【实验目的】
配置防火墙OSPF路由实现不同网段之间的互通,并且管理员可以通过防火墙地址绑定功能有效的防止IP欺骗和IP地址盗用。
【知识点】
安全域,安全策略,OSPF,DHCP,地址绑定,安全策略。
【场景描述】
运维管理区是整个网络安全运维管理的重点区域,具有较高的访问权限。目前防火墙已经完成了基本的授权、升级配置,现在为了管理部门A和部门B的员工终端,运维工程师工小王想通过运维终端通过OSPF动态路由的形式直接访问部门A和部门B。工程师在运维过程中发现,内网中存在IP地址欺骗攻击,考虑到内部网络、DMZ以及运维区域通信安全,需要针对运维区域、部门A、部门B区域通过防火墙做网络连通和安全访问配置,具体要求如下:
- 防火墙安全设备同步内网路由器动态路由配置,运维区管理终端可ping通部门A和部门B用户终端。
- 为避免恶意攻击者对防火墙设备做恶意配置或破坏,对运维管理终端做IP-MAC地址绑定。
目前已对企业内网三层交换机做OSPF动态路由配置,如果你是运维工程师,为了满足以上技术需求,该如何实现?
【实验原理】
1.动态路由协议
防火墙支持的动态路由包括 RIP、RIPng、OSPF、OSPFv3 和 BGP。与静态路由相比,动态路由通常用在中大型网络环境中。当网络环境越大,网段越复杂时,需要维护的路由信息就越多。静态路由这样的手动维护就会给管理员新增大量的工作量。另一个显著的问题在于当网络中某一链路出现故障时,静态路由需要您的管理员去排查并进行路由的调整,在此期间网络可能已经发生断网的现象。动态路由主要解决的就是自适应网络环境的变化,并防止出现环路。在某一链路出现故障时,能够进行动态调整。同时通过动态学习路由信息,动态维护路由表,降低管理员的工作量。
2.OSPF动态路由协议
OSPF(Open Shortest Path First),开放式最短路径优先协议,是一个基于链路状态的内部网关路由协议。OSPF适应于各种规模的网络,通过通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个开启OSPF功能的设备使用这些最短路径构造路由表。同时,在网络拓扑结构发生变化后能快速完成收敛,减少路由震荡,并且OSPF协议不会产生路由环路。是目前使用广泛的动态路由协议。在防火墙配置OSPF功能时,用户需要指定防火墙的Route ID,在同一个OSPF区域内,该Route ID必须唯一。
3.DHCP
DHCP(Dynamic Host Configuration Protocol),动态主机配置协议,是一种可以使主机开机后自动获取IP地址、子网掩码、DNS等信息的技术手段。应用DHCP技术,可以为客户机自动分配IP地址、子网掩码以及缺省网关、DNS服务器的IP地址等TCP/IP参数,不仅可以简化用户的上网流程,方便用户上网,如果从企业的角度来说,还可以实现对公司内部网络用户的管理。
4.IP-MAC地址绑定
防火墙支持手动基于安全域的IP-MAC绑定,地址绑定是防止 IP 欺骗和防止盗用 IP 地址的有效手段。目前防火墙支持手动添加基于安全域的 IP-MAC 绑定,同时支持用户将 ARP 表中学习到的和IP-MAC 探测中探测到的 IP-MAC 对应关系直接进行绑定。也可以从邻居表中将学习到的 IPv6 邻居及 MAC 地址对应关系直接进行绑定。防火墙接口收到数据包后先进行黑名单检测、攻击防护检测,然后进行IP-MAC 绑定检查。
【实验设备】
- 安全设备:防火墙 1台;
- 网络设备:交换机 1台;
- 终端设备:Windows 7 2台,windows 10 1台。
【实验拓扑】
拓扑说明:
本拓扑模拟的一个完整的企业网网络功能,受资源限制,不能完全仿真,仅对关键功能和区域进行模拟。
企业网络总共分9个安全区域,互联网电信、互联网联通、运维区、DMZ区域、部门A、部门B、部门C、数据中心、DNS服务器。其中:
- 互联网电信、互联网联通属于企业互联网边界,拓扑模拟了两条运营商链路,一条来自电信,一条来自联通。
- 运维区属于运维人员对设备进行管理和运维的区域,包括设备巡检、日志分析、设备升级等工作
- DMZ区域也叫隔离区或者非军事化管理区。企业中对互联网开放的服务和应用如门户网站、邮件系统都部署在DMZ区域。
