淺談綁定之應用

聽風人

目前以太網已經普遍應用于運營領域，如小區接入、校園網等等。但由于以太網本身的開放性、共享性和弱管理性。采用以太網接入在用戶管理和安全管理上必然存在諸多隱患。業界廠商都在尋找相應的解決方案以適應市場需求，綁定是目前普遍宣傳和被應用的功能，如常見的端口綁定、MAC綁定、IP綁定、動態綁定、靜態綁定等。其根本目的是要實現用戶的唯一性確定，從而實現對以太網用戶的管理。

一、綁定的由來

綁定的英文詞是BINDING，其含義是將兩個或多個實體強制性地關聯在一起。一個大家比較熟悉的例子，就是配置網卡時，將網絡協議與網卡驅動綁定在一起。其實在接入認證時，匹配用戶名和密碼，也是一種綁定，只有用戶名存在并且密碼匹配成功，才認為是合法用戶。在這里，用戶名已經可以唯一標識某個用戶，與對應密碼進行一一綁定。

二、綁定的分類

從綁定的實現機制上，可以分為AAA(服務器)有關綁定和AAA無關綁定；從綁定的時機上，可以分為靜態綁定和動態綁定。

AAA是用戶信息數據庫，所以AAA有關綁定以用戶信息為核心，認證時設備上傳綁定的相關屬性(端口、VLAN、MAC、IP等)，AAA收到后與本地保存的用戶信息匹配。匹配成功則允許用戶上網，否則拒絕上網請求。

AAA無關綁定完全由接入設備實現。接入設備(如Lanswitch)上沒有用戶信息，所以AAA無關綁定只能以端口為核心，在端口上可以配置本端口可以接入的MAC(或IP)地址列表，只有其MAC地址屬于此列表中的計算機才能夠從該端口接入網絡。

靜態綁定是在用戶接入網絡前靜態配置綁定的相關信息，用戶接入認證時，匹配這些信息，只有匹配成功才能接入。

動態綁定的相關信息不是靜態配置的。而是接入時才動態保存到接入設備上，接入網絡后不允許用戶再修改這些信息，一旦修改，則強制用戶下線。

AAA相關綁定一般都是靜態綁定，動態綁定一般都是在接入設備上實現的。接入設備離最終用戶最近，用戶所有的認證數據流和業務數據流都必須經過接入設備，只有認證數據流經過AAA，所以接入設備可以最容易最及時發現相關綁定信息的變化，也方便采取強制用戶下線等處理措施。另外，網絡中AAA一般只有一臺，集中管理，接入設備卻有很多，由分散的接入設備監視用戶綁定信息的變化，可以減輕AAA的負擔。

三、綁定的應用模式

除了常用的用戶名與密碼綁定外，可以用于綁定的屬性主要有：端口、VLAN、MAC地址和IP地址。這些屬性的特性不同。其綁定的應用模式也有較大差別。

1IP地址綁定

(1)解釋

按照前邊的定義標準，IP地址綁定可以分為AAA有關IP地址綁定、AAA無關IP地址綁定、IP地址靜態綁定和IP地址動態綁定。

AAA有關IP地址綁定：在AAA上保存用戶固定分配的IP地址，用戶認證時，接入設備上傳用戶機器靜態配置的IP地址，AAA將設備上傳IP地址與本地保存IP地址比較，只有相等才允許接入。

AAA無關IP地址綁定：在接入設備上配置某個端口只能允許哪些IP地址接入，一個端口可以對應一個IP地址，也可以對應多個，用戶訪問網絡時，只有源，IP地址在允許的范圍內，才可以接入。

IP地址靜態綁定：接入網絡時檢查用戶的IP地址是否合法。

IP地址動態綁定：用戶上網過程中。如更改了自己的IP地址，接入設備能夠獲取到，并禁止用戶繼續上網。

(2)應用

教育網中，學生經常改變自己的IP地址，學校里IP地址沖突的問題比較嚴重。各學校網絡中心承受的壓力很大，迫切需要限制學生不能隨便更改IP地址。可以采用以下方法做到用戶名和IP地址的一一對應，解決IP地址問題。

如有DHCPServer。可以使用IP地址動態綁定。限制用戶上網過程中更改IP地址。此時需要接入設備限制用戶只能通過DHCP獲取IP地址。靜態配置的IP地址無效。如沒有DHCPServer。可以使用AAA有關IP地址綁定和IP地址動態綁定相結合方式，限制用戶只能使用固定IP地址接入，接入后不允許用戶再修改IP地址。通過DHCPServer分配IP地址時，一般都可以為某個MAC地址分配固定的IP地址，再與AAA有關MAC地址綁定配合，變相地做到了用戶和IP地址的一一對應。

2、MAC地址綁定

(1)解釋

與IP地址綁定類似，MAC地址綁定也可以分為AAA有關MAC地址綁定和AAA無關MAC地址綁定；MAC地址靜態綁定和MAC地址動態綁定。

由于修改了MAC地址之后，必須重新啟動網卡才能有效，重新啟動網卡就意味著重新認證。所以MAC地址動態綁定意義不大。

(2)應用

AAA有關MAC地址綁定在政務網或園區網中應用比較多，將用戶名與機器網卡的MAC地址綁定起來，限制用戶只能在固定的機器上上網，主要是為了安全和防止賬號盜用。但由于MAC地址也是可以修改的。所以這個方法還存在一些漏洞的。

