mac与ip绑定方案

局域网IP与mac双向绑定——防止恶意软件控制为了给大家带来良好的网络环境,阻止P2P终结者等恶意控制软件破坏局域网网络环境,并且市面上的arp防火墙,如:彩影arp,金山arp等对P2P终结者并无多大防御作用。

现在我们就来做一下网关与客户机的双向IP&MAC绑定来搞定它。

在操作过程中,请关掉arp防火墙(暂时),因为它对我们的操作有一定的影响。

等操作完成之后再打开。

若安装有彩影arp的用户,请不要让它在开机自动运行(方法下面有),可以开机后手动运行。

首先声明一点,绑定IP和MAC是为了防止arp欺骗,防御P2P终结者控制自己的电脑(网速),对自己的电脑没有一点负面影响。

不想绑定的同学可以不绑定,以自愿为原则。

但是若被控制网速,自己躲在屋里哭吧!(开玩笑)。

好了废话不多说,开始我们的客户机IP与MAC绑定教程吧!一.首先将路由即网关的IP和MAC查看下(路由IP一般都是192.168.1.1):开始→运行→cmd(回车)→arp/a就会出现如下图信息:其中第一个192.168.1.1即为路由IP,后面就是路由的MAC二.查看自己的IP和MAC有以下两种方法:①右键网上邻居→属性→右键本地连接→状态→支持→详细信息里面的实际地址即为自己的MAC地址,IP地址即为自己的IP地址。

②开始→运行→cmd(回车)→ipconfig/all(回车)会出来信息,如图:其中本地连接(以太网连接)里面的physical Address即为自己的MAC ,IP Address即为自己的IP地址。

三.不让彩影arp防火墙开机运行的方法(后面用到):开始→运行→msconfig(回车)→启动→将Antiarp.exe(彩影arp程序)前面的勾去掉→确定→退出而不重新启动→OK!启动里面的启动项目就是你安的软件的名称,命令就是你安在了哪里。

这样开机就不会自动运行它了,要想运行,手动打开桌面上它的程序就行。

若要恢复开机自动运行彩影arp,在启动中,将勾重新勾上就行了(不推荐)!若是不想让其他程序开机运行,和本操作一样!四.以管理员身份运行CMD(一般都是管理员身份,不是的很少,这个基本用不到)在命令界面(即进入CMD以后)直接按ctral+shift+(回车)就行了。

NETGEAR智能网管交换机如何实现IP与MAC地址绑定功能NETGEAR智能网管交换机是一款功能强大的网络设备，支持多种高级网络管理功能，其中包括IP与MAC地址绑定功能。

这个功能可以帮助网络管理员更好地管理网络设备，并提高网络的安全性。

下面将详细介绍NETGEAR智能网管交换机如何实现IP与MAC地址绑定功能，并提供相关操作步骤。

IP与MAC地址绑定是指将特定的IP地址与MAC地址绑定在一起，仅允许该MAC地址对应的设备使用该IP地址进行通信。

这样可以防止未经授权的设备接入网络，并提高网络的安全性。

以下是在NETGEAR智能网管交换机上实现IP与MAC地址绑定功能的步骤：1.连接到交换机：将计算机连接到NETGEAR智能网管交换机的一个可用端口上。

可以使用网线将计算机的网卡与交换机的一些端口直接连接，或通过路由器等设备间接连接。

2.登录交换机：使用计算机上的浏览器打开一个新的页面，并输入交换机的默认IP地址（通常为192.168.0.1或192.168.1.1）进入交换机的管理界面。

输入管理账号和密码进行登录。

3. 导航到静态ARP页面：在交换机的管理界面中，导航到"IP Configuration"或"Network Configuration"等相关菜单，然后点击“Static ARP”或“Static ARP Table”选项。

