MAC地址访问控制在网络中应用.pdfVIP

MAC 地址访问控制在网络中的应用 【实验目的】使管理人员 了解 MAC 地址访问控制的配置方法。 【背景描述】 MAC 地址是网络设备在全球的唯一编号 ，它也就是我们通常所说的:物理 地址、硬件地址、适配器地址或网卡地址。MAC 地址可用于直接标识某个网络 设备 ，是目前网络数据交换的基础。 现在大多数的高端交换机都可以支持基于物理端口配置 MAC 地址过滤 表 ，用于限定只有与 MAC 地址过滤表中规定的一些网络设备有关的数据包才能 够使用该端口进行传递 。通过 MAC 地址过滤技术可以保证授权的 MAC 地址才 能对网络资源进行访问。 与 802.1X 协议不同 ，基于 MAC 地址访问控制不需要额外的客户端软件 ， 当一个客户端连接到交换机上会自动地进行认证过程。基于 MAC 地址访问控制 功能允许用户配置一张 MAC 地址表 ，交换机可以通过存储在交换机内部或者 远端认证服务器上面的 MAC 地址列表来控制合法或者非法的用户访问 。 下面是一个简单的网络示意图 ，在交换机的第 1- 12 端口上开启了基于 MAC 地址的访问控制功能 ，在中心交换机的第 6 个端口上级联了一台 2 层设备 ，2 层 设备上连接了两台客户端主机 ，其中一台客户端的 MAC 地址在交换机的本地数 据库中做过记录 ，而另外一台设备的 MAC 地址在交换机的本地数据库中没有记 录。这样在数据库中没有记录 MAC 地址的客户端的通信就会被交换机所阻止从 而拒绝其接入网络。 1 MAC Access Control 启用端口 InternetInternet 发现匹配的MAC地 址 ，放行 。 L2 Switch or HUB 交换机本地数据库 User 00-0F-B0-97-E7-C6 MAC 列表 客户端 客户端 数据库中没有此MAC 00-0F-B0-97-E7-C6 00- 15-F2-A9-0B-C2 地址,丢弃。 【实验拓扑】 下面在 DES-3828 交换机上来看一下基于 MAC 的访问控制的配置。下图是一个 比较简单的小型网络，某个部门通过一台二层设备接入到核心交换机的第 1 个端 口，此部门只有 PC1 允许接入到网络中 ，其他的计算机没有上网的资格。在交 换机上开启 MAC 访问控制功能。需要实现的功能是允许 PC1 接入到网络 ，PC2 不允许接入到网络中。 InternetInternet 基于 MAC 认证的端口 PC2 ：00-02-3F-B5-75-0F 2 PC1 ：00- 16-D