本文主要給大家詳細的介紹了對于CISCO 3550路由器如何進行對交換機的設置，并且給講述了MAC地址的訪問控制設置，希望看過此文對你有所幫助。

在網(wǎng)絡管理工作中，常常會碰到這樣的情況：某些用戶違反管理規(guī)定，私自修改自已的IP地址，以達到訪問受限資源的目的。這樣的行為，不但破壞了信息安全規(guī)則，還可能因為地址沖突引起網(wǎng)絡通訊故障。

網(wǎng)管管理員可能會試圖使用如后文所述的各種技術手段來解決這一問題，但效果不一定很理想：首先技術手段無法完全阻止這種現(xiàn)象的發(fā)生，其次是增加了管理的復雜性和成本。所以遏制這種現(xiàn)象最有效的方法是行政手段，這是技術手段所無法替代的。

在介紹這些管理手段之前我們先來看一個模擬的環(huán)境：工作站PC和SERVER連接到一臺Cisco Catalyst 3550交換機上，它們分屬不同的VLAN，借助3550的路由功能進行通訊(附交換機配置)：

hostname Cisco3550

!

interface GigabitEthernet0/11 description Connect to PC

!

interface GigabitEthernet0/12 description Connect to SERVER switchport access vlan 2

!

interface Vlan1

p address 1.1.1.254 255.255.255.0

!

interface Vlan2

p address 2.1.1.254 255.255.255.0

如果不需要做權限限制，只是要防止IP地址沖突的話，最佳的方案可能是使用DHCP.DHCP 服務器可以為用戶設置IP 地址、子網(wǎng)掩碼、網(wǎng)關、DNS等參數(shù)，使用方便，還能節(jié)省IP地址。在Cisco設備上設置DPCP可以參考：《Cisco路由器上配置DHCP全程詳解》.靜態(tài)的分配和設置需要較多管理開銷，如果用戶不搗亂的話，由于用戶名和IP地址一一對應，維護起來比較方便，以下均假設采用的是靜態(tài)的管理方法。

測試1.假設VLAN1內只允許IP 1.1.1.1 訪問Server： 2.1.1.1，其它訪問全部禁止。

限制方法：使用IP訪問控制列表

interface Vlan1

p address 1.1.1.254 255.255.255.0

p access-group 100 in

access-list 100 permit ip host 1.1.1.1 host 2.1.1.1

突破方法：非法用戶將IP地址自行改為 1.1.1.1即可訪問Server.非法用戶搶占地址1.1.1.1將會引起IP地址沖突問題。如果用戶將IP地址設成網(wǎng)關的IP，還會影響到整個VLAN的通訊。通過修改Windows 設置，可以防止用戶修改“網(wǎng)絡”屬性，但這一方法也很容易被突破。

測試2.在測試1的基礎上加上靜態(tài)ARP綁定可以防止IP地址盜用。

實現(xiàn)方法：在測試1配置的基礎上設置arp 1.1.1.1 0001.0001.1111 ARPA

注意以下的命令是錯誤的，因為ARP的端口參數(shù)是三層(路由)端口而非二層(交換)端口：

arp 1.1.1.1 0001.0001.1111 ARPA GigabitEthernet0/11

設置完成之后，如果非法用戶把地址改為1.1.1.1，它發(fā)送到路由器的包正常，但是從目標服務器2.1.1.1返回的數(shù)據(jù)包在路由器上轉發(fā)的時候，目標MAC地址將總是設為0001.0001.1111，非法用戶不能接收。

類似辦法：使用“ARP SERVER”按一定的時間間隔廣播網(wǎng)段內所有主機的正確IP-MAC映射表

突破方法：修改MAC地址很容易，在Windows網(wǎng)絡連接設置修改網(wǎng)卡的配置，在“高級”頁面中找到Network Address設置為指定的值即可。

測試3.使用Port Secure

原理：如果限制了指定端口只能被特定MAC地址的機器，用戶若更改了MAC地址端口將會進入不可用狀態(tài)。

設置方法：

interface g 0/1

switchport mode access

switchport port-security

設置完成之后，交換機端口上首次連接的PC的MAC地址將會記錄到交換機中，成為唯一能夠使用該端口的MAC地址。如果該PC更換MAC地址，默認將會使用端口置于shutdown狀態(tài)，無法與網(wǎng)絡連通。

