上一次的工程實例我們解決了CISCO3550交換機的某個端口下面如果只連接了一臺主機時的端口安全設(shè)置方法，即只有指定的主機才能訪問網(wǎng)絡(luò)，其它的主機(以MAC地址為唯一標(biāo)識)是無法通過CISCO的這個端口訪問網(wǎng)絡(luò)，這種措施雖然有效，但是卻有一定的局限性，具體表現(xiàn)為CISCO3550交換機的很多端口下面是連接有交換機，而且還是普通的二層交換機，這也就相當(dāng)于一個端口下面有多臺主機通過，針對這種情況如何實現(xiàn)只有指定的MAC地址的主機才能通過呢，最初我們還是想通過端口安全的相關(guān)命令來實現(xiàn)，但是發(fā)現(xiàn)效果不理想，只是實現(xiàn)了限制連接主機數(shù)量的操作，如下所示：

　　一、限制連接主機的數(shù)量

　　我們通過一系列的實驗終于得到了一個結(jié)論，即如果CISCO3550的端口下面連接了一臺二層交換機，以前我們使用采用的端口安全措施就不怎么有效了，無法實現(xiàn)只有指定的主機的MAC地址才能通過，最多只能限制端口中通過的MAC地址數(shù)量的上限，比如我們最大允許5臺主機通過CISCO3550交換機的第4端口，操作步驟如下：

　　3550#conf t

　　Enter configuration commands, one per line. End with CNTL/Z.

　　3550(config)#inter fa0/4

　　3550(config-if)#switchport port-security

　　3550(config-if)#switchport port-security maximum 5

　　查看端口4的當(dāng)前配置如下

　　3550#show run inter fa0/4

　　Building configuration...

　　Current configuration : 146 bytes

　　!

　　interface FastEthernet0/4

　　switchport access vlan 66

　　switchport mode access

　　switchport port-security

　　switchport port-security maximum 5

　　end

　　這樣的設(shè)置也是屬于端口安全的一種，只不過以上的操作是通過限制通過的主機數(shù)量來保護端口的帶寬，這在我們的工作實際中倒是也是這樣的需要，比如我們開通了一個單位的互聯(lián)網(wǎng)用戶，采用包月制，這樣就需要限制這個單位同時上網(wǎng)的主機數(shù)量，比如不能超過25臺，就可以通過設(shè)置這樣設(shè)置“maximum”的值為“25”來實現(xiàn)。這種措施是有效的，但是距離我們的要求還有一定的距離，我們還是想實現(xiàn)即使是CISCO3550端口下面連接了一臺普遍的二層交換機，也可以達到只有指定的MAC地址的主機(若干臺主機)才可以訪問網(wǎng)絡(luò)的目的。為了實現(xiàn)這種目標(biāo)，我們轉(zhuǎn)換了思路，探索通過基于MAC地址的ACL(訪問控制列表)，結(jié)果發(fā)現(xiàn)這種方法是行之有效的，如下所示：

　　二、基于MAC地址的ACL來實現(xiàn)

　　下面的操作，網(wǎng)絡(luò)結(jié)構(gòu)是相同的，只不過思想更換為通過ACL來實現(xiàn)，我們以前設(shè)置的ACL多是基于IP地址，對于基于MAC的ACL設(shè)置較少，其實這兩類ACL的設(shè)置思路是一致的，步驟如下。

　　(一)定義一個MAC地址訪問控制列表并且命名該列表名為mac0215

　　#Switch(config)mac access-list extended mac0215

　　(二)定義MAC地址為1232.1251.2126的主機可以訪問任意主機

　　#Switch(config) permit host 1232.1251.2126 any

　　#Switch(config) permit any host 1232.1251.2126

　　(三)進入配置具體端口模式

　　#Switch(config)interface fa0/4

　　(四)在該端口上應(yīng)用名為mac0215的訪問列表

　　#Switch(config)mac access-group mac0215 in

　　(五)顯示配置結(jié)果

　　3550#show run inter fa0/4

　　Building configuration...

　　Current configuration : 113 bytes

　　!

　　interface FastEthernet0/4

　　switchport access vlan 66

　　switchport mode access

　　mac access-group mac0215 in

　　end

　　注意事項

　　在進行實際測試時發(fā)現(xiàn)了一個很有趣的現(xiàn)象，仔細(xì)對這個現(xiàn)象進行分析，也進一步加深了CISCO交換機工作原理的理解。我們寫好了基于MAC的ACL，如何來做測試，有兩套方案，一套是將cisco3550交換機第四端口上連接一臺主機，將其MAC地址修改為1232.1251.2126，該主機可以正常訪問網(wǎng)絡(luò)(利用帶t參數(shù)的ping命令來測試)，更改為主機的MAC地址為其它值后ping命令顯示的結(jié)果馬上就中斷了，說明基于MAC的ACL是有效的。但是我們還通過另外一套方案進行了測試，即保持主機的MAC地址不變，通過修改ACL中permit的MAC的值來測試(如先no掉permit host 1232.1251.2126 any ，再寫入一條permit host 1232.1251.2127 any)，這時就不是馬上不通了，而是會是一個10分鐘左右的時延。

　　為什么會出現(xiàn)這個現(xiàn)象，因為交換機中MAC表有一個老化時間，由于我們這次是采取的在ACL中修改MAC值來指定，那么ACL中的值與實際交換機檢測到端口所連接的主機MAC地址不一致有一個時間差，在這個時間差之內(nèi)那臺主機還是可以訪問網(wǎng)絡(luò)的，過了這個時間，就無法訪問網(wǎng)絡(luò)了。

原文鏈接：http://net.it168.com/a2011/0302/1161/000001161991.shtml