端口内基于MAC地址过滤的ACL访问控制
2011-09-30 15:44:09
标签:端口安全休闲职场
上一次的工程实例我们解决了CISCO3550交换机的某个端口下面如果只连接了一台主机时的端口安全设置方法,即只有指定的主机才能访问网络,其它的主机(以MAC地址为唯一标识)是无法通过CISCO的这个端口访问网络,这种措施虽然有效,但是却有一定的局限性,具体表现为CISCO3550交换机的很多端口下面是连接有交换机,而且还是普通的二层交换机,这也就相当于一个端口下面有多台主机通过,针对这种情况如何实现只有指定的MAC 地址的主机才能通过呢,最初我们还是想通过端口安全的相关命令来实现,但是发现效果不理想,只是实现了限制连接主机数量的操作,如下所示:
一、限制连接主机的数量
我们通过一系列的实验终于得到了一个结论,即如果CISCO3550的端口下面连接了一台二层交换机,以前我们使用采用的端口安全措施就不怎么有效了,无法实现只有指定的主机的MAC地址才能通过,最多只能限制端口中通过的MAC地址数量的上限,比如我们最大允许5台主机通过CISCO3550交换机的第4端口,操作步骤如下:
3550#conf t
Enter configuration commands one per line. End with CNTL/Z.
3550(config)#inter fa0/4
3550(config-if)#switchport port-security
3550(config-if)#switchport port-security maximum 5
查看端口4的当前配置如下
3550#show run inter fa0/4
Building configuration...
Current configuration : 146 bytes
!
interface FastEthernet0/4
switchport access vlan 66
switchport mode access
switchport port-security
switchport port-security maximum 5
end
这样的设置也是属于端口安全的一种,只不过以上的操作是通过限制通过的主机数量来保护端口的带宽,这在我们的工作实际中倒是也是这样的需要,比如我们开通了一个单位的互联网用户,采用包月制,这样就需要限制这个单位同时上网的主机数量,比如不能超过25台,就可以通过设置这样设置“maximum”的值为“25”来实现。这种措施是有效的,但是距离我们的要求还有一定的距离,我们还是想实现即使是CISCO3550端口下面连接了一台
普遍的二层交换机,也可以达到只有指定的MAC地址的主机(若干台主机)才可以访问网络的目的。为了实现这种目标,我们转换了思路,探索通过基于MAC地址的ACL(访问控制列表),结果发现这种方法是行之有效的,如下所示:
二、基于MAC地址的ACL来实现
下面的操作,网络结构是相同的,只不过思想更换为通过ACL来实现,我们以前设置的ACL多是基于IP地址,对于基于MAC的ACL设置较少,其实这两类ACL的设置思路是一致的,步骤如下。
(一)定义一个MAC地址访问控制列表并且命名该列表名为mac0215
#Switch(config)mac access-list extended mac0215
(二)定义MAC地址为1232.1251.2126的主机可以访问任意主机
#Switch(config) permit host 1232.1251.2126 any
#Switch(config) permit any host 1232.1251.2126
(三)进入配置具体端口模式
#Switch(config)interface fa0/4
(四)在该端口上应用名为mac0215的访问列表
#Switch(config)mac access-group mac0215 in
(五)显示配置结果
3550#show run inter fa0/4
Building configuration...
Current configuration : 113 bytes
!
interface FastEthernet0/4
switchport access vlan 66
switchport mode access
mac access-group mac0215 in
end
注意事项
在进行实际测试时发现了一个很有趣的现象,仔细对这个现象进行分析,也进一步加深了CISCO交换机工作原理的理解。我们写好了基于MAC的ACL,如何来做测试,有两套方案,一套是将cisco3550交换机第四端口上连接一台主机,将其MAC地址修改为
1232.1251.2126,该主机可以正常访问网络(利用带t参数的ping命令来测试),更改为主机的MAC地址为其它值后ping命令显示的结果马上就中断了,说明基于MAC的ACL是有效的。但是我们还通过另外一套方案进行了测试,即保持主机的MAC地址不变,通过修改ACL 中permit的MAC的值来测试(如先no掉permit host 1232.1251.2126 any ,再写入一条
permit host 1232.1251.2127 any),这时就不是马上不通了,而是会是一个10分钟左右的时延。
为什么会出现这个现象,因为交换机中MAC表有一个老化时间,由于我们这次是采取的在ACL中修改MAC值来指定,那么ACL中的值与实际交换机检测到端口所连接的主机MAC
