• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      淺談綁定之應(yīng)用

      2009-05-21 08:08:24聽風(fēng)人
      網(wǎng)絡(luò)與信息 2009年3期
      關(guān)鍵詞:層交換機(jī)用戶名IP地址

      聽風(fēng)人

      目前以太網(wǎng)已經(jīng)普遍應(yīng)用于運(yùn)營(yíng)領(lǐng)域,如小區(qū)接入、校園網(wǎng)等等。但由于以太網(wǎng)本身的開放性、共享性和弱管理性。采用以太網(wǎng)接入在用戶管理和安全管理上必然存在諸多隱患。業(yè)界廠商都在尋找相應(yīng)的解決方案以適應(yīng)市場(chǎng)需求,綁定是目前普遍宣傳和被應(yīng)用的功能,如常見的端口綁定、MAC綁定、IP綁定、動(dòng)態(tài)綁定、靜態(tài)綁定等。其根本目的是要實(shí)現(xiàn)用戶的唯一性確定,從而實(shí)現(xiàn)對(duì)以太網(wǎng)用戶的管理。

      一、綁定的由來

      綁定的英文詞是BINDING,其含義是將兩個(gè)或多個(gè)實(shí)體強(qiáng)制性地關(guān)聯(lián)在一起。一個(gè)大家比較熟悉的例子,就是配置網(wǎng)卡時(shí),將網(wǎng)絡(luò)協(xié)議與網(wǎng)卡驅(qū)動(dòng)綁定在一起。其實(shí)在接入認(rèn)證時(shí),匹配用戶名和密碼,也是一種綁定,只有用戶名存在并且密碼匹配成功,才認(rèn)為是合法用戶。在這里,用戶名已經(jīng)可以唯一標(biāo)識(shí)某個(gè)用戶,與對(duì)應(yīng)密碼進(jìn)行一一綁定。

      二、綁定的分類

      從綁定的實(shí)現(xiàn)機(jī)制上,可以分為AAA(服務(wù)器)有關(guān)綁定和AAA無(wú)關(guān)綁定;從綁定的時(shí)機(jī)上,可以分為靜態(tài)綁定和動(dòng)態(tài)綁定。

      AAA是用戶信息數(shù)據(jù)庫(kù),所以AAA有關(guān)綁定以用戶信息為核心,認(rèn)證時(shí)設(shè)備上傳綁定的相關(guān)屬性(端口、VLAN、MAC、IP等),AAA收到后與本地保存的用戶信息匹配。匹配成功則允許用戶上網(wǎng),否則拒絕上網(wǎng)請(qǐng)求。

      AAA無(wú)關(guān)綁定完全由接入設(shè)備實(shí)現(xiàn)。接入設(shè)備(如Lanswitch)上沒有用戶信息,所以AAA無(wú)關(guān)綁定只能以端口為核心,在端口上可以配置本端口可以接入的MAC(或IP)地址列表,只有其MAC地址屬于此列表中的計(jì)算機(jī)才能夠從該端口接入網(wǎng)絡(luò)。

      靜態(tài)綁定是在用戶接入網(wǎng)絡(luò)前靜態(tài)配置綁定的相關(guān)信息,用戶接入認(rèn)證時(shí),匹配這些信息,只有匹配成功才能接入。

      動(dòng)態(tài)綁定的相關(guān)信息不是靜態(tài)配置的。而是接入時(shí)才動(dòng)態(tài)保存到接入設(shè)備上,接入網(wǎng)絡(luò)后不允許用戶再修改這些信息,一旦修改,則強(qiáng)制用戶下線。

      AAA相關(guān)綁定一般都是靜態(tài)綁定,動(dòng)態(tài)綁定一般都是在接入設(shè)備上實(shí)現(xiàn)的。接入設(shè)備離最終用戶最近,用戶所有的認(rèn)證數(shù)據(jù)流和業(yè)務(wù)數(shù)據(jù)流都必須經(jīng)過接入設(shè)備,只有認(rèn)證數(shù)據(jù)流經(jīng)過AAA,所以接入設(shè)備可以最容易最及時(shí)發(fā)現(xiàn)相關(guān)綁定信息的變化,也方便采取強(qiáng)制用戶下線等處理措施。另外,網(wǎng)絡(luò)中AAA一般只有一臺(tái),集中管理,接入設(shè)備卻有很多,由分散的接入設(shè)備監(jiān)視用戶綁定信息的變化,可以減輕AAA的負(fù)擔(dān)。

