网络IPMAC端口绑定方案.docx

网络地址的IPMAC端口绑定方案地址绑定方案方案一用户只能使用绑定电脑在指定端口接入网络方案综述在严格标准网络管理领域，每一个用户的网络接入都是可以控制和管理的，例如：网络管理员为甲用户指定的网络接入端口是公司2号办公楼301室的3-1口，用户就只能通过该端口进行公司内部网络的访问。这一端口也只能识别在网管员那里登记过的电脑，其他电脑均无法识别。用户使用的网络地址也是网络管理员分配好的地址，在整个网络环境中，这一地址的任何上网行为都与该用户电脑，端口相对应。实现了网络故障准确定位，风险隐患及时排除。另外，由于大型企业网络管理人员往往不只一人，网络维护和准入操作有时候会存在信息上的不对称，因此，将网络地址分配交给DHCP服务器，往往是一种更加有效的实用的管理方式。例如A公司有小张和小李两个网管员，两个都可以进行网络准入的批准操作，小张手动指定地址时如果忘记告诉小李或者更新台账，就会造成网络使用时地址冲突，很多工作就会陷入被动。但是如果采用DCHP方式，小李和小张的批准操作都需要在DHCP服务器上进行，大家都可以清楚的看到现有地址规划方式，并以此来进行合理的批准操作和地址分配。原理在DHCP服务器或者开启了DHCP功能的核心设备上为每一个用户建立一个只有一个IP地址的DHCP池，关闭网段地址池，进行DHCP分配IP与MAC地址的绑定，然后在接入层设备通过MAC地址与交换机端口的绑定，如果接入层设备不支持网络管理，可以通过核心上的级联口来进行绑定，实现用户只能在分配的固定端口上进行上网。优点客户PC端不需要进行任何的配置，对用户上网没有任何影响。网络调整过程中，对客户上网影响较小，利于网管员实施。缺点如果用户量过大，地址会较多，对于交换机或DHCP服务器重启加载配置文件速度有一定的影响。网络管员需要找出用户网络接入的具体交换机端口，工作量较大。当现有员工进行工作变动，办公室搬迁，需要重新进行上述工作，工作量较大。实施步骤（以Cisco交换机设备为例）每一个用户DHCP池IP地址与MAC地址的绑定R1-SW#show ip dhcp binding /查看dhcp绑定信息R1-SW#clear ip dhcp binding R1-SW#show ip dhcp binding /查看dhcp绑定信息是否被清除，只能清除自动绑定的，手动绑定无法清除R1-SW(config)#ip dhcp polR1-SW(config)#ip dhcp pool zhanghaicangR1-SW(dhcp-config)#host 10.212.35.58 255.255.255.0R1-SW(dhcp-config)#client-identifier 01a0.88fc.90dc.03 /在电脑查看得到MAC地址前加01，并且每4位以“.”分隔；R1-SW(dhcp-config)#default-router 10.212.35.254R1-SW(dhcp-config)#dns 10.212.16.68 10.212.16.66每个端口客户端的MAC地址限定及可以接入客户端的数量限制Switch#configure terminalSwitch(config)#interface range fastethernet 0/1-23 /进行一组端口的配置模式Switch(config-if-range)#switchport port-security /开启交换机的端口安全功能Switch(config-if-range)#switchport port-secruity maximum 1 /配置端口的最大连接数为1Switch(config-if-range)#switchport port-secruity violation shutdownSwitch(config-if)#switchport port-security mac-address 0006.1bde.13b4 实施过程中的注意点：1、在作dhcp客户端配置时MAC地址前要加01，并且每4位以“.”分隔，最后两们单独；2、一定要清除先前的IP绑定，否则会造成绑定失败；方案二.用户可以在任意地点使用绑定电脑上网在用户办公场所经常发生变化的网络环境中，对用户的接入地点没有严格的要求。但是用户的IP地址和用户电脑MAC地址的对应关系在整个网络环境中是固定不变的，不论用户在哪里时行网络访问，其网络行为的追踪都是利用这IP地址对人员对应关系来完成的。例如：小张因职位变动，从A办公楼302房间搬至311房间，如果现有人员的变动造成二次访问申请，无论是给用户，还是给网络管理都会增加很多额外的工作。因此，最佳的处理方式是，当小张在311房间接入网络后，仍然获取到原有的网络地址，可以进行正常的网络访问。其网络行为的追踪，同样使用先前的IP地址进行管理。原理在DHCP服务器或者开启了DHCP功能的核心设备上为每一个用户建立一个只有一个IP地址的DHCP池，关闭网段地址池，进行DHCP分配IP与MAC地址的绑定，实现固定电脑固定IP的效果。优点客户PC端不需要进行任何的配置，对用户上网没有任何影响。网络调整过程中，对客户上网影响较小，利于网管员实施。网络管理员不需要关心用户上网的具体端口，工作量相对较小。缺点由于用户的网络接入端口没有作严格的限制，或者同一端口的网络接入数量没有作严格的限制，用户有可能会采用克隆MAC地址的方式进行内部NAT，实现多台电脑同时访问网络，在这种情形下，内部带来的网络攻击和病毒泛滥就无法定位具体人员或电脑，给网络维护造成一定风险和困难。实施步骤（以Cisco交换机设备为例）每一个用户DHCP池IP地址与MAC地址的绑定R1-SW#show ip dhcp binding /查看dhcp绑定信息R1-SW#clear ip dhcp binding R1-SW#show ip dhcp binding /查看dhcp绑定信息是否被清除，只能清除自动绑定的，手动绑定无法清除R1-SW(config)#ip dhcp polR1-SW(config)#ip dhcp pool zhanghaicangR1-SW(dhcp-config)#host 10.212.35.58 255.255.255.0R1-SW(dhcp-config)#client-identifier 01a0.88fc.90dc.03 /在电脑查看得到MAC地址前加01，并且每4位以“.”分隔；R1-SW(dhcp-config)#default-router 10.212.35.254R1-SW(dhcp-config)#dns 10.212.16.68 10.212.16.66实施过程中的注意点1、在作dhcp客户端配置时MAC地址前要加01，并且每4位以“.”分隔，最后两们单独；2、一定要清除先前的IP绑定，否则会造成绑定失败；VLAN配置方案有效的网络管理，往往需要配合合理的VLAN划分方案，最常见的VLAN划分方案有根据物理位置（如办公楼，同一办公楼的不同楼层等）或逻辑单位（如部门，功能等），VLAN与DHCP共同配合使用，可以大大提高网络管理效率。下面给出在DHCP开启情形下VLAN网关的配置步骤（以Cisco交换机设备为例）。R1-SW（