突破方法：该用户跑到授权用户的机器上访问
    这是非典型的突破方法，目前还没有很好的解决方法。

    其他可能的限制方法：
    1.认证代理：用户访问特定资源前必须在某个网页上输入用户名和密码，否则不通
    2.802.1x：用户通过802.1x认证同时由DHCP服务器分配IP地址，否则不通
    3.PPPoE：用户需安装PPPoE客户端软件，使用用户名和密码登录网络才能使用

    讨论更新：一位叫Maying的朋友看了本文之后到BBS发帖子询问：“如何在路由器上设置过滤掉某个特定mac地址的流量？不希望使用这个mac地址的主机通过路由器！”。

    这个要求比较新鲜。当你针对一个MAC地址进行过滤的时候，这一动作发生在第二层。而路由器一般执行的是第三层路由的任务，只有很少情况下做桥接的时候才对进入的MAC地址进行过滤，所以这样的过滤最好设置在二层交换设备上。

    但这个要求对路由器来说也不是不可能的任务，麦子使用以下配置达到了要求的效果：

 ip cef     //Rate-limit 需要cef的支持，路由器可能默认未启用cef
 interface Ethernet0/0
  ip address 192.168.1.254 255.255.255.0
  rate-limit input access-group rate-limit 100 8000 1500 2000 conform-action drop  exceed-action drop 
      //如果源MAC地址为指定值则丢弃（其他的都允许）
 access-list rate-limit 100 0001.0001.abcd  //要限制的MAC地址

    这时候要注意，目标工作站到达该路由器之前不能经过其他三层设备，否则MAC地址会被改掉。

    讨论更新：Maying朋友再问：“我的路由器是Cisco 1720, 不支持CEF,怎么办？”

    Cisco 1720路由器能够支持CEF, 但要求是12.0(3)T以上IP PLUS版本的软件，12.2(11)YV 起标准IP版软件也可以支持CEF。如果路由器目前IOS软件版本不够，需要升级。

    也可以使用桥接(IRB)的方法来解决，这种方法只需要12.0(2)T 以上标准IP版软件即可。配置如下：

 bridge irb    //启用IRB支持
 interface Ethernet0/0
  no ip address   //路由做到逻辑端口BVI 1上
  bridge-group 1   //加入桥接组1
 !
 interface BVI1
  ip address 192.168.1.254 255.255.255.0  //为桥接组1提供路由
 !
 bridge 1 protocol ieee   //运行生成树协议防止环路
  bridge 1 route ip    //路由IP流量
 bridge 1 address 0001.0001.abcd discard  //丢弃来着于MAC地址0001.0001.abcd的数据包

转载地址：http://www.net130.com/CMS/Pub/Tech/tech_zh/193938_3.htm