時(shí)間:2015/6/28來(lái)源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評(píng)論(0)
現(xiàn)在大多數(shù)的高端交換機(jī)都可以支持基于物理端口配置MAC地址過(guò)濾表,用于限定只有與MAC地址過(guò)濾表中規(guī)定的一些網(wǎng)絡(luò)設(shè)備有關(guān)的數(shù)據(jù)包才能夠使用該端口進(jìn)行傳遞。通過(guò)MAC地址過(guò)濾技術(shù)可以保證授權(quán)的MAC地址才能對(duì)網(wǎng)絡(luò)資源進(jìn)行訪(fǎng)問(wèn)。
與802.1X協(xié)議不同,基于MAC地址訪(fǎng)問(wèn)控制不需要額外的客戶(hù)端軟件,當(dāng)一個(gè)客戶(hù)端連接到交換機(jī)上會(huì)自動(dòng)地進(jìn)行認(rèn)證過(guò)程;贛AC地址訪(fǎng)問(wèn)控制功能允許用戶(hù)配置一張MAC 地址表,交換機(jī)可以通過(guò)存儲(chǔ)在交換機(jī)內(nèi)部或者遠(yuǎn)端認(rèn)證服務(wù)器上面的MAC地址列表來(lái)控制合法或者非法的用戶(hù)訪(fǎng)問(wèn)。
下面是一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)示意圖,在交換機(jī)的第1-12端口上開(kāi)啟了基于MAC地址的訪(fǎng)問(wèn)控制功能,在中心交換機(jī)的第6個(gè)端口上級(jí)聯(lián)了一臺(tái)2層設(shè)備,2層設(shè)備上連接了兩臺(tái)客戶(hù)端主機(jī),其中一臺(tái)客戶(hù)端的MAC地址在交換機(jī)的本地數(shù)據(jù)庫(kù)中做過(guò)記錄,而另外一臺(tái)設(shè)備的MAC地址在交換機(jī)的本地?cái)?shù)據(jù)庫(kù)中沒(méi)有記錄。這樣在數(shù)據(jù)庫(kù)中沒(méi)有記錄MAC地址的客戶(hù)端的通信就會(huì)被交換機(jī)所阻止從而拒絕其接入網(wǎng)絡(luò)。
【實(shí)驗(yàn)拓?fù)洹?/p>
下面在DES-3828交換機(jī)上來(lái)看一下基于MAC的訪(fǎng)問(wèn)控制的配置。下圖是一個(gè)比較簡(jiǎn)單的小型網(wǎng)絡(luò),某個(gè)部門(mén)通過(guò)一臺(tái)二層設(shè)備接入到核心交換機(jī)的第1個(gè)端口,此部門(mén)只有PC1允許接入到網(wǎng)絡(luò)中,其他的計(jì)算機(jī)沒(méi)有上網(wǎng)的資格。在交換機(jī)上開(kāi)啟MAC訪(fǎng)問(wèn)控制功能。需要實(shí)現(xiàn)的功能是允許PC1接入到網(wǎng)絡(luò),PC2不允許接入到網(wǎng)絡(luò)中。
【實(shí)驗(yàn)設(shè)備】DES-3828一臺(tái),測(cè)試PC 2臺(tái),網(wǎng)線(xiàn)若干。
【實(shí)驗(yàn)步驟】
enable mac_based_access_control 命令來(lái)啟用交換機(jī)的MAC訪(fǎng)問(wèn)控制功能。
config mac_based_access_control ports 1-12 state enable method local 將交換機(jī)的第1-12端口配置為啟用MAC訪(fǎng)問(wèn)控制的端口,是基于交換機(jī)本地?cái)?shù)據(jù)庫(kù)的方式,也可以選擇基于遠(yuǎn)端認(rèn)證服務(wù)器的方式,這里我們選擇的是基于本地?cái)?shù)據(jù)庫(kù)的方式。
create mac_based_access_control_local mac 00-16-d3-b8-70-08 vlan default 這個(gè)命令添加用戶(hù)的MAC地址到交換機(jī)本地?cái)?shù)據(jù)庫(kù),并為其指定VLAN為默認(rèn)的VLAN。
