H3C S5560X-30C-EI交換機綁定IP和MAC地址

WEB 界麵上實現 IP+MAC 地址綁定，並阻止未綁定設備上網，主要有兩種方法： ### 方法一：通過 IP Source Guard（推薦） 這是最直接和常用的端口級綁定方法，在交換機的 WEB 界麵配置如下： 1. **登錄 WEB 界麵：** 使用管理員賬號密碼登錄交換機的 WEB 管理界麵。 2. **導航至 IP Source Guard 配置：** * 通常在 `安全業務` 或 `安全` 菜單下找到 `IP Source Guard`（也可能叫`IP源防護`）選項。 * 在 IP Source Guard 配置中，尋找 `靜態綁定` 或 `Static Binding` 子菜單。 3. **配置靜態綁定表項：** * 在綁定列表頁麵，點擊 `新建` 或 `添加`。 * **選擇接口：** 在下拉菜單中選擇需要綁定用戶的物理端口（如 GigabitEthernet1/0/1）。 * **選擇綁定類型：** 通常選擇 `IP+MAC綁定` 或 `IPv4+MAC`。 * **輸入 IP 地址：** 輸入允許通過該端口訪問網絡的合法用戶的 IP 地址（如 192.168.1.10）。 * **輸入 MAC 地址：** 輸入該合法用戶設備的 MAC 地址（格式如 0000-1111-2222）。 * **選擇 VLAN：** （可選，但強烈建議）輸入用戶所屬的 VLAN ID。如果用戶在該端口下屬於特定 VLAN（如 VLAN 10），請務必填寫對應的 VLAN ID。填寫後，綁定將在指定 VLAN 內生效。 * **點擊確定/應用：** 保存該條綁定規則。 4. **在端口上啟用 IP Source Guard 檢查：** * 導航到接口管理（或類似名稱）菜單。 * 選擇已配置了靜態綁定的物理端口，進入其詳細配置。 * 在端口的安全設置或高級設置部分，查找與 `IP Source Guard`、`IPv4 Verify Source` 或 `源IP+MAC檢查` 相關的選項。 * 啟用或勾選 `IP地址檢查` 和 `MAC地址檢查` 功能（或類似選項，可能直接稱為 `ip verify source ip-address mac-address` 功能）。**這是最關鍵的一步！** 僅在端口上配置綁定表項而不啟用檢查功能是無效的。 * 保存端口的配置。 5. **重複操作：** 為其他需要綁定用戶的端口和用戶重複步驟 3 和 4。 **效果：** * 配置了綁定表項並啟用了檢查功能的端口，將隻允許源IP和源MAC與綁定表項完全匹配的報文通過。 * 未綁定的設備（IP或MAC不匹配）發出的報文將被該端口丟棄，無法通信（無法上網）。 * 此配置作用在端口或端口+VLAN上，不影響其他端口。 ### 方法二：通過 DHCP Snooping 綁定數據庫（需 DHCP 服務器配合） 如果網絡環境使用 DHCP 服務器分配 IP 地址，可以利用 DHCP Snooping 功能構建安全綁定數據庫，再結合 IP Source Guard 進行過濾。這種方法需要先配置 DHCP Snooping。 1. **啟用 DHCP Snooping：** * 在 WEB 界麵的 `安全業務` 或 `安全` 菜單下找到 `DHCP Snooping`。 * 在全局啟用 `DHCP Snooping 功能`。 * 選擇需要開啟 DHCP Snooping 的 VLAN（一般是用戶所在的 VLAN）。 * 配置 `信任接口`：通常是連接合法 DHCP 服務器的端口（上聯口）。 * 保存配置。 2. **配置 DHCP Snooping 綁定數據庫：** * 在 `DHCP Snooping` 設置中找到 `綁定數據庫` 或類似選項。 * 通常需要開啟 `記錄客戶端IP地址`、`客戶端MAC地址` 和 `端口+VLAN` 信息的功能。 3. **在用戶接入端口上啟用 IP Source Guard 動態檢查：** * 導航到接口管理，選擇用戶接入端口（下行口）。 * 在端口的安全設置中找到 `IP Source Guard`。 * 啟用 `IP地址檢查` 功能，並選擇 `動態檢測`（或 `根據 DHCP Snooping 綁定表`）類型。這對應命令 `ip verify source ip-address`。 * （可選）也可同時啟用 `MAC地址檢查`。 * 保存端口配置。 4. **（可選）添加靜態 DHCP Snooping 綁定：** 如果某些用戶使用靜態 IP，可在 `DHCP Snooping 綁定數據庫` 或 `靜態用戶綁定表` 部分，手動添加這些用戶的 IP、MAC、端口、VLAN 信息。