7777久久亚洲中文字幕,重口sm一区二区三区视频,另类国产

您當(dāng)前所在位置：首頁(yè) → 系統(tǒng)集成 → 網(wǎng)絡(luò)管理 → MAC地址訪問(wèn)控制在網(wǎng)絡(luò)中的應(yīng)用

MAC地址訪問(wèn)控制在網(wǎng)絡(luò)中的應(yīng)用 時(shí)間：2015/6/28來(lái)源：IT貓撲網(wǎng)作者：網(wǎng)管聯(lián)盟我要評(píng)論(0):     MAC地址是網(wǎng)絡(luò)設(shè)備在全球的唯一編號(hào)，它也就是我們通常所說(shuō)的:物理地址、硬件地址、適配器地址或網(wǎng)卡地址。MAC地址可用于直接標(biāo)識(shí)某個(gè)網(wǎng)絡(luò)設(shè)備，是目前網(wǎng)絡(luò)數(shù)據(jù)交換的基礎(chǔ)。
    現(xiàn)在大多數(shù)的高端交換機(jī)都可以支持基于物理端口配置MAC地址過(guò)濾表，用于限定只有與MAC地址過(guò)濾表中規(guī)定的一些網(wǎng)絡(luò)設(shè)備有關(guān)的數(shù)據(jù)包才能夠使用該端口進(jìn)行傳遞。通過(guò)MAC地址過(guò)濾技術(shù)可以保證授權(quán)的MAC地址才能對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)。

    與802.1X協(xié)議不同，基于MAC地址訪問(wèn)控制不需要額外的客戶端軟件，當(dāng)一個(gè)客戶端連接到交換機(jī)上會(huì)自動(dòng)地進(jìn)行認(rèn)證過(guò)程。基于MAC地址訪問(wèn)控制功能允許用戶配置一張MAC 地址表，交換機(jī)可以通過(guò)存儲(chǔ)在交換機(jī)內(nèi)部或者遠(yuǎn)端認(rèn)證服務(wù)器上面的MAC地址列表來(lái)控制合法或者非法的用戶訪問(wèn)。

    下面是一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)示意圖，在交換機(jī)的第1-12端口上開啟了基于MAC地址的訪問(wèn)控制功能，在中心交換機(jī)的第6個(gè)端口上級(jí)聯(lián)了一臺(tái)2層設(shè)備，2層設(shè)備上連接了兩臺(tái)客戶端主機(jī)，其中一臺(tái)客戶端的MAC地址在交換機(jī)的本地數(shù)據(jù)庫(kù)中做過(guò)記錄，而另外一臺(tái)設(shè)備的MAC地址在交換機(jī)的本地?cái)?shù)據(jù)庫(kù)中沒(méi)有記錄。這樣在數(shù)據(jù)庫(kù)中沒(méi)有記錄MAC地址的客戶端的通信就會(huì)被交換機(jī)所阻止從而拒絕其接入網(wǎng)絡(luò)。

    【實(shí)驗(yàn)拓?fù)洹?/p>
    下面在DES-3828交換機(jī)上來(lái)看一下基于MAC的訪問(wèn)控制的配置。下圖是一個(gè)比較簡(jiǎn)單的小型網(wǎng)絡(luò)，某個(gè)部門通過(guò)一臺(tái)二層設(shè)備接入到核心交換機(jī)的第1個(gè)端口，此部門只有PC1允許接入到網(wǎng)絡(luò)中，其他的計(jì)算機(jī)沒(méi)有上網(wǎng)的資格。在交換機(jī)上開啟MAC訪問(wèn)控制功能。需要實(shí)現(xiàn)的功能是允許PC1接入到網(wǎng)絡(luò)，PC2不允許接入到網(wǎng)絡(luò)中。

