一種基于交換機(jī)技術(shù)的網(wǎng)絡(luò)終端地址批量綁定方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域�,尤其涉及一種基于交換機(jī)技術(shù)的網(wǎng)絡(luò)終端地址批量綁定方法����。
【背景技術(shù)】
[0002]大型企業(yè)中網(wǎng)絡(luò)運(yùn)維工作中為了網(wǎng)絡(luò)終端的接入安全,經(jīng)常會(huì)對(duì)網(wǎng)絡(luò)終端設(shè)備進(jìn)行IP/MAC綁定或MAC/交換機(jī)端口的綁定����,這種在網(wǎng)絡(luò)交換設(shè)備上進(jìn)行簡(jiǎn)單綁定的方法簡(jiǎn)單、成本低�、效果好,但是人工成本高�����。
[0003]現(xiàn)有的技術(shù)方案及其存在的問(wèn)題為:
[0004]K802.1x基于Client/Server的訪問(wèn)控制和認(rèn)證協(xié)議����。802.1x準(zhǔn)入控制方案的缺點(diǎn)是有些老舊網(wǎng)絡(luò)交換機(jī)或低檔交換機(jī)不支持802.1x協(xié)議�,下級(jí)交換機(jī)不支持802.1功能終端控制能力較弱,如果服務(wù)器端上的認(rèn)證服務(wù)出問(wèn)題可能導(dǎo)致所有終端斷網(wǎng)��。
[0005]2�����、DHCP準(zhǔn)入控制。DHCP準(zhǔn)入控制兼容老舊交換機(jī)�����,但是網(wǎng)絡(luò)接入的控制力度不強(qiáng)��,網(wǎng)絡(luò)規(guī)模不能太大�。
[0006]3、網(wǎng)關(guān)型準(zhǔn)入控制�����。網(wǎng)關(guān)型準(zhǔn)入控制:沒(méi)有對(duì)終端接入網(wǎng)絡(luò)進(jìn)行控制���,只能做到網(wǎng)絡(luò)出口上的控制�,網(wǎng)關(guān)設(shè)備出錯(cuò)會(huì)導(dǎo)致全部終端無(wú)法訪問(wèn)外部網(wǎng)絡(luò)����。
[0007]4、ARP型準(zhǔn)入控制���。ARP型準(zhǔn)入控制:是一種變相ARP病毒的工作方式��,大量錯(cuò)誤的ARP報(bào)文容易造成網(wǎng)絡(luò)可用性降低���,對(duì)安裝ARP防火墻的終端準(zhǔn)入控制效果很差�����。
[0008]5����、網(wǎng)絡(luò)交換設(shè)備上進(jìn)行終端地址和端口綁定�。網(wǎng)絡(luò)交換設(shè)備上進(jìn)行終端地址和端口綁定,是一種低成本高可用性的方法����,缺點(diǎn)是終端用戶數(shù)量多、更換終端頻繁����、網(wǎng)絡(luò)接入位置變更多應(yīng)用環(huán)境中���,維護(hù)工作量大��,無(wú)法進(jìn)行全局管控����。
【發(fā)明內(nèi)容】
[0009]為了解決上述技術(shù)問(wèn)題,本發(fā)明提出一種基于交換機(jī)技術(shù)的網(wǎng)絡(luò)終端地址批量綁定方法��,幫助網(wǎng)絡(luò)運(yùn)維人員全面掌握網(wǎng)絡(luò)終端接入情況��。
[0010]為了實(shí)現(xiàn)上述目的���,本發(fā)明采用的技術(shù)方案為:
[0011]一種基于交換機(jī)技術(shù)的網(wǎng)絡(luò)終端地址批量綁定方法����,包括如下步驟:
[0012]步驟SI����,獲取ARP表、MAC地址表��、物理接口��、三層VLAN以及二層VLAN信息�����;
[0013]步驟S2�����,分解三層VLAN信息數(shù)據(jù),得到能夠使用的IP地址范圍��,形成能夠分配的終端IP地址表�;
[0014]步驟S3,對(duì)照MAC地址表與ARP表���,獲得每個(gè)物理接口下終端的IP�����、MAC以及交換機(jī)端口號(hào)信息���;
[0015]步驟S4,定制訪問(wèn)模板�、數(shù)據(jù)讀取模板以及地址綁定命令模板;
[0016]步驟S5�,對(duì)接入網(wǎng)絡(luò)的終端設(shè)備進(jìn)行身份甄別之后,生成終端地址綁定腳本指令并將指令下發(fā)到交換機(jī)����,進(jìn)行批量綁定����;
[0017]步驟S6�����,檢測(cè)綁定是否成功�,若成功則結(jié)束�����,若不成功則重復(fù)上述步驟�。
[0018]所述步驟SI包括步驟:
[0019]步驟S11,通過(guò)snmp簡(jiǎn)單網(wǎng)管協(xié)議�����、telnet以及ssh方式連接到以太網(wǎng)交換機(jī)���;
[0020]步驟S12��,獲取ARP表�、MAC地址表�����、物理接口、三層VLAN以及二層VLAN信息����。[0021 ] 所述步驟S2包括步驟:
[0022]步驟S21,分解三層VLAN信息數(shù)據(jù)�����,得到能夠使用的IP地址范圍����;
[0023]步驟S22,將接口����、子網(wǎng)以及廣播地址進(jìn)行標(biāo)記;
[0024]步驟S23�����,形成能夠分配的終端IP地址表���。
