對于三層交換機劃分多個VLAN的局域網來說，要設置IP-MAC綁定可真不容易。在三層交換機上進行IP-MAC綁定，不但配置復雜而且維護工作量很大，所以大部分網管都不會直接在三層交換機上進行綁定。在本文中，我將介紹用WSG上網行為管理，在網橋部署的模式下，如何來實現三層交換機下的IP和MAC綁定。

1. 先看下網絡拓撲圖。

IP地址沖突一般是由于手動設置IP的原因，綜合來說有如下兩種可能性：

1. A電腦和B電腦都手工設置了同樣的IP地址。
   

2. A電腦自動獲取，B電腦手動設置了和A電腦一樣的IP地址。

出現IP地址沖突時，通過arp -a命令，可以看到沖突對方的MAC地址。如下圖：

IP地址沖突是網絡管理的一個常見問題。尤其在企業局域網內部，由于管控策略的存在，總會有人試圖通過修改IP地址來繞開管控、獲取更多的上網權限以及更高的帶寬。修改的IP一旦和公司的服務器發送IP沖突，會直接影響到辦公和業務的正常運行。IP沖突的危害如下：

1. 繞開行為管理策略和流控策略的管控。
   

2. 導致被沖突的客戶機斷網。
   

3. 和服務器IP沖突會影響業務的正常運行。

4. 難以定位，使網絡管理混亂無序。

IP-MAC綁定一直是局域網管理的一個重要部分。但是其實現卻往往比較復雜，一般會有如下問題：

1. 大部分路由器的IP-MAC綁定功能比較局限。一般就是簡單的ARP綁定。客戶機手動修改IP等方式來突破。
   

2. 路由器由于硬件限制，允許的IP-MAC綁定條目比較少，一般在256條以內。

3. 交換機上進行IP-MAC綁定，配置和維護的工作量會比較大。

4. 三層交換機的IP-MAC綁定往往需要專業技術人員才可以操作。
   

今天，我要介紹的是一種非常簡單方便的IP-MAC綁定方式，無需修改交換機和路由器，不改變當前網絡結構和配置，即插即用，web界面配置。非常簡單方便就可以實現對局域網內客戶機的IP-MAC綁定。具體介紹如下：

電腦修改IP，最直接的結果，會導致這個電腦不能上網，如果改成另外一臺電腦的IP，那么IP會沖突，兩個電腦都沒法上網。這樣的問題，不是大問題，但是卻很麻煩，如果是想在本機禁止，網上有一水的經驗和方法，就不一一介紹的。但是如果碰到員工自己的電腦，或者網管的爪子伸不到電腦上，那么如果在網絡層管理呢？

1. 如果您是域環境，做禁止修改IP也好做的。給每臺電腦設置固定IP地址，且不開放管理員權限（客戶機無法自行修改）。這個方案只能對電腦起作用，一般在域環境的局域網用的比較多。如圖中的組策略配置。

這個世界有矛就有盾，既然有IP-MAC綁定的技術，總歸就有人會嘗試去突破這個綁定。一般來說，無非是通過”修改IP地址“和”修改MAC地址“兩種方式。

1. IP地址的修改很簡單，在“本地連接”里面，修改TCP/IP的屬性就可以，如圖：

隨著移動終端使用越來越廣泛，WIFI也是漫天遍野都是，但是企業局域網里面私接路由或者電腦上插了隨身WIFI，看視頻或者下載什么，對于局域網帶寬消耗很大，最直接的也非常影響了工作狀態。如果把IP綁定以后，能否杜絕這一現象呢？一半的一半，私接路由可以拒絕，但是隨身WIFI不行。

1. 先說私接路由，這里的私接路由，是局域網里面某個大神自己帶個小無線路由器，往角落里面交換機上一插，然后就可以無線上網了，那么這個時候如果想要阻止這位大神，需要采用那個NGF或者WSG網關的IP綁定策略，采取這樣的策略，隨便什么無線路由，或者電腦直接插都無法上網，這樣配置，那么局域網里面電腦擅自修改IP，也無法上網。這樣的IP管理的妥妥的。一人一P，人改P不改。

