對(duì)于三層交換機(jī)劃分多個(gè)VLAN的局域網(wǎng)來說，要設(shè)置IP-MAC綁定可真不容易。在三層交換機(jī)上進(jìn)行IP-MAC綁定，不但配置復(fù)雜而且維護(hù)工作量很大，所以大部分網(wǎng)管都不會(huì)直接在三層交換機(jī)上進(jìn)行綁定。在本文中，我將介紹用WSG上網(wǎng)行為管理，在網(wǎng)橋部署的模式下，如何來實(shí)現(xiàn)三層交換機(jī)下的IP和MAC綁定。

1. 先看下網(wǎng)絡(luò)拓?fù)鋱D。

IP地址沖突一般是由于手動(dòng)設(shè)置IP的原因，綜合來說有如下兩種可能性：

1. A電腦和B電腦都手工設(shè)置了同樣的IP地址。
   

2. A電腦自動(dòng)獲取，B電腦手動(dòng)設(shè)置了和A電腦一樣的IP地址。

出現(xiàn)IP地址沖突時(shí)，通過arp -a命令，可以看到?jīng)_突對(duì)方的MAC地址。如下圖：

IP地址沖突是網(wǎng)絡(luò)管理的一個(gè)常見問題。尤其在企業(yè)局域網(wǎng)內(nèi)部，由于管控策略的存在，總會(huì)有人試圖通過修改IP地址來繞開管控、獲取更多的上網(wǎng)權(quán)限以及更高的帶寬。修改的IP一旦和公司的服務(wù)器發(fā)送IP沖突，會(huì)直接影響到辦公和業(yè)務(wù)的正常運(yùn)行。IP沖突的危害如下：

1. 繞開行為管理策略和流控策略的管控。
   

2. 導(dǎo)致被沖突的客戶機(jī)斷網(wǎng)。
   

3. 和服務(wù)器IP沖突會(huì)影響業(yè)務(wù)的正常運(yùn)行。

4. 難以定位，使網(wǎng)絡(luò)管理混亂無序。

IP-MAC綁定一直是局域網(wǎng)管理的一個(gè)重要部分。但是其實(shí)現(xiàn)卻往往比較復(fù)雜，一般會(huì)有如下問題：

1. 大部分路由器的IP-MAC綁定功能比較局限。一般就是簡單的ARP綁定?？蛻魴C(jī)手動(dòng)修改IP等方式來突破。
   

2. 路由器由于硬件限制，允許的IP-MAC綁定條目比較少，一般在256條以內(nèi)。

3. 交換機(jī)上進(jìn)行IP-MAC綁定，配置和維護(hù)的工作量會(huì)比較大。

4. 三層交換機(jī)的IP-MAC綁定往往需要專業(yè)技術(shù)人員才可以操作。
   

今天，我要介紹的是一種非常簡單方便的IP-MAC綁定方式，無需修改交換機(jī)和路由器，不改變當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)和配置，即插即用，web界面配置。非常簡單方便就可以實(shí)現(xiàn)對(duì)局域網(wǎng)內(nèi)客戶機(jī)的IP-MAC綁定。具體介紹如下：

電腦修改IP，最直接的結(jié)果，會(huì)導(dǎo)致這個(gè)電腦不能上網(wǎng)，如果改成另外一臺(tái)電腦的IP，那么IP會(huì)沖突，兩個(gè)電腦都沒法上網(wǎng)。這樣的問題，不是大問題，但是卻很麻煩，如果是想在本機(jī)禁止，網(wǎng)上有一水的經(jīng)驗(yàn)和方法，就不一一介紹的。但是如果碰到員工自己的電腦，或者網(wǎng)管的爪子伸不到電腦上，那么如果在網(wǎng)絡(luò)層管理呢？

1. 如果您是域環(huán)境，做禁止修改IP也好做的。給每臺(tái)電腦設(shè)置固定IP地址，且不開放管理員權(quán)限（客戶機(jī)無法自行修改）。這個(gè)方案只能對(duì)電腦起作用，一般在域環(huán)境的局域網(wǎng)用的比較多。如圖中的組策略配置。

