伊人色综合网久久天天,日韩无不卡无码毛片,国产久re热视频精品

您當(dāng)前所在位置：首頁(yè) → 系統(tǒng)集成 → 網(wǎng)絡(luò)管理 → 深度剖析交換機(jī)MAC地址訪問控制問題

深度剖析交換機(jī)MAC地址訪問控制問題 時(shí)間：2015-06-28 00:00:00 來源：IT貓撲網(wǎng) 作者：網(wǎng)管聯(lián)盟 我要評(píng)論(0)

　　一般來講每個(gè)公司的產(chǎn)品的實(shí)現(xiàn)技術(shù)均會(huì)有差異，Cisco交換機(jī)所使用的軟件系統(tǒng)為Catalyst IOS。CLI的全稱為"Command－Line Interface"，如果想執(zhí)行某個(gè)命令，必須先進(jìn)入相應(yīng)的配置模式。

　　在網(wǎng)絡(luò)管理工作中，常常會(huì)碰到這樣的情況：某些用戶違反管理規(guī)定，私自修改自已的IP地址，以達(dá)到訪問受限資源的目的。這樣的行為，不但破壞了信息安全規(guī)則，還可能因?yàn)榈刂窙_突引起網(wǎng)絡(luò)通訊故障。

　　網(wǎng)管管理員可能會(huì)試圖使用如后文所述的各種技術(shù)手段來解決這一問題，但效果不一定很理想：首先技術(shù)手段無法完全阻止這種現(xiàn)象的發(fā)生，其次是增加了管理的復(fù)雜性和成本。所以遏制這種現(xiàn)象最有效的方法是行政手段，這是技術(shù)手段所無法替代的。

　　在介紹這些管理手段之前我們先來看一個(gè)模擬的環(huán)境：工作站PC和SERVER連接到一臺(tái)Cisco Catalyst 3550交換機(jī)上，它們分屬不同的VLAN，借助3550的路由功能進(jìn)行通訊(附交換機(jī)MAC地址配置):

　　如果不需要做權(quán)限限制，只是要防止IP地址沖突的話，最佳的方案可能是使用DHCP。DHCP 服務(wù)器可以為用戶設(shè)置IP 地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS等參數(shù)，使用方便，還能節(jié)省IP地址。

　　在Cisco設(shè)備上設(shè)置DPCP可以參考:http://mize.netbuddy.org/021011.html。靜態(tài)的分配和設(shè)置需要較多管理開銷，如果用戶不搗亂的話，由于用戶名和IP地址一一對(duì)應(yīng)，維護(hù)起來比較方便，以下均假設(shè)采用的是靜態(tài)的管理方法。

　　1.hostname Cisco3550

　　2.!

　　3.interface GigabitEthernet0/11 description Connect to PC

　　4.!

　　5.interface GigabitEthernet0/12 description Connect to SERVER switchport access vlan 2

　　6.!

　　7.interface Vlan1

　　8.ip address 1.1.1.254 255.255.255.0

　　9.!

　　10.interface Vlan2

　　11.ip address 2.1.1.254 255.255.255.0

　　突破方法：交換機(jī)MAC地址非法用戶將IP地址自行改為1.1.1.1即可訪問Server。非法用戶搶占地址1.1.1.1將會(huì)引起IP地址沖突問題。如果用戶將IP地址設(shè)成網(wǎng)關(guān)的IP，還會(huì)影響到整個(gè)VLAN的通訊。通過修改Windows 設(shè)置，可以防止用戶修改"網(wǎng)絡(luò)"屬性，但這一方法也很容易被突破。

　　討論更新：一位叫Maying的朋友看了本文之后到BBS發(fā)帖子詢問："如何在路由器上設(shè)置過濾掉某個(gè)特定mac地址的流量？不希望使用這個(gè)mac地址的主機(jī)通過路由器！"。這個(gè)要求比較新鮮。

　　當(dāng)你針對(duì)一個(gè)MAC地址進(jìn)行過濾的時(shí)候，這一動(dòng)作發(fā)生在第二層。而路由器一般執(zhí)行的是第三層路由的任務(wù)，只有很少情況下做橋接的時(shí)候才對(duì)進(jìn)入的MAC地址進(jìn)行過濾，所以這樣的過濾最好設(shè)置在二層交換設(shè)備上。

關(guān)鍵詞標(biāo)簽：交換機(jī),MAC地址,訪問控

相關(guān)閱讀

文章評(píng)論

查看所有0條評(píng)論>>