使用步骤中兴3950交换机IP端口MAC绑定命令

中兴交换机数据配置流程图1.确定交换机管理vlan，本例子为vlan1002.确定用户vlan，本例子所有用户vlan为vlan23.确定用户vlan与端口的对应情况，本例子的所有用户端口都为vlan24.确定交换机管理地址，本例子为172.32.240.254/245.确定交换机主机名,本例子为zte6.确定交换机上行口,本例子为1口7.确定远程登陆交换机的用户名和密码,本例为zte与zte，enable密码为zte8.确定交换机的缺省网关，本例为 172.32.240.19.确定snmp团体属性子串，本例为zte10.确定snmp网管服务器地址，本例为10.40.92.105通过串口登陆交换机1.将交换机包装箱里的串口线(一头为RS232口，一头为RJ45)的RJ45口连接到中兴交换机前面板的console口2.串口线的RS232口连接到PC的串口3.打开PC的超级终端，COM端口属性请点击“还原为默认值”。

中兴交换机的COM属性为：每秒位数9600，数据位8，奇偶校验位无，停止位为1，数据流控制为无4.设置完毕敲回车连接5.输入用户名admin，密码zhongxing,再输入enable后回车，再输入密码zhongxing后进入全局配置模式，提示为zte(cfg)#。

中兴交换机缺省用户名和密码为admin和zhongxing,enable密码为zhongxing设置主机名zte(cfg)#hostname zte远程登陆设置zte(cfg)#create user zte //远程登录用户名zte(cfg)#loginpass zte //远程登录密码zte(cfg)#adminpass zte //enable密码端口协商配置一般需要将上行口配置成强制100M或者1000M全双工模式，对端设备也需要这么配置，此时如果端口起不来，可尝试更改回自适应模式zte(cfg)#set port 1 duplex full //上行口配置为强制全双工zte(cfg)#set port 1 speed 100 //上行口配置为强制100M (可选)zte(cfg)#set port 1 auto enable //上行口配置更改为自适应配置vlanzte(cfg)#set vlan 2 enable //创建vlan2 zte(cfg)#set vlan 100 enable //创建vlan100上行端口vlan配置本系列的交换机端口模式为混合模式，上行口一般配置为tag方式zte(cfg)#set vlan 100 add port 1 tag //将交换机管理vlan100绑定到上行口，以tag方式zte(cfg)#set vlan 2 add port 1 tag //将用户vlan2绑定到上行端口，以tag方式用户端口vlan配置用户端口一般以untag方式绑定到指定的vlan，这时候需要配置端口的pvid，该pvid与用户端口所绑定的vlan id一致zte(cfg)#set vlan 2 add port 2-24 untag //将用户vlan2绑定到用户端口zte(cfg)#set port 2-24 pvid 2 //配置用户端口的pvid交换机管理IP配置zte(cfg-router)#config router //进入交换机三层配置模式zte(cfg-router)#set ipport 0 ipaddress 172.32.240.254 255.255.255.0 //配置管理IPzte(cfg-router)#set ipport 0 vlan 100 //将管理IP绑定到管理vlan100zte(cfg-router)#set ipport 0 enable //启用该管理zte(cfg-router)#iproute 0.0.0.0 0.0.0.0 172.32.240.1 //配置缺省路由zte(cfg-router)#exit //退出三层配置模式Snmp属性配置说明：配置团体属性时 private表示相应的字串有读写权限，public 则只有只有读权限zte(cfg)#config snmp //进入交换机snmp配置模式zte(cfg-snmp)#create community zte private //创建团体字串，配置为private，表示该子串zte有读写权限zte(cfg-snmp)#create view zteview //创建视图zte(cfg-snmp)#set community zte view AllView //将团体字串与视图对应起来zte(cfg-snmp)#set traphost 10.40.92.105 zte //trap信息上告网管服务器zte(cfg-snmp)#exit //退出snmp配置模式端口隔离配置zte(cfg)#set pvlan session 1 add promiscuous-port 1 //上行口1配置为共享端口zte(cfg)#set pvlan session 1 add isolated-port 2-24 //用户端口配置为隔离端口二层组播配置zte(cfg)#set igmp snooping enable //启用igmpzte(cfg)#set igmp snooping add vlan 2 //设置igmp监听的vlan 为用户vlan用户端口速率限制zte(cfg)#set port 2-24 bandwidth egress on rate 1000 //设置用户端口的下行速率为1M，以1k为单位用户端口广播包限制zte(cfg)# set port 2-24 bandwidth ingress on rate 500 //配置上行广播包速率zte(cfg)# set port 2-24 ingess_limit_mode broadcast //设置上行速率限制模式为广播包用户端口mac学习限制zte(cfg)#set port 2-24 macaddress 1 //限制用户端口的mac地址学习数量为1个配置端口描述zte(cfg)#set port 1 description uplink-to-XXX //端口注释Vlan描述zte(cfg)#create vlan 100 name guanli //vlan描述保存交换机数据配置zte(cfg)#save //保存交换机数据配置zte(cfg)#exit //退出交换机。