地址不一致有一个时间差,在这个时间差之内那台主机还是可以访问网络的,过了这个时间,就无法访问网络了。
交换机转发过滤提高网络安全性能 当数据帧到达交换机接口时,交换机就将数据帧的目的地址与转发/过滤MAC数据库中的地址进行比较,如果目的硬件地址是已知的且已经在交换机的MAC数据库中,帧就只会被发送到正确的外出接口。交换机将不会把帧送往除了目的地接口之外的任何其他接口,这就保留了在其它网段上的带宽。这种技术就是交换机的转发过滤技术。 这种技术对于提高网络性能与网络安全很有作用。笔者将通过两个例子来谈谈这种技术对于交换式网络的重要意义。 案例一:利用二层交换机来隔离冲突域 如现在有一台交换机连着四台主机,分别为A、B、C、D。假设现在主机A要发一个数据包给主机D。当交换机收到主机A发过来的数据帧之后,该如何处理呢? 1、若交换机中没有主机A或者主机D的MAC地址信息 如果这个网络是刚刚组建,又或则出于某种原因,网络管理员把交换机重置后,则交换机的转发/过滤表会被清除。此时,由于主机A的MAC地址不在转发/过滤表中,所以,交换机会将主机A的MAC地址和端口添加到自己的MAC数据库中,然后再把帧转发到主机D中。但是,如果主机D的MAC地址不在交换机的MAC数据库中,则交换机会将帧转发到除了主机A连接的接口之外的其他所有接口中。也就是说,在交换机不知道目的主机MAC 地址的时候,则交换机上的除了本台设备之外的其他任何设备,如主机B、C、D都将收到主机A发出的数据包。很明显,此时交换机的一些带宽就会被浪费掉。在这种情形下,转发过滤技术并不能够带来多大的益处。 2、若交换机知道目的主机的MAC地址 假设交换机通过ARP等机制,在自己的MAC地址库中已经知道了所连接设备的MAC 地址,如主机A、B、C、D的MAC地址。要了解这些信息不难。只要这个网络存在一定时间,则通过地址学习功能,交换机可以记录相关设备的MAC地址信息。 在交换机已经了解了其相邻设备的MAC地址后,当交换机接收到主机A发过来的数据帧之后,会如何处理呢?交换机首先会读取数据帧中的目的MAC地址。然后在自己的MAC 地址库中进行查找。发现有匹配的MAC地址后,就从MAC地址库中查询中对应的交换机出口。然后再把数据帧从这个出口转发出去。从这个转发的过程中,我们可以看到数据帧是一进一出。而不像集线器一样,是一进多出;或者像上面提到的不知道目的MAC地址那样,也是一进多出。在这种情形下,交换机直接把数据帧准确无误的转发到对应的接口上。很明显,此时就不会对其他网段的带宽带来不利的影响。 通过这种转发过滤技术,就可以在最大限度内避免冲突域的产生,从而在很大程度上提高网络性能。 在利用二层交换机来隔离冲突域时,要注意一个问题。当交换机不知道目的MAC地址的话,则交换机并不能够起到隔离冲突域的作用。因为此时,交换机仍然会把数据帧转发到所有的交换机接口中。故当网络管理员利用交换机组建比较大型的网络时,不要频繁的重复启动交换机等网络设备。因为重新启动后,其MAC地址库中的内容可能会丢失。如此的话,交换机就又要重零开始学习MAC地址以及MAC地址与端口的对应表。 案例二:保护交换机端口的安全 在交换机管理中,还有一个难点就是如何防止非授权用户的主机介入到交换机的端口上? 也就是说,在一个角落中放置了一台交换机,其中可能还有一些空闲的端口。此时,如何来保障这些端口的安全性呢?是否所有人或者网络设备都可以随意的连接到这些空闲的端口呢?答案当然是否定的。接下去,笔者就谈谈如何来保护交换机端口的安全。这跟交换机的转发过滤决定也是息息相关的。 在思科的二层交换机中,提供了一些端口安全的保护机制。我们进入到某个交换机的接
利用路由器MAC地址过滤限制局域网用户登录互联网 单位有四台电脑,通过路由器(型号TL-R402)进行连接,四台电脑可以互访也可以上外网,最近由于有得员工在上班时下载和看影视节目,严重影响了工作,为此领导要求将其中一台电脑可以连接外网接收文件,另外三台电脑限制其不能上外网,但四台电脑要可以互访。经试验用路由器的MAC地址过滤就可以轻松做到这一点。 1.首先,在浏览器地址栏中输入19 2.168.1.1回车,会出现路由器的登陆画面,输入路由器的账号与密码(默认是madin),登陆路由器界面, 2.选择安全设置—防火墙设置,勾选“开启防火墙”和“开启MAC地址过滤”,然后保存。 在开启MAC地址过滤当中有两个选项,为了以后其他电脑临时上网方便,这里选择了‘禁止已设MAC地址列表中已启用的MAC地址访问internet,允许其他MAC地址访问internet’,然后保存。当然为了进一步加强安全性也可以选择另外一项,那样的话只在路由器中开通了有效的MAC地址才能上外网。 3.然后点击‘MAC地址过滤’会出现以下界面(如图),如果以前没有设置过,那么列表会是空白的,
那样的话我们就要点击添加新条目,将受控的电脑MAC地址添加进去,并设置好名称便于以后管理。 4.如果我们需要电脑1—3不能上外网,那么就依次点击列表当中的“编辑”选项,将需要限制的电脑MAC地址一栏中的状态改为“生效”,这样这几台电脑就不能登陆外网了,如果要某一台电脑能上外网,将其MAC地址一栏中的状态改为“失效”即可,
