日期:2015-09-02 點(diǎn)擊: 關(guān)鍵詞:如何在cisco交換機(jī)上禁止某個(gè)特定MAC地址轉(zhuǎn)發(fā)
在局域網(wǎng)里有時(shí)會(huì)出現(xiàn)其他非法DHCP,在日常的網(wǎng)絡(luò)維護(hù)過(guò)程中給網(wǎng)絡(luò)管理員們帶來(lái)很多的煩惱,解決辦法除了dhcp snooping的方法外,我們還可以直接把mac地址給禁掉,這個(gè)絕對(duì)夠狠,但絕對(duì)的好使!如何在cisco交換機(jī)上禁止某個(gè)特定MAC地址轉(zhuǎn)發(fā),視具體情況來(lái)選擇具體處理方法,仁者見(jiàn)仁。
以一個(gè)例子說(shuō)明:
機(jī)器A的MAC地址是00-01-02-03-04-05,該機(jī)器接在交換機(jī)B的F0/3端口上,F(xiàn)0/3端口處于VLAN3,現(xiàn)在在B上封禁A的轉(zhuǎn)發(fā),可以根據(jù)不同的交換機(jī)作以下設(shè)置:
CatOS(v5.5及以上):
set cam permanent 00-01-02-03-04-050/43
clear cam 00-01-02-03-04-05
IOS:
6500/4500/4000/3750/3560/3550:
mac address-table static 0001.0203.0405 vlan 3 drop
3500XL/2900XL:
mac address-table secure 0001.0203.0405 fastethernet 0/4 vlan 3
2950(WS-C2950):
mac address-table static 0001.0203.0405 vlan 3 interface fastethernet0/4
除此之外,還可以把機(jī)器A的MAC地址綁到非機(jī)器A的直聯(lián)端口上達(dá)到這個(gè)目的,方法如下:
1、show mac-address-table,找到MAC所在的端口及所在VLAN,如查到FA0/3 ,VALN為1,MAC為0001.0203.00XX
2、> enable
#configure terminal
(config)# mac address-table static 0001.0203.00XX vlan 1 interface fastEthernet 0/4
---將VALN1中的0001.0203.00XX 強(qiáng)行綁到fastEthernet 0/4 上,這樣fastEthernet 0/3上就不能跑 0001.0203.00XX 地址了!
(config)#exit
成了!這樣就在cisco交換機(jī)上禁止了某個(gè)特定MAC地址的轉(zhuǎn)發(fā)。
企業(yè)通訊