資源描述:
《mac地址訪問控制在網(wǎng)絡(luò)中的應(yīng)用》由會(huì)員上傳分享,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1���、MAC地址訪問控制在網(wǎng)絡(luò)中的應(yīng)用【背景描述】MAC地址是網(wǎng)絡(luò)設(shè)備在全球的唯一編號(hào)�����,它也就是我們通常所說的:物理地址��、硬件地址��、適配器地址或網(wǎng)卡地址��。MAC地址可用于直接標(biāo)識(shí)某個(gè)網(wǎng)絡(luò)設(shè)備����,是目前網(wǎng)絡(luò)數(shù)據(jù)交換的基礎(chǔ)?����,F(xiàn)在大多數(shù)的高端交換機(jī)都可以支持基于物理端口配置MAC地址過濾表�����,用于限定只有與MAC地址過濾表中規(guī)定的一些網(wǎng)絡(luò)設(shè)備有關(guān)的數(shù)據(jù)包才能夠使用該端口進(jìn)行傳遞。通過MAC地址過濾技術(shù)可以保證授權(quán)的MAC地址才能對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問��。與802.1X協(xié)議不同���,基于MAC地址訪問控制不需要額外的客戶端軟件�����,當(dāng)一個(gè)客戶端連接到交換機(jī)上會(huì)
2、自動(dòng)地進(jìn)行認(rèn)證過程���?���;贛AC地址訪問控制功能允許用戶配置一張MAC地址表�,交換機(jī)可以通過存儲(chǔ)在交換機(jī)內(nèi)部或者遠(yuǎn)端認(rèn)證服務(wù)器上面的MAC地址列表來(lái)控制合法或者非法的用戶訪問。下面是一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)示意圖���,在交換機(jī)的第1-12端口上開啟了基于MAC地址的訪問控制功能�����,在中心交換機(jī)的第6個(gè)端口上級(jí)聯(lián)了一臺(tái)2層設(shè)備��,2層設(shè)備上連接了兩臺(tái)客戶端主機(jī)�����,其中一臺(tái)客戶端的MAC地址在交換機(jī)的本地?cái)?shù)據(jù)庫(kù)中做過記錄��,而另外一臺(tái)設(shè)備的MAC地址在交換機(jī)的本地?cái)?shù)據(jù)庫(kù)中沒有記錄���。這樣在數(shù)據(jù)庫(kù)中沒有記錄MAC地址的客戶端的通信就會(huì)被交換機(jī)所阻止從而拒絕其接
3����、入網(wǎng)絡(luò)�。【實(shí)驗(yàn)拓?fù)洹肯旅嬖贒ES-3828交換機(jī)上來(lái)看一下基于MAC的訪問控制的配置����。下圖是一個(gè)比較簡(jiǎn)單的小型網(wǎng)絡(luò),某個(gè)部門通過一臺(tái)二層設(shè)備接入到核心交換機(jī)的第1個(gè)端口�����,此部門只有PC1允許接入到網(wǎng)絡(luò)中�����,其他的計(jì)算機(jī)沒有上網(wǎng)的資格。在交換機(jī)上開啟MAChe"governingforthepeople","Nomattertheinterestsofthemasses"conceptunderstandingisnotinplace.Thespecificworktreatswiththedeployment,afewleadin
4��、gcadrescomplainthatworkistoocomplicated,toomuchresponsibility,thepressureistoolarge,toomuchemphasisonthedifficultyofthework.Forexample,noncoalmine訪問控制功能�����。需要實(shí)現(xiàn)的功能是允許PC1接入到網(wǎng)絡(luò)����,PC2不允許接入到網(wǎng)絡(luò)中?�!緦?shí)驗(yàn)設(shè)備】DES-3828一臺(tái)�����,測(cè)試PC2臺(tái)���,網(wǎng)線若干?���!緦?shí)驗(yàn)步驟】enablemac_based_access_control命令來(lái)啟用交換機(jī)的MAC訪問控制功
5、能。configmac_based_access_controlports1-12stateenablemethodlocal將交換機(jī)的第1-12端口配置為啟用MAC訪問控制的端口�����,是基于交換機(jī)本地?cái)?shù)據(jù)庫(kù)的方式�,也可以選擇基于遠(yuǎn)端認(rèn)證服務(wù)器的方式,這里我們選擇的是基于本地?cái)?shù)據(jù)庫(kù)的方式��。createmac_based_access_control_localmac00-16-d3-b8-70-08vlandefault這個(gè)命令添加用戶的MAC地址到交換機(jī)本地?cái)?shù)據(jù)庫(kù)�,并為其指定VLAN為默認(rèn)的VLAN。he"governingfor
6��、thepeople","Nomattertheinterestsofthemasses"conceptunderstandingisnotinplace.Thespecificworktreatswiththedeployment,afewleadingcadrescomplainthatworkistoocomplicated,toomuchresponsibility,thepressureistoolarge,toomuchemphasisonthedifficultyofthework.Forexample,noncoa
7���、lmine這個(gè)命令用于查看在默認(rèn)的VLAN里面有哪些合法的MAC地址�??梢钥吹皆谀J(rèn)的VLAN里面總共有1條MAC地址,是PC1的MAC地址�����,MAC地址和交換機(jī)MAC地址列表相匹配的客戶機(jī)就允許接入到網(wǎng)絡(luò)中���,否則就拒絕其接入����。showmac_based_access_controlport這條命令可以查詢某個(gè)端口的MAC訪問控制是否開啟,端口1的MAC訪問控制已經(jīng)開啟�����。he"governingforthepeople","Nomattertheinterestsofthemasses"conceptunderstandingis
8����、notinplace.Thespecificworktreatswiththedeployment,afewleadingcadrescomplainthatworkistoocomplicated,toomuchresponsibility,thepressu
