免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

 

綁定是目前普遍宣傳和被應(yīng)用的功能，如常見的端口綁定、MAC綁定、IP綁定、動態(tài)綁定、靜態(tài)綁定等。其根本目的是要實現(xiàn)用戶的唯一性確定，從而實現(xiàn)對以太網(wǎng)用戶的管理。

　　一、綁定的由來

　　綁定的英文詞是BINDING，其含義是將兩個或多個實體強制性的關(guān)聯(lián)在一起。一個大家比較熟悉的例子，就是配置網(wǎng)卡時，將網(wǎng)絡(luò)協(xié)議與網(wǎng)卡驅(qū)動綁定在一起。其實在接入認證時，匹配用戶名和密碼，也是一種綁定，只有用戶名存在并且密碼匹配成功，才認為是合法用戶。在這里，用戶名已經(jīng)可以唯一標識某個用戶，與對應(yīng)密碼進行一一綁定。

　　二、綁定的分類

　　從綁定的實現(xiàn)機制上，可以分為AAA（服務(wù)器）有關(guān)綁定和AAA無關(guān)綁定；從綁定的時機上，可以分為靜態(tài)綁定和動態(tài)綁定。

　　AAA是用戶信息數(shù)據(jù)庫，所以AAA有關(guān)綁定以用戶信息為核心，認證時設(shè)備上傳綁定的相關(guān)屬性（端口、VLAN、MAC、IP等），AAA收到后與本地保存的用戶信息匹配，匹配成功則允許用戶上網(wǎng)，否則拒絕上網(wǎng)請求。

　　AAA無關(guān)綁定完全由接入設(shè)備實現(xiàn)。接入設(shè)備（如Lanswitch）上沒有用戶信息，所以AAA無關(guān)綁定只能以端口為核心，在端口上可以配置本端口可以接入的MAC（或IP）地址列表，只有其MAC地址屬于此列表中的計算機才能夠從該端口接入網(wǎng)絡(luò)。

　　靜態(tài)綁定是在用戶接入網(wǎng)絡(luò)前靜態(tài)配置綁定的相關(guān)信息，用戶接入認證時，匹配這些信息，只有匹配成功才能接入。

　　動態(tài)綁定的相關(guān)信息不是靜態(tài)配置的，而是接入時才動態(tài)保存到接入設(shè)備上，接入網(wǎng)絡(luò)后不允許用戶再修改這些信息，一旦修改，則強制用戶下線。

　　AAA相關(guān)綁定一般都是靜態(tài)綁定，動態(tài)綁定一般都是在接入設(shè)備上實現(xiàn)的。接入設(shè)備離最終用戶最近，用戶所有的認證數(shù)據(jù)流和業(yè)務(wù)數(shù)據(jù)流都必須經(jīng)過接入設(shè)備，只有認證數(shù)據(jù)流經(jīng)過AAA，所以接入設(shè)備可以最容易最及時發(fā)現(xiàn)相關(guān)綁定信息的變化，也方便采取強制用戶下線等處理措施。另外，網(wǎng)絡(luò)中AAA一般只有一臺，集中管理，接入設(shè)備卻有很多，由分散的接入設(shè)備監(jiān)視用戶綁定信息的變化，可以減輕AAA的負擔(dān)。

　　三、綁定的應(yīng)用模式

　　除了常用的用戶名與密碼綁定外，可以用于綁定的屬性主要有：端口、VLAN、MAC地址和IP地址。這些屬性的特性不同，其綁定的應(yīng)用模式也有較大差別。

　　1、IP地址綁定

　　1）解釋

　　按照前邊的定義標準，IP地址綁定可以分為AAA有關(guān)IP地址綁定、AAA無關(guān)IP地址綁定、IP地址靜態(tài)綁定和IP地址動態(tài)綁定。

　　AAA有關(guān)IP地址綁定：在AAA上保存用戶固定分配的IP地址，用戶認證時，接入設(shè)備上傳用戶機器靜態(tài)配置的IP地址，AAA將設(shè)備上傳IP地址與本地保存IP地址比較，只有相等才允許接入。

　　AAA無關(guān)IP地址綁定：在接入設(shè)備上配置某個端口只能允許哪些IP地址接入，一個端口可以對應(yīng)一個IP地址，也可以對應(yīng)多個，用戶訪問網(wǎng)絡(luò)時，只有源IP地址在允許的范圍內(nèi)，才可以接入。

