谈谈IP-MAC端口绑定三种方式的优劣

IP/MAC/PORT端口绑定最近，笔者开发了计算机开机入网监控管理程序（实现外单位机器接入我单位内联网络、内部员工非上班时间未经批准连接内联网络实时报警信息发送到部门负责人手机上），使用环境架构如图1所示。

在开发过程中用到交换设备的IP、MAC、PORT端口绑定技术。

IP、MAC、PORT绑定功能1．便于客户端接入管理客户端须提出申请，经网管人员批准并配置设备后，方能接入网络，避免未经许可的接入。

2．限制客户端接入即使客户端已通过某个端口接入网络，但必须是通过申请的电脑才能接入。

如果网卡没换而电脑换了，此法无效，因此只适用于粗懂电脑的人。

3．限制许可连接电脑的物理位置仅许可某个IP或某范围IP可以对服务器进行连接，绑定功能还可以限制其物理位置，在一定程度上可以防止黑客冒用IP对服务器进行欺骗攻击。

4．迅速查找客户物理位置只要得知IP地址，就可查到客户端位置。

IP、MAC、PORT这三者的绑定是用了两个原理，一个是静态FDB （Forwarding DataBase）,另一个是IP ACL(internet protocol access control list)。

交换机中保存着一份FDB转发表（交换机从它的所有端口接收MAC地址信息，形成MAC地址表并维护它。

当交换机收到一帧数据时，它将根据自己的MAC地址表来决定是将这帧数据进行过滤还是转发。

此时，维护的这张MAC表就是FDB地址表。

如果收到数据帧的目的MAC地址不在FDB地址表中，那么该数据将被发送给除源端口外该数据包所属 VLAN的其他所有端口）。

这个FDB表为交换机如何处理一个收到的数据报文提供依据，默认情况FDB是动态的，当某条FDB表项存在超过老化时间Aging time（不同交换设备时间不等）后就会老化，从FDB表中删除，以防FDB过于庞大。

如果老化时间（Aging time）被设为0，FDB是静态的，不允许交换机随意的、自动的更改FDB，这就实现了某些端口与某些MAC地址的固定对应，而不在此对应范围内的客户机无法收到从交换机来的数据包。

