教案——二层交换机端口与MAC地址的绑定

二层交换机每个端口有没有MAC地址[转]2012-06-04 16:08:16分类：今天在一个思科学习群里面看到一个朋友问交换机的每个端口有没有MAC地址我都第一反应是没有MAC，交换机的MAC是学来的，有一张MAC表来维护但是有朋友反问，那STP等选举用哪个MAC来选举呢？好吧，无言以对了，开始google搜了一篇文章以后明白了，二层交换机有一个基本MAC，该MAC可以show version看到Switch#show versionCisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)FX, RELEASE SOFTWARE (fc1)Copyright (c) 1986-2005 by Cisco Systems, Inc.Compiled Wed 12-Oct-05 22:05 by pt_teamROM: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(25r)FX, RELEASE SOFTWARE (fc4)System returned to ROM by power-onCisco WS-C2960-24TT (RC32300) processor (revision C0) with 21039K bytes of memory.24 FastEthernet/IEEE 802.3 interface(s)2 Gigabit Ethernet/IEEE 802.3 interface(s)64K bytes of flash-simulated non-volatile configuration memory.Base ethernet MAC Address : 00E0.B0E7.349CMotherboard assembly number : 73-9832-06Power supply part number : 341-0097-02Motherboard serial number : FOC103248MJPower supply serial number : DCA102133JAModel revision number : B0Motherboard revision number : C0Model number : WS-C2960-24TTSystem serial number : FOC1033Z1EYTop Assembly Part Number : 800-26671-02Top Assembly Revision Number : B0Version ID : V02CLEI Code Number : COM3K00BRAHardware Board Revision Number : 0×01Switch Ports Model SW Version SW Image———–—–———- ———-* 1 26 WS-C2960-24TT 12.2C2960-LANBASE-MConfiguration register is 0xF图中可以看到，有个基本MAC，这个MAC用于STP选举，而且这个MAC一般会在交换机的标签上说明，可以找找看有木有这个MAC地址至于每个端口的MAC，可以用show int来查看创建VLAN路由以后，VLAN的虚拟接口会创建另一个地址，所有VLAN的虚拟接口都使用这个地址。

说明：二层IP/MAC绑定可以防止IP被人盗用，从而不会出现没有上网权限的人盗用有上网权限的IP，进行冒充他人身份上网的情况。

1、首先扫描网络中的IP和MAC地址，并导入到用户列表中。

用户管理—用户导入—IP：
勾选“开机设备”，点击扫描。

这样会出现IP地址和MAC地址：
再手工输入用户名，点击导入，就可以导入到设备的组织管理下。

注意：（1）如果网络中的电脑没有开机，将不会被扫描到。

漏掉的少量电脑可以直接到组织管理进行手工建立用户；（2）导入完毕后，请到用户管理—组织管理中将“IP临时用户”组下面的用户全部删除。

2、进行二层IP/MAC绑定
用户管理—组织管理：
点击ROOT，右边出现我们建立的用户列表
将所有用户选中，点击操作下面的“二层IP/MAC绑定”
3、对已经建立的用户组织进行应用控制策略设定
根据常规的应用控制策略方式来进行设定即可。

比如阻塞这部分用户上QQ等。

注意设备隐含的一条最低优先级的规则是：允许任何用户上任何应用/网页。

所以一般我们所作的策略，是要阻塞XX用户使用XX应用/网页。

4、对未分配的IP，禁止使用任何应用
在我们手工建立用户列表并绑定后，属于已绑定范围内的IP别人无法盗用，但是未绑定的IP可能还会被人盗用。

有的用户可能自己会乱改IP，所以要设定一条应用控制策略，禁止未分配IP上任何用户。

未分配IP会出现在系统内置的“IP临时用户”中，所有做一条策略阻塞“IP临时用户”上网：。

实验2 MAC地址表与地址端口绑定2.1 实验内容●MAC地址表操作●MAC地址和端口的绑定2.2 MAC地址表操作2.2.1 实验目的●掌握S3026E交换机中MAC地址表的查看方法，了解MAC地址表中各表项的意义；●了解MAC地址的学习和老化过程；●了解MAC地址表的维护和管理方法：如何添加和删除表项；●掌握地址端口绑定的基本方法。

