用户地址与访问控制.docVIP

　　用户地址与访问控制～教育资源库 　　 在网络管理工作中，常常会碰到这样的情况：某些用户违反管理规定，私自修改自已的IP地址，以达到访问受限资源的目的。这样的行为，不但破坏了信息安全规则，还可能因为地址冲突引起网络通讯故障。 　　 网管管理员可能会试图使用如后文所述的各种技术手段来解决这一问题，但效果不一定很理想：首先技术手段无法完全阻止这种现象的发生，其次是增加了管理的复杂性和成本。所以遏制这种现象最有效的方法是行政手段，这是技术手段所无法替代的。 　　 在介绍这些管理手段之前我们先来看一个模拟的环境：工作站PC和SERVER连接到一台Cisco Catalyst 3550交换机上，它们分属不同的VLAN，借助3550的路由功能进行通讯(附交换机配置): 　　 　　 hostname Cisco3550 　　 ! 　　 interface GigabitEther0/11 　　 description Connect to PC 　　 ! 　　 interface GigabitEther0/12 　　 description Connect to SERVER 　　 size.buddy.org/021011.html。静态的分配和设置需要较多管理开销，如果用户不捣乱的话，由于用户名和IP地址一一对应，维护起来比较方便，以下均假设采用的是静态的管理方法。 　　 测试1.假设VLAN1内只允许IP 1.1.1.1 访问Server: 2.1.1.1，其它访问全部禁止。 　　 限制方法：使用IP访问控制列表 　　 interface Vlan1 　　 ip address 1.1.1.254 255.255.255.0 　　 ip access-group 100 in 　　 ! 　　 access-list 100 permit ip host 1.1.1.1 host 2.1.1.1 　　 突破方法：非法用户将IP地址自行改为1.1.1.1即可访问Server。 非法用户抢占地址1.1.1.1将会引起IP地址冲突问题。如果用户将IP地址设成网关的IP，还会影响到整个VLAN的通讯。通过修改AC地址。如果该PC更换MAC地址，默认将会使用端口置于shutdoP trap、Syslog 告警，除非管理员执行命令shut/no shut,否则端口一直处理down状态。 　　 突破方法：代理服务器。用户在同一VLAN内能够对外访问的主机上安装代理服务器，通过代理访问。 　　 测试4.使用VLAN，PVLAN隔离用户 　　 原理：将授权用户和非授权用户划分到不同的VLAN中，并使用访问控制列表限制VLAN间的通讯。也可以使用PVLAN隔离使同一VLAN间某些主机之间不能直接通讯。。 　　 interface range g 0/10 　　 description Connect to PC1 　　 switchport access vlan 7 　　 interface range g 0/11 　　 description Connect to PC2 　　 swit 12下一页 友情提醒：，特别！chport access vlan 8 　　 特殊办法：交换机Cisco 3550交换机还能支持在二层(交换)端口上设置mac/ip 访问控制列表，以下设置将使f0/1端口上的PC只能使用ip地址1.1.1.1及mac地址0000.0c31.ba9b，否则网络通讯不正常。 　　 mac access-list extended macacl 　　 permit host 0000.0c31.ba9b any 　　 permit any host 0000.0c31.ba9b 　　 interface FastEther0/1 　　 no ip address 　　 ip access-group ipacl in 　　 mac access-group macacl in 　　 ip access-list extended ipacl 　　 permit ip any host 1.1.1.1 　　 permit ip host 1.1.1.1 any 　　 突破方法：该用户跑到授权用户的机器上访问 　　 这是非典型的突破方法，目前还没有很好的解决方法。 　　 其他可能的限制方法： 　　 1.认证代理：用户访问特定资源前必须在某个网页上输入用户名和密码，否则不通 　　 2.802.1x：用户通过802.1x认证同时由DHCP服务器分配IP地址，否则不通 　　 3.PPPoE：用户需安装PPPoE客户端软件，使用用户名和密码登录网络才能使用 　　 讨论