MAC地址绑定

MAC地址绑定与IP绑定区别讲解在网络通信中，MAC地址绑定和IP地址绑定是两种常见的安全措施。

它们都是限制特定设备的访问权限，提高网络的安全性。

然而，它们之间存在一些区别。

本文将详细讲解MAC地址绑定与IP地址绑定的区别，并探讨它们各自的优劣势。

一、MAC地址绑定MAC地址（Media Access Control Address）是设备的物理地址，通常由设备的网卡厂商预先分配。

每个网络设备都拥有唯一的MAC地址，用于在局域网中进行数据通信。

MAC地址绑定是一种通过识别MAC地址来控制访问的方式。

1.1 原理MAC地址绑定基于一个简单的原理，即只有经过认证的MAC地址才能够通过网络设备进行通信。

网络管理员将特定设备的MAC地址与网络访问策略进行绑定，该设备在网络上的通信可以顺利进行。

非授权的设备将被阻止访问网络。

1.2 优势MAC地址绑定具有以下优势：（1）安全性高：由于MAC地址是设备的物理地址，无法被更改，因此MAC地址绑定提供了较高的安全性。

（2）易于配置：网络管理员可以通过简单的配置过程将MAC地址与网络绑定，不需要额外的设备或软件支持。

（3）不受IP地址变化的影响：即使IP地址发生变化，通过MAC地址绑定的设备仍然可以顺利访问网络。

1.3 缺点MAC地址绑定存在一些缺点：（1）繁琐的管理：对于大型网络而言，管理维护所有设备的MAC地址绑定是一项繁重的任务。

（2）无法在不同网络间漫游：由于MAC地址是局限在本地网络中，当设备从一个网络漫游到另一个网络时，需要重新进行MAC地址绑定。

二、IP地址绑定IP地址（Internet Protocol Address）是设备在网络上的标识，用于在广域网中进行数据通信。

IP地址绑定是一种通过识别IP地址来控制访问的方式。

2.1 原理IP地址绑定的原理是限制只有特定的IP地址才能够访问网络。

网络管理员将指定的IP地址与网络访问策略进行绑定，只有使用这些IP地址的设备可以顺利进行通信，其他设备将被拒绝访问。

1. 如何进行IP和MAC地址绑定，以防范ARP欺骗？用路由器做地址转换，上网频繁掉线，此时将PC机的网卡禁用一下或将PC机重启一下又可以上网了，并且不能上网时ping PC机的网关不通。

这种情况一般来说,都是中了ARP欺骗病毒，可以通过以下方法进行防范。

方法一：在路由器上静态绑定PC机的IP地址和MAC地址，在PC机上绑定路由器内网口的IP地址和MAC地址。

步骤如下：1) 在路由器上绑定PC机的IP地址和MAC地址，格式如下：[H3C]arp static 192.168.1.2 00e1-7778-9876注意：需要对该网段内的每一个IP都绑定MAC，没有使用的IP地址也需要绑定，可以任意指定其绑定的MAC地址，推荐使用0000-0000-0123等特殊MAC。

2) 在PC机上绑定路由器内网口的IP地址和MAC地址，命令格式如下：arp –s 192.168.1.1 00-0f-e2-21-a0-01方法二：让路由器定时发送免费ARP报文，刷新PC机的ARP表项进入路由器相应的内网接口，配置如下命令：[H3C-Ethernet1/0]arp send-gratuitous-arp 1方法三：ARP固化可以在全局视图和接口视图下配置ARP固化功能，使动态ARP转化为固定ARP，有效防范ARP 攻击。

固化ARP有三种方式：1) 全局视图下配置动态ARP固化[H3C] arp fixup2) 接口视图下配置动态ARP固化[H3C] interface ethernet 1/0/0[H3C-Ethernet1/0/0] arp fixup3) 配置指定固化ARP表项的功能[H3C] arp fixed 10.1.0.1 00-11-22【提示】1) PC机重启后，静态配置的arp表项会丢失，需要重新配置，可以在PC机上制作一个.bat 的批处理文件，放到启动项中。

2) arp send-gratuitous-arp 并非所有产品均支持，请查询网站上的配置手册和命令手册，确认您所使用的产品是否支持该功能。

实验十八、交换机端口与MAC绑定一、 实验目的1、了解什么是交换机的MAC绑定功能；2、熟练掌握MAC与端口绑定的静态、动态方式。

二、 应用环境1、当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。

当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机，就更谈不上将它隔离了。

端口与地址绑定技术使主机必须与某一端口进行绑定，也就是说，特定主机只有在某个特定端口下发出数据帧，才能被交换机接收并传输到网络上，如果这台主机移动到其他位置，则无法实现正常的连网。

