有效的网络管理提升校园网络安全<br/>——华为三层交换机的绑定过滤实例

有效的网络管理提升校园网络安全
——华为三层交换机的绑定过滤实例

2016-12-31戴海军江苏省宝应县西安丰镇中心初中江苏宝应225800

中国管理信息化 2016年3期

戴海军（江苏省宝应县西安丰镇中心初中，江苏　宝应　225800）

有效的网络管理提升校园网络安全
——华为三层交换机的绑定过滤实例

戴海军
（江苏省宝应县西安丰镇中心初中，江苏宝应225800）

［摘要］教育现代化使得农村学校也陆续建成了自己的校园网络并连入互联网，为均衡教育资源培养学生的素质提供了有力的支撑。校园网在学校的信息化建设中扮演了至关重要的角色。随着信息化装备的不断装备、更新，校园网络规模也的急剧膨胀，网络用户的快速增长，校园网络所面对的使用群体的特殊性（拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠）使得校园信息化安全成为各个学校不可回避的一个紧迫问题。

［关键词］校园网络安全；华为三层交换机；IP和MAC地址绑定过滤

本文就华为三层交换机的IP及MAC地址绑定介绍一下笔者的使用心得，希望能对初中尤其是数字化校园的农村初中信息管理人员有所帮助。

1　前期准备

1.1软件下载

（1）要有MAC地址监视器。方便于获取每台计算机的IP及MAC地址。建议用IP_MACSM-v1上手容易。

（2）要准备一款优秀的服务器类TeInet工具用于绑定过滤，这里选用HAP_SecureCRT5.1破解版。可以在Windows环境下运行。Secure CRT将SSH（Secure SheII）的安全登录、数据传送性能和Windows终端仿真提供的可靠性、可用性和可配置性结合在一起。

（3）下载一款MAC修改器，方便于绑定过滤后，机器移动后修改MAC码实现安全上网。

除此之外还可以下载一个IP地址修改器，方便于修改IP地址和机器名；编写一张“批量命令”FXCFL电子表格，用作批量生成符合程序要求的IP和MAC地址的格式。

硬件这一部分只需自制一根联接三层交换机的ConsoIe端口和电脑Com1端口的数据线。注意，必须是RS232串口9针对RJ45网线头的数据线。

1.2IP及MAC地址的采集

（1）运行IP修改器，可以设定计算机的IP地址及用户名。建议“机器名”可以直接改成使用者姓名，这样方便管理。

（2）运行“IP_MACSM-v1.037”，获取每个计算机的IP及MAC地址，因为三层交换机通常都做了端口分配，有些特殊的部门IP地址区间已经作了限定，不能随意改动，那就要动手获取每一端口下电脑所用的IP地址了。规模较大的学校或创建成数字化校园的学校往往在三层交换机下还设有楼层交换机。电脑过多一一获取也是非常繁杂的事。为了提高效率，可对照三层交换机的端口分配表找到每个端口下的一台电脑运行MAC地址监视器。

选择“扫描方式”，一般选用“ARP方式”，单击“扫描”按钮就可以捕获这一端口下在运行的电脑的IP地址。然后在“备案”菜单中选择“导出FXFCL”把获取的IP地址和MAC码导出到FXCFL表格中，通过这样的方法汇总出所有在用的IP和MAC地址。

（3）编辑：将IP和MAC地址分别复制到“批量命令”表格中，获取的MAC码是6段式，而在绑定过程需要的三段式，所以FXCFL表格而编辑一段函数让获取MAC地址的三段化，“MID（D2，1，2）&MID（D2，4，5）&MID（D2，10，3）&MID（D2，13，2）&MID（D2，16，2）”就可以轻松完成。

2　进行绑定及过滤

（1）用数据线连接三层交换机与电脑，三层交换机端口为consoIe，电脑连接9针接口。

（2）安装HAP_SecureCRT_5.1.2软件，由于使用的是免费的破解版，所以按说明输入名字：Windows；公司：IC；序列号：03-50 -006248许可密钥：ADPUSB W3DQ5B ZC35FJ 99AG3T ACM47V SAK5W6 8CD1YZ GJU7JK；发布日期：27-06-2006进行注册（以上输入信息均为破解版中安装说明中提供）。

（3）运行该软件并进行第一次设置。次项设置非常重要，否则会影响绑定和过滤的成果。配置文件-快速连接-协议“SeriaI”-端口“com1”-波特率“9600”-数据位“8”-奇偶校验“无”-停止位“1”-数据项控制去掉“√”，保存会话。

（4）进入软件。单击“连接”进入软件，按回车键，出现〈Qidway〉提示符，输入sy尖括号变为方括号进入编辑状态。

输入查看绑定命令“disp arp”，会显示出通过三层交换机的所有用户的IP、MAC地址，端口和类型等信息，“Type”项中“S”为静态（已作绑定），D为动态（未作绑定）。

（5）接下来就进行关键的绑定和过滤步骤。绑定命令“art static *.*.*.* H-H-H”为了节省时间，可直接把之先复制到记事本的批量命令复制到［Qidway］提示符下，此处可用“编辑“菜单中“粘贴”功能或“CtrI+V”来完成。说明一下，绑定命令中“*.*.*.*”是IP地址，“H-H-H”是三段式MAC地址，两者之间有空格。例如：arp static 172.23.53.13 4437-F63B-1D3F。

（6）为了校园网络安全，过滤是必须的，这样就可以保证无关的机器不能登录校园网络。