关于IP-MAC地址绑定设置

1. 如何进行IP和MAC地址绑定，以防范ARP欺骗？用路由器做地址转换，上网频繁掉线，此时将PC机的网卡禁用一下或将PC机重启一下又可以上网了，并且不能上网时ping PC机的网关不通。

这种情况一般来说,都是中了ARP欺骗病毒，可以通过以下方法进行防范。

方法一：在路由器上静态绑定PC机的IP地址和MAC地址，在PC机上绑定路由器内网口的IP地址和MAC地址。

步骤如下：1) 在路由器上绑定PC机的IP地址和MAC地址，格式如下：[H3C]arp static 192.168.1.2 00e1-7778-9876注意：需要对该网段内的每一个IP都绑定MAC，没有使用的IP地址也需要绑定，可以任意指定其绑定的MAC地址，推荐使用0000-0000-0123等特殊MAC。

2) 在PC机上绑定路由器内网口的IP地址和MAC地址，命令格式如下：arp –s 192.168.1.1 00-0f-e2-21-a0-01方法二：让路由器定时发送免费ARP报文，刷新PC机的ARP表项进入路由器相应的内网接口，配置如下命令：[H3C-Ethernet1/0]arp send-gratuitous-arp 1方法三：ARP固化可以在全局视图和接口视图下配置ARP固化功能，使动态ARP转化为固定ARP，有效防范ARP 攻击。

固化ARP有三种方式：1) 全局视图下配置动态ARP固化[H3C] arp fixup2) 接口视图下配置动态ARP固化[H3C] interface ethernet 1/0/0[H3C-Ethernet1/0/0] arp fixup3) 配置指定固化ARP表项的功能[H3C] arp fixed 10.1.0.1 00-11-22【提示】1) PC机重启后，静态配置的arp表项会丢失，需要重新配置，可以在PC机上制作一个.bat 的批处理文件，放到启动项中。

2) arp send-gratuitous-arp 并非所有产品均支持，请查询网站上的配置手册和命令手册，确认您所使用的产品是否支持该功能。

TP-Link路由器中IP与MAC地址绑定怎么设置不同型号(同一型号不同版本)的TP-Link路由器中，IP与MAC 地址绑定的设置方法有些不同，本文主要介绍了TP-Link路由器中IP与MAC地址绑定的设置方法!TP-Link路由器中IP与MAC地址绑定的设置方法温馨提示：(1)、在TP-Link路由器中设置IP与MAC地址绑定之前，你自己需要先规划好，需要把哪个IP地址绑定到哪个MAC地址上。

实际上是在路由器中把某个IP地址与某台电脑(手机)绑定起来，确保电脑(手机)每次都能从路由器中获取到同一个IP地址。

(2)、另外，你还需要知道电脑、手机的MAC地址是多少?一、老款TP-Link路由器IP与MAC绑定设置1、打开TP-Link路由器设置页面在浏览器中输入192.168.1.1;;>在“用户名”、“密码”中输入：admin;;>点击“确定”。

旧TP-Link路由器登录界面2、IP与MAC绑定设置点击“DHCP服务器”;;>“静态地址分配”;;>“添加新条目”在“MAC地址”填写：电脑或者手机的MAC地址(本例中是：00-13-8F-A9-6C-CB);;>“IP地址”填写：需要绑定的一个IP地址(本例中是：192.168.1.101);;>然后点击“保存”旧TP-Link路由器IP与MAC地址绑定设置二、新款TP-Link路由器IP与MAC地址绑定设置1、进入设置页面打开浏览器，输入 ，输入密码进入路由器管理页面。

新TP-Link路由器登录界面2、IP与MAC地址绑定设置点击“应用管理”点击“应用管理”找到“IP与MAC绑定”的选项，点击“进入”点击“进入”在列表中查看未绑定条目，找到需要绑定的主机，点击添加到绑定设置中，如下：新TP-Link路由器IP与MAC地址绑定设置温馨提示：(1)、根据界面提示可编辑主机信息。

关于IP-MAC地址绑定的交换机设置(思科路由器配置)2009年10月27日星期二 15:352009-03-01 01:30注：IP地址与MAC地址的关系： IP地址是根据现在的IPv4标准指定的，不受硬件限制比较容易记忆的地址，长度4个字节。