3端口綁定

(1)解釋

端口的相關信息包含接入設備的IP地址和端口號。

設備IP和端口號對最終用戶都是不可見的，最終用戶也無法修改端口信息，用戶更換端口后，一般都需要重新認證，所以端口動態綁定的意義不大。由于AAA無關綁定是以端口為核心了，所以AAA無關端口綁定也沒有意義。

有意義的端口綁定主要是AAA有關端口綁定和端口靜態綁定。

(2)應用

AAA有關端口綁定主要用于政務網、園區網和運營商網絡，從而限制用戶只能在特定的端口上接入。

4VLAN綁定

(1)解釋

與端口綁定類似，VLAN相關信息也配置在接入設備上，最終用戶無法修改，所以，VLAN動態綁定意義不大。對于AAA無關VLAN綁定，如只將端口與VLANID綁定在一起，那么如果用戶自己連一個HUB，就會出現一旦此HUB上的一個用戶認證通過，其他用戶也可以上網的情況，造成網絡接入不可控，所以一般不會單獨使用AAA無關的VLAN綁定。

常用的VLAN綁定是AAA有關VLAN綁定和VLAN靜態綁定。

(2)應用

如網絡接入采用二層結構，上層是三層交換機，下層是二層交換機，認證點在三層交換機上，這種情況下，僅靠端口綁定只能限制用戶所屬的三層交換機端口，限制范圍太大，無法限制用戶所屬的二層交換機端口。

使用AAA有關VLAN綁定和VLAN靜態綁定就可以解決這個問題。

分別為二層交換機的每個下行端口各自設置不同的VLANID，二層交換機上行端口設置為VLAN透傳，就產生了一個三層交換機端口對應多個VLANID的情況，每

個VLANID對應一個二層交換機的端口。用戶認證時，三層交換機將VLAN信息上傳到AAA，AAA與預先設置的信息匹配，根據匹配成功與否決定是否允許用戶接入。

此外，用戶認證時，可以由AAA將用戶所屬的VLANID隨認證響應報文下發到接入設備，這是另外一個角度的功能。雖然無法限制用戶只能通過特定的二層交換機端口上網。但是可以限制用戶無論從那個端口接入，使用的都是用一個VLANID。這樣做的意義在于，一般的DHCPServer都可以根據VLAN劃分地址池，用戶無論在哪個位置上網，都會從相同的地址池中分配IP地址。出口路由器上可以根據源IP地址制定相應的訪問權限。綜合所有這些，變相地實現了在出口路由器上根據用戶名制定訪問權限的功能。

5其它說明

標準的802.1x認證，只能控制接入端口的打開和關閉，如某個端口下掛了一個HUB，則只要HUB上有一個用戶認證通過，該端口就處于打開狀態，此HUB下的其他用戶也都可以上網。為了解決這個問題，出現了基于MAC地址的認證，某個用戶認證通過后，接入設備就將此用戶的MAC地址記錄下來，接入設備只允許所記錄MAC地址發送的報文通過。其他MAC地址的報文一律拒絕。

為了提高安全性，接入設備除了記錄用戶的MAC地址外，還記錄了用戶的IP地址、VLANID等，收到的報文中，只要MAC地址、IP地址和VLANID任何一個與接入設備上保存的信息匹配不上，就不允許此報文通過。有的場合，也將這種方式稱為接入設備的“MAC地址+IP地址+VLANID”綁定功能。功能上與前邊的AAA無關的動態綁定比較類似，只是用途和目的不同。

四、業界廠商產品對綁定的支持

以上的常用綁定功能業界廠商都普遍支持，一些廠商還進行了更有特色的功能開發，如華為提供的以下增強功能：

1綁定信息自學習

(1)MAC地址自動學習

配置AAA相關MAC地址綁定功能時，MAC很長，難以記憶，輸入時也經常出錯，一旦MAC地址輸入錯誤，就會造成用戶無法上網，大大增加了AAA系統管理員的工作量。CAMS實現了MAC地址自動學習功能，可以學習用戶第一次上網的MAC地址，并自動與用戶綁定，既減少了工作量，又不會出錯。以后用戶MAC地址變更時，系統管理員將用戶綁定的MAC地址清空，CAMS會再次自動學習用戶MAC地址。

(2)IP地址自動學習

與MAC地址自動學習類似。

2一對多綁定

(1)IP地址一對多綁定

用戶可以綁定不止一個IP地址。而是可以綁定一個連續的地址段。這個功能主要應用于校園網中，一個教研室一般都會分配一個連續的地址段，教研室的每個用戶都可以自由使用該地址段中的任何一個IP地址。教研室內部的網絡結構和IP地址經常變化。將用戶和教研室的整個地址段綁定后，可以由各教研室自己分配和管理內部IP地址，既不會因教研室內部IP地址分配問題影響整個校園網的正常運轉，又可以大大減少AAA系統管理員的工作量。

(2)端口一對多綁定

與IP地址一對多綁定類似，也存在端口一對多綁定的問題。CAMS將端口信息分成以下幾個部分：接入設備IP地址-槽號-子槽號-端口號-VLANID，這幾個部分按照范圍由廣到窄的順序。任何一個部分都可以使用通配符，表示不限制具體數值。比如：端口號部分輸入通配符，就表示將用戶綁定在某臺交換機下的某個槽號的某個子槽號的所有端口上，可以從其中的任何一個端口接入。