安學(xué)民，楊尉薇，郝金花

（1.國(guó)網(wǎng)山西省電力公司電力科學(xué)研究院，山西太原 030001；2.河北興泰發(fā)電有限責(zé)任公司，河北邢臺(tái) 054000）

企業(yè)局域網(wǎng)IP地址和物理地址及交換機(jī)端口自動(dòng)綁定的方法

安學(xué)民1，楊尉薇1，郝金花2

（1.國(guó)網(wǎng)山西省電力公司電力科學(xué)研究院，山西太原 030001；2.河北興泰發(fā)電有限責(zé)任公司，河北邢臺(tái) 054000）

針對(duì)局域網(wǎng)中IP地址和物理地址及交換機(jī)端口綁定工作量較大的問題，提出利用C#、SecureCRT結(jié)合VBScript的方法完成局域網(wǎng)中3者的自動(dòng)綁定。實(shí)例表明，該方法極大地提高了綁定工作的效率，減輕了運(yùn)維人員的工作量。

交換機(jī)；自動(dòng)綁定；IP地址；物理地址；交換機(jī)端口

0 引言

目前，在企業(yè)局域網(wǎng)中為對(duì)接入網(wǎng)絡(luò)的終端進(jìn)行有效管控，防止內(nèi)部IP地址被非法盜用，網(wǎng)絡(luò)管理員一般都要在每個(gè)接入交換機(jī)的端口上對(duì)接入終端的IP地址、物理地址MAC（Media Access Control）進(jìn)行綁定，即IP地址、MAC地址、交換機(jī)端口3者的綁定。此項(xiàng)工作需要網(wǎng)絡(luò)管理員逐臺(tái)登錄接入交換機(jī)，在每個(gè)啟用的端口下逐條輸入IP地址、MAC地址、交換機(jī)端口的綁定命令。對(duì)于員工人數(shù)較少的企業(yè)，此項(xiàng)工作較為容易；但是對(duì)于大中型企業(yè)，由于終端數(shù)及交換機(jī)數(shù)量較多，此項(xiàng)工作需要耗費(fèi)較長(zhǎng)的時(shí)間，效率極低且易出錯(cuò)。

1 IP地址和MAC地址及交換機(jī)端口綁定的意義

在企業(yè)局域網(wǎng)中，網(wǎng)絡(luò)管理員經(jīng)常會(huì)遇到IP地址沖突導(dǎo)致網(wǎng)絡(luò)無法穩(wěn)定運(yùn)行的情況以及地址解析協(xié)議ARP（Address Resolution Protocol） 病毒導(dǎo)致的終端無法正常上網(wǎng)等問題[1]。影響網(wǎng)絡(luò)安全的因素很多，其中IP地址被盜用或地址欺騙最為常見且危害極大[2]。

為解決上述問題，常用的做法是對(duì)接入網(wǎng)絡(luò)的終端進(jìn)行IP地址、MAC地址及交換機(jī)端口驗(yàn)證，只有當(dāng)以上3者均通過驗(yàn)證后方可接入局域網(wǎng)。在接入交換機(jī)上對(duì)IP地址、MAC地址及交換機(jī)端口的綁定可實(shí)現(xiàn)上述的驗(yàn)證功能，且無需增加額外設(shè)備。

2 自動(dòng)綁定的步驟

圖1給出了企業(yè)局域網(wǎng)IP地址、MAC地址及交換機(jī)端口自動(dòng)綁定的流程。

2.1 自動(dòng)登錄到交換機(jī)獲取MAC地址表

2.1.1 交換機(jī)的自動(dòng)登錄

文獻(xiàn)[3]對(duì)利用登錄工具執(zhí)行腳本完成交換機(jī)的自動(dòng)登錄的方法進(jìn)行了詳細(xì)說明，本文僅作簡(jiǎn)要介紹。根據(jù)對(duì)登錄網(wǎng)絡(luò)設(shè)備的過程的分析，工程技術(shù)人員利用登錄軟件結(jié)合腳本對(duì)登錄過程進(jìn)行模擬，代替網(wǎng)絡(luò)管理員依次登錄到所有相關(guān)的網(wǎng)絡(luò)設(shè)備。相關(guān)步驟如下。