设置完成后点击保存后退出,这样受限制的电脑就不能上网了。 注意记的将路由器的账户和密码改一下,毕竟默认的密码大家在网上搜索一下就知道。 高级点的路由器还可以利用bt迅雷下载限制和家长控制功能,使我们的上网环境更安全。 有的朋友问如何快速获得MAC地址?我们可以用命令行来查看,当电脑比较多时还是不太方便,这里给大家提供一个批处理文件,可以将它下载后存入U盘,插到需要查看MAC地址的电脑上运行一下,就会生成一个以本机电脑名称的文本文件,打开这个文件,本机的电脑名、IP地址、子网掩码等都保存在里面,其中Physical Address.后面的 ××—××—××—××—××—××就是本机的MAC地址,如果有双网卡或无线网卡。也会将它们记录在这个文本文件中的,方便吧。 下载MAC地址查 询.https://www.doczj.com/doc/4e9214694.html,/attachment.php?aid=NjgyMDc3fDRhOWQ4MTZifDEyOTI3MzQ2OTZ 8OGI5MFZqRXQ1blpqdzhPaG5iQXBxVFdqOWtTV1ZNSmFMSHk1ai9kdFYyd2wrL2c%3D& request=yes&_f=.bat
交换机实现MAC地址表的绑定和过滤 结构图: 交换式使用2970,两台PC机同时只接一台到G0/2端口上 目的: 绑定配置后,在G0/2绑定PC1的端口,PC1只能接到G0/2才能工作,接其他的口都不能工作,PC2接该口或其他口自动工作 过滤配置后,PC1交换机任意口都不能工作,PC2接该口或其他口自动工作 1.配置绑定 switch(config)#int vlan 1 switch(config-if-vla1)#ip add 192.168.1.11 255.255.255.0 switch(config-if-vla1)#no shut 使用MAC地址表配置绑定 Switch(config)#mac-address-table static 00-04-61-7E-AD-9D vlan 1 interface GIgabitEthernet 0/2 验证测试: Switch#show mac-address-table All 0180.c200.0010 STATIC CPU All ffff.ffff.ffff STATIC CPU 1 0004.617e.ad9d STATIC Gi0/2 Total Mac Addresses for this criterion: 21
PC1接到G0/2端口可以PING通192.168.1.11 PC1接其他端口PING不通192.168.1.11 PC2接G0/2或其他端口都可以PING通192.168.1.11 将PC2网线接到G0/2接口上 能PING通vlan1 自动学习到MAC地址 Switch#show mac-address-table 1 0004.617e.ad9d STATIC Gi0/2 1 000a.e42c.0198 DYNAMIC Gi0/2 2配置MAC地址过滤 2970做不了过滤 switch(config)#mac-address-table blackhole address 00-04-61-7E-AD-9D vlan 1 Switch#show mac-address-table 无论PC1接到交换机哪个端口,都PING不通192.168.1.11 PC2接任意口都可以PING通
cisco交换机ip和mac地址绑定 虽然在TCP/IP网络中,计算机往往需要设置IP地址后才能通讯,然而,实际上计算机之间的通讯并不是通过IP地址,而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的 目的计算机的MAC地址。 ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的 ARJ 缓存中包含一个或多个表,用于存储IP地址及其经过解析的以太网MAC地址。一台计算机与另一台IP地址的计算机通讯后,在ARP缓存中会保留相应的MAC地址。所以,下次和同一个IP地址的计算机通讯,将不再查询MAC地址,而是直接引用缓存中的MAC地址。 在交换式网络中,交换机也维护一张MAC地址表,并根据MAC地址,将数据发送至目的计算 机。 为什么要绑定MAC与IP 地址:IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM 中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。 目前,很多单位的内部网络,都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco 的交换机介绍一下IP和MAC绑定的设置方案。 在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。 1.方案1——基于端口的MAC地址绑定 思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令: Switch#config terminal #进入配置模式 Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式 Switch(config-if)#Switchport port-secruity #配置端口安全模式 Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址) #配置该端口要绑定的主机的MAC地址 Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址) #删除绑定主机的MAC地址
