資源描述:
《MAC 地址訪問控制在網(wǎng)絡(luò)中的應(yīng)用》由會(huì)員上傳分享�,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)����。
1、MAC地址訪問控制在網(wǎng)絡(luò)中的應(yīng)用【實(shí)驗(yàn)?zāi)康摹渴构芾砣藛T了解MAC地址訪問控制的配置方法����。【背景描述】MAC地址是網(wǎng)絡(luò)設(shè)備在全球的唯一編號(hào)��,它也就是我們通常所說的:物理地址�、硬件地址、適配器地址或網(wǎng)卡地址�����。MAC地址可用于直接標(biāo)識(shí)某個(gè)網(wǎng)絡(luò)設(shè)備,是目前網(wǎng)絡(luò)數(shù)據(jù)交換的基礎(chǔ)?�,F(xiàn)在大多數(shù)的高端交換機(jī)都可以支持基于物理端口配置MAC地址過濾表�,用于限定只有與MAC地址過濾表中規(guī)定的一些網(wǎng)絡(luò)設(shè)備有關(guān)的數(shù)據(jù)包才能夠使用該端口進(jìn)行傳遞。通過MAC地址過濾技術(shù)可以保證授權(quán)的MAC地址才能對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問���。與802.1X協(xié)議不同����,基于MAC地址訪問控制不需要額外的客戶端軟件�����,當(dāng)一個(gè)客戶
2���、端連接到交換機(jī)上會(huì)自動(dòng)地進(jìn)行認(rèn)證過程��?�;贛AC地址訪問控制功能允許用戶配置一張MAC地址表���,交換機(jī)可以通過存儲(chǔ)在交換機(jī)內(nèi)部或者遠(yuǎn)端認(rèn)證服務(wù)器上面的MAC地址列表來(lái)控制合法或者非法的用戶訪問。下面是一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)示意圖,在交換機(jī)的第1-12端口上開啟了基于MAC地址的訪問控制功能��,在中心交換機(jī)的第6個(gè)端口上級(jí)聯(lián)了一臺(tái)2層設(shè)備�����,2層設(shè)備上連接了兩臺(tái)客戶端主機(jī)�����,其中一臺(tái)客戶端的MAC地址在交換機(jī)的本地?cái)?shù)據(jù)庫(kù)中做過記錄�����,而另外一臺(tái)設(shè)備的MAC地址在交換機(jī)的本地?cái)?shù)據(jù)庫(kù)中沒有記錄��。這樣在數(shù)據(jù)庫(kù)中沒有記錄MAC地址的客戶端的通信就會(huì)被交換機(jī)所阻止從而拒絕其接入網(wǎng)絡(luò)��?��?蛻舳丝蛻舳?/p>
3、00-0F-B0-97-E7-C600-15-F2-A9-0B-C2【實(shí)驗(yàn)拓?fù)洹肯旅嬖贒ES-3828交換機(jī)上來(lái)看一下基于MAC的訪問控制的配置����。下圖是一個(gè)比較簡(jiǎn)單的小型網(wǎng)絡(luò),某個(gè)部門通過一臺(tái)二層設(shè)備接入到核心交換機(jī)的第1個(gè)端口��,此部門只有PC1允許接入到網(wǎng)絡(luò)中,其他的計(jì)算機(jī)沒有上網(wǎng)的資格��。在交換機(jī)上開啟MAC訪問控制功能�。需要實(shí)現(xiàn)的功能是允許PC1接入到網(wǎng)絡(luò),PC2不允許接入到網(wǎng)絡(luò)中�����。PC1:00-16-D3-B8-70-08【實(shí)驗(yàn)設(shè)備】DES-3828一臺(tái)��,測(cè)試PC2臺(tái)��,網(wǎng)線若干�����?!緦?shí)驗(yàn)步驟】enablemac_based_access_control命令來(lái)啟用
