韓 瑛

（天津市公安局，天津 300040）

目前，大多數(shù)網(wǎng)絡(luò)管理人員面臨著網(wǎng)絡(luò)規(guī)模越來越大、復(fù)雜度越來越高、管理越來越困難的難題，同時(shí)還受到單位領(lǐng)導(dǎo)要求提高網(wǎng)絡(luò)運(yùn)維效率的壓力。面對(duì)網(wǎng)絡(luò)中病毒、木馬泛濫，IP地址被隨意篡改，設(shè)置IP地址時(shí)總是出現(xiàn)IP地址沖突的警告，網(wǎng)絡(luò)帶寬被其他用戶和惡意軟件肆意占用而導(dǎo)致網(wǎng)絡(luò)堵塞、運(yùn)行效率下降等種種問題，作為一項(xiàng)基礎(chǔ)的網(wǎng)絡(luò)管理工作，實(shí)施IP-MAC-PORT三重綁定的重要性就凸顯出來。

1 實(shí)施IP-MAC-PORT三重綁定的重要性

IP地址的分配方式有兩種：一種是IP地址動(dòng)態(tài)分配方式，一種是IP地址靜態(tài)分配方式。局域網(wǎng)剛剛興起時(shí)，網(wǎng)絡(luò)管理人員常常將IP地址的分配方式設(shè)定為IP地址動(dòng)態(tài)分配方式。這樣做的好處是網(wǎng)絡(luò)設(shè)置高效、快捷、方便，在服務(wù)器端設(shè)置好IP地址動(dòng)態(tài)分配服務(wù)、定義IP地址分配池的起始和終止段就萬事大吉；PC機(jī)的IP地址默認(rèn)設(shè)置就是自動(dòng)獲得IP地址，所以客戶端幾乎不用進(jìn)行任何設(shè)置，只要將電腦接入到網(wǎng)絡(luò)，就能借助網(wǎng)絡(luò)實(shí)現(xiàn)與外部信息和資源的交互。這種IP地址分配方式在一個(gè)小型局域網(wǎng)絡(luò)中，比如十幾個(gè)人的小部門，或者單位上網(wǎng)人數(shù)不多的情況下，是非常合理的網(wǎng)絡(luò)管理方案。

但是隨著局域網(wǎng)絡(luò)的發(fā)展，往往幾百人的大單位中人人都需要上網(wǎng)，都要利用網(wǎng)絡(luò)來進(jìn)行日常辦公和瀏覽互聯(lián)網(wǎng)信息，需要聯(lián)網(wǎng)的服務(wù)器、終端等設(shè)備比較多。這些網(wǎng)絡(luò)設(shè)備分布在辦公建筑物的各個(gè)樓層、房間，需要多個(gè)層次的交換機(jī)對(duì)其接入、匯聚。如果仍然使用IP地址動(dòng)態(tài)分配這種放任自流的方式來管理IP地址，將會(huì)給網(wǎng)絡(luò)管理人員帶來極大的工作難度。動(dòng)態(tài)分配IP地址方式的主要問題有以下幾點(diǎn)：（1）每個(gè)終端的IP地址相對(duì)不固定，如果出現(xiàn)網(wǎng)絡(luò)問題，無法定位；（2）某些需要固定IP地址的應(yīng)用服務(wù)無法正常運(yùn)行。如使用網(wǎng)絡(luò)打印機(jī)時(shí)，PC機(jī)需要向一個(gè)固定IP地址的網(wǎng)絡(luò)打印機(jī)輸出打印作業(yè)。（3）無法限定終端的網(wǎng)絡(luò)功能。如禁止某一IP段的終端訪問某些重要應(yīng)用服務(wù)。

以上幾個(gè)問題是現(xiàn)今大型網(wǎng)絡(luò)中普遍存在的。只有采用IP地址靜態(tài)分配方式加以解決。IP地址靜態(tài)分配方式在網(wǎng)絡(luò)建設(shè)初期工作量比IP地址自動(dòng)分配方式要大許多，但是如果實(shí)施IP-MACPORT三重綁定，那么這種方式在大中型網(wǎng)絡(luò)中的管理優(yōu)勢(shì)就比較明顯了。

1.1 防范員工隨意更換IP地址以及非法PC的接入

由于IP、MAC、交換機(jī)端口三者綁定，有效防止地址、非授權(quán)接入網(wǎng)絡(luò)、PC隨意更換連接交換機(jī)端口等行為，任何私自更改IP地址或?qū)C接入網(wǎng)絡(luò)的行為都將導(dǎo)致該P(yáng)C無法上網(wǎng)，有效地避免了IP地址動(dòng)態(tài)分配時(shí)容易出現(xiàn)的IP地址沖突的問題，極大地增強(qiáng)了網(wǎng)絡(luò)接入的安全性。

