交換機(jī)端口綁定技術(shù)在企業(yè)局域網(wǎng)中的應(yīng)用

同濟(jì)大學(xué)建筑設(shè)計(jì)研究院（集團(tuán)）有限公司 肖 偉

交換機(jī)端口綁定技術(shù)在企業(yè)局域網(wǎng)中的應(yīng)用

同濟(jì)大學(xué)建筑設(shè)計(jì)研究院（集團(tuán)）有限公司 肖 偉

現(xiàn)階段我國(guó)已經(jīng)步入了信息化時(shí)代，互聯(lián)網(wǎng)已運(yùn)用于各個(gè)企業(yè)并會(huì)涉及到企業(yè)中的各個(gè)崗位，在應(yīng)用的過(guò)程中會(huì)給企業(yè)的發(fā)展帶來(lái)積極影響，會(huì)使工作人員的工作效率有所提升。但隨之而來(lái)，也會(huì)存在著一定的隱憂，由于網(wǎng)絡(luò)是具有開(kāi)放性及共享性的特質(zhì)，因此可能會(huì)引發(fā)一些安全問(wèn)題，本文通過(guò)交換機(jī)端口綁定技術(shù)在企業(yè)局域網(wǎng)中的應(yīng)用，來(lái)進(jìn)行分析。

交換機(jī)端口；綁定技術(shù)；企業(yè)局域網(wǎng)

企業(yè)局域網(wǎng)中存在著開(kāi)放性和共享性，再加上對(duì)網(wǎng)絡(luò)的管理比較弱等安全問(wèn)題，會(huì)導(dǎo)致IP地址出現(xiàn)被盜，或者是資源被共享，這都是比較常見(jiàn)的現(xiàn)象，還有一些比較嚴(yán)重的是，隨意更換終端接入網(wǎng)絡(luò)的狀況，從而導(dǎo)致企業(yè)局域網(wǎng)中出現(xiàn)病毒，并且這些病毒還會(huì)惡意的傳播開(kāi)來(lái)。為了使這些行為能夠得到有效的控制，減少對(duì)企業(yè)的不良影響，不僅要在網(wǎng)絡(luò)管理方面采取相應(yīng)的措施，還要在技術(shù)層面采取相應(yīng)的措施，如果在源頭進(jìn)行很好的控制，就可以更好的保障網(wǎng)絡(luò)的安全，在技術(shù)層面目前一般會(huì)采用通過(guò)交換機(jī)端口綁定技術(shù)來(lái)實(shí)施，這種技術(shù)在實(shí)踐應(yīng)用中是比較有效的，被很多的大型企業(yè)所采用，從而使企業(yè)網(wǎng)絡(luò)得到較高的安全與保障。

