对局域网设备进行IP-MAC绑定是网络管理的一个重要手段,可以有效的防止IP盗用、IP滥用、IP地址冲突等异常情况。
IP-MAC绑定可以采用多种方法来实现,本文中,我将介绍一些常用的局域网IP-MAC绑定方案。
1. 域的组策略禁止修改IP
给每台电脑设置固定IP地址,且不开放管理员权限(客户机无法自行修改)。这个方案只能对电脑起作用,一般在域环境的局域网用的比较多。如图中的组策略配置。
2. 基于交换机端口绑定
交换机的端口设置IP-MAC绑定。该方案是最严格的IP-MAC绑定方案,但是需要交换机有这个功能,且配置比较复杂。以华为S5700交换机为例,命令如下:
3. DHCP服务器上做静态IP分配
在DHCP服务器上静态IP分配,从而客户机每次都可以获取到同一个IP地址,DHCP服务器可以是路由器或者交换机。但是请注意,DHCP的静态地址分配并不能防止手动修改IP来绕开绑定。所以一般还需要和其他手段配合使用,比如:
ARP绑定,一般在交换机上配置。只有符合IP和MAC对应关系的设备才可以上网。
旁路上网行为管理。配置了静态IP后,再启用“WFilter ICF上网行为管理软件”的“IP-MAC绑定”功能。客户机一旦修改IP,就会被禁止上网。如图:
4. WFilter NGF的IP-MAC绑定
WFilterNGF,以及基于该系统的WSG上网行为管理网关,既具有DHCP的静态IP分配功能,又可以做IP-MAC的校验。无需其他设备就可以实现“静态IP分配”和“IP-MAC绑定”的功能,而且还可以进行跨VLAN的IP-mac绑定。配置如下图:
本文转自 笨小驴 51CTO博客,原文链接:http://blog.51cto.com/12800391/1941055,如需转载请自行联系原作者