DHCP MAC

问题1：某个IP地址只能限定终端A使用
排查/配置步骤：
在DHCP服务器（如H3C S系列交换机或专用DHCP服务器）上，为终端A的MAC地址绑定固定IP：
1. 配置DHCP地址池，指定IP地址范围（含目标IP）。
2. 使用ip dhcp server static-bind ip-address 目标IP mac-address 终端A的MAC命令绑定MAC与IP。
3. 确认终端A开机后，DHCP服务器优先分配该IP，其他终端MAC无法获取。
问题2：某个接入点位只能限定终端A接入
排查/配置步骤：
在接入交换机端口或接入控制器（如AC）上配置端口安全：
1. 接入交换机端口下：
port-security enable开启端口安全。
port-security max-mac-count 1限制最大MAC地址数为1。
port-security mac-address sticky绑定当前MAC（或手动配置port-security mac-address 终端A的MAC）。
2. 若为无线接入，AC上配置user-group或802.1X认证，绑定终端MAC。
问题3：禁止手工配置IP终端接入，仅允许DHCP获取IP
排查/配置步骤：
1. DHCP服务器侧：
配置IP地址池时排除手工配置的IP范围。
开启DHCP Snooping（交换机），在接入端口启用：ip dhcp snooping enable。
2. 接入设备侧：
交换机端口下：dhcp snooping trust（信任DHCP服务器端口），其他端口默认不信任。
配置DHCP Snooping绑定表，禁止非DHCP分配的IP流量（如ARP攻击防御）。
3. 可选：结合IP+MAC绑定，或802.1X认证，强制终端必须通过DHCP获取IP。
原理：通过DHCP Snooping过滤非DHCP分配的IP，端口安全限制MAC，实现终端接入控制。