MAC地址绑定与IP绑定区别讲解在网络通信中，MAC地址绑定和IP地址绑定是两种常见的安全措施。

它们都是限制特定设备的访问权限，提高网络的安全性。

然而，它们之间存在一些区别。

本文将详细讲解MAC地址绑定与IP地址绑定的区别，并探讨它们各自的优劣势。

一、MAC地址绑定MAC地址（Media Access Control Address）是设备的物理地址，通常由设备的网卡厂商预先分配。

每个网络设备都拥有唯一的MAC地址，用于在局域网中进行数据通信。

MAC地址绑定是一种通过识别MAC地址来控制访问的方式。

1.1 原理MAC地址绑定基于一个简单的原理，即只有经过认证的MAC地址才能够通过网络设备进行通信。

网络管理员将特定设备的MAC地址与网络访问策略进行绑定，该设备在网络上的通信可以顺利进行。

非授权的设备将被阻止访问网络。

1.2 优势MAC地址绑定具有以下优势：（1）安全性高：由于MAC地址是设备的物理地址，无法被更改，因此MAC地址绑定提供了较高的安全性。

（2）易于配置：网络管理员可以通过简单的配置过程将MAC地址与网络绑定，不需要额外的设备或软件支持。

（3）不受IP地址变化的影响：即使IP地址发生变化，通过MAC地址绑定的设备仍然可以顺利访问网络。

1.3 缺点MAC地址绑定存在一些缺点：（1）繁琐的管理：对于大型网络而言，管理维护所有设备的MAC地址绑定是一项繁重的任务。

（2）无法在不同网络间漫游：由于MAC地址是局限在本地网络中，当设备从一个网络漫游到另一个网络时，需要重新进行MAC地址绑定。

二、IP地址绑定IP地址（Internet Protocol Address）是设备在网络上的标识，用于在广域网中进行数据通信。

IP地址绑定是一种通过识别IP地址来控制访问的方式。

2.1 原理IP地址绑定的原理是限制只有特定的IP地址才能够访问网络。

网络管理员将指定的IP地址与网络访问策略进行绑定，只有使用这些IP地址的设备可以顺利进行通信，其他设备将被拒绝访问。

防止恶意软件控制为了给大家带来良好的网络环境，阻止P2P终结者等恶意控制软件破坏局域网网络环境，并且市面上的arp防火墙，如：彩影arp，金山arp等对P2P终结者并无多大防御作用。

现在我们就来做一下网关与客户机的双向IP&MAC绑定来搞定它。

在操作过程中，请关掉arp防火墙（暂时），因为它对我们的操作有一定的影响。

等操作完成之后再打开。

若安装有彩影arp的用户，请不要让它在开机自动运行（方法下面有），可以开机后手动运行。

首先声明一点，绑定IP和MAC是为了防止arp欺骗，防御P2P终结者控制自己的电脑（网速），对自己的电脑没有一点负面影响。

不想绑定的同学可以不绑定，以自愿为原则。

但是若被控制网速，自己躲在屋里哭吧！（开玩笑）。

好了废话不多说，开始我们的客户机IP与MAC绑定教程吧！一.首先将路由即网关的IP和MAC查看下（路由IP一般都是192.168.1.1）：开始→运行→cmd（回车）→arp/a就会出现如下图信息：其中第一个192.168.1.1即为路由IP，后面就是路由的MAC二.查看自己的IP和MAC有以下两种方法：①右键网上邻居→属性→右键本地连接→状态→支持→详细信息里面的实际地址即为自己的MAC地址，IP地址即为自己的IP地址。

②开始→运行→cmd(回车)→ipconfig/all(回车)会出来信息，如图：其中本地连接（以太网连接）里面的physical Address即为自己的MAC ,IPAddress即为自己的IP地址。

三.不让彩影arp防火墙开机运行的方法（后面用到）：开始→运行→msconfig(回车)→启动→将Antiarp.exe（彩影arp程序）前面的勾去掉→确定→退出而不重新启动→OK！启动里面的启动项目就是你安的软件的名称，命令就是你安在了哪里。

这样开机就不会自动运行它了，要想运行，手动打开桌面上它的程序就行。

若要恢复开机自动运行彩影arp，在启动中，将勾重新勾上就行了（不推荐）！若是不想让其他程序开机运行，和本操作一样！四．以管理员身份运行CMD（一般都是管理员身份，不是的很少，这个基本用不到）在命令界面（即进入CMD以后）直接按ctral+shift+（回车）就行了。

实施IP—MAC—PORT三重绑定的重要性作者：韩瑛来源：《中国管理信息化》2015年第08期[摘要]随着计算机技术和Internet应用的发展，政府部门开始大规模的建立信息网络，推动电子政务的发展。

如果网络系统失效或运行状态不佳、网络设备出现故障、应用服务中断，数据流就会受到阻塞，关键数据就不能得到有效共享，导致内部办公效率下降，从而影响政府部门的政策执行效果，给政府部门形象带来巨大损失。

网络业务和应用的日渐丰富，计算机网络的管理与维护工作也变得至关重要。

[关键词]电子政务；IP-MAC-PORT；三重绑定doi：10.3969/j.issn.1673 - 0194.2015.08.058[中图分类号]D63；TP393 [文献标识码]A [文章编号]1673-0194（2015）08-0076-02目前，大多数网络管理人员面临着网络规模越来越大、复杂度越来越高、管理越来越困难的难题，同时还受到单位领导要求提高网络运维效率的压力。

面对网络中病毒、木马泛滥，IP 地址被随意篡改，设置IP地址时总是出现IP地址冲突的警告，网络带宽被其他用户和恶意软件肆意占用而导致网络堵塞、运行效率下降等种种问题，作为一项基础的网络管理工作，实施IP-MAC-PORT三重绑定的重要性就凸显出来。