端口内基于MAC地址过滤的ACL访问控制 2011-09-30 15:44:09 标签:端口安全休闲职场 上一次的工程实例我们解决了CISCO3550交换机的某个端口下面如果只连接了一台主机时的端口安全设置方法,即只有指定的主机才能访问网络,其它的主机(以MAC地址为唯一标识)是无法通过CISCO的这个端口访问网络,这种措施虽然有效,但是却有一定的局限性,具体表现为CISCO3550交换机的很多端口下面是连接有交换机,而且还是普通的二层交换机,这也就相当于一个端口下面有多台主机通过,针对这种情况如何实现只有指定的MAC 地址的主机才能通过呢,最初我们还是想通过端口安全的相关命令来实现,但是发现效果不理想,只是实现了限制连接主机数量的操作,如下所示: 一、限制连接主机的数量 我们通过一系列的实验终于得到了一个结论,即如果CISCO3550的端口下面连接了一台二层交换机,以前我们使用采用的端口安全措施就不怎么有效了,无法实现只有指定的主机的MAC地址才能通过,最多只能限制端口中通过的MAC地址数量的上限,比如我们最大允许5台主机通过CISCO3550交换机的第4端口,操作步骤如下: 3550#conf t Enter configuration commands one per line. End with CNTL/Z. 3550(config)#inter fa0/4 3550(config-if)#switchport port-security
3550(config-if)#switchport port-security maximum 5 查看端口4的当前配置如下 3550#show run inter fa0/4 Building configuration... Current configuration : 146 bytes ! interface FastEthernet0/4 switchport access vlan 66 switchport mode access switchport port-security switchport port-security maximum 5 end 这样的设置也是属于端口安全的一种,只不过以上的操作是通过限制通过的主机数量来保护端口的带宽,这在我们的工作实际中倒是也是这样的需要,比如我们开通了一个单位的互联网用户,采用包月制,这样就需要限制这个单位同时上网的主机数量,比如不能超过25台,就可以通过设置这样设置“maximum”的值为“25”来实现。这种措施是有效的,但是距离我们的要求还有一定的距离,我们还是想实现即使是CISCO3550端口下面连接了一台
TPLINK路由无线MAC地址过滤设置 1.取得MAC的方法:WIN+R,输入CMD,用‘NBTSTAT-AIP’地址查看 2. 取得自己电脑IP与MAC的方法:WIN+R,输入CMD,用‘IPCONFIG/ALL’地址查看 无线MAC地址过滤功能通过MAC地址允许或拒绝无线客户端接入无线网络,有效控制无线客户端的接入权限。无线MAC过滤可以让无线网络获得较高的安全性。每一个网络设备,不论是有线网卡还是无线网卡,都有一个唯一的标识叫做MAC地址(媒体访问控制地址)。网卡的MAC地址可以用这个办法获得:打开命令行窗口,输入ipconfig /all,然后出现很多信息,其中物理地址(Physical Address)就是MAC地址。
得知无线网卡的MAC地址后,我们就可以在无线路由器中进行详细配置。由于我司11N 无线路由器和11G无线路由器在无线MAC地址过滤设置中有所区别,因此下面分别描述这两种情况。 一、11N无线路由器无线MAC地址过滤 由于无线MAC地址过滤配置较简单,因此我们以实例来进行说明。例:假如您希望MAC 地址为“00-21-27-B7-7E-15”的主机访问本无线网络以及希望禁止MAC地址为“00-0A-EB-0 0-07-5F”的主机访问无线网络,其他主机均不可以访问本无线网络,您可以按照以下步骤进行配置: 步骤1: 使用路由器管理地址登陆路由器管理界面,然后在“设置”菜单中选择“无线MAC地址过滤”选项,出现如下界面: 步骤2: 将过滤规则设为“禁止列表中生效规则之外的MAC地址访问本无线网络”。 步骤3:
点击“添加新条目”按钮,MAC地址为“00-21-27-B7-7E-15”,类型为“允许”,状态为“生效”的条目。为了方便管理,描述一项中可以添加说明。譬如该地址为张三的电脑,则可以在描述中填写“张三”。 步骤4: 同理,在第二个“添加新条目”中,添加MAC地址为“00-0A-EB-00-07-5F”,描述为“李四”,状态为“失效”的条目。 步骤5: 条目添加完成后,再启用MAC地址过滤功能。此时,无线MAC地址过滤设置中条目如下图:
配置MAC地址过滤(自治型AP) 【实验名称】 配置MAC地址过滤(自治型AP) 【实验目的】 掌握MAC地址过滤技术的原理及配置方法 【背景描述】 在会议室开机密会议的时候,公司不希望其他的人能够接入到会议室的无线网络中,因此网络 管理员建议可以在会议室的AP设备上启用MAC地址过滤技术,使得只有参与会议的人员才可以 接入到无线网络中,其他的人无法接入。 【需求分析】 需求:保证机密会议进行时,网络接入的安全性 分析:对于机密会议,不希望其他无关人员接入到会议室的无线网络中来,在无线设备上进行MAC地址过滤,可以严格控制接入的用户。 【实验拓扑】 【实验设备】 RG-WG54P 1台 RG-WG54U 2块 PC 2台 【预备知识】 无线局域网基本知识 【实验原理】 MAC地址,即网卡的物理地址,也称硬件地址或链路地址,这是网卡自身的惟一标识。通过 配置MAC地址过滤功能可以定义某些特定MAC地址的主机可以接入此无线网络,其他主机被拒 绝接入。从而达到访问控制的目的,避免非相关人员随意接入网络,窃取资源。 395
