最近有很多读者向笔者询问关于如何防范ARP欺骗蠕虫病毒的方法，笔者也相继从多个角度撰写了几篇查杀该病毒的实例。不管是从哪个角度来防范ARP病毒，最关键的都是要及时关闭ARP病毒所连接的交换机或路由器端口，封闭其网络的正常访问，从而有效控制病毒。因此学会将交换机端口关闭或有选择的过滤数据包将成为关键。今天我们就继续以实际例子来讲解基于MAC地址的访问控制。

　　一、直接关闭交换机端口法：

　　一般来说最简单且直接的方法就是直接关闭交换机的端口来阻止感染病毒主机对网络的访问。包括直接拔网线，直接关闭级连交换机电源等。当然最常见的还是通过软件命令来逻辑关闭。具体命令如下。

　　第一步：通过正确的帐户和密码进入到交换机或路由器的管理界面。

　　第二步：通过int指令进入对应的端口。

　　第三步：通过shutdown命令来关闭对应端口。

　　这样该端口就处于逻辑关闭状态，就好比我们把网线从该端口拔下来一样。连接该端口的感染病毒的计算机也将无法访问网络，自然不会对其他网络中的计算机产生ARP欺骗危机。

　　二、通过基于MAC地址的访问控制来管理端口：

　　不过简单的通过shutdown命令来逻辑关闭交换机或路由器的端口也存在一定的弊端，例如当该端口连接有多台下属设备的话，如果直接关闭该端口，那么下属设备都将无法访问网络，给人的感觉就是“宁可错杀一百也不放过一个”。那么有没有办法只针对出问题计算机进行逻辑封杀，而其他同样连接到该端口的计算机不受影响呢?答案是肯定的，这就是本文要说的重点——通过基于MAC地址的访问控制来管理端口。

　　第一步：这里我们假设出现问题计算机的MAC地址为5078.4c68.8e34，我们通过正确的管理员帐户和密码进入到交换机中。

　　第二步：通过config t命令进入配置模式，通过sh mac-address指令来查看各个端口连接的MAC地址情况，我们可以看到5078.4c68.8e34这个MAC地址连接的是Gi1/2/1这个端口。(如图1)

　　第三步：通过int gi1/2/1指令进入对应端口，当然由于GI端口万兆端口，他连接的是另外一个设备，所以直接在该端口上运行shutdown命令将直接导致另一个设备连接的所有主机都无法访问网络。这时就需要我们使用基于MAC地址的访问控制来管理端口。

　　第四步：通过exit命令返回到配置模式，通过mac access-list ext bingdu指令来建立一个MAC地址过滤信息，名字叫做bingdu。(如图2)