圖1 IP地址和MAC地址及交換機(jī)端口自動(dòng)綁定的流程

2.1.1.1 創(chuàng)建登錄文本文件

將需要登錄的網(wǎng)絡(luò)設(shè)備的IP地址、登錄名、登錄口令、超級(jí)口令、交換機(jī)命令等參數(shù)按行列出，便于在腳本中提取相關(guān)的參數(shù)，如下所示。

192.16 8.0.1 name1code1super_code1command1…

192.16 8.0.2 name2code2super_code2command2………

192.16 8.0.n name_n code_n super_code_n command_n…

2.1.1.2 創(chuàng)建VBScript腳本文件

創(chuàng)建腳本文件，用循環(huán)和ReadLine方法遍歷腳本文件，每次讀取一行數(shù)據(jù)，逐行進(jìn)行處理。用腳本模擬網(wǎng)絡(luò)管理員登錄交換機(jī)的過程。企業(yè)局域網(wǎng)中可能存在不同品牌的交換機(jī)，而不同品牌的交換機(jī)的操作命令也不盡相同，因此需要根據(jù)設(shè)備具體情況來編輯腳本文件。

2.1.1.3 在登錄工具中執(zhí)行腳本

在登錄工具（SecureCRT） 中執(zhí)行腳本文件，完成交換機(jī)的自動(dòng)登錄。

2.1.2 獲取MAC表并按照交換機(jī)建立MAC地址表文檔

若局域網(wǎng)中的交換機(jī)品牌及操作命令相同，可在腳本文件中直接寫入獲取MAC表的命令（如對(duì)于 H3C設(shè)備來說，其命令為“display mac-address”）。若局域網(wǎng)中的交換機(jī)品牌及操作命令不同，可在登錄文本文件中寫入相應(yīng)的命令，利用腳本調(diào)用操作命令。

腳本執(zhí)行完成后，會(huì)生成所有接入交換機(jī)的MAC地址表文檔，將這些MAC地址表文檔按照該交換機(jī)的IP地址進(jìn)行命名，便于程序調(diào)用。

2.2 獲取綁定要素間的對(duì)應(yīng)信息

2.2.1 獲取用戶名—IP地址—MAC地址對(duì)應(yīng)信息

企業(yè)局域網(wǎng)中一般均部署了終端安全管理系統(tǒng)，通過該系統(tǒng)可以獲得局域網(wǎng)中用戶名、IP地址及MAC地址的對(duì)應(yīng)關(guān)系。對(duì)于未部署終端安全管理軟件的可通過一些開源的軟件獲取局域網(wǎng)中在線終端的IP地址和MAC地址的對(duì)應(yīng)關(guān)系。

2.2.2 獲取MAC地址—交換機(jī)端口對(duì)應(yīng)信息

根據(jù)2.1.2獲取的每個(gè)接入交換機(jī)的MAC地址表信息，利用程序（如C#）提取出對(duì)應(yīng)的MAC地址和該交換機(jī)端口的對(duì)應(yīng)信息。

2.2.3 獲取用戶名—IP地址—MAC地址—交換機(jī)端口的對(duì)應(yīng)信息

將每個(gè)接入交換機(jī)的“MAC地址—交換機(jī)端口”對(duì)應(yīng)關(guān)系與局域網(wǎng)中所有的“用戶名—IP地址—MAC地址”的對(duì)應(yīng)關(guān)系進(jìn)行比較，獲得每個(gè)接入交換機(jī)的每個(gè)MAC地址對(duì)應(yīng)的用戶名信息、IP地址信息及交換機(jī)端口信息，從而獲得每個(gè)接入交換機(jī)下的“用戶名—IP地址—MAC地址—交換機(jī)端口”對(duì)應(yīng)關(guān)系。

2.3 自動(dòng)登錄到交換機(jī)將對(duì)應(yīng)關(guān)系寫入交換機(jī)配置

利用腳本依次登錄到每1臺(tái)接入交換機(jī)，根據(jù)“用戶名—IP地址—MAC地址—交換機(jī)端口”的對(duì)應(yīng)關(guān)系，對(duì)交換機(jī)進(jìn)行配置。