交換機上配置IP-mac綁定，主要需要考慮兩個因素：

1. 該交換機是否開啟DHCP服務？

2. 是采用端口綁定還是ARP綁定？

端口綁定或者ARP綁定，只是強制了IP-MAC的對應關系。但是，對于自動獲取IP地址的客戶機而言，還需要在DHCP服務器上分配固定IP才可以；否則客戶機重新獲取IP后，就會聯不了網。所以，一個完善的IP-MAC綁定方案，既要考慮DHCP的靜態地址分配，還要考慮IP-MAC的實際綁定實現。對于三層交換機而言，分為兩種情況：

對于企業的辦公局域網來說，IP-MAC綁定帶來的好處是顯而易見的。但是各企業在具體實施的過程中，應當根據各自局域網的特點，結合行政手段，有計劃、有目的的進行實施。

首先，獲取管理層的支持，頒布行政命令。

如果沒有相應的行政命令，員工會不斷的嘗試手動修改IP來繞開監管。從而導致不斷的IP地址沖突等網絡問題。所以在行政命令上，需要做到：

1. 禁止私自修改IP。

2. 禁止私接路由器、隨身wifi等設備。

以上行為一旦發現，配合一定的懲罰手段，可以減少技術手段的工作負擔。

對局域網設備進行IP-MAC綁定是網絡管理的一個重要手段，可以有效的防止IP盜用、IP濫用、IP地址沖突等異常情況。

IP-MAC綁定可以采用多種方法來實現，本文中，我將介紹一些常用的局域網IP-MAC綁定方案。

1. 域的組策略禁止修改IP

給每臺電腦設置固定IP地址，且不開放管理員權限（客戶機無法自行修改）。這個方案只能對電腦起作用，一般在域環境的局域網用的比較多。如圖中的組策略配置。

很多公司出于安全考慮，需要對IP-MAC地址進行綁定。IP-MAC綁定可以采用多種方法來實現，本文中，我將介紹各款交換機是如何進行IP-MAC綁定的。請注意，本文中的IP-MAC綁定是基于端口做的綁定，要求客戶機必須固定IP地址才可以聯網。

思科2950

#進入配置模式

Switch#config terminal

#進入具體端口配置模式

Switch(config)#Interface fastethernet 0/1

#配置端口安全模式

#配置該端口要綁定的主機的MAC地址

Switch(config-if )#switchport port-security mac-address MAC(主機的MAC地址) ip-address 192.168.x.x

1. 為什么要進行IP-mac綁定？

IP-MAC綁定是網絡管理的一個重要手段，在局域網內啟用IP-MAC綁定，可以給您帶來如下好處：

1. 只有通過綁定的設備才可以接入網絡，從而有效的防止了私接設備。

2. 大部分上網和流控策略都是基于IP地址的，需要綁定IP和MAC才可以更好的應用上網策略。

3. 實現有效的上網記錄和上網統計。如果不綁定，那么記錄統計不能有效的定位到具體用戶。

4. 節省IP資源，防止IP盜用。
   

5. 減少ARP攻擊，杜絕IP地址沖突，從而提高網絡的穩定性。

所以，對于企業的辦公局域網來說，IP-MAC綁定帶來的好處是顯而易見的。我建議任何有條件的局域網都進行ip-mac綁定，至少做到部分綁定（比如：辦公設備綁定、手機設備自動分配），這樣可以有效的提高網絡安全性和穩定性。

局域網的IP地址和MAC地址綁定，一般選擇在交換機或者路由器上進行配置。

1. 交換機的IP-MAC地址綁定一般是基于端口的。主要用于綁定各個交換機端口的IP地址/MAC地址。支持該功能的交換機不多，配置和維護比較復雜，一般不推薦。

2. 路由器的IP-MAC綁定比交換機要方便些。可以直接和路由器的DHCP服務結合，給綁定的MAC地址分配固定IP。但是路由器最大的問題就是無法進行跨網段綁定。

一個有效的IP-MAC綁定方案，需要考慮到如下因素：

1. 要可以和DHCP結合，給客戶機自動分配綁定的IP地址。

2. 對于未綁定的設備，要提供是否允許上網的配置項。比如可以實現這樣的功能需求：辦公電腦都進行綁定，移動設備無需綁定。

3. 多網段環境下，要可以跨網段進行綁定。

本文將簡單介紹“WFilter NGF上網行為管理系統”的IP-MAC綁定功能。如果想用“WFilter ICF上網行為管理軟件”來實現旁路模式的IP-MAC綁定，請參考：WFilter ICF局域網IP-MAC綁定方案