1 MAC地址與IP地址的關(guān)系

IP地址按照標(biāo)準(zhǔn)長(zhǎng)度應(yīng)該是四個(gè)字節(jié)，且不會(huì)受到硬件的限制，在對(duì)此進(jìn)行記憶時(shí)也比較容易的，一般是將其理解為終端設(shè)備的邏輯地址。MAC地址通常是指網(wǎng)卡的物理地址，和IP地址有著一定的差異，在字節(jié)的長(zhǎng)度上會(huì)比IP地址要長(zhǎng)[1]，為六個(gè)字節(jié)，這一種與IP地址正好相反，在與硬件的關(guān)系上會(huì)有著一定的聯(lián)系，在記憶時(shí)也不容易記憶，一般是將其保存在網(wǎng)卡的芯片內(nèi)存內(nèi)。在TCP網(wǎng)絡(luò)或者是IP網(wǎng)絡(luò)中，計(jì)算機(jī)一般都是要通過(guò)設(shè)置相應(yīng)的IP地址來(lái)進(jìn)行通信的，但是在實(shí)踐中計(jì)算機(jī)之間的通信并不通過(guò)IP地址，而是通過(guò)網(wǎng)卡芯片內(nèi)存中的MAC地址來(lái)進(jìn)行操作，IP地址只是在整個(gè)過(guò)程中用于查詢(xún)需要通信的MAC地址，ARP的作用在于向別的計(jì)算機(jī)和互聯(lián)網(wǎng)設(shè)備來(lái)進(jìn)行相關(guān)通知，告知本端計(jì)算機(jī)所設(shè)置的IP地址，以及IP地址所對(duì)應(yīng)的MAC地址，在兩臺(tái)計(jì)算機(jī)進(jìn)行通信后，其中IP地址就會(huì)保留在ARP的緩存中，還有IP地址相應(yīng)的MAC地址也會(huì)保存在其中，但這兩臺(tái)計(jì)算機(jī)進(jìn)行二次通信時(shí)，就不必在進(jìn)行查詢(xún)或者是其他的流程，這兩臺(tái)計(jì)算機(jī)就會(huì)直接引用ARP緩存中的MAC地址，一般在一臺(tái)計(jì)算機(jī)中ARP會(huì)包含著一個(gè)或是兩個(gè)以上的表，主要是用于存儲(chǔ)IP地址，以及IP地址相應(yīng)的MAC地址[2]。

在交互式網(wǎng)絡(luò)中，網(wǎng)絡(luò)交換機(jī)也會(huì)有相對(duì)應(yīng)的表，用于記錄IP地址以及MAC地址，當(dāng)兩臺(tái)計(jì)算機(jī)需要通信的時(shí)候，通過(guò)表中IP地址對(duì)應(yīng)的MAC地址將相關(guān)數(shù)據(jù)或者是其他信息發(fā)送到另一臺(tái)計(jì)算機(jī)中，在整個(gè)操作過(guò)程中，可以運(yùn)用綁定技術(shù)將相關(guān)的IP地址以及MAC地址與交換機(jī)端口之間進(jìn)行綁定，不管是同時(shí)或是分別綁定都可以，在對(duì)其進(jìn)行綁定之后，當(dāng)不良用戶(hù)想要對(duì)計(jì)算機(jī)中ARP表中的IP地址或者是MAC地址進(jìn)行篡改時(shí)，都會(huì)因?yàn)楫?dāng)前終端信息與綁定策略不相符，從而無(wú)法正常的進(jìn)行通信，這樣就能夠?qū)@種不良現(xiàn)象進(jìn)行遏制[3]，使其無(wú)法再次共享網(wǎng)絡(luò)資源。交換機(jī)端口的這種對(duì)IP地址以及MAC地址進(jìn)行綁定的技術(shù)，可以很好的對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行保護(hù)，使企業(yè)存在的網(wǎng)絡(luò)隱患可能性大大降低。下面主要對(duì)目前使用比較廣泛的CISCO以及H3C這兩種交換機(jī)設(shè)備的端口綁定技術(shù)進(jìn)行研究。

2 CISCO交換機(jī)端口綁定

2.1 端口的MAC地址綁定

在登錄交換機(jī)時(shí)，需要在此輸入相應(yīng)的口令才能夠進(jìn)入到配置模式中，進(jìn)入后輸入下列命令：

進(jìn)入端口配置模式

配置端口安全模式

限制1個(gè)連接計(jì)算機(jī)數(shù)

