华为s5700ip+mac绑定

Quidway® S5700系列全千兆企业网交换机产品概述Quidway® S5700系列全千兆企业网交换机（以下简称S5700），是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代绿色节能的全千兆高性能以太网交换机。

它基于新一代高性能硬件和华为公司统一的VRP®（Versatile Routing Platform）平台，具备大容量、高密度千兆端口，可提供万兆上行，充分满足客户对高密度千兆和万兆上行设备的需求，同时针对企业网用户的园区网接入、汇聚、IDC千兆接入以及千兆到桌面等多种应用场景，融合了可靠、安全、绿色环保等先进技术，采用简单便利的安装维护手段，帮助客户减轻网络规划、建设和维护的压力，助力企业搭建面向未来的IT网络。

S5700系列以太网交换机为盒式设备，机箱高度为1U，提供标准型（SI）和增强型（EI）两种产品版本。

标准型支持二层和基本的三层功能，增强型支持复杂的路由协议和更为丰富的业务特性，包含型号如下：S5700-24TP-SI-AC/DC、S5700-24TP-PWR-SI、S5700-48TP-SI-AC/DC、S5700-48TP-PWR-SI、S5700-28C-SI、S5700-28C-EI、S5700-28C-EI-24S、S5700-28C-PWR-EI、S5700-52C-SI、S5700-52C-EI、S5700-52C-PWR-EI。

产品外观S5700系列交换机包括如下款型：S5700-52C-EI产品特点●强大的多业务支持能力S5700支持IGMP v1/v2/v3 Snooping/Filter/Fast Leave/Proxy等协议。

S5700支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控组播，可以充分满足IPTV和其他组播业务的需求。

S5700支持MCE 功能，实现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。

华为s5700交换机配置1.通过串口和交换机的console口相连2. 在PC上单击“开始> 所有程序> 附件> 通讯> 超级终端”打开超级终端软件，如图4-15所示新建一个连接。

3. 设置连接端口，如图4-16所示。

14. 设置端口通信参数，如果用户配置过用户界面，参数需要保持一致，如果没配置过，则与设备缺省值保持一致。

图4-17 端口通信参数设置#添加VLAN<Quidway> system-view[Quidway] vlan 10[Quidway-vlan10] quit#设定端口模式<Quidway> system-view[Quidway] int gigabitethernet 0/0/21[Quidway-GigabitEthernet0/0/21] port link-type access[Quidway-GigabitEthernet0/0/21]quit#将端口加入Vlan<Quidway> system-view[Quidway] vlan 10[Quidway-vlan10] port gigabitethernet 0/0/21[Quidway- vlan10] quit#设置VLAN IP(管理IP)<Quidway> system-view[Quidway] interface vlanif 10[Quidway-Vlanif10] ip address 192.168.0.253 255.255.255.0[Quidway- Vlanif10] shutdown[Quidway- Vlanif10] undo shutdown#开启http 服务< Quidway >dirDirectory of flash:/Idx Attr Size(Byte) Date Time FileName0 -rw- 955 Feb 09 2012 16:16:09 private-data.txt1 -rw- 1,089,840 Jan 01 1970 00:02:05S5700SI-V100R005C01SPC100.web.zip2 -rw- 10,215,068 Oct 01 2008 00:02:28 3 -rw- 626,426 Jan 01 1970 00:03:17 s27_37_57-v100r005sph008.pat4 -rw- 12,240 Jan 01 1970 00:03:19 $_patchstate_reboot5 -rw- 706 Feb 09 2012 17:33:05 vrpcfg.zip31,620 KB total (19,928 KB free)< Quidway >system-view[Quidway]http server load S5700SI-V100R005C01SPC100.web.zip[Quidway]http server enable设置电脑ip和192.168.0.253 在同一网段并且电脑能够和192.168.0.253ping通检测方法：浏览器打开http://192.168.0.253User:admin Pwd:admin#重启[Quidway] reboot。

华为交换机怎么绑定绑定ip地址/MAC地址交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

有时为了预防IP地址被盗用等网络安全威胁的问题，需要设置绑定呢，具体怎么设置呢?下面我们就来看看详细的设置教程，需要的朋友可以参考下方法步骤1、打开模拟器，创建一台交换机和两台PC、开机，配置好IP地址，一台PC备用。

