方法一:手动逐个添加静态绑定(最直接)
这种方法适用于绑定设备数量不多,或需要精确控制的场景。
- 1.
登录Web管理界面
- •在浏览器中输入交换机的管理IP地址,使用您的用户名和密码登录。
- 2.
导航到配置页面
- •在左侧的导航菜单中,依次找到:
- •安全专区 (或 “安全”) -> ARP保护 -> ARP静态绑定表。
- •(不同软件版本路径可能略有差异,也可能在 “网络” -> “IP服务” -> “ARP” 下找到 “静态ARP” 或 “ARP固化” 标签页)。
- 3.
添加静态绑定条目
- •在“ARP静态绑定表”或类似页面中,点击
新建
或 添加
按钮。 - •在弹出的窗口中,填写以下关键信息:
- •IP地址:输入需要绑定的设备的IP地址(例如:
192.168.1.100
)。 - •MAC地址:输入需要绑定的设备对应的MAC地址(格式:
xxxx-xxxx-xxxx
或 xx:xx:xx:xx:xx:xx
,根据界面提示)。 - •VLAN ID:这是非常重要的一项! 必须填写该IP地址所属的VLAN ID(例如:
10
)。如果填错,绑定会失效。 - •接口:选择该MAC地址设备所连接的交换机端口(例如:
GigabitEthernet 1/0/5
)。虽然有些版本可以不指定,但指定端口后安全性更高。
- •说明:(可选)可以填写描述信息,如“财务部-张三电脑”。
- 4.
保存配置
- •勾选
启用ARP固化功能
或 启用ARP静态绑定
的全局开关(如果页面有此选项)。 - •点击
确定
保存本条绑定规则。 - •非常重要: 绑定条目配置后是即时生效的,但为了确保交换机重启后配置不丢失,请务必在Web界面找到 “保存配置” 的按钮(通常在页面顶部或系统管理菜单里)并点击保存。
方法二:通过“ARP自动学习”功能批量固化(更高效)
这种方法适用于已经稳定运行的网络,可以快速批量绑定现有设备。
- 1.
导航到ARP自动学习功能
- •路径通常在:安全专区 -> ARP保护 -> ARP固化 (或 “ARP自动学习”) 。
- 2.
启用并学习ARP条目
- •在“ARP固化”页面,首先在全局或指定VLAN上启用ARP自动学习功能。
- •设置一个学习时间(例如:5分钟)。在此期间,让所有需要绑定的设备正常上网、通信。
- •交换机会自动学习当前网络中所有活动的
IP-MAC-接口-VLAN
对应关系,并记录到临时表中。
- 3.
固化学习到的条目
- •学习时间结束后,回到这个页面。
- •你会看到一个“学习到的ARP条目”列表。
- •点击
固化
或 保存为静态ARP
之类的按钮,将学习到的动态条目全部转化为方法一中提到的静态绑定条目。
- 4.
启用固化功能并保存配置
- •确保启用ARP固化功能的全局开关是打开状态。
- •至关重要: 点击Web界面的 “保存配置” 按钮,将固化后的静态条目和配置永久保存到设备中。
验证与效果
- •
验证方法:
- 1.在 “ARP表” (网络 -> IP服务 -> ARP)中查看,被绑定的条目其“类型”会显示为
静态(Static)
,而不是“动态(Dynamic)”。 - 2.尝试使用一台未经授权的设备(MAC或IP不符合绑定规则)去抢占已绑定的IP地址,该设备将会无法通信,从而验证绑定生效。
- •
生效效果:
- •当有设备使用已绑定的IP但MAC地址不符时,交换机会丢弃该数据包。
- •当有设备使用已绑定的MAC地址但IP不符时,根据配置策略,也可能被拒绝(配合IP源防护功能效果更佳)。
- •可以有效防止ARP欺骗攻击和局域网内IP地址盗用问题。
重要注意事项
- 1.VLAN和接口:绑定条目中的VLAN ID和接口信息至关重要,如果填错,会导致合法用户也无法上网。
- 2.DHCP服务器:如果网络使用DHCP自动分配IP,绑定静态IP可能会与DHCP分配机制冲突。通常的做法是:
- •在DHCP服务器上为特定MAC地址分配固定的IP地址(DHCP保留)。
- •或者在交换机上绑定这个
IP-MAC
对。 - •这样两者就一致了。
- 3.保存配置:Web界面配置是即时生效的,但必须手动点击“保存配置”,否则设备重启后所有未保存的配置都会丢失。
- 4.版本差异:不同版本的Comware软件,Web界面的布局和术语可能略有不同。如果找不到 exact 菜单,请优先在“安全”和“ARP”相关的分类下寻找。
如果您的Web界面与上述描述有较大出入,建议查阅对应设备软件版本的官方Web配置指南,其中会有最准确的截图和说明。
对比一下:dhcp enable vlan 40 dhcp server ip-pool 40 gateway-list 192.168.40.1 network 192.168.40.0 mask 255.255.255.0 dns-list 61.139.2.69 218.6.200.139 expired unlimited interface Vlan-interface40 ip address 192.168.40.1 255.255.255.0 dhcp server apply ip-pool 40