這個(gè)命令用于查看在默認(rèn)的VLAN里面有哪些合法的MAC地址?梢钥吹皆谀J(rèn)的VLAN里面總共有1條MAC地址,是PC1的MAC地址, MAC地址和交換機(jī)MAC地址列表相匹配的客戶(hù)機(jī)就允許接入到網(wǎng)絡(luò)中,否則就拒絕其接入。
show mac_based_access_control port這條命令可以查詢(xún)某個(gè)端口的MAC訪(fǎng)問(wèn)控制是否開(kāi)啟,端口1的MAC訪(fǎng)問(wèn)控制已經(jīng)開(kāi)啟。
show mac_based_access_control auth_mac這個(gè)命令是用來(lái)查詢(xún)?cè)诙丝谏厦嬗心男㎝AC地址被學(xué)習(xí)到,以及認(rèn)證狀態(tài)和所屬的VLAN的信息。通過(guò)例子可以看出現(xiàn)在已經(jīng)有一個(gè)客戶(hù)機(jī)連接到了端口1上面,MAC地址如上,認(rèn)證狀態(tài)是已經(jīng)通過(guò)認(rèn)證,是合法的主機(jī),所屬的VLAN是默認(rèn)VLAN。
這時(shí)PC1可以通過(guò)交換機(jī)連接到Internet中,PC2由于沒(méi)有通過(guò)交換機(jī)的基于MAC的認(rèn)證而被交換機(jī)所阻止。
【實(shí)驗(yàn)總結(jié)】
基于MAC地址的訪(fǎng)問(wèn)控制對(duì)交換設(shè)備的要求不高,并且基本對(duì)網(wǎng)絡(luò)性能沒(méi)有影響,配置命令相對(duì)簡(jiǎn)單,比較適合小型網(wǎng)絡(luò),規(guī)模較大的網(wǎng)絡(luò)不是適用。
使用MAC地址訪(fǎng)問(wèn)控制技術(shù)要求網(wǎng)絡(luò)管理員必須明確網(wǎng)絡(luò)中每個(gè)網(wǎng)絡(luò)設(shè)備的MAC地址,并要根據(jù)控制要求對(duì)交換機(jī)的MAC表進(jìn)行配置;采用MAC地址訪(fǎng)問(wèn)控制對(duì)于網(wǎng)管員來(lái)說(shuō),其負(fù)擔(dān)是相當(dāng)重的,而且隨著網(wǎng)絡(luò)設(shè)備數(shù)量的不斷擴(kuò)大,它的維護(hù)工作量也不斷加大。
另外,還存在一個(gè)安全隱患,那就是現(xiàn)在許多網(wǎng)卡都支持MAC地址重新配置,非法用戶(hù)可以通過(guò)將自己所用網(wǎng)絡(luò)設(shè)備的MAC地址改為合法用戶(hù)MAC地址的方法,使用MAC地址"欺騙",成功通過(guò)交換機(jī)的檢查,進(jìn)而非法訪(fǎng)問(wèn)網(wǎng)絡(luò)資源。
【知識(shí)擴(kuò)展】
下面可以利用基于MAC的訪(fǎng)問(wèn)控制來(lái)配置Guest VLAN。
測(cè)試PC在沒(méi)有通過(guò)MAC認(rèn)證的時(shí)候只能和V10中的文件服務(wù)器通信,但不能接入到Internet中,在通過(guò)了MAC地址認(rèn)證以后,測(cè)試PC便被交換機(jī)自動(dòng)地添加到了V20中,這樣就可以接入到Internet了.
首先在DES-3828交換機(jī)上配置VLAN信息。
配置交換機(jī)的IP地址,并
關(guān)鍵詞標(biāo)簽:MAC
相關(guān)閱讀
熱門(mén)文章 路由器地址大全-各品牌路由設(shè)置地址各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密Nslookup命令詳解-域名DNS診斷站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件
人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼路由器地址大全-各品牌路由設(shè)置地址騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程ADSL雙線(xiàn)負(fù)載均衡設(shè)置詳細(xì)圖文教程路由表說(shuō)明(詳解route print)網(wǎng)管員實(shí)際工作的一天用此方法讓2M帶寬下載速度達(dá)到250K/S左右網(wǎng)管必會(huì)!了解交換機(jī)控制端口流量