华三交换机如何禁止指定IP的访问

单位有一些终端设备未按规定安装我们指定的杀毒软件（我们公司都是静态IP），现在就想如何让这些未安装的终端直接禁止访问公司的内网（我们已经将这些未注册的终端IP，MAC地址都查出来了，但是由于公司设备太多，有些是摄像机或其它终端设备，我们无法定位），所以就想在我们华三的核心交换机上设置一下，禁止这些设备访问上来，后期处理完再解封，请问应该如何配置，请求协助。

使用交换机黑名单配置命令，完成对指定地址的禁用
1，使能黑名单功能

blacklist enable

2，添加黑名单表项

blacklist ip source-ip-address [ timeout minutes ]

3，显示黑名单信息

display blacklist

后期处理完后，可以用相关命令进行解封。
具体可参考华三官网安全命令参考资料：21-黑名单命令-新华三集团-H3C

有个办法就是可以一劳永逸的，但需要做很多东西，可以给你们单位建议实行准入认证，不安装防病毒的准入不通过，就不能上网，这样的话看谁还敢不安装。然后现在想临时的话，可以参照其他大哥的办法，黑名单呀啥的，还有感觉做ACL也可以，禁止访问所有目的为any，完事！

你已经拿到地址了，根据dis arp和dis mac 查找到具体接口，然后shutdown接口，

写ACL，统计已注册的IP地址，将这些放行。其他均拒绝

按照这个情况白名单才是更好的选择吧，禁止的量大的话还不如就设置白名单 把那些允许访问的设备做个策略让过就行了

您好！这种场景常用的方法是在交换机上行添加防火墙、安全网关设备或者上网行为管理，使用安全策略管理进出，优势是颗粒度细，不仅是IP，应用、端口、网站的访问都能管控到，易于运维。交换机基本只能使用vlan划分开访问区域，运维难度较大。

直接在行为管理做就好，还方便管理

题主这个有参考吗？

mac-address blackhole H-H-H vlan1 //在VLAN1中添加黑洞MAC

华三交换机基本配置命令_寻址00000001的博客-CSDN博客_华三交换机配置命令

官方文档
01-MAC地址表命令-新华三集团-H3C