同濟大學(xué)建筑設(shè)計研究院（集團）有限公司 肖 偉

交換機端口綁定技術(shù)在企業(yè)局域網(wǎng)中的應(yīng)用

同濟大學(xué)建筑設(shè)計研究院（集團）有限公司 肖 偉

現(xiàn)階段我國已經(jīng)步入了信息化時代，互聯(lián)網(wǎng)已運用于各個企業(yè)并會涉及到企業(yè)中的各個崗位，在應(yīng)用的過程中會給企業(yè)的發(fā)展帶來積極影響，會使工作人員的工作效率有所提升。但隨之而來，也會存在著一定的隱憂，由于網(wǎng)絡(luò)是具有開放性及共享性的特質(zhì)，因此可能會引發(fā)一些安全問題，本文通過交換機端口綁定技術(shù)在企業(yè)局域網(wǎng)中的應(yīng)用，來進行分析。

交換機端口；綁定技術(shù)；企業(yè)局域網(wǎng)

企業(yè)局域網(wǎng)中存在著開放性和共享性，再加上對網(wǎng)絡(luò)的管理比較弱等安全問題，會導(dǎo)致IP地址出現(xiàn)被盜，或者是資源被共享，這都是比較常見的現(xiàn)象，還有一些比較嚴重的是，隨意更換終端接入網(wǎng)絡(luò)的狀況，從而導(dǎo)致企業(yè)局域網(wǎng)中出現(xiàn)病毒，并且這些病毒還會惡意的傳播開來。為了使這些行為能夠得到有效的控制，減少對企業(yè)的不良影響，不僅要在網(wǎng)絡(luò)管理方面采取相應(yīng)的措施，還要在技術(shù)層面采取相應(yīng)的措施，如果在源頭進行很好的控制，就可以更好的保障網(wǎng)絡(luò)的安全，在技術(shù)層面目前一般會采用通過交換機端口綁定技術(shù)來實施，這種技術(shù)在實踐應(yīng)用中是比較有效的，被很多的大型企業(yè)所采用，從而使企業(yè)網(wǎng)絡(luò)得到較高的安全與保障。

1 MAC地址與IP地址的關(guān)系

IP地址按照標(biāo)準(zhǔn)長度應(yīng)該是四個字節(jié)，且不會受到硬件的限制，在對此進行記憶時也比較容易的，一般是將其理解為終端設(shè)備的邏輯地址。MAC地址通常是指網(wǎng)卡的物理地址，和IP地址有著一定的差異，在字節(jié)的長度上會比IP地址要長[1]，為六個字節(jié)，這一種與IP地址正好相反，在與硬件的關(guān)系上會有著一定的聯(lián)系，在記憶時也不容易記憶，一般是將其保存在網(wǎng)卡的芯片內(nèi)存內(nèi)。在TCP網(wǎng)絡(luò)或者是IP網(wǎng)絡(luò)中，計算機一般都是要通過設(shè)置相應(yīng)的IP地址來進行通信的，但是在實踐中計算機之間的通信并不通過IP地址，而是通過網(wǎng)卡芯片內(nèi)存中的MAC地址來進行操作，IP地址只是在整個過程中用于查詢需要通信的MAC地址，ARP的作用在于向別的計算機和互聯(lián)網(wǎng)設(shè)備來進行相關(guān)通知，告知本端計算機所設(shè)置的IP地址，以及IP地址所對應(yīng)的MAC地址，在兩臺計算機進行通信后，其中IP地址就會保留在ARP的緩存中，還有IP地址相應(yīng)的MAC地址也會保存在其中，但這兩臺計算機進行二次通信時，就不必在進行查詢或者是其他的流程，這兩臺計算機就會直接引用ARP緩存中的MAC地址，一般在一臺計算機中ARP會包含著一個或是兩個以上的表，主要是用于存儲IP地址，以及IP地址相應(yīng)的MAC地址[2]。

