目录
01 IP+MAC绑定配置案例
02 IP+MAC绑定常见问题
01 IP+MAC绑定配置案例
功能介绍
IP/MAC地址绑定是指路由器将与其直接相连的网络上的主机的MAC 地址和 IP 地址进行捆绑记录,只有指定的 MAC 地址才可以用相应的 IP 地址。这种机制可以防止被绑定的主机的IP地址不被假冒。应用这种机制有两个前提:
1、MAC 地址是唯一的,并且不可假冒;
2、只能绑定与路由器直接相连的网络上的主机(也就是主机的网关在路由器上)。
另外,一台主机的接口上可以配置多个IP 地址,因此存在多个 IP 地址绑定到同一个 MAC 地址上的情况,但反过来不允许。
应用场景
企业对网络的安全性要求比较高,只允许特定MAC地址的电脑并且设置特定的IP地址,才能接入网络上网,那么可以在路由器上启用IP+MAC绑定功能。
一、组网需求:
某网络使用RSR系列路由器作为出口路由器,内网有10台电脑,为这10台电脑静态分配了IP地址为192.168.0.2~192.168.0.11,同时要求:
1、这10台电脑的IP地址必须固定,不能私自更改。
2、不允许新的用户使用192.168.0.2~192.168.0.11以外的地址私自接入。
二、组网拓扑:
三、配置要点:
1、完成内网电脑的静态IP地址配置,并搜集各台电脑的MAC地址。
2、完成路由器的基本配置,保证内网用户可以正常访问外网。
3、配置IP+MAC绑定
(1)配置IP+MAC绑定规则列表
(2)将IP+MAC绑定规则列表应用到接口上
四、配置步骤
1、完成内网电脑的静态IP地址配置,并搜集各台电脑的MAC地址。
各台电脑的MAC地址,可以待完成以下步骤2后,在路由器上通过show arp进行搜集。
也可通过使用ipmacbind auto来实现自动绑定。
注意:如果使用ipmacbind auto实现自动绑定,则无法实现限制新用户接入。
2、完成路由器的基本配置,保证内网用户可以正常访问外网。
3、配置IP+MAC绑定
(1)配置IP+MAC绑定规则列表
ipmacbind list 1 //新建编号为1的IP+MAC规则列表
ipmacbind 192.168.0.2 00d0.f86c.1517 //新建IP+MAC绑定规则条目
ipmacbind 192.168.0.3 0000.0000.0003
ipmacbind 192.168.0.4 0000.0000.0004
ipmacbind 192.168.0.5 0000.0000.0005
ipmacbind 192.168.0.6 0000.0000.0006
ipmacbind 192.168.0.7 0000.0000.0007
ipmacbind 192.168.0.8 0000.0000.0008
ipmacbind 192.168.0.9 0000.0000.0009
ipmacbind 192.168.0.10 0000.0000.0010
ipmacbind 192.168.0.11 0000.0000.0011
(2)将IP+MAC绑定规则列表应用到接口上
interface GigabitEthernet 0/0 //进入与内网相连的接口
ipmacbind list 1 default action deny //将绑定规则列表应用到接口上,并指定默认的绑定规则外的默认行为是丢弃。
注意:
”deny“关键字的作用是将末匹配上IP MAC绑定规则的报文进行丢弃,以达到限制新用户私自接入的目的。缺省是”permit“,也就是末匹配上IP MAC绑定规则的报文是可以通过的。关于IP MAC绑定规则匹配情况,与”deny“、”permit“组合后报文的通信情况如下:
不配置deny时(permit,默认规则):
配置deny时:
五、配置验证
1、可以通过以show ipmacbind statistic和show ipmacbind table来查看ipmacbind的统计和绑定表项:
Ruijie#show ipmacbind statistic
IPMAC-Bind global dropped 0 packets //全局绑定规则所丢弃的数据包个数
IPMAC-Bind list 1 dropped 19 packets //list 1(需应用到接口上)绑定规则所丢弃的数据包个数
Ruijie#show ipmacbind table
Totol number of IPMAC-Bind rule: 10 //目前已绑定的条目数
IPMAC-Bind list 1 rule:
No Type IP Address MAC Address Log
1 <static> 192.168.0.2 00d0.f86c.1517 off //绑定条目的详细信息
2 <static> 192.168.0.3 0000.0000.0003 off
3 <static> 192.168.0.4 0000.0000.0004 off
4 <static> 192.168.0.5 0000.0000.0005 off
5 <static> 192.168.0.6 0000.0000.0006 off
6 <static> 192.168.0.7 0000.0000.0007 off
7 <static> 192.168.0.8 0000.0000.0008 off
8 <static> 192.168.0.9 0000.0000.0009 off
9 <static> 192.168.0.10 0000.0000.0010 off
10 <static> 192.168.0.11 0000.0000.0011 off
2、PC上配置与绑定条目相对应的IP地址,此时在PC上能够正常ping通网关:
PC IP地址:192.168.0.2 PC MAC地址:00d0.f86c.1517 。此时IP MAC在绑定表项中,并且一一对应。