　　IP地址靜態(tài)綁定：接入網(wǎng)絡(luò)時檢查用戶的IP地址是否合法。

IP地址動態(tài)綁定：用戶上網(wǎng)過程中，如更改了自己的IP地址，接入設(shè)備能夠獲取到，并禁止用戶繼續(xù)上網(wǎng)。

2）應(yīng)用

　　教育網(wǎng)中，學(xué)生經(jīng)常改變自己的IP地址，學(xué)校里IP地址沖突的問題比較嚴重，各學(xué)校網(wǎng)絡(luò)中心承受的壓力很大，迫切需要限制學(xué)生不能隨便更改IP地址?？梢圆捎靡韵路椒ㄗ龅接脩裘?span lang="EN-US">IP地址的一一對應(yīng)，解決IP地址問題。

　　如有DHCP Server，可以使用IP地址動態(tài)綁定，限制用戶上網(wǎng)過程中更改IP地址。此時需要接入設(shè)備限制用戶只能通過DHCP獲取IP地址，靜態(tài)配置的IP地址無效。如沒有DHCP Server，可以使用AAA有關(guān)IP地址綁定和IP地址動態(tài)綁定相結(jié)合方式，限制用戶只能使用固定IP地址接入，接入后不允許用戶再修改IP地址。通過DHCP Server分配IP地址時，一般都可以為某個MAC地址分配固定的IP地址，再與AAA有關(guān)MAC地址綁定配合，變相的做到了用戶和IP地址的一一對應(yīng)。

　　2、MAC地址綁定

　　1）解釋

　　與IP地址綁定類似，MAC地址綁定也可以分為AAA有關(guān)MAC地址綁定和AAA無關(guān)MAC地址綁定；MAC地址靜態(tài)綁定和MAC地址動態(tài)綁定。

　　由于修改了MAC地址之后，必須重新啟動網(wǎng)卡才能有效，重新啟動網(wǎng)卡就意味著重新認證，所以MAC地址動態(tài)綁定意義不大。

　　2）應(yīng)用

　　AAA有關(guān)MAC地址綁定在政務(wù)網(wǎng)或園區(qū)網(wǎng)中應(yīng)用比較多，將用戶名與機器網(wǎng)卡的MAC地址綁定起來，限制用戶只能在固定的機器上上網(wǎng)，主要是為了安全和防止賬號盜用。但由于MAC地址也是可以修改的，所以這個方法還存在一些漏洞的。

　　3、端口綁定

　　1）解釋

　　端口的相關(guān)信息包含接入設(shè)備的IP地址和端口號。

　　設(shè)備IP和端口號對最終用戶都是不可見的，最終用戶也無法修改端口信息，用戶更換端口后，一般都需要重新認證，所以端口動態(tài)綁定的意義不大。由于AAA無關(guān)綁定是以端口為核心了，所以AAA無關(guān)端口綁定也沒有意義。

　　有意義的端口綁定主要是AAA有關(guān)端口綁定和端口靜態(tài)綁定。

　　2）應(yīng)用

　　AAA有關(guān)端口綁定主要用于政務(wù)網(wǎng)、園區(qū)網(wǎng)和運營商網(wǎng)絡(luò)，從而限制用戶只能在特定的端口上接入。

　　4、VLAN綁定

　　1）解釋

　　與端口綁定類似，VLAN相關(guān)信息也配置在接入設(shè)備上，最終用戶無法修改，所以，VLAN動態(tài)綁定意義不大。對于AAA無關(guān)VLAN綁定，如只將端口與VLAN ID綁定在一起，那么如果用戶自己連一個HUB，就會出現(xiàn)一旦此HUB上的一個用戶認證通過，其他用戶也可以上網(wǎng)的情況，造成網(wǎng)絡(luò)接入不可控，所以一般不會單獨使用AAA無關(guān)的VLAN綁定。

　　常用的VLAN綁定是AAA有關(guān)VLAN綁定和VLAN靜態(tài)綁定。

2）應(yīng)用

　　如網(wǎng)絡(luò)接入采用二層結(jié)構(gòu)，上層是三層交換機，下層是二層交換機，認證點在三層交換機上，這種情況下，僅靠端口綁定只能限制用戶所屬的三層交換機端口，限制范圍太大，無法限制用戶所屬的二層交換機端口。

　　使用AAA有關(guān)VLAN綁定和VLAN靜態(tài)綁定就可以解決這個問題。

　　分別為二層交換機的每個下行端口各自設(shè)置不同的VLAN ID，二層交換機上行端口設(shè)置為VLAN透傳，就產(chǎn)生了一個三層交換機端口對應(yīng)多個VLAN ID的情況，每個VLAN ID對應(yīng)一個二層交換機的端口。用戶認證時，三層交換機將VLAN信息上傳到AAA，AAA與預(yù)先設(shè)置的信息匹配，根據(jù)匹配成功與否決定是否允許用戶接入。

