华为交换机上IP与MAC绑定,建立访问控制列表,实现只有经批准的PC才能接入网络。

1、  问题描述

华为交换机上IP与MAC绑定,建立访问控制列表,实现只有经批准的PC才能接入网络。

 

2、  解决方案

建立访问控制列表

>system-view            进入系统模式

]acl number 6000        建立访问控制列表

]rule 0 deny ip         首先禁止任何IP

]rule 1 permit ip source 1.1.1.111 0 destination 1.1.1.222 0           允许源ip访问目的IP

]rule 2  permit icmp source 1.1.1.111 0 destination 1.1.2.0 0.0.0.255    允许指定ip和指定网络内的主机ICMP

 

在下联二层交换机的端口上应用访问控制列表

]interface Ethernet1/0/48

]port access vlan id

]am user-bind mac-addr 6cf0-4987-cdee ip-addr x.x.x.x

]packet-filter inbound ip-group 6000 rule 0

]packet-filter inbound ip-group 6000 rule 1

]quit

>save


掌握MAC地址过滤技术的基本原理。 理解MAC地址过滤在网络安全中的应用,特别是在数据链路层的作用。 学会在eNSP平台上配置MAC地址过滤,控制网络中设备的接入。 实验环境: · 实验平台:华为eNSP模拟平台 · 网络设备:华为交换机(S系列交换机) · 设备配置:交换机PC、路由器等基础网络设备 实验任务: 1. 配置两个PC并连接到交换机,模拟局域网环境。 2. 在交换机上配置MAC地址过滤,限制特定设备的接入。 3. 通过模拟实验,验证MAC地址过滤的配置效果。 实验原理: MAC地址过滤技术的原理: · MAC地址(媒体访问控制地址)是设备的唯一标识,位于数据链路层。 · MAC地址过滤是一种基于设备MAC地址的访问控制机制,用于在交换机上配置允许或拒绝通过指定MAC地址的数据包。 · 通过配置交换机MAC地址表,交换机可以控制哪些设备能够访问网络。 常见MAC地址过滤方式: 1. 白名单:只允许特定MAC地址通过,其他设备被拒绝访问。 2. 黑名单:允许所有设备访问,除了被列入黑名单的设备,其他设备被拒绝。 实验步骤: 一、实验准备: 1. 启动eNSP,创建网络拓扑,共四台设备: o 2台PC连接到华为交换机的两个端口。 o 交换机配置接口IP,并连接到路由器(如配置默认网关)。 2. 配置交换机基本信息: o 设置交换机管理IP,配置默认网关。 o 确保交换机PC能够正常通信。 二、配置MAC地址过滤: 配置交换机端口MAC地址过滤: 1、在eNSP平台上打开交换机,进入命令行界面(CLI)。 2、配置MAC地址过滤白名单: [Switch] mac-address static <MAC地址> vlan <VLAN编号> interface GigabitEthernet 0/0/1 解释:允许MAC地址为<MAC地址>的设备通过接口GigabitEthernet 0/0/1接入交换机。 3、配置MAC地址过滤黑名单: [Switch] mac-address static <MAC地址> vlan <VLAN编号> interface GigabitEthernet 0/0/1 delete 解释:拒绝MAC地址为<MAC地址>的设备通过接口GigabitEthernet 0/0/1接入交换机。 验证MAC地址过滤:[Switch] display mac-address 使用PC发送数据包(例如,ping命令)验证是否能正常其他PC通信。 在PC1上输入ping <PC2的IP地址>,然后在PC2上执行同样的操作。 在交换机上查看MAC地址表,确认配置是否生效: 三、实验结果验证: 1. 验证白名单配置: o 如果配置了白名单,只有指定MAC地址PC能够通过交换机访问网络。其他MAC地址的设备无法访问。 o 使用ping命令测试非白名单设备,验证其是否被拒绝访问。 2. 验证黑名单配置: o 如果配置了黑名单,列入黑名单的设备无法通过交换机访问网络。其他设备仍然可以正常通信。 o 使用ping命令测试黑名单中的设备,验证其是否被拒绝访问。 四、实验总结扩展: 1. 总结MAC地址过滤的工作原理及其在网络安全中的作用。 2. 讨论MAC地址过滤的局限性: o MAC地址可以被伪造,MAC地址过滤无法防止伪造攻击。 o 适用于小型网络或内部网络环境,更大规模的网络需要结合其他安全措施,如IP地址过滤、ACL、802.1X认证等。 最终完成一份实验报告
03-08
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值