一种基于交换机技术的网络终端地址批量绑定方法

摘要

一种基于交换机技术的网络终端地址批量绑定方法，包括：步骤S1，获取ARP表、MAC地址表、物理接口、三层VLAN以及二层VLAN信息；步骤S2，分解三层VLAN信息数据，得到能够使用的IP地址范围，形成能够分配的终端IP地址表；步骤S3，对照MAC地址表与ARP表，获得每个物理接口下终端的IP、MAC以及交换机端口号信息；步骤S4，定制访问模板、数据读取模板以及地址绑定命令模板；步骤S5，对接入网络的终端设备进行身份甄别之后，生成终端地址绑定脚本指令并将指令下发到交换机，进行批量绑定；步骤S6，检测绑定是否成功，若成功则结束，若不成功则重复上述步骤。帮助网络运维人员全面掌握网络终端接入情况。

说明书

技术领域

本发明涉及互联网技术领域，尤其涉及一种基于交换机技术的网 络终端地址批量绑定方法。

背景技术

大型企业中网络运维工作中为了网络终端的接入安全，经常会对 网络终端设备进行IP/MAC绑定或MAC/交换机端口的绑定，这种在网 络交换设备上进行简单绑定的方法简单、成本低、效果好，但是人工 成本高。

现有的技术方案及其存在的问题为：

1、802.1x基于Client/Server的访问控制和认证协议。802.1x 准入控制方案的缺点是有些老旧网络交换机或低档交换机不支持 802.1x协议，下级交换机不支持802.1功能终端控制能力较弱，如 果服务器端上的认证服务出问题可能导致所有终端断网。

2、DHCP准入控制。DHCP准入控制兼容老旧交换机，但是网络接 入的控制力度不强，网络规模不能太大。

3、网关型准入控制。网关型准入控制：没有对终端接入网络进 行控制，只能做到网络出口上的控制，网关设备出错会导致全部终端 无法访问外部网络。

4、ARP型准入控制。ARP型准入控制：是一种变相ARP病毒的工 作方式，大量错误的ARP报文容易造成网络可用性降低，对安装ARP 防火墙的终端准入控制效果很差。

5、网络交换设备上进行终端地址和端口绑定。网络交换设备上 进行终端地址和端口绑定，是一种低成本高可用性的方法，缺点是终 端用户数量多、更换终端频繁、网络接入位置变更多应用环境中，维 护工作量大，无法进行全局管控。

发明内容

为了解决上述技术问题，本发明提出一种基于交换机技术的网络 终端地址批量绑定方法，帮助网络运维人员全面掌握网络终端接入情 况。

为了实现上述目的，本发明采用的技术方案为：

一种基于交换机技术的网络终端地址批量绑定方法，包括如下步 骤：

步骤S1，获取ARP表、MAC地址表、物理接口、三层VLAN以及 二层VLAN信息；

步骤S2，分解三层VLAN信息数据，得到能够使用的IP地址范 围，形成能够分配的终端IP地址表；

步骤S3，对照MAC地址表与ARP表，获得每个物理接口下终端 的IP、MAC以及交换机端口号信息；

步骤S4，定制访问模板、数据读取模板以及地址绑定命令模板；

步骤S5，对接入网络的终端设备进行身份甄别之后，生成终端 地址绑定脚本指令并将指令下发到交换机，进行批量绑定；

步骤S6，检测绑定是否成功，若成功则结束，若不成功则重复 上述步骤。

所述步骤S1包括步骤：

步骤S11，通过snmp简单网管协议、telnet以及ssh方式连接 到以太网交换机；

步骤S12，获取ARP表、MAC地址表、物理接口、三层VLAN以及 二层VLAN信息。

所述步骤S2包括步骤：

步骤S21，分解三层VLAN信息数据，得到能够使用的IP地址范 围；

步骤S22，将接口、子网以及广播地址进行标记；

步骤S23,形成能够分配的终端IP地址表。

所述步骤S1中的ARP表为三层交换机的ARP表，所述MAC地址 表为二层接入交换机的MAC地址表，所述物理接口为二层接入交换机 和三层交换机的物理接口。

所述步骤S3中的MAC地址表为二层接入交换机的MAC地址表。

所述步骤S5中还包括步骤:

步骤S51,未使用的IP地址和交换机物理接口使用地址占用模板 进行绑定。

本发明的有益效果为：

1、与802.1x准入控制技术相比，本方法不依赖于服务器端对终 端的身份认证，因此不需要安装客户端软件或用户主动注册。

2、能够应用到目前主流的可网管交换机产品，对网络交换设备 的档次和品牌没有太高要求。

3、采用本方法的接入管控系统能够辅助运维人员管理局域网资 源，管控主机停机或故障状态下，地址端口绑定措施仍然有效，对运 行中的网络设备与终端设备没有影响。

4、不需要终端用户干预即可实现地址绑定。

附图说明

图1通信网络连接图；

图2本发明示意图。

具体实施方式

为了更好的了解本发明的技术方案，下面结合附图对本发明作进 一步说明。

如图1所示，通信网络一般包括：工控机，工控机通过核心交换 机或路由器连接三层交换机，三层交换机连接二层接入交换机，二层 接入交换机连接终端设备。

工控机用于扫描二层接入交换机、三层交换机以及终端设备，以 获取他们的IP地址相关信息。三层交换机在网络中作为终端计算机 网关使用或者作为路由设备使用。仅仅用来提供连接终端的交换机称 为二层接入交换机即二层交换机。

