Thomson

一个熟悉网络及网络安全的家伙

MAC地址筛选器及交换机设置 ——预防非认证MAC电脑接入网络

發布於
修訂於

需求:某工厂为预防非公司用户或非信息部人员私自接入电脑设备,在未经信息部允许的情况下,使用有线网络访问南昌各网络服务及服务器资源,造成病毒传播及信息泄露;特对有线网络进行MAC认证设置,以保证有线网络的使用安全。

测试拓扑:

测试步骤: 1:设置DHCP筛选器 2:对华为、H3C交换机进行端口参数设置

测试步骤:

1:设置DHCP筛选器

2:对华为、H3C交换机进行端口参数设置

华为交换机测试:

1:启用DHCP服务的筛选器:

2:如下图所示,将需要正常访问网络资源的计算机MAC地址添加到允许列表

如下图所示,可以看到,在允许列表中的计算机能正常ping通DHCP服务器及网关

筛选器的缺点:虽然不存在允许列表中的电脑无法通过DHCP进行IP地址分配,但用户若知道该网段的地址列表,则可以通过手动设置IP地址进行网络连接。如下图,用户手动设置了IP地址,则用户同样能PING通DHCP服务器和网关。

为了解决DHCP筛选器的缺点,我们可以对华为交换机进行如下设置

1:全局启用dhcp enable

2:全局启用dhcp snooping enable

3:在除级联口外的所有需要接终端的交换机端口下启用如下命令:

如下图,虽然手动设置了IP地址,但不在允许列表中的计算机无法访问DHCP和网关

以上是华为交换机(S5700系列)结合DHCP筛选器对计算机MAC地址进行的认证设置

H3C交换机测试:

1:启用DHCP服务的筛选器(截图略,请返回参考前面的截图)

2:全局启用dhcp enable

3:全局启用dhcp snooping enable

4:在除级联口外的所有接终端接口启用如下命令:

以上为DHCP筛选器配合交换机(华为,H3C)进行MAC认证访问网络的测试。

喜歡我的文章嗎?
別忘了給點支持與讚賞,讓我知道創作的路上有你陪伴。

CC BY-NC-ND 2.0 版權聲明

看不過癮?

一鍵登入,即可加入全球最優質中文創作社區