交换机端口与MAC绑定

NETGEAR智能网管交换机如何实现IP与MAC地址绑定功能NETGEAR智能网管交换机是一款功能强大的网络设备，支持多种高级网络管理功能，其中包括IP与MAC地址绑定功能。

这个功能可以帮助网络管理员更好地管理网络设备，并提高网络的安全性。

下面将详细介绍NETGEAR智能网管交换机如何实现IP与MAC地址绑定功能，并提供相关操作步骤。

IP与MAC地址绑定是指将特定的IP地址与MAC地址绑定在一起，仅允许该MAC地址对应的设备使用该IP地址进行通信。

这样可以防止未经授权的设备接入网络，并提高网络的安全性。

以下是在NETGEAR智能网管交换机上实现IP与MAC地址绑定功能的步骤：1.连接到交换机：将计算机连接到NETGEAR智能网管交换机的一个可用端口上。

可以使用网线将计算机的网卡与交换机的一些端口直接连接，或通过路由器等设备间接连接。

2.登录交换机：使用计算机上的浏览器打开一个新的页面，并输入交换机的默认IP地址（通常为192.168.0.1或192.168.1.1）进入交换机的管理界面。

输入管理账号和密码进行登录。

3. 导航到静态ARP页面：在交换机的管理界面中，导航到"IP Configuration"或"Network Configuration"等相关菜单，然后点击“Static ARP”或“Static ARP Table”选项。

4. 添加静态ARP表项：在静态ARP页面中，点击“Add”或“New”按钮，可以添加一个新的静态ARP表项。

在弹出的表单中，输入目标IP 地址和相应的MAC地址，并点击“Apply”或“Save”按钮保存更改。

5. 删除静态ARP表项：如果需要删除一个静态ARP表项，可以在静态ARP页面中选择该条目，并点击“Delete”或“Remove”按钮进行删除操作。

请注意，删除静态ARP表项后，相关的IP与MAC地址绑定将被取消。

MAC地址与端口绑定详解在网络安全越来越重要的今天，高校和企业对于局域网的安全控制也越来越严格，普遍采用的做法之一就是IP地址、网卡的MAC 地址与交换机端口绑定，但是MAC与交换机端口快速绑定的具体实现的原理和步骤却少有文章。

我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

一、首先必须明白两个概念：可靠的MAC地址。

配置时候有三种类型：静态可靠的MAC地址：在交换机接口模式下手动配置，这个配置会被保存在交换机MAC地址表和运行配置文件中，交换机重新启动后不丢失（当然是在保存配置完成后），具体命令如下：Switch(config-if)#switchport port-security mac-address Mac 地址动态可靠的MAC地址：这种类型是交换机默认的类型。

在这种类型下，交换机会动态学习MAC地址，但是这个配置只会保存在MAC 地址表中，不会保存在运行配置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。

黏性可靠的MAC地址：这种类型下，可以手动配置MAC地址和端口的绑定，也可以让交换机自动学习来绑定，这个配置会被保存在MAC地址中和运行配置文件中，如果保存配置，交换机重起动后不用再自动重新学习MAC地址，虽然黏性的可靠的MAC地址可以手动配置，但是CISCO官方不推荐这样做。

具体命令如下：Switch(config-if)#switchport port-security mac-address sticky其实在上面这条命令配置后并且该端口得到MAC地址后，会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address stickyMac地址这也是为何在这种类型下CISCO不推荐手动配置MAC地址的原因。

实验十一二层交换机端口与MAC地址动态绑定【场景构建】在日常工作中，经常会发生用户随意插拔交换机上的网线，给网管员在网络管理上带来一定的不便。

同时也会出现在一个交换机端口下连接另一个Hub或交换机，导致网络线路的拥堵。

当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。

当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机。

希望通过一定的方法，固定每台计算机连接的交换机端口，方便网管员日常的维护与更新。

[实验目的]1、了解什么是交换机的MAC绑定功能；2、熟练掌握MAC与端口绑定的静态、动态方式。

【知识准备】通过端口绑定特性，网络管理员可以将用户的MAC 地址和IP 地址绑定到指定的端口上。

进行绑定操作后，交换机只对从该端口收到的指定MAC 地址和IP 地址的用户发出的报文进行转发，提高了系统的安全性，增强了对网络安全的监控。

我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

【实验】二层交换机端口动态绑定MAC地址1.1实验设备1、2950-24交换机1台2、PC机4台3、交叉线1根4、直通网线4根1.2组网图PC1PC2PC3PC4SW01.3实验设备IP在F0/1通VLAN的IP地址。

