IP地址与Mac地址绑定修订稿

1. 如何进行IP和MAC地址绑定，以防范ARP欺骗？用路由器做地址转换，上网频繁掉线，此时将PC机的网卡禁用一下或将PC机重启一下又可以上网了，并且不能上网时ping PC机的网关不通。

这种情况一般来说,都是中了ARP欺骗病毒，可以通过以下方法进行防范。

方法一：在路由器上静态绑定PC机的IP地址和MAC地址，在PC机上绑定路由器内网口的IP地址和MAC地址。

步骤如下：1) 在路由器上绑定PC机的IP地址和MAC地址，格式如下：[H3C]arp static 192.168.1.2 00e1-7778-9876注意：需要对该网段内的每一个IP都绑定MAC，没有使用的IP地址也需要绑定，可以任意指定其绑定的MAC地址，推荐使用0000-0000-0123等特殊MAC。

2) 在PC机上绑定路由器内网口的IP地址和MAC地址，命令格式如下：arp –s 192.168.1.1 00-0f-e2-21-a0-01方法二：让路由器定时发送免费ARP报文，刷新PC机的ARP表项进入路由器相应的内网接口，配置如下命令：[H3C-Ethernet1/0]arp send-gratuitous-arp 1方法三：ARP固化可以在全局视图和接口视图下配置ARP固化功能，使动态ARP转化为固定ARP，有效防范ARP 攻击。

固化ARP有三种方式：1) 全局视图下配置动态ARP固化[H3C] arp fixup2) 接口视图下配置动态ARP固化[H3C] interface ethernet 1/0/0[H3C-Ethernet1/0/0] arp fixup3) 配置指定固化ARP表项的功能[H3C] arp fixed 10.1.0.1 00-11-22【提示】1) PC机重启后，静态配置的arp表项会丢失，需要重新配置，可以在PC机上制作一个.bat 的批处理文件，放到启动项中。

2) arp send-gratuitous-arp 并非所有产品均支持，请查询网站上的配置手册和命令手册，确认您所使用的产品是否支持该功能。

如何捆绑MAC地址和IP地址进入“MS-DOS方式”或“命令提示符”，在命令提示符下输入命令：ARP - s 10.88.56.72 00-10-5C-AD-72-E3，即可把MAC地址和IP地址捆绑在一起。

这样，就不会出现IP地址被盗用而不能正常使用校园网络的情况（当然也就不会出现错误提示对话框），可以有效保证校园网络的安全和用户的应用。

注意：ARP命令仅对局域网的上网代理服务器有用，而且是针对静态IP地址，如果采用Modem拨号上网或是动态IP地址就不起作用。

ARP命令的各参数的功能如下：ARP -s -d -a-s：将相应的IP地址与物理地址的捆绑，如本文中的例子。

-d：删除相应的IP地址与物理地址的捆绑。

-a：通过查询ARP协议表显示IP地址和对应物理地址情况。

比较法这是用原始备份与被检测的引导扇区或被检测的文件进行比较的方法，可以用打印的代码清单（比如Debug的D命令输出格式）进行比较，也可用程序来进行比较(如DOS的DISKCOMP、COMP或PCTOOLS等其它软件)。

比较法不需要专用的查病毒程序，只要用常规DOS软件和PCTOOLS等工具软件就可以进行，而且还可以发现那些尚不能被现有的杀毒软件发现的计算机病毒。

因为病毒传播得很快，新病毒层出不穷，而目前还没有能查出一切病毒的通用程序，或通过代码分析，可以判定某个程序中是否含有病毒的查毒程序，所以只有靠比较法和分析法，或这两种方法相结合来发现新病毒。

对硬盘的主引导区或对DOS的引导扇区作检查，用比较法能发现其中的程序源代码是否发生了变化。

由于要进行比较，因此保留好原始备份是非常重要的。

制作备份时必须在无电脑病毒的环境里进行，制作好的备份必须妥善保管，写好标签，贴好写保护。

比较法的好处是简单、方便，不用专用软件;缺点是无法确认病毒的种类名称。

另外，造成被检测程序与原始备份之间差别的原因尚需进一步验证，以查明是电脑病毒造成的，还是DOS数据被偶然原因，如突然停电如何避免IP地址被盗用（捆绑MAC地址和IP地址）() 2003-4-10 (请双击自动滚屏观看，单击停止，再击..)在校园网络中，最方便的捣乱方法就是盗用别人的IP地址，被盗用IP地址的计算机不仅不能正常使用校园网络，而且还会频繁出现IP地址被占用的提示对话框，给校园网络安全和用户应用带来极大的隐患。

