三层交换机绑定IP和MAC命令是什么？

三层交换机绑定IP与MAC地址的核心命令是`arp static [IP地址] [MAC地址]`。该命令在华为等主流厂商设备的系统视图下执行，可将指定IP与物理网卡地址永久写入ARP静态表，使三层交换机在转发数据时严格依据此映射关系进行校验；配合`display arp`可实时查看绑定状态，Type字段显示为“static”即表示生效；对于未分配IP，则建议绑定至无效MAC（如0000.0000.0000）以阻断非法接入。这一机制不仅有效防范ARP欺骗与IP盗用，也契合企业网络对终端准入控制的合规性要求，其技术逻辑已在IDC机房及政企园区网中规模化验证。

一、进入系统视图并确认当前ARP表状态

执行绑定前，需先通过Console或Telnet登录交换机，输入用户名与密码后键入sys命令进入系统视图。随后立即执行display arp命令，全面查看当前动态学习到的ARP缓存条目；若需定位特定终端，可使用display arp | include 192.168.1.100（将IP替换为实际地址）进行精准过滤。此步骤可避免重复绑定或覆盖已有合法静态条目，同时确认目标设备是否已在线并被正确识别，为后续操作提供准确依据。

二、执行静态ARP绑定并验证生效

在系统视图下，逐条输入arp static指令，格式为“arp static 192.168.1.50 00e0-fc12-ab34”，其中IP地址须为已规划分配给该终端的固定地址，MAC地址必须与终端网卡物理地址完全一致（注意华为设备支持“00e0-fc12-ab34”或“00e0.fc12.ab34”两种格式，但不可混用分隔符）。每绑定一条后，立即执行display arp | include对应IP，观察Type字段是否由dynamic变为static，且State列为Complete，表明该映射已写入硬件转发面，具备线速校验能力。

三、批量封禁未分配IP地址段

针对DHCP地址池中尚未分配的剩余IP，应统一绑定至全零MAC地址：例如arp static 192.168.1.200 0000-0000-0000。此举可确保任何试图盗用该IP的终端，在发起ARP请求后虽能获取网关响应，但后续数据帧将被交换机定向投递至无效MAC，导致外网通信中断，仅保留内网基础连通性。该策略已在多地政务专网部署中作为标准准入控制环节，符合等保2.0对网络边界访问控制的要求。

四、异常排查与绑定维护要点

若发现某IP绑定后无法上网，优先检查MAC地址是否抄录错误或存在大小写/分隔符格式偏差；其次确认该IP未被其他设备重复使用，可通过display arp all比对全网ARP表一致性。解除绑定仅需执行undo arp static 192.168.1.50即可，无需重启设备。建议每月导出display arp static结果存档，结合资产管理系统实现IP-MAC关系生命周期闭环管理。

综上，静态ARP绑定是三层交换机实现终端身份强管控的基础技术手段，操作严谨、效果可靠。