    【實(shí)驗(yàn)設(shè)備】DES-3828一臺(tái)，測(cè)試PC 2臺(tái)，網(wǎng)線若干。
    【實(shí)驗(yàn)步驟】

    enable mac_based_access_control 命令來(lái)啟用交換機(jī)的MAC訪問(wèn)控制功能。
    config mac_based_access_control ports 1-12 state enable method local 將交換機(jī)的第1-12端口配置為啟用MAC訪問(wèn)控制的端口，是基于交換機(jī)本地?cái)?shù)據(jù)庫(kù)的方式，也可以選擇基于遠(yuǎn)端認(rèn)證服務(wù)器的方式，這里我們選擇的是基于本地?cái)?shù)據(jù)庫(kù)的方式。

    create mac_based_access_control_local mac 00-16-d3-b8-70-08 vlan default 這個(gè)命令添加用戶的MAC地址到交換機(jī)本地?cái)?shù)據(jù)庫(kù)，并為其指定VLAN為默認(rèn)的VLAN。

    這個(gè)命令用于查看在默認(rèn)的VLAN里面有哪些合法的MAC地址。可以看到在默認(rèn)的VLAN里面總共有1條MAC地址，是PC1的MAC地址， MAC地址和交換機(jī)MAC地址列表相匹配的客戶機(jī)就允許接入到網(wǎng)絡(luò)中，否則就拒絕其接入。

    show mac_based_access_control port這條命令可以查詢某個(gè)端口的MAC訪問(wèn)控制是否開啟，端口1的MAC訪問(wèn)控制已經(jīng)開啟。

    show mac_based_access_control auth_mac這個(gè)命令是用來(lái)查詢?cè)诙丝谏厦嬗心男㎝AC地址被學(xué)習(xí)到，以及認(rèn)證狀態(tài)和所屬的VLAN的信息。通過(guò)例子可以看出現(xiàn)在已經(jīng)有一個(gè)客戶機(jī)連接到了端口1上面，MAC地址如上，認(rèn)證狀態(tài)是已經(jīng)通過(guò)認(rèn)證，是合法的主機(jī)，所屬的VLAN是默認(rèn)VLAN。

    這時(shí)PC1可以通過(guò)交換機(jī)連接到Internet中，PC2由于沒(méi)有通過(guò)交換機(jī)的基于MAC的認(rèn)證而被交換機(jī)所阻止。

    【實(shí)驗(yàn)總結(jié)】

    基于MAC地址的訪問(wèn)控制對(duì)交換設(shè)備的要求不高，并且基本對(duì)網(wǎng)絡(luò)性能沒(méi)有影響，配置命令相對(duì)簡(jiǎn)單，比較適合小型網(wǎng)絡(luò)，規(guī)模較大的網(wǎng)絡(luò)不是適用。

    使用MAC地址訪問(wèn)控制技術(shù)要求網(wǎng)絡(luò)管理員必須明確網(wǎng)絡(luò)中每個(gè)網(wǎng)絡(luò)設(shè)備的MAC地址，并要根據(jù)控制要求對(duì)交換機(jī)的MAC表進(jìn)行配置;采用MAC地址訪問(wèn)控制對(duì)于網(wǎng)管員來(lái)說(shuō)，其負(fù)擔(dān)是相當(dāng)重的，而且隨著網(wǎng)絡(luò)設(shè)備數(shù)量的不斷擴(kuò)大，它的維護(hù)工作量也不斷加大。

    另外，還存在一個(gè)安全隱患，那就是現(xiàn)在許多網(wǎng)卡都支持MAC地址重新配置，非法用戶可以通過(guò)將自己所用網(wǎng)絡(luò)設(shè)備的MAC地址改為合法用戶MAC地址的方法，使用MAC地址"欺騙"，成功通過(guò)交換機(jī)的檢查，進(jìn)而非法訪問(wèn)網(wǎng)絡(luò)資源。

    【知識(shí)擴(kuò)展】

    下面可以利用基于MAC的訪問(wèn)控制來(lái)配置Guest VLAN。

    測(cè)試PC在沒(méi)有通過(guò)MAC認(rèn)證的時(shí)候只能和V10中的文件服務(wù)器通信，但不能接入到Internet中，在通過(guò)了MAC地址認(rèn)證以后，測(cè)試PC便被交換機(jī)自動(dòng)地添加到了V20中，這樣就可以接入到Internet了.

    首先在DES-3828交換機(jī)上配置VLAN信息。

    配置交換機(jī)的IP地址，并
關(guān)鍵詞標(biāo)簽：MAC

相關(guān)閱讀

文章評(píng)論

查看所有0條評(píng)論>>