MAC地址与IP地址绑定1引言大多数解决“IP地址盗窃”的方案都采用MAC和IP地址之间的绑定策略，这是非常危险的。

本文将讨论这个问题。

这里需要注意的是，本文关注的是MAC和IP地址绑定策略的安全性，不具有任何黑客性质。

1.1为什么要绑定mac与ip地址影响网络安全的因素很多。

IP地址盗窃或地址欺骗是常见且有害的因素之一。

在现实中，许多网络应用都是基于IP的，比如流量统计、账户控制等，都将IP地址作为标记用户的重要参数。

如果有人窃取了合法地址并假装是合法用户，网络上传输的数据可能会被破坏、窃听，甚至被盗用，造成无法弥补的损失。

盗用外部网络的ip地址比较困难，因为路由器等网络互连设备一般都会设置通过各个端口的ip地址范围，不属于该ip地址范围的报文将无法通过这些互连设备。

但如果盗用的是ethernet内部合法用户的ip地址，这种网络互连设备显然无能为力了。

“道高一尺，魔高一丈”，对于ethernet内部的ip地址被盗用，当然也有相应的解决办法。

绑定mac地址与ip地址就是防止内部ip盗用的一个常用的、简单的、有效的措施。

1.2mac与IP地址的绑定原则ip地址的修改非常容易，而mac地址存储在网卡的eeprom中，而且网卡的mac地址是唯一确定的。

因此，为了防止内部人员进行非法ip盗用(例如盗用权限更高人员的ip地址，以获得权限外的信息)，可以将内部网络的ip地址与mac地址绑定，盗用者即使修改了ip地址，也因mac地址不匹配而盗用失败：而且由于网卡mac地址的唯一确定性，可以根据mac地址查出使用该mac地址的网卡，进而查出非法盗用者。

目前，许多单位的内部网络，尤其是校园网，都采用了MAC地址和IP地址的绑定技术。

许多防火墙（硬件防火墙和软件防火墙）也在MAC地址和IP地址之间内置绑定功能，以防止网络内的IP地址被盗。

从表面上看来，绑定mac地址和ip地址可以防止内部ip地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，mac地址与ip地址的绑定存在很大的缺陷，并不能真正防止内部ip地址被盗用。