1 实施IP-MAC-PORT三重绑定的重要性IP地址的分配方式有两种：一种是IP地址动态分配方式，一种是IP地址静态分配方式。

局域网刚刚兴起时，网络管理人员常常将IP地址的分配方式设定为IP地址动态分配方式。

这样做的好处是网络设置高效、快捷、方便，在服务器端设置好IP地址动态分配服务、定义IP 地址分配池的起始和终止段就万事大吉；PC机的IP地址默认设置就是自动获得IP地址，所以客户端几乎不用进行任何设置，只要将电脑接入到网络，就能借助网络实现与外部信息和资源的交互。

这种IP地址分配方式在一个小型局域网络中，比如十几个人的小部门，或者单位上网人数不多的情况下，是非常合理的网络管理方案。

MAC地址与IP地址绑定1引言大多数解决“IP地址盗窃”的方案都采用MAC和IP地址之间的绑定策略，这是非常危险的。

本文将讨论这个问题。

这里需要注意的是，本文关注的是MAC和IP地址绑定策略的安全性，不具有任何黑客性质。

1.1为什么要绑定mac与ip地址影响网络安全的因素很多。

IP地址盗窃或地址欺骗是常见且有害的因素之一。

在现实中，许多网络应用都是基于IP的，比如流量统计、账户控制等，都将IP地址作为标记用户的重要参数。

如果有人窃取了合法地址并假装是合法用户，网络上传输的数据可能会被破坏、窃听，甚至被盗用，造成无法弥补的损失。

盗用外部网络的ip地址比较困难，因为路由器等网络互连设备一般都会设置通过各个端口的ip地址范围，不属于该ip地址范围的报文将无法通过这些互连设备。

但如果盗用的是ethernet内部合法用户的ip地址，这种网络互连设备显然无能为力了。

“道高一尺，魔高一丈”，对于ethernet内部的ip地址被盗用，当然也有相应的解决办法。

绑定mac地址与ip地址就是防止内部ip盗用的一个常用的、简单的、有效的措施。

1.2mac与IP地址的绑定原则ip地址的修改非常容易，而mac地址存储在网卡的eeprom中，而且网卡的mac地址是唯一确定的。

因此，为了防止内部人员进行非法ip盗用(例如盗用权限更高人员的ip地址，以获得权限外的信息)，可以将内部网络的ip地址与mac地址绑定，盗用者即使修改了ip地址，也因mac地址不匹配而盗用失败：而且由于网卡mac地址的唯一确定性，可以根据mac地址查出使用该mac地址的网卡，进而查出非法盗用者。

目前，许多单位的内部网络，尤其是校园网，都采用了MAC地址和IP地址的绑定技术。

许多防火墙（硬件防火墙和软件防火墙）也在MAC地址和IP地址之间内置绑定功能，以防止网络内的IP地址被盗。

从表面上看来，绑定mac地址和ip地址可以防止内部ip地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，mac地址与ip地址的绑定存在很大的缺陷，并不能真正防止内部ip地址被盗用。

cisco交换机ip和mac地址绑定虽然在TCP/IP网络中，计算机往往需要设置IP地址后才能通讯，然而，实际上计算机之间的通讯并不是通过IP地址，而是借助于网卡的MAC地址。

IP地址只是被用于查询欲通讯的目的计算机的MAC地址。

ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。

在计算机的 ARJ 缓存中包含一个或多个表，用于存储IP地址及其经过解析的以太网MAC地址。

一台计算机与另一台IP地址的计算机通讯后，在ARP缓存中会保留相应的MAC地址。

所以，下次和同一个IP地址的计算机通讯，将不再查询MAC地址，而是直接引用缓存中的MAC地址。

在交换式网络中，交换机也维护一张MAC地址表，并根据MAC地址，将数据发送至目的计算机。

为什么要绑定MAC与IP 地址：IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM 中，而且网卡的MAC地址是唯一确定的。

