GS3700設置IP/MAC Binding疑問
Freshman Member
Accepted Solution
-
Hi @Tom60228,感謝您到Zyxel論壇上發問!一般 IP/Mac Binding 通常是在 DHCP Server 上來設定是最方便的,但如果DHCP Server不支援. 要透過 Switch 來做 IP MAC binding 我們比較建議使用 IP Source guard dynamic的方式去實現這個目的,因為Static 綁定的方式在維護上比較困難。已下步驟是 Dynamic 的設定方式,請參考:1. 請連上 GS3700 透過 Web Gui.2. 進入 IP Source Guard 頁面.Advanced Application > IP Source Guard > Source Guard Setup.
3. 進入 DHCP Snooping 設定的頁面.(a). 請點擊上面 "DHCP Snooping".
(b). 再點擊 "Configure".
(c). 請打勾 "Active" 再點擊 "Apply" 才能完成套用功能,然後請點擊 "Port".
4. 進入 "Port" 設定頁面之後,請把DHCP server 的port改成 "Trusted" port. (否則DHCP server IP 會下不來)再點擊 "Configure". (回上一頁)
5. 請點擊 "VLAN".
6. 進入 "VLAN" 設定頁面之後.(a). 把要設定的VLAN 填上去 (例如: VLAN100) 再點擊 "Apply".
(b). 再把 VLAN 100 的欄位,請 Enabled 改成 "Yes",再點擊 "Apply".
7. 請重複步驟 "2", 再點擊 "ARP Inspection".
8. 請點擊 "Configure".
9. 進入 ARP inspection Configure畫面之後,請把 Active 打勾 然後點擊 "Apply".再點擊 "Port". (回上一頁)
10. 進入 "Port" 設定頁面之後,請把 Uplink & DHCP server 的port要改成 "Trusted" port. (否則會造成無法上網)再點擊 "Configure" 回上一頁.
11. 請點擊 "VLAN".
12. 進入 "VLAN" 設定頁面之後.(a). 把要設定的VLAN 填上去 (例如: VLAN100) 再點擊 "Apply".
(b) 然後再VLAN 100欄位請 Enabled改成 "Yes",再點擊 "Apply".
Switch 就會去記錄 IP 對應的 MAC 並存放在白名單裡,若有駭客嘗試攻擊網路會被Switch阻擋下來.希望可以幫助到你.
Zyxel_Jonas
https://us.v-cdn.net/6029482/uploads/78HOOSV0BUBI/240828-nebula-27s-intentcommunity-homepage-1920-x-400.jpgDon't miss this great chance to upgrade your Nebula org. for free! https://bit.ly/4g2pS9L
6
Zyxel Employee
All Replies
-
端口安全 是指 port security ? 這功能是限一port 可以幾台機器上的.
你的需求應是用IPSG + ARP inspection 來完成.
0 -
Hi @Tom60228,感謝您到Zyxel論壇上發問!一般 IP/Mac Binding 通常是在 DHCP Server 上來設定是最方便的,但如果DHCP Server不支援. 要透過 Switch 來做 IP MAC binding 我們比較建議使用 IP Source guard dynamic的方式去實現這個目的,因為Static 綁定的方式在維護上比較困難。已下步驟是 Dynamic 的設定方式,請參考:1. 請連上 GS3700 透過 Web Gui.2. 進入 IP Source Guard 頁面.Advanced Application > IP Source Guard > Source Guard Setup.3. 進入 DHCP Snooping 設定的頁面.(a). 請點擊上面 "DHCP Snooping".(b). 再點擊 "Configure".(c). 請打勾 "Active" 再點擊 "Apply" 才能完成套用功能,然後請點擊 "Port".4. 進入 "Port" 設定頁面之後,請把DHCP server 的port改成 "Trusted" port. (否則DHCP server IP 會下不來)再點擊 "Configure". (回上一頁)5. 請點擊 "VLAN".6. 進入 "VLAN" 設定頁面之後.(a). 把要設定的VLAN 填上去 (例如: VLAN100) 再點擊 "Apply".(b). 再把 VLAN 100 的欄位,請 Enabled 改成 "Yes",再點擊 "Apply".7. 請重複步驟 "2", 再點擊 "ARP Inspection".8. 請點擊 "Configure".9. 進入 ARP inspection Configure畫面之後,請把 Active 打勾 然後點擊 "Apply".再點擊 "Port". (回上一頁)10. 進入 "Port" 設定頁面之後,請把 Uplink & DHCP server 的port要改成 "Trusted" port. (否則會造成無法上網)再點擊 "Configure" 回上一頁.
