如何利用DHCP elay进行IP与MAC绑定

DHCP Relay进行IP与MAC的绑定过程是这样操作的：

一 组网需求：

1.在交换机上对PC1进行IP+MAC+Port的绑定，使得在交换机的端口0/1下，只允许PC1这一台PC机上网

2.利用Switch的DHCP Relay功能，在SwitchB上开启address-check功能，PC1的mac地址为000f-1fb8-fcb8，手动设置PC1的ip地址为10.1.1.2。

二 组网图：

三 配置步骤：

1.创建(进入)VLAN10

[H3C]vlan 10

2.将E0/1加入到VLAN10

[H3C-vlan10]port Ethernet 0/1

3.创建(进入)VLAN接口10

[H3C]interface Vlan-interface 10

4.为VLAN接口10配置IP地址

[H3C-Vlan-interface10]ip address 10.1.1.1 255.255.255.0

5.为VLAN接口10配置一个假设的DHCP服务器地址

[H3C-Vlan-interface10]ip relay address 1.1.1.1

6.使能VLAN接口10对用户地址合法性检查的DHCP Relay的安全特性

[H3C-Vlan-interface10]DHCP relay security address-check enable

7.配置DHCP Relay的安全地址表项

[H3C]DHCP relay security 10.1.1.2 000f-1fb8-fcb8 static

四 配置关键点：

1.经过以上配置，可以完成将PC1的IP地址与MAC地址的静态绑定功能

2.如果要完成交换机的端口0/1下，只允许IP地址为10.1.1.2，MAC地址为000f-1fb8-fcb8的PC1上网，使用其他IP地址或者MAC地址的PC机均无法通过端口0/1上网的需求，还需要手工将PC1的MAC地址静态绑定到端口0/1上，同时在端口0/1上配置端口最大MAC地址学习数目为0：

[H3C]mac-address static 000f-1fb8-fcb8 interface Ethernet 0/1 vlan 10

[H3C]interface Ethernet 0/1

[H3C-Ethernet0/1]mac-address max-mac-count 0

如果要完成只允许PC1通过端口0/1上网，则需要将交换机上其他端口分别与其他PC机进行MAC地址绑定

3.支持此功能的设备包括：H3C 3600、H3C 5600、Quidway S3500、Quidway S3900、Quidway S5600和Quidway S3526系列交换机。

利用DHCP Relay进行IP与MAC的绑定就此就实现了。

通过绑定MAC地址设置允许访问，通过路由器来进行设置，在一定程度上是能够实现的。因为这依赖于路由器是否支持安全设置选项有关。如果路由器不支持的话，则做不到这一点。

绑定MAC地址允许访问的方法如下（以下均是在路由器管理界面中操作）：

（1）设置页面—>DHCP服务器—>静态地址分配—>将全部有效的IP地址与MAC地址绑定，输入并保存即可

（2）设置页面—>安全设置—>防火墙设置—>选择开启防火墙，开启IP地址过滤，开启MAC地址过滤三项—>选择凡是不符合已设IP地址过滤规则的数据包，禁止通过本路由器和仅允许已设MAC地址列表中已启用的MAC地址访问Internet。

（3）设置页面—>安全设置—>IP地址过滤—>添加新条目—>把有效的IP地址填进去，并选择使所有条目生效。

（4）设置页面—>安全设置—>MAC地址过滤—>添加新条目—>把有效的MAC地址填进去，并选择使所有条目生效。

这样设置后，除了已经设置的IP和MAC地址外，其它都是被禁止的。

但局域网内部之间可以正常访问。

路由器绑定mac地址和IP地址作用：

1、防止蹭网。

2、显示网速。绑定mac地址和IP地址设置方法：1、进入路由器：打开浏览器-输入192.168.1.1(一般路由器地址是这个)进路由器登录界面。2、输入正确的用户名和密码进入路由器管理后台。

3、我们要先查看已有的IP和对应在的MAC地址栏。点击左侧的“DHCP服务器”，选择“客户端列表”，记下右边显示的对应的IP和MAC地址，这个一定要记正确。5、在右边输入正确的对应的MAC和IP地址，再将“状态”选择为“生效”，再单击“保存”按钮保存即可。

---