- 部门A、部门B、部门C模拟的是企业内部各个部门。由于部门之间的业务不尽相同,通常他们的网络也是有区别管理的,如销售部、财务部、研发部,其权限是不同的。
- 数据中心属于企业中最核心最有价值的区域,所有核心数据如研发数据、生成材料、财务数据、企业管理数据都存于此处,仅向有权限的人或部门开放。
- DNS服务器用于模拟内、外网DNS服务器,主要用作内、外网域名服务解析使用。
本次实验并不会用到所有资源,仅启用拓扑中蓝色高亮图标设备。
【实验思路】
- 创建安全域和地址组;
- 配置OSPF动态路由;
- 配置DHCP服务;
- 配置安全访问策略;
- 配置IP-MAC地址绑定策略。
【实验预期】
- 防火墙与路由器之间生成邻居关系。
- 防火墙路由表项中包含已配置宣告的路由条目。
- 部门A终端能够自动获取IP地址,并且在防火墙DHCP服务中可查看到相关租约信息。
- 管理终端可以实现ping通部门A和部门B终端。
- 管理终端修改IP地址后,无法ping通部门A和部门B主机,并且无法访问防火墙web管理界面。
通俗讲就是:
✅ 让运维人员(IP:10.0.0.44)能ping通部门A/B终端(172.16.1.x / 172.16.2.x)
✅ 保证内网三层交换机与防火墙通过OSPF自动学习路由,不用手动配静态路由
✅ 防止有人冒充运维终端IP(10.0.0.44)搞破坏 → 做IP+MAC绑定
✅ 所有通信都要经过防火墙策略控制,保证安全域隔离
【实验步骤】
1.创建安全域和地址组,即【安全域】—— 网络的“行政区划”定义:把网络划分为不同信任级别的区域,如“运维区”、“部门区”、“DMZ区”、“互联网区”
作用:便于统一管理策略、隔离风险、控制访问
本实验操作:
创建“运维管理区” → 绑定GE1口(IP:10.0.0.1/24)
创建“部门AB安全域” → 绑定GE2口(IP:172.16.3.1/24,作为部门A/B网关)
为什么这么做?
防火墙必须知道“哪个接口属于哪个信任区域”,才能正确执行安全策略!比如:运维区→部门区,要放行ICMP、SSH;互联网→内网,要严格过滤。
(1)在管理终端中打开浏览器,在地址栏中输入防火墙设备IP地址https://10.0.0.1,进入防火墙的登录界面。输入管理员用户名admin和密码!1fw@2soc#3vpn登录防火墙。
(2)为提高防火墙系统的安全性,如果用户用默认密码登录防火墙,防火墙会提示用户修改初始密码,本密码无需修改密码,点击【取消】按钮
(3)成功登录防火墙设备后,进入防火墙【首页】菜单
(4)登录防火墙管理界面后,首先为运维管理区、部门A和部门B配置安全域和接口信息。具体操作,单击【网络配置】→【安全域】菜单,单击【+添加】按钮,弹出添加安全域对话框
(5)在弹出的添加安全域对话框中,【名称】填写“运维管理区”,【类型】选择“三层安全域”,在【接口绑定】处,将ge1选为已选列表中
(6)继续单击【+添加】按键,为部门A和部门B添加安全域,其中【名称】填写“部门AB安全域”,【类型】选择“三层安全域”,【接口绑定】选择ge2接口
(7)添加完成后,即可在安全域列表中查看到相关信息
(8)接下来添加IP地址对象。单击【对象配置】→【地址】菜单,点击左上角的【+添加】按键进行添加
(9)依次添加运维地址段、部门A地址段和部门B地址段。点击【+添加】按钮后,在所弹出的“添加地址”对话框中填入相关信息,其中【名称】填写“运维地址段”,【IP地址】填写10.0.0.0/24,点击【确定】按钮完成地址对象添加
(10)同上操作方法,继续添加部门A地址和部门B地址段,其中部门A地址段配置信息为【名称】填写“部门A地址段”,【IP地址】填写172.16.1.0/24;部门B地址段配置信息为【名称】填写“部门B地址段”,【IP地址】填写172.16.2.0/24,点击【确定】按钮完成添加
(11)配置完成后,返回地址对象列表,确认所添加对象条目是否准确无误
(12)本实验中ge2接口连接部门A和部门B终端,需配置内网业务网段地址。具体操作,单击ge2接口右侧【操作】列的笔形图标
(13)在所弹出“编辑物理接口”对话框中填入相关信息,其中配置【IP地址】为172.16.3.1,【子网掩码】为255.255.255.0,【安全域】为“部门AB安全域”,【工作模式】选择“路由模式”。单击【本地地址列表】配置模块中的【IPv4】选项卡中的【+添加】按钮
