学校校园网络IP地址的管理及IP、MAC、端口的绑定

摘 要：文章以龙岩市农业学校局域网为实例研究对象，介绍了ip地址的管理及ip地址的绑定技术。

关键词：ip地址；mac地址；arp协议；端口；绑定

1 ip地址相关知识介绍

ip地址也可以称为互联网地址或internet地址,是用来唯一标识互联网上计算机的逻辑地址。每台连网计算机都依靠ip地址来标识自己,ip地址必须唯一。ip地址的表示 : 4个以小数点隔开的十进制整数就是一个ip地址。每部分的十进制的整数实际上由8个二进制数组成。 ip的结构和分类：在ip地址的这四部分中，又可以分成两部分，一部分是网络号network（用来标识不同的网络），一部分是主机号(标识用于特定网络区域内的某台主机)。ip地址的网络部分是由iana（internet地址分配机构）统一分配的，而主机位ip地址是由得到网络地址的机构或组织自行分配。我们把ip地址分成a、b、c、d、e类：a类地址，第一组表示网络，后面三组表示主机。b类地址，第一，二组表示网络，后面两组表示主机。c类地址，第一，二，三组表示网络，最后一组表示主机。为了确定ip地址的网络号和主机号如何划分，使用到了掩码。也就是说在一个ip地址中，通过掩码来决定哪部分表示网络，哪部分表示主机。大家规定，用“1”代表网络部分，用“0”代表主机部分。也就是说，计算机通过ip地址和掩码才能知道自己是在哪个网络中。ip地址的获得：有两种方式，一种是静态方式，一种是动态方式。

2 ip地址及其管理

ip地址管理是成功的逻辑设计的基础。任何一台在局域网中“活动”的工作站，它都是通过ip地址这个“身份”与其他工作站进行沟通交流的，只要我们能安全妥善地管理好局域网中的所有ip地址，就能确保局域网始终处于高效运行状态之中。学校从组建校园网以来一直采用用户静态ip地址分配。所有网络用户入网前需要事先从网络中心申请获取静态ip地址。网络中心收到申请后在用户接入的二层交换机上完成一次用户ip-mac-接入交换机端口的绑定，使用这种方法来确认最终用户，消除ip地址盗用等情况。学校统一规划分配ip地址给每个终端机器，并建立ip地址分配登记表，统计每个终端机器网卡的mac地址，建立ip地址与mac地址对照表。在交换机上采用vlan（virtual lan,虚拟局域网）技术解决广播带来的不良影响。我们学校划分vlan的方式是基于接口来划分vlan。交换机通过接口和客户端相接，只要通过配置命令将交换机的接口分给不同的vlan，就相当于把这些客户端划分到了不同的广播域。将接口划分到vlan的方式如下：以华为3100 ei系列交换机为例，登录进入交换机，输入管理口令进入系统视图，敲入命令：

[h3c]vlan 1

[h3c-vlan1]quit

[h3c]vlan 2 to 4 //创建vlan

[h3c]vlan 2

[h3c-vlan2]port ethernet1/0/9 to ethernet1/0/16 //添加9到16口到vlan2

执行上述命令，可在3100 ei交换机创建4个vlan，并将相应的端口划分到对应的vlan中。

3 ip地址的绑定技术

3.1基于交换机的ip地址、mac地址、端口的绑定

①mac地址及mac地址的作用。mac地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。mac地址在计算机里都是以二进制表示的， mac地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：00-11-d8-29-09-78就是一个mac地址，其中前6位16进制数00-11-d8代表网络硬件制造商的编号，它由ieee（电气与电子工程师协会）分配，而后3位16进制数29-09-78代表该制造商所制造的某个网络产品（如网卡）的系列号。只要你不去更改自己的mac地址，那么你的mac地址在世界是惟一的。 无论是局域网，还是广域网中的计算机之间的通信，最终都表现为将数据包从某种形式的链路上的初始节点出发，从一个节点传递到另一个节点，最终传送到目的节点。数据包在这些节点之间的移动都是由arp（address resolution protocol：地址解析协议）负责将ip地址映射到mac地址上来完成的。数据包在传送过程中会不断询问相邻节点的mac地址。

②交换机、端口、ip地址 三者的绑定。为了防止ip地址被盗用，就通过简单的交换机端口绑定（端口的mac表使用静态表项），可以在每个交换机端口只连接一台主机的情况下防止修改mac地址的盗用。第一种方法：如果是可网管交换机还可以提供：交换机、端口、ip地址三者的绑定，一般绑定mac地址都是在交换机和路由器上配置的。以华为3100 ei系列交换机为例，登录进入交换机，输入管理口令进入系统视图，敲入命令：

[h3c]am user-bind mac-addr mac ip-addr ip interface 端口号

执行上述命令将每个端口与相应的计算机mac地址、ip地址绑定，保存并退出。

第二种方法： 同样以华为3100 ei交换机为例，登录进入交换机，也可以基于dhcp地址检查功能实现ip地址与mac地址的绑定。同样采用上述操作，登录进入交换机，输入管理口令进入系统视图，敲入命令：[h3c]dhcp-security static ip mac

此命令将ip地址与mac地址绑定。

通过这些设置，可以将局域网中的ip地址和mac地址绑定，任何人在终端上任意更改ip地址，都不能使其登陆互连网，这样就便于网络管理员更好的维护整个网络的正常、安全的运行。

3.2应用arp绑定ip地址和mac地址

①什么是arp及arp的作用。我们知道，当我们在浏览器里面输入网址时，dns服务器会自动把它解析为ip地址，浏览器实际上查找的是ip地址而不是网址。那么ip地址是如何转换为第二层物理地址（即mac地址）的呢？在局域网中，这是通过arp协议来完成的。arp（address resolution protocol）即地址解析协议，arp协议为ip地址到对应的mac地址之间提供动态映射。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的mac地址。arp协议的基本功能就是通过目标设备的ip地址，查询目标设备的mac地址，以保证通信的顺利进行。arp协议对网络安全具有重要的意义。通过伪造ip地址和mac地址可实现arp欺骗，能够在网络中产生大量的arp通信量使网络阻塞。

②使用arp绑定ip地址和mac地址。在每台安装有tcp/ip协议的电脑里都有一个arp缓存表，表里的ip地址与mac地址是一一对应的。我们可以在arp表里将合法用户的ip地址和网卡的mac地址进行绑定。当有人盗用ip地址时，尽管盗用者修改了ip地址，但由于网卡的mac地址和arp表中对应的mac地址不一致，那么也不能访问网络。以华为3100 ei系列交换机为例，登录进入交换机，输入管理口令进入系统视图，敲入命令：[h3c] arp static ip mac

执行上述命令，可将相应计算机的ip地址和mac地址绑定。

例如：[h3c]arp static 21.90.21.1 00-80-1c-90-80-41（将ip地址21.90.21.1和网卡mac地址00-80-1c-90-80-41绑定）；

tcp/ip作为internet网络协议，已经被广泛用于各种类型的局域网络。而ip地址作为网络中的主要寻址方式，也已经被各种操作系统广泛采用，因此ip地址在网络管理中显得尤为重要。

参考文献：

[1]潘爱民.计算机网络(第四版)中文版[m].北京:清华大学出版社,2004.