交换机端口与IP地址的绑定

华为交换机怎么绑定绑定i p地址和m a c地址交换机除了能够连接同种类型的网络之外，还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。

华为交换机怎么绑定绑定i p地址/M A C地址?主要是预防I P地址被盗用等网络安全威胁的问题，该怎么设置绑定呢?下面我们就来看看详细的设置教程，需要的朋友可以参考下具体步骤1、打开模拟器，创建一台交换机和两台P C、开机，配置好I P地址，一台P C备用。

2、交换机配置V l a n，把端口模式改为A c c e s s模式，把端口加入到V l a n100里，测试P C到交换机网通信是否正常。

当前没有路由器网管配置或不配置没有关系。

能p i n g通交换机。

3、接下来做绑定配置，在G i g a b i t E t h e r n e t0/0/1端口上绑定当前P C的I P和M A C地址，V l a n。

命令格式：在配置模式下，[H u a w e i] u s e r-b i n d s t a t i c i p a d d r e s s x.x.x.x m a c a d d r e s s x x x x-x x x x-x x x x i n t e r f a c eG i g a b i t E t h e r n e t0/0/1v l a n I D。

4、下一步绑定完了之后，我们再连接另一台备用的P C到交换机 i n t e r f a c e G i g a b i t E t h e r n e t0/0/1端口上。

5、换了另一台P C会不会p i n g通交换机。

很显然已经p i n g不同。

怎么样?是不是很简单呢?相关阅读：交换机工作原理过程交换机工作于O S I参考模型的第二层，即数据链路层。

交换机内部的C P U会在每个端口成功连接时，通过将M A C地址和端口对应，形成一张M A C表。

在今后的通讯中，发往该M A C地址的数据包将仅送往其对应的端口，而不是所有的端口。

怎样设置网络核心交换机实现对局域网所有电脑的IP-MAC定地址绑IP地址与MAC地址的关系：IP地址是根据现在的IPv4标准指定的，不受硬件限制比较容易记忆的地址，长度4个字节。

而MAC地址却是用网卡的物理地址，保存在网卡的EPROM 里面，与硬件有关系，比较难于记忆，长度为6个字节。

虽然在TCP／IP网络中，计算机往往需要设置IP地址后才能通讯，然而，实际上计算机之间的通讯并不是通过IP地址，而是借助于网卡的MAC地址。

IP地址只是被用于查询欲通讯的目的计算机的MAC地址。

ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。

在计算机的ARJ缓存中包含一个或多个表，用于存储IP地址及其经过解析的以太网MAC地址。

一台计算机与另一台IP地址的计算机通讯后，在ARP缓存中会保留相应的MAC地址。

所以，下次和同一个IP地址的计算机通讯，将不再查询MAC地址，而是直接引用缓存中的MAC 地址。

在交换式网络中，交换机也维护一张MAC地址表，并根据MAC地址，将数据发送至目的计算机。

为什么要绑定MAC与IP 地址：IP地址的修改非常容易，而MAC 地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。

因此，为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC 地址的网卡，进而查出非法盗用者。

目前，很多单位的内部网络，都采用了MAC地址与IP地址的绑定技术。

下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。

在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC 地址（网卡硬件地址）和IP地址。

H3CS5100交换机H3C交换机绑定IP和MAC地址H3C S5100交换机交换机是一种用于电信号转发的网络设备。

它可以为接入交换机的任意两个网络节点提供独享的电信号通路。

交换机工作在数据链路层，拥有一条很高带宽的背部总线和内部交换矩阵。

交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“自动学习”新的地址，并把它添加入内部MAC地址列表。