可以使用命令設置安全沖突的處理方法：

sw port-security violation [protect | restrict | shutdown ]

protect 丟棄來自非法源地址的包，不告警

restrict 丟棄來自非法源地址的包，發(fā)送syslog告警

shutdown(默認) 關閉端口，發(fā)送SNMP trap、Syslog 告警，除非管理員執(zhí)行命令shut/no shut，否則端口一直處理down狀態(tài)。

突破方法：代理服務器。用戶在同一VLAN內能夠對外訪問的主機上安裝代理服務器，通過代理訪問。

測試4.使用VLAN，PVLAN隔離用戶

原理：將授權用戶和非授權用戶劃分到不同的VLAN中，并使用訪問控制列表限制VLAN間的通訊。也可以使用PVLAN隔離使同一VLAN間某些主機之間不能直接通訊……

interface range g 0/10

description Connect to PC1

switchport access vlan 7

interface range g 0/11

description Connect to PC2

switchport access vlan 8

特殊辦法：交換機Cisco 3550交換機還能支持在二層(交換)端口上設置mac/ip 訪問控制列表，以下設置將使f0/1端口上的PC只能使用ip地址1.1.1.1及mac地址0000.0c31.ba9b，否則網(wǎng)絡通訊不正常。

ac access-list extended macacl

permit host 0000.0c31.ba9b any

permit any host 0000.0c31.ba9b

interface FastEthernet0/1

o ip address

p access-group ipacl in

ac access-group macacl in

p access-list extended ipacl

permit ip any host 1.1.1.1

permit ip host 1.1.1.1 any

突破方法：該用戶跑到授權用戶的機器上訪問

這是非典型的突破方法，目前還沒有很好的解決方法。

其他可能的限制方法：

1.認證代理：用戶訪問特定資源前必須在某個網(wǎng)頁上輸入用戶名和密碼，否則不通

2.802.1x：用戶通過802.1x認證同時由DHCP服務器分配IP地址，否則不通

3.PPPoE：用戶需安裝PPPoE客戶端軟件，使用用戶名和密碼登錄網(wǎng)絡才能使用

討論更新：一位叫Maying的朋友看了本文之后到BBS發(fā)帖子詢問：“如何在路由器上設置過濾掉某個特定mac地址的流量?不希望使用這個mac地址的主機通過路由器!”。

這個要求比較新鮮。當你針對一個MAC地址進行過濾的時候，這一動作發(fā)生在第二層。而路由器一般執(zhí)行的是第三層路由的任務，只有很少情況下做橋接的時候才對進入的MAC地址進行過濾，所以這樣的過濾最好設置在二層交換設備上。

但這個要求對路由器來說也不是不可能的任務，麥子使用以下配置達到了要求的效果：

p cef//Rate-limit 需要cef的支持，路由器可能默認未啟用cef interface Ethernet0/0 ip address 192.168.1.254 255.255.255.0 rate-limit input access-group rate-limit 100 8000 1500 2000 conform-action drop exceed-action drop //如果源MAC地址為指定值則丟棄(其他的都允許) access-list rate-limit 100 0001.0001.abcd //要限制的MAC地址

這時候要注意，目標工作站到達該路由器之前不能經(jīng)過其他三層設備，否則MAC地址會被改掉。

討論更新：Maying朋友再問：“我的路由器是Cisco 1720， 不支持CEF，怎么辦?”

Cisco 1720路由器能夠支持CEF， 但要求是12.0(3)T以上IP PLUS版本的軟件，12.2(11)YV 起標準IP版軟件也可以支持CEF.如果路由器目前IOS軟件版本不夠，需要升級。

也可以使用橋接(IRB)的方法來解決，這種方法只需要12.0(2)T 以上標準IP版軟件即可。配置如下：

bridge irb //啟用IRB支持

interface Ethernet0/0

o ip address //路由做到邏輯端口BVI 1上

bridge-group 1 //加入橋接組1

!

interface BVI1

p address 192.168.1.254 255.255.255.0 //為橋接組1提供路由

!

bridge 1 protocol ieee //運行生成樹協(xié)議防止環(huán)路

bridge 1 route ip //路由IP流量

bridge 1 address 0001.0001.abcd discard

//丟棄來著于MAC地址0001.0001.abcd的數(shù)據(jù)包