怎么绑定IP和MAC地址

在网络管理中，IP地址盗用现象经常发生，不仅对网络的正常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因而也对用户造成了大量的经济上的损失和潜在的安全隐患。

有没有什么措施能最大限度地避免此类现象的发生呢？为了防止IP地址被盗用，可以在代理服务器端分配IP地址时，把IP地址与网卡地址进行捆绑。

对于动态分配IP，做一个DHCP服务器来绑定用户网卡MAC地址和IP地址，然后再根据不同IP设定权限。

对于静态IP，如果用三层交换机的话，你可以在交换机的每个端口上做IP地址的限定，如果有人改了自己的IP地址，那么他的网络就不通了。

我们现在针对静态IP 地址的绑定讲解一个实例。

查看网卡MAC地址先点击“开始”选择“运行”，然后在里面输入Winipcfg命令，这就可以查出自己的网卡地址，如图所示：记录后再到代理服务器端让网络管理员把您上网的静态IP地址与所记录计算机的网卡地址进行捆绑。

具体命令是：ARP -s 192.168.0.4 00-EO-4C-6C-08-75这样，就将您上网的静态IP地址192.168.0.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了，即使别人盗用您的IP地址192.168.0.4也无法通过代理服务器上网。

其中应注意的是此项命令仅在局域网中上网的代理服务器端有用，还要是静态IP地址，像一般的 Modem拨号上网是动态IP地址就不起作用。

接下来我们对各参数的功能作一些简单的介绍：ARP ?-s?? -d??-a?-s——将相应的IP地址与物理地址的捆绑。

-d——删除所给出的IP地址与物理地址的捆绑。

-a——通过查询Arp协议表来显示IP地址和对应物理地址情况。

作为一个网络管理人员，如果对MAC地址和IP的绑定能灵活熟练的运用，就会创建一个十分安全有利的环境，可以大大减小安全隐患。

MAC地址和IP地址绑定好不好？

如果MAC与IP绑定就是说一台电脑只能以固定的IP链接路由器，安全得到保证.1.1 为什么要绑定MAC与IP 地址 影响网络安全的因素很多，IP地址盗用或地址欺骗就是其中一个常见且危害极大的因素。

现实中，许多网络应用是基于IP的，比如流量统计、账号控制等都将IP地址作为标志用户的一个重要的参数。

如果有人盗用了合法地址并伪装成合法用户，网络上传输的数据就可能被破坏、窃听，甚至盗用，造成无法弥补的损失。

盗用外部网络的IP地址比较困难，因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围，不属于该IP地址范围的报文将无法通过这些互连设备。

但如果盗用的是Ethernet内部合法用户的IP地址，这种网络互连设备显然无能为力了。

“道高一尺，魔高一丈”，对于Ethernet内部的IP地址被盗用，当然也有相应的解决办法。

绑定MAC地址与IP地址就是防止内部IP盗用的一个常用的、简单的、有效的措施。

1.2 MAC与IP 地址绑定原理 IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。

因此，为了防止内部人员进行非法IP盗用（例如盗用权限更高人员的IP地址，以获得权限外的信息），可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败：而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

目前，很多单位的内部网络，尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。

许多防火墙（硬件防火墙和软件防火墙）为了防止网络内部的IP地址被盗用，也都内置了MAC地址与IP地址的绑定功能。

从表面上看来，绑定MAC地址和IP地址可以防止内部IP地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，MAC地址与IP地址的绑定存在很大的缺陷，并不能真正防止内部IP地址被盗用。

只是说安全得到提高！

关于MAC地址和IP绑定问题

希望下面的文章为你带来帮助！《MAC地址完美攻略》如果你是通过校园网或小区接入Internet，那么一定听说过MAC地址。

什么是MAC地址，MAC地址在这种局域 网环境中究竟起到什么作用？下面就来介绍一下MAC地址的知识，MAC地址和IP地址的区别以及MAC地址在实际应用中所涉及到的安全问题。