而 MAC地址却是用网卡的物理地址，保存在网卡的EPROM里面，与硬件有关系，比较难于记忆，长度为6个字节。

虽然在TCP／IP网络中，计算机往往需要设置IP地址后才能通讯，然而，实际上计算机之间的通讯并不是通过IP地址，而是借助于网卡的MAC地址。

IP地址只是被用于查询欲通讯的目的计算机的MAC地址。

ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。

在计算机的ARJ缓存中包含一个或多个表，用于存储IP地址及其经过解析的以太网MAC地址。

一台计算机与另一台IP地址的计算机通讯后，在ARP缓存中会保留相应的MAC地址。

所以，下次和同一个IP地址的计算机通讯，将不再查询MAC地址，而是直接引用缓存中的MAC地址。

在交换式网络中，交换机也维护一张MAC地址表，并根据MAC地址，将数据发送至目的计算机。

（转载注明出处n et130）为什么要绑定MAC与IP 地址：IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。

因此，为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC 地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

目前，很多单位的内部网络，都采用了MAC地址与IP地址的绑定技术。

下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。

在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。

MAC地址绑定：
1.打开浏览器，输入19
2.168.1.1，弹出登陆窗口，如果没有改动过，用户名为admin，密码为admin，如果忘记用户名和密码，用针状物体按下路由器的“reset”小孔3到5秒，用户名和密码即恢复为admin （登陆路由器后可以修改用户名和密码，路径为“系统工具”——“修改登陆口令”）
2.登陆路由器后，依次点击“无线参数”——“MAC 地址过滤”，点击“添加新条目”，在弹出的设置窗口里填入MAC地址，例如：78-D6-F0-06-48-71，以及填入描述，例如：三星i9000，然后点保存，添加完成。

3.笔记本、手机、平板电脑等打开WiFi后，搜索到家里的无线网络，连接，输入无线网络密码后就可以上网了。

各种设备获取MAC地址方法：
1.笔记本：方法一：点击“开始”——“运行”（或者直接按Windows键+R键），输入cmd，弹出DOS 界面，再输入ipconfig/all，按回车，找到“无线网络连接”的“Physical Address”后面的一串字符就是无线网卡的MAC地址。

方法二：如果笔记本已经连接上无线网络，鼠标左键双击右下角无线网络连接，弹出“无线网络连接状态”窗口，依次点击“支持”——“详细信息”，在弹出的“网络连接详细信息”里的实际地址即为无线网卡的MAC地址。

2.安卓系统手机：依次打开“设置”——“无线和网络”——“WiFi设置”，按功能键，点开“高级”，弹出的界面中有MAC地址。

3.诺基亚手机：诺基亚手机输入*#62209526#，即会弹出MAC地址。

4.iPad/ iPhone：“设置”——“通用”——“关于本机”。

H3C交换机1、system-view 进入系统视图模式2、sysname 为设备命名3、display current-configuration 当前配置情况4、language-mode Chinese|English 中英文切换5、interface Ethernet 1/0/1 进入以太网端口视图6、port link-type Access|Trunk|Hybrid 设置端口访问模式7、undo shutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中13、port trunk permit vlan all 允许所有的vlan通过H3C路由器############################################################################### #######1、system-view 进入系统视图模式2、sysname R1 为设备命名为R13、display ip routing-table 显示当前路由表4、language-mode Chinese|English 中英文切换5、interface Ethernet 0/0 进入以太网端口视图6、ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码7、undo shutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置静态路由11、ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配置默认的路由H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Router############################################################################### ###########1、调整超级终端的显示字号；2、捕获超级终端操作命令行，以备日后查对；3、language-mode Chinese|English 中英文切换；4、复制命令到超级终端命令行，粘贴到主机；5、交换机清除配置:<H3C>reset save ；<H3C>reboot ；6、路由器、交换机配置时不能掉电，连通测试前一定要检查网络的连通性，不要犯最低级的错误。

网络管理中，网管们是不是经常碰到IP地址冲突和盗用的情况?对此的回答无疑是肯定的。

IP地址冲突和盗用影响了网络的正常使用，如果被盗用的地址具有较高的权限，必将造成了大量的损失和潜在的安全隐患。

对此有没有一种好的解决方案呢?以下是一些网管朋友的实践经验，供大家参考。

方法一先点击“开始”选择“运行”，然后在里面输入Winipcfg命令，这就可以查出自己的网卡地址;记录后再到代理服务器端把上网的静态IP地址与所记录计算机的网卡地址进行捆绑，具体命令是：ARP -s192.168.0.4 00-EO-4C-6C-08-75这样，就将您上网的静态IP地址192.168.0.4与网卡地址为00 -EO-4C-6C-08-75的计算机绑定在一起了。

