局域網(wǎng)的IP地址和MAC地址綁定,一般選擇在交換機或者路由器上進行配置。
交換機的IP-MAC地址綁定一般是基于端口的。主要用于綁定各個交換機端口的IP地址/MAC地址。支持該功能的交換機不多,配置和維護比較復雜,一般不推薦。
路由器的IP-MAC綁定比交換機要方便些。可以直接和路由器的DHCP服務結合,給綁定的MAC地址分配固定IP。但是路由器最大的問題就是無法進行跨網(wǎng)段綁定。
一個有效的IP-MAC綁定方案,需要考慮到如下因素:
要可以和DHCP結合,給客戶機自動分配綁定的IP地址。
對于未綁定的設備,要提供是否允許上網(wǎng)的配置項。比如可以實現(xiàn)這樣的功能需求:辦公電腦都進行綁定,移動設備無需綁定。
多網(wǎng)段環(huán)境下,要可以跨網(wǎng)段進行綁定。
本文將簡單介紹“WFilter NGF上網(wǎng)行為管理系統(tǒng)”的IP-MAC綁定功能。如果想用“WFilter ICF上網(wǎng)行為管理軟件”來實現(xiàn)旁路模式的IP-MAC綁定,請參考:WFilter ICF局域網(wǎng)IP-MAC綁定方案
1. IP-MAC綁定列表
WFilter NGF的IP-MAC模塊,直接和DHCP服務器結合,可以給綁定的MAC地址分配固定IP。即使客戶機是自動獲取IP,也一樣可以獲取到綁定的IP地址。您可以手動添加綁定的IP地址和MAC地址,也可以在“批量操作”里面“掃描導入”。
2. IP-MAC綁定配置
IP-MAC綁定的配置如下圖:
對于列表外的IP地址,可以設置“允許上網(wǎng)”、“禁止上網(wǎng)”、“只禁止指定的IP范圍”,從而實現(xiàn)您的多種管理需求。
對于列表外的MAC地址(未綁定的設備),可以設置是否分配IP。如果”分配IP“,那么未綁定的設備也可以獲取到IP地址。否則不能自動獲取到IP。
3. 跨網(wǎng)段MAC地址獲取
網(wǎng)關下面接的是三層交換機?沒關系,我們還有“MAC地址收集器”,只要你的三層交換機支持“SNMP”管理,就可以跨網(wǎng)段獲取mac地址,從而實現(xiàn)跨網(wǎng)段IP-MAC綁定。
以上是WFilter NGF的”IP-MAC綁定“模塊的簡單介紹,該功能結合WFilter NGF中的”網(wǎng)頁過濾“、”應用過濾“等上網(wǎng)行為管理規(guī)則,可以實現(xiàn)對整個局域網(wǎng)的有效管控,實現(xiàn)用戶實名上網(wǎng),防止非法接入。IP-MAC綁定的詳細使用,請參考:IP-MAC綁定模塊
