Chinaunix首页 | 论坛 | 博客
  • 博客访问: 822052
  • 博文数量: 94
  • 博客积分: 1767
  • 博客等级: 上尉
  • 技术积分: 1168
  • 用 户 组: 普通用户
  • 注册时间: 2008-12-13 23:16
个人简介

ha

文章分类

全部博文(94)

文章存档

2014年(2)

2013年(17)

2012年(6)

2011年(15)

2010年(23)

2009年(23)

2008年(8)

我的朋友

分类: 网络与安全

2011-07-26 09:20:57

局域网里出现其他非法DHCP真是很讨厌啊,除了dhcp snooping的方法,还可以直接把mac地址给禁掉,这个狠啊,非常好使!
 
以一个例子说明:
机器A的MAC地址是00-01-02-03-04-05,该机器接在交换机B的F0/3端口上,F0/3端口处于VLAN3,现在在B上封禁A的转发,可以根据不同的交换机作以下设置:
CatOS(v5.5及以上):
set cam permanent 00-01-02-03-04-050/43
clear cam 00-01-02-03-04-05
 
IOS:
6500/4500/4000/3750/3560/3550:
mac address-table static 0001.0203.0405 vlan 3 drop
 
3500XL/2900XL:
mac address-table secure 0001.0203.0405 fastethernet 0/4 vlan 3
 
2950(WS-C2950):
mac address-table static 0001.0203.0405 vlan 3 interface fastethernet0/4
 
除此之外,还可以把机器A的MAC地址绑到非机器A的直联端口上达到这个目的,方法如下:
1、show mac-address-table,找到MAC所在的端口及所在VLAN,如查到FA0/3 ,VALN为1,MAC为0001.0203.00XX
2、> enable
   #configure terminal
  (config)# mac address-table static 0001.0203.00XX vlan 1 interface fastEthernet 0/4
     ---将VALN1中的0001.0203.00XX 强行绑到fastEthernet  0/4 上,这样fastEthernet  0/3上就不能跑 0001.0203.00XX  地址了!
  (config)#exit
成了!
 
阅读(16363) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~