ip_mac地址绑定的问题

MAC地址绑定与IP绑定区别讲解在网络通信中，MAC地址绑定和IP地址绑定是两种常见的安全措施。

它们都是限制特定设备的访问权限，提高网络的安全性。

然而，它们之间存在一些区别。

本文将详细讲解MAC地址绑定与IP地址绑定的区别，并探讨它们各自的优劣势。

一、MAC地址绑定MAC地址（Media Access Control Address）是设备的物理地址，通常由设备的网卡厂商预先分配。

每个网络设备都拥有唯一的MAC地址，用于在局域网中进行数据通信。

MAC地址绑定是一种通过识别MAC地址来控制访问的方式。

1.1 原理MAC地址绑定基于一个简单的原理，即只有经过认证的MAC地址才能够通过网络设备进行通信。

网络管理员将特定设备的MAC地址与网络访问策略进行绑定，该设备在网络上的通信可以顺利进行。

非授权的设备将被阻止访问网络。

1.2 优势MAC地址绑定具有以下优势：（1）安全性高：由于MAC地址是设备的物理地址，无法被更改，因此MAC地址绑定提供了较高的安全性。

（2）易于配置：网络管理员可以通过简单的配置过程将MAC地址与网络绑定，不需要额外的设备或软件支持。

（3）不受IP地址变化的影响：即使IP地址发生变化，通过MAC地址绑定的设备仍然可以顺利访问网络。

1.3 缺点MAC地址绑定存在一些缺点：（1）繁琐的管理：对于大型网络而言，管理维护所有设备的MAC地址绑定是一项繁重的任务。

（2）无法在不同网络间漫游：由于MAC地址是局限在本地网络中，当设备从一个网络漫游到另一个网络时，需要重新进行MAC地址绑定。

二、IP地址绑定IP地址（Internet Protocol Address）是设备在网络上的标识，用于在广域网中进行数据通信。

IP地址绑定是一种通过识别IP地址来控制访问的方式。

2.1 原理IP地址绑定的原理是限制只有特定的IP地址才能够访问网络。

网络管理员将指定的IP地址与网络访问策略进行绑定，只有使用这些IP地址的设备可以顺利进行通信，其他设备将被拒绝访问。

1. 如何进行IP和MAC地址绑定，以防范ARP欺骗？用路由器做地址转换，上网频繁掉线，此时将PC机的网卡禁用一下或将PC机重启一下又可以上网了，并且不能上网时ping PC机的网关不通。

这种情况一般来说,都是中了ARP欺骗病毒，可以通过以下方法进行防范。

方法一：在路由器上静态绑定PC机的IP地址和MAC地址，在PC机上绑定路由器内网口的IP地址和MAC地址。

步骤如下：1) 在路由器上绑定PC机的IP地址和MAC地址，格式如下：[H3C]arp static 192.168.1.2 00e1-7778-9876注意：需要对该网段内的每一个IP都绑定MAC，没有使用的IP地址也需要绑定，可以任意指定其绑定的MAC地址，推荐使用0000-0000-0123等特殊MAC。

2) 在PC机上绑定路由器内网口的IP地址和MAC地址，命令格式如下：arp –s 192.168.1.1 00-0f-e2-21-a0-01方法二：让路由器定时发送免费ARP报文，刷新PC机的ARP表项进入路由器相应的内网接口，配置如下命令：[H3C-Ethernet1/0]arp send-gratuitous-arp 1方法三：ARP固化可以在全局视图和接口视图下配置ARP固化功能，使动态ARP转化为固定ARP，有效防范ARP 攻击。

固化ARP有三种方式：1) 全局视图下配置动态ARP固化[H3C] arp fixup2) 接口视图下配置动态ARP固化[H3C] interface ethernet 1/0/0[H3C-Ethernet1/0/0] arp fixup3) 配置指定固化ARP表项的功能[H3C] arp fixed 10.1.0.1 00-11-22【提示】1) PC机重启后，静态配置的arp表项会丢失，需要重新配置，可以在PC机上制作一个.bat 的批处理文件，放到启动项中。

