《浅谈ip地址绑定》由会员分享,可在线阅读,更多相关《浅谈ip地址绑定(10页珍藏版)》请在金锄头文库上搜索。
1、浅谈浅谈 IPIP 地址绑定地址绑定单日志页面显示设置关闭 网易首页网易博客 博客首页博客拍拍精美风格博客圈子博客活动娱乐中心博客话题找 朋 友博客复制手机博客短信写博意见反馈更多 搜 索登录| 注册 信息技术交流博客吧欢迎博客朋友们交流 首页 日志 相册 音乐 收藏 博友 关于我 很抱歉,因为您在网易相册发布了违规信息,账号被屏蔽。被屏蔽期间他人无法访问您的相册。去帮助中心,了解如何重新恢复服务。日志万象 2004 破解版安装教程 网卡的 MAC 地址究竟该如何查询得到 浅谈 IP 地址绑定网络 技术 2009-12-17 21:41 阅读 3 评论 0 字号: 大大 中中 小小 目前以太网
2、已经普遍应用于运营领域,如小区接入、校园网等等。但由于以太网本身的开放性、共享性和弱管理性,采用以太网接入在用 户管理和安全管理上必然存在诸多隐患。业界厂商都在寻找相应的解决方案以适应市场需求,绑定是目前普遍宣传和被应用的功能,如常 见的端口绑定、MAC 绑定、IP 绑定、动态绑定、静态绑定等。其根本目的是要实现用户的唯一性确定,从而实现对以太网用户的管理 。 一、绑定的由来 绑定的英文词是 BINDING,其含义是将两个或多个实体强制性的关联在一起。一个大家比较熟悉的例子,就是配置网卡时,将 网络协议与网卡驱动绑定在一起。其实在接入认证时,匹配用户名和密码,也是一种绑定,只有用户名存在并且密
3、码匹配成功,才认为是 合法用户。在这里,用户名已经可以唯一标识某个用户,与对应密码进行一一绑定。 二、绑定的分类 从绑定的实现机制上,可以分为 AAA(服务器)有关绑定和 AAA无关绑定;从绑定的时机上,可以分为静态绑定和动态绑定。 AAA 是用户信息数据库,所以 AAA 有关绑定以用户信息为核心,认证时设备上传绑定的相关属性(端口、VLAN、MAC、I P 等) ,AAA收到后与本地保存的用户信息匹配,匹配成功则允许用户上网,否则拒绝上网请求。 AAA 无关绑定完全由接入设备实现。接入设备(如 Lanswitch)上没有用户信息,所以 AAA 无关绑定只能以端口为核心 ,在端口上可以配置本端
4、口可以接入的 MAC(或 IP)地址列表,只有其 MAC 地址属于此列表中的计算机才能够从该端口接入网络。 静态绑定是在用户接入网络前静态配置绑定的相关信息,用户接入认证时,匹配这些信息,只有匹配成功才能接入。 动态绑定的相关信息不是静态配置的,而是接入时才动态保存到接入设备上,接入网络后不允许用户再修改这些信息,一旦修改,则 强制用户下线。 AAA 相关绑定一般都是静态绑定,动态绑定一般都是在接入设备上实现的。接入设备离最终用户最近,用户所有的认证数据流和业 务数据流都必须经过接入设备,只有认证数据流经过 AAA,所以接入设备可以最容易最及时发现相关绑定信息的变化,也方便采取强制 用户下线等
5、处理措施。另外,网络中 AAA 一般只有一台,集中管理,接入设备却有很多,由分散的接入设备监视用户绑定信息的变化, 可以减轻 AAA 的负担。 三、绑定的应用模式 除了常用的用户名与密码绑定外,可以用于绑定的属性主要有:端口、VLAN、MAC 地址和 IP 地址。这些属性的特性不同,其 绑定的应用模式也有较大差别。 1、IP 地址绑定 1)解释 按照前边的定义标准,IP 地址绑定可以分为 AAA 有关 IP 地址绑定、AAA 无关 IP 地址绑定、IP 地址静态绑定和 IP 地址动 态绑定。AAA 有关 IP 地址绑定:在 AAA 上保存用户固定分配的 IP 地址,用户认证时,接入设备上传用户
