實(shí)例:基于MAC地址的訪問控制
最近有很多讀者向筆者詢問關(guān)于如何防范ARP欺騙蠕蟲病毒的方法,筆者也相繼從多個(gè)角度撰寫了幾篇查殺該病毒的實(shí)例。不管是從哪個(gè)角度來防范ARP病毒,最關(guān)鍵的都是要及時(shí)關(guān)閉ARP病毒所連接的交換機(jī)或路由器端口,封閉其網(wǎng)絡(luò)的正常訪問,從而有效控制病毒。因此學(xué)會(huì)將交換機(jī)端口關(guān)閉或有選擇的過濾數(shù)據(jù)包將成為關(guān)鍵。今天我們就繼續(xù)以實(shí)際例子來講解基于MAC地址的訪問控制。
一、直接關(guān)閉交換機(jī)端口法:
一般來說最簡單且直接的方法就是直接關(guān)閉交換機(jī)的端口來阻止感染病毒主機(jī)對網(wǎng)絡(luò)的訪問。包括直接拔網(wǎng)線,直接關(guān)閉級連交換機(jī)電源等。當(dāng)然最常見的還是通過軟件命令來邏輯關(guān)閉。具體命令如下。
***步:通過正確的帳戶和密碼進(jìn)入到交換機(jī)或路由器的管理界面。
第二步:通過int指令進(jìn)入對應(yīng)的端口。
第三步:通過shutdown命令來關(guān)閉對應(yīng)端口。
這樣該端口就處于邏輯關(guān)閉狀態(tài),就好比我們把網(wǎng)線從該端口拔下來一樣。連接該端口的感染病毒的計(jì)算機(jī)也將無法訪問網(wǎng)絡(luò),自然不會(huì)對其他網(wǎng)絡(luò)中的計(jì)算機(jī)產(chǎn)生ARP欺騙危機(jī)。
二、通過基于MAC地址的訪問控制來管理端口:
不過簡單的通過shutdown命令來邏輯關(guān)閉交換機(jī)或路由器的端口也存在一定的弊端,例如當(dāng)該端口連接有多臺下屬設(shè)備的話,如果直接關(guān)閉該端口,那么下屬設(shè)備都將無法訪問網(wǎng)絡(luò),給人的感覺就是“寧可錯(cuò)殺一百也不放過一個(gè)”。那么有沒有辦法只針對出問題計(jì)算機(jī)進(jìn)行邏輯封殺,而其他同樣連接到該端口的計(jì)算機(jī)不受影響呢?答案是肯定的,這就是本文要說的重點(diǎn)——通過基于MAC地址的訪問控制來管理端口。
***步:這里我們假設(shè)出現(xiàn)問題計(jì)算機(jī)的MAC地址為5078.4c68.8e34,我們通過正確的管理員帳戶和密碼進(jìn)入到交換機(jī)中。
第二步:通過config t命令進(jìn)入配置模式,通過sh mac-address指令來查看各個(gè)端口連接的MAC地址情況,我們可以看到5078.4c68.8e34這個(gè)MAC地址連接的是Gi1/2/1這個(gè)端口。(如圖1)
第三步:通過int gi1/2/1指令進(jìn)入對應(yīng)端口,當(dāng)然由于GI端口萬兆端口,他連接的是另外一個(gè)設(shè)備,所以直接在該端口上運(yùn)行shutdown命令將直接導(dǎo)致另一個(gè)設(shè)備連接的所有主機(jī)都無法訪問網(wǎng)絡(luò)。這時(shí)就需要我們使用基于MAC地址的訪問控制來管理端口。
第四步:通過exit命令返回到配置模式,通過mac access-list ext bingdu指令來建立一個(gè)MAC地址過濾信息,名字叫做bingdu。(如圖2)
第五步:進(jìn)入到名為bingdu的MAC地址過濾信息設(shè)置界面后,我們?yōu)槠涮砑右?guī)律規(guī)則。例如添加deny host 5078.4c68.8e34 any命令,來禁止所有數(shù)據(jù)源MAC地址為5078.4c68.8e34的主機(jī)通過該端口傳輸,當(dāng)然***還要添加一個(gè)permit any any的指令,因?yàn)楣P者使用的是Cisco設(shè)備,任何ACL訪問控制列表的***都會(huì)默認(rèn)添加deny any any的命令,這樣將直接禁止所有設(shè)備的通訊,不修改默認(rèn)信息是錯(cuò)誤的。(如圖3)
通過兩條基于MAC地址的訪問控制來管理端口后我們就可以容許其他MAC地址的主機(jī)通過該端口順利傳輸數(shù)據(jù)了,而出問題的存在病毒的MAC地址為5078.4c68.8e34的主機(jī)將被阻擋在網(wǎng)絡(luò)大門之外。
三、總結(jié):
實(shí)際上交換機(jī)和路由器的使用是非常靈活的,通過多種多樣的訪問控制列表可以讓我們企業(yè)網(wǎng)絡(luò)管理得到事半功倍的效果,而且很多時(shí)候解決問題的方法也是多種多樣的,這些都需要我們在日常工作和維護(hù)過程中去積累去學(xué)習(xí)。
【編輯推薦】
