MAC 地址访问控制在网络中的应用.doc

MAC 地址访问控制在网络中的应用【实验目的】使管理人员了解MAC 地址访问控制的配置方法。【背景描述】MAC 地址是网络设备在全球的唯一编号，它也就是我们通常所说的:物理地址、硬件地址、适配器地址或网卡地址。MAC 地址可用于直接标识某个网络设备，是目前网络数据交换的基础。现在大多数的高端交换机都可以支持基于物理端口配置MAC 地址过滤表，用于限定只有与MAC 地址过滤表中规定的一些网络设备有关的数据包才能够使用该端口进行传递。通过MAC 地址过滤技术可以保证授权的MAC 地址才能对网络资源进行访问。与802.1X 协议不同，基于MAC 地址访问控制不需要额外的客户端软件，当一个客户端连接到交换机上会自动地进行认证过程。基于MAC 地址访问控制功能允许用户配置一张MAC 地址表，交换机可以通过存储在交换机内部或者远端认证服务器上面的MAC 地址列表来控制合法或者非法的用户访问。下面是一个简单的网络示意图，在交换机的第1-12 端口上开启了基于MAC地址的访问控制功能，在中心交换机的第6 个端口上级联了一台2 层设备，2 层设备上连接了两台客户端主机，其中一台客户端的MAC 地址在交换机的本地数据库中做过记录，而另外一台设备的MAC 地址在交换机的本地数据库中没有记录。这样在数据库中没有记录MAC 地址的客户端的通信就会被交换机所阻止从而拒绝其接入网络。客户端客户端00-0F-B0-97-E7-C6 00-15-F2-A9-0B-C2【实验拓扑】下面在DES-3828 交换机上来看一下基于MAC 的访问控制的配置。下图是一个比较简单的小型网络，某个部门通过一台二层设备接入到核心交换机的第1 个端口，此部门只有PC1 允许接入到网络中，其他的计算机没有上网的资格。在交换机上开启MAC 访问控制功能。需要实现的功能是允许PC1 接入到网络，PC2 不允许接入到网络中。PC1：00-16-D3-B8-70-08 【实验设备】DES-3828 一台，测试PC 2 台，网线若干。【实验步骤】enable mac_based_access_control 命令来启用交换机的MAC 访问控制功能。config mac_based_access_control ports 1-12 state enable method local 将交换机的第1-12 端口配置为启用MAC 访问控制的端口，是基于交换机本地数据库的方式，也可以选择基于远端认证服务器的方式，这里我们选择的是基于本地数据库的方式。create mac_based_access_control_local mac 00-16-d3-b8-70-08 vlan default 这个命令添加用户的MAC 地址到交换机本地数据库，并为其指定VLAN 为默认的VLAN。这个命令用于查看在默认的VLAN 里面有哪些合法的MAC 地址。可以看到在默认的VLAN 里面总共有1 条MAC 地址，是PC1 的MAC 地址， MAC 地址和交换机MAC 地址列表相匹配的客户机就允许接入到网络中，否则就拒绝其接入。show mac_based_access_control port 这条命令可以查询某个端口的MAC访问控制是否开启，端口1 的MAC 访问控制已经开启。show mac_based_access_control auth_mac 这个命令是用来查询在端口上面有哪些MAC 地址被学习到，以及认证状态和所属的VLAN 的信息。通过例子可以看出现在已经有一个客户机连接到了端口1 上面，MAC 地址如上，认证状态是已经通过认证，是合法的主机，所属的VLAN 是默认VLAN。这时PC1 可以通过交换机连接到Internet 中，PC2 由于没有通过交换机的基于MAC 的认证而被交换机所阻止。【实验总结】基于MAC 地址的访问控制对交换设备的要求不高，并且基本对网络性能没有影响，配置命令相对简单，比较适合小型网络，规模较大的网络不是适用。使用MAC 地址访问控制技术要求网络管理员必须明确网络中每个网络设备的MAC 地址，并要根据控制要求对交换机的MAC 表进行配置;采用MAC地址访问控制对于网管员来说，其负担是相当重的，而且随着网络设备数量的不断扩大，它的维护工作量也不断加大。另外，还存在一个安全隐患，那就是现在许多网卡都支持MAC 地址重新配置，非法用户可以通过将自己所用网络设备的MAC 地址改为合法用户MAC 地址的方法，使用MAC 地址“欺骗”，成功通过交换机的检查，进而非法访问网络资源。【知识扩展】下面可以利用基于MAC 的访问控制来配置Guest VLAN。测试PC 在没有通过MAC 认证的时候只能和V10 中的文件服务器通信，但不能接入到Internet 中，在通过了MAC 地址认证以后，测试PC 便被交换机自动地添加到了V20 中，这样就可以接入到Internet 了。PC：00-16-D3-B8-70-08首先在DES-3828 交换机上配置VLAN 信息。配置交换机的IP 地址，并且将交换机的IP 地址指定到V20 中进行管理。enable mac_based_access_control 启用MAC 访问控制功能create mac_based_access_control guest_vlan default 将V10 设置为Guest VLAN config mac_based_access_control guest_vlan ports 1-12 配置Guest VLAN 端口config mac_based_access_control ports 1-12 state enable method local 1-12 端口的认证方式为本地认证在PC1 没有通过认证前，交换机的端口1 是处于V10 中，即Gu