IP与MAC地址绑定指南Mar 2006欢迎您!•注意:•QNO 公司将全力检查文字及图片中的错误, 但对于可能出现的疏漏,以及数据造成的损失, QNO 公司概不负责. 产品升级或技术规格如有变化, 恕不另行通知. 所有设置参数均为范例, 仅供参考. 您也可以对本指南提出意见,我们会参考并在下一版本作出修正.•关于侠诺科技•Qno 侠诺科技定位为Q 时代的网络接入设备供货商, 提供重量(Bandwidth)又重质(Quality)的高性能多WAN 寛带路由器产品. 侠诺团队由具有宽带网络产品发展/量产及应用建置的团队组成,承诺提供持续的质量服务. 侠诺产品采用高阶英特尔IXP 架构网络处理器, 足以因应光纤带宽之应用. 侠诺于全国各区均有专业代理就近供货及服务, 深圳设有技术服务中心. •详情请见什么时候会用到IP & MAC 地址绑定功能:1. 当内网启用DHCP 服务器功能, 希望IP 地址不会乱变而造成冲突时;2. 当流动人员较多, 常常有新的人员加进网内, 不希望不经授权而访问外网;3. 小区网络以MAC 为身份验证时;4. 当设定访问规则时, 需要严格的区分权限.您也可以和大家分享您独特的应用!如何获得本机MAC地址•Windows2000/XP 命令行方式打ipconfig/all•如左图圈出的位置, 把这12位的MAC码抄下设定MAC地址绑定•打开DHCP功能页面, 见到如左图的设定画面•在静态IP地址设定, 填入用户的IP地址, 在红框圈中的位置输入抄下的MAC地址,名称输入该用户的标识, 如姓名. 勾先激活, 然后增加到对应列表, 如果在对应列表中, 但没有激活, 此台电脑不可以通过路由器上网.批量绑定•当初次使用路由器时, 要输入大量的MAC地址, 步骤烦琐并且容易出错, 而使用批量绑定可以快速完成绑定, 并减少出错机会.•在IP与MAC地址绑定的页面里点击显示新加入的IP地址即可见到如左图的页面, 只需要填入相应的标识, 勾选要绑定的电脑, 或点全选即可实现全部选定, 最后确定应用•封锁在对应列表中IP地址错误的MAC地址: 在企业应用环境中常常会设定不同的部门有不同的访问权限, 避免有人故意改变自己的IP以获得更大的访问权限.•封锁不在对应列表中的MAC地址: 在小区环境中防止未经授权的接入, 或在企业应用中, 对外来人员的访问限制均可用此选项.•在某些公司应用中, 所有人员的访问权限是一样的,做IP地址与MAC地址绑定是为了区别外来人员, 类似此种较松散的应用均可以使用如红框圈中的设定,即绑定的IP地址为0.0.0.0快速编辑•某些时候需要变更某台PC的绑定, 如果绑定了几百台PC,这真一件麻烦事,如左图表格, 您只需要点击IP与MAC地址绑定页面的显示列表即可.•按下Ctrl+F输入你要找的IP地址,MAC地址, 用户标识即可快速定位, 然后点击编辑即可快速修改此台PC的绑定.•Ctrl+F是浏览器的查找功能, 在Internet Explorer或Mozilla Firefox可以用此快捷键感谢您!本指南到此结束, 如有需要请联系MSN: service1@QQ: 394743194语音(Skype): qnofae电子邮件: china-fae@中文网站: /中文论坛: /forum/欢迎您通过您方便的联系方式联络我们.侠诺科技股份有限公司版权所有使用本指南文件的许可已经授予，但必须遵守下列规定：（1）指南的著作权声明必须出现在所有副本上，而且不但著作权声明必须出现，本许可声明也必须出现；（2）使用本指南"文件"，仅限于为信息和非商业或个人之目的使用，并且不得在任何网络计算机上复制或公布，也不得在任何媒体上传播；及（3）不得对任何"文件"作任何修改。

校园网 IP 和 MAC 地址绑定罗军（湖北广播电视大学，湖北武汉430074）[内容提要] 计算机和网络为我校提供了方便，但是随着计算机和网络的发展和扩大，给校园网的管理也带来很大的挑战。

教职工办公和家用笔记本电脑的增加，给IP 地址的管理带来了很大的困难，病毒和木马对计算机网络的安全带来了巨大的冲击。

为了能更好的管理校园网的IP 地址分配，提高网络的安全防护能力，我校采用了IP 和MAC 地址绑定的方法。

[关键词] ARP 欺骗；IP 地址；MAC 地址；网关[中图分类号] TP3 [文献标识码] A [文章编号] 1008-7427（2007）10-0153-02计算机和网络的广泛应用，给人们的生活提供了方便，也给高校的教育带来了巨大的帮助，给学生提供了大量的信息，网络越来越成为丰富知识的载体，成为学习的一种重要工具。

随着我校的发展，学校对计算机和网络方面的投入也越来越多，这为学生提供了一个良好的学习平台，计算机和网络已经成为我校教师教学、学生学习、教职工办公和生活必不可少的部分。

计算机和网络为我校提供了方便，但是随着计算机和网络的发展和扩大，给校园网的管理也带来很大的挑战。

随着我校的发展，各部门之间交换办公地点时有发生，而且教职工办公和家用笔记本电脑增加较多，许多计算机用户自己修改IP 地址接入校园网，给IP 地址的管理带来了很大的困难。

此外，随着互联网的发展，病毒和木马对计算机网络的安全带来了巨大的冲击，很多时候，只要有几台甚至是一台电脑感染病毒，就会导致整个Vlan 的计算机上网速度很慢或者不能上网，其中ARP 病毒就是一个这样的典型例子。

