华为交换机IP-MAC绑定问题！

手头有S930核心6和接入S2300，用于企业内网。各机器的IP已由DHCP获得保留地址。
目的：现在想做一个IP和Mac的绑定，以避免未经授权的电脑接入和使用人自己换IP。因为可能存在部门和人员所在位置的调整，所以不准备把mac指定到具体端口，这样过于复杂。

有DHCP服务器，绑定后计算机无法上网，NA以上的进，别的水平就别说了！

在DHCP服务器上绑定

IP地址和MAC地址绑定有这么多事吗？直接捆绑就行了啊，捆绑后只有该MAC地址可以使用该IP

添加MAC登录保护就应该能解决 IP-MAC绑定主要是为了限制个人通过修改IP，绕过带宽限速。 前几天在网络上看到有人发布了宽，MAC修改软件，用于欺骗网管限制。这个时候就需要绑定了。 对个人实行端口屏蔽限制，只开放指定端口，或者只允许访问白名单服务器。 或者开启上网监控，监测一段时间每个IP访问内容站。再做出相应调整。

既然你使用的是DHCP方式而不是静态指定，那么再绑定IP-MAC没有太大的意义。如果完全采用DHCP保留地址的方式，我建议你安装DHCP服务器更好一些，这样交换机的压力要小的多。

我把我公司前端时间的ip与mac绑定了，关键为了管理和限速！比较麻烦，你先在管理界面把内网管理中的DHCP服务给关了！然后到每台电脑面前手动修改他们的ip地址，最好记录下来，DNS服务器要填！然后回到你的管理界面去绑定！之后别人改ip或者新来的电脑都是无法上网的！

【命令】 am user-bind am user-bind interface { interface-name | interface-type interface-num } { mac-addr mac | ip-addr ip }* | mac-addr mac interface { interface-name | interface-type interface-num } | ip-addr ip }* | ip-addr ip { interface { interface-name | interface-type interface-num } | mac-addr mac }* } undo am user-bind { interface { interface-name | interface-type interface-num } { mac-addr mac | ip-addr ip }* | mac-addr mac { interface { interface-name | interface-type interface-num } | ip-addr ip }* | ip-addr ip { interface { interface-name | interface-type interface-num } | mac-addr mac }* } 【视图】 系统视图 【参数】 interface { interface-name | interface-type interface-num }：以太网端口。 mac-addr mac：mac地址。 ip-addr ip：ip地址。 【描述】 am user-bind用来将端口、ip和mac地址绑定在一起。 系统支持port+ip、port+mac、port+ip+mac、ip+mac绑定方式：  port+ip绑定：将报文的接收端口和源ip地址绑定。指定端口将只允许指定ip地址的报文通过，不允许其它ip地址的报文通过，同时指定ip地址的报文只能从指定端口上通过，不能从其它端口上通过。  port+mac绑定：将报文的接收端口和源mac绑定。指定端口将只允许指定mac地址的报文通过，不允许其它mac地址的报文通过，同时指定mac地址的报文只能从指定端口上通过，不能从其它端口上通过。  port+ip＋mac绑定：将报文的接收端口、源ip和源mac绑定。指定端口将只允许指定ip地址和指定mac地址的报文通过，不允许其它ip地址和mac地址的报文通过。指定ip地址的报文只能从指定端口上通过，不能从其它端口上通过。指定mac地址的报文只能从指定端口上通过，不能从其它端口上通过。  ip＋mac绑定：将报文的源ip和源mac绑定。如果报文的源ip地址与指定ip相同，则只有源mac地址是指定的mac地址时，该报文才被交换机转发，否则该报文不能被转发。同理，如果报文的mac地址与指定的mac地址相同，则只有源ip地址与指定的ip地址相同，该报文才被交换机转发，否则该报文不能被转发。 注：不支持同时对一个端口做“port+ip+mac”和“port+ip”绑定。

假设ip地址10.1.1.2，mac地址0000-0000-0001 1、ip+mac+端口绑定流程 三层交换机中目前只有s3526系列支持使用am命令来进行ip地址和端口的绑定。并且如果s3526系列交换机要采用am命令来实现绑定功能，则交换机必须是做三层转发（即用户的网关应该在该交换机上）。 2、采用dhcp-security来实现 1.配置端口的静态mac地址 [switcha]mac-address static 0000-0000-0001 interface e0/1 vlan 1 2.配置ip和mac对应表 [switcha]dhcp-security 10.1.1.2 0000-0000-0001 static 3.配置dhcp-server组号(否则不允许执行下一步，此dhcp-server组不用在交换机上创建也可) [switcha-vlan-interface1]dhcp-server 1 4. 使能三层地址检测 [switcha-vlan-interface1]address-check enable 3、采用am命令来实现 1.使能am功能 [switcha]am enable 2.进入端口视图 [switcha]vlan 10 3. 将e0/1加入到vlan10 [switcha-vlan10]port ethernet 0/1 4.创建（进入）vlan10的虚接口 [switcha]interface vlan-interface 10 5.给vlan10的虚接口配置ip地址 [switcha-vlan-interface10]ip add 10.1.1.1 255.255.255.0 6.进入e0/1端口 [switcha]interface ethernet 0/1 7. 该端口只允许起始ip地址为10.1.1.2的10个ip地址上网 [switcha-ethernet0/1]am ip-pool 10.1.1.2 10