实施IP-MAC-PORT三重绑定的重要性

韩 瑛

（天津市公安局，天津 300040）

目前，大多数网络管理人员面临着网络规模越来越大、复杂度越来越高、管理越来越困难的难题，同时还受到单位领导要求提高网络运维效率的压力。面对网络中病毒、木马泛滥，IP地址被随意篡改，设置IP地址时总是出现IP地址冲突的警告，网络带宽被其他用户和恶意软件肆意占用而导致网络堵塞、运行效率下降等种种问题，作为一项基础的网络管理工作，实施IP-MAC-PORT三重绑定的重要性就凸显出来。

1 实施IP-MAC-PORT三重绑定的重要性

IP地址的分配方式有两种：一种是IP地址动态分配方式，一种是IP地址静态分配方式。局域网刚刚兴起时，网络管理人员常常将IP地址的分配方式设定为IP地址动态分配方式。这样做的好处是网络设置高效、快捷、方便，在服务器端设置好IP地址动态分配服务、定义IP地址分配池的起始和终止段就万事大吉；PC机的IP地址默认设置就是自动获得IP地址，所以客户端几乎不用进行任何设置，只要将电脑接入到网络，就能借助网络实现与外部信息和资源的交互。这种IP地址分配方式在一个小型局域网络中，比如十几个人的小部门，或者单位上网人数不多的情况下，是非常合理的网络管理方案。

但是随着局域网络的发展，往往几百人的大单位中人人都需要上网，都要利用网络来进行日常办公和浏览互联网信息，需要联网的服务器、终端等设备比较多。这些网络设备分布在办公建筑物的各个楼层、房间，需要多个层次的交换机对其接入、汇聚。如果仍然使用IP地址动态分配这种放任自流的方式来管理IP地址，将会给网络管理人员带来极大的工作难度。动态分配IP地址方式的主要问题有以下几点：（1）每个终端的IP地址相对不固定，如果出现网络问题，无法定位；（2）某些需要固定IP地址的应用服务无法正常运行。如使用网络打印机时，PC机需要向一个固定IP地址的网络打印机输出打印作业。（3）无法限定终端的网络功能。如禁止某一IP段的终端访问某些重要应用服务。

以上几个问题是现今大型网络中普遍存在的。只有采用IP地址静态分配方式加以解决。IP地址静态分配方式在网络建设初期工作量比IP地址自动分配方式要大许多，但是如果实施IP-MACPORT三重绑定，那么这种方式在大中型网络中的管理优势就比较明显了。

1.1 防范员工随意更换IP地址以及非法PC的接入

由于IP、MAC、交换机端口三者绑定，有效防止地址、非授权接入网络、PC随意更换连接交换机端口等行为，任何私自更改IP地址或将PC接入网络的行为都将导致该PC无法上网，有效地避免了IP地址动态分配时容易出现的IP地址冲突的问题，极大地增强了网络接入的安全性。

1.2 定位主机，实时检测主机活动

实施IP、MAC、交换机端口三者绑定后，网络管理员就可以通过IP地址查找到该IP对应的MAC地址以及该IP所连接的交换机端口，快速定位主机。

1.3 实时监测PC交互

通过对源IP和目的IP地址进行分析，可以实时监测与了解PC之间的相互流量以及应用协议。网络管理员可以通过技术手段探测到当前IP地址段内存活的IP地址，发现各网段的IP地址使用情况。通过分析链路层和网络层的数据，可以找出链路层上面承载了哪些类型的网络协议，网络层上面承载了哪些传输协议。通过分析传输层的数据，可以更详细的了解网络中到底运行了哪些协议和这些协议所占网络中的带宽到底有多大。

1.4 通过IP地址可以查找正在传播病毒的PC

通过对网络中IP地址进行网络协议和广播包分析，查看哪些IP地址发广播包最多，占用的网络带宽最大，可以推断出病毒是通过哪些IP地址向外传播的。把原有的IP和MAC地址表与目前的IP和MAC地址表相对照，可以发现哪些是病毒伪装的IP地址，并找到它真实的MAC地址，再通过交换机的PORT端口就可以定位到正在传播病毒的PC。

2 实际操作的例子

随着技术的进步，网络硬件的功能也逐步强大起来。20世纪末普遍使用的非智能型交换机已经被淘汰，取而代之的是目前比较主流的智能型可管理的二层或三层交换机，其价格也已经降到了千元级水平，在大中型网络中被普遍使用，这为实施IP-MAC-PORT三重绑定提供了硬件基础。

2.1 设置IP地址

图1 设置静态IP地址

如图1：在Windows平台的网络和共享中心的本地连接窗口中，

可以对静态IP地址进行设置。

2.2 查看网卡的MAC地址

图2 查看网卡的MAC地址

如图2：在Windows平台的网络和共享中心的本地连接-详细信息窗口中可以找到本机网卡的MAC地址。

2.3 绑定交换机端口

以国产华为交换机为例：# 进入系统视图。

system-view

# 进入Ethernet1/0/1端口视图。

［Quidway］ interface Ethernet1/0/1

# 将PC的MAC地址和IP地址绑定到Ethernet1/0/1端口。

［Quidway -Ethernet1/0/1］ am user-bind mac-addr 3417-EBA4-D29E ip-addr 192.168.0.1

3 结 语

采用静态IP地址的方式对网络管理人员来说增加了工作的复杂度。但是面对如今日益复杂的网络结构，采用静态IP地址可以有效提高网络管理的精细度、分析判断的准确度，从而提高工作效率，仍具有现实意义和操作性。实施IP-MAC-PORT三重绑定，步骤非常简单，但是却意义非凡，如果再结合专业的网络管理软件，就可以实现更全面、更准确和更直观快捷的网络管理功能，帮助网络管理人员在网络出现状况时，能够做到有的放矢、掌控全局，维护计算机网络的稳定运行。