为了能更好的管理校园网的IP 地址分配，提高网络的安全防护能力，我校采用一种简单而有效的解决办法，那就是把校园网IP 和MAC 地址进行绑定。

目前，高等学校的校园网一般都是以太网，连接用户端计算机的设备是接入层交换机，也就是说所有的用户端计算机的信息都要通过交换机转发，计算机的信息是怎样在交换机上转发，交换机是如何工作的呢？交换机是一种基于MAC 地址识别，能完成封装转发数据包功能的网络设备。

在交换机上实施IP与 MAC的双向绑定说明：不能够在二层交换上做基于 IP的双向绑定，但可在三层交换机上完成SW1(config># interface FastEthernet0/1SW1(config-if># switchport mode accessSW1(config-if>#switchport port-securitySW1(config-if># switchport port-security violation restrict //shutdown protect restrict SW1(config-if># switchport port-security mac-address 00b0.6451.c920SW1(config-if># spanning-tree portfastSW1(config-if># ip access-group 11 in //调用ACLSW1(config-if># exitSW1(config># access-list 11 permit 192.168.2.69IPSG 实验配置步骤QQ截图20180514042234.jpg (18.5 KB>2018-5-14 04:22 SW(config># ipdhcp snoopingSW(config># ipdhcp snooping vlan 1,10SW(config># ipdhcp snooping verify mac-addressSW(config># ip source binding 0000.0000.0001 vlan 10 172.16.1.5 interface f0/5SW(config># interface f0/1SW(config-if># switchport mode accessSW(config-if># switchport port-securitySW(config-if># ip verify source vlandhcp-snooping port-securitySW(config># interface f0/5SW(config-if># switchport mode accessSW(config-if># switchport port-securitySW(config-if># ip verify source vlandhcp-snooping port-securitySW(config-if># endb5E2RGbCAPQQ截图20180514042350.jpg (31.34 KB>2018-5-14 04:24一、配置 SW1的防护功能SW1(config># ipdhcp snooping //启用 DHCP Snooping SW1(config># ipdhcp snooping information option //启用82 选项SW1(config># ipdhcp snooping vlan 10,20 //DHCP监听作用的 VLANSW1(config># ipdhcp database flash:dhcp.db //将 DHCP绑定信息保存到dhcp.db中SW1(config># ipdhcp snooping verify mac-addressSW1(config># interface f0/21SW1(config-if># switchport mode accessSW1(config-if># switchport port-securitySW1(config-if># ip verify source port-securitySW1(config># interface f0/23SW1(config-if># switchport mode accessSW1(config-if># switchport port-securitySW1(config-if># ip verify source port-security可选配//SW1(config># ip source binding 0000.0000.0001 vlan 10 172.16.1.1 interface f0/2可选配//SW1(config># ip source binding 0000.0000.0002 vlan 20 172.16.2.1 interface f0/1SW1(config># iparp inspection vlan 10,20 //ARP检测基于VLAN10 VLAN20SW1(config># iparp inspection validate src-mac dst-macip //基于源 MAC 目标 MAC和 IP//DHCP服务器的配置DHCP-SERVER 使用路由器来完成Router(config># ipdhcp pool vlan10 定义地址池Router(config-vlan># network 172.16.1.0255.255.255.0 定义地址池做用的网段及地址范围Router(config-vlan># default-router 172.16.1.254 定义客户端的默认网关Router(config-vlan># dns-server 218.108.248.200 定义客户端的dnsRouter(config-vlan>#exitRouter(config># ipdhcp pool vlan20Router(config-vlan># network 172.16.2.0 255.255.255.0 Router(config-vlan># default-router 172.16.2.254Router(config-vlan># dns-server 218.108.248.200Router(config-vlan># exitRouter(config># ipdhcp excluded-address 172.16.1.100172.16.1.254 //配置保留地址段Router(config># ipdhcp excluded-address 172.16.2.100172.16.2.254Router(config># interface e0/0Router(config-if># ip address 172.16.3.1 255.255.255.0 Router(config-if># no shutdown交换机上的配置SW1(config># interface vlan 10SW1(config-if># ip address 172.16.1.254 255.255.255.0SW1(config-if># ip helper-address 172.16.3.1 //以单播向DHCP-SERVER发送请求SW1(config-if># interface vlan20SW1(config-if># ip address 172.16.2.254 255.255.255.0SW1(config-if># ip helper-address 172.16.3.1p1EanqFDPw申明：所有资料为本人收集整理，仅限个人学习使用，勿做商业用途。

