GS3700設置IP/MAC Binding疑問

Tom60228
Tom60228 文章數: 2  Freshman Member
First Comment
已編輯 二月 2021 乙太網路交換器

想請教一下如何做IP綁定MAC (Binding)

因為算是網路管理滿常做的管理應用但還不熟悉這塊
大概有稍微設定一下
但是只要把港口安全這裡開起來後
全部的網路就不通了

想讓VLAN
192.168.110。*
192.168.120。*
192.168.130。*
這三個網段都能DHCP了
想讓他們能做到IP / MAC Binding的效果


些許設定做完後後端口安全開啟
結果就是網路整段不通

把端口安全關閉
結果只做到綁定端口的功能


Accepted Solution

All Replies

  • 張無忌
    張無忌 文章數: 36  Freshman Member
    First Comment Friend Collector Seventh Anniversary

    端口安全 是指 port security ? 這功能是限一port 可以幾台機器上的.

    你的需求應是用IPSG + ARP inspection 來完成.

  • Tom60228
    Tom60228 文章數: 2  Freshman Member
    First Comment
    已編輯 七月 2018
    感謝!算是解決掉一個問題了
    現在DHCP會對應MAC給予固定IP
    但是我表達的意思應該有些許錯誤了

    我希望做到的是
    假設 f8-32-xx-xx-xx-60這個MAC 由DHCP分配到
    192.168.120.160 這個IP

    之後這台電腦如果隨意更改IP(或是換port) 網路則會不通


    目前手上也有一台防火牆 
    但如果單台Switch能做到會更好

    先謝謝兩位了
    感謝原廠熱心回覆!!

  • 張無忌
    張無忌 文章數: 36  Freshman Member
    First Comment Friend Collector Seventh Anniversary
    限制MAC只能拿到某個IP,這是DHCP server要做的事。
    但是,要確保該MAC 不會自己設定固定IP出去,這必須要靠交換機才有辦法,這是交換機要做的事。你可以用static binding 一筆一筆敲進交換機,很麻煩。省事的做法,還是利用IPSG+ARP inspection 來做,設法就同上文。

    最後,都看你要管到多嚴,只在DHCP server上做,不能防止他手動改IP,要防到他手動改,只能靠交換機再加一層管制。
  • Zyxel_JonasTan
    Zyxel_JonasTan 文章數: 98  Zyxel Employee
    5 Answers First Comment Friend Collector Seventh Anniversary

    關於第二個需求請參考下列資訊:

    設定之前請確認 DHCP server 已設定好會分配的 IP 給指定的MAC,然後由 Switch 的 IP Source Guard (Static binding+ARP Inspection) 來做控管。

    以下步驟是 Static Binding 的設定方式,請參考:

    1. 進入 GS3700 的 Web GUI.
    2.
    進入 IP Source Guard Static Binding 的頁面.
    然後接上所有end device,再點擊 "ARP Freeze" 的功能. ARP Freeze 會自動建立 static binding 到 IP source guard table裡.

    Advanced Application > IP Source Guard > Source Guard Setup > Static Binding
    Note:

    •  使用 ARP-freeze 之前請確保 ARP-learning mode 是設定成 ARP-Request.
      (IP Application > ARP Setup > ARP Learning)
    •  ARP Freeze 完之後,請設定回 "ARP-Reply" (因為在正常使用方式下依舊建議使用 "ARP-Reply").

    3. 接下來再設定 “ARP Inspection” 的功能.


    希望可以幫助到你.
  • Breeze
    Breeze 文章數: 11  Freshman Member
    First Comment
    您好:

    我的裝置為 GS1920-24V2 想請教關於 ARP Inspection 的靜態綁定設定

    目前設定組態如下

    VLAN 1 包含 Port 1~27

    所有 Switch 底下的裝置都是使用固定 IP,並把 DHCP snooping 設定所有的 Port 為 Untrusted,並套用在 VLAN 1 上

    設定 ARP Inspection 的 Port 1 為 Trusted,因為 Port 1 通往 Gateway,並套用在 VLAN 1 上

    發現所有 Port 1 進來的封包都被擋掉

    請問是哪裡設定錯誤呢? 謝謝!

  • Breeze
    Breeze 文章數: 11  Freshman Member
    First Comment
    另外還發現我在 Static MAC Forwarding 中設定 Gateway 的 Static MAC 在 MAC Table 中也消失了,Gateway 的 Static MAC 是配合 Port Security 一起設定的
  • Zyxel_Derrick
    Zyxel_Derrick 文章數: 126  Zyxel Employee
    5 Answers First Comment Friend Collector First Anniversary
    Hi @Breeze

    根據您的描述
    你的port 1有設定成trust應該不會被擋才對
    只有沒有設定成trust的會被擋
    還有您提到client是用固定IP
    請問有將這些IP設定到static mac binding中嗎?
    如果沒有建立白名單封包就會被擋住
    所以再麻煩check一下

    關於後續提到的static mac forwarding的問題
    需要您提供log以及config
    因為在設定完成後不應該會消失才對
    會再私訊您
    謝謝

    Best regards
    Zyxel_Derrick