思科交换机：禁止某个mac地址的流量进入网络（mac acl 或者​思科交换机配置mac黑洞）

思科交换机：禁止某个mac地址的流量进入网络（mac acl 或者思科交换机配置mac黑洞）

示例：禁止某个mac地址的流量进入网络。

方式1：通过mac acl实现

病毒设备的源mac地址：70be-092d-6a93

（2）实验的前提条件

（3）配置acl

查询70be-092d-6a93从哪一接口进来，然后

sw1#show mac address-table

（3.1）配置acl:

mac access-list extended virus
 deny   host 70be.092d.6a93 any
 permit any any

（3.2）应用acl:

interface GigabitEthernet0/1
 mac access-group virus in

（4）测试

发现还能通，所以要检查下arp

sw1#show arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.1.1             -   5000.0003.8001  ARPA   Vlan1
Internet  192.168.1.2             1   70be.092d.6a93  ARPA   Vlan1
Internet  192.168.1.3             0   701e.735e.7f04  ARPA   Vlan1
sw1#
sw1#clear arp-cache
sw1#
sw1#clear arp-cache
sw1#
sw1#show arp        
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.1.1             -   5000.0003.8001  ARPA   Vlan1
Internet  192.168.1.3             0   701e.735e.7f04  ARPA   Vlan1

sw1 ping 不通，但是sw3还是可以ping通，达到实验目的。

通过清除arp缓存后（一次清除如果没有效果就多清几次），sw2就ping不通sw1了，清缓存可能造成网络一定的动荡，可能会掉一个包，因为设备要重新学习arp, 一般的网络，这点小动荡无关紧要。或者等arp自己过期，就不会造成网络小动荡。

方式2：过滤mac地址

思科交换机配置mac黑洞：（禁用某MAC地址入网）
cisco-sw(config)#mac address-table static 70be.092d.6a93 vlan 1 drop    #有些思科交换机或者版本不支持此命令

mac地址（列表、list、全）maclist

http://www.zh-cjh.com/wenzhangguilei/1009.html

文章归类、所有文章列表、LISTLIST

http://www.zh-cjh.com/wangzhangonggao/2195.html

ACL（列表、list、全）acllist
http://www.zh-cjh.com/wenzhangguilei/1514.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html