局域网ip管理办法1－对乱用地址者封网

      我厂机关的一个用户ip地址被人盗用，发生冲突无法上网。对于这种乱用地址的行为我们应该通过有效的技术手段严厉的加以制止。对于现在的一些可网管的高性能交换机做到这点并非难事。我们可以关闭相应的端口，也可以在交换机上做包过滤。这个问题我是这样解决的：
      首先在厂核心交换机上通过arp表找到了盗用地址者机器的mac地址，核心交换机为avaya p882，使用show arp 命令就可以找到某个ip对应的mac，下面的任务就是如何在厂机关网段内把这个mac封掉，该局域网汇聚层使用一台quidway s3526，下面级连十台quidway s2026接入层交换机，从s3526上找到此mac来源的下一级交换机，通过ping命令和关闭级连端口就可以定位这台交换机。telnet到这台s2026交换机上，使用display mac-address命令查到此mac对应的端口为Ethernet 0/22，本想关闭这个端口了事，却发现此端口上还有几个其他的mac，也就是说这个端口下连接的是一台交换机或hub，关闭此端口必然要连带无辜。于是准备用packet-filter命令做过滤，首先定义了一个acl，接着定义rule时却发现了问题，由于s2026档次较低，性能较差，规则中源地址只能选择any，目标地址可定义为一个具体的mac，无法起到过滤此mac的目的。没想到更好的办法，只有在汇聚层s3526上做这个工作，定义一个link级的acl，命令为acl name mac-filter link，mac-filter 是此acl名称，接着定义一个rule，rule 1 deny ingress 0030-6e01-f8ea 0000-0000-0000 egress any，其中0030-6e01-f8ea是将要过滤的mac地址，0000-0000-0000是通配符，最后使用packet-filter link-group mac-filter  rule 1使该规则生效。由于接入层的s2026都是通过汇聚层s3526连起来的，所以该mac的数据包无法通过s3526到达其他交换机上，这个问题得到了解决。这里的前提是两台冲突的机器没有接在同一台s2026交换机上，否则问题还很难办，所以说要想对网络的管理做到更加细致，选择高性能的接入层设备也是有必要的。：