关于二层交换MAC与端口绑定的方法

组网需求：交换机对PC1进行IP + MAC-端口绑定，使交换机的端口E1/0/1下，只允许PC1上网，而PC1在其他端口上还可以上网。

配置步骤：1 ．进入系统模式<H3C>system-view2. 配置IP、MAC及端口的绑定[H3C]am user-bind mac-addr 000f-e201-1112 ip-addr 1.1.1.1 interface e1/0/1配置关键点：1. 同一IP地址或MAC地址，不能被绑定两次；2 .经过以上配置后，可以完成将PC1的IP地址、MAC地址与端口E1/0/1之间的绑定功能。

此时端口E1/0/1只允许PC1上网，而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。

但是PC1使用该IP地址和MAC地址可以在其他端口上网；3. h3c交换机上有些产品只支持IP + MACF端口三者同时绑定，有些可以绑定三者中任意二者，即IP +端口、MACF端口、IP + MAC这三种绑定。

H3C3600/H3C S5600/S3900/S5600/S5100EI 系列产品只支持三者同时绑定；S3000系列中S3026EFGTC/S3026C-PWR/S3050支持三者同时绑定或任意两者的绑定；S3500系列设备除了S3526EC外都不支持上述三者或任意两者绑定；S5000系列设备支持三者或任意两者绑定；H3C S5500-SI、S2000C/S2000-EI、S3100SI系列设备不支持三者或任意两者的绑定。

H3C S5100 交换机端口绑定首先登录交换机，进入管理状态System-View第一种情况： 1 个端口只有一台电脑如何绑定如：某台电脑的IP：10.119.100.1 MAC：00-1A-4D-1E-39-8D 要把此电脑绑定到交换机的24 号端口操作如下：interface GigabitEthernet 1/0/24 首先进入24 端口am user-bind mac-addr 001a-4d1e-398d ip-addr 10.119.100.1 绑定IP 和MAC就 2 步就成功了！（如果命令打错了，要撤销，请在命令前加undo）第二种情况： 1 个端口下接了一个小交换机如何绑定如：1号端口下接了一个8 口的小交换机，交换机接有3台电脑，3台电脑的IP和MAC如下1 电脑的IP：10.119.100.2 MAC ：00-1A-4D-1E-39-812电脑的IP：10.119.100.3 MAC ：00-1A-4D-1E-39-8E3 电脑的IP：10.119.100.4 MAC ：00-1A-4D-1E-39-8F要把此电脑绑定到交换机的 1 号端口操作如下：interface GigabitEthernet 1/0/1 首先进入1 端口am user-bind mac-addr 001a-4d1e-3981 ip-addr 10.119.100.2 需要都绑am user-bind mac-addr 001a-4d1e-398e ip-addr 10.119.100.3am user-bind mac-addr 001a-4d1e-398f ip-addr 10.119.100.4 （如果命令打错了，要撤销，请在命令前加undo）第三种情况：端口下没接任何设备额如：2号端口没有接任何设备interface GigabitEthernet 1/0/2 首先进入2 端口mac-address max-mac-cou nt 0 关掉此端口的学习MAC功能常用命令1、查看所有配置dis cu2、配置好必须要保存sa3、查看绑定情况dis am user-bind。

MAC地址与端口绑定详解在网络安全越来越重要的今天，高校和企业对于局域网的安全控制也越来越严格，普遍采用的做法之一就是IP地址、网卡的MAC 地址与交换机端口绑定，但是MAC与交换机端口快速绑定的具体实现的原理和步骤却少有文章。

我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

一、首先必须明白两个概念：可靠的MAC地址。

配置时候有三种类型：静态可靠的MAC地址：在交换机接口模式下手动配置，这个配置会被保存在交换机MAC地址表和运行配置文件中，交换机重新启动后不丢失（当然是在保存配置完成后），具体命令如下：Switch(config-if)#switchport port-security mac-address Mac 地址动态可靠的MAC地址：这种类型是交换机默认的类型。

在这种类型下，交换机会动态学习MAC地址，但是这个配置只会保存在MAC 地址表中，不会保存在运行配置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。

黏性可靠的MAC地址：这种类型下，可以手动配置MAC地址和端口的绑定，也可以让交换机自动学习来绑定，这个配置会被保存在MAC地址中和运行配置文件中，如果保存配置，交换机重起动后不用再自动重新学习MAC地址，虽然黏性的可靠的MAC地址可以手动配置，但是CISCO官方不推荐这样做。

具体命令如下：Switch(config-if)#switchport port-security mac-address sticky其实在上面这条命令配置后并且该端口得到MAC地址后，会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address stickyMac地址这也是为何在这种类型下CISCO不推荐手动配置MAC地址的原因。

