MAC地址的动态绑定

命令⾏实现MAC与IP地址绑定ipmac绑定如何绑定mac地址为什么要绑定IP呢？你指定的IP能上外⽹不就可以了吗？之所以要绑定IP，是因为他会会改IP。

⽐如我本机上的IP是192.168.1.11此IP已经在防⽕墙上⾯做了设定不可以上⽹，但我要是知道有⼀个IP是192.168.1.30的IP能上⽹，那我不会改把192.168.1.11换成192.168.1.30就可以上⽹了吗？所以绑定IP就是为了防⽌他改IP。

因为⽹卡的MAC地址是全球唯⼀的跟我们的⾝份证⼀样，他⼀但改了，就不认了。

那如何绑定呢？例如我的IP是192.168.1.11，⽹卡的MAC地址是00-11-2F-3F-96-88(如何看到⾃⼰的MAC地址呢？在命令⾏下输⼊ipconfig /all，回应如下：Physical Address. . . . . . . . . : 00-11-2F-3F-96-88DHCP Enabled. . . . . . . . . . . : NoIP Address. . . . . . . . . . . . : 192.168.1.11Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.1.1DNS Servers . . . . . . . . . . . : 61.177.7.1Primary WINS Server . . . . . . . : 192.168.1.254这些信息就是你现在计算机的IP地址及MAC地址！接着，在命令⾏下输⼊：arp -s 192.168.1.11 00-11-2F-3F-96-88回车。

就绑定了。

如果要查看是否绑定，可以⽤arp -a 192.168.1.11回车，会得到如下提⽰：Internet Address Physical Address Type192.168.1.30 00-11-2f-3f-96-88 static就OK了。

C3750+VMPS服务器+DHCP实现按MAC地址绑定动态分配VLAN和IP址址C3750+VMPS服务器+DHCP实现按MAC地址绑定动态分配VLAN和IP址址字体大小：大 | 中 | 小 2009-04-02 15:32 阅读(2876) 评论(0) 分类：它山之石Openbox(葡萄藤)最近做了一个项目,也不大就3台2960和1台3750交换机,上网控制使用深信服的M5000-AC.但是用户要求交换机要按MAC地址绑定动态分配VLAN,并且还要按MAC绑定实现IP地址,DNS,网关等自动分配.找了一些资料看了一下,发现2960和1台3750交换机只能做VMPS客户端,要做动态VLAN功能,需要4000以上的交换机或者新推出的C3750E高端交换机才支持VMPS服务器端功能,否则需要另外架设第三方VMPS服务器.目前在国内还没有找到有关用第三方软件架设VMPS服务器的,即使真有人做过,也肯定没有写个贴子放到网上来.呵呵,不知我这篇算不算第一贴呢,全当做教材啦.....如果以下资料真的对你有用,记得感谢我哦.又到国外网站上找了一个Freenac软件所支持的VMPS服务器功能,下了一个做好了的VMWARE镜像文件1G多,下了一晚上终于下下来了,第二天在一台windows 2003上安装一个VMWARE 6.0,导入这个镜像文件.里面启动了一个UBUNTU LINUX系统.帮助太少了,配置挺复杂的,还要配置MYSQL,妈的也太麻烦啦吧..搞了一天,配来配去还是不理想,功能还是实现不了.还是另谋出路吧.又下载了一个OpenVMPS的开源软件,vmpsd-1.4.01.tar.gz 下完后,上传到LINUX中.发现这个版本有些问题,当交换机端口快速拔插时，在交换机上启动ＤＥＢＵＧ发现，vqp信息一直出错，不能查询到正常的ＶＬＡＮ信息，端口也无法正确分配ＶＬＡＮ，并且循环在那vlan 0上发现，增加，删除等动作．于是换一个旧点的版本vmpsd-1.3.tar.tar之后，就没有这些问题．在root权限下执行:tar -xzvf vmps-1.4.01.tar.gz 解压到当前目录下vmpsd目录中,cd vmpsd;并运行其中的./configure 文件;然后再make一下；再make install一下，就可以在/usr/local/bin目录中找到vmpsd文件,同时在解压目录vmpsd中也有一个vmpsd的可执行文件。