一、基础知识 如今的网络是分层来实现的，就像是搭积木一样，先设计某个特定功能的模块，然后把模块拼起来组成整个网络。

局域网也不例外，一般来说，在组网上我们使用的是IEEE802参考模型，从下至上分为：物理层、媒体接入控制层（MAC），逻辑链路控制层（LLC）。

标识网络中的一台计算机，一般至少有三种方法，最常用的是域名地址、IP地址和MAC地址，分别对应应用层、网络层、物理层。

网络管理一般就是在网络层针对IP地址进行管理，但由于一台计算机的IP地址可以由用户自行设定，管理起来相对困难，MAC地址一般不可更改，所以把IP地址同MAC地址组合到一起管理就成为常见的管理方式。

二、什么是MAC地址 MAC地址就是在媒体接入层上使用的地址，也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。

MAC地址与网络无关，也即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，都有相同的MAC地址，它由厂商写在网卡的BIOS里。

MAC地址可采用6字节（48比特）或2字节（16比特）这两种中的任意一种。

但随着局域网规模越来越大，一般都采用6字节的MAC地址。

这个48比特都有其规定的意义，前24位是由生产网卡的厂商向IEEE申请的厂商地址，目前的价格是1000美元买一个地址块，后24位由厂商自行分配，这样的分配使得世界上任意一个拥有48位MAC地址的网卡都有唯一的标识。

另外，2字节的MAC地址不用网卡厂商申请。

MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数08:00:20代表网络硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。

每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。

这样就可保证世界上每个以太网设备都具有唯一的MAC地址。

三、IP地址与MAC地址的区别 IP地址基于逻辑，比较灵活，不受硬件限制，也容易记忆。

MAC地址在一定程度上与硬件一致，基于物理，能够标识具体。

这两种地址各有好处，使用时也因条件而采取不同的地址。

四、为什么要用到MAC地址 这是由组网方式决定的，如今比较流行的接入Internet的方式（也是未来发展的方向）是把主机通过局域网组织在一起，然后再通过交换机和Internet相连接。

这样一来就出现了如何区分具体用户，防止盗用的问题。

由于IP只是逻辑上标识，任何人都随意修改，因此不能用来标识用户；而MAC地址则不然，它是固化在网卡里面的。

从理论上讲，除非盗来硬件（网卡），否则是没有办法冒名顶替的（注意：其实也可以盗用，后面将介绍）。

基于MAC地址的这种特点，局域网采用了用MAC地址来标识具体用户的方法。

注意：具体实现：在交换机内部通过“表”的方式把MAC地址和IP地址一一对应，也就是所说的IP、MAC绑定。

具体的通信方式：接收过程，当有发给本地局域网内一台主机的数据包时，交换机接收下来，然后把数据包中的IP地址按照“表”中的对应关系映射成MAC地址，转发到对应的MAC地址的主机上，这样一来，即使某台主机盗用了这个IP地址，但由于他没有这个MAC地址，因此也不会收到数据包。

发送过程和接收过程类似，限于篇幅不叙述。

综上可知，只有IP而没有对应的MAC地址在这种局域网内是不能上网的，于是解决了IP盗用问题。

五、怎样获得自己的MAC地址 MAC地址固化在网卡中的BIOS中，可以通过DOS命令取得。

Win9x用户可以使用winipcfg命令，Win2k/XP用户可以使用ipconfig/all命令，其中用16进制表示的12位数就是MAC地址。

六、MAC地址涉及到的安全问题 从上面的介绍可以知道，这种标识方式只是MAC地址基于的，如果有人能够更改MAC地址，就可以盗用IP免费上网了，目前网上针对小区宽带的盗用MAC地址免费上网方式就是基于此这种思路。

如果想盗用别人的IP地址，除了IP地址还要知道对应的MAC地址。

举个例子，获得局域网内某台主机的MAC地址，比如想得到局域网内名为TARGET主机的MAC地址，先用PING命令：PING TARGET，这样在我们主机上面的ARP表的缓存中就会留下目标地址和MAC映射的记录，然后通过ARP A命令来查询ARP表，这样就得到了指定主机的MAC地址。

最后用ARP -s IP 网卡MAC地址，命令把网关的IP地址和它的MAC地址映射起来就可以了。

如果要得到其它网段内的MAC地址，那么可以用工具软件来实现，我觉得Windows优化大 师中自带的工具不错，点击“系统性能优化”→“系统安全优化”→“附加工具”→“集群Ping”，可以成批的扫出MAC地址并可以保存到文件。

小知识：ARP(...

