常用的两种ip、mac绑定方式

1.全局绑定IP+MAC地址：配置复杂，适用于大型网络、数据中心

2.Port-security + ARP-check

3.添加静态arp条目：配置简单、维护简单

全局绑定IP+MAC地址

谨慎开启该设置！谨慎开启该设置！！谨慎开启该设置！！！

一旦开启。所有未绑定的数据包都会被丢弃。

利用接入设备实现接入用户，只有绑定的ip+MAC才可以与外网通信，没有绑定的不能通信。

类似于白名单 ：只有在绑定表项中的ip+MAC可以正常通信，没有绑定的ip+MAC无法与外网通信

一个mac地址可以绑定多个ip地址。一个ip地址只能对应一个mac地址

一个mac地址可以绑定多个ip地址。一个ip地址只能对应一个mac地址
enable
configure terminal
address-bind 192.168.1.1 0001.1111.1111    ------> 配置IP 地址和MAC 地址的绑定关系
address-bind uplink FastEthernet 0/24  ------>配置地址绑定的例外端口（上联端口）
address-bind install   ------>使IP 和MAC 地址绑定生效
end
write      ------>确认配置正确，保存配置

show address-bind  查看设备的IP 地址和MAC 地址绑定配置。

只有在绑定表项中的ip+MAC可以正常通信，没有绑定的ip+MAC无法与外网通信

本质上是在全局开启对每个数据包的ip+mac检测，符合白名单表项的包才会放行。可以设置例外端口，例外端口的所有流量都不会被检测。

Port-security + ARP-check

Port-security + ARP-check方案：通过端口安全（Port-security）功能将用户正确的IP与MAC写入交换机的硬件表项，使用ARP-check功能校验ARP报文的正确性。如果合法用户的信息漏绑定了，或者是非法的IP,MAC接入网络，ARP校验都将失败，这样的用户将无法使用网络。

int g0/1
switchport port-security binding 0021.CCCF.6F70 vlan 10 192.168.1.1   
 ------>把属于vlan10 ，且mac地址是0021.CCCF.6F70 ，ip地址192.168.1.1的PC绑定在交换机的第一个接口上    
switchport port-security  ------>开启端口安全功能,开启后 只有ip+mac匹配的数据包才会被放行。拒绝其他所有流量
arp-check                       ------>开启arp-check功能    
exit

show port-security address    ------>查看端口安全被绑定的IP+MAC

show int arp-check list       ------>查看ARP-Check检测的用户

静态ARP条目

一个mac地址可以绑定多个ip地址。一个ip地址只能对应一个mac地址

arp 192.168.1.1 0001.1111.1111 arpa
arp 192.168.1.2 0001.1111.1111 arpa
arp 192.168.1.3 0001.1111.1111 arpa

show arp                查看arp表