MAC地址的访问控制
在介绍这些管理手段之前我们先来看一个模拟的环境:工作站PC和SERVER连接到一台Cisco Catalyst 3550交换机上,它们分属不同的VLAN,借助3550的路由功能进行通讯(附交换机配置):
!
interface GigabitEthernet0/11 description Connect to PC
!
interface GigabitEthernet0/12 description Connect to SERVER switchport access vlan 2
!
interface Vlan1
ip address 1.1.1.254 255.255.255.0
!
interface Vlan2
ip address 2.1.1.254 255.255.255.0
如果不需要做权限限制,只是要防止IP地址冲突的话,最佳的方案可能是使用DHCP。DHCP 服务器可以为用户设置IP 地址、子网掩码、网关、DNS等参数,使用方便,还能节省IP地址。在Cisco设备上设置DPCP可以参考:[url]http://mize.netbuddy.org/021011.html[/url]。静态的分配和设置需要较多管理开销,如果用户不捣乱的话,由于用户名和IP地址一一对应,维护起来比较方便,以下均假设采用的是静态的管理方法。
限制方法:使用IP访问控制列表
interface Vlan1
突破方法:非法用户将IP地址自行改为1.1.1.1即可访问Server。 非法用户抢占地址1.1.1.1将会引起IP地址冲突问题。如果用户将IP地址设成网关的IP,还会影响到整个VLAN的通讯。通过修改Windows 设置,可以防止用户修改“网络”属性,但这一方法也很容易被突破。
测试2.在测试1的基础上加上静态ARP绑定可以防止IP地址盗用。
实现方法:在测试1配置的基础上设置arp 1.1.1.1 0001.0001.1111 ARPA
注意以下的命令是错误的,因为ARP的端口参数是三层(路由)端口而非二层(交换)端口:
arp 1.1.1.1 0001.0001.1111 ARPA GigabitEthernet0/11
设置完成之后,如果非法用户把地址改为1.1.1.1,它发送到路由器的包正常,但是从目标服务器2.1.1.1返回的数据包在路由器上转发的时候,目标MAC地址将总是设为0001.0001.1111,非法用户不能接收。
类似办法:使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表
突破方法:修改MAC地址很容易,在Windows网络连接设置修改网卡的配置,在“高级”页面中找到Network Address设置为指定的值即可。
原理:如果限制了指定端口只能被特定MAC地址的机器,用户若更改了MAC地址端口将会进入不可用状态。
设置方法:
interface g 0/1
设置完成之后,交换机端口上首次连接的PC的MAC地址将会记录到交换机中,成为唯一能够使用该端口的MAC地址。如果该PC更换MAC地址,默认将会使用端口置于shutdown状态,无法与网络连通。
可以使用命令设置安全冲突的处理方法:
sw port-security violation [protect | restrict | shutdown ]
protect 丢弃来自非法源地址的包,不告警
restrict 丢弃来自非法源地址的包,发送syslog告警
shutdown(默认) 关闭端口,发送SNMP trap、Syslog 告警,除非管理员执行命令shut/no shut,否则端口一直处理down状态。
突破方法:代理服务器。用户在同一VLAN内能够对外访问的主机上安装代理服务器,通过代理访问。
测试4.使用VLAN,PVLAN隔离用户
原理:将授权用户和非授权用户划分到不同的VLAN中,并使用访问控制列表限制VLAN间的通讯。也可以使用PVLAN隔离使同一VLAN间某些主机之间不能直接通讯。。
interface range g 0/10
特殊办法:交换机Cisco 3550交换机还能支持在二层(交换)端口上设置mac/ip 访问控制列表,以下设置将使f0/1端口上的PC只能使用ip地址1.1.1.1及mac地址0000.0c31.ba9b,否则网络通讯不正常。
mac access-list extended macacl
突破方法:该用户跑到授权用户的机器上访问
这是非典型的突破方法,目前还没有很好的解决方法。
1.认证代理:用户访问特定资源前必须在某个网页上输入用户名和密码,否则不通
2.802.1x:用户通过802.1x认证同时由DHCP服务器分配IP地址,否则不通
3.PPPoE:用户需安装PPPoE客户端软件,使用用户名和密码登录网络才能使用
讨论更新:一位叫Maying的朋友看了本文之后到BBS发帖子询问:“如何在路由器上设置过滤掉某个特定mac地址的流量?不希望使用这个mac地址的主机通过路由器!”。
ip cef //Rate-limit 需要cef的支持,路由器可能默认未启用cef
这时候要注意,目标工作站到达该路由器之前不能经过其他三层设备,否则MAC地址会被改掉。
bridge irb //启用IRB支持
0
分享
收藏
114篇文章,48W+人气,21粉丝
Ctrl+Enter 发布
发布
取消
推荐专栏更多
掌握VMware超融合技术
共41章 | 王春海
¥51.00 346人订阅
容器私有云平台实践之路
共15章 | 李振良OK
¥51.00 596人订阅
网络工程师2.0进阶指南
共30章 | 姜汁啤酒
¥51.00 1566人订阅
高并发架构之路
共15章 | sery
¥51.00 507人订阅
前百度高级工程师的架构高可用实战
共15章 | 曹林华
¥51.00 462人订阅
猜你喜欢
扫一扫,领取大礼包
0
Mr2Left
转载于:https://blog.51cto.com/caihong/94626
MAC地址的访问控制相关推荐
- 海康威视工业相机MAC地址
阅读海康威视提供的相机SDK源码时,发现里面提到了高MAC地址和低MAC地址,打印下来是两个十进制数,而相机标签上贴的是MAC地址:C4-2F-90-F5-CE-3A,一时不知道这个高低位的排列顺序是 ...