MAC地址与端口绑定详解在网络安全越来越重要的今天，高校和企业对于局域网的安全控制也越来越严格，普遍采用的做法之一就是IP地址、网卡的MAC 地址与交换机端口绑定，但是MAC与交换机端口快速绑定的具体实现的原理和步骤却少有文章。

我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

一、首先必须明白两个概念：可靠的MAC地址。

配置时候有三种类型：静态可靠的MAC地址：在交换机接口模式下手动配置，这个配置会被保存在交换机MAC地址表和运行配置文件中，交换机重新启动后不丢失（当然是在保存配置完成后），具体命令如下：Switch(config-if)#switchport port-security mac-address Mac 地址动态可靠的MAC地址：这种类型是交换机默认的类型。

在这种类型下，交换机会动态学习MAC地址，但是这个配置只会保存在MAC 地址表中，不会保存在运行配置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。

黏性可靠的MAC地址：这种类型下，可以手动配置MAC地址和端口的绑定，也可以让交换机自动学习来绑定，这个配置会被保存在MAC地址中和运行配置文件中，如果保存配置，交换机重起动后不用再自动重新学习MAC地址，虽然黏性的可靠的MAC地址可以手动配置，但是CISCO官方不推荐这样做。

具体命令如下：Switch(config-if)#switchport port-security mac-address sticky其实在上面这条命令配置后并且该端口得到MAC地址后，会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address stickyMac地址这也是为何在这种类型下CISCO不推荐手动配置MAC地址的原因。

实验十一二层交换机端口与MAC地址动态绑定【场景构建】在日常工作中，经常会发生用户随意插拔交换机上的网线，给网管员在网络管理上带来一定的不便。

同时也会出现在一个交换机端口下连接另一个Hub或交换机，导致网络线路的拥堵。

当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。

当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机。

希望通过一定的方法，固定每台计算机连接的交换机端口，方便网管员日常的维护与更新。

[实验目的]1、了解什么是交换机的MAC绑定功能；2、熟练掌握MAC与端口绑定的静态、动态方式。

【知识准备】通过端口绑定特性，网络管理员可以将用户的MAC 地址和IP 地址绑定到指定的端口上。

进行绑定操作后，交换机只对从该端口收到的指定MAC 地址和IP 地址的用户发出的报文进行转发，提高了系统的安全性，增强了对网络安全的监控。

我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

【实验】二层交换机端口动态绑定MAC地址1.1实验设备1、2950-24交换机1台2、PC机4台3、交叉线1根4、直通网线4根1.2组网图PC1PC2PC3PC4SW01.3实验设备IP在F0/1通VLAN的IP地址。

当学习数超过设定学习的最大值，端口将不再学习新的MAC地址，并触发安全规则，关闭端口。

1.4 配置步骤第一步：得到PC1主机的mac地址第二步：配置交换机的IP地址第三步：使能F0/1端口的MAC地址绑定功能第四步：动态添加端口安全MAC地址，端口最大安全MAC地址数为3第五步：配置违反MAC安全采取的措施（关闭端口）1.5实验验证1、交换机上端口绑定的信息。

MAC地址表配置与绑定MAC地址表分类---静态MAC地址表项由⽤户⼿⼯配置，表项不⽼化；---⿊洞MAC地址表项包括源⿊洞MAC地址表项和⽬的⿊洞MAC地址表项，⽤于丢弃含有特定源MAC地址或⽬的MAC地址的报⽂（例如，出于安全考虑，可以屏蔽某个⽤户接收报⽂），由⽤户⼿⼯配置，表项不⽼化；---动态MAC地址表项包括⽤户配置的以及设备通过源MAC地址学习得来的，表项有⽼化时间。

1、增加⼀个静态MAC地址表项。

system-view[Sysname] mac-address static 000f-e235-dc71 interface ten-gigabitethernet 1/0/1 vlan 12、增加⼀个⽬的⿊洞MAC地址表项。

[Sysname] mac-address blackhole 000f-e235-abcd vlan 13、配置动态MAC地址表项的⽼化时间为500秒。

[Sysname] mac-address timer aging 5004、查看以太⽹接⼝Ten-GigabitEthernet1/0/1上的MAC地址表信息。

[Sysname] display mac-address interface ten-gigabitethernet 1/0/1MAC Address VLAN ID State Port Aging000f-e235-dc71 1 Static XGE1/0/1 N5、查看⽬的⿊洞MAC地址表信息。

