雖然您可能熟悉以太網(wǎng)MAC地址，但您對(duì)它們?cè)谒伎苹ヂ?lián)網(wǎng)操作系統(tǒng)（Cisco IOS）中的應(yīng)用了解多少呢？在這個(gè)版本的思科路由器與交換機(jī)中，本文教您如何確定并修改MAC地址，及使用它來過濾流量。

    您們大多數(shù)人可能知道什么是以太網(wǎng)MAC地址，但您們也許不了解如何在思科互聯(lián) 網(wǎng)操作系統(tǒng)中應(yīng)用MAC地址。

    一個(gè)以太網(wǎng)MAC地址唯一識(shí)別世界上的每一個(gè)以太網(wǎng)設(shè)備。生產(chǎn)網(wǎng)絡(luò)設(shè)備（如以太網(wǎng)網(wǎng)絡(luò)接口卡、無線設(shè)備、路由器和交換機(jī)）的供給商預(yù)先把這些地址編制到它們的設(shè)備中。

    MAC地址還有其它一些名稱，包括物理地址（Windows中）、以太網(wǎng)地址和硬件地址。不管它叫什么名字，它都是一個(gè)由12個(gè)字符組成的十六進(jìn)制字符串。下面是一些例子：

• 1234.5678.90ab
• 12-34-56-78-90-ab
• 12.34.56.78.90.ab

確定您的MAC地址

    在Windows中，您可以使用ipconfig/all命令查明您的MAC地址。列表A中是一個(gè)實(shí)例。

    在這個(gè)命令的輸出結(jié)果中，您可在物理地址列表中找到MAC地址。您還可以用show mac-address-table命令從這臺(tái)電腦連接的交換機(jī)中找到相似的信息。下面是一個(gè)例子：

Switch# show mac-address-table

Mac Address Table

-------------------------------------------

VlanMac AddressTypePorts

----------------------------

All0014.1c40.b080STATICCPU

All0100.0ccc.ccccSTATICCPU

All0100.0ccc.cccdSTATICCPU

All0100.0cdd.ddddSTATICCPU

1000f.1fd3.d85aDYNAMICFa0/14

    在思科路由器上，您可以應(yīng)用show interfaces命令查明您的接口使用哪個(gè)MAC地址。下面是一個(gè)例子：

RouterB# show interfaces

Ethernet0/0 is up, line PRotocol is up

Hardware is AmdP2, address is 0003.e39b.9220 (bia 0003.e39b.9220)

Internet address is 1.1.1.1/8

    在每個(gè)接口的第二行，您會(huì)看到帶燒錄地址（BIA）的硬件地址。在上例中，硬件地址為0003.e39b.9220。

    思科路由器上的每個(gè)以太網(wǎng)接口都有自己的以太網(wǎng)MAC地址。路由器與交換機(jī)之類的非凡設(shè)備有許多特定的內(nèi)置地址，如上面show mac-address-table命令輸出結(jié)果中顯示的四個(gè)地址就屬此類；這些列舉的行都屬靜態(tài)類型。

修改MAC地址

    我們把修改默認(rèn)MAC地址的做法稱之為MAC欺騙。由于這個(gè)詞常用于表達(dá)不適當(dāng)?shù)男袨椋欠彩菬o線網(wǎng)絡(luò)黑客行為，所以它帶有貶義。但MAC欺騙確實(shí)具有合理的用途，如測(cè)試MAC過濾。

    要改變思科路由器上的MAC地址，在接口配置模式（Interface Configuration Mode）下使用mac-address命令。只要對(duì)新的MAC地址使用這個(gè)命令——就這么簡單。以下是一個(gè)例子：

RouterB# conf t

Enter configuration commands, one per line.End with CNTL/Z.

RouterB(config)# int e0/0

RouterB(config-if)# mac-address 0000.0000.0001

RouterB(config-if)#^Z

RouterB#

RouterB# show int e0/0

Ethernet0/0 is up, line protocol is up

Hardware is AmdP2, address is 0000.0000.0001 (bia 0003.e39b.9220)

Internet address is 1.1.1.1/8

    修改MAC地址后，就可以用show interface命令查看新地址。

根據(jù)MAC地址過濾流量

    假設(shè)您通過協(xié)議分析器發(fā)現(xiàn)一臺(tái)設(shè)備在向您的網(wǎng)絡(luò)發(fā)送惡意流量。而且這臺(tái)設(shè)備似乎是一臺(tái)多連接設(shè)備——也就是說，它正由多個(gè)IP地址向您發(fā)送流量。

    您可以用show mac-address-table命令找到它所使用的交換端口，并對(duì)這個(gè)端口執(zhí)行關(guān)閉（shutdown）命令。但假如它用其它設(shè)備連接到一個(gè)集線器上，或是來自某個(gè)您無法控制的網(wǎng)絡(luò)，這時(shí)該怎么辦呢？

    這時(shí)就可以應(yīng)用一個(gè)MAC地址過濾器來過濾路由器或交換器上的流量。例如：

Cat3750Switch(config)# mac access-list ext filtermac

Cat3750Switch(config-ext-macl)# deny host 0000.0000.0001 any

Cat3750Switch(config-ext-macl)# permit any any

Cat3750Switch(config-ext-macl)# exit

Cat3750Switch(config)# int g1/0/40

Cat3750Switch(config-if)# mac access-group filtermac in

    在這個(gè)例子中——應(yīng)用一個(gè)思科Catalyst吉比特以太網(wǎng)交換機(jī)，我們建立一個(gè)名為filtermac的擴(kuò)展名MAC地址訪問控制表。這個(gè)訪問控制表（ACL）拒絕源MAC地址為0000.0000.0001的所有流量，并答應(yīng)其它流量。然后我們把這個(gè)MAC地址訪問控制表應(yīng)用于吉比特以太網(wǎng)接口1/0/40上，它阻止帶那個(gè)MAC地址的設(shè)備流量進(jìn)入那個(gè)端口，而不管其IP地址是什么。

    記住，用MAC地址過濾流量并非安全的方法——?jiǎng)e人可以輕易地改變您操作系統(tǒng)上的MAC地址。

    欲了解更多與MAC地址訪問控制表有關(guān)的信息，請(qǐng)查看建立命名MAC擴(kuò)展訪問控制表文件。假如您有什么值得與我們分享的交換配置建議，或是您希望在本欄看到哪些其它交換機(jī)主題，請(qǐng)?jiān)诒疚暮竺娴挠懻撝刑岢瞿挠^點(diǎn)。

    David Davis從事IT業(yè)已長達(dá)12年之久，而且獲得了包括CCIE，MCSE+I, CISSP, CCNA, CCDA和CCNP在內(nèi)的一系列證書。目前，他在一家私有零售公司擔(dān)任系統(tǒng)/網(wǎng)絡(luò)治理員職務(wù)，并從事網(wǎng)絡(luò)/系統(tǒng)的兼職顧問。