如何将IP地址locking到MAC地址

我知道标题不是最好的标题。

目前,我的networking上的每台服务器都可以使用任何静态IP,只需在操作系统级别configuration即可。 我试图完成的是允许一个特定的IP地址只能用于一个特定的MAC地址。

因此,例如,我应该能够设置192.168.1.1192.168.1.2 只能由MAC地址00:fe:94:82:05:32使用

如果另一个具有不同MAC地址的网卡,比方说00:fe:94:82:05:31 ,要访问使用192.168.1.1或192.168.1.2,则应拒绝其请求。 那会是什么 ? 我假设它应该是路由器或3级交换机。 如果是这样,我应该在路由器的规格中search什么function?

你需要一个智能开关在networking上做这个。 我不知道是否有一个虚拟机pipe理工具,可以防止用户添加另一个或更改IP的客人。

在思科域你正在寻找端口安全,以防止某人在不同的端口欺骗MAC,IP源防护(IPSG)检查MAC / IP组合和/或dynamicARP检查(DAI),以防止ARP欺骗。 IPSG和DAI依赖于DHCP监听或用户configuration的表,因此可以为您的操作增加相当的开销。

其他供应商(Juniper / Extreme / Force10 /等)可以执行相同的安全function,但名称可能与我提到的不同。 所有供应商都将拥有自己的硬件/软件/许可证要求,您需要与供应商/ VAR解决问题。

另外,configuration这种types的安全性也很复杂,configuration错误可能很难排除故障,根据您的networking,可能无法提供这种安全级别。

你有192.168.1.Xnetworking上的IP地址吗?

如果使用的是DHCP服务器,则可以创buildDHCP保留,将MAC地址locking到特定的IP。 服务器将被设置为使用DHCP,当联系DHCP服务器时将拉取该主机的保留地址。

您可能会为您的路由器上的每个IP-MAC创build静态ARP条目。 但是,这只会阻止尝试使用与其MAC地址不匹配的主机的第3层通信。 为了防止所有的通信,你需要在第二层域中的每个主机上创build静态ARP条目,主机可能需要与之通信,并防止人们能够改变这些条目(听起来像是pipe理的噩梦)。

伙伴,如果你真的有这样的环境,对你的问题的唯一答案是一个明确的政策,可能会和可能不会做什么。

没有技术能够做你所需要的。 端口保护,匹配MAC / IP或任何其他解决scheme的防火墙不会阻止虚拟机的所有者更改其IP地址。

但是一个有明确规则和惩罚的真正的政策将会对它产生更大的影响。

他们如何使用“任何静态IP”? 如果你有一个静态的IP设置,那就是它使用的。 一旦你设置了静态IP,你应该保留并为每个服务器logging它。

“互联网协议地址在启动时会重新分配给主机,或者通过硬件或软件的固定configuration永久性地分配给主机。持久性configuration也称为使用静态IP地址”

那么你使用静态IP还是DHCP? 或者你是否只是在实验室环境中,一直在改变IP?

我想我的build议是设置一个特定的VLAN与你想要保持静态IP地址的服务器,然后把那些在另一个VLAN上改变的VLAN。