因此，为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

目前，很多单位的内部网络，都采用了MAC地址与IP地址的绑定技术。

下面我们就针对Cisco 的交换机介绍一下IP和MAC绑定的设置方案。

在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。

1.方案1——基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch#config terminal＃进入配置模式Switch(config)# Interface fastethernet 0/1＃进入具体端口配置模式Switch(config-if)#Switchport port-secruity＃配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)＃配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)＃删除绑定主机的MAC地址注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

谈谈IP、MAC与交换机端口绑定的方法Jack Zhai 信息安全管理者都希望在发生安全事件时，不仅可以定位到计算机，而且定位到使用者的实际位置，利用MAC与IP的绑定是常用的方式，IP地址是计算机的“姓名”，网络连接时都使用这个名字；MAC地址则是计算机网卡的“身份证号”，不会有相同的，因为在厂家生产时就确定了它的编号。

IP地址的修改是方便的，也有很多工具软件，可以方便地修改MAC地址，“身份冒充”相对容易，网络就不安全了。

遵从“花瓶模型”信任体系的思路，对用户进行身份鉴别，大多数人采用基于802.1x协议的身份认证技术(还可以基于应用的身份认证、也可以是基于Cisco 的EOU技术的身份认证)，目的就是实现用户账号、IP、MAC的绑定，从计算机的确认到人的确认。

身份认证模式是通过计算机内安全客户端软件，完成登录网络的身份鉴别过程，MAC地址也是通过客户端软件送给认证服务器的，具体的过程这里就不多说了。

一、问题的提出与要求有了802.1x的身份认证，解决的MAC绑定的问题，但还是不能定位用户计算机的物理位置，因为计算机接入在哪台交换机的第几个端口上，还是不知道，用户计算机改变了物理位置，管理者只能通过其他网管系统逐层排查。

那么，能否可以把交换机端口与IP、MAC一起绑定呢？这样计算机的物理位置就确定了。

首先这是有关安全标准的要求：1)重要安全网络中，要求终端安全要实现MAC\IP\交换机端口的绑定2)有关专用网络中，要求未使用的交换机端口要处于关闭状态(未授权前不打开)其次，实现交换机端口绑定的目标是：∙∙防止外来的、未授权的计算机接入网络(访问网络资源)∙∙当有计算机接入网络时，安全监控系统能够立即发现该计算机的MAC与IP，以及接入的交换机端口信息，并做出身份验证，属于未授权的能够报警或终止计算机的继续接入，或者禁止它访问到网络的任何资源∙∙当有安全事件时，可以根据用户绑定的信息，定位到机器(MAC与IP)、定位到物理位置(交换机端口)、定位到人(用户账号、姓名、电话…)二、实现交换机端口信息绑定的策略根据接入交换机的安全策略，可以把端口信息绑定分为两种方式：静态方式与动态方式1、静态方式：固定计算机的位置，只能在预先配置好的交换机端口接入，未配置(授权申请)的不能接入网络。

在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。

1.方案1――基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch#config terminal＃进入配置模式Switch(config)# Interface fastethernet 0/1＃进入具体端口配置模式Switch(config-if)#Switchport port-secruity＃配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)＃配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)＃删除绑定主机的MAC地址注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

注意：以上功能适用于思科2950、3550、4500、6500系列交换机2.方案2――基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC10＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20#进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）Switch(config)no mac access-list extended MAC10＃清除名为MAC10的访问列表此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

路由器mac地址绑定的优势及知识点很多时候，我们需要用到在路由器上绑定电脑MAC地址。

MAC 地址绑定就是利用三层交换机的安全控制列表将交换机上的端口与所对应的MAC地址进行捆绑。

其实ip地址绑定与MAC地址绑定明白道理，配置就非常简单了。

下面是整理的一些关于路由器mac地址绑定的优势及知识点的相关资料，供你参考。

路由器mac地址绑定的优势及知识点知识点：ip是逻辑地址，mac物理地址，也就是网卡地址，一般路由器都有DHCP这个服务功能。

一、利用DHCP给电脑1、电脑2进行分配ip地址，分配之后它会与mac地址绑定，在租约期内等下次获取时仍然获取此ip。

二、假如说现在我这台电脑1的Ip为192.168.0.10 然后mac 地址00-50-56-C0-00-08，然后电脑2机器也是192.168.0.10，这样就IP冲突了，认的是电脑1。

