IP與MAC綁定 靜態ARP綁定設置 兩者都有什么用?DHCP就是動態分配IP，如果你的路由器或者交換機開啟了DHCP靜態綁定，那么新連上來的電腦，

根據MAC地址會自動分配一個已綁定的IP，這是在電腦網卡上設置了自動獲取IP的情況下。

IP與MAC綁定 靜態ARP綁定設置 兩者都有什么用?

如果該電腦已經設置了可以上網的網段內的其他IP，而不需要DHCP分配的時候，也是可以上網的，同理，當其他PC已經配置該IP，那么你綁定的PC上線的時候，也無法正常使用。

而ARP綁定則是直接將mac地址與IP地址綁定，即使其他PC已經配置了該IP地址，那么在交換機或者路由器上查找該IP對應的mac時候，也無法查到其他的PC。

轉載于互聯網

靜態ARP簡介

靜態ARP表項是指網絡管理員手工建立IP地址和MAC地址之間固定的映射關系。

正常情況下網絡中設備可以通過ARP協議進行ARP表項的動態學習，生成的動態ARP表項可以被老化，可以被更新。但是當網絡中存在ARP攻擊時，設備中動態ARP表項可能會被更新成錯誤的ARP表項，或者被老化，造成合法用戶通信異常。靜態ARP表項不會被老化，也不會被動態ARP表項覆蓋，可以保證網絡通信的安全性。靜態ARP表項可以限制本端設備和指定IP地址的對端設備通信時只使用指定的MAC地址，此時攻擊報文無法修改本端設備的ARP表中IP地址和MAC地址的映射關系，從而保護了本端設備和對端設備間的正常通信。一般在網關設備上配置靜態ARP表項。

對于以下場景，用戶可以配置靜態ARP表項。

• 對于網絡中的重要設備，如服務器等，可以在交換機上配置靜態ARP表項。這樣可以避免交換機上重要設備IP地址對應的ARP表項被ARP攻擊報文錯誤更新，從而保證用戶與重要設備之間正常通信。
• 當網絡中用戶設備的MAC地址為組播MAC地址時，可以在交換機上配置靜態ARP表項。缺省情況下，設備收到源MAC地址為組播MAC地址的ARP報文時不會進行ARP學習。
• 當希望禁止某個IP地址訪問設備時，可以在交換機上配置靜態ARP表項，將該IP地址與一個不存在的MAC地址進行綁定。

配置注意事項

• 設備上配置的靜態ARP表項數目不能大于設備靜態ARP表項規格，可以執行命令display arp statistics all查看設備上已有的ARP表項數目。
• 本舉例適用于S系列交換機所有產品的所有版本。

組網需求

如圖7-1所示，企業通過Switch實現各個部門之間的互連，且各個部門加入不同的VLAN。總裁辦公室和文件備份服務器采取手工方式分配已經獲取到固定IP地址，市場部和研發部主機通過DHCP方式已經獲取到動態IP地址。由于市場部擁有訪問外網的權利，主機經常會感染ARP病毒，攻擊Switch并修改Switch上的動態ARP表項，造成總裁辦公室與外界的通信中斷以及各個部門不能正常訪問文件備份服務器。公司希望在Switch上配置靜態ARP表項，以保證總裁辦公室與外界的通信安全，并保證各個部門能正常訪問文件備份服務器。

圖7-1 配置靜態ARP組網圖

配置思路

靜態ARP的配置思路如下：

1. 在Switch上為總裁辦公室主機配置靜態ARP表項，防止總裁辦公室主機的ARP表項被ARP攻擊報文修改，造成總裁辦公室與外界的通信中斷。
2. 在Switch上為文件備份服務器配置靜態ARP表項，防止文件備份服務器的ARP表項被ARP攻擊報文修改，造成各個部門不能正常訪問文件備份服務器。

操作步驟

1. 在Switch上創建VLAN，并配置各接口的IP地址

# 創建VLAN10，將接口加入VLAN10，并配置接口VLANIF10的IP地址。

<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.164.1.20 24
[Switch-Vlanif10] quit

# 配置接口GE1/0/2為主接口，并配置接口的IP地址。

[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] undo portswitch
[Switch-GigabitEthernet1/0/2] ip address 10.164.10.10 24
[Switch-GigabitEthernet1/0/2] quit