自動(dòng)學(xué)習(xí)MAC地址

在對(duì)上述命令進(jìn)行整理后，設(shè)置交換機(jī)上某個(gè)端口并綁定一個(gè)比較具體的IP地址，以及IP地址對(duì)應(yīng)的MAC地址也要進(jìn)行綁定，綁定之后，這臺(tái)計(jì)算機(jī)在連接網(wǎng)絡(luò)時(shí)，就不會(huì)出現(xiàn)IP地址或MAC地址被更換，或是其他的計(jì)算機(jī)想借用這個(gè)端口來(lái)共享網(wǎng)絡(luò)等現(xiàn)象，對(duì)于這類(lèi)問(wèn)題有著非常有效的控制。除非將這臺(tái)計(jì)算機(jī)上綁定的IP地址或是MAC地址進(jìn)行刪除，計(jì)算機(jī)才會(huì)失去安全保障，其他情況一般都不容易出現(xiàn)問(wèn)題。其中sticky參數(shù)就是指設(shè)置自動(dòng)學(xué)習(xí)，通過(guò)這個(gè)端口的MAC地址會(huì)自動(dòng)變更，因此可以通過(guò)設(shè)置比較具體的MAC地址來(lái)對(duì)中sticky作用進(jìn)行代替，maximum參數(shù)是指定可以學(xué)習(xí)到的MAC地址。因此，在設(shè)置時(shí)可以對(duì)多個(gè)進(jìn)行連接，這樣就可以很好的實(shí)現(xiàn)在一臺(tái)計(jì)算機(jī)設(shè)置一個(gè)端口，也可以對(duì)MAC地址進(jìn)行兩個(gè)以上的綁定，這對(duì)于分線設(shè)置的綁定是一種很好的處理方法[4]。

2.2 端口MAC地址的擴(kuò)展訪問(wèn)列表

輸入正確的賬號(hào)進(jìn)入交換機(jī)，并輸入正確的管理口令進(jìn)入相應(yīng)的配置模式模式中，并在其中輸入對(duì)應(yīng)的命令：

設(shè)置一個(gè)表用于添加MAC地址的訪問(wèn)，并將這個(gè)表命名為listl

定義MAC地址為001E．374E．2956的主機(jī)可以訪問(wèn)任意主機(jī)

定義所有主機(jī)可以訪問(wèn)MAC地址為

001E．374E．2956的主機(jī)

進(jìn)人配置具體端口的模式

在該端口上應(yīng)用名為listl的訪問(wèn)列表，即前面所定義的訪問(wèn)策略

該功能的操作與上述的IP地址以及MAC地址綁定是大致相同的，不同的是這種綁定是在MAC地址訪問(wèn)控制表限制的基礎(chǔ)上，可以對(duì)通信地址的范圍進(jìn)行控制，并對(duì)其進(jìn)行一定的掌控。

2.3 端口的IP地址綁定

輸入正確的賬號(hào)進(jìn)入交換機(jī)，并輸入正確的管理口令進(jìn)入相應(yīng)的配置模式中，并對(duì)其輸入相應(yīng)的命令：

定義IP地址訪問(wèn)控制列表并命名該列表名為IPlistl

定義IP地址為192．1．217．89的主機(jī)可以訪問(wèn)任意主機(jī)

定義所有主機(jī)可以訪問(wèn)IP地址為192．1．217．189的主機(jī)

進(jìn)入配置具體端口的模式

在該端口上應(yīng)用名為IPlistl的訪問(wèn)列表，即前面所定義的訪問(wèn)策略

與設(shè)置具體MAC地址一樣，這個(gè)操作中也要在交換機(jī)上設(shè)置一個(gè)端口并對(duì)一個(gè)具體IP地址進(jìn)行綁定。同理，這臺(tái)計(jì)算機(jī)上也可以使用網(wǎng)絡(luò)，但要對(duì)該計(jì)算機(jī)上的IP地址進(jìn)行篡改，或是通過(guò)各種手段來(lái)通過(guò)端口共享網(wǎng)絡(luò)是不可能實(shí)現(xiàn)的[5]，只有將這臺(tái)計(jì)算機(jī)上的網(wǎng)絡(luò)端口所綁定的IP地址進(jìn)行更改或是將其刪除才有可能會(huì)受到各種不良問(wèn)題的侵犯。以上對(duì)于CISCO網(wǎng)絡(luò)設(shè)置的三類(lèi)端口進(jìn)行綁定的策略，要想實(shí)現(xiàn)在IP地址以及IP地址對(duì)應(yīng)的MAC地址的端口綁定，需要將端口列表的設(shè)置以及IP地址的綁定應(yīng)用在同一端口即可實(shí)現(xiàn)固定主機(jī)以及設(shè)置好的制定IP地址的網(wǎng)絡(luò)訪問(wèn)。

