淺談綁定之應用
目前乙太網已經普遍應用於運營領域,如小區接入、校園網等等。但由於乙太網本身的開放性、共享性和弱管理性,採用乙太網接入在用戶管理和安全管理上必然存在諸多隱患。業界廠商都在尋找相應的解決方案以適應市場需求,綁定是目前普遍宣傳和被應用的功能,如常見的連接阜綁定、MAC綁定、IP綁定、動態綁定、靜態綁定等。其根本目的是要實現用戶的唯一性確定,從而實現對乙太網用戶的管理。
一、綁定的由來
綁定的英文詞是BINDING,其含義是將兩個或多個實體強制性的關聯在一起。一個大家比較熟悉的例子,就是配置網卡時,將網路協議與網卡驅動綁定在一起。其實在接入認證時,匹配用戶名和密碼,也是一種綁定,只有用戶名存在並且密碼匹配成功,才認為是合法用戶。在這裡,用戶名已經可以唯一標識某個用戶,與對應密碼進行一一綁定。
二、綁定的分類
從綁定的實現機制上,可以分為AAA(服務器)有關綁定和AAA無關綁定;從綁定的時機上,可以分為靜態綁定和動態綁定。
AAA是用戶訊息資料庫,所以AAA有關綁定以用戶訊息為核心,認證時設備上傳綁定的相關內容(連接阜、VLAN、MAC、IP等),AAA收到後與本機儲存的用戶訊息匹配,匹配成功則允許用戶上網,否則拒絕上網請求。
AAA無關綁定完全由接入設備實現。接入設備(如Lanswitch)上沒有用戶訊息,所以AAA無關綁定只能以連接阜為核心,在連接阜上可以配置本連接阜可以接入的MAC(或IP)位址列表,只有其MAC卡位址屬於此列表中的電腦才能夠從該連接阜接入網路。
靜態綁定是在用戶接入網路前靜態配置綁定的相關訊息,用戶接入認證時,匹配這些訊息,只有匹配成功才能接入。
動態綁定的相關訊息不是靜態配置的,而是接入時才動態儲存到接入設備上,接入網路後不允許用戶再修改這些訊息,一旦修改,則強制用戶下線。
AAA相關綁定一般都是靜態綁定,動態綁定一般都是在接入設備上實現的。接入設備離最終用戶最近,用戶所有的認證資料流和業務資料流都必須經過接入設備,只有認證資料流經過AAA,所以接入設備可以最容易最及時發現相關綁定訊息的變化,也方便採取強制用戶下線等處理措施。另外,網路中AAA一般只有一台,集中管理,接入設備卻有很多,由分散的接入設備監視用戶綁定訊息的變化,可以減輕AAA的負擔。
三、綁定的應用模式
除了常用的用戶名與密碼綁定外,可以用於綁定的內容主要有:連接阜、VLAN、MAC卡位址和IP位址。這些內容的特性不同,其綁定的應用模式也有較大差別。
1、IP位址綁定
1)解釋
按照前邊的定義標準,IP位址綁定可以分為AAA有關IP位址綁定、AAA無關IP位址綁定、IP位址靜態綁定和IP位址動態綁定。
AAA有關IP位址綁定:在AAA上儲存用戶固定分配的IP位址,用戶認證時,接入設備上傳用戶機器靜態配置的IP位址,AAA將設備上傳IP位址與本機儲存IP位址比較,只有相等才允許接入。
AAA無關IP位址綁定:在接入設備上配置某個連接阜只能允許哪些IP位址接入,一個連接阜可以對應一個IP位址,也可以對應多個,用戶訪問網路時,只有源IP位址在允許的範圍內,才可以接入。
IP位址靜態綁定:接入網路時檢查用戶的IP位址是否合法。
IP位址動態綁定:用戶上網過程中,如更改了自己的IP位址,接入設備能夠獲取到,並禁止用戶繼續上網。
2)應用
教育網中,學生經常改變自己的IP位址,學校裡IP位址衝突的問題比較嚴重,各學校網路中心承受的壓力很大,迫切需要限制學生不能隨便更改IP位址。可以採用以下方法做到用戶名和IP位址的一一對應,解決IP位址問題。
如有DHCP Server,可以使用IP位址動態綁定,限制用戶上網過程中更改IP位址。此時需要接入設備限制用戶只能通過DHCP獲取IP位址,靜態配置的IP位址無效。如沒有DHCP Server,可以使用AAA有關IP位址綁定和IP位址動態綁定相結合方式,限制用戶只能使用固定IP位址接入,接入後不允許用戶再修改IP位址。通過DHCP Server分配IP位址時,一般都可以為某個MAC卡位址分配固定的IP位址,再與AAA有關MAC卡位址綁定配合,變相的做到了用戶和IP位址的一一對應。
2、MAC卡位址綁定
1)解釋
與IP位址綁定類似,MAC卡位址綁定也可以分為AAA有關MAC卡位址綁定和AAA無關MAC卡位址綁定;MAC卡位址靜態綁定和MAC卡位址動態綁定。
由於修改了MAC卡位址之後,必須重新啟動網卡才能有效,重新啟動網卡就意味著重新認證,所以MAC卡位址動態綁定意義不大。
2)應用
AAA有關MAC卡位址綁定在政務網或園區網中應用比較多,將用戶名與機器網卡的MAC卡位址綁定起來,限制用戶只能在固定的機器上上網,主要是為了安全和防止帳號盜用。但由於MAC卡位址也是可以修改的,所以這個方法還存在一些漏洞的。
3、連接阜綁定
1)解釋
連接阜的相關訊息包含接入設備的IP位址和連接阜號。