11. 請點擊 "VLAN".12. 進入 "VLAN" 設定頁面之後.(a). 把要設定的VLAN 填上去 (例如: VLAN100) 再點擊 "Apply".(b) 然後再VLAN 100欄位請 Enabled改成 "Yes",再點擊 "Apply".Switch 就會去記錄 IP 對應的 MAC 並存放在白名單裡,若有駭客嘗試攻擊網路會被Switch阻擋下來.希望可以幫助到你.
Zyxel_Jonas
https://us.v-cdn.net/6029482/uploads/78HOOSV0BUBI/240828-nebula-27s-intentcommunity-homepage-1920-x-400.jpgDon't miss this great chance to upgrade your Nebula org. for free! https://bit.ly/4g2pS9L
6 -
感謝!算是解決掉一個問題了
現在DHCP會對應MAC給予固定IP
但是我表達的意思應該有些許錯誤了
我希望做到的是
假設 f8-32-xx-xx-xx-60這個MAC 由DHCP分配到
192.168.120.160 這個IP
之後這台電腦如果隨意更改IP(或是換port) 網路則會不通
目前手上也有一台防火牆
但如果單台Switch能做到會更好
先謝謝兩位了
感謝原廠熱心回覆!!
0 -
限制MAC只能拿到某個IP,這是DHCP server要做的事。
但是,要確保該MAC 不會自己設定固定IP出去,這必須要靠交換機才有辦法,這是交換機要做的事。你可以用static binding 一筆一筆敲進交換機,很麻煩。省事的做法,還是利用IPSG+ARP inspection 來做,設法就同上文。
最後,都看你要管到多嚴,只在DHCP server上做,不能防止他手動改IP,要防到他手動改,只能靠交換機再加一層管制。
0 -
Hi @Tom60228,關於第二個需求請參考下列資訊:設定之前請確認 DHCP server 已設定好會分配的 IP 給指定的MAC,然後由 Switch 的 IP Source Guard (Static binding+ARP Inspection) 來做控管。
以下步驟是 Static Binding 的設定方式,請參考:
1. 進入 GS3700 的 Web GUI.
2. 進入 IP Source Guard Static Binding 的頁面. 然後接上所有end device,再點擊 "ARP Freeze" 的功能. ARP Freeze 會自動建立 static binding 到 IP source guard table裡.Advanced Application > IP Source Guard > Source Guard Setup > Static Binding
Note:- 使用 ARP-freeze 之前請確保 ARP-learning mode 是設定成 ARP-Request.
(IP Application > ARP Setup > ARP Learning) - ARP Freeze 完之後,請設定回 "ARP-Reply" (因為在正常使用方式下依舊建議使用 "ARP-Reply").
3. 接下來再設定 “ARP Inspection” 的功能.
希望可以幫助到你.Zyxel_Jonas
https://us.v-cdn.net/6029482/uploads/78HOOSV0BUBI/240828-nebula-27s-intentcommunity-homepage-1920-x-400.jpgDon't miss this great chance to upgrade your Nebula org. for free! https://bit.ly/4g2pS9L
1 - 使用 ARP-freeze 之前請確保 ARP-learning mode 是設定成 ARP-Request.
-
您好:
我的裝置為 GS1920-24V2 想請教關於 ARP Inspection 的靜態綁定設定
目前設定組態如下
VLAN 1 包含 Port 1~27
所有 Switch 底下的裝置都是使用固定 IP,並把 DHCP snooping 設定所有的 Port 為 Untrusted,並套用在 VLAN 1 上
設定 ARP Inspection 的 Port 1 為 Trusted,因為 Port 1 通往 Gateway,並套用在 VLAN 1 上
發現所有 Port 1 進來的封包都被擋掉
請問是哪裡設定錯誤呢? 謝謝!
0 -
另外還發現我在 Static MAC Forwarding 中設定 Gateway 的 Static MAC 在 MAC Table 中也消失了,Gateway 的 Static MAC 是配合 Port Security 一起設定的0
-
Hi @Breeze
根據您的描述
你的port 1有設定成trust應該不會被擋才對
只有沒有設定成trust的會被擋
還有您提到client是用固定IP
請問有將這些IP設定到static mac binding中嗎?
如果沒有建立白名單封包就會被擋住
所以再麻煩check一下
關於後續提到的static mac forwarding的問題
需要您提供log以及config
因為在設定完成後不應該會消失才對
會再私訊您
謝謝
Best regards
Zyxel_Derrick
0