2.2.2 实验环境●●PC2.2.3consoleE0/1com1PC实验组网图2.2.4 实验步骤1. 查看MAC地址表我们可以用如下命令查看和连接在接口E0/1上（E0/1表示交换机的第0个模块的第1个接口，在这个例子中，PC1连在交换机的E0/1接口上）的主机的MAC地址：[H3C]display mac-addressMAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)0003-47b7-c378 1 Learned Ethernet0/1 AGING 表格中MAC ADDR列表示E0/1接口所连接的以太网中的主机的MAC地址，VLAN ID列指出这个端口所在的VLAN， VLAN概念我们将在下一章讨论。

STATE列指出这个MAC地址表项的属性：Learned表示MAC地址为动态学习到的。

Aging Time是该表项的老化时间，表示这个表项还会被保存多长时间（以秒为单位）。

在S3026E交换机中，正是由于MAC地址表的存在，才使得交换机可以根据数据包的MAC地址查出端口号，来实现基于二层的快速转发。

当一台PC被连接到交换机的端口，交换机会从该端口动态学习到PC的MAC地址，并将其添加到MAC地址表中。

在二层交换机S3026E上，交换机是通过ARP机制学习到MAC地址的。

在交换机上我们可以利用debugging信息来观察学习MAC地址的过程：<H3C>debugging arp packet<H3C>terminal debugging% Current terminal debugging is on*0.4338546 H3C ARP/8/arp_send:Send an ARP Packet, operation : 1,sender_eth_addr : 00e0-fc57-461b,sender_ip_addr : 10.110.34.126,target_eth_addr : 0000-0000-0000,target_ip_addr : 10.110.34.125*0.4338797 H3C ARP/8/arp_rcv:Receive an ARP Packet, operation : 2,sender_eth_addr : 0011-433d-54e2,sender_ip_addr : 10.110.34.125,target_eth_addr : 00e0-fc57-461b,target_ip_addr : 10.110.34.126我们可以用“display arp”命令查看ARP表如下：<H3C>display arpIP Address MAC Address VLAN ID Port Name Aging Type10.110.34.125 0011-433d-54e2 1 Ethernet0/2 20 Dynamic对于动态学习到的MAC地址，有一个老化时间Aging Time的概念，来表示这个表项还会被保存多长时间。