这样做看起来似乎对用户苛刻了一些，而且对于有大量使用便携机的员工的园区网并不适用，但基于安全管理的角度考虑，它却起到了至关重要的作用。

2、为了安全和便于管理，需要将MAC地址与端口进行绑定，即，MAC地址与端口绑定后，该MAC地址的数据流只能从绑定端口进入，不能从其他端口进入。

该端口可以允许其他MAC地址的数据流通过。

但是如果绑定方式采用动态lock的方式会使该端口的地址学习功能关闭，因此在取消lock之前，其他MAC的主机也不能从这个端口进入。

三、 实验设备1、DCS-3926S交换机1台2、PC机2台3、Console线1根4、直通网线2根四、 实验拓扑五、 实验要求1、交换机IP地址为192.168.1.11/24，PC1的地址为192.168.1.101/24；PC2的地址为192.168.1.102/24。

2、在交换机上作MAC与端口绑定；3、PC1在不同的端口上ping 交换机的IP，检验理论是否和实验一致。

4、PC2在不同的端口上ping 交换机的IP，检验理论是否和实验一致。

六、 实验步骤第一步：得到PC1主机的mac地址Microsoft Windows XP [版本 5.1.2600](C) 版权所有 1985-2001 Microsoft Corp.C:\>ipconfig/allWindows IP ConfigurationHost Name . . . . . . . . . . . . : xuxpPrimary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : BroadcastIP Routing Enabled. . . . . . . . : NoWINS Proxy Enabled. . . . . . . . : NoEthernet adapter 本地连接:Connection-specific DNS Suffix . :Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti onPhysical Address. . . . . . . . . : 00-A0-D1-D1-07-FFDhcp Enabled. . . . . . . . . . . : YesAutoconfiguration Enabled . . . . : YesAutoconfiguration IP Address. . . : 169.254.27.232Subnet Mask . . . . . . . . . . . : 255.255.0.0Default Gateway . . . . . . . . . :C:\>我们得到了PC1主机的mac地址为：00-A0-D1-D1-07-FF。

MAC地址绑定：
1.打开浏览器，输入19
2.168.1.1，弹出登陆窗口，如果没有改动过，用户名为admin，密码为admin，如果忘记用户名和密码，用针状物体按下路由器的“reset”小孔3到5秒，用户名和密码即恢复为admin （登陆路由器后可以修改用户名和密码，路径为“系统工具”——“修改登陆口令”）
2.登陆路由器后，依次点击“无线参数”——“MAC 地址过滤”，点击“添加新条目”，在弹出的设置窗口里填入MAC地址，例如：78-D6-F0-06-48-71，以及填入描述，例如：三星i9000，然后点保存，添加完成。

3.笔记本、手机、平板电脑等打开WiFi后，搜索到家里的无线网络，连接，输入无线网络密码后就可以上网了。

各种设备获取MAC地址方法：
1.笔记本：方法一：点击“开始”——“运行”（或者直接按Windows键+R键），输入cmd，弹出DOS 界面，再输入ipconfig/all，按回车，找到“无线网络连接”的“Physical Address”后面的一串字符就是无线网卡的MAC地址。

方法二：如果笔记本已经连接上无线网络，鼠标左键双击右下角无线网络连接，弹出“无线网络连接状态”窗口，依次点击“支持”——“详细信息”，在弹出的“网络连接详细信息”里的实际地址即为无线网卡的MAC地址。

2.安卓系统手机：依次打开“设置”——“无线和网络”——“WiFi设置”，按功能键，点开“高级”，弹出的界面中有MAC地址。

3.诺基亚手机：诺基亚手机输入*#62209526#，即会弹出MAC地址。

4.iPad/ iPhone：“设置”——“通用”——“关于本机”。

MAC地址表配置与绑定MAC地址表分类---静态MAC地址表项由⽤户⼿⼯配置，表项不⽼化；---⿊洞MAC地址表项包括源⿊洞MAC地址表项和⽬的⿊洞MAC地址表项，⽤于丢弃含有特定源MAC地址或⽬的MAC地址的报⽂（例如，出于安全考虑，可以屏蔽某个⽤户接收报⽂），由⽤户⼿⼯配置，表项不⽼化；---动态MAC地址表项包括⽤户配置的以及设备通过源MAC地址学习得来的，表项有⽼化时间。