关于IP地址与MAC地址绑定方法的简单介绍地市各位网管：现将IP地址与MAC地址绑定命令简单介绍如下：1、请在IP地址网关所在三层设备上进行IP地址与MAC地址绑定2、请对vlan内的所有地址都进行绑定，这样效果比较好。

3、CISCO设备绑定方法如下：配置模式下：对已用的地址进行绑定：arp 10.34.2.47 047d.7b30.84fe arpa对没用的地址也要绑定一个空MAC地址arp 10.34.2.48 0000.0000.0000 arpa4、华为设备绑定方法有两种，方法如下：（1）配置模式下：user-bind static ip-address 10.34.7.196 mac-address 047d-7b30-865d vlan 424需在接口下调用，示例如下：interface Ethernet0/0/4description 25F-4Cport link-type accessport default vlan 424ntdp enablendp enablebpdu enableip source check user-bind enable注意：如果在此端口上调用user-bind后，接入此端口的IP地址如不进行绑定，则接不了办公网络。

（2）与思科设备一样（但某些华为设备VRP版本需要升级,升级步骤请见附件）配置模式下：已用的地址进行绑定：arp static 10.34.2.47 047D-7B30-84FE vid 950如配置错误，删除命令是undo arp static 10.34.2.47由于版本不同，如此策略不生效，可用arp static 10.34.2.47 047D-7B30-84FE 不加vid试一试。

如再不行，则需要VRP版本升级，请大家注意。

对没用的地址也要绑定一个空MAC地址arp static 10.34.2.48 0000-0000-0000 vid 950华为400电话：400-8302118 也可以电话咨询。

中兴交换机数据配置流程图1.确定交换机管理vlan，本例子为vlan1002.确定用户vlan，本例子所有用户vlan为vlan23.确定用户vlan与端口的对应情况，本例子的所有用户端口都为vlan24.确定交换机管理地址，本例子为172.32.240.254/245.确定交换机主机名,本例子为zte6.确定交换机上行口,本例子为1口7.确定远程登陆交换机的用户名和密码,本例为zte与zte，enable密码为zte8.确定交换机的缺省网关，本例为 172.32.240.19.确定snmp团体属性子串，本例为zte10.确定snmp网管服务器地址，本例为10.40.92.105通过串口登陆交换机1.将交换机包装箱里的串口线(一头为RS232口，一头为RJ45)的RJ45口连接到中兴交换机前面板的console口2.串口线的RS232口连接到PC的串口3.打开PC的超级终端，COM端口属性请点击“还原为默认值”。

中兴交换机的COM属性为：每秒位数9600，数据位8，奇偶校验位无，停止位为1，数据流控制为无4.设置完毕敲回车连接5.输入用户名admin，密码zhongxing,再输入enable后回车，再输入密码zhongxing后进入全局配置模式，提示为zte(cfg)#。