交换机上实施IP与MAC的双向绑定(IPSG实例)部门： xxx时间： xxx整理范文，仅供参考，可下载自行编辑在交换机上实施IP与 MAC的双向绑定说明：不能够在二层交换上做基于 IP的双向绑定，但可在三层交换机上完成SW1(config># interface FastEthernet0/1SW1(config-if># switchport mode accessSW1(config-if>#switchport port-securitySW1(config-if># switchport port-security violation restrict //shutdown protect restrict SW1(config-if># switchport port-security mac-address 00b0.6451.c920SW1(config-if># spanning-tree portfastSW1(config-if># ip access-group 11 in //调用ACLSW1(config-if># exitSW1(config># access-list 11 permit 192.168.2.69IPSG 实验配置步骤QQ截图20180514042234.jpg (18.5 KB>2018-5-14 04:22 SW(config># ipdhcp snoopingSW(config># ipdhcp snooping vlan 1,10SW(config># ipdhcp snooping verify mac-addressSW(config># ip source binding 0000.0000.0001 vlan 10 172.16.1.5 interface f0/5SW(config># interface f0/1SW(config-if># switchport mode accessSW(config-if># switchport port-securitySW(config-if># ip verify source vlandhcp-snooping port-securitySW(config># interface f0/5SW(config-if># switchport mode accessSW(config-if># switchport port-securitySW(config-if># ip verify source vlandhcp-snooping port-securitySW(config-if># endb5E2RGbCAPQQ截图20180514042350.jpg (31.34 KB>2018-5-14 04:24一、配置 SW1的防护功能SW1(config># ipdhcp snooping //启用 DHCP Snooping SW1(config># ipdhcp snooping information option //启用82 选项SW1(config># ipdhcp snooping vlan 10,20 //DHCP监听作用的 VLANSW1(config># ipdhcp database flash:dhcp.db //将 DHCP绑定信息保存到dhcp.db中SW1(config># ipdhcp snooping verify mac-addressSW1(config># interface f0/21SW1(config-if># switchport mode accessSW1(config-if># switchport port-securitySW1(config-if># ip verify source port-securitySW1(config># interface f0/23SW1(config-if># switchport mode accessSW1(config-if># switchport port-securitySW1(config-if># ip verify source port-security可选配//SW1(config># ip source binding 0000.0000.0001 vlan 10 172.16.1.1 interface f0/2可选配//SW1(config># ip source binding 0000.0000.0002 vlan 20 172.16.2.1 interface f0/1SW1(config># iparp inspection vlan 10,20 //ARP检测基于VLAN10 VLAN20SW1(config># iparp inspection validate src-mac dst-macip //基于源 MAC 目标 MAC和 IP//DHCP服务器的配置DHCP-SERVER 使用路由器来完成Router(config># ipdhcp pool vlan10 定义地址池Router(config-vlan># network 172.16.1.0255.255.255.0 定义地址池做用的网段及地址范围Router(config-vlan># default-router 172.16.1.254 定义客户端的默认网关Router(config-vlan># dns-server 218.108.248.200 定义客户端的dnsRouter(config-vlan>#exitRouter(config># ipdhcp pool vlan20Router(config-vlan># network 172.16.2.0 255.255.255.0 Router(config-vlan># default-router 172.16.2.254Router(config-vlan># dns-server 218.108.248.200Router(config-vlan># exitRouter(config># ipdhcp excluded-address 172.16.1.100172.16.1.254 //配置保留地址段Router(config># ipdhcp excluded-address 172.16.2.100172.16.2.254Router(config># interface e0/0Router(config-if># ip address 172.16.3.1 255.255.255.0 Router(config-if># no shutdown交换机上的配置SW1(config># interface vlan 10SW1(config-if># ip address 172.16.1.254 255.255.255.0 SW1(config-if># ip helper-address 172.16.3.1 //以单播向DHCP-SERVER发送请求SW1(config-if># interface vlan20SW1(config-if># ip address 172.16.2.254 255.255.255.0 SW1(config-if># ip helper-address 172.16.3.1p1EanqFDPw申明：所有资料为本人收集整理，仅限个人学习使用，勿做商业用途。

实验八端口与MAC地址绑定配置实验目的1.理解端口与MAC地址绑定的意义2.熟练使用命令完成端口与MAC地址的绑定实验设备及材料一台交换机，两台PC机，两根网线，一根CONSOLE线。

实验内容1、规划PC与端口的对应关系，并填写下表MAC 端口PC1的MAC 1PC2的MAC 22、根据规划，交换机按下图所示拓扑连接设备3、进入交换机进行配置绑定4、PC配置相同网段IP地址后互相PING5、将PC的网线互换后观察PING现象实验步骤1．在有些场合，比如学校机房，为了防止有人无意地把网线插到交换机的别的端口上能修改信息，交换机的端口和终端的MAC地址绑定，网络管理员静态的指定每个交换机的端口所对应的终端，，把网线插在别的端口以后，其连接就会被拒绝。

PC与端口的对应关系如下图：MAC 端口PC1的MAC 1PC2的MAC 22．使用一台交换机和两台PC机，还将其中PC2作为控制台终端，使用CONSOLE口配置方式；另外：使用两根网线分别将PC1和PC2连接到交换机的网络端口上，构成如下拓扑：2．进入交换机进行配置绑定；（1） VLAN端口成员和MAC地址静态绑定：Switch(config)#mac-address static address 00-08-0d-be-d8-d8 vlan 1 interface 0/0/1 （2） 使能端口的MAC地址绑定功能：Switch(config)#interface Ethernet 0/0/1Switch(config-ethernet0/0/1)#switchport port-security(2) 将端口学习到的动态MAC地址转化为静态MAC地址，并且关闭端口的MAC地址学习功能：Switch(config)#interface Ethernet 0/0/1Switch(config-ethernet0/0/1)#switchport port-security convert（3）端口MAC地址的锁定：Switch(config)#interface Ethernet 0/0/1Switch(config-ethernet0/0/1)#switchport port-security lock把PC1MAC地址绑定在交换机的1端口，PC2的MAC地址绑定在交换机的2端口。

