一、MAC 地址认证概述:
MAC 地址认证是一种基于端口和MAC 地址对用户的网络访问权限进行控制的 认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC 地址认证的端口上首次检测到用户的MAC 地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC 地址就被添加为静默MAC 。在静默时间内(可通过静默定时器配置),来自此MAC 地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC 短时间内的重复认证。
为了将受限的网络资源与用户隔离,通常将受限的网络资源和用户划分到不同的VLAN 。当用户通过身份认证后,受限的网络资源所在的VLAN 会作为授权VLAN 从授权服务器上下发。同时用户所在的端口被加入到此授权VLAN 中,用户可以访问这些受限的网络资源。要实现MAC 地址认证,需要提供以下功能组件:
具有MAC 地址认证功能的交换机
为了能够对接入终端进行MAC 地址认证,需要接入交换机拥有MAC 认证功能,能够直接对接入终端进行地址认证。
Radius服务器
一般情况下,接入交换机无法判断终端的MAC 地址是否合法,需要将终端的MAC 提交给Radius 服务器进行验证,在Windows server 2003中,Windows IAS服务能够提供标准的
Radius 服务,但IAS 无法建立MAC 帐户,利用Windows 的Active Directory(AD 活动目录)服务与IAS 服务结合,就可以实现认证和管理MAC 帐户的功能。
二、广电办公网的MAC 认证方案
1、市局现有的设备支持MAC 认证管理,可以在接入设备上启用此功能,实现MAC 地址的认证。
2、认证方式有2个办法:一、在核心上启用local 用户,用户名和密码是微机的MAC 地址,方式是本地认证就可;二、Radius 认证,需要增加服务器一台,安装2003操作系统就可实现。考虑到广电办公网的管理和扩容,建议使用第二中方式,增加服务器,进行Radius 认证。
3、县公司增加的接入设备,一定要具有MAC 认证功能,这样,广电的办公网就可以实现全部的MAC 认证。
三、解决办公网出现的自环问题
办公网内出现自环现象,容易引起整个网络的广播风暴,解决整个问题的办法就是启用端口的抑制功能。当出现自环时,端口自动关系。当前广电的设备支持端口抑制功能,开启后就能抑制自环。具体办法为:交换机开启STP 或者风暴控制功能
STP :交换机开启配置stp 协议后,会对整个网络进行生成树的计算,整网成树的形状,保证网络中无换路出现。
风暴控制:通过监控端口入方向的广播的报文速率,在设定的检测时间间隔内,当接口上接收报文的平均速率大于上限时,支持阻断
对应流量或者shutdown 接口,避免广播风暴对整网的冲击。
其他说明:对所有的接入交换机,当前不使用的端口进行人工Shutdown ,及时接入网线或者微机,端口也不进行工作,从而也避免环网的出现。
四、 交换机ip+mac绑定
为了避免员工私自修改本机的IP 地址,出现IP 冲突或者IP 地址使用混乱问题,建议在整个广电网络上实现IP+MAC绑定功能,从而大大提高网络的安全性。
具体措施:通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定功能,先在VLAN 下配置的静态绑定表,静态绑定表的IP 和MAC 为待绑定PC 的IP 和MAC ,然后再与PC 相连的交换机接口上配置IP 和ARP 报文检查功能。
五、某些重要业务vlan 的传输速率保证
针对某些重要的业务,比如BOSS ,财务等。这些业务的连续性是最重要的。因而,保证这些业务的传输速率是工作重点。
具体措施:通过在交换机上qos 功能,对某些重要业务不进行带宽限制,相对于不重要的业务,如上网业务等,将进行接口限速,使之不能超过某个阀值。
五、 设定某特定ip 对交换机进行管理
为了便于设备的管理,现在广电的设备都启用了远程管理功能,在方便管理的基础上,也会出现无关人员登入设备的问题。解决办法是设定某特定ip 才能对交换机进行管理,其他IP 不能登入设备。
具体办法:通过设置访问控制列表来设置对交换远程管理的ip ,只有符合规则的ip 才能对设备进行远程登录。
山东万博科技股份有限公司
德州分公司
杨桂海