中兴交换机缺省用户名和密码为admin和zhongxing,enable密码为zhongxing设置主机名zte(cfg)#hostname zte远程登陆设置zte(cfg)#create user zte //远程登录用户名zte(cfg)#loginpass zte //远程登录密码zte(cfg)#adminpass zte //enable密码端口协商配置一般需要将上行口配置成强制100M或者1000M全双工模式，对端设备也需要这么配置，此时如果端口起不来，可尝试更改回自适应模式zte(cfg)#set port 1 duplex full //上行口配置为强制全双工zte(cfg)#set port 1 speed 100 //上行口配置为强制100M(可选)zte(cfg)#set port 1 auto enable //上行口配置更改为自适应配置vlanzte(cfg)#set vlan 2 enable //创建vlan2 zte(cfg)#set vlan 100 enable //创建vlan100上行端口vlan配置本系列的交换机端口模式为混合模式，上行口一般配置为tag方式zte(cfg)#set vlan 100 add port 1 tag //将交换机管理vlan100绑定到上行口，以tag方式zte(cfg)#set vlan 2 add port 1 tag //将用户vlan2绑定到上行端口，以tag方式用户端口vlan配置用户端口一般以untag方式绑定到指定的vlan，这时候需要配置端口的pvid，该pvid与用户端口所绑定的vlan id一致zte(cfg)#set vlan 2 add port 2-24 untag //将用户vlan2绑定到用户端口zte(cfg)#set port 2-24 pvid 2 //配置用户端口的pvid交换机管理IP配置zte(cfg-router)#config router //进入交换机三层配置模式zte(cfg-router)#set ipport 0 ipaddress 172.32.240.254 255.255.255.0 //配置管理IPzte(cfg-router)#set ipport 0 vlan 100 //将管理IP绑定到管理vlan100zte(cfg-router)#set ipport 0 enable //启用该管理zte(cfg-router)#iproute 0.0.0.0 0.0.0.0 172.32.240.1 //配置缺省路由zte(cfg-router)#exit //退出三层配置模式Snmp属性配置说明：配置团体属性时 private表示相应的字串有读写权限，public 则只有只有读权限zte(cfg)#config snmp //进入交换机snmp配置模式zte(cfg-snmp)#create community zte private //创建团体字串，配置为private，表示该子串zte有读写权限zte(cfg-snmp)#create view zteview //创建视图zte(cfg-snmp)#set community zte view AllView //将团体字串与视图对应起来zte(cfg-snmp)#set traphost 10.40.92.105 zte //trap信息上告网管服务器zte(cfg-snmp)#exit //退出snmp配置模式端口隔离配置zte(cfg)#set pvlan session 1 add promiscuous-port 1 //上行口1配置为共享端口zte(cfg)#set pvlan session 1 add isolated-port 2-24 //用户端口配置为隔离端口二层组播配置zte(cfg)#set igmp snooping enable //启用igmpzte(cfg)#set igmp snooping add vlan 2 //设置igmp监听的vlan 为用户vlan用户端口速率限制zte(cfg)#set port 2-24 bandwidth egress on rate 1000 //设置用户端口的下行速率为1M，以1k为单位用户端口广播包限制zte(cfg)# set port 2-24 bandwidth ingress on rate 500 //配置上行广播包速率zte(cfg)# set port 2-24 ingess_limit_mode broadcast //设置上行速率限制模式为广播包用户端口mac学习限制zte(cfg)#set port 2-24 macaddress 1 //限制用户端口的mac地址学习数量为1个配置端口描述zte(cfg)#set port 1 description uplink-to-XXX //端口注释Vlan描述zte(cfg)#create vlan 100 name guanli //vlan描述保存交换机数据配置zte(cfg)#save //保存交换机数据配置zte(cfg)#exit //退出交换机。

