一種基于MAC地址的網(wǎng)絡(luò)接入控制的設(shè)計與實現(xiàn).pdf

1、802.1X協(xié)議是由IEEE制定的基于端口的、最初是為了解決無線局域網(wǎng)中用戶的接入認證問題的網(wǎng)絡(luò)接入控制標(biāo)準(zhǔn)。隨著網(wǎng)絡(luò)的發(fā)展，該協(xié)議也被廣泛應(yīng)用到有線局域網(wǎng)中。802.1X協(xié)議的接入控制粒度為端口，當(dāng)一個端口下有用戶認證成功后，整個端口就完全放開，此時任何用戶都可以通過該端口訪問網(wǎng)絡(luò)資源。對于無線局域網(wǎng)而言，每一條信道對應(yīng)一個認證端口，由于無線網(wǎng)信道獨占的特性，基于端口的接入控制天然支持用戶級別的訪問控制。然而當(dāng)802.1X認證應(yīng)用到有

2、線局域網(wǎng)時，由于一個物理端口可以允許多個用戶接入，基于端口的控制不再能滿足用戶級別的訪問控制要求。在組網(wǎng)時，不允許在認證設(shè)備之下下掛HUB或者其他交換機，組網(wǎng)的靈活性受到了限制。此外，非認證用戶可以通過已打開的端口進行非法訪問。
　　為解決上述缺陷，本文對802.1X協(xié)議進行了改進，在原有的802.1X協(xié)議框架下，將接入控制力度細化到用戶級別。因為實際生活中每個接入用戶對應(yīng)的MAC地址是唯一的，所以可以將MAC地址作為接入控制的基

3、本單元，這種接入控制方式叫做基于MAC地址的接入控制。當(dāng)用戶認證通過后，不是將整個認證端口放開，而是將已通過認證的用戶的MAC地址加入到認證端口的允許訪問列表中，此時未認證用戶將無法通過該端口訪問網(wǎng)絡(luò)資源，從而實現(xiàn)了基于MAC的訪問控制。同時還支持基于MAC地址的授權(quán)VLAN的下發(fā)。在實現(xiàn)時，通過ACL技術(shù)來禁止端口自動學(xué)習(xí)MAC表項，限制未認證的用戶流量通過。通過在認證端口添加靜態(tài)MAC表項來允許已認證用戶訪問網(wǎng)絡(luò)資源。
　　基