IP-MAC绑定配置解释
今天拿虚拟机装了下USG6000V2发现这个IP-MAC绑定功能开启并静态绑定后,没有静态绑定的主机还是可以上网,跟自己预想效果的不一样,于是我开始在网上查找相关资料最后在官网找到一个帖子说明
https://support.huawei.com/enterprise/zh/knowledge/EKB1000061080
(这帖子还是14年的/(ㄒoㄒ)/~~ 现在已经23年了我还在学这个)
通过官方解释开启防火墙IP-MAC绑定功能有以下特点
- 静态绑定的ip只能被这个MAC使用,否则丢弃
- 静态绑定MAC可以被多个IP使用
- 没有进行静态绑定的IP/MAC全部都是通过
- 可以通过安全策略或者包过滤实现仅静态绑定的IP可以通过
通过ensp实验进行验证
拓扑图
ISP(部分配置)
[ISP]dis ip int b
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 3
The number of interface that is DOWN in Physical is 1
The number of interface that is UP in Protocol is 3
The number of interface that is DOWN in Protocol is 1
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 10.0.0.1/30 up up
GigabitEthernet0/0/1 unassigned down down
LoopBack0 114.114.114.114/24 up up(s)
NULL0 unassigned up up(s)
FW1采用安全策略方式实现IP-MAC一对一绑定
FW (部分配置)
# 安全策略
security-policy
rule name 上网
source-zone local
source-zone trust
destination-zone untrust
source-address address-set 内网用户
action permit
rule name Local
source-zone local
source-zone trust
destination-zone local
destination-zone trust
action permit
# 内网用户
ip address-set 内网用户 type object
address 0 192.168.1.100 mask 32
# 绑定信息
firewall mac-binding enable
firewall mac-binding 192.168.1.100 5489-9838-05f5
测试PC连通性
测试PC1可以访问互联网,PC2不能访问互联网
PC1可以访问互联网,此时PC1做了静态绑定
PC2不能访问互联网,此时PC2没做静态绑定
将防火墙安全策略源IP地址更改为any
security-policy
rule name 上网
source-zone local
source-zone trust
destination-zone untrust
action permit
rule name Local
source-zone local
source-zone trust
destination-zone local
destination-zone trust
action permit
PC2可以访问互联网,此时PC2没有做静态绑定