[Sysname] display mac-address blackholeMAC Address VLAN ID State Port Aging000f-e235-abcd 1 Blackhole N/A N6、查看动态MAC地址表项的⽼化时间。

[Sysname] display mac-address aging-timeMAC address aging time: 500s。

在模拟器中将设备如下图中连接起来并配置IP:PC0----→ fa0/1 （192.168.10.10/24）PC1----→ fa0/11 （192.168.10.11/24）PC1----→(备用) （192.168.10.12/24）下面我们用PC1pingPC0如下图：可以看到是通的，我们使用show mac-address-tablel来看看：Switch#show mac-address-tableMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 000a.416e.5768 DYNAMIC Fa0/111 0010.11a0.421a DYNAMIC Fa0/1可以看到两个端口所对应的两台PC的MAC类型是动态的下面我们来配置交换机：Switch#configConfiguring from terminal, memory, or network [terminal]?Enter configuration commands, one per line. End with CNTL/Z.Switch(config)#interface fastEthernet 0/1Switch(config-if)#switchport port-security mac-address sticky （自动绑定MAC与端口）Switch(config-if)#exitSwitch(config)#exitSwitch#writeBuilding configuration...[OK]我们用show命令来看下：Switch#show mac-address-tableMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 000a.416e.5768 DYNAMIC Fa0/111 0010.11a0.421a STATIC Fa0/1可以看到fa0/1的端口已经被学习到了这样fa0/1端口将只能让MAC为0010.11a0.421a的PC通过，其他PC连接这个端口将不会连通，同时PC0可以在其他端口使用。

web网页绑定（第一部分）说明： //后红色文字为说明登陆设备1.Web方式登陆交换机，打开IE浏览器。

在地址栏中输入交换机的IP地址http://10.16.0.6//该地址为各学校设备网关地址。

按“Enter”键，出现“用户登录”对话框。

如图1所示。

图1 用户登录用户名：huawei 密码：huawei@123成功登录Web网管系统，会显示如下系统的主页面。

配置用户静态绑定操作步骤新建绑定1.单击导航栏中“安全 > 用户静态绑定”菜单，进入“用户静态绑定”界面。

2.单击“新建”，进入“新建绑定”界面。

如下图所示。

图1 新建绑定2.”接口名称”选第二项“GigabitEthernet”3. “绑定方式”中有两种选择方式（1）选”IP+MAC+PORT”方式时，图中红线圈中部分为必填项。

（2）单击“确定”，完成配置。

完成后，所绑定的计算机只能在所绑定的交换机端口上网，不能在其它端口漫游。

未绑定的计算机将不能在执行过绑定命令的端口上网。

3.选择“IP+MAC”方式时，图中红线圈中部分为必填项。

点击确定后，相应的IP+MAC绑定信息在交换机中生成，但需要在交换机中执行如下命令后才可以启用：ip source check user-bind enable.具体命令执行方法请看文档的“telnet登陆激活端口绑定（第二部分）”删除绑定1.单击导航栏中“安全 > 用户静态绑定”菜单，进入“用户静态绑定”界面。

2.选择需要删除的数据，单击“删除”，系统提示是否确认删除。

3.单击“确定”，完成配置。

查看用户静态绑定信息显示了用户静态绑定信息。

用户可以根据查询条件进行查询。

操作步骤1.单击导航树中的“安全 > 用户静态绑定”菜单，进入“用户静态绑定”界面。

如图1所示。

图1 用户静态绑定保存配置用户在完成各种配置项后，需要保存配置。

注意：在页面上配置完所有项目后，请务必单击导航区中的“”，否则未保存的配置信息会因为重启等操作而丢失。

H3C S12500 IP Source Guard配置举例Copyright © 2013 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 使用限制 (1)4 静态绑定表项配置举例 (1)4.1 组网需求 (1)4.2 使用版本 (2)4.3 配置注意事项 (2)4.4 配置步骤 (2)4.4.1 Switch A的配置 (2)4.4.2 Switch B的配置 (2)4.5 验证配置 (3)4.6 配置文件 (3)5 动态生成绑定表项配置举例 (4)5.1 组网需求 (4)5.2 使用版本 (4)5.3 配置注意事项 (4)5.4 配置步骤 (4)5.5 验证配置 (5)5.6 配置文件 (5)6 相关资料 (5)1 简介本文档介绍IP Source Guard的配置举例。

