Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows教程綜合 >> Windows技巧 >> 實例指導:基於MAC地址的訪問控制

實例指導:基於MAC地址的訪問控制

日期:2017/2/8 11:33:32      編輯:Windows技巧
 

最近有很多的讀者向筆者詢問關於如何防范ARP欺騙蠕蟲病毒的方法,筆者也相繼從多個角度撰寫了幾篇查殺該病毒的實例。不管是從哪個角度來防范ARP病毒,最關鍵的都是要及時關閉ARP病毒所連接的交換機或路由器端口,封閉其網絡的正常訪問,從而有效控制病毒。因此學會將交換機端口關閉或有選擇的過濾數據包將成為關鍵。今天我們就繼續以實際例子來講解基於MAC地址的訪問控制。

一,直接關閉交換機端口法:

一般來說最簡單且直接的方法就是直接關閉交換機的端口來阻止感染病毒主機對網絡的訪問。包括直接拔網線,直接關閉級連交換機電源等。當然最常見的還是通過軟件命令來邏輯關閉。具體命令如下。

第一步:通過正確的帳戶和密碼進入到交換機或路由器的管理界面。

第二步:通過int指令進入對應的端口。

第三步:通過shutdown命令來關閉對應端口。

這樣該端口就處於邏輯關閉狀態,就好比我們把網線從該端口拔下來一樣。連接該端口的感染病毒的計算機也將無法訪問網絡,自然不會對其他網絡中的計算機產生ARP欺騙危機。

;二,通過基於MAC地址的訪問控制來管理端口:

不過簡單的通過shutdown命令來邏輯關閉交換機或路由器的端口也存在一定的弊端,例如當該端口連接有多台下屬設備的話,如果直接關閉該端口,那麼下屬設備都將無法訪問網絡,給人的感覺就是“寧可錯殺一百也不放過一個”。那麼有沒有辦法只針對出問題計算機進行邏輯封殺,而其他同樣連接到該端口的計算機不受影響呢?答案是肯定的,這就是本文要說的重點——通過基於MAC地址的訪問控制來管理端口。

第一步:這裡我們假設出現問題計算機的MAC地址為5078.4c68.8e34,我們通過正確的管理員帳戶和密碼進入到交換機中。

第二步:通過config t命令進入配置模式,通過sh mac-address指令來查看各個端口連接的MAC地址情況,我們可以看到5078.4c68.8e34這個MAC地址連接的是Gi1/2/1這個端口。(如圖1);



第三步:通過int gi1/2/1指令進入對應端口,當然由於GI端口萬兆端口,他連接的是另外一個設備,所以直接在該端口上運行shutdown命令將直接導致另一個設備連接的所有主機都無法訪問網絡。這時就需要我們使用基於MAC地址的訪問控制來管理端口。

 

第四步:通過exit命令返回到配置模式,通過mac access-list ext bingdu指令來建立一個MAC地址過濾信息,名字叫做bingdu。(如圖2)



第五步:進入到名為bingdu的MAC地址過濾信息設置界面後,我們為其添加規律規則。例如添加deny host 5078.4c68.8e34 any命令,來禁止所有數據源MAC地址為5078.4c68.8e34的主機通過該端口傳輸,當然最後還要添加一個permit any any的指令,因為筆者使用的是Cisco設備,任何ACL訪問控制列表的最後都會默認添加deny any any的命令,這樣將直接禁止所有設備的通訊,不修改默認信息是錯誤的。(如圖3)



通過兩條基於MAC地址的訪問控制來管理端口後我們就可以容許其他MAC地址的主機通過該端口順利傳輸數據了,而出問題的存在病毒的MAC地址為5078.4c68.8e34的主機將被阻擋在網絡大門之外。


  三,總結:

實際上交換機和路由器的使用是非常靈活的,通過多種多樣的訪問控制列表可以讓我們企業網絡管理得到事半功倍的效果,而且很多時候解決問題的方法也是多種多樣的,這些都需要我們在日常工作和維護過程中去積累去學習。

Copyright © Windows教程網 All Rights Reserved