华为交换机 IP⼀MAC绑定问题

　　【命令】 am user-bind
　　am user-bind interface { interface-name | interface-type interface-num } { mac-addr mac | ip-addr ip }* | mac-addr mac interface { interface-name | interface-type interface-num } | ip-addr ip }* | ip-addr ip { interface { interface-name | interface-type interface-num } | mac-addr mac }* }
　　undo am user-bind { interface { interface-name | interface-type interface-num } { mac-addr mac | ip-addr ip }* | mac-addr mac { interface { interface-name | interface-type interface-num } | ip-addr ip }* | ip-addr ip { interface { interface-name | interface-type interface-num } | mac-addr mac }* }
　　【视图】
　　系统视图
　　【参数】
　　interface { interface-name | interface-type interface-num }：以太网端口。
　　mac-addr mac：MAC地址。
　　ip-addr ip：IP地址。
　　【描述】
　　am user-bind用来将端口.IP和MAC地址绑定在一起。
　　系统支持Port+IP.Port+MAC.Port+IP+MAC.IP+MAC绑定方式：
　　?? Port+IP绑定：将报文的接收端口和源IP地址绑定。指定端口将只允许指定IP地址的报文通过，不允许其它IP地址的报文通过，同时指定IP地址的报文只能从指定端口上通过，不能从其它端口上通过。
　　?? PORT+MAC绑定：将报文的接收端口和源MAC绑定。指定端口将只允许指定MAC地址的报文通过，不允许其它MAC地址的报文通过，同时指定MAC地址的报文只能从指定端口上通过，不能从其它端口上通过。
　　?? PORT+IP＋MAC绑定：将报文的接收端口、源IP和源MAC绑定。指定端口将只允许指定IP地址和指定MAC地址的报文通过，不允许其它IP地址和MAC地址的报文通过。指定IP地址的报文只能从指定端口上通过，不能从其它端口上通过。指定MAC地址的报文只能从指定端口上通过，不能从其它端口上通过。
　　?? IP＋MAC绑定：将报文的源IP和源MAC绑定。如果报文的源IP地址与指定IP相同，则只有源MAC地址是指定的MAC地址时，该报文才被交换机转发，否则该报文不能被转发。同理，如果报文的MAC地址与指定的MAC地址相同，则只有源IP地址与指定的IP地址相同，该报文才被交换机转发，否则该报文不能被转发。
　　注：不支持同时对一个端口做“PORT+IP+MAC”和“PORT+IP”绑定。 假设IP地址10.1.1.2，MAC地址0000-0000-0001
　　1、IP+MAC+端口绑定流程
　　三层交换机中目前只有S3526系列支持使用AM命令来进行IP地址和端口的绑定。并且如果S3526系列交换机要采用AM命令来实现绑定功能，则交换机必须是做三层转发（即用户的网关应该在该交换机上）。
　　2、采用DHCP-SECURITY来实现
　　1、配置端口的静态MAC地址
　　[SwitchA]mac-address static 0000-0000-0001 interface e0/1 vlan 1
　　2、配置IP和MAC对应表
　　[SwitchA]dhcp-security 10.1.1.2 0000-0000-0001 static
　　3、配置dhcp-server组号(否则不允许执行下一步，此dhcp-server组不用在交换机上创建也可)
　　[SwitchA-Vlan-interface1]dhcp-server 1
　　4、 使能三层地址检测
　　[SwitchA-Vlan-interface1]address-check enable
　　3、采用AM命令来实现
　　1、使能AM功能
　　[SwitchA]am enable
　　2、进入端口视图
　　[SwitchA]vlan 10
　　3、 将E0/1加入到vlan10
　　[SwitchA-vlan10]port Ethernet 0/1
　　4、创建（进入）vlan10的虚接口
　　[SwitchA]interface Vlan-interface 10
　　5、给vlan10的虚接口配置IP地址
　　[SwitchA-Vlan-interface10]ip add 10.1.1.1 255.255.255.0
　　6、进入E0/1端口
　　[SwitchA]interface Ethernet 0/1
　　7. 该端口只允许起始IP地址为10.1.1.2的10个IP地址上网
　　[SwitchA-Ethernet0/1]am ip-pool 10.1.1.2 10

1. 在DHCP服务器电脑所在vlan 里面的保留区，保留那台电脑的IP地址

2. interface电脑所接的交换机端口，然后设置IP和MAC地址绑定 ip source static binding ip-address x.x.x.x mac-address H-H-H

# 将MAC 地址为 00-00-e0-3f-03-05 的用户PC 机和IP 地址10.1.1.1 绑定，掩码为255.255.255.0。
　　[Quidway-dhcp0] static-bind ip-address 10.1.1.1 mask 255.255.255.0
　　[Quidway-dhcp0] static-bind mac-address 0000.e03f.0305 ethernet

静态ip，他改了之后就上不了了