即使别人盗用此IP地址192.168.0.4，也无法通过代理服务器上网。

其中应注意的是此项命令仅在局域网中上网的代理服务器端有用，还要是静态IP地址，像一般的 Modem拨号上网是动态IP地址就不起作用。

方法二对于动态分配IP，做一个DHCP服务器来绑定用户网卡MAC地址和IP地址，然后再根据不同IP设定权限。

对于静态IP，如果用三层交换机的话，你可以在交换机的每个端口上做IP地址的限定，如果有人改了自己的IP地址，那么他的网络就不通了。

这俩个方法都是基于硬件设备的，对于单个或者几台电脑来说，设置起来并不是很复杂，只要有足够的时间和耐心，肯定可以进行绑定。

但对于整个公司有百来台设备来说，无疑将是一种负担。

另外，还有一种情况，是网管下面的人员为了逃避管理或是其他目的而自己随意IP，甚至会有不法员工泄露公司机密，这比被别人盗用IP更加可怕!网管事先可能感性的认为不会有此类情况，所以只绑定了部分电脑，那一旦出现机密泄露事件，我想损失的应该不只是网管的饭碗吧。

所以笔者认为聚生网管的软件方案是一个既简单有灵活的最佳方法。

方法三打开聚生网管的监控界面，如下图在左侧第四项“网络安全管理”选项中，就是可设置IP-MAC绑定，如下图仔细看下面的勾红，还可以设置自动发现新主机并进行绑定。

Cisco的MAC地址与IP绑定方法是什么交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

对于Cisco的MAC地址与IP绑定方法，可能很多用户还不熟悉，下面一起看看!方法步骤1.方案1&mdash;&mdash;基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：ng=1cellPadding=0width=&quot;80%&quot;align=leftbgCol or=#ccccccborder=0&gt;Switch#configterminal#进入配置模式Switch(config)#Interfacefastethernet0/1#进入具体端口配置模式Switch(config-if)#Switchportport-secruity#配置端口安全模式Switch(config-if)switchportport-securitymac-addressMAC(主机的MAC地址)#配置该端口要绑定的主机的MAC地址Switch(config-if)noswitchportport-securitymac-addressMAC(主机的MAC地址)#删除绑定主机的MAC地址注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

注意：以上功能适用于思科2950、3550、4500、6500系列交换机2.方案2&mdash;&mdash;基于MAC地址的扩展访问列表Switch(config)Macaccess-listextendedMAC10#定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permithost0009.6bc4.d4bfany#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permitanyhost0009.6bc4.d4bf#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if)interfaceFa0/20#进入配置具体端口的模式Switch(config-if)macaccess-groupMAC10in#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config)nomacaccess-listextendedMAC10#清除名为MAC10的访问列表此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

华为交换机怎么绑定绑定ip地址/MAC地址交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

有时为了预防IP地址被盗用等网络安全威胁的问题，需要设置绑定呢，具体怎么设置呢?下面我们就来看看详细的设置教程，需要的朋友可以参考下方法步骤1、打开模拟器，创建一台交换机和两台PC、开机，配置好IP地址，一台PC备用。

2、交换机配置Vlan，把端口模式改为Access模式，把端口加入到Vlan100里，测试PC到交换机网通信是否正常。

当前没有路由器网管配置或不配置没有关系。

能ping通交换机。

3、接下来做绑定配置，在GigabitEthernet0/0/1端口上绑定当前PC的IP和MAC地址，Vlan。

命令格式：在配置模式下，[Huawei]user-bindstaticipaddressx.x.x.xmacaddressxxxx-xxxx-xxxxinterfaceGigabitEthernet0/0/1vlanID。

4、下一步绑定完了之后，我们再连接另一台备用的PC到交换机interfaceGigabitEthernet0/0/1端口上。

5、换了另一台PC会不会ping通交换机。

很显然已经ping 不同。

怎么样?是不是很简单呢?补充：交换机基本使用方法作为基本核心交换机使用，连接多个有线设备使用：网络结构如下图，基本连接参考上面的【方法/步骤1：基本连接方式】作为网络隔离使用：对于一些功能好的交换机，可以通过模式选择开关选择网络隔离模式，实现网络隔离的作用，可以只允许普通端口和UPlink端口通讯，普通端口之间是相互隔离不可以通讯的除了作为核心交换机(中心交换机)使用，还可以作为扩展交换机(接入交换机)来扩展网络放在路由器上方，扩展网络供应商的网络线路(用于一条线路多个IP的网络)，连接之后不同的路由器用不同的IP连接至公网相关阅读：交换机硬件故障常见问题电源故障：由于外部供电不稳定，或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止，从而不能正常工作。