在交互式網(wǎng)絡(luò)中，網(wǎng)絡(luò)交換機也會有相對應(yīng)的表，用于記錄IP地址以及MAC地址，當(dāng)兩臺計算機需要通信的時候，通過表中IP地址對應(yīng)的MAC地址將相關(guān)數(shù)據(jù)或者是其他信息發(fā)送到另一臺計算機中，在整個操作過程中，可以運用綁定技術(shù)將相關(guān)的IP地址以及MAC地址與交換機端口之間進行綁定，不管是同時或是分別綁定都可以，在對其進行綁定之后，當(dāng)不良用戶想要對計算機中ARP表中的IP地址或者是MAC地址進行篡改時，都會因為當(dāng)前終端信息與綁定策略不相符，從而無法正常的進行通信，這樣就能夠?qū)@種不良現(xiàn)象進行遏制[3]，使其無法再次共享網(wǎng)絡(luò)資源。交換機端口的這種對IP地址以及MAC地址進行綁定的技術(shù)，可以很好的對企業(yè)網(wǎng)絡(luò)進行保護，使企業(yè)存在的網(wǎng)絡(luò)隱患可能性大大降低。下面主要對目前使用比較廣泛的CISCO以及H3C這兩種交換機設(shè)備的端口綁定技術(shù)進行研究。

2 CISCO交換機端口綁定

2.1 端口的MAC地址綁定

在登錄交換機時，需要在此輸入相應(yīng)的口令才能夠進入到配置模式中，進入后輸入下列命令：

進入端口配置模式

配置端口安全模式

限制1個連接計算機數(shù)

自動學(xué)習(xí)MAC地址

在對上述命令進行整理后，設(shè)置交換機上某個端口并綁定一個比較具體的IP地址，以及IP地址對應(yīng)的MAC地址也要進行綁定，綁定之后，這臺計算機在連接網(wǎng)絡(luò)時，就不會出現(xiàn)IP地址或MAC地址被更換，或是其他的計算機想借用這個端口來共享網(wǎng)絡(luò)等現(xiàn)象，對于這類問題有著非常有效的控制。除非將這臺計算機上綁定的IP地址或是MAC地址進行刪除，計算機才會失去安全保障，其他情況一般都不容易出現(xiàn)問題。其中sticky參數(shù)就是指設(shè)置自動學(xué)習(xí)，通過這個端口的MAC地址會自動變更，因此可以通過設(shè)置比較具體的MAC地址來對中sticky作用進行代替，maximum參數(shù)是指定可以學(xué)習(xí)到的MAC地址。因此，在設(shè)置時可以對多個進行連接，這樣就可以很好的實現(xiàn)在一臺計算機設(shè)置一個端口，也可以對MAC地址進行兩個以上的綁定，這對于分線設(shè)置的綁定是一種很好的處理方法[4]。

2.2 端口MAC地址的擴展訪問列表

輸入正確的賬號進入交換機，并輸入正確的管理口令進入相應(yīng)的配置模式模式中，并在其中輸入對應(yīng)的命令：

設(shè)置一個表用于添加MAC地址的訪問，并將這個表命名為listl

定義MAC地址為001E．374E．2956的主機可以訪問任意主機

定義所有主機可以訪問MAC地址為

001E．374E．2956的主機

進人配置具體端口的模式

在該端口上應(yīng)用名為listl的訪問列表，即前面所定義的訪問策略

該功能的操作與上述的IP地址以及MAC地址綁定是大致相同的，不同的是這種綁定是在MAC地址訪問控制表限制的基礎(chǔ)上，可以對通信地址的范圍進行控制，并對其進行一定的掌控。

