H3C S5560X-30C-EI交换机绑定IP和MAC地址

WEB 界面上实现 IP+MAC 地址绑定，并阻止未绑定设备上网，主要有两种方法： ### 方法一：通过 IP Source Guard（推荐） 这是最直接和常用的端口级绑定方法，在交换机的 WEB 界面配置如下： 1. **登录 WEB 界面：** 使用管理员账号密码登录交换机的 WEB 管理界面。 2. **导航至 IP Source Guard 配置：** * 通常在 `安全业务` 或 `安全` 菜单下找到 `IP Source Guard`（也可能叫`IP源防护`）选项。 * 在 IP Source Guard 配置中，寻找 `静态绑定` 或 `Static Binding` 子菜单。 3. **配置静态绑定表项：** * 在绑定列表页面，点击 `新建` 或 `添加`。 * **选择接口：** 在下拉菜单中选择需要绑定用户的物理端口（如 GigabitEthernet1/0/1）。 * **选择绑定类型：** 通常选择 `IP+MAC绑定` 或 `IPv4+MAC`。 * **输入 IP 地址：** 输入允许通过该端口访问网络的合法用户的 IP 地址（如 192.168.1.10）。 * **输入 MAC 地址：** 输入该合法用户设备的 MAC 地址（格式如 0000-1111-2222）。 * **选择 VLAN：** （可选，但强烈建议）输入用户所属的 VLAN ID。如果用户在该端口下属于特定 VLAN（如 VLAN 10），请务必填写对应的 VLAN ID。填写后，绑定将在指定 VLAN 内生效。 * **点击确定/应用：** 保存该条绑定规则。 4. **在端口上启用 IP Source Guard 检查：** * 导航到接口管理（或类似名称）菜单。 * 选择已配置了静态绑定的物理端口，进入其详细配置。 * 在端口的安全设置或高级设置部分，查找与 `IP Source Guard`、`IPv4 Verify Source` 或 `源IP+MAC检查` 相关的选项。 * 启用或勾选 `IP地址检查` 和 `MAC地址检查` 功能（或类似选项，可能直接称为 `ip verify source ip-address mac-address` 功能）。**这是最关键的一步！** 仅在端口上配置绑定表项而不启用检查功能是无效的。 * 保存端口的配置。 5. **重复操作：** 为其他需要绑定用户的端口和用户重复步骤 3 和 4。 **效果：** * 配置了绑定表项并启用了检查功能的端口，将只允许源IP和源MAC与绑定表项完全匹配的报文通过。 * 未绑定的设备（IP或MAC不匹配）发出的报文将被该端口丢弃，无法通信（无法上网）。 * 此配置作用在端口或端口+VLAN上，不影响其他端口。 ### 方法二：通过 DHCP Snooping 绑定数据库（需 DHCP 服务器配合） 如果网络环境使用 DHCP 服务器分配 IP 地址，可以利用 DHCP Snooping 功能构建安全绑定数据库，再结合 IP Source Guard 进行过滤。这种方法需要先配置 DHCP Snooping。 1. **启用 DHCP Snooping：** * 在 WEB 界面的 `安全业务` 或 `安全` 菜单下找到 `DHCP Snooping`。 * 在全局启用 `DHCP Snooping 功能`。 * 选择需要开启 DHCP Snooping 的 VLAN（一般是用户所在的 VLAN）。 * 配置 `信任接口`：通常是连接合法 DHCP 服务器的端口（上联口）。 * 保存配置。 2. **配置 DHCP Snooping 绑定数据库：** * 在 `DHCP Snooping` 设置中找到 `绑定数据库` 或类似选项。 * 通常需要开启 `记录客户端IP地址`、`客户端MAC地址` 和 `端口+VLAN` 信息的功能。 3. **在用户接入端口上启用 IP Source Guard 动态检查：** * 导航到接口管理，选择用户接入端口（下行口）。 * 在端口的安全设置中找到 `IP Source Guard`。 * 启用 `IP地址检查` 功能，并选择 `动态检测`（或 `根据 DHCP Snooping 绑定表`）类型。这对应命令 `ip verify source ip-address`。 * （可选）也可同时启用 `MAC地址检查`。 * 保存端口配置。 4. **（可选）添加静态 DHCP Snooping 绑定：** 如果某些用户使用静态 IP，可在 `DHCP Snooping 绑定数据库` 或 `静态用户绑定表` 部分，手动添加这些用户的 IP、MAC、端口、VLAN 信息。