【实验步骤】 第一步:配置STA 1,与RG-WG54P相连接。 1、将STA1和RG-WG54P的供电模块的Network口通过直通线连接。 2、配置STA 1本地连接的TCP/IP设置;单击“确定”完成设置。 IP地址:192.168.1.10 子网掩码:255.255.255.0 默认网关:192.168.1.1 3、验证测试: 在STA 1命令行下输入“ipconfig”,察看本地连接的IP设置,配置如下: IP Address:192.168.1.10 Subnet Mask:255.255.255.0 Default Gateway:192.168.1.1 第二步:配置RG-WG54P,搭建基础结构(Infrastructure)模式无线网络 1、STA 1登陆RG-WG54P管理页面(http://192.168.1.1,默认密码:default);396
MAC地址表 交换机初始化时MAC地址表是空的。动态MAC地址在交换机关电重启后会消失,需要重新学习。 主机之间互相发送数据,交换机会学习数据帧的源MAC地址。 交换机的交换地址表中,一条表项主要由一个MAC地址和该地址所位于的交换机端口号组成。这个MAC地址表存放于交换机的缓存中。 每一条地址表项都有一个时间标记,用来指示该表项存储的时间周期。如果在一定时间范围内地址表项仍然没有被引用,它就会从地址表中被移走。 交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有端口都挂接在这条背部总线上,通过交换机地址表,交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发,可以有效的隔离广播风暴,减少误包和错包的出现,避免共享冲突。 配置MAC地址 1、配置静态MAC地址 静态MAC地址表项指的是那些不能够被交换机老化掉的MAC地址表项,它只能被 人工的删除掉。 #configure #mac address-table static mac-addr vlan vlan-id interface interface-id 2、配置MAC地址老化时间(动态) 默认的老化时间为300秒。 #configure #mac address-table aging-time600 3、显示MAC地址表 #show mac address-table{dynamic[interface interface-id|vlan vlan-id]|static} 4、清除动态MAC地址
clear mac address-table dynamic[address mac-addr|interface interface-id| vlan vlan-id] (1)长期链接的服务器,配置成静态MAC地址表项。 (2)非法接入的MAC地址添加为黑洞MAC地址。 (3)只允许网管服务器接入,可以禁止学习MAC地址 (4)MAC地址学习是对数据帧的源MAC地址进行学习,而不是目的MAC地址。 (5)MAC地址学习只学习单播地址,对于广播和组播地址不进行学习。 (6)执行MAC地址固化后,这些MAC地址不会被永久保存,在交换机关电重启时会消失。 (7)执行添加MAC地址绑定时,如果没有指定VLAN ID,则按照端口的PVID或者FID进行添加。 (8)执行删除MAC地址绑定时,如果没有指定端口和VLAN ID,则将所有与MAC地址参数匹配的MAC地址条目删除。 (9)一般不支持链路聚合的MAC地址学习。 帧转发、过滤 如果数据帧的目的MAC地址是广播地址或者组播地址,则向交换机(除源端口外)所有端口转发;Flooding 如果数据帧的目的MAC地址是单播地址,但是这个地址并不在交换机的地址表内,那么也会向交换机(除源端口外)所有端口转发;Flooding 如果数据帧的目的MAC地址在交换机的地址表内,那么根据地址表转发到相应的端口;如果数据帧的目的MAC地址与数据帧的源地址在同一个端口上,它就会丢弃这个数据帧,交换也不会发生。Filtering Arp协议 是根据IP地址获取物理地址的一个TCP/IP协议。 为使广播量最小,ARP维护IP地址到MAC地址映射的缓存以便将来使用。ARP缓存可以包含动态和静态项目。动态项目随时间推移自动添加和删除。每个动态ARP缓存项的潜在生命周期是10分钟。新加到缓存中的项目带有时间戳,如果某个项目添加后2分钟内没有再使用,则此项目过期并从ARP缓存中删除;如果某个项目已在使用,则又收到2分钟的生命周期;如果某个项目始终在使用,则会另外收到2分钟的生命周期,一直到10分钟的最长生命周期。静态项目一直保留在缓存中,直到重新启动计算机为止。 乐毅
MAC地址过滤方法 这可以防止别人盗用你的无线网,就算无线网的密码被别人知道了,别人也不能用你的网。 一、进入你的无线路由器 在IE浏览器是输入192.168.1.1(大部分进入路由器的是这个地址,还有的是192.68.0.1,具体情况要看一下自己的路由器就知道了) 输入用户名和密码进入,大部分的默认用户名和密码都是admin,改过的就输入自己的用户名和密码。