# 配置接口GE1/0/3為主接口，并配置接口的IP地址。

[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] undo portswitch
[Switch-GigabitEthernet1/0/3] ip address 10.164.20.1 24
[Switch-GigabitEthernet1/0/3] quit

如果設備不支持通過undo portswitch命令將接口轉換為主接口后配置IP地址，可以通過配置VLANIF接口后配置IP地址。

2.在Switch上配置靜態ARP表項

[Switch] arp static 10.164.1.1 00e0-fc01-0001 vid 10 interfacegigabitethernet 1/0/1 //為總裁辦公室主機配置靜態ARP表項
[Switch] arp static 10.164.10.1 00e0-fc02-1234 interfacegigabitethernet 1/0/2 //為文件備份服務器配置靜態ARP表項3.

3.驗證配置結果

# 執行命令display arp static，查看已配置的靜態ARP表項。

[Switch] display arp static
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/CEVLAN
------------------------------------------------------------------------------
10.164.1.1 00e0-fc01-0001 S-- GE1/0/1
10/-
10.164.10.1 00e0-fc02-1234 S-- GE1/0/2
40/-
------------------------------------------------------------------------------
Total:2 Dynamic:0 Static:2 Interface:0

# 在總裁辦公室的主機（IP地址為10.164.1.1/24，操作系統以Windows 7為例）上

Ping路由器上與Switch相連的接口IP地址10.164.20.2/24，可以Ping通。

C:\Documents and Settings\Administrator> ping 10.164.20.2
Pinging 10.164.20.2 with 32 bytes of data:
Reply from 10.164.20.2: bytes=32 time=1ms TTL=128
Reply from 10.164.20.2: bytes=32 time=1ms TTL=128
Reply from 10.164.20.2: bytes=32 time=1ms TTL=128
Reply from 10.164.20.2: bytes=32 time=1ms TTL=128

Ping statistics for 10.164.20.2:
Packets: Sent=4, Received=4, Lost=0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum=1ms, Maximum=1ms, Average=1ms

# 在市場部的某主機（IP地址為10.164.2.100/24，操作系統以Windows 7為例）上Ping

文件備份服務器的IP地址10.164.10.1/24，可以Ping通。

C:\Documents and Settings\Administrator> ping 10.164.10.1
Pinging 10.164.10.1 with 32 bytes of data:
Reply from 10.164.10.1: bytes=32 time=1ms TTL=125
Reply from 10.164.10.1: bytes=32 time=1ms TTL=125
Reply from 10.164.10.1: bytes=32 time=1ms TTL=125
Reply from 10.164.10.1: bytes=32 time=1ms TTL=125

Ping statistics for 10.164.10.1:
Packets: Sent=4, Received=4, Lost=0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum=1ms, Maximum=1ms, Average=1ms

# 在研發部的某主機（IP地址為10.164.3.100/24，操作系統以Windows 7為例）上Ping

文件備份服務器的IP地址10.164.10.1/24，可以Ping通。

C:\Documents and Settings\Administrator> ping 10.164.10.1
Pinging 10.164.10.1 with 32 bytes of data:
Reply from 10.164.10.1: bytes=32 time=1ms TTL=125
Reply from 10.164.10.1: bytes=32 time=1ms TTL=125
Reply from 10.164.10.1: bytes=32 time=1ms TTL=125
Reply from 10.164.10.1: bytes=32 time=1ms TTL=125

Ping statistics for 10.164.10.1:
Packets: Sent=4, Received=4, Lost=0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum=1ms, Maximum=1ms, Average=1ms

配置文件

Switch的配置文件。

#
sysname Switch
#
vlan batch 10
#
interface Vlanif10
ip address 10.164.1.20 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
undo portswitch
ip address 10.164.10.10 255.255.255.0
#
interface GigabitEthernet1/0/3
undo portswitch
ip address 10.164.20.1 255.255.255.0
#
arp static 10.164.1.1 00e0-fc01-0001 vid 10 interface GigabitEthernet1/0/1
arp static 10.164.10.1 00e0-fc02-1234 interface GigabitEthernet1/0/2
#
return