最近有很多讀者向筆者詢問關(guān)于如何防范ARP欺騙蠕蟲病毒的方法，筆者也相繼從多個角度撰寫了幾篇查殺該病毒的實例。不管是從哪個角度來防范ARP病毒，最關(guān)鍵的都是要及時關(guān)閉ARP病毒所連接的交換機或路由器端口，封閉其網(wǎng)絡(luò)的正常訪問，從而有效控制病毒。因此學(xué)會將交換機端口關(guān)閉或有選擇的過濾數(shù)據(jù)包將成為關(guān)鍵。今天我們就繼續(xù)以實際例子來講解基于MAC地址的訪問控制。

一、直接關(guān)閉交換機端口法：

一般來說最簡單且直接的方法就是直接關(guān)閉交換機的端口來阻止感染病毒主機對網(wǎng)絡(luò)的訪問。包括直接拔網(wǎng)線，直接關(guān)閉級連交換機電源等。當然最常見的還是通過軟件命令來邏輯關(guān)閉。具體命令如下。

***步：通過正確的帳戶和密碼進入到交換機或路由器的管理界面。

第二步：通過int指令進入對應(yīng)的端口。

第三步：通過shutdown命令來關(guān)閉對應(yīng)端口。

這樣該端口就處于邏輯關(guān)閉狀態(tài)，就好比我們把網(wǎng)線從該端口拔下來一樣。連接該端口的感染病毒的計算機也將無法訪問網(wǎng)絡(luò)，自然不會對其他網(wǎng)絡(luò)中的計算機產(chǎn)生ARP欺騙危機。

二、通過基于MAC地址的訪問控制來管理端口：

不過簡單的通過shutdown命令來邏輯關(guān)閉交換機或路由器的端口也存在一定的弊端，例如當該端口連接有多臺下屬設(shè)備的話，如果直接關(guān)閉該端口，那么下屬設(shè)備都將無法訪問網(wǎng)絡(luò)，給人的感覺就是“寧可錯殺一百也不放過一個”。那么有沒有辦法只針對出問題計算機進行邏輯封殺，而其他同樣連接到該端口的計算機不受影響呢?答案是肯定的，這就是本文要說的重點——通過基于MAC地址的訪問控制來管理端口。

***步：這里我們假設(shè)出現(xiàn)問題計算機的MAC地址為5078.4c68.8e34，我們通過正確的管理員帳戶和密碼進入到交換機中。

第二步：通過config t命令進入配置模式，通過sh mac-address指令來查看各個端口連接的MAC地址情況，我們可以看到5078.4c68.8e34這個MAC地址連接的是Gi1/2/1這個端口。(如圖1)

第三步：通過int gi1/2/1指令進入對應(yīng)端口，當然由于GI端口萬兆端口，他連接的是另外一個設(shè)備，所以直接在該端口上運行shutdown命令將直接導(dǎo)致另一個設(shè)備連接的所有主機都無法訪問網(wǎng)絡(luò)。這時就需要我們使用基于MAC地址的訪問控制來管理端口。

第四步：通過exit命令返回到配置模式，通過mac access-list ext bingdu指令來建立一個MAC地址過濾信息，名字叫做bingdu。(如圖2)

第五步：進入到名為bingdu的MAC地址過濾信息設(shè)置界面后，我們?yōu)槠涮砑右?guī)律規(guī)則。例如添加deny host 5078.4c68.8e34 any命令，來禁止所有數(shù)據(jù)源MAC地址為5078.4c68.8e34的主機通過該端口傳輸，當然***還要添加一個permit any any的指令，因為筆者使用的是Cisco設(shè)備，任何ACL訪問控制列表的***都會默認添加deny any any的命令，這樣將直接禁止所有設(shè)備的通訊，不修改默認信息是錯誤的。(如圖3)

通過兩條基于MAC地址的訪問控制來管理端口后我們就可以容許其他MAC地址的主機通過該端口順利傳輸數(shù)據(jù)了，而出問題的存在病毒的MAC地址為5078.4c68.8e34的主機將被阻擋在網(wǎng)絡(luò)大門之外。

三、總結(jié)：

實際上交換機和路由器的使用是非常靈活的，通過多種多樣的訪問控制列表可以讓我們企業(yè)網(wǎng)絡(luò)管理得到事半功倍的效果，而且很多時候解決問題的方法也是多種多樣的，這些都需要我們在日常工作和維護過程中去積累去學(xué)習(xí)。

【編輯推薦】

1. MAC地址的訪問控制
2. 關(guān)于IP-MAC地址綁定的交換機設(shè)置