      三、綁定的應(yīng)用模式

      除了常用的用戶名與密碼綁定外,可以用于綁定的屬性主要有:端口、VLAN、MAC地址和IP地址。這些屬性的特性不同。其綁定的應(yīng)用模式也有較大差別。

      1IP地址綁定

      (1)解釋

      按照前邊的定義標(biāo)準(zhǔn),IP地址綁定可以分為AAA有關(guān)IP地址綁定、AAA無(wú)關(guān)IP地址綁定、IP地址靜態(tài)綁定和IP地址動(dòng)態(tài)綁定。

      AAA有關(guān)IP地址綁定:在AAA上保存用戶固定分配的IP地址,用戶認(rèn)證時(shí),接入設(shè)備上傳用戶機(jī)器靜態(tài)配置的IP地址,AAA將設(shè)備上傳IP地址與本地保存IP地址比較,只有相等才允許接入。

      AAA無(wú)關(guān)IP地址綁定:在接入設(shè)備上配置某個(gè)端口只能允許哪些IP地址接入,一個(gè)端口可以對(duì)應(yīng)一個(gè)IP地址,也可以對(duì)應(yīng)多個(gè),用戶訪問網(wǎng)絡(luò)時(shí),只有源,IP地址在允許的范圍內(nèi),才可以接入。

      IP地址靜態(tài)綁定:接入網(wǎng)絡(luò)時(shí)檢查用戶的IP地址是否合法。

      IP地址動(dòng)態(tài)綁定:用戶上網(wǎng)過程中。如更改了自己的IP地址,接入設(shè)備能夠獲取到,并禁止用戶繼續(xù)上網(wǎng)。

      (2)應(yīng)用

      教育網(wǎng)中,學(xué)生經(jīng)常改變自己的IP地址,學(xué)校里IP地址沖突的問題比較嚴(yán)重。各學(xué)校網(wǎng)絡(luò)中心承受的壓力很大,迫切需要限制學(xué)生不能隨便更改IP地址。可以采用以下方法做到用戶名和IP地址的一一對(duì)應(yīng),解決IP地址問題。

      如有DHCPServer。可以使用IP地址動(dòng)態(tài)綁定。限制用戶上網(wǎng)過程中更改IP地址。此時(shí)需要接入設(shè)備限制用戶只能通過DHCP獲取IP地址。靜態(tài)配置的IP地址無(wú)效。如沒有DHCPServer。可以使用AAA有關(guān)IP地址綁定和IP地址動(dòng)態(tài)綁定相結(jié)合方式,限制用戶只能使用固定IP地址接入,接入后不允許用戶再修改IP地址。通過DHCPServer分配IP地址時(shí),一般都可以為某個(gè)MAC地址分配固定的IP地址,再與AAA有關(guān)MAC地址綁定配合,變相地做到了用戶和IP地址的一一對(duì)應(yīng)。

      2、MAC地址綁定

      (1)解釋

      與IP地址綁定類似,MAC地址綁定也可以分為AAA有關(guān)MAC地址綁定和AAA無(wú)關(guān)MAC地址綁定;MAC地址靜態(tài)綁定和MAC地址動(dòng)態(tài)綁定。

      由于修改了MAC地址之后,必須重新啟動(dòng)網(wǎng)卡才能有效,重新啟動(dòng)網(wǎng)卡就意味著重新認(rèn)證。所以MAC地址動(dòng)態(tài)綁定意義不大。

      (2)應(yīng)用

      AAA有關(guān)MAC地址綁定在政務(wù)網(wǎng)或園區(qū)網(wǎng)中應(yīng)用比較多,將用戶名與機(jī)器網(wǎng)卡的MAC地址綁定起來,限制用戶只能在固定的機(jī)器上上網(wǎng),主要是為了安全和防止賬號(hào)盜用。但由于MAC地址也是可以修改的。所以這個(gè)方法還存在一些漏洞的。

      3端口綁定

      (1)解釋

      端口的相關(guān)信息包含接入設(shè)備的IP地址和端口號(hào)。

      設(shè)備IP和端口號(hào)對(duì)最終用戶都是不可見的,最終用戶也無(wú)法修改端口信息,用戶更換端口后,一般都需要重新認(rèn)證,所以端口動(dòng)態(tài)綁定的意義不大。由于AAA無(wú)關(guān)綁定是以端口為核心了,所以AAA無(wú)關(guān)端口綁定也沒有意義。