交换机上实施IP与MAC的双向绑定(IPSG实例)部门： xxx时间： xxx整理范文，仅供参考，可下载自行编辑在交换机上实施IP与 MAC的双向绑定说明：不能够在二层交换上做基于 IP的双向绑定，但可在三层交换机上完成SW1(config># interface FastEthernet0/1SW1(config-if># switchport mode accessSW1(config-if>#switchport port-securitySW1(config-if># switchport port-security violation restrict //shutdown protect restrict SW1(config-if># switchport port-security mac-address 00b0.6451.c920SW1(config-if># spanning-tree portfastSW1(config-if># ip access-group 11 in //调用ACLSW1(config-if># exitSW1(config># access-list 11 permit 192.168.2.69IPSG 实验配置步骤QQ截图20180514042234.jpg (18.5 KB>2018-5-14 04:22 SW(config># ipdhcp snoopingSW(config># ipdhcp snooping vlan 1,10SW(config># ipdhcp snooping verify mac-addressSW(config># ip source binding 0000.0000.0001 vlan 10 172.16.1.5 interface f0/5SW(config># interface f0/1SW(config-if># switchport mode accessSW(config-if># switchport port-securitySW(config-if># ip verify source vlandhcp-snooping port-securitySW(config># interface f0/5SW(config-if># switchport mode accessSW(config-if># switchport port-securitySW(config-if># ip verify source vlandhcp-snooping port-securitySW(config-if># endb5E2RGbCAPQQ截图20180514042350.jpg (31.34 KB>2018-5-14 04:24一、配置 SW1的防护功能SW1(config># ipdhcp snooping //启用 DHCP Snooping SW1(config># ipdhcp snooping information option //启用82 选项SW1(config># ipdhcp snooping vlan 10,20 //DHCP监听作用的 VLANSW1(config># ipdhcp database flash:dhcp.db //将 DHCP绑定信息保存到dhcp.db中SW1(config># ipdhcp snooping verify mac-addressSW1(config># interface f0/21SW1(config-if># switchport mode accessSW1(config-if># switchport port-securitySW1(config-if># ip verify source port-securitySW1(config># interface f0/23SW1(config-if># switchport mode accessSW1(config-if># switchport port-securitySW1(config-if># ip verify source port-security可选配//SW1(config># ip source binding 0000.0000.0001 vlan 10 172.16.1.1 interface f0/2可选配//SW1(config># ip source binding 0000.0000.0002 vlan 20 172.16.2.1 interface f0/1SW1(config># iparp inspection vlan 10,20 //ARP检测基于VLAN10 VLAN20SW1(config># iparp inspection validate src-mac dst-macip //基于源 MAC 目标 MAC和 IP//DHCP服务器的配置DHCP-SERVER 使用路由器来完成Router(config># ipdhcp pool vlan10 定义地址池Router(config-vlan># network 172.16.1.0255.255.255.0 定义地址池做用的网段及地址范围Router(config-vlan># default-router 172.16.1.254 定义客户端的默认网关Router(config-vlan># dns-server 218.108.248.200 定义客户端的dnsRouter(config-vlan>#exitRouter(config># ipdhcp pool vlan20Router(config-vlan># network 172.16.2.0 255.255.255.0 Router(config-vlan># default-router 172.16.2.254Router(config-vlan># dns-server 218.108.248.200Router(config-vlan># exitRouter(config># ipdhcp excluded-address 172.16.1.100172.16.1.254 //配置保留地址段Router(config># ipdhcp excluded-address 172.16.2.100172.16.2.254Router(config># interface e0/0Router(config-if># ip address 172.16.3.1 255.255.255.0 Router(config-if># no shutdown交换机上的配置SW1(config># interface vlan 10SW1(config-if># ip address 172.16.1.254 255.255.255.0 SW1(config-if># ip helper-address 172.16.3.1 //以单播向DHCP-SERVER发送请求SW1(config-if># interface vlan20SW1(config-if># ip address 172.16.2.254 255.255.255.0 SW1(config-if># ip helper-address 172.16.3.1p1EanqFDPw申明：所有资料为本人收集整理，仅限个人学习使用，勿做商业用途。