(14)在弹出的“添加IPv4本地地址”对话框中,配置【本地地址】为172.16.3.1,【子网掩码】为255.255.255.0,【类型】选择float选项。配置完成后,单击【确定】按钮
(15)Ge2接口信息配置完成后,单击【确定】按钮,关闭【编辑物理接口】对话框
(16)关闭对话框后,返回接口列表即可查看到ge2接口相关信息
2.配置OSPF动态路由
【OSPF动态路由】—— 让网络自己“找路”
定义:一种链路状态路由协议,适用于中大型网络,自动学习、自动收敛、防环路
核心概念:
Router ID(必须唯一)
Area 0(骨干区域)
邻居关系建立(Hello包)
LSDB(链路状态数据库)
SPF算法(最短路径树)
它们构成了OSPF的工作骨架:
1. Router ID(路由器ID)
是什么:一个32位的数字,格式像IP地址(例如
1.1.1.1),在一个OSPF域内唯一标识一台路由器。干什么用的:它是路由器的“身份证号”。在选举指定路由器(DR/BDR)或建立邻居关系时,Router ID是区分不同设备的依据。
实验注意点:文档中提到“用户需要指定防火墙的Route ID,在同一个OSPF区域内,该Route ID必须唯一”。如果你不手动配置,防火墙通常会自动选取接口IP最大的作为Router ID,但为了稳定,建议手动指定。
2. Area 0(骨干区域)
是什么:OSPF网络中的“核心中枢”区域,也叫Backbone Area。所有其他非骨干区域(如Area 1, Area 2…)都必须直接或间接连接到Area 0。
干什么用的:
防环核心:OSPF规定,区域间的路由信息必须经过Area 0中转。这就好比一个城市的市中心(Area 0),所有郊区(其他区域)的交通都要经过市中心进行调度,从而避免了跨区域环路。
稳定性:将网络分割成不同区域可以减少链路状态广播的范围,降低单台路由器的计算压力。
3. LSDB(链路状态数据库)
是什么:链路状态数据库的简称。每台运行OSPF的路由器都会维护一份相同的LSDB。
干什么用的:它是网络的“全景地图”。里面存储了所有路由器宣告的链路状态信息(Link State Advertisements, LSAs)。
工作流程:
路由器之间互相发送Hello包建立邻居。
邻居之间同步LSDB(确保大家的地图一模一样)。
基于这份完整的地图,运行SPF算法计算路由。
4. SPF算法(最短路径树)
是什么:Dijkstra算法的一种应用,全称Shortest Path First(最短路径优先)。
干什么用的:它是OSPF的“大脑”。路由器以自己为树根,以LSDB为输入,计算出一棵到达所有网络节点的最短路径树。
结果:算法输出的结果就是最终的路由表。因为是基于全局拓扑计算,所以能保证路径是最优且无环的。
三、 总结:它们是如何协同工作的?
为了帮你更好地理解,我们可以用“城市规划”来类比这次实验中的OSPF配置:
OSPF概念 | 城市规划类比 | 在本次实验中的作用 |
|---|---|---|
Router ID | 每栋大楼的唯一门牌号 | 防火墙和三层交换机在OSPF网络中的唯一身份标识 |
LSDB (链路状态数据库) | 全市的精确电子地图 | 防火墙和交换机都知道对方的存在,以及有哪些网段(10.0.0.0, 172.16.1.0等) |
SPF算法 | 导航软件的路径规划引擎 | 防火墙根据地图自动算出“去部门A怎么走最快” |
Area 0 (骨干区域) | 城市的市中心交通枢纽 | 确保所有区域的路由信息在此汇聚,防止出现“迷路”或“绕圈” |
防环路 | 单向循环高架桥设计 | 无论网络怎么变,数据包只会向前走,不会在原地打转 |
通过配置OSPF,你的防火墙和三层交换机就能像拥有了对讲机和地图一样,自动协商出最佳路线,实现了实验预期的“运维区管理终端可ping通部门A和部门B”。
本实验操作:
在防火墙上启动OSPF,宣告运维网段(10.0.0.0/24)、部门网段(172.16.1.0/24, 172.16.2.0/24)
三层交换机已配好OSPF → 防火墙要和它建立邻居 → 路由表自动学习
为什么这么做?
