H3C 3600 IP和MAC地址的绑定问题

mac-address static 001e-90fb-acd5 vlan 5
arp static 192.168.5.44 001e-90fb-acd5 5
ip source static binding ip-address 192.168.5.44 mac-address 001e-90fb-acd5

你们帮忙看看 我3600要实现一个端口的在VLAN5上 IP和mac的绑定 这个3条 哪一条才是可以真正绑定IP和MAC！ 客户端改了盗用IP就根本无法连进这个端口！

ip source static binding ip-address 192.168.5.44 mac-address 001e-90fb-acd5
这条，但是需要将此端口下的mac地址学习关掉
mac-address max-mac-count 0

也就是说只有符合绑定规则的才可以上网。

有两种方式。 我先说第一种，动态绑定。就是说你这个接口只能接入2个pc，只学前2个pc的mac。如果当第三个pc接入的话，就会被拒绝。 配置案例如下： (1)配置switch # 使能端口安全功能。 system-view [switch] port-security enable # 打开入侵检测trap开关。 [switch] port-security trap intrusion # 设置端口允许的最大安全mac地址数为64。 [switch] interface gigabitethernet 1/0/1 [switch-gigabitethernet1/0/1] port-security max-mac-count 64 # 设置端口安全模式为autolearn。 [switch-gigabitethernet1/0/1] port-security port-mode autolearn # 设置触发入侵检测特性后的保护动作为暂时关闭端口，关闭时间为30秒。 [switch-gigabitethernet1/0/1] port-security intrusion-mode disableport-temporarily [switch-gigabitethernet1/0/1] quit [switch] port-security timer disableport 30 (2)验证配置结果 上述配置完成后，可以用display命令显示端口安全配置情况，如下： display port-security interface gigabitethernet 1/0/1 equipment port-security is enabled intrusion trap is enabled disableport timeout: 30s oui value: gigabitethernet1/0/1 is link-up port mode is autolearn needtoknow mode is disabled intrusion protection mode is disableporttemporarily max mac address number is 64 stored mac address number is 0 authorization is permitted 可以看到端口的最大安全mac数为64，端口模式为autolearn，入侵检测trap开关打开，入侵保护动作为disableporttemporarily，入侵发生后端口禁用时间为30秒。 配置完成后，允许地址学习，学习到的mac地址数可以用上述命令显示，如学习到5个，那么存储的安全mac地址数就为5，可以在端口视图下用display this命令查看学习到的mac地址，如： system-view [switch] interface gigabitethernet 1/0/1 [switch-gigabitethernet1/0/1] display this # interface gigabitethernet1/0/1 port-security max-mac-count 64 port-security port-mode autolearn port-security mac-address security 0002-0000-0015 vlan 1 port-security mac-address security 0002-0000-0014 vlan 1 port-security mac-address security 0002-0000-0013 vlan 1 port-security mac-address security 0002-0000-0012 vlan 1 port-security mac-address security 0002-0000-0011 vlan 1 # 当学习到的mac地址数达到64后，用命令display port-security interface可以看到端口模式变为secure，再有新的mac地址到达将触发入侵保护，trap信息如下： #may 2 03:15:55:871 2000 switch portsec/1/violation:traph3csecureviolation a intrusion occurs! ifindex: 9437207 port: 9437207 mac addr: 0.2.0.0.0.21 vlan id: 1 ifadminstatus: 1 并且可以通过下述命令看到端口安全将此端口关闭： display interface gigabitethernet 1/0/1 gigabitethernet1/0/1 current state: port security disabled ip packet frame type: pktfmt_ethnt_2, hardware address: 000f-cb00-5558 description: gigabitethernet1/0/1 interface ...... 30秒后，端口状态恢复： [switch-gigabitethernet1/0/1] display interface gigabitethernet 1/0/1 gigabitethernet1/0/1 current state: up ip packet frame type: pktfmt_ethnt_2, hardware address: 000f-cb00-5558 description: gigabitethernet1/0/1 interface ...... 此时，如手动删除几条安全mac地址后，端口安全的状态重新恢复为autolearn，可以继续学习mac地址。 第二种方式：手动绑定。命令是：interface gigabitethernet1/0/1 description 描述 port access vlan 2 user-bind ip-address 1.1.1.2 mac-address 0026-080d-e24c vlan 2 你有不明白的可以私密我，我会帮你解答，或者我发一些我项目中的案例给你。