返回
MAC 地址访问控制在网络中的应用

MAC 地址访问控制在网络中的应用

ID:41007015

大小:818.50 KB

页数:10页

时间:2019-08-13

MAC 地址访问控制在网络中的应用_第1页
MAC 地址访问控制在网络中的应用_第2页
MAC 地址访问控制在网络中的应用_第3页
MAC 地址访问控制在网络中的应用_第4页
MAC 地址访问控制在网络中的应用_第5页
资源描述:

《MAC 地址访问控制在网络中的应用》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、MAC地址访问控制在网络中的应用【实验目的】使管理人员了解MAC地址访问控制的配置方法。【背景描述】MAC地址是网络设备在全球的唯一编号,它也就是我们通常所说的:物理地址、硬件地址、适配器地址或网卡地址。MAC地址可用于直接标识某个网络设备,是目前网络数据交换的基础。现在大多数的高端交换机都可以支持基于物理端口配置MAC地址过滤表,用于限定只有与MAC地址过滤表中规定的一些网络设备有关的数据包才能够使用该端口进行传递。通过MAC地址过滤技术可以保证授权的MAC地址才能对网络资源进行访问。与802.1X协议不同,基于MAC地址访问控制不需要额外的客户端软件,当一个客户

2、端连接到交换机上会自动地进行认证过程。基于MAC地址访问控制功能允许用户配置一张MAC地址表,交换机可以通过存储在交换机内部或者远端认证服务器上面的MAC地址列表来控制合法或者非法的用户访问。下面是一个简单的网络示意图,在交换机的第1-12端口上开启了基于MAC地址的访问控制功能,在中心交换机的第6个端口上级联了一台2层设备,2层设备上连接了两台客户端主机,其中一台客户端的MAC地址在交换机的本地数据库中做过记录,而另外一台设备的MAC地址在交换机的本地数据库中没有记录。这样在数据库中没有记录MAC地址的客户端的通信就会被交换机所阻止从而拒绝其接入网络。客户端客户端

3、00-0F-B0-97-E7-C600-15-F2-A9-0B-C2【实验拓扑】下面在DES-3828交换机上来看一下基于MAC的访问控制的配置。下图是一个比较简单的小型网络,某个部门通过一台二层设备接入到核心交换机的第1个端口,此部门只有PC1允许接入到网络中,其他的计算机没有上网的资格。在交换机上开启MAC访问控制功能。需要实现的功能是允许PC1接入到网络,PC2不允许接入到网络中。PC1:00-16-D3-B8-70-08【实验设备】DES-3828一台,测试PC2台,网线若干。【实验步骤】enablemac_based_access_control命令来启用

4、交换机的MAC访问控制功能。configmac_based_access_controlports1-12stateenablemethodlocal将交换机的第1-12端口配置为启用MAC访问控制的端口,是基于交换机本地数据库的方式,也可以选择基于远端认证服务器的方式,这里我们选择的是基于本地数据库的方式。createmac_based_access_control_localmac00-16-d3-b8-70-08vlandefault这个命令添加用户的MAC地址到交换机本地数据库,并为其指定VLAN为默认的VLAN。这个命令用于查看在默认的VLAN里面有哪些合

5、法的MAC地址。可以看到在默认的VLAN里面总共有1条MAC地址,是PC1的MAC地址,MAC地址和交换机MAC地址列表相匹配的客户机就允许接入到网络中,否则就拒绝其接入。showmac_based_access_controlport这条命令可以查询某个端口的MAC访问控制是否开启,端口1的MAC访问控制已经开启。showmac_based_access_controlauth_mac这个命令是用来查询在端口上面有哪些MAC地址被学习到,以及认证状态和所属的VLAN的信息。通过例子可以看出现在已经有一个客户机连接到了端口1上面,MAC地址如上,认证状态是已经通过认

6、证,是合法的主机,所属的VLAN是默认VLAN。这时PC1可以通过交换机连接到Internet中,PC2由于没有通过交换机的基于MAC的认证而被交换机所阻止。【实验总结】基于MAC地址的访问控制对交换设备的要求不高,并且基本对网络性能没有影响,配置命令相对简单,比较适合小型网络,规模较大的网络不是适用。使用MAC地址访问控制技术要求网络管理员必须明确网络中每个网络设备的MAC地址,并要根据控制要求对交换机的MAC表进行配置;采用MAC地址访问控制对于网管员来说,其负担是相当重的,而且随着网络设备数量的不断扩大,它的维护工作量也不断加大。另外,还存在一个安全隐患,那就

7、是现在许多网卡都支持MAC地址重新配置,非法用户可以通过将自己所用网络设备的MAC地址改为合法用户MAC地址的方法,使用MAC地址“欺骗”,成功通过交换机的检查,进而非法访问网络资源。【知识扩展】下面可以利用基于MAC的访问控制来配置GuestVLAN。测试PC在没有通过MAC认证的时候只能和V10中的文件服务器通信,但不能接入到Internet中,在通过了MAC地址认证以后,测试PC便被交换机自动地添加到了V20中,这样就可以接入到Internet了。PC:00-16-D3-B8-70-08首先在DES-3828交换机上配置VLAN信息。配置交换机的IP地址,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。