交换机MAC地址的静态设置与过滤方法

1.静态MAC地址

在图4-1中，假设PC1是局域网内的服务器或者网关，如果PC2将自己的MAC地址改成PC1的MAC地址后果会怎样？不难想象，PC2冒充PC1的MAC地址会影响PC3与PC1之间的通信，下面具体分析。

假设PC1的MAC地址是E005.C5F3.50EB，即PC2冒充的MAC地址。交换机将会分别从f0/1和f0/2端口收到源MAC地址是E005.C5F3.50EB的数据帧，交换机收到数据帧后更新MAC地址转发表，关于E005.C5F3.50EB表项可能会如下所示。

或者如下所示。

究竟从哪个端口转发取决于哪个端口发送的报文最新，大量的报文接收会致使交换机频繁更新MAC地址转发表，PC3本来应该经过f0/1端口发向PC1的数据包有可能因为错误的MAC地址转发表项经过f0/2端口发向PC2。最终在PC3上出现的效果是网络时断时续，影响正常通信。

为了防范这种恶作剧式的攻击，解决办法就是在交换机上将MAC地址E005.C5F3.50EB绑定到正确的端口上，静态MAC地址绑定就是完成此项功能，配置指令如下。

(www.xing528.com)

因为静态MAC地址表项是管理员手动配置的，优先权比较高，动态表项将不再记录，交换机将不会更新MAC地址E005.C5F3.50EB对应的表项。取消静态MAC地址绑定的指令如下。

2.过滤MAC地址

如果管理员需要禁止某一台计算机访问网络，可以使用过滤MAC地址功能。例如：PC2的MAC地址为4016.9FF2.2666，因为某些特殊原因，禁止其访问网络，在二层交换机上配置MAC地址过滤，指令如下。

取消MAC地址过滤的指令如下。