      有意義的端口綁定主要是AAA有關(guān)端口綁定和端口靜態(tài)綁定。

      (2)應(yīng)用

      AAA有關(guān)端口綁定主要用于政務(wù)網(wǎng)、園區(qū)網(wǎng)和運(yùn)營(yíng)商網(wǎng)絡(luò),從而限制用戶只能在特定的端口上接入。

      4VLAN綁定

      (1)解釋

      與端口綁定類似,VLAN相關(guān)信息也配置在接入設(shè)備上,最終用戶無(wú)法修改,所以,VLAN動(dòng)態(tài)綁定意義不大。對(duì)于AAA無(wú)關(guān)VLAN綁定,如只將端口與VLANID綁定在一起,那么如果用戶自己連一個(gè)HUB,就會(huì)出現(xiàn)一旦此HUB上的一個(gè)用戶認(rèn)證通過,其他用戶也可以上網(wǎng)的情況,造成網(wǎng)絡(luò)接入不可控,所以一般不會(huì)單獨(dú)使用AAA無(wú)關(guān)的VLAN綁定。

      常用的VLAN綁定是AAA有關(guān)VLAN綁定和VLAN靜態(tài)綁定。

      (2)應(yīng)用

      如網(wǎng)絡(luò)接入采用二層結(jié)構(gòu),上層是三層交換機(jī),下層是二層交換機(jī),認(rèn)證點(diǎn)在三層交換機(jī)上,這種情況下,僅靠端口綁定只能限制用戶所屬的三層交換機(jī)端口,限制范圍太大,無(wú)法限制用戶所屬的二層交換機(jī)端口。

      使用AAA有關(guān)VLAN綁定和VLAN靜態(tài)綁定就可以解決這個(gè)問題。

      分別為二層交換機(jī)的每個(gè)下行端口各自設(shè)置不同的VLANID,二層交換機(jī)上行端口設(shè)置為VLAN透?jìng)?,就產(chǎn)生了一個(gè)三層交換機(jī)端口對(duì)應(yīng)多個(gè)VLANID的情況,每

      個(gè)VLANID對(duì)應(yīng)一個(gè)二層交換機(jī)的端口。用戶認(rèn)證時(shí),三層交換機(jī)將VLAN信息上傳到AAA,AAA與預(yù)先設(shè)置的信息匹配,根據(jù)匹配成功與否決定是否允許用戶接入。

      此外,用戶認(rèn)證時(shí),可以由AAA將用戶所屬的VLANID隨認(rèn)證響應(yīng)報(bào)文下發(fā)到接入設(shè)備,這是另外一個(gè)角度的功能。雖然無(wú)法限制用戶只能通過特定的二層交換機(jī)端口上網(wǎng)。但是可以限制用戶無(wú)論從那個(gè)端口接入,使用的都是用一個(gè)VLANID。這樣做的意義在于,一般的DHCPServer都可以根據(jù)VLAN劃分地址池,用戶無(wú)論在哪個(gè)位置上網(wǎng),都會(huì)從相同的地址池中分配IP地址。出口路由器上可以根據(jù)源IP地址制定相應(yīng)的訪問權(quán)限。綜合所有這些,變相地實(shí)現(xiàn)了在出口路由器上根據(jù)用戶名制定訪問權(quán)限的功能。

      5其它說明

      標(biāo)準(zhǔn)的802.1x認(rèn)證,只能控制接入端口的打開和關(guān)閉,如某個(gè)端口下掛了一個(gè)HUB,則只要HUB上有一個(gè)用戶認(rèn)證通過,該端口就處于打開狀態(tài),此HUB下的其他用戶也都可以上網(wǎng)。為了解決這個(gè)問題,出現(xiàn)了基于MAC地址的認(rèn)證,某個(gè)用戶認(rèn)證通過后,接入設(shè)備就將此用戶的MAC地址記錄下來,接入設(shè)備只允許所記錄MAC地址發(fā)送的報(bào)文通過。其他MAC地址的報(bào)文一律拒絕。

      為了提高安全性,接入設(shè)備除了記錄用戶的MAC地址外,還記錄了用戶的IP地址、VLANID等,收到的報(bào)文中,只要MAC地址、IP地址和VLANID任何一個(gè)與接入設(shè)備上保存的信息匹配不上,就不允許此報(bào)文通過。有的場(chǎng)合,也將這種方式稱為接入設(shè)備的“MAC地址+IP地址+VLANID”綁定功能。功能上與前邊的AAA無(wú)關(guān)的動(dòng)態(tài)綁定比較類似,只是用途和目的不同。

