IP-MAC绑定一直是局域网管理的一个重要部分。但是其实现却往往比较复杂,一般会有如下问题:
-
大部分路由器的IP-MAC绑定功能比较局限。一般就是简单的ARP绑定。客户机手动修改IP等方式来突破。
-
路由器由于硬件限制,允许的IP-MAC绑定条目比较少,一般在256条以内。
-
交换机上进行IP-MAC绑定,配置和维护的工作量会比较大。
-
三层交换机的IP-MAC绑定往往需要专业技术人员才可以操作。
今天,我要介绍的是一种非常简单方便的IP-MAC绑定方式,无需修改交换机和路由器,不改变当前网络结构和配置,即插即用,web界面配置。非常简单方便就可以实现对局域网内客户机的IP-MAC绑定。具体介绍如下:
1. 透明网桥部署
用一台WSG设备(WFilter NGF)做透明网桥,串接在路由器和交换机之间。网络结构如下图:
网桥是完全透明的,串接在网络中,无需对局域网的IP配置、网络结构等做任何改动。就可以发挥作用。
2. 通过Web界面配置IP-MAC绑定
WSG在网桥模式下,一样可以实现完整的上网行为管理和审计功能。在本例中,我们只关注“IP-MAC绑定”的相关配置。如图:
局域网的客户机可以直接扫描导入,或者文本批量导入。如图:
对未绑定的客户机,可以禁止或者允许上网。
在网关模式下,你可以选择是否给未绑定的设备分配IP(需要在WFilter的接口设置中启用DHCP)。而在网桥模式下,DHCP服务是默认不启动的,如果你想要给客户机自动分配绑定的IP地址,那么这个选项是这样的,如下图:
当然,启用这个DHCP选项后,需要把你现有的DHCP服务关闭掉,否则DHCP会冲突。
3. 总结下具体步骤
利用透明网桥来实现IP-MAC绑定,具体步骤如下:
-
网桥模式部署一台WSG设备。
-
导入IP-MAC绑定列表。
-
IP-MAC绑定的配置中,对未绑定的IP禁止上网。
-
启用网桥DHCP服务(可选)
通过透明网桥来进行IP-MAC绑定,真正做到了不修改现有网络参数、不改变现有网络架构,有够简单吧?
本文转自 笨小驴 51CTO博客,原文链接:http://blog.51cto.com/12800391/2083405,如需转载请自行联系原作者