在网络安全越来越重要的今天，高校和企业对于局域网的安全控制也越来越严格，普遍采用的做法之一就是IP地址、网卡的MAC地址与交换机端口绑定，我们通常说的MAC 地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机; 能根据MAC地址确定允许访问的设备;允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”;当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

一、首先必须明白两个概念：可靠的MAC地址。

配置时候有三种类型。

静态可靠的MAC地址：在交换机接口模式下手动配置，这个配置会被保存在交换机MAC地址表和运行配置文件中，交换机重新启动后不丢失(当然是在保存配置完成后)，具体命令如下：Switch(config-if)#switchport port-security mac-address Mac地址动态可靠的MAC地址：这种类型是交换机默认的类型。

在这种类型下，交换机会动态学习MAC地址，但是这个配置只会保存在MAC地址表中，不会保存在运行配置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。

黏性可靠的MAC地址：这种类型下，可以手动配置MAC地址和端口的绑定，也可以让交换机自动学习来绑定，这个配置会被保存在MAC地址中和运行配置文件中，如果保存配置，交换机重起动后不用再自动重新学习MAC地址，。

具体命令如下：Switch(config-if)#switchport port-security mac-address sticky其实在上面这条命令配置后并且该端口得到MAC地址后，会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address sticky Mac地址二、违反MAC安全采取的措施：当超过设定MAC地址数量的最大值，或访问该端口的设备MAC地址不是这个MAC 地址表中该端口的MAC地址，或同一个VLAN中一个MAC地址被配置在几个端口上时，就会引发违反MAC地址安全，这个时候采取的措施有三种：1.保护模式(protect)：丢弃数据包，不发警告。

中兴交换机配置流程和配置命令配置流程：1.连接中兴交换机：使用网线连接中兴交换机的管理端口与电脑的网口，确保网络通畅。

2.设置电脑IP地址：将电脑的IP地址设置为与交换机的管理口在同一个网段，例如交换机管理口的IP地址是192.168.1.1，电脑IP地址可以设置为192.168.1.23.打开浏览器：打开电脑上的浏览器，通过输入交换机管理口的IP 地址进入交换机管理页面。