交换机配置信息配置交换机必须进入交换机系统system-view创建VLAN和进入VLAN[H3C]VLAN 2将接口划分到VLAN中，(下列表示将23到28接口划分到VLAN2) [H3C-vlan2]port GigabitEthernet 1/0/23 to GigabitEthernet 1/0/28[H3C-vlan2]port GigabitEthernet 1/0/2 （把接口2划分到VLAN2）进入接口模式（进入25接口）[H3C]interface GigabitEthernet 1/0/23[H3C-GigabitEthernet1/0/23]am user-bind命令IP、MAC地址和端口绑定配置[H3C]am user-bind mac-addr 001b-fc00-34e7 ip-addr 192.168.205.9 interface GigabtEthernet 1/0/23与[H3C-GigabitEthernet1/0/23]am user-bind mac-addr 001b-fc00-34e7 ip-addr 192.168.205.9配置是完全相同的查看配置命令：[H3C]display am user-bind注意：同一IP或MAC地址不可以在同一模式下绑定两次，模式是指接口模式或全局模式MAC地址和端口绑定配置第一种：进入系统视图。

Netinfo S ecurity /2005.1５５随着教育信息化的不断深入，校园网的建设已经非常广泛，而且规模和投资也在不断的扩大，但在广大师生尤其是大学里的师生在使用校园网的过程中，发现ＩＰ地址冲突的现象极其严重。

图１：一般校园网结构图对于大学校园网来说，一般是一个楼宇一个网段，而且也是一个管理单元，该楼宇内的网络由楼宇所在的院系负责，根据楼宇的大小，存在着两种组网形式，如上图所示的楼宇１和楼宇２，在楼宇１中，一个房间对应一个或多个三层交换端口，而在楼宇２中，一个房间对应一个或多个二层交换端口，我们要做的就是一个房间内的终端只能用固定的几个ＩＰ地址，也就是一个交换机（二层或三层）端口绑定多个ＩＰ地址，根据技术手段的不同，一般存在着以下几种方法。

通过访问管理功能实现现在，有些三层交换机提供了访问管理功能，该功能可以直接控制某个端口可以被哪些ＩＰ地址访问，该功能只有把该三层交换机当成网关的情况下才能发挥作用，而且，依然会出现地址冲突的现象，只不过在非法端口使用的用户将无法进行跨网段访问，下面以华为３５２６为例，具体配置过程如下：［Ｓ３５２６］ａｍ　ｅｎａｂｌｅ［Ｓ３５２６］ｉｎｔｅｒｆａｃｅ　ｖｌａｎ　１［Ｓ３５２６－Ｖｌａｎ－ｉｎｔｅｒｆａｃｅ１］ｉｐ　ａｄｄ　１９２．１６８．０．１　２５５．２５５．２５５．０＃该命令使１９２．１６８．０．１成为与该交换机相连的计算机的网关［Ｓ３５２６］ｉｎｔｅｒｆａｃｅ　ｅｔｈ　０／１０［Ｓ３５２６－Ｅｔｈｅｒｎｅｔ０／１０］ａｍ　ｉｐ－ｐｏｏｌ　１９２．１６８．０．２　１９２．１６８．０．１０　１９２．１６８．０．１５ ＃该命令保证只有其中的三个地址能够通过该端口进行跨网段访问通过访问列表实现最初的访问列表只能在第三层发挥作用，现在随着技术的不断发展，访问列表也可以在第二层发挥作用了，现在某些交换机可以对三层地址和二层地址的访问列表进行与运算，从而达到端口ＩＰ地址绑定的目的，下面以华为３５２６Ｅ为例，具体配置过程如下：［Ｓ３５２６Ｅ］ａｃｌ　ｎｕｍ　１０＃定义基本访问列表［Ｓ３５２６Ｅ－ａｃｌ－ｂａｓｉｃ－１０］ｒｕｌｅ　０　ｄｅｎｙ　ｓｏｕｒｃｅ　ａｎｙ［Ｓ３５２６Ｅ－ａｃｌ－ｂａｓｉｃ－１０］ｒｕｌｅ　１　ｐｅｒｍｉｔ　ｓｏｕｒｃｅ　１９２．１６８．０．２　０＃允许１９２．１６８．０．２访问，如果有多个，可以多定义几条规则［Ｓ３５２６Ｅ］ａｃｌ　ｎｕｍ　２１０＃定义二层访问列表［Ｓ３５２６Ｅ－ａｃｌ－ｌｉｎｋ－２１０］ｒｕｌｅ　０　ｄｅｎｙ　ｉｎｇｒｅｓｓ　ｉｎｔｅｒｆａｃｅ　ｅ０／１０　ｅｇｒｅｓｓ　ａｎｙ［Ｓ３５２６Ｅ－ａｃｌ－ｌｉｎｋ－２１０］ｒｕｌｅ　１　ｐｅｒｍｉｔ　ｉｎｇｒｅｓｓ　ｉｎｔｅｒｆａｃｅ　ｅ０／１０　ｅｇｒｅｓｓ　ａｎｙ［Ｓ３５２６Ｅ］ｐａｃｋｅｔ－ｆｉｌｔｅｒ　ｉｐ－ｇｒｏｕｐ　１０　ｒｕｌｅ　０　ｌｉｎｋ－ｇｒｏｕｐ　２１０　ｒｕｌｅ　０＃首先禁止所有计算机访问［Ｓ３５２６Ｅ］ｐａｃｋｅｔ－ｆｉｌｔｅｒ　ｉｐ－ｇｒｏｕｐ　１０　ｒｕｌｅ　１　ｌｉｎｋ－ｇｒｏｕｐ　２１０　ｒｕｌｅ　１＃允许某个固定的ＩＰ访问这样一来，就在不起用三层转发功能的情况下实现了ＩＰ地址与交换机端口的绑定，上面的配置只允许一个地址通过，只要用户需要，我们可能设置多条规则并使用多条ｐａｃｋｅｔ－ｆｉｌｔｅｒ命令来允交换机端口与ＩＰ地址的绑定北京师范大学信息科学学院傅骞Netinfo S ecurity /2005.1５６应用技术许多个ＩＰ地址通过同一端口。

