1. 为什么要进行IP-mac绑定?
IP-MAC绑定是网络管理的一个重要手段,在局域网内启用IP-MAC绑定,可以给您带来如下好处:
只有通过绑定的设备才可以接入网络,从而有效的防止了私接设备。
大部分上网和流控策略都是基于IP地址的,需要绑定IP和MAC才可以更好的应用上网策略。
实现有效的上网记录和上网统计。如果不绑定,那么记录统计不能有效的定位到具体用户。
节省IP资源,防止IP盗用。
减少ARP攻击,杜绝IP地址冲突,从而提高网络的稳定性。
所以,对于企业的办公局域网来说,IP-MAC绑定带来的好处是显而易见的。我建议任何有条件的局域网都进行ip-mac绑定,至少做到部分绑定(比如:办公设备绑定、手机设备自动分配),这样可以有效的提高网络安全性和稳定性。
2. 无线上网的设备要不要绑定?
手机等无线设备,默认都是自动获取IP的,而且手机都是私人物品,网管不能直接进行操作。这里就分为两种需求。
2.1) 不限制无线设备的接入。
简单点来说:给无线设备单独设置一个VLAN,全部自动获取IP,在网关上对无线网段进行限速就可以。这种情况不需要进行绑定,对所有的无线设备网段配置同样的上网行为策略和流控策略。优点是配置和部署方便,缺点是只能实现一刀切的管理,无法对无线设备的准入进行控制,也无法对设备单独设置上网策略,无线上网的速度和稳定性得不到保障。
2.2) 无线设备严格认证。
有些局域网的要求比较严格,只有允许的设备才可以接入。这种情况下,就需要对无线设备进行IP-MAC绑定,并且要在DHCP上配置静态地址分配(如WFilter NGF的IP-MAC绑定功能),那么即使手机设置的是自动获取IP,每次也都会获取到同一个IP地址,并不需要修改手机的配置。这种方案是优点是接入严格控制、上网策略和记录统计可以对应到个人;缺点就是需要登记管理每台手机的mac地址和ip地址,管理麻烦些。
2.3) 对无线设备进行Web认证。
不进行IP-mac绑定,但是启用”Web认证“,基于账号来进行管理和统计。也是一个有效的管理方式。如图:
综合来说,设备有条件做IP-MAC绑定的,建议都做上。如果设备不支持,可以采用”2.1“中介绍的方案。
本文转自 笨小驴 51CTO博客,原文链接:http://blog.51cto.com/12800391/1936665,如需转载请自行联系原作者