2、交换机配置Vlan，把端口模式改为Access模式，把端口加入到Vlan100里，测试PC到交换机网通信是否正常。

当前没有路由器网管配置或不配置没有关系。

能ping通交换机。

3、接下来做绑定配置，在GigabitEthernet0/0/1端口上绑定当前PC的IP和MAC地址，Vlan。

命令格式：在配置模式下，[Huawei] user-bind static ip address x.x.x.x mac address xxxx-xxxx-xxxx interface GigabitEthernet 0/0/1 vlan ID 。

4、下一步绑定完了之后，我们再连接另一台备用的PC到交换机interface GigabitEthernet 0/0/1 端口上。

5、换了另一台PC会不会ping通交换机。

很显然已经ping不同。

怎么样?是不是很简单呢?补充：交换机基本使用方法作为基本核心交换机使用，连接多个有线设备使用：网络结构如下图，基本连接参考上面的【方法/步骤1：基本连接方式】作为网络隔离使用：对于一些功能好的交换机，可以通过模式选择开关选择网络隔离模式，实现网络隔离的作用，可以只允许普通端口和UPlink端口通讯，普通端口之间是相互隔离不可以通讯的除了作为核心交换机(中心交换机)使用，还可以作为扩展交换机(接入交换机)来扩展网络放在路由器上方，扩展网络供应商的网络线路(用于一条线路多个IP的网络)，连接之后不同的路由器用不同的IP连接至公网相关阅读：交换机硬件故障常见问题电源故障：由于外部供电不稳定，或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止，从而不能正常工作。

华为交换机怎么绑定绑定i p地址和m a c地址交换机除了能够连接同种类型的网络之外，还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。

华为交换机怎么绑定绑定i p地址/M A C地址?主要是预防I P地址被盗用等网络安全威胁的问题，该怎么设置绑定呢?下面我们就来看看详细的设置教程，需要的朋友可以参考下具体步骤1、打开模拟器，创建一台交换机和两台P C、开机，配置好I P地址，一台P C备用。

2、交换机配置V l a n，把端口模式改为A c c e s s模式，把端口加入到V l a n100里，测试P C到交换机网通信是否正常。

当前没有路由器网管配置或不配置没有关系。

能p i n g通交换机。

3、接下来做绑定配置，在G i g a b i t E t h e r n e t0/0/1端口上绑定当前P C的I P和M A C地址，V l a n。

命令格式：在配置模式下，[H u a w e i] u s e r-b i n d s t a t i c i p a d d r e s s x.x.x.x m a c a d d r e s s x x x x-x x x x-x x x x i n t e r f a c eG i g a b i t E t h e r n e t0/0/1v l a n I D。

4、下一步绑定完了之后，我们再连接另一台备用的P C到交换机 i n t e r f a c e G i g a b i t E t h e r n e t0/0/1端口上。

5、换了另一台P C会不会p i n g通交换机。

很显然已经p i n g不同。

怎么样?是不是很简单呢?相关阅读：交换机工作原理过程交换机工作于O S I参考模型的第二层，即数据链路层。

交换机内部的C P U会在每个端口成功连接时，通过将M A C地址和端口对应，形成一张M A C表。

在今后的通讯中，发往该M A C地址的数据包将仅送往其对应的端口，而不是所有的端口。

华为交换机怎么绑定绑定ip地址/MAC地址交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

有时为了预防IP地址被盗用等网络安全威胁的问题，需要设置绑定呢，具体怎么设置呢?下面我们就来看看详细的设置教程，需要的朋友可以参考下方法步骤1、打开模拟器，创建一台交换机和两台PC、开机，配置好IP地址，一台PC备用。

2、交换机配置Vlan，把端口模式改为Access模式，把端口加入到Vlan100里，测试PC到交换机网通信是否正常。

当前没有路由器网管配置或不配置没有关系。

能ping通交换机。

3、接下来做绑定配置，在GigabitEthernet0/0/1端口上绑定当前PC的IP和MAC地址，Vlan。

命令格式：在配置模式下，[Huawei]user-bindstaticipaddressx.x.x.xmacaddressxxxx-xxxx-xxxxinterfaceGigabitEthernet0/0/1vlanID。

