网络通信 频道

哪种最适合?网络访问控制全解(图)

    【IT168 专稿】目前进行网络访问控制的方法主要有:MAC地址过滤、VLAN隔离、IEEE802.1Q身份验证、基于IP地址的访问控制列表和防火墙控制等等。下面分别予以简单介绍。

1. MAC地址过滤法

    MAC地址是网络设备在全球的唯一编号,它也就是我们通常所说的:物理地址、硬件地址、适配器地址或网卡地址。MAC地址可用于直接标识某个网络设备,是目前网络数据交换的基础。现在大多数的二层交换机都可以支持基于物理端口配置MAC地址过滤表,用于限定只有与MAC地址过滤表中规定的一些网络设备有关的数据包才能够使用该端口进行传递。通过MAC地址过滤技术可以保证授权的MAC地址才能对网络资源进行访问。

    如下图所示,在服务器B所联接的交换机网络端口的MAC地址列表中上只配置了MAC a和MAC b两个工作站的MAC地址,因此只有这两台工作站可以访问服务器B,而MAC c就不能访问了,但是在服务器A中却没有配置MAC地址表,交换机就默认可以与所有同一网段的工作站连接,这样MAC a、MAC b、MAC c三个工作站都可以与服务器A连接了。

点击看大图


    由于MAC地址过滤是基于网络设备唯一ID的,因此通过MAC地址过滤,可以从根本上限制使用网络资源的使用者。基于MAC地址的过滤对交换设备的要求不高,并且基本对网络性能没有影响,配置命令相对简单,比较适合小型网络,规模较大的网络不是适用。因为使用MAC地址过滤技术要求网络管理员必须明确网络中每个网络设备的MAC地址,并要根据控制要求对各端口的过滤表进行配置;且当某个网络设备的网卡发生变化,或是物理位置变化时要对系统进行重新配置,所以采用MAC地址过滤方法,对于网管员来说,其负担是相当重的,而且随着网络设备数量的不断扩大,它的维护工作量也不断加大。

    另外,还存在一个安全隐患,那就是现在许多网卡都支持MAC地址重新配置,非法用户可以通过将自己所用网络设备的MAC地址改为合法用户MAC地址的方法,使用MAC地址“欺骗”,成功通过交换机的检查,进而非法访问网络资源。

0
相关文章