Cisco 3550由器设置交换机MAC地址的访问控

　　本文主要给大家详细的介绍了对于Cisco3550由器如何进行对交换机的设置，并且给讲述了MAC地址的访问控制设置，希望看过此文对你有所帮助。

　　在网络管理工作中，常常会碰到这样的情况：某些用户违反管理，私改自已的IP地址，以达到访问受限资源的目的。这样的行为，不但了信息安全规则，还可能因为地址冲突引起网络通讯故障。

　　网管管理员可能会试图使用如后文所述的各种技术手段来解决这一问题，但效果不一定很理想：首先技术手段无法完全这种现象的发生，其次是增加了管理的复杂性和成本。所以遏制这种现象最有效的方法是输入192.168.1.，这是技术手段所无法替代的。

　　在介绍这些管理手段之前我们先来看一个模拟的：工作站PC和SERVER连接到一台CiscoCatalyst3550交换机上，它们分属不同的VLAN，借助3550的由功能进行通讯(附交换机配置)：

　　如果不需要做权限，只是要防止IP地址冲突的话，最佳的方案可能是使用DHCP.DHCP服务器可以为用户设置IP地址、子网掩码、网关、DNS等参数，使用方便，还能节省IP地址。在Cisco设备上设置DPCP可以参考：《由器上配置DHCP全程详解》.静态的分配和设置需要较多管理开销，如果用户不捣乱的话，由于用户名和IP地址一一对应，起来比较方便，以下均假设采用的是静态的管理方法。

　　访问路由器地址方法：使用IP访问控制列表

　　突破方法：非法用户将IP地址自行改为1.1.1.1即可访问Server.非法用户抢占地址1.1.1.1将会引起IP地址冲突问题。如果用户将IP地址设成网关的IP，还会影响到整个VLAN的通讯。通过修改Windows设置，可以防止用户修改“网络”属性，但这一方法也很容易被突破。

　　测试2.在测试1的基础上加上静态ARP绑定可以防止IP地址。

　　注意以下的命令是错误的，因为ARP的端口参数是三层(由)端口而非二层(交换)端口：

　　设置完成之后，如果非法用户把地址改为1.1.1.1，它发送到由器的包正常，但是从目标服务器2.1.1.1返回的数据包在由器上转发的时候，目标MAC地址将总是设为0001.0001.1111，非法用户不能接收。

　　类似办法：使用“ARPSERVER”按一定的时间间隔网段内所有主机的正确IP-MAC映射表

　　突破方法：修改MAC地址很容易，在Windows网络连接设置修改网卡的配置，在“高级”页面中找到NetworkAddress设置为指定的值即可。

　　原理：如果了指定端口只能被特定MAC地址的机器，用户若更改了MAC地址端口将会进入不可用状态。

　　设置方法：

　　设置完成之后，交换机端口上首次连接的PC的MAC地址将会记录到交换机中，成为唯一能够使用该端口的MAC地址。如果该PC更换MAC地址，默认将会使用端口置于shutdown状态，无法与网络连通。

　　可以使用命令设置安全冲突的处理方法：

　　protect丢弃来自非法源地址的包，不告警

　　restrict丢弃来自非法源地址的包，发送syslog告警

　　突破方法：代理服务器。用户在同一VLAN内能够对外访问的主机上安装代理服务器，通过代理访问。

　　原理：将授权用户和非授权用户划分到不同的VLAN中，并使用访问控制列表VLAN间的通讯。也可以使用PVLAN隔离使同一VLAN间某些主机之间不能直接通讯……

　　特殊办法：交换机Cisco3550交换机还能支持在二层(交换)端口上设置mac/ip访问控制列表，以下设置将使f0/1端口上的PC只能使用ip地址1.1.1.1及MAC地址0000.0c31.ba9b，否则网络通讯不正常。

　　突破方法：该用户跑到授权用户的机器问

　　这是型的突破方法，目前还没有很好的解决方法。

　　其他可能的方法：

　　1.认证代理：用户访问特定资源前必须在某个网页上输入用户名和密码，否则不通

　　2.802.1x：用户通过802.1x认证同时由DHCP服务器分配IP地址，否则不通

　　3.PPPoE：用户需安装PPPoE客户端软件，使用用户名和密码登录网络才能使用

　　讨论更新：一位叫Maying的朋友看了本文之后到BBS发帖子询问：“如何在由器上设置过滤掉某个特定MAC地址的流量?不希望使用这个MAC地址的主机通过由器!”。

　　这个要求比较新鲜。当你针对一个MAC地址进行过滤的时候，这一动作发生在第二层。而由器一般执行的是第三层由的任务，只有很少情况下做桥接的时候才对进入的MAC地址进行过滤，所以这样的过滤最好设置在二层交换设备上。

　　但这个要求对由器来说也不是不可能的任务上不了192.168.1，麦子使用以下配置达到了要求的效果：

　　这时候要注意，目标工作站到达该由器之前不能经过其他三层设备，否则MAC地址会被改掉。

　　讨论更新：Maying朋友再问：“我的由器是Cisco1720，不支持CEF，怎么办?”

　　Cisco1720由器能够支持CEF，但要求是12.0(3)T以上IPPLUS版本的软件，12.2(11)YV起标准IP版软件也可以支持CEF.如果由器目前IOS软件版本不够，需要升级。

　　也可以使用桥接(IRB)的方法来解决，这种方法只需要12.0(2)T以上标准IP版软件即可。配置如下：