Cisco的MAC地址与IP绑定方法是什么交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

对于Cisco的MAC地址与IP绑定方法，可能很多用户还不熟悉，下面一起看看!方法步骤1.方案1——基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：ng=1 cellPadding=0 width="80%" align=left bgColor=#cccccc border=0> Switch#config terminal #进入配置模式Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式Switch(config-if)#Switchport port-secruity #配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)#配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)#删除绑定主机的MAC地址注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

注意：以上功能适用于思科2950、3550、4500、6500系列交换机2.方案2——基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC10#定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)permit host 0009.6bc4.d4bf any#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20 #进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10#清除名为MAC10的访问列表此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

路由器ip与MAC地址可以不设置绑定吗详细解答
⽹吧路由器上设置客户机的MAC与IP地址如果不做绑定，只做路由器的基本设置可以吗?
解答：⽹吧路由器ip地址与设置客户机的MAC与如果不做绑定，是可以只做路由器的基本上⽹设置。

也可以把路由器上DHCP 服务器前勾要去掉的，采⽤全⾯扫描⾃动邦定MAC和IP地址来管理，就⽐较⽅便的。

但是⼩编想说的是，虽然说⽹吧路由器ip与MAC地址可以不实施绑定，这样也能上⽹，但两者的绑定对于⽹吧⽹络的安全⽽⾔⾮常重要。

IP地址，URL，MAC地址，这三项过滤功能主要是帮助⽹吧防⽌内部⽹络的⽤户访问⾮法⽹站。

如果⽹吧⽤户使⽤了这项绑定功能，内部⽹络⽤户将不能篡改IP地址，即使⽹吧内上⽹⽤户攻击其他计算机，也能被及时发现。

对⽹吧路由器IP地址与MAC的绑定，最重要的原因就是为了防⽌内⽹ARP的欺骗!
内⽹ARP欺骗有三种：⽹关路由器的欺骗;⽹关路由器对电脑的欺骗;电脑对电脑的欺骗。

其中第⼀种和第⼆种是最常见的，引起的后果就是⽹吧电脑会出现数据丢包，延时过⾼，内⽹闪断，客户掉线等现象。

所以⼀般⽹吧都会做双向绑定，绑定的原则是：
1，在⽹吧路由器⾥⾯绑定客户机;
2，在客户端绑定⽹吧路由器⽹关。

关于公司局域网ip地址绑定的通知由于IP地址使用混乱，IP地址冲突频发，给办公造成很大影响，为进一步保障办公网络的稳定与安全，规范接入管理，改善IP盗用现象，杜绝非法用户，结合现有设备情况，将对现有计算机IP地址与网卡硬件地址（MAC）进行绑定，联网必须使用指定IP地址，不得私自更改，否则将无法接入公司网，无法访问Internet，具体要求如下：1、请各部门按《公司IP分配表》中的IP分段安排好部门内员工的IP，并将本人姓名、计算机名、MAC地址填写汇总到《MAC地址与IP地址绑定变更表》统一交网管处（获取和报送方法附后）；今后如有更改MAC地址（如：更换网卡或更换机器），请及时登记更改；由电脑使用人上报。

2、网管将按部门分批进行IP与MAC地址的绑定，IP绑定后随意更改和添加IP 地址的用户将无法正常上网，此次未上报的MAC地址将被禁止上网；3、IP地址只与计算机本身进行绑定，与线路无关。

新购置计算机应及时申请IP；因故不再使用公司网络的，应及时告知网管中心收回并注销IP。

4、DNS变默认首选：202.96.128.86 ，备用：202.96.128.166，请及时更改，以免影响上网。

5、电脑需要重装系统以前，请先查阅自己的ip地址并且记录下来，以便装完系统后重新配置该台电脑的网卡的正确参数。

6、计算机名请尽量使用全中文（格式：部门+使用人）在绑定过程中，因对MAC地址的绑定和之前系统自动分配的地址会有可能冲突，如果出现提示IP冲突或者不能上网的，请与网管联系。