4. 登录交换机：输入交换机的默认用户名和密码进行登录，通常为admin/admin。

5.进入系统配置：登录成功后，进入系统配置界面，配置交换机的基本信息，例如主机名、域名等。

6.配置接口：配置交换机的各个接口，包括端口的状态、速率、双工模式等。

可以配置端口的VLAN、IP地址等信息。

7.配置VLAN：根据网络需求，配置交换机的VLAN信息，包括创建VLAN、配置VLAN端口等。

8.配置静态路由：配置交换机的静态路由，将需要进行转发的目的网络与对应的出口接口进行关联。

9.配置访问控制列表（ACL）：根据网络安全需求，配置ACL来限制特定流量的通过或禁止。

10.配置QoS：配置交换机的QoS策略，用于对网络流量进行调度和优化，以满足不同应用的需求。

11.保存配置：完成以上配置后，通过保存配置将配置信息应用到交换机中，确保配置生效。

常用的配置命令：1. system-view：进入系统视图，进行全局配置。

2. interface interface-type interface-number：进入接口视图，配置接口相关信息。

3. ip address ip-address {mask ， mask-length}：配置接口IP 地址。

4. vlan 10：创建VLAN10。

5. vlan-interface vlan 10：进入VLAN10的接口视图，进行VLAN 的相关配置。

6. vlan 10 to 20：创建VLAN10至VLAN20的VLAN。

中兴3950/5950交换机的端口隔离命令查看交换机配置ND_ZHL_SW3>enableND_ZHL_SW3#show running首先：看那些端口是上联口trunk口ND_ZHL_SW3>enableND_ZHL_SW3#ND_ZHL_SW3#show vlan trunkVLAN Name IsDynamic PvidPorts UntagPorts TagPorts--------------------------------------------------------------------------------1 VLAN0001 NO30 VLAN0030 NO100 VLAN0100 NO fei_1/24 （注：24为trunk口那么，就要设置成上联口promis）ND_ZHL_SW3#第一：设置交换机端口隔离ND_ZHL_SW3>enableND_ZHL_SW3#ND_ZHL_SW3#configure terminalND_ZHL_SW3(config)#vlan private-map session-id 1 isolate fei_1/1-23 promis fei_1/24(注：fei_1/1-23是批量设置成隔离口，有多个上联口的话要分开写例如把23,24口设置成上联口，1到22是隔离口要这样写ND_ZHL_SW3(config)#vlan private-map session-id 1 isolate fei_1/1-21 promis fei_1/22，fei_1/23，fei_1/24 ）ND_ZHL_SW3(config)#exitND_ZHL_SW3#write第二：取消交换机端口隔离ND_ZHL_SW3>enableND_ZHL_SW3#configure terminalEnter configuration commands, one per line. End with CTRL/Z.ND_ZHL_SW3(config)#no vlan private-map session-id 1ND_ZHL_SW3(config)#exitND_ZHL_SW3#writeBuilding configuration......[OK]ND_ZHL_SW3#第三：查看隔离端口设置情ND_ZHL_SW3>enableND_ZHL_SW3#ND_ZHL_SW3#show vlan private-mapSession Isolate_Ports Promis_Ports Community_ports Vlan_Cfg Vlan------------------------------------------------------------------------------1 fei_1/1-22 fei_1/23-24 0附加一：备份交换机的配置文件。

神州数码DCS3950交换机进行端口绑定电脑新手办公数码电脑资料本文章来给大家介绍神州数码DCS-3950交换机进行端口绑定方法，有需要了解的同学可进入参考，以神州数码DCS-3950进行端口绑定端口绑定的重要性就不再多说了，防止电脑随意接入交换机一、仅MAC与端口绑定（通过Port-Security）DCS-3950-26C#confDCS-3950-26C(config)#int e0/0/1 --端口绑定需要进入到接口内部，仅对当前口生效DCS-3950-26C(config-if-ether0/0/1)#switchport port-security --开启端口平安模式DCS-3950-26C(config-if-ether0/0/1)#switchport port-security mac-address aa-22-33-44-55-66 --对aa-22-33-44-55-66与端口1进行绑定DCS-3950-26C(config-if-ether0/0/1)#测试现象，当aa-22-33-44-55-66这台电脑连接到端口1时，可以正常工作，连接到其他端口时，交换机不为其转发数据帧，网络不通；当其他MAC地址连入交换机时，插入到包括1在内的任意端口，都可以正常工作，交换机都为其转发。

端口平安缺省一个端口只能配置一个条目，如需配置多个条目，需要进行如下设置DCS-3950-26C(config-if-ether0/0/1)#switchport port-security maximum ?<1-128> Maximum addrs <1-128>输入所需的数目即可。

另外，port-security还可以动态学习，然后锁定，再转化，动态绑定DCS-3950-26C(config-if-ether0/0/1)#switchport port-security lockDCS-3950-26C(config-if-ether0/0/1)#switchport port-security convert锁定之后，交换机不再学习从这个端口新接入的MAC结论：被绑定的MAC地址只能工作在绑定的端口上；没有绑定的MAC地址可以工作在任意端口上。

