IP-MAC綁定是網絡管理的一個重要手段,在區域網路内啟用IP-MAC綁定,可以給您帶來如下好處:
隻有通過綁定的裝置才可以接入網絡,進而有效的防止了私接裝置。
大部分上網和流控政策都是基于IP位址的,需要綁定IP和MAC才可以更好的應用上網政策。
實作有效的上網記錄和上網統計。如果不綁定,那麼記錄統計不能有效的定位到具體使用者。
節省IP資源,防止IP盜用。
減少ARP攻擊,杜絕IP位址沖突,進而提高網絡的穩定性。
是以,對于企業的辦公區域網路來說,IP-MAC綁定帶來的好處是顯而易見的。我建議任何有條件的區域網路都進行ip-mac綁定,至少做到部分綁定(比如:辦公裝置綁定、手機裝置自動配置設定),這樣可以有效的提高網絡安全性和穩定性。
手機等無線裝置,預設都是自動擷取IP的,而且手機都是私人物品,網管不能直接進行操作。這裡就分為兩種需求。
2.1) 不限制無線裝置的接入。
簡單點來說:給無線裝置單獨設定一個VLAN,全部自動擷取IP,在網關上對無線網段進行限速就可以。這種情況不需要進行綁定,對所有的無線裝置網段配置同樣的上網行為政策和流控政策。優點是配置和部署友善,缺點是隻能實作一刀切的管理,無法對無線裝置的準入進行控制,也無法對裝置單獨設定上網政策,無線上網的速度和穩定性得不到保障。
2.2) 無線裝置嚴格認證。
有些區域網路的要求比較嚴格,隻有允許的裝置才可以接入。這種情況下,就需要對無線裝置進行IP-MAC綁定,并且要在DHCP上配置靜态位址配置設定(如WFilter NGF的IP-MAC綁定功能),那麼即使手機設定的是自動擷取IP,每次也都會擷取到同一個IP位址,并不需要修改手機的配置。這種方案是優點是接入嚴格控制、上網政策和記錄統計可以對應到個人;缺點就是需要登記管理每台手機的mac位址和ip位址,管理麻煩些。
2.3) 對無線裝置進行Web認證。
不進行IP-mac綁定,但是啟用”Web認證“,基于賬号來進行管理和統計。也是一個有效的管理方式。如圖:
綜合來說,裝置有條件做IP-MAC綁定的,建議都做上。如果裝置不支援,可以采用”2.1“中介紹的方案。
本文轉自 笨小驢 51CTO部落格,原文連結:http://blog.51cto.com/12800391/1936665,如需轉載請自行聯系原作者