绑定了ip和mac地址是什么意思？

1、什么是IP地址及MAC地址IP地址：Internet Protocol Address的简称，是一种在Internet上的给主机编址的方式，也称为网际协议地址。

每台联网的PC上都需要有IP地址，才能正常通信。

就好比家里的电话机，只有被服务商分配了一个号码，别人才能根据这个号码与你通话。

MAC地址：是固化在网卡上串行EEPROM中的物理地址，通常有48位长，用来表示互联网上每一个站点的标识符，采用十六进制数表示，由12位数字及字母组成。

任何一台网络设备一旦生产出来以后，其MAC地址永远唯一，并且不能由用户改变。

2、什么是IP地址与MAC地址绑定IP地址与MAC地址绑定的意思就是，在路由器中建立一个IP地址与MAC地址的对应表，只有IP地址与MAC地址相对应的合法注册电脑才能得到正确的ARP应答。

打个比方，你的相貌相当于MAC地址，你的名字相当于IP地址，你的朋友相当于路由器。

当你拜访朋友的时候，他会根据相貌+名字来判断真假，决定是否开门。

3、如何绑定IP地址与MAC地址比如一台电脑的IP地址为90.132.1.9,MAC地址为00 11 22 33 aa bb以网络管理员身份登录路由器，输入router(config)# arp 90.132.1.9 00 11 22 33 aa bb arpa 回车即可。

4、IP地址与MAC地址绑定作用控制IP地址与MAC不匹配的主机与外界通讯，以此防止IP地址被盗用。

一定程度上强化了网络资源的管理和利用，保障了局域网内的网络安全。

如何绑定笔记本的IP和MAC地址？

1、进入路由器的管理页面，找到DHCP服务器——静态地址分配。

2、增加一条规则，填写完规则后应用。

如何绑定自己的MAC地址和IP地址 ？

每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的，使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp -a可以查看当前的ARP缓存表.以下是本机的ARP表 ： C:\Documents and Settings\cnqing>arp -a Interface: 192.168.0.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.0.1 00-03-6b-7f-ed-02 dynamic 其中代表动态缓存，即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的网关的ARP包，这个表就会自动更改.这样我们就不能找到正确的网关MAC，就不能正常和其他主机通信.静态表的建立用ARP -S IP MAC. 执行arp -s 192.168.0.1 00-03-6b-7f-ed-02后，我们再次查看ARP缓存表. C:\Documents and Settings\cnqing>arp -a Interface: 192.168.0.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.0.1 00-03-6b-7f-ed-02 static 此时＂TYPE＂项变成了＂static＂，静态类型.这个状态下，是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置. 此时我们就可以自己写一个批处理文件，文件内容如下： @echo off arp -d arp -s 192.168.0.1 00-03-6b-7f-ed-02 写好之后我们把它存储为 rarp.bat，再把此文件放到开始菜单-程序-启动栏，这样每次启动机器时，就自动执行此批处理文件。

菜单-程序-启动栏默认目录：C:\Documents and Settings\All Users\「开始」菜单\程序\启动。

如何突破MAC和IP绑定

下面是修改网卡MAC地址的方法：在＂开始＂菜单的＂运行＂中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_ MACHINE\System\CurrentControl Set\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}子键，在子键下的0000,0001,0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001,0002......在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是Intel 21041 based Ethernet Controller），在这里假设你的网卡在0000子键。

在0000子键下添加一个字符串，命名为＂NetworkAddress＂，键值为修改后的MAC地址，要求为连续的12个16进制数。

然后在＂0000＂子键下的NDI\params中新建一项名为NetworkAddress的子键，在该子键下添加名为＂default＂的字符串，键值为修改后的MAC地址。