2) arp send-gratuitous-arp 并非所有产品均支持，请查询网站上的配置手册和命令手册，确认您所使用的产品是否支持该功能。

H3C交换机IP+ mac+端口绑定系统视图下：user-bind mac-addr mac-address ip-addr ip-address interface interface-list以太网端口视图下：user-bind mac-addr mac-address ip-addr ip-address如何通过交换机查询MAC、IP及端口dis arp端口+MAC1)AM命令使用特殊的AM User-bind命令，来完成MAC地址与端口之间的绑定。

例如：[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。

但是PC1使用该MAC地址可以在其他端口上网。

2)mac-address命令使用mac-address static命令，来完成MAC地址与端口之间的绑定。

例如：[SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1[SwitchA]mac-address max-mac-count 0说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac学习数为0，使其他PC接入此端口后其mac地址无法被学习。

H3C交换机IP＋MAC地址＋端口绑定配置组网需求：交换机对PC1进行IP＋MAC＋端口绑定，使交换机的端口E1/0/1下，只允许PC1上网，而PC1在其他端口上还可以上网。

配置步骤：1．进入系统模式<H3C>system-view2．配置IP、MAC及端口的绑定[H3C]am user-bind mac-addr 000f-e201-1112 ip-addr 1.1.1.1 interface e1/0/1配置关键点：1．同一IP地址或MAC地址，不能被绑定两次；2．经过以上配置后，可以完成将PC1的IP地址、MAC地址与端口E1/0/1之间的绑定功能。

cisco交换机ip和mac地址绑定虽然在TCP/IP网络中，计算机往往需要设置IP地址后才能通讯，然而，实际上计算机之间的通讯并不是通过IP地址，而是借助于网卡的MAC地址。

IP地址只是被用于查询欲通讯的目的计算机的MAC地址。

ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。

在计算机的 ARJ 缓存中包含一个或多个表，用于存储IP地址及其经过解析的以太网MAC地址。

一台计算机与另一台IP地址的计算机通讯后，在ARP缓存中会保留相应的MAC地址。

所以，下次和同一个IP地址的计算机通讯，将不再查询MAC地址，而是直接引用缓存中的MAC地址。

在交换式网络中，交换机也维护一张MAC地址表，并根据MAC地址，将数据发送至目的计算机。

为什么要绑定MAC与IP 地址：IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM 中，而且网卡的MAC地址是唯一确定的。

因此，为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

目前，很多单位的内部网络，都采用了MAC地址与IP地址的绑定技术。

下面我们就针对Cisco 的交换机介绍一下IP和MAC绑定的设置方案。

在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。

1.方案1——基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch#config terminal＃进入配置模式Switch(config)# Interface fastethernet 0/1＃进入具体端口配置模式Switch(config-if)#Switchport port-secruity＃配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)＃配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)＃删除绑定主机的MAC地址注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

华为交换机怎么绑定绑定ip地址/MAC地址交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

有时为了预防IP地址被盗用等网络安全威胁的问题，需要设置绑定呢，具体怎么设置呢?下面我们就来看看详细的设置教程，需要的朋友可以参考下方法步骤1、打开模拟器，创建一台交换机和两台PC、开机，配置好IP地址，一台PC备用。

2、交换机配置Vlan，把端口模式改为Access模式，把端口加入到Vlan100里，测试PC到交换机网通信是否正常。

当前没有路由器网管配置或不配置没有关系。

能ping通交换机。

3、接下来做绑定配置，在GigabitEthernet0/0/1端口上绑定当前PC的IP和MAC地址，Vlan。

命令格式：在配置模式下，[Huawei]user-bindstaticipaddressx.x.x.xmacaddressxxxx-xxxx-xxxxinterfaceGigabitEthernet0/0/1vlanID。

