基于MAC地址的ACL配置

最新推荐文章于 2023-06-08 16:29:45 发布
最新推荐文章于 2023-06-08 16:29:45 发布
阅读量2.9k 收藏 4
点赞数 1
分类专栏: CCNA4 思科实验 文章标签: 网络 安全 macos
Panta rhei
本文链接:https://blog.csdn.net/m0_63624418/article/details/130787384
版权

基于MAC地址的ACL配置

【实验目的】

  1. 掌握基于MAC地址的标准ACL的配置。
  2. 验证配置。

【实验拓扑】

实验拓扑如图1所示。

 

图1 实验拓扑

设备参数如表所示

表1 设备参数表

设备

接口

IP地址

子网掩码

默认网关

S1

e0/0

N/A

N/A

N/A

e0/1

N/A

N/A

N/A

PC1

N/A

192.168.3.1

255.255.255.0

N/A

PC2

N/A

192.168.3.2

255.255.255.0

N/A

【实验内容】

  1. 验证连通性

 

2.配置基于MAC地址的ACL

IOU2(config)#hostname S1

S1(config)#mac access-list extended mac

S1(config-ext-macl)#deny host 00:50:79:66:68:01 any

S1(config-ext-macl)#permit any any

S1(config-ext-macl)#exit

S1(config)#interface e0/1

S1(config-if)#mac acc

S1(config-if)#mac access-group mac in

S1(config-if)#

S1(config-if)#end

S1#write

*May 20 22:36:04.308: %SYS-5-CONFIG_I: Configured from console by console

S1#write

Warning: Attempting to overwrite an NVRAM configuration previously written

by a different version of the system image.

Overwrite the previous NVRAM configuration?[confirm]

Building configuration...

Compressed configuration from 1463 bytes to 885 bytes[OK]

S1#

3.验证连通性

PC1不可以 ping不通PC2

PC2可以ping通PC1

 

4.【实验原理】

基于MAC地址的访问控制列表(MAC ACL)是一种网络安全机制,用于基于设备的物理地址(MAC地址)对网络流量进行过滤和控制。它可以在二层以太网交换机上实现。

MAC ACL的工作原理如下:

  1. MAC地址的识别:每个网络设备都有唯一的MAC地址,用于在局域网中唯一标识设备。MAC ACL使用这些MAC地址来识别和匹配网络流量。
  2. ACL规则定义:管理员可以创建MAC ACL规则,其中每个规则由一个允许或拒绝的动作以及一个或多个源和目标MAC地址组成。规则可以基于单个MAC地址、MAC地址范围或MAC地址的通配符匹配。
  3. ACL应用位置:MAC ACL通常应用于交换机的接口或VLAN上。通过将ACL应用于接口或VLAN,可以控制通过该接口或VLAN的流量。
  4. 匹配和处理:当数据包通过交换机的接口或VLAN时,交换机会检查数据包的源和目标MAC地址,并与已配置的MAC ACL规则进行匹配。如果匹配成功,将根据规则中定义的动作(允许或拒绝)来处理数据包。如果没有匹配到任何规则,默认情况下通常会执行默认操作(允许或拒绝)。
  5. 数据包处理:根据匹配结果,交换机可以采取以下操作:
  1. 允许数据包通过:如果数据包与允许规则匹配,交换机将允许数据包通过,继续转发到目标设备。
  2. 拒绝数据包:如果数据包与拒绝规则匹配,交换机将丢弃该数据包,不进行转发。
  3. 默认操作:如果数据包未匹配到任何规则,则执行预先配置的默认操作。默认操作可以是允许或拒绝。

MAC ACL的优点包括:

  1. 它提供了一种额外的安全层,可在二层网络中对特定MAC地址的流量进行细粒度控制。
  2. 它可以用于限制特定设备之间的通信,增加网络的安全性。
  3. 它对于防范MAC地址欺骗和ARP欺骗等攻击具有一定的防御作用。

然而,需要注意的是,MAC ACL的控制范围仅限于局域网内部,在广域网和跨网络通信方面并不起作用。此外,MAC地址可以被伪造或修改,因此对于更高级的网络安全需求,还需要综合使用其他安全措施和技术。

