交換機端口綁定技術在企業局域網中的應用

同濟大學建筑設計研究院（集團）有限公司 肖 偉

交換機端口綁定技術在企業局域網中的應用

同濟大學建筑設計研究院（集團）有限公司 肖 偉

現階段我國已經步入了信息化時代，互聯網已運用于各個企業并會涉及到企業中的各個崗位，在應用的過程中會給企業的發展帶來積極影響，會使工作人員的工作效率有所提升。但隨之而來，也會存在著一定的隱憂，由于網絡是具有開放性及共享性的特質，因此可能會引發一些安全問題，本文通過交換機端口綁定技術在企業局域網中的應用，來進行分析。

交換機端口；綁定技術；企業局域網

企業局域網中存在著開放性和共享性，再加上對網絡的管理比較弱等安全問題，會導致IP地址出現被盜，或者是資源被共享，這都是比較常見的現象，還有一些比較嚴重的是，隨意更換終端接入網絡的狀況，從而導致企業局域網中出現病毒，并且這些病毒還會惡意的傳播開來。為了使這些行為能夠得到有效的控制，減少對企業的不良影響，不僅要在網絡管理方面采取相應的措施，還要在技術層面采取相應的措施，如果在源頭進行很好的控制，就可以更好的保障網絡的安全，在技術層面目前一般會采用通過交換機端口綁定技術來實施，這種技術在實踐應用中是比較有效的，被很多的大型企業所采用，從而使企業網絡得到較高的安全與保障。

1 MAC地址與IP地址的關系

IP地址按照標準長度應該是四個字節，且不會受到硬件的限制，在對此進行記憶時也比較容易的，一般是將其理解為終端設備的邏輯地址。MAC地址通常是指網卡的物理地址，和IP地址有著一定的差異，在字節的長度上會比IP地址要長[1]，為六個字節，這一種與IP地址正好相反，在與硬件的關系上會有著一定的聯系，在記憶時也不容易記憶，一般是將其保存在網卡的芯片內存內。在TCP網絡或者是IP網絡中，計算機一般都是要通過設置相應的IP地址來進行通信的，但是在實踐中計算機之間的通信并不通過IP地址，而是通過網卡芯片內存中的MAC地址來進行操作，IP地址只是在整個過程中用于查詢需要通信的MAC地址，ARP的作用在于向別的計算機和互聯網設備來進行相關通知，告知本端計算機所設置的IP地址，以及IP地址所對應的MAC地址，在兩臺計算機進行通信后，其中IP地址就會保留在ARP的緩存中，還有IP地址相應的MAC地址也會保存在其中，但這兩臺計算機進行二次通信時，就不必在進行查詢或者是其他的流程，這兩臺計算機就會直接引用ARP緩存中的MAC地址，一般在一臺計算機中ARP會包含著一個或是兩個以上的表，主要是用于存儲IP地址，以及IP地址相應的MAC地址[2]。

在交互式網絡中，網絡交換機也會有相對應的表，用于記錄IP地址以及MAC地址，當兩臺計算機需要通信的時候，通過表中IP地址對應的MAC地址將相關數據或者是其他信息發送到另一臺計算機中，在整個操作過程中，可以運用綁定技術將相關的IP地址以及MAC地址與交換機端口之間進行綁定，不管是同時或是分別綁定都可以，在對其進行綁定之后，當不良用戶想要對計算機中ARP表中的IP地址或者是MAC地址進行篡改時，都會因為當前終端信息與綁定策略不相符，從而無法正常的進行通信，這樣就能夠對這種不良現象進行遏制[3]，使其無法再次共享網絡資源。交換機端口的這種對IP地址以及MAC地址進行綁定的技術，可以很好的對企業網絡進行保護，使企業存在的網絡隱患可能性大大降低。下面主要對目前使用比較廣泛的CISCO以及H3C這兩種交換機設備的端口綁定技術進行研究。

2 CISCO交換機端口綁定

2.1 端口的MAC地址綁定

在登錄交換機時，需要在此輸入相應的口令才能夠進入到配置模式中，進入后輸入下列命令：

進入端口配置模式

配置端口安全模式

限制1個連接計算機數

自動學習MAC地址

在對上述命令進行整理后，設置交換機上某個端口并綁定一個比較具體的IP地址，以及IP地址對應的MAC地址也要進行綁定，綁定之后，這臺計算機在連接網絡時，就不會出現IP地址或MAC地址被更換，或是其他的計算機想借用這個端口來共享網絡等現象，對于這類問題有著非常有效的控制。除非將這臺計算機上綁定的IP地址或是MAC地址進行刪除，計算機才會失去安全保障，其他情況一般都不容易出現問題。其中sticky參數就是指設置自動學習，通過這個端口的MAC地址會自動變更，因此可以通過設置比較具體的MAC地址來對中sticky作用進行代替，maximum參數是指定可以學習到的MAC地址。因此，在設置時可以對多個進行連接，這樣就可以很好的實現在一臺計算機設置一個端口，也可以對MAC地址進行兩個以上的綁定，這對于分線設置的綁定是一種很好的處理方法[4]。