IP Source Guard功能用于对端口收到的报文进行过滤控制，以防止非法用户报文通过。

配置了IP Source Guard功能的端口只转发与绑定表项匹配的报文。

IP Source Guard绑定表项可以通过手工配置（命令行手工配置产生静态绑定表项）和动态获取（根据DHCP的相关表项动态生成绑定表项）两种方式生成。

2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解本文档中的IP Source Guard特性。

3 使用限制当设备上存在EB/EC2类单板（丝印后缀为EB/EC2）且这类单板工作在ACL标准模式时，该类单板上的接口不支持MAC绑定表项、IP＋MAC绑定表项、MAC＋VLAN绑定表项和IP＋MAC＋VLAN绑定表项。

一.WINDOWS下绑定ARP绑定网关步骤一：在能正常上网时，进入MS-DOS窗口，输入命令：arp －a，查看网关的IP对应的正确MAC地址，并将其记录下来。

注意：如果已经不能上网，则先运行一次命令arp －d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话）。

一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp －a。

步骤二：步骤二：如果计算机已经有网关的正确MAC地址，在不能上网只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。

要想手工绑定，可在MS-DOS窗口下运行以下命令：arp －s 网关IP 网关MAC例如：假设计算机所处网段的网关为192.168.1.1，本机地址为192.168.1.5，在计算机上运行arp －a后输出如下：Cocuments and Settings>arp -aInterface:192.168.1.5 --- 0x2Internet Address Physical Address Type192.168.1.1 00-01-02-03-04-05 dynamic其中，00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址，类型是动态（dynamic）的，因此是可被改变的。

被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC。

如果希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找该攻击的机器做准备。

手工绑定的命令为：arp －s 192.168.1.1 00-01-02-03-04-05绑定完，可再用arp －a查看arp缓存：Cocuments and Settings>arp -aInterface: 192.168.1.5 --- 0x2Internet Address Physical Address Type192.168.1.1 00-01-02-03-04-05 static这时，类型变为静态（static），就不会再受攻击影响了。