MAC地址与端口绑定详解在网络安全越来越重要的今天，高校和企业对于局域网的安全控制也越来越严格，普遍采用的做法之一就是IP地址、网卡的MAC 地址与交换机端口绑定，但是MAC与交换机端口快速绑定的具体实现的原理和步骤却少有文章。

我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

一、首先必须明白两个概念：可靠的MAC地址。

配置时候有三种类型：静态可靠的MAC地址：在交换机接口模式下手动配置，这个配置会被保存在交换机MAC地址表和运行配置文件中，交换机重新启动后不丢失（当然是在保存配置完成后），具体命令如下：Switch(config-if)#switchport port-security mac-address Mac 地址动态可靠的MAC地址：这种类型是交换机默认的类型。

在这种类型下，交换机会动态学习MAC地址，但是这个配置只会保存在MAC 地址表中，不会保存在运行配置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。

黏性可靠的MAC地址：这种类型下，可以手动配置MAC地址和端口的绑定，也可以让交换机自动学习来绑定，这个配置会被保存在MAC地址中和运行配置文件中，如果保存配置，交换机重起动后不用再自动重新学习MAC地址，虽然黏性的可靠的MAC地址可以手动配置，但是CISCO官方不推荐这样做。

具体命令如下：Switch(config-if)#switchport port-security mac-address sticky 其实在上面这条命令配置后并且该端口得到MAC地址后，会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address sticky Mac地址这也是为何在这种类型下CISCO不推荐手动配置MAC地址的原因。

NETGEAR智能网管交换机如何实现IP与MAC地址绑定功能NETGEAR智能网管交换机可以通过配置绑定功能来实现IP与MAC地址的绑定。

IP与MAC地址绑定是一种网络安全功能，它限制特定MAC地址只能使用指定的IP地址，从而增强网络的安全性。

下面将详细介绍如何在NETGEAR智能网管交换机上实现IP与MAC地址绑定功能。

首先，通过浏览器登录到智能网管交换机的管理界面。

在浏览器中输入交换机的IP地址，并输入正确的登录用户名和密码，完成登录操作。

登录成功后，在交换机的管理界面中，找到并点击"IP Configuration"或"IP地址配置"菜单项。

在IP地址配置页面中可以进行IP与MAC地址绑定的设置。

进入IP地址配置页面后，可以看到有两个选项：IP-MAC绑定表和静态ARP表。

IP-MAC绑定表用于设置IP与MAC地址绑定规则，而静态ARP 表用于手动添加静态ARP表项。

要添加一条IP与MAC地址绑定规则，点击"Add"或"添加"按钮。

在弹出的对话框中，输入MAC地址和对应的IP地址，并选择该规则的生效端口。

点击"Apply"或"应用"按钮，保存设置。

除了IP-MAC绑定表，还可以通过设置静态ARP表来实现IP与MAC地址的绑定。

在静态ARP表页面中，可以手动添加或删除静态ARP表项。

添加ARP表项时，需要输入MAC地址、IP地址和生效端口，然后点击"Add"或"添加"按钮进行保存。

删除ARP表项时，只需点击对应条目的删除按钮即可。

通过上述步骤，可以在NETGEAR智能网管交换机上实现IP与MAC地址的绑定功能。

通过绑定IP与MAC地址，可以有效限制特定设备只能使用指定的IP地址，提升网络的安全性。

MAC地址与端口绑定设置MAC与端口绑定的步骤和注意事项：1．进入交换机后先要清除MAC地址表，命令如下：Switch#clear mac-address-table（注意，如果不清除MAC地址表项会导致绑定失败）然后查看MAC地址表，Switch#show mac-address-tableMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----MAC地址表里这时没有任何内容。