設備IP和連接阜號對最終用戶都是不可見的,最終用戶也無法修改連接阜訊息,用戶更換連接阜後,一般都需要重新認證,所以連接阜動態綁定的意義不大。由於AAA無關綁定是以連接阜為核心了,所以AAA無關連接阜綁定也沒有意義。
有意義的連接阜綁定主要是AAA有關連接阜綁定和連接阜靜態綁定。
2)應用
AAA有關連接阜綁定主要用於政務網、園區網和運營商網路,從而限制用戶只能在特定的連接阜上接入。
4、VLAN綁定
1)解釋
與連接阜綁定類似,VLAN相關訊息也配置在接入設備上,最終用戶無法修改,所以,VLAN動態綁定意義不大。對於AAA無關VLAN綁定,如只將連接阜與VLAN ID綁定在一起,那麼如果用戶自己連一個HUB,就會出現一旦此HUB上的一個用戶認證通過,其他用戶也可以上網的情況,造成網路接入不可控,所以一般不會單獨使用AAA無關的VLAN綁定。
常用的VLAN綁定是AAA有關VLAN綁定和VLAN靜態綁定。
2)應用
如網路接入採用二層結構,上層是三層交換機,下層是二層交換機,認證點在三層交換機上,這種情況下,僅靠連接阜綁定只能限制用戶所屬的三層交換機連接阜,限制範圍太大,無法限制用戶所屬的二層交換機連接阜。
使用AAA有關VLAN綁定和VLAN靜態綁定就可以解決這個問題。
分別為二層交換機的每個下行連接阜各自設置不同的VLAN ID,二層交換機上行連接阜設置為VLAN透傳,就產生了一個三層交換機連接阜對應多個VLAN ID的情況,每個VLAN ID對應一個二層交換機的連接阜。用戶認證時,三層交換機將VLAN訊息上傳到AAA,AAA與預先設置的訊息匹配,根據匹配成功與否決定是否允許用戶接入。
此外,用戶認證時,可以由AAA將用戶所屬的VLAN ID隨認證響應報文下發到接入設備,這是另外一個角度的功能。雖然無法限制用戶只能通過特定的二層交換機連接阜上網,但是可以限制用戶無論從那個連接阜接入,使用的都是用一個VLAN ID。這樣做的意義在於,一般的DHCP Server都可以根據VLAN劃分位址池,用戶無論在哪個位置上網,都會從相同的位址池中分配IP位址。出口路由器上可以根據源IP位址制定相應的訪問權限。綜合所有這些,變相的實現了在出口路由器上根據用戶名制定訪問權限的功能。
5、其它說明
標準的802.1x認證,只能控制接入連接阜的打開和關閉,如某個連接阜下掛了一個HUB,則只要HUB上有一個用戶認證通過,該連接阜就處於打開狀態,此HUB下的其他用戶也都可以上網。為了解決這個問題,出現了基於MAC卡位址的認證,某個用戶認證通過後,接入設備就將此用戶的MAC卡位址記錄下來,接入設備只允許所記錄MAC卡位址發送的報文通過,其它MAC卡位址的報文一律拒絕。
為了提高安全性,接入設備除了記錄用戶的MAC卡位址外,還記錄了用戶的IP位址、VLAN ID等,收到的報文中,只要MAC卡位址、IP位址和VLAN ID任何一個與接入設備上儲存的訊息匹配不上,就不允許此報文通過。有的場合,也將這種方式稱為接入設備的「MAC卡位址+IP位址+VLAN ID」綁定功能。功能上與前邊的AAA無關的動態綁定比較類似,只是用途和目的不同。
四、業界廠商產品對綁定的支持
以上的常用綁定功能業界廠商都普遍支持,一些廠商還進行了更有特色的功能開發,如華為提供的以下增強功能:
1、綁定訊息自學習
1)MAC卡位址自動學習
配置AAA相關MAC卡位址綁定功能時,MAC很長,難以記憶,輸入時也經常出錯,一旦MAC卡位址輸入錯誤,就會造成用戶無法上網,大大增加了AAA系統管理員的工作量。CAMS實現了MAC卡位址自動學習功能,可以學習用戶第一次上網的MAC卡位址,並自動與用戶綁定,既減少了工作量,又不會出錯。以後用戶MAC卡位址變更時,系統管理員將用戶綁定的MAC卡位址清空,CAMS會再次自動學習用戶MAC卡位址。
2)IP位址自動學習
與MAC卡位址自動學習類似。
2、一對多綁定
1)IP位址一對多綁定
用戶可以綁定不只一個IP位址,而是可以綁定一個連續的位址段。這個功能主要應用於校園網中,一個教研室一般都會分配一個連續的位址段,教研室的每個用戶都可以自由使用該位址段中的任何一個IP位址。教研室內部的網路結構和IP位址經常變化,將用戶和教研室的整個位址段綁定後,可以由各教研室自己分配和管理內部IP位址,既不會因教研室內部IP位址分配問題影響整個校園網的正常運轉,又可以大大減少AAA系統管理員的工作量。
2)連接阜一對多綁定
與IP位址一對多綁定類似,也存在連接阜一對多綁定的問題。CAMS將連接阜訊息分成以下幾個部分:接入設備IP位址-槽號-子槽號-連接阜號-VLAN ID,這幾個部分按照範圍由廣到窄的順序。任何一個部分都可以使用通配符,表示不限制具體數值。比如,連接阜號部分輸入通配符,就表示將用戶綁定在某台交換機下的某個槽號的某個子槽號的所有連接阜上,可以從其中的任何一個連接阜接入。
|