NETGEAR智能网管交换机如何实现IP与MAC地址绑定功能NETGEAR智能网管交换机可以通过配置绑定功能来实现IP与MAC地址的绑定。

IP与MAC地址绑定是一种网络安全功能，它限制特定MAC地址只能使用指定的IP地址，从而增强网络的安全性。

下面将详细介绍如何在NETGEAR智能网管交换机上实现IP与MAC地址绑定功能。

首先，通过浏览器登录到智能网管交换机的管理界面。

在浏览器中输入交换机的IP地址，并输入正确的登录用户名和密码，完成登录操作。

登录成功后，在交换机的管理界面中，找到并点击"IP Configuration"或"IP地址配置"菜单项。

在IP地址配置页面中可以进行IP与MAC地址绑定的设置。

进入IP地址配置页面后，可以看到有两个选项：IP-MAC绑定表和静态ARP表。

IP-MAC绑定表用于设置IP与MAC地址绑定规则，而静态ARP 表用于手动添加静态ARP表项。

要添加一条IP与MAC地址绑定规则，点击"Add"或"添加"按钮。

在弹出的对话框中，输入MAC地址和对应的IP地址，并选择该规则的生效端口。

点击"Apply"或"应用"按钮，保存设置。

除了IP-MAC绑定表，还可以通过设置静态ARP表来实现IP与MAC地址的绑定。

在静态ARP表页面中，可以手动添加或删除静态ARP表项。

添加ARP表项时，需要输入MAC地址、IP地址和生效端口，然后点击"Add"或"添加"按钮进行保存。

删除ARP表项时，只需点击对应条目的删除按钮即可。

通过上述步骤，可以在NETGEAR智能网管交换机上实现IP与MAC地址的绑定功能。

通过绑定IP与MAC地址，可以有效限制特定设备只能使用指定的IP地址，提升网络的安全性。

HC交换机MAC地址绑定概述在网络中，MAC地址是用于唯一标识网卡的地址。

通过在HC交换机上进行MAC地址绑定，可以限制特定设备通过交换机访问网络。

本文将介绍如何使用HC交换机进行MAC地址绑定。

步骤步骤一：登录交换机管理界面通过浏览器访问HC交换机的管理界面，并输入正确的用户名和密码进行登录。

步骤二：进入交换机配置界面成功登录后，进入交换机的配置界面。

步骤三：选择端口绑定在交换机的配置界面中，找到并点击“端口绑定”选项。

这个选项通常可以在“网络设置”或“安全设置”等菜单下找到。

步骤四：选择需要绑定的端口在端口绑定界面中，选择需要进行MAC地址绑定的端口。

一般情况下，可以通过选择交换机上已连接的设备的端口来进行绑定。

步骤五：添加MAC地址在选定的端口下，点击“添加”按钮来添加MAC地址。

输入需要绑定的MAC地址，并点击“保存”按钮。

步骤六：确认配置并应用在完成MAC地址绑定后，需要确认配置并应用。

通常可以在页面的底部找到“确认”或“应用”按钮，点击以保存设置。

步骤七：测试MAC地址绑定完成以上步骤后，可以进行MAC地址绑定的测试。

将需要进行绑定的设备连接到相应的端口上，并尝试访问网络。

如果绑定配置正确，设备应该可以正常访问网络；反之，则无法进行网络访问。

注意事项•确保输入正确的MAC地址，否则绑定可能无法生效。

•确保选择正确的端口进行MAC地址绑定，否则绑定可能无法生效。

•在进行MAC地址绑定之前，需要了解并确认设备的MAC地址。

通过以上步骤，我们可以成功地在HC交换机上进行MAC地址绑定，以限制特定设备的网络访问。

MAC地址绑定是一种常用的网络安全措施，可以有效防止未经授权的设备访问网络。

交换机端口与MAC绑定一、实验目的1、了解什么是交换机的MAC绑定功能；2、熟练掌握MAC与端口绑定的静态、动态方式。

二、应用环境1、当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。

当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机，就更谈不上将它隔离了。

端口与地址绑定技术使主机必须与某一端口进行绑定，也就是说，特定主机只有在某个特定端口下发出数据帧，才能被交换机接收并传输到网络上，如果这台主机移动到其他位置，则无法实现正常的连网。

这样做看起来似乎对用户苛刻了一些，而且对于有大量使用便携机的员工的园区网并不适用，但基于安全管理的角度考虑，它却起到了至关重要的作用。

2、为了安全和便于管理，需要将MAC地址与端口进行绑定，即，MAC地址与端口绑定后，该MAC地址的数据流只能从绑定端口进入，不能从其他端口进入。

该端口可以允许其他MAC地址的数据流通过。

但是如果绑定方式采用动态lock的方式会使该端口的地址学习功能关闭，因此在取消lock之前，其他MAC的主机也不能从这个端口进入。

三、实验设备1、DCS-3926S交换机1台2、PC机2台3、Console线1根4、直通网线2根四、实验拓扑五、实验要求1、交换机IP地址为192.168.1.11/24，PC1的地址为192.168.1.101/24；PC2的地址为192.168.1.102/24。

2、在交换机上作MAC与端口绑定；3、PC1在不同的端口上ping 交换机的IP，检验理论是否和实验一致。

4、PC2在不同的端口上ping 交换机的IP，检验理论是否和实验一致。

六、实验步骤第一步：得到PC1主机的mac地址Microsoft Windows XP [版本 5.1.2600](C) 版权所有 1985-2001 Microsoft Corp.C:\>ipconfig/allWindows IP ConfigurationHost Name . . . . . . . . . . . . : xuxpPrimary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : BroadcastIP Routing Enabled. . . . . . . . : NoWINS Proxy Enabled. . . . . . . . : NoEthernet adapter 本地连接:Connection-specific DNS Suffix . :Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti onPhysical Address. . . . . . . . . : 00-A0-D1-D1-07-FFDhcp Enabled. . . . . . . . . . . : YesAutoconfiguration Enabled . . . . : YesAutoconfiguration IP Address. . . : 169.254.27.232Subnet Mask . . . . . . . . . . . : 255.255.0.0Default Gateway . . . . . . . . . :C:\>我们得到了PC1主机的mac地址为：00-A0-D1-D1-07-FF。

