實(shí)例:基于MAC地址的訪問(wèn)控制
最近有很多讀者向筆者詢問(wèn)關(guān)于如何防范ARP欺騙蠕蟲(chóng)病毒的方法,筆者也相繼從多個(gè)角度撰寫(xiě)了幾篇查殺該病毒的實(shí)例。不管是從哪個(gè)角度來(lái)防范ARP病毒,最關(guān)鍵的都是要及時(shí)關(guān)閉ARP病毒所連接的交換機(jī)或路由器端口,封閉其網(wǎng)絡(luò)的正常訪問(wèn),從而有效控制病毒。因此學(xué)會(huì)將交換機(jī)端口關(guān)閉或有選擇的過(guò)濾數(shù)據(jù)包將成為關(guān)鍵。今天我們就繼續(xù)以實(shí)際例子來(lái)講解基于MAC地址的訪問(wèn)控制。
一、直接關(guān)閉交換機(jī)端口法:
一般來(lái)說(shuō)最簡(jiǎn)單且直接的方法就是直接關(guān)閉交換機(jī)的端口來(lái)阻止感染病毒主機(jī)對(duì)網(wǎng)絡(luò)的訪問(wèn)。包括直接拔網(wǎng)線,直接關(guān)閉級(jí)連交換機(jī)電源等。當(dāng)然最常見(jiàn)的還是通過(guò)軟件命令來(lái)邏輯關(guān)閉。具體命令如下。
***步:通過(guò)正確的帳戶和密碼進(jìn)入到交換機(jī)或路由器的管理界面。
第二步:通過(guò)int指令進(jìn)入對(duì)應(yīng)的端口。
第三步:通過(guò)shutdown命令來(lái)關(guān)閉對(duì)應(yīng)端口。
這樣該端口就處于邏輯關(guān)閉狀態(tài),就好比我們把網(wǎng)線從該端口拔下來(lái)一樣。連接該端口的感染病毒的計(jì)算機(jī)也將無(wú)法訪問(wèn)網(wǎng)絡(luò),自然不會(huì)對(duì)其他網(wǎng)絡(luò)中的計(jì)算機(jī)產(chǎn)生ARP欺騙危機(jī)。
二、通過(guò)基于MAC地址的訪問(wèn)控制來(lái)管理端口:
不過(guò)簡(jiǎn)單的通過(guò)shutdown命令來(lái)邏輯關(guān)閉交換機(jī)或路由器的端口也存在一定的弊端,例如當(dāng)該端口連接有多臺(tái)下屬設(shè)備的話,如果直接關(guān)閉該端口,那么下屬設(shè)備都將無(wú)法訪問(wèn)網(wǎng)絡(luò),給人的感覺(jué)就是“寧可錯(cuò)殺一百也不放過(guò)一個(gè)”。那么有沒(méi)有辦法只針對(duì)出問(wèn)題計(jì)算機(jī)進(jìn)行邏輯封殺,而其他同樣連接到該端口的計(jì)算機(jī)不受影響呢?答案是肯定的,這就是本文要說(shuō)的重點(diǎn)——通過(guò)基于MAC地址的訪問(wèn)控制來(lái)管理端口。
***步:這里我們假設(shè)出現(xiàn)問(wèn)題計(jì)算機(jī)的MAC地址為5078.4c68.8e34,我們通過(guò)正確的管理員帳戶和密碼進(jìn)入到交換機(jī)中。
第二步:通過(guò)config t命令進(jìn)入配置模式,通過(guò)sh mac-address指令來(lái)查看各個(gè)端口連接的MAC地址情況,我們可以看到5078.4c68.8e34這個(gè)MAC地址連接的是Gi1/2/1這個(gè)端口。(如圖1)
第三步:通過(guò)int gi1/2/1指令進(jìn)入對(duì)應(yīng)端口,當(dāng)然由于GI端口萬(wàn)兆端口,他連接的是另外一個(gè)設(shè)備,所以直接在該端口上運(yùn)行shutdown命令將直接導(dǎo)致另一個(gè)設(shè)備連接的所有主機(jī)都無(wú)法訪問(wèn)網(wǎng)絡(luò)。這時(shí)就需要我們使用基于MAC地址的訪問(wèn)控制來(lái)管理端口。
第四步:通過(guò)exit命令返回到配置模式,通過(guò)mac access-list ext bingdu指令來(lái)建立一個(gè)MAC地址過(guò)濾信息,名字叫做bingdu。(如圖2)
第五步:進(jìn)入到名為bingdu的MAC地址過(guò)濾信息設(shè)置界面后,我們?yōu)槠涮砑右?guī)律規(guī)則。例如添加deny host 5078.4c68.8e34 any命令,來(lái)禁止所有數(shù)據(jù)源MAC地址為5078.4c68.8e34的主機(jī)通過(guò)該端口傳輸,當(dāng)然***還要添加一個(gè)permit any any的指令,因?yàn)楣P者使用的是Cisco設(shè)備,任何ACL訪問(wèn)控制列表的***都會(huì)默認(rèn)添加deny any any的命令,這樣將直接禁止所有設(shè)備的通訊,不修改默認(rèn)信息是錯(cuò)誤的。(如圖3)
通過(guò)兩條基于MAC地址的訪問(wèn)控制來(lái)管理端口后我們就可以容許其他MAC地址的主機(jī)通過(guò)該端口順利傳輸數(shù)據(jù)了,而出問(wèn)題的存在病毒的MAC地址為5078.4c68.8e34的主機(jī)將被阻擋在網(wǎng)絡(luò)大門(mén)之外。
三、總結(jié):
實(shí)際上交換機(jī)和路由器的使用是非常靈活的,通過(guò)多種多樣的訪問(wèn)控制列表可以讓我們企業(yè)網(wǎng)絡(luò)管理得到事半功倍的效果,而且很多時(shí)候解決問(wèn)題的方法也是多種多樣的,這些都需要我們?cè)谌粘9ぷ骱途S護(hù)過(guò)程中去積累去學(xué)習(xí)。
【編輯推薦】