华为交换机怎么绑定绑定ip地址/MAC地址交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

有时为了预防IP地址被盗用等网络安全威胁的问题，需要设置绑定呢，具体怎么设置呢?下面我们就来看看详细的设置教程，需要的朋友可以参考下方法步骤1、打开模拟器，创建一台交换机和两台PC、开机，配置好IP地址，一台PC备用。

2、交换机配置Vlan，把端口模式改为Access模式，把端口加入到Vlan100里，测试PC到交换机网通信是否正常。

当前没有路由器网管配置或不配置没有关系。

能ping通交换机。

3、接下来做绑定配置，在GigabitEthernet0/0/1端口上绑定当前PC的IP和MAC地址，Vlan。

命令格式：在配置模式下，[Huawei]user-bindstaticipaddressx.x.x.xmacaddressxxxx-xxxx-xxxxinterfaceGigabitEthernet0/0/1vlanID。

4、下一步绑定完了之后，我们再连接另一台备用的PC到交换机interfaceGigabitEthernet0/0/1端口上。

5、换了另一台PC会不会ping通交换机。

很显然已经ping 不同。

怎么样?是不是很简单呢?补充：交换机基本使用方法作为基本核心交换机使用，连接多个有线设备使用：网络结构如下图，基本连接参考上面的【方法/步骤1：基本连接方式】作为网络隔离使用：对于一些功能好的交换机，可以通过模式选择开关选择网络隔离模式，实现网络隔离的作用，可以只允许普通端口和UPlink端口通讯，普通端口之间是相互隔离不可以通讯的除了作为核心交换机(中心交换机)使用，还可以作为扩展交换机(接入交换机)来扩展网络放在路由器上方，扩展网络供应商的网络线路(用于一条线路多个IP的网络)，连接之后不同的路由器用不同的IP连接至公网相关阅读：交换机硬件故障常见问题电源故障：由于外部供电不稳定，或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止，从而不能正常工作。

华为交换机怎么绑定绑定ip地址和mac地址具体步骤1、打开模拟器，创建一台交换机和两台PC、开机，配置好IP地址，一台PC备用。

2、交换机配置Vlan，把端口模式改为Access模式，把端口加入到Vlan100里，测试PC到交换机网通信是否正常。

当前没有路由器网管配置或不配置没有关系。

能ping通交换机。

3、接下来做绑定配置，在GigabitEthernet0/0/1端口上绑定当前PC的IP和MAC地址，Vlan。

命令格式：在配置模式下，[Huawei] user-bind static ip address x.x.x.x mac address xxxx-xxxx-xxxx interface GigabitEthernet 0/0/1 vlan ID 。