三、如果我电脑1关机，电脑2也使用这个ip ，不冲突了，但电脑2仍然不能访问外网，因为ip 与MAC的对应表里与现况不符。

所以，只有绑定相应的MAC地址才能上网，IP可以手动分配，但MAC地址是固定的，MAC地址绑定可以有效的规避非法用户的接入，还可以有效防止非法用户盗用网络资源，以进行网络物理层面的安全保护。

路由器mac地址绑定的方法步骤一、进入设置页面电脑的mac地址是固定的，但是ip地址可以进行设置、改动。

如果终端自行任意修改ip地址，可能会导致局域网ip地址冲突，影响正常使用。

若终端安装ARP(ip和mac的匹配关系)攻击软件，发出欺骗信息，也会导致网络不稳定。

ip地址的变动，会导致路由器对该终端的控制失效。

基于以上考虑，在宿舍、公司等终端较多的环境，设置ip和mac 地址绑定，可以防止终端私自修改ip地址带来的问题，保障网络稳定。

本文指导云路由器ip和mac地址绑定应用和设置方法。

某小型公司局域网有多台办公电脑，已经给电脑分配固定的ip 地址，现在需要在路由器上绑定，如下。

１、IP与MAC绑定的难题问：我的计算机原来采用公网固定IP地址。

为了避免被他人盗用，使用“arp -s ip mac”命令对MAC地址和IP地址进行了绑定。

后来，由于某种原因，又使用“arp -d ip mac”命令取消了绑定。

然而，奇怪的是，取消绑定后，在其他计算机上仍然不能使用该IP地址，而只能在我自己的计算机上使用。

需要说明的是，我的计算机并不是代理服务器。

答：虽然在TCP/IP网络中，计算机往往需要设置IP地址后才能通讯，然而，实际上计算机之间的通讯并不是通过IP地址，而是借助于网卡的MAC地址。

IP地址只是被用于查询欲通讯的目的计算机的MAC地址。

ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。

在计算机的ARP 缓存中包含一个或多个表，用于存储 IP 地址及其经过解析的以太网MAC地址。

一台计算机与另一台IP地址的计算机通讯后，在ARP缓存中会保留相应的MAC地址。

所以，下次和同一个IP地址的计算机通讯，将不再查询MAC地址，而是直接引用缓存中的MAC地址。

另外，需要注意的是，通过“-s”参数添加的项属于静态项，不会造成ARP缓存超时。

只有终止TCP/IP协议后再启动，这些项才会被删除。

所以，即使你取消了绑定，在短时间内其他计算机将仍然认为你采用的是原有IP地址。

在交换式网络中，交换机也维护一张MAC地址表，并根据MAC地址将数据发送至目的计算机。

当绑定IP与MAC地址后，只要与交换机通讯过，交换机就会记录下该MAC地址。

这样一来，即使后面有人使用了相同的IP地址，将依然不能与网关通讯，更连不通外面了，除非重新启动交换机、清除MAC表，或者MAC地址表超过了指定的老化时间。

２、网络经常瘫痪是为何问：网吧有70多台计算机，网络每天都会瘫痪一到三次。

通常情况下，只需将一级交换机的网线全部拔出后再连上，即可恢复正常，而有时则不得不重启一下交换机。

把原来的10Mbps的网卡更换为10/100Mbps网卡后，有近一个星期的时间网络没有瘫痪。

浅谈学校校园网络IP地址的管理及IP、MAC、端口的绑定毕业论文浅谈学校校园网络IP地址的管理及IP、MAC、端口的绑定毕业论文网络管理的目的就是确保一定范围内的网络及其网络设备能够稳定、可靠、高效地运行，使所有的网络资源处于良好的运行状态，到达用户预期的要求。

