Cisco路由器上根据MAC地址过滤流量
2008-03-16 00:00
369 查看
当针对一个MAC地址进行过滤的时候,这一动作发生在第二层。而路由器一般执行的是第三层路由的任务,只有很少情况下做桥接的时候才对进入的MAC地址进行过滤,所以这样的过滤最好设置在二层交换设备上。但这个要求对路由器来说也不是不可能的任务,使用以下配置达到要求的效果:
=============================================================
ip cef //Rate-limit 需要CEF的支持,路由器可能默认未启用CEP
interface Ethernet0/0
ip address 192.168.1.254 255.255.255.0
rate-limit input access-group rate-limit 100 8000 1500 2000 conform-action drop exceed-action drop
//如果源MAC地址为指定值则丢弃(其他的都允许)
access-list rate-limit 100 0001.0001.abcd //要限制的MAC地址
=============================================================
这时候要注意,目标工作站到达该路由器之前不能经过其他三层设备,否则MAC地址会被改掉。
如果路由器是Cisco 1720,不支持CEF,怎么办?
Cisco 1720路由器能够支持CEF,但要求是12.0(3)T以上IP PLUS版本的软件,12.2(11)YV 起标准IP版软件也可以支持CEF。如果路由器目前IOS软件版本不够,需要升级。也可以使用桥接(IRB)的方法来解决,这种方法只需要12.0(2)T 以上标准IP版软件即可。配置如下:
=============================================================
bridge irb //启用IRB支持
interface Ethernet0/0
no ip address //路由做到逻辑端口BVI 1上
bridge-group 1 //加入桥接组1
!
interface BVI1
ip address 192.168.1.254 255.255.255.0 //为桥接组1提供路由
!
bridge 1 protocol ieee //运行生成树协议防止环路
bridge 1 route ip //路由IP流量
bridge 1 address 0001.0001.abcd discard //丢弃来着于MAC地址0001.0001.abcd的数据包
=============================================================
=============================================================
ip cef //Rate-limit 需要CEF的支持,路由器可能默认未启用CEP
interface Ethernet0/0
ip address 192.168.1.254 255.255.255.0
rate-limit input access-group rate-limit 100 8000 1500 2000 conform-action drop exceed-action drop
//如果源MAC地址为指定值则丢弃(其他的都允许)
access-list rate-limit 100 0001.0001.abcd //要限制的MAC地址
=============================================================
这时候要注意,目标工作站到达该路由器之前不能经过其他三层设备,否则MAC地址会被改掉。
如果路由器是Cisco 1720,不支持CEF,怎么办?
Cisco 1720路由器能够支持CEF,但要求是12.0(3)T以上IP PLUS版本的软件,12.2(11)YV 起标准IP版软件也可以支持CEF。如果路由器目前IOS软件版本不够,需要升级。也可以使用桥接(IRB)的方法来解决,这种方法只需要12.0(2)T 以上标准IP版软件即可。配置如下:
=============================================================
bridge irb //启用IRB支持
interface Ethernet0/0
no ip address //路由做到逻辑端口BVI 1上
bridge-group 1 //加入桥接组1
!
interface BVI1
ip address 192.168.1.254 255.255.255.0 //为桥接组1提供路由
!
bridge 1 protocol ieee //运行生成树协议防止环路
bridge 1 route ip //路由IP流量
bridge 1 address 0001.0001.abcd discard //丢弃来着于MAC地址0001.0001.abcd的数据包
=============================================================
相关文章推荐
- 根据路由器MAC地址精确计算PIN码第八位的方法
- 用路由器过滤特定MAC的主机流量
- 路由器和交换机上ip与mac地址的绑定
- C#获取路由器外网IP,MAC地址
- Cisco 管理Mac 地址表
- 根据MAC地址查找其端口在CISCO交换机中的位置
- 一种根据MAC地址自动生成设备名称的方法(一)
- Android机用移动数据流量获取也能获取mac地址的终极方法。(第二种方法)
- CISCO路由器网络地址转换(NAT)
- java服务器端根据ip获取客户端mac地址
- Win10系统如何查看Mac地址以便进行Mac地址过滤
- 根据MAC地址前6位知道网络设备是哪家公司生产的
- 根据MAC地址判断设备类型
- cisco路由器基本实验之八 NAT地址转换--静态NAT
- Cisco 2960交换机中如何绑定IP与MAC地址
- 如何防止被路由器限速-如何更改电脑网卡的MAC地址
- 主机和路由器有MAC地址原因
- Cisco路由器\交换机MIBS大全下载地址
- 根据IP地址获取对应的MAC地址
- cisco路由器如何查看内网流量情况