3、将该PC的IP地址修改为192.168.0.3,此时在PC上无法ping通网关:
PC IP地址:192.168.0.3 PC MAC地址:00d0.f86c.1517。此时IP MAC在绑定表项中,但不对应。
4、将该PC的IP地址修改为192.168.0.20,此时在PC上无法ping通网关:
PC IP地址:192.168.0.20 PC MAC地址:00d0.f86c.1517。此时MAC在绑定表项中,但IP不在绑定表项中。
5、拿一台MAC地址末在绑定条目中的PC2,将该PC2的IP地址修改为192.168.0.3,此时在PC2上无法ping通网关:
PC IP地址:192.168.0.3 PC2 MAC地址:001a.a938.0e29。此时IP在绑定表项中,但MAC不在绑定表项中。
6、拿一台MAC地址末在绑定条目中的PC2,将该PC2的IP地址修改为192.168.0.20,此时在PC2上无法ping通网关:
PC IP地址:192.168.0.20 PC2 MAC地址:001a.a938.0e29。此时IP MAC都不在绑定表项中。
02 IP+MAC绑定常见问题
1、什么是IP+MAC绑定功能
IP+MAC地址绑定是指路由器将与其直接相连的网络上的主机的 MAC地址 和 IP地址 进行捆绑记录,只有指定的 MAC地址 才可以用相应的 IP 地址。这种机制可以防止被绑定的主机的IP地址不被假冒。应用这种机制有两个前提:
1)MAC 地址是唯一的,并且不可假冒;
2)只能绑定与路由器直接相连的网络上的主机(也就是主机的网关在路由器上)。
另外,一台主机的接口上可以配置多个IP 地址,因此存在多个 IP 地址绑定到同一个 MAC 地址上的情况,但反过来不允许。
2、RSR20-14/18/24路由器 配置了ipmacbind功能后接口的过滤流程
从以上可以看到,当某个设备的MAC和IP都末在绑定列表中,那么该设备的所有流量是放通的。因此若想使网段内的用户IP与MAC一一对应、并且防止用户随意设置其它IP,那么必须为该网段内的所有IP配置MAC绑定(可以将不用的IP绑定到一个不存在的MAC)。
3、RSR20-14/18/24路由器 ipmacbind功能配置案例
配置步骤如下:
配置ip+mac地址绑定
Ruijie(config)# ipmacbind 192.168.52.69 032a.33ac.3f11 log
如果想保护某台主机的 IP 地址不被别的主机假冒,可以通过ipmacbind 命令将该主机的IP 地址与MAC 地址绑定,如果被绑定的IP地址已经存在,就重新绑定。上述命令将 192.168.52.69 这个ip 地址绑定给mac 地址为032a.33ac.3f11 的网卡,log表示打开ip+mac 绑定的日志功能,如果不需要log日志可以不加“log参数”。
同时为了保证剩余的地址不被随意使用,可以将该网段未使用的IP地址绑定到一个不存在的MAC地址上,如:
ipmacbind 192.168.52.254 1111.1111.1111.1111
ipmacbind 192.168.52.253 1111.1111.1111.1111
ipmacbind 192.168.52.252 1111.1111.1111.1111
ipmacbind 192.168.52.251 1111.1111.1111.1111
4、RSR20-14/18/24路由器 ipmacbind auto配置之后无法通过no ipmacbind auto删除
通过clear ipmacbind all来清除所有ipmac绑定信息。当所有ipmac绑定信息清除完成后,ipmacbind auto将自动删除。
5、RSR10-02E、RSR20-14E/F 在接口上应用完IP+MAC绑定的策略后,对于数据包的转发行为
ipmacbind在接口上有两种默认的行为,permit及deny,具体的行为对应的数据转发规则如下:
Ruijie(config-if-GigabitEthernet 0/0)#ipmacbind list 1 default action ?
deny Deny not match IPMAC-bind table packets to forward
permit Permit not match IPMAC-bind table packets to forward
”deny“关键字的作用是将末匹配上IP MAC绑定规则的报文进行丢弃,以达到限制新用户私自接入的目的。缺省是”permit“,也就是末匹配上IP MAC绑定规则的报文是可以通过的。关于IP MAC绑定规则匹配情况,与”deny“、”permit“组合后报文的通信情况如下:
不配置deny时(permit,默认规则):
配置deny时:
6、RSR20-14/18/24路由器 与 RSR10-02E、RSR20-14E/F IP+MAC绑定功能的区别
1)RSR20-14/18/24路由器 是基于全局路由器生效的,当某个设备的MAC和IP都末在绑定列表中,那么该设备的所有流量是放通的文章来源:https://www.toymoban.com/news/detail-759793.html
2)RSR10-02E、RSR20-14E/F 路由器是基于接口生效的(vlan接口也生效),当某个设备的MAC和IP都末在绑定列表中,可以配置默认的转发行为文章来源地址https://www.toymoban.com/news/detail-759793.html
到了这里,关于锐捷RSR系列路由器_接入路由器交换模块配置_IP+MAC绑定的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
