Cisco 2950 S/W에서 특정mac drop시키기

      Cisco 2950 S/W에서 특정mac drop시키기에 댓글 없음

최근에 mac spoofing하는 바이러스가 돌고있어서 대응방안을 찾던중에 가장 신속한 방법입니다.

바이러스에 걸린 PC가 자신의 mac을  다른 pc들의 ip에도  동일하게 대응되도록 spoofing 하더군요
그래서 네트웍에 동일한 MAC을 가지 PC가 30-40대가 존재하는 현상이 일어나게되고
그 30-40대의 PC에서 주고받는 데이타를 훔쳐보게되는 그런 위험스런 상황이 벌어지게 됩니다.
ARP의 취약한 구조때문에 가능한 방법이라고 생각이 되구요.. 어쨋든 이런현상이 있었습니다.

며칠전에 포스팅한 것처럼 문제되는 PC를 찾아서 offline시키고 치료하는것보다
네트웍장비 차원에서  좀더 빨리 조치할 필요가 있어서 알아보던중에  
함께 일하는 강과장님께서 자료를 찾아서 추천하셨습니다. 효과가 더 좋은듯합니다.

config모드에서 다음과 같이 명령합니다.
mac address-table static mac-addr vlan vlan-id drop

그러면 비정상적인 mac은 해당하는 vlan에서 거부되게 됩니다.
당연 오염된 mac은 사라지고 정상적인 mac만 남게됩니다.
그래서 피해를 받고있던 정상 pc들은 자신의 원래의 mac을 회복하게 됩니다.
바이러스 걸린 pc는 더이상 네트웍을 사용할수없게되죠…
인터넷이 안된다며 곧 네트웍관리자에게 연락이 오게됩니다.  ^^

모든 상황이 해제된후  원상태로 돌리기위해서는 아래와 같이 합니다. 
no mac address-table static mac-addr vlan vlan-id

switch ios가 12.1(19)EA1 이상이어야합니다.

<< cisco 2950 의 command references도 참고해보세요 >>

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.