4、下一步绑定完了之后，我们再连接另一台备用的PC 到交换机interface GigabitEthernet 0/0/1 端口上。

5、换了另一台PC会不会ping通交换机。

很显然已经ping 不同。

怎么样?是不是很简单呢?相关阅读：交换机工作原理过程交换机工作于OSI参考模型的第二层，即数据链路层。

交换机内部的CPU会在每个端口成功连接时，通过将MAC 地址和端口对应，形成一张MAC表。

在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。

因此，交换机可用于划分数据链路层广播，即冲突域;但它不能划分网络层广播，即广播域。

交换机拥有一条很高带宽的背部总线和内部交换矩阵。

交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会学习新的MAC地址，并把它添加入内部MAC地址表中。

使用交换机也可以把网络分段，通过对照IP地址表，交换机只允许必要的网络流量通过交换机。

在 NETGEAR 7000 系列交换机的端口上绑定 MAC 和 IP 地址1．基于端口的MAC地址绑定NETGEAR FSM7352S交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：(FSM7352S) #configure//进入配置模式(FSM7352S) (Config)#port-security//打开端口安全模式(FSM7352S) (Config)#interface 1/0/45//进入具体端口配置模式(FSM7352S) (Interface 1/0/45)#port-security//配置端口安全模式(FSM7352S) (Interface 1/0/45)#port-security mac-address 00:E0:4C:00:0C:2B 1//配置该端口要绑定的主机的MAC地址和所属VLAN(FSM7352S) (Interface 1/0/45)#port-security max-dynamic 0//配置该端口动态学习MAC地址数量为0，即不再学习动态MAC地址(FSM7352S) (Interface 1/0/45)#port-security max-static 1//配置该端口静态MAC地址数量为1，即不能再添加静态MAC地址以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以通过这个端口使用网络，并且该主机只能通过这个端口使用网络。

如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

注意：以上功能适用于FSM7328S，FSM7352S，FSM7352PS，GSM7324，GSM7312，GSM7212，GSM7224，GSM7248，FSM7326P系列交换机4.0以上软件版本。

2.基于MAC地址的扩展访问列表(FSM7352S) (Config)#mac access-list extended testmac01//定义一个MAC地址访问控制列表并且命名该列表名为testmac01(FSM7352S) (Config-mac-access-list)#permit 00:E0:4C:00:0C:2B any//定义MAC地址为00:E0:4C:00:0C:2B的主机可以访问任意主机(FSM7352S) (Config-mac-access-list)#permit any 00:E0:4C:00:0C:2B//定义所有主机可以访问MAC地址为00:E0:4C:00:0C:2B的主机(FSM7352S) (Config)#interface 1/0/45//进入具体端口的配置模式(FSM7352S) (Interface 1/0/45)#mac access-group testmac01 in//在该端口上应用名为testmac01的访问列表（即前面我们定义的访问策略）此功能与1大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

怎么查找交换机端口对应的ip地址
第一种方法
1、通过登陆交换机web网页版查看
输入账号admin 密码adminh3c ！（8#楼）admin （9#楼）
点击：网络--ARP管理查看如下图
如上图：端口25为交换机对应的第25个端口
MAC地址为：7485-2a1e-12fb
vlan 为：82
第二种方法
但有些端口通过此方法查看不了，需通过第三层交换机查看，方法如下:
如下图：
2、输入账号密码（同上）
2、比如我们现在想查询交换机端口2,所连接的服务器的IP地址。

首先，在此交换机上，运行命令，DIS MAC-ADDRESS GigabitEthernet1/0/2 ，查出服务器的MAC地址为：927c-8f79-d1df
3、查出服务器的MAC地址，然后进入三层交换机上（），运行命令，DIS ARP | INCLUDE XXX（XXX是指服务器的MAC地址），这样就能查出对应的IP地址了！
4、如下图：交换机端口2，所连接的服务器的IP地址为：。