当学习数超过设定学习的最大值，端口将不再学习新的MAC地址，并触发安全规则，关闭端口。

1.4 配置步骤第一步：得到PC1主机的mac地址第二步：配置交换机的IP地址第三步：使能F0/1端口的MAC地址绑定功能第四步：动态添加端口安全MAC地址，端口最大安全MAC地址数为3第五步：配置违反MAC安全采取的措施（关闭端口）1.5实验验证1、交换机上端口绑定的信息。

H3CS5100交换机H3C交换机绑定IP和MAC地址H3C S5100交换机交换机是一种用于电信号转发的网络设备。

它可以为接入交换机的任意两个网络节点提供独享的电信号通路。

交换机工作在数据链路层，拥有一条很高带宽的背部总线和内部交换矩阵。

交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“自动学习”新的地址，并把它添加入内部MAC地址列表。

交换机配置信息配置交换机必须进入交换机系统system-view创建VLAN和进入VLAN[H3C]VLAN 2将接口划分到VLAN中，(下列表示将23到28接口划分到VLAN2) [H3C-vlan2]port GigabitEthernet 1/0/23 to GigabitEthernet 1/0/28[H3C-vlan2]port GigabitEthernet 1/0/2 （把接口2划分到VLAN2）进入接口模式（进入25接口）[H3C]interface GigabitEthernet 1/0/23[H3C-GigabitEthernet1/0/23]am user-bind命令IP、MAC地址和端口绑定配置[H3C]am user-bind mac-addr 001b-fc00-34e7 ip-addr 192.168.205.9 interface GigabtEthernet 1/0/23与[H3C-GigabitEthernet1/0/23]am user-bind mac-addr 001b-fc00-34e7 ip-addr 192.168.205.9配置是完全相同的查看配置命令：[H3C]display am user-bind注意：同一IP或MAC地址不可以在同一模式下绑定两次，模式是指接口模式或全局模式MAC地址和端口绑定配置第一种：进入系统视图。

H3C交换机1、system-view进入系统视图模式2、sysname为设备命名3、displaycurrent-configuration当前配置情况4、language-modeChinese|English中英文切换5、interfaceEthernet1/0/1进入以太网端口视图6、portlink-typeAccess|Trunk|Hybrid设置端口访问模式7、undoshutdown打开以太网端口8、shutdown关闭以太网端口9、quit退出当前视图模式10、vlan10创建VLAN10并进入VLAN10的视图模式11、portaccessvlan10在端口模式下将当前端口加入到vlan10中12、portE1/0/2toE1/0/5在VLAN模式下将指定端口加入到当前vlan中13、porttrunkpermitvlanall允许所有的vlan通过H3C路由器######################################################################################1、system-view进入系统视图模式2、sysnameR1为设备命名为R13、displayiprouting-table显示当前路由表4、language-modeChinese|English中英文切换5、interfaceEthernet0/0进入以太网端口视图7、undoshutdown打开以太网端口8、shutdown关闭以太网端口9、quit退出当前视图模式H3CS3100SwitchH3CS3600SwitchH3CMSR20-20Router##########################################################################################1、调整超级终端的显示字号；2、捕获超级终端操作命令行，以备日后查对；3、language-modeChinese|English中英文切换；4、复制命令到超级终端命令行，粘贴到主机；5、交换机清除配置:<H3C>resetsave；<H3C>reboot；6、路由器、交换机配置时不能掉电，连通测试前一定要检查网络的连通性，不要犯最低级的错误。

华为交换机怎么绑定绑定ip地址/MAC地址交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

有时为了预防IP地址被盗用等网络安全威胁的问题，需要设置绑定呢，具体怎么设置呢?下面我们就来看看详细的设置教程，需要的朋友可以参考下方法步骤1、打开模拟器，创建一台交换机和两台PC、开机，配置好IP地址，一台PC备用。

