1. 為什么要進(jìn)行IP-mac綁定？

IP-MAC綁定是網(wǎng)絡(luò)管理的一個(gè)重要手段，在局域網(wǎng)內(nèi)啟用IP-MAC綁定，可以給您帶來如下好處：

1. 只有通過綁定的設(shè)備才可以接入網(wǎng)絡(luò)，從而有效的防止了私接設(shè)備。

2. 大部分上網(wǎng)和流控策略都是基于IP地址的，需要綁定IP和MAC才可以更好的應(yīng)用上網(wǎng)策略。

3. 實(shí)現(xiàn)有效的上網(wǎng)記錄和上網(wǎng)統(tǒng)計(jì)。如果不綁定，那么記錄統(tǒng)計(jì)不能有效的定位到具體用戶。

4. 節(jié)省IP資源，防止IP盜用。
   

5. 減少ARP攻擊，杜絕IP地址沖突，從而提高網(wǎng)絡(luò)的穩(wěn)定性。

所以，對(duì)于企業(yè)的辦公局域網(wǎng)來說，IP-MAC綁定帶來的好處是顯而易見的。我建議任何有條件的局域網(wǎng)都進(jìn)行ip-mac綁定，至少做到部分綁定（比如：辦公設(shè)備綁定、手機(jī)設(shè)備自動(dòng)分配），這樣可以有效的提高網(wǎng)絡(luò)安全性和穩(wěn)定性。

2. 無線上網(wǎng)的設(shè)備要不要綁定？

手機(jī)等無線設(shè)備，默認(rèn)都是自動(dòng)獲取IP的，而且手機(jī)都是私人物品，網(wǎng)管不能直接進(jìn)行操作。這里就分為兩種需求。

2.1) 不限制無線設(shè)備的接入。

簡(jiǎn)單點(diǎn)來說：給無線設(shè)備單獨(dú)設(shè)置一個(gè)VLAN，全部自動(dòng)獲取IP，在網(wǎng)關(guān)上對(duì)無線網(wǎng)段進(jìn)行限速就可以。這種情況不需要進(jìn)行綁定，對(duì)所有的無線設(shè)備網(wǎng)段配置同樣的上網(wǎng)行為策略和流控策略。優(yōu)點(diǎn)是配置和部署方便，缺點(diǎn)是只能實(shí)現(xiàn)一刀切的管理，無法對(duì)無線設(shè)備的準(zhǔn)入進(jìn)行控制，也無法對(duì)設(shè)備單獨(dú)設(shè)置上網(wǎng)策略，無線上網(wǎng)的速度和穩(wěn)定性得不到保障。

2.2) 無線設(shè)備嚴(yán)格認(rèn)證。

有些局域網(wǎng)的要求比較嚴(yán)格，只有允許的設(shè)備才可以接入。這種情況下，就需要對(duì)無線設(shè)備進(jìn)行IP-MAC綁定，并且要在DHCP上配置靜態(tài)地址分配（如WFilter NGF的IP-MAC綁定功能），那么即使手機(jī)設(shè)置的是自動(dòng)獲取IP，每次也都會(huì)獲取到同一個(gè)IP地址，并不需要修改手機(jī)的配置。這種方案是優(yōu)點(diǎn)是接入嚴(yán)格控制、上網(wǎng)策略和記錄統(tǒng)計(jì)可以對(duì)應(yīng)到個(gè)人；缺點(diǎn)就是需要登記管理每臺(tái)手機(jī)的mac地址和ip地址，管理麻煩些。

2.3) 對(duì)無線設(shè)備進(jìn)行Web認(rèn)證。

不進(jìn)行IP-mac綁定，但是啟用”Web認(rèn)證“，基于賬號(hào)來進(jìn)行管理和統(tǒng)計(jì)。也是一個(gè)有效的管理方式。如圖：

綜合來說，設(shè)備有條件做IP-MAC綁定的，建議都做上。如果設(shè)備不支持，可以采用”2.1“中介紹的方案。建議參考：WFilter局域網(wǎng)IP-MAC綁定方案