您们大多数人可能知道什么是以太网MAC地址,但您们也许不了解如何在思科互联 网操作系统中应用MAC地址。
一个以太网MAC地址唯一识别世界上的每一个以太网设备。生产网络设备(如以太网网络接口卡、无线设备、路由器和交换机)的供应商预先把这些地址编制到它们的设备中。
MAC地址还有其它一些名称,包括物理地址(Windows中)、以太网地址和硬件地址。不管它叫什么名字,它都是一个由12个字符组成的十六进制字符串。下面是一些例子:
确定您的MAC地址
在Windows中,您可以使用ipconfig/all命令查明您的MAC地址。列表A中是一个实例。
在这个命令的输出结果中,您可在物理地址列表中找到MAC地址。您还可以用show mac-address-table命令从这台电脑连接的交换机中找到相似的信息。下面是一个例子:
Switch# show mac-address-table
Mac Address Table
-------------------------------------------
VlanMac AddressTypePorts
----------------------------
All0014.1c40.b080STATICCPU
All0100.0ccc.ccccSTATICCPU
All0100.0ccc.cccdSTATICCPU
All0100.0cdd.ddddSTATICCPU
1000f.1fd3.d85aDYNAMICFa0/14
在思科路由器上,您可以应用show interfaces命令查明您的接口使用哪个MAC地址。下面是一个例子:
RouterB# show interfaces
Ethernet0/0 is up, line protocol is up
Hardware is AmdP2, address is 0003.e39b.9220 (bia 0003.e39b.9220)
Internet address is 1.1.1.1/8
在每个接口的第二行,您会看到带烧录地址(BIA)的硬件地址。在上例中,硬件地址为0003.e39b.9220。
思科路由器上的每个以太网接口都有自己的以太网MAC地址。路由器与交换机之类的特殊设备有许多特定的内置地址,如上面show mac-address-table命令输出结果中显示的四个地址就属此类;这些列举的行都属静态类型。
修改MAC地址
我们把修改默认MAC地址的做法称之为MAC欺骗。由于这个词常用于表达不适当的行为,特别是无线网络黑客行为,所以它带有贬义。但MAC欺骗确实具有合理的用途,如测试MAC过滤。
要改变思科路由器上的MAC地址,在接口配置模式(Interface Configuration Mode)下使用mac-address命令。只要对新的MAC地址使用这个命令——就这么简单。以下是一个例子:
RouterB# conf t
Enter configuration commands, one per line.End with CNTL/Z.
RouterB(config)# int e0/0
RouterB(config-if)# mac-address 0000.0000.0001
RouterB(config-if)#^Z
RouterB#
RouterB# show int e0/0
Ethernet0/0 is up, line protocol is up
Hardware is AmdP2, address is 0000.0000.0001 (bia 0003.e39b.9220)
Internet address is 1.1.1.1/8
修改MAC地址后,就可以用show interface命令查看新地址。
根据MAC地址过滤流量
假设您通过协议分析器发现一台设备在向您的网络发送恶意流量。而且这台设备似乎是一台多连接设备——也就是说,它正由多个IP地址向您发送流量。
您可以用show mac-address-table命令找到它所使用的交换端口,并对这个端口执行关闭(shutdown)命令。但如果它用其它设备连接到一个集线器上,或是来自某个您无法控制的网络,这时该怎么办呢?
这时就可以应用一个MAC地址过滤器来过滤路由器或交换器上的流量。例如:
Cat3750Switch(config)# mac access-list ext filtermac
Cat3750Switch(config-ext-macl)# deny host 0000.0000.0001 any
Cat3750Switch(config-ext-macl)# permit any any
Cat3750Switch(config-ext-macl)# exit
Cat3750Switch(config)# int g1/0/40
Cat3750Switch(config-if)# mac access-group filtermac in
在这个例子中——应用一个思科Catalyst吉比特以太网交换机,我们建立一个名为filtermac的扩展名MAC地址访问控制表。这个访问控制表(ACL)拒绝源MAC地址为0000.0000.0001的所有流量,并允许其它流量。然后我们把这个MAC地址访问控制表应用于吉比特以太网接口1/0/40上,它阻止带那个MAC地址的设备流量进入那个端口,而不管其IP地址是什么。
记住,用MAC地址过滤流量并非安全的方法——别人可以轻易地改变您操作系统上的MAC地址。
欲了解更多与MAC地址访问控制表有关的信息,请查看建立命名MAC扩展访问控制表文件。如果您有什么值得与我们分享的交换配置建议,或是您希望在本栏看到哪些其它交换机主题,请在本文后面的讨论中提出您的观点。
David Davis从事IT业已长达12年之久,而且获得了包括CCIE,MCSE+I, CISSP, CCNA, CCDA和CCNP在内的一系列证书。目前,他在一家私有零售公司担任系统/网络管理员职务,并从事网络/系统的兼职顾问。
自由广告区 |
分类导航 |
邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |