H3C DHCP+IP+MAC绑定方法

# 指定DHCP Server组1的主备DHCP Server的IP地址分别为1.1.1.1---------------(可以配置一个假的DHCP SERVER)
[SwitchA]dhcp-server 1 ip 1.1.1.1

1. 创建（进入）VLAN10
[SwitchA]vlan 10


2. 将E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1

3. 创建（进入）VLAN接口10
[SwitchA]interface Vlan-interface 10

4. 为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0

5. 为VLAN接口10配置一个假设的DHCP服务器地址
[QuidwayA-Vlan-interface10] dhcp-server 1

6. 使能VLAN接口10对用户地址合法性检查的DHCP Relay的安全特性
[SwitchA-Vlan-interface10]address-check enable 启用后会发现所有用户无法上网。正常

7. 配置DHCP Relay的安全地址表项
[Quidway] dhcp-security static 10.1.1.11 0005-5D02-F2B3 加入此条后，只有10.1.1.11可以上网

注：如果一个网段终端比较多的化，建议用户将DHCP-SERVER多设置几个。已免拖累交换的转发能力





arp static *.*.*.* HH-HH-HH
另外还要把空出来的ip和无效mac绑定








配置端口/IP地址/MAC地址的绑定
系统支持Port+IP、Port+MAC、Port+IP+MAC、IP+MAC绑定方式：
1 Port+IP绑定：将报文的接收端口和源IP地址绑定。指定端口将只允许指定IP地址的报文通过，不允许其它IP地址的报文通过；同时指定IP地址的报文只能从指定端口上通过，不能从其它端口上通过。
2 PORT+MAC绑定：将报文的接收端口和源MAC地址绑定。指定端口将只允许指定MAC地址的报文通过，不允许其它MAC地址的报文通过；同时指定MAC地址的报文只能从指定端口上通过，不能从其它端口上通过。
3 PORT+IP＋MAC绑定：将报文的接收端口、源IP地址和源MAC地址绑定。指定端口将只允许指定IP地址和指定MAC地址的报文通过，不允许其它IP地址和MAC地址的报文通过。指定IP地址的报文只能从指定端口上通过，不能从其它端口上通过。指定MAC地址的报文只能从指定端口上通过，不能从其它端口上通过。
4 IP＋MAC绑定：将报文的源IP地址和源MAC地址绑定。如果报文的源IP地址与指定IP相同，则只有源MAC地址是指定的MAC地址时，该报文才被交换机转发，否则该报文不能被转发。同理，如果报文的源MAC地址与指定的MAC地址相同，则只有源IP地址与指定的IP地址相同，该报文才被交换机转发，否则该报文不能被转发

命令

将端口、IP地址和MAC地址绑定在一起
am user-bind { interface { interface-name | interface-type interface-num } { mac-addr mac | ip-addr ip }* | mac-addr mac { interface { interface-name | interface-type interface-num } | ip-addr ip }* | ip-addr ip { interface { interface-name | interface-type interface-num } | mac-addr mac }* }

取消端口、IP地址和MAC地址

的绑定
undo am user-bind { interface { interface-name | interface-type interface-num } { mac-addr mac | ip-addr ip }* | mac-addr mac { interface { interface-name | interface-type interface-num } | ip-addr ip }* | ip-addr ip { interface { interface-name | interface-type interface-num } | mac-addr mac }* }

需要注意的是：
同一个MAC地址或同一个IP地址不能被重复绑定。
绑定数目最多为128个。
不能同时对一个端口进行“Port+IP+MAC”和“Port+IP”的绑定。
在S3000系列交换机中S3026E/S3026E FS/S3026E FM支持该配置


1，端口+MAC
a)AM命令
使用特殊的AM User-bind命令，来完成MAC地址与端口之间的绑定。例如：
[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。


b)mac-address命令
使用mac-address static命令，来完成MAC地址与端口之间的绑定。例如：
[SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1
[SwitchA]mac-address max-mac-count 0

配置说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac学习数为0，使其他PC接入此端口后其mac地址无法被学习。


2，IP+MAC

a)AM命令
使用特殊的AM User-bind命令，来完成IP地址与MAC地址之间的绑定。例如：
[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3

配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定，即与绑定的IP地址或者MAC地址不同的PC机，在任何端口都无法上网。

支持型号：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G

b)arp命令
使用特殊的arp static命令，来完成IP地址与MAC地址之间的绑定。例如：
[SwitchA]arp static 10.1.1.2 00e0-fc22-f8d3

配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定。


3，端口+IP+MAC

使用特殊的AM User-bind命令，来完成IP、MAC地址与端口之间的绑定。例如：
[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

配置说明：可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网。

支持型号：S3026E/S3026E-FM/S3026-FS；S3026G；S3026C；S3026C-PWR；E3026；E050；S3526E/C;S3526E-FM/FS; S5012T/G、S5024G、S3900、S5600、S6500(3代引擎)