注:此实验可在gns3或eve-ng都可模拟

傻傻的心动
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
端口内基于MAC地址过滤的ACL访问控制
weixin_33910385的博客
09-30 7852
上一次的工程实例我们解决了CISCO3550交换机的某个端口下面如果只连接了一台主机时的端口安全设置方法,即只有指定的主机才能访问网络,其它的主机(以MAC地址为唯一标识)是无法通过CISCO的这个端口访问网络,这种措施虽然有效,但是却有一定的局限性,具体表现为CISCO3550交换机的很多端口下面是连接有交换机,而且还是普通的二层交换机,这也就相当于一个端口下面有多台主机通...
思科交换机接口配置trunk_思科交换机Mac ACL的应用配置
weixin_35663151的博客
12-24 2172
访问控制表(ACL)是许可证的一集并且拒绝情况,称为规则,提供安全,阻拦未授权的用户,并且允许授权用户访问特定资源。ACL能阻拦所有无保证的尝试到达网络资源。MAC ACL是第2层ACL网络设备检查帧并且根据帧的内容检查ACL规则。如果其中任一个规则匹配内容,许可证或在帧拒绝动作被采取。MacACL 里面去写mac的范围第一步:配置vlanSwitch(config)#vlan 10,20Sw...
ACL原理与配置
Mo_nor的博客
06-07 2440
3000~3999为高级acl,可以匹配源IP地址、目标IP、源端口号、目标端口、三层(icmp)和四层(tcp、udp)的协议字段。高级acl,尽量用在靠近源地址的地方,保护带宽(涉及协议的必须用高级acl,例:ping,http等)允许tcp协议的指定源地址访问192.168.3.30,然后将acl 3000配置给端口g0/0/1。2、结合其他协议(例:传输层的tcp、udp),ACL可以控制协议的流量能否通过。先允许指定的源地址通行,再拒绝所有源地址通行并配置给端口g0/0/0。
基于源MAC地址过滤异常报文的ACL+配置区别
03-28
基于源MAC地址过滤异常报文的ACL+配置区别
MAC ACL、RACL和VACL
奔跑的路
07-31 1343
原文地址:ACL、RACL和VACL">MAC ACL、RACL和VACL作者:心不在焉实验 ACL、RACL和VACL" TITLE="[转载]MAC ACL、RACL和VACL" /> 配置IP地址、VLAN及路由: SW1(config)#int range f0/1 - 2 SW1(config-if-range)#switchport mode access SW1(config-if
MAC OS X的ACL扩展权限设置
weixin_30652897的博客
08-05 486
在WEB开发时,网站是以_www的用户运行的,而我在本地是以liuwencan的用户编辑的。这就带来一个问题:如果所有文件属于liuwencan,那么网站运行需要写文件时就因无权限而失败;如果所有文件属于_www,那么liuwencan则需要sudo获取权限才能写进去。最郁闷的是使用git合并的时候,如果忘了加sudo,就会因权限不足提示大量的合并失败,需要先回滚,再重合并下,甚是不爽...
如何配置Cisco路由器ACL访问控制列的实际案例
10-01
这些配置确保了网络的正常通信,为后续的ACL配置打下了基础。 在配置ACL时,可能需要根据需求在R1的接口上应用ACL,例如只允许特定IP地址或范围的主机访问特定的服务。例如: ```conf R1(config)#access-list 101 ...
WinServer2008 r2中配置DHCP服务器华为交换机作为中继并基于mac地址划分vlan为pc分配IP(详细).docx
01-17
Vlan划分是基于mac地址,不是端口划分vlan,这样到好处是当pc切换端口后不会因为端口改变而改变vlan 虚拟网卡IP地址 192.168.56.1 Vlan2 IP地址 192.168.56.2(虚拟网卡192.168.56.1的网关) vlan3 IP地址 192....
Cisco ACL 配置详解.
12-15
基于名称的访问控制列表举例式: router(config)#ip access-list standard softer 建立了一个名为softer的标准访问控制列表。 router(config-std-nacl)#permit 1.1.1.1 0.0.0.0 router(config-std-nacl)#permit 2.2....
ACL配置zip
12-20
二层ACL用于过滤基于MAC地址的数据帧。 2. **规则**:ACL由一系列规则组成,每个规则定义了允许或拒绝的数据包特征,如源IP地址、目的IP地址、端口号等。 3. **匹配顺序**:规则按照其编号顺序进行匹配,编号小的...
H3C交换机-黑名单、MAC绑定和ACL组合配置举例
12-11
H3C交换机-黑名单、MAC绑定和ACL组合配置举例包括-黑名单、MAC绑定和ACL端口设置等