关于二层交换MAC与端口绑定的方法利用交换机的Port-Security功能实现以下是一个配置实例：switch#config tswitch（config）#int f0/1switch（config-if）#switchport mode access//设置交换机的端口模式为access模式，注意缺省是dynamic//dynamic模式下是不能使用Port-security功能switch（config-if）#switchport port-security//打开port-security功能switch（config-if）#switchport port-security mac-address xxxx.xxxx.xxxx//xxxx.xxxx.xxxx就是你要关联的mac地址switch（config-if）#switchport port-security maximum 1//其实缺省就是1switch（config-if）#switchport port-security violationshutdown//如果违反规则，就shutdown端口//这个时候你show int f0/1的时候就会看到接口是err-disable 的附：switchport port-security命令语法Switch（config-if）#switchport port-security ？aging Port-security aging commandsmac-address Secure mac address//设置安全MAC地址maximum Max secure addresses//设置最大的安全MAC地址的数量，缺省是1violation Security violation mode//设置违反端口安全规则后的工作，缺省是shutdownc2950#configure terminalc2950(config)#mac access-list extended mac10c2950(config-ext-nacl)#permit host 0012.2713.3f2d anyc2950(config-ext-nacl)#permit any host 0012.2713.3f2d这时出现错误：%Error: The field sets of all the ACEs in an ACL on Ethernet interface should match.Please refer to the Software Configuration Guide to understand one mask restriction for ACLs on Ethernet interfaceswitch#mac-address-table static 1234.5678.9012 vlan 10 fa0/1，表示将静态MAC地址与VLAN 10中的端口1绑定。

说明：二层IP/MAC绑定可以防止IP被人盗用，从而不会出现没有上网权限的人盗用有上网权限的IP，进行冒充他人身份上网的情况。

1、首先扫描网络中的IP和MAC地址，并导入到用户列表中。

用户管理—用户导入—IP：
勾选“开机设备”，点击扫描。

这样会出现IP地址和MAC地址：
再手工输入用户名，点击导入，就可以导入到设备的组织管理下。

注意：（1）如果网络中的电脑没有开机，将不会被扫描到。

漏掉的少量电脑可以直接到组织管理进行手工建立用户；（2）导入完毕后，请到用户管理—组织管理中将“IP临时用户”组下面的用户全部删除。

2、进行二层IP/MAC绑定
用户管理—组织管理：
点击ROOT，右边出现我们建立的用户列表
将所有用户选中，点击操作下面的“二层IP/MAC绑定”
3、对已经建立的用户组织进行应用控制策略设定
根据常规的应用控制策略方式来进行设定即可。

比如阻塞这部分用户上QQ等。

注意设备隐含的一条最低优先级的规则是：允许任何用户上任何应用/网页。

所以一般我们所作的策略，是要阻塞XX用户使用XX应用/网页。

4、对未分配的IP，禁止使用任何应用
在我们手工建立用户列表并绑定后，属于已绑定范围内的IP别人无法盗用，但是未绑定的IP可能还会被人盗用。

有的用户可能自己会乱改IP，所以要设定一条应用控制策略，禁止未分配IP上任何用户。

未分配IP会出现在系统内置的“IP临时用户”中，所有做一条策略阻塞“IP临时用户”上网：。

华为交换机MAC地址与端⼝绑定华为交换机MAC地址与端⼝绑定绑定客户端IP+MAC+端⼝别的版本使⽤这个命令user-bind static ip-address[Huawei]user-bind static ip-address 192.168.2.2 mac-address 5489-9852-137A interface GigabitEthernet 0/0/2对其他客户端进⾏相同操作结果如下⼀个端⼝只能接⼀个mac地址，禁⽌了hub和⽆线路由器等多⽤户上⽹的弊端。

华为 S3026⽀持端⼝和Mac地址绑定[Quidway]mac-address static 000d-60d0-d62e interface ehternet 0/2 vlan1该端⼝最⼤可以学习到600个Mac地址[Quidway-Ethernet0/2]mac-address max-mac-count 600禁⽌接⼝学习别的Mac地址[Quidway] inter e0/2[Quidway-Ethernet0/2]mac-address mac-learning disable将IP地址、MAC地址和接⼝进⾏绑定，如何配置?解决⽅案交换机⽀持IP+PORT、MAC+PORT、IP+MAC+PORT、IP+PORT+VLAN、MAC+PORT+VLAN、IP+MAC+PORT+VLAN六种类型的静态绑定。