4. 添加静态ARP表项：在静态ARP页面中，点击“Add”或“New”按钮，可以添加一个新的静态ARP表项。

在弹出的表单中，输入目标IP 地址和相应的MAC地址，并点击“Apply”或“Save”按钮保存更改。

5. 删除静态ARP表项：如果需要删除一个静态ARP表项，可以在静态ARP页面中选择该条目，并点击“Delete”或“Remove”按钮进行删除操作。

请注意，删除静态ARP表项后，相关的IP与MAC地址绑定将被取消。

在插件管理中选择MAC地址过滤模块，点击配置按钮进入<MAC地址过滤配置>。

在过滤列表中点击鼠标右键，选择<导入地址>菜单，该模块将自动从主程序中将对应的MAC-IP地址导入，用户只要选择左边的绑定选择框对他们进行绑定即可。

如果您想禁止不在列表中的MAC上网，请选择缺省MAC地址过滤策略为"拦截"
注意：请不要对路由器等MAC-IP地址转换设备进行绑定
Active Wall 网关过滤软件是以IP地址为依据鉴别局域网用户，因此Active Wall能支持跨网段管理。

在管理单一网段的情况下，为防止用户随意更改IP地址，建议启用MAC-IP绑定功能。

在管理多个网段的情况下，由于MAC地址无法和IP地址一一对应，请不要绑定MAC-IP地址。

另外：如果您的网络采用了DHCP服务器自动分配IP地址，请在DHCP服务器中为每个MAC地址指定固定的IP地址，再启用MAC-IP绑定。

H3C交换机IP+ mac+端口绑定系统视图下：user-bind mac-addr mac-address ip-addr ip-address interface interface-list以太网端口视图下：user-bind mac-addr mac-address ip-addr ip-address如何通过交换机查询MAC、IP及端口dis arp端口+MAC1)AM命令使用特殊的AM User-bind命令，来完成MAC地址与端口之间的绑定。

例如：[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。

但是PC1使用该MAC地址可以在其他端口上网。

2)mac-address命令使用mac-address static命令，来完成MAC地址与端口之间的绑定。

例如：[SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1[SwitchA]mac-address max-mac-count 0说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac学习数为0，使其他PC接入此端口后其mac地址无法被学习。

H3C交换机IP＋MAC地址＋端口绑定配置组网需求：交换机对PC1进行IP＋MAC＋端口绑定，使交换机的端口E1/0/1下，只允许PC1上网，而PC1在其他端口上还可以上网。

配置步骤：1．进入系统模式<H3C>system-view2．配置IP、MAC及端口的绑定[H3C]am user-bind mac-addr 000f-e201-1112 ip-addr 1.1.1.1 interface e1/0/1配置关键点：1．同一IP地址或MAC地址，不能被绑定两次；2．经过以上配置后，可以完成将PC1的IP地址、MAC地址与端口E1/0/1之间的绑定功能。

华为交换机怎么绑定绑定i p地址和m a c地址交换机除了能够连接同种类型的网络之外，还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。

华为交换机怎么绑定绑定i p地址/M A C地址?主要是预防I P地址被盗用等网络安全威胁的问题，该怎么设置绑定呢?下面我们就来看看详细的设置教程，需要的朋友可以参考下具体步骤1、打开模拟器，创建一台交换机和两台P C、开机，配置好I P地址，一台P C备用。

2、交换机配置V l a n，把端口模式改为A c c e s s模式，把端口加入到V l a n100里，测试P C到交换机网通信是否正常。

当前没有路由器网管配置或不配置没有关系。

能p i n g通交换机。

3、接下来做绑定配置，在G i g a b i t E t h e r n e t0/0/1端口上绑定当前P C的I P和M A C地址，V l a n。

命令格式：在配置模式下，[H u a w e i] u s e r-b i n d s t a t i c i p a d d r e s s x.x.x.x m a c a d d r e s s x x x x-x x x x-x x x x i n t e r f a c eG i g a b i t E t h e r n e t0/0/1v l a n I D。

4、下一步绑定完了之后，我们再连接另一台备用的P C到交换机 i n t e r f a c e G i g a b i t E t h e r n e t0/0/1端口上。