4、下一步绑定完了之后，我们再连接另一台备用的PC到交换机interfaceGigabitEthernet0/0/1端口上。

5、换了另一台PC会不会ping通交换机。

很显然已经ping 不同。

怎么样?是不是很简单呢?补充：交换机基本使用方法作为基本核心交换机使用，连接多个有线设备使用：网络结构如下图，基本连接参考上面的【方法/步骤1：基本连接方式】作为网络隔离使用：对于一些功能好的交换机，可以通过模式选择开关选择网络隔离模式，实现网络隔离的作用，可以只允许普通端口和UPlink端口通讯，普通端口之间是相互隔离不可以通讯的除了作为核心交换机(中心交换机)使用，还可以作为扩展交换机(接入交换机)来扩展网络放在路由器上方，扩展网络供应商的网络线路(用于一条线路多个IP的网络)，连接之后不同的路由器用不同的IP连接至公网相关阅读：交换机硬件故障常见问题电源故障：由于外部供电不稳定，或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止，从而不能正常工作。

说明：二层IP/MAC绑定可以防止IP被人盗用，从而不会出现没有上网权限的人盗用有上网权限的IP，进行冒充他人身份上网的情况。

1、首先扫描网络中的IP和MAC地址，并导入到用户列表中。

用户管理—用户导入—IP：
勾选“开机设备”，点击扫描。

这样会出现IP地址和MAC地址：
再手工输入用户名，点击导入，就可以导入到设备的组织管理下。

注意：（1）如果网络中的电脑没有开机，将不会被扫描到。

漏掉的少量电脑可以直接到组织管理进行手工建立用户；（2）导入完毕后，请到用户管理—组织管理中将“IP临时用户”组下面的用户全部删除。

2、进行二层IP/MAC绑定
用户管理—组织管理：
点击ROOT，右边出现我们建立的用户列表
将所有用户选中，点击操作下面的“二层IP/MAC绑定”
3、对已经建立的用户组织进行应用控制策略设定
根据常规的应用控制策略方式来进行设定即可。

比如阻塞这部分用户上QQ等。

注意设备隐含的一条最低优先级的规则是：允许任何用户上任何应用/网页。

所以一般我们所作的策略，是要阻塞XX用户使用XX应用/网页。

4、对未分配的IP，禁止使用任何应用
在我们手工建立用户列表并绑定后，属于已绑定范围内的IP别人无法盗用，但是未绑定的IP可能还会被人盗用。

有的用户可能自己会乱改IP，所以要设定一条应用控制策略，禁止未分配IP上任何用户。

未分配IP会出现在系统内置的“IP临时用户”中，所有做一条策略阻塞“IP临时用户”上网：。

交换机IP和MAC绑定设置方案目前，很多单位的内部网络，都采用了MAC地址与IP地址的绑定技术。

下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。

在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。

1.方案1--基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch#config terminal#进入配置模式Switch（config）# Interface fastethernet 0/1#进入具体端口配置模式Switch（config-if）#Switchport port-secruity#配置端口安全模式Switch（config-if ）switchport port-security mac-address MAC（主机的MAC地址）#配置该端口要绑定的主机的MAC地址Switch（config-if ）no switchport port-security mac-address MAC（主机的MAC地址）#删除绑定主机的MAC地址注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

注意：以上功能适用于思科2950、3550、4500、6500系列交换机2.方案2--基于MAC地址的扩展访问列表Switch（config）Mac access-list extended MAC10#定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch（config）permit host 0009.6bc4.d4bf any#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch（config）permit any host 0009.6bc4.d4bf#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch（config-if ）interface Fa0/20#进入配置具体端口的模式Switch（config-if ）mac access-group MAC10 in#在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）Switch（config）no mac access-list extended MAC10#清除名为MAC10的访问列表此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

谈谈IP、MAC与交换机端口绑定的方法Jack Zhai 信息安全管理者都希望在发生安全事件时，不仅可以定位到计算机，而且定位到使用者的实际位置，利用MAC与IP的绑定是常用的方式，IP地址是计算机的“姓名”，网络连接时都使用这个名字；MAC地址则是计算机网卡的“身份证号”，不会有相同的，因为在厂家生产时就确定了它的编号。