IP-MAC绑定说明文档一、IP-MAC绑定表格式说明需要在文本文档中编辑IP地址对应关系文档，这样做的目的是为了方便把配置导入到交换机中，同时自己还需要有张更为详细的对应关系表。

具体格式为：arp IP地址 MAC地址 arpa注意：应保持IP地址的连续性，如果某个IP地址没有人使用，则设置其MAC 地址位置为0000.0000.0000。

二、常用操作命令1、常用工具可以使用windows自带的命令提示符或工具对交换机进行日常的维护管理。

登陆交换机即telnet网关地址既可以。

2、维护命令进入全局配置模式：switch#config terminal添加新的IP-MAC对应关系：switch(config)#arp 192.168.0.1 1111.1111.1111 arpa 删除原有的IP-MAC对应关系：switch(config)#no arp 192.168.0.1 1111.1111.1111 arpa 查看现有的绑定表：switch#show arp注意：绑定后age对应位置都为“–”保存配置：switch#write memory平时维护命令（感觉网络缓慢时）switch#pingProtocol [ip]:Target IP address: 10.76.1.1 ------输入目标IPRepeat count [5]: 100 ------ping包数量Datagram size [100]: 1500 ------ping包大小Timeout in seconds [2]:Extended commands [n]:Sweep range of sizes [n]:注意：查看是否速度快，并且全部为！。

如出现大量时！时.的情况则认为网络有丢包现象，需要处理。

查看端口流量：switch#show interface fastEthernet 对应端口或 switch#show interface gigabitEthernet 对应端口查看CPU使用率：switch#show processes cpu。

【摘要】随着网络技术的发展和单位网络规模的扩大，单位上网用户日益增多，在网络的日常管理过程中，时常会出现IP 地址被盗用、IP 地址发生冲突的情况。

本文给出一种通过IP 地址与MAC 地址绑定的方式来规范IP 地址使用的方法，有助于提高单位办公网络的整体安全性。

【关键词】网络管理；地址绑定【中图分类号】TP393文献标识码：A文章编号：1006-7973（2016）02-0053-03浅谈网络管理中IP 地址与MAC 地址的绑定丁健高雨龙（长江航道测量中心武汉430010）1引言随着网络技术的发展和单位网络规模的扩大，单位上网用户日益增多，在网络的日常管理过程中，时常会出现IP 地址被盗用、IP 地址发生冲突的情况。

一般情况下，我们会让使用人更改一个当时未使用的地址。

但是这种缺乏控制的管理，势必将使网络无法保持良好的秩序，在地址资源的分配和使用上出现混乱。

特别是在网络故障发生以后，也不利于追查相应地址快速排除故障，影响网络正常运行，甚至如果有人故意更改具有特殊权限的IP 地址，访问未授权的网络资源，那就给网络安全和单位利益造成不可估量的损失。

要解决上述问题，必须加强网络管理，在交换机或路由器上实施IP 地址与MAC 地址的绑定，不失为一种简单有效的方法。

2地址和MAC 地址绑定的原理2.1IP 地址、MAC 地址简介目前，网络中最常用的协议是TCP/IP 协议，TCP/IP 网络是一个四层协议结构，从下往上依次为链路层、网络层、传输层和应用层。

局域网通信主要是以太网的链路层协议，使用的地址是MAC 地址。

MAC 地址也叫物理地址、硬件地址或链路地址，由网络设备制造商写在硬件内部的EEPROM 中，是网卡在以太网中的硬件标志，这个地址与网络无关。

MAC 地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08：00：20：0A ：8C ：6D 就是一个MAC 地址，其中前6位08：00：20为16进制数，代表网络硬件制造商的编号，它由IEEE 分配，后3位C ：6D 为16进制数，代表制造商制造的某个网络产品(如网卡)的系列号，网络设备制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节，就可保证每个以太网设备在全球具有唯一的MAC 地址，MAC 地址可以唯一标志一块网卡。

