对局域网设备进行IP-MAC绑定是网络管理的一个重要手段,可以有效的防止IP盗用、IP滥用、IP地址冲突等异常情况。
IP-MAC绑定可以采用多种方法来实现,本文中,我将介绍一些常用的局域网IP-MAC绑定方案。
给每台电脑设置固定IP地址,且不开放管理员权限(客户机无法自行修改)。这个方案只能对电脑起作用,一般在域环境的局域网用的比较多。如图中的组策略配置。
交换机的端口设置IP-MAC绑定。该方案是最严格的IP-MAC绑定方案,但是需要交换机有这个功能,且配置比较复杂。以华为S5700交换机为例,命令如下:
在DHCP服务器上静态IP分配,从而客户机每次都可以获取到同一个IP地址,DHCP服务器可以是路由器或者交换机。但是请注意,DHCP的静态地址分配并不能防止手动修改IP来绕开绑定。所以一般还需要和其他手段配合使用,比如:
ARP绑定,一般在交换机上配置。只有符合IP和MAC对应关系的设备才可以上网。
旁路上网行为管理。配置了静态IP后,再启用“WFilter ICF上网行为管理软件”的“IP-MAC绑定”功能。客户机一旦修改IP,就会被禁止上网。如图:
WFilterNGF,以及基于该系统的WSG上网行为管理网关,既具有DHCP的静态IP分配功能,又可以做IP-MAC的校验。无需其他设备就可以实现“静态IP分配”和“IP-MAC绑定”的功能,而且还可以进行跨VLAN的IP-mac绑定。配置如下图:
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
