MAC地址访问控制在网络中的应用

    MAC地址是网络设备在全球的唯一编号，它也就是我们通常所说的:物理地址、硬件地址、适配器地址或网卡地址。MAC地址可用于直接标识某个网络设备，是目前网络数据交换的基础。

    现在大多数的高端交换机都可以支持基于物理端口配置MAC地址过滤表，用于限定只有与MAC地址过滤表中规定的一些网络设备有关的数据包才能够使用该端口进行传递。通过MAC地址过滤技术可以保证授权的MAC地址才能对网络资源进行访问。

    与802.1X协议不同，基于MAC地址访问控制不需要额外的客户端软件，当一个客户端连接到交换机上会自动地进行认证过程。基于MAC地址访问控制功能允许用户配置一张MAC 地址表，交换机可以通过存储在交换机内部或者远端认证服务器上面的MAC地址列表来控制合法或者非法的用户访问。

    下面是一个简单的网络示意图，在交换机的第1-12端口上开启了基于MAC地址的访问控制功能，在中心交换机的第6个端口上级联了一台2层设备，2层设备上连接了两台客户端主机，其中一台客户端的MAC地址在交换机的本地数据库中做过记录，而另外一台设备的MAC地址在交换机的本地数据库中没有记录。这样在数据库中没有记录MAC地址的客户端的通信就会被交换机所阻止从而拒绝其接入网络。
    
    【实验拓扑】

    下面在DES-3828交换机上来看一下基于MAC的访问控制的配置。下图是一个比较简单的小型网络，某个部门通过一台二层设备接入到核心交换机的第1个端口，此部门只有PC1允许接入到网络中，其他的计算机没有上网的资格。在交换机上开启MAC访问控制功能。需要实现的功能是允许PC1接入到网络，PC2不允许接入到网络中。

    【实验设备】DES-3828一台，测试PC 2台，网线若干。

    【实验步骤】

    
    
    enable mac_based_access_control 命令来启用交换机的MAC访问控制功能。

    config mac_based_access_control ports 1-12 state enable method local 将交换机的第1-12端口配置为启用MAC访问控制的端口，是基于交换机本地数据库的方式，也可以选择基于远端认证服务器的方式，这里我们选择的是基于本地数据库的方式。

    
    
    create mac_based_access_control_local mac 00-16-d3-b8-70-08 vlan default 这个命令添加用户的MAC地址到交换机本地数据库，并为其指定VLAN为默认的VLAN。
    
    
    
    这个命令用于查看在默认的VLAN里面有哪些合法的MAC地址。可以看到在默认的VLAN里面总共有1条MAC地址，是PC1的MAC地址， MAC地址和交换机MAC地址列表相匹配的客户机就允许接入到网络中，否则就拒绝其接入。

    
    
    show mac_based_access_control port这条命令可以查询某个端口的MAC访问控制是否开启，端口1的MAC访问控制已经开启。

    
    
    show mac_based_access_control auth_mac这个命令是用来查询在端口上面有哪些MAC地址被学习到，以及认证状态和所属的VLAN的信息。通过例子可以看出现在已经有一个客户机连接到了端口1上面，MAC地址如上，认证状态是已经通过认证，是合法的主机，所属的VLAN是默认VLAN。

    这时PC1可以通过交换机连接到Internet中，PC2由于没有通过交换机的基于MAC的认证而被交换机所阻止。

   【实验总结】

    基于MAC地址的访问控制对交换设备的要求不高，并且基本对网络性能没有影响，配置命令相对简单，比较适合小型网络，规模较大的网络不是适用。

    使用MAC地址访问控制技术要求网络管理员必须明确网络中每个网络设备的MAC地址，并要根据控制要求对交换机的MAC表进行配置;采用MAC地址访问控制对于网管员来说，其负担是相当重的，而且随着网络设备数量的不断扩大，它的维护工作量也不断加大。

    另外，还存在一个安全隐患，那就是现在许多网卡都支持MAC地址重新配置，非法用户可以通过将自己所用网络设备的MAC地址改为合法用户MAC地址的方法，使用MAC地址“欺骗”，成功通过交换机的检查，进而非法访问网络资源。

   【知识扩展】

    下面可以利用基于MAC的访问控制来配置Guest VLAN。

    测试PC在没有通过MAC认证的时候只能和V10中的文件服务器通信，但不能接入到Internet中，在通过了MAC地址认证以后，测试PC便被交换机自动地添加到了V20中，这样就可以接入到Internet了。

    首先在DES-3828交换机上配置VLAN信息。

    配置交换机的IP地址，并且将交换机的IP地址指定到V20 中进行管理。

    
    
    enable mac_based_access_control 启用MAC访问控制功能

    create mac_based_access_control guest_vlan default 将V10设置为Guest VLAN

    config mac_based_access_control guest_vlan ports 1-12 配置Guest VLAN 端口

    config mac_based_access_control ports 1-12 state enable method local

    1-12端口的认证方式为本地认证

   在PC1没有通过认证前，交换机的端口1是处于V10中，即Guest VLAN中。
    
    
    
    当PC1通过MAC地址认证以后，交换机的端口1被动态添加到了V20中。
    
    
    
    可以通过上面的命令来查询端口1下面MAC地址的认证状态，可以看到端口1下面的PC1的MAC地址的认证状态是已经通过认证，所属的VLAN是V20。