编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第页共NUMPAGES18页第PAGE\*MERGEFORMAT18页共NUMPAGES\*MERGEFORMAT18页题目：计算机信息安全专业：计算机科学与技术班级：063学号：060501310姓名：林茜（xi）指导老师：张红武2010年1月11日二、使用MACACL进行访问控制【实验名称】使用MACACL进行访问控制【实验目的】使用基于MAC的ACL实现高级的访问控制【背景描述】某公司的一个简单的局域网中，通过使用一台交换机提供主机及服务器的接入，并且所有主机和服务器均属于同一个VLAN（VLAN2）中。网络中有三台主机和一台财务服务器（AccountingServer）。现在需要实现访问控制，只允许财务部主机（172.16.1.1）访问财务服务器。【需求分析】基于MAC的ACL可以根据配置的规则对网络中的数据进行过滤。【实验拓扑】SHAPE\*MERGEFORMAT【实验设备】交换机1台PC机4台【实验原理】基于MAC的ACL可以对数据包的源MAC地址、目的MAC地址和以太网类型进行检查，可以说基于MAC的ACL是二层的ACL，而标准IPACL和扩展IPACL是三层和四层的ACL。由于标准IPACL和扩展IPACL是对数据包的IP地址信息进行检查，并且IP地址是逻辑地址，用户可以对其进行修改，所以很容易逃避ACL的检查。但基于MAC的ACL是对数据包的物理地址（MAC）进行检查，所有用户很难通过修改MAC地址逃避ACL的过滤。当应用了MACACL的接口接收或发送报文时，将根据接口配置的ACL规则对数据进行检查，并采取相应的措施，允许通过或拒绝通过，从而达到访问控制的目的，提高网络安全性。【实验步骤】第一步：交换机基本配置Switch#configureterminalSwitch(config)#vlan2Switch(config-vlan)#exitSwitch(config)#interfacerangefastEthernet0/1-3Switch(config-if-range)#switchportaccessvlan2Switch(config-if-range)#exitSwitch(config)#interfacefastEthernet0/12Switch(config-if)#switchportaccessvlan2Switch(config-if)#exit第二步：配置MACACL由于本例中使用的交换机不支持出方向（out）的MACACL，因此需要将MACACL配置在接入主机的端口的入方向（in）。由于只允许财务部主机访问财务服务器，所以需要在接入其他主机的接口的入方向禁止其访问财务服务器。Switch(config)#macaccess-listextendeddeny_to_accsrvSwitch(config-mac-nacl)#denyanyhost000d.000d.000d！拒绝到达财务服务器的所有流量Switch(config-mac-nacl)#permitanyany！允许其他所有流量Switch(config-mac-nacl)#exit第三步：应用ACL将MACACL应用到F0/2接口和F0/3接口的入方向，以限制非财务部主机访问财务服务器。Switch(config)#interfacefastEthernet0/2Switch(config-if)#macaccess-groupdeny_to_accsrvinSwitch(config-if)#exitSwitch(config)#interfacefastEthernet0/3Switch(config-if)#macaccess-groupdeny_to_accsrvinSwitch(config-if)#end第四步：验证测试在财务部主机上ping财务服务器，可以ping通，但是在其他两台非财务部主机上ping财务服务器，无法ping通，说明其他两台主机到达财务服务器的流量被MACACL拒绝。【实验总结】通过实验学会使用基于MAC的ACL实现高级的访