2．进入需要绑定的接口：Switch#conf tSwitch(config)#interface fastEthernet 0/13．开始设置绑定前，需要先设置端口的模式，Switch(config-if)#switchport mode access如果不设置端口模式为access，则开启端口安全的时候会收到如下提示：Command rejected: FastEthernet0/1 is a dynamic port.4．设置端口绑定：Switch(config-if)#switchport port-security使能端口安全Switch(config-if)#switchport port-security mac-address 0000.0000.0001~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 端口绑定MAC地址此时再查看MAC地址表会发现0000.0000.0001(查看主机的MAC地址)被绑定在了fa 0/1端口上Switch#show mac-address-tableMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 0000.0000.0001 STATIC Fa0/1到此端口绑定成功。

教案课程名称网络设备授课年级高一学校电子职校教师姓名李萱章节名称二层交换机上的端口与MAC绑定计划学时2课时教学目标1、了解什么是交换机的、了解什么是交换机的MACMACMAC绑定功能；绑定功能；2、熟练掌握MAC与端口绑定的静态、动态方式。

设计思路通过模拟构建的工作场景，使学生能够以工作过程的形式进行学习。

教学环节教学内容、所用时间、教师活动、学生活动引入新课在日常工作中，经常会发生用户随意插拔交换机上的网线，给网管员在网络管理上带来一定的不便。

同时也会出现在一个交换机端口下连接另一个络管理上带来一定的不便。

同时也会出现在一个交换机端口下连接另一个HubHubHub或或交换机，导致网络线路的拥堵。

当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。

当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机。

希望通过一定的方法，固定每台计算机连接的交换机端口，方便网管员日常的维护与更新。

新课教学通过端口绑定特性，网络管理员可以将用户的MAC 地址和IP 地址绑定到指定的端口上。

进行绑定操作后，交换机只对从该端口收到的指定MAC 地址和IP 地址的用户发出的报文进行转发，提高了系统的安全性，增强了对网络安全的监控。

我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

【实验一】二层交换机端口静态绑定【实验一】二层交换机端口静态绑定MAC MAC MAC地址地址地址1.11.1 实验设备实验设备1、2950-242950-24交换机交换机交换机11台2、PC PC机机2台3、交叉线、交叉线11根4、直通网线、直通网线22根1.21.2 组网图组网图PC1PC2SW0F0/1F0/2F0/31.3 1.3 实验设备实验设备实验设备IP IP IP地址及要求地址及要求地址及要求 设备名设备名 IP IP地址地址地址 子网掩码子网掩码 VLAN 1 192.168.1.11 255.255.255.0 PC1 192.168.1.1 255.255.255.0 PC2192.168.1.2255.255.255.0PC1PC1连接连接连接F0/1F0/1F0/1端口，并且在端口，并且在端口，并且在F0/1F0/1F0/1上将上将上将PC1PC1PC1的的MAC MAC地址绑定，地址绑定，地址绑定，PC1PC1PC1能能PING PING通交换通交换机。

一、原理1、首先必须明白两个概念：可靠的MAC地址。

设置时候有三种类型。

静态可靠的MAC地址：在交换机接口模式下手动设置，这个设置会被保存在交换机MAC地址表和运行设置文件中，交换机重新启动后不丢失（当然是在保存设置完成后），具体命令如下： Switch(config-if)#switchport port-security mac-address Mac地址动态可靠的MAC地址：这种类型是交换机默认的类型。

在这种类型下，交换机会动态学习MAC地址，不过这个设置只会保存在MAC地址表中，不会保存在运行设置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。

黏性可靠的MAC地址：这种类型下，能手动设置MAC地址和端口的绑定，也能让交换机自动学习来绑定，这个设置会被保存在MAC地址中和运行设置文件中，如果保存设置，交换机重起动后不用再自动重新学习MAC地址，虽然黏性的可靠的MAC地址能手动设置，不过CISCO官方不推荐这样做。

具体命令如下：Switch(config-if)#switchport port-security mac-address sticky 其实在上面这条命令设置后并且该端口得到MAC地址后，会自动生成一条设置命令Switch(config-if)#switchport port-security mac-address sticky Mac地址这也是为何在这种类型下CISCO不推荐手动设置MAC地址的原因。