這個(gè)世界有矛就有盾，既然有IP-MAC綁定的技術(shù)，總歸就有人會(huì)嘗試去突破這個(gè)綁定。一般來說，無非是通過”修改IP地址“和”修改MAC地址“兩種方式。

1. IP地址的修改很簡單，在“本地連接”里面，修改TCP/IP的屬性就可以，如圖：

隨著移動(dòng)終端使用越來越廣泛，WIFI也是漫天遍野都是，但是企業(yè)局域網(wǎng)里面私接路由或者電腦上插了隨身WIFI，看視頻或者下載什么，對(duì)于局域網(wǎng)帶寬消耗很大，最直接的也非常影響了工作狀態(tài)。如果把IP綁定以后，能否杜絕這一現(xiàn)象呢？一半的一半，私接路由可以拒絕，但是隨身WIFI不行。

1. 先說私接路由，這里的私接路由，是局域網(wǎng)里面某個(gè)大神自己帶個(gè)小無線路由器，往角落里面交換機(jī)上一插，然后就可以無線上網(wǎng)了，那么這個(gè)時(shí)候如果想要阻止這位大神，需要采用那個(gè)NGF或者WSG網(wǎng)關(guān)的IP綁定策略，采取這樣的策略，隨便什么無線路由，或者電腦直接插都無法上網(wǎng)，這樣配置，那么局域網(wǎng)里面電腦擅自修改IP，也無法上網(wǎng)。這樣的IP管理的妥妥的。一人一P，人改P不改。

交換機(jī)上配置IP-mac綁定，主要需要考慮兩個(gè)因素：

1. 該交換機(jī)是否開啟DHCP服務(wù)？

2. 是采用端口綁定還是ARP綁定？

端口綁定或者ARP綁定，只是強(qiáng)制了IP-MAC的對(duì)應(yīng)關(guān)系。但是，對(duì)于自動(dòng)獲取IP地址的客戶機(jī)而言，還需要在DHCP服務(wù)器上分配固定IP才可以；否則客戶機(jī)重新獲取IP后，就會(huì)聯(lián)不了網(wǎng)。所以，一個(gè)完善的IP-MAC綁定方案，既要考慮DHCP的靜態(tài)地址分配，還要考慮IP-MAC的實(shí)際綁定實(shí)現(xiàn)。對(duì)于三層交換機(jī)而言，分為兩種情況：

對(duì)于企業(yè)的辦公局域網(wǎng)來說，IP-MAC綁定帶來的好處是顯而易見的。但是各企業(yè)在具體實(shí)施的過程中，應(yīng)當(dāng)根據(jù)各自局域網(wǎng)的特點(diǎn)，結(jié)合行政手段，有計(jì)劃、有目的的進(jìn)行實(shí)施。

首先，獲取管理層的支持，頒布行政命令。

如果沒有相應(yīng)的行政命令，員工會(huì)不斷的嘗試手動(dòng)修改IP來繞開監(jiān)管。從而導(dǎo)致不斷的IP地址沖突等網(wǎng)絡(luò)問題。所以在行政命令上，需要做到：

1. 禁止私自修改IP。

2. 禁止私接路由器、隨身wifi等設(shè)備。

以上行為一旦發(fā)現(xiàn)，配合一定的懲罰手段，可以減少技術(shù)手段的工作負(fù)擔(dān)。

對(duì)局域網(wǎng)設(shè)備進(jìn)行IP-MAC綁定是網(wǎng)絡(luò)管理的一個(gè)重要手段，可以有效的防止IP盜用、IP濫用、IP地址沖突等異常情況。

IP-MAC綁定可以采用多種方法來實(shí)現(xiàn)，本文中，我將介紹一些常用的局域網(wǎng)IP-MAC綁定方案。

1. 域的組策略禁止修改IP

給每臺(tái)電腦設(shè)置固定IP地址，且不開放管理員權(quán)限（客戶機(jī)無法自行修改）。這個(gè)方案只能對(duì)電腦起作用，一般在域環(huán)境的局域網(wǎng)用的比較多。如圖中的組策略配置。

