锐捷RSR系列路由器_接入路由器交换模块配置_IP+MAC绑定

目录

01 IP+MAC绑定配置案例

02 IP+MAC绑定常见问题

---

01 IP+MAC绑定配置案例

功能介绍

IP/MAC关联是指网络设备将连接到其网络上的主机的MAC地址与IP地址进行绑定记录。仅限于指定MAC地址才能对应相应的IP地址。该机制确保连接到该设备网络上的主机不会出现IP地址被冒用的情况。应用这一机制需要满足以下两个条件：

1、MAC 地址是唯一的，并且不可假冒；

该方法仅限于将设备通过物理连接连接到路由器以实现与该网络上的所有主机通信

此外，在一台主机的接口处可以设置若干个IP地址的情况下，则会使得这些IP地址被绑定到同一个MAC地址上。倒过来不行。

应用场景

组织对企业网络的安全性设有较高标准，在路由器上仅允许配置了固定MAC地址且拥有固定IP地址的设备接入，并可在路由器上完成IP与MAC绑定功能的设置。

一、组网需求：

注

1、这10台电脑的IP地址必须固定，不能私自更改。

2、不允许新的用户使用192.168.0.2~192.168.0.11以外的地址私自接入。

二、组网拓扑：

三、配置要点：

1、完成内网电脑的静态IP地址配置，并搜集各台电脑的MAC地址。

2、完成路由器的基本配置，保证内网用户可以正常访问外网。

3、配置IP+MAC绑定

（1）配置IP+MAC绑定规则列表

（2）将IP+MAC绑定规则列表应用到接口上

四、配置步骤

1、完成内网电脑的静态IP地址配置，并搜集各台电脑的MAC地址。

多台计算机的MAC地址码可以在完成后执行第二步操作时，在路由器界面中运行命令show arp来获取这些MAC地址信息。

也可通过使用ipmacbind auto来实现自动绑定。

请特别注意：若采用ipmacbind auto配置实现自动绑定功能，则将无法配置对新用户的接入限制。

2、完成路由器的基本配置，保证内网用户可以正常访问外网。

3、配置IP+MAC绑定

（1）配置IP+MAC绑定规则列表

ipmacbind list 1 //新建编号为1的IP+MAC规则列表

ipmacbind 192.168.0.2 00d0.f86c.1517 //新建IP+MAC绑定规则条目

ipmacbind 192.168.0.3 0000.0000.0003

ipmacbind 192.168.0.4 0000.0000.0004

ipmacbind 192.168.0.5 0000.0000.0005

ipmacbind 192.168.0.6 0000.0000.0006

ipmacbind 192.168.0.7 0000.0000.0007

ipmacbind 192.168.0.8 0000.0000.0008

ipmacbind 192.168.0.9 0000.0000.0009

ipmacbind 192.168.0.10 0000.0000.0010

ipmacbind 192.168.0.11 0000.0000.0011

（2）将IP+MAC绑定规则列表应用到接口上

interface GigabitEthernet 0/0 //进入与内网相连的接口

ipmacbind enumerate interface 1 default configuration configured to drop

注意：

该关键字的功能是拒绝未匹配到IP-MAC绑定规则的报文进行处理，从而限制新用户的非授权接入行为。其默认状态为允许（permit），即未匹配到绑定规则的报文能够通过处理。对于‘deny’和‘permit’组合后的报文处理情况如下：

不配置deny时（permit，默认规则）：

配置deny时：

五、配置验证

可通过以下方式查询ipmacbind的统计信息及绑定表项：
通过执行命令show ipmacbind statistic和show ipmacbind table来进行查询。

Ruijie#show ipmacbind statistic

IPMAC-Bind global dropped 0 packets //全局绑定规则所丢弃的数据包个数

IPMAC绑定规则列表1被用于丢弃了19个数据包，并且该规则需应用于接口。

Ruijie#show ipmacbind table

Totol number of IPMAC-Bind rule: 10 //目前已绑定的条目数

IPMAC-Bind list 1 rule:

No Type IP Address MAC Address Log

1 192.168.0.2 00d0.f86c.1517 off //绑定条目的详细信息

2 192.168.0.3 0000.0000.0003 off

3 192.168.0.4 0000.0000.0004 off

4 192.168.0.5 0000.0000.0005 off

5 192.168.0.6 0000.0000.0006 off

6 192.168.0.7 0000.0000.0007 off

7 192.168.0.8 0000.0000.0008 off

8 192.168.0.9 0000.0000.0009 off

9 192.168.0.10 0000.0000.0010 off

10 192.168.0.11 0000.0000.0011 off

2、PC上配置与绑定条目相对应的IP地址，此时在PC上能够正常ping通网关：

PC IP地址：192.168.0.2 PC MAC地址：00d0.f86c.1517 。此时IP MAC在绑定表项中，并且一一对应。

3、将该PC的IP地址修改为192.168.0.3，此时在PC上无法ping通网关：

PC IP地址：192.168.0.3 PC MAC地址：00d0.f86c.1517。此时IP MAC在绑定表项中，但不对应。

4、将该PC的IP地址修改为192.168.0.20，此时在PC上无法ping通网关：

PC IP地址：192.168.0.20 PC MAC地址：00d0.f86c.1517。此时MAC在绑定表项中，但IP不在绑定表项中。

从已绑定MAC地址列表中提取一台设备PC号为PC2的设备；对该设备设置其网络接口静态IP地址为192.168.0.3；这样操作后会导致该设备无法通过默认网关进行通信