6、机器静态配置的 IP 地址,A AA 将设备上传 IP 地址与本地保存 IP 地址比较,只有相等才允许接入。 AAA 无关 IP 地址绑定:在接入设备上配置某个端口只能允许哪些 IP 地址接入,一个端口可以对应一个 IP 地址,也可以对应多 个,用户访问网络时,只有源 IP 地址在允许的范围内,才可以接入。 IP 地址静态绑定:接入网络时检查用户的 IP 地址是否合法。 IP 地址动态绑定:用户上网过程中,如更改了自己的 IP 地址,接入设备能够获取到,并禁止用户继续上网。 2)应用 教育网中,学生经常改变自己的 IP 地址,学校里 IP 地址冲突的问题比较严重,各学校网络中心承受的压力很大,
7、迫切需要限制学 生不能随便更改 IP 地址。可以采用以下方法做到用户名和 IP 地址的一一对应,解决 IP 地址问题。 如有 DHCP Server,可以使用 IP 地址动态绑定,限制用户上网过程中更改 IP 地址。此时需要接入设备限制用户只能通过 DHCP 获取 IP 地址,静态配置的 IP 地址无效。如没有 DHCP Server,可以使用 AAA 有关 IP 地址绑定和 IP 地址动态绑定相结合方式,限制用户只能使用固定 IP 地址接入,接入后不允许 用户再修改 IP 地址。通过 DHCP Server 分配 IP 地址时,一般都可以为某个 MAC 地址分配固定的 IP 地址,再与 AA
8、A 有关 MAC 地址绑定配合,变相的做到了 用户和 IP 地址的一一对应。 2、MAC 地址绑定 1)解释 与 IP 地址绑定类似,MAC 地址绑定也可以分为 AAA 有关 MAC 地址绑定和 AAA 无关 MAC 地址绑定;MAC 地址静态绑定和 MAC 地址动态绑定。 由于修改了 MAC 地址之后,必须重新启动网卡才能有效,重新启动网卡就意味着重新认证,所以 MAC 地址动态绑定意义不大。 2)应用 AAA 有关 MAC 地址绑定在政务网或园区网中应用比较多,将用户名与机器网卡的 MAC 地址绑定起来,限制用户只能在固定的机 器上上网,主要是为了安全和防止帐号盗用。但由于 MAC 地址也
9、是可以修改的,所以这个方法还存在一些漏洞的。 3、端口绑定 1)解释 端口的相关信息包含接入设备的 IP 地址和端口号。 设备 IP 和端口号对最终用户都是不可见的,最终用户也无法修改端口信息,用户更换端口后,一般都需要重新认证,所以端口动态 绑定的意义不大。由于 AAA 无关绑定是以端口为核心了,所以AAA 无关端口绑定也没有意义。 有意义的端口绑定主要是 AAA 有关端口绑定和端口静态绑定。 2)应用 AAA 有关端口绑定主要用于政务网、园区网和运营商网络,从而限制用户只能在特定的端口上接入。 4、VLAN 绑定 1)解释 与端口绑定类似,VLAN 相关信息也配置在接入设备上,最终用户无法
10、修改,所以,VLAN 动态绑定意义不大。对于 AAA 无关 VLAN绑定,如只将端口与 VLAN ID 绑定在一起,那么如果用户自己连一个 HUB,就会出现一旦此 HUB 上的一个用户认证通过,其他用户也可以上网的情况,造成网 络接入不可控,所以一般不会单独使用AAA 无关的 VLAN 绑定。 常用的 VLAN 绑定是 AAA 有关 VLAN 绑定和 VLAN 静态绑定。 2)应用 如网络接入采用二层结构,上层是三层交换机,下层是二层交换机,认证点在三层交换机上,这种情况下,仅靠端口绑定只能限制用 户所属的三层交换机端口,限制范围太大,无法限制用户所属的二层交换机端口。 使用 AAA 有关 V
11、LAN 绑定和 VLAN 静态绑定就可以解决这个问题。分别为二层交换机的每个下行端口各自设置不同的 VLAN ID,二层交换机上行端口设置为 VLAN 透传,就产生了一个三层交换机端口对应多个 VLAN ID 的情况,每个 VLAN ID 对应一个二层交换机的端口。用户认证时,三层交换机将 VLAN 信息上传到 AAA,AAA 与预先设置的信息匹配,根据匹配成功 与否决定是否允许用户接入。 此外,用户认证时,可以由 AAA 将用户所属的 VLAN ID 随认证响应报文下发到接入设备,这是另外一个角度的功能。虽然无法限制用户只能通过特定的二层交换机端口上网,但是可以限制 用户无论从那个端口接入,