如何在路由器上绑定MAC地址
防止ARP攻击的有效方式，就是绑定电脑的MAC到路由器上，那要怎么操作呢!在路由器上绑定MAC地址的方法其实很简单，下面由店铺告诉你!
在路由器上绑定MAC地址的方法
第一步，先打开一个浏览器页面，然后在地址栏上输入路由器IP
第二步，输入完路由器IP后，回车，然后需要输入进路由器的用户名跟密码，再点击登录
第三步，进入路由器页面后，我们点击左侧栏上的网络安全选项，然后再选子选项IPMAC绑定
第四步，接下来就会看到右侧会有三个项分别是：绑定列表、动态绑定、批量绑定，如果已经有电脑的话，可以直接点击动态绑定列表，就会有路由器收集到的局域网内的电脑MAC，这时候再点击小箭头所指的绑定即可
第五步，如果是没有获取的话，就自己去绑定列表里自己添加，点击绑定列表后，点击添加新规则
第六步，这时候我们把需要添加的IP地址及MAC填上去，再点击保存就可以了
还有一个小细节是，有一个地方是可以打勾的，这个功能是为防止绑定完MAC后还可以上网，记得打上勾。

END。

cisco交换机中ip、mac地址绑定在cisco交换机中为了防止ip被盗用或员工乱改ip，可以做以下措施，既ip与mac地址的绑定，和ip与交换机端口的绑定。

一、通过IP查端口先查ＭＡＣ地址，再根据ＭＡＣ地址查端口：bangonglou3#show arp | include 208.41 或者show mac-address-table 来查看整个端口的ip-mac表Internet 10.138.208.41 4 0006.1bde.3de9 ARP A Vlan10bangonglou3#show mac-add | in 0006.1bde10 0006.1bde.3de9 DYNAMIC Fa0/17bangonglou3#exit二、ip与mac地址的绑定，这种绑定可以简单有效的防止ip被盗用，别人将ip改成了你绑定了mac地址的ip后，其网络不同，（tcp/udp协议不同，但netbios网络共项可以访问），具体做法：cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA这样就将10.138.208.81 与mac:0000.e268.9980 ARPA绑定在一起了三、ip与交换机端口的绑定，此种方法绑定后的端口只有此ip能用，改为别的ip后立即断网。

有效的防止了乱改ip。

cisco(config)# interface FastEthernet0/17cisco(config-if)# ip access-group 6 incisco(config)#access-list 6 permit 10.138.208.81这样就将交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。

转自：/newsold/onews.asp?id=217最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。

DHCP服务中MAC地址与IP的捆绑在日常的网络维护中，使用DHCP 来进行IP地址的分配，是一件很惬意的事。

它会使我们的工作量减轻很多，我们要做的就是保证这台DHCP服务器不出问题。

不过，在实际工作过程中，我们时常会遇到一些特殊的机器或特殊的用户，由于某些方面的因素，需要配置一个固定的IP地址。

当然，这很容易实现。

只要在相应机器的“网络属性”中给其指定一个空闲的IP地址即可。

但是，一旦该机器系统重装，我们又要为此重新指定。

而在单位里搞机器维护的人都知道，面对数百台系统配置相似的电脑维护，我们一般采用ghost系统备份，如果系统出现问题，只要用恢复盘为其还原一下即可。

为这几台为数不多的特殊机器，难道我们还要为此另做备份吗？其实，DHCP也能帮我们解决这个问题。

因为，在其服务中就可以实现对某机器指定一个固定地址，只需在DHCP服务器上将某个IP地址和需要固定IP的机器的MAC地址实现捆绑就可以了。

例如：为校园网上一台网络标识为yanboshi（演播室）的机器指定固定IP地址：172.18.10.51。

实现过程为：1、获取MAC地址实现这个目的方法很多，下面我们介绍常用的两种（以Windows 2000操作系统为例）：①在该客户机上，在开始菜单的运行对话框中键入“cmd”，回车进入DOS状态窗口，运行命令“ipconfig /all"（如是win9x系统，用Winipcfg）从显示信息中摘抄如下图圈出部分。

(如图1）图1②在DHCP服务器上，启动DHCP服务，点击左边框目录树中的“地址租约”，在右边显示框中就有当前同个网段机器的MAC信息。

根据机器标识(yanboshi)很快就可查出该机器的MAC地址（即惟一ID项）。

（如图2）图2注意：如果机器从没在网络中登录过，就用第一种方法。

如该机器已获得过动态地址，我们就可以在DHCP服务器中的“地址租约”信息中查找，也就是这里所介绍的第二种方法。