3 實(shí)施案例

某單位局域網(wǎng)有終端400余臺(tái)，接入交換機(jī)32臺(tái)，拓?fù)鋱D如圖2所示。為提高本單位信息安全防護(hù)水平，根據(jù)公司要求對(duì)所有接入局域網(wǎng)的終端進(jìn)行IP地址、MAC地址及接入交換機(jī)的端口進(jìn)行綁定。

圖2 某單位網(wǎng)絡(luò)拓?fù)鋱D

利用上述方法對(duì)局域網(wǎng)IP地址、MAC地址及交換機(jī)端口進(jìn)行自動(dòng)綁定，該軟件主要包括MAC地址表導(dǎo)出、數(shù)據(jù)處理和命令導(dǎo)入等模塊。

3.1 MAC地址表導(dǎo)出

程序自動(dòng)運(yùn)行Secure CRT軟件，并自動(dòng)執(zhí)行編輯好的VBScript腳本文件，依次完成每個(gè)接入交換機(jī)的自動(dòng)登錄并導(dǎo)出MAC地址表文件，每個(gè)交換機(jī)對(duì)應(yīng)一個(gè)文件。

3.2 數(shù)據(jù)處理

調(diào)用數(shù)據(jù)處理模塊，完成以下數(shù)據(jù)處理操作。

3.2.1 生成每個(gè)交換機(jī)的MAC地址與端口對(duì)應(yīng)關(guān)系

利用程序刪除無關(guān)數(shù)據(jù)，僅保留MAC地址和交換機(jī)端口的對(duì)應(yīng)關(guān)系。某接入交換機(jī)的MAC地址表如下所示。

0000-5e00-0101 9 Learned GigabitEthernet 1/1/1 AGING

000f-e207-f 2e0 9 Learned Ethernet2/0/20 AGING

000f-e28d-1400 9 Learned GigabitEthernet 1/1/1 AGING

000f-e28d-156b 9 Learned GigabitEthernet 1/1/1 AGING

0016-e677-490e 9 Learned Ethernet 1/0/12 AGING

0021-86f6-3945 9 Learned Ethernet 2/0/20 AGING

0080-9170-7b07 9 Learned Ethernet 1/0/7 AGING

1078-d2a3-30d0 9 Learned Ethernet 2/0/11 AGING

1078-d2a5-6613 9 Learned Ethernet 1/0/21 AGING

4437-e614-d27d 9 Learned Ethernet 1/0/43 AGING

4437-e614-d2af 9 Learned Ethernet 2/0/12 AGING

4437-e615-5a19 9 Learned Ethernet 1/0/48 AGING

6cf0-4929-86b0 9 Learned Ethernet 2/0/1 AGING

0000-5e00-0101 100 Learned GigabitEthernet 1/1/1 AGING

該接入交換機(jī)的MAC地址表與端口對(duì)應(yīng)關(guān)系如下所示。

000f-e207-f2e0 Ethernet2/0/20

0016-e677-490e Ethernet1/0/12

0021-86f6-3945 Ethernet2/0/20

0080-9170-7b07 Ethernet1/0/7

1078-d2a3-30d0 Ethernet2/0/11

1078-d2a5-6613 Ethernet1/0/21

4437-e614-d27d Ethernet1/0/43

4437-e614-d2af Ethernet2/0/12

4437-e615-5a19 Ethernet1/0/48

6cf0-4929-86b0 Ethernet2/0/1

3.2.2 生成每個(gè)交換機(jī)的用戶名—IP地址—MAC地址—交換機(jī)端口對(duì)應(yīng)信息

根據(jù)每個(gè)交換機(jī)的MAC地址，查詢?nèi)值摹坝脩裘狪P地址—MAC地址”對(duì)應(yīng)關(guān)系，補(bǔ)全每個(gè)交換機(jī)的端口對(duì)應(yīng)的IP地址及用戶信息，從而生成了每個(gè)交換機(jī)的“用戶名—IP地址—MAC地址—交換機(jī)端口”信息，如下所示。