中兴交换机配置流程和配置命令一、登录设备1. 首先，通过网线将电脑与中兴交换机的console端口相连。

2. 打开终端仿真软件，如SecureCRT、Putty等。

3.创建一个新的串口会话，选择正确的串口号和波特率，点击“打开”按钮连接设备。

4. 在终端仿真软件上输入交换机的IP地址和登录密码，按Enter键确认登录。

二、创建VLAN1.查看当前交换机上已有的VLAN信息，使用以下命令：show vlan2.创建一个新的VLAN，使用以下命令：vlan vlan-id [vlan-name]vlan-id为VLAN的编号，取值范围为1-4094；vlan-name为VLAN的名称，可选参数。

3.将端口添加到VLAN中，使用以下命令：port vlan vlan-id {port-string ， all} [untagged]vlan-id为VLAN的编号；port-string为端口的范围，如1-10；all表示所有端口；untagged可选参数，表示将端口设置为不带Tag的访问端口。

4.在创建完VLAN后，可以使用以下命令查看已配置的VLAN信息：show vlan三、配置端口1.进入接口配置模式，使用以下命令：interface interface-type interface-numberinterface-type为接口类型，如Ethernet、GigabitEthernet等；interface-number为接口编号。

2.配置接口的模式，使用以下命令：[switchport mode {access ， trunk}]access表示接口为访问模式，用于连接终端设备；trunk表示接口为Trunk模式，用于连接上层网络设备。

3.配置接口的访问模式下的VLAN信息，使用以下命令：switchport access vlan vlan-idvlan-id为所需的VLAN编号。

4. 配置Trunk模式下的VLAN信息，使用以下命令：switchport trunk vlan {add ， remove} vlan-idadd表示添加一个新的VLAN，remove表示移除一个VLAN；vlan-id为VLAN的编号。

mac与IP地址绑定方法（Cisco）用命令在绑定，具体方法如下：一、基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch＃c onfig terminal进入配置模式Switch（config）# Interface fastethernet 0/1＃进入具体端口配置模式Switch（config-if）#Switchport port-secruity＃配置端口安全模式Switch（config-if ）switchport port-security mac-address MAC（主机的MAC地址）＃配置该端口要绑定的主机的MAC地址Switch（config-if ）no switchport port-security mac-address MAC（主机的MAC地址）＃删除绑定主机的MAC地址二、基于MAC地址的扩展访问列表Switch（config）Mac access-list extended MAC＃定义一个MAC地址访问控制列表并且命名该列表名为MACSwitch（config）permit host 0009.6bc4.d4bf any＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch（config）permit any host 0009.6bc4.d4bf＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch（config-if ）interface Fa0/20#进入配置具体端口的模式Switch（config-if ）mac access-group MAC in＃在该端口上应用名为MAC的访问列表（即前面我们定义的访问策略）Switch（config）no mac access-list extended MAC＃清除名为MAC的访问列表三、IP地址的MAC地址绑定只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。

交换机ip和mac绑定与解绑操作步骤第一步：把客户端电脑设置Ip与交换机接口网关地址同网段。

第二步：打开SecureCRT软件的主程序“SecureCRT”，复制注册说明里面的许可密钥。

即可击活软件。

第三步：打开软件后，左上角，文件----快速连接---协议：SSH2，主机名：交换机的管理ip，端口：22，防火墙：无，用户名：交接机的管理用户名，连接---接受并保存。

