注：IP地址與MAC地址的關系： IP地址是根據現在的IPv4標準指定的，不受硬件限制比較容易記憶的地址，長度4個字節。而 MAC地址卻是用網卡的物理地址，保存在網卡的EPROM里面，與硬件有關系，比較難于記憶，長度為6個字節。

　　雖然在TCP/IP網絡中，計算機往往需要設置IP地址后才能通訊，然而，實際上計算機之間的通訊并不是通過IP地址，而是借助于網卡的MAC地址。IP地址只是被用于查詢欲通訊的目的計算機的MAC地址。

　　ARP協議是用來向對方的計算機、網絡設備通知自己IP對應的MAC地址的。在計算機的 ARJ緩存中包含一個或多個表，用于存儲IP地址及其經過解析的以太網MAC地址。一臺計算機與另一臺IP地址的計算機通訊后，在ARP緩存中會保留相應的MAC地址。所以，下次和同一個IP地址的計算機通訊，將不再查詢MAC地址，而是直接引用緩存中的MAC地址。

　　在交換式網絡中，交換機也維護一張MAC地址表，并根據MAC地址，將數據發送至目的計算機。

　　為什么要綁定MAC與IP 地址：IP地址的修改非常容易，而MAC地址存儲在網卡的EEPROM中，而且網卡的MAC地址是唯一確定的。因此，為了防止內部人員進行非法IP盜用(例如盜用權限更高人員的IP地址，以獲得權限外的信息)，可以將內部網絡的IP地址與MAC地址綁定，盜用者即使修改了IP地址，也因MAC地址不匹配而盜用失敗:而且由于網卡MAC地址的唯一確定性，可以根據MAC地址查出使用該MAC地址的網卡，進而查出非法盜用者。

　　目前，很多單位的內部網絡，都采用了MAC地址與IP地址的綁定技術。下面我們就針對Cisco的交換機介紹一下IP和MAC綁定的設置方案。

　　在Cisco中有以下三種方案可供選擇，方案1和方案2實現的功能是一樣的，即在具體的交換機端口上綁定特定的主機的MAC地址(網卡硬件地址)，方案3是在具體的交換機端口上同時綁定特定的主機的MAC地址(網卡硬件地址)和IP地址。

　　1.方案1——基于端口的MAC地址綁定

　　思科2950交換機為例，登錄進入交換機，輸入管理口令進入配置模式，敲入命令：

　　Switch#config terminal

　　#進入配置模式

　　Switch(config)# Interface fastethernet 0/1

　　#進入具體端口配置模式

　　Switch(config-if)#Switchport port-secruity

　　#配置端口安全模式

　　Switch(config-if )switchport port-security mac-address MAC(主機的MAC地址)

　　#配置該端口要綁定的主機的MAC地址

　　Switch(config-if )no switchport port-security mac-address MAC(主機的MAC地址)

　　#刪除綁定主機的MAC地址

　　注意：

　　以上命令設置交換機上某個端口綁定一個具體的MAC地址，這樣只有這個主機可以使用網絡，如果對該主機的網卡進行了更換或者其他PC機想通過這個端口使用網絡都不可用，除非刪除或修改該端口上綁定的MAC地址，才能正常使用。

　　注意：

　　以上功能適用于思科2950、3550、4500、6500系列交換機

　　2.方案2——基于MAC地址的擴展訪問列表

　　Switch(config)Mac access-list extended MAC10

　　#定義一個MAC地址訪問控制列表并且命名該列表名為MAC10

　　Switch(config)permit host 0009.6bc4.d4bf any

　　#定義MAC地址為0009.6bc4.d4bf的主機可以訪問任意主機

　　Switch(config)permit any host 0009.6bc4.d4bf

　　#定義所有主機可以訪問MAC地址為0009.6bc4.d4bf的主機

　　Switch(config-if )interface Fa0/20