2、违反MAC安全采取的措施：当超过设定MAC地址数量的最大值，或访问该端口的备MAC地址不是这个MAC地址表中该端口的MAC地址，或同一个VLAN中一个MA地址被设置在几个端口上时，就会引发违反MAC地址安全，这个时候采取的措施有三种：保护模式（protect）：丢弃数据包，不发警告。

．限制模式（restrict）：丢弃数据包发警告，发出SNMP trap，同时被记录在syslog 日志里。

在交换机上实施IP与MAC的双向绑定说明：不能够在二层交换上做基于IP的双向绑定，但可在三层交换机上完成SW1(config)# interface FastEthernet0/1SW1(config-if)# switchport mode accessSW1(config-if)#switchport port-securitySW1(config-if)# switchport port-security violation restrict //shutdown protect restrictSW1(config-if)# switchport port-security mac-address 00b0.6451.c920SW1(config-if)# spanning-tree portfastSW1(config-if)# ip access-group 11 in //调用ACLSW1(config-if)# exitSW1(config)# access-list 11 permit 192.168.2.69IPSG 实验配置步骤SW(config)# ipdhcp snoopingSW(config)# ipdhcp snooping vlan 1,10SW(config)# ipdhcp snooping verify mac-addressSW(config)# ip source binding 0000.0000.0001 vlan 10 172.16.1.5 interface f0/5 SW(config)# interface f0/1SW(config-if)# switchport mode accessSW(config-if)# switchport port-securitySW(config-if)# ip verify source vlandhcp-snooping port-securitySW(config)# interface f0/5SW(config-if)# switchport mode accessSW(config-if)# switchport port-securitySW(config-if)# ip verify source vlandhcp-snooping port-securitySW(config-if)# end一、配置 SW1的防护功能SW1(config)# ipdhcp snooping //启用 DHCP SnoopingSW1(config)# ipdhcp snooping information option //启用 82 选项SW1(config)# ipdhcp snooping vlan 10,20 //DHCP监听作用的 VLANSW1(config)# ipdhcp database flash:dhcp.db //将 DHCP绑定信息保存到dhcp.db中SW1(config)# ipdhcp snooping verify mac-addressSW1(config)# interface f0/21SW1(config-if)# switchport mode accessSW1(config-if)# switchport port-securitySW1(config-if)# ip verify source port-securitySW1(config)# interface f0/23SW1(config-if)# switchport mode accessSW1(config-if)# switchport port-securitySW1(config-if)# ip verify source port-security可选配//SW1(config)# ip source binding 0000.0000.0001 vlan 10 172.16.1.1 interface f0/2可选配//SW1(config)# ip source binding 0000.0000.0002 vlan 20 172.16.2.1 interface f0/1SW1(config)# iparp inspection vlan 10,20 //ARP检测基于 VLAN10 VLAN20SW1(config)# iparp inspection validate src-mac dst-mac ip //基于源 MAC 目标 MAC 和 IP//DHCP服务器的配置DHCP-SERVER 使用路由器来完成Router(config)# ipdhcp pool vlan10 定义地址池Router(config-vlan)# network 172.16.1.0 255.255.255.0 定义地址池做用的网段及地址范围Router(config-vlan)# default-router 172.16.1.254 定义客户端的默认网关Router(config-vlan)# dns-server 218.108.248.200 定义客户端的dnsRouter(config-vlan)#exitRouter(config)# ipdhcp pool vlan20Router(config-vlan)# network 172.16.2.0 255.255.255.0Router(config-vlan)# default-router 172.16.2.254Router(config-vlan)# dns-server 218.108.248.200Router(config-vlan)# exitRouter(config)# ipdhcp excluded-address 172.16.1.100 172.16.1.254 //配置保留地址段Router(config)# ipdhcp excluded-address 172.16.2.100 172.16.2.254Router(config)# interface e0/0Router(config-if)# ip address 172.16.3.1 255.255.255.0Router(config-if)# no shutdown交换机上的配置SW1(config)# interface vlan 10SW1(config-if)# ip address 172.16.1.254 255.255.255.0SW1(config-if)# ip helper-address 172.16.3.1 //以单播向DHCP-SERVER发送请求SW1(config-if)# interface vlan20SW1(config-if)# ip address 172.16.2.254 255.255.255.0SW1(config-if)# ip helper-address 172.16.3.1。

