对于交换机的每一个以太网端口,采用MAC地址表(MAC-address-table)的方式对端口进行锁定。只有网络管理员在MAC地址表中指定的网卡的MAC地址才能通过该端口与网络连接,其他的网卡地址不能通过该端口访问网络。我们可以在计算机上先运行ping命令,然后用arp-a命令就可以看到网络用户相应的IP地址对应的MAC地址,这样就使MAC地址和物理顺序对应起来,使得一根网线、一个端口对应一个MAC地址。这种方法比较适合于单幢大楼的宽带用户,在每一层楼或每个单元放置一台交换机,对交换机的每一个以太网端口进行限定,让每个用户单独占用一个端口,如果有人盗用了IP地址也将无济于事。下面用一段程序,举例说明指定交换机的e0/9口对应MAC地址083c00000002,只有这个MAC地址可以通过该端口访问网络。
2.应用ARP绑定IP地址和MAC地址
ARP(Address Resolution Protocol)即地址解析协议,这个协议是将IP地址与网络物理地址一一对应的协议。每台计算机的网卡的MAC地址都是唯一的。在三层交换机和路由器中有一张称为ARP的表,用来支持在IP地址和MAC地址之间的一一对应关系,它提供两者的相互转换,具体说就是将网络层地址解析为数据链路层的地址。
我们可以在ARP表里将合法用户的IP地址和网卡的MAC地址进行绑定。当有人盗用IP地址时,尽管盗用者修改了IP地址,但由于网卡的MAC地址和ARP表中对应的MAC地址不一致,那么也不能访问网络。以Cisco交换机为例,在Cisco Catalyst 5000网络交换机上,关于ARP表的设置和删除有以下几条命令:
Set arp [dynamic | static] {ip_addr hw_addr}( 设置动态或静态的ARP表);
ip_addr(IP地址),hw_addr(MAC地址);
Set arp static 2089211 00-80-1c-93-80-40(将将IP地址2089211和网卡MAC地址00-80-1c-93-80-40绑定);
Set arp static 2089213 00-00-00-00-00-00(对未用的IP进行绑定,将MAC地址设置为0);
Set arp agingtime seconds(设置ARP表的刷新时间,如Set arp agingtime 300);
show arp (用来显示ARP表的内容);
clear arp [dynamic | static] {ip_addr hw_addr}(清除ARP表中的内容)。
其他品牌的三层交换机也有类似的命令和功能,用其他交换机来构建宽带网络时,也可以采用这种设置ARP表的办法来防止盗用IP地址,以达到限制每个IP地址的流量和根据网络流量进行计费的目的。这种方法比较适合于社区的宽带用户,但它只能防止盗用者静态地修改IP地址。
3 用PPPoE协议进行用户认证
对于盗用者使用第二种方法同时修改IP地址和MAC地址时,可以使用PPPoE协议进行用户认证。现在有很多基于PPPoE协议的软件,在ADSL的宽带网中广泛使用。PPPoE全称是Point to Point Protocol over Ethernet(基于局域网的点对点通讯协议),这个协议是为了满足越来越多的宽带上网设备和网络之间的通讯而最新制定开发的标准,它基于两个广泛接受的标准,即以太网和PPP点对点拨号协议。对运营商来说,在现有局域网基础上不必花费巨资来做大面积改造,使得PPPoE 在宽带接入服务中比其他协议更具有优势,因此逐渐成为宽带上网的最佳选择。 PPPoE的实质是以太网和拨号网络之间的一个中继协议,它兼有以太网的快速性和PPP协议拨号的简易性以及用户验证和IP分配等优势。在ADSL宽带网的实际应用中,PPPoE利用以太网的工作原理,将ADSL Modem的10BASE-T接口与内部以太网络互联,PPPoE接入利用在网络侧和ADSL Modem之间建立一条PVC(永久虚电路)就可以完成以太网上多用户的共同接入,实际组网方式简单易行,大大降低了网络的复杂程度。
在客户端,其设置和拨号上网方式一样,安装虚拟拨号软件,通过虚拟拨号的方式完成。在客户机接入网络后,由PPP服务器或RADIUS服务器来进行认证,其使用的验证协议有两种:PAP和CHAP。
PAP是密码身份验证协议,它使用原文(不加密)密码,是一种最简单的身份验证协议。如果网络的接入不能用更安全的验证方式,一般就使用PAP。如果能telnet不能ssh的话试试: line vty 0 4 transport input ssh 如果telnet也不行的话就检查aaa和radius配置了 配置radius服务器: radius-server host xxxx auth-port xxx acct-port xxx aaa配置: aaa authentication login xxx group r1、linux服务器:用于ssh登录,同时做为radius客户端。
CentOS5
IP:10011
2、Radius服务器:用于radius客户端,同时做为域成员(加入AD域)
windows 2003加入域并启用internet验证服务。
IP:1010011
linux服务器的设置