5、换了另一台P C会不会p i n g通交换机。

很显然已经p i n g不同。

怎么样?是不是很简单呢?相关阅读：交换机工作原理过程交换机工作于O S I参考模型的第二层，即数据链路层。

交换机内部的C P U会在每个端口成功连接时，通过将M A C地址和端口对应，形成一张M A C表。

在今后的通讯中，发往该M A C地址的数据包将仅送往其对应的端口，而不是所有的端口。

在 NETGEAR 7000 系列交换机的端口上绑定 MAC 和 IP 地址1．基于端口的MAC地址绑定NETGEAR FSM7352S交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：(FSM7352S) #configure//进入配置模式(FSM7352S) (Config)#port-security//打开端口安全模式(FSM7352S) (Config)#interface 1/0/45//进入具体端口配置模式(FSM7352S) (Interface 1/0/45)#port-security//配置端口安全模式(FSM7352S) (Interface 1/0/45)#port-security mac-address 00:E0:4C:00:0C:2B 1//配置该端口要绑定的主机的MAC地址和所属VLAN(FSM7352S) (Interface 1/0/45)#port-security max-dynamic 0//配置该端口动态学习MAC地址数量为0，即不再学习动态MAC地址(FSM7352S) (Interface 1/0/45)#port-security max-static 1//配置该端口静态MAC地址数量为1，即不能再添加静态MAC地址以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以通过这个端口使用网络，并且该主机只能通过这个端口使用网络。

如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

注意：以上功能适用于FSM7328S，FSM7352S，FSM7352PS，GSM7324，GSM7312，GSM7212，GSM7224，GSM7248，FSM7326P系列交换机4.0以上软件版本。

2.基于MAC地址的扩展访问列表(FSM7352S) (Config)#mac access-list extended testmac01//定义一个MAC地址访问控制列表并且命名该列表名为testmac01(FSM7352S) (Config-mac-access-list)#permit 00:E0:4C:00:0C:2B any//定义MAC地址为00:E0:4C:00:0C:2B的主机可以访问任意主机(FSM7352S) (Config-mac-access-list)#permit any 00:E0:4C:00:0C:2B//定义所有主机可以访问MAC地址为00:E0:4C:00:0C:2B的主机(FSM7352S) (Config)#interface 1/0/45//进入具体端口的配置模式(FSM7352S) (Interface 1/0/45)#mac access-group testmac01 in//在该端口上应用名为testmac01的访问列表（即前面我们定义的访问策略）此功能与1大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

思科3560交换机，进入全局模式，怎样把ip和mac绑定。

2011-12-20 14:40 plexwxw|分类：网站使用|浏览2485次单位接外来光纤的核心交换机是思科3560，单位100多台电脑，全部在一个工作组内，全部手工分配ip地址，现希望将职工计算机的ip和mac地址绑定。

我的操作如下：1、电脑com口连接交换机，用附件里的超级终端。

2、先输入：enable，进入特权模式，3、输入：config t 进入全局模式。

4、arp ip地址（如：10.88.177.2）mac地址(如：d027.8847.63e7) arpa我的疑问：1、为什么我试验的这台电脑(10.88.177.2)改成其它ip地址后仍然能上网。

2、100多台电脑，我是用软件“lanExplorer”在一台电脑上来查看所有电脑的ip 和mac地址的，可是小部分电脑没查到ip和mac，在交换机上怎样获取电脑的ip和mac地址？3、这么多台电脑，听说可以把ip和mac地址对应起来，放到记事本中，改成bat文件。

具体怎么操作。

4、本人对交换机很菜，交换机上输入完命令后是否需要保存，甚至超级终端的退出操作都不知道，请告诉具体点。

分享到：2011-12-20 14:54 提问者采纳一、基于端口的MAC地址绑定Switch＃c onfig terminal进入配置模式Switch（config）# Interface fastethernet 0/1＃进入具体端口配置模式Switch（config-if）#Switchport port-secruity＃配置端口安全模式Switch（config-if ）switchport port-security mac-address MAC（主机的MAC地址）＃配置该端口要绑定的主机的MAC地址Switch（config-if ）no switchport port-security mac-address MAC（主机的MAC地址）＃删除绑定主机的MAC地址二、基于MAC地址的扩展访问列表Switch（config）Mac access-list extended MAC＃定义一个MAC地址访问控制列表并且命名该列表名为MACSwitch（config）permit host 0009.6bc4.d4bf any＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch（config）permit any host 0009.6bc4.d4bf＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch（config-if ）interface Fa0/20#进入配置具体端口的模式Switch（config-if ）mac access-group MAC in＃在该端口上应用名为MAC的访问列表（即前面我们定义的访问策略）Switch（config）no mac access-list extended MAC＃清除名为MAC的访问列表三、IP地址的MAC地址绑定只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。

