Question

h3c的SecPath U200-CA防火墙，现在要做ip-mac绑定

我公司有个h3c的SecPath U200-CA防火墙，现在要做ip-mac绑定，现在已经是静态ip的。
1、即系一个ip地址只能对应一个mac地址上网，改为其他的ip就不能上网，防止随便更改。如何做？
2、另外将余下空的ip全部绑定到一个mac地址上。如何做？谢谢解答。

Answer 1

你部署防火墙的方式（透明网桥模式？还是路由模式）其它什么包过滤方式！端口的trustZONE和UNtrustzone设置！管理IP地址设置都与你的这些部署模式有关！
如果你的H3C防火墙和下联交换机是傻瓜交换机！即各PC没有其它网段（多VLANIF地址）！可以按照你的办法实现！首先利用IP扫描工具！把你所有的IP与MAC对应信息记录下来！在在H3C防火墙的WEB管理界面做IP/MAC绑定即可！剩下的不用IP地址！直接绑定到不存在的MAC地址上！例如firewall mac-binding 192.168.1.100 aaaa-eeee-bbbb，这样当有非法用户用192.168.1.100这个IP时！检查不是aaaa-eeee-bbbb则deny了（1个MAC地址可以绑定多个IP）！
如果防火墙下面的核心交换机如果配置了多个网段（若干VLAN地址段）！那对不起！此时除了和防火墙同一网段的PC机可以在防火墙上做IP+MAC绑定外！其它网段无法实现绑定！因为此时到防火墙去的报文的源MAC地址都变成了本网段网关的MAC地址，会失效的！如果是这种网络环境！可以在核心上做ARP STATIC ip MAC！不用的IP也绑定到不存在的MAC上！也可以在接入层交换机上做IP+MAC绑定！
如果你的目的是为了防治ARP欺骗！可以这样做！如果你是为了控制别人上网！建议你使用三层核心或者防火墙上的高级ACL+QOS来做，要方便的多。

追问

大哥太神了谢谢。情况正是你第二情况{防火墙10.10.10.1下有个cisco核心交换机并配多网段192.168.0.1、1.1、2.1、3.1}。
我又在防火墙ARP表做绑定，全失效。
能否这样：
1、把所有PC机网关改为10.10.10.1，再在防火墙里做绑定？？行吗？
2、在防火墙高级ACL+QOS做，怎做？新手。谢谢

3、在cisco核心交换机上做绑定，是在浏览器上分别打开那些网段吗？分别做绑定？

追答

回答：
1、把所有PC机网关改为10.10.10.1，再在防火墙里做绑定？？行吗？
不行！每个网段都有自己的网关（同一网段的某个IP，即VLAN的虚拟接口IP），例如192.168.0.3这个PC的网关改成10.10.10.1，则除了二层报文可以转发，三层报文时找不到出口的。
2、在核心交换机上做ACL+qos策略可行（这是华为或H3C的方式，思科不同的软件版本不同的ACL下发方式，好像可以直接下发硬件或vlan），在防火墙上建议直接做域间策略即可；方法是先创建安全域（即把与内网连接端口的化为trust外网连接的端口化为untrust），然后引用资源管理中的地址资源、服务资源和时间段资源，以及引用内容过滤策略模板等，来根据报文的源IP地址、目的IP地址、源MAC地址、目的MAC地址、IP承载的协议类型和协议特性（例如TCP或UDP的源端口/目的端口、ICMP协议的消息类型/消息码）、时间段、HTTP/SMTP报文中携带的内容等信息制定匹配规则，并指定是否允许匹配的报文通过。

Answer 2

思科的交换机有一个功能叫IP Source Guard，结合DHCP 的snooping就可以动态和静态和绑定MAC地址和IP地址。

interface FastEthernet0/1
switchport access vlan 10
switchport mode
access
spanning-tree portfast
ip dhcp snooping trust
!
//上面为动态绑定MAC地址和IP地址

interface
FastEthernet0/2
switchport access vlan 10
switchport mode
access
spanning-tree portfast
ip verify source
ip
dhcp snooping limit rate 15
!

!
interface Vlan10
ip address 192.168.10.1
255.255.255.0
!
ip source
binding 0016.d49f.4866 vlan 10 192.168.10.3 interface
fa0/2 //静态绑定

注意：上述配置为范例，可根据自己的需求对自己的交换机进行适当的配置！