二、在左边有路由器的管理目录。 1、点击“无线设置”; 2、在下拉选项里点击“无线MAC 地址过滤”。 3、在右边会出现这样的界面,然后点击“添加新条目” 接着会出现 1、点击“无线设置” 在下拉选项里点击“无线MAC 地址过滤”
在MAC地址里手动输入MAC地址即可,也可以对MAC地址坐一下标记,在描述里输入即可。状态栏一定要是“生效”,如果不想让谁的电脑和手机用你的网,就在状态栏里选择“失效”。 三、获得MAC地址的方法 1、点击“DHCP服务器” 2、点击“客户端列表” 3、会出现
4、然后复制这里的MAC地址(这里的MAC地址都是已经连上路由器的电脑和手机),选择你想添加MAC地址,粘到上面说的地方即可 也可以手动输入,字母一定要是大写才行。 5、安卓系统的手机MAC地址: ①、设置“无线和网络” ②、进入“WLAN设置” ③、按“菜单键”,进入“高级”,里面就有MAC地址了 6、、添加完后,点击“启用过滤”,过滤规则是“允许”,在状态栏里只有是“生效”的MAC 地址才能用你的网。
四、最后一步 1、点击“安全设置” 2、点击“防火墙设置” 3、勾选“开启MAC地址过滤”,缺省过滤规则为“仅允许”,最后点击保存。 注:MAC地址就是一个无线网卡的序列号,一卡一号,这里只有添加进去的网卡才能连接你的无线路由器,就算别人知道你的无线网密码,别人没有添加他的MAC地址,他就
D-Link无线路由器怎么设置MAC地址过 滤 D-Link无线路由器怎么设置MAC地址过滤 D-Link无线路由器MAC地址过滤的设置方法 本文假设需要禁止MAC地址是AF-BE-3D-C1-2B-8A和AF-BE-3D-C1-6E-5A的两台计算机在周一至周五的9:00-18:00期间访问互联网,设置方法如下: MAC地址过滤设置方法 1、登录管理界面:在浏览器的地址栏中输入:192.168.0.1并按下回车键点击设置向导(首次登录时会出现这一步,否则会直接弹出输入用户名和密码的对话框) 2、在登录对话框中输入默认的用户名:admin,默认密码为空,所以不用输入任何数据,点击登录。 3、点击高级访问控制默认规则选择:允许访问,除符合以下规则组名称用户自定义设置一个名称选择启用该组星期勾选周一至周五时间选择9:00-18:00 MAC1 填写:AF-BE-3D-C1-2B-8A MAC2 填写:AF-BE-3D-C1-6E-5A 点击上面的保存设定。 至此,就完成了在D-Link无线路由器上的MAC地址过滤设置,MAC地址是AF-BE-3D-C1-2B-8A和AF-BE-3D-C1-6E-5A 的两台计算机,在周一至周五的9:00-18:00期间,无论是通过有线还是无线的方式连接到路由器,都无法访问互联网。
D-Link无线路由器怎样设置动态IP地址上 网 D-Link无线路由器怎样设置动态IP地址上网 D-Link无线路由器动态IP地址上网的设置方法 1、在浏览器的地址栏中输入:192.168.0.1并按下回车键点击设置向导(首次登录时会出现这一步,否则会直接弹出输入用户名和密码的对话框) 2、输入用户名:admin; 密码:空,也就是没有密码点击登录。 3、点击设置 4、点击互联网连接向导 5、点击下一步。 6、点击动态IP地址(DHCP) 点击下一步。 7、设置主机名:主机名请根据ISP(互联网运营商)的要求确定是否需要填写。如果ISP未要求,则不必填写此项。 8、无线网络名称设置:无线SSID 用户自定义设置(PS:无线SSID就是无线网络名称) 点击下一步。 9、无线加密设置:加密方式选择:激活WPA PSK+WPA2 PSK自动(增强) WPA共享密钥用户自定义设置,就是无线网络的密码点击下一步。PS:其它选项保持默认即可。 10、完成设置:点击保存设定. 至此,就完成了D-Link无线路由器动态IP地址上网的设置,电脑就可以直接上网了,无需在进行拨号。
【内容导航】 ?什么是MAC地址过滤 ?突破MAC地址过滤步骤 ?捕获的无线客户端MAC地址 ?更改MAC地址来伪造身份 ?在Windows下进行WPA-PSK连接设置 ?连接无线接入点 对于无线网络管理员来说,普遍都会认为,启用MAC地址过滤,是可以阻止未经授权的无线客户端访问AP及进入内网,这种安全防御确实可以阻止一部分恶意的攻击行为。不过,单纯地依靠MAC地址过滤来阻止无线攻击者也是不可靠的。 如下图1所示为在Belkin无线路由器中配置MAC地址过滤,出现在MAC地址过滤列表里的网卡才被允许连接该无线路由器。我们可以在下图中MAC地址过滤右下侧空白栏处输入允许通过的MAC地址,然后点击“加入”即可。那么,对于要阻挡的MAC地址,就点选对应那一栏前面的阻挡框。 图1 在Belkin贝尔金无线路由器中配置MAC地址过滤 若不知道内网中其它客户端的地址,为方便起见,也可以直接在无线路由器的DHCP列表里查看所有从DHCP获取IP的主机MAC地址。如下图2所示。
图2 查看DHCP用户列表 在设置完毕并成功应用后,未被授权的客户端,无论是通过有线还是无线的方式,都将无法访问无线路由器,会弹出如图3所示的“无法显示网页”错误提示。同时未经授权的客户端也将无法通过该路由器访问到外部互联网。 图3 设置MAC地址过滤后非法客户端无法访问网络 2.突破MAC地址过滤步骤 既然过滤MAC地址的方法看起来十分有效,那么无线攻击者又是如何突破无线接入点MAC地址过滤的呢?其步骤示意图如图4所示。
