局域网的IP地址和MAC地址绑定,一般选择在交换机或者路由器上进行配置。
交换机的IP-MAC地址绑定一般是基于端口的。主要用于绑定各个交换机端口的IP地址/MAC地址。支持该功能的交换机不多,配置和维护比较复杂,一般不推荐。
路由器的IP-MAC绑定比交换机要方便些。可以直接和路由器的DHCP服务结合,给绑定的MAC地址分配固定IP。但是路由器最大的问题就是无法进行跨网段绑定。
一个有效的IP-MAC绑定方案,需要考虑到如下因素:
要可以和DHCP结合,给客户机自动分配绑定的IP地址。
对于未绑定的设备,要提供是否允许上网的配置项。比如可以实现这样的功能需求:办公电脑都进行绑定,移动设备无需绑定。
多网段环境下,要可以跨网段进行绑定。
本文将简单介绍“WFilter NGF上网行为管理系统”的IP-MAC绑定功能。如果想用“WFilter ICF上网行为管理软件”来实现旁路模式的IP-MAC绑定,请参考:WFilter ICF局域网IP-MAC绑定方案
1. IP-MAC绑定列表
WFilter NGF的IP-MAC模块,直接和DHCP服务器结合,可以给绑定的MAC地址分配固定IP。即使客户机是自动获取IP,也一样可以获取到绑定的IP地址。您可以手动添加绑定的IP地址和MAC地址,也可以在“批量操作”里面“扫描导入”。
2. IP-MAC绑定配置
IP-MAC绑定的配置如下图:
对于列表外的IP地址,可以设置“允许上网”、“禁止上网”、“只禁止指定的IP范围”,从而实现您的多种管理需求。
对于列表外的MAC地址(未绑定的设备),可以设置是否分配IP。如果”分配IP“,那么未绑定的设备也可以获取到IP地址。否则不能自动获取到IP。
3. 跨网段MAC地址获取
网关下面接的是三层交换机?没关系,我们还有“MAC地址收集器”,只要你的三层交换机支持“SNMP”管理,就可以跨网段获取mac地址,从而实现跨网段IP-MAC绑定。
以上是WFilter NGF的”IP-MAC绑定“模块的简单介绍,该功能结合WFilter NGF中的”网页过滤“、”应用过滤“等上网行为管理规则,可以实现对整个局域网的有效管控,实现用户实名上网,防止非法接入。IP-MAC绑定的详细使用,请参考:IP-MAC绑定模块