如果手动配静态路由,一旦部门网段扩容、拓扑变更,就得一个个改!而OSPF自动同步路由,省事+可靠!
让防火墙加入OSPF域,宣告自己连接的网段(运维区10.0.0.0/24 和 部门网关172.16.3.0/24),并与三层交换机建立OSPF邻居关系,从而自动学习到部门A/B的路由(172.16.1.0/24, 172.16.2.0/24),实现互通。
(1)为实现企业内网部门A终端通过DHCP方式获取IP地址,并且运维终端能够访问部门A或部门B终端主机,接下来针对防火墙做OSPF路由配置(注:由于本实验主要突出内容为防火墙配置ospf动态路由,因此在该实验环境中已经对内网三层交换机完成了ospf动态路由配置,学员只需完成防火墙上配置即可)。单机【网络配置】→【路由】→【OSPF】菜单,进入OSPF的【基本配置】配置页面
(2)勾选【启用OSPF】右侧的方框,内网三层交换机中所配置router-id为1.1.1.1,因此这里防火墙配置【Router id】为2.2.2.2,需要注意的是防火墙的Router id不能出现重名,以免获取邻居信息失败。点击【应用】按钮,完成OSPF的基本配置
(3)在弹出的“提示”对话框中,可看到“执行成功”的提示语,点击【确定】按钮,关闭对话框
(4)返回至【基本配置】配置页面,单击【区域配置】选项卡,单击【+添加】按键,弹出添加区域配置对话框。在区域号位置填写0.0.0.0,区域类型选择normal。点击【确定】按钮后,完成添加
🔹你在做什么?
→ 为防火墙配置OSPF协议所在的“区域(Area)”。
🔹关键词解释:
区域号0.0.0.0 =Area 0(骨干区域),这是OSPF的核心区域,所有其他区域必须连接到它。
区域类型 normal = 普通区域,允许接收所有类型的LSA(链路状态通告),适合大多数情况。
(如果是stub或nssa区域,会有特殊限制,本实验不需要)
(5)继续单击【网络配置】选项,点击【+添加】按钮,在所弹出对话框中,【网络地址/网络掩码】填入路由器与防火墙之间连接的网段10.0.0.0/24,【区域号】选择0.0.0.0,表示将防火墙运维网段信息列入OSPF信息中,配置完成后,点击【确定】按钮
🔹你在做什么?
→ 把“运维区网段”(10.0.0.0/24)宣告进OSPF区域0,让邻居路由器知道“防火墙这边有这个网段”。
🔹技术本质:
→ 在OSPF中,“宣告网络” = 把该网段的接口加入OSPF进程,让它参与路由信息广播。
→ 防火墙会通过该网段接口(GE1,IP=10.0.0.1)向邻居(三层交换机)说:“我这边有10.0.0.0网段,你们要访问可以找我。”
🔹结合拓扑:
GE1接口连的是三层交换机的某个口(IP可能是10.0.0.2)
所以这个“10.0.0.0/24”是防火墙与交换机的互联段(直连网段)
宣告它,是为了建立邻居 + 同时告诉别人“我能通这个网段”
(6)以同样的操作方式添加用于连接部门A和部门B终端的网络地址,其中【网络地址/网络掩码】填入172.16.3.0/24【区域号】为0.0.0.0,添加成功后
🔹你在做什么?
→ 把“部门A/B的网关网段”(172.16.3.0/24)也宣告进OSPF。
🔹技术本质:
→ GE2接口IP是172.16.3.1,它作为部门A/B的网关,连接着两个部门的终端网段(172.16.1.0 & 172.16.2.0)
→ 宣告这个网段,是为了让三层交换机知道:“防火墙这边能通172.16.3.0/24,进而也能通后面的部门网段”
🔹为什么重要?