过去有一些简单的工具用来帮助网管人员管理网络资源，但随着网络规模的扩大和复杂度的增加，对强大易用的管理工具的需求也日益显得迫切，管理人员需要依赖强大的工具完成各种各样的网络管理任务，而网络管理系统就是能够实现上述目的系统。

1 WBM 技术介绍随着应用Intra的企业的增多，同时Inter技术逐渐向Intra的迁移，一些主要的网络厂商正试图以一种新的形式去应用M I S 。

因此就促使了W e b ( W e b - B a s e dManagement)网管技术的产生[2]。

它作为一种全新的网络管理模式—基于Web的网络管理模式，从出现伊始就表现出强大的生命力，以其特有的灵活性、易操作性等特点赢得了许多技术专家和用户的青睐，被誉为是“将改变用户网络管理方式的革命性网络管理解决方案”。

WBM融合了Web功能与网管技术，从而为网管人员提供了比传统工具更强有力的能力。

WBM可以允许网络管理人员使用任何一种Web浏览器，在网络任何节点上方便迅速地配置、控制以及存取网络和它的各个局部。

因此，他们不再只拘泥于网管工作站上了，并且由此能够解决很多由于多平台结构产生的互操作性问题。

WBM提供比传统的命令驱动的远程屏幕更直接、更易用的图形界面，浏览器操作和W e b页面对W W W用户来讲是非常熟悉的，所以WBM的结果必然是既降低了MIS全体培训的费用又促进了更多的用户去利用网络运行状态信息。

所以说，WBM是网络管理方案的一次革命。

2 基于WBM 技术的网管系统设计2.1 系统的设计目标在本系统设计阶段，就定下以开发基于园区网、Web模式的具有自主版权的中文网络管理系统软件为目标，采用先进的WBM技术和高效的算法，力求在性能上可以到达国外同类产品的水平。

在网络安全越来越重要的今天，高校和企业对于局域网的安全控制也越来越严格，普遍采用的做法之一就是IP地址、网卡的MAC地址与交换机端口绑定，我们通常说的MAC 地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机; 能根据MAC地址确定允许访问的设备;允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”;当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

一、首先必须明白两个概念：可靠的MAC地址。

配置时候有三种类型。

静态可靠的MAC地址：在交换机接口模式下手动配置，这个配置会被保存在交换机MAC地址表和运行配置文件中，交换机重新启动后不丢失(当然是在保存配置完成后)，具体命令如下：Switch(config-if)#switchport port-security mac-address Mac地址动态可靠的MAC地址：这种类型是交换机默认的类型。

在这种类型下，交换机会动态学习MAC地址，但是这个配置只会保存在MAC地址表中，不会保存在运行配置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。

黏性可靠的MAC地址：这种类型下，可以手动配置MAC地址和端口的绑定，也可以让交换机自动学习来绑定，这个配置会被保存在MAC地址中和运行配置文件中，如果保存配置，交换机重起动后不用再自动重新学习MAC地址，。

具体命令如下：Switch(config-if)#switchport port-security mac-address sticky其实在上面这条命令配置后并且该端口得到MAC地址后，会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address sticky Mac地址二、违反MAC安全采取的措施：当超过设定MAC地址数量的最大值，或访问该端口的设备MAC地址不是这个MAC 地址表中该端口的MAC地址，或同一个VLAN中一个MAC地址被配置在几个端口上时，就会引发违反MAC地址安全，这个时候采取的措施有三种：1.保护模式(protect)：丢弃数据包，不发警告。

如何进行IP和MAC地址绑定，以防范ARP欺骗？用路由器做地址转换，上网频繁掉线，此时将PC机的网卡禁用一下或将PC机重启一下又可以上网了，并且不能上网时ping PC机的网关不通。

