本文主要給大家詳細(xì)的介紹了對(duì)于CISCO 3550路由器如何進(jìn)行對(duì)交換機(jī)的設(shè)置，并且給講述了MAC地址的訪問(wèn)控制設(shè)置，希望看過(guò)此文對(duì)你有所幫助。

在網(wǎng)絡(luò)管理工作中，常常會(huì)碰到這樣的情況：某些用戶違反管理規(guī)定，私自修改自已的IP地址，以達(dá)到訪問(wèn)受限資源的目的。這樣的行為，不但破壞了信息安全規(guī)則，還可能因?yàn)榈刂窙_突引起網(wǎng)絡(luò)通訊故障。

網(wǎng)管管理員可能會(huì)試圖使用如后文所述的各種技術(shù)手段來(lái)解決這一問(wèn)題，但效果不一定很理想：首先技術(shù)手段無(wú)法完全阻止這種現(xiàn)象的發(fā)生，其次是增加了管理的復(fù)雜性和成本。所以遏制這種現(xiàn)象最有效的方法是行政手段，這是技術(shù)手段所無(wú)法替代的。

在介紹這些管理手段之前我們先來(lái)看一個(gè)模擬的環(huán)境：工作站PC和SERVER連接到一臺(tái)Cisco Catalyst 3550交換機(jī)上，它們分屬不同的VLAN，借助3550的路由功能進(jìn)行通訊(附交換機(jī)配置)：

hostname Cisco3550

!

interface GigabitEthernet0/11 description Connect to PC

!

interface GigabitEthernet0/12 description Connect to SERVER switchport access vlan 2

!

interface Vlan1

p address 1.1.1.254 255.255.255.0

!

interface Vlan2

p address 2.1.1.254 255.255.255.0

如果不需要做權(quán)限限制，只是要防止IP地址沖突的話，最佳的方案可能是使用DHCP.DHCP 服務(wù)器可以為用戶設(shè)置IP 地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS等參數(shù)，使用方便，還能節(jié)省IP地址。在Cisco設(shè)備上設(shè)置DPCP可以參考：《Cisco路由器上配置DHCP全程詳解》.靜態(tài)的分配和設(shè)置需要較多管理開(kāi)銷，如果用戶不搗亂的話，由于用戶名和IP地址一一對(duì)應(yīng)，維護(hù)起來(lái)比較方便，以下均假設(shè)采用的是靜態(tài)的管理方法。

測(cè)試1.假設(shè)VLAN1內(nèi)只允許IP 1.1.1.1 訪問(wèn)Server： 2.1.1.1，其它訪問(wèn)全部禁止。

限制方法：使用IP訪問(wèn)控制列表

interface Vlan1

p address 1.1.1.254 255.255.255.0

p access-group 100 in

access-list 100 permit ip host 1.1.1.1 host 2.1.1.1

突破方法：非法用戶將IP地址自行改為 1.1.1.1即可訪問(wèn)Server.非法用戶搶占地址1.1.1.1將會(huì)引起IP地址沖突問(wèn)題。如果用戶將IP地址設(shè)成網(wǎng)關(guān)的IP，還會(huì)影響到整個(gè)VLAN的通訊。通過(guò)修改Windows 設(shè)置，可以防止用戶修改“網(wǎng)絡(luò)”屬性，但這一方法也很容易被突破。

測(cè)試2.在測(cè)試1的基礎(chǔ)上加上靜態(tài)ARP綁定可以防止IP地址盜用。

實(shí)現(xiàn)方法：在測(cè)試1配置的基礎(chǔ)上設(shè)置arp 1.1.1.1 0001.0001.1111 ARPA

注意以下的命令是錯(cuò)誤的，因?yàn)锳RP的端口參數(shù)是三層(路由)端口而非二層(交換)端口：

arp 1.1.1.1 0001.0001.1111 ARPA GigabitEthernet0/11

設(shè)置完成之后，如果非法用戶把地址改為1.1.1.1，它發(fā)送到路由器的包正常，但是從目標(biāo)服務(wù)器2.1.1.1返回的數(shù)據(jù)包在路由器上轉(zhuǎn)發(fā)的時(shí)候，目標(biāo)MAC地址將總是設(shè)為0001.0001.1111，非法用戶不能接收。

類似辦法：使用“ARP SERVER”按一定的時(shí)間間隔廣播網(wǎng)段內(nèi)所有主機(jī)的正確IP-MAC映射表

突破方法：修改MAC地址很容易，在Windows網(wǎng)絡(luò)連接設(shè)置修改網(wǎng)卡的配置，在“高級(jí)”頁(yè)面中找到Network Address設(shè)置為指定的值即可。

測(cè)試3.使用Port Secure

原理：如果限制了指定端口只能被特定MAC地址的機(jī)器，用戶若更改了MAC地址端口將會(huì)進(jìn)入不可用狀態(tài)。

設(shè)置方法：

interface g 0/1

switchport mode access

switchport port-security

設(shè)置完成之后，交換機(jī)端口上首次連接的PC的MAC地址將會(huì)記錄到交換機(jī)中，成為唯一能夠使用該端口的MAC地址。如果該P(yáng)C更換MAC地址，默認(rèn)將會(huì)使用端口置于shutdown狀態(tài)，無(wú)法與網(wǎng)絡(luò)連通。