4、下一步绑定完了之后，我们再连接另一台备用的PC到交换机interfaceGigabitEthernet0/0/1端口上。

5、换了另一台PC会不会ping通交换机。

很显然已经ping 不同。

怎么样?是不是很简单呢?补充：交换机基本使用方法作为基本核心交换机使用，连接多个有线设备使用：网络结构如下图，基本连接参考上面的【方法/步骤1：基本连接方式】作为网络隔离使用：对于一些功能好的交换机，可以通过模式选择开关选择网络隔离模式，实现网络隔离的作用，可以只允许普通端口和UPlink端口通讯，普通端口之间是相互隔离不可以通讯的除了作为核心交换机(中心交换机)使用，还可以作为扩展交换机(接入交换机)来扩展网络放在路由器上方，扩展网络供应商的网络线路(用于一条线路多个IP的网络)，连接之后不同的路由器用不同的IP连接至公网相关阅读：交换机硬件故障常见问题电源故障：由于外部供电不稳定，或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止，从而不能正常工作。

华为交换机怎么绑定绑定ip地址和mac地址具体步骤1、打开模拟器，创建一台交换机和两台PC、开机，配置好IP地址，一台PC备用。

2、交换机配置Vlan，把端口模式改为Access模式，把端口加入到Vlan100里，测试PC到交换机网通信是否正常。

当前没有路由器网管配置或不配置没有关系。

能ping通交换机。

3、接下来做绑定配置，在GigabitEthernet0/0/1端口上绑定当前PC的IP和MAC地址，Vlan。

命令格式：在配置模式下，[Huawei] user-bind static ip address x.x.x.x mac address xxxx-xxxx-xxxx interface GigabitEthernet 0/0/1 vlan ID 。

4、下一步绑定完了之后，我们再连接另一台备用的PC 到交换机interface GigabitEthernet 0/0/1 端口上。

5、换了另一台PC会不会ping通交换机。

很显然已经ping 不同。

怎么样?是不是很简单呢?相关阅读：交换机工作原理过程交换机工作于OSI参考模型的第二层，即数据链路层。

交换机内部的CPU会在每个端口成功连接时，通过将MAC 地址和端口对应，形成一张MAC表。

在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。

因此，交换机可用于划分数据链路层广播，即冲突域;但它不能划分网络层广播，即广播域。

交换机拥有一条很高带宽的背部总线和内部交换矩阵。

交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会学习新的MAC地址，并把它添加入内部MAC地址表中。

使用交换机也可以把网络分段，通过对照IP地址表，交换机只允许必要的网络流量通过交换机。

常用命令：1、关闭telnet服务Undo telnet server enable2、关闭NDP邻居发现协议Undo ndp enable3、关闭DHCP服务Undo dhcp enable4、查看当前生效的配置信息：display current-configuration5、对于某些正在生效的配置参数，如果与缺省参数相同，则不显示。

查看当前视图下生效的配置信息：display this6、对于某些正在生效的配置参数，如果与缺省参数相同，则不显示。

如果还需要显示当前视图下未被修改的缺省配置，可以执行命令display this include-default进行查看。

7、VLAN创建vlan 100 创建一组VLAN：vlan batch 10-20 批量删除VLAN：un vlan batch 10-208、查看vlan列表：dis vlan9、端口管理：int g0/0/110、端口模式配置：port link-type access11、端口加入VLAN：port default vlan 1012、关闭信息提示服务un info en undo info enable13、user-bind static ip-address 10.0.85.10 mac-address 5489-9833-3520 interface GigabitEthernet0/0/23配置端口IP\MAC地址绑定NTP时钟服务器配置查看NTP各种状态1、查看本地设备的NTP会话信息。