PC IP地址：192.168.0.3 PC2 MAC地址：001a.a938.0e29。此时IP在绑定表项中，但MAC不在绑定表项中。

从绑定列表中获取一台MAC已分配的PC2，并对该设备设置其IP地址为192.168.0.20。这将导致该设备无法与默认网关建立通信。

PC IP地址：192.168.0.20 PC2 MAC地址：001a.a938.0e29。此时IP MAC都不在绑定表项中。

---

02 IP+MAC绑定常见问题

1、什么是IP+MAC绑定功能

IP+MAC绑定是一种称为网络设备管理的技术手段，在路由器与直接连接的主机之间建立关联记录的过程。在这一过程中，只有具有对应IP地址的MAC地址才能被识别。通过该机制，绑定主机无法伪造其IP地址。采用该机制需满足以下两个条件：第一个前提是该设备支持该功能；第二个前提是所有直接连接到该路由器的设备都必须支持此功能。

1）MAC 地址是唯一的，并且不可假冒；

该网络设备仅限于连接到路由器本地接口的所有主机（其默认网关设置为路由器本地地址）。

此外，在一台主机设备的接口上可以设置多个IP地址，因此会出现多个IP地址绑定到同一个MAC地址的情况；相反地，在同一台主机设备上一个MAC地址只能绑定一个IP地址。

2、RSR20-14/18/24路由器 配置了ipmacbind功能后接口的过滤流程

观察到以下情况：当某个网络设备的MAC地址和IP地址均未被列入绑定列表时，则该设备的所有流量都将被完全释放。由此可知，在网段内部实现用户IP与MAC一一对应的同时，并且为了防止用户随意更改其他类型的IP地址设置，则必须对每个网络段内的所有IP地址进行相应的MAC配置（可以选择地将无需使用的IP地址分配至一个不存在的有效MAC地址）。

3、RSR20-14/18/24路由器 ipmacbind功能配置案例

配置步骤如下：

配置ip+mac地址绑定

Ruijie(config)# ipmacbind 192.168.52.69 032a.33ac.3f11 log

为了防止某台主机的IP地址被其他主机冒充使用，请您使用ipmacbind命令将其IP地址与其MAC地址进行绑定；如果目标IP地址已经存在，则会自动进行重新绑定操作。该命令将对指定IP地址192.168.52.69进行MAC地址绑定配置（MAC地址为032a.33ac.3f11），其中Log参数用于启用IP+MAC绑定的日志记录功能；若需要关闭日志输出，则可在命令末尾省略Log参数设置。

为了防止剩余IP空闲被滥用，请将空闲的IP配置为虚拟MAC绑定。

ipmacbind 192.168.52.254 1111.1111.1111.1111

ipmacbind 192.168.52.253 1111.1111.1111.1111

ipmacbind 192.168.52.252 1111.1111.1111.1111

ipmacbind 192.168.52.251 1111.1111.1111.1111

4、RSR20-14/18/24路由器 ipmacbind auto配置之后无法通过no ipmacbind auto删除

使用命令clear ipmacbind all来删除全部ipmac绑定信息。一旦全部ipmac绑定信息被删除完毕后，则会触发系统内的自动处理流程以完成删除操作。

5、RSR10-02E、RSR20-14E/F 在接口上应用完IP+MAC绑定的策略后，对于数据包的转发行为

ipmacbind在接口层上有两个预设的处理方式——permit和deny——其具体的转发策略如下：

Ruijie(config-if-GigabitEthernet 0/0)#ipmacbind list 1 default action ?

deny Deny not match IPMAC-bind table packets to forward

permit Permit not match IPMAC-bind table packets to forward

"deny"关键字的功能在于过滤那些未与IP MAC绑定规则匹配的报文，并以此来限制新用户的非正常接入行为。
缺省配置为"permit"时，则表示能够通过未与IP MAC绑定规则匹配的报文。
对于IP MAC绑定规则的匹配情况而言，在采用"deny"和"permit"组合配置时，
相应的通信行为会受到相应的控制策略影响。

不配置deny时（permit，默认规则）：

配置deny时：

6、RSR20-14/18/24路由器 与 RSR10-02E、RSR20-14E/F IP+MAC绑定功能的区别

RSR20-14/18/24系列路由器遵循全网路由规则工作，在未绑定MAC地址和IP地址的情况下，默认允许所有数据流量通过。

该设备系列遵循接口生效原则（包括VLAN接口），在特定条件下可设置默认转发策略