3 H3C交換機(jī)端口綁定

輸入正確的賬號(hào)進(jìn)入交換機(jī)，并輸入正確的管理口令進(jìn)入相應(yīng)的配置模式模式中，并在其中輸入對(duì)應(yīng)的命令：

開(kāi)啟端口安全

進(jìn)入端口配置模式

設(shè)置1各連接計(jì)算機(jī)數(shù)

自學(xué)習(xí)MAC地址

對(duì)于H3C的綁定設(shè)置與MAC地址以及IP地址綁定效果是一樣的，可以有效的阻擋一些非法侵入以及網(wǎng)絡(luò)的共享等問(wèn)題，同樣的也可以指定出具體的MAC地址來(lái)將autoleam功能進(jìn)行代替，同理H3C也支持兩種以上的方法進(jìn)行綁定，但是H3C交換機(jī)的類(lèi)型型號(hào)比較多，在對(duì)于不同型號(hào)的設(shè)備在進(jìn)行綁定時(shí)的策略也有所不同，不同的設(shè)備在支持上也會(huì)有所不同，比如部分設(shè)備只支持IP，MAC以及端口這三者的同時(shí)綁定，而部分設(shè)備只支持這三者中的兩者，由于組合的多種形式以及其他的因素，本文只對(duì)一種H3C交換機(jī)的綁定策略進(jìn)行分析。

4 結(jié)束語(yǔ)

在對(duì)企業(yè)局域網(wǎng)進(jìn)行交換機(jī)端口綁定技術(shù)后，在實(shí)踐運(yùn)行中的效果是非常明顯的，一些不良現(xiàn)象的生成也在逐漸下降，比如對(duì)IP地址的管理方向，以及網(wǎng)絡(luò)共享方面都有著很大的改善，以及病毒的數(shù)量都有了非常明顯的控制，對(duì)于企業(yè)的辦公網(wǎng)以及ERP網(wǎng)都有了一定的安全保障，對(duì)企業(yè)的網(wǎng)絡(luò)管理有著非常明顯的提升。在此期間，相關(guān)的管理人員要對(duì)網(wǎng)絡(luò)運(yùn)行的狀態(tài)進(jìn)行嚴(yán)密的觀察，特別是在接入層交換機(jī)的安全運(yùn)行方面是非常重要的。因此，在實(shí)施交換機(jī)綁定策略時(shí)要對(duì)其進(jìn)行嚴(yán)密的控制，進(jìn)行適當(dāng)?shù)恼{(diào)整，使其變得更加完善，這樣才能使企業(yè)更好的運(yùn)營(yíng)發(fā)展。

[1]谷志剛．交換機(jī)端口綁定技術(shù)在企業(yè)局域網(wǎng)中的應(yīng)用[J]．冶金設(shè)備管理與維修,2016,34(5)：20-22．

[2]安學(xué)民,楊尉薇,郝金花．企業(yè)局域網(wǎng)IP地址和物理地址及交換機(jī)端口自動(dòng)綁定的方法[J]．山西電力,2015(6)：44-47．

[3]蔡宇翔,鄭宏．基于交換機(jī)端口的虛擬局域網(wǎng)劃分技術(shù)在智能變電站中的工程應(yīng)用[J]．電氣應(yīng)用,2015(9)：104-109．

[4]徐飛．交換機(jī)端口的安全管理技術(shù)[J]．計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2014(22)：205-206．

[5]李維峰．基于VLAN技術(shù)的局域網(wǎng)絡(luò)建設(shè)[J]．計(jì)算機(jī)與網(wǎng)絡(luò),2014(7)：70-73．