一、MAC 地址认证概述:
MAC 地址认证是一种基于端口和MAC 地址对用户的网络访问权限进行控制的 认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC 地址认证的端口上首次检测到用户的MAC 地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC 地址就被添加为静默MAC 。在静默时间内(可通过静默定时器配置),来自此MAC 地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC 短时间内的重复认证。
为了将受限的网络资源与用户隔离,通常将受限的网络资源和用户划分到不同的VLAN 。当用户通过身份认证后,受限的网络资源所在的VLAN 会作为授权VLAN 从授权服务器上下发。同时用户所在的端口被加入到此授权VLAN 中,用户可以访问这些受限的网络资源。要实现MAC 地址认证,需要提供以下功能组件:
具有MAC 地址认证功能的交换机
为了能够对接入终端进行MAC 地址认证,需要接入交换机拥有MAC 认证功能,能够直接对接入终端进行地址认证。
Radius服务器
一般情况下,接入交换机无法判断终端的MAC 地址是否合法,需要将终端的MAC 提交给Radius 服务器进行验证,在Windows server 2003中,Windows IAS服务能够提供标准的
Radius 服务,但IAS 无法建立MAC 帐户,利用Windows 的Active Directory(AD 活动目录)服务与IAS 服务结合,就可以实现认证和管理MAC 帐户的功能。
二、广电办公网的MAC 认证方案
1、市局现有的设备支持MAC 认证管理,可以在接入设备上启用此功能,实现MAC 地址的认证。
2、认证方式有2个办法:一、在核心上启用local 用户,用户名和密码是微机的MAC 地址,方式是本地认证就可;二、Radius 认证,需要增加服务器一台,安装2003操作系统就可实现。考虑到广电办公网的管理和扩容,建议使用第二中方式,增加服务器,进行Radius 认证。
3、县公司增加的接入设备,一定要具有MAC 认证功能,这样,广电的办公网就可以实现全部的MAC 认证。
三、解决办公网出现的自环问题
办公网内出现自环现象,容易引起整个网络的广播风暴,解决整个问题的办法就是启用端口的抑制功能。当出现自环时,端口自动关系。当前广电的设备支持端口抑制功能,开启后就能抑制自环。具体办法为:交换机开启STP 或者风暴控制功能
STP :交换机开启配置stp 协议后,会对整个网络进行生成树的计算,整网成树的形状,保证网络中无换路出现。
风暴控制:通过监控端口入方向的广播的报文速率,在设定的检测时间间隔内,当接口上接收报文的平均速率大于上限时,支持阻断
对应流量或者shutdown 接口,避免广播风暴对整网的冲击。
其他说明:对所有的接入交换机,当前不使用的端口进行人工Shutdown ,及时接入网线或者微机,端口也不进行工作,从而也避免环网的出现。
四、 交换机ip+mac绑定
为了避免员工私自修改本机的IP 地址,出现IP 冲突或者IP 地址使用混乱问题,建议在整个广电网络上实现IP+MAC绑定功能,从而大大提高网络的安全性。
具体措施:通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定功能,先在VLAN 下配置的静态绑定表,静态绑定表的IP 和MAC 为待绑定PC 的IP 和MAC ,然后再与PC 相连的交换机接口上配置IP 和ARP 报文检查功能。
五、某些重要业务vlan 的传输速率保证
针对某些重要的业务,比如BOSS ,财务等。这些业务的连续性是最重要的。因而,保证这些业务的传输速率是工作重点。
具体措施:通过在交换机上qos 功能,对某些重要业务不进行带宽限制,相对于不重要的业务,如上网业务等,将进行接口限速,使之不能超过某个阀值。
五、 设定某特定ip 对交换机进行管理
为了便于设备的管理,现在广电的设备都启用了远程管理功能,在方便管理的基础上,也会出现无关人员登入设备的问题。解决办法是设定某特定ip 才能对交换机进行管理,其他IP 不能登入设备。
具体办法:通过设置访问控制列表来设置对交换远程管理的ip ,只有符合规则的ip 才能对设备进行远程登录。
山东万博科技股份有限公司
德州分公司
杨桂海