000f-e207-f2e0 Ethernet2/0/20 192.168.9.24 user_a

0016-e677-490e Ethernet1/0/12 192.168.9.5 user_b

0021-86f6-3945 Ethernet2/0/20 192.168.9.11 user_c

0080-9170-7b07 Ethernet1/0/7 192.168.9.30 user_d

1078-d2a3-30d0 Ethernet2/0/11 192.168.9. 15 user_e

1078-d2a5-6613 Ethernet1/0/21 192.168.9. 26 user_f

4437-e614-d27d Ethernet1/0/43 192.168.9.7 user_g

4437-e614-d2af Ethernet2/0/12 192.168.9.16 user_h

4437-e615-5a19 Ethernet1/0/48 192.168.9.9 user_i

6cf0-4929-86b0 Ethernet2/0/1 192.168.9.19 user_j

3.3 命令導(dǎo)入

程序自動(dòng)運(yùn)行Secure CRT軟件，執(zhí)行VBScript腳本文件自動(dòng)登錄到每個(gè)交換機(jī)，根據(jù)交換機(jī)的“用戶名—IP地址—MAC地址—交換機(jī)端口”對(duì)應(yīng)關(guān)系，利用腳本調(diào)用相應(yīng)的參數(shù)，完成“IP地址—MAC地址—交換機(jī)端口”的自動(dòng)綁定，為便于日常運(yùn)行維護(hù)，在每個(gè)端口下增加注釋信息，標(biāo)明該端口的使用人信息。

4 結(jié)束語(yǔ)

通過對(duì)企業(yè)局域網(wǎng)的IP地址和MAC地址及交換機(jī)端口的綁定可對(duì)入網(wǎng)終端進(jìn)行有效管控，提高企業(yè)的信息安全防護(hù)水平。利用交換機(jī)登錄工具、腳本及編程的方法對(duì)局域網(wǎng)IP地址和MAC地址及交換機(jī)端口的自動(dòng)綁定，取代了網(wǎng)絡(luò)管理員登錄到每臺(tái)設(shè)備手工綁定的方式，極大地降低了網(wǎng)絡(luò)管理員的工作量，提高該項(xiàng)工作的工作效率，對(duì)企業(yè)局域網(wǎng)的終端接入管控有借鑒意義。

[1] 王東，侯翠華.IP地址和MAC地址綁定在路由器上的實(shí)現(xiàn)[J].技術(shù)與市場(chǎng)，2011，18（1）：6-7.

[2]李大為，陳宇.CISCO網(wǎng)絡(luò)設(shè)備的IP/MAC地址綁定適用性分析[J].吉林電力，2013，41（6）：21-23.

[3]安學(xué)民，么利中，楊尉薇.電力企業(yè)局域網(wǎng)批量配置網(wǎng)絡(luò)設(shè)備的方法[J].山西電力，2014（6）：41-44.

Automatically Binding M ethod of IP Address,MAC Address and Sw itch Port of Enterprise LAN

AN Xuem in1，YANG W eiwei1，HAO Jinhua2
（1.State Grid Shanxi Electric Power Research Institute of SEPC，Taiyuan，Shanxi 030001，China；2.Hebei XingtaiGeneration Co.，Ltd.，Xingtai，Hebei 054000，China）

Since the workload of LAN IP address,MAC address,and switch port binding is heavy,it is proposed to use C#and Secure CRT combining with VBScript to realize the binding of the three parameters.Example analysis shows thismethod can greatly improve theefficiency ofbindingand reduce theworkload of the personnelengaged in operation andmaintenance.

switch；binding；IPaddress；administered address；switch port

TP393.07

B

1671-0320（2015）06-0044-04

2015-09-27，

2015-10-13

安學(xué)民（1984），男，山西晉城人，2009年畢業(yè)于華北電力大學(xué)控制理論與控制工程專業(yè)，碩士，工程師，從事信息安全督查及網(wǎng)絡(luò)運(yùn)維工作；

楊尉薇（1985），女，山西運(yùn)城人，2010年畢業(yè)于太原理工大學(xué)電力系統(tǒng)及其自動(dòng)化專業(yè)，碩士，工程師，從事電力系統(tǒng)分析工作；

郝金花（1983），女，河北邢臺(tái)人，2008年畢業(yè)于華北電力大學(xué)控制理論與控制工程專業(yè)，碩士，工程師，從事電廠熱控技術(shù)管理工作。