arp static和am user-bind 区别

但两种模式支持的tcl命令确实是完全不同的，使用起来也不能混淆。这里的攻击载荷需要和一个正常程序绑定起来，我们选择的是putty.exe，常见的ssh工具，这里需要使用msfencode命令，该命令的作用就是将一段代码包装成可执行文件，正常的putty.exe用来作为最终恶意执行文件的生成模板。不要担心,在在vista系统下面，我们还有netsh命令可用，用netsh命令绑定mac地址，重启电脑后绑定设置不会丢失，ip、mac仍为静态。

首先使用arp static绑定必须将所有的ip进行绑定，如果有遗漏ip，那ip/mac绑定就会失效。

举例：

全局下#arp static 192.168.1.2 1h22-456f-ddd5

这句话表示整个网络下，这个ip只能给这个mac地址使用。其他非法者不能使用。

取消用 #undo arp 192.168.1.2

端口下配置：

#interface ethernet 1/0/12

#arp static 192.168.1.2 1h22-456f-ddd5 1

这句话表示这个ip只能给vlan1下面的这个mac使用，其他不符合条件的都不能合法使用，并且这个端口就只能这个ip一个人使用。

#arp static 192.168.2.2 1h22-456f-ddd5 2

这句话表示这个ip只能给vlan2下面的这个mac使用，其他不符合条件的都不能合法使用，，并且这个端口就只能这个ip一个人使用。

am user-bind绑定之后，你就只能使用你的ip，你使用其他的ip都不行。

举例：

一、在全局下就可以配置。

#system view

#am user-bind mac-addr XXXX-XXXX-XXXX ip-addr XXX.XXX.XXX.XXXX

接入设备（如lanswitch）上没有用户信息，所以aaa无关绑定只能以端口为核心，在端口上可以配置本端口可以接入的mac（或ip）地址列表，只有其mac地址属于此列表中的计算机才能够从该端口接入网络。表示在一个 bind(2) 调用中对提供给它的地址使用的确认规则应该允许重复使用本地地址. 对于 pf_inet 套接字, 这表示该套接字可以绑定, 除非已有一个活跃的侦听套接口绑定到此地址上. 如果这个侦听套接字和一个指定端口绑定为 inaddr_any 时, 它就不能再绑定到任何本地地址的此端口.。第二种情况，试图直接连到b的nat公有地址（155.99.25.11:62000），nat a会拒绝这个数据包您当前的网络存在链路层劫持，因为这个端口并无绑定内网主机的某个端口，或即使有所绑定，但这个端口所绑定的外网地址和端口并不是b的地址和端口。

二、在端口下配置（ip/mac/端口同时绑定） ：

#system view

#am user-bind mac-addr XXXX-XXXX-XXXX ip-addr XXX.XXX.XXX.XXXX interface ethernet 1/0/12

这时候这个端口就只有这个ip和这个mac可以使用，并且要同时一起使用，其他任何mac用户使用任何ip都不被允许。

三、对于二层设备(s3050c和s3026e系列)，除了可以配置静态arp外，还可以配置ip+mac+port绑定，比如在s3026c端口e0/4上做如下操作：。通过扩展 at 命令(以下简称 at 命令)的方式进行配置：在这种配置方式下，用户只需要有串口通信的程序就可以配置 cy-lrb-101 基站 的所有的参数，比如 windows 下的超级终端您当前的网络存在链路层劫持，linux 下的 minicom,putty等，或者直接由用户的单片机系统对设备进行配置。学习使用nmtui命令配置网卡参数、手工将多块网卡做绑定、使用nmcli命令查看网卡信息和使用ss命令查看网络及端口状态，完整演示sshd服务配置方法并详细讲述每个参数的作用，实战基于密钥远程登陆实验以及用screen服务让远程会话不再终断。

#interface ethernet 1/0/1

#user-bing mac-addr XXXX-XXXX-XXXX ip-addr XXX.XXX.XXX.XXX

或 #ip source static binding ip-address 192.168.5.44 mac-address 001e-90fb-acd5

实测结果：

h3c7506e 软件版本5.2 全局模式下无法用am user-bind,端口模式下可以用user-bind

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-106449-1.html