　　此外，用戶認證時，可以由AAA將用戶所屬的VLAN ID隨認證響應(yīng)報文下發(fā)到接入設(shè)備，這是另外一個角度的功能。雖然無法限制用戶只能通過特定的二層交換機端口上網(wǎng)，但是可以限制用戶無論從那個端口接入，使用的都是用一個VLAN ID。這樣做的意義在于，一般的DHCP Server都可以根據(jù)VLAN劃分地址池，用戶無論在哪個位置上網(wǎng)，都會從相同的地址池中分配IP地址。出口路由器上可以根據(jù)源IP地址制定相應(yīng)的訪問權(quán)限。綜合所有這些，變相的實現(xiàn)了在出口路由器上根據(jù)用戶名制定訪問權(quán)限的功能。

　　5、其它說明

　　標準的802.1x認證，只能控制接入端口的打開和關(guān)閉，如某個端口下掛了一個HUB，則只要HUB上有一個用戶認證通過，該端口就處于打開狀態(tài)，此HUB下的其他用戶也都可以上網(wǎng)。為了解決這個問題，出現(xiàn)了基于MAC地址的認證，某個用戶認證通過后，接入設(shè)備就將此用戶的MAC地址記錄下來，接入設(shè)備只允許所記錄MAC地址發(fā)送的報文通過，其它MAC地址的報文一律拒絕。

　　為了提高安全性，接入設(shè)備除了記錄用戶的MAC地址外，還記錄了用戶的IP地址、VLAN ID等，收到的報文中，只要MAC地址、IP地址和VLAN ID任何一個與接入設(shè)備上保存的信息匹配不上，就不允許此報文通過。有的場合，也將這種方式稱為接入設(shè)備的“MAC地址+IP地址+VLAN ID”綁定功能。功能上與前邊的AAA無關(guān)的動態(tài)綁定比較類似，只是用途和目的不同。

　　四、業(yè)界廠商產(chǎn)品對綁定的支持

　　以上的常用綁定功能業(yè)界廠商都普遍支持，一些廠商還進行了更有特色的功能開發(fā)，如華為提供的以下增強功能：

　　1、綁定信息自學(xué)習(xí)

　　1）MAC地址自動學(xué)習(xí)

　　配置AAA相關(guān)MAC地址綁定功能時，MAC很長，難以記憶，輸入時也經(jīng)常出錯，一旦MAC地址輸入錯誤，就會造成用戶無法上網(wǎng)，大大增加了AAA系統(tǒng)管理員的工作量。CAMS實現(xiàn)了MAC地址自動學(xué)習(xí)功能，可以學(xué)習(xí)用戶第一次上網(wǎng)的MAC地址，并自動與用戶綁定，既減少了工作量，又不會出錯。以后用戶MAC地址變更時，系統(tǒng)管理員將用戶綁定的MAC地址清空，CAMS會再次自動學(xué)習(xí)用戶MAC地址。

　　2）IP地址自動學(xué)習(xí)

　　與MAC地址自動學(xué)習(xí)類似。

　　2、一對多綁定

　　1）IP地址一對多綁定

　　用戶可以綁定不只一個IP地址，而是可以綁定一個連續(xù)的地址段。這個功能主要應(yīng)用于校園網(wǎng)中，一個教研室一般都會分配一個連續(xù)的地址段，教研室的每個用戶都可以自由使用該地址段中的任何一個IP地址。教研室內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和IP地址經(jīng)常變化，將用戶和教研室的整個地址段綁定后，可以由各教研室自己分配和管理內(nèi)部IP地址，既不會因教研室內(nèi)部IP地址分配問題影響整個校園網(wǎng)的正常運轉(zhuǎn)，又可以大大減少AAA系統(tǒng)管理員的工作量。

　　2）端口一對多綁定

　　與IP地址一對多綁定類似，也存在端口一對多綁定的問題。CAMS將端口信息分成以下幾個部分：接入設(shè)備IP地址-槽號-子槽號-端口號-VLAN ID，這幾個部分按照范圍由廣到窄的順序。任何一個部分都可以使用通配符，表示不限制具體數(shù)值。比如，端口號部分輸入通配符，就表示將用戶綁定在某臺交換機下的某個槽號的某個子槽號的所有端口上，可以從其中的任何一個端口接入。

本站僅提供存儲服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點擊舉報。