使⽤命令user-bind static { { ip-address | ipv6-address } start-ip [ to end-ip ] &<1-10> | mac-address mac-address } * [ interface interface-type interface-number ] [ vlan vlan-id [ ce-vlan ce-vlan-id ] ]可以配置IP地址、MAC地址和接⼝的绑定。

S21交换机（端口+IP+MAC）配置模板S21交换机（端口+IP+MAC）配置模板：IP+MAC+端口：例：在端口F0/2上绑定：IP:192.168.12.202 MAC: 00d0.f800.073c的主机。

Switch# configure terminal!进入全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Switch(config)# interface fastethernet 0/2!进入端口2配置模式Switch(config-if)# switchport mode access!把端口模式改为access口Switch(config-if)# switchport port-security!启用端口安全Switch(config-if)# switchport port-security maximum 24!最多允许24个mac地址，最大128Switch(config-if)# switchport port-security mac-address 00d0.f800.073c!端口和mac地址的绑定Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202!端口+mac地址+ip地址绑定Switch(config-if)# endSwitch#wr下面是操作时的截图：Initializing...Done2006-03-10 14:57:06 @5-COLDSTART:System coldstartSwitch>Switch>Switch>enPassword:Switch#config tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#interface f 0/22006-03-10 14:57:38 @5-CONFIG:Configured from outband Switch(config-if)#switchport mode access2006-03-10 14:58:32 @5-CONFIG:Configured from outbandSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security maximum 242006-03-10 15:04:51 @5-CONFIG:Configured from outbandSwitch(config-if)#Switch(config-if)#switchport port-security mac-address 00d0.f800.073c2006-03-10 15:24:56 @5-CONFIG:Configured from outbandSwitch(config-if)#$rity mac-address 00d0.f800.073c ip-address 192.168.12.2022006-03-10 15:25:13 @5-CONFIG:Configured from outband% Prompt: enable ARP check can provide more secure policy to refuse illegal ARPpacket.Switch(config-if)#end2006-03-10 15:25:43 @5-CONFIG:Configured from outbandSwitch#wrBuilding configuration...[OK]Switch#模版如下：configure terminalinterface fastethernet 0/2switchport mode accessswitchport port-securityswitchport port-security maximum 24switchport port-security mac-address 00d0.f800.073cswitchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202endS21交换机（端口+IP）配置模板：配置信息：Switch#show runSystem software version : 1.63 Build Jan 6 2006 RelBuilding configuration...Current configuration : 1183 bytes!version 1.0!no enable services web-serverhostname Switchvlan 1!enable secret level 1 5 &tPaein'qu}bfjo+rv8cgkE,sm`dhl&- enable secret level 15 5 &tsv'~1'quT7+.t{rvV/,|7zs\W&-/-a !interface fastEthernet 0/5switchport port-security violation shutdown！当出现端口和IP不匹配的情况，端口自动关闭。

实验2 MAC地址表与地址端口绑定2.1 实验内容●MAC地址表操作●MAC地址和端口的绑定2.2 MAC地址表操作2.2.1 实验目的●掌握S3026E交换机中MAC地址表的查看方法，了解MAC地址表中各表项的意义；●了解MAC地址的学习和老化过程；●了解MAC地址表的维护和管理方法：如何添加和删除表项；●掌握地址端口绑定的基本方法。

2.2.2 实验环境●●PC2.2.3consoleE0/1com1PC实验组网图2.2.4 实验步骤1. 查看MAC地址表我们可以用如下命令查看和连接在接口E0/1上（E0/1表示交换机的第0个模块的第1个接口，在这个例子中，PC1连在交换机的E0/1接口上）的主机的MAC地址：[H3C]display mac-addressMAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)0003-47b7-c378 1 Learned Ethernet0/1 AGING 表格中MAC ADDR列表示E0/1接口所连接的以太网中的主机的MAC地址，VLAN ID列指出这个端口所在的VLAN， VLAN概念我们将在下一章讨论。

