對於三層交換機劃分多個VLAN的局域網來說,要設置IP-MAC綁定可真不容易。在三層交換機上進行IP-MAC綁定,不但配置複雜而且維護工作量很大,所以大部分網管都不會直接在三層交換機上進行綁定。在本文中,我將介紹用WSG上網行為管理,在網橋部署的模式下,如何來實現三層交換機下的IP和MAC綁定。
1. 先看下網絡拓撲圖。
2. WSG採用網橋部署的方式
網橋參數配置好後,即插即用,不需要對現有網絡參數做任何修改。現有的防火牆/路由器,三層交換機都不需要修改配置。
3. 開啟MAC地址收集器
由於三層交換機屏蔽了終端的mac地址,所以在三層交換機的網絡環境下,需要開啟”MAC地址收集器“才可以監控到終端的MAC地址。
在“模塊”->“其他”->“MAC地址收集器”中開啟。“MAC地址收集器”可以通過SNMP協議,從三層交換機收集終端的mac地址信息。
點擊測試通過。
4. 配置IP-MAC綁定
可以直接導入在線的IP-MAC列表,也可以批量添加。
在IP-MAC綁定的配置中,對綁定列表外的IP選擇“禁止上網”。
經過上述配置後,即可實現跨網段的IP-MAC綁定。WSG的IP-MAC綁定基於對網絡數據的抓包分析,只要不符合IP-MAC綁定的配置,都一律禁止上網。即使客戶機修改IP也無法突破。
分享到:
閱讀更多 笨驢技術 的文章