1.2 定位主機(jī)，實(shí)時(shí)檢測(cè)主機(jī)活動(dòng)

實(shí)施IP、MAC、交換機(jī)端口三者綁定后，網(wǎng)絡(luò)管理員就可以通過IP地址查找到該IP對(duì)應(yīng)的MAC地址以及該IP所連接的交換機(jī)端口，快速定位主機(jī)。

1.3 實(shí)時(shí)監(jiān)測(cè)PC交互

通過對(duì)源IP和目的IP地址進(jìn)行分析，可以實(shí)時(shí)監(jiān)測(cè)與了解PC之間的相互流量以及應(yīng)用協(xié)議。網(wǎng)絡(luò)管理員可以通過技術(shù)手段探測(cè)到當(dāng)前IP地址段內(nèi)存活的IP地址，發(fā)現(xiàn)各網(wǎng)段的IP地址使用情況。通過分析鏈路層和網(wǎng)絡(luò)層的數(shù)據(jù)，可以找出鏈路層上面承載了哪些類型的網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)層上面承載了哪些傳輸協(xié)議。通過分析傳輸層的數(shù)據(jù)，可以更詳細(xì)的了解網(wǎng)絡(luò)中到底運(yùn)行了哪些協(xié)議和這些協(xié)議所占網(wǎng)絡(luò)中的帶寬到底有多大。

1.4 通過IP地址可以查找正在傳播病毒的PC

通過對(duì)網(wǎng)絡(luò)中IP地址進(jìn)行網(wǎng)絡(luò)協(xié)議和廣播包分析，查看哪些IP地址發(fā)廣播包最多，占用的網(wǎng)絡(luò)帶寬最大，可以推斷出病毒是通過哪些IP地址向外傳播的。把原有的IP和MAC地址表與目前的IP和MAC地址表相對(duì)照，可以發(fā)現(xiàn)哪些是病毒偽裝的IP地址，并找到它真實(shí)的MAC地址，再通過交換機(jī)的PORT端口就可以定位到正在傳播病毒的PC。

2 實(shí)際操作的例子

隨著技術(shù)的進(jìn)步，網(wǎng)絡(luò)硬件的功能也逐步強(qiáng)大起來。20世紀(jì)末普遍使用的非智能型交換機(jī)已經(jīng)被淘汰，取而代之的是目前比較主流的智能型可管理的二層或三層交換機(jī)，其價(jià)格也已經(jīng)降到了千元級(jí)水平，在大中型網(wǎng)絡(luò)中被普遍使用，這為實(shí)施IP-MAC-PORT三重綁定提供了硬件基礎(chǔ)。

2.1 設(shè)置IP地址

圖1 設(shè)置靜態(tài)IP地址

如圖1：在Windows平臺(tái)的網(wǎng)絡(luò)和共享中心的本地連接窗口中，

可以對(duì)靜態(tài)IP地址進(jìn)行設(shè)置。

2.2 查看網(wǎng)卡的MAC地址

圖2 查看網(wǎng)卡的MAC地址

如圖2：在Windows平臺(tái)的網(wǎng)絡(luò)和共享中心的本地連接-詳細(xì)信息窗口中可以找到本機(jī)網(wǎng)卡的MAC地址。

2.3 綁定交換機(jī)端口

以國產(chǎn)華為交換機(jī)為例：# 進(jìn)入系統(tǒng)視圖。

system-view

# 進(jìn)入Ethernet1/0/1端口視圖。

［Quidway］ interface Ethernet1/0/1

# 將PC的MAC地址和IP地址綁定到Ethernet1/0/1端口。

［Quidway -Ethernet1/0/1］ am user-bind mac-addr 3417-EBA4-D29E ip-addr 192.168.0.1

3 結(jié) 語

采用靜態(tài)IP地址的方式對(duì)網(wǎng)絡(luò)管理人員來說增加了工作的復(fù)雜度。但是面對(duì)如今日益復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，采用靜態(tài)IP地址可以有效提高網(wǎng)絡(luò)管理的精細(xì)度、分析判斷的準(zhǔn)確度，從而提高工作效率，仍具有現(xiàn)實(shí)意義和操作性。實(shí)施IP-MAC-PORT三重綁定，步驟非常簡(jiǎn)單，但是卻意義非凡，如果再結(jié)合專業(yè)的網(wǎng)絡(luò)管理軟件，就可以實(shí)現(xiàn)更全面、更準(zhǔn)確和更直觀快捷的網(wǎng)絡(luò)管理功能，幫助網(wǎng)絡(luò)管理人員在網(wǎng)絡(luò)出現(xiàn)狀況時(shí)，能夠做到有的放矢、掌控全局，維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。