靜態(tài)綁定技術(shù)在局域網(wǎng)管理中應(yīng)用

　　摘要：在局域網(wǎng)絡(luò)的管理中，采用專(zhuān)線(xiàn)的方式接入到互聯(lián)網(wǎng)是一種較為常見(jiàn)的形式。網(wǎng)絡(luò)管理的部門(mén)在網(wǎng)絡(luò)的管理與設(shè)置中為注冊(cè)的用戶(hù)分配了相應(yīng)的網(wǎng)絡(luò)地址，并配給資源，為的是保證數(shù)據(jù)通信的正常進(jìn)行。此時(shí)靜態(tài)的IP地址是不可缺少的重要設(shè)置項(xiàng)目，這個(gè)IP地址具有特定身份認(rèn)證的功能。網(wǎng)絡(luò)管理過(guò)程中對(duì)IP的配置應(yīng)保證其正確性，主要表現(xiàn)在分配的地質(zhì)應(yīng)在規(guī)劃的局域網(wǎng)網(wǎng)段范圍內(nèi)，同時(shí)IP地址對(duì)任何互聯(lián)的主機(jī)而言具有唯一性，即無(wú)二義性。
　　關(guān)鍵詞：局域網(wǎng)管理；局域網(wǎng)數(shù)據(jù)傳遞；靜態(tài)綁定技術(shù)
　　中圖分類(lèi)號(hào)：TP271文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)10-2191-02
　　1局域網(wǎng)管理存在的問(wèn)題
　　在實(shí)際中對(duì)網(wǎng)絡(luò)管理部門(mén)為局域網(wǎng)絡(luò)的用戶(hù)分配和提供IP地址，而用戶(hù)只有通過(guò)注冊(cè)才能使用。這是終端用戶(hù)直接獲得IP的唯一途徑。因?yàn)榻K端用戶(hù)的接入，網(wǎng)絡(luò)中的用戶(hù)可能會(huì)對(duì)IP進(jìn)行修改。改動(dòng)后的IP進(jìn)入到局域網(wǎng)中進(jìn)行運(yùn)行會(huì)造成以下幾種結(jié)果，形成非法的IP地址，自行修改的IP地址不在預(yù)先規(guī)劃的網(wǎng)段里，網(wǎng)絡(luò)就會(huì)出現(xiàn)中斷不能工作；出現(xiàn)重復(fù)的IP地址，這樣就會(huì)與原有的IP地址發(fā)生沖突，同樣導(dǎo)致鏈接出現(xiàn)失效；非法IP占用了網(wǎng)絡(luò)資源，如果成功的盜用注冊(cè)了用戶(hù)的合法IP就會(huì)導(dǎo)致原有用戶(hù)的合法通信被占用，導(dǎo)致通信故障。前面的兩種情況可以利用有效的網(wǎng)絡(luò)識(shí)別技術(shù)或者屏蔽來(lái)控制，而最后的情況因?yàn)榛顒?dòng)獲得了“合法”，所以不能有效的甄別并處理。如果系統(tǒng)管理人員不能及時(shí)的對(duì)其進(jìn)行防范，則會(huì)直接影響注冊(cè)用戶(hù)的合法權(quán)益。
　　2局域網(wǎng)運(yùn)行模式分析
　　局域網(wǎng)絡(luò)的工作中，網(wǎng)絡(luò)層將高層協(xié)議中的網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)變，使之成為一個(gè)適應(yīng)不同需求的地質(zhì)，就需要將IP地址進(jìn)行映射，讓其與物理接口對(duì)應(yīng)，由此保證網(wǎng)絡(luò)節(jié)點(diǎn)間的通信。為了達(dá)成此種映射，TCP/IP協(xié)議族在網(wǎng)絡(luò)接口層中為系統(tǒng)提供解析協(xié)議，從而讓IP地址變?yōu)閷?duì)應(yīng)的硬件地址。在網(wǎng)絡(luò)通信的時(shí)候硬件地址的解析請(qǐng)求會(huì)從某個(gè)終端發(fā)出報(bào)文，向網(wǎng)絡(luò)中的其他設(shè)備提出請(qǐng)求，而與此請(qǐng)求相匹配的IP地址就會(huì)發(fā)出相應(yīng)，將對(duì)應(yīng)的硬件地址反饋給源頭。而網(wǎng)絡(luò)中的其他集體是不會(huì)對(duì)此請(qǐng)求作出回應(yīng)的，這就是局域網(wǎng)絡(luò)的工作模式。但是不接受請(qǐng)求的設(shè)備會(huì)對(duì)此過(guò)程進(jìn)行監(jiān)聽(tīng)，并將源頭IP地址進(jìn)和對(duì)應(yīng)的硬件進(jìn)行記錄。值得注意的是地址解析協(xié)議的運(yùn)行是動(dòng)態(tài)化的，當(dāng)IP地址和硬件地址隨著時(shí)間發(fā)生改變的時(shí)候，其可以及時(shí)修正。