      四、業(yè)界廠商產(chǎn)品對(duì)綁定的支持

      以上的常用綁定功能業(yè)界廠商都普遍支持,一些廠商還進(jìn)行了更有特色的功能開發(fā),如華為提供的以下增強(qiáng)功能:

      1綁定信息自學(xué)習(xí)

      (1)MAC地址自動(dòng)學(xué)習(xí)

      配置AAA相關(guān)MAC地址綁定功能時(shí),MAC很長(zhǎng),難以記憶,輸入時(shí)也經(jīng)常出錯(cuò),一旦MAC地址輸入錯(cuò)誤,就會(huì)造成用戶無(wú)法上網(wǎng),大大增加了AAA系統(tǒng)管理員的工作量。CAMS實(shí)現(xiàn)了MAC地址自動(dòng)學(xué)習(xí)功能,可以學(xué)習(xí)用戶第一次上網(wǎng)的MAC地址,并自動(dòng)與用戶綁定,既減少了工作量,又不會(huì)出錯(cuò)。以后用戶MAC地址變更時(shí),系統(tǒng)管理員將用戶綁定的MAC地址清空,CAMS會(huì)再次自動(dòng)學(xué)習(xí)用戶MAC地址。

      (2)IP地址自動(dòng)學(xué)習(xí)

      與MAC地址自動(dòng)學(xué)習(xí)類似。

      2一對(duì)多綁定

      (1)IP地址一對(duì)多綁定

      用戶可以綁定不止一個(gè)IP地址。而是可以綁定一個(gè)連續(xù)的地址段。這個(gè)功能主要應(yīng)用于校園網(wǎng)中,一個(gè)教研室一般都會(huì)分配一個(gè)連續(xù)的地址段,教研室的每個(gè)用戶都可以自由使用該地址段中的任何一個(gè)IP地址。教研室內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和IP地址經(jīng)常變化。將用戶和教研室的整個(gè)地址段綁定后,可以由各教研室自己分配和管理內(nèi)部IP地址,既不會(huì)因教研室內(nèi)部IP地址分配問題影響整個(gè)校園網(wǎng)的正常運(yùn)轉(zhuǎn),又可以大大減少AAA系統(tǒng)管理員的工作量。

      (2)端口一對(duì)多綁定

      與IP地址一對(duì)多綁定類似,也存在端口一對(duì)多綁定的問題。CAMS將端口信息分成以下幾個(gè)部分:接入設(shè)備IP地址-槽號(hào)-子槽號(hào)-端口號(hào)-VLANID,這幾個(gè)部分按照范圍由廣到窄的順序。任何一個(gè)部分都可以使用通配符,表示不限制具體數(shù)值。比如:端口號(hào)部分輸入通配符,就表示將用戶綁定在某臺(tái)交換機(jī)下的某個(gè)槽號(hào)的某個(gè)子槽號(hào)的所有端口上,可以從其中的任何一個(gè)端口接入。

      猜你喜歡
      層交換機(jī)用戶名IP地址
      《護(hù)士進(jìn)修雜志》投稿程序
      鐵路遠(yuǎn)動(dòng)系統(tǒng)幾種組網(wǎng)方式IP地址的申請(qǐng)和設(shè)置
      應(yīng)用與配置實(shí)例
      機(jī)智的快遞員
      基于SNMP的IP地址管理系統(tǒng)開發(fā)與應(yīng)用
      黑龍江電力(2017年1期)2017-05-17 04:25:16
      巧用批處理查找端口
      交換機(jī)級(jí)聯(lián)端口被綁之后
      基于不同版本的Cisco Packet Tracer實(shí)驗(yàn)結(jié)果比較
      ESET NOD32專家答疑等
      輕輕松松……在線制作電子書
      望奎县| 澄城县| 威信县| 邳州市| 云安县| 岫岩| 安阳市| 牙克石市| 垫江县| 基隆市| 灌南县| 平潭县| 诸城市| 海原县| 霞浦县| 怀柔区| 连云港市| 宜昌市| 新田县| 和林格尔县| 奉节县| 涞水县| 潜山县| 甘洛县| 佛学| 石泉县| 宝坻区| 如皋市| 白朗县| 上饶县| 漯河市| 塔城市| 湛江市| 沽源县| 深泽县| 万载县| 芦溪县| 南阳市| 闻喜县| 顺义区| 谷城县|