→ 三层交换机要想把部门A/B的路由传给防火墙,必须知道“防火墙那边有个网关网段172.16.3.0/24”
→ 同时,防火墙通过这个宣告,也能把自己的“可达性”告诉交换机 → 形成双向学习!
📌 小技巧:你宣告的是“直连接口网段”,不是终端网段。终端网段(172.16.1.0/24, 172.16.2.0/24)是由三层交换机宣告给防火墙的!
(7)单击【接口】配置选项卡,进入【接口配置】配置页面,点击页面左上角的【+添加】按钮,进行接口配置
(8)在弹出的【添加接口配置】对话框中,【三层接口】选择防火墙连接路由器的ge1接口,【接口模式】选择【普通】选项,【网络类型】,【Cost值】和【DR选举优先级】保留默认值即可,配置完成后,单击【确定】按钮,关闭对话框
🔹你在做什么?
→ 明确指定“哪个物理接口要参与OSPF”,并配置OSPF相关参数。
🔹关键技术点:
三层接口:选GE1 → 即防火墙和三层交换机互联的那个接口
在防火墙或路由器中,“三层接口”指的是:
具备IP地址、能进行路由转发(即工作在网络层Layer 3)的接口。
对比“二层接口”(如交换机的Access口,只处理MAC地址,不配IP)
三层接口可以配IP、子网掩码、网关、OSPF、静态路由等
在你实验中:
你给GE1配置了IP:
10.0.0.1/24(运维区网段)你给GE2配置了IP:
172.16.3.1/24(部门A/B的网关)这两个接口都是三层接口,因为它们都参与了路由(OSPF)和IP通信
接口模式:选“普通” → 表示这是普通OSPF接口,不是虚链路或点对点等特殊类型
网络类型:默认是“广播”(Broadcast),适用于以太网
Cost值:默认自动计算,基于带宽(100M = 10,1G = 1)
DR优先级:默认1,用于选举指定路由器,这里两个设备,一个主一个备,不影响
🔹为什么必须配置接口?
→ OSPF必须在物理接口上激活,才能在这个接口发送Hello包、建立邻居、传递LSA。
→ 比如:你没在GE1上启用OSPF → 尽管你宣告了10.0.0.0/24,但没有接口承载,邻居也建不起来!
(9)同上操作,对用于连接部门A和部门B的ge2接口进行相同操作,添加完成后
(10)至此已完成OSPF相关配置。继续单击【邻居信息监控】选项卡,进入【邻居信息监控】配置页面,此时可以查看到防火墙已获取所连接网段的相关OSPF信息,如图所示。(注:防火墙通过OSPF获取到相连路由器的【邻居ID】为“1.1.1.1”,以及相连路由器的【邻居地址】对应IP“172.16.3.2”,该OSPF信息将于37秒后失效,路由器与防火墙会保持交换OSPF信息,使该条OSPF邻居信息保持存活)
3.配置DHCP服务
(1)登录管理终端,打开浏览器访问防火墙web管理界面,单击【网络配置】→【DHCP】→【DHCP服务器】菜单,进入“DHCP服务器”配置页面,勾选配置页面中的【启动DHCP服务】选项,在所弹出的确认对话框中点击【确认】按钮,启用防火墙的DHCP功能,如图所示。
这是在干什么?
这是在防火墙系统层面开启DHCP功能。就像你要开店,得先把店门打开一样。如果这一步不做,后面配置的所有地址池都不会生效。
为什么这么做?