[0025]所述步驟SI中的ARP表為三層交換機(jī)的ARP表�,所述MAC地址表為二層接入交換機(jī)的MAC地址表�,所述物理接口為二層接入交換機(jī)和三層交換機(jī)的物理接口����。
[0026]所述步驟S3中的MAC地址表為二層接入交換機(jī)的MAC地址表��。
[0027]所述步驟S5中還包括步驟:
[0028]步驟S51��,未使用的IP地址和交換機(jī)物理接口使用地址占用模板進(jìn)行綁定�。
[0029]本發(fā)明的有益效果為:
[0030]1���、與802.1x準(zhǔn)入控制技術(shù)相比��,本方法不依賴于服務(wù)器端對(duì)終端的身份認(rèn)證����,因此不需要安裝客戶端軟件或用戶主動(dòng)注冊(cè)����。
[0031]2、能夠應(yīng)用到目前主流的可網(wǎng)管交換機(jī)產(chǎn)品��,對(duì)網(wǎng)絡(luò)交換設(shè)備的檔次和品牌沒(méi)有太高要求�。
[0032]3、采用本方法的接入管控系統(tǒng)能夠輔助運(yùn)維人員管理局域網(wǎng)資源���,管控主機(jī)停機(jī)或故障狀態(tài)下���,地址端口綁定措施仍然有效���,對(duì)運(yùn)行中的網(wǎng)絡(luò)設(shè)備與終端設(shè)備沒(méi)有影響。
[0033]4���、不需要終端用戶干預(yù)即可實(shí)現(xiàn)地址綁定��。
【附圖說(shuō)明】
[0034]圖1通信網(wǎng)絡(luò)連接圖��;
[0035]圖2本發(fā)明示意圖�����。
【具體實(shí)施方式】
[0036]為了更好的了解本發(fā)明的技術(shù)方案�,下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步說(shuō)明��。
[0037]如圖1所示����,通信網(wǎng)絡(luò)一般包括:工控機(jī),工控機(jī)通過(guò)核心交換機(jī)或路由器連接三層交換機(jī),三層交換機(jī)連接二層接入交換機(jī)����,二層接入交換機(jī)連接終端設(shè)備。
[0038]工控機(jī)用于掃描二層接入交換機(jī)�、三層交換機(jī)以及終端設(shè)備,以獲取他們的IP地址相關(guān)信息�����。三層交換機(jī)在網(wǎng)絡(luò)中作為終端計(jì)算機(jī)網(wǎng)關(guān)使用或者作為路由設(shè)備使用��。僅僅用來(lái)提供連接終端的交換機(jī)稱為二層接入交換機(jī)即二層交換機(jī)��。
[0039]如圖2所示�����,一種基于交換機(jī)技術(shù)的網(wǎng)絡(luò)終端地址批量綁定方法��,包括步驟:
[0040]SI����,獲取ARP表��、MAC地址表��、物理接口、三層VLAN以及二層VLAN信息��;通過(guò)snmp簡(jiǎn)單網(wǎng)管協(xié)議�����、telnet以及ssh方式連接到網(wǎng)絡(luò)設(shè)備����,讀取運(yùn)行設(shè)備的ARP表、MAC地址表�����、物理接口����、VLAN虛接口、二層VLAN等信息���。通過(guò)snmp協(xié)議讀取交換機(jī)信息����,有的信息(比如交換機(jī)端口綁定信息)存放在私有鍵值中,無(wú)法直接讀取�,只能通過(guò)遠(yuǎn)程登錄的方式獲取。有的交換機(jī)只允許ssh方式登錄��,有的只能通過(guò)telnet方式登錄����,所以為了采集必要信息的需要,三種方式需要采用��,不然采集的信息就不夠全面��。網(wǎng)絡(luò)設(shè)備主要指的是以太網(wǎng)交換機(jī)�,也有少量以太網(wǎng)路由器��。運(yùn)行設(shè)備指的是連接在網(wǎng)絡(luò)上使用中的設(shè)備���,不包括退運(yùn)和庫(kù)存設(shè)備���。為了采集這些IP地址相關(guān)信息,需要一個(gè)設(shè)備不斷掃描網(wǎng)絡(luò)交換機(jī)和終端設(shè)備��,我們這個(gè)方案是采用的是工控機(jī)�,因此是這臺(tái)工控機(jī)通過(guò)snmp ssh或者telnet去連接網(wǎng)絡(luò)設(shè)備。
[0041]S2,分解三層VLAN信息數(shù)據(jù)�����,得到能夠使用的IP地址范圍���,形成能夠分配的終端IP地址表�。對(duì)三層交換機(jī)的VLAN虛接口數(shù)據(jù)進(jìn)行分解�����,得到該VLAN的可用IP地址范圍�,并將接口、子網(wǎng)�����、廣播地址進(jìn)行標(biāo)記����,形成可分配的終端IP地址表。VLAN虛接口創(chuàng)建在三層交換機(jī)上����,也就是平時(shí)所設(shè)置的計(jì)算機(jī)的網(wǎng)關(guān)���,一般包括IP地址和掩碼兩部分,比如接口地址192.168.1.1���,子網(wǎng)掩碼是255.255.255.0���,通過(guò)這個(gè)就能知道可以供終端計(jì)算機(jī)使用的IP地址范圍是192.168.1.2192.168.1.254,其他的地址是不能給計(jì)算機(jī)用的���。
[0042]S3��,對(duì)照MAC地址表與ARP表���,獲得每個(gè)物理接口下終端的IP��、MAC以及交換機(jī)端口號(hào)信息���;在二層接入交換機(jī)的MAC