第一步：知道了非授权DHCP服务器的IP地址后使用ping -a ip来反向查看他的计算机主机名。

　　第二步：根据ARP命令查询该计算机对应的MAC地址，也可以到合法DHCP服务器上查看缓存池中该IP对应的MAC地址。

　　(提示：屏蔽非授权DHCP服务器一定要从MAC地址来入手，因为IP地址可以修改而且自动获得IP的方法很多，获得的参数也会产生变化。)

　　第三步：知道了MAC地址后登录交换机执行sh mac address显示所有MAC地址与交换机端口的对应关系。(图2)

图2

　　第四步：我们就可以从显示的对应关系列表中查看到该MAC对应的端口号了，如果端口比较多还可以使用“sh mac address add 0011.5b5c.6214”这样的格式来查询0011.5b5c.6214这个MAC地址对应的端口。(如图3)

图3

　　第五步：找到对应的端口后通过int命令进入该接口，然后使用shutdown关闭该接口，从而阻断了该计算机与外界的联系。(如图4)

图4

　　这种方法存在一个问题，那就是如果使用的是集线器连接下方设备时，会在交换机上的一个端口学习到多个MAC地址，如果我们直接将该端口通过shutdown命令关闭的话，则集线器连接的所有设备都无法使用网络了。遇到这种情况我们可以使用基于MAC地址的访问控制列表来控制。具体命令为：

　　mac access-group softer in

　　设置完毕后就阻止了MAC地址为0011.5b5c.6214的计算机对外网的访问，而又不影响连接到同一台集线器上的其他设备。

　　图5

　　三、总结：

　　其实网络安全的最大危险来自网络内部，内部网络充斥着非授权使用网络者带来的危机，所以在平时就要对网络结构进行合理的规划，对网络参数的设置也要保留有详细的备案信息。这样当问题发现后我们就可以迅速的根据保留的数据第一时间发现问题的关键点。