STATE列指出这个MAC地址表项的属性：Learned表示MAC地址为动态学习到的。

Aging Time是该表项的老化时间，表示这个表项还会被保存多长时间（以秒为单位）。

在S3026E交换机中，正是由于MAC地址表的存在，才使得交换机可以根据数据包的MAC地址查出端口号，来实现基于二层的快速转发。

当一台PC被连接到交换机的端口，交换机会从该端口动态学习到PC的MAC地址，并将其添加到MAC地址表中。

在二层交换机S3026E上，交换机是通过ARP机制学习到MAC地址的。

在交换机上我们可以利用debugging信息来观察学习MAC地址的过程：<H3C>debugging arp packet<H3C>terminal debugging% Current terminal debugging is on*0.4338546 H3C ARP/8/arp_send:Send an ARP Packet, operation : 1,sender_eth_addr : 00e0-fc57-461b,sender_ip_addr : 10.110.34.126,target_eth_addr : 0000-0000-0000,target_ip_addr : 10.110.34.125*0.4338797 H3C ARP/8/arp_rcv:Receive an ARP Packet, operation : 2,sender_eth_addr : 0011-433d-54e2,sender_ip_addr : 10.110.34.125,target_eth_addr : 00e0-fc57-461b,target_ip_addr : 10.110.34.126我们可以用“display arp”命令查看ARP表如下：<H3C>display arpIP Address MAC Address VLAN ID Port Name Aging Type10.110.34.125 0011-433d-54e2 1 Ethernet0/2 20 Dynamic对于动态学习到的MAC地址，有一个老化时间Aging Time的概念，来表示这个表项还会被保存多长时间。

谈谈IP、MAC与交换机端口绑定的方法2010-8-6 7:51:52 本站原创佚名【字体：大中小】{SQL_我要评论()}信息安全管理者都希望在发生安全事件时，不仅可以定位到计算机，而且定位到使用者的实际位置，利用MAC与IP的绑定是常用的方式，IP地址是计算机的“姓名”，网络连接时都使用这个名字；MAC地址则是计算机网卡的“身份证号”，不会有相同的，因为在厂家生产时就确定了它的编号。

IP地址的修改是方便的，也有很多工具软件，可以方便地修改MAC地址，“身份冒充”相对容易，网络就不安全了。

遵从“花瓶模型”信任体系的思路，对用户进行身份鉴别，大多数人采用基于802.1x协议的身份认证技术(还可以基于应用的身份认证、也可以是基于Cisco 的EOU技术的身份认证)，目的就是实现用户账号、IP、MAC的绑定，从计算机的确认到人的确认。

身份认证模式是通过计算机内安全客户端软件，完成登录网络的身份鉴别过程，MAC地址也是通过客户端软件送给认证服务器的，具体的过程这里就不多说了。

一、问题的提出与要求有了802.1x的身份认证，解决的MAC绑定的问题，但还是不能定位用户计算机的物理位置，因为计算机接入在哪台交换机的第几个端口上，还是不知道，用户计算机改变了物理位置，管理者只能通过其他网管系统逐层排查。

那么，能否可以把交换机端口与IP、MAC一起绑定呢？这样计算机的物理位置就确定了。

首先这是有关安全标准的要求：1)重要安全网络中，要求终端安全要实现MAC\IP\交换机端口的绑定2)有关专用网络中，要求未使用的交换机端口要处于关闭状态(未授权前不打开)其次，实现交换机端口绑定的目标是：∙∙防止外来的、未授权的计算机接入网络(访问网络资源)∙∙当有计算机接入网络时，安全监控系统能够立即发现该计算机的MAC与IP，以及接入的交换机端口信息，并做出身份验证，属于未授权的能够报警或终止计算机的继续接入，或者禁止它访问到网络的任何资源∙∙当有安全事件时，可以根据用户绑定的信息，定位到机器(MAC与IP)、定位到物理位置(交换机端口)、定位到人(用户账号、姓名、电话…)二、实现交换机端口信息绑定的策略根据接入交换机的安全策略，可以把端口信息绑定分为两种方式：静态方式与动态方式1、静态方式：固定计算机的位置，只能在预先配置好的交换机端口接入，未配置(授权申请)的不能接入网络。

模块六 二层交换机端口与MAC 地址绑定【场景构建】在日常工作中，经常会发生用户随意插拔交换机上的网线，给网管员在网络管理上带来一定的不便。

同时也会出现在一个交换机端口下连接另一个Hub 或交换机，导致网络线路的拥堵。

当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。

当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机。

希望通过一定的方法，固定每台计算机连接的交换机端口，方便网管员日常的维护与更新。

[实验目的]1、 了解什么是交换机的MAC 绑定功能；2、 熟练掌握MAC 与端口绑定的静态、动态方式。

【知识准备】通过端口绑定特性，网络管理员可以将用户的MAC 地址和IP 地址绑定到指定的端口上。

进行绑定操作后，交换机只对从该端口收到的指定MAC 地址和IP 地址的用户发出的报文进行转发，提高了系统的安全性，增强了对网络安全的监控。

我们通常说的MAC 地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC 地址确定允许访问的设备；允许访问的设备的MAC 地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC 地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

【实验一】 二层交换机端口静态绑定MAC 地址1.1 实验设备1、2950-24交换机1台2、PC 机2台3、交叉线1根4、直通网线2根1.2 组网图PC1PC2SW01.3 实验设备IP 地址及要求PC1连接F0/1PC2连接F0/2端口，并且在F0/2上将PC2的MAC地址绑定，PC2能PING通交换机。

