MAC地址筛选器及交换机设置 ——预防非认证MAC电脑接入网络

需求：某工厂为预防非公司用户或非信息部人员私自接入电脑设备，在未经信息部允许的情况下，使用有线网络访问南昌各网络服务及服务器资源，造成病毒传播及信息泄露；特对有线网络进行MAC认证设置，以保证有线网络的使用安全。

测试拓扑：

测试步骤：

1：设置DHCP筛选器

2：对华为、H3C交换机进行端口参数设置

华为交换机测试：

1：启用DHCP服务的筛选器：

2：如下图所示，将需要正常访问网络资源的计算机MAC地址添加到允许列表

如下图所示，可以看到，在允许列表中的计算机能正常ping通DHCP服务器及网关

筛选器的缺点：虽然不存在允许列表中的电脑无法通过DHCP进行IP地址分配，但用户若知道该网段的地址列表，则可以通过手动设置IP地址进行网络连接。如下图，用户手动设置了IP地址，则用户同样能PING通DHCP服务器和网关。

为了解决DHCP筛选器的缺点，我们可以对华为交换机进行如下设置

1:全局启用dhcp enable

2:全局启用dhcp snooping enable

3:在除级联口外的所有需要接终端的交换机端口下启用如下命令：

如下图，虽然手动设置了IP地址，但不在允许列表中的计算机无法访问DHCP和网关

以上是华为交换机（S5700系列）结合DHCP筛选器对计算机MAC地址进行的认证设置

H3C交换机测试：

1:启用DHCP服务的筛选器(截图略，请返回参考前面的截图)

2:全局启用dhcp enable

3:全局启用dhcp snooping enable

4:在除级联口外的所有接终端接口启用如下命令：

以上为DHCP筛选器配合交换机(华为，H3C)进行MAC认证访问网络的测试。