display ntp-service sessions2、查看本地设备NTP会话的详细信息display ntp-service sessions verbose3、查看从本地设备到参考时钟源的路径display ntp-service trace4、查看NTP报文的统计信息display ntp-service statistics packet5、查看最新的10条时钟不同步原因display ntp-service event clock-unsync查看最新的10条时钟不同步原因设置时间服务器地址查看NTP状态<S2300>dis clock2018-06-11 09:24:59MondayTime Zone(cst) : UTC+08:00<S2300>dis ntp-service statusclock status: unsynchronizedclock stratum: 16reference clock ID: nonenominal frequency: 60.0002 Hzactual frequency: 60.0002 Hzclock precision: 2^17clock offset: 0.0000 msroot delay: 0.00 msroot dispersion: 2.85 mspeer dispersion: 0.00 msreference time: 00:00:00.000 UTC Jan 1 1900(00000000.00000000)查看ntp服务会话<S2300>dis ntp-service sessionssource reference stra reach poll now offset delay disper******************************************************************************** [12345]10.0.10.176.79.67.7613776438m-0.00.0note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured,6 vpn-instance修改接口的链路类型接口的链路类型总共有4种，分别为：Access、Trunk、Hybrid、Dot1q-tunnel。

常见MAC操作MAC地址（英语：Media Access Control Address），直译为媒体存取控制位址，也称为局域网地址（LAN Address），MAC位址，以太网地址（Ethernet Address）或物理地址（Physical Address），它是一个用来确认网络设备位置的位址。

在OSI模型中，第三层网络层负责IP 地址，第二层数据链路层则负责MAC位址。

MAC地址用于在网络中唯一标示一个网卡，一台设备若有一或多个网卡，则每个网卡都需要并会有一个唯一的MAC地址。

一、查看所有的MAC地址<HUAWEI>display mac-address二、查看某个接口学习到的MAC地址<HUAWEI>display mac-address dynamic gigabitethernet 1/0/1三、查看某个VLAN学习到的MAC地址<HUAWEI>display mac-address dynamic vlan 10四、查看系统的MAC地址二层接口的MAC地址就是设备的MAC地址<HUAWEI>display interface gigabitethernet 1/0/1五、查看VLANIF接口的MAC地址<HUAWEI>display interface vlanif 10六、根据IP获取对应设备的MAC地址例如：根据IP地址：192.168.2.1获取对应的MAC地址<HUAWEI>display arp| include 192.168.2.1七、配置静态MAC地址将与设备相连的固定上行设备或信任的用户的MAC地址配置为静态MAC表项，可以保证安全通讯。

<HUAWEI>system-view[HUAWEI]vlan 10[HUAWEI-vlan10]quit[HUAWEI]interface GigabitEthernet 0/0/1[HUAWEI- GigabitEthernet0/0/1]port link-typa access[HUAWEI- GigabitEthernet0/0/1]port default vlan 10[HUAWEI- GigabitEthernet0/0/1]quit[HUAWEI]mac-address static 0000-0012-003FH gigabitethernet 0/0/1 vlan 10 //mac地址0000-0012-003FH和gigabitethernet 0/0/1静态绑定。

配置通过IPSG功能对IP报文的接口+IP+MAC信息进行匹配检查示例组网需求如图1所示，HostA与HostB分别与Switch的GE0/0/1和GE0/0/2接口相连。

要求使HostB 不能仿冒HostA的IP和MAC欺骗Server，保证HostA的IP报文能正常上送。

图1 配置IPSG组网图配置思路采用如下的思路在Switch上配置IPSG功能（假设用户的IP地址是静态分配的）：1. 接口使能IP报文检查功能。

连接HostA和HostB的接口都需要使能该功能。

2. 配置静态绑定表，对于静态配置IP的用户建立绑定关系表。

说明：以下配置步骤中，只列出了和IP Source Guard配置相关的命令。

操作步骤1. 配置IP报文检查功能# 在连接HostA的GE0/0/1接口使能IP报文检查功能。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] interface gigabitethernet 0/0/1[Switch-GigabitEthernet0/0/1] ip source check user-bind enable# 在连接HostA的GE0/0/1接口使能IP报文检查告警功能并配置告警阈值。

[Switch-GigabitEthernet0/0/1] ip source check user-bind alarm enable[Switch-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200 [Switch-GigabitEthernet0/0/1] quit# 在连接HostB的GE0/0/2接口使能IP报文检查功能。

