局域网IP-MAC绑定方案

对局域网设备进行IP-MAC绑定是网络管理的一个重要手段,可以有效的防止IP盗用、IP滥用、IP地址冲突等异常情况。

IP-MAC绑定可以采用多种方法来实现,本文中,我将介绍一些常用的局域网IP-MAC绑定方案。

1. 域的组策略禁止修改IP

给每台电脑设置固定IP地址,且不开放管理员权限(客户机无法自行修改)。这个方案只能对电脑起作用,一般在域环境的局域网用的比较多。如图中的组策略配置。

2. 基于交换机端口绑定

交换机的端口设置IP-MAC绑定。该方案是最严格的IP-MAC绑定方案,但是需要交换机有这个功能,且配置比较复杂。以华为S5700交换机为例,命令如下:

3. DHCP服务器上做静态IP分配

在DHCP服务器上静态IP分配,从而客户机每次都可以获取到同一个IP地址,DHCP服务器可以是路由器或者交换机。但是请注意,DHCP的静态地址分配并不能防止手动修改IP来绕开绑定。所以一般还需要和其他手段配合使用,比如:

  • ARP绑定,一般在交换机上配置。只有符合IP和MAC对应关系的设备才可以上网。
  • 旁路上网行为管理。配置了静态IP后,再启用“WFilter ICF上网行为管理软件”的“IP-MAC绑定”功能。客户机一旦修改IP,就会被禁止上网。如图:

4. WFilter NGF的IP-MAC绑定

WFilterNGF,以及基于该系统的WSG上网行为管理网关,既具有DHCP的静态IP分配功能,又可以做IP-MAC的校验。无需其他设备就可以实现“静态IP分配”和“IP-MAC绑定”的功能,而且还可以进行跨VLAN的IP-mac绑定。配置如下图:

时间: 2024-12-27 00:24:05

局域网IP-MAC绑定方案的相关文章

WIN7下如何实现静态IP/MAC绑定,以防ARP攻击

防ARP攻击,从终端抓起.WIN7下如何实现IP/MAC绑定? 在此,以添加IP: 192.168.1.200  MAC:00-aa-00-62-c6-09为例,小编与大家一同来分享. 工具/原料 电脑(WIN7) 方法一:通过"arp -s "命令来实现 1 步骤1:绑定IP/MAC DOS界面下,输入命令[arp -s 192.168.1.200 00-aa-00-62-c6-09] 回车即可. PS:该添加为临时添加,系统重启后,就失效了. 2 步骤2:查看是否绑定成功 DOS界

ARP 命令运行实现静态IP/MAC绑定

公司网络出现本地无法连接,以前公司是分配的固定IP,结果还是无法连接网络,后来网管帮我设置了下,我也学习了下.解决办法如下: 1.首先以管理员身份运行CMD打开命令行程序 开始-程序-附件-命令提示符 击右键选择“以管理员身份运行” 2.输入命令  arp -a   参看添加成功后的ARP表项,结果如下: C:\Windows\system32>arp -a 接口: 192.168.16.65 --- 0xa Internet 地址 物理地址 类型 192.168.16.1 00-11-22-3

华为核心交换机绑定IP+MAC+端口案例

华为核心交换机绑定IP+MAC+端口案例 1         案例背景 某网络改造项目,核心交换机为华为S5700,接入交换机为不同型号交换机,如下模拟拓扑,客户端接入交换机1通过Access模式与核心交换机连接,该交换机下只有一个Vlan2 192.168.2.0/24:客户端接入交换机2通过Trunk模式与核心交换机连接,该交换机下有俩个Vlan,Vlan3 192.168.3.0/24 Vlan4 192.168.4.0/24,服务器接入交换机通过Access模式与核心交换机连接,该交换机

固定IP和绑定了MAC,可以在设置无线路由器供笔记本电脑和平板上网吗?

这跟我们单位一样.很简单:首先要占一个 IP/MAC ,能上外网的,这首先要有,谁要肯给地址,我们这儿领导才有呢.我是网管,当然有多余的IP:无线路由器WAN口一.设成静态IP,按单位的要求参数设:二.修改WAN口的MAC地址,一般路由器如TPLINK的,都支持WAN口改MAC地址:再设好无线密码,就可以用了.我的无线路由器挂了同事好几台手机! 追问 我之前能上网的那台电脑的MAC要修改吗?设置好路由器后笔记本和电脑是设成自动获取ip地址吗? 回答 如果这点电脑有线方式连入这台路由器,此电脑可以

我家用的网络IP地址给定,MAC绑定,我买了个无线路由器,请问怎么设定能让我的电脑和手机都能上网

我家用的网络IP地址给定,MAC绑定,我买了个无线路由器,请问怎么设定能让我的电脑和手机都能上网 房东给的IP地址是:192.168.1.5 255.255.255.0 192.168.1.1 218.30.19.50 61.134.1.5我买的无线路由器是:192.168.1.253 等高手解答, 分享到: 2012-12-23 19:13提问者采纳 进入路由器,更改路由器IP地址为192.168.2.253,重启路由器,用192.168.2.253进入路由,网络类型为静态IP,钩选克隆本机M

CISCO DHCP根据MAC绑定IP

ip dhcp pool  zrq1 host 192.168.18.14  255.255.255.0 client-identifier  01c8.bcc8.d147.36   mac在windows里是没有01的,加上01,然后每4位用一 个点分隔 如果要立即生效,需要清空路由器自动分配ip的缓存. 命令:clear ip dhcp binding * arp 202.196.191.190 0100.1fd0.8575.d2 arpa 是防止指定ip盗用的,不是用来dhcp mac绑定

linux下ip和mac绑定

centos 5.4下默认ip和mac配置文件是/etc/ethers vim /etc/ethers ip mac 例如 192.168.1.100 1C:1C:1C:1C:1C:1C arp -f 使配置生效,后期生效,需添加开机启动项

什么样的局域网需要IP-MAC绑定?IP-MAC绑定的好处。

1. 为什么要进行IP-mac绑定? IP-MAC绑定是网络管理的一个重要手段,在局域网内启用IP-MAC绑定,可以给您带来如下好处: 只有通过绑定的设备才可以接入网络,从而有效的防止了私接设备. 大部分上网和流控策略都是基于IP地址的,需要绑定IP和MAC才可以更好的应用上网策略. 实现有效的上网记录和上网统计.如果不绑定,那么记录统计不能有效的定位到具体用户. 节省IP资源,防止IP盗用. 减少ARP攻击,杜绝IP地址冲突,从而提高网络的稳定性. 所以,对于企业的办公局域网来说,IP-MAC

大型局域网一步到位的网络管理方案

这里说的大型局域网是500-1000台局域网环境,一般是一栋楼,厂房或者学校.大型局域网的组网方案已经非常成熟了.大网络,多了防火墙,核心交换机,不同需求的服务器.这里就不一一赘述,这里重点介绍大局域网的上网行为管理方案.大网环境数据量大,各种协议走的很复杂.很多网安厂家把第二代防火墙的概念 (Next Generation Firewall)包括了上网行为管理概念,专业的上网行为管理是无法被代替的.协议分析,应用层解析,上网日志记录,审计等模块需要大量的运算,后期需要专业的研发团队维护升级.所