交换机端口绑定ip和mac地址IP地址绑定『配置环境参数』用户的IP地址10.1.1.2，MAC地址0000-0000-0001『组网需求』对合法的用户进行ip＋mac＋端口的绑定，防止恶意用户通过更换自己的地址上网的行为。

2数据配置步骤『IP+MAC+端口绑定流程』三层交换机中目前只有S3526系列支持使用AM命令来进行IP地址和端口的绑定。

并且如果S3526系列交换机要采用AM命令来实现绑定功能，则交换机必须是做三层转发（即用户的网关应该在该交换机上）。

【采用DHCP-SECURITY来实现】1.配置端口的静态MAC地址[SwitchA]mac-address static 0000-0000-0001 interface e0/1 vlan 12.配置IP和MAC对应表[SwitchA]dhcp-security 10.1.1.2 0000-0000-0001 static3.配置dhcp-server组号(否则不允许执行下一步，此dhcp-server组不用在交换机上创建也可) [SwitchA-Vlan-interface1]dhcp-server 14.使能三层地址检测[SwitchA-Vlan-interface1]address-check enable【采用AM命令来实现】1.使能AM功能[SwitchA]am enable2.进入端口视图[SwitchA]vlan 103.将E0/1加入到vlan10[SwitchA-vlan10]port Ethernet 0/14.创建（进入）vlan10的虚接口[SwitchA]interface Vlan-interface 105.给vlan10的虚接口配置IP地址[SwitchA-Vlan-interface10]ip add 10.1.1.1 255.255.255.06.进入E0/1端口[SwitchA]interface Ethernet 0/17.该端口只允许起始IP地址为10.1.1.2的10个IP地址上网[SwitchA-Ethernet0/1]am ip-pool 10.1.1.2 10通过ACL实现的各种绑定的配置1功能需求及组网说明各种绑定的配置『配置环境参数』1.三层交换机SwitchA有两个端口ethetnet 0/1、ethernet 0/2分别属于vlan 1、vlan 22.vlan 1、vlan 2的三层接口地址分别是1.0.0.1/8、2.0.0.1/8，上行口G 1/1是trunk端口，并允许vlan 3 通过『组网需求』1.静态mac、端口捆绑：端口ethetnet 0/1仅仅允许pc1（mac：0.0.1）接入。

Cisco交换机端口绑定MAC地址在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。

1.方案1——基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch#config terminal ＃进入配置模式Switch(config)# Interface fastethernet 0/1 ＃进入具体端口配置模式Switch(config-if)#Switchport port-secruity ＃配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)＃配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)＃删除绑定主机的MAC地址注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

注意：以上功能适用于思科2950、3550、4500、6500系列交换机2.方案2——基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC10 ＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20 #进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）Switch(config)no mac access-list extended MAC10＃清除名为MAC10的访问列表此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

关于二层交换MAC与端口绑定的方法利用交换机的Port-Security功能实现以下是一个配置实例：switch#config tswitch（config）#int f0/1switch（config-if）#switchport mode access//设置交换机的端口模式为access模式，注意缺省是dynamic//dynamic模式下是不能使用Port-security功能switch（config-if）#switchport port-security//打开port-security功能switch（config-if）#switchport port-security mac-address xxxx.xxxx.xxxx//xxxx.xxxx.xxxx就是你要关联的mac地址switch（config-if）#switchport port-security maximum 1//其实缺省就是1switch（config-if）#switchport port-security violationshutdown//如果违反规则，就shutdown端口//这个时候你show int f0/1的时候就会看到接口是err-disable 的附：switchport port-security命令语法Switch（config-if）#switchport port-security ？aging Port-security aging commandsmac-address Secure mac address//设置安全MAC地址maximum Max secure addresses//设置最大的安全MAC地址的数量，缺省是1violation Security violation mode//设置违反端口安全规则后的工作，缺省是shutdownc2950#configure terminalc2950(config)#mac access-list extended mac10c2950(config-ext-nacl)#permit host 0012.2713.3f2d anyc2950(config-ext-nacl)#permit any host 0012.2713.3f2d这时出现错误：%Error: The field sets of all the ACEs in an ACL on Ethernet interface should match.Please refer to the Software Configuration Guide to understand one mask restriction for ACLs on Ethernet interfaceswitch#mac-address-table static 1234.5678.9012 vlan 10 fa0/1，表示将静态MAC地址与VLAN 10中的端口1绑定。