获取本机MAC地址的方法：方法一:右击桌面的【网上邻居】-选择【属性】，双击【本地连接】，单击【支持】-【详细信息】，在窗口中的【实际地址】后的数据XX-XX-XX- XX-XX-XX就是本机的MAC地址方法二：开始—>运行->cmd然后单击“确定”按钮，在弹出的窗口中输入“ipconfig/all”。

得到如下图所示：查询出来的MAC地址为12位数字或字母组合，如“00-16-96-12-01-A8”计算机名的查询及更改方法（可不更改，按原名报送）：右击桌面上的[我的电脑]—[属性]—[计算机名]—[更改]，如果是个人使用的计算机请在计算机名中输入部门名称+用户名（用户名可用中文或拼音字母，推荐使用中文），如网管覃志伟，最后按[确定]，重启计算机以使它生效。

IP-MAC地址绑定的交换机设置network 2008-02-15 14:26:18 阅读16 评论0 字号：大中小订阅IP-MAC地址绑定的交换机设置1.方案1——基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch#config terminal//进入配置模式Switch(config)# Interface fastethernet 0/1//进入具体端口配置模式Switch(config-if)#Switchport port-secruity//配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)//配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)//删除绑定主机的MAC地址注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

注意：以上功能适用于思科2950、3550、4500、6500系列交换机2.方案2——基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC10//定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any//定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf//定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20//进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in//在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）Switch(config)no mac access-list extended MAC10//清除名为MAC10的访问列表此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

ip如何与mac地址绑定1．添加一台DHCP服务器在你的网络中添加一台DHCP服务器，WINDOWS2003自带这功能。

在服务器端使用“ARP”命令捆绑IP地址和MAC地址。

但这种方法对规模稍大的网络就不适用了，这些网络中的计算机数量较多，手工指定IP地址是不现实的，通常是使用DHCP服务器动态分配IP地址。

因此使用“ARP”命令进行绑定是无法实现的。

其实DHCP服务器也集成了IP地址和MAC地址绑定功能1.查找客户机MAC地址可以使用局域网助手等工具或在客户端使用ipconfig/all命令2.新建保留在DHCP服务器端，打开DHCP管理器，展开作用域，右键点击“保留”选项，在弹出的菜单中选择“新建保留”，弹出配置对话框。

在该配置对话框中为客户机绑定IP地址和MAC地址，在“保留名称”栏中为该保留项目取名，可以使用计算机名，然后在“IP地址”栏中输入“192.168.0.8”，“MAC地址”栏中输入客户机的网卡MAC地址“00-0E-A6-0C-DE-B9”，接着在“支持类型”中选择“两者”选项，最后点击“添加”按钮，即可完成客户机的IP地址和MAC地址绑定。

使用这种方法可以免除手动分配ip的麻烦，对于网吧等使用RouterOS的地方，还可以在RouteOS里再绑定一下IP地址和MAC地址，就可以消灭arp欺骗攻击了。

网克的时候也不用改ip了。

在网络管理中，IP地址盗用现象经常发生，不仅对网络的正常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因而也对用户造成了大量的经济上的损失和潜在的安全隐患。

有没有什么措施能最大限度地避免此类现象的发生呢？为了防止IP地址被盗用，可以在代理服务器端分配IP地址时，把IP地址与网卡地址进行捆绑。

对于动态分配IP，做一个DHCP服务器来绑定用户网卡MAC地址和IP地址，然后再根据不同IP设定权限。

对于静态IP，如果用三层交换机的话，你可以在交换机的每个端口上做IP地址的限定，如果有人改了自己的IP地址，那么他的网络就不通了。

USG系列IP/MAC绑定的设置
这篇文档将指导您如何设置USG系列设备的IP/MAC地址绑定功能。

IP/MAC绑定机制
如果员工手动修改了电脑的IP地址，那么在静态和动态DHCP表中都不能找到这条MAC和IP映射的记录，那么我们就认为这台PC非法修改了IP地址，从而禁止这台设备接入ZyWALL。

设置步骤
1、打开web浏览器，输入设备管理IP: https://192.168.1.1，登录设备web配置界面,依次进入网络＞接口＞以太网，点击编辑lan1接口，关闭DHCP，具体设置如下：
2、依次进入网络＞IP/MAC 绑定，编辑lan1接口，进行绑定的设置
3、勾选启用IP/MAC 绑定，并点击添加按钮，添加一条静态DHCP 绑定，具体设置如下：
4、设置完成后，在首页的系统状态中可以看到设备IP/MAC绑定的数量，对于不在其表中的IP地址不能接入防火墙。