1、增加⼀个静态MAC地址表项。

system-view[Sysname] mac-address static 000f-e235-dc71 interface ten-gigabitethernet 1/0/1 vlan 12、增加⼀个⽬的⿊洞MAC地址表项。

[Sysname] mac-address blackhole 000f-e235-abcd vlan 13、配置动态MAC地址表项的⽼化时间为500秒。

[Sysname] mac-address timer aging 5004、查看以太⽹接⼝Ten-GigabitEthernet1/0/1上的MAC地址表信息。

[Sysname] display mac-address interface ten-gigabitethernet 1/0/1MAC Address VLAN ID State Port Aging000f-e235-dc71 1 Static XGE1/0/1 N5、查看⽬的⿊洞MAC地址表信息。

[Sysname] display mac-address blackholeMAC Address VLAN ID State Port Aging000f-e235-abcd 1 Blackhole N/A N6、查看动态MAC地址表项的⽼化时间。

[Sysname] display mac-address aging-timeMAC address aging time: 500s。

假定：用户内网1.1.1.1-1.1.1.10要经过防火墙访问Internet
配置方法如下：
1. 在安全选项中选择IP/MAC地址绑定功能 (1)
2. 在安全选项中选中“允许未绑定的IP/MAC地址通过” (1)
3. 设置包过滤规则，源地址为：1.1.1.1-1.1.1.10，目标地址为任意，服务为任意，动作为允许。

(1)
4. 设置相应的NAT规则 (2)
5. 将全部10个IP都与相应的MAC地址绑定。

(2)
1.在安全选项中选择启动IP/MAC地址绑定功能
2.在安全选项中选中“允许未绑定的IP/MAC地址通过”
3.设置包过滤规则，源地址为：1.1.1.1-1.1.1.10，目标地址为任意，服务为任意，
动作为允许。

其中地址1.1.1.1-1.1.1.10需要在地址列表里定义
4.设置相应的NAT规则
5.将全部10个IP都与相应的MAC地址绑定。

按以上5部配好就可以了。

注:必须保证在安全规则中允许访问Internet的所有IP地址都进行IP/MAC地址绑定，如果某些IP地址暂时不用，可以给它随意绑定一个虚拟的MAC地址.这样,凡是能通过安全规则检查的IP地址，就必然被绑上了一个MAC地址，如果用户不能将网卡地址设为这个MAC地址，他就一定不能访问Internet.。

netgear无线路由器怎么设置mac地址绑定
由于MAC地址绑定的安全性能，所以被大多数的终端用户所运用，以防止网络非法用户从非法途径进入网络，盗用网络资源，netgear 无线路由器是全球领先的品牌，具备有mac地址绑定功能，下面是店铺整理的netgear无线路由器设置mac地址绑定的方法，供您参考。

netgear无线路由器设置mac地址绑定的方法
我的路由器为NETGAR R6300也可以称为网件R6300。

这台路由器的操作界面和常见的TP-link 或D-LINK等这类路由器不同。

进入路由器以后点击【高级】.
在高级选项下面依次点击【高级设置】---【无线设置】---在出务的界面往下拉一点找到无线网卡访问列表下面的【设置访问列表】按钮点击进入。

无线访问网卡访问列表下面勾选【打开无线访问控制】
点击下面【添加】
输入无线网卡设备名称：可以是任意的包括中文字
MAC地址：就是无线网卡的MAC地址
输入好以后点击【添加】
此时只要是加入到无线访问网卡访问列表中的设备才可以连接到无线路由器上来。

路由器怎么绑定mac地址
有时候就算路由设置了无线密码，其他知道密码了，自己修改密码也有可能被他人知道密码，这时候我们就可以绑定mac地址来防止被蹭网，那么你知道路由器怎么绑定mac地址吗?下面是店铺整理的一些关于路由器绑定mac地址的相关资料，供你参考。

路由器绑定mac地址的方法：
首先 192.168.1.1 输入用户名密码，进入路由
进入路由后选中无线设置下的无线MAC地址过滤
点击添加新条目，
怎么查看MAC地址?
点击开始》》运行》》输入cmd 》》ipconfig /all
输入MAC 和描述点击保存，然后选上“允许列表中生效规则之外的 MAC 地址访问本无线网络” 点击启动过滤
这样就只有添加MAC地址的电脑/手机可以访问无线网络了。