一、原理1、首先必须明白两个概念：可靠的MAC地址。

设置时候有三种类型。

静态可靠的MAC地址：在交换机接口模式下手动设置，这个设置会被保存在交换机MAC地址表和运行设置文件中，交换机重新启动后不丢失（当然是在保存设置完成后），具体命令如下：Switch(config-if)#switchport port-security mac-address Mac地址动态可靠的MAC地址：这种类型是交换机默认的类型。

在这种类型下，交换机会动态学习MAC地址，不过这个设置只会保存在MAC 地址表中，不会保存在运行设置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。

黏性可靠的MAC地址：这种类型下，能手动设置MAC地址和端口的绑定，也能让交换机自动学习来绑定，这个设置会被保存在MAC 地址中和运行设置文件中，如果保存设置，交换机重起动后不用再自动重新学习MAC地址，虽然黏性的可靠的MAC地址能手动设置，不过CISCO官方不推荐这样做。

具体命令如下：Switch(config-if)#switchport port-security mac-address sticky 其实在上面这条命令设置后并且该端口得到MAC地址后，会自动生成一条设置命令Switch(config-if)#switchport port-security mac-address sticky Mac地址这也是为何在这种类型下CISCO不推荐手动设置MAC地址的原因。

2、违反MAC安全采取的措施：当超过设定MAC地址数量的最大值，或访问该端口的备MAC地址不是这个MAC地址表中该端口的MAC地址，或同一个VLAN中一个MA地址被设置在几个端口上时，就会引发违反MAC地址安全，这个时候采取的措施有三种：保护模式（protect）：丢弃数据包，不发警告。

．限制模式（restrict）：丢弃数据包发警告，发出SNMP trap，同时被记录在syslog日志里。

交换机与端口的绑定方法(总8页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除一、原理1、首先必须明白两个概念：可靠的MAC地址。

设置时候有三种类型。

静态可靠的MAC地址：在交换机接口模式下手动设置，这个设置会被保存在交换机MAC地址表和运行设置文件中，交换机重新启动后不丢失（当然是在保存设置完成后），具体命令如下：Switch(config-if)#switchport port-security mac-address Mac地址动态可靠的MAC地址：这种类型是交换机默认的类型。

在这种类型下，交换机会动态学习MAC地址，不过这个设置只会保存在MAC 地址表中，不会保存在运行设置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。

黏性可靠的MAC地址：这种类型下，能手动设置MAC地址和端口的绑定，也能让交换机自动学习来绑定，这个设置会被保存在MAC 地址中和运行设置文件中，如果保存设置，交换机重起动后不用再自动重新学习MAC地址，虽然黏性的可靠的MAC地址能手动设置，不过CISCO官方不推荐这样做。

具体命令如下： Switch(config-if)#switchport port-security mac-address sticky 其实在上面这条命令设置后并且该端口得到MAC地址后，会自动生成一条设置命令Switch(config-if)#switchport port-security mac-address sticky Mac地址这也是为何在这种类型下CISCO不推荐手动设置MAC地址的原因。

2、违反MAC安全采取的措施：当超过设定MAC地址数量的最大值，或访问该端口的备MAC地址不是这个MAC地址表中该端口的MAC地址，或同一个VLAN中一个MA地址被设置在几个端口上时，就会引发违反MAC地址安全，这个时候采取的措施有三种：保护模式（protect）：丢弃数据包，不发警告。