解决非授权DHCP引发的冲突(1)(2)
图2
第四步:我们就可以从显示的对应关系列表中查看到该MAC对应的端口号了,如果端口比较多还可以使用“sh mac address add 0011.5b5c.6214”这样的格式来查询0011.5b5c.6214这
个MAC地址对应的端口。(如图3)
图3
第五步:找到对应的端口后通过int命令进入该接口,然后使用shutdown关闭该接口,从而阻断了该计算机与外界的联系。(如图4)
图4
这种方法存在一个问题,那就是如果使用的是集线器连接下方设备时,会在交换机上的一个端口学习到多个MAC地址,如果我们直接将该端口通过shutdown命令关闭的话,则集线器连接的所有设备都无法使用网络了。遇到这种情况我们可以使用基于MAC地址的访问控制列表来控制。具体命令为:
以下是引用片段:
mac accesss-list extended softer
deny host 0011.5b5c.6214 any
permit any any
然后在进入非授权DHCP所在的交换机端口执行如下命令:
mac access-group softer in
设置完毕后就阻止了MAC地址为0011.5b5c.6214的计算机对外网的访问,而又不影响连接到同一台集线器上的其他设备。
图5
三、总结:
其实网络安全的最大危险来自网络内部,内部网络充斥着非授权使用网络者带来的危机,所以在平时就要对网络结构进行合理的规划,对网络参数的设置也要保留有详细的备案信息。这样当问题发现后我们就可以迅速的根据保留的数据第一时间发现问题的关键点。
评论暂时关闭