欢迎来到天天文库
浏览记录
ID:41696640
大小:238.98 KB
页数:6页
时间:2019-08-30
《网康ICG跨三层绑定配置案例》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、网康ICG跨三层IP/MAC绑定配置案例为了更好的管理内部网络,用户一般会要求实现IP/MAC绑定功能,这样可以避免内网用户更改IP造成地址冲突的麻烦和实现管理定位的精确性。在二层环境下IP/MAC绑定,一般管理设备可以通过广播的形式获取内网PC的IP/MAC,并进行绑定。一旦经过了三层交换机,内网PC机IP地址与管理设备不在同一地址段时,此内网PC的MAC地址就不能被获取并绑定,但现在衍生出了跨三层IP/MAC地址绑定的概念,当然这并没有违背TCP/IP原理。那如何实现呢?就三层环境下实现IP/MAC绑定,管理设备厂家们各有千秋,比如S公司就是采用在PC端安装插件的方式实现。但这种方式存在一
2、定弊端:每个PC都必须安装此插件才能实现被管理,一旦某PC重装系统,或阻止了此插件的安装将起不到跨三层绑定的作用,而且会为管理员增加更多的维护工作量,尤其对于较大型网络更为明显。而网康ICG则是通过读取三层交换机的IP/MAC地址对应表项实现绑定,做到了零插件管理,优势不言而喻。以下是绑定实现过程。网络结构图如下:部门1部门2部门31、首先在三层交换机上进行SNMP相关配置,以华为交换机6503为例:只需进行以下两条命令配置:[QuidwayS6503]snmp-agentcommunityreadadmin[QuidwayS6503]snmp-agentsys-infoversionall配
3、置完毕后生成以下信息:#snmp-agentsnmp-agentlocal-engineid800007DB000FE25952586877<此条信息自动生成>snmp-agentcommunityreadadmin<此可读团体名admin将在ICG的配置中用到>snmp-agentsys-infoversionall#注意:配置snmp-agent版本信息时一定要设置成所有版本,即:all,否则ICG将有可能获取不到交换机的IP/MAC对应表项,在有些交换机上配置可能缺省为v3版本。2、进入ICG,选择用户管理。用户导入->IP,如下,在三层IP用户导入处点击“设置交换机”▼用尸导入、二层I
4、P用户导入扫省系统监控策略管理用尸管理查询统计系一ipLDAP网康自定义组织管理►用户查询►认证管理开机设备□起始IP:文件导入置交换机IP范围:、三层ipfflp导入文件导入终止IP:扫描測览…—扫描(你可以输入一个IP,也可以输入导入3、添加交换机,如下图,将三层交换机的IP地址和可读团体名admin输入并点击“确定”。如下:X汕p;555险交按机IP团钵名称1_11721611admin曲机IP:团住名称:确定11掘厠4、返回三层IP用户导入界面,输入IP范围,完成后点击“扫描”,如下:5.扫描完成后,将生成以下列表,设置好用户名和导入位置,并选择全部导入,完成IP/MAC导入。6、导入
5、完毕后,进入组织管理选择导入的目录ROOT,点击“操作”找到“绑定・>IP/MAC”,选择“三层IP/MAC绑定”,完成了IP/MAC绑定,如下图:、组织管理►用尸导入用户查询►认日口全部用P1日ROOT未定义用户名称用户告S查询换计-系统営理初4••qJNg]aJ7g]ajNg]初5172.168.56®172.165.39172.165.55E?172165.1499172.16.5.150S172.16.5,1545172.165.158E?172165.1609172.16.5.164g172.16.5,173E?172.16.5,177E?172165.1789172.16.5.1
6、80S172.16.5,182根名称编辑新组斬权P艮姐新I圈叙新用户移动到111^3®绑定畔取消绑定►cnSOCKSk172.16.5.17317216.5177172.16.5.178172.16.5.180172.16.5.182组织关系«OOT//ROOT//ROOT/«OOT/«OOT/«OOT/«OOT//ROOT//ROOT//ROOT/«OOT//ROOT/1P/MAC1P/登录名注意:配置到这里还没有完成,如果某PC2使用了PC1已绑定的IP地址照常可以上网,接下来还需要进行防护设置才可以避免PC1的IP被PC2等人盗用。7、进入到策略管理。防护设置•>全局设置,启用防护报警,
7、如下:、K6护全局设蛙►黑白名单►对象设置策路设置审计策昭设宜用户芾宽上限•防护报善设赛:接收报雪由3件地址:□启用ARP防护报蟹10分钟(输入多个邮箱谐使用丁分隔)▼防护设置全局设置用戶防护规则<系统监控扱则暂时屛藤列表!8示页而策路抿告确定]取消到此才完成了跨三层绑定的整个设置过程。注意:此绑定仅为单向绑定,即:PC1IP地址与MAC地址绑定后,别的PC不能使用PC1绑定的IP地址上网,但PC
此文档下载收益归作者所有