二，通过基于MAC地址的访问控制来管理端口：

　　不过简单的通过shutdown命令来逻辑关闭交换机或路由器的端口也存在一定的弊端，例如当该端口连接有多台下属设备的话，如果直接关闭该端口，那么下属设备都将无法访问网络，给人的感觉就是“宁可错杀一百也不放过一个”。那么有没有办法只针对出问题计算机进行逻辑封杀，而其他同样连接到该端口的计算机不受影响呢？答案是肯定的，这就是本文要说的重点——通过基于MAC地址的访问控制来管理端口。

　　第一步：这里我们假设出现问题计算机的MAC地址为5078.4c68.8e34，我们通过正确的管理员帐户和密码进入到交换机中。

　　第二步：通过config t命令进入配置模式，通过sh mac-address指令来查看各个端口连接的MAC地址情况，我们可以看到5078.4c68.8e34这个MAC地址连接的是Gi1/2/1这个端口。（如图1）

　　第三步：通过int gi1/2/1指令进入对应端口，当然由于GI端口万兆端口，他连接的是另外一个设备，所以直接在该端口上运行shutdown命令将直接导致另一个设备连接的所有主机都无法访问网络。这时就需要我们使用基于MAC地址的访问控制来管理端口。

　　第四步：通过exit命令返回到配置模式，通过mac access-list ext bingdu指令来建立一个MAC地址过滤信息，名字叫做bingdu。（如图2）

　　第五步：进入到名为bingdu的MAC地址过滤信息设置界面后，我们为其添加规律规则。例如添加deny host 5078.4c68.8e34 any命令，来禁止所有数据源MAC地址为5078.4c68.8e34的主机通过该端口传输，当然最后还要添加一个permit any any的指令，因为笔者使用的是Cisco设备，任何ACL访问控制列表的最后都会默认添加deny any any的命令，这样将直接禁止所有设备的通讯，不修改默认信息是错误的。（如图3）

　　通过两条基于MAC地址的访问控制来管理端口后我们就可以容许其他MAC地址的主机通过该端口顺利传输数据了，而出问题的存在病毒的MAC地址为5078.4c68.8e34的主机将被阻挡在网络大门之外。

　　三，总结：

　　实际上交换机和路由器的使用是非常灵活的，通过多种多样的访问控制列表可以让我们企业网络管理得到事半功倍的效果，而且很多时候解决问题的方法也是多种多样的，这些都需要我们在日常工作和维护过程中去积累去学习。