IP-MAC綁定一直是區域網路管理的一個重要部分。但是其實作卻往往比較複雜,一般會有如下問題:
大部分路由器的IP-MAC綁定功能比較局限。一般就是簡單的ARP綁定。客戶機手動修改IP等方式來突破。
路由器由于硬體限制,允許的IP-MAC綁定條目比較少,一般在256條以内。
交換機上進行IP-MAC綁定,配置和維護的工作量會比較大。
三層交換機的IP-MAC綁定往往需要專業技術人員才可以操作。
今天,我要介紹的是一種非常簡單友善的IP-MAC綁定方式,無需修改交換機和路由器,不改變目前網絡結構和配置,即插即用,web界面配置。非常簡單友善就可以實作對區域網路内客戶機的IP-MAC綁定。具體介紹如下:
用一台WSG裝置(WFilter NGF)做透明網橋,串接在路由器和交換機之間。網絡結構如下圖:
網橋是完全透明的,串接在網絡中,無需對區域網路的IP配置、網絡結構等做任何改動。就可以發揮作用。
WSG在網橋模式下,一樣可以實作完整的上網行為管理和審計功能。在本例中,我們隻關注“IP-MAC綁定”的相關配置。如圖:
區域網路的客戶機可以直接掃描導入,或者文本批量導入。如圖:
對未綁定的客戶機,可以禁止或者允許上網。
在網關模式下,你可以選擇是否給未綁定的裝置配置設定IP(需要在WFilter的接口設定中啟用DHCP)。而在網橋模式下,DHCP服務是預設不啟動的,如果你想要給客戶機自動配置設定綁定的IP位址,那麼這個選項是這樣的,如下圖:
當然,啟用這個DHCP選項後,需要把你現有的DHCP服務關閉掉,否則DHCP會沖突。
利用透明網橋來實作IP-MAC綁定,具體步驟如下:
網橋模式部署一台WSG裝置。
導入IP-MAC綁定清單。
IP-MAC綁定的配置中,對未綁定的IP禁止上網。
啟用網橋DHCP服務(可選)
通過透明網橋來進行IP-MAC綁定,真正做到了不修改現有網絡參數、不改變現有網絡架構,有夠簡單吧?
本文轉自 笨小驢 51CTO部落格,原文連結:http://blog.51cto.com/12800391/2083405,如需轉載請自行聯系原作者