开发者社区> 科技小能手> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

网络安全性——基于MAC地址的端口接入认证

简介:
+关注继续查看

前面小编写过一篇基于802.1x协议的接入认证,这是实现网络安全性的一种常用手段,但是前提是客户机需要通过相应的媒介(认证软件)来实现接入认证,那么万一客户并不想那么费事,希望一切都由服务提供商来解决呢,这个当然不是问题,今天小编我就来介绍一种让用户省事的接入型认证,那就是基于用户MAC地址来进行接入认证,其原理就是使用用户的MAC地址作为用户的用户名和密码,当用户接入网络的时候,会发送数据帧,而网络设备通过获取用户的用户名和密码来进行相应的认证,当然这种认证可以是网络设备本身负责认证工作,也可以将认证任务交给AAA服务器来完成,小编这里将这两种方式都实现一下,整体的实现比较的简单,小编这里细细说来。

网络设备本地认证实验拓扑:

clip_image002

实验设备:华为S2000交换机一台,PC机两台

Step 1:

给两台PC机设置IP,PC1——192.168.102.100

PC2——192.168.102.200

测试在未设置接入认证前,两机通信情况PC1上Ping PC2

clip_image004

Setp 2:在交换机上设置接入认证机制,但先不设置本地信任账户,所以会导致两台主机无法通信

交换机配置:

[sw]mac-authentication //交换机在全局配置模式下开启MAC认证

[sw]int eth 1/0/1 //进入接口1

[sw-Ethernet1/0/1]mac-authentication //开启接口1的MAC认证

[sw]int eth 1/0/2 //进入接口1

[sw-Ethernet1/0/2]mac-authentication //开启接口1的MAC认证

在测试两机的网络连通性再PC1上Ping PC2

clip_image006

Setp 3:在交换机上添加两个合法的本地登录账号和密码(两台PC的MAC),让两台PC通过认证

PC1的MAC 000C29F4C65A

PC2的MAC 3CE5A6CE1891

[sw]local-user 000C29F4C65A //添加账户一

[sw-luser-000c29f4c65a]password simple 000c29f4c65a //明文密码一定要是小写

[sw-luser-000c29f4c65a]service-type lan-access //设置本地登录

[sw]local-user 3CE5A6CE1891 //添加本地账户二

[sw-luser-3ce5a6ce1891]password simple 3ce5a6ce1891 //明文密码一定要是小写

[sw-luser-3ce5a6ce1891]service-type lan-access //设置本地登录

再次测试两台PC的连通性

clip_image008

     这样一来小编的实验也就完成了,可是这种方式只能够针对于一些小型企业,针对与通信运营商来说,不可能把账户信息存放于网络设备中的,因此会借助于AAA认证来完成一系列的工作的,对于认证服务器,小编这里给出了两种,一种是微软的IAS,还有就是思科的ACS(相当强大)

下面就是小编要实现的拓扑:

clip_image010

实验设备:华为S2000交换机一台,PC机两台,radius服务器一台(使用windows server 2003 搭建的)

IP地址规划:

PC1——192.168.102.100

PC2——192.168.102.200

SW vlan1——192.168.102.253

Radius服务器——192.168.102.254

PC1的MAC 3CE5A6583E7E

PC2的MAC 3CE5A6CE1891

Setp 1:配置sw

[sw]mac-authentication //交换机在全局配置模式下开启MAC认证

[sw]int eth 1/0/1 //进入接口1

[sw-Ethernet1/0/1]mac-authentication //开启接口1的MAC认证

[sw]int eth 1/0/2 //进入接口1

[sw-Ethernet1/0/2]mac-authentication //开启接口1的MAC认证

[sw]int vlan 1 //进入vlan接口模式

[sw-Vlan-interface1]ip address 192.168.102.253 255.255.255.0 //设置IP地址

[sw]radius scheme radius //建立radius认证模式,模式名为radius

[sw-radius-radius]primary authentication 192.168.102.254 //设置主验证服务器地址

[sw-radius-radius]key authentication 123456 //设置验证预共享密钥

[sw-radius-radius]accounting optional //设置审计可选

[sw-radius-radius]server-type standard //设置服务类型为标准

对于认证用户有一个区域的概念,小编这里就当主机PC都在一个区域里吧,交换机自带有一个默认区域system,那么小编就直接用就是了

[sw]domain system //进入区域

[sw-isp-system]radius-scheme radius //设置radius认证模式为小编自己建的radius

[sw-isp-system]accounting optional //设置审计可选

[sw-isp-system]access-limit enable 10 //设置同时接入认证用户为10个,可以自由修改啦

Step 2:radius服务器的搭建与配置,这里有两种分别是IAS和ACS

IAS 的搭建配置,小编这里以截图来演示

clip_image012

打开之后按照以下三步走

clip_image014

之后勾选“Internet 验证服务”

clip_image016

最后单击下一步进行安装

安装完成之后打开Internet 验证服务

clip_image018

打开之后新建radius客户端,注意这里的radius客户端就是网络设备SW

clip_image020

点击完之后就会要求输入radius客户端的信息,输入点击下一步

clip_image022

之后会选择客户端供应商,默认即可,填入预共享密钥123456

clip_image024

点击完成即可

clip_image026

看到了吧,这就是小编的radius客户端啦

当然读者还要注意,要修改一下“远程访问策略“,如果不清楚的话可以只留一个策略,结果如下图

clip_image028

 