IP地址的修改是方便的，也有很多工具软件，可以方便地修改MAC地址，“身份冒充”相对容易，网络就不安全了。

遵从“花瓶模型”信任体系的思路，对用户进行身份鉴别，大多数人采用基于802.1x协议的身份认证技术(还可以基于应用的身份认证、也可以是基于Cisco 的EOU技术的身份认证)，目的就是实现用户账号、IP、MAC的绑定，从计算机的确认到人的确认。

身份认证模式是通过计算机内安全客户端软件，完成登录网络的身份鉴别过程，MAC地址也是通过客户端软件送给认证服务器的，具体的过程这里就不多说了。

一、问题的提出与要求有了802.1x的身份认证，解决的MAC绑定的问题，但还是不能定位用户计算机的物理位置，因为计算机接入在哪台交换机的第几个端口上，还是不知道，用户计算机改变了物理位置，管理者只能通过其他网管系统逐层排查。

那么，能否可以把交换机端口与IP、MAC一起绑定呢？这样计算机的物理位置就确定了。

首先这是有关安全标准的要求：1)重要安全网络中，要求终端安全要实现MAC\IP\交换机端口的绑定2)有关专用网络中，要求未使用的交换机端口要处于关闭状态(未授权前不打开)其次，实现交换机端口绑定的目标是：∙∙防止外来的、未授权的计算机接入网络(访问网络资源)∙∙当有计算机接入网络时，安全监控系统能够立即发现该计算机的MAC与IP，以及接入的交换机端口信息，并做出身份验证，属于未授权的能够报警或终止计算机的继续接入，或者禁止它访问到网络的任何资源∙∙当有安全事件时，可以根据用户绑定的信息，定位到机器(MAC与IP)、定位到物理位置(交换机端口)、定位到人(用户账号、姓名、电话…)二、实现交换机端口信息绑定的策略根据接入交换机的安全策略，可以把端口信息绑定分为两种方式：静态方式与动态方式1、静态方式：固定计算机的位置，只能在预先配置好的交换机端口接入，未配置(授权申请)的不能接入网络。

本文的书写是基于一个测试环境。

由于测试环境限制，并不能真正的体现实际情况的复杂程度。

为了更接近实际情况，我手动设置尽量复杂。

希望更多的朋友用此方法进行测试和应用，最后得出真正的解决方法。

很多朋友都遇到这样的问题，自己很辛苦的破解了对方的WEP 甚至WPA密码，但是对方的AP设置了SSIDSSID隐藏，MAC过滤，关闭了DHCP，甚至MAC绑定IP。

让你蹭网的梦想变成打击。

今天我将和大家一起学习和交流有关这几个问题的解决方案。

前提条件，你已经破解了对方的WEP 或WPA密码，网络上必须有合法客户端，并且客户端在进行通信。

我破解的AP的MAC是00:14:6c:3e:f0:ac 客户端MAC是00:16:b6:9d:10:ad一. MAC地址绑定：首先MAC地址绑定，如果对方是无客户端的，那你根本破解不了。