图4 突破MAC地址过滤步骤示意图 下面就以上4个步骤分别讲述一下实现方法。 1. 获得合法的无线客户端MAC地址 最简单的方法就是使用Airodump-ng的Windows版本来实现,不过这里为扩展思路,我们使用WildPacketsOmniPeek软件来实现,在使用之前首先要选择所支持的无线网卡,详细型号列表见https://www.doczj.com/doc/4e9214694.html,/support/downloads/drivers,并下载相应的WildPacketsOmniPeek 所定制的驱动程序。具体步骤如下: 步骤1:打开WildPacketsOmniPeek软件,在“Monitor”下拉菜单里选择“Monitor Options”,在弹出窗口里的Adapter网卡位置选择用于监听的无线网卡,这里选择标为“无线网络连接3”的无线网卡,从下面的驱动提示中可以看到为Atheros AR5005G,此处使用的是采用Atheros芯片组的TP-LINK无线网卡。点击确定继续。
实验十九、配置MAC地址表实现绑定和过滤 一、 实验目的 1、了解MAC地址表在交换机中的作用; 2、熟练掌握如何配置MAC地址表实现MAC与端口绑定功能。 二、 应用环境 1、通常交换机支持动态学习MAC地址的功能,每个端口可以动态学习多个MAC地址, 从而实现端口之间已知MAC地址数据流的转发。当MAC地址老化后,则进行广播处理。也就是说,交换机某接口上学习到某MAC地址后可以进行转发,如果将连线切换到另外一个接口上交换机将重新学习该MAC地址,从而在新切换的接口上实现数据转发。 2、为了安全和便于管理,需要将MAC地址与端口进行绑定,通过配置MAC地址表的方 式进行绑定。即,MAC地址与端口绑定后,该MAC地址的数据流只能从绑定端口进入,不能从其他端口进入。但是不影响其他MAC的数据流从该端口进入。 三、 实验设备 1、DCS-3926S交换机1台 2、PC机2台 3、Console线1根 4、直通网线2根 四、 实验拓扑 五、 实验要求 1、交换机IP地址为192.168.1.11/24,PC1的地址为192.168.1.101/24;PC1的地址 为192.168.1.102/24; 2、在交换机上作MAC与端口绑定; 3、PC1在不同的端口上ping 交换机的IP,检验理论是否和实验一致; 4、PC1在不同的端口上ping 交换机的IP,检验理论是否和实验一致。
六、 实验步骤 第一步:得到PC1机的MAC地址 Microsoft Windows XP [版本 5.1.2600] (C) 版权所有 1985-2001 Microsoft Corp. C:\>ipconfig/all Windows IP Configuration Host Name . . . . . . . . . . . . : xuxp Primary Dns Suffix . . . . . . . : https://www.doczj.com/doc/4e9214694.html, Node Type . . . . . . . . . . . . : Broadcast IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No Ethernet adapter 本地连接: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti on Physical Address. . . . . . . . . : 00-A0-D1-D1-07-FF Dhcp Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes Autoconfiguration IP Address. . . : 169.254.27.232 Subnet Mask . . . . . . . . . . . : 255.255.0.0 Default Gateway . . . . . . . . . : C:\> 我们得到了PC机的mac地址为:00-A0-D1-D1-07-FF。 第二步:交换机全部恢复出厂设置,给交换机设置地址 switch(Config)#int v 1 switch(Config-If-Vlan1)#ip address 192.168.1.11 255.255.255.0 switch(Config-If-Vlan1)#no shut switch(Config-If-Vlan1)#exit switch(Config)# 第三步:使用mac地址表配置来绑定。 switch(Config)#mac-address-table static address 00-a0-d1-d1-07-ff vlan 1 interface ethernet 0/0/1 switch(Config)# 验证测试: switch#show mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------ 1 00-03-0f-01-7d-b1 STATIC System CPU 1 00-a0-d1-d1-07-ff STATIC User Ethernet0/0/1 switch#
