新华三交换机S5560X-54C-EI绑定mac地址问题

S5560X-54C-EI 2 区交换机 MAC 静态绑定完整方案（消除网安未绑定 MAC 告警）
一、告警根源说明
网安 172.20.88.1 检测到2 区交换机互联端口、业务端口无静态 MAC 绑定，安全策略判定存在非法接入风险，触发告警。
需要对交换机所有对接固定设备的端口做静态 MAC 绑定（IP+MAC + 端口三绑定），同时开启 IP 源校验，满足等保 / 网安准入要求。
2 区交换机端口对应设备清单
交换机管理 IP：172.20.100.2
GE1/0/11：对接网安设备 172.20.88.1
GE1/0/24：对接防火墙 172.20.100.11
GE1/0/1：对接正向隔离装置 172.20.88.245
GE1/0/2：对接反向隔离装置 172.20.66.246
二、前置准备
收集 4 台设备的 MAC 地址（可在交换机执行display arp获取对应 IP 的 MAC）
网安：172.20.88.1 → MAC1
防火墙：172.20.100.11 → MAC2
正向隔离：172.20.88.245 → MAC3
反向隔离：172.20.66.246 → MAC4
确认所有端口为二层接入模式，所属业务 VLAN（替换下文 VLAN_ID 为实际业务 VLAN）
三、完整配置（S5560X-EI V7 平台，推荐 IP Source Guard 绑定，网安合规标准）
1. 全局基础安全开启
plaintext
system-view
# 全局开启IP源防护，拦截未绑定IP/MAC流量
ip source guard enable
2. 端口 11：绑定网安 172.20.88.1
plaintext
interface GigabitEthernet 1/0/11
port link-mode bridge
port access vlan VLAN_ID
# 静态IP+MAC绑定，替换MAC1为网安真实MAC
ip source binding ip-address 172.20.88.1 mac-address MAC1
# 开启端口校验，仅允许绑定条目通行
ip verify source ip-address mac-address
quit
3. 端口 24：绑定防火墙 172.20.100.11
plaintext
interface GigabitEthernet 1/0/24
port link-mode bridge
port access vlan VLAN_ID
ip source binding ip-address 172.20.100.11 mac-address MAC2
ip verify source ip-address mac-address
quit
4. 端口 1：绑定正向隔离 172.20.88.245
plaintext
interface GigabitEthernet 1/0/1
port link-mode bridge
port access vlan VLAN_ID
ip source binding ip-address 172.20.88.245 mac-address MAC3
ip verify source ip-address mac-address
quit
5. 端口 2：绑定反向隔离 172.20.66.246
plaintext
interface GigabitEthernet 1/0/2
port link-mode bridge
port access vlan VLAN_ID
ip source binding ip-address 172.20.66.246 mac-address MAC4
ip verify source ip-address mac-address
quit
四、备选方案：静态 MAC 地址表绑定（仅绑定 MAC，部分网安不认可，优先用上面 IP+MAC 绑定）
仅固化 MAC 与端口对应关系，适合仅要求 MAC 静态绑定场景：
plaintext
# 全局静态MAC绑定格式：mac-address static MAC地址 接口 所属VLAN
mac-address static MAC1 GigabitEthernet 1/0/11 vlan VLAN_ID
mac-address static MAC2 GigabitEthernet 1/0/24 vlan VLAN_ID
mac-address static MAC3 GigabitEthernet 1/0/1 vlan VLAN_ID
mac-address static MAC4 GigabitEthernet 1/0/2 vlan VLAN_ID
五、等保最优补充：端口安全限制唯一 MAC 接入（双重防护）
在每个对接端口追加配置，端口仅允许绑定的 1 台设备接入，杜绝私接：
plaintext
interface GigabitEthernet 1/0/11
port-security enable
port-security max-mac-count 1
port-security mac-address static MAC1 vlan VLAN_ID
quit
# 1/0/1、1/0/2、1/0/24端口复制相同配置，替换对应MAC
六、验证配置命令（确认绑定生效，消除告警）
plaintext
# 查看全部IP+MAC静态绑定表
display ip source binding static
# 查看端口安全静态MAC
display port-security mac-address static
# 查看静态MAC地址表
display mac-address static
# 查看端口IP源校验是否开启
display interface GigabitEthernet 1/0/11 | include verify
七、关键说明
为什么能消除告警
网安检测交换机存在静态 IP-MAC - 端口绑定条目，判定端口设备固定、无非法接入风险，不再上报「未绑定 MAC」告警；仅动态学习 MAC 会持续告警。
跨区域互联交换机（1 区、4 区）建议同步对端互联端口做相同绑定，形成全网静态 MAC 准入闭环；
配置完成后save保存，重启不丢失绑定条目；
若后续更换设备，需删除旧绑定、新增新设备 IP/MAC 条目。
极简总结
4 个对接端口分别配置ip source binding绑定对应设备 IP+MAC，开启ip verify source；
配套端口安全限制单端口仅 1 台设备接入，满足网安安全检测标准；
配置后查看静态绑定表确认条目存在，网安告警自动清除。