25
2019
10

上网行为管理如何实现跨网段IP-MAC绑定?

对于三层交换机划分多个VLAN的局域网来说,要设置IP-MAC绑定可真不容易。在三层交换机上进行IP-MAC绑定,不但配置复杂而且维护工作量很大,所以大部分网管都不会直接在三层交换机上进行绑定。在本文中,我将介绍用WSG上网行为管理,在网桥部署的模式下,如何来实现三层交换机下的IP和MAC绑定。

1. 先看下网络拓扑图。

网络拓扑图.png

16
2019
08

IP地址冲突怎么解决?

IP地址冲突一般是由于手动设置IP的原因,综合来说有如下两种可能性:

  1. A电脑和B电脑都手工设置了同样的IP地址。

  2. A电脑自动获取,B电脑手动设置了和A电脑一样的IP地址。

出现IP地址冲突时,通过arp -a命令,可以看到冲突对方的MAC地址。如下图:

201908161565924007939851.png

22
2018
05

IP地址冲突解决方案,局域网IP地址冲突如何解决?

IP地址冲突是网络管理的一个常见问题。尤其在企业局域网内部,由于管控策略的存在,总会有人试图通过修改IP地址来绕开管控、获取更多的上网权限以及更高的带宽。修改的IP一旦和公司的服务器发送IP冲突,会直接影响到办公和业务的正常运行。IP冲突的危害如下:

  1. 绕开行为管理策略和流控策略的管控。

  2. 导致被冲突的客户机断网。

  3. 和服务器IP冲突会影响业务的正常运行。

  4. 难以定位,使网络管理混乱无序。

ipconflict01.png

05
2018
03

最简单方便的ip-mac绑定,透明网桥如何实现IP-MAC绑定?

IP-MAC绑定一直是局域网管理的一个重要部分。但是其实现却往往比较复杂,一般会有如下问题:

  1. 大部分路由器的IP-MAC绑定功能比较局限。一般就是简单的ARP绑定。客户机手动修改IP等方式来突破。

  2. 路由器由于硬件限制,允许的IP-MAC绑定条目比较少,一般在256条以内。

  3. 交换机上进行IP-MAC绑定,配置和维护的工作量会比较大。

  4. 三层交换机的IP-MAC绑定往往需要专业技术人员才可以操作。

今天,我要介绍的是一种非常简单方便的IP-MAC绑定方式,无需修改交换机和路由器,不改变当前网络结构和配置,即插即用,web界面配置。非常简单方便就可以实现对局域网内客户机的IP-MAC绑定。具体介绍如下:

24
2017
06

如何禁止电脑随便修改IP?

电脑修改IP,最直接的结果,会导致这个电脑不能上网,如果改成另外一台电脑的IP,那么IP会冲突,两个电脑都没法上网。这样的问题,不是大问题,但是却很麻烦,如果是想在本机禁止,网上有一水的经验和方法,就不一一介绍的。但是如果碰到员工自己的电脑,或者网管的爪子伸不到电脑上,那么如果在网络层管理呢?

1. 如果您是域环境,做禁止修改IP也好做的。给每台电脑设置固定IP地址,且不开放管理员权限(客户机无法自行修改)。这个方案只能对电脑起作用,一般在域环境的局域网用的比较多。如图中的组策略配置。

23
2017
06

手动修改MAC地址可以突破IP-MAC绑定吗?

这个世界有矛就有盾,既然有IP-MAC绑定的技术,总归就有人会尝试去突破这个绑定。一般来说,无非是通过”修改IP地址“和”修改MAC地址“两种方式。

1. IP地址的修改很简单,在“本地连接”里面,修改TCP/IP的属性就可以,如图:

201706231498209757135810.png

23
2017
06

IP-MAC绑定后,能禁止私接路由和随身WIFI吗?

随着移动终端使用越来越广泛,WIFI也是漫天遍野都是,但是企业局域网里面私接路由或者电脑上插了随身WIFI,看视频或者下载什么,对于局域网带宽消耗很大,最直接的也非常影响了工作状态。如果把IP绑定以后,能否杜绝这一现象呢?一半的一半,私接路由可以拒绝,但是随身WIFI不行。

1. 先说私接路由,这里的私接路由,是局域网里面某个大神自己带个小无线路由器,往角落里面交换机上一插,然后就可以无线上网了,那么这个时候如果想要阻止这位大神,需要采用那个NGF或者WSG网关的IP绑定策略,采取这样的策略,随便什么无线路由,或者电脑直接插都无法上网,这样配置,那么局域网里面电脑擅自修改IP,也无法上网。这样的IP管理的妥妥的。一人一P,人改P不改。

23
2017
06

三层交换机如何设置IP-MAC绑定?跨网段IP-MAC绑定方案。

交换机上配置IP-mac绑定,主要需要考虑两个因素:

  1. 该交换机是否开启DHCP服务?

