Приветствую! В этой статье мы поговорим о функции «MAC and IP address binding». На самом деле звучать она может по-разному, но всегда означает одно и то же – привязку IP адреса к MAC на конкретном устройстве. Для чего это нужно, примеры настройки и другие полезные советы – смотрим ниже.
Нашли ошибку? Остались какие-то вопросы? Смело пишите их в комментариях. Именно ваше мнение или вопрос могут очень сильно помочь другим людям, читающим эту статью.
Для чего это нужно?
У функции было замечено несколько наименований:
- MAC and IP address binding
- IP & MAC Binding
- IP-MAC-Port Binding
Все это создано для одного – для привязки конкретного IP адреса к конкретному MAC. А где это может применяться?
- Для безопасности сети. Существуют атаки вроде ARP Spoofing, где происходит внедрение между двумя устройствами в сети третьего (реализация MITM), которое занимается прослушкой всех данных в сети. По делу же это центральное устройство как раз делает перепривязку IP к MAC адресам, выдавая себя за другие устройства перед роутером. А ничего не подозревающий роутер начинает переправлять все пакеты через злоумышленника. Единственная комплексная защита от этого – жесткая привязка всех узлов в сети по паре IP-MAC.
- Для быстрой адресации. В процессе своей работы роутер постоянно решает куда отправлять пакеты – он видит на входе IP, а должен определить на какой MAC отправить пакет. На основе таких алгоритмов поиска строятся APR таблицы. Хорошие администраторы для улучшения работы сети стараются строить эти таблицы вручную. И здесь снова нам поможет данная функция.
На примере TP-Link
Если вам это не нужно – не занимайтесь дурью. Обычно построение ARP-таблиц происходит автоматически и без лишних проблем. Если же хотите все-таки заморочиться у себя по одному из соображений выше, покажу вам данный функционал на примере пары моделей роутеров.
Обязательно убедитесь, что привязываемый компьютер имеет статичный IP-адрес – ведь за ним будет закреплена постоянная привязка, а в случае попытки получения этого IP другим устройством – соединение будет заблокировано.
- Переходим в веб-конфигуратор своего роутера. Как это сделать – вы уже должны знать. В противном случае с большой вероятностью вам нечего делать в этой статье. Для временно подзабывших рекомендую поискать свою модель роутера у нас на сайте, там обязательно будет описана процедура входа в настройщик.
- Ищем что-то подобное на эту функцию. У меня она называется «Привязка IP- и MAC- адресов»:
- Активируем привязку и нажимаем «Добавить»:
- Задаем MAC и IP адрес нашего компьютера. Сохраняем. Теперь они связаны.
Ничего же сложного нет? Главное – понимать суть этих действий. Теперь роутер знает, что в нашей сети по паре MAC-IP существует только одно устройство, а любой другое автоматически будет блокировано. Бонусом – при DHCP распределении этот IP адрес не будет присваиваться никому другому.
D-Link – IP-MAC-Port Binding
Разберем схему чуть сложнее на примере коммутаторов D-Link – «IP-MAC-Port Binding». То, что конкретному устройству мы можем выделить пару IP-MAC уже понятно из прошлого раздела. А что если для полной защиты мы эту пару прибавим еще и на конкретный порт коммутатора. Т.е. связка уже будет существовать в трехмерном пространстве – IP-MAC-ПОРТ.
Данный способ помогает еще гибче проводить авторизацию узлов в сети, при этом напрягая злоумышленника на большее количество действий, тем самым облегчая его обнаружение в вашей рабочей сети.
Для чистой настройки через консоль, например, здесь можно применять команды вида:
create address_binding ip_mac ipaddress 192.168.0.7 mac_address 00-03-25-05-5F-F3 ports 2
config address_binding ip_mac ports 2 state enable
Кроме типичного ARP режима здесь есть еще ACL mode и DHCP Snooping – но обычно ими интересуются или матерые администраторы, или студенты. Наш же портал для опытных домохозяек и юных эникейщиков пока не готов давать что-то чуть сложнее клика мыши. Поэтому за таким подробностями отправляю или в гугл, и в наши комментарии для развернутой беседы, а возможно и открытия новой темы – а вдруг кому-то захочется.
На этом я закончу эту статью. Основные моменты понятны, действия по созданию привязки вроде бы тоже. До скорых встреч на нашем ресурсе и хорошего вам дня!
Всё хоть встало на свои места, спасибо)
Интересно конечно, совет другим – читайте все. Я ушел в туман, пока
Ничего не понятно, автор ты чего так сложно пишешь?
Не понял одного момента. Там есть фраза: “Обязательно убедитесь, что привязываемый компьютер имеет статичный IP-адрес – ведь за ним будет закреплена постоянная привязка, а в случае попытки получения этого IP другим устройством – соединение будет заблокировано”. Я не понял одного – статический IP, это который я в самом роутере за собой могу закрепить или это статический IP, который должен быть у меня по договору с провайдером? Мне провайдер выдает динамический IP, а не статический, а в роутере я могу за собой зарезервировать статический IP, который мне роутер будет выдавать. Так о каком именно статическом IP идет речь?
Вам нужно привязать МАК к провайдеру?
Тогда вам в другой раздел. На том же TP-Link (судя по разделу, на который вы сослались) – раздел СЕТЬ – КЛОНИРОВАНИЕ MAC-АДРЕСА. И там уже смотрите какой МАК вам нужен на выходе WAN.
Описанная история вами – в целях безопасности для работы в локальной сети. Отсюда статичный IP именно в том предложении – локальный адрес, чтобы за всеми устройствами той же домашней сети утвердить конкретные связи. Обычно дома это не нужно.
Здравствуйте. Эти таблицы могут влиять на доступ к интернету? Согласно моей логике, нет. На работе есть роутер, используется как точка доступа, т.е. он подключен к другому роутеру, который и является шлюзом. При подключении к его WIFI определенные моноблоки без проблем подключаются к интернету через этот роутер. Но при подключении на андроиде или ноутбуке пишет “Подключение к сети такой-то, без доступа к интернету”. Я уже даже к заводским настройкам его сбросила. Результата никакого. Для WIFI использую DHCP. Дальше локалка со статичными IP-адресами. Может он просто сдох? А может стоит какой-то фильтр на шлюзе?
Здравствуйте! Стоит какой-то фильтр на шлюзе. Эта привязка не будет влиять на доступ к интернету – тем более сами же говорите, что на одних устройствах есть интернет, а на других нет. Если на точке доступа был даже сброс на заводские настройки, значит фильтр на шлюзе. На моноблоках все же статичные адреса?
Здравствуйте. Оказалось: кто-то включил еще один DHCP-сервер. Вычислила с помощью Wireshark. Проверила на телефоне раздаваемый адрес, а он не той подсети, которая установлена. DHCP-сервер отключила, жду, кто прибежит жаловаться. Всем удачи!!!
Спасибо за дополнение. Такие чудеса только увидишь только на практике, когда есть возможность пощупать руками