4、交換機(jī)的MAC訪問控制功能���。configmac_based_access_controlports1-12stateenablemethodlocal將交換機(jī)的第1-12端口配置為啟用MAC訪問控制的端口�����,是基于交換機(jī)本地?cái)?shù)據(jù)庫(kù)的方式��,也可以選擇基于遠(yuǎn)端認(rèn)證服務(wù)器的方式�,這里我們選擇的是基于本地?cái)?shù)據(jù)庫(kù)的方式。createmac_based_access_control_localmac00-16-d3-b8-70-08vlandefault這個(gè)命令添加用戶的MAC地址到交換機(jī)本地?cái)?shù)據(jù)庫(kù)�,并為其指定VLAN為默認(rèn)的VLAN。這個(gè)命令用于查看在默認(rèn)的VLAN里面有哪些合
5�、法的MAC地址??梢钥吹皆谀J(rèn)的VLAN里面總共有1條MAC地址���,是PC1的MAC地址��,MAC地址和交換機(jī)MAC地址列表相匹配的客戶機(jī)就允許接入到網(wǎng)絡(luò)中�����,否則就拒絕其接入�����。showmac_based_access_controlport這條命令可以查詢某個(gè)端口的MAC訪問控制是否開啟����,端口1的MAC訪問控制已經(jīng)開啟。showmac_based_access_controlauth_mac這個(gè)命令是用來(lái)查詢?cè)诙丝谏厦嬗心男㎝AC地址被學(xué)習(xí)到����,以及認(rèn)證狀態(tài)和所屬的VLAN的信息。通過例子可以看出現(xiàn)在已經(jīng)有一個(gè)客戶機(jī)連接到了端口1上面��,MAC地址如上�,認(rèn)證狀態(tài)是已經(jīng)通過認(rèn)
6、證��,是合法的主機(jī)�����,所屬的VLAN是默認(rèn)VLAN���。這時(shí)PC1可以通過交換機(jī)連接到Internet中�����,PC2由于沒有通過交換機(jī)的基于MAC的認(rèn)證而被交換機(jī)所阻止���。【實(shí)驗(yàn)總結(jié)】基于MAC地址的訪問控制對(duì)交換設(shè)備的要求不高�,并且基本對(duì)網(wǎng)絡(luò)性能沒有影響��,配置命令相對(duì)簡(jiǎn)單�,比較適合小型網(wǎng)絡(luò)����,規(guī)模較大的網(wǎng)絡(luò)不是適用。使用MAC地址訪問控制技術(shù)要求網(wǎng)絡(luò)管理員必須明確網(wǎng)絡(luò)中每個(gè)網(wǎng)絡(luò)設(shè)備的MAC地址�,并要根據(jù)控制要求對(duì)交換機(jī)的MAC表進(jìn)行配置;采用MAC地址訪問控制對(duì)于網(wǎng)管員來(lái)說,其負(fù)擔(dān)是相當(dāng)重的�����,而且隨著網(wǎng)絡(luò)設(shè)備數(shù)量的不斷擴(kuò)大��,它的維護(hù)工作量也不斷加大�。另外���,還存在一個(gè)安全隱患����,那就
7�����、是現(xiàn)在許多網(wǎng)卡都支持MAC地址重新配置,非法用戶可以通過將自己所用網(wǎng)絡(luò)設(shè)備的MAC地址改為合法用戶MAC地址的方法�,使用MAC地址“欺騙”,成功通過交換機(jī)的檢查�,進(jìn)而非法訪問網(wǎng)絡(luò)資源?����!局R(shí)擴(kuò)展】下面可以利用基于MAC的訪問控制來(lái)配置GuestVLAN��。測(cè)試PC在沒有通過MAC認(rèn)證的時(shí)候只能和V10中的文件服務(wù)器通信�,但不能接入到Internet中,在通過了MAC地址認(rèn)證以后��,測(cè)試PC便被交換機(jī)自動(dòng)地添加到了V20中�,這樣就可以接入到Internet了。PC:00-16-D3-B8-70-08首先在DES-3828交換機(jī)上配置VLAN信息���。配置交換機(jī)的IP地址�����,
