鸿鹄论坛 › HCIA学习资料 › 局域网安全-mac认证之下发ACL

微微一笑 发表于 2016-1-20 14:33:31

局域网安全-mac认证之下发ACL

局域网安全-mac认证之下发AC
1. 组网需求如图所示，用户主机Host通过端口GigabitEthernet1/0/1连接到设备上，设备通过RADIUS服务器对用户进行认证、授权和计费，Internet网络中有一台FTP服务器，IP地址为10.0.0.1。现有如下组网需求：·            在端口GigabitEthernet1/0/1上对用户接入进行MAC地址认证，以控制其对Internet的访问。认证时使用用户的源MAC地址做用户名和密码，其中MAC地址带连字符、字母小写。·            当用户认证成功上线后，允许用户访问除FTP服务器之外的Internet资源。2. 组网图下发ACL典型配置组网图


3. 配置步骤说明 ·       确保RADIUS服务器与设备路由可达。·       由于该例中使用了MAC地址认证的缺省用户名和密码，即使用用户的源MAC地址做用户名与密码，因此还要保证RADIUS服务器上正确添加了接入用户帐户：用户名为00-e0-fc-12-34-56，密码为00-e0-fc-12-34-56。·       指定RADIUS服务器上的授权ACL为设备上配置的ACL 3000。 (1)      配置授权ACL# 配置ACL 3000，拒绝目的IP地址为10.0.0.1的报文通过。<Sysname> system-view acl number 3000 rule 0 deny ip destination 10.0.0.1 0 quit(2)      配置使用RADIUS服务器进行MAC地址认证# 配置RADIUS方案。 radius scheme 2000 primary authentication 10.1.1.1 1812 primary accounting 10.1.1.2 1813 key authentication simple abc key accounting simple abc user-name-format without-domain quit# 配置ISP域的AAA方法。 domain 2000 authentication default radius-scheme 2000 authorizationdefault radius-scheme 2000 accounting default radius-scheme 2000 quit# 开启全局MAC地址认证特性。 mac-authentication# 配置MAC地址认证用户所使用的ISP域。 mac-authentication domain 2000# 配置MAC地址认证用户名格式：使用带连字符的MAC地址做用户名与密码，其中字母小写。 mac-authentication user-name-format mac-address with-hyphen lowercase# 开启指定端口的MAC地址认证特性。 interface gigabitethernet 1/0/1 mac-authentication(3)      验证配置结果用户Host认证成功后，通过在设备上执行display connection命令可以查看到已上线用户信息。 display connectionSlot:1Index=29,Username=aaa@2000IP=N/AIPv6=N/AMAC=00e0-fc12-3456Total 1 connection(s) matched on slot 1.Total 1 connection(s) matched.用户通过ping FTP服务器，可以验证认证服务器下发的ACL 3000是否生效。C:\>ping 10.0.0.1Pinging 10.0.0.1 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 10.0.0.1:    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

微微一笑 发表于 2016-2-16 15:03:18

{:6_267:}{:6_267:}{:6_267:}

relax_lml 发表于 2016-3-16 15:32:10

谢谢共享资料

微微一笑 发表于 2016-4-6 16:46:39

{:6_267:}{:6_267:}{:6_267:}

微微一笑 发表于 2016-4-10 09:44:18

{:6_267:}{:6_267:}{:6_267:}

查看完整版本: 局域网安全-mac认证之下发ACL