使用路由的方法过滤特定MAC的主机

　　当你针对一个MAC地址进行过滤的时候，这一动作发生在第二层。而路由器一般执行的是第三层路由的任务，只有很少情况下做桥接的时候才对进入的MAC地址进行过滤，所以这样的过滤最好设置在二层交换设备上。

　　方法一、但这个要求对路由器来说也不是不可能的任务，笔者使用以下配置达到了要求的效果：

　　ip cef//Rate-limit 需要cef的支持，路由器可能默认未启用cef

　　interface Ethernet0/0

　　ip address 192.168.1.254 255.255.255.0

　　rate-limit input access-group rate-limit 100 8000 1500 2000 conform-action drop　exceed-action drop

　　//如果源MAC地址为指定值则丢弃（其他的都允许）

　　access-list rate-limit 100 0001.0001.abcd//要限制的MAC地址

　　这时候要注意，目标工作站到达该路由器之前不能经过其他三层设备，否则MAC地址会被改掉。

　　问题2：“我的路由器是Cisco 1720, 不支持CEF,怎么办？”

　　Cisco 1720路由器能够支持CEF, 但要求是12.0(3)T以上IP PLUS版本的软件，12.2(11)YV 起标准IP版软件也可以支持CEF。如果路由器目前IOS软件版本不够，需要升级。

　　方法二、也可以使用桥接(IRB)的方法来解决，这种方法只需要12.0(2)T 以上标准IP版软件即可。配置如下：

　　bridge irb//启用IRB支持

　　interface Ethernet0/0

　　no ip address//路由做到逻辑端口BVI 1上

　　bridge-group 1//加入桥接组1

　　!

　　interface BVI1

　　ip address 192.168.1.254 255.255.255.0//为桥接组1提供路由

　　!

　　bridge 1 protocol ieee//运行生成树协议防止环路

　　bridge 1 route ip//路由IP流量

　　bridge 1 address 0001.0001.abcd discard//丢弃来着于MAC地址0001.0001.abcd的数据包。