上网行为管理如何实现跨网段IP-MAC绑定

对于三层交换机划分多个VLAN的局域网来说，要设置IP-MAC绑定可真不容易。在三层交换机上进行IP-MAC绑定，不但配置复杂而且维护工作量很大，所以大部分网管都不会直接在三层交换机上进行绑定。在本文中，我将介绍用WSG上网行为管理，在网桥部署的模式下，如何来实现三层交换机下的IP和MAC绑定。

1. 先看下网络拓扑图。

2. WSG采用网桥部署的方式

网桥参数配置好后，即插即用，不需要对现有网络参数做任何修改。现有的防火墙/路由器，三层交换机都不需要修改配置。

3. 开启MAC地址收集器

由于三层交换机屏蔽了终端的mac地址，所以在三层交换机的网络环境下，需要开启”MAC地址收集器“才可以监控到终端的MAC地址。

在“模块”->“其他”->“MAC地址收集器”中开启。“MAC地址收集器”可以通过SNMP协议，从三层交换机收集终端的mac地址信息。

点击测试通过。

4. 配置IP-MAC绑定

可以直接导入在线的IP-MAC列表，也可以批量添加。

在IP-MAC绑定的配置中，对绑定列表外的IP选择“禁止上网”。

经过上述配置后，即可实现跨网段的IP-MAC绑定。WSG的IP-MAC绑定基于对网络数据的抓包分析，只要不符合IP-MAC绑定的配置，都一律禁止上网。即使客户机修改IP也无法突破。