在NetworkAddress的子键下继续建立名为＂ParamDesc＂的字符串，其作用为指定NetworkAddress的描述，其值可为＂MAC Address＂。

这样以后打开网络邻居的＂属性＂，双击相应的网卡就会发现有一个＂高级＂设置，其下存在MAC Address的选项，它就是你在注册表中加入的新项＂NetworkAddress＂，以后只要在此修改MAC地址就可以了。

关闭注册表，重新启动，你的网卡地址已改。

打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直接修改MAC地址。

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。

这个地址与网络无关，即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，它都有相同的MAC地址，MAC地址一般不可改变，不能由用户自己设定。

MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数，08:00:20代表网络硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。

每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。

这样就可保证世界上每个以太网设备都具有唯一的MAC地址。

怎么绑定IP

Physical Address. . . . . . . . . : 00-11-2F-3F-96-88 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.1.11 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.1.1 DNS Servers . . . . . . . . . . . : 61.177.7.1 Primary WINS Server . . . . . . . : 192.168.1.254 这些信息就是你现在计算机的IP地址及MAC地址！ 接着，在命令行下输入：arp -s 192.168.1.11 00-11-2F-3F-96-88回车。

就绑定了。

如果要查看是否绑定，可以用arp -a 192.168.1.11回车，会得到如下提示： Internet Address Physical Address Type 192.168.1.30 00-11-2f-3f-96-88 static 就OK了。

如果要删除呢？命令行下输入：arp -d 192.168.1.30 就删除了。

绑定网关： arp -s 192.168.1.1 xx-xx-xx-xx-xx（网关的mac地址） 查看自己的IP地址和网卡的MAC地址。

对于Windows 98/Me，运行“winipcfg”，在对话框看的IP地址就是，而“适配器地址”就是网卡的MAC地址。

在Windows 2000/XP系统下，要在命令提示符下输入“ipconfig /all”，显示列表中的“Physical Address”就是MAC地址，“IP Address”就是IP地址；要将二者绑定，输入“arp -s IP地址 MAC地址”，如“arp -s 192.168.0.28 54-44-4B-B7-37-21”即可。

IP和MAC怎么绑定呀？有没有这样的小工具？

看你的问题，猜猜是个烦恼的小网管，IP和MAC绑定，光就功能而言，其实不复杂，但是基于的环境，单网段，多网段，有三层核心的，有无线路由的，环境不一样，功能实施也不一样，所以，市面上（国内外）几乎没有单独的产品和方案，普遍都是基于网关或者路由。

1. 域的组策略禁止修改IP：给每台电脑设置固定IP地址，且不开放管理员权限（客户机无法自行修改）。

这个方案只能对电脑起作用，一般在域环境的局域网用的比较多。

如图中的组策略配置2. 基于交换机端口绑定：交换机的端口设置IP-MAC绑定。

该方案是最严格的IP-MAC绑定方案，但是需要交换机有这个功能，且配置比较复杂。

以华为S5700交换机为例，命令如下：3. 在DHCP服务器上静态IP分配：从而客户机每次都可以获取到同一个IP地址，DHCP服务器可以是路由器或者交换机。

但是请注意，DHCP的静态地址分配并不能防止手动修改IP来绕开绑定。

所以一般还需要和其他手段配合使用，比如：ARP绑定，一般在交换机上配置。

只有符合IP和MAC对应关系的设备才可以上网。

旁路上网行为管理。

配置了静态IP后，“IP-MAC绑定”功能。

客户机一旦修改IP，就会被禁止上网。

如图：4. WFilterNGF，以及基于该系统的WSG上网行为管理网关，既具有DHCP的静态IP分配功能，又可以做IP-MAC的校验。

无需其他设备就可以实现“静态IP分配”和“IP-MAC绑定”的功能，而且还可以进行跨VLAN的IP-mac绑定。

配置如下图

转载请注明出处51数据库 » 绑定ip和mac软件