IP-MAC綁定一直是局域網(wǎng)管理的一個(gè)重要部分。但是其實(shí)現(xiàn)卻往往比較復(fù)雜，一般會(huì)有如下問題：

1. 大部分路由器的IP-MAC綁定功能比較局限。一般就是簡(jiǎn)單的ARP綁定?？蛻魴C(jī)手動(dòng)修改IP等方式來突破。
   

2. 路由器由于硬件限制，允許的IP-MAC綁定條目比較少，一般在256條以內(nèi)。

3. 交換機(jī)上進(jìn)行IP-MAC綁定，配置和維護(hù)的工作量會(huì)比較大。

4. 三層交換機(jī)的IP-MAC綁定往往需要專業(yè)技術(shù)人員才可以操作。
   

今天，我要介紹的是一種非常簡(jiǎn)單方便的IP-MAC綁定方式，無需修改交換機(jī)和路由器，不改變當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)和配置，即插即用，web界面配置。非常簡(jiǎn)單方便就可以實(shí)現(xiàn)對(duì)局域網(wǎng)內(nèi)客戶機(jī)的IP-MAC綁定。具體介紹如下：

1. 透明網(wǎng)橋部署

用一臺(tái)WSG設(shè)備（WFilter NGF）做透明網(wǎng)橋，串接在路由器和交換機(jī)之間。網(wǎng)絡(luò)結(jié)構(gòu)如下圖：

網(wǎng)橋是完全透明的，串接在網(wǎng)絡(luò)中，無需對(duì)局域網(wǎng)的IP配置、網(wǎng)絡(luò)結(jié)構(gòu)等做任何改動(dòng)。就可以發(fā)揮作用。

2. 通過Web界面配置IP-MAC綁定

WSG在網(wǎng)橋模式下，一樣可以實(shí)現(xiàn)完整的上網(wǎng)行為管理和審計(jì)功能。在本例中，我們只關(guān)注“IP-MAC綁定”的相關(guān)配置。如圖：

局域網(wǎng)的客戶機(jī)可以直接掃描導(dǎo)入，或者文本批量導(dǎo)入。如圖：

對(duì)未綁定的客戶機(jī)，可以禁止或者允許上網(wǎng)。

在網(wǎng)關(guān)模式下，你可以選擇是否給未綁定的設(shè)備分配IP（需要在WFilter的接口設(shè)置中啟用DHCP）。而在網(wǎng)橋模式下，DHCP服務(wù)是默認(rèn)不啟動(dòng)的，如果你想要給客戶機(jī)自動(dòng)分配綁定的IP地址，那么這個(gè)選項(xiàng)是這樣的，如下圖：

當(dāng)然，啟用這個(gè)DHCP選項(xiàng)后，需要把你現(xiàn)有的DHCP服務(wù)關(guān)閉掉，否則DHCP會(huì)沖突。

3. 總結(jié)下具體步驟

利用透明網(wǎng)橋來實(shí)現(xiàn)IP-MAC綁定，具體步驟如下：

1. 網(wǎng)橋模式部署一臺(tái)WSG設(shè)備。
   

2. 導(dǎo)入IP-MAC綁定列表。

3. IP-MAC綁定的配置中，對(duì)未綁定的IP禁止上網(wǎng)。

4. 啟用網(wǎng)橋DHCP服務(wù)（可選）

通過透明網(wǎng)橋來進(jìn)行IP-MAC綁定，真正做到了不修改現(xiàn)有網(wǎng)絡(luò)參數(shù)、不改變現(xiàn)有網(wǎng)絡(luò)架構(gòu)，有夠簡(jiǎn)單吧？