这种情况一般来说,都是中了ARP欺骗病毒，可以通过以下方法进行防范。

方法1：在路由器上静态绑定PC机的IP地址和MAC地址，在PC机上绑定路由器内网口的IP地址和MAC地址。

(1) PC机重启后，静态配置的arp表项会丢失，需要重新配置，可以在PC机上制作一个.bat的批处理文件，放到启动项中。

(2) arp send-gratuitous-arp并非所有产品均支持，请查询网站上的配置手册和命令手册，确认您所使用的产品是否支持该功能。

(3) ARP固化并非所有产品均支持，请确认您所使用的产品是否支持该功能。

2. 什么是自然网段ARP，如何理解？自然网段的ARP的命令是在系统视图下执行naturemask-arp enable（默认是不使能的）；在学习ARP表项时，若发现ARP报文的源IP地址和入接口IP地址不在同一网段后，则使用自然网段进行判断。

假设Vlan-interface1000接口的IP地址为3.3.3.2/24，收到一个源IP地址为3.4.4.3的ARP报文，由于两个IP地址不在同一网段，Vlan-interface1000接口无法处理这个报文。

如果使能支持自然网段的ARP请求功能，则通过自然网段进行判断，由于Vlan-interface1000接口的IP地址为A类地址，因此默认掩码应该为8位，于是两个IP地址就在同一个网段，Vlan-interface1000接口就可以学习源IP地址为3.4.4.3的ARP表项了。

3. 什么是免费ARP，如何理解？免费ARP报文是一种特殊的ARP报文，该报文中携带的发送者IP地址和目标IP地址都是本机IP地址，发送者MAC地址是本机MAC地址，目标MAC地址是广播地址。

(1) 设备通过对外发送免费ARP报文，实现以下功能：l 确定其它设备的IP地址是否与本机IP地址冲突。

网络XXX的IPMAC端口绑定方案XXX绑定方案方案一用户只能使用绑定电脑在指定端口接入网络方案综述在严格标准网络管理领域，每一个用户的网络接入都是可以控制和管理的，例如：网络管理员为甲用户指定的网络接入端口是公司2号办公楼301室的3-1口，用户就只能通过该端口进行公司内部网络的访问。

这一端口也只能识别在网管员那里登记过的电脑，其他电脑均无法识别。

用户使用的网络XXX也是网络管理员分配好的XXX，在整个网络环境中，这一XXX的任何上网行为都与该用户电脑，端口相对应。

实现了网络故障准确定位，风险隐患及时排除。

另外，由于大型企业网络管理人员往往不只一人，网络维护和准入操作有时候会存在信息上的不对称，因此，将网络XXX分配交给DHCP服务器，往往是一种更加有效的实用的管理方式。

例如A公司有小张和小李两个网管员，两个都可以进行网络准入的批准操作，小张手动指定XXX时如果忘记告诉小李或者更新台账，就会造成网络使用时XXX冲突，很多工作就会陷入被动。

但是如果采用DCHP方式，小李和小张的批准操作都需要在DHCP服务器上进行，大家都可以清楚的看到现有XXX规划方式，并以此来进行合理的批准操作和XXX分配。

原理在DHCP服务器或者开启了DHCP功能的核心设备上为每一个用户建立一个只有一个IPXXX的DHCP池，关闭网段XXX池，进行DHCP分配IP与MACXXX的绑定，然后在接入层设备通过MACXXX 与交换机端口的绑定，如果接入层设备不支持网络管理，可以通过核心上的级联口来进行绑定，实现用户只能在分配的固定端口上进行上网。

优点客户PC端不需要进行任何的配置，对用户上网没有任何影响。

网络调整过程中，对客户上网影响较小，利于网管员实施。

缺点如果用户量过大，XXX会较多，对于交换机或DHCP服务器重启加载配置文件速度有一定的影响。

网络管员需要找出用户网络接入的具体交换机端口，工作量较大。

当现有员工进行工作变动，办公室搬迁，需要重新进行上述工作，工作量较大。

【摘要】随着网络技术的发展和单位网络规模的扩大，单位上网用户日益增多，在网络的日常管理过程中，时常会出现IP 地址被盗用、IP 地址发生冲突的情况。

本文给出一种通过IP 地址与MAC 地址绑定的方式来规范IP 地址使用的方法，有助于提高单位办公网络的整体安全性。

【关键词】网络管理；地址绑定【中图分类号】TP393文献标识码：A文章编号：1006-7973（2016）02-0053-03浅谈网络管理中IP 地址与MAC 地址的绑定丁健高雨龙（长江航道测量中心武汉430010）1引言随着网络技术的发展和单位网络规模的扩大，单位上网用户日益增多，在网络的日常管理过程中，时常会出现IP 地址被盗用、IP 地址发生冲突的情况。