防火墙默认处于安全考虑,很多服务是关闭的。必须显式启用DHCP服务进程,防火墙才会监听UDP 67端口(DHCP服务器端口),响应客户端的请求。
(2)单击【DHCP服务器】配置页面的【+添加】按钮,在弹出的【添加DHCP】对话框中配置DHCP服务器信息。【名称】设置为“部门A地址获取”,【地址池】选择“接口地址池”,【接口】选择ge2口,【网关地址】设置为172.16.1.1,【DNS1】设置为192.168.1.100,【网络地址】设置为172.16.1.0,【网络掩码】设置为255.255.255.0,【地址池列表】设置为172.16.1.2-172.16.1.4,其他配置保持默认,确认配置信息无误后,单击【确定】按钮,关闭【添加DHCP】
步骤(2):添加DHCP地址池(核心配置)
操作:点击【+添加】 → 填写一系列参数 → 点击【确定】
这一步是配置的核心,我们逐个拆解每个参数的含义和作用:
配置项 | 设置的值 | 含义与作用 |
|---|---|---|
【名称】 |
| 描述性标签。方便管理员在列表中识别这个地址池是给谁用的,不影响功能。 |
【地址池】 |
| 地址池类型。选择“接口地址池”意味着IP地址是从接口(GE2)所在的网段中分配的。 |
【接口】 |
| DHCP服务绑定的接口。这是最关键的一步!它决定了哪个物理接口会响应DHCP请求。因为部门A连在GE2口下,所以必须选GE2。 |
【网关地址】 |
| 默认网关。终端拿到这个IP后,会把数据包发给这个地址。这里填的是防火墙GE2接口在部门A网段的IP(文档前文提到GE2配置为172.16.3.1,此处实验可能为了简化直接指向下一级网关,或存在拓扑细节差异,但逻辑是指向防火墙)。 |
【DNS1】 |
| 首选DNS服务器。终端上网时需要通过它解析域名(如www.baidu.com)。这个值通常指向内网DNS服务器。 |
【网络地址】 |
| 网段定义。告诉DHCP服务器,这个地址池是为哪个网段服务的。 |
【网络掩码】 |
| 子网掩码。定义了网段的大小(这里是254个可用IP)。 |
【地址池列表】 |
| 可分配的IP范围。并不是网段内所有IP都能分给终端。这里人为限制了只有3个IP(.2, .3, .4)可以分配,通常用于实验环境限制终端数量,或生产环境中预留部分IP给服务器/打印机。 |
为什么这么做?
通过这一串配置,防火墙明确了:“我是GE2口的管家,凡是连在GE2下面的设备,如果要IP,我就从172.16.1.2到.4这三个地址里挑一个给你,并且告诉你网关是172.16.1.1,DNS是192.168.1.100”。
(3)配置完成后,即可在DHCP服务器配置页面查看到相关信息
对话框
4.配置安全访问策略
这一步的整体目的是什么?
在前面的步骤中,你已经通过OSPF 动态路由解决了“能不能找到路”的问题(网络层可达)。但是,在防火墙中,“路由通”不等于“数据能过”。
防火墙的核心职责是基于策略的访问控制。默认情况下,防火墙会拒绝所有跨安全域的流量(默认拒绝原则)。
因此,这一步的目的是:
明确告诉防火墙:“允许运维管理区的终端,访问部门A和部门B的终端,其他的流量一概不许过。”
如果没有这一步,即使 OSPF 路由表是全的,运维终端 ping 部门 A 时,数据包也会被防火墙直接丢弃
(1)接下来配置基础安全策略。单击【策略配置】→【安全策略】菜单,进入【安全策略】配置页面后,单击配置页面左上角的【+添加】按钮,进行安全策略添加
(2)在弹出的【添加安全策略】对话框中,【名称】填入“运维区-部门AB”,【动作】选择【允许】选项,【源安全域】选择“运维管理区”,【目的安全域】选择“部门AB安全域”,【源地址/地区】选择“运维地址段”地址对象,【目的地址/地区】选择“部门A地址段”和“部门B地址段”地址对象,【服务】、【应用】均选择any,其他配置保持默认,配置完成后,单击【确定】按钮,关闭【添加安全策略】对话框
(3)点击【确定】按钮后,即可在安全策略列表中查看到相关信息
5.配置IP-MAC地址绑定策略
这一步的整体目的是什么?
在企业内网中,IP地址通常是动态分配(DHCP)或由管理员规划的。恶意用户可能通过修改自己终端的IP地址(例如改成运维管理员的IP:10.0.0.44),来绕过防火墙的安全策略,访问本不该访问的资源,或者冒充管理员进行破坏。
IP-MAC绑定的作用就是:
将IP地址与终端的硬件MAC地址强制绑定。防火墙收到数据包后,会检查报文的源IP和源MAC是否匹配。如果不匹配(即有人伪造IP),则直接丢弃数据包。
本实验分为两个部分:
主动探测与绑定:自动发现运维区现有的合法终端(管理终端),并将其IP-MAC关系固化。
配置未绑定策略:针对那些没有提前绑定的陌生IP(可能是攻击者),配置拒绝策略,将其拒之门外
)
)
技术)