2、交换机配置Vlan，把端口模式改为Access模式，把端口加入到Vlan100里，测试PC到交换机网通信是否正常。

当前没有路由器网管配置或不配置没有关系。

能ping通交换机。

3、接下来做绑定配置，在GigabitEthernet0/0/1端口上绑定当前PC的IP和MAC地址，Vlan。

命令格式：在配置模式下，[Huawei]user-bindstaticipaddressx.x.x.xmacaddressxxxx-xxxx-xxxxinterfaceGigabitEthernet0/0/1vlanID。

4、下一步绑定完了之后，我们再连接另一台备用的PC到交换机interfaceGigabitEthernet0/0/1端口上。

5、换了另一台PC会不会ping通交换机。

很显然已经ping 不同。

怎么样?是不是很简单呢?补充：交换机基本使用方法作为基本核心交换机使用，连接多个有线设备使用：网络结构如下图，基本连接参考上面的【方法/步骤1：基本连接方式】作为网络隔离使用：对于一些功能好的交换机，可以通过模式选择开关选择网络隔离模式，实现网络隔离的作用，可以只允许普通端口和UPlink端口通讯，普通端口之间是相互隔离不可以通讯的除了作为核心交换机(中心交换机)使用，还可以作为扩展交换机(接入交换机)来扩展网络放在路由器上方，扩展网络供应商的网络线路(用于一条线路多个IP的网络)，连接之后不同的路由器用不同的IP连接至公网相关阅读：交换机硬件故障常见问题电源故障：由于外部供电不稳定，或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止，从而不能正常工作。

H3C交换机端口绑定与取消绑定电脑MAC地址到交换机端口的需求：1、交换机各端口和电脑MAC地址绑定，使其它电脑接入到此端口，设成相同IP地址也不能连接到局域网；2、空余端口shutdown掉；3、对部分端口限定不可上外网，只可接入局域网；sysinter vlan 1ip add 10.20.1.141undoquittelnet service enableuser-interface vty 0 4authentication-mode schemequitlocal-user h3cpassword simple h3cservice-type telnetuser privilege level 3quit配置完成，登陆用户名xxx，密码yyy。

如再不通，再用这条命令：ip rout 0.0.0.0 0.0.0.0 10.30.1.2步骤1：绑定某MAC地址到交换机端口：先查看某主机在交换机的哪个端口上：查看对应交换机端口号dis mac-add 78e3-b5a4-cf28绑定命令：am user-bind mac-add 78e3-b5a4-cf28 ip-addr 10.1.153.10 interface E1/0/31取消绑定：undo am user-bind mac-add 6c62-6d96-c046 ip-addr 10.1.153.49 interface E1/0/3am user-bind mac-add 6C62-6DA1-45B5 ip-addr 10.1.151.23 interface E1/0/17am user-bind mac-add 6C62-6D4A-AE6E ip-addr 10.1.151.25 interface E1/0/16删除绑定：undo am user-bind mac-add 76c62-6d81-dc64ip-addr 10.1.154.131 interface E1/0/24undo am user-bind mac-add 6C62-6D54-02C7ip-addr 10.1.151.19 interface E1/0/22undo am user-bind mac-add 6C62-6DA1-45B5ip-addr 10.1.151.23 interface E1/0/17undo am user-bind mac-add 6C62-6D4A-AE6Eip-addr 10.1.151.25 interface E1/0/16undo am user-bind mac-addr 6c62-6d82-163d ip-addr10.1.151.141 interface Ethernet1/0/8s3100 端口和MAC绑定的命令：mac-address static 6c62-6d9f-a4c5 int e1/0/22 vlan 78int1/0/22port-security port-mode securemac-add 6c62-6d9f-a4c5 int e1/0/22 vlan 78 这个里面有接口，就不要进接口配置。

