网康ICG跨三层绑定配置案例.docVIP

网康ICG跨三层IP/MAC绑定配置案例 为了更好的管理内部网络，用户一般会要求实现绑定功能，[Quidway S6503] snmp-agent community read admin [Quidway S6503] snmp-agent sys-info version all 配置完毕后生成以下信息： # snmp-agent snmp-agent local-engineid 800007DB000FE25952586877 此条信息自动生成 snmp-agent community read admin 此可读团体名admin将在ICG的配置中用到 snmp-agent sys-info version all # 注意：配置snmp-agent版本信息时一定要设置成所有版本，即：all，否则ICG将有可能获取不到交换机的IP/MAC对应表项，在有些交换机上配置可能缺省为v3版本。 2、进入ICG，选择用户管理-用户导入-IP，如下，在三层IP用户导入处点击“设置交换机” 3、添加交换机，如下图，将三层交换机的IP地址和可读团体名admin输入并点击“确定”。如下： 4、返回三层IP用户导入界面，输入IP范围，完成后点击“扫描”，如下： 5、扫描完成后，将生成以下列表，设置好用户名和导入位置，并选择全部导入，完成IP/MAC导入。 6、导入完毕后，进入组织管理选择导入的目录ROOT，点击“操作”找到“绑定-IP/MAC”，选择“三层IP/MAC绑定”，完成了IP/MAC绑定，如下图： 注意：配置到这里还没有完成，如果某PC2使用了PC1已绑定的IP地址照常可以上网，接下来还需要进行防护设置才可以避免PC1的IP被PC2等人盗用。 7、进入到策略管理-防护设置-全局设置，启用防护报警，如下： 到此才完成了跨三层绑定的整个设置过程。 注意：此绑定仅为单向绑定，即：PC1 IP地址与MAC地址绑定后，别的PC不能使用PC1绑定的IP地址上网，但PC1可以使用别的没有被绑定过的IP地址上网。 8、当PC2使用PC1的IP地址时，ICG会将此IP放置到暂时屏蔽IP里去，并提示IP、MAC不匹配。如下图： 此暂时屏蔽IP会自动在晚上0点后被清空。 遗留问题： 1）、如果PC1在当天0点之前开机也是不能上网的，因为我们的ICG暂时不能在PC1上线时将此IP自动从暂时屏蔽列表里清除，这时需要网管员手动将此IP从暂时屏蔽列表里移除。 2）、如果某领导的IP放在免监控中，恰好某人将PC地址设置成了此领导使用的IP地址，那么此PC也将能够上网，免监控IP优先级高于IP/MAC绑定优先级和暂时屏蔽优先级。此种情况暂时还不能避免。 -------------------------------------------------------------------------------------------------------------------------------------------------------- 北京网康科技有限公司 第 5 页 共 5 页