H3C交换机端口绑定IP+MAC的思路及配置客户的一个新项目，最近需要在H3C的交换机上做端口+IP+MAC绑定，最终目的是为了实现上网控制，大家都知道这是一件很繁琐的工作，前期要收集好MAC+IP+端口还有使用人的信息，客户终端有500台左右，所以前期收集资料的工作量蛮大，本来告诉客户在上网行为管理设备上做用户名密码认证+ARP绑定的方式，但客户说之前在核心交换机上做过ARP绑定，但有些人把本地的IP和MAC修改为与能上网的电脑IP和MAC一模一样，这样两台机器相当于同一台机器一样，都能同时在线上网了，也不会报IP地址冲突，只是上网速度会有一定的影响（会有丢包），若其中一台电脑不在线，另一台修改过得电脑上网完全没有影响。

结合上网行为管理设备做用户名和密码认证，用户又说怕能上网的那些人把自己的用户名和密码告诉别人，没办法彻底控制！晕现在基本上只能按照他们的要求去在接入层交换机上做端口+IP+MAC绑定了，接入层交换机有两种型号：S5120-52C-EI和S3100V2-16TP-EI，看了一下两种交换机都支持这种端口+IP+MAC的绑定方式，那就根据客户的需求来干吧~ 以下是总体思路和方法:首先，收集各终端的IP+MAC+端口信息以及使用人信息（估计3个工作日的时间），并做好记录；然后，在各台接入层交换机上根据前面收集到的信息就行配置（2个工作日左右），下面我们看一下配置：（1）1个端口下只有一台电脑的绑定方法如IP地址为10.100.10.2 ，MAC地址为00-1A-4D-1E-39-2D 的电脑接在交换机的G1/0/2端口，那么可以进行如下配置：interface GigabitEthernet 1/0/2 首先进入2号端口user-bind ip-addr 10.100.10.2 mac-addr 001A-4D1E-392D 绑定IP和MAC（2）1个端口下接了一个小交换机的绑定方式如：1号端口下接了一个8口的小交换机，交换机接有3台电脑，3台电脑的IP和MAC如下1电脑的IP：10.100.11.2 MAC：00-1A-4D-1E-39-812电脑的IP：10.100.11.3 MAC：00-1A-4D-1E-39-8E3电脑的IP：10.100.11.4 MAC：00-1A-4D-1E-39-8F那么这三台电脑都需要进行捆绑，可以进行如下配置：interface GigabitEthernet 1/0/1 首先进入1端口user-bind mac-addr 001a-4d1e-3981 ip-addr 10.100.11.2user-bind mac-addr 001a-4d1e-398e ip-addr 10.100.11.3user-bind mac-addr 001a-4d1e-398f ip-addr 10.100.11.4（3）若端口下没有接任何设备，那么当新接入一台终端后，就没有IP+MAC地址的限制了，就有可能会正常上网，因此还需要在这些空闲端口上关掉MAC地址自动学习的功能，命令如下：interface GigabitEthernet 1/0/20 首先进入空闲的20号端口mac-address mac-learning disable 关掉此端口的MAC地址学习功能最后，抽几台电脑进行测试，更改IP或MAC或端口，看看是否满足客户需求，但这里有一点要说明的是对于上面第二种情况，若端口接了一个小交换机或HUB，其中一台不能上网的电脑把IP和MAC修改为同接在一台小交换机上的可以上网的电脑的IP和MAC，也是可以上网的，现象就是同时在线会网速慢丢包，不同时在线是没有影响的。

