Hvordan kan en Switch konfigureres til å hindre uautorisert Hosts Fra tilgang til et nettverk?

Hvordan kan en Switch konfigureres til å hindre uautorisert Hosts Fra tilgang til et nettverk?


Brytere kobler datamaskiner på en teoretisk "lag" av kommunikasjon, kjent som datalinknivået. Kommunikasjon på data link, eller "lag 2" nivå, ikke er avhengig av IP-adresser for å kommunisere, så tradisjonelle IP-basert tilgangskontroll lister vil ikke fungere for å begrense tilkoblinger på en bryter. Siden brytere bruke Media Access Control (MAC) adresser, kan du gjennomføre en serie med MAC tilgangskontrollister (ACL) for å begrense tilgangen til bryteren til bare de delene av maskinvare lov til å koble til.

Bruksanvisning

1 Logg inn bryteren administrasjonsgrensesnitt. Mange enterprise-nivå brytere krever en telnet program og et kommandolinjegrensesnitt (CLI), mens andre bruker en web-basert, grafisk grensesnitt.

2 Skriv inn MAC access-liste konfigurasjonsmodus. På Cisco-svitsjer, gjøres dette ved å skrive "mac access-list utvidet [navn]" og trykke "enter". "[Navn]" er noen alfanumerisk navnet du ønsker å gi din liste. I et web-basert nettleser system, slik som Netgear Prosafe bryteren, dette vil bare kreve å finne riktig fane eller menyvalget.

3 Skriv inn ordet "tillatelse, etterfulgt av MAC-adressen til en maskin og" 0000.0000.0000 "for å indikere bare noen eksakt match på den aktuelle adressen skal evalueres. Følg dette med" alle alle "(" noen "to ganger) eller brytere tilsvarende for en variabel angis hvilken som helst adresse i nettverket kommandoen bør til slutt se slik ut: ". tillatelse 00f2.42e9.1234 0000.0000.0000 alle alle."

4 Gjenta trinn 4 for hver MAC-adressen du ønsker å tillate.

5 Type "nekte noen noe" når du har fullført legge inn alle de gyldige MAC-adresser. Dette vil stoppe noen ramme blir overført hvis kilden adressen ikke stemmer med noen av de ovennevnte MAC ACL regler.

6 Aktiver MAC ACL for bryteren.

Hint

  • Hvis nettverket består av mange datamaskiner som er kjøpt på samme tid, kan du være i stand til å gi et enkelt, nøye maskert ACL uttalelse som omfatter alle nettverksadaptere. Dette er fordi skaperne av nettverkskort, hver og en av disse er brent med en unik MAC-adresse, blir utstedt et visst utvalg av MAC-adresser til enhver tid. Innkjøp datamaskiner fra samme produsent samtidig alle, men forsikrer at de første fire til seks heksadesimale tall vil være den samme. Derfor kan en kommando gis som ser bare på tallene som vil endre, for eksempel "tillatelse 00f2.42e9.1234 0000.00hh.hhhh alle alle." I dette eksempelet, vil bare de første seks tallene bli evaluert for vurdering.
  • Cisco-svitsjer tillate lime av kommandoer via en Telnet-grensesnitt. Tenk å skrive ut listen over kommandoer i en enkel notisblokk program, plassere et linjeskift før hver. Dette vil tillate deg å løse eventuelle skrivefeil og sikre at alle MAC-adressen er inkludert, før påføring av konfigurasjon.
  • Sørg for å inkludere MAC-adressen til maskinen du bruker til å konfigurere bryteren. Å bli låst ut av bryteren halvveis gjennom kan være problematisk.
  • Tilbake opp den opprinnelige konfigurasjonen før du begynner på arbeid. Dette vil tillate deg å angre noen endring i tilfelle den nye konfigurasjonen fungerer ikke.