[Switch] interface gigabitethernet 0/0/2[Switch-GigabitEthernet0/0/2] ip source check user-bind enable# 在连接HostB的GE0/0/2接口使能IP报文检查告警功能并配置告警阈值。

华为交换机绑定IP和MAC地址IPSG（IP和MAC绑定）配置功能介绍：IPSG可以防⽌恶意主机伪造合法主机的IP地址仿冒合法主机来访问⽹络或攻击⽹络它是利⽤交换机上的绑定表过滤⾮法主机发送的报⽂，以阻⽌⾮法主机访问⽹络或者攻击⽹络绑定表分为静态绑定表和DHCP Snooping动态绑定表静态绑定表：通过user-bind命令⼿⼯配置。

该⽅法使⽤于局域⽹络中主机数较少，且主机使⽤静态配置Ip地址的⽹络环境DHCP Snooping动态绑定表：配置DHCP Snooping功能后，DHCP主机动态获取IP地址时，设备根据DHCP服务器发送的DHCP回复报⽂动态⽣成。

该⽅式适⽤于局域⽹络中主机较多，且主机使⽤DHCP动态获取Ip地址的⽹络环境下⾯来看静态配置⽰例：需求：1、某公司员⼯通过交换机连接⽹络，研发⼈员ip地址为10.0.0.1，⼈⼒资源员⼯ip地址为10.0.0.11，设备上配置ACL，只允许⼈⼒资源员⼯10.0.0.11可以访问internet2、在⼈⼒资源员⼯出差关机的情况下，研发员⼯也不能通过私⾃将ip地址更改为10.0.0.11访问internet配置思路：1、在switch上创建研发员⼯和⼈⼒资源员⼯的绑定表2、在Switch的GE0/0/1和GE0/0/2接⼝下使能IPSG检查功能操作步骤：system-view //进⼊系统视图user-bind static ip-address 10.0.0.1 mac 0000-0000-0001 //创建研发⼈员绑定表项user-bind static ip-address 10.0.0.11 mac 0000-0000-0002 //创建⼈⼒资源员⼯的绑定表项interface g0/0/1 //进⼊GE0/0/1接⼝视图ip source check user-bind enable //使能GE0/0/1接⼝的IPSG检查功能interface g0/0/2 //进⼊GE0/0/2接⼝视图ip source check user-bind enable //使能GE0/0/2接⼝的IPSG检查功能动态配置⽰例：需求：公司某部门员⼯IP地址均通过DHCP⽅式获取，通过部署IPSG实现员⼯只能使⽤DHCP Server分配的IP地址，不允许私⾃配置静态IP地址，如果私⾃制定IP地址将⽆法访问⽹络配置思路1、在switch上配置DHCP Snooping功能，⽣成DHCP snooping 动态绑定表2、在switch连接员⼯主机的vlan10上使能IPSG功能跳过dhcp配置，假设pc 通过DHCP⽅式动态获取到IP地址system-view //进⼊系统视图dhcp enable //全局使能DHCP功能dhcp snooping //全局使能DHCP Snooping 功能vlan10 // 进⼊vlan10视图dhcp Snooping enable //在vlan视图下使能DHCP Snooping功能dhcp Snooping trusted interface g0/0/3 //将连接DHCP server的g0/0/3接⼝配置为信任接⼝ip source check user-bind enable //基于vlan使能IPSG检查功能。

Quidway S5700系列全千兆企业网交换机产品概述：Q uidway S5700系列全千兆企业网交换机（以下简称S5700），是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代绿色节能的全千兆高性能以太网交换机。

它基于新一代高性能硬件和华为公司统一的VRP?（ Versatile RoutingPlatform）平台，具备大容量、高密度千兆端口，可提供万兆上行，充分满足客户对高密度千兆和万兆上行设备的需求，同时针对企业网用户的园区网接入、汇聚、IDC千兆接入以及千兆到桌面等多种应用场景，融合了可靠、安全、绿色环保等先进技术，采用简单便利的安装维护手段，帮助客户减轻网络规划、建设和维护的压力，助力企业搭建面向未来的IT网络。

