实例指导：基于MAC地址的访问控制

　　最近有很多的读者向笔者询问关于如何防范ARP欺骗蠕虫病毒的方法，笔者也相继从多个角度撰写了几篇查杀该病毒的实例。不管是从哪个角度来防范ARP病毒，最关键的都是要及时关闭ARP病毒所连接的交换机或路由器端口，封闭其网络的正常访问，从而有效控制病毒。因此学会将交换机端口关闭或有选择的过滤数据包将成为关键。今天我们就继续以实际例子来讲解基于MAC地址的访问控制。

　　一，直接关闭交换机端口法：

　　一般来说最简单且直接的方法就是直接关闭交换机的端口来阻止感染病毒主机对网络的访问。包括直接拔网线，直接关闭级连交换机电源等。当然最常见的还是通过软件命令来逻辑关闭。具体命令如下。

　　第一步：通过正确的帐户和密码进入到交换机或路由器的管理界面。

　　第二步：通过int指令进入对应的端口。

　　第三步：通过shutdown命令来关闭对应端口。

　　这样该端口就处于逻辑关闭状态，就好比我们把网线从该端口拔下来一样。连接该端口的感染病毒的计算机也将无法访问网络，自然不会对其他网络中的计算机产生ARP欺骗危机。

　　二，通过基于MAC地址的访问控制来管理端口：

　　不过简单的通过shutdown命令来逻辑关闭交换机或路由器的端口也存在一定的弊端，例如当该端口连接有多台下属设备的话，如果直接关闭该端口，那么下属设备都将无法访问网络，给人的感觉就是“宁可错杀一百也不放过一个”。那么有没有办法只针对出问题计算机进行逻辑封杀，而其他同样连接到该端口的计算机不受影响呢?答案是肯定的，这就是本文要说的重点——通过基于MAC地址的访问控制来管理端口。

　　第一步：这里我们假设出现问题计算机的MAC地址为5078.4c68.8e34，我们通过正确的管理员帐户和密码进入到交换机中。

　　第二步：通过config t命令进入配置模式，通过sh mac-address指令来查看各个端口连接的MAC地址情况，我们可以看到5078.4c68.8e34这个MAC地址连接的是Gi1/2/1这个端口。(如图1)

　　第三步：通过int gi1/2/1指令进入对应端口，当然由于GI端口万兆端口，他连接的是另外一个设备，所以直接在该端口上运行shutdown命令将直接导致另一个设备连接的所有主机都无法访问网络。这时就需要我们使用基于MAC地址的访问控制来管理端口。

　　第四步：通过exit命令返回到配置模式，通过mac access-list ext bingdu指令来建立一个MAC地址过滤信息，名字叫做bingdu。(如图2)

　　第五步：进入到名为bingdu的MAC地址过滤信息设置界面后，我们为其添加规律规则。例如添加deny host 5078.4c68.8e34 any命令，来禁止所有数据源MAC地址为5078.4c68.8e34的主机通过该端口传输，当然最后还要添加一个permit any any的指令，因为笔者使用的是Cisco设备，任何ACL访问控制列表的最后都会默认添加deny any any的命令，这样将直接禁止所有设备的通讯，不修改默认信息是错误的。(如图3)

　　通过两条基于MAC地址的访问控制来管理端口后我们就可以容许其他MAC地址的主机通过该端口顺利传输数据了，而出问题的存在病毒的MAC地址为5078.4c68.8e34的主机将被阻挡在网络大门之外。

　　三，总结：

　　实际上交换机和路由器的使用是非常灵活的，通过多种多样的访问控制列表可以让我们企业网络管理得到事半功倍的效果，而且很多时候解决问题的方法也是多种多样的，这些都需要我们在日常工作和维护过程中去积累去学习。