可以使用命令設(shè)置安全沖突的處理方法：

sw port-security violation [protect | restrict | shutdown ]

protect 丟棄來(lái)自非法源地址的包，不告警

restrict 丟棄來(lái)自非法源地址的包，發(fā)送syslog告警

shutdown(默認(rèn)) 關(guān)閉端口，發(fā)送SNMP trap、Syslog 告警，除非管理員執(zhí)行命令shut/no shut，否則端口一直處理down狀態(tài)。

突破方法：代理服務(wù)器。用戶在同一VLAN內(nèi)能夠?qū)ν庠L問(wèn)的主機(jī)上安裝代理服務(wù)器，通過(guò)代理訪問(wèn)。

測(cè)試4.使用VLAN，PVLAN隔離用戶

原理：將授權(quán)用戶和非授權(quán)用戶劃分到不同的VLAN中，并使用訪問(wèn)控制列表限制VLAN間的通訊。也可以使用PVLAN隔離使同一VLAN間某些主機(jī)之間不能直接通訊……

interface range g 0/10

description Connect to PC1

switchport access vlan 7

interface range g 0/11

description Connect to PC2

switchport access vlan 8

特殊辦法：交換機(jī)Cisco 3550交換機(jī)還能支持在二層(交換)端口上設(shè)置mac/ip 訪問(wèn)控制列表，以下設(shè)置將使f0/1端口上的PC只能使用ip地址1.1.1.1及mac地址0000.0c31.ba9b，否則網(wǎng)絡(luò)通訊不正常。

ac access-list extended macacl

permit host 0000.0c31.ba9b any

permit any host 0000.0c31.ba9b

interface FastEthernet0/1

o ip address

p access-group ipacl in

ac access-group macacl in

p access-list extended ipacl

permit ip any host 1.1.1.1

permit ip host 1.1.1.1 any

突破方法：該用戶跑到授權(quán)用戶的機(jī)器上訪問(wèn)

這是非典型的突破方法，目前還沒(méi)有很好的解決方法。

其他可能的限制方法：

1.認(rèn)證代理：用戶訪問(wèn)特定資源前必須在某個(gè)網(wǎng)頁(yè)上輸入用戶名和密碼，否則不通

2.802.1x：用戶通過(guò)802.1x認(rèn)證同時(shí)由DHCP服務(wù)器分配IP地址，否則不通

3.PPPoE：用戶需安裝PPPoE客戶端軟件，使用用戶名和密碼登錄網(wǎng)絡(luò)才能使用

討論更新：一位叫Maying的朋友看了本文之后到BBS發(fā)帖子詢問(wèn)：“如何在路由器上設(shè)置過(guò)濾掉某個(gè)特定mac地址的流量?不希望使用這個(gè)mac地址的主機(jī)通過(guò)路由器!”。

這個(gè)要求比較新鮮。當(dāng)你針對(duì)一個(gè)MAC地址進(jìn)行過(guò)濾的時(shí)候，這一動(dòng)作發(fā)生在第二層。而路由器一般執(zhí)行的是第三層路由的任務(wù)，只有很少情況下做橋接的時(shí)候才對(duì)進(jìn)入的MAC地址進(jìn)行過(guò)濾，所以這樣的過(guò)濾最好設(shè)置在二層交換設(shè)備上。

但這個(gè)要求對(duì)路由器來(lái)說(shuō)也不是不可能的任務(wù)，麥子使用以下配置達(dá)到了要求的效果：

p cef//Rate-limit 需要cef的支持，路由器可能默認(rèn)未啟用cef interface Ethernet0/0 ip address 192.168.1.254 255.255.255.0 rate-limit input access-group rate-limit 100 8000 1500 2000 conform-action drop exceed-action drop //如果源MAC地址為指定值則丟棄(其他的都允許) access-list rate-limit 100 0001.0001.abcd //要限制的MAC地址

這時(shí)候要注意，目標(biāo)工作站到達(dá)該路由器之前不能經(jīng)過(guò)其他三層設(shè)備，否則MAC地址會(huì)被改掉。

討論更新：Maying朋友再問(wèn)：“我的路由器是Cisco 1720， 不支持CEF，怎么辦?”

Cisco 1720路由器能夠支持CEF， 但要求是12.0(3)T以上IP PLUS版本的軟件，12.2(11)YV 起標(biāo)準(zhǔn)IP版軟件也可以支持CEF.如果路由器目前IOS軟件版本不夠，需要升級(jí)。

也可以使用橋接(IRB)的方法來(lái)解決，這種方法只需要12.0(2)T 以上標(biāo)準(zhǔn)IP版軟件即可。配置如下：

bridge irb //啟用IRB支持

interface Ethernet0/0

o ip address //路由做到邏輯端口BVI 1上

bridge-group 1 //加入橋接組1

!

interface BVI1

p address 192.168.1.254 255.255.255.0 //為橋接組1提供路由

!

bridge 1 protocol ieee //運(yùn)行生成樹協(xié)議防止環(huán)路

bridge 1 route ip //路由IP流量

bridge 1 address 0001.0001.abcd discard

//丟棄來(lái)著于MAC地址0001.0001.abcd的數(shù)據(jù)包