交换机如何绑定IP和MAC

摘要：简要介绍基于静态绑定表或DHCP snooping动态绑定表过滤非法主机发送的报文，防止非法主机访问或者攻击网络的原理，并在实际设备上演示如何配置基于静态绑定表和DHCP snooping动态绑定表的IPSG功能。

01 应用场景&实现原理

IPSG可以防止恶意主机伪造合法主机的IP地址仿冒合法主机来访问网络或攻击网络。

它是利用交换机上的绑定表过滤非法主机发送的报文，以阻止非法主机访问网络或者攻击网络。

绑定表分为静态绑定表和DHCP Snooping动态绑定表。

静态绑定表：通过user-bind命令手工配置。该方式适用于局域网络中主机数较少，且主机使用静态配置IP地址的网络环境。

DHCP Snooping动态绑定表：配置DHCP Snooping功能后，DHCP主机动态获取IP地址时，设备根据DHCP服务器发送的DHCP回复报文动态生成。该方式适用于局域网络中主机较多，且主机使用DHCP动态获取IP地址的网络环境。

02  静态绑定表配置示例

组网需求

某公司员工通过交换机连接网络。研发人员IP地址为10.0.0.1，人力资源员工IP地址为10.0.0.11，设备上配置ACL，只允许人力资源员工10.0.0.11可以访问Internet。

并且，在人力资源员工出差关机的情况下，研发员工也不能通过私自将IP地址更改为10.0.0.11访问Internet。

配置思路

1.     在Switch上创建研发员工和人力资源员工的绑定表。

2.     在Switch的GE0/0/1和GE0/0/2接口下使能IPSG检查功能。

具体实现：

system-view//进入系统视图

[HUAWEI] interfacegigabitethernet 0/0/1 //进入GEO/0/1接口视图

[HUAWEI-GigabitEthernet0/0/1]ip source check user-bind enable//使能GE0/0/1接口的IPSG检查功能

[HUAWEI-GigabitEthernet0/0/1]quit //退出GEO/0/1接口视图

[HUAWEI]interface gigabitethernet 0/0/2 //进入GEO/0/2接口视图

[HUAWEI-GigabitEthernet0/0/2]ip source check user-bind enable //使能GE0/0/2接口的IPSG检查功能

[HUAWEI-GigabitEthernet0/0/2]quit //退出GDO/0/2接口视图

03 动态绑定表配置示例

组网需求

公司某部门员工IP地址均通过DHCP方式获取，通过部署IPSG实现员工只能使用DHCP Server分配的IP地址，不允许私自配置静态IP地址，如果私自指定IP地址将无法访问网络。

配置思路

1．在Switch1上配置DHCP Snooping功能，生成DHCP Snooping动态绑定表

2．在Switch 1连接员工主机的VLAN10上使能IPSG功能。

备注:此处省略DHCP配置，要求已完成相关配置，并且员工已通过DHCP方式动态获取到IP地址。

system view //进入系统视图

[HUAWEI] dhcp enable //全局使能DHCP功能

[HUAWEI] dhcp snooping enable //全局使能DHCPSnooping功能

[HUAWEI] vlan 10 //进入VLAN10视图

[HUAWEI-vlan10] dhcp snooping enable //在VLAN视图下使能DHCP Snooping功能

[HUAWEI-vlan10] dhcp snooping trusted interface gigabitethernet0/0/3 //将连接DH

[HUAWEI-vlan10] ip source check user-bind enable //基于VLAN使能IPSG检查功能

[HUAWEI-vlan10] quit //退出VLAN视图

04 结束语

IP绑定虽然不是什么特别复杂的技术，但是经常在工作中中用到，这里介绍到的方法只是手动设置，怎做到批量的设置，需要进一步试验。

本文由网络视频整理得到，视频地址为：

https://info.support.huawei.com/network/ptmngsys/Web/OnlineCourse_Switch/zh/mooc/s/configuration_other_zh.html