AC设备跨三层绑定IP/MAC的具体设置绑定IP/MAC的作用：1.认证2.防止在设备上设置了不允许用户上网，但是用户自己改动本机的ip或mac地址以后就可以上网的情况绑定ip/mac的情况有两种：情况一访问控制用户新建用户步骤一：在新建用户的时候点击“访问控制用户”并“新增（用户）”如图：步骤二：填写“用户名”“描述”（自定义)，选择“同时绑定ip/mac”然后选择下面的“扫描MAC地址”在地址栏里面填写要绑定的ip地址并再次点击“扫描MAC地址”如图：步骤三：如下图：绑定的ip/mac会在地址栏里面显示，然后点击下面的“确定”保存，这样就给一个新建的用户绑定了ip/mac：情况二：新用户认证在新用户认证里面也可以绑定ip/mac点击“认证选项设置”并勾选“新用户认证”和“认证成功的新用户，自动添加到用户列表中的xxx组”并选择“同时绑定ip/mac”选择“确定”保存如图：这样设置了以后第一次认证的用户会自动添加到该组并绑定ip/mac注意：即跨三层环境时，开启自动认证新用户，一定不要选绑定IP/MAC，否则自动绑定的都是三层交换机的MAC了。

客户机和AC设备之间跨三层设备的情况下对用户绑定IP/MAC的时候需要在相应的组里面启用准入具体设置如下：步骤一：首先新建一个准入规则点击“新建”如图：步骤二：规则类别选择“其他”如图：步骤三：填写“规则类型”、“规则名称”、“规则描述”（自定义）并在“配置”栏里将“在客户端验证IP/MAC(仅对同时绑定IP和MAC的访问控制用户生效)”选中，“为防止病毒，禁止以Admin身份登录的勾是要去掉的（或者建议去掉）”“确定”保存，如图：步骤四：在“准入策略”里面选择“启用”并“提交”如图：步骤五：选择相应的组启用准入比如选中“test”组并“编辑”如图：步骤六：选择在“准入规则”里面手动添加的规则（类型）给“启用”然后“确定”保存如图：说明：当在ac设备上启用了准入规则以后，在上网的时候会自动安装一个准入客户端的；手动安装，如：AC的LAN口或网桥IP是192.168.0.100，则下载地址是：http://192.168.0.100/singress.exe，另外，直接访问http://192.168.0.100这个在线列表页面，里面也有一个准入规则的下载链接了，不用记后面加个singress.exe的下载链接。

TP-Link路由器如何设置IP与MAC地址绑定TP-Link路由器如何设置IP与MAC地址绑定TP-Link路由器IP与MAC地址绑定的设置方法一、老款TP-Link路由器IP与MAC绑定设置1、打开TP-Link路由器设置页面在浏览器中输入192.168.1.1 在用户名、密码中输入：admin 点击确定。

旧TP-Link路由器登录界面2、IP与MAC绑定设置点击DHCP服务器静态地址分配添加新条目在MAC地址填写：电脑或者手机的MAC地址(本例中是：00-13-8F-A9-6C-CB) IP地址填写：需要绑定的一个IP地址(本例中是：192.168.1.101) 然后点击保存旧TP-Link路由器IP与MAC地址绑定设置二、新款TP-Link路由器IP与MAC地址绑定设置1、进入设置页面打开浏览器，输入 ，输入密码进入路由器管理页面。

新TP-Link路由器登录界面2、IP与MAC地址绑定设置点击应用管理点击应用管理找到IP与MAC绑定的选项，点击进入点击进入在列表中查看未绑定条目，找到需要绑定的主机，点击添加到绑定设置中，如下：新TP-Link路由器IP与MAC地址绑定设置!TP-link路由器如何设置上网控制管控网络权限TP-link路由器如何设置上网控制管控网络权限TP-link路由器设置上网控制管控网络权限第一步、设置日程计划例如某小型企业需要实现经理电脑不受限制，所有员工在上班时间只能访问特定网站和应用，其他时间上网均不限制。

根据需求，制定以下配置表。

注意。

上数参数仅供参考，在设置规则时，根据实际需求定义。

登录路由器管理界面，点击上网控制日程计划增加单个条目，添加工作时间，如下图所示。

按照同样的设置方式，依次添加其它时间段的规则，总规则如下。

TP-link路由器设置上网控制管控网络权限第二步、设置访问目标1、填写目标网站域名点击上网控制访问目标增加单个条目，添加公司网站域名(以www.TP-link路由器 为例)，如下图所示。