局域网ip管理办法1-对乱用地址者封网

原创 2006年05月25日 23:14:00

      我厂机关的一个用户ip地址被人盗用,发生冲突无法上网。对于这种乱用地址的行为我们应该通过有效的技术手段严厉的加以制止。对于现在的一些可网管的高性能交换机做到这点并非难事。我们可以关闭相应的端口,也可以在交换机上做包过滤。这个问题我是这样解决的:
      首先在厂核心交换机上通过arp表找到了盗用地址者机器的mac地址,核心交换机为avaya p882,使用show arp 命令就可以找到某个ip对应的mac,下面的任务就是如何在厂机关网段内把这个mac封掉,该局域网汇聚层使用一台quidway s3526,下面级连十台quidway s2026接入层交换机,从s3526上找到此mac来源的下一级交换机,通过ping命令和关闭级连端口就可以定位这台交换机。telnet到这台s2026交换机上,使用display mac-address命令查到此mac对应的端口为Ethernet 0/22,本想关闭这个端口了事,却发现此端口上还有几个其他的mac,也就是说这个端口下连接的是一台交换机或hub,关闭此端口必然要连带无辜。于是准备用packet-filter命令做过滤,首先定义了一个acl,接着定义rule时却发现了问题,由于s2026档次较低,性能较差,规则中源地址只能选择any,目标地址可定义为一个具体的mac,无法起到过滤此mac的目的。没想到更好的办法,只有在汇聚层s3526上做这个工作,定义一个link级的acl,命令为acl name mac-filter link,mac-filter 是此acl名称,接着定义一个rule,rule 1 deny ingress 0030-6e01-f8ea 0000-0000-0000 egress any,其中0030-6e01-f8ea是将要过滤的mac地址,0000-0000-0000是通配符,最后使用packet-filter link-group mac-filter  rule 1使该规则生效。由于接入层的s2026都是通过汇聚层s3526连起来的,所以该mac的数据包无法通过s3526到达其他交换机上,这个问题得到了解决。这里的前提是两台冲突的机器没有接在同一台s2026交换机上,否则问题还很难办,所以说要想对网络的管理做到更加细致,选择高性能的接入层设备也是有必要的。:

版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

自动分配IP地址让局域网更高效的管理--DHCP

原文地址:http://network.chinabyte.com/322/12328822.shtml     网络通信离不开TCP/IP协议,在TCP/IP网络中,每台计算机要想进行通信,存...
  • zx824
  • zx824
  • 2012-06-25 18:55
  • 1421

奥运会观众入场管理办法与网络应用四种应对突发访问的方法的对比

Travis Reeder在Spikability一文中给出了四种应对突发访问的方法: 1. 资源充裕。预先评估峰值,部署足够多的服务器,保证系统可靠运行在任何环境下。缺点是系统空闲时资源利用率低。...
  • maray
  • maray
  • 2012-07-15 21:54
  • 1289

1期货交易所管理办法

  • 2009-06-08 18:35
  • 82KB
  • 下载

移动梦网SP合作管理办法

  • 2011-11-16 10:22
  • 361KB
  • 下载

南山中学2013级学生手机管理办法

http://www.gzjxw.cn/Article/ShowArticle.asp?ArticleID=12009 南山中学2013级学生手机管理办法 ...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)