交换机利用DHCP Relay进行IP与MAC的绑定

       DHCP Relay进行IP与MAC的绑定过程是这样操作的：

       一 组网需求：

       1．在交换机上对PC1进行IP+MAC+Port的绑定，使得在交换机的端口0/1下，只允许PC1这一台PC机上网；

       2．利用Switch的DHCP Relay功能，在SwitchB上开启address-check功能，PC1的mac地址为000f-1fb8-fcb8，手动设置PC1的ip地址为10.1.1.2。

       二 组网图：

                  

       三 配置步骤：

       1．创建（进入）VLAN10

       [H3C]vlan 10

       2．将E0/1加入到VLAN10

       [H3C-vlan10]port Ethernet 0/1

       3．创建（进入）VLAN接口10

       [H3C]interface Vlan-interface 10

       4．为VLAN接口10配置IP地址

       [H3C-Vlan-interface10]ip address 10.1.1.1 255.255.255.0

       5．为VLAN接口10配置一个假设的DHCP服务器地址

       [H3C-Vlan-interface10]ip relay address 1.1.1.1

       6．使能VLAN接口10对用户地址合法性检查的DHCP Relay的安全特性

       [H3C-Vlan-interface10]dhcp relay security address-check enable

       7．配置DHCP Relay的安全地址表项

       [H3C]dhcp relay security 10.1.1.2 000f-1fb8-fcb8 static

       四 配置关键点：

       1．经过以上配置，可以完成将PC1的IP地址与MAC地址的静态绑定功能；

       2．如果要完成交换机的端口0/1下，只允许IP地址为10.1.1.2，MAC地址为000f-1fb8-fcb8的PC1上网，使用其他IP地址或者MAC地址的PC机均无法通过端口0/1上网的需求，还需要手工将PC1的MAC地址静态绑定到端口0/1上，同时在端口0/1上配置端口最大MAC地址学习数目为0：

• [H3C]mac-address static 000f-1fb8-fcb8 interface Ethernet 0/1 vlan 10  
•  
• [H3C]interface Ethernet 0/1  
•  
• [H3C-Ethernet0/1]mac-address max-mac-count 0 
  
  如果要完成只允许PC1通过端口0/1上网，则需要将交换机上其他端口分别与其他PC机进行MAC地址绑定；

       3．支持此功能的设备包括：H3C 3600、H3C 5600、Quidway S3500、Quidway S3900、Quidway S5600和Quidway S3526系列交换机。 

       利用DHCP Relay进行IP与MAC的绑定就此就实现了。