12、使用的都是用一个 VLAN ID。这样做的意义在于,一般的 DHCP Server 都可以根据 VLAN 划分地址池,用户无论在哪个位置上网,都会从相同的地址池中分配 IP 地址。出口路由器上可以根据 源 IP 地址制定相应的访问权限。综合所有这些,变相的实现了在出口路由器上根据用户名制定访问权限的功能。 5、其它说明 标准的 802.1x 认证,只能控制接入端口的打开和关闭,如某个端口下挂了一个 HUB,则只要 HUB 上有一个用户认证通过, 该端口就处于打开状态,此 HUB 下的其他用户也都可以上网。为了解决这个问题,出现了基于 MAC 地址的认证,某个用户认证通过后 ,接入设备就将此用户
13、的 MAC 地址记录下来,接入设备只允许所记录 MAC地址发送的报文通过,其它 MAC 地址的报文一律拒绝。 为了提高安全性,接入设备除了记录用户的 MAC 地址外,还记录了用户的 IP 地址、VLAN ID 等,收到的报文中,只要 MAC 地址、IP 地址和 VLAN ID 任何一个与接入设备上保存的信息匹配不上,就不允许此报文通过。有的场合,也将这种方式称为接入设备的“MAC地址+IP 地 址+VLAN ID”绑定功能。功能上与前边的 AAA 无关的动态绑定比较类似,只是用途和目的不同。 四、业界厂商产品对绑定的支持 以上的常用绑定功能业界厂商都普遍支持,一些厂商还进行了更有特色的功能开发
14、,如华为提供的以下增强功能: 1、绑定信息自学习 1)MAC 地址自动学习 配置 AAA 相关 MAC 地址绑定功能时,MAC 很长,难以记忆,输入时也经常出错,一旦 MAC 地址输入错误,就会造成用户无法 上网,大大增加了 AAA 系统管理员的工作量。CAMS 实现了 MAC 地址自动学习功能,可以学习用户第一次上网的 MAC 地址,并自 动与用户绑定,既减少了工作量,又不会出错。以后用户 MAC 地址变更时,系统管理员将用户绑定的 MAC 地址清空,CAMS 会再次 自动学习用户 MAC地址。 2)IP 地址自动学习 与 MAC 地址自动学习类似。 2、一对多绑定 1)IP 地址一对多绑定
15、 用户可以绑定不只一个 IP 地址,而是可以绑定一个连续的地址段。这个功能主要应用于校园网中,一个教研室一般都会分配一个连 续的地址段,教研室的每个用户都可以自由使用该地址段中的任何一个 IP 地址。教研室内部的网络结构和 IP 地址经常变化,将用户和 教研室的整个地址段绑定后,可以由各教研室自己分配和管理内部 IP 地址,既不会因教研室内部 IP 地址分配问题影响整个校园网的正 常运转,又可以大大减少 AAA 系统管理员的工作量。 2)端口一对多绑定 与 IP 地址一对多绑定类似,也存在端口一对多绑定的问题。CAMS 将端口信息分成以下几个部分:接入设备 IP 地址-槽号-子 槽号-端口号-
16、VLAN ID,这几个部分按照范围由广到窄的顺序。任何一个部分都可以使用通配符,表示不限制具体数值。比如,端口号部分输入通配符,就 表示将用户绑定在某台交换机下的某个槽号的某个子槽号的所有端口上,可以从其中的任何一个端口接入。 局域网的一大特点就是拥有一定数量的终端用户。作为省属重点中学,笔者所在学校局域网的终端用户有 600 多个,为了区分各类不同 用户,我们采用的是终端固定 IP 设置的方法。和其他许多学校的网管一样,我们也一直被终端用户私改 IP 地址造成的网络冲突问题困 扰着。咨询相关网络公司,他们也提供了不少解决方案,但大多价格不菲。没有办法,只好绞尽脑汁自己想办法了。笔者采用了基于防火 墙的 IP 地址与 MAC 地址绑定+基于交换机的 MAC 地址与端口绑定的二级管理方法,双管齐下,较好地解决了这个问题。现将实现方 法阐述如下: 一、基于防火墙的 IP 地址与 MAC 地址绑定 1 做好整个局域网终端用户计算机的命名,指定 IP 地址 根据用户的类别统一命名计算机,并给定 IP 地址。这样一看机器名,就知道是哪个部门哪台机器,便于管理
