Huawei USG6000V IP-MAC绑定配置
IP-MAC绑定配置解释
今天拿虚拟机装了下USG6000V2发现这个IP-MAC绑定功能开启并静态绑定后,没有静态绑定的主机还是可以上网,跟自己预想效果的不一样,于是我开始在网上查找相关资料最后在官网找到一个帖子说明
https://support.huawei.com/enterprise/zh/knowledge/EKB1000061080
(这帖子还是14年的/(ㄒoㄒ)/~~ 现在已经23年了我还在学这个)
通过官方解释开启防火墙IP-MAC绑定功能有以下特点
- 静态绑定的ip只能被这个MAC使用,否则丢弃
- 静态绑定MAC可以被多个IP使用
- 没有进行静态绑定的IP/MAC全部都是通过
- 可以通过安全策略或者包过滤实现仅静态绑定的IP可以通过
通过ensp实验进行验证
拓扑图
ISP(部分配置)
[ISP]dis ip int b
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 3
The number of interface that is DOWN in Physical is 1
The number of interface that is UP in Protocol is 3
The number of interface that is DOWN in Protocol is 1
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 10.0.0.1/30 up up
GigabitEthernet0/0/1 unassigned down down
LoopBack0 114.114.114.114/24 up up(s)
NULL0 unassigned up up(s)
FW1采用安全策略方式实现IP-MAC一对一绑定
FW (部分配置)
# 安全策略
security-policy
rule name 上网
source-zone local
source-zone trust
destination-zone untrust
source-address address-set 内网用户
action permit
rule name Local
source-zone local
source-zone trust
destination-zone local
destination-zone trust
action permit
# 内网用户
ip address-set 内网用户 type object
address 0 192.168.1.100 mask 32
# 绑定信息
firewall mac-binding enable
firewall mac-binding 192.168.1.100 5489-9838-05f5
测试PC连通性
测试PC1可以访问互联网,PC2不能访问互联网
PC1可以访问互联网,此时PC1做了静态绑定
PC2不能访问互联网,此时PC2没做静态绑定
将防火墙安全策略源IP地址更改为any
security-policy
rule name 上网
source-zone local
source-zone trust
destination-zone untrust
action permit
rule name Local
source-zone local
source-zone trust
destination-zone local
destination-zone trust
action permit
PC2可以访问互联网,此时PC2没有做静态绑定
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 用 DeepSeek 给对象做个网站,她一定感动坏了
· DeepSeek+PageAssist实现本地大模型联网
· 手把手教你更优雅的享受 DeepSeek
· 腾讯元宝接入 DeepSeek R1 模型,支持深度思考 + 联网搜索,好用不卡机!
· 从 14 秒到 1 秒:MySQL DDL 性能优化实战