如图2所示，一种基于交换机技术的网络终端地址批量绑定方 法，包括步骤：

S1，获取ARP表、MAC地址表、物理接口、三层VLAN以及二层 VLAN信息；通过snmp简单网管协议、telnet以及ssh方式连接到网 络设备，读取运行设备的ARP表、MAC地址表、物理接口、VLAN虚接 口、二层VLAN等信息。通过snmp协议读取交换机信息，有的信息(比 如交换机端口绑定信息)存放在私有键值中，无法直接读取，只能通 过远程登录的方式获取。有的交换机只允许ssh方式登录，有的只能 通过telnet方式登录，所以为了采集必要信息的需要，三种方式需 要采用，不然采集的信息就不够全面。网络设备主要指的是以太网交 换机，也有少量以太网路由器。运行设备指的是连接在网络上使用中 的设备，不包括退运和库存设备。为了采集这些IP地址相关信息， 需要一个设备不断扫描网络交换机和终端设备，我们这个方案是采用 的是工控机，因此是这台工控机通过snmpssh或者telnet去连接 网络设备。

S2，分解三层VLAN信息数据，得到能够使用的IP地址范围，形 成能够分配的终端IP地址表。对三层交换机的VLAN虚接口数据进行 分解，得到该VLAN的可用IP地址范围，并将接口、子网、广播地址 进行标记，形成可分配的终端IP地址表。VLAN虚接口创建在三层交 换机上，也就是平时所设置的计算机的网关，一般包括IP地址和掩 码两部分，比如接口地址192.168.1.1，子网掩码是255.255.255.0， 通过这个就能知道可以供终端计算机使用的IP地址范围是 192.168.1.2---192.168.1.254，其他的地址是不能给计算机用的。

S3，对照MAC地址表与ARP表，获得每个物理接口下终端的IP、 MAC以及交换机端口号信息；在二层接入交换机的MAC地址表与三层 交换机的ARP表对照，获得每个物理接口下终端的IP、MAC、交换机 端口号信息。三层交换机上的ARP表中包括每一个终端计算机的IP、 MAC、三层交换机的物理接口号、VLAN号信息，接入交换机的MAC地 址表只包含终端计算机的MAC地址、VLAN号、二层交换机的物理接 口号，它们两个的MAC地址是一致的，这就可以把两个信息关联起来 了。

S4，定制访问模板、数据读取模板以及地址绑定命令模板；为实 现对交换机数据的读取和控制，需要制定snmp、telnet、ssh的访问 模板，数据读取模板、地址绑定命令模板。访问交换机需要IP地址、 账号、密码三个信息，同一个网络中很多网络设备账号密码可能是分 成几种可能性，制定模板是为了简化管理，不然每一个交换机都要登 记。

不同型号交换机的绑定命令可能有区别，因此要区分型号给交换 机下发不同的绑定命令，制定模板可以区别对待。

在三层交换机上绑定地址的命令示例：arpstatic192.168.1.55 00-06-ff-a1-45-33。在二层交换机上绑定地址的命令示例：ambind 192.168.1.5500-06-ff-a1-45-33intfacee1/0/33vlan3

这是其中一种品牌的一种型号交换机的绑定命令示意，换另外一 种设备可能就出错了，要用另外一个命令格式，就需要做一个模板， 去适应。模板中要包含以下信息：设备品牌、型号，命令模板就变成 了：arpstatic[IP][mac]。

S5，对接入网络的终端设备进行身份甄别之后，生成终端地址绑 定脚本指令并将指令下发到交换机，进行批量绑定。

对接入的网络终端设备进行身份甄别之后，利用已经读取到的信 息生成终端地址绑定脚本，按照预订模板下发到交换机，进行批量绑 定。未使用的IP地址和交换机物理接口使用地址占用模板进行绑定， 防止未授权终端接入。

所谓身份甄别，企业网络中开通一个计算机网络需要提交申请表 格或者流程，表格中有合法使用人信息、设备MAC地址，这个设备接 入到网络中就能被识别到，识别的MAC地址要与申请的一致，而且接 入地点和位置也一致。生成绑定命令脚本是根据终端设备所连接的二 层交换机和三层交换机的型号确定的，之前已经根据型号执行了模 板，通过采集终端的接入端口、MAC和绑定模板，工控机上的程序就 能生成一个命令列表，网络管理员在操作画面上的一个绑定按钮操 作，其实背后就是把这些命令下发到相关的交换机上去执行，并且可 以读取回来的执行结果。

地址占用模板：其实就是绑定一个无效IP和MAC的模板，三层 交换机中如果一个IP地址被绑定过了，其他设备就无法使用了，网 络管理员把所有可用的IP地址都占下了，就能起到防止有人乱猜IP 地址上网或者冒用别人IP地址上网。

S6，检测绑定是否成功，若成功则结束，若不成功则重复上述步 骤。按照预订模板读取三层、二层交换机地址绑定数据，检验绑定是 否有效。由于网络设备品牌型号不同，读取交换机上的已经绑定终端 计算机IP和MAC信息的命令也不相同，也需要根据型号制定一个命 令模板去读取。比如有的是show命令，有的是display命令。

人工远程登录到交换机上去执行命令，当时就能看到命令语法是 否正确，让程序去执行没有这个交互过程，因此在执行完绑定操作之 后，去读一下设备，根据返回的配置参数判断绑定任务是否执行成功 了。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非 对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的 技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出 的各种修改或变形仍在本发明的保护范围以内。