局域网IP-MAC绑定方案

对局域网设备进行IP-MAC绑定是网络管理的一个重要手段，可以有效的防止IP盗用、IP滥用、IP地址冲突等异常情况。

IP-MAC绑定可以采用多种方法来实现，本文中，我将介绍一些常用的局域网IP-MAC绑定方案。

1. 域的组策略禁止修改IP

给每台电脑设置固定IP地址，且不开放管理员权限（客户机无法自行修改）。这个方案只能对电脑起作用，一般在域环境的局域网用的比较多。如图中的组策略配置。

2. 基于交换机端口绑定

交换机的端口设置IP-MAC绑定。该方案是最严格的IP-MAC绑定方案，但是需要交换机有这个功能，且配置比较复杂。以华为S5700交换机为例，命令如下：

3. DHCP服务器上做静态IP分配

在DHCP服务器上静态IP分配，从而客户机每次都可以获取到同一个IP地址，DHCP服务器可以是路由器或者交换机。但是请注意，DHCP的静态地址分配并不能防止手动修改IP来绕开绑定。所以一般还需要和其他手段配合使用，比如：

• ARP绑定，一般在交换机上配置。只有符合IP和MAC对应关系的设备才可以上网。

• 旁路上网行为管理。配置了静态IP后，再启用“WFilter ICF上网行为管理软件”的“IP-MAC绑定”功能。客户机一旦修改IP，就会被禁止上网。如图：

4. WFilter NGF的IP-MAC绑定

WFilterNGF，以及基于该系统的WSG上网行为管理网关，既具有DHCP的静态IP分配功能，又可以做IP-MAC的校验。无需其他设备就可以实现“静态IP分配”和“IP-MAC绑定”的功能，而且还可以进行跨VLAN的IP-mac绑定。配置如下图：