在 NETGEAR 7000 系列交换机的端口上绑定 MAC 和 IP 地址1．基于端口的MAC地址绑定NETGEAR FSM7352S交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：(FSM7352S) #configure//进入配置模式(FSM7352S) (Config)#port-security//打开端口安全模式(FSM7352S) (Config)#interface 1/0/45//进入具体端口配置模式(FSM7352S) (Interface 1/0/45)#port-security//配置端口安全模式(FSM7352S) (Interface 1/0/45)#port-security mac-address 00:E0:4C:00:0C:2B 1//配置该端口要绑定的主机的MAC地址和所属VLAN(FSM7352S) (Interface 1/0/45)#port-security max-dynamic 0//配置该端口动态学习MAC地址数量为0，即不再学习动态MAC地址(FSM7352S) (Interface 1/0/45)#port-security max-static 1//配置该端口静态MAC地址数量为1，即不能再添加静态MAC地址以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以通过这个端口使用网络，并且该主机只能通过这个端口使用网络。

如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

注意：以上功能适用于FSM7328S，FSM7352S，FSM7352PS，GSM7324，GSM7312，GSM7212，GSM7224，GSM7248，FSM7326P系列交换机4.0以上软件版本。

2.基于MAC地址的扩展访问列表(FSM7352S) (Config)#mac access-list extended testmac01//定义一个MAC地址访问控制列表并且命名该列表名为testmac01(FSM7352S) (Config-mac-access-list)#permit 00:E0:4C:00:0C:2B any//定义MAC地址为00:E0:4C:00:0C:2B的主机可以访问任意主机(FSM7352S) (Config-mac-access-list)#permit any 00:E0:4C:00:0C:2B//定义所有主机可以访问MAC地址为00:E0:4C:00:0C:2B的主机(FSM7352S) (Config)#interface 1/0/45//进入具体端口的配置模式(FSM7352S) (Interface 1/0/45)#mac access-group testmac01 in//在该端口上应用名为testmac01的访问列表（即前面我们定义的访问策略）此功能与1大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

谈谈IP、MAC与交换机端口绑定的方法Jack Zhai 信息安全管理者都希望在发生安全事件时，不仅可以定位到计算机，而且定位到使用者的实际位置，利用MAC与IP的绑定是常用的方式，IP地址是计算机的“姓名”，网络连接时都使用这个名字；MAC地址则是计算机网卡的“身份证号”，不会有相同的，因为在厂家生产时就确定了它的编号。

IP地址的修改是方便的，也有很多工具软件，可以方便地修改MAC地址，“身份冒充”相对容易，网络就不安全了。

遵从“花瓶模型”信任体系的思路，对用户进行身份鉴别，大多数人采用基于802.1x协议的身份认证技术(还可以基于应用的身份认证、也可以是基于Cisco 的EOU技术的身份认证)，目的就是实现用户账号、IP、MAC的绑定，从计算机的确认到人的确认。

身份认证模式是通过计算机内安全客户端软件，完成登录网络的身份鉴别过程，MAC地址也是通过客户端软件送给认证服务器的，具体的过程这里就不多说了。

一、问题的提出与要求有了802.1x的身份认证，解决的MAC绑定的问题，但还是不能定位用户计算机的物理位置，因为计算机接入在哪台交换机的第几个端口上，还是不知道，用户计算机改变了物理位置，管理者只能通过其他网管系统逐层排查。

那么，能否可以把交换机端口与IP、MAC一起绑定呢？这样计算机的物理位置就确定了。

首先这是有关安全标准的要求：1)重要安全网络中，要求终端安全要实现MAC\IP\交换机端口的绑定2)有关专用网络中，要求未使用的交换机端口要处于关闭状态(未授权前不打开)其次，实现交换机端口绑定的目标是：∙∙防止外来的、未授权的计算机接入网络(访问网络资源)∙∙当有计算机接入网络时，安全监控系统能够立即发现该计算机的MAC与IP，以及接入的交换机端口信息，并做出身份验证，属于未授权的能够报警或终止计算机的继续接入，或者禁止它访问到网络的任何资源∙∙当有安全事件时，可以根据用户绑定的信息，定位到机器(MAC与IP)、定位到物理位置(交换机端口)、定位到人(用户账号、姓名、电话…)二、实现交换机端口信息绑定的策略根据接入交换机的安全策略，可以把端口信息绑定分为两种方式：静态方式与动态方式1、静态方式：固定计算机的位置，只能在预先配置好的交换机端口接入，未配置(授权申请)的不能接入网络。