。為了解決這個(gè)問題，出現(xiàn)了基于MAC地址的認(rèn)證，某個(gè)用戶認(rèn)證通過后，接入設(shè)備就將此用戶的MAC地址記錄下來，接入設(shè)備只允許所記錄MAC地址發(fā)送的報(bào)文通過。其他MAC地址的報(bào)文一律拒絕。

為了提高安全性，接入設(shè)備除了記錄用戶的MAC地址外，還記錄了用戶的IP地址、VLANID等，收到的報(bào)文中，只要MAC地址、IP地址和VLANID任何一個(gè)與接入設(shè)備上保存的信息匹配不上，就不允許此報(bào)文通過。有的場(chǎng)合，也將這種方式稱為接入設(shè)備的“MAC地址+IP地址+VLANID”綁定功能。功能上與前邊的AAA無(wú)關(guān)的動(dòng)態(tài)綁定比較類似，只是用途和目的不同。

四、業(yè)界廠商產(chǎn)品對(duì)綁定的支持

以上的常用綁定功能業(yè)界廠商都普遍支持，一些廠商還進(jìn)行了更有特色的功能開發(fā)，如華為提供的以下增強(qiáng)功能：

1綁定信息自學(xué)習(xí)

(1)MAC地址自動(dòng)學(xué)習(xí)

配置AAA相關(guān)MAC地址綁定功能時(shí)，MAC很長(zhǎng)，難以記憶，輸入時(shí)也經(jīng)常出錯(cuò)，一旦MAC地址輸入錯(cuò)誤，就會(huì)造成用戶無(wú)法上網(wǎng)，大大增加了AAA系統(tǒng)管理員的工作量。CAMS實(shí)現(xiàn)了MAC地址自動(dòng)學(xué)習(xí)功能，可以學(xué)習(xí)用戶第一次上網(wǎng)的MAC地址，并自動(dòng)與用戶綁定，既減少了工作量，又不會(huì)出錯(cuò)。以后用戶MAC地址變更時(shí)，系統(tǒng)管理員將用戶綁定的MAC地址清空，CAMS會(huì)再次自動(dòng)學(xué)習(xí)用戶MAC地址。

(2)IP地址自動(dòng)學(xué)習(xí)

與MAC地址自動(dòng)學(xué)習(xí)類似。

2一對(duì)多綁定

(1)IP地址一對(duì)多綁定

用戶可以綁定不止一個(gè)IP地址。而是可以綁定一個(gè)連續(xù)的地址段。這個(gè)功能主要應(yīng)用于校園網(wǎng)中，一個(gè)教研室一般都會(huì)分配一個(gè)連續(xù)的地址段，教研室的每個(gè)用戶都可以自由使用該地址段中的任何一個(gè)IP地址。教研室內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和IP地址經(jīng)常變化。將用戶和教研室的整個(gè)地址段綁定后，可以由各教研室自己分配和管理內(nèi)部IP地址，既不會(huì)因教研室內(nèi)部IP地址分配問題影響整個(gè)校園網(wǎng)的正常運(yùn)轉(zhuǎn)，又可以大大減少AAA系統(tǒng)管理員的工作量。

(2)端口一對(duì)多綁定

與IP地址一對(duì)多綁定類似，也存在端口一對(duì)多綁定的問題。CAMS將端口信息分成以下幾個(gè)部分：接入設(shè)備IP地址-槽號(hào)-子槽號(hào)-端口號(hào)-VLANID，這幾個(gè)部分按照范圍由廣到窄的順序。任何一個(gè)部分都可以使用通配符，表示不限制具體數(shù)值。比如：端口號(hào)部分輸入通配符，就表示將用戶綁定在某臺(tái)交換機(jī)下的某個(gè)槽號(hào)的某個(gè)子槽號(hào)的所有端口上，可以從其中的任何一個(gè)端口接入。