一、IP、MAC绑定

（不匹配时无法上网）

Switch_config# interface GigaEthernet0/3

Switch_config_g0/3# switchport port-security bind ip 1.1.1.1 mac aaaa.dddd.cccc //交换机接口下进行安全绑定

Switch_config#show running-config //查看端口下配置情况

二、端口绑定IP、mac

在接口模式下输入

Switch_config_inter#ip source binding  08-00-3e-00-00-01 192.168.1.2 interface GigaEthernet1/1

（端口绑定192.168.1.2 mac地址为08-00-3e-00-00-01的终端，该终端到其他端口流量不会被转发，其他终端可以在这个端口流量依旧被正常转发）

三、终端IP、mac绑定，并且防止私设IP地址(绑定终端较少)

dhcp开启IP、mac绑定，再配置ARP静态绑定。可以实现终端IP、mac绑定并且可以移动到其他端口进行上网。(对于绑定终端较少的情况下)

1、配置dhcp服务器并配置IP、mac绑定。

Switch_config#ip dhcpd enable

Switch_config#ip dhcpd  poolxx

switch1_config_dhcp#network 192.168.4.0 255.255.255.0

switch1_config_dhcp#ip-bind 192.168.4.1 hardware-address ab-ab-ab-ab-ab

剩下的配置地址池网关和DNS省略。

2、配置arp静态绑定。

switch1_config#arp 20.0.0.44  B0:A4:60:9C:76:AF vlAN 20

（arp静态绑定IP地址20.0.0.44 mac地址为B0:A4:60:9C:76:AF）

四、终端IP、mac绑定，并且防止私设IP地址(绑定终端较多)

开启dhcp，开启dhcp snooping，开启dhcp snooping表项快速更新，对所在vlan再开启一个ip源地址检测。

1、全局开启dhcp服务

Switch_config#ip dhcpd enable  dhcp服务器配置此处省略。

2、开启dhcp snooping。配置该命令，则交换机侦听所有DHCP报文，形成相应的绑定关系。注意：如果客户端是在配置该命令之前通过此交换机获取地址，则交换机不能添加相应的绑定关系。

Switch_config#ip dhcp-relay snooping 

如果之前已经有终端获取地址了，可以在特权模式输入 switch1#clear ip dhcpd binding 清除下绑定条目，终端重新获取地址便可以形成绑定条目。

3、开启开启dhcp snooping表项快速更新。开启表项快速更新的时候，终端接到其他交换机端口的时候也可以正常联网，但是切换端口完成的时候，会丢3个包左右，才可以正常联网。

Switch_config#ip dhcp-relay snooping rapid-refresh-bind

4、开启IP源地址检测，交换机会根据dhcp snooping绑定条目判断端口接入的IP和mac是否对应，对应的话便放通流量，不对应则丢弃报文不做转发。

Switch_config#ip verify source vlan 3

（在vlan3启用IP源地址检测）