2.3 端口的IP地址綁定

輸入正確的賬號進入交換機，并輸入正確的管理口令進入相應(yīng)的配置模式中，并對其輸入相應(yīng)的命令：

定義IP地址訪問控制列表并命名該列表名為IPlistl

定義IP地址為192．1．217．89的主機可以訪問任意主機

定義所有主機可以訪問IP地址為192．1．217．189的主機

進入配置具體端口的模式

在該端口上應(yīng)用名為IPlistl的訪問列表，即前面所定義的訪問策略

與設(shè)置具體MAC地址一樣，這個操作中也要在交換機上設(shè)置一個端口并對一個具體IP地址進行綁定。同理，這臺計算機上也可以使用網(wǎng)絡(luò)，但要對該計算機上的IP地址進行篡改，或是通過各種手段來通過端口共享網(wǎng)絡(luò)是不可能實現(xiàn)的[5]，只有將這臺計算機上的網(wǎng)絡(luò)端口所綁定的IP地址進行更改或是將其刪除才有可能會受到各種不良問題的侵犯。以上對于CISCO網(wǎng)絡(luò)設(shè)置的三類端口進行綁定的策略，要想實現(xiàn)在IP地址以及IP地址對應(yīng)的MAC地址的端口綁定，需要將端口列表的設(shè)置以及IP地址的綁定應(yīng)用在同一端口即可實現(xiàn)固定主機以及設(shè)置好的制定IP地址的網(wǎng)絡(luò)訪問。

3 H3C交換機端口綁定

輸入正確的賬號進入交換機，并輸入正確的管理口令進入相應(yīng)的配置模式模式中，并在其中輸入對應(yīng)的命令：

開啟端口安全

進入端口配置模式

設(shè)置1各連接計算機數(shù)

自學(xué)習(xí)MAC地址

對于H3C的綁定設(shè)置與MAC地址以及IP地址綁定效果是一樣的，可以有效的阻擋一些非法侵入以及網(wǎng)絡(luò)的共享等問題，同樣的也可以指定出具體的MAC地址來將autoleam功能進行代替，同理H3C也支持兩種以上的方法進行綁定，但是H3C交換機的類型型號比較多，在對于不同型號的設(shè)備在進行綁定時的策略也有所不同，不同的設(shè)備在支持上也會有所不同，比如部分設(shè)備只支持IP，MAC以及端口這三者的同時綁定，而部分設(shè)備只支持這三者中的兩者，由于組合的多種形式以及其他的因素，本文只對一種H3C交換機的綁定策略進行分析。

4 結(jié)束語

在對企業(yè)局域網(wǎng)進行交換機端口綁定技術(shù)后，在實踐運行中的效果是非常明顯的，一些不良現(xiàn)象的生成也在逐漸下降，比如對IP地址的管理方向，以及網(wǎng)絡(luò)共享方面都有著很大的改善，以及病毒的數(shù)量都有了非常明顯的控制，對于企業(yè)的辦公網(wǎng)以及ERP網(wǎng)都有了一定的安全保障，對企業(yè)的網(wǎng)絡(luò)管理有著非常明顯的提升。在此期間，相關(guān)的管理人員要對網(wǎng)絡(luò)運行的狀態(tài)進行嚴密的觀察，特別是在接入層交換機的安全運行方面是非常重要的。因此，在實施交換機綁定策略時要對其進行嚴密的控制，進行適當(dāng)?shù)恼{(diào)整，使其變得更加完善，這樣才能使企業(yè)更好的運營發(fā)展。

[1]谷志剛．交換機端口綁定技術(shù)在企業(yè)局域網(wǎng)中的應(yīng)用[J]．冶金設(shè)備管理與維修,2016,34(5)：20-22．

[2]安學(xué)民,楊尉薇,郝金花．企業(yè)局域網(wǎng)IP地址和物理地址及交換機端口自動綁定的方法[J]．山西電力,2015(6)：44-47．

[3]蔡宇翔,鄭宏．基于交換機端口的虛擬局域網(wǎng)劃分技術(shù)在智能變電站中的工程應(yīng)用[J]．電氣應(yīng)用,2015(9)：104-109．

[4]徐飛．交換機端口的安全管理技術(shù)[J]．計算機光盤軟件與應(yīng)用,2014(22)：205-206．

[5]李維峰．基于VLAN技術(shù)的局域網(wǎng)絡(luò)建設(shè)[J]．計算機與網(wǎng)絡(luò),2014(7)：70-73．