1. 无线MAC地址过滤 选择菜单无线设置→无线MAC地址过滤,您可以在下图20界面中查看或添加无线网络的MAC地址过滤条目。 无线MAC地址过滤功能通过MAC地址允许或拒绝无线网络中的计算机访问广域网,有效控制无线网络内用户的上网权限。您可以利用按钮添加新条目来增加新的过滤规则;或者通过“编辑”、“删除”链接来编辑或删除旧的过滤规则。 图20 无线网络MAC地址过滤设置 1. MAC地址过滤功能:请在该处选择是否开启路由器的无线网络MAC地址过滤功能。 2. 过滤规则:请选择MAC地址过滤规则,该规则对下面MAC地址条目列表生效。 3. MAC地址:该项指需要进行访问限制的无线网络内的主机MAC 地址。 4. 状态:该项显示MAC地址过滤条目的状态。“生效”表示该设置条目被启用,“失效”表示该设置条目未被启用。 5. 描述:该项显示对主机的简单描述。
6. 添加新条目:单击该项,您可以在随后的界面中添加新的MAC 地址过滤条目。 7. 使所有条目生效:单击该按钮,您可以使表中的所有条目生效。 8. 使所有条目失效:单击该按钮,您可以使表中的所有条目失效。 9. 删除所有条目:单击该按钮,您可以删除表中所有的条目。 例1:如果您想禁止MAC地址为“00-0A-EB-00-07-BE”和“00-0A-EB-00-07-5F”的主机访问无线网络,其他主机可以访问无线网络,您可以按照以下步骤进行配置:第一步:在上图20中,点击“启用过滤”按钮,开启无线网络的访问控制功能。 第二步:在图20中,选择过滤规则为“允许列表中生效规则之外的MAC地址访问本无线网络”,并确认访问控制列表中没有任何生效的条目,如果有,将该条目状态改为“失效”或删除该条目,也可以点击“删除所有条目”按钮,将列表中的条目清空。 第三步: 在图20中,点击“添加新条目”按钮,按照下图21界面,设置MAC地址为“00-0A-EB-00-07-BE”,状态为“生效”。设置完成后,点击保存按钮。 图21 添加无线网络MAC地址过滤条目 第四步:参照第三步,继续添加过滤条目,设置MAC地址为“00-0A-EB-00-07-5F”,状态为“生效”。设置完成后,点击保存按钮。 例1中设置完成后生成的MAC地址过滤列表为:
怎样指定电脑上网,而避免别人蹭网的行为 有时我们的无线路由器密码外泄,别人获知后可以蹭网,使我们的无线网速变慢,那么怎么才能杜绝呢?我们可以通过指定有特定的mac地址的电脑上网,从而把无关的无线上网设备排除。 一、需要的设备:一台笔记本,一根网线,路由器 二、准备工作:将笔记本和路由器用网线连接起来(不能用无线),看路由器的背面,将上面所标注的IP地址(一般是192.168.1.1)和用户名密码记下来,按下路由器上一个小黑按钮4秒左右(有的是一个小孔,需要用笔尖或者针状物体插入按4秒钟左右),使路由器恢复到出厂设置状态。 三、打开电脑的IE浏览器,在地址栏里输入刚才抄下了IP地址(如192.168.1.1),回车。 四、此时会弹出一个对话框,要求输入用户名和密码,将刚才抄写的用户名的密码输入(如admin,密码:admin),确定,这是就可以进入无线路由器设置的界面了,(不同路由器界面可能有所不同,但大致是一样的。
五、点击“安全设置”,有如下内容: 六、点击“MAC地址过滤”,有如下界面:(这里已经设置了,一般打开是空的) 七、点击“添加新条目”
八、将家里的电脑和手机的MAC地址输入,可以增加描述,比如“老婆的手机,我的电脑”什么的,以便于甄别。“保存”。 九、全部录入后,点击“防火墙设置”,将“开启防火墙”以及“开启MAC地址过滤”前面的框框打上勾,并将缺省过滤规则里的选项选择“仅允许已设MAC地址列表中已启用MAC地址访问internet” 十、点击“系统工具”——“修改登录口令”,将原来的登录密码(如admin)改成自己熟知的密码。大功告成。
由于担心别人蹭网,很多无线路由器都设置了MAC地址过滤,也就是限定了能访问无线网络的网卡的MA C地址。因为无线路由器不一定由自己控制,所以当更换了笔记本或者更换了无线网卡的时候,也许就上不了网了。我们可以修改网卡的MAC地址,让新笔记本一样能上网。 步骤一记下网卡“物理地址” 在老笔记本上打开开始菜单→所有程序→附件→命令提示符,然后输入命令ipconfig /all,然后在输出列表中,找到无线网卡的MAC地址,记下来或者复制到记事本文档中。也可以使用ipconfig /all >>c:1.txt命令,把结果都输出到C盘的1.txt文档中。 步骤二记下分配到的“IP地址” 如果无线局域网的IP地址不是自动分配的,那么也请记录下输出内容中的IP地址、子网掩码、默认网关和DNS服务器等信息,否则也是上不了网的。如果有多块网卡,那请一定要看清楚网卡的名称,别弄错网卡了哦。 步骤三查看无线网卡的属性 以Windows 7为例子,在新笔记本上右键点击开始菜单中的“计算机”,选择管理。在管理界面中进入设备
管理器,在设备管理器的网络适配器选项中,找到无线网卡。然后点击右键选择“属性”。 步骤四找到MAC地址修改项 进入属性界面的“高级”选项卡,找到Locally administered MAC address,如果不是这个选项也没关系,看到有MAC字样的选项就可以点进去看看,如果看到界面如图,就是这里了。如果这个界面是中文界面,那选项可能是“网络地址”或者类似的字符。 步骤五填入新的物理地址 点击并选中上方的输入框,输入老网卡的MAC地址(物理地址),第一步所得的MAC地址带有“-”分隔线,在这里不需要输入分隔线,只需要输入001A73886677这样的一串字符就可以了。输入完毕后点击“确定”