ip_mac地址绑定的问题

现象描述：

问题分析：

处理方法： （1）行业内对该问题得处理

目前对行业内部三个竞争对手的产品进行了调查，对于跨三层设备（路由方式）进行IP和MAC地址的绑定功能调查及部分实现方式如下：

新网程（网络督察）支持

1、采用网桥部署方式；需要在每一个VLAN当中安装一个侦测程序，来时时和控制网管进行通信，对MAC地址进行侦测、比较，实现IP和MAC的绑定；

2、由于绝大多数核心交换机采用的是动态DHCP分配IP的方式，它会自动记录客户的IP和MAC地址；控制网关和核心交换机建立联系，来时时读取地址表进行比较，从而支持IP和MAC的绑定。

上海宝创（金盾）不支持厂家建议：上网行为主要管理的是人；建议采用认证的方式。

深信服科技（sinfor）支持通过准入规则的方式，客户端利用轻量agency同中心端的策略进行交互，如果符合的就通过，不符合的失去权限；可以把IP和mac绑定设置为一种策略，自动分发到agency，就可以控制终端的运行状态了；客户端自动安装一个插件，类似activeX；来达到对IP/MAC地址的绑定。网康科技不支持支持单网段的IP和MAC地址绑定。北信源防火墙支持客户端需要自动安装控件。

总的来看，竞争对手和防火墙产品实现这个功能大多采用安装客户端软件实现的。建议网康可以借鉴竞争对手的实现方式，来实现此功能
注：目前上述所有产品在单一网段中都支持IP和MAC地址的绑定。
（2）核心交换机“可为”的地方
目前网络中大部分核心交换机（带路由功能）的交换机都具备IP地址和MAC地址绑定的功能。IP地址和MAC地址的绑定主要是为了防止非法用户盗用其他合法用户的IP地址，从而使网络管理规范些。一般在核心交换机上对于内部网络划分不同的VLAN地址，减少广播风暴的产生。而交换机具备如下的IP和MAC地址绑定的功能，来达到用户不能随意更改IP地址的目的，核心交换机支持IP和MAC地址的绑定模式：
1、基于端口的绑定模式；
2、基于MAC地址的访问列表；
3、基于IP和MAC的绑定
以上三种方式是目前对MAC绑定比较常用的方式。在三层结构的网络中，一般实现此功能都是在核心交换机上实现。其他的是实现方法需要安装客户端软件。

同时，MAC地址本身就是数据链路层的概念，当报文跨越路由设备时mac地址已经失去了其本身的意义，此时不同的子网中即使MAC地址相同也是完全可以正常工作的。早期设备因为没有很强大的驱动，因此MAC似乎成了一个硬件设备唯一的身份象征，但是现在网卡技术太成熟了，用户可以通过计算机的网络属性，网卡设置中的

功能轻易的修改MAC
地址，这样MAC也就失去了他原本100％唯一的性质，因此我们希望通过MAC这种看似不能被改变的方式来识别计算机的唯一性也已经不准确了。

例如：用户希望有这个功能本意是想张三不能利用李四的MAC地址来上网，欺骗网管，于是希望MAC绑定。我们分析一下，当李四在线时，张三如果想利用李四的IP地址上网是不行的，因为会有地址冲突，因此张三只能在李四不在的时候使用，而目前MAC地址也可以更改后，导致张三只要先通过dos命令 arp －a 获取本网段李四的ip地址和MAC地址的对应表，而后在李四不在时修改自己的ip，MAC，同样可以完成这个功能。可见这样的控制已经失去了效果，因此用户应该通过其他的方式进行唯一性的控制，例如AD域，或者设备自带的认证体系，这才是最安全，最有效的办法。

（3）我们对客户的答复
1、目前绝大多数用户实现IP和MAC的绑定都是在，建议用户在核心交换机上进行IP和MAC的绑定；
2、利用网康互联网控制网关的web认证系统，来更准确的管理用户的上网行为，达到上网实名制，来代替IP和MAC地址绑定；（web认证系统之需要提供用户名和密码即可，根本不需要管理IP和MAC，而他访问的日志都是以登录名的方式存在的，方便网络的管理）

..................................
当实施IP—MAC绑定时，首先给绑定好的用户设置允许的策略，然后再找到未定义用户设置阻止。
当实施到此条策略时会查看经过的数据报文，将其中的IP地址与绑定表中的对应如A的IP进去后会找到相应A的MAC如果相匹配就顺利通过。如果用户C没有在绑定表中改成的用户B的IP，C用户会查找自己对应的CMAC而不是看后面的BMAC如果找不到仍可以上网。所以要做一个示定义的策略，限制其它的IP上网。