跨品牌交换机IP-MAC-端口绑定迁移指南

某单位员工办公室调整，从 A 大楼搬去 B 大楼，办公电脑也需要随迁，按照公司 信息安全管理规定办公电脑 ip 不能改变，在接入交换机上必须做 ip+mac +端口 绑定，该员工办公电脑在 A大楼连接的接入交换机是华为 S5735，搬迁至 B大楼后接入的交换机是锐捷 S5760，作为网络运维工程师该如何进行网络调整，不能有多余配置且交换机上未使用端口需及时关闭，要求分别写出在华为交换机和锐捷交换机上的配置。

作为网络运维工程师，在进行此类迁移时，核心目标是： 1. 保留员工电脑的IP地址不变 ； 2. 在新交换机（B楼锐捷S5760）上重建IP-MAC-端口绑定 ； 3. 清理旧设备（A楼华为S5735）上该员工的绑定信息 ； 4. 关闭新旧设备上该员工原端口及所有未使用的端口 。

迁移前准备与信息收集

在进行任何配置更改之前，必须收集以下关键信息，以确保迁移的精确性和可追溯性。

员工信息： 员工姓名或工号。

原网络信息 (A楼)： 员工电脑的 IP地址 、 MAC地址 、以及连接电脑的 交换机端口 (例如: GigabitEthernet 0/0/1)。

新网络信息 (B楼)： 员工在新办公室连接的 锐捷S5760交换机端口 (例如: GigabitEthernet 0/0/24)。

步骤一：在A楼华为S5735交换机上的操作

华为交换机S5735

此步骤旨在解除绑定并清理旧配置，为新设备腾出资源。

1. 登录并进入系统视图

通过串口或SSH连接到华为S5735交换机，并进入系统视图。

华为S5735 CLI

System-View

2. 移除IP-MAC-端口绑定

使用静态ARP表项来绑定IP和MAC地址。移除绑定需要删除对应的静态ARP条目。

华为S5735 CLI

# 假设员工信息如下：

# IP地址: 192.168.1.100

# MAC地址: 00e0-fc12-3456

# 原端口: GigabitEthernet0/0/1

undo arp static 192.168.1.100 00e0-fc12-3456

3. 关闭原员工端口

确认该员工已迁出后，立即关闭其连接的端口以符合安全规范。

华为S5735 CLI

interface GigabitEthernet0/0/1

shutdown

4. 关闭所有未使用的端口

遍历所有端口，关闭那些未连接设备或没有配置业务的端口。

华为S5735 CLI

# 示例：关闭端口范围

interface range GigabitEthernet0/0/2 to GigabitEthernet0/0/48

shutdown

# 确认所有未使用端口均已关闭

display interface brief

5. 保存配置

确保配置在交换机重启后依然有效。

华为S5735 CLI

save

步骤二：在B楼锐捷S5760交换机上的操作

锐捷交换机S5760

此步骤旨在新位置重建安全绑定，并关闭新位置的闲置端口。

1. 登录并进入系统视图

通过串口或SSH连接到锐捷S5760交换机，并进入全局配置模式。

锐捷S5760 CLI

enable

configure terminal

2. 配置IP-MAC地址绑定

使用`address-bind`命令创建绑定条目。

锐捷S5760 CLI

# 假设员工信息如下：

# IP地址: 192.168.1.100

# MAC地址: 00e0-fc12-3456

# 新端口: GigabitEthernet0/0/24

address-bind 192.168.1.100 00e0-fc12-3456

3. 将绑定应用到端口

将上述绑定应用到员工电脑连接的物理端口。

锐捷S5760 CLI

interface GigabitEthernet0/0/24

address-bind uplink

4. 关闭新端口（如果暂时未使用）

如果员工尚未入驻，或该端口为备用端口，应立即关闭。

锐捷S5760 CLI

interface GigabitEthernet0/0/24

shutdown

5. 关闭所有未使用的端口

遵循公司规定，关闭所有未使用的交换机端口。

锐捷S5760 CLI

# 示例：关闭端口范围

interface range GigabitEthernet0/0/1-23, 25-48

shutdown

# 确认所有未使用端口均已关闭

show interface status

6. 保存配置

确保新配置被保存。

锐捷S5760 CLI

write memory

迁移后验证与检查清单

迁移完成后，务必进行以下验证，确保网络连接正常且安全策略生效。

关键差异与注意事项

1. 绑定机制不同：

华为主要使用静态ARP表项实现IP-MAC绑定，而锐捷则使用专用的`address-bind`命令。

2. 端口应用方式：

锐捷的`address-bind uplink`命令需要显式地应用到目标接口，这是与华为配置的关键区别。

3. 端口安全：

虽然问题未明确要求，但强烈建议同时启用端口安全（Port Security）功能，限制端口只能学习一个MAC地址，以增强安全性。

4. 文档化：

详细记录每一步操作，包括时间、执行人、变更前后的配置和MAC地址，以便审计和故障排查。