因为无客户端的破解一定要注入攻击，要注入攻击就必须建立虚拟连接。

你如果不知道对方的合法客户端的MAC地址，你是不能建立虚拟连接的，不能建立虚拟连接就不能注入。

所以MAC 地址绑定的WEP 破解是需要有客户端的，在监听的时候能获得合法客户端的MAC，然后把自己的MAC修改为对方的MAC就能实现正常连接。

二. DHCP关闭，MAC绑定IP，子网掩码DHCP 关闭的AP，你在连接的时候提示受限，不能正常获得有效的IP。

网上已经有朋友出了用科莱网络分析系统软件来抓包的解决方法，这个方法经过我的测试是可以的。

我把方法和各位分享。

首先你正常连接AP，会出现对话框让你输入密码，你输入正确的密码，最后出现受限，这时候你手动随便设定一个IP 地址，我手动设定一个比较复杂的IP地址。

27.122.1.100，子网掩码设为255.0.0.0，网关和DNS空着，如下图所示再连接你已破解的WEP。

这时候下面的无线网络连接会显示正常连接。

下载科莱网络分享系统/download/capsatech.exe并正确安装和激活。

打开科莱分析软件系统，如下图所示首先设定网络设配器为你的无线网卡的适配器，然后确定。

关于公司局域网ip地址绑定的通知由于IP地址使用混乱，IP地址冲突频发，给办公造成很大影响，为进一步保障办公网络的稳定与安全，规范接入管理，改善IP盗用现象，杜绝非法用户，结合现有设备情况，将对现有计算机IP地址与网卡硬件地址（MAC）进行绑定，联网必须使用指定IP地址，不得私自更改，否则将无法接入公司网，无法访问Internet，具体要求如下：1、请各部门按《公司IP分配表》中的IP分段安排好部门内员工的IP，并将本人姓名、计算机名、MAC地址填写汇总到《MAC地址与IP地址绑定变更表》统一交网管处（获取和报送方法附后）；今后如有更改MAC地址（如：更换网卡或更换机器），请及时登记更改；由电脑使用人上报。

2、网管将按部门分批进行IP与MAC地址的绑定，IP绑定后随意更改和添加IP 地址的用户将无法正常上网，此次未上报的MAC地址将被禁止上网；3、IP地址只与计算机本身进行绑定，与线路无关。

新购置计算机应及时申请IP；因故不再使用公司网络的，应及时告知网管中心收回并注销IP。

4、DNS变默认首选：202.96.128.86 ，备用：202.96.128.166，请及时更改，以免影响上网。

5、电脑需要重装系统以前，请先查阅自己的ip地址并且记录下来，以便装完系统后重新配置该台电脑的网卡的正确参数。

6、计算机名请尽量使用全中文（格式：部门+使用人）在绑定过程中，因对MAC地址的绑定和之前系统自动分配的地址会有可能冲突，如果出现提示IP冲突或者不能上网的，请与网管联系。

获取本机MAC地址的方法：方法一:右击桌面的【网上邻居】-选择【属性】，双击【本地连接】，单击【支持】-【详细信息】，在窗口中的【实际地址】后的数据XX-XX-XX- XX-XX-XX就是本机的MAC地址方法二：开始—>运行->cmd然后单击“确定”按钮，在弹出的窗口中输入“ipconfig/all”。

得到如下图所示：查询出来的MAC地址为12位数字或字母组合，如“00-16-96-12-01-A8”计算机名的查询及更改方法（可不更改，按原名报送）：右击桌面上的[我的电脑]—[属性]—[计算机名]—[更改]，如果是个人使用的计算机请在计算机名中输入部门名称+用户名（用户名可用中文或拼音字母，推荐使用中文），如网管覃志伟，最后按[确定]，重启计算机以使它生效。

查看文章关于服务器端口绑定错误，mac地址绑定的问题2007年06月12日星期二16:55昨天从电信网换接学校的教育网，却连不上，锐捷认证提示说服务器端口绑定错误！其他的认证软件也都这么提示。

回头一想，我的帐号给同学小杰登录过，IP绑定在他的MAC地址上了。

解决步骤：1，查看小杰的mac地址开始-运行-CMD-ipconfig /all 里面有ip等各种信息Physical Address. . . . . . . . .后面就是: 00-50-8D-7E-BF-322，解除他的绑定，其实后来证明了这一步是没有说明用的，因为IP-MAC绑定是学校搞的，自己解除了没有用．不过就当作知识学学吧。

进入“MS-DOS方式”或“命令提示符”，开始-运行-CMD在命令提示符下输入命令：ARP -d 218.197.193.110 00-50-8D-7E-BF-32，即可把MAC地址和IP地址解除捆绑。

但是我还是连不上3，修改我的mac地址，改成和他一样的，有3个方法（1）修改注册表运行Windows的注册表编辑器，展开“HKEY_LOCAL_MACHINE＼System＼Current ControlSet ＼Services＼Class＼Net”，会看到类似“0000”、“0001”、“0002”的子键。