一般情况下，我们会让使用人更改一个当时未使用的地址。

但是这种缺乏控制的管理，势必将使网络无法保持良好的秩序，在地址资源的分配和使用上出现混乱。

特别是在网络故障发生以后，也不利于追查相应地址快速排除故障，影响网络正常运行，甚至如果有人故意更改具有特殊权限的IP 地址，访问未授权的网络资源，那就给网络安全和单位利益造成不可估量的损失。

要解决上述问题，必须加强网络管理，在交换机或路由器上实施IP 地址与MAC 地址的绑定，不失为一种简单有效的方法。

2地址和MAC 地址绑定的原理2.1IP 地址、MAC 地址简介目前，网络中最常用的协议是TCP/IP 协议，TCP/IP 网络是一个四层协议结构，从下往上依次为链路层、网络层、传输层和应用层。

局域网通信主要是以太网的链路层协议，使用的地址是MAC 地址。

MAC 地址也叫物理地址、硬件地址或链路地址，由网络设备制造商写在硬件内部的EEPROM 中，是网卡在以太网中的硬件标志，这个地址与网络无关。

MAC 地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08：00：20：0A ：8C ：6D 就是一个MAC 地址，其中前6位08：00：20为16进制数，代表网络硬件制造商的编号，它由IEEE 分配，后3位C ：6D 为16进制数，代表制造商制造的某个网络产品(如网卡)的系列号，网络设备制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节，就可保证每个以太网设备在全球具有唯一的MAC 地址，MAC 地址可以唯一标志一块网卡。

路由器ip与mac绑定有什么用IP和MAC地址绑定的好处和作用:可以实现静态IP，也可以防止ARP攻击。

IP和MAC地址知识：如果你是通过校园网或小区接入Internet，那么一定听说过MAC 地址。

什么是MAC地址，MAC地址在这种局域网环境中究竟起到什么作用？下面就来介绍一下MAC地址的知识，MAC地址和IP地址的区别以及MAC地址在实际应用中所涉及到的安全问题。

一、基础知识如今的网络是分层来实现的，就像是搭积木一样，先设计某个特定功能的模块，然后把模块拼起来组成整个网络。

局域网也不例外，一般来说，在组网上我们使用的是IEEE802参考模型，从下至上分为：物理层、媒体接入控制层（MAC），逻辑链路控制层（LLC）。

标识网络中的一台计算机，一般至少有三种方法，最常用的是域名地址、IP地址和MAC地址，分别对应应用层、网络层、物理层。

网络管理一般就是在网络层针对IP地址进行管理，但由于一台计算机的IP地址可以由用户自行设定，管理起来相对困难，MAC地址一般不可更改，所以把IP地址同MAC地址组合到一起管理就成为常见的管理方式。

二、什么是MAC地址MAC地址就是在媒体接入层上使用的地址，也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。

MAC地址与网络无关，也即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，都有相同的MAC地址，它由厂商写在网卡的BIOS里。

MAC地址可采用6字节（48比特）或2字节（16比特）这两种中的任意一种。

但随着局域网规模越来越大，一般都采用6字节的MAC地址。

这个48比特都有其规定的意义，前24位是由生产网卡的厂商向IEEE申请的厂商地址，目前的价格是1000美元买一个地址块，后24位由厂商自行分配，这样的分配使得世界上任意一个拥有48位MAC 地址的网卡都有唯一的标识。

另外，2字节的MAC 地址不用网卡厂商申请。

MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数08:00:20代表网络硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。