下载pam_radius-1317targz
tar -zxvf pam_radius-1317targz
cd pam_radius-1317
vi pam_radius_authconf
修改部分:
# server[:port] shared_secret timeout (s)
1001001 123456 1
#other-server other-secret 3
make 得到pam_radius_authso文件
cp pam_radius_authso /lib/security/
mkdir /etc/raddb/ (如果没有的话)
cp pam_radius_authconf /etc/raddb/server
chown go-rwx root /etc/raddb
chown go-rwx root /etc/raddb/server
cp /etc/pamd/sshd /etc/pamd/sshdbackup
vi /etc/pamd/sshd
将sshd文件中的内容替换为:
#%PAM-10
auth sufficient /lib/security/pam_radius_authso debug client_id=linux
auth sufficient pam_stackso service=system-auth
auth required pam_nologinso
account required pam_stackso service=system-auth
password required pam_stackso service=system-auth
session required pam_stackso service=system-auth
session required pam_loginuidso
Radius服务器的配置:
(Radius服务器环境:系统:windows2k3 加入域;软件:Internet验证服务)
一、打开radius服务器设置:
“开始--所有程序--管理工具--Internet验证服务”
二、新建Radius客户端:
右击“radius客户端”--“新建Radius客户端”--“好记的名称”输入:“ssh”--“客户端地址(IP或DNS)”处输入:“10011”--下一步--“客户端-供应商”处选择:“RADIUS Standard”--“共享密钥”和“确认的密钥”处输入:“0123456789”--完成
三、新建远程访问策略:
右击“远程访问策略”--“新建远程访问策略”--“下一步”--单选“设置自定义访问策略”--“策略名称”处输入:“允许所有域用户ssh登录linux”--“下一步”--“添加”--在选择属性框中选择“Windows-Groups”--“添加”--“添加”--输入组名--“检查名称”--确定--确定--下一步--单选“授予远程访问权限”--下一步--“编辑配置文件”--“高级”选项卡--删除所有属性--添加属性“Service Type”--属性值选“login”--确定--关闭--确定--完成--然后再将此策略上移到最顶上
四、新建连接请求策略
右击“连接请求策略”--“新建连接请求策略”--下一步--选择“自定义策略”--“策略名”处输入“sshlogin”--下一步--添加--选择“Client-IP-Address”--添加--输入一个字或通配符“10011”--下一步--下一步--完成
此时,ssh和Radius的配置已经完成了。
使用方法:(以test帐户为例)
1、在域控制器上新建AD帐户:test并设置密码,开启远程访问权限,其它为默认权限即可(此处就不细讲了)
2、使用root权限登录linux服务器10011
3、在linux服务器上增加用户test命令如下:useradd root。(不需要设置密码)
退出服务器。偿试以test帐户登录。输入AD帐户test的密码。
登录成功!
1.锁定交换机端口
对于交换机的每一个以太网端口,采用MAC地址表(MAC-address-table)的方式对端口进行锁定。只有网络管理员在MAC地址表中指定的网卡的MAC地址才能通过该端口与网络连接,其他的网卡地址不能通过该端口访问网络。
2.应用ARP绑定IP地址和MAC地址
ARP(Address Resolution Protocol)即地址解析协议,这个协议是将IP地址与网络物理地址一一对应的协议。
3 用PPPoE协议进行用户认证
对于盗用者使用第二种方法同时修改IP地址和MAC地址时,可以使用PPPoE协议进行用户认证。现在有很多基于PPPoE协议的软件,在ADSL的宽带网中广泛使用。PPPoE全称是Point to Point Protocol over Ethernet(基于局域网的点对点通讯协议),这个协议是为了满足越来越多的宽带上网设备和网络之间的通讯而最新制定开发的标准,它基于两个广泛接受的标准,即以太网和PPP点对点拨号协议。
AP是密码身份验证协议,它使用原文(不加密)密码,是一种最简单的身份验证协议。如果网络的接入不能用更安全的验证方式,一般就使用PAP。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)