　　在實(shí)際工作中，用戶(hù)會(huì)因?yàn)槎喾N原因而改動(dòng)客戶(hù)的IP地質(zhì)或者更換網(wǎng)絡(luò)配置器的性能。這樣的改變通常是隨機(jī)的，特別是此種改動(dòng)不會(huì)在網(wǎng)絡(luò)管理人員的實(shí)時(shí)監(jiān)控下，這將直接影響網(wǎng)絡(luò)IP的管理，通信量的計(jì)算等功能的安全運(yùn)行。為了有效的防止此類(lèi)事件的發(fā)生，保證IP地址的相對(duì)唯一性，網(wǎng)絡(luò)管理人員必須建立一個(gè)規(guī)范的IP地址分配表，將IP地址與硬件地址作登記，并且做到完全備案，以供查詢(xún)。
　　3靜態(tài)綁定技術(shù)分析
　　3.1對(duì)IP的管理
　　IP地址的管理必須具備邏輯性，任何一個(gè)在局域網(wǎng)絡(luò)中進(jìn)行工作的計(jì)算機(jī)都是一個(gè)具有流動(dòng)性的工作站，而唯一可以確定其身份的就是其具備的IP地址。所有的局域網(wǎng)內(nèi)的計(jì)算機(jī)都必須獲得一個(gè)IP地址才能得到授權(quán)并與其他工作站計(jì)算機(jī)進(jìn)行信息交互，所以在靜態(tài)綁定技術(shù)實(shí)際上就是要研究如何將IP地址與計(jì)算機(jī)或者網(wǎng)絡(luò)端口進(jìn)行綁定，以此規(guī)范其管理模式。在對(duì)IP地址進(jìn)行管理的時(shí)候可以采用一種靜態(tài)模式，即網(wǎng)中心申請(qǐng)靜態(tài)IP地址，在接到申請(qǐng)后網(wǎng)絡(luò)中心在用戶(hù)接入的三層交換機(jī)上完成以此IP與計(jì)算機(jī)的綁定，并以此確認(rèn)用戶(hù)終端，消除IP地址發(fā)生盜用、沖突等問(wèn)題。在一個(gè)特定的局域網(wǎng)中，應(yīng)由管理部門(mén)統(tǒng)一對(duì)IP地址進(jìn)行管理與發(fā)放。
　　3.2 FDB綁定
　　所謂的靜態(tài)綁定技術(shù)就是將IP、硬件地址、網(wǎng)絡(luò)端口地址這三個(gè)要素進(jìn)行綁定，對(duì)其進(jìn)行綁定的原理為靜態(tài)FDB和IPACL。網(wǎng)絡(luò)交換機(jī)的存儲(chǔ)器中會(huì)保存一個(gè)FDB，也就是轉(zhuǎn)發(fā)表。這個(gè)表格是網(wǎng)絡(luò)交換機(jī)上的端口與硬件地址的對(duì)應(yīng)記錄。在網(wǎng)絡(luò)交換機(jī)上的某個(gè)端口將被人為的設(shè)計(jì)為一個(gè)或者多個(gè)硬件地址，這就實(shí)現(xiàn)了這個(gè)端口與多個(gè)硬件地址的相對(duì)固定的對(duì)一一對(duì)應(yīng)，而不在這個(gè)表格內(nèi)的硬件地址將無(wú)法獲得來(lái)自該網(wǎng)絡(luò)的數(shù)據(jù)包，即數(shù)據(jù)信息，使用靜態(tài)的FDB可以將硬件地址與玩了個(gè)交換機(jī)的端口進(jìn)行綁定。
　　4ACL綁定
