设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡华为认证≡□≡ HCIA学习资料 局域网安全-mac认证之下发ACL
返回列表 发新帖
查看: 3030|回复: 4
收起左侧

[原创] 局域网安全-mac认证之下发ACL

[复制链接]
微微一笑
发表于 2016-1-20 14:33:31 | 显示全部楼层 |阅读模式
局域网安全-mac认证之下发AC
1. 组网需求
如图所示,用户主机Host通过端口GigabitEthernet1/0/1连接到设备上,设备通过RADIUS服务器对用户进行认证、授权和计费,Internet网络中有一台FTP服务器,IP地址为10.0.0.1。现有如下组网需求:
·              在端口GigabitEthernet1/0/1上对用户接入进行MAC地址认证,以控制其对Internet的访问。认证时使用用户的源MAC地址做用户名和密码,其中MAC地址带连字符、字母小写。
·              当用户认证成功上线后,允许用户访问除FTP服务器之外的Internet资源。
2. 组网图
下发ACL典型配置组网图

图片1.png

3. 配置步骤
说明
·       确保RADIUS服务器与设备路由可达。
·       由于该例中使用了MAC地址认证的缺省用户名和密码,即使用用户的源MAC地址做用户名与密码,因此还要保证RADIUS服务器上正确添加了接入用户帐户:用户名为00-e0-fc-12-34-56,密码为00-e0-fc-12-34-56。
·       指定RADIUS服务器上的授权ACL为设备上配置的ACL 3000。
(1)      配置授权ACL
# 配置ACL 3000,拒绝目的IP地址为10.0.0.1的报文通过。
<Sysname> system-view
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule 0 deny ip destination 10.0.0.1 0
[Sysname-acl-adv-3000] quit
(2)      配置使用RADIUS服务器进行MAC地址认证
# 配置RADIUS方案。
[Sysname] radius scheme 2000
[Sysname-radius-2000] primary authentication 10.1.1.1 1812
[Sysname-radius-2000] primary accounting 10.1.1.2 1813
[Sysname-radius-2000] key authentication simple abc
[Sysname-radius-2000] key accounting simple abc
[Sysname-radius-2000] user-name-format without-domain
[Sysname-radius-2000] quit
# 配置ISP域的AAA方法。
[Sysname] domain 2000
[Sysname-isp-2000] authentication default radius-scheme 2000
[Sysname-isp-2000] authorization  default radius-scheme 2000
[Sysname-isp-2000] accounting default radius-scheme 2000
[Sysname-isp-2000] quit
# 开启全局MAC地址认证特性。
[Sysname] mac-authentication
# 配置MAC地址认证用户所使用的ISP域。
[Sysname] mac-authentication domain 2000
# 配置MAC地址认证用户名格式:使用带连字符的MAC地址做用户名与密码,其中字母小写。
[Sysname] mac-authentication user-name-format mac-address with-hyphen lowercase
# 开启指定端口的MAC地址认证特性。
[Sysname] interface gigabitethernet 1/0/1
[Sysname- GigabitEthernet1/0/1] mac-authentication
(3)      验证配置结果
用户Host认证成功后,通过在设备上执行display connection命令可以查看到已上线用户信息。
[Sysname- GigabitEthernet1/0/1] display connection
Slot:  1
Index=29  ,Username=aaa@2000
IP=N/A
IPv6=N/A
MAC=00e0-fc12-3456
Total 1 connection(s) matched on slot 1.
Total 1 connection(s) matched.
用户通过ping FTP服务器,可以验证认证服务器下发的ACL 3000是否生效。
C:\>ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.0.0.1:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Internet, IP地址, 局域网, 用户名, 服务器

相关帖子
回复

使用道具 举报

relax_lml
发表于 2016-3-16 15:32:10 | 显示全部楼层
谢谢共享资料
板凳 2016-3-16 15:32:10 回复 收起回复
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-5-11 14:14 , Processed in 0.147377 second(s), 27 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表