飞塔IP和MAC地址绑定方法二

FG2.8-489版本的WEB页面中虽然有IP和MAC地址绑定，但不能生效，只能在命令行下做，OS版本2.80-489到最新的3.0-318版本都按这种方式做。一、开启端口的绑定功能Fortigate-100A#configsysteminterfaceeditinternal（注意此处的internal是指要做绑定的端口即内网口，如果是300A这里就需要改成prot［1-6］）setipmacenableend可以用showsysteminterfaceinternal查一下此端口的ipmac是否已经启用（注：FG当开启绑定功能后，没有做IP和MAC地址绑定的电脑将无法上网。）二、定义ip－mac绑定的规则Fortigate-100A#getfirewallipmacbindingsettingbindthroughfw:disablebindtofw:disableundefinedhost:blockFortigate-100A#configfirewallipmacbindingsetting(setting)#(setting)#setbindthroughfwenable(setting)#end如果要求禁止少数，允许大多数，在这里选择undefinedhostallow，这样就可以只把那些要禁止的MAC输入绑定表里，减少手动输入的工作量。(setting)#setundefinedhostallow（没有定义在ip－mac绑定表的IP允许通过）(setting)#end接下来查看一下有没有开Fortigate-100A#getfirewallipmacbindingsettingbindthroughfw:enable（符合ip－mac绑定表的IP是否允许通过防火墙）bindtofw:disable（符合ip－mac绑定表的IP是否禁止通过防火墙，如果这一项选择enable，那绑定后更改IP的电脑ping不通防火墙的内网网关）undefinedhost:block（没有定义在ip－mac绑定表的IP是允许还是禁止？默认是block）继续，下面就进入做每台电脑的绑定步骤了。三、定义对应的IP－mac对应表configfirewallipmacbindingtableedit1setip192.168.1.8setmac00:40:d0:57:78:13setnameipmac1setstatusenablenextedit2setip192.168.1.9setmac00:58:d0:48:14:15setnameipmac2setstatusenablenext……end这样便绑定完毕（注：一个MAC地址可以绑定多个IP）如果要删除某条绑定，configfirewallipmacbindingtabledelete1（此处的1为绑定表里的序号）end但删除之后这一台仍不能上网，必须取消绑定功能configfirewallipmacbindingsettingsetbindthroughfwdisableend可以用下面的命令查看想绑定的IP和MAC有没有列在表里面showfirewallipmacbindingtable最后根据具体情况，在WEB页面里定义地址组和阻挡策略。