2.2 端口MAC地址的擴展訪問列表

輸入正確的賬號進入交換機，并輸入正確的管理口令進入相應的配置模式模式中，并在其中輸入對應的命令：

設置一個表用于添加MAC地址的訪問，并將這個表命名為listl

定義MAC地址為001E．374E．2956的主機可以訪問任意主機

定義所有主機可以訪問MAC地址為

001E．374E．2956的主機

進人配置具體端口的模式

在該端口上應用名為listl的訪問列表，即前面所定義的訪問策略

該功能的操作與上述的IP地址以及MAC地址綁定是大致相同的，不同的是這種綁定是在MAC地址訪問控制表限制的基礎上，可以對通信地址的范圍進行控制，并對其進行一定的掌控。

2.3 端口的IP地址綁定

輸入正確的賬號進入交換機，并輸入正確的管理口令進入相應的配置模式中，并對其輸入相應的命令：

定義IP地址訪問控制列表并命名該列表名為IPlistl

定義IP地址為192．1．217．89的主機可以訪問任意主機

定義所有主機可以訪問IP地址為192．1．217．189的主機

進入配置具體端口的模式

在該端口上應用名為IPlistl的訪問列表，即前面所定義的訪問策略

與設置具體MAC地址一樣，這個操作中也要在交換機上設置一個端口并對一個具體IP地址進行綁定。同理，這臺計算機上也可以使用網絡，但要對該計算機上的IP地址進行篡改，或是通過各種手段來通過端口共享網絡是不可能實現的[5]，只有將這臺計算機上的網絡端口所綁定的IP地址進行更改或是將其刪除才有可能會受到各種不良問題的侵犯。以上對于CISCO網絡設置的三類端口進行綁定的策略，要想實現在IP地址以及IP地址對應的MAC地址的端口綁定，需要將端口列表的設置以及IP地址的綁定應用在同一端口即可實現固定主機以及設置好的制定IP地址的網絡訪問。

3 H3C交換機端口綁定

輸入正確的賬號進入交換機，并輸入正確的管理口令進入相應的配置模式模式中，并在其中輸入對應的命令：

開啟端口安全

進入端口配置模式

設置1各連接計算機數

自學習MAC地址

對于H3C的綁定設置與MAC地址以及IP地址綁定效果是一樣的，可以有效的阻擋一些非法侵入以及網絡的共享等問題，同樣的也可以指定出具體的MAC地址來將autoleam功能進行代替，同理H3C也支持兩種以上的方法進行綁定，但是H3C交換機的類型型號比較多，在對于不同型號的設備在進行綁定時的策略也有所不同，不同的設備在支持上也會有所不同，比如部分設備只支持IP，MAC以及端口這三者的同時綁定，而部分設備只支持這三者中的兩者，由于組合的多種形式以及其他的因素，本文只對一種H3C交換機的綁定策略進行分析。

4 結束語

在對企業局域網進行交換機端口綁定技術后，在實踐運行中的效果是非常明顯的，一些不良現象的生成也在逐漸下降，比如對IP地址的管理方向，以及網絡共享方面都有著很大的改善，以及病毒的數量都有了非常明顯的控制，對于企業的辦公網以及ERP網都有了一定的安全保障，對企業的網絡管理有著非常明顯的提升。在此期間，相關的管理人員要對網絡運行的狀態進行嚴密的觀察，特別是在接入層交換機的安全運行方面是非常重要的。因此，在實施交換機綁定策略時要對其進行嚴密的控制，進行適當的調整，使其變得更加完善，這樣才能使企業更好的運營發展。

[1]谷志剛．交換機端口綁定技術在企業局域網中的應用[J]．冶金設備管理與維修,2016,34(5)：20-22．

[2]安學民,楊尉薇,郝金花．企業局域網IP地址和物理地址及交換機端口自動綁定的方法[J]．山西電力,2015(6)：44-47．

[3]蔡宇翔,鄭宏．基于交換機端口的虛擬局域網劃分技術在智能變電站中的工程應用[J]．電氣應用,2015(9)：104-109．

[4]徐飛．交換機端口的安全管理技術[J]．計算機光盤軟件與應用,2014(22)：205-206．

[5]李維峰．基于VLAN技術的局域網絡建設[J]．計算機與網絡,2014(7)：70-73．