F-I1. MAC 地址绑定 (基于 DHCP) ❀ 飞塔 (Fortinet) 防火墙
【简介】当开启 DHCP 服务后,计算机获取 IP 地址都是根据顺序分发的,但是有时我们需要指定某台电脑为指定 IP 地址,除了在电脑上手动设置外 (这需要电脑上修改),我们还可以通过 DHCP 服务来为指定的电脑获取指定 IP 地址 (只要设置防火墙)。
Web 方式设置 DHCP
飞塔防火墙的每个接口都可以设置独立的DHCP服务,但是即使是OS版本相同,桌面型防火墙与机架式防火墙的DHCP设置都有所不同。
① 这是系统版本为5.2.7的桌面式飞塔防火墙90D,在接口的DHCP中可以看到常见的设置参数;
② 这是系统版本为5.2.7的机架式飞塔防火墙500D,在接口的DHCP中可以看到除了常见的设置参数外,还有一个高级选项;
③ 在高级选项里,有一个MAC占用+访问控制设置,点击新建;
④ 在MAC地址栏输入防火墙内网下的一台电脑的MAC地址,在IP或动作栏输入需要给些MAC地址分配的IP地址,选择保留IP,描述栏输入些电脑的使用人员,方便记忆,类型默认为普通;
⑤ 如果动作选择为保留IP,那么此MAC地址的设置在自动获取IP地址时得到的将是指定的IP地址,如果动作为分配IP,那么会象正常的DHCP一样自动分配一个没有使用的IP地址,如果选择阻断,那么此MAC地址将得不会自动获取到IP。
命令方式设置 DHCP
前面看到,桌面型的防火墙接口DHCP设置内容很简单,并没有设置MAC绑定IP的选项,我们还是可以通过命令来实现的。
【 ip 】 输入IP地址
【 mac 】输入MAC地址
【 type 】输入要保留连接的类型,默认为普通
① 使用此命令可储备一个IP地址为特定客户确认的设备的MAC地址和类型的连接。然后DHCP服务器总是分配预留IP地址给客户端。可以定义多达200保留地址;
② 首先使用 config system dhcp server 命令配置系统DHCP服务,用show 命令查看DHCP服务状态,因为每个接口都可以配置DHCP,所以可以存在多个DHCP,这里显示的只有internal接口的一个DHCP;
③ 编辑DHCP,使用 config reserved-address 命令将IP/MAC地址绑定加入,继续加入 next;
④ 将下一条IP/MAC地址绑定加入,结束输入end;
⑤ 再次使用show 命令查看DHCP状态,可以看到多到两条IP/MAC绑定。
MAC 地址绑定测试
DHCP MAC绑定设置完成后,我们将指定MAC的网卡重新自动获取IP地址。
① 可以看到指定MAC地址的网卡并没有按顺序分配IP地址,得到的是指定的IP地址;
② 通过防火墙上的DHCP状态监测,可以看到绑定MAC地址的IP左边会有一个红色R的标记,而正常分配的IP地址则没有。使用这种方法,可以避免人为的到每台电脑面前更改指定IP地址,设为自动获取就OK了。
策略设置
当MAC地址与IP地址绑定后,就可以通过IP地址做相应的管理了,例如只允许绑定MAC地址的电脑上网。
① 建立需要管理的地址,可以单个指定,也可以指定某个范围;
② 建立地址组,将设定的地址加入地址组中;
③ 在上网策略中将源地址选择输入为地址组,这样只有这个地址组的IP是可以上网的。
设备绑定
现在指定MAC地址的网卡可以自动获取定义的IP地址,而只有这些定义的IP地址可以上网,看上去已经很美好了,但是。。。。。如果我将另一台电脑也改为这个可以上网的IP地址呢?策略只定义了指定的IP地址允许访问外网,那随便哪个用这个地址也可以上网了,这样是不对的!
那怎么办?我们来看看设备的设置。
① 在菜单【用户&设备】-【设备】-【设备定义】下,可以看到已经连接的设备信息,包括MAC地址与IP;
② 也可以修改提示信息,方便识别;
③ 在设备组中建立新的组,将符合条的放到组内,例如这里建立的就是会计部组;
④ 再次修改上网策略,源地址加入绑定的IP地址组,设备加入有MAC地址的设备组,这样一来,即使有其它电脑修改IP试图访问外网,也会因为不符合设备里的MAC地址而被拒绝,避免了其它电脑钻空子。