Fortigate IP/MAC绑定设置方法一、逐条IP/MAC地址绑定设置1、首先进入命令模式，用telnet 命令进入防火墙，如：telnet 192.168.1.99(这指防火墙的Internal口IP地址)，并输入用户名和口令。

2、进入防火墙的命令操作界面后，按下图的方式和命令进行绑定。

第一个红框中命令解释如下：Config firewall ipmacbinding setting 进入MAC地址功能开启界面Set bindthroughfw enable 允许绑定的IP穿透防火墙Set bindtofw enable 充许绑定IP到达防火墙Set undefinedhost block或allow 没有绑定的全部阻止End 退出保存的意思第二个红框中的意思在接口上启用绑定功能:Config system interface 进入接口配置界面Edit internal（这里填具体端口）进入接口Set ipmac enable 开启IP/MAC地址绑定功能End 退出保存3、具体绑定操作：上图各个命令解释：Config firewall ipmacbinding table 进入绑定界面Edit 1 输入编辑行号（每一个行代表一个IP/MAC地址的绑定）Set ip 192.168.1.5 指定IP地址Set mac 00:0c:29:34:95:60 指定MAC地址（需要用‘：’隔开）Set name ‘test’指定名称Set status enable 开启状态End 退出保存Show firewall ipmacbinding table 1 查看编号为1的IP/MAC绑定情况到此，一个IP/MAC绑定就完成了。

注：当有多个绑定的时候，每编辑完一个，都要“end”，然后“edit 2、edit 3……edit N”一直到全部写完为此；输入edit 1命令进行创建表1并进入到表1的命令行界面（表此数字是依次增加的，一个表只能绑定一个IP、MAC，继续绑定第二个IP时需要输入edit 2）二、FG防火墙批量绑定方法：1、前两步功能开启和穿透设定，同逐条IP/MAC地址绑定一样，请参照1-2步操作。

路由器如何绑定ip地址
公司或者企业限制用户上网以及开通用户上网权限都需要在路由器上绑定mac和ip地址,那么你知道路由器如何绑定ip地址吗?下面是店铺整理的一些关于路由器绑定ip地址的相关资料，供你参考。

路由器绑定ip地址的方法：
首先登陆路由器进入首页;
在菜单栏上选择高级配置;
进入IP/MAC地址绑定;
然后填写详细信息
1.选择添加
2.填写主机的用户名，可以用每台电脑的用户者名字命名，这样比较容易区分
3.填写需要绑定的ip地址
4.填入12位英文+数字的MAC网络地址，地址可以从用户电脑上查看也可自己手动设置
设置完成，点击保存。

便可在下面的绑定信息列表里面找到设置的ip地址。

路由器绑定ip地址的。

说明：二层IP/MAC绑定可以防止IP被人盗用，从而不会出现没有上网权限的人盗用有上网权限的IP，进行冒充他人身份上网的情况。

1、首先扫描网络中的IP和MAC地址，并导入到用户列表中。

用户管理—用户导入—IP：
勾选“开机设备”，点击扫描。

这样会出现IP地址和MAC地址：
再手工输入用户名，点击导入，就可以导入到设备的组织管理下。

注意：（1）如果网络中的电脑没有开机，将不会被扫描到。

漏掉的少量电脑可以直接到组织管理进行手工建立用户；（2）导入完毕后，请到用户管理—组织管理中将“IP临时用户”组下面的用户全部删除。

2、进行二层IP/MAC绑定
用户管理—组织管理：
点击ROOT，右边出现我们建立的用户列表
将所有用户选中，点击操作下面的“二层IP/MAC绑定”
3、对已经建立的用户组织进行应用控制策略设定
根据常规的应用控制策略方式来进行设定即可。

比如阻塞这部分用户上QQ等。

注意设备隐含的一条最低优先级的规则是：允许任何用户上任何应用/网页。

所以一般我们所作的策略，是要阻塞XX用户使用XX应用/网页。

4、对未分配的IP，禁止使用任何应用
在我们手工建立用户列表并绑定后，属于已绑定范围内的IP别人无法盗用，但是未绑定的IP可能还会被人盗用。

有的用户可能自己会乱改IP，所以要设定一条应用控制策略，禁止未分配IP上任何用户。

未分配IP会出现在系统内置的“IP临时用户”中，所有做一条策略阻塞“IP临时用户”上网：。