cisco交换机中通过IP查端口将ip与mac绑定及ip与端口绑定

在cisco交换机中为了防止ip被盗用或员工乱改ip，可以做以下措施，既ip与mac地址的绑定，和ip与交换机端口的绑定。


一．通过IP查端口
先查MAC地址，再根据MAC地址查端口：
R2#show arp | include 208.41 或者show mac-address-table //查看arp表中包含208.41的信息或者查看整个端口的ip-mac表 Internet 10.138.208.41 4 0006.1bde.3de9 ARPA Vlan10
R2#show mac-add | in 0006.1bde //查看mac地址表中包含0006.1bde mac的信息
10 0006.1bde.3de9 DYNAMIC Fa0/17 //在17端口上
R2#exit


二.ip与mac地址的绑定，这种绑定可以简单有效的防止ip被盗用，别人将ip改成了你绑定了mac地址的ip后，其网络不通，（tcp/udp协议不同，但netbios网络共项可以访问），具体做法：
将ip地址与网卡的mac地址绑定
cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA
这样就将10.138.208.81 与mac:0000.e268.9980 ARPA绑定;,在一起了


三.ip与交换机端口的绑定，此种方法绑定后的端口只有此ip能用，改为别的ip后立即断网。有效的防止了乱改ip。

CISCO交换机或路由器上绑定IP和网卡的硬件地址

网卡的MAC地址通常是惟一确定的，在路由器中建立一个IP地址与MAC地址的对应表，只有“IP-MAC地址相对应的合法注册机器才能得到正确的ARP应答，来控制IP-MAC不匹配的主机与外界通讯，达到防止IP地址的盗用。

比如局域网某一用户的IP地址为：202.196.191.190，MAC地址为：0010.40bc.b54e，在Cisco的路由器或交换机的路由模块上使用命令：

router(config)# arp 202.196.191.190 0010.40bc.b54e arpa

把该IP地址与MAC地址进行绑定，若有人盗用该IP地址，因其MAC地址的唯一性，使得IP地址与MAC地址不匹配而盗用失败．对于哪些未分配的IP地址，我们可以为其绑定一个MAC地址,比如，0000.0000.0000，使其不被盗用．比如：202.196.190.119未被使用，通过以下命令把其绑定起来．

router(config)# arp 202.196.191.190 0000.0000.0000 arpa



总结：通过使用MAC地址和IP地址可以有效的防止IP地址被盗用的情况，虽然在前期收集用户MAC地址的时候比较麻烦，但是建立这样的机制能够为用户在管理网络时带来很多的方便。所以，我们在构建网络的初期就应该将局域网内机器的MAC地址信息收集起来，为我们今后的网络管理工作带来便利。



如果是Windows 2000/XP系统，在命令提示符下输入“ipconfig /all”。显示列表中的“Physical Address”就是MAC地址，“IP Address”就是IP地址；要将二者绑定，可以输入“arp -s 你的IP地址你的MAC地址”，如“ARP -s 192.168.1.5 80-00-0B-B4-36-70”。