1. 為什么要進行IP-mac綁定?
IP-MAC綁定是網絡管理的一個重要手段,在局域網內啟用IP-MAC綁定,可以給您帶來如下好處:
-
只有通過綁定的設備才可以接入網絡,從而有效的防止了私接設備。
-
大部分上網和流控策略都是基于IP地址的,需要綁定IP和MAC才可以更好的應用上網策略。
-
實現有效的上網記錄和上網統計。如果不綁定,那么記錄統計不能有效的定位到具體用戶。
-
節省IP資源,防止IP盜用。
-
減少ARP攻擊,杜絕IP地址沖突,從而提高網絡的穩定性。
所以,對于企業的辦公局域網來說,IP-MAC綁定帶來的好處是顯而易見的。我建議任何有條件的局域網都進行ip-mac綁定,至少做到部分綁定(比如:辦公設備綁定、手機設備自動分配),這樣可以有效的提高網絡安全性和穩定性。
2. 無線上網的設備要不要綁定?
手機等無線設備,默認都是自動獲取IP的,而且手機都是私人物品,網管不能直接進行操作。這里就分為兩種需求。
2.1) 不限制無線設備的接入。
簡單點來說:給無線設備單獨設置一個VLAN,全部自動獲取IP,在網關上對無線網段進行限速就可以。這種情況不需要進行綁定,對所有的無線設備網段配置同樣的上網行為策略和流控策略。優點是配置和部署方便,缺點是只能實現一刀切的管理,無法對無線設備的準入進行控制,也無法對設備單獨設置上網策略,無線上網的速度和穩定性得不到保障。
2.2) 無線設備嚴格認證。
有些局域網的要求比較嚴格,只有允許的設備才可以接入。這種情況下,就需要對無線設備進行IP-MAC綁定,并且要在DHCP上配置靜態地址分配(如WFilter NGF的IP-MAC綁定功能),那么即使手機設置的是自動獲取IP,每次也都會獲取到同一個IP地址,并不需要修改手機的配置。這種方案是優點是接入嚴格控制、上網策略和記錄統計可以對應到個人;缺點就是需要登記管理每臺手機的mac地址和ip地址,管理麻煩些。
2.3) 對無線設備進行Web認證。
不進行IP-mac綁定,但是啟用”Web認證“,基于賬號來進行管理和統計。也是一個有效的管理方式。如圖:
綜合來說,設備有條件做IP-MAC綁定的,建議都做上。如果設備不支持,可以采用”2.1“中介紹的方案。建議參考: