如何在 GS724Tv3&GS716Tv2 的端口上实现 IP 与 MAC 地址绑定 NETGEAR GS724T_网络交换机常见问题_技术支持

答案：

IP与MAC的绑定能确保计算机身份的正确性，只有当设定的IP和MAC完全一致时，才允许计算机访问网络，对用户权限限制、防止ARP攻击等都有良好效果。
GS724Tv3和GS716Tv2均支持基于端口的IP与MAC地址绑定—即设置端口安全将MAC与端口绑定，再设置IP ACL使IP与端口绑定，达到IP与MAC绑定的效果。下面以GS724Tv3上的一个例子，描述如何实现该功能。

拓扑图：

将PC1的IP（192.168.1.37）和MAC（00:26:9e:f6:0e:1c）绑定到GS724Tv3的端口g1上。设置如下：

一、端口和MAC绑定

进入Security - > Traffic Control - > Port Security - > Port Security Configuration，将Port Security Mode设置为Enable，点击右下角的APPLY。
在Interface Configuration项设置端口启用此功能。
说明：启用Port Security（端口安全）的端口受到限制，不启用此功能的端口将仅受到Switching - > Address Table - > Advanced - > Static Addresses下MAC地址列表的限制。如：
- 在g1-g20端口前打勾，将Port Security设置为Enable；
- Max Allowed Dynamically Learned MAC(允许动态学习的最大MAC地址数量)，默认值为600，这里设置为0（即不允许动态学习MAC地址）；
- Max Allowed Statically Locked MAC(允许手动添加静态MAC地址的最大数量)，默认值为20，可根据需要设置0-20的值。
  
  设置修改完成之后，点击右下角的APPLY。
此时，我们看到Port Security Configuration项的Port Security Violations（非法接入MAC地址）列表显示了已连接的MAC地址的对应关系。
如果要允许此MAC地址接入，需要再到Switching - > Address Table - > Advanced - > Static Addresses，在VLAN ID下拉列表中选择VLAN号如201，在MAC Address下输入电脑的MAC地址，在Interface下选择端口g1。
这样即实现了端口MAC地址00:26:9e:f6:0e:1c仅能从g1-g20 的g1端口接入。

二、端口与IP绑定—标准IP ACL实现

GS724Tv3的IP ACL有两种：标准IP ACL，序号从1-99，仅能对源地址进行过滤；扩展IP ACL，序号从100-199，其设置规则的参数更多，如可对源地址/目标地址/协议类型等进行过滤。

在这个实例中使用标准IP ACL即可实现端口与IP地址绑定。下面是具体的设置步骤：

进入Security - > ACL - > Advanced - > IP ACL，新建一个IP ACL，序号从1开始，点ADD添加。
进入IP Rules，建立一条新的规则，即允许192.168.1.37访问所有服务。 Rule ID：每条ACL对应的规则数量为10条，序号为1-10； Action：选择Permit（允许）或Deny（禁止）的行为； Match Every：选择True说明这是最后一条匹配的规则，否则请选择False； Source IP Address/Source IP Mask：匹配源IP地址/反掩码，如单个IP地址192.168.1.37的掩码为255.255.255.255，其反掩码为0.0.0.0。

设置完成之后，点ADD添加。

注：由于ACL默认都是禁止所有访问的，因此没有必要添加禁止其他IP访问的规则了。
将这条ACL绑定到端口。
进入IP Binding Configuration，在ACL ID处选“1”，在Port Selection Table下的黄条上点一下，即可出现所有端口。选择端口1，点击右下角的APPLY将这条ACL应用到此端口。
此时端口g1就只允许192.168.1.37这个IP接入了。上面的两个步骤设置完成后，实现的效果是仅当PC1（MAC地址为00:26:9e:f6:0e:1c）的IP地址为192.168.1.37时，才能且仅能从交换机的g1端口接入网络。

我有NETGEAR GS724T的问题要问

常见问题 NETGEAR/美国网件网络交换机的常见问题>>

本FAQ适用范围

最新NETGEAR/美国网件网络FAQ

最新在线问题