一般來(lái)講每個(gè)公司的產(chǎn)品的實(shí)現(xiàn)技術(shù)均會(huì)有差異，Cisco交換機(jī)所使用的軟件系統(tǒng)為Catalyst IOS。CLI的全稱為”Command－Line Interface“，如果想執(zhí)行某個(gè)命令，必須先進(jìn)入相應(yīng)的配置模式。

在網(wǎng)絡(luò)管理工作中，常常會(huì)碰到這樣的情況：某些用戶違反管理規(guī)定，私自修改自已的IP地址，以達(dá)到訪問(wèn)受限資源的目的。這樣的行為，不但破壞了信息安全規(guī)則，還可能因?yàn)榈刂窙_突引起網(wǎng)絡(luò)通訊故障。

網(wǎng)管管理員可能會(huì)試圖使用如后文所述的各種技術(shù)手段來(lái)解決這一問(wèn)題，但效果不一定很理想：首先技術(shù)手段無(wú)法完全阻止這種現(xiàn)象的發(fā)生，其次是增加了管理的復(fù)雜性和成本。所以遏制這種現(xiàn)象最有效的方法是行政手段，這是技術(shù)手段所無(wú)法替代的。

在介紹這些管理手段之前我們先來(lái)看一個(gè)模擬的環(huán)境：工作站PC和SERVER連接到一臺(tái)Cisco Catalyst 3550交換機(jī)上，它們分屬不同的VLAN，借助3550的路由功能進(jìn)行通訊(附交換機(jī)MAC地址配置):

如果不需要做權(quán)限限制，只是要防止IP地址沖突的話，最佳的方案可能是使用DHCP。DHCP 服務(wù)器可以為用戶設(shè)置IP 地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS等參數(shù)，使用方便，還能節(jié)省IP地址。

在Cisco設(shè)備上設(shè)置DPCP可以參考:http://mize.netbuddy.org/021011.html。靜態(tài)的分配和設(shè)置需要較多管理開銷，如果用戶不搗亂的話，由于用戶名和IP地址一一對(duì)應(yīng)，維護(hù)起來(lái)比較方便，以下均假設(shè)采用的是靜態(tài)的管理方法。

hostname Cisco3550   
!  
interface GigabitEthernet0/11 description Connect to PC   
!   
interface GigabitEthernet0/12 description Connect to SERVER switchport access vlan 2   
!  
interface Vlan1   
ip address 1.1.1.254 255.255.255.0   
!  
interface Vlan2  
ip address 2.1.1.254 255.255.255.0   

突破方法：交換機(jī)MAC地址非法用戶將IP地址自行改為1.1.1.1即可訪問(wèn)Server。 非法用戶搶占地址1.1.1.1將會(huì)引起IP地址沖突問(wèn)題。如果用戶將IP地址設(shè)成網(wǎng)關(guān)的IP，還會(huì)影響到整個(gè)VLAN的通訊。通過(guò)修改Windows 設(shè)置，可以防止用戶修改“網(wǎng)絡(luò)”屬性，但這一方法也很容易被突破。

討論更新：一位叫Maying的朋友看了本文之后到BBS發(fā)帖子詢問(wèn)：“如何在路由器上設(shè)置過(guò)濾掉某個(gè)特定mac地址的流量？不希望使用這個(gè)mac地址的主機(jī)通過(guò)路由器！”。 這個(gè)要求比較新鮮。#t#

當(dāng)你針對(duì)一個(gè)MAC地址進(jìn)行過(guò)濾的時(shí)候，這一動(dòng)作發(fā)生在第二層。而路由器一般執(zhí)行的是第三層路由的任務(wù)，只有很少情況下做橋接的時(shí)候才對(duì)進(jìn)入的MAC地址進(jìn)行過(guò)濾，所以這樣的過(guò)濾最好設(shè)置在二層交換設(shè)備上。