IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → MAC地址訪問控制在網(wǎng)絡(luò)中的應(yīng)用

MAC地址訪問控制在網(wǎng)絡(luò)中的應(yīng)用

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

??? MAC地址是網(wǎng)絡(luò)設(shè)備在全球的唯一編號,它也就是我們通常所說的:物理地址、硬件地址、適配器地址或網(wǎng)卡地址。MAC地址可用于直接標(biāo)識某個網(wǎng)絡(luò)設(shè)備,是目前網(wǎng)絡(luò)數(shù)據(jù)交換的基礎(chǔ)。

??? 現(xiàn)在大多數(shù)的高端交換機都可以支持基于物理端口配置MAC地址過濾表,用于限定只有與MAC地址過濾表中規(guī)定的一些網(wǎng)絡(luò)設(shè)備有關(guān)的數(shù)據(jù)包才能夠使用該端口進行傳遞。通過MAC地址過濾技術(shù)可以保證授權(quán)的MAC地址才能對網(wǎng)絡(luò)資源進行訪問。

??? 與802.1X協(xié)議不同,基于MAC地址訪問控制不需要額外的客戶端軟件,當(dāng)一個客戶端連接到交換機上會自動地進行認(rèn)證過程。基于MAC地址訪問控制功能允許用戶配置一張MAC 地址表,交換機可以通過存儲在交換機內(nèi)部或者遠(yuǎn)端認(rèn)證服務(wù)器上面的MAC地址列表來控制合法或者非法的用戶訪問。

??? 下面是一個簡單的網(wǎng)絡(luò)示意圖,在交換機的第1-12端口上開啟了基于MAC地址的訪問控制功能,在中心交換機的第6個端口上級聯(lián)了一臺2層設(shè)備,2層設(shè)備上連接了兩臺客戶端主機,其中一臺客戶端的MAC地址在交換機的本地數(shù)據(jù)庫中做過記錄,而另外一臺設(shè)備的MAC地址在交換機的本地數(shù)據(jù)庫中沒有記錄。這樣在數(shù)據(jù)庫中沒有記錄MAC地址的客戶端的通信就會被交換機所阻止從而拒絕其接入網(wǎng)絡(luò)。

??? 【實驗拓?fù)洹?/p>

??? 下面在DES-3828交換機上來看一下基于MAC的訪問控制的配置。下圖是一個比較簡單的小型網(wǎng)絡(luò),某個部門通過一臺二層設(shè)備接入到核心交換機的第1個端口,此部門只有PC1允許接入到網(wǎng)絡(luò)中,其他的計算機沒有上網(wǎng)的資格。在交換機上開啟MAC訪問控制功能。需要實現(xiàn)的功能是允許PC1接入到網(wǎng)絡(luò),PC2不允許接入到網(wǎng)絡(luò)中。

?

??? 【實驗設(shè)備】DES-3828一臺,測試PC 2臺,網(wǎng)線若干。
??? 【實驗步驟】

clip_image002
?

??? enable mac_based_access_control 命令來啟用交換機的MAC訪問控制功能。
??? config mac_based_access_control ports 1-12 state enable method local 將交換機的第1-12端口配置為啟用MAC訪問控制的端口,是基于交換機本地數(shù)據(jù)庫的方式,也可以選擇基于遠(yuǎn)端認(rèn)證服務(wù)器的方式,這里我們選擇的是基于本地數(shù)據(jù)庫的方式。

clip_image002[7]

??? create mac_based_access_control_local mac 00-16-d3-b8-70-08 vlan default 這個命令添加用戶的MAC地址到交換機本地數(shù)據(jù)庫,并為其指定VLAN為默認(rèn)的VLAN。

clip_image002[9]

??? 這個命令用于查看在默認(rèn)的VLAN里面有哪些合法的MAC地址??梢钥吹皆谀J(rèn)的VLAN里面總共有1條MAC地址,是PC1的MAC地址, MAC地址和交換機MAC地址列表相匹配的客戶機就允許接入到網(wǎng)絡(luò)中,否則就拒絕其接入。

clip_image002[11]

??? show mac_based_access_control port這條命令可以查詢某個端口的MAC訪問控制是否開啟,端口1的MAC訪問控制已經(jīng)開啟。

clip_image002[13]

??? show mac_based_access_control auth_mac這個命令是用來查詢在端口上面有哪些MAC地址被學(xué)習(xí)到,以及認(rèn)證狀態(tài)和所屬的VLAN的信息。通過例子可以看出現(xiàn)在已經(jīng)有一個客戶機連接到了端口1上面,MAC地址如上,認(rèn)證狀態(tài)是已經(jīng)通過認(rèn)證,是合法的主機,所屬的VLAN是默認(rèn)VLAN。

??? 這時PC1可以通過交換機連接到Internet中,PC2由于沒有通過交換機的基于MAC的認(rèn)證而被交換機所阻止。

??? 【實驗總結(jié)】

??? 基于MAC地址的訪問控制對交換設(shè)備的要求不高,并且基本對網(wǎng)絡(luò)性能沒有影響,配置命令相對簡單,比較適合小型網(wǎng)絡(luò),規(guī)模較大的網(wǎng)絡(luò)不是適用。

??? 使用MAC地址訪問控制技術(shù)要求網(wǎng)絡(luò)管理員必須明確網(wǎng)絡(luò)中每個網(wǎng)絡(luò)設(shè)備的MAC地址,并要根據(jù)控制要求對交換機的MAC表進行配置;采用MAC地址訪問控制對于網(wǎng)管員來說,其負(fù)擔(dān)是相當(dāng)重的,而且隨著網(wǎng)絡(luò)設(shè)備數(shù)量的不斷擴大,它的維護工作量也不斷加大。

??? 另外,還存在一個安全隱患,那就是現(xiàn)在許多網(wǎng)卡都支持MAC地址重新配置,非法用戶可以通過將自己所用網(wǎng)絡(luò)設(shè)備的MAC地址改為合法用戶MAC地址的方法,使用MAC地址"欺騙",成功通過交換機的檢查,進而非法訪問網(wǎng)絡(luò)資源。

??? 【知識擴展】

??? 下面可以利用基于MAC的訪問控制來配置Guest VLAN。

??? 測試PC在沒有通過MAC認(rèn)證的時候只能和V10中的文件服務(wù)器通信,但不能接入到Internet中,在通過了MAC地址認(rèn)證以后,測試PC便被交換機自動地添加到了V20中,這樣就可以接入到Internet了.

?

??? 首先在DES-3828交換機上配置VLAN信息。

?

??? 配置交換機的IP地址,并

關(guān)鍵詞標(biāo)簽:MAC

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機控制端口流量