SANGFOR VPN 系列产品提供了“IP/MAC 绑定”功能，通过此功能可以很方便地得到内网某个 IP 地址所对应的 MAC 地址并将它们绑定在一起，当局域网内部有未知设备接入时，由于在 IP/MAC 绑定表中没有它的记录，未知设备将无法通过 VPN 网关上网。当某个IP 所对应的MAC 地址与记录不符时，VPN 网关也将拒绝此IP 的上网请求，因此IP/MAC绑定还可用于限制内部电脑 IP 被人为改动。

WEBUI 路径：『防火墙设置』→『NAT 设置』→『IP MAC 绑定设置』。界面如下图所示：

勾选[启用 IP MAC 绑定]即启用 IP-MAC 绑定功能。

点击新增，手动添加 IP 和 MAC 的对应关系。也可以点击自动获取来自动获取 IP 所

对应的 MAC 信息。

点击自动搜索，设置搜索范围，系统将自动在所设置的 IP 范围内搜索存在的计算机的 IP/MAC 信息。

『IP 不在表中的行为』可选为[拒绝]或[通过]，用于设置不匹配 IP/MAC 记录后的操作。

[拒绝]即对不在 IP MAC 列表内的计算机以及列表内 IP MAC 不匹配的计算机禁止上网，对 IP MAC 匹配的计算机依旧允许其上网。

[通过]即对不匹配 IP MAC 记录的计算机以及不在 IP MAC 列表内的计算机允许其上网，在 IP MAC 列表内的计算机如果 IP MAC 匹配正确则允许上网，匹配不正确依旧不允许上网。

IP/MAC 绑定功能，不支持内网有三层设备的环境。