一、系统支持绑定方式: Port+ip :将报文的接收端口和源IP地址绑定。 Port+MAC :将报文的接收端口和源MAC地址绑定。 Port+ip+MAC :将报文的接收端口和源IP地址源MAC地址绑定。 ip+MAC:将报文的源IP地址和源MAC地址绑定。 二、命令: 1、端口+MAC AM命令:使用特殊的AM user-bind 命令来完成MAC地址与端口之间的绑定。 [switch-a]am user-bind mac-addres xxx-xxx-xxx interface e1/0/1 mac-address命令:使用mac-address static 来完成MAC与端口之间的绑定。 [switch-a]mac-address static xxx-xxx-xxx interface e1/0/1 vlan 1 [switch-a]mac-address max-mac count 0 mac-address max-mac-count命令用来配置接口最多可以学习到的MAC地址数,以及当接口学习的MAC地址数达到配置的最大MAC地址数后,是否允许转发收到的源MAC地址不在MAC地址表里的数据帧。缺省情况下,接口最多可以学习到的MAC地址数目是与设备相关的,并且当接口学习的MAC地址数达到配置的最大MAC地址数后,允许转发收到的数据帧。 在接口视图下执行该命令,则该配置只在当前接口生效;在端口组视图下执行该命令,则该配置将在端口组的所有端口生效。 # 配置以太网接口GigabitEthernet1/0/1最多学习到的地址的数目为600,当接口学习的MAC地址数达到600时,禁止转发源MAC地址不在MAC地址表里的数据帧。 system-view [Sysname] interface GigabitEthernet 1/0/1 [Sysname-GigabitEthernet1/0/1] mac-address max-mac-count 600 [Sysname-GigabitEthernet1/0/1] mac-address max-mac-count disable-forwarding mac-address timer mac-address timer命令用来配置动态MAC地址表项的老化时间。undo mac-address timer命令用来恢复缺省情况。 缺省情况下,MAC地址动态表项的老化时间为300秒。 如果用户配置的老化时间过长,设备可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致设备无法根据网络的变化更新MAC地址表。如果用户配置的老化时间太短,设备可能会删除有效的MAC地址表项,可能导致设备广播大量的数据报文,影响设备的运行性能。所以用户需要根据实际情况,配置合适的老化时间来有效的实现MAC地址老化功能。 【举例】 # 配置动态MAC地址表项的老化时间为500秒。 system-view [Sysname] mac-address timer aging 500 2、IP+MAC AM命令:使用特殊的AM user-bind 命令来完成IP地址与MAC地址之间的绑定。 [switch-a]am user-bind ip-address 192.168.1.1 mac-address xxx-xxx-xxx arp命令: [switch-a]arp static 10.0.0.1 xxx-xxx-xxx 3、ip+MAC+端口(一个端口下面只接一个设备) AM命令:使用特殊的AM user-bind 命令来完成IP地址MAC地址与端口之间的绑定。 [switch-a]am user-bind IP-address 10.0.0.1 mac-address xxx-xxx-xxx interface e1/0/1 4、关闭其它空端口可以上网的功能: 若端口下没有接任何设备,那么当新接入一台终端后,就没有IP+MAC地址的限制了,就有可能会正常上网,因此还需要在这些空闲端口上关掉MAC地址自动学习的功能,命令如下: interface GigabitEthernet 1/0/20 首先进入空闲的20号端口 mac-address mac-learning disable 关掉此端口的MAC地址学习功能 解析:如果全局模式下没有AM命令可以到接口下面使用user-bind 命令 个端口下只有一台电脑的绑定方法用-3-ip+MAC+端口(一个端口下面只接一个设备) 个端口下接了一个小交换机的绑定方式-2-IP+MAC 很多人会把arp static和am user-bind命令搞混淆,虽然使用起来不一样,但是最终效果都是一样的,都是针对ip/mac绑定: 首先使用arp static绑定必须将所有的ip进行绑定,如果有遗漏ip,那ip/mac绑定就会失效。 举例: 全局下#arp static 192.168.1.2 1h22-456f-ddd5 这句话表示整个网络下,这个ip只能给这个mac地址使用。其他非法者不能使用。 取消用 #undo arp 192.168.1.2 端口下配置: #interface ethernet 1/0/12 #arpstatic 192.168.1.2 1h22-456f-ddd5 1 这句话表示这个ip只能给vlan1下面的这个mac使用,其他不符合条件的都不能合法使用,并且这个端口就只能这个ip一个人使用。 #arpstatic 192.168.2.2 1h22-456f-ddd5 2 这句话表示这个ip只能给vlan2下面的这个mac使用,其他不符合条件的都不能合法使用,,并且这个端口就只能这个ip一个人使用。 am user-bind绑定之后,你就只能使用你的ip,你使用其他的ip都不行。 举例: 一、在全局下就可以配置。 #system view #am user-bind mac-addr XXXX-XXXX-XXXX ip-addr XXX.XXX.XXX.XXXX 这时候任何端口下只要是这个mac就只能使用这个ip地址,其他没有绑定的ip和mac不受影响。当然其他用户也可以使用这个ip。 二、在端口下配置(ip/mac/端口同时绑定) : #system view #am user-bind mac-addr XXXX-XXXX-XXXX ip-addr XXX.XXX.XXX.XXXX interface ethernet 1/0/12 本文来源:https://www.wddqw.com/doc/87fa42144531b90d6c85ec3a87c24028915f85b7.html