基于MAC地址的訪問控制列表配置

知識(shí)點(diǎn)：基于MAC地址的訪問控制列表配置

不管是從哪個(gè)角度來防范ARP病毒，最關(guān)鍵的都是要及時(shí)關(guān)閉ARP病毒所連接的交換機(jī)或路由器端口，封閉其網(wǎng)絡(luò)的正常訪問，從而有效控制病毒。因此學(xué)會(huì)將交換機(jī)端口關(guān)閉或有選擇的過濾數(shù)據(jù)包將成為關(guān)鍵。今天我們就繼續(xù)以實(shí)際例子來講解基于MAC地址的訪問控制一、基本定義

二、直接關(guān)閉交換機(jī)端口法：

一般來說最簡(jiǎn)單且直接的方法就是直接關(guān)閉交換機(jī)的端口來阻止感染病毒主機(jī)對(duì)網(wǎng)絡(luò)的訪問。包括直接拔網(wǎng)線，直接關(guān)閉級(jí)連交換機(jī)電源等。當(dāng)然最常見的還是通過軟件命令來邏輯關(guān)閉。具體命令如下。

第一步：通過正確的帳戶和密碼進(jìn)入到交換機(jī)或路由器的管理界面。

第二步：通過int指令進(jìn)入對(duì)應(yīng)的端口。

第三步：通過shutdown命令來關(guān)閉對(duì)應(yīng)端口。

這樣該端口就處于邏輯關(guān)閉狀態(tài)，就好比我們把網(wǎng)線從該端口拔下來一樣。連接該端口的感染病毒的計(jì)算機(jī)也將無法訪問網(wǎng)絡(luò)，自然不會(huì)對(duì)其他網(wǎng)絡(luò)中的計(jì)算機(jī)產(chǎn)生ARP欺騙危機(jī)。

三、通過基于MAC地址的訪問控制來管理端口

第一步：這里我們假設(shè)出現(xiàn)問題計(jì)算機(jī)的MAC地址為5078.4c68.8e34，我們通過正確的管理員帳戶和密碼進(jìn)入到交換機(jī)中。

第二步：通過config

t命令進(jìn)入配置模式，通過sh

mac-address指令來查看各個(gè)端口連接的MAC地址情況，我們可以看到5078.4c68.8e34這個(gè)MAC地址連接的是Gi1/2/1這個(gè)端口。

參考圖

第三步：通過int

gi1/2/1指令進(jìn)入對(duì)應(yīng)端口，當(dāng)然由于GI端口萬(wàn)兆端口，他連接的是另外一個(gè)設(shè)備，所以直接在該端口上運(yùn)行shutdown命令將直接導(dǎo)致另一個(gè)設(shè)備連接的所有主機(jī)都無法訪問網(wǎng)絡(luò)。這時(shí)就需要我們使用基于MAC地址的訪問控制來管理端口。第四步：通過exit命令返回到配置模式，通過mac

access-list

ext

bingdu指令來建立一個(gè)MAC地址過濾信息，名字叫做bingdu。參考圖總結(jié)

通過兩條基于MAC地址的訪問控制來管理端口后我們就可以容許其他MAC地址的主機(jī)通過該端口順利