返回
用户地址与访问控制

用户地址与访问控制

ID:10402626

大小:56.50 KB

页数:3页

时间:2018-07-06

用户地址与访问控制_第1页
用户地址与访问控制_第2页
用户地址与访问控制_第3页
资源描述:

《用户地址与访问控制》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、用户地址与访问控制~教育资源库  在网络管理工作中,常常会碰到这样的情况:某些用户违反管理规定,私自修改自已的IP地址,以达到访问受限资源的目的。这样的行为,不但破坏了信息安全规则,还可能因为地址冲突引起网络通讯故障。  网管管理员可能会试图使用如后文所述的各种技术手段来解决这一问题,但效果不一定很理想:首先技术手段无法完全阻止这种现象的发生,其次是增加了管理的复杂性和成本。所以遏制这种现象最有效的方法是行政手段,这是技术手段所无法替代的。  在介绍这些管理手段之前我们先来看一个模拟的环境:工作站PC和SERVER连接到一台CiscoCatalyst

2、3550交换机上,它们分属不同的VLAN,借助3550的路由功能进行通讯(附交换机配置):    hostnameCisco3550  !  interfaceGigabitEther0/11  descriptionConnecttoPC  !  interfaceGigabitEther0/12  descriptionConnecttoSERVER  size.buddy.org/021011.html。静态的分配和设置需要较多管理开销,如果用户不捣乱的话,由于用户名和IP地址一一对应,维护起来比较方便,以下均假设采用的是静态的管理方法。  测

3、试1.假设VLAN1内只允许IP1.1.1.1访问Server:2.1.1.1,其它访问全部禁止。  限制方法:使用IP访问控制列表  interfaceVlan1  ipaddress1.1.1.254255.255.255.0  ipaccess-group100in  !  access-list100permitiphost1.1.1.1host2.1.1.1  突破方法:非法用户将IP地址自行改为1.1.1.1即可访问Server。非法用户抢占地址1.1.1.1将会引起IP地址冲突问题。如果用户将IP地址设成网关的IP,还会影响到整个VLA

4、N的通讯。通过修改AC地址。如果该PC更换MAC地址,默认将会使用端口置于shutdoPtrap、Syslog告警,除非管理员执行命令shut/noshut,否则端口一直处理down状态。  突破方法:代理服务器。用户在同一VLAN内能够对外访问的主机上安装代理服务器,通过代理访问。  测试4.使用VLAN,PVLAN隔离用户  原理:将授权用户和非授权用户划分到不同的VLAN中,并使用访问控制列表限制VLAN间的通讯。也可以使用PVLAN隔离使同一VLAN间某些主机之间不能直接通讯。。  interfacerangeg0/10  descripti

5、onConnecttoPC1  switchportaccessvlan7  interfacerangeg0/11  descriptionConnecttoPC2  swit12下一页友情提醒:,特别!chportaccessvlan8  特殊办法:交换机Cisco3550交换机还能支持在二层(交换)端口上设置mac/ip访问控制列表,以下设置将使f0/1端口上的PC只能使用ip地址1.1.1.1及mac地址0000.0c31.ba9b,否则网络通讯不正常。  macaccess-listextendedmacacl  permithost000

6、0.0c31.ba9bany  permitanyhost0000.0c31.ba9b  interfaceFastEther0/1  noipaddress  ipaccess-groupipaclin  macaccess-groupmacaclin  ipaccess-listextendedipacl  permitipanyhost1.1.1.1  permitiphost1.1.1.1any  突破方法:该用户跑到授权用户的机器上访问  这是非典型的突破方法,目前还没有很好的解决方法。  其他可能的限制方法:  1.认证代理:用户访问特定

7、资源前必须在某个网页上输入用户名和密码,否则不通  2.802.1x:用户通过802.1x认证同时由DHCP服务器分配IP地址,否则不通  3.PPPoE:用户需安装PPPoE客户端软件,使用用户名和密码登录网络才能使用  讨论更新:一位叫Maying的朋友看了本文之后到BBS发帖子询问:如何在路由器上设置过滤掉某个特定mac地址的流量?不希望使用这个mac地址的主机通过路由器!。  这个要求比较新鲜。当你针对一个MAC地址进行过滤的时候,这一动作发生在第二层。而路由器一般执行的是第三层路由的任务,只有很少情况下做桥接的时候才对进入的MAC地址进行过

8、滤,所以这样的过滤最好设置在二层交换设备上。  但这个要求对路由器来说也不是不可能的任务,麦子使用以下配置达

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。