201003NTWK@利用ACL绑定交换机端口与终端MAC地址
interprold的博客
10-28 1078
201003NTWK@利用ACL绑定交换机端口与终端MAC地址 S 工作区要求除了允许的机器外,其他机器不能通过网线连接网络面板的方式接入网络,且已有机器不允许随意更改位置。于是想到在交换机上设置ACL,只允许特定MAC的包通过。 1 经查询,华为交换机支持二层ACL,其过滤规则可检查MAC帧。 华为交换机二层ACL的编号为4000-4999,编号在此区间的ACL自动建立为二层ACL。 由于工作区环境为瘦客户端连接虚拟机的模式,所以硬件上的位置不会变动。故考虑在每一个端口上设置一个ACL,在入方向上,其
13-MAC ACL实验 //网上IOU
weixin_34362991的博客
07-06 136
一、实验拓扑:二、实验要求:1、未部署MAC ACL前,PC1可以Ping通PC2;2、SW1的e0/0口部署MAC ACL,重启所有拓扑设备;3、验证:查看PC1是否仍然可以Ping通PC2![]三、命令部署:1、部署MAC ACL技术:SW2(config)#mac access-list extended jujue //命名MAC ACLSW2(config-ext-macl)#de...
华为企业网络设备通过MAC地址关联ACL限制访问
NeverGUM的博客
08-05 4918
实验需求,主机A,B,C同属于vlan10,现在想让主机A和B不能互访,然后主机C可以分别与他们通信。 我们可以通过ACL4000来实现。 拓补图如下 代码如下 LSW1: # sysname test # undo info-center enable # vlan batch 10 # dhcp enable # acl number 4000 rule 5 deny des...
MAC ACL、RACL和VACL
weixin_30377461的博客
02-20 425
拓扑结构: 配置IP地址、VLAN及路由: SW1(config)#int range f0/1 - 2SW1(config-if-range)#switchport mode accessSW1(config-if-range)#switchport access vlan1SW1(config)#int range f0/3 - 4SW1(config-if-range)...
6/6 ACL原理与配置
m0_72359405的博客
06-08 288
3000-3999:高级ACL 既可以匹配源ip,目标ip,源端口号,目标端口,三层和四层的协议字段 icmp tcp udp。在这个接口的地方定义N条规则进行筛选过滤数据包,如果匹配就放行,如果拒绝就丢弃,规则判定全部结束之后会进入一个隐藏的规则。4000-4999:根据数据包的macmac地址、目的mac地址,802.lq 优先级,二层协议。一个接口的方向只能调用一个ACL,一个ACL配置多条规则,从上往下依次匹配,匹配即停止。根据ip数据包去与回时的原目的ip地址,选择在入站或出站时应用ACL
HCIE-Security Day47:AC准入控制MAC
小梁的博客
08-23 1790
MAC认证是一种基于接口和终端MAC地址对用户的访问权限进行控制的认证方法。
H3C acl配置举例
qq_20127559的博客
10-16 4270
ACL配置举例
aruba无线控制器配置——基于mac地址认证的网络
最新发布
09-21
aruba无线控制器是一种用于配置和管理无线网络的设备,可以通过基于MAC地址认证的方式来控制网络访问。下面是基于MAC地址认证的网络配置过程: 首先,需要在aruba无线控制器上配置无线网络设置。可以为网络指定一个唯一的SSID(Service Set Identifier),设置加密方式和密码,并选择用于访问控制的MAC认证方式。 接下来,需要创建一个访问控制列表(ACL),用于定义哪些设备有权限连接到无线网络ACL可以通过在该列表中添加允许连接的设备的MAC地址来实现MAC地址认证。可以根据需要创建不同的ACL,以便为不同的用户或设备组分配不同的访问权限。 在ACL配置完成后,需要将其应用到相应的无线网络设置上。这样,只有在ACL中的设备才能够连接到该无线网络。 最后,可以测试配置的无线网络是否正常工作。可以使用一个已经添加到ACL中的设备尝试连接到无线网络,如果成功连接并获得网络访问权限,则表示配置成功。 基于MAC地址认证的网络配置可以提供更高级别的安全性,因为只有在ACL中列出的设备才能够连接到该网络。这种配置适用于对网络访问控制有严格要求的场景,如企业、学校或公共场所的无线网络。同时,也需要定期更新ACL,以确保只有合法的设备可以连接到网络

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

傻傻的心动

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值