从“0000”子键开始点击，依次查找子键下的“DriverDesc”键的内容，直到找到与我们查找的目标完全相同的网卡注册表信息为止。

当找到正确的网卡后，点击下拉式菜单“编辑/新建/字符串”，串的名称为“Networkaddress”，在新建的“Networkaddress”串名称上双击鼠标就可以输入数值了。

输入你想指定的新的MAC地址值。

新的MAC地址应该是一个12位的十六进制数字或字母，其间没有“-”，类似“000000000000”的这样的数值（注意，在Windows 98和Windows 2000/XP中具体键值的位置稍有不同，大家可通过查找功能来寻找）。

IP-MAC地址绑定的交换机设置network 2008-02-15 14:26:18 阅读16 评论0 字号：大中小订阅IP-MAC地址绑定的交换机设置1.方案1——基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch#config terminal//进入配置模式Switch(config)# Interface fastethernet 0/1//进入具体端口配置模式Switch(config-if)#Switchport port-secruity//配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)//配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)//删除绑定主机的MAC地址注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

注意：以上功能适用于思科2950、3550、4500、6500系列交换机2.方案2——基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC10//定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any//定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf//定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20//进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in//在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）Switch(config)no mac access-list extended MAC10//清除名为MAC10的访问列表此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

USG系列IP/MAC绑定的设置
这篇文档将指导您如何设置USG系列设备的IP/MAC地址绑定功能。

IP/MAC绑定机制
如果员工手动修改了电脑的IP地址，那么在静态和动态DHCP表中都不能找到这条MAC和IP映射的记录，那么我们就认为这台PC非法修改了IP地址，从而禁止这台设备接入ZyWALL。

设置步骤
1、打开web浏览器，输入设备管理IP: https://192.168.1.1，登录设备web配置界面,依次进入网络＞接口＞以太网，点击编辑lan1接口，关闭DHCP，具体设置如下：
2、依次进入网络＞IP/MAC 绑定，编辑lan1接口，进行绑定的设置
3、勾选启用IP/MAC 绑定，并点击添加按钮，添加一条静态DHCP 绑定，具体设置如下：
4、设置完成后，在首页的系统状态中可以看到设备IP/MAC绑定的数量，对于不在其表中的IP地址不能接入防火墙。

解决MAC与IP地址绑定被破解的方法1 引言对“IP地址盗用”的解决方案绝大多数都是采取MAC与IP地址绑定策略，这种做法是十分危险的，本文将就这个问题进行探讨。

在这里需要声明的是，本文是处于对对MAC与IP地址绑定策略安全的忧虑，不带有任何黑客性质。

1.1 为什么要绑定MAC与IP 地址影响网络安全的因素很多，IP地址盗用或地址欺骗就是其中一个常见且危害极大的因素。

现实中，许多网络应用是基于IP的，比如流量统计、账号控制等都将IP地址作为标志用户的一个重要的参数。

如果有人盗用了合法地址并伪装成合法用户，网络上传输的数据就可能被破坏、****，甚至盗用，造成无法弥补的损失。

盗用外部网络的IP地址比较困难，因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围，不属于该IP地址范围的报文将无法通过这些互连设备。

但如果盗用的是Ethernet内部合法用户的IP地址，这种网络互连设备显然无能为力了。

“道高一尺，魔高一丈”，对于 Ethernet内部的IP地址被盗用，当然也有相应的解决办法。

绑定MAC地址与IP地址就是防止内部IP盗用的一个常用的、简单的、有效的措施。

1.2 MAC与IP 地址绑定原理IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。

因此，为了防止内部人员进行非法 IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

目前，很多单位的内部网络，尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。

许多防火墙(硬件防火墙和软件防火墙)为了防止网络内部的IP地址被盗用，也都内置了MAC地址与IP地址的绑定功能。

从表面上看来，绑定MAC地址和IP地址可以防止内部IP地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，MAC地址与IP地址的绑定存在很大的缺陷，并不能真正防止内部IP地址被盗用。