一种基于交换机技术的网络终端地址批量绑定方法
【技术领域】
[0001]本发明涉及互联网技术领域,尤其涉及一种基于交换机技术的网络终端地址批量绑定方法。
【背景技术】
[0002]大型企业中网络运维工作中为了网络终端的接入安全,经常会对网络终端设备进行IP/MAC绑定或MAC/交换机端口的绑定,这种在网络交换设备上进行简单绑定的方法简单、成本低、效果好,但是人工成本高。
[0003]现有的技术方案及其存在的问题为:
[0004]K802.1x基于Client/Server的访问控制和认证协议。802.1x准入控制方案的缺点是有些老旧网络交换机或低档交换机不支持802.1x协议,下级交换机不支持802.1功能终端控制能力较弱,如果服务器端上的认证服务出问题可能导致所有终端断网。
[0005]2、DHCP准入控制。DHCP准入控制兼容老旧交换机,但是网络接入的控制力度不强,网络规模不能太大。
[0006]3、网关型准入控制。网关型准入控制:没有对终端接入网络进行控制,只能做到网络出口上的控制,网关设备出错会导致全部终端无法访问外部网络。
[0007]4、ARP型准入控制。ARP型准入控制:是一种变相ARP病毒的工作方式,大量错误的ARP报文容易造成网络可用性降低,对安装ARP防火墙的终端准入控制效果很差。
[0008]5、网络交换设备上进行终端地址和端口绑定。网络交换设备上进行终端地址和端口绑定,是一种低成本高可用性的方法,缺点是终端用户数量多、更换终端频繁、网络接入位置变更多应用环境中,维护工作量大,无法进行全局管控。
【发明内容】
[0009]为了解决上述技术问题,本发明提出一种基于交换机技术的网络终端地址批量绑定方法,帮助网络运维人员全面掌握网络终端接入情况。
[0010]为了实现上述目的,本发明采用的技术方案为:
[0011]一种基于交换机技术的网络终端地址批量绑定方法,包括如下步骤:
[0012]步骤SI,获取ARP表、MAC地址表、物理接口、三层VLAN以及二层VLAN信息;
[0013]步骤S2,分解三层VLAN信息数据,得到能够使用的IP地址范围,形成能够分配的终端IP地址表;
[0014]步骤S3,对照MAC地址表与ARP表,获得每个物理接口下终端的IP、MAC以及交换机端口号信息;
[0015]步骤S4,定制访问模板、数据读取模板以及地址绑定命令模板;
[0016]步骤S5,对接入网络的终端设备进行身份甄别之后,生成终端地址绑定脚本指令并将指令下发到交换机,进行批量绑定;
[0017]步骤S6,检测绑定是否成功,若成功则结束,若不成功则重复上述步骤。
[0018]所述步骤SI包括步骤:
[0019]步骤S11,通过snmp简单网管协议、telnet以及ssh方式连接到以太网交换机;
[0020]步骤S12,获取ARP表、MAC地址表、物理接口、三层VLAN以及二层VLAN信息。[0021 ] 所述步骤S2包括步骤:
[0022]步骤S21,分解三层VLAN信息数据,得到能够使用的IP地址范围;
[0023]步骤S22,将接口、子网以及广播地址进行标记;
[0024]步骤S23,形成能够分配的终端IP地址表。
[0025]所述步骤SI中的ARP表为三层交换机的ARP表,所述MAC地址表为二层接入交换机的MAC地址表,所述物理接口为二层接入交换机和三层交换机的物理接口。
[0026]所述步骤S3中的MAC地址表为二层接入交换机的MAC地址表。
[0027]所述步骤S5中还包括步骤:
[0028]步骤S51,未使用的IP地址和交换机物理接口使用地址占用模板进行绑定。
[0029]本发明的有益效果为:
[0030]1、与802.1x准入控制技术相比,本方法不依赖于服务器端对终端的身份认证,因此不需要安装客户端软件或用户主动注册。
[0031]2、能够应用到目前主流的可网管交换机产品,对网络交换设备的档次和品牌没有太高要求。
[0032]3、采用本方法的接入管控系统能够辅助运维人员管理局域网资源,管控主机停机或故障状态下,地址端口绑定措施仍然有效,对运行中的网络设备与终端设备没有影响。
[0033]4、不需要终端用户干预即可实现地址绑定。
【附图说明】
[0034]图1通信网络连接图;
[0035]图2本发明示意图。
【具体实施方式】
[0036]为了更好的了解本发明的技术方案,下面结合附图对本发明作进一步说明。
[0037]如图1所示,通信网络一般包括:工控机,工控机通过核心交换机或路由器连接三层交换机,三层交换机连接二层接入交换机,二层接入交换机连接终端设备。
[0038]工控机用于扫描二层接入交换机、三层交换机以及终端设备,以获取他们的IP地址相关信息。三层交换机在网络中作为终端计算机网关使用或者作为路由设备使用。仅仅用来提供连接终端的交换机称为二层接入交换机即二层交换机。
[0039]如图2所示,一种基于交换机技术的网络终端地址批量绑定方法,包括步骤:
[0040]SI,获取ARP表、MAC地址表、物理接口、三层VLAN以及二层VLAN信息;通过snmp简单网管协议、telnet以及ssh方式连接到网络设备,读取运行设备的ARP表、MAC地址表、物理接口、VLAN虚接口、二层VLAN等信息。通过snmp协议读取交换机信息,有的信息(比如交换机端口绑定信息)存放在私有键值中,无法直接读取,只能通过远程登录的方式获取。有的交换机只允许ssh方式登录,有的只能通过telnet方式登录,所以为了采集必要信息的需要,三种方式需要采用,不然采集的信息就不够全面。网络设备主要指的是以太网交换机,也有少量以太网路由器。运行设备指的是连接在网络上使用中的设备,不包括退运和库存设备。为了采集这些IP地址相关信息,需要一个设备不断扫描网络交换机和终端设备,我们这个方案是采用的是工控机,因此是这台工控机通过snmp ssh或者telnet去连接网络设备。
[0041]S2,分解三层VLAN信息数据,得到能够使用的IP地址范围,形成能够分配的终端IP地址表。对三层交换机的VLAN虚接口数据进行分解,得到该VLAN的可用IP地址范围,并将接口、子网、广播地址进行标记,形成可分配的终端IP地址表。VLAN虚接口创建在三层交换机上,也就是平时所设置的计算机的网关,一般包括IP地址和掩码两部分,比如接口地址192.168.1.1,子网掩码是255.255.255.0,通过这个就能知道可以供终端计算机使用的IP地址范围是192.168.1.2192.168.1.254,其他的地址是不能给计算机用的。
[0042]S3,对照MAC地址表与ARP表,获得每个物理接口下终端的IP、MAC以及交换机端口号信息;在二层接入交换机的MAC