S5700系列以太网交换机为盒式设备，机箱高度为1U，提供标准型（SI）和增强型（EI）两种产品版本。

标准型支持二层和基本的三层功能，增强型支持复杂的路由协议和更为丰富的业务特性。

产品规格：强大的多业务支持能力S5700支持IGMP v1/v2/v3 Snooping/Filter/FastLeave/Proxy等协议。

S5700支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控组播，可以充分满足IPTV 和其他组播业务的需求。

S5700支持MCE 功能，实现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。

完备的高可靠保护机制S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持SmartLink和RRPP等增强型以太网技术，可以实现毫秒级链路保护倒换，保证高可靠性的网络质量。

此外，针对Smartlink 和 RRPP均提供多实例功能，可实现链路负载分担，进一步提高了链路带宽利用率。

S5700支持以太Trunk（E-Trunk）功能。

在使用ETrunk之后，CE设备可以通过E-Trunk双归接入到两台PE设备上。

目录1 以太网配置以太网接口配置配置端口隔离示例链路聚合配置配置手工负载分担模式链路聚合示例配置静态LACP模式链路聚合示例VLAN配置配置基于接口划分VLAN示例配置基于MAC地址划分VLAN示例配置基于IP子网划分VLAN示例配置基于协议划分VLAN示例配置VLAN间通过VLANIF接口通信示例配置VLAN聚合示例配置MUX VLAN示例配置自动模式下的Voice VLAN示例配置手动模式下的Voice VLAN示例VLAN Mapping配置配置单层Tag的VLAN Mapping示例配置单层Tag的VLAN Mapping示例（N：1）QinQ配置配置基于接口的QinQ示例配置灵活QinQ示例配置灵活QinQ示例-VLAN Mapping接入配置VLANIF接口支持QinQ Stacking示例GVRP配置配置GVRP示例MAC表配置配置MAC表示例配置基于VLAN的MAC地址学习限制示例配置接口安全示例配置MAC防漂移示例配置全局MAC漂移检测示例STP/RSTP配置配置STP功能示例配置RSTP功能示例MSTP配置配置MSTP的基本功能示例配置MSTP多进程下单接环和多接环接入示例SEP配置配置SEP封闭环示例配置SEP多环示例配置SEP混合环示例配置SEP+RRPP混合环组网示例（下级网络拓扑变化通告）配置SEP多实例示例二层协议透明传输配置配置基于接口的二层协议透明传输示例配置基于VLAN的二层协议透明传输示例配置基于QinQ的二层协议透明传输示例Loopback Detection配置配置Loopback Detection示例1以太网配置本文档针对S5700的以太网业务，主要包括以太网接口配置、链路聚合配置、VLAN配置、VLAN Mapping配置、QinQ配置、GVRP配置、MAC表配置、STP/RSTP、MSTP配置、SEP配置、二层协议透明传输配置、Loopback Detection配置。

华为S5300/S5700：IP地址与网卡MAC地址绑定（端口绑定法）
1.V100R002版本，直接在物理接口上做：
进入端口2后，直接将IP：192.168.10.254与电脑网卡MAC地址：0030-18AF-989C进行绑定。

图中红线标记的是绑定语句，蓝线标记的是交换机给回的反馈信息，说明绑定成功。

使用dis cu命令查看配置信息发现：
在端口下，有2个服务被打开了。

Arp anti-attack check user-bind enable (arp协议抗攻击检查绑定服务)，这个服务可以防止局域网内的arp欺骗，默认开启，可以手动用undo命令关闭，不影响IP与MAC地址绑定效果。

IP source check user-bind enable (Ip资源检查绑定服务)，这个是决定绑定能否生效的关键命令，手动用undo命令关闭后，绑定就失效了。

2.V100R005版本，在sys视图下
再用dis cu命令查看
发现上面的2个服务没有自动打开，这时绑定是没有生效的，需要在端口4里输入IP source
check user-bind enable 才能使绑定生效。

注意：
这种方法的缺点是：设备必须是三层设备，而且必须有三层接口IP地址（也就是端口所在Vlan必须配置IP地址）才可以实现IP和端口绑定，而一般客户的绑定都是在接入层做的，而接入层是不会放三层交换机这种奢侈设备的，所以这种方法实用性并不强。

