IP-MAC綁定一直是局域網管理的一個重要部分。但是其實現卻往往比較復雜，一般會有如下問題：

1. 大部分路由器的IP-MAC綁定功能比較局限。一般就是簡單的ARP綁定。客戶機手動修改IP等方式來突破。
   

2. 路由器由于硬件限制，允許的IP-MAC綁定條目比較少，一般在256條以內。

3. 交換機上進行IP-MAC綁定，配置和維護的工作量會比較大。

4. 三層交換機的IP-MAC綁定往往需要專業技術人員才可以操作。
   

今天，我要介紹的是一種非常簡單方便的IP-MAC綁定方式，無需修改交換機和路由器，不改變當前網絡結構和配置，即插即用，web界面配置。非常簡單方便就可以實現對局域網內客戶機的IP-MAC綁定。具體介紹如下：

1. 透明網橋部署

用一臺WSG設備（WFilter NGF）做透明網橋，串接在路由器和交換機之間。網絡結構如下圖：

網橋是完全透明的，串接在網絡中，無需對局域網的IP配置、網絡結構等做任何改動。就可以發揮作用。

2. 通過Web界面配置IP-MAC綁定

WSG在網橋模式下，一樣可以實現完整的上網行為管理和審計功能。在本例中，我們只關注“IP-MAC綁定”的相關配置。如圖：

局域網的客戶機可以直接掃描導入，或者文本批量導入。如圖：

對未綁定的客戶機，可以禁止或者允許上網。

在網關模式下，你可以選擇是否給未綁定的設備分配IP（需要在WFilter的接口設置中啟用DHCP）。而在網橋模式下，DHCP服務是默認不啟動的，如果你想要給客戶機自動分配綁定的IP地址，那么這個選項是這樣的，如下圖：

當然，啟用這個DHCP選項后，需要把你現有的DHCP服務關閉掉，否則DHCP會沖突。

3. 總結下具體步驟

利用透明網橋來實現IP-MAC綁定，具體步驟如下：

1. 網橋模式部署一臺WSG設備。
   

2. 導入IP-MAC綁定列表。

3. IP-MAC綁定的配置中，對未綁定的IP禁止上網。

4. 啟用網橋DHCP服務（可選）

通過透明網橋來進行IP-MAC綁定，真正做到了不修改現有網絡參數、不改變現有網絡架構，有夠簡單吧？