命令代码：查看当前全部配置ZXR10#show running命令代码一：绑定端口和ip过程ZXR10#configure terminalZXR10(config)# ip dhcp snooping binding 3c97.0e71.4fba vlan 100 10.145.136.7 fei_1/4 ZXR10(config)# ip dhcp snooping binding 3c97.0e71.4fbb vlan 100 10.145.136.8 fei_1/5 ZXR10(config)# ip dhcp snooping binding 3c97.0e71.4fbc vlan 100 10.145.136.8 fei_1/6 (有多个端口，ip批量输入绑定，红色部分是可变的，MAC地址，IP地址，端口号) ZXR10(config)#ip dhcp database writeZXR10(config)#exitZXR10#write （保存）命令代码二：解除端口和ip过程ZXR10#configure terminalZXR10(config)#show ip dhcp snooping databaseZXR10(config)#no ip dhcp snooping binding 60a4.4cc9.228e vlan 100 fei_1/4(红色部分是可变的，MAC地址，端口号，注意解绑是不用输入IP的)ZXR10(config)#exitZXR10#write （保存）命令代码三：查看绑定的mac 端口ip 情况ZXR10#show ip dhcp snooping database命令代码四：例如打开交换机端口10ZXR10#configure terminalZXR10(config)#interface fei_1/10ZXR10(config-fei_1/10)#no shutdownZXR10(config)#exitZXR10#write （保存）命令代码五：关闭交换机端口10ZXR10#configure terminalZXR10(config)#interface fei_1/10ZXR10(config-fei_1/10)#shutdownZXR10(config)#exitZXR10#write （保存）命令代码七：查看交换机端口10接的终端设备的mac地址ZXR10#show mac interface fei1/10命令代码八：查看交换机每个端口接的终端设备的mac地址ZXR10#show mac vlan 100(注：24口是公共口，学习到所有的mac表，其它的是对应的各个接口终端mac地址)。

交换机IP地址绑定一、基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch＃c onfig terminal进入配置模式Switch（config）# Interface fastethernet 0/1＃进入具体端口配置模式Switch（config-if）#Switchport port-secruity＃配置端口安全模式Switch（config-if ）switchport port-security mac-address MAC（主机的MAC地址）＃配置该端口要绑定的主机的MAC地址Switch（config-if ）no switchport port-security mac-address MAC（主机的MAC地址）＃删除绑定主机的MAC地址二、基于MAC地址的扩展访问列表Switch（config）Mac access-list extended MAC＃定义一个MAC地址访问控制列表并且命名该列表名为MACSwitch（config）permit host 0009.6bc4.d4bf any＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch（config）permit any host 0009.6bc4.d4bf＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch（config-if ）interface Fa0/20#进入配置具体端口的模式Switch（config-if ）mac access-group MAC in＃在该端口上应用名为MAC的访问列表（即前面我们定义的访问策略）Switch（config）no mac access-list extended MAC＃清除名为MAC的访问列表三、IP地址的MAC地址绑定只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。

交换机远程登录管理操作步骤①单击“开始－＞运行－＞cmd－＞telnet 10.10.68.……－＞输入密码”；②输入正确密码后登录交换机，输入“en”回车，再次输入密码进入超级管理模式；③绑定Mac地址命令为：#conf ter#Int fa0/18#shutdown …………………………关闭端口#switch mode access#switch access vl 1#switch port-security#switch port-security maximum 2 ……端口所绑定的Mac地址数量#switch port-security violation shutdown#switch port-security mac-address 0010.dcef.0c98#switch port-security mac-address 0110.0e3c.567d#no shutdown ……………………………开启端口命令#end …………………………………………结束命令，返回上一级目录#wr …………………………………………为保存配置③查看交换机所有端口状态“show int status”继续往下查看继续按回车键；Disabled为关闭状态Connected为连接状态，交换机显示为亮灯Notconnect为没有连接状态，交换机灯灭Err-disabled为出错关闭状态，可能为mac地址错误交换机自动关闭端口④重新开启端口命令为：进入某端口命令为“conf terInt fa0/1ShutdownNo shutdownEndWr”⑤然后输入“exit”退出即可。

⑥根据已知Mac地址，查看交换机某个端口show Mac-address-table | in 00e0.4c3c.9c83⑦查看某个端口的Mac地址：sh mac-address-table int fa0/8查看网络arp攻击：登陆主干交换机10.10.68.1 然后输入show proc cpu | e 0.00已知mac地址查看交换机端口号：show mac-address-table | in mac地址show mac-address-table add mac地址已知mac地址或者ip 查对应的ip或者mac地址：登陆主干交换机show arp | in mac地址(ip)。