局域网中IP地址的切换和保护

第 3 页 第 2 页

　　图6
 

    
    (提示：屏蔽非授权DHCP服务器一定要从MAC地址来入手，因为IP地址可以修改而且自动获得IP的方法很多，获得的参数也会产生变化。)

第二步：我们就可以从显示的对应关系列表中查看到该MAC对应的端口号了，如果端口比较多还可以使用“sh mac address add 0180.c200.0005”这样的格式来查询0180.c200.0005这个MAC地址对应的端口。
   
 

   

　　图7
 

    
    第三步：找到对应的端口后通过int命令进入该接口，然后使用shutdown关闭该接口，从而阻断了该计算机与外界的联系。

　　利用这种方式屏蔽非授权DHCP服务器当使用的是集线器连接下方设备时，会在交换机上的一个端口学习到多个MAC地址，如果我们直接将该端口通过shutdown命令关闭的话，则集线器连接的所有设备都无法使用网络了。遇到这种情况我们可以使用基于MAC地址的访问控制列表来控制。具体命令为：

　　mac accesss-list extended gslw

　　deny host 0180.c200.0005 any

　　permit any any

   

　　图8
 

    
    然后在进入非授权DHCP所在的交换机端口执行如下命令：mac access-group gslw in设置完毕后就阻止了MAC地址为0180.c200.0005的计算机对外网的访问，而又不影响连接到同一台集线器上的其他设备。

　　总结：本文重点谈了移动办公时IP地址的切换，以及从网络角度保护DHCP使其更好地提供IP服务两个方面的问题。其实，单纯从保护IP地址来说可以通过地址绑定、子网隔离、制度规范等方面来实施。作为网络管理人员大家都明白，技术不能解决所有的问题，只有技术和制度相结合才能最大可能地防范诸如IP欺骗等网络攻击行为。