　　而IP ACL的原理就是采用ACL的包過(guò)濾技術(shù)，在路由上進(jìn)行設(shè)置，讀取第三層、第四層報(bào)頭中的信息，如：源頭地址、目標(biāo)地址、源頭端口、目標(biāo)端口的信息，根據(jù)預(yù)先設(shè)計(jì)好的系統(tǒng)規(guī)則對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，從而到達(dá)控制訪(fǎng)問(wèn)目的地的效果。其功能是，局域網(wǎng)中的節(jié)點(diǎn)資源和用戶(hù)節(jié)點(diǎn)資源被人為劃分，其中資源節(jié)點(diǎn)提供數(shù)據(jù)或者服務(wù)，用戶(hù)節(jié)點(diǎn)負(fù)責(zé)訪(fǎng)問(wèn)資源節(jié)點(diǎn)，并獲得信息與服務(wù)。ACL的功能就是一方面對(duì)資源進(jìn)行保護(hù)，阻止非用戶(hù)端對(duì)資源的訪(fǎng)問(wèn)與調(diào)用，一方面賦予用戶(hù)節(jié)點(diǎn)權(quán)限來(lái)限制訪(fǎng)問(wèn)的范圍。
　　在實(shí)際應(yīng)用中配置ACL的原則是：最小特權(quán)，即對(duì)控制對(duì)象賦予最小特權(quán)，使其在權(quán)限內(nèi)完成有限的訪(fǎng)問(wèn)；最靠近受控對(duì)象，所有的網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限都必須受到控制。利用ACL的訪(fǎng)問(wèn)控制也可以稱(chēng)之為訪(fǎng)問(wèn)控制，即可以設(shè)定運(yùn)行某個(gè)IP地址或者一個(gè)范圍內(nèi)的IP地址完成通信，如將ACL人為設(shè)置成一個(gè)網(wǎng)絡(luò)交換機(jī)端口，就可以指定其為專(zhuān)用的端口對(duì)指定IP開(kāi)放。這樣就可以有效的控制廣播包，從而更加有利與局域網(wǎng)絡(luò)的控制。這兩個(gè)思路結(jié)合起來(lái)就可以實(shí)現(xiàn)靜態(tài)綁定，即IP地址、硬件地址、網(wǎng)絡(luò)交換端口的綁定功能和訪(fǎng)問(wèn)功能。這個(gè)方式既可以在網(wǎng)絡(luò)中實(shí)現(xiàn)一對(duì)一的綁定，即一個(gè)端口對(duì)應(yīng)一個(gè)IP和硬件地址；也可支持一個(gè)端口綁定一組IP與硬件。
　　5實(shí)際應(yīng)用
　　在某公司局域網(wǎng)絡(luò)內(nèi)，為了實(shí)現(xiàn)辦公自動(dòng)化其裝配了十臺(tái)具網(wǎng)絡(luò)交換機(jī)。其中一部分交換機(jī)是為了保證在級(jí)別較高的地址段內(nèi)，直接作為桌面網(wǎng)絡(luò)交換機(jī)，為桌面用戶(hù)提供數(shù)據(jù)服務(wù)。一部分在低級(jí)的地質(zhì)段內(nèi)，少部分桌面用戶(hù)服務(wù)，余下的裝配在骨干網(wǎng)的關(guān)鍵節(jié)點(diǎn)上。該局域網(wǎng)中，網(wǎng)絡(luò)交換機(jī)的端口為了網(wǎng)絡(luò)化管理需求，設(shè)定為一個(gè)端口與一組IP地址與硬件地址相對(duì)應(yīng)的交互模式。
　　例如高級(jí)地址段配置如下：在高級(jí)別的地址段內(nèi)，交換機(jī)A控制到桌面用戶(hù)a，a的網(wǎng)絡(luò)設(shè)備的IP地址設(shè)定為10.1.2.2，硬件地址則為aa.aa.aa.aa.aa.aa，綁定在交換機(jī)A的2號(hào)端口。
　　config acl hybrid number 302
　　rule 1 permit arp 10.1.2.2 255.255.255.255 any aa.aa.aa.aa.aa.aa ff.ff.ff.ff.ff.ff any
　　rule 2 deny arp any any
　　exit
　　6結(jié)束語(yǔ)
　　利用靜態(tài)綁定技術(shù)可以有效的解決局域網(wǎng)地址分配與信息交換控制混亂的問(wèn)題，可以有效的利用一一對(duì)應(yīng)的IP地址綁定來(lái)抑制內(nèi)部沖突與非法用戶(hù)接入、以及因?yàn)椴《径鴮?dǎo)致的大范圍癱瘓等問(wèn)題。而應(yīng)注意的是在綁定過(guò)程中應(yīng)注意單個(gè)端口綁定的地址數(shù)量不一過(guò)多，以此保證交換機(jī)具有一定的冗余能力。
　　參考文獻(xiàn)：
　　[1]羅振剛.淺議計(jì)算機(jī)局域網(wǎng)的管理與安全[J].科