交换机端口与IP地址的绑定

网的

交换机端口

与ＩＰ地址的绑定北京师范大学信息科学学院傅骞

图１：一般校园霸结构图

对于大学校园网来说，一般是一个楼宇一个网段，而且也是一个管理单元．该楼宇内的网络由楼宇所在的院系负责，根据楼宇的大小，存在着两种组网形式．如上图所示的楼宇１和楼宇２．在楼宇１中．一个房间对应一个或多个三层交换端口，而在楼宇２中，一个房间对应一个或多个二层交换端口，我们要做的就是～个房间内的终端只能用固定的几个ＩＰ地址，也就是一个交换机（二层或三层）端口绑定多个ＩＰ地址．根据技术手段的不同，一般存在着以下几种方法。

通过访问管理功能实现

现在．有些三层交换机提供了访问管理功能，该功能可以直接控制某个端口可以被哪些ＩＰ地址访问．该功能只有把该三层交换机当成网关的情况下才能发挥作用．而且．依然会出现地址冲突的现象，只不过在非法端口使用的用户将无法进行跨网段访问，下面以华为３５２６为例，具体配置过程如下：

［ｓ３５２６］ａｍｅｎａｂｌｅ

［ｓ３５２６仲ｔｅｒｆａｃｅＶｆａｎ１

［ｓ３５２６一ＶＩａｎ—ｉｎｔｅｒｆａｃｅⅦｐａｄｄ１９２．１６８０１２５５２５５．２５５．０

＃该命令使１９２．１６８．０．１成为与该交换机相连的计算机的网关［ｓ３５２６］ｉｎｔｅｒｆａｃｅｅｔｈ０／１０

［ｓ３５２６一Ｅｔｈｅｍｅｔ０／１０］ａｍｉｐ—ｐ００Ｉ１９２１６８０２１９２．１６８．０．１０１９２１６８０１５＃该命令保证只有其中的三个地址能够通过该端口进行跨网段访问

通过访问列表实现

最初的访问列表只能在第三层发挥作用，现在随着技术的不断发展．访问列表也可以在第二层发挥作用了．现在某些交换机可以对三层地址和二层地址的访问列表进行与运算，从而达到端口ＩＰ地址绑定的目的，下面以华为３５２６Ｅ为例．具体配置过程如下：

［ｓ３５２６Ｅ】ａｃｎｕｍ１０

＃定义基本访问列表

【ｓ３５２６Ｅ—ａｃＩ—ｂａｓｉｃ一１０】ｒｕＩｅ０ｄｅｎｙｓｏｕｒｃｅａｎｙ

［ｓ３５２６Ｅ—ａｃＩ—ｂａｓｉｃ一１Ｏ］ｒｕｌｅ１ｐｅｒｍｉｔｓｏｕｒｃｅ１９２１６８．０．２Ｏ

＃允许１９２．１６８．０２访问，如果有多个，可以多定义几条规则［ｓ３５２旺】ａｃｎｕｍ２１０

，＃定义二层访问列表

［ｓ３５２６Ｅ—ａｃｌ—Ｉｉｎｋ一２１０】ｒｕＩｅ０ｄｅｎｙｉｎｇｒｅｓｓｉｎｔｅｒｆａｃｅｅ０／１０ｅｇｒｅｓｓａｎｙ［ｓ３５２６Ｅ—ａｃｌ—ｌｉｎｋ～２１０］ｒｕＩｅ１ｐｅｒｍｉｔｉｎｇｒｅｓｓｉｎｔｅｒｆａｃｅｅ０／１０ｅｇｒｅｓｓａｎｙ［ｓ３５２６Ｅ］ｐａｃｋｅｔ—ｆｉｌｔｅｒｉｐ—ｇｒｏｕｐ１０ｒｕｌｅ０ｌｉｎｋ—ｇｒｏｕｐ２１０ｒｕＩｅ０＃首先禁止所有计算机访问

［ｓ３５２６Ｅ］ｐａｃｋｅｔ—ｆ¨ｔｅｒｉｐ—ｇｒｏｕｐ１０ｒｕＩｅ１ｌｉｎｋ—ｇｒｏｕｐ２１０ｒｕＩｅ１＃允许某个固定的ｆＰ访问

这样一来，就在不起用三层转发功能的情况下实现了ＩＰ地址与交换机端口的绑定．上面的配置只允许一个地址通过，只要用

户需要，我们可能设置多条规则并使用多条ｐａｃｋｅｔ—ｆｉ｜ｔｅｒ命令来允　万方数据