若将PC1更换到F0/2上，则不能PING通交换机。

同理PC2更换到F0/1上，也不能PING通交换机。

MAC地址与端口绑定设置MAC与端口绑定的步骤和注意事项：1．进入交换机后先要清除MAC地址表，命令如下：Switch#clear mac-address-table（注意，如果不清除MAC地址表项会导致绑定失败）然后查看MAC地址表，Switch#show mac-address-tableMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----MAC地址表里这时没有任何内容。

2．进入需要绑定的接口：Switch#conf tSwitch(config)#interface fastEthernet 0/13．开始设置绑定前，需要先设置端口的模式，Switch(config-if)#switchport mode access如果不设置端口模式为access，则开启端口安全的时候会收到如下提示：Command rejected: FastEthernet0/1 is a dynamic port.4．设置端口绑定：Switch(config-if)#switchport port-security使能端口安全Switch(config-if)#switchport port-security mac-address 0000.0000.0001~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 端口绑定MAC地址此时再查看MAC地址表会发现0000.0000.0001(查看主机的MAC地址)被绑定在了fa 0/1端口上Switch#show mac-address-tableMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 0000.0000.0001 STATIC Fa0/1到此端口绑定成功。

Cisco交换机端口绑定MAC地址在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。

1.方案1——基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch#config terminal ＃进入配置模式Switch(config)# Interface fastethernet 0/1 ＃进入具体端口配置模式Switch(config-if)#Switchport port-secruity ＃配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)＃配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)＃删除绑定主机的MAC地址注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

注意：以上功能适用于思科2950、3550、4500、6500系列交换机2.方案2——基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC10 ＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20 #进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）Switch(config)no mac access-list extended MAC10＃清除名为MAC10的访问列表此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

交换机远程登录管理操作步骤①单击“开始－＞运行－＞cmd－＞telnet 10.10.68.……－＞输入密码”；②输入正确密码后登录交换机，输入“en”回车，再次输入密码进入超级管理模式；③绑定Mac地址命令为：#conf ter#Int fa0/18#shutdown …………………………关闭端口#switch mode access#switch access vl 1#switch port-security#switch port-security maximum 2 ……端口所绑定的Mac地址数量#switch port-security violation shutdown#switch port-security mac-address 0010.dcef.0c98#switch port-security mac-address 0110.0e3c.567d#no shutdown ……………………………开启端口命令#end …………………………………………结束命令，返回上一级目录#wr …………………………………………为保存配置③查看交换机所有端口状态“show int status”继续往下查看继续按回车键；Disabled为关闭状态Connected为连接状态，交换机显示为亮灯Notconnect为没有连接状态，交换机灯灭Err-disabled为出错关闭状态，可能为mac地址错误交换机自动关闭端口④重新开启端口命令为：进入某端口命令为“conf terInt fa0/1ShutdownNo shutdownEndWr”⑤然后输入“exit”退出即可。

⑥根据已知Mac地址，查看交换机某个端口show Mac-address-table | in 00e0.4c3c.9c83⑦查看某个端口的Mac地址：sh mac-address-table int fa0/8查看网络arp攻击：登陆主干交换机10.10.68.1 然后输入show proc cpu | e 0.00已知mac地址查看交换机端口号：show mac-address-table | in mac地址show mac-address-table add mac地址已知mac地址或者ip 查对应的ip或者mac地址：登陆主干交换机show arp | in mac地址(ip)。

思科交换机：端口安全特性——MAC地址绑定
在我们日常生活当中,网口的使用时常不去注意它的安全，而对于一些私密的办公区域来说，很多网口是需要一些私密性的设置，今天我们就来教大家如何在交换机端口上配置MAC地址绑定。

首先在交换机上做以下配置：
1.Switch(config)#interfacef0/1
进入需要配置端口安全的接口下
2.Switch(config-if)#switchportmode access
将接口模式改为访问模式
3.Switch(config-if)#switchportport-security
开启端口安全功能
4.Switch(config-if)#switchportport-security maximum 1
将合法MAC地址最大值改为1
5.Switch(config-if)#switchportport-security mac-address 00D0.58B9.D6D4
设置绑定的MAC 地址
6.Switch(config-if)#switchportport-security violation shutdown
设置非法用户使用端口时端口执行的动作为关闭端口
以上设置完成后，我们可以看到，合法的用户通信时设备亮绿灯，为正常通信。

当非法用户接入时，一旦进行通信，端口则执行动作，关闭了端口。