  2. 是采用端口绑定还是ARP绑定?

端口绑定或者ARP绑定,只是强制了IP-MAC的对应关系。但是,对于自动获取IP地址的客户机而言,还需要在DHCP服务器上分配固定IP才可以;否则客户机重新获取IP后,就会联不了网。所以,一个完善的IP-MAC绑定方案,既要考虑DHCP的静态地址分配,还要考虑IP-MAC的实际绑定实现。对于三层交换机而言,分为两种情况:

23
2017
06

企业网络如何进行IP-MAC绑定?

对于企业的办公局域网来说,IP-MAC绑定带来的好处是显而易见的。但是各企业在具体实施的过程中,应当根据各自局域网的特点,结合行政手段,有计划、有目的的进行实施。

首先,获取管理层的支持,颁布行政命令。

如果没有相应的行政命令,员工会不断的尝试手动修改IP来绕开监管。从而导致不断的IP地址冲突等网络问题。所以在行政命令上,需要做到:

1. 禁止私自修改IP。

2. 禁止私接路由器、随身wifi等设备。

以上行为一旦发现,配合一定的惩罚手段,可以减少技术手段的工作负担。

22
2017
06

局域网IP-MAC绑定方案。

对局域网设备进行IP-MAC绑定是网络管理的一个重要手段,可以有效的防止IP盗用、IP滥用、IP地址冲突等异常情况。

IP-MAC绑定可以采用多种方法来实现,本文中,我将介绍一些常用的局域网IP-MAC绑定方案。

1. 域的组策略禁止修改IP

给每台电脑设置固定IP地址,且不开放管理员权限(客户机无法自行修改)。这个方案只能对电脑起作用,一般在域环境的局域网用的比较多。如图中的组策略配置。

19
2017
06

交换机如何实现ip-mac绑定?

很多公司出于安全考虑,需要对IP-MAC地址进行绑定。IP-MAC绑定可以采用多种方法来实现,本文中,我将介绍各款交换机是如何进行IP-MAC绑定的。请注意,本文中的IP-MAC绑定是基于端口做的绑定,要求客户机必须固定IP地址才可以联网。

思科2950

#进入配置模式

Switch#config terminal

#进入具体端口配置模式

Switch(config)#Interface fastethernet 0/1

#配置端口安全模式

#配置该端口要绑定的主机的MAC地址

Switch(config-if )#switchport port-security mac-address MAC(主机的MAC地址) ip-address 192.168.x.x

12
2017
06

什么样的局域网需要IP-MAC绑定?IP-MAC绑定的好处。

1. 为什么要进行IP-mac绑定?

IP-MAC绑定是网络管理的一个重要手段,在局域网内启用IP-MAC绑定,可以给您带来如下好处:

  1. 只有通过绑定的设备才可以接入网络,从而有效的防止了私接设备。

  2. 大部分上网和流控策略都是基于IP地址的,需要绑定IP和MAC才可以更好的应用上网策略。

  3. 实现有效的上网记录和上网统计。如果不绑定,那么记录统计不能有效的定位到具体用户。

  4. 节省IP资源,防止IP盗用。

  5. 减少ARP攻击,杜绝IP地址冲突,从而提高网络的稳定性。

所以,对于企业的办公局域网来说,IP-MAC绑定带来的好处是显而易见的。我建议任何有条件的局域网都进行ip-mac绑定,至少做到部分绑定(比如:办公设备绑定、手机设备自动分配),这样可以有效的提高网络安全性和稳定性。

30
2017
03

局域网IP地址和MAC地址绑定,跨网段IP-MAC绑定。

局域网的IP地址和MAC地址绑定,一般选择在交换机或者路由器上进行配置。

  1. 交换机的IP-MAC地址绑定一般是基于端口的。主要用于绑定各个交换机端口的IP地址/MAC地址。支持该功能的交换机不多,配置和维护比较复杂,一般不推荐。

  2. 路由器的IP-MAC绑定比交换机要方便些。可以直接和路由器的DHCP服务结合,给绑定的MAC地址分配固定IP。但是路由器最大的问题就是无法进行跨网段绑定。

一个有效的IP-MAC绑定方案,需要考虑到如下因素:

  1. 要可以和DHCP结合,给客户机自动分配绑定的IP地址。

  2. 对于未绑定的设备,要提供是否允许上网的配置项。比如可以实现这样的功能需求:办公电脑都进行绑定,移动设备无需绑定。

  3. 多网段环境下,要可以跨网段进行绑定。

本文将简单介绍“WFilter NGF上网行为管理系统”的IP-MAC绑定功能。如果想用“WFilter ICF上网行为管理软件”来实现旁路模式的IP-MAC绑定,请参考:WFilter ICF局域网IP-MAC绑定方案