还要添加用户账户和密码啦,右键“我的电脑”—》“管理”,打开本地用户和组

clip_image030

定位到“用户“子项,右键选择”新用户“

clip_image032

创建PC1用户

clip_image034

创建PC2用户

clip_image036

修改两个用户,允许远程接入

clip_image038

clip_image040

clip_image042

测试试试,在PC1上ping PC2

clip_image044

PC2 上ping PC1

clip_image046

接下来来实现ACS

在安装ACS之前最好把IAS给卸载掉,以免监听端口冲突,同时ACS是依托于java虚拟机的,所以要安装jdk,小编这里用的是jdk7,ACS4.0, 至于jdk的安装小编就不细讲了,直接双击下一步就是了

安装ACS

clip_image048

clip_image050

clip_image052

clip_image054

clip_image056

clip_image058

clip_image060

clip_image062

clip_image064

clip_image066

clip_image068

clip_image070

clip_image072

clip_image074

clip_image076

clip_image078

clip_image080

另外一个用户的添加相同

clip_image082

之后打开日志成功访问审计功能

clip_image084

clip_image086

测试试试,在PC1上ping PC2

clip_image088

PC2 上ping PC1

clip_image090

查看ACS的日志审计看看

clip_image092

clip_image094

好了,到此为止所有的工作都完成了,读者可以做一下扩展,比如说在不同网段实现认证(小编这里都是相同网段的,企业不会这么来干的),以上所有仅仅是给读者一个基础的学习引导,希望对读者你有所帮助啊


本文转自 chenming421  51CTO博客,原文链接:http://blog.51cto.com/wnqcmq/1177774


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
【直播】直播预告 | 云原生游戏第4讲:游戏服的网络接入和状态管理【直播已生成回放】
2022 年 11 月 29 日(周二)阿里云容器服务高级工程师 & 云原生游戏负责人,刘秋阳将会为大家详细介绍 OKG 的网络插件功能,一键式部署游戏服南北向网络,OKG 的自定义服务质量功能,以及自动化地感知并管理游戏服状态。
0 0
MWCS手记:英特尔加速5G网络转型 核心、边缘、接入一个都不能少!
随着近日5G独立组网(SA)NR标准冻结,5G的商用步伐从散步变成慢跑、快跑,到现在已经开始疾速奔跑,这也意味着5G技术方案验证及应用步入关键阶段。作为一家基础设施核心技术供应商,英特尔一直站在推进5G发展的前沿,并与全球的运营商和制造商合作,推动5G网络的大规模转型。
0 0
跨云厂商网络接入&数据迁移
从华为云、腾讯云接入/搬站到阿里云网络时,暴露数据库公网 IP 有安全隐患,使用传统的 IPSec VPN 配置 VPN 网关过程繁琐,且连接带宽和速度不稳定,传输大量数据耗时很久。通过将 SAG vCPE 镜像部署在您网络的宿主机中,使宿主机作为一个 CPE(Customer-premises equipment)设备为您提供上云服务,突破了物理的限制,更加灵活地帮您将网络接入阿里云。
0 0
云无线接入网络的前向回传感知设计 | 带你读《5G系统关键技术详解》之十一
云无线接入网络(C-RAN,Cloud Radio Access Network)是第五代(5G,Fifth Generation)无线蜂窝网络的新兴范例,传统的物理层基站(BS,Base Station)传输和接 收基础设施使用云计算技术进行虚拟化。
0 0
动态无线接入网络 | 《5G移动无线通信技术》之九
本节主要讲述了动态无线接入网络。动态无线接入(DyRAN)以动态的方式集成了所有元素,成为多无线接入技术环境。
0 0
从网络接入层到 Service Mesh,蚂蚁金服网络代理的演进之路
蚂蚁金服 Service Mesh 落地系列继续,加了语音导读,详细介绍蚂蚁金服网络代理在接入层以及 Service Mesh 化道路上是如何一步步支撑起秒级百万支付,千万春晚咻一咻的
257 0
蚂蚁金服 mPaaS 服务端核心组件:亿级并发下的移动端到端网络接入架构解析
本文结合贾岛分享内容《亿级并发下的蚂蚁移动端到端网络接入架构》,着重探讨网络接入架构在蚂蚁金服体系内如何演进、如何应对“新春红包”等亿级并发挑战、以及相应的技术架构实践与优化思路如何在 mPaaS 中得到沉淀。
1746 0
以网游服务端的网络接入层设计为例,理解实时通信的技术挑战
本文参考并引用了部分腾讯游戏学院的相关技术文章内容,感谢原作者的分享。 1、前言 以现在主流的即时通讯应用形态来讲,一个完整的即时通讯IM应用其实是即时通信(英文简写:IM=Instant messaging)和实时通信(英文简写:RTC=Real-time communication)2种技术组合在一起的一整套网络通信系统。
3193 0
文章
问答
文章排行榜
最热
最新
相关电子书
更多
可预期数据中心网络
立即下载
可编程网络视角的网络创新研究
立即下载
思科软件定义访问:实现基于业务意图的园区网络
立即下载