MAC地址訪問控制在網(wǎng)絡(luò)中的應(yīng)用

【背景描述】
    MAC地址是網(wǎng)絡(luò)設(shè)備在全球的編號，它也就是我們通常所說的:物理地址、硬件地址、適配器地址或網(wǎng)卡地址。MAC地址可用于直接標(biāo)識某個網(wǎng)絡(luò)設(shè)備，是目前網(wǎng)絡(luò)數(shù)據(jù)交換的基礎(chǔ)。
    現(xiàn)在大多數(shù)的高端交換機都可以支持基于物理端口配置MAC地址過濾表，用于限定只有與MAC地址過濾表中規(guī)定的一些網(wǎng)絡(luò)設(shè)備有關(guān)的數(shù)據(jù)包才能夠使用該端口進(jìn)行傳遞。通過MAC地址過濾技術(shù)可以保證授權(quán)的MAC地址才能對網(wǎng)絡(luò)資源進(jìn)行訪問。
    與802.1X協(xié)議不同，基于MAC地址訪問控制不需要額外的客戶端軟件，當(dāng)一個客戶端連接到交換機上會自動地進(jìn)行認(rèn)證過程?；贛AC地址訪問控制功能允許用戶配置一張MAC 地址表，交換機可以通過存儲在交換機內(nèi)部或者遠(yuǎn)端認(rèn)證服務(wù)器上面的MAC地址列表來控制合法或者非法的用戶訪問。
    在交換機的第1-12端口上開啟了基于MAC地址的訪問控制功能，在中心交換機的第6個端口上級聯(lián)了一臺2層設(shè)備，2層設(shè)備上連接了兩臺客戶端主機，其中一臺客戶端的MAC地址在交換機的本地數(shù)據(jù)庫中做過記錄，而另外一臺設(shè)備的MAC地址在交換機的本地數(shù)據(jù)庫中沒有記錄。這樣在數(shù)據(jù)庫中沒有記錄MAC地址的客戶端的通信就會被交換機所阻止從而拒絕其接入網(wǎng)絡(luò)。
    【實驗拓?fù)洹?BR>    下面在DES-3828交換機上來看一下基于MAC的訪問控制的配置。某個部門通過一臺二層設(shè)備接入到核心交換機的第1個端口，此部門只有PC1允許接入到網(wǎng)絡(luò)中，其他的計算機沒有上網(wǎng)的資格。在交換機上開啟MAC訪問控制功能。需要實現(xiàn)的功能是允許PC1接入到網(wǎng)絡(luò)，PC2不允許接入到網(wǎng)絡(luò)中。
    【實驗設(shè)備】DES-3828一臺，測試PC 2臺，網(wǎng)線若干。
    【實驗步驟】
    enable mac_based_access_control 命令來啟用交換機的MAC訪問控制功能。
    config mac_based_access_control ports 1-12 state enable method local 將交換機的第1-12端口配置為啟用MAC訪問控制的端口，是基于交換機本地數(shù)據(jù)庫的方式，也可以選擇基于遠(yuǎn)端認(rèn)證服務(wù)器的方式，這里我們選擇的是基于本地數(shù)據(jù)庫的方式。
    create mac_based_access_control_local mac 00-16-d3-b8-70-08 vlan default 這個命令添加用戶的MAC地址到交換機本地數(shù)據(jù)庫，并為其指定VLAN為默認(rèn)的VLAN。
    這個命令用于查看在默認(rèn)的VLAN里面有哪些合法的MAC地址?？梢钥吹皆谀J(rèn)的VLAN里面總共有1條MAC地址，是PC1的MAC地址， MAC地址和交換機MAC地址列表相匹配的客戶機就允許接入到網(wǎng)絡(luò)中，否則就拒絕其接入。
    show mac_based_access_control port這條命令可以查詢某個端口的MAC訪問控制是否開啟，端口1的MAC訪問控制已經(jīng)開啟。
    show mac_based_access_control auth_mac這個命令是用來查詢在端口上面有哪些MAC地址被學(xué)習(xí)到，以及認(rèn)證狀態(tài)和所屬的VLAN的信息。通過例子可以看出現(xiàn)在已經(jīng)有一個客戶機連接到了端口1上面，MAC地址如上，認(rèn)證狀態(tài)是已經(jīng)通過認(rèn)證，是合法的主機，所屬的VLAN是默認(rèn)VLAN。
    這時PC1可以通過交換機連接到Internet中，PC2由于沒有通過交換機的基于MAC的認(rèn)證而被交換機所阻止。
    【實驗總結(jié)】
    基于MAC地址的訪問控制對交換設(shè)備的要求不高，并且基本對網(wǎng)絡(luò)性能沒有影響，配置命令相對簡單，比較適合小型網(wǎng)絡(luò)，規(guī)模較大的網(wǎng)絡(luò)不是適用。
    使用MAC地址訪問控制技術(shù)要求網(wǎng)絡(luò)管理員必須明確網(wǎng)絡(luò)中每個網(wǎng)絡(luò)設(shè)備的MAC地址，并要根據(jù)控制要求對交換機的MAC表進(jìn)行配置;采用MAC地址訪問控制對于網(wǎng)管員來說，其負(fù)擔(dān)是相當(dāng)重的，而且隨著網(wǎng)絡(luò)設(shè)備數(shù)量的不斷擴大，它的維護工作量也不斷加大。
    另外，還存在一個安全隱患，那就是現(xiàn)在許多網(wǎng)卡都支持MAC地址重新配置，非法用戶可以通過將自己所用網(wǎng)絡(luò)設(shè)備的MAC地址改為合法用戶MAC地址的方法，使用MAC地址“欺騙”，成功通過交換機的檢查，進(jìn)而非法訪問網(wǎng)絡(luò)資源。
    【知識擴展】
    下面可以利用基于MAC的訪問控制來配置Guest VLAN。
    測試PC在沒有通過MAC認(rèn)證的時候只能和V10中的文件服務(wù)器通信，但不能接入到Internet中，在通過了MAC地址認(rèn)證以后，測試PC便被交換機自動地添加到了V20中，這樣就可以接入到Internet了。
    首先在DES-3828交換機上配置VLAN信息。
    配置交換機的IP地址，并且將交換機的IP地址指定到V20 中進(jìn)行管理。
    enable mac_based_access_control 啟用MAC訪問控制功能
    create mac_based_access_control guest_vlan default 將V10設(shè)置為Guest VLAN
    config mac_based_access_control guest_vlan ports 1-12 配置Guest VLAN 端口
    config mac_based_access_control ports 1-12 state enable method local
    1-12端口的認(rèn)證方式為本地認(rèn)證
    在PC1沒有通過認(rèn)證前，交換機的端口1是處于V10中，即Guest VLAN中。
    當(dāng)PC1通過MAC地址認(rèn)證以后，交換機的端口1被動態(tài)添加到了V20中。
    可以通過上面的命令來查詢端口1下面MAC地址的認(rèn)證狀態(tài)，可以看到端口1下面的PC1的MAC地址的認(rèn)證狀態(tài)是已經(jīng)通過認(rèn)證，所屬的VLAN是V20。