局域網(wǎng)的IP地址和MAC地址綁定，一般選擇在交換機(jī)或者路由器上進(jìn)行配置。

1. 交換機(jī)的IP-MAC地址綁定一般是基于端口的。主要用于綁定各個(gè)交換機(jī)端口的IP地址/MAC地址。支持該功能的交換機(jī)不多，配置和維護(hù)比較復(fù)雜，一般不推薦。

2. 路由器的IP-MAC綁定比交換機(jī)要方便些?？梢灾苯雍吐酚善鞯腄HCP服務(wù)結(jié)合，給綁定的MAC地址分配固定IP。但是路由器最大的問題就是無法進(jìn)行跨網(wǎng)段綁定。

一個(gè)有效的IP-MAC綁定方案，需要考慮到如下因素：

1. 要可以和DHCP結(jié)合，給客戶機(jī)自動(dòng)分配綁定的IP地址。

2. 對(duì)于未綁定的設(shè)備，要提供是否允許上網(wǎng)的配置項(xiàng)。比如可以實(shí)現(xiàn)這樣的功能需求：辦公電腦都進(jìn)行綁定，移動(dòng)設(shè)備無需綁定。

3. 多網(wǎng)段環(huán)境下，要可以跨網(wǎng)段進(jìn)行綁定。

本文將簡單介紹“WFilter NGF上網(wǎng)行為管理系統(tǒng)”的IP-MAC綁定功能。如果想用“WFilter ICF上網(wǎng)行為管理軟件”來實(shí)現(xiàn)旁路模式的IP-MAC綁定，請(qǐng)參考：WFilter ICF局域網(wǎng)IP-MAC綁定方案

1. IP-MAC綁定列表

WFilter NGF的IP-MAC模塊，直接和DHCP服務(wù)器結(jié)合，可以給綁定的MAC地址分配固定IP。即使客戶機(jī)是自動(dòng)獲取IP，也一樣可以獲取到綁定的IP地址。您可以手動(dòng)添加綁定的IP地址和MAC地址，也可以在“批量操作”里面“掃描導(dǎo)入”。

2. IP-MAC綁定配置

IP-MAC綁定的配置如下圖：

• 對(duì)于列表外的IP地址，可以設(shè)置“允許上網(wǎng)”、“禁止上網(wǎng)”、“只禁止指定的IP范圍”，從而實(shí)現(xiàn)您的多種管理需求。

• 對(duì)于列表外的MAC地址（未綁定的設(shè)備），可以設(shè)置是否分配IP。如果”分配IP“，那么未綁定的設(shè)備也可以獲取到IP地址。否則不能自動(dòng)獲取到IP。

3. 跨網(wǎng)段MAC地址獲取

網(wǎng)關(guān)下面接的是三層交換機(jī)？沒關(guān)系，我們還有“MAC地址收集器”，只要你的三層交換機(jī)支持“SNMP”管理，就可以跨網(wǎng)段獲取mac地址，從而實(shí)現(xiàn)跨網(wǎng)段IP-MAC綁定。

以上是WFilter NGF的”IP-MAC綁定“模塊的簡單介紹，該功能結(jié)合WFilter NGF中的”網(wǎng)頁過濾“、”應(yīng)用過濾“等上網(wǎng)行為管理規(guī)則，可以實(shí)現(xiàn)對(duì)整個(gè)局域網(wǎng)的有效管控，實(shí)現(xiàn)用戶實(shí)名上網(wǎng)，防止非法接入。IP-MAC綁定的詳細(xì)使用，請(qǐng)參考：IP-MAC綁定模塊