配置通过IPSG功能对IP报文的接口+IP+MAC信息进行匹配检查示例组网需求如图1所示，HostA与HostB分别与Switch的GE0/0/1和GE0/0/2接口相连。

要求使HostB不能仿冒HostA的IP和MAC欺骗Server，保证HostA的IP报文能正常上送。

图1 配置IPSG组网图配置思路采用如下的思路在Switch上配置IPSG功能（假设用户的IP地址是静态分配的）：1. 接口使能IP报文检查功能。

连接HostA和HostB的接口都需要使能该功能。

2. 配置静态绑定表，对于静态配置IP的用户建立绑定关系表。

说明：以下配置步骤中，只列出了和IP Source Guard配置相关的命令。

操作步骤1. 配置IP报文检查功能# 在连接HostA的GE0/0/1接口使能IP报文检查功能。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] interface gigabitethernet 0/0/1[Switch-GigabitEthernet0/0/1] ip source check user-bind enable# 在连接HostA的GE0/0/1接口使能IP报文检查告警功能并配置告警阈值。

[Switch-GigabitEthernet0/0/1] ip source check user-bind alarm enable[Switch-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200[Switch-GigabitEthernet0/0/1] quit# 在连接HostB的GE0/0/2接口使能IP报文检查功能。

[Switch] interface gigabitethernet 0/0/2[Switch-GigabitEthernet0/0/2] ip source check user-bind enable# 在连接HostB的GE0/0/2接口使能IP报文检查告警功能并配置告警阈值。

1、登录学校路由器：Telnet 学校公网地址（不知道自己的互联网出口地址的可以看一下电脑的网关地址），然后回车如：telnet 60.219.7.229 回车或者Telnet 电脑ip的网关2、提示你输入路由的用户名和密码，在输入密码的时候是看不到输入的字符的，因为密码设置的为cipher模式。

然后敲回车。

3、输入dis arp，查看arp缓存信息这里记录者目前电脑通过自动获取的IP地址信息。

老师们可以将其复制到excel表格里，但是最好能确定mac地址所对应的是哪一台电脑。

4、然后执行system命令，敲回车，进入全局模式<twzx>会变成[twzx]5、在全局模式下关闭DHCP ，执行命令undo dhcp enable 回车，下面所有设备将不能自动获取地址，如图5、在全局模式下输入user-bind static ip-address x.x.x.x mac-address xxxx-xxxx-xxxx 敲回车如下图：对1.1.1.1进行绑定（删除绑定在命令前面加入undo）6、在全局模式下输入：dis dhcp static user-bind all 可查看绑定信息。

如图7、绑定的1.1.1.1 只能给0001-0001-0001 mac地址的电脑使用。

其他mac地址无法使用该IP地址。

8、还有一种方法：使用arp static x.x.x.x xxxx-xxxx-xxxx ，这样也可以做绑定。

绑定如图：以上通过arp绑定的方法需要将局域网内的所有IP与mac进行，例如一个局域网中有4台电脑，通过arp static绑定了4个电脑对应的ip与mac地址，但是这4台电脑还可以修改为没有做绑定的IP地址进行上网192.168.1.2 2222-2222-2222 （黎明）192.168.1.3 3333-3333-3333 （刘德华）192.168.1.4 4444-4444-4444 （周润发）192.168.1.5 5555-5555-5555 （梁朝伟）。

华为交换机mac访问控制策略
华为交换机的MAC访问控制策略是一种通过限制MAC地址
的方式来控制网络访问的策略。

它通过对交换机端口或
VLAN绑定MAC地址表项，实现对MAC地址的访问控制。

具体的MAC访问控制策略步骤如下：
1. 创建MAC地址表项：在交换机上创建一个MAC地址表项，表项包括MAC地址和对应的端口或VLAN。

2. 配置策略：通过命令行或Web界面配置MAC地址表项的
访问控制策略，可以设置允许或禁止某个MAC地址访问网络。

3. 绑定MAC地址：将MAC地址表项与交换机的端口或
VLAN进行绑定，实现对MAC地址的访问控制。

4. 保存配置：保存配置并使其生效。

通过以上步骤，华为交换机的MAC访问控制策略就能够限制
某些MAC地址的访问，提高网络的安全性和可靠性。