深度剖析交换机MAC地址访问控制问题

　　一般来讲每个公司的产品的实现技术均会有差异，Cisco交换机所使用的软件系统为Catalyst IOS。CLI的全称为”Command－Line Interface“，如果想执行某个命令，必须先进入相应的配置模式。

　　在网络管理工作中，常常会碰到这样的情况：某些用户违反管理规定，私自修改自已的IP地址，以达到访问受限资源的目的。这样的行为，不但破坏了信息安全规则，还可能因为地址冲突引起网络通讯故障。

　　网管管理员可能会试图使用如后文所述的各种技术手段来解决这一问题，但效果不一定很理想：首先技术手段无法完全阻止这种现象的发生，其次是增加了管理的复杂性和成本。所以遏制这种现象最有效的方法是行政手段，这是技术手段所无法替代的。

　　在介绍这些管理手段之前我们先来看一个模拟的环境：工作站PC和SERVER连接到一台Cisco Catalyst 3550交换机上，它们分属不同的VLAN，借助3550的路由功能进行通讯(附交换机MAC地址配置):

　　如果不需要做权限限制，只是要防止IP地址冲突的话，最佳的方案可能是使用DHCP。DHCP 服务器可以为用户设置IP 地址、子网掩码、网关、DNS等参数，使用方便，还能节省IP地址。

　　在Cisco设备上设置DPCP可以参考:http://mize.netbuddy.org/021011.html。静态的分配和设置需要较多管理开销，如果用户不捣乱的话，由于用户名和IP地址一一对应，维护起来比较方便，以下均假设采用的是静态的管理方法。

　　hostname Cisco3550

　　!

　　interface GigabitEthernet0/11 description Connect to PC

　　!

　　interface GigabitEthernet0/12 description Connect to SERVER switchport access vlan 2

　　!

　　interface Vlan1

　　ip address 1.1.1.254 255.255.255.0

　　!

　　interface Vlan2

　　ip address 2.1.1.254 255.255.255.0

　　突破方法：交换机MAC地址非法用户将IP地址自行改为1.1.1.1即可访问Server。 非法用户抢占地址1.1.1.1将会引起IP地址冲突问题。如果用户将IP地址设成网关的IP，还会影响到整个VLAN的通讯。通过修改Windows 设置，可以防止用户修改“网络”属性，但这一方法也很容易被突破。

　　讨论更新：一位叫Maying的朋友看了本文之后到BBS发帖子询问：“如何在路由器上设置过滤掉某个特定mac地址的流量？不希望使用这个mac地址的主机通过路由器！”。 这个要求比较新鲜。

　　当你针对一个MAC地址进行过滤的时候，这一动作发生在第二层。而路由器一般执行的是第三层路由的任务，只有很少情况下做桥接的时候才对进入的MAC地址进行过滤，所以这样的过滤最好设置在二层交换设备上。