USG产品IP-MAC绑定功能解释含义

发布时间:  2014-11-29 浏览次数:  421 下载次数:  0
问题描述
在处理防火墙问题时,经常会接到用户有这样的需求,用户内网为2层网络,出口是防火墙,需要在我们防火墙上做相应的IP-MAC绑定之后,保证绑定的用户能够上网,没有进行IP-MAC绑定的用户无法上网。当用户在设备中配置了如下截图内容选择之后:

结果该MAC地址更改IP地址之后仍然可以上网。
解决方案
由于现在大部分用户对防火墙的IP-MAC绑定理解存在一定偏差,所以导致该问题经常出现,防火墙的IP-MAC绑定含义如下:
IP-MAC绑定是指MAC(Media Access Control)和IP地址绑定,设备根据用户的配置,在IP地址和MAC地址之间形成关联关系。对于声称源地址为这个IP地址的报文,如果其MAC地址不是指定关系对中的MAC地址,设备将予以丢弃。目的地址为这个IP地址的报文,在通过设备时将被强制发送到MAC-IP地址关联关系中,该IP地址对应的MAC地址,从而对用户形成有效的保护。
相当于说这种绑定方式是为了防止ARP欺骗的,绑定关系为1对多,即绑定之后一个IP只能被这个MAC地址使用,这个MAC地址还可以使用其他没有被绑定MAC地址的IP来进行上网操作,所以防火墙目前无法做到一对一的地址绑定。在这个时候可以让用户结合防火墙选项中的转发策略,来配置只允许绑定了MAC的IP地址进行上网,其他的IP不允许上网的方式来实现该需求,如下图:

这样进行MAC绑定的IP地址,192.168.101.102就只有它能够上网了,默认策略再更改为拒绝,其他的地址就都无法上网了。

END