FAQ-USG6300 如何实现类似于交换机user-bind的ip-mac绑定功能?

发布时间:  2016-06-15 浏览次数:  194 下载次数:  0
问题描述
FAQ-USG6300 如何实现类似于交换机user-bind的ip-mac绑定功能?
解决方案

交换机上的user-bind用户绑定和防火墙上的IP-MAC绑定原理上的区别:

1、两者都能防止IP地址冒用攻击、ARP欺骗攻击

2、不在绑定表的ip-mac组合,交换机默认是拒绝,防火墙默认是放行

 

 

若想实现不在绑定表的新设备接入时,让他的流量被防火墙拒绝掉,方法如下:

1、首先在USG上配置基本的IP-MAC绑定

将IP地址10.1.1.1与MAC地址0001-0002-0003进行绑定。

system-view       
firewall mac-binding enable       
firewall mac-binding 10.1.1.1 0001-0002-0003

2、安全策略中仅明细放行这些ip

security-policy
 rule name policy_sec_per1                                                             
  source-zone trust                                                            
  destination-zone untrust                                                          
  source-address 10.1.1.1 32                                                                                                
  action permit                                                                  
 rule name policy_sec_deny1                                                              
  source-zone trust                                                            
  destination-zone untrust                                                                                                  
  action deny
                                                                  

注意:网关不在防火墙上时不适用IP-MAC绑定功能,需要配置跨三层mac识别

END