说明：三层IP/MAC绑定可以防止IP被人盗用，从而不会出现没有上网权限的人盗用有上网权限的IP，进行冒充他人身份上网的情况。

1、首先配置三层交换机的SNMP协议及团体名(comunity)这个每个厂商交换机配置方式不同，请查阅贵公司交换机配置手册2、在网康设备上添加三层交换机信息主要添加交换机管理IP和团体名(comunity)3、扫描网络中的IP和MAC地址，并导入到用户列表中。

用户管理—用户导入—IP：填写IP范围，点击扫描再手工输入用户名，点击导入，就可以导入到设备的组织管理下。

注意：（1）如果网络中的电脑没有开机，将不会被扫描到。

漏掉的少量电脑可以直接到组织管理进行手工建立用户；（2）导入完毕后，请到用户管理—组织管理中将“IP临时用户”组下面的用户全部删除。

4、进行三层IP/MAC绑定用户管理—组织管理：点击ROOT，右边出现我们建立的用户列表将所有用户选中，点击操作下面的“三层IP/MAC绑定”5、启用防护报警，启用三层绑定阻塞功能6、对已经建立的用户组织进行应用控制策略设定根据常规的应用控制策略方式来进行设定即可。

比如阻塞这部分用户上QQ等。

注意设备隐含的一条最低优先级的规则是：允许任何用户上任何应用/网页。

所以一般我们所作的策略，是要阻塞XX用户使用XX应用/网页。

7、对未分配的IP，禁止使用任何应用在我们手工建立用户列表并绑定后，属于已绑定范围内的IP别人无法盗用，但是未绑定的IP可能还会被人盗用。

有的用户可能自己会乱改IP，所以要设定一条应用控制策略，禁止未分配IP上任何用户。

未分配IP会出现在系统内置的“IP临时用户”中，所有做一条策略阻塞“IP临时用户”上网：。

关于公司局域网ip地址绑定的通知由于IP地址使用混乱，IP地址冲突频发，给办公造成很大影响，为进一步保障办公网络的稳定与安全，规范接入管理，改善IP盗用现象，杜绝非法用户，结合现有设备情况，将对现有计算机IP地址与网卡硬件地址（MAC）进行绑定，联网必须使用指定IP地址，不得私自更改，否则将无法接入公司网，无法访问Internet，具体要求如下：1、请各部门按《公司IP分配表》中的IP分段安排好部门内员工的IP，并将本人姓名、计算机名、MAC地址填写汇总到《MAC地址与IP地址绑定变更表》统一交网管处（获取和报送方法附后）；今后如有更改MAC地址（如：更换网卡或更换机器），请及时登记更改；由电脑使用人上报。

2、网管将按部门分批进行IP与MAC地址的绑定，IP绑定后随意更改和添加IP 地址的用户将无法正常上网，此次未上报的MAC地址将被禁止上网；3、IP地址只与计算机本身进行绑定，与线路无关。

新购置计算机应及时申请IP；因故不再使用公司网络的，应及时告知网管中心收回并注销IP。

4、DNS变默认首选：202.96.128.86 ，备用：202.96.128.166，请及时更改，以免影响上网。

5、电脑需要重装系统以前，请先查阅自己的ip地址并且记录下来，以便装完系统后重新配置该台电脑的网卡的正确参数。

6、计算机名请尽量使用全中文（格式：部门+使用人）在绑定过程中，因对MAC地址的绑定和之前系统自动分配的地址会有可能冲突，如果出现提示IP冲突或者不能上网的，请与网管联系。

获取本机MAC地址的方法：方法一:右击桌面的【网上邻居】-选择【属性】，双击【本地连接】，单击【支持】-【详细信息】，在窗口中的【实际地址】后的数据XX-XX-XX- XX-XX-XX就是本机的MAC地址方法二：开始—>运行->cmd然后单击“确定”按钮，在弹出的窗口中输入“ipconfig/all”。

得到如下图所示：查询出来的MAC地址为12位数字或字母组合，如“00-16-96-12-01-A8”计算机名的查询及更改方法（可不更改，按原名报送）：右击桌面上的[我的电脑]—[属性]—[计算机名]—[更改]，如果是个人使用的计算机请在计算机名中输入部门名称+用户名（用户名可用中文或拼音字母，推荐使用中文），如网管覃志伟，最后按[确定]，重启计算机以使它生效。