- 交换机配置计算机mac地址吗,局域网管理,设置网络核心交换机,局域网电脑IP-MAC地址绑定...
IP地址与MAC地址的关系: IP地址是根据现在的IPv4标准指定的,不受硬件限制比较容易记忆的地址,长度4个字节.而 MAC地址却是用网卡的物理地址,保存在网卡的EPROM里面,与硬件有关系,比较难 ...
- 组播mac地址什么用_MAC地址到底是用来做什么的?
组播mac地址什么用 Every piece of hardware on your local network has a MAC address in addition to the IP add ...
- mac地址修改_快速更改WiFi MAC地址
想要快速修改自己的Mac地址吗?这里为大家推荐一款特别好用的修改工具,这款WiFiSpoof for Mac能够快速生成随机的Mac地址,这款生成的这些地址会每隔30分钟随机改变,可以将这些地址在工作 ...
- 24c04硬件地址位_一文读懂IP地址和MAC地址有什么区别和联系
IP地址和MAC地址虽然都叫地址,然而实际上却没有什么联系.先来看看什么是IP地址.MAC地址,在来谈谈他们之前的区别. 定义 一.MAC地址 MAC(Media Access Control或者Me ...
- mac地址厂商对应表_网络工程师一分钟搞懂MAC地址表知识点全部内容,建议收藏...
MAC(Media Access Control, 介质访问控制)地址是识别LAN节点的标识.网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM,它存储的是传输数据时真正赖以标识发出数据的电脑和接 ...
- 网络基础3-1(细谈IP协议头, 网络层,子网划分,路由选择,数据链路层,以太网帧格式,MAC地址,再谈ARP协议)
IP协议 IP协议头格式 4位版本号(version): 指定IP协议的版本, 对于IPv4来说, 就是4 4位头部长度(header length): IP头部的长度是多少个.32bit, 也就是 ...
- 解析IP地址与MAC地址
一.IP地址 对于IP地址,相信大家都很熟悉,即指使用TCP/IP协议指定给主机的32位地址.IP地址由用点分隔开的4个8八位组构成,如192.168.0.1就是一个IP地址,这种写法叫点分十进制格式 ...
- MAC地址和IP地址的关系
简单地说:ip地址是服务商给你的,mac地址是你的网卡物理地址. 一.IP地址 对于IP地址,相信大家都很熟悉,即指使用TCP/IP协议指定给主机的32位地址.IP地址由用点分隔开的4个8八位组构成, ...
最新文章
- 浅谈图网络在视觉任务中的应用
- php购物车源码免费下载,php购物车源码
- html src加载外部静态资源,前端性能优化2:静态资源加载与优化
- 【PP操作手册】创建公司间交易采购订单
- Linux如何在线修改hostname
- 《101 Windows Phone 7 Apps》读书笔记-ALARM CLOCK
- 轮播图高度自适应_【2020顶会NIPS】用于交通预测的自适应图卷积循环网络
- 矩阵和向量numpy
- 药物研发企业用哪个项目管理软件好?
- ci.php教程,CodeIgniter
- HiveSQL分位数函数percentile()使用详解+实例代码
- APP爬虫|frida-某资讯app逆向过程,带你一起使用 frida 进行完整逆向
- Myeclipse中java文件注释格式设置
- 人工智能革命,是创造就业还是摧毁就业?
- 参加论文写作课后心得体会
- BT05蓝牙模块使用教程
- PMP考试报名有什么硬性要求?你达标了吗?
- 存货账龄分析报表(下)
- 使用Eclipse Installer安装Eclipse
- 日常自写的小脚本 一
热门文章
- 【C语言】删除指定字符
- 第七次 java实验 紫金学院 异常
- 【2022图片素材】免费无版权图片素材网站 | PPT素材 | Word素材 | 吊打百度图片
- html js 循环取json数据,JS循环遍历JSON数据的方法
- 达梦DM8全备时报错:-8069 待备份数据文件无效
- vivado仿真注意事项总结
- 傲世状告山寨,索一元赔偿1
- 个人计算机市场排行,2017中国市场笔记本电脑排行榜Top50——查看:雷神911登顶...
- 脖子痛、腰痛、膝盖痛、髋关节痛...教你一招立马不痛了!
- 家用打印机费用成本高怎么办?