很多公司出于安全考慮，需要對(duì)IP-MAC地址進(jìn)行綁定。IP-MAC綁定可以采用多種方法來實(shí)現(xiàn)，本文中，我將介紹各款交換機(jī)是如何進(jìn)行IP-MAC綁定的。請(qǐng)注意，本文中的IP-MAC綁定是基于端口做的綁定，要求客戶機(jī)必須固定IP地址才可以聯(lián)網(wǎng)。

思科2950

#進(jìn)入配置模式

Switch#config terminal

#進(jìn)入具體端口配置模式

Switch(config)#Interface fastethernet 0/1

#配置端口安全模式

#配置該端口要綁定的主機(jī)的MAC地址

Switch(config-if )#switchport port-security mac-address MAC(主機(jī)的MAC地址) ip-address 192.168.x.x

1. 為什么要進(jìn)行IP-mac綁定？

IP-MAC綁定是網(wǎng)絡(luò)管理的一個(gè)重要手段，在局域網(wǎng)內(nèi)啟用IP-MAC綁定，可以給您帶來如下好處：

1. 只有通過綁定的設(shè)備才可以接入網(wǎng)絡(luò)，從而有效的防止了私接設(shè)備。

2. 大部分上網(wǎng)和流控策略都是基于IP地址的，需要綁定IP和MAC才可以更好的應(yīng)用上網(wǎng)策略。

3. 實(shí)現(xiàn)有效的上網(wǎng)記錄和上網(wǎng)統(tǒng)計(jì)。如果不綁定，那么記錄統(tǒng)計(jì)不能有效的定位到具體用戶。

4. 節(jié)省IP資源，防止IP盜用。
   

5. 減少ARP攻擊，杜絕IP地址沖突，從而提高網(wǎng)絡(luò)的穩(wěn)定性。

所以，對(duì)于企業(yè)的辦公局域網(wǎng)來說，IP-MAC綁定帶來的好處是顯而易見的。我建議任何有條件的局域網(wǎng)都進(jìn)行ip-mac綁定，至少做到部分綁定（比如：辦公設(shè)備綁定、手機(jī)設(shè)備自動(dòng)分配），這樣可以有效的提高網(wǎng)絡(luò)安全性和穩(wěn)定性。

局域網(wǎng)的IP地址和MAC地址綁定，一般選擇在交換機(jī)或者路由器上進(jìn)行配置。

1. 交換機(jī)的IP-MAC地址綁定一般是基于端口的。主要用于綁定各個(gè)交換機(jī)端口的IP地址/MAC地址。支持該功能的交換機(jī)不多，配置和維護(hù)比較復(fù)雜，一般不推薦。

2. 路由器的IP-MAC綁定比交換機(jī)要方便些?？梢灾苯雍吐酚善鞯腄HCP服務(wù)結(jié)合，給綁定的MAC地址分配固定IP。但是路由器最大的問題就是無法進(jìn)行跨網(wǎng)段綁定。

一個(gè)有效的IP-MAC綁定方案，需要考慮到如下因素：

1. 要可以和DHCP結(jié)合，給客戶機(jī)自動(dòng)分配綁定的IP地址。

2. 對(duì)于未綁定的設(shè)備，要提供是否允許上網(wǎng)的配置項(xiàng)。比如可以實(shí)現(xiàn)這樣的功能需求：辦公電腦都進(jìn)行綁定，移動(dòng)設(shè)備無需綁定。

3. 多網(wǎng)段環(huán)境下，要可以跨網(wǎng)段進(jìn)行綁定。

本文將簡單介紹“WFilter NGF上網(wǎng)行為管理系統(tǒng)”的IP-MAC綁定功能。如果想用“WFilter ICF上網(wǎng)行為管理軟件”來實